CN114826717A - 一种异常访问检测方法、装置、电子设备及存储介质 - Google Patents
一种异常访问检测方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114826717A CN114826717A CN202210405651.3A CN202210405651A CN114826717A CN 114826717 A CN114826717 A CN 114826717A CN 202210405651 A CN202210405651 A CN 202210405651A CN 114826717 A CN114826717 A CN 114826717A
- Authority
- CN
- China
- Prior art keywords
- api
- parameter
- access
- data sequence
- access flow
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 99
- 230000002159 abnormal effect Effects 0.000 title claims abstract description 66
- 238000003860 storage Methods 0.000 title claims abstract description 25
- 238000000034 method Methods 0.000 claims description 67
- 230000015654 memory Effects 0.000 claims description 31
- 238000001914 filtration Methods 0.000 claims description 28
- 238000005065 mining Methods 0.000 claims description 28
- 230000008569 process Effects 0.000 claims description 21
- 238000010276 construction Methods 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 12
- 238000012163 sequencing technique Methods 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 10
- 230000006399 behavior Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 239000000243 solution Substances 0.000 description 8
- 238000004891 communication Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 239000000284 extract Substances 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 230000003993 interaction Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 230000007704 transition Effects 0.000 description 3
- 230000005856 abnormality Effects 0.000 description 2
- 238000012550 audit Methods 0.000 description 2
- 230000007547 defect Effects 0.000 description 2
- 238000005304 joining Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 238000013528 artificial neural network Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000000605 extraction Methods 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000003062 neural network model Methods 0.000 description 1
- 238000003672 processing method Methods 0.000 description 1
- 238000003908 quality control method Methods 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例适用于计算机技术领域,提供了一种异常访问检测方法、装置、电子设备及存储介质,其中,异常访问检测方法包括:确定第一访问流量对应的至少两个API端点;第一访问流量表征一种业务访问流程;确定至少两个API端点对应的参数集;参数集包括至少两个参数;至少两个参数之间具有设定的依赖关系;获取第一访问流量的至少两个参数各自对应的参数值,检测各个参数值之间是否满足设定的依赖关系,得到检测结果;检测结果表征第一访问流量是否为异常访问流量。
Description
技术领域
本发明涉及计算机技术领域,尤其涉及一种异常访问检测方法、装置、电子设备及存储介质。
背景技术
相关技术在进行异常访问检测时,通常是基于访问量、访问时间等单一维度的参数进行异常访问检测。但是应用程序编程接口(API,Application ProgrammingInterface)的安全问题仅用单一维度上参数的异常检测难以有效检测出,异常访问检测的准确率不高。
发明内容
为了解决上述问题,本发明实施例提供了一种异常访问检测方法、装置、电子设备及存储介质,以至少解决相关技术API的安全问题仅用单一维度上参数的异常检测难以有效检出的问题。
本发明的技术方案是这样实现的:
第一方面,本发明实施例提供了一种异常访问检测方法,异常访问检测方法包括:
确定第一访问流量对应的至少两个应用程序编程接口API端点;所述第一访问流量表征一种业务访问流程;
确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系;
获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
在上述方案中,所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在各个参数值之间满足所述设定的依赖关系的情况下,得到所述第一访问流量为正常访问流量的检测结果;
在各个参数值之间不满足所述设定的依赖关系的情况下,得到所述第一访问流量为异常访问流量的检测结果。
在上述方案中,在所述设定的依赖关系表征为参数值相同的情况下,所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在所述第一访问流量的所述至少两个参数各自对应的参数值全部相同的情况下,得到所述第一访问流量为正常访问流量的检测结果。
第二方面,本发明实施例提供了一种模型构建方法,该方法包括:
