A segurança avançada da API usa regras de detecção para detectar padrões incomuns no tráfego da API que possam representar atividades mal-intencionadas. Essas regras incluem modelos
de machine learning treinados com dados reais de API e regras descritivas,
com base em tipos conhecidos de ameaças de API.
A tabela a seguir lista as regras de detecção e as descrições delas.
Regra de detecção
Descrição
Um modelo de machine learning que
detecta a raspagem de dados de API, que é o processo de extração de
informações de destino de APIs para fins maliciosos.
Alta proporção de erros de resposta nas últimas 24 horas
Excesso
Alta proporção de tráfego de um endereço IP em um intervalo de cinco minutos
Abusador de OAuth
Um grande número de sessões OAuth com um pequeno número de user agents nas últimas 24 horas
Abuso de robô
Um grande número de erros de rejeição 403 nas últimas 24 horas
Raspador de conteúdo estático
Alta proporção de tamanho de payload de resposta de um endereço IP em uma janela de cinco minutos
TorListRule
Lista de IPs de nós de saída do Tor. Um nó de saída do Tor é o último nó do Tor pelo qual o tráfego passa
na rede do Tor
antes de sair para a Internet. A detecção de nós de saída do Tor indica que
um agente enviou tráfego da rede do Tor para suas APIs, possivelmente para
fins maliciosos.
Sobre a detecção avançada de anomalias
O algoritmo avançado de detecção de anomalias aprende com o tráfego da API, considerando fatores como taxas de erro, volume de tráfego, tamanho da solicitação, latência, geolocalização e outros metadados de tráfego no nível do ambiente. Se houver mudanças significativas nos padrões de tráfego (por exemplo, um aumento no tráfego, nas taxas de erro ou na latência), o modelo vai sinalizar o endereço IP que contribuiu para a anomalia no tráfego detectado.
Para reduzir o risco de que pessoas mal-intencionadas explorem o modelo, não divulgamos detalhes específicos sobre como ele funciona ou como os incidentes são detectados. No entanto, essas informações adicionais podem ajudar você a aproveitar ao máximo a detecção de anomalias:
Consideração da variância sazonal:como o modelo é treinado com seus dados de tráfego, ele pode reconhecer e considerar as variâncias sazonais (como tráfego de feriados), se os dados incluírem informações anteriores sobre esse padrão, como o mesmo feriado em um ano anterior.
Mostrar anomalias:
Para clientes atuais da Apigee e híbridos:a Apigee recomenda que você tenha pelo menos duas semanas de dados históricos de tráfego da API. Para resultados mais precisos, o ideal é ter 12 semanas de dados históricos. A detecção avançada de anomalias começa a mostrar anomalias em até seis horas após a ativação do treinamento de modelo.
Novos usuários do Apigee:o modelo começa a mostrar anomalias 6 horas após a ativação, se você tiver um mínimo de duas semanas de dados históricos.
No entanto, recomendamos ter cautela ao agir com base em anomalias detectadas até que o modelo tenha pelo menos 12 semanas de dados para treinamento. O modelo é treinado continuamente com seus dados históricos de tráfego para que se torne mais preciso com o tempo.
Limitações
Para a detecção de abuso e anomalias avançada:
As anomalias são detectadas no nível do ambiente. No momento, não há suporte para a detecção de anomalias no nível de um proxy individual.
No momento, a detecção de anomalias não está disponível para clientes do VPC-SC.
Regras de detecção e machine learning
A API Security avançada usa modelos criados com os algoritmos de aprendizado de máquina do Google para detectar ameaças à segurança das suas APIs. Esses modelos são pré-treinados em conjuntos de dados de tráfego de API reais (incluindo seus dados de tráfego atuais, se ativados) que contêm ameaças de segurança conhecidas. Como resultado, os modelos aprendem a reconhecer padrões incomuns de tráfego de API, como raspagem de dados de API e anomalias, e agrupam eventos com base em padrões semelhantes.
