CN114297639A - 一种接口调用行为的监测方法、装置、电子设备及介质 - Google Patents
一种接口调用行为的监测方法、装置、电子设备及介质 Download PDFInfo
- Publication number
- CN114297639A CN114297639A CN202111633875.1A CN202111633875A CN114297639A CN 114297639 A CN114297639 A CN 114297639A CN 202111633875 A CN202111633875 A CN 202111633875A CN 114297639 A CN114297639 A CN 114297639A
- Authority
- CN
- China
- Prior art keywords
- interface
- behavior
- interface calling
- monitoring result
- determining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一种接口调用行为的监测方法、装置、电子设备及介质。所述方法包括:根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果;根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。本发明实施例解决了相关技术中接口调用行为的监测效率低、监测数据量不大、以及监测准确度低的问题,可以快速且准确地定位接口调用行为中的风险。
Description
技术领域
本发明实施例涉及互联网技术,尤其涉及一种接口调用行为的监测方法、装置、电子设备及介质。
背景技术
开放银行(Open Bank)是一种开放化的商业模式,通过与第三方开发者、金融科技公司、供应商等其他合作伙伴共享数据、算法、交易及流程,重构商业生态系统,为商业银行提供新的价值。
图1示出了一种开发银行业务处理过程示意图。如图1所示,目前采用的安全保护方式是根据合作方的行业特性、场景规模、交易特点等多个维度进行可信场景安全评级,并以分级匹配、权责对等为指导思想,明确各合作方在系统安全、应用安全、数据安全等多层次的安全要求。
然而,相关安全保护方式对人的经验依赖程度比较高,在数据安全监测方面,尤其是接口调用行为监测方面,存在监测效率低、监测数据量不大、以及监测准确度低等问题。
发明内容
本发明实施例提供一种接口调用行为的监测方法、装置、电子设备及介质,可以解决目前接口调用行为的监测效率低、监测数据量不大、以及监测准确度低的问题。
第一方面,本发明实施例提供了一种接口调用行为的监测方法,包括:
根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
第二方面,本发明实施例还提供了一种接口调用行为的监测装置,所述装置包括:
第一监测结果确定模块,用于根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
行为基线确定模块,用于根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
第二监测结果确定模块,用于根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
监测结果确定模块,用于根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
第三方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的接口调用行为的监测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明任意实施例所述的接口调用行为的监测方法。
本发明实施例提供一种接口调用行为的监测方法、装置、电子设备及介质,通过预设规则确定接口调用行为的第一监测结果,再根据接口调用日志数据和接口的流量元数据确定接口调用行为基线,根据接口调用行为基线,确定接口调用日志数据对应的各个接口调用行为的置信度,根据置信度确定对应接口调用行为的第二监测结果,综合第一监测结果和第二监测结果确定对应接口调用行为的监测结果,解决了相关技术中接口调用行为的监测效率低、监测数据量不大、以及监测准确度低的问题,可以快速且准确地定位接口调用行为中的风险。
附图说明
图1示出了一种开发银行业务处理过程示意图;
图2a为本发明实施例提供的一种接口调用行为的监测方法的流程图;
图2b为本发明实施例提供的一种接口调用行为的监测方法中接口数据交换的安全监测过程示意图。
图3a为本发明实施例提供的另一种接口调用行为的监测方法的流程图;
