针对可疑活动采取措施

您正在查看 Apigee Edge 文档。
前往 Apigee X 文档
信息

您可以采取措施来拦截可疑请求,例如屏蔽请求或在 API 代理中标记请求以进行特殊处理。您还可以采取措施来明确允许来自特定 IP 地址的请求。

操作次数的统计方式

Apigee Sense 控制台中,您可以采取措施来明确允许、屏蔽或标记来自特定客户端的请求。Apigee Edge 会在 API 代理处理请求之前,对请求执行这些操作。通常,您采取措施是因为请求符合不良行为模式,或者(对于“允许”操作)是因为您要将某个客户端从您已采取的现有禁止操作中排除。

如需确定要针对哪些请求采取措施,您可以使用检测报告(在 Apigee Sense 控制台中,依次点击“检测”菜单和“报告”),以确定要屏蔽或标记的请求行为。例如,检测报告可能会列出一系列存在暴力破解行为的请求。您可以采取措施来屏蔽来自这些 IP 地址的请求。

您可以执行以下类型的操作。

操作 说明 优先顺序
允许 允许所选类别中的请求继续。您可以执行“允许”操作,以明确允许来自特定客户端 IP 地址的请求,即使其他操作可能会影响该 IP 地址。例如,您可能希望允许内部或合作伙伴客户端 IP 的请求,即使它们符合“不必要”行为。 1
屏蔽 屏蔽所选类别中的请求。如果您选择完全屏蔽请求,Apigee Edge 会使用 403 状态代码向客户端发出响应。 2
标志 标记所选类别中的请求,以便您在 API 代理代码中对其执行操作。当您为客户端请求标记时,Apigee Edge 会向请求添加一个值为 SENSEX-SENSE-BOT-DETECTED 标头。您的 API 代理可以根据此标头的存在情况做出响应,例如向客户端发送特定响应。 3

Apigee Sense 操作的优先顺序

Apigee Sense 会按优先级顺序应用操作,从“允许”到“屏蔽”再到“标记”。例如,如果为给定 IP 地址启用了“允许”和“屏蔽”操作,Apigee Sense 将应用“允许”操作并忽略“屏蔽”操作。

Apigee Sense 会强制执行优先级顺序,因为您可能会在不知情的情况下对 IP 地址应用多项操作。这是因为您通常针对与许多 IP 地址相关联的行为(例如屏蔽暴力猜测者)采取措施。如果您日后对单个 IP 地址执行其他操作(例如,单独指定一个友好的 IP 地址以允许访问),系统会为该 IP 地址启用基于行为的操作和基于单个 IP 地址的操作。不过,系统只会对来自给定 IP 地址的请求强制执行优先级最高的操作。

因此,虽然可以为 IP 地址启用这三种类型的操作,但“允许”操作的优先级高于“屏蔽”或“标记”操作。

确定要采取行动的请求和客户

在 Apigee Sense 控制台中,您可以按来源和可疑原因过滤和分组可疑客户。隔离所需群组后,您可以对该群组中的 IP 地址采取措施,例如屏蔽它们。

您可以按以下分区过滤可疑客户端:

分区 说明
单个聊天机器人原因 请求被认定为可疑的原因。如需详细了解原因,请参阅下文。
聊天机器人原因组 与一组一个或多个 IP 地址相关的一组原因。例如,分析可能发现了四个 IP 地址,其请求因以下三个原因而与条件相符。
国家/地区 请求的来源国家/地区。
自治系统组织 请求的来源 AS 组织。

原因

在分析 API 请求时,Apigee Sense 会使用用于确定请求行为是否可疑的条件来衡量请求。如果来自 IP 地址的请求符合可疑活动原因的条件,Apigee Sense 会在其控制台中报告这一点。

下表介绍了请求被识别为可疑请求的原因。在该门户中,您可以查看条件列表,并按这些原因过滤发出可疑请求的客户。

您还可以根据 API 使用需求自定义条件。如需了解详情,请参阅自定义检测规则

原因 捕获的行为
Brute Guessor 过去 24 小时内响应错误的比例较大
超出内容配额 由于内容配额超出,在 403 错误后发出其他请求
Content Robber 5 分钟内,少量 OAuth 会话产生大量流量
内容抓取器 在 5 分钟内调用了大量 URI
不同的操作系统 在 5 分钟内使用多个操作系统系列
不同的用户代理系列 在 5 分钟内使用多个用户代理系列
Flooder 5 分钟内来自 IP 的流量比例较高
Guessor 5 分钟内出现大量响应错误
Login Guessor 5 分钟内,少数 URI 收到大量流量
OAuth Abuser 过去 24 小时内少量用户代理的 OAuth 会话数量较多
OAuth 收集器 过去 24 小时内少量用户代理族的 OAuth 会话数量较多
OAuth Harvestor 5 分钟内,产生大量流量的 OAuth 会话数量较多
Robot Abuser 过去 24 小时内出现大量 403 拒绝错误
短时会话 OAuth 会话时长较短
静态内容爬取器 5 分钟内来自 IP 的响应载荷大小的比例较高
暴风雨 5 分钟内流量高峰较少
龙卷风 5 分钟内流量持续出现高峰
Tor 列表规则 IP 来自 TOR 项目,并且该 IP 触发了至少一条其他聊天机器人规则