针对可疑活动采取措施

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

您可以采取措施拦截可疑请求,例如阻止请求,或在 API 代理中对请求进行特殊处理。您也可以采取措施明确允许来自特定 IP 地址的请求。

操作次数的统计方式

Apigee Sense 控制台中,您可以采取行动明确允许、屏蔽或标记来自特定客户端的请求。Apigee Edge 会在您的 API 代理处理请求之前将这些操作应用于请求。通常,您之所以需要采取措施,要么是因为请求符合不必要的行为模式,或者是想在允许操作的情况下排除客户端,使之不让您执行已执行的现有禁止操作。

如需了解需要对哪些请求采取措施,您可以使用检测报告(在 Apigee Sense 控制台中,依次点击“检测”菜单和“报告”)来标识您希望屏蔽或标记的请求行为。例如,检测报告可能会列出一组请求表现出 Brute Guessor 行为。您可以采取措施来屏蔽来自这些 IP 地址的请求。

您可以执行以下类型的操作。

操作 说明 优先顺序
允许 允许所选类别中的请求继续。您可以执行“允许”操作来明确允许来自特定客户端 IP 地址的请求,尽管采取其他可能会影响 IP 地址的操作。例如,您可能想允许某个内部或合作伙伴客户端 IP 的请求,尽管这些请求符合“非预期”行为。 1
屏蔽 屏蔽所选类别中的请求。如果您选择完全屏蔽请求,Apigee Edge 会使用 403 状态代码响应客户端。 2
标志 标记所选类别中的请求,以便您可以在 API 代理代码中对这些请求采取措施。当您标记客户端请求时,Apigee Edge 会向请求添加一个值为 SENSEX-SENSE-BOT-DETECTED 标头。您的 API 代理可以根据此标头的存在做出响应,例如向客户端发送特定响应。 3

Apigee Sense 操作的优先级顺序

Apigee Sense 会按优先顺序应用操作,从允许到禁止再到标记。例如,如果给定的 IP 地址同时启用了“允许”和“屏蔽”操作,则 Apigee Sense 将应用“允许”操作并忽略“屏蔽”操作。

Apigee Sense 会强制执行优先顺序,因为您可以在没有意识到的情况下对一个 IP 地址执行多项操作。这是因为您通常会对具有关联多个 IP 地址的某种行为采取措施,例如阻止暴力猜测者。如果您以后对单个 IP 执行其他操作(例如,选出一个友好的 IP 地址以允许执行),则针对该 IP 应用的行为操作和单个 IP 应用的操作都会启用。不过,对于来自给定 IP 地址的请求,只会强制执行优先级最高的操作。

因此,虽然您可以针对 IP 地址启用所有三种类型的操作,但“允许”操作优先于“禁止”或“标记”操作。

确定需要采取措施的请求和客户端

在 Apigee Sense 控制台中,您可以按来源和可疑原因过滤和分组可疑客户端。隔离所需的群组后,您可以对该群组中的 IP 执行操作,例如屏蔽它们。

您可以按以下分区过滤可疑客户端:

分区 说明
单个聊天机器人的原因 请求可疑的原因。请参阅下文,详细了解原因。
聊天机器人原因组 与一组(一个或多个)IP 地址相关联的一组原因。例如,分析可能通过三个原因识别了四个 IP 地址,其请求符合相应条件。
国家/地区 发起请求的国家/地区。
自治系统组织 发出请求的 AS 组织。

原因

在分析 API 请求时,Apigee Sense 会使用可确定请求行为是否可疑的标准来衡量请求。如果来自该 IP 的请求符合表明可疑活动的原因的标准,Apigee Sense 会在控制台中报告这一情况。

下表描述了相应请求被认定为可疑请求的原因。在此门户中,您可以查看条件列表,并按这些原因过滤发出可疑请求的客户。

您还可以根据自己的 API 使用需求来自定义条件。如需了解详情,请参阅自定义检测规则

原因 捕获的行为
Brute Guessor 过去 24 小时内的响应错误比例更高
超出内容配额 403 错误后,因超出内容配额而产生的额外请求
内容抢劫者 5 分钟内没有出现大量流量的 OAuth 会话
内容爬虫程序 在 5 分钟内调用大量 URI
不同的操作系统 在 5 分钟内使用过多个操作系统系列
不同的用户代理系列 在 5 分钟内使用了多个用户代理系列
Flooder 在 5 分钟内来自 IP 的流量比例较高
猜测 5 分钟内收到大量响应错误
登录 Guessor 5 分钟内向少数 URI 发送大量流量
OAuth Abuser 过去 24 小时内有大量 OAuth 会话且用户代理较少
OAuth 收集器 过去 24 小时内有大量 OAuth 会话和少量用户代理系列
OAuth 收集器 5 分钟内具有大量流量的 OAuth 会话
Robot Abuser 过去 24 小时内 403 拒绝错误的数量较多
短期课程 大量的短 OAuth 会话
静态内容爬取器 5 分钟内来自 IP 的响应载荷大小所占比例较高
Storm 5 分钟内不会出现高峰流量
龙卷风 在 5 分钟内持续激增的流量
Tor 列表规则 IP 源自 TOR 项目,并且该 IP 至少触发了一条其他聊天机器人规则