基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程;
对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系;所述元素表征API流量的参数;
基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素;所述第一模型用于执行第一方面提供的异常访问检测方法的步骤。
在上述方案中,所述对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列,包括:
获取每个数据序列中满足最小支持度阈值的子序列;
将满足最小支持度阈值的子序列确定为对应的数据序列的频繁子序列。
在上述方案中,所述基于至少两个API流量,构建至少一个数据序列,包括:
将所述至少两个API流量按照时间戳增序排列,得到所述至少一个数据序列。
在上述方案中,在基于至少两个API流量,构建至少一个数据序列之前,所述方法还包括:
基于设定过滤方法对历史网络流量进行过滤,过滤得到所述至少两个API流量;
其中,所述API流量表征为表现层状态转移RestAPI流量。
第三方面,本发明实施例提供了一种异常访问检测装置,该异常访问检测装置包括:
第第一确定模块,用于确定第一访问流量对应的至少两个应用程序编程接口API端点;所述第一访问流量表征一种业务访问流程;
第二确定模块,用于确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系;
检测模块,用于获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
第四方面,本发明实施例提供了一种模型构建装置,该装置包括:
第一构建模块,用于基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程;
关联挖掘模块,用于对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系;所述元素表征API流量的参数;
第二构建模块,用于基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素;所述第一模型用于执行第一方面提供的异常访问检测方法的步骤。
第五方面,本发明实施例提供了一种电子设备,包括处理器和存储器,所述处理器和存储器相互连接,其中,所述存储器用于存储计算机程序,所述计算机程序包括程序指令,所述处理器被配置用于调用所述程序指令,执行本发明实施例第一方面提供的异常访问检测方法的步骤或第二方面提供的模型构建方法。
第六方面,本发明实施例提供了一种计算机可读存储介质,包括:所述计算机可读存储介质存储有计算机程序。所述计算机程序被处理器执行时实现如本发明实施例第一方面提供的异常访问检测方法的步骤或第二方面提供的模型构建方法。
本发明实施例通过确定第一访问流量对应的API端点,确定至少两个API端点对应的参数集,获取第一访问流量的至少两个参数各自对应的参数值,检测各个参数值之间是否满足设定的依赖关系,得到检测结果。其中,检测结果表征第一访问流量是否为异常访问流量,第一访问流量表征一种业务访问流程,参数集包括至少两个参数,至少两个参数之间具有设定的依赖关系。本发明实施例以参数集中的参数的依赖关系作为异常访问数据的检测原理,通过参数的依赖关系可以识别API流量的逻辑错误,能够针对API逻辑漏洞层面的参数篡改行为进行检测,克服了仅关注单一维度参数异常的检测方案在解决API安全上的局限性。
附图说明
图1是本发明实施例提供的一种模型构建方法的实现流程示意图;
图2是本发明实施例提供的另一种模型构建方法的实现流程示意图;
图3是本发明实施例提供的一种异常访问检测方法的实现流程示意图;
图4是本发明实施例提供的一种异常访问检测流程的示意图;
图5是本发明实施例提供的一种异常访问检测装置的示意图;
图6是本发明实施例提供的一种模型构建装置的示意图;
图7是本发明一实施例提供的电子设备的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
万维网(Web,WorldWide Web)API是网络应用程序接口,可以对接各种客户端(例如浏览器、移动设备),包含了广泛的功能,网络应用通过API接口,可以实现存储服务、消息服务、计算服务、信息服务、搜索服务等功能,利用这些功能可以开发出各种各样的web应用。
随着Web API业务蓬勃发展,WebAPI安全问题也得到越来越多关注。攻击者可以通过WebAPI对网站进行篡改数据、敏感信息获取和非法操作等行为。目前,业内大多API安全解决方案关注显式的输入输出攻击(例如SQL注入、跨站脚本(XSS,cross-sitescripting)、文件上传等),或关注访问量、访问时间等单一维度上参数的异常。但是API的安全问题往往涉及业务层面,包括一些API逻辑缺陷问题(例如水平越权、垂直越权)或设计缺陷,仅用单一维度上参数的异常检测难以有效检测出。
逻辑漏洞(Logic Flaws)指由于程序逻辑不严谨,导致一些分支处理时可被利用形成漏洞。攻击者利用漏洞,获取敏感信息或破坏业务的完整性,漏洞一般出现在密码修改、确权访问、密码找回、交易支付金额等功能处。
针对上述相关技术的缺点,本发明实施例提供了一种异常访问检测方法,能够针对API逻辑漏洞层面的参数篡改行为进行检测。为了说明本发明所述的技术方案,下面通过具体实施例来进行说明。
本发明实施例是基于第一模型进行异常访问检测,第一模型虽然也有参数学习过程,但是与常见的神经网络模型的训练过程不同,第一模型并不需要进行迭代训练,也不需要神经网络结构。
参考图1,图1是本发明实施例提供的一种模型构建方法的实现流程示意图,所述模型构建方法的执行主体可以是台式电脑、笔记本电脑等电子设备。
模型构建方法包括:
S101,基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程。
这里,至少两个API流量都是历史网络流量,比如可以是终端在前一个月内收集到的API流量。
在一实施例中,在基于至少两个API流量,构建至少一个数据序列之前,所述方法还包括:
基于设定过滤方法对历史网络流量进行过滤,过滤得到所述至少两个API流量。
设定过滤方法至少包括以下任意一项:
Host聚类;
参数过滤;
请求方法过滤;
响应码过滤。
这里,至少两个API流量是从历史网络流量中过滤得到的,比如可以从终端历史一个月的访问流量中,过滤得到至少两个API流量。终端的历史网络流量包含各种类型的流量,本发明实施例只需要API流量,可以通过Host聚类、参数过滤、请求方法过滤和响应码过滤等过滤方法,从历史网络流量中过滤提取API流量。例如,过滤500、501等5开头的响应码流量,根据不同请求方法中的响应体类型过滤API流量,例如GET方法的“appliaction/json”响应体类型。
在一实施例中,所述API流量表征为表现层状态转移(Rest,RepresentationalState Transfer)API流量。
在一实施例中,本发明实施例只从历史网络流量中提取RestAPI流量,根据设定好的RestAPI传参格式和规范要求,提取RestAPI流量。由于RestAPI可能存在某一级路径为可变参数,例如,baiduV1.com和baiduV2.com都指向同一个RestAPI,因此还需要识别可变参数部分,将指向相同RestAPI的API流量进行合并。
在实际应用中,可以将提取出的API流量保存为API审计日志。
在一实施例中,所述基于至少两个API流量,构建至少一个数据序列,包括:
