حماية واجهات برمجة التطبيقات من الروبوتات

قم بحماية واجهات برمجة التطبيقات من روبوتات التنقيب عن البيانات الضارة باستخدام السلوك المتقدم في السحابة المختلطة

الذكاء الاصطناعي للروبوتات: إدارة الزوار

الحماية من إساءة استخدام واجهة برمجة التطبيقات على الحافة

«من السهل تحديد المشكلة المركزية لحماية API. نظرًا لأن جميع الزيارات إلى واجهات برمجة التطبيقات مؤتمتة بحكم التعريف. لا تعمل البصمات البسيطة وكابتشا وغيرها من إجراءات تخفيف تأثير الروبوتات المستندة إلى جافا. إذا كانت واجهة برمجة التطبيقات الخاصة بك يتم استخراجها بشكل منهجي من البيانات وفقًا لشروط الخدمة الخاصة بك - يمكن للتعلم الآلي السلوكي لـ VerifiedVisitors اكتشاف ومنع إساءة استخدام هجمات الخدمة هذه - قبل أن تصل إلى واجهات برمجة التطبيقات الخاصة بك»

التحقق من حركة مرور الزوار على حافة الشبكة

استخدامات الزوار الذين تم التحقق منهم التعلم الآلي السلوكي لتحليل كل حركة المرور إلى واجهات برمجة التطبيقات الخاصة بك. يتيح لنا ذلك اكتشاف الأنماط النموذجية المرتبطة بإساءة استخدام شروط خدمة API الخاصة بك.


لنأخذ مثالاً نموذجيًا. لديك واجهة برمجة تطبيقات لتمكين عملائك من حساب رسوم الشحن الصحيحة لكل منتج. بالنسبة للعملاء الذين يدفعون، فإن سياسة الاستخدام المقبول هي أن شريك ecom يبحث عن عنوان العميل، إلى جانب العنصر ذي الصلة والوزن والعنوان البريدي وخدمة التوصيل المطلوبة. في أي يوم، قد تكون هذه المئات من عمليات البحث، ولكن الأهم من ذلك أن شريك ecom يقوم بإجراء بحث واحد فقط كجزء من المعاملة والتسعير النهائي.


الاستخدام التعسفي لواجهة برمجة التطبيقات هو عندما يزحف هجوم موزع يستخدم الآلاف من عناوين IP ووكلاء المستخدمين بشكل منهجي إلى كل منطقة بريدية ويستخرج جميع بيانات التسعير الخاصة بك - والتي يمكن استخدامها بعد ذلك من قبل منافسيك، أو حتى لتشغيل خدمة أخرى كجزء من مزيج من خدمات API.

تقليديًا، يكاد يكون من المستحيل اكتشاف هذا النوع من الهجمات. عليك فقط حدد معدل واجهة برمجة التطبيقات، وهو أمر سيئ لعملائك الشرعيين.

استراتيجيات إساءة استخدام API

ماذا نفعل اليوم؟

يخبرنا عملاؤنا أنه لن يتضح على الفور أن إساءة استخدام واجهة برمجة التطبيقات تحدث بالفعل. تميل حركة مرور API إلى التوسع بسرعة كبيرة ومن الصعب جدًا التمييز بين الاستخدام الشرعي وإساءة الاستخدام. غالبًا ما يكون الأمر «شعورًا بالحماس» - نعتقد فقط أن سوء المعاملة يحدث. قد تكون لدينا فترات انقطاع وأداء ضعيف بسبب زيادة مكالمات API.

عادةً ما يقوم مهندس السحابة المكلف بحل مشكلة إساءة استخدام واجهة برمجة التطبيقات بزيادة موارد النظام، والتأكد من أن واجهة برمجة التطبيقات لديها ما يكفي من الحوسبة المرنة للتوسع التلقائي للتعامل مع الاستخدام الإضافي للموارد من خلال استعلامات API المسيئة. أو قد يسيرون في الاتجاه المعاكس، وببساطة معدل الحد من الخدمة بأكملها.

في كلتا الحالتين - لن يحل المشكلة. لقد قمت فقط بزيادة فاتورة الاستضافة الشهرية دون سبب، أو تقييد الخدمة لجميع المستخدمين الشرعيين.

هناك خيار آخر يتمثل في مراجعة كل شريك من شركاء API بعناية، وفرض التسجيل، وإضافة التتبع على خدمة API، وإدارة عناوين IP الواردة. على الرغم من أنه ممكن تقنيًا، إلا أن العديد من واجهات برمجة التطبيقات لديها الآلاف من المستخدمين النهائيين وهذا النهج ببساطة غير عملي.

يمكن أيضًا استخدام جدران حماية API المتخصصة للحماية من إساءة استخدام واجهة برمجة التطبيقات. ومع ذلك، لا تعمل هذه التطبيقات على حافة الشبكة، ولا تزال حركة المرور المسيئة تصل إلى واجهة برمجة التطبيقات.

حماية الحافة السلوكية لواجهات برمجة التطبيقات.

كيف يمنع الزائرون الذين تم التحقق منهم إساءة استخدام واجهة برمجة التطبيقات؟

تستخدم بنية VerifiedVisitors الفريدة وكلاء أذكياء على حافة الشبكة، مع عمليات تكامل معتمدة مع Cloudflare و AWS Cloudfront في طبقة حافة الشبكة.

يتتبع نظامنا الذكي سلوك كل عميل يصل إلى واجهة برمجة التطبيقات الخاصة بك باستخدام خوارزميات التعلم الآلي المكتوبة لغرض صريح هو تتبع مكالمات API المسيئة. نحن نبني نمط توزيع للسلوك «العادي»، ونبحث عن التوزيعات التي يتم تمييزها بعدة أوامر من حيث الحجم، أو التي تنتهك ببساطة شروط الخدمة الحالية.

يمكننا بعد ذلك حظر تدفق حركة المرور المسيئة بالكامل ديناميكيًا - ببساطة منع الوصول إلى واجهة برمجة التطبيقات لحركة المرور المسيئة فقط. قد تختلف الأميال الخاصة بك، لكننا عادة ما نرى نسبة صغيرة من المستخدمين 1-2٪ الذين يقومون بالتنقيب عن البيانات بشكل منهجي.

التعلم الآلي - عرض مرئي لسلوك API