Advanced API Security utilise des règles de détection pour détecter des modèles inhabituels dans le trafic des API pouvant représenter une activité malveillante. Ces règles incluent des modèles de machine learning, entraînés sur des données d'API réelles et des règles descriptives, basées sur des types connus de menaces d'API.
Le tableau suivant répertorie les règles de détection et leur description.
Règle de détection
Description
Un modèle de machine learning qui détecte le scraping des API, c'est-à-dire l'extraction des informations ciblées à partir d'API à des fins malveillantes.
Haute proportion d'erreurs de réponse au cours des dernières 24 heures
Flooder
Proportion élevée de trafic provenant d'une adresse IP dans un intervalle de cinq minutes
OAuth Abuser
Nombre élevé de sessions OAuth avec un petit nombre d'user-agents au cours des dernières 24 heures
Robot Abuser
Nombre élevé d'erreurs de refus 403 au cours des dernières 24 heures
Static Content Scraper
Proportion élevée de taille de la charge utile de la réponse émanant d'une même adresse IP, dans un intervalle de cinq minutes
TorListRule
Liste d'adresses IP de nœuds de sortie Tor. Un nœud de sortie Tor est le dernier nœud Tor par lequel le trafic transite sur le réseau Tor avant d'arriver sur Internet. La détection des nœuds de sortie Tor indique qu'un agent a envoyé du trafic vers vos API depuis le réseau Tor, probablement à des fins malveillantes.
À propos de la détection d'anomalies avancée
L'algorithme de détection avancée des anomalies apprend à partir de votre trafic d'API, en tenant compte de facteurs tels que les taux d'erreur, le volume de trafic, la taille des requêtes, la latence, la géolocalisation et d'autres métadonnées de trafic au niveau de l'environnement. Si des changements importants se produisent dans les schémas de trafic (par exemple, une augmentation du trafic, des taux d'erreur ou de la latence), le modèle signale l'adresse IP qui a contribué à l'anomalie dans la section "Trafic détecté".
Pour réduire le risque que des personnes malintentionnées exploitent le modèle, nous ne divulguons pas d'informations spécifiques sur son fonctionnement ni sur la façon dont les incidents sont détectés. Toutefois, ces informations supplémentaires peuvent vous aider à tirer le meilleur parti de la détection des anomalies :
Tenir compte de la variance saisonnière : le modèle étant entraîné sur vos données de trafic, il peut reconnaître et prendre en compte les variances saisonnières du trafic (comme le trafic des fêtes), si vos données de trafic incluent des données précédentes pour ce modèle, comme les mêmes fêtes l'année précédente.
Affichage des anomalies :
Pour les clients Apigee et hybrides existants : Apigee vous recommande de disposer d'au moins deux semaines de données historiques sur le trafic d'API. Pour des résultats plus précis, il est préférable de disposer de 12 semaines de données historiques. La détection d'anomalies avancée commence à identifier les anomalies dans les six heures suivant l'activation de l'entraînement du modèle.
Nouveaux utilisateurs d'Apigee : le modèle commence à afficher les anomalies six heures après l'activation, si vous disposez d'au moins deux semaines de données historiques.
Toutefois, nous vous recommandons d'être prudent lorsque vous agissez en fonction des anomalies détectées, jusqu'à ce que le modèle dispose d'au moins 12 semaines de données pour l'entraînement. Le modèle est entraîné en continu sur vos données de trafic historiques afin de gagner en précision au fil du temps.
Limites
Pour la détection des utilisations abusives et la détection avancée des anomalies :
Les anomalies sont détectées au niveau de l'environnement. La détection des anomalies au niveau de chaque proxy n'est pas disponible pour le moment.
La détection des anomalies n'est pas disponible pour les clients VPC-SC pour le moment.
Règles de machine learning et de détection
Advanced API Security utilise des modèles créés avec les algorithmes de machine learning de Google pour détecter les menaces de sécurité pesant sur vos API. Ces modèles sont pré-entraînés sur des ensembles de données de trafic d'API réels (y compris vos données de trafic actuelles, si elles sont activées) contenant des menaces de sécurité connues. Par conséquent, les modèles apprennent à reconnaître les modèles de trafic d'API inhabituels, tels que le scraping et les anomalies d'API, et les événements de cluster basés sur des modèles similaires.