将所述至少两个API流量按照时间戳增序排列,得到所述至少一个数据序列。
序列是事务的有序列表,序列中的事务通常基于时间或空间的先后次序排序。对于至少两个API流量,本发明实施例利用用户与应用程序功能交互的网络轨迹,根据API流量的时间戳、请求头、用户名等信息识别业务流程顺序,根据业务流程顺序对至少两个API流量中的API流量进行排序,构建得到至少一个数据序列。
例如,可以将顾客在一段时间内的购物数据拼接成数据序列,顾客的购买数据包括:用户登陆应用程序(APP,Application)、添加商品到购物车和商品结算。这是一条业务访问流程,对应3个API流量,将这3个API流量按照业务流程进行排序,得到一个数据序列。
每一个数据序列都对应一种业务访问流程,一个数据序列中是同一个用户的数据,并且数据对应同一个业务访问流程。在实际应用中,对于数据序列中的数据,通过解析API流量的请求头、响应头、响应体等信息,获取业务流程信息及业务参数信息,将这些信息以元组形式保存。
S102,对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系。
参考图2,在一实施例中,所述对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列,包括:
S201,获取每个数据序列中满足最小支持度阈值的子序列。
S202,将满足最小支持度阈值的子序列确定为对应的数据序列的频繁子序列。
关联规则挖掘(Association Rule Mining):关联规则是形如X→Y的蕴涵式,其中,X和Y分别称为关联规则的先导(antecedent或left-hand-side)和后继(consequent或right-hand-side)。其中,关联规则XY存在支持度和信任度。从数据库中发现频繁出现的多个相关联数据项的过程,称为关联规则挖掘。
对数据序列进行关联规则挖掘,指给定一个由不同序列组成的集合,其中,每个序列由不同的元素按顺序有序排列,同时给定一个用户指定的最小支持度阈值,关联规则挖掘就是找出所有的频繁子序列,即在序列集中的出现频率不低于用户指定的最小支持度阈值的子序列。
例如序列t和序列s,如果序列t中每个有序元素都是序列s中的一个有序元素的子集,那么序列t是序列s的子序列。即t=<t1,t2,…,tm>,s=<s1,s2,...,sn>,存在整数1≤j1<j2<…<jm<n,使得
在本发明实施例中,序列中的元素指API流量的参数,例如可以是用户名、商品名称、商品金额、网页地址等参数。
以购物场景为例,一个数据序列为:登陆APP(提交参数:姓名name)-加入购物车(提交参数:客户姓名custom_name,商品ID)-提交订单(提交参数:客户姓名cu_name,商品ID,订单ID)-购买成功。
对该数据序列进行关联规则挖掘,可以得到两条频繁子序列,频繁子序列1:登陆APP(name)-加入购物车(custom_name)-提交订单(cu_name);频繁子序列2:加入购物车(商品ID)-提交订单(商品ID)。
不同API端口提交的参数名称可能不同,例如custom_name、cu_name和name,但是参数值都是一致的,可以理解为属于一条数据传播链。
根据上述购物场景可以得知,参数在数据上下文中隐含逻辑关系,比如上述频繁子序列1中各个API端口的用户名需要保持一致,频繁子序列2中各个API端口的商品ID需要保持一致,这就是参数在API流量上下文中的逻辑关系。对数据序列进行关联规则挖掘,也就是挖掘参数在API流量上下文中的逻辑关系。
频繁子序列中的元素之间具有依赖关系,这个依赖关系就是参数在API流量上下文中的逻辑关系,例如上述频繁子序列2:加入购物车(商品ID)-提交订单(商品ID),这个依赖关系为参数值相同,表示加入购物车时的商品ID和提交订单时的商品ID需要保持一致。
除了参数值相同,依赖关系还有倍数关系、递增/递减关系等。
S103,基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素。
将每个频繁子序列中的元素,设置为所述第一模型的一个参数集的参数,并将频繁子序列中的元素的依赖关系写入对应的参数集中,以此构建得到所述第一模型的参数集。
根据每个数据序列对应的至少一个频繁子序列,构建第一模型的至少一个参数集。一个参数集对应一个频繁子序列,参数集中的参数也就是频繁子序列中的元素,参数的依赖关系也就是元素的依赖关系。第一模型可以包括多个参数集,第一模型基于参数集中参数的依赖关系检测访问流量是否存在异常。
上述模型构建方法主要用于构建第一模型的参数集,第一模型用于执行上述异常访问检测方法,第一模型在进行异常访问检测时,用于检测访问数据中的参数是否满足对应的参数集中参数的依赖关系。
参考图3,图3是本发明实施例提供的一种异常访问检测方法的实现流程示意图,所述异常访问检测方法可以由第一模型执行,所述异常访问检测方法的物理执行主体可以是台式电脑、笔记本电脑等电子设备,第一模型实现的功能可通过电子设备中的处理器实现。异常访问检测方法包括:
S301,确定第一访问流量对应的至少两个API端点;所述第一访问流量表征一种业务访问流程。
这里,第一访问流量并不是单指一条访问流量,而是指一个业务访问流程对应的全部访问流量。例如,用户从登陆购物APP到购买成功,这一个业务访问流程所对应的访问流量都属于第一访问流量。
用户需要通过API端点与应用程序进行交互,因此一个业务访问流程可能涉及多个API端点,比如在购物场景中,用户需要通过API登录端口进行用户登录,需要通过API下单端口进行下单。
通过对第一访问流量进行解析,可以得到第一访问流量对应的至少两个API端点的端点信息,例如上述API登录端口和API下单端口。
S302,确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系。
这里,参数集是第一模型在构建过程中学习得到的,由历史API流量学习得到第一模型的参数集,第一模型包括至少一个参数集,每个参数集包括至少两个参数,至少两个参数之间具有设定的依赖关系。
参数集中参数的依赖关系表示参数在API流量上下文中的逻辑关系,每一个参数集对应一种业务访问流程,因此每一个参数集都对应至少两个API端点,将参数集与API端点的对应关系存储在数据库中,在确定第一访问流量对应的至少两个API端点后,获取数据库中与至少两个API端点对应的参数集。
S303,获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
确定至少两个API端点对应的参数集后,可以知道对应的参数集中的参数名称,根据参数集中的参数名称,获取第一访问流量的至少两个参数的参数值。
例如,参数集为登陆APP(name)--提交订单(cu_name),从第一访问流量中获取得到参数name的参数值为xiaowang,以及参数cu_name的参数值为xiaoli。
检测第一访问流量的至少两个参数的参数值之间,是否满足设定的依赖关系。
例如,在购物场景下,参数集为:登陆APP(name)--提交订单(cu_name),其依赖关系为参数值相同,即参数name和参数cu_name的参数值需要相同。如果第一访问流量中参数name的参数值为xiaowang,参数cu_name的参数值为xiaoli,由于参数name和参数cu_name的参数值并不相同,因此不满足参数集中设定的依赖关系。
第一访问流量中至少两个参数的参数值不相同,其原因可能是攻击者进行了参数篡改,导致参数在数据上下文中的逻辑关系遭到了破坏,因此确定第一访问流量为异常访问流量。