Duas das regras de detecção são baseadas em modelos de machine learning:
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-09-03 UTC."],[[["\u003cp\u003eThis page provides information about Advanced API Security features in Apigee and Apigee hybrid.\u003c/p\u003e\n"],["\u003cp\u003eAdvanced API Security uses detection rules, including machine learning models and descriptive rules, to identify unusual patterns in API traffic that might indicate malicious activity.\u003c/p\u003e\n"],["\u003cp\u003eThe detection rules include machine learning models like "Advanced API Scraper" and "Advanced Anomaly Detection," which are trained on real API traffic data to identify patterns indicative of security threats.\u003c/p\u003e\n"],["\u003cp\u003eOther detection rules include "Brute Guessor," "Flooder," "OAuth Abuser," "Robot Abuser," "Static Content Scraper," and "TorListRule", each targeting specific types of potential API abuse.\u003c/p\u003e\n"],["\u003cp\u003eSecurity incidents, which are groups of similar events representing security threats, can be triggered by one or multiple detection rules.\u003c/p\u003e\n"]]],[],null,["# Detection rules\n\n*This page\napplies to **Apigee** and **Apigee hybrid**.*\n\n\n*View [Apigee Edge](https://docs.apigee.com/api-platform/get-started/what-apigee-edge) documentation.*\n\nAdvanced API Security uses *detection rules* to detect unusual patterns in\nAPI traffic that could represent malicious activity. These rules include both\nmachine learning models, trained on real API data, and descriptive rules,\nbased on known types of API threats.\n| **Note:** The Advanced API Security [Abuse detection](/apigee/docs/api-security/abuse-detection) page uses detection rules to detect security incidents. A security incident is a group of events with similar patterns that could represent a security threat. Note that one incident might be triggered by multiple detection rules, in which case all of the rules that triggered the incident are listed in the Abuse detection [Environment details](/apigee/docs/api-security/abuse-detection#environment-details) view.\n\nThe following table lists the detection rules and their descriptions.\n\nAbout Advanced Anomaly Detection\n--------------------------------\n\nThe Advanced Anomaly Detection algorithm learns from your API traffic, taking into account\nfactors like error rates, traffic volume, request size, latency, geolocation, and other traffic\nmetadata at the environment level. If there are significant shifts in traffic patterns (for\nexample, a surge in traffic, error rates, or latency), the model flags the IP address that\ncontributed to the anomaly in Detected Traffic.\n| **Note:** Use of Advanced Anomaly Detection requires opting in to training the model on your API traffic data. For more information, see [Opt in for machine learning models for Abuse Detection](/apigee/docs/api-security/abuse-detection#opt-in-for-machine-learning-models-for-machine-learning).\n\nYou can also combine anomaly detection with\n[security actions](/apigee/docs/api-security/security-actions) to automatically flag\nor deny traffic that is detected as anomalous by the model. See the\n[\"Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic\"\ncommunity post](https://www.googlecloudcommunity.com/gc/Cloud-Product-Articles/Using-Apigee-Advanced-API-Security-s-Security-Actions-to-Flag/ta-p/842645) for additional information.\n\n### Model behavior\n\nTo reduce the risk that bad actors can exploit the model, we do not expose specific details\nabout how the model works or how incidents are detected. However, this additional\ninformation can help you make the best use of anomaly detection:\n\n- **Accounting for seasonal variance:**Because the model is trained on your traffic data, it can recognize and account for seasonal traffic variances (such as holiday traffic), if your traffic data includes previous data for that pattern, such as the same holiday in a previous year.\n- **Surfacing anomalies:**\n - **For existing Apigee and hybrid customers:** Apigee recommends that you have at least 2 weeks of historical API traffic data and, for more accurate results 12 weeks of historical data is preferable. Advanced Anomaly Detection starts surfacing anomalies within six hours of opting in to model training.\n - **New Apigee users:** The model starts surfacing anomalies 6 hours after opt-in, if you have a minimum of 2 weeks of historical data. However, we recommend using caution when acting on detected anomalies until the model has at least 12 weeks of data for training. The model is continuously trained on your historical traffic data so that it becomes more accurate over time.\n\n### Limitations\n\nFor Abuse Detection Advanced Anomaly Detection:\n\n- Anomalies are detected at the environment level. Anomaly detection at an individual proxy level is not supported at this time.\n- Anomaly detection is not supported for VPC-SC customers at this time.\n\nMachine learning and detection rules\n------------------------------------\n\nAdvanced API Security uses models built with Google's machine learning algorithms to\ndetect security threats to your APIs. These models are pre-trained on real\nAPI traffic data sets (including your current traffic data, if enabled) that contain known\nsecurity threats. As a result,\nthe models learn to recognize unusual API traffic patterns, such as API scraping and anomalies,\nand cluster events together based on similar patterns.\n\nTwo of the detection rules are based on machine learning models:\n\n- Advanced API Scraper\n- Advanced Anomaly Detection\n\n| **Note:** The data used to train the machine learning models for the rules Advanced API Scraper and Advanced Anomaly Detection contain metadata, including source IP address, source geography, and the values of some HTTP request headers. However, the detection data received by the models do not include the actual values of this metadata. The model makes detections based on the statistical properties of the data, not on the values of the metadata."]]