图3b为本发明实施例提供的另一种接口调用行为的监测方法中的安全分析过程框图;
图3c为本发明实施例提供的另一种接口调用行为的监测方法中的风险追踪溯源过程示意图;
图4为本发明实施例提供的一种接口调用行为的监测装置的结构框图;
图5为本发明实施例提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
图2a为本发明实施例提供的一种接口调用行为的监测方法的流程图,本实施例可适用于开放银行模式下各合作伙伴之间接口调用行为监测的场景,该方法可以由接口调用行为的监测装置来执行,该装置可以由软件和/或硬件实现,并通常被配置于电子设备中。例如,电子设备可以是服务器或服务器集群。如图2a所示,该方法包括:
步骤210、根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果。
其中,预设规则用于定义接口调用行为与风险类型的对应关系。例如,预设规则中定义第三方频繁访问接口的行为对应的风险类型是异常访问行为。又如,预设规则中定义第三方私自过量缓存数据资源行为对应的风险类型为异常缓存行为。又如,预设规则中定义第三方过度获取数据资源行为对应的风险类型为异常获取行为等等。
其中,接口调用日志数据为记录接口调用行为信息的日志数据。
本发明实施例中,接口调用行为是合作伙伴的第三方服务器调用银行服务器提供的接口,获取银行服务器中的数据的行为。图2b为本发明实施例提供的一种接口调用行为的监测方法中接口数据交换的安全监测过程示意图。在开放银行服务中,web浏览器或手机客户端等向银行服务器发送接口调用请求。在获取到接口调用请求时,采用数字证书或公私钥对的方式进行双向身份认证,以确保第三方服务器合法并根据授权范围使用API接口。一种特殊的情况下,对于资金交易类服务,至少通过双因子认证的方式对用户登录身份进行认证,以保护用户隐私数据的安全。
若身份认证通过,则判断接口调用请求是否超出授权范围。若未超出授权范围,则通过接口调用日志记录接口调用行为,向客户端发送接口调用行为所请求的数据。
安全分析引擎通过执行本发明实施例提供的方法,基于接口调用日志数据对接口调用行为进行监测和溯源等分析操作。
需要说明的是,根据预先配置的接口权限控制策略管理接口调用请求的授权范围。针对合作伙伴的差异化服务需求,遵循最小化授权原则配置接口权限控制策略,以满足银行对接口权限的授权及管理需求,并根据服务需求的变化,及时调整接口权限控制策略。其中,接口权限控制策略包括授权使用的接口范围以及授权使用周期等权限信息。
其中,第一监测结果为基于预设规则确定的接口调用行为的风险类型。
示例性地,匹配接口调用日志数据对应的接口调用行为与预设规则,基于匹配结果确定接口调用行为的第一监测结果。
一种情况下,匹配单次接口调用行为的信息与预设规则,得到接口调用行为的第一监测结果。
一种特殊的情况下,单次接口调用行为可能被判定为正常行为,但是,根据同样或相似的接口调用行为的持续信息可能判定对应接口调用行为是异常行为。因此,可以根据相同或相似的接口调用行为在设定时间段内的接口调用日志数据,以确定接口调用行为的第一监测结果。
具体地,根据日志语法结构获取所述接口调用日志数据中的属性特征。根据所述属性特征对所述接口调用日志数据进行聚类,得到多个接口调用日志集合。根据各个所述接口调用日志集合中的接口调用日志数据,确定接口调用行为信息。根据所述预设规则包含的风险类型匹配所述接口调用行为信息,根据匹配结果确定对应的接口调用行为的第一监测结果。由于接口调用日志记录了接口调用行为的相关信息,通过分析接口调用日志的语法结构,获取接口调用日志数据中接口调用行为的属性特征。
其中,属性特征可以为网络连接行为特征等。例如,属性特征包含五元组信息、时间信息和频率信息等特征。接口调用行为信息包含接口的持续调用行为信息、调用时间信息和调用频率信息等。
例如,基于语法结构标记出设定时间段内的接口调用日志数据中的属性特征,根据属性特征和接口调用日志数据生成日志样本数据。采用机器学习算法和日志样本数据,训练得到日志分析模型。通过日志分析模型分析接口调用日志数据,得到接口调用日志数据包含的各个接口调用行为的属性特征。根据属性特征对该接口调用日志数据进行聚类处理,得到多个接口调用日志集合。各接口调用日志集合中的接口调用日志数据可以表示一段时间内,某个接口的调用行为或者某类接口的调用行为。其中,调用行为可以包括调用时间、调用频率、获取数据量以及缓存数据量中的一种或多种。根据各个接口调用日志集合中的接口调用日志数据确定接口调用行为信息,根据预设规则包含的风险类型匹配接口调用行为信息,确定对应历史接口调用行为的第一监测结果。
步骤220、根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线。