在一实施例中,所述所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在各个参数值之间满足所述设定的依赖关系的情况下,得到所述第一访问流量为正常访问流量的检测结果;
在各个参数值之间不满足所述设定的依赖关系的情况下,得到所述第一访问流量为异常访问流量的检测结果。
如果第一访问流量的至少两个参数的参数值之间满足设定的依赖关系,说明第一访问流量中的至少两个参数满足参数在API流量上下文中的逻辑关系,确定第一访问流量为正常访问流量。如果第一访问流量的至少两个参数的参数值之间不满足设定的依赖关系,说明第一访问流量中的至少两个参数不满足参数在API流量上下文中的逻辑关系,确定第一访问流量为异常访问流量。
在一实施例中,在所述设定的依赖关系表征为参数值相同的情况下,所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在所述第一访问流量的所述至少两个参数各自对应的参数值全部相同的情况下,得到所述第一访问流量为正常访问流量的检测结果。
例如在上述购物场景下,参数name和参数cu_name的参数值应当保持一致,如果一致,确定第一访问流量为正常访问流量;如果不一致,认为用户名遭到了篡改,确定第一访问流量为异常访问流量。
除了上述购物场景,本发明实施例提供的异常访问检测方法还可以检测多种参数篡改行为,例如以下4种参数篡改行为:
1、修改工作流中一致参数,例如餐馆的预定流程中,同一用户预定标签“bookingflag=False/True”不变,对此类参数进行篡改,可以通过第一模型检测出来。
2、删除工作流中必现参数,例如API登录接口,删除登录状态字段“login_state=FALSE”,此类参数篡改行为,也可以通过第一模型检测出来。
3、增加工作流中不必要参数,例如登录接口,增加admin等字段信息,尝试绕过登陆。此类增加字段的参数篡改行为,也可以通过第一模型检测出来。
4、混淆工作流中参数,例如登录接口“username=xiaozhang&username=xiaoli&username=xiaowang”,此类参数篡改行为,也可以通过第一模型检测出来。
在实际应用中,如果检测出异常访问数据,可以进行告警,通知用户进行安全维护。
本发明实施例通过确定第一访问流量对应的API端点,确定至少两个API端点对应的参数集,获取第一访问流量的至少两个参数各自对应的参数值,检测各个参数值之间是否满足设定的依赖关系,得到检测结果。其中,检测结果表征第一访问流量是否为异常访问流量,第一访问流量表征一种业务访问流程,参数集包括至少两个参数,至少两个参数之间具有设定的依赖关系。本发明实施例以参数集中的参数的依赖关系作为异常访问数据的检测原理,通过参数的依赖关系可以识别API流量的逻辑错误,能够针对API逻辑漏洞层面的参数篡改行为进行检测,克服了仅关注单一维度参数异常的检测方案在解决API安全上的局限性。
参考图4,图4是本发明实施例提供的一种异常检测流程的示意图,异常检测流程包括:
第一步,API接口识别和流量提取。
从历史流量数据中过滤出API流量,可以采用Host聚类,参数过滤,请求方法过滤,响应码过滤等过滤方法从历史流量数据中过滤得到API流量,将API流量保存为API审计日志。
在一实施例中,本发明实施例只从历史网络流量中提取RestAPI流量,根据设定好的RestAPI传参格式和规范要求,提取RestAPI流量。由于RestAPI可能存在某一级路径为可变参数,例如,baiduV1.com和baiduV2.com都指向同一个RestAPI,因此还需要识别可变参数部分,将指向相同RestAPI的API流量进行合并。
第二步,构建业务流程序列。
业务流程序列即为上述实施例中的数据序列,利用同一用户与应用程序功能交互的网络轨迹,根据时间戳、请求头、用户等信息识别业务流程顺序,构建各个业务流程序列。以用户IP为学习维度,依据时间顺序记录API流量,对于API流量中的数据,通过解析API流量的请求头、响应头、响应体等信息,获取业务流程信息及业务参数信息,将这些信息以元组形式保存。
第三步,数据传播模型构建。
数据传播模型即为上述实施例中的第一模型。通过对业务流程序列进行关联规则挖掘,得到数据传播模型的参数集。参数集是一组具有相互依赖关系的参数,在HTTP会话期间在客户端和服务端之间来回发送。数据经过客户端和服务端,用于限制会话状态转移范围,或指示用户权限,表明当前会话状态。
序列模式关联规则挖掘指给定一个由不同序列组成的集合,其中,每个序列由不同的元素按顺序有序排列,每个元素(交易)由不同项目组成,同时给定一个用户指定的最小支持度阈值,序列模式挖掘就是找出所有的频繁子序列,即该子序列在序列集中的出现频率不低于用户指定的最小支持度阈值。
本发明实施例基于序列模式关联规则挖掘参数在业务数据流间的逻辑关系,并以此作为异常检测判定原理。
第四步,判定是否存在参数篡改。
基于上述数据传播模型检测访问流量是否存在参数篡改,提取访问数据中API端点的参数值,检测访问数据中的参数是否满足对应的参数集中参数的依赖关系。如果满足依赖关系,则确定访问数据是正常数据;如果不满足依赖关系,则进行告警。
本发明实施例关注参数在业务数据上下文中的逻辑关系,基于序列模式关联规则挖掘参数在API流量上下文中的逻辑关系,构建参数集,将之作为数据传播模型进行异常检测的判定原理,能够识别数据流逻辑错误,能够针对API逻辑漏洞层面的参数篡改行为进行检测,克服了仅关注单一维度参数异常的检测方案在解决API安全上的局限性。
应理解,上述实施例中各步骤的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和“包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
需要说明的是,本发明实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本发明实施例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
参考图5,图5是本发明实施例提供的一种异常访问检测装置的示意图,如图5所示,该异常访问检测装置包括:第一确定模块、第二确定模块和检测模块。
第一确定模块,用于确定第一访问流量对应的至少两个应用程序编程接口API端点;所述第一访问流量表征一种业务访问流程;
第二确定模块,用于确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系;
检测模块,用于获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
在一实施例中,检测模块具体用于:
在各个参数值之间满足所述设定的依赖关系的情况下,得到所述第一访问流量为正常访问流量的检测结果;
在各个参数值之间不满足所述设定的依赖关系的情况下,得到所述第一访问流量为异常访问流量的检测结果。
在一实施例中,在所述设定的依赖关系为参数值相同的情况下,检测模块具体用于:
在所述第一访问流量的所述至少两个参数各自对应的参数值全部相同的情况下,得到所述第一访问流量为正常访问流量的检测结果。
参考图6,图6是本发明实施例提供的一种模型构建装置的示意图,如图6所示,该模型构建装置包括:第一构建模块、关联挖掘模块和第二构建模块。
第一构建模块,用于基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程;