Deux des règles de détection sont basées sur des modèles de machine learning :
Advanced API Scraper
Détection d'anomalies avancée
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/09/03 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/09/03 (UTC)."],[[["\u003cp\u003eThis page provides information about Advanced API Security features in Apigee and Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eAdvanced API Security uses detection rules, including machine learning models and descriptive rules, to identify unusual patterns in API traffic that might indicate malicious activity.\u003c/p\u003e\n"],["\u003cp\u003eThe detection rules include machine learning models like "Advanced API Scraper" and "Advanced Anomaly Detection," which are trained on real API traffic data to identify patterns indicative of security threats.\u003c/p\u003e\n"],["\u003cp\u003eOther detection rules include "Brute Guessor," "Flooder," "OAuth Abuser," "Robot Abuser," "Static Content Scraper," and "TorListRule", each targeting specific types of potential API abuse.\u003c/p\u003e\n"],["\u003cp\u003eSecurity incidents, which are groups of similar events representing security threats, can be triggered by one or multiple detection rules.\u003c/p\u003e\n"]]],[],null,["# Detection rules\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nAdvanced API Security uses *detection rules* to detect unusual patterns in\nAPI traffic that could represent malicious activity. These rules include both\nmachine learning models, trained on real API data, and descriptive rules,\nbased on known types of API threats.\n| **Note:** The Advanced API Security [Abuse detection](/apigee/docs/api-security/abuse-detection) page uses detection rules to detect security incidents. A security incident is a group of events with similar patterns that could represent a security threat. Note that one incident might be triggered by multiple detection rules, in which case all of the rules that triggered the incident are listed in the Abuse detection [Environment details](/apigee/docs/api-security/abuse-detection#environment-details) view.\n\nThe following table lists the detection rules and their descriptions.\n\nAbout Advanced Anomaly Detection\n--------------------------------\n\nThe Advanced Anomaly Detection algorithm learns from your API traffic, taking into account\nfactors like error rates, traffic volume, request size, latency, geolocation, and other traffic\nmetadata at the environment level. If there are significant shifts in traffic patterns (for\nexample, a surge in traffic, error rates, or latency), the model flags the IP address that\ncontributed to the anomaly in Detected Traffic.\n| **Note:** Use of Advanced Anomaly Detection requires opting in to training the model on your API traffic data. For more information, see [Opt in for machine learning models for Abuse Detection](/apigee/docs/api-security/abuse-detection#opt-in-for-machine-learning-models-for-machine-learning).\n\nYou can also combine anomaly detection with\n[security actions](/apigee/docs/api-security/security-actions) to automatically flag\nor deny traffic that is detected as anomalous by the model. See the\n[\"Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic\"\ncommunity post](https://www.googlecloudcommunity.com/gc/Cloud-Product-Articles/Using-Apigee-Advanced-API-Security-s-Security-Actions-to-Flag/ta-p/842645) for additional information.\n\n### Model behavior\n\nTo reduce the risk that bad actors can exploit the model, we do not expose specific details\nabout how the model works or how incidents are detected. However, this additional\ninformation can help you make the best use of anomaly detection:\n\n- **Accounting for seasonal variance:**Because the model is trained on your traffic data, it can recognize and account for seasonal traffic variances (such as holiday traffic), if your traffic data includes previous data for that pattern, such as the same holiday in a previous year.\n- **Surfacing anomalies:**\n - **For existing Apigee and hybrid customers:** Apigee recommends that you have at least 2 weeks of historical API traffic data and, for more accurate results 12 weeks of historical data is preferable. Advanced Anomaly Detection starts surfacing anomalies within six hours of opting in to model training.\n - **New Apigee users:** The model starts surfacing anomalies 6 hours after opt-in, if you have a minimum of 2 weeks of historical data. However, we recommend using caution when acting on detected anomalies until the model has at least 12 weeks of data for training. The model is continuously trained on your historical traffic data so that it becomes more accurate over time.\n\n### Limitations\n\nFor Abuse Detection Advanced Anomaly Detection:\n\n- Anomalies are detected at the environment level. Anomaly detection at an individual proxy level is not supported at this time.\n- Anomaly detection is not supported for VPC-SC customers at this time.\n\nMachine learning and detection rules\n------------------------------------\n\nAdvanced API Security uses models built with Google's machine learning algorithms to\ndetect security threats to your APIs. These models are pre-trained on real\nAPI traffic data sets (including your current traffic data, if enabled) that contain known\nsecurity threats. As a result,\nthe models learn to recognize unusual API traffic patterns, such as API scraping and anomalies,\nand cluster events together based on similar patterns.\n\nTwo of the detection rules are based on machine learning models:\n\n- Advanced API Scraper\n- Advanced Anomaly Detection\n\n| **Note:** The data used to train the machine learning models for the rules Advanced API Scraper and Advanced Anomaly Detection contain metadata, including source IP address, source geography, and the values of some HTTP request headers. However, the detection data received by the models do not include the actual values of this metadata. The model makes detections based on the statistical properties of the data, not on the values of the metadata."]]
