检测规则

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

Advanced API Security 使用检测规则来检测 API 流量中的异常模式,这些异常模式可能表示恶意活动。这些规则包括使用真实 API 数据训练的机器学习模型和基于已知 API 威胁类型的描述性规则。

下表列出了检测规则及其说明。

检测规则 说明

检测 API 爬取(这是从 API 中提取目标信息以用于恶意用途的过程)的机器学习模型。

检测 API 流量中的异常值(异常事件模式)的机器学习模型。请参阅高级异常值检测简介
Brute Guessor 过去 24 小时内响应错误的比例较高
Flooder 5 分钟内,来自某个 IP 地址的流量比例较高
OAuth Abuser 过去 24 小时内少量用户代理的 OAuth 会话数量较多
Robot Abuser 过去 24 小时内出现大量 403 拒绝错误
静态内容爬取器 5 分钟内,来自某个 IP 地址的响应载荷大小比例较高
TorListRule Tor 退出节点 IP 列表。Tor 退出节点是流量在退出到互联网之前通过 Tor 网络中的最后一个 Tor 节点。检测 Tor 退出节点表示代理从 Tor 网络向您的 API 发送了流量,这可能是出于恶意目的。

高级异常值检测简介

高级异常值检测算法会从您的 API 流量中学习,在环境级别考虑错误率、流量、请求大小、延迟时间、地理位置和其他流量元数据等因素。如果流量模式发生显著变化(例如,流量、错误率或延迟时间激增),模型会在“检测到的流量”中标记导致异常值的 IP 地址。

您还可以将异常值检测与安全操作相结合,以自动标记或拒绝被模型检测为异常的流量。如需了解详情,请参阅“使用 Apigee Advanced API Security 的安全操作来标记和阻止可疑流量”社区帖子

模型行为

为了降低作恶方利用模型的风险,我们未公开有关模型运作方式或事件检测方式的具体细节。不过,以下附加信息可帮助您充分利用异常值检测:

  • 考虑季节性差异:由于模型是根据您的流量数据进行训练的,因此如果您的流量数据包含相应模式的先前数据(例如前一年同一节假日的数据),则模型可以识别并考虑季节性流量差异(例如节假日流量)。
  • 显示异常值
    • 对于现有的 Apigee 和 Hybrid 客户:Apigee 建议您至少拥有 2 周的历史 API 流量数据,为获得更准确的结果,最好拥有 12 周的历史数据。高级异常值检测会在您选择启用模型训练后 6 小时开始显示异常值。
    • 新 Apigee 用户:如果您有至少 2 周的历史数据,则在选择启用后 6 小时,模型会开始显示异常值。不过,我们建议您在模型至少具有 12 周的数据以用于训练之前,对检测到的异常值采取行动时需保持谨慎。模型会根据您的历史流量数据持续进行训练,因此随着时间的推移,其准确性会越来越高。

限制

对于滥用行为检测高级异常值检测:

  • 系统会在环境级别检测异常值。目前不支持在单个代理级别进行异常值检测。
  • 目前,不支持将异常值检测用于 VPC-SC 客户。

机器学习和检测规则

Advanced API Security 使用通过 Google 的机器学习算法构建的模型来检测 API 的安全威胁。这些模型使用包含已知安全威胁的真实 API 流量数据集(包括您的当前流量数据,如果已启用)进行预训练。因此,这些模型会学习识别异常的 API 流量模式(例如 API 抓取和异常),并根据类似的模式将事件归为一组。

其中两个检测规则基于机器学习模型:

  • Advanced API Scraper
  • Advanced Anomaly Detection