关联挖掘模块,用于对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系;所述元素表征API流量的参数;
第二构建模块,用于基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素;所述第一模型用于执行上述异常访问检测方法。
在一实施例中,关联挖掘模块对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列,包括:
获取每个数据序列中满足最小支持度阈值的子序列;
将满足最小支持度阈值的子序列确定为对应的数据序列的频繁子序列。
在一实施例中,第一构建模块基于至少两个API流量,构建至少一个数据序列,包括:
将所述至少两个API流量按照时间戳增序排列,得到所述至少一个数据序列。
在一实施例中,所述装置还包括:
过滤模块,基于设定过滤方法对历史网络流量进行过滤,过滤得到所述至少两个API流量;
其中,所述API流量表征为表现层状态转移RestAPI流量。
实际应用时,所述第一确定模块、第二确定模块、检测模块、第一构建模块、关联挖掘模块和第二构建模块可通过电子设备中的处理器,比如中央处理器(CPU,CentralProcessing Unit)、数字信号处理器(DSP,Digital Signal Processor)、微控制单元(MCU,MicrocontrollerUnit)或可编程门阵列(FPGA,Field-Programmable GateArray)等实现。
需要说明的是:上述实施例提供的异常访问检测装置在进行异常访问检测时,仅以上述各模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的模块完成,即将装置的内部结构划分成不同的模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的异常访问检测装置与异常访问检测方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
上述异常访问检测装置可以是镜像文件形式,该镜像文件被执行后,可以以容器或者虚拟机的形式运行,以实现本申请所述的异常访问检测方法。当然也不局限为镜像文件形式,只要能够实现本申请所述的数据处理方法的一些软件形式都在本申请的保护范围之内。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种电子设备。图7为本申请实施例电子设备的硬件组成结构示意图,如图7所示,电子设备包括:
通信接口,能够与其它设备比如网络设备等进行信息交互;
处理器,与所述通信接口连接,以实现与其它设备进行信息交互,用于运行计算机程序时,执行上述电子设备侧一个或多个技术方案提供的方法。而所述计算机程序存储在存储器上。
当然,实际应用时,电子设备中的各个组件通过总线系统耦合在一起。可理解,总线系统用于实现这些组件之间的连接通信。总线系统除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图7中将各种总线都标为总线系统。
上述电子设备可以是集群形式,比如是云计算平台形式,所谓云计算平台是采用计算虚拟化、网络虚拟化、存储虚拟化技术把多个独立的服务器物理硬件资源组织成池化资源的一种业务形态,它是一种基于虚拟化技术发展基础上软件定义资源的结构,可以提供虚拟机、容器等形态的资源能力。通过消除硬件与操作系统之间的固定关系,依赖网络的连通统一资源调度,然后提供所需要的虚拟资源和服务,是一种新型的IT,软件交付模式,具备灵活,弹性,分布式,多租户,按需等特点。
目前的云计算平台支持几种服务模式:
SaaS(Software as a Service,软件即服务):云计算平台用户无需购买软件,而改为租用部署于云计算平台的软件,用户无需对软件进行维护,软件服务提供商会全权管理和维护软件;
PaaS(Platform as a Service,平台即服务):云计算平台用户(此时通常为软件开发商)可以在云计算平台提供的架构上建设新的应用,或者扩展已有的应用,同时却不必购买开发、质量控制或生产服务器;
IaaS(Infrastructure as a Service,基础架构即服务):云计算平台通过互联网提供了数据中心、基础架构硬件和软件资源,IaaS模式下的云计算平台可以提供服务器、操作系统、磁盘存储、数据库和/或信息资源。
本申请实施例中的存储器用于存储各种类型的数据以支持电子设备的操作。这些数据的示例包括:用于在电子设备上操作的任何计算机程序。
可以理解,存储器可以是易失性存储器或非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random AccessMemory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,SynchronousDynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random Access Memory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random Access Memory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
上述本申请实施例揭示的方法可以应用于处理器中,或者由处理器实现。处理器可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器可以是通用处理器、DSP,或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。处理器可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器,处理器读取存储器中的程序,结合其硬件完成前述方法的步骤。
可选地,所述处理器执行所述程序时实现本申请实施例的各个方法中由电子设备实现的相应流程,为了简洁,在此不再赘述。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的第一存储器,上述计算机程序可由电子设备的处理器执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置、电子设备和方法,可以通过其它的方式实现。以上所描述的设备实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,如:多个单元或组件可以结合,或可以集成到另一个系统,或一些特征可以忽略,或不执行。另外,所显示或讨论的各组成部分相互之间的耦合、或直接耦合、或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性的、机械的或其它形式的。
上述作为分离部件说明的单元可以是、或也可以不是物理上分开的,作为单元显示的部件可以是、或也可以不是物理单元,即可以位于一个地方,也可以分布到多个网络单元上;可以根据实际的需要选择其中的部分或全部单元来实现本实施例方案的目的。
另外,在本申请各实施例中的各功能单元可以全部集成在一个处理单元中,也可以是各单元分别单独作为一个单元,也可以两个或两个以上单元集成在一个单元中;上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
