הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
התכונה 'Advanced API Security' משתמשת בכללי זיהוי כדי לזהות דפוסים חריגים בתנועת ה-API, שיכולים להצביע על פעילות זדונית. הכללים האלה כוללים גם מודלים של למידת מכונה שאומנו על נתוני API אמיתיים, וגם כללים תיאוריים שמבוססים על סוגים מוכרים של איומי API.
בטבלה הבאה מפורטים כללי הזיהוי והתיאורים שלהם.
| כלל זיהוי | תיאור |
|---|---|
מודל של למידת מכונה שמזהה גירוד נתונים מ-API, שהוא תהליך של חילוץ מידע ממוקד מ-API למטרות זדוניות. | |
| מודל של למידת מכונה לזיהוי אנומליות – דפוסים חריגים של אירועים – בתנועת נתונים של API. מידע נוסף זמין במאמר מידע על זיהוי אנומליות מתקדם. | |
| Brute Guessor | שיעור גבוה של שגיאות בתגובה (4xx ו-5xx) במהלך 24 השעות האחרונות |
| Flooder | שיעור גבוה של תנועה מכתובת IP בחלון של 5 דקות |
| מנצל לרעה את OAuth | מספר גדול של סשנים של OAuth עם מספר קטן של סוכני משתמשים במהלך 24 השעות האחרונות |
| Robot Abuser | מספר גדול של שגיאות דחייה מסוג 403 ב-24 השעות האחרונות |
| Static Content Scraper | שיעור גבוה של גודל מטען התגובה מכתובת IP בחלון של 5 דקות |
| TorListRule | רשימת כתובות ה-IP של צמתי יציאה של Tor. צומת יציאה של Tor הוא הצומת האחרון של Tor שתעבורת נתונים עוברת דרכו ברשת Tor לפני שהיא יוצאת לאינטרנט. זיהוי של צמתי יציאה של Tor מצביע על כך שסוכן שלח תעבורת נתונים לממשקי ה-API שלכם מרשת Tor, יכול להיות למטרות זדוניות. |
מידע על זיהוי אנומליות מתקדם
האלגוריתם המתקדם לזיהוי אנומליות לומד מתנועת ה-API שלכם, תוך התחשבות בגורמים כמו שיעורי שגיאות, נפח תנועה, גודל בקשה, חביון, מיקום גיאוגרפי ומטא-נתונים אחרים של תנועה ברמת הסביבה. אם יש שינויים משמעותיים בדפוסי התנועה (לדוגמה, עלייה חדה בתנועה, בשיעורי השגיאות או בחביון), המודל מסמן את כתובת ה-IP שתרמה לאנומליה בתנועה שזוהתה.
אפשר גם לשלב זיהוי אנומליות עם פעולות אבטחה כדי לסמן אוטומטית תנועה שהמודל מזהה כאנומלית, או לחסום אותה. מידע נוסף זמין ב פוסט הזה בקהילה בנושא שימוש בפעולות אבטחה של Apigee Advanced API Security כדי לסמן ולחסום תנועה חשודה.
התנהגות המודל
כדי לצמצם את הסיכון שגורמים זדוניים ינצלו את המודל, אנחנו לא חושפים פרטים ספציפיים על אופן הפעולה של המודל או על אופן הזיהוי של אירועים. עם זאת, המידע הנוסף הזה יכול לעזור לכם להפיק את המרב מזיהוי האנומליות:
- התחשבות בשונות עונתית: המודל מאומן על נתוני התנועה שלכם, ולכן הוא יכול לזהות שונות עונתית בתנועה (למשל, תנועה בתקופת החגים) ולהתחשב בה, אם נתוני התנועה כוללים נתונים קודמים לגבי הדפוס הזה, כמו נתונים לגבי אותו חג בשנה קודמת.
- הצגת אנומליות:
- ללקוחות קיימים של Apigee ולקוחות היברידיים: ב-Apigee מומלץ לצבור נתונים של תנועת API היסטורית במשך שבועיים לפחות, ועדיף לצבור נתונים היסטוריים במשך 12 שבועות כדי לקבל תוצאות מדויקות יותר. התכונה 'זיהוי מתקדם של אנומליות' מתחילה להציג אנומליות תוך שש שעות מהרגע שבו מפעילים את אימון המודל.
- משתמשים חדשים ב-Apigee: המודל מתחיל להציג אנומליות 6 שעות אחרי ההצטרפות, אם יש לכם נתונים היסטוריים של שבועיים לפחות. עם זאת, מומלץ לנקוט משנה זהירות כשפועלים על סמך אנומליות שזוהו, עד שהמודל יצבור נתונים של 12 שבועות לפחות לצורך אימון. המודל עובר אימון באופן רציף על נתוני התנועה ההיסטוריים שלכם, כך שהדיוק שלו משתפר עם הזמן.
מגבלות
בזיהוי מתקדם של אנומליות לזיהוי התנהלות פוגעת, האנומליות מזוהות ברמת הסביבה. בשלב הזה זיהוי אנומליות ברמת פרוקסי ספציפי לא אפשרי.
למידת מכונה וכללי זיהוי
התכונה 'Advanced API Security' משתמשת במודלים שנבנו באמצעות אלגוריתמים של למידת מכונה של Google כדי לזהות איומי אבטחה ב-API. המודלים האלה מאומנים מראש על מערכי נתונים של תנועת API אמיתית (כולל נתוני התנועה הנוכחיים שלכם, אם האפשרות הזו מופעלת) שמכילים איומי אבטחה ידועים. כתוצאה מכך, המודלים לומדים לזהות דפוסי תנועה חריגים ב-API, כמו גירוד נתונים מ-API ואנומליות, ומקבצים אירועים יחד על סמך דפוסים דומים.
שניים מכללי הזיהוי מבוססים על מודלים של למידת מכונה:
- Advanced API Scraper
- זיהוי אנומליות מתקדם