其中,元数据为对数据及信息资源的描述性信息。流量元数据为对网络数据的描述性信息。例如,流量元数据是定期对网络数据报文进行分析和提取得到的数据。
接口调用行为基线为判定接口调用行为的风险类型的基准信息。根据分析维度的不同,可以包括基于时间维度的接口调用行为基线,基于频率维度的接口调用行为基线,基于数据量维度的接口调用行为基线,以及,基于次数维度的接口调用行为基线等。
示例性地,分别获取所述接口调用日志数据和接口的流量元数据中的属性特征。采用机器学习算法,根据所述属性特征和设定分析维度生成对应分析维度下的接口调用行为基线。其中,机器学习算法可以为核密度估计(Kernel Density Estimation,KDE)算法等。设定分析维度可以包括时间维度、频率维度、数据量维度以及次数维度等。
具体地,获取接口调用日志数据中设定时间区间内的接口调用日志数据中的第一属性特征。获取所述设定时间区间内的对应接口的流量元数据中的第二属性特征。采用KDE算法,根据第一属性特征和第二属性特征与设定分析维度对应的特征数据,生成对应分析维度下的接口调用行为基线。例如,采用KDE算法,根据第一属性特征和第二属性特征与时间维度对应的特征数据,生成时间维度下的接口调用行为基线。以及,采用KDE算法,根据第一属性特征和第二属性特征与频率维度对应的特征数据,生成频率维度下的接口调用行为基线。其它分析维度下的接口调用行为基线的生成方式与上述示例相似,此处不再赘述。
步骤230、根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果。
其中,接口调用行为的置信度为表示接口调用行为是否为异常行为的判定标准。例如,可以根据接口调用行为与接口调用行为基线的匹配结果确定接口调用行为的置信度。具体地,对于时间维度,可以是匹配相同时刻的接口调用行为的实际属性特征与接口调用行为基线上的预测属性特征,根据实际属性特征与预测属性特征的偏差量确定置信度。对于频率维度,可以是匹配同一接口调用行为的实际属性特征与接口调用行为基线的预测属性特征。需要说明的是,对于不同分析维度下的接口调用行为基线,匹配相应分析维度下的接口调用行为的实际属性特征与接口调用行为基线上的预测属性特征,此处不再赘述。
其中,第二监测结果为基于置信度确定的接口调用行为的风险类型。对于多个置信度,分别比较置信度与设定置信度阈值。若比较结果中存在至少一个置信度超出设定置信度阈值,则确定接口调用行为是异常行为。进一步地,还可以根据超出设定置信度阈值的分析维度,确定异常行为的风险类型。例如,异常行为是时间异常或频率异常等。一种情况下,可以根据经验设置统一的置信度阈值。另一种情况下,可以根据经验为不同的分析维度设置不同的置信度阈值。
示例性地,对于每个分析维度,匹配所述接口调用日志数据对应的各个接口调用行为的实际属性特征与对应分析维度下的接口调用行为基线的预测属性特征。根据所述实际属性特征与所述预测属性特征的偏差量,确定对应分析维度下各个接口调用行为的置信度。对于所述接口调用日志数据对应的每个接口调用行为,若至少一个所述分析维度下的所述置信度超出设定置信度阈值,则确定对应接口调用行为是异常行为。
以时间维度为例,匹配同一时刻的接口调用行为的实际属性特征与接口调用行为基线的预测属性特征。若实际属性特征与预测属性特征的偏差量超过预设误差门限值,则初步确定对应接口调用行为是异常行为。其中,预设误差门限值为可以容忍的实际属性特征与预测属性特征的最大偏差量,预设误差门限值可以人为设定。
以频率维度为例,匹配同一接口调用行为的实际属性特征与接口调用行为基线的预测属性特征。若实际属性特征与预测属性特征的偏差量超过预设误差门限值,则初步确定对应接口调用行为是异常行为。需要说明的是,其它分析维度具有相似的处理过程,此处不再赘述。
示例性地,对于每个接口调用行为,计算实际属性特征与预测属性特征的偏差量,可以根据实际属性特征与预测属性特征的偏差量与预测属性特征的比值,确定各个分析维度下各个接口调用行为的置信度。比较各个分析维度下的置信度和设定置信度阈值,得到各个接口调用行为的置信度比较结果。
可选地,对于判定为异常行为的接口调用行为,计算实际属性特征与预测属性特征的偏差量,可以根据实际属性特征与预测属性特征的偏差量与预测属性特征的比值,确定各个分析维度下对应接口调用行为的置信度。比较各个分析维度下的置信度和设定置信度阈值,得到对应接口调用行为的置信度比较结果。
对于所述接口调用日志数据对应的每个接口调用行为,若至少一个所述分析维度下的所述置信度超出设定置信度阈值,则确定对应接口调用行为是异常行为。
步骤240、根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
示例性地,在所述第一监测结果和第二监测结果相同时,根据所述第一监测结果或第二监测结果确定对应接口调用行为的监测结果。在所述第一监测结果和第二监测结果不相同时,根据所述第二监测结果确定对应接口调用行为的监测结果。
对于采用预设规则确定出风险类型的接口调用行为,通过第二监测结果校验第一监测结果,可以提高接口调用行为监测的准确度。对于采用预设规则未确定出风险类型的接口调用行为,通过第二监测结果确定接口调用行为的监测结果,实现准确分析出接口调用行为的风险类型的效果。
本实施例的技术方案,通过预设规则确定接口调用行为的第一监测结果,再根据接口调用日志数据和接口的流量元数据确定接口调用行为基线,根据接口调用行为基线,确定接口调用日志数据对应的各个接口调用行为的置信度,根据置信度确定对应接口调用行为的第二监测结果,综合第一监测结果和第二监测结果确定对应接口调用行为的监测结果,解决了相关技术中接口调用行为的监测效率低、监测数据量不大、以及监测准确度低的问题,可以快速且准确地定位接口调用行为中的风险。
在上述技术方案的基础上,在根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果之后,附加了在所述监测结果为接口调用行为是入侵类攻击行为时的相关说明。
图3a为本发明实施例提供的另一种接口调用行为的监测方法的流程图,如图3a所示,所述方法包括:
步骤301、根据日志语法结构获取接口调用日志数据中的属性特征。
步骤302、根据所述属性特征对所述接口调用日志数据进行聚类,得到多个接口调用日志集合。
步骤303、根据各个所述接口调用日志集合中的接口调用日志数据,确定接口调用行为信息。
步骤304、根据所述预设规则包含的风险类型匹配所述接口调用行为信息,根据匹配结果确定对应的接口调用行为的第一监测结果。
步骤305、获取接口的流量元数据中的属性特征。
步骤306、采用机器学习算法,根据接口调用日志数据中的属性特征和流量元数据中的属性特征,按照设定分析维度生成接口调用行为基线。
步骤307、对于每个分析维度,匹配所述接口调用日志数据对应的各个接口调用行为的实际属性特征与对应分析维度下的接口调用行为基线的预测属性特征。
步骤308、根据所述实际属性特征与所述预测属性特征的偏差量,确定对应分析维度下各个接口调用行为的置信度。
步骤309、判断是否存在至少一个分析维度下的置信度超出设定置信度阈值,若是,则执行步骤310,否则执行步骤311。
步骤310、确定置信度超出设定置信度阈值的接口调用行为的第二监测结果为异常行为,执行步骤312。
步骤311、确定置信度未超出设定置信度阈值的接口调用行为的第二监测结果为正常行为。
步骤312、判断第一监测结果与第二监测结果是否相同,若是,则执行步骤313,否则执行步骤314。
步骤313、根据所述第一监测结果或第二监测结果确定对应接口调用行为的监测结果,执行步骤315。
步骤314、根据所述第二监测结果确定对应接口调用行为的监测结果。
步骤315、判断所述监测结果是否为接口调用行为是入侵类攻击行为,若是,则执行步骤316,否则执行步骤318。
步骤316、根据所述接口调用行为对应的接口调用日志数据和所述流量元数据,确定攻击链中各个阶段的攻击行为产生的影响。
其中,攻击链表示一次入侵类攻击的组成部分。具体地,攻击链包括侦查目标、制作工具、传送工具、触发工具、控制目标、执行活动和保留据点几个阶段。攻击行为产生的影响包括入侵类攻击行为的攻击链中各个阶段的攻击对真实网络系统的影响范围以及影响程度等信息。
示例性地,若接口调用行为被判定为入侵类攻击行为,则获取接口调用日志中对应接口调用行为的接口调用日志数据,获取对应接口调用行为的流量元数据,根据接口调用日志数据和流量元数据,确定入侵类攻击行为的攻击链中各个阶段的攻击行为产生的影响。
图3b为本发明实施例提供的另一种接口调用行为的监测方法中的安全分析过程框图。如图3b所示,通过安全分析引擎基于预设规则对接口调用日志数据进行分析,确定接口调用日志中的接口调用行为的风险类型,作为第一监测结果。然后,采用机器学习算法,对接口调用日志数据和接口的流量元数据中的属性特征进行学习,得到设定分析维度下的接口调用行为基线。对于每个分析维度,根据接口调用行为基线确定接口调用行为日志中的接口调用行为的风险类型,作为第二监测结果。对于通过预设规则确定出风险类型的接口调用行为,根据第二监测结果和第一监测结果确定监测结果。对于通过预设规则未确定出风险类型的接口调用行为,采用第二监测结果作为监测结果。若检测结果为入侵类攻击行为,则基于对应接口调用行为对应的接口调用日志数据和所述流量元数据,确定入侵类攻击行为的攻击链中各个阶段的攻击行为产生的影响。
步骤317、获取入侵类攻击行为对应的威胁数据,根据所述威胁数据确定攻击者画像。
示例性地,在真实网络环境中,通过网络虚拟化方式部署诱捕系统,以诱捕攻击者攻击,攻击者将会花费大量时间在诱捕系统中,从而有效保护真实网络端点。根据诱捕系统中的威胁数据可以对攻击者进行画像。图3c为本发明实施例提供的另一种接口调用行为的监测方法中的风险追踪溯源过程示意图。如图3c所示,通过诱捕系统获取入侵类攻击行为对应的威胁数据。根据威胁数据的类型对入侵类攻击行为进行精细化切分。例如,入侵攻击行为包括社交网络、网络攻击地图(GeoIP)、黑产情报、漏洞库以及样本库等。分别记录各个细分后的入侵类攻击行为的攻击源IP地址(包括代理IP地址、公网IP地址和内网IP地址)、入侵系统版本以及入侵浏览器版本等信息。根据所记录的攻击源IP地址、入侵系统版本以及入侵浏览器版本等信息,从有效负荷(Payload)、通用漏洞披露(CommonVulnerabilities&Exposures,简称CVE)、网络饼干(Cookie)、口令(Password)和哈希(Hash)等方面进行交叉分析,确定攻击者画像。
步骤318、根据接口调用行为的监测结果生成接口调用日志分析报告。
一种情况下,若接口调用行为不是入侵类攻击行为,则根据接口调用行为的监测结果生成对应接口调用行为的接口调用日志分析报告。
另一种情况下,若接口调用行为是入侵类攻击行为,则根据接口调用行为的监测结果、攻击链和攻击者画像生成对应接口调用行为的接口调用日志分析报告。
本发明实施例的技术方案,对于入侵类攻击行为,通过分析接口调用日志数据和所述流量元数据,确定攻击链中各个阶段的攻击对应的影响信息,实现对入侵类攻击行为的影响性分析;以及,通过入侵类攻击行为对应的威胁数据,确定攻击者画像,能够实现对攻击者的精准画像,实现风险追踪溯源。
图4为本发明实施例提供的一种接口调用行为的监测装置的结构框图。该装置可以由软件和/或硬件实现,并通常被配置于电子设备中。例如,电子设备可以是服务器或服务器集群。如图4所示,所述方法包括:第一监测结果确定模块410、行为基线确定模块420、第二监测结果确定模块430和监测结果确定模块440。
第一监测结果确定模块410,用于根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
行为基线确定模块420,用于根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
第二监测结果确定模块430,用于根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
监测结果确定模块440,用于根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
可选地,所述装置还包括:
影响确定模块,用于在根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果之后,若所述监测结果为接口调用行为是入侵类攻击行为,则根据所述接口调用行为对应的接口调用日志数据和所述流量元数据,确定攻击链中各个阶段的攻击行为产生的影响。
可选地,影响确定模块还用于:
在所述监测结果为接口调用行为是入侵类攻击行为时,获取入侵类攻击行为对应的威胁数据,根据威胁数据确定攻击者画像。
可选地,第一监测结果确定模块410具体用于:
根据日志语法结构获取所述接口调用日志数据中的属性特征;
根据所述属性特征对所述接口调用日志数据进行聚类,得到多个接口调用日志集合;
根据各个所述接口调用日志集合中的接口调用日志数据,确定接口调用行为信息;
根据所述预设规则包含的风险类型匹配所述接口调用行为信息,根据匹配结果确定对应的接口调用行为的第一监测结果。
可选地,行为基线确定模块420具体用于:
分别获取所述接口调用日志数据和接口的流量元数据中的属性特征;
采用机器学习算法,根据所述属性特征和设定分析维度生成对应分析维度下的接口调用行为基线。
可选地,第二监测结果确定模块430具体用于:
对于每个分析维度,匹配所述接口调用日志数据对应的各个接口调用行为的实际属性特征与对应分析维度下的接口调用行为基线的预测属性特征;
根据所述实际属性特征与所述预测属性特征的偏差量,确定对应分析维度下各个接口调用行为的置信度。
可选地,第二监测结果确定模块430具体还用于:
对于所述接口调用日志数据对应的每个接口调用行为,若至少一个所述分析维度下的所述置信度超出设定置信度阈值,则确定对应接口调用行为是异常行为。
可选地,监测结果确定模块440具体用于:
在所述第一监测结果和第二监测结果相同时,根据所述第一监测结果或第二监测结果确定对应接口调用行为的监测结果;
在所述第一监测结果和第二监测结果不相同时,根据所述第二监测结果确定对应接口调用行为的监测结果。
本发明实施例所提供的接口调用行为的监测装置可执行本发明任意实施例所提供的接口调用行为的监测方法,具备执行方法相应的功能模块和有益效果。
图5为本发明实施例提供的一种电子设备的结构示意图,如图5所示,该电子设备500包括处理器510和存储器520;电子设备中处理器510的数量可以是一个或多个,图5中以一个处理器510为例;电子设备中的处理器510和存储器520可以通过总线或其他方式连接,图5中以通过总线连接为例。
存储器520作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的接口调用行为的监测方法对应的程序指令/模块(例如,接口调用行为的监测装置中的第一监测结果确定模块410、行为基线确定模块420、第二监测结果确定模块430和监测结果确定模块440)。处理器510通过运行存储在存储器520中的软件程序、指令以及模块,从而执行电子设备的各种功能应用以及数据处理,即实现上述的接口调用行为的监测方法。
存储器520可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端的使用所创建的数据等。此外,存储器520可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实例中,存储器520可进一步包括相对于处理器510远程设置的存储器,这些远程存储器可以通过网络连接至电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本发明实施例还提供一种包含计算机可执行指令的存储介质,所述计算机可执行指令在由计算机处理器执行时用于执行一种接口调用行为的监测方法,该方法包括:
根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
当然,本发明实施例所提供的一种包含计算机可执行指令的存储介质,其计算机可执行指令不限于如上所述的方法操作,还可以执行本发明任意实施例所提供的接口调用行为的监测方法中的相关操作。
通过以上关于实施方式的描述,所属领域的技术人员可以清楚地了解到,本发明可借助软件及必需的通用硬件来实现,当然也可以通过硬件实现,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如计算机的软盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(RandomAccess Memory,RAM)、闪存(FLASH)、硬盘或光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
值得注意的是,上述接口调用行为的监测装置的实施例中,所包括的各个单元和模块只是按照功能逻辑进行划分的,但并不局限于上述的划分,只要能够实现相应的功能即可;另外,各功能单元的具体名称也只是为了便于相互区分,并不用于限制本发明的保护范围。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种接口调用行为的监测方法,其特征在于,包括:
根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
2.根据权利要求1所述的方法,其特征在于,在根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果之后,还包括:
若所述监测结果为接口调用行为是入侵类攻击行为,则根据所述接口调用行为对应的接口调用日志数据和所述流量元数据,确定攻击链中各个阶段的攻击行为产生的影响。
3.根据权利要求1所述的方法,其特征在于,所述根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,包括:
根据日志语法结构获取所述接口调用日志数据中的属性特征;
根据所述属性特征对所述接口调用日志数据进行聚类,得到多个接口调用日志集合;
根据各个所述接口调用日志集合中的接口调用日志数据,确定接口调用行为信息;
根据所述预设规则包含的风险类型匹配所述接口调用行为信息,根据匹配结果确定对应的接口调用行为的第一监测结果。
4.根据权利要求1所述的方法,其特征在于,所述根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线,包括:
分别获取所述接口调用日志数据和接口的流量元数据中的属性特征;
采用机器学习算法,根据所述属性特征和设定分析维度生成对应分析维度下的接口调用行为基线。
5.根据权利要求4所述的方法,其特征在于,所述根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,包括:
对于每个分析维度,匹配所述接口调用日志数据对应的各个接口调用行为的实际属性特征与对应分析维度下的接口调用行为基线的预测属性特征;
根据所述实际属性特征与所述预测属性特征的偏差量,确定对应分析维度下各个接口调用行为的置信度。
6.根据权利要求5所述的方法,其特征在于,所述根据所述置信度确定对应接口调用行为的第二监测结果,包括:
对于所述接口调用日志数据对应的每个接口调用行为,若至少一个所述分析维度下的所述置信度超出设定置信度阈值,则确定对应接口调用行为是异常行为。
7.根据权利要求1所述的方法,其特征在于,所述根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果,包括:
在所述第一监测结果和第二监测结果相同时,根据所述第一监测结果或第二监测结果确定对应接口调用行为的监测结果;
在所述第一监测结果和第二监测结果不相同时,根据所述第二监测结果确定对应接口调用行为的监测结果。
8.一种接口调用行为的监测装置,其特征在于,包括:
第一监测结果确定模块,用于根据预设规则确定接口调用日志数据对应的接口调用行为的第一监测结果,其中,所述预设规则用于定义接口调用行为与风险类型的对应关系;
行为基线确定模块,用于根据所述接口调用日志数据和接口的流量元数据确定接口调用行为基线;
第二监测结果确定模块,用于根据所述接口调用行为基线,确定所述接口调用日志数据对应的各个接口调用行为的置信度,根据所述置信度确定对应接口调用行为的第二监测结果;
监测结果确定模块,用于根据所述第一监测结果和所述第二监测结果确定各个所述接口调用行为的监测结果。
9.一种电子设备,其特征在于,所述电子设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7中任一所述的接口调用行为的监测方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1-7中任一所述的接口调用行为的监测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111633875.1A CN114297639A (zh) | 2021-12-29 | 2021-12-29 | 一种接口调用行为的监测方法、装置、电子设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111633875.1A CN114297639A (zh) | 2021-12-29 | 2021-12-29 | 一种接口调用行为的监测方法、装置、电子设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114297639A true CN114297639A (zh) | 2022-04-08 |
Family
ID=80971832
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111633875.1A Pending CN114297639A (zh) | 2021-12-29 | 2021-12-29 | 一种接口调用行为的监测方法、装置、电子设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114297639A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117891749A (zh) * | 2024-03-18 | 2024-04-16 | 卓望数码技术(深圳)有限公司 | Api应用安全监测方法、装置、设备及存储介质 |
| CN117891749B (zh) * | 2024-03-18 | 2024-06-04 | 卓望数码技术(深圳)有限公司 | Api应用安全监测方法、装置、设备及存储介质 |
-
2021
- 2021-12-29 CN CN202111633875.1A patent/CN114297639A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117891749A (zh) * | 2024-03-18 | 2024-04-16 | 卓望数码技术(深圳)有限公司 | Api应用安全监测方法、装置、设备及存储介质 |
| CN117891749B (zh) * | 2024-03-18 | 2024-06-04 | 卓望数码技术(深圳)有限公司 | Api应用安全监测方法、装置、设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9679125B2 (en) | Characterizing user behavior via intelligent identity analytics | |
| Karthika et al. | An ADS-PAYG approach using trust factor Against economic denial of sustainability attacks in cloud storage | |
| Mahdavi Hezavehi et al. | An anomaly-based framework for mitigating effects of DDoS attacks using a third party auditor in cloud computing environments | |
| US20190124100A1 (en) | Robotic process automation resource insulation system | |
| CN111327601B (zh) | 异常数据响应方法、系统、装置、计算机设备和存储介质 | |
| US20210360032A1 (en) | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance | |
| US11381972B2 (en) | Optimizing authentication and management of wireless devices in zero trust computing environments | |
| Kuzuno et al. | Signature generation for sensitive information leakage in android applications | |
| US20230308459A1 (en) | Authentication attack detection and mitigation with embedded authentication and delegation | |
| CN113411297A (zh) | 基于属性访问控制的态势感知防御方法及系统 | |
| CN111262875B (zh) | 服务器安全监测方法、装置、系统及存储介质 | |
| Aljurayban et al. | Framework for cloud intrusion detection system service | |
| CN111740973A (zh) | 一种区块链服务与应用的智能防御系统及方法 | |
| Gutierrez et al. | High rate Denial-of-Service attack detection system for cloud environment using flume and spark | |
| CN114297639A (zh) | 一种接口调用行为的监测方法、装置、电子设备及介质 | |
| Khemaissia et al. | Network countermeasure selection under blockchain based privacy preserving | |
| Gupta et al. | Profile and back off based distributed NIDS in cloud | |
| CN112637171A (zh) | 数据流量处理方法、装置、设备、系统和存储介质 | |
| CN114697052A (zh) | 网络防护方法及装置 | |
| Joseph et al. | Digital Forensics in Distributed Environment | |
| Biswas et al. | Forecasting problems in cybersecurity: applying econometric techniques to measure IT risk | |
| CN116346488B (zh) | 一种越权访问的检测方法及装置 | |
| Dixit | Cloud Computing Security aspects: Threats, Countermeasures and Intrusion Detection using Support Vector Machine | |
| US11956255B1 (en) | Recognizing successful cyberattacks based on subsequent benign activities of an attacker | |
| US12003534B2 (en) | Detecting and mitigating forged authentication attacks within a domain |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |