Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Advanced API Security verwendet Erkennungsregeln, um ungewöhnliche Muster im API-Traffic zu erkennen, die schädliche Aktivitäten darstellen könnten. Diese Regeln umfassen sowohl Modelle für maschinelles Lernen, die mit echten API-Daten trainiert wurden, als auch beschreibende Regeln, die auf bekannten Arten von API-Bedrohungen basieren.
In der folgenden Tabelle sind die Erkennungsregeln und ihre Beschreibungen aufgeführt.
| Erkennungsregel | Beschreibung |
|---|---|
Ein Modell für maschinelles Lernen, das API-Scraping erkennt, also das Extrahieren von Zielinformationen aus APIs für böswillige Zwecke. | |
| Ein Modell für maschinelles Lernen zur Erkennung von Anomalien – ungewöhnlichen Mustern in API-Traffic. Weitere Informationen | |
| Brute Guessor | Hoher Anteil an Antwortfehlern in den letzten 24 Stunden |
| Flooder | Hoher Anteil an Traffic von einer IP-Adresse in einem 5‑Minuten-Fenster |
| OAuth Abuser | Große Anzahl der OAuth-Sitzungen mit einer kleinen Anzahl von User-Agents in den letzten 24 Stunden |
| Roboter-Nutzer | Große Anzahl von 403-Ablehnungsfehlern in den letzten 24 Stunden |
| Static Content Scraper | Hoher Anteil der Antwortnutzlastgröße von einer IP-Adresse in einem 5‑Minuten-Fenster |
| TorListRule | Tor-Ausgangsknoten-IP-Liste Ein Tor-Ausgangsknoten ist der letzte Tor-Knoten, der Traffic im Tor-Netzwerk durchläuft, bevor er ins Internet wechselt. Die Erkennung von Tor-Ausgangsknoten weist darauf hin, dass ein Agent Traffic über das Tor-Netzwerk an Ihre APIs gesendet hat, möglicherweise zu böswilligen Zwecken. |
Advanced Anomaly Detection
Der Algorithmus für die erweiterte Anomalieerkennung lernt aus Ihrem API-Traffic und berücksichtigt dabei Faktoren wie Fehlerraten, Trafficvolumen, Anfragengröße, Latenz, geografischer Standort und andere Traffic-Metadaten auf Umgebungsebene. Wenn es erhebliche Änderungen bei den Trafficmustern gibt (z. B. ein Anstieg bei Traffic, Fehlerraten oder Latenz), kennzeichnet das Modell die IP-Adresse, die zur Anomalie im erkannten Traffic beigetragen hat.
Sie können die Anomalieerkennung auch mit Sicherheitsaktionen kombinieren, um Traffic, der vom Modell als anomal erkannt wird, automatisch zu kennzeichnen oder abzulehnen. Weitere Informationen finden Sie im Community-Beitrag „Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic“.
Modellverhalten
Um das Risiko zu verringern, dass das Modell von böswilligen Akteuren ausgenutzt wird, geben wir keine genauen Details zur Funktionsweise des Modells oder zur Erkennung von Vorfällen preis. Diese zusätzlichen Informationen können Ihnen jedoch helfen, die Anomalieerkennung optimal zu nutzen:
- Berücksichtigung saisonaler Schwankungen:Da das Modell mit Ihren Traffic-Daten trainiert wird, kann es saisonale Traffic-Schwankungen (z. B. Feiertags-Traffic) erkennen und berücksichtigen, sofern Ihre Traffic-Daten frühere Daten für dieses Muster enthalten, z. B. denselben Feiertag in einem früheren Jahr.
- Anomalien anzeigen:
- Für bestehende Apigee- und Hybridkunden:Apigee empfiehlt, dass Sie mindestens zwei Wochen an Verlaufsdaten zum API-Traffic haben. Für genauere Ergebnisse sind zwölf Wochen an Verlaufsdaten vorzuziehen. Bei Advanced Anomaly Detection werden Anomalien innerhalb von sechs Stunden nach der Aktivierung des Modelltrainings angezeigt.
- Neue Apigee-Nutzer:Das Modell beginnt 6 Stunden nach der Aktivierung mit der Anzeige von Anomalien, sofern mindestens 2 Wochen an Verlaufsdaten vorhanden sind. Wir empfehlen jedoch, bei erkannten Anomalien vorsichtig zu sein, bis das Modell mindestens 12 Wochen lang Daten für das Training hat. Das Modell wird kontinuierlich mit Ihren bisherigen Traffic-Daten trainiert, sodass es im Laufe der Zeit immer genauer wird.
Beschränkungen
Für die erweiterte Anomalieerkennung zur Missbrauchserkennung:
- Anomalien werden auf Umgebungsebene erkannt. Die Anomalieerkennung auf der Ebene einzelner Proxys wird derzeit nicht unterstützt.
- Die Anomalieerkennung wird für VPC-SC-Kunden derzeit nicht unterstützt.
Maschinelles Lernen und Erkennungsregeln
Advanced API Security verwendet Modelle, die mit den Algorithmen für maschinelles Lernen von Google erstellt wurden, um Sicherheitsbedrohungen für Ihre APIs zu erkennen. Diese Modelle werden mit echten API-Traffic-Datasets (einschließlich Ihrer aktuellen Traffic-Daten, sofern aktiviert) vortrainiert, die bekannte Sicherheitsbedrohungen enthalten. Dadurch lernen die Modelle, ungewöhnliche API-Traffic-Muster, wie API-Scraping und Anomalien, sowie Clusterereignisse anhand ähnlicher Muster zu erkennen.
Zwei der Erkennungsregeln basieren auf Modellen für maschinelles Lernen:
- Advanced API Scraper
- Advanced Anomaly Detection