› › ›

大量 Token 计数和较大响应大小造成的潜在资源滥用

编辑

大量 Token 计数和较大响应大小造成的潜在资源滥用编辑

通过监控持续生成大量输入 Token 计数、提交大量请求以及接收大量响应的用户，检测潜在的资源耗尽或数据泄露企图。此类行为可能表明有人试图使系统过载或提取异常大量的数据，这可能会泄露敏感信息或导致服务中断。

规则类型: esql

规则索引: 无

严重程度: 中等

风险评分: 47

运行间隔: 10 分钟

搜索索引的时间范围: now-60m (日期数学格式，另请参阅 额外回溯时间)

每次执行的最大警报数: 100

参考:

标签:

域: LLM
数据源: AWS Bedrock
数据源: Amazon Web Services
数据源: AWS S3
用例: 潜在过载
用例: 资源耗尽
Mitre Atlas: LLM04

版本: 1

规则作者:

Elastic

规则许可证: Elastic 许可证 v2

设置编辑

设置

此规则要求在 AWS Bedrock 中配置防护栏。有关更多信息，请参阅 AWS Bedrock 文档

https://docs.aws.amazon.com/bedrock/latest/userguide/guardrails-create.html

规则查询编辑

from logs-aws_bedrock.invocation-*
| stats max_tokens = max(gen_ai.usage.prompt_tokens),
         total_requests = count(*),
         avg_response_size = avg(gen_ai.usage.completion_tokens)
  by user.id
// tokens count depends on specific LLM, as is related to how embeddings are generated.
| where max_tokens > 5000 and total_requests > 10 and avg_response_size > 500
| eval risk_factor = (max_tokens / 1000) * total_requests * (avg_response_size / 500)
| where risk_factor > 10
| sort risk_factor desc

« 潜在的 AWS S3 存储桶勒索软件上传说明潜在的管理员组帐户添加 »