或者,本申请上述集成的单元如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本申请各个实施例所述方法的全部或部分。而前述的存储介质包括:移动存储设备、ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
需要说明的是,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
另外,在本申请实例中,“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以所述权利要求的保护范围为准。
Claims (11)
1.一种异常访问检测方法,其特征在于,所述异常访问检测方法包括:
确定第一访问流量对应的至少两个应用程序编程接口API端点;所述第一访问流量表征一种业务访问流程;
确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系;
获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
2.根据权利要求1所述的方法,其特征在于,所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在各个参数值之间满足所述设定的依赖关系的情况下,得到所述第一访问流量为正常访问流量的检测结果;
在各个参数值之间不满足所述设定的依赖关系的情况下,得到所述第一访问流量为异常访问流量的检测结果。
3.根据权利要求1所述的方法,其特征在于,在所述设定的依赖关系表征为参数值相同的情况下,所述检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果,包括:
在所述第一访问流量的所述至少两个参数各自对应的参数值全部相同的情况下,得到所述第一访问流量为正常访问流量的检测结果。
4.一种模型构建方法,其特征在于,所述方法包括:
基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程;
对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系;所述元素表征API流量的参数;
基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素;所述第一模型用于执行如权利要求1所述的异常访问检测方法。
5.根据权利要求4所述的方法,其特征在于,所述对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列,包括:
获取每个数据序列中满足最小支持度阈值的子序列;
将满足最小支持度阈值的子序列确定为对应的数据序列的频繁子序列。
6.根据权利要求4所述的方法,其特征在于,所述基于至少两个API流量,构建至少一个数据序列,包括:
将所述至少两个API流量按照时间戳增序排列,得到所述至少一个数据序列。
7.根据权利要求4所述的方法,其特征在于,在基于至少两个API流量,构建至少一个数据序列之前,所述方法还包括:
基于设定过滤方法对历史网络流量进行过滤,过滤得到所述至少两个API流量。
8.一种异常访问检测装置,其特征在于,包括:
第一确定模块,用于确定第一访问流量对应的至少两个应用程序编程接口API端点;所述第一访问流量表征一种业务访问流程;
第二确定模块,用于确定所述至少两个API端点对应的参数集;所述参数集包括至少两个参数;所述至少两个参数之间具有设定的依赖关系;
检测模块,用于获取所述第一访问流量的所述至少两个参数各自对应的参数值,检测各个参数值之间是否满足所述设定的依赖关系,得到检测结果;所述检测结果表征所述第一访问流量是否为异常访问流量。
9.一种模型构建装置,其特征在于,包括:
第一构建模块,用于基于至少两个API流量,构建至少一个数据序列;所述至少一个数据序列中的每个数据序列表征一种业务访问流程;
关联挖掘模块,用于对所述至少一个数据序列进行关联规则挖掘,得到每个数据序列对应的至少一个频繁子序列;所述频繁子序列包括至少两个元素;所述至少两个元素之间具有依赖关系;所述元素表征API流量的参数;
第二构建模块,用于基于频繁子序列构建第一模型的参数集,并将频繁子序列中的元素的依赖关系写入对应的参数集中;所述参数集中的参数表征频繁子序列中的元素;所述第一模型用于执行如权利要求1所述的异常访问检测方法。
10.一种电子设备,包括存储器、处理器以及存储在所述存储器中并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现如权利要求1至7任一项所述的异常访问检测方法或权利要求8所述的模型构建方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序包括程序指令,所述程序指令当被处理器执行时使所述处理器执行如权利要求1至7任一项所述的异常访问检测方法或权利要求8所述的模型构建方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210405651.3A CN114826717B (zh) | 2022-04-18 | 2022-04-18 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210405651.3A CN114826717B (zh) | 2022-04-18 | 2022-04-18 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114826717A true CN114826717A (zh) | 2022-07-29 |
| CN114826717B CN114826717B (zh) | 2024-02-23 |
Family
ID=82537540
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210405651.3A Active CN114826717B (zh) | 2022-04-18 | 2022-04-18 | 一种异常访问检测方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114826717B (zh) |
Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101655857A (zh) * | 2009-09-18 | 2010-02-24 | 西安建筑科技大学 | 基于关联规则挖掘技术挖掘建设法规领域数据的方法 |
| CN101937447A (zh) * | 2010-06-07 | 2011-01-05 | 华为技术有限公司 | 一种告警关联规则挖掘方法、规则挖掘引擎及系统 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN106453149A (zh) * | 2016-09-30 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 基于用户应用自动分配带宽的无线wifi路由器及方法 |
| CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
| CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
| CN109344611A (zh) * | 2018-09-06 | 2019-02-15 | 平安普惠企业管理有限公司 | 应用的访问控制方法、终端设备及介质 |
