Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Advanced API Security verwendet Erkennungsregeln, um ungewöhnliche Muster im API-Traffic zu erkennen, die schädliche Aktivitäten darstellen könnten. Diese Regeln umfassen sowohl Modelle für maschinelles Lernen, die mit echten API-Daten trainiert wurden, als auch beschreibende Regeln, die auf bekannten Arten von API-Bedrohungen basieren.
In der folgenden Tabelle sind die Erkennungsregeln und ihre Beschreibungen aufgeführt.
| Erkennungsregel | Beschreibung |
|---|---|
Ein Modell für maschinelles Lernen, das API-Scraping erkennt, also das Extrahieren von Zielinformationen aus APIs für böswillige Zwecke. | |
| Ein Modell für maschinelles Lernen zur Erkennung von Anomalien – ungewöhnlichen Mustern in API-Traffic. Weitere Informationen finden Sie unter Advanced Anomaly Detection. | |
| Brute Guessor | Hoher Anteil an Antwortfehlern in den letzten 24 Stunden |
| Flooder | Hoher Anteil an Traffic von einer IP-Adresse in einem 5-Minuten-Fenster |
| OAuth Abuser | Große Anzahl der OAuth-Sitzungen mit einer kleinen Anzahl von User-Agents in den letzten 24 Stunden |
| Roboter-Nutzer | Große Anzahl von 403-Ablehnungsfehlern in den letzten 24 Stunden |
| Static Content Scraper | Hoher Anteil der Antwortnutzlastgröße von einer IP-Adresse in einem 5-Minuten-Fenster |
| TorListRule | Tor-Ausgangsknoten-IP-Liste Ein Tor-Ausgangsknoten ist der letzte Tor-Knoten, der Traffic im Tor-Netzwerk durchläuft, bevor er ins Internet wechselt. Die Erkennung von Tor-Ausgangsknoten weist darauf hin, dass ein Agent Traffic über das Tor-Netzwerk an Ihre APIs gesendet hat, möglicherweise zu böswilligen Zwecken. |
Erweiterte Anomalieerkennung
Der Algorithmus für die erweiterte Anomalieerkennung lernt anhand Ihres API-Traffics und berücksichtigt dabei Faktoren wie Fehlerraten, Trafficvolumen, Anfragegröße, Latenz, Standort und andere Traffic-Metadaten auf Umgebungsebene. Bei erheblichen Änderungen der Zugriffsmuster (z. B. einem Anstieg des Traffics, der Fehlerrate oder der Latenz) kennzeichnet das Modell die IP-Adresse, die zur Anomalie beigetragen hat, unter „Erkannter Traffic“.
Sie können die Anomalieerkennung auch mit Sicherheitsaktionen kombinieren, um Traffic, der vom Modell als anomalos erkannt wird, automatisch zu melden oder abzulehnen. Weitere Informationen finden Sie im Communitybeitrag „Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic“ (Mit den Sicherheitsaktionen der erweiterten API-Sicherheit von Apigee verdächtige Zugriffe melden und blockieren).
Modellverhalten
Um das Risiko zu verringern, dass böswillige Akteure das Modell ausnutzen können, geben wir keine genauen Details zur Funktionsweise des Modells oder zur Erkennung von Vorfällen preis. Diese zusätzlichen Informationen können Ihnen jedoch helfen, die Anomalieerkennung optimal zu nutzen:
- Berücksichtigung saisonaler Schwankungen:Da das Modell anhand Ihrer Besucherdaten trainiert wird, kann es saisonale Schwankungen (z. B. an Feiertagen) erkennen und berücksichtigen, sofern Ihre Besucherdaten frühere Daten für dieses Muster enthalten, z. B. für denselben Feiertag im Vorjahr.
- Anomalien aufzeigen:
- Bestehende Apigee- und Hybridkunden:Apigee empfiehlt, mindestens zwei Wochen an API-Traffic-Verlaufsdaten zu haben. Für genauere Ergebnisse sind zwölf Wochen an Verlaufsdaten vorzuziehen. Mit der erweiterten Anomalieerkennung werden innerhalb von sechs Stunden nach Aktivierung des Modelltrainings Anomalien erkannt.
- Neue Apigee-Nutzer:Das Modell zeigt 6 Stunden nach der Aktivierung Anomalien an, wenn Sie mindestens zwei Wochen an Verlaufsdaten haben. Wir empfehlen jedoch, mit Maßnahmen auf erkannte Anomalien zu warten, bis für das Modell mindestens 12 Wochen an Trainingsdaten vorliegen. Das Modell wird kontinuierlich anhand Ihrer bisherigen Besucherdaten trainiert, sodass es mit der Zeit genauer wird.
Beschränkungen
Für die Missbrauchserkennung mit erweiterter Anomalieerkennung:
- Anomalien werden auf Umgebungsebene erkannt. Die Anomalieerkennung auf einer einzelnen Proxyebene wird derzeit nicht unterstützt.
- Die Anomalieerkennung wird für VPC-SC-Kunden derzeit nicht unterstützt.
Maschinelles Lernen und Erkennungsregeln
Advanced API Security verwendet Modelle, die mit den Algorithmen für maschinelles Lernen von Google erstellt wurden, um Sicherheitsbedrohungen für Ihre APIs zu erkennen. Diese Modelle werden mit echten API-Traffic-Datasets (einschließlich Ihrer aktuellen Traffic-Daten, sofern aktiviert) vortrainiert, die bekannte Sicherheitsbedrohungen enthalten. Dadurch lernen die Modelle, ungewöhnliche API-Traffic-Muster, wie API-Scraping und Anomalien, sowie Clusterereignisse anhand ähnlicher Muster zu erkennen.
Zwei der Erkennungsregeln basieren auf Modellen für maschinelles Lernen:
- Advanced API Scraper
- Advanced Anomaly Detection