本頁內容適用於 Apigee 和 Apigee Hybrid。
查看
Apigee Edge 說明文件。
Advanced API Security 會使用偵測規則,找出 API 流量中可能代表惡意活動的異常模式。這些規則結合下列偵測方式:以實際 API 資料訓練的機器學習模型,以及依據已知 API 威脅類型建立的描述性規則。
下表列出偵測規則和說明。
| 偵測規則 | 說明 |
|---|---|
機器學習模型,可偵測 API 網頁抓取行為,也就是從 API 擷取特定資訊以達到惡意目的的過程。 | |
| 機器學習模型,用於偵測 API 流量中的異常狀況 (異常事件模式)。請參閱「關於進階異常偵測」。 | |
| 暴力破解者 | 過去 24 小時內,回應錯誤 (4xx 和 5xx) 的比例偏高 |
| 洪水攻擊者 | 在 5 分鐘內,來自某個 IP 位址的流量比例偏高 |
| OAuth 濫用者 | 過去 24 小時內,有大量 OAuth 工作階段,但使用者代理程式數量很少 |
| 機器人濫用者 | 過去 24 小時內發生大量 403 拒絕錯誤 |
| 靜態內容抓取者 | 在 5 分鐘內,來自某個 IP 位址的回應酬載大小比例偏高 |
| TorListRule | Tor 結束節點 IP 清單。Tor 結束節點是流量在 Tor 網路中通過的最後一個 Tor 節點,之後流量會離開網路。偵測到 Tor 結束節點,表示代理程式已從 Tor 網路將流量傳送至您的 API,可能用於惡意用途。 |
關於進階異常偵測
Advanced Anomaly Detection 演算法會考量環境層級的錯誤率、流量、要求大小、延遲時間、地理位置和其他流量中繼資料等因素,從 API 流量中學習。如果流量模式出現顯著變化 (例如流量、錯誤率或延遲時間突然增加),模型會將導致「偵測到的流量」出現異常的 IP 位址標示出來。
您也可以將異常偵測與安全性動作結合,自動標記或拒絕模型偵測到的異常流量。詳情請參閱「 "Using Apigee Advanced API Security's Security Actions to Flag and Block Suspicious Traffic" community post」社群貼文。
模型行為
為降低惡意行為者利用模型發動攻擊的風險,我們不會公開模型的運作方式或事件偵測方式等具體細節。不過,這些額外資訊有助於您充分運用異常偵測功能:
- 考量季節性差異:由於模型是根據您的流量資料訓練而成,因此如果流量資料包含該模式的先前資料 (例如前一年的相同節慶),模型就能辨識並考量季節性流量差異 (例如節慶流量)。
- 顯示異常狀況:
- 現有 Apigee 和混合式客戶:Apigee 建議您提供至少 2 週的歷來 API 流量資料,如要取得更準確的結果,最好提供 12 週的歷來資料。啟用模型訓練後,進階異常偵測功能會在六小時內開始顯示異常狀況。
- Apigee 新使用者:如果歷來資料至少有 2 週,模型會在選擇加入後 6 小時開始顯示異常狀況。不過,在模型至少有 12 週的訓練資料前,建議您謹慎處理偵測到的異常狀況。我們會持續使用過往流量資料訓練模型,因此模型會隨著時間變得更加準確。
限制
如要使用「濫用偵測進階異常偵測」功能:
- 系統會在環境層級偵測異常狀況。目前不支援在個別 Proxy 層級進行異常偵測。
- 目前不支援 VPC-SC 客戶使用異常偵測功能。
機器學習和偵測規則
Advanced API Security 會使用 Google 機器學習演算法建構的模型,偵測 API 的安全威脅。這些模型會預先以實際 API 流量資料集 (包括您目前的流量資料,如果已啟用) 訓練,其中包含已知的安全威脅。因此,模型會學習辨識異常的 API 流量模式 (例如 API 抓取和異常狀況),並根據類似模式將事件歸類在一起。
其中兩項偵測規則是以機器學習模型為基礎:
- 進階 API 抓取者
- 進階異常偵測