偵測規則

本頁內容適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

Advanced API Security 會使用偵測規則,偵測 API 流量中可能代表惡意活動的異常模式。這些規則包括以實際 API 資料訓練的機器學習模型,以及根據已知 API 威脅類型制定的描述性規則。

下表列出偵測規則和說明。

偵測規則 說明

這項機器學習模型可偵測 API 網頁抓取行為,也就是從 API 擷取特定資訊,以達到惡意目的的過程。

機器學習模型,用於偵測 API 流量中的異常狀況 (異常事件模式)。請參閱「關於進階異常偵測」。
Brute Guessor 過去 24 小時內,回應錯誤所占比例偏高
Flooder 在 5 分鐘內,來自某個 IP 位址的流量比例偏高
OAuth 濫用者 過去 24 小時內,有大量 OAuth 工作階段,但使用者代理程式數量很少
Robot Abuser 過去 24 小時內發生大量 403 拒絕錯誤
靜態內容擷取器 在 5 分鐘內,來自 IP 位址的回應酬載大小比例偏高
TorListRule Tor 結束節點 IP 清單。Tor 結束節點是流量在 Tor 網路中通過的最後一個 Tor 節點,之後流量就會離開網路。偵測到 Tor 結束節點,表示有代理程式從 Tor 網路將流量傳送至您的 API,可能意圖不軌。

關於進階異常偵測

進階異常偵測演算法會從 API 流量中學習,並考量環境層級的錯誤率、流量、要求大小、延遲時間、地理位置和其他流量中繼資料等因素。如果流量模式出現顯著變化 (例如流量、錯誤率或延遲時間突然增加),模型會將導致「偵測到的流量」出現異常的 IP 位址標示為異常。

您也可以將異常偵測與安全性動作結合,自動標記或拒絕模型偵測到的異常流量。詳情請參閱「 Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic」(使用 Apigee Advanced API Security 的安全性動作,標記及封鎖可疑流量)社群貼文。

模型行為

為降低惡意行為者濫用模型的風險,我們不會公開模型的運作方式或事件偵測方式等具體細節。不過,這些額外資訊可協助您充分運用異常偵測功能:

  • 考量季節性差異:由於模型是根據您的流量資料訓練而成,因此如果流量資料包含該模式的先前資料 (例如前一年的相同節慶),模型就能辨識並考量季節性流量差異 (例如節慶流量)。
  • 顯示異常狀況:
    • 現有 Apigee 和混合式客戶:Apigee 建議您至少要有 2 週的歷來 API 流量資料,如要取得更準確的結果,最好有 12 週的歷來資料。啟用模型訓練後,進階異常偵測功能會在六小時內開始顯示異常狀況。
    • Apigee 新使用者:如果歷來資料至少有 2 週,模型會在選擇加入後 6 小時開始顯示異常狀況。 不過,在模型至少有 12 週的訓練資料前,建議您謹慎處理偵測到的異常狀況。系統會持續使用歷來流量資料訓練模型,因此預估值會隨著時間變得更加準確。

限制

如要使用「濫用偵測進階異常偵測」:

  • 系統會在環境層級偵測異常狀況。目前不支援在個別 Proxy 層級偵測異常。
  • 目前不支援虛擬私有雲安全控管客戶使用異常偵測功能。

機器學習和偵測規則

Advanced API Security 會使用 Google 機器學習演算法建構的模型,偵測 API 的安全威脅。這些模型會預先使用真實的 API 流量資料集 (包括您目前的流量資料,如果已啟用) 進行訓練,其中包含已知的安全威脅。因此,模型會學習辨識異常的 API 流量模式 (例如 API 網頁擷取和異常狀況),並根據類似模式將事件歸類在一起。

其中兩項偵測規則是以機器學習模型為基礎:

  • Advanced API Scraper
  • 進階異常偵測