| US20190080020A1 (en) * | 2017-09-08 | 2019-03-14 | International Business Machines Corporation | Sequential pattern mining |
| US20190114417A1 (en) * | 2017-10-13 | 2019-04-18 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
| US10437712B1 (en) * | 2018-06-20 | 2019-10-08 | Ca, Inc. | API functional-test generation |
| US20190384617A1 (en) * | 2018-06-13 | 2019-12-19 | International Business Machines Corporation | Application programming interface endpoint analysis and modification |
| CN111291353A (zh) * | 2020-02-05 | 2020-06-16 | 深信服科技股份有限公司 | 一种账号关联方法、装置以及计算机存储介质 |
| CN111526119A (zh) * | 2020-03-19 | 2020-08-11 | 北京三快在线科技有限公司 | 异常流量检测方法、装置、电子设备和计算机可读介质 |
| CN111966718A (zh) * | 2020-09-09 | 2020-11-20 | 支付宝(杭州)信息技术有限公司 | 用于应用系统的数据传播追踪的系统及方法 |
| US10917401B1 (en) * | 2020-03-24 | 2021-02-09 | Imperva, Inc. | Data leakage prevention over application programming interface |
| US20210042207A1 (en) * | 2019-08-05 | 2021-02-11 | EMC IP Holding Company LLC | Application programming interface security validation for system integration testing |
| US20210152555A1 (en) * | 2019-11-20 | 2021-05-20 | Royal Bank Of Canada | System and method for unauthorized activity detection |
| US20210216288A1 (en) * | 2020-01-13 | 2021-07-15 | Fujitsu Limited | Api-based software development platform |
| US20210240551A1 (en) * | 2020-01-31 | 2021-08-05 | EMC IP Holding Company LLC | Tracking application programming interface requests in a cloud computing system |
| CN113271322A (zh) * | 2021-07-20 | 2021-08-17 | 北京明略软件系统有限公司 | 异常流量的检测方法和装置、电子设备和存储介质 |
| CN113572752A (zh) * | 2021-07-20 | 2021-10-29 | 上海明略人工智能(集团)有限公司 | 异常流量的检测方法和装置、电子设备、存储介质 |
| CN113949560A (zh) * | 2021-10-15 | 2022-01-18 | 海尔数字科技(青岛)有限公司 | 网络安全的识别方法、装置、服务器及存储介质 |
| CN114301694A (zh) * | 2021-12-29 | 2022-04-08 | 赛尔网络有限公司 | 网络异常流量分析方法、装置、设备及介质 |
-
2022
- 2022-04-18 CN CN202210405651.3A patent/CN114826717B/zh active Active
Patent Citations (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101655857A (zh) * | 2009-09-18 | 2010-02-24 | 西安建筑科技大学 | 基于关联规则挖掘技术挖掘建设法规领域数据的方法 |
| CN101937447A (zh) * | 2010-06-07 | 2011-01-05 | 华为技术有限公司 | 一种告警关联规则挖掘方法、规则挖掘引擎及系统 |
| CN105357195A (zh) * | 2015-10-30 | 2016-02-24 | 深圳市深信服电子科技有限公司 | web访问的越权漏洞检测方法及装置 |
| CN106453149A (zh) * | 2016-09-30 | 2017-02-22 | 上海斐讯数据通信技术有限公司 | 基于用户应用自动分配带宽的无线wifi路由器及方法 |
| CN106789352A (zh) * | 2017-01-25 | 2017-05-31 | 北京兰云科技有限公司 | 一种网络异常流量检测方法和装置 |
| US20190080020A1 (en) * | 2017-09-08 | 2019-03-14 | International Business Machines Corporation | Sequential pattern mining |
| US20190114417A1 (en) * | 2017-10-13 | 2019-04-18 | Ping Identity Corporation | Methods and apparatus for analyzing sequences of application programming interface traffic to identify potential malicious actions |
| CN108616529A (zh) * | 2018-04-24 | 2018-10-02 | 成都信息工程大学 | 一种基于业务流的异常检测方法及系统 |
| US20190384617A1 (en) * | 2018-06-13 | 2019-12-19 | International Business Machines Corporation | Application programming interface endpoint analysis and modification |
| US10437712B1 (en) * | 2018-06-20 | 2019-10-08 | Ca, Inc. | API functional-test generation |
| CN109344611A (zh) * | 2018-09-06 | 2019-02-15 | 平安普惠企业管理有限公司 | 应用的访问控制方法、终端设备及介质 |
| US20210042207A1 (en) * | 2019-08-05 | 2021-02-11 | EMC IP Holding Company LLC | Application programming interface security validation for system integration testing |
| US20210152555A1 (en) * | 2019-11-20 | 2021-05-20 | Royal Bank Of Canada | System and method for unauthorized activity detection |
| US20210216288A1 (en) * | 2020-01-13 | 2021-07-15 | Fujitsu Limited | Api-based software development platform |
| US20210240551A1 (en) * | 2020-01-31 | 2021-08-05 | EMC IP Holding Company LLC | Tracking application programming interface requests in a cloud computing system |
| CN111291353A (zh) * | 2020-02-05 | 2020-06-16 | 深信服科技股份有限公司 | 一种账号关联方法、装置以及计算机存储介质 |
| CN111526119A (zh) * | 2020-03-19 | 2020-08-11 | 北京三快在线科技有限公司 | 异常流量检测方法、装置、电子设备和计算机可读介质 |
| US10917401B1 (en) * | 2020-03-24 | 2021-02-09 | Imperva, Inc. | Data leakage prevention over application programming interface |
| CN111966718A (zh) * | 2020-09-09 | 2020-11-20 | 支付宝(杭州)信息技术有限公司 | 用于应用系统的数据传播追踪的系统及方法 |
| CN113271322A (zh) * | 2021-07-20 | 2021-08-17 | 北京明略软件系统有限公司 | 异常流量的检测方法和装置、电子设备和存储介质 |
| CN113572752A (zh) * | 2021-07-20 | 2021-10-29 | 上海明略人工智能(集团)有限公司 | 异常流量的检测方法和装置、电子设备、存储介质 |
| CN113949560A (zh) * | 2021-10-15 | 2022-01-18 | 海尔数字科技(青岛)有限公司 | 网络安全的识别方法、装置、服务器及存储介质 |
| CN114301694A (zh) * | 2021-12-29 | 2022-04-08 | 赛尔网络有限公司 | 网络异常流量分析方法、装置、设备及介质 |
Non-Patent Citations (2)
| Title |
|---|
| 姚伟;: "业务系统异常行为检测", 邮电设计技术, no. 01, pages 70 - 73 * |
| 杜笑宇;叶何;文伟平;: "基于字节码搜索的Java反序列化漏洞调用链挖掘方法", 信息网络安全, no. 07, pages 25 - 35 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114826717B (zh) | 2024-02-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110249314B (zh) | 用于基于云的操作系统事件和数据访问监视的系统和方法 | |
| US8726383B2 (en) | Flow data for security intrusion detection | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| CN111064745B (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
| US20210294896A1 (en) | Endpoint detection and response attack process tree auto-play | |
| EP2871574A1 (en) | Analytics for application programming interfaces | |
| CN112491602B (zh) | 行为数据的监控方法、装置、计算机设备及介质 | |
| JP7069399B2 (ja) | コンピュータセキュリティインシデントを報告するためのシステムおよび方法 | |
| CN114650187B (zh) | 一种异常访问检测方法、装置、电子设备及存储介质 | |
| CN112769775B (zh) | 一种威胁情报关联分析方法、系统、设备及计算机介质 | |
| CN114066475A (zh) | 基于云支付的信息安全防护方法及服务器 | |
| CN111683084A (zh) | 一种智能合约入侵检测方法、装置、终端设备及存储介质 | |
| CN112738094A (zh) | 可扩展的网络安全漏洞监测方法、系统、终端及存储介质 | |
| US10614225B2 (en) | System and method for tracing data access and detecting abnormality in the same | |
| CN113378152A (zh) | 一种运维审计方法、装置、存储介质和电子设备 | |
| US20140222496A1 (en) | Determining cost and risk associated with assets of an information technology environment | |
| CN114826717A (zh) | 一种异常访问检测方法、装置、电子设备及存储介质 | |
| CN116071152A (zh) | 一种数据处理方法、装置、电子设备及存储介质 | |
| Chen et al. | System-Level Data Management for Endpoint Advanced Persistent Threat Detection: Issues, Challenges and Trends | |
| CN115310139A (zh) | 文件监控预警系统、方法、计算设备及计算机存储介质 | |
| CA3172788A1 (en) | Endpoint security using an action prediction model | |
| CN112003833A (zh) | 异常行为检测方法和装置 | |
| CN115118464B (zh) | 一种失陷主机检测方法、装置、电子设备及存储介质 | |
| US11853173B1 (en) | Log file manipulation detection | |
| US20240020391A1 (en) | Log-based vulnerabilities detection at runtime |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |