偵測規則

本頁適用於 ApigeeApigee Hybrid

查看 Apigee Edge 說明文件。

Advanced API Security 會使用偵測規則,偵測 API 流量中可能代表惡意活動的異常模式。這些規則包括以實際 API 資料訓練的機器學習模型,以及根據已知類型的 API 威脅建立的描述性規則。

下表列出偵測規則及其說明。

偵測規則 說明

一種機器學習模型,可偵測 API 刮除行為,也就是從 API 中擷取特定資訊用於惡意目的的過程。

機器學習模型,用於偵測 API 流量中的異常狀況,也就是不尋常的事件模式。請參閱「進階異常偵測簡介」。
Brute Guessor 過去 24 小時內回應錯誤的比例偏高
泛洪 在 5 分鐘內,來自特定 IP 位址的流量比例偏高
OAuth 濫用者 過去 24 小時內有大量 OAuth 工作階段,但使用者代理程式人數不多
Robot Abuser 過去 24 小時內發生大量 403 拒絕錯誤
靜態內容刮除器 在 5 分鐘內,IP 位址的回應酬載大小比例偏高
TorListRule Tor 結束節點 IP 清單。Tor 結束節點是流量在 Tor 網路中通過最後一個 Tor 節點,然後連上網際網路。偵測到 Tor 出口節點,表示代理程式已從 Tor 網路傳送流量至您的 API,可能出於惡意目的。

關於進階異常偵測

進階異常偵測演算法會從 API 流量中學習,並考量錯誤率、流量量、要求大小、延遲時間、地理位置和其他環境層級流量中繼資料等因素。如果流量模式出現重大變化 (例如流量、錯誤率或延遲時間激增),模型會在「偵測到的流量」中標示導致異常的 IP 位址。

您也可以將異常偵測功能與安全性動作結合,自動標記或拒絕模型偵測為異常的流量。詳情請參閱「 使用 Apigee Advanced API Security 的安全性動作標記及封鎖可疑流量」社群貼文。

模型行為

為降低惡意人士濫用模型的風險,我們不會揭露模型運作方式或事件偵測方式的具體細節。不過,這些額外資訊可協助您充分運用異常偵測功能:

  • 考量季節性變化:由於模型是根據流量資料進行訓練,因此如果流量資料包含該模式的先前資料 (例如前一年的同一個節慶),模型就能辨識並考量季節性流量變化 (例如節慶期間的流量)。
  • 顯示異常狀況:
    • 適用於現有的 Apigee 和混合式客戶:Apigee 建議您至少要有 2 週的 API 流量歷來資料,如果想取得更準確的結果,建議您至少要有 12 週的歷來資料。啟用模型訓練後,進階異常偵測功能會在六小時內開始顯示異常狀況。
    • 新 Apigee 使用者:如果您至少有 2 週的歷來資料,模型會在您選擇加入後的 6 小時開始顯示異常值。不過,建議您在模型至少有 12 週的訓練資料之前,謹慎處理所偵測到的異常現象。模型會持續使用您的歷史流量資料進行訓練,因此會隨著時間推移而更加準確。

限制

針對濫用偵測功能的進階異常偵測:

  • 系統會在環境層級偵測異常狀況。目前不支援個別 Proxy 層級的異常偵測。
  • 目前不支援 VPC-SC 客戶使用異常偵測功能。

機器學習和偵測規則

Advanced API Security 會使用採用 Google 機器學習演算法建構的模型,偵測 API 的安全威脅。這些模型會在包含已知安全威脅的實際 API 流量資料集 (包括啟用時的目前流量資料) 上預先訓練。因此,模型會學習辨識異常的 API 流量模式 (例如 API 刮除和異常),並根據類似模式將事件分組。

其中兩項偵測規則是根據機器學習模型:

  • Advanced API Scraper
  • 進階異常偵測