CN113722740A - 一种基于接口画像的水平越权访问敏感数据风险的检测方法 - Google Patents

一种基于接口画像的水平越权访问敏感数据风险的检测方法 Download PDF

Info

Publication number
CN113722740A
CN113722740A CN202111039228.8A CN202111039228A CN113722740A CN 113722740 A CN113722740 A CN 113722740A CN 202111039228 A CN202111039228 A CN 202111039228A CN 113722740 A CN113722740 A CN 113722740A
Authority
CN
China
Prior art keywords
event
interface
risk
sensitive data
real
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111039228.8A
Other languages
English (en)
Other versions
CN113722740B (zh
Inventor
栾尚聪
杨梦月
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Quanzhi Technology Hangzhou Co ltd
Original Assignee
Quanzhi Technology Hangzhou Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Quanzhi Technology Hangzhou Co ltd filed Critical Quanzhi Technology Hangzhou Co ltd
Priority to CN202111039228.8A priority Critical patent/CN113722740B/zh
Publication of CN113722740A publication Critical patent/CN113722740A/zh
Application granted granted Critical
Publication of CN113722740B publication Critical patent/CN113722740B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种基于接口画像的水平越权访问敏感数据风险的检测方法,涉及通信技术领域,解决了目前由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上,其与正常用户发起的正常请求特征无明显差异,因此传统的安全产品无法实现有效检测的技术问题。本技术方案包括离线接口画像过程和实时风险检测过程,离线接口画像过程依据水平越权接口的访问特征,识别出可能存在水平越权风险的接口及其调用上下文信息,实时风险检测过程将基于本过程提供的信息进行风险评估。本发明通过分析WEB流量事件有效检测其中涉及的水平越权访问敏感数据行为风险,具备高准确性的实时水平越权访问敏感数据风险的检测逻辑。

