הדף הזה רלוונטי ל-Apigee ול-Apigee Hybrid.
לעיון במסמכי התיעוד של
Apigee Edge
התכונה 'אבטחת API מתקדמת' משתמשת בכללי זיהוי כדי לזהות דפוסים חריגים בתנועת הנתונים של ה-API, שעשויים לייצג פעילות זדונית. הכללים האלה כוללים גם מודלים של למידת מכונה שאומנו על נתוני API אמיתיים, וגם כללים תיאוריים שמבוססים על סוגים ידועים של איומי API.
בטבלה הבאה מפורטים כללי הזיהוי והתיאורים שלהם.
| כלל זיהוי | תיאור |
|---|---|
מודל של למידת מכונה שמזהה גירוד נתונים מ-API, שהוא תהליך של חילוץ מידע ממוקד מ-API למטרות זדוניות. | |
| מודל למידת מכונה לזיהוי חריגות – דפוסים לא רגילים של אירועים – בתנועת נתונים של API. מידע נוסף על זיהוי אנומליות מתקדם | |
| Brute Guessor | שיעור גבוה של שגיאות בתגובה (4xx ו-5xx) במהלך 24 השעות האחרונות |
| Flooder | שיעור גבוה של תנועה מכתובת IP בחלון של 5 דקות |
| מנצל לרעה את OAuth | מספר גדול של סשנים של OAuth עם מספר קטן של סוכני משתמשים במהלך 24 השעות האחרונות |
| Robot Abuser | מספר גדול של שגיאות דחייה מסוג 403 ב-24 השעות האחרונות |
| Static Content Scraper | שיעור גבוה של גודל מטען התגובה מכתובת IP בחלון של 5 דקות |
| TorListRule | רשימת כתובות ה-IP של צמתי היציאה של Tor. צומת יציאה של Tor הוא הצומת האחרון של Tor שתעבורת הנתונים עוברת דרכו ברשת Tor לפני שהיא יוצאת לאינטרנט. זיהוי של צמתי יציאה של Tor מצביע על כך שנציג שלח תנועה לממשקי ה-API שלכם מרשת Tor, יכול להיות למטרות זדוניות. |
מידע על זיהוי אנומליות מתקדם
האלגוריתם המתקדם לזיהוי אנומליות לומד מהתנועה ב-API שלכם, תוך התחשבות בגורמים כמו שיעורי שגיאות, נפח תנועה, גודל בקשה, זמן אחזור, מיקום גיאוגרפי ומטא-נתונים אחרים של תנועה ברמת הסביבה. אם יש שינויים משמעותיים בדפוסי התנועה (לדוגמה, עלייה חדה בתנועה, בשיעורי השגיאות או בחביון), המודל מסמן את כתובת ה-IP שתרמה לאנומליה בתנועה שזוהתה.
אפשר גם לשלב זיהוי אנומליות עם פעולות אבטחה כדי לסמן אוטומטית תנועה שהמודל זיהה כאנומלית, או לחסום אותה. מידע נוסף זמין בפוסט בקהילה בנושא שימוש בפעולות אבטחה של Apigee Advanced API Security לסימון וחסימה של תנועה חשודה.
התנהגות המודל
כדי להפחית את הסיכון שגורמים זדוניים ינצלו את המודל, אנחנו לא חושפים פרטים ספציפיים על אופן הפעולה של המודל או על אופן זיהוי האירועים. עם זאת, המידע הנוסף הזה יכול לעזור לכם להפיק את המרב מזיהוי האנומליות:
- התחשבות בשונות עונתית: המודל מאומן על נתוני התנועה שלכם, ולכן הוא יכול לזהות שונות עונתית בתנועה (למשל, תנועה בתקופת החגים) ולהתחשב בה, אם נתוני התנועה כוללים נתונים קודמים לגבי הדפוס הזה, כמו נתונים לגבי אותו חג בשנה קודמת.
- הצגת אנומליות:
- ללקוחות קיימים של Apigee ולקוחות היברידיים: ב-Apigee מומלץ לצבור נתונים היסטוריים של תנועת API במשך שבועיים לפחות, ועדיף במשך 12 שבועות כדי לקבל תוצאות מדויקות יותר. התכונה 'זיהוי אנומליות מתקדם' מתחילה להציג אנומליות תוך שש שעות מהרגע שבו מפעילים את אימון המודל.
- משתמשי Apigee חדשים: המודל מתחיל להציג אנומליות 6 שעות אחרי ההצטרפות, אם יש לכם נתונים היסטוריים של שבועיים לפחות. עם זאת, מומלץ לנקוט משנה זהירות כשפועלים על סמך אנומליות שזוהו, עד שהמודל יצבור נתונים של 12 שבועות לפחות לצורך אימון. המודל עובר אימון באופן רציף על נתוני התנועה ההיסטוריים שלכם, כך שהדיוק שלו משתפר עם הזמן.
מגבלות
לזיהוי שימוש לרעה, זיהוי אנומליות מתקדם:
- המערכת מזהה חריגות ברמת הסביבה. בשלב הזה אין תמיכה בזיהוי אנומליות ברמת פרוקסי ספציפי.
- בשלב הזה, אין תמיכה בזיהוי אנומליות בקרב לקוחות VPC-SC.
למידת מכונה וכללי זיהוי
Advanced API Security משתמשת במודלים שנבנו באמצעות אלגוריתמים של למידת מכונה מבית Google כדי לזהות איומי אבטחה בממשקי ה-API. המודלים האלה עוברים אימון מראש על מערכי נתונים של תנועת API אמיתית (כולל נתוני התנועה הנוכחיים שלכם, אם האפשרות הזו מופעלת) שמכילים איומי אבטחה ידועים. כתוצאה מכך, המודלים לומדים לזהות דפוסי תנועה חריגים ב-API, כמו גירוד נתונים (scraping) של API ואנומליות, ומקבצים אירועים יחד על סמך דפוסים דומים.
שניים מכללי הזיהוי מבוססים על מודלים של למידת מכונה:
- Advanced API Scraper
- זיהוי אנומליות מתקדם