检测规则

本页面适用于 ApigeeApigee Hybrid

查看 Apigee Edge 文档。

Advanced API Security 使用检测规则来检测 API 流量中的异常模式,这些异常模式可能表示恶意活动。这些规则包括使用真实 API 数据训练的机器学习模型和基于已知 API 威胁类型的描述性规则。

下表列出了检测规则及其说明

检测规则 说明

检测 API 爬取的机器学习模型,这是从 API 中提取目标信息以发现恶意目的的过程。

检测 API 流量异常(异常事件模式)的机器学习模型。
Brute Guessor 过去 24 小时内响应错误的比例较高
Flooder 5 分钟内,来自某个 IP 的流量比例较高
OAuth Abuser 过去 24 小时内少量用户代理的 OAuth 会话数量较多
Robot Abuser 过去 24 小时内出现大量 403 拒绝错误
静态内容爬取器 5 分钟内来自 IP 的响应载荷大小的比例较高
TorListRule Tor 退出节点 IP 列表。Tor 退出节点是流量在退出到互联网之前通过 Tor 网络中的最后一个 Tor 节点。检测 Tor 退出节点表示代理从 Tor 网络向您的 API 发送了流量,这可能是出于恶意目的。

机器学习和检测规则

Advanced API Security 使用通过 Google 的机器学习算法构建的模型来检测 API 的安全威胁。这些模型使用包含已知安全威胁的真实 API 流量数据集(而不是您的当前流量数据)进行预训练。因此,这些模型会学习识别异常的 API 流量模式(例如 API 抓取和异常),并根据类似的模式将事件归为一组。

上面列出的两个检测规则基于机器学习模型:

  • Advanced API Scraper
  • Advanced Anomaly Detection