Description

一种基于接口画像的水平越权访问敏感数据风险的检测方法
技术领域
本发明涉及通信技术领域,具体涉及一种基于接口画像的水平越权访问敏感数据风险的检测方法。
背景技术
API接口(Application Programming Interface)是一种用于应用程序之间交互通信的计算接口,定义了调用规则以及数据格式相关信息。应用程序之间通过API接口互相调用,调用关系反映了业务逻辑。API接口在设计及实现环节可能存在各种各样的逻辑缺陷,从而允许被攻击者恶意利用,对系统安全和业务安全造成损害,水平越权问题是API接口逻辑缺陷中最常见的一类,水平越权访问敏感数据行为是针对该类逻辑缺陷的而实施的攻击行为。攻击者常通过发起此类攻击获取敏感业务数据,包括但不限于用户信息、订单信息、金融信息等。由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上,其与正常用户发起的正常请求特征无明显差异,因此传统的安全产品无法实现有效检测。
发明内容
本发明的目的是提供一种基于接口画像的水平越权访问敏感数据风险的检测方法,通过接口特征自动学习获取接口画像,并根据接口画像实时发现水平越权访问敏感数据的行为。
为了实现上述目的,本发明提供如下技术方案:一种基于接口画像的水平越权访问敏感数据风险的检测方法,包括离线接口画像过程和实时风险检测过程,具体如下:
S1.离线接口画像过程:
S1-1:从用户主体维度,对历史流量进行数据聚合操作,从而获得用户主体维度的流量事件分组;
S1-2:对于经上一步所获得的用户主体维度的流量事件分组,对分组内的流量事件按照时间顺序生序排序;
S1-3:对于经上一步所获得的排序后的用户主体维度的流量事件分组,对流量事件分组中的每一个流量事件,基于流量事件的请求和响应,识别其是否满足允许水平越权访问敏感数据风险发生的条件;
S1-4:对于经S1-2步骤中所获得的排序后的用户主体维度的流量事件分组,以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件,分析该事件的上下文调用关系,如果在该流量事件发生之前,存在前序流量事件总是返回该流量事件请求的可遍历特征的参数,将该流量事件对应的接口,标记为监控接口,并将相关信息作为该监控接口的画像信息进行保存,以备在实时风险检测过程中使用;
S2.实时风险检测过程:
S2-1:获取实时流量事件及其接口,从画像数据库中根据其接口查询该接口是否被标记为监控接口,如果该接口未被标记为监控接口,对该流量事件的分析过程结束,否则进行下一步;
S2-2:分析该实时流量事件的响应中是否包含敏感数据,如果该实时流量事件的响应中不包含敏感数据,对该流量事件的分析过程结束,否则进行下一步;
S2-3:根据画像数据库的接口前序调用信息,从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件,如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件,则进行风险告警,否则进入下一步;
S2-4:根据上一步查询得到的该实时流量事件用户主体维度的前序调用事件,逐个分析前序调用事件的响应中是否包含当前实时流量事件的请求中的可遍历参数,如果存在任意一个前序调用事件的响应包含当前实时流量事件的请求中的可遍历参数,分析过程结束,否则进行风险告警。
优选的:
所述的步骤S1-1中,用户主体通过流量客户端IP地址、Cookies等在粗力度区分不同用户身份的信息或通过用户账号名、用户Id等细粒度区分不同用户身份的信息。
所述的步骤S1-3中,水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数和流量事件的响应中是否包含敏感数据。
结合参数语义分析算法,评估事件遍历特征的参数和响应中敏感数据的对应关系。
所述的步骤S2-3中,对历史流量数据库查询事件范围进行限定。
本发明所描述的一种新型的、完整的基于接口画像的水平越权访问敏感数据风险的检测方法,通过分析WEB流量事件有效检测其中涉及的水平越权访问敏感数据行为风险,具备高准确性的实时水平越权访问敏感数据风险的检测逻辑,并且包含接口自动学习,无需任何手动配置过程。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1为本发明检测方法的流程图;
图2为本发明离线接口画像过程流程图;
图3为本发明实时风险检测过程流程图。
具体实施方式
为了使本领域的技术人员更好地理解本发明的技术方案,下面将结合附图对本发明作进一步的详细介绍。
本发明提供了如附图1所示的一种基于接口画像的水平越权访问敏感数据风险的检测方法,本实施例主要涉及两个过程,离线接口画像过程和实时风险检测过程。
一、离线接口画像过程
在实际业务应用环境中,并非所有的API接口都存在水平越权风险。为了提高检测性能及告警准确性,本过程依据水平越权接口的访问特征,识别出可能存在水平越权风险的接口及其调用上下文信息。实时风险检测过程将基于本过程提供的信息进行风险评估。参考附图2描述了本专利提出的离线接口画像过程的关键步骤,关键主要分为以下4步:
S1-1:从用户主体维度,对历史流量进行数据聚合操作,从而获得用户主体维度的流量事件分组。用户主体可以为流量客户端IP地址、Cookies等在粗力度区分不同用户身份的信息,也可以为用户账号名、用户Id等细粒度区分不同用户身份的信息;
S1-2:对于经上一步所获得的用户主体维度的流量事件分组,对分组内的流量事件按照时间顺序生序排序。该步骤的目的将保证在后续步骤中针对接口调用顺序的分析更加准确;
S1-3:对于经上一步所获得的排序后的用户主体维度的流量事件分组,对流量事件分组中的每一个流量事件,基于流量事件的请求和响应,识别其是否满足允许水平越权访问敏感数据风险发生的条件。水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数、流量事件的响应中是否包含敏感数据等。可选的,可以进一步结合参数语义分析算法,评估事件可遍历特征的参数和响应中敏感数据的对应关系,进一步提高该风险发生条件判定的准确性。
S1-4:对于经S1-2步骤中所获得的排序后的用户主体维度的流量事件分组,以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件,分析该事件的上下文调用关系。如果在该流量事件发生之前,存在前序流量事件总是返回该流量事件请求的可遍历特征的参数,将该流量事件对应的接口,标记为监控接口,并将相关信息作为该监控接口的画像信息进行保存,以备在实时风险检测过程中使用。
二、实时风险检测过程
实时风险检测过程基于离线接口画像过程的画像信息,针对实时流量事件进行水平越权访问敏感数据风险的评估和发现。参考附图3描述了本专利提出的实时风险检测过程的关键步骤,关键主要分为以下4步:
S2-1:获取实时流量事件及其接口,从画像数据库中根据其接口查询该接口是否被标记为监控接口。如果该接口未被标记为监控接口,对该流量事件的分析过程结束,否则进行下一步;
S2-2:分析该实时流量事件的响应中是否包含敏感数据。如果该实时流量事件的响应中不包含敏感数据,对该流量事件的分析过程结束,否则进行下一步;
S2-3:根据画像数据库的接口前序调用信息,从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件。在实际情况下,作为性能优化目标的可选方式,可以限定历史流量数据库查询事件范围。如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件,则进行风险告警,否则进入下一步;
S2-4:根据上一步查询得到的该实时流量事件用户主体维度的前序调用事件,逐个分析前序调用事件的响应中是否包含当前实时流量事件的请求中的可遍历参数。如果存在任意一个前序调用事件的响应包含当前实时流量事件的请求中的可遍历参数,分析过程结束,否则进行风险告警。
以上只通过说明的方式描述了本发明的某些示范性实施例,毋庸置疑,对于本领域的普通技术人员,在不偏离本发明的精神和范围的情况下,可以用各种不同的方式对所描述的实施例进行修正。因此,上述附图和描述在本质上是说明性的,不应理解为对本发明权利要求保护范围的限制。

Claims (5)

1.一种基于接口画像的水平越权访问敏感数据风险的检测方法,其特征在于,包括离线接口画像过程和实时风险检测过程,具体如下:
S1.离线接口画像过程:
S1-1:从用户主体维度,对历史流量进行数据聚合操作,从而获得用户主体维度的流量事件分组;
S1-2:对于经上一步所获得的用户主体维度的流量事件分组,对分组内的流量事件按照时间顺序生序排序;
S1-3:对于经上一步所获得的排序后的用户主体维度的流量事件分组,对流量事件分组中的每一个流量事件,基于流量事件的请求和响应,识别其是否满足允许水平越权访问敏感数据风险发生的条件;
S1-4:对于经S1-2步骤中所获得的排序后的用户主体维度的流量事件分组,以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件,分析该事件的上下文调用关系,如果在该流量事件发生之前,存在前序流量事件总是返回该流量事件请求的可遍历特征的参数,将该流量事件对应的接口,标记为监控接口,并将相关信息作为该监控接口的画像信息进行保存,以备在实时风险检测过程中使用;
S2.实时风险检测过程:
S2-1:获取实时流量事件及其接口,从画像数据库中根据其接口查询该接口是否被标记为监控接口,如果该接口未被标记为监控接口,对该流量事件的分析过程结束,否则进行下一步;
S2-2:分析该实时流量事件的响应中是否包含敏感数据,如果该实时流量事件的响应中不包含敏感数据,对该流量事件的分析过程结束,否则进行下一步;
S2-3:根据画像数据库的接口前序调用信息,从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件,如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件,则进行风险告警,否则进入下一步;
S2-4:根据上一步查询得到的该实时流量事件用户主体维度的前序调用事件,逐个分析前序调用事件的响应中是否包含当前实时流量事件的请求中的可遍历参数,如果存在任意一个前序调用事件的响应包含当前实时流量事件的请求中的可遍历参数,分析过程结束,否则进行风险告警。
2.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法,其特征在于:所述的步骤S1-1中,用户主体通过流量客户端IP地址、Cookies等在粗力度区分不同用户身份的信息或通过用户账号名、用户Id等细粒度区分不同用户身份的信息。
3.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法,其特征在于:所述的步骤S1-3中,水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数和流量事件的响应中是否包含敏感数据。
4.根据权利要求3所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法,其特征在于:结合参数语义分析算法,评估事件遍历特征的参数和响应中敏感数据的对应关系。
5.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法,其特征在于:所述的步骤S2-3中,对历史流量数据库查询事件范围进行限定。
CN202111039228.8A 2021-09-06 2021-09-06 一种基于接口画像的水平越权访问敏感数据风险的检测方法 Active CN113722740B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111039228.8A CN113722740B (zh) 2021-09-06 2021-09-06 一种基于接口画像的水平越权访问敏感数据风险的检测方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111039228.8A CN113722740B (zh) 2021-09-06 2021-09-06 一种基于接口画像的水平越权访问敏感数据风险的检测方法

Publications (2)

Publication Number Publication Date
CN113722740A true CN113722740A (zh) 2021-11-30
CN113722740B CN113722740B (zh) 2023-07-28

Family

ID=78681879

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111039228.8A Active CN113722740B (zh) 2021-09-06 2021-09-06 一种基于接口画像的水平越权访问敏感数据风险的检测方法

Country Status (1)

Country Link
CN (1) CN113722740B (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553516A (zh) * 2022-02-18 2022-05-27 支付宝(杭州)信息技术有限公司 一种数据的处理方法、装置及设备
CN115604000A (zh) * 2022-10-12 2023-01-13 中国电信股份有限公司(Cn) 一种越权检测方法、装置、设备及存储介质

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9516053B1 (en) * 2015-08-31 2016-12-06 Splunk Inc. Network security threat detection by user/user-entity behavioral analysis
CN111209565A (zh) * 2020-01-08 2020-05-29 招商银行股份有限公司 水平越权漏洞检测方法、设备及计算机可读存储介质
CN112417477A (zh) * 2020-11-24 2021-02-26 恒安嘉新(北京)科技股份公司 一种数据安全监测方法、装置、设备及存储介质
CN112787992A (zh) * 2020-12-17 2021-05-11 福建新大陆软件工程有限公司 一种敏感数据的检测与防护的方法、装置、设备和介质
US20210152555A1 (en) * 2019-11-20 2021-05-20 Royal Bank Of Canada System and method for unauthorized activity detection
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9516053B1 (en) * 2015-08-31 2016-12-06 Splunk Inc. Network security threat detection by user/user-entity behavioral analysis
US20210152555A1 (en) * 2019-11-20 2021-05-20 Royal Bank Of Canada System and method for unauthorized activity detection
CN111209565A (zh) * 2020-01-08 2020-05-29 招商银行股份有限公司 水平越权漏洞检测方法、设备及计算机可读存储介质
CN112417477A (zh) * 2020-11-24 2021-02-26 恒安嘉新(北京)科技股份公司 一种数据安全监测方法、装置、设备及存储介质
CN112787992A (zh) * 2020-12-17 2021-05-11 福建新大陆软件工程有限公司 一种敏感数据的检测与防护的方法、装置、设备和介质
CN113079143A (zh) * 2021-03-24 2021-07-06 北京锐驰信安技术有限公司 一种基于流数据的异常检测方法及系统

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114553516A (zh) * 2022-02-18 2022-05-27 支付宝(杭州)信息技术有限公司 一种数据的处理方法、装置及设备
CN115604000A (zh) * 2022-10-12 2023-01-13 中国电信股份有限公司(Cn) 一种越权检测方法、装置、设备及存储介质
CN115604000B (zh) * 2022-10-12 2023-11-21 中国电信股份有限公司 一种越权检测方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN113722740B (zh) 2023-07-28

Similar Documents

Publication Publication Date Title
CN112787992B (zh) 一种敏感数据的检测与防护的方法、装置、设备和介质
CN107749859B (zh) 一种面向网络加密流量的恶意移动应用检测方法
CN113722740B (zh) 一种基于接口画像的水平越权访问敏感数据风险的检测方法
KR101544322B1 (ko) 시각화를 이용한 악성 코드 탐지 시스템과 방법
CN112788066B (zh) 物联网设备的异常流量检测方法、系统及存储介质
CN110138770B (zh) 一种基于物联网威胁情报生成和共享系统及方法
CN109347880A (zh) 一种安全防护方法、装置及系统
KR20190010956A (ko) 지능형 보안로그 분석방법
CN112118249B (zh) 基于日志和防火墙的安全防护方法及装置
CN113904795B (zh) 一种基于网络安全探针的流量快速精确检测方法
CN111970233B (zh) 一种网络违规外联场景的分析识别方法
CN110798353B (zh) 基于行为特征大数据分析的网络行为风险感知及防御方法
CN115883223A (zh) 用户风险画像的生成方法及装置、电子设备、存储介质
CN111628961A (zh) 一种dns异常检测方法
CN114024734A (zh) 基于ueba的智能网络安全检测分析系统
CN109190408B (zh) 一种数据信息的安全处理方法及系统
CN112084239B (zh) 基于大数据特征模型识别的信令网络安全挖掘分析方法
CN114338233A (zh) 基于流量解析的网络攻击检测方法和系统
Qiu et al. Research on vehicle network intrusion detection technology based on dynamic data set
CN112637118A (zh) 基于内外网引流异常的流量分析实现方法
KR20060013120A (ko) 침입 탐지 경고 메시지의 연관성을 이용한 침입 탐지시각화 방법
CN112073426A (zh) 一种云防护环境下网站扫描检测方法、系统及设备
CN117376030B (zh) 流量异常检测方法、装置、计算机设备及可读存储介质
KR20140006408A (ko) 비정상 호스트의 비정상도 정량화 장치 및 그 방법
CN115688147B (zh) 地理信息系统数据保护方法、系统、设备、介质和芯片

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant