Diese Seite gilt für Apigee und Apigee Hybrid.
Apigee Edge-Dokumentation aufrufen
Advanced API Security verwendet Erkennungsregeln, um ungewöhnliche Muster im API-Traffic zu erkennen, die schädliche Aktivitäten darstellen könnten. Diese Regeln umfassen sowohl Modelle für maschinelles Lernen, die mit echten API-Daten trainiert wurden, als auch beschreibende Regeln, die auf bekannten Arten von API-Bedrohungen basieren.
In der folgenden Tabelle sind die Erkennungsregeln und ihre Beschreibungen aufgeführt.
| Erkennungsregel | Beschreibung |
|---|---|
Ein Modell für maschinelles Lernen, das API-Scraping erkennt, also das Extrahieren von Zielinformationen aus APIs für böswillige Zwecke. | |
| Ein Modell für maschinelles Lernen zur Erkennung von Anomalien – ungewöhnlichen Mustern in API-Traffic. Weitere Informationen finden Sie unter Informationen zur erweiterten Anomalieerkennung. | |
| Brute Guessor | Hoher Anteil an Antwortfehlern (4xx und 5xx) in den letzten 24 Stunden |
| Flooder | Hoher Anteil an Traffic von einer IP-Adresse in einem 5-Minuten-Fenster |
| OAuth Abuser | Große Anzahl der OAuth-Sitzungen mit einer kleinen Anzahl von User-Agents in den letzten 24 Stunden |
| Roboter-Nutzer | Große Anzahl von 403-Ablehnungsfehlern in den letzten 24 Stunden |
| Static Content Scraper | Hoher Anteil der Antwortnutzlastgröße von einer IP-Adresse in einem 5-Minuten-Fenster |
| TorListRule | Tor-Ausgangsknoten-IP-Liste Ein Tor-Ausgangsknoten ist der letzte Tor-Knoten, der Traffic im Tor-Netzwerk durchläuft, bevor er ins Internet wechselt. Die Erkennung von Tor-Ausgangsknoten weist darauf hin, dass ein Agent Traffic über das Tor-Netzwerk an Ihre APIs gesendet hat, möglicherweise zu böswilligen Zwecken. |
Informationen zur erweiterten Anomalieerkennung
Der Algorithmus für die erweiterte Anomalieerkennung lernt aus Ihrem API-Traffic und berücksichtigt dabei Faktoren wie Fehlerraten, Traffic-Volumen, Anfragengröße, Latenz, geografische Position und andere Traffic Metadaten auf Umgebungsebene. Wenn es erhebliche Veränderungen bei den Traffic-Mustern gibt (for example, a surge in traffic, error rates, or latency), kennzeichnet das Modell die IP-Adresse, die zur Anomalie beigetragen hat, in „Erkannter Traffic“.
Sie können die Anomalieerkennung auch mit Sicherheitsaktionen kombinieren, um Traffic, der vom Modell als anomal erkannt wird, automatisch zu kennzeichnen oder abzulehnen. Weitere Informationen finden Sie im Community-Beitrag "Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic".
Modellverhalten
Um das Risiko zu verringern, dass böswillige Akteure das Modell ausnutzen können, geben wir keine genauen Details zur Funktionsweise des Modells oder zur Erkennung von Vorfällen an. Diese zusätzlichen Informationen können Ihnen jedoch helfen, die Anomalieerkennung optimal zu nutzen:
- Berücksichtigung saisonaler Schwankungen:Da das Modell mit Ihren Traffic-Daten trainiert wird, kann es saisonale Traffic-Schwankungen (z. B. Feiertags-Traffic) erkennen und berücksichtigen, wenn Ihre Traffic-Daten frühere Daten für dieses Muster enthalten, z. B. für denselben Feiertag in einem früheren Jahr.
- Anomalien erkennen :
- Für bestehende Apigee- und Hybrid-Kunden: Apigee empfiehlt, mindestens zwei Wochen an bisherigen API-Traffic-Daten zu haben. Für genauere Ergebnisse sind zwölf Wochen an bisherigen Daten vorzuziehen. Die erweiterte Anomalieerkennung beginnt innerhalb von sechs Stunden nach der Zustimmung zum Modelltraining mit der Erkennung von Anomalien.
- Neue Apigee-Nutzer: Das Modell beginnt sechs Stunden nach der Zustimmung mit der Erkennung von Anomalien, wenn Sie mindestens zwei Wochen an bisherigen Daten haben. Wir empfehlen jedoch, bei Maßnahmen aufgrund erkannter Anomalien Vorsicht walten zu lassen, bis das Modell mindestens zwölf Wochen an Daten für das Training hat. Das Modell wird kontinuierlich mit Ihren bisherigen Traffic-Daten trainiert, sodass es mit der Zeit genauer wird.
Beschränkungen
Für die erweiterte Anomalieerkennung zur Missbrauchserkennung gilt Folgendes:
- Anomalien werden auf Umgebungsebene erkannt. Die Anomalieerkennung auf der Ebene einzelner Proxys wird derzeit nicht unterstützt.
- Die Anomalieerkennung wird derzeit nicht für VPC-SC Kunden unterstützt.
Maschinelles Lernen und Erkennungsregeln
Advanced API Security verwendet Modelle, die mit den Algorithmen für maschinelles Lernen von Google erstellt wurden, um Sicherheitsbedrohungen für Ihre APIs zu erkennen. Diese Modelle werden mit echten API-Traffic-Datasets (einschließlich Ihrer aktuellen Traffic-Daten, falls aktiviert) vortrainiert, die bekannte Sicherheitsbedrohungen enthalten. Dadurch lernen die Modelle, ungewöhnliche API-Traffic-Muster, wie API-Scraping und Anomalien, sowie Clusterereignisse anhand ähnlicher Muster zu erkennen.
Zwei der Erkennungsregeln basieren auf Modellen für maschinelles Lernen:
- Advanced API Scraper
- Advanced Anomaly Detection