CN115333783A - Api调用的异常检测方法、装置、设备及存储介质 - Google Patents
Api调用的异常检测方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN115333783A CN115333783A CN202210846685.6A CN202210846685A CN115333783A CN 115333783 A CN115333783 A CN 115333783A CN 202210846685 A CN202210846685 A CN 202210846685A CN 115333783 A CN115333783 A CN 115333783A
- Authority
- CN
- China
- Prior art keywords
- abnormal
- behavior
- api
- detection
- detection result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 318
- 230000002159 abnormal effect Effects 0.000 claims abstract description 192
- 206010000117 Abnormal behaviour Diseases 0.000 claims abstract description 92
- 238000000034 method Methods 0.000 claims abstract description 32
- 230000005856 abnormality Effects 0.000 claims abstract description 16
- 230000006399 behavior Effects 0.000 claims description 220
- 238000004590 computer program Methods 0.000 claims description 16
- 238000012163 sequencing technique Methods 0.000 claims description 15
- 238000010276 construction Methods 0.000 claims description 5
- 230000002547 anomalous effect Effects 0.000 claims 2
- 238000004891 communication Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000013102 re-test Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000013473 artificial intelligence Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 238000010801 machine learning Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000001953 sensory effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D10/00—Energy efficient computing, e.g. low power processors, power management or thermal management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明实施例公开了一种API调用的异常检测方法、装置、设备及存储介质,该方法包括:通过基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;基于异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;若第一异常检测结果为检测通过,则将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息。上述技术方案,基于异常行为特征信息对当前API调用行为进行异常检测以及通过双重检测方法进行检测,可快速全面检测出API的异常调用行为,从而可提高API调用的安全性。
Description
技术领域
本发明实施例涉及计算机技术领域,尤其涉及一种API调用的异常检测方法、装置、设备及存储介质。
背景技术
现有的金融机构中在对应用程序编程接口(Application ProgrammingInterface,API)调用行为的异常进行检测时,主要是通过特征链式串行检测,即通过单一或多模块节点独立检测,需要基于风险预判前提下预先配置检测规则,触发相关规则时阻断风险API访问应用系统行为。
随着开放金融机构用户访问数量快速上升,通过识别风险再人工更新配置防护规则并串行检测的模式效率低下,不能快速发现API异常行为。同时,随着金融业务场景的不断拓宽和变化,伴随着API应用自身业务的频繁变更和异常点更新,API异常行为检测及决策集中在各防护节点模块,无法保障检测的全面性,也不利于应用系统及时感知异常行为情况以便提升自身API的健壮性。
发明内容
本发明实施例提供一种API调用的异常检测方法、装置、设备及存储介质,以实现快速全面检测出API的异常调用行为,提高API调用的安全性。
第一方面,本发明实施例提供了一种API调用的异常检测方法,包括:基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;
基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;
若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;
根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。
第二方面,本发明实施例还提供了一种API调用的异常检测装置,包括:
异常行为特征信息构建模块,用于基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;
第一异常检测模块,用于基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;
第二异常检测模块,用于若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;
更新模块,用于根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。
第三方面,本发明实施例还提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明实施例任一项所述的API调用的异常检测方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明实施例中任一项所述的API调用的异常检测方法。
本发明实施例的技术方案,通过基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。上述技术方案,基于所述异常行为特征信息对当前API调用行为进行异常检测以及通过双重检测方法进行检测,可快速全面检测出API的异常调用行为,从而可提高API调用的安全性。
附图说明
图1为本发明实施例一提供的一种API调用的异常检测方法的流程图;
图2为本发明实施例提供的另一种API调用的异常检测方法的流程图;
图3为本发明实施例二提供的一种API调用的异常检测装置的结构示意图;
图4是实现本发明实施例三的API调用的异常检测方法的电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种API调用的异常检测方法的流程图,本实施例可适用于对API异常调用行为检测的情况,该方法可以由一种API调用的异常检测装置来执行,具体包括如下步骤:
S110、基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息。
其中,API异常调用行为可以是API调用流量偏大、API调用访问敏感数据等异常行为,本实施例对具体的API异常调用行为不作限制。异常行为特征信息可以理解为由已识别的API异常调用行为构成的异常行为特征库。
本实施例,根据已经识别(历史)的API异常调用行为构建异常行为特征信息,可用于后续的API异常调用行为的检测。
可选的,基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息的方式可以是:获取已识别的API异常调用行为的类别信息及风险等级信息;基于类别信息对已识别的API异常调用行为进行分类,获得多个类别的API异常调用行为;基于风险等级信息分别对每个类别的API异常调用行为进行等级降序排序;对每个类别的API异常调用行为的风险等级信息进行融合,获得各类别的风险信息;将分类结果、排序结果及各类别的风险信息确定为异常行为特征信息。
其中,类别信息可以理解为API异常调用行为对应的类别信息,例如关键词缺失异常、字段缺失异常等类别信息。风险等级信息可以理解为API异常调用行为对应的风险值,不同的风险值对应不同的风险等级。风险值越高可理解为风险值等级越高。风险信息可以理解为每个类别的风险值。
具体的,每个类别下可包括多个API调用异常行为,每个API调用异常行为都有对应的风险值。对于API调用异常行为对应的风险值,初始时,可根据业务的需求配置初始风险值,后续可根据API调用异常行为的出现频率、影响程度进行更新。获取已识别的或历史的多个API异常调用行为,并获取对应的类别信息及风险等级信息,根据类别信息对各API异常调用行为进行分类,以将各API异常调用行为划分到不同的类别中,从而得到分类结果。例如有两个API异常调用行为,对应的类别信息为关键词缺失异常、字段缺失异常,可将该两个API异常调用行为归类到缺失类,该缺失类下包括该两个API异常调用行为。得到分类结果后,根据风险等级信息对每个类别下的API异常调用行为进行排序,相当于对每个类别下的API异常调用行为进行分级,具体可按照API异常调用行为对应的风险值从高到低进行降序排序,得到每个类别下API异常调用行为的排序结果,并对每个类别下的每一个API异常调用行为的风险值进行加权求和或加权平均,得到每个类别的风险信息(风险值),最终将API异常调用行为的分类结果、排序结果以及各类别的风险信息作为异常行为特征信息,即异常行为特征信息包括分类结果、排序结果以及各类别的风险信息。
S120、基于异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果。
具体的,在构建完异常行为特征信息之后,可将当前API调用行为与异常行为特征信息中的API异常调用行为进行匹配,若匹配,则第一异常检测结果为检测不通过,若不匹配,则第一异常检测结果为检测通过。
可选的,基于异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果的方式可以是:按照类别间并行检测、类别内按照排序结果串行检测的方式对当前API调用行为进行异常检测;若当前API调用行为与异常行为特征信息中的API异常调用行为匹配,则第一异常检测结果为检测不通过;若当前API调用行为与异常行为特征信息中的API异常调用行为不匹配,则第一异常检测结果为检测通过。
具体的,由于异常行为特征信息包括多个类别的API异常调用行为,每个类别下包括多个API异常调用行为,因此可按照类别并行检测,即基于所有类别的API异常调用行为同时对当前API调用行为进行匹配,而在每个类别下按照排序结果串行匹配,即按照每个类别下的API异常调用行为的排序结果,逐一进行匹配,若匹配成功,则表示当前API调用行为可能是异常行为,则第一异常检测结果为检测不通过,若匹配失败,则第一异常检测结果为检测通过。
可选的,按照类别间并行检测、类别内按照排序结果串行检测的方式对当前API调用行为进行异常检测的方式可以是:按照类别间并行检测、类别内按照排序结果串行的方式遍历异常行为特征信息中的API异常调用行为;将遍历到的API异常调用行为与当前API调用行为进行比对。
具体的,可按照类间并行匹配以及类内串行匹配的方式遍历异常行为特征信息中的API异常调用行为,在遍历的过程中,将当前API调用行为与异常行为特征信息中的API异常调用行为进行一一比对。本实施例,基于异常行为特征信息对当前API调用行为进行类别间并行检测以及类别内按照排序结果串行的方式进行检测的方法,可提高API异常调用行为的检测效率。
S130、若第一异常检测结果为检测通过,则将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果。
其中,API应用模块可理解为提供API接口的应用程序,用于对当前API调用行为进行复检。第二异常检测结果为API应用模块检测的结果,可分为复检通过和复检不通过。具体的,如果第一异常检测结果为检测通过,即对于当前API调用行为,在异常行为特征信息中没有匹配到API异常调用行为,可将当前API调用行为发送给API应用模块进行复检,可得到第二异常检测结果。
可选的,在获得第一异常检测结果之后还包括:若第一异常检测结果为检测不通过,则判断当前API调用行为对应的API异常调用行为所属类别的风险信息是否小于设定阈值;若风险信息小于设定阈值,则将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果。
具体的,如果第一异常检测结果为检测不通过,即对于当前API调用行为,在异常行为特征信息中匹配到了API异常调用行为,则判断当前API调用行为对应的API异常调用行为所属类别的风险信息是否小于设定阈值,如果风险信息小于设定阈值,则将当前API调用行为发送给API应用模块进行复检,可得到第二异常检测结果。如过当前API调用行为对应的API异常调用行为所属类别的风险信息大于设定阈值,可以理解为当前API调用行为对应的API异常调用行为所属类别的风险很高,当前API调用行为是异常行为,无需再进行复检。
S140、根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息。
具体的,在第一异常检测结果的基础上,再结合复检的第二异常检测结果,确定当前API调用行为的最终检测结果。若经过复检后,第二异常检测结果(目标检测结果)为检测不通过,表示当前API调用行为异常行为,则可进行报警,并将进行当前API调用行为补入至异常行为特征信息中。本实施例,通过对当前API调用行为的双重检测,可根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,可保证API异常调用行为检测的全面性,并且还可根据目标检测结果更新异常行为特征信息,从而可形成动态的异常行为特征信息,可提高后续API异常调用行为的检测速度,具有一定的扩展性。
可选的,根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息的方式可以是:若第二异常检测结果为检测不通过,则目标检测结果为检测不通过;将当前API调用行为作为新的API异常调用行为添加至异常行为特征信息。
具体的,如果第一异常检测结果为检测通过,复检后,如果第二异常检测结果为检测不通过,那么目标检测结果为检测不通过,即存在漏检的异常行为,则可认为当前API调用行为是新的API异常调用行为,则可先确定当前API调用行为在异常行为特征信息中所对应的类别,将当前API调用行为添加至对应的类别下,并可对该类别下的API异常调用行为重新进行排序,以及重新计算该类别的风险信息。
可选的,根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息的方式可以是:若第二异常检测结果为检测通过,则目标检测结果为检测通过,并将当前API调用行为对应的API异常调用行为从异常行为特征信息中删除,且更新删除的API异常调用行为所属类别的风险信息;若第二异常检测结果为检测不通过,则目标检测结果为检测不通过,并将当前API调用行为对应的API异常调用行为的风险等级信息调高,且更新提高的API异常调用行为所属类别的风险信息。
具体的,如果第一异常检测结果为检测不通过,经过复检后,如果第二异常检测结果为检测通过,那么目标检测结果为检测通过,即存在误判的异常行为,则可将当前API调用行为对应的API异常调用行为从异常行为特征信息中删除,并重新计算删除的API异常调用行为所属类别的风险信息。如果第一异常检测结果为检测不通过,经过复检后,如果第二异常检测结果为检测不通过,那么目标检测结果为检测不通过,则可将当前API调用行为对应的API异常调用行为的风险等级信息调高,且更新提高的API异常调用行为所属类别的风险信息。
示例性的,图2为本发明实施例提供的另一种API调用的异常检测方法的流程图。具体步骤如下:
S201、基于异常行为特征信息对当前API调用行为进行异常检测,得到第一异常检测结果,若第一异常检测结果为检测通过,则执行S202,否则第一异常检测结果为检测不通过,则执行S205。
S202、将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果,若第二异常检测结果为检测通过,则执行S203,否则,若第二异常检测结果为检测不通过,则执行S204。
S203、结束API调用的异常检测。
S204、进行报警,并将当前API调用行为作为新的API异常调用行为添加至异常行为特征信息,并执行S203。
S205、进行报警,并对当前API调用行为进行拦截,并判断当前API调用行为对应的API异常调用行为所属类别的风险信息是否小于设定阈值,若风险信息小于设定阈值,则执行S206,否则,执行S203。
S206、将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果,若第二异常检测结果为检测不通过,则执行S207,若第二异常检测结果为检测通过,则执行S208。
S207、将当前API调用行为对应的API异常调用行为的风险等级信息调高,且更新提高的API异常调用行为所属类别的风险信息,并执行S203。
S208、将当前API调用行为对应的API异常调用行为从异常行为特征信息中删除,且更新删除的API异常调用行为所属类别的风险信息,并执行S203。
本发明实施例的技术方案,通过基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;基于异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;若第一异常检测结果为检测通过,则将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息。上述技术方案,基于异常行为特征信息对当前API调用行为进行异常检测以及通过双重检测方法进行检测,可快速全面检测出API的异常调用行为,从而可提高API调用的安全性。
实施例二
图3为本发明实施例提供的一种API调用的异常检测装置的结构示意图。如图3所示,该装置包括:异常行为特征信息构建模块301、第一异常检测模块302、第二异常检测模块303以及更新模块304;
异常行为特征信息构建模块301,用于基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;
第一异常检测模块302,用于基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;
第二异常检测模块303,用于若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;
更新模块304,用于根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。
本发明实施例的技术方案,通过异常行为特征信息构建模块基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;通过第一异常检测模块基于异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;通过第二异常检测模块若第一异常检测结果为检测通过,则将当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;通过更新模块根据第一异常检测结果和第二异常检测结果确定当前API调用行为的目标检测结果,并根据目标检测结果更新异常行为特征信息。上述技术方案,基于异常行为特征信息对当前API调用行为进行异常检测以及通过双重检测方法进行检测,可快速全面检测出API的异常调用行为,从而可提高API调用的安全性。
可选的,异常行为特征信息构建模块具体用于:获取已识别的API异常调用行为的类别信息及风险等级信息;基于所述类别信息对所述已识别的API异常调用行为进行分类,获得多个类别的API异常调用行为;基于所述风险等级信息分别对每个类别的API异常调用行为进行等级降序排序;对每个类别的API异常调用行为的风险等级信息进行融合,获得各类别的风险信息;将分类结果、排序结果及各类别的风险信息确定为异常行为特征信息。
可选的,第一异常检测模块具体用于:按照类别间并行检测、类别内按照排序结果串行检测的方式对当前API调用行为进行异常检测;若所述当前API调用行为与所述异常行为特征信息中的API异常调用行为匹配,则第一异常检测结果为检测不通过;若所述当前API调用行为与所述异常行为特征信息中的API异常调用行为不匹配,则第一异常检测结果为检测通过。
可选的,第一异常检测模块还用于:按照类别间并行检测、类别内按照所述排序结果串行的方式遍历异常行为特征信息中的API异常调用行为;将遍历到的API异常调用行为与所述当前API调用行为进行比对。
可选的,更新模块具体用于:若所述第二异常检测结果为检测不通过,则所述目标检测结果为检测不通过;将所述当前API调用行为作为新的API异常调用行为添加至所述异常行为特征信息。
可选的,在获得第一异常检测结果之后,第二异常检测模块还用于:若所述第一异常检测结果为检测不通过,则判断所述当前API调用行为对应的API异常调用行为所属类别的风险信息是否小于设定阈值;若风险信息小于设定阈值,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果。
可选的,更新模块还用于:若所述第二异常检测结果为检测通过,则所述目标检测结果为检测通过,并将所述当前API调用行为对应的API异常调用行为从所述异常行为特征信息中删除,且更新删除的API异常调用行为所属类别的风险信息;若所述第二异常检测结果为检测不通过,则所述目标检测结果为检测不通过,并将所述当前API调用行为对应的API异常调用行为的风险等级信息调高,且更新提高的API异常调用行为所属类别的风险信息。
上述装置可执行本发明前述所有实施例所提供的方法,具备执行上述方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节,可参见本发明前述所有实施例所提供的方法。
实施例三
图4示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图4所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如方法API调用的异常检测。
在一些实施例中,方法API调用的异常检测可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的方法API调用的异常检测的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法API调用的异常检测。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。
Claims (10)
1.一种API调用的异常检测方法,其特征在于,包括:
基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;
基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;
若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;
根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。
2.根据权利要求1所述的方法,其特征在于,基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息,包括:
获取已识别的API异常调用行为的类别信息及风险等级信息;
基于所述类别信息对所述已识别的API异常调用行为进行分类,获得多个类别的API异常调用行为;
基于所述风险等级信息分别对每个类别的API异常调用行为进行等级降序排序;
对每个类别的API异常调用行为的风险等级信息进行融合,获得各类别的风险信息;
将分类结果、排序结果及各类别的风险信息确定为异常行为特征信息。
3.根据权利要求2所述的方法,其特征在于,基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果,包括:
按照类别间并行检测、类别内按照排序结果串行检测的方式对当前API调用行为进行异常检测;
若所述当前API调用行为与所述异常行为特征信息中的API异常调用行为匹配,则第一异常检测结果为检测不通过;
若所述当前API调用行为与所述异常行为特征信息中的API异常调用行为不匹配,则第一异常检测结果为检测通过。
4.根据权利要求3所述的方法,其特征在于,按照类别间并行检测、类别内按照排序结果串行检测的方式对当前API调用行为进行异常检测,包括:
按照类别间并行检测、类别内按照所述排序结果串行的方式遍历异常行为特征信息中的API异常调用行为;
将遍历到的API异常调用行为与所述当前API调用行为进行比对。
5.根据权利要求1所述的方法,其特征在于,根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息,包括:
若所述第二异常检测结果为检测不通过,则所述目标检测结果为检测不通过;
将所述当前API调用行为作为新的API异常调用行为添加至所述异常行为特征信息。
6.根据权利要求2所述的方法,其特征在于,在获得第一异常检测结果之后还包括:
若所述第一异常检测结果为检测不通过,则判断所述当前API调用行为对应的API异常调用行为所属类别的风险信息是否小于设定阈值;
若风险信息小于设定阈值,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果。
7.根据权利要求6所述的方法,其特征在于,根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息,包括:
若所述第二异常检测结果为检测通过,则所述目标检测结果为检测通过,并将所述当前API调用行为对应的API异常调用行为从所述异常行为特征信息中删除,且更新删除的API异常调用行为所属类别的风险信息;
若所述第二异常检测结果为检测不通过,则所述目标检测结果为检测不通过,并将所述当前API调用行为对应的API异常调用行为的风险等级信息调高,且更新提高的API异常调用行为所属类别的风险信息。
8.一种API调用的异常检测装置,其特征在于,包括:
异常行为特征信息构建模块,用于基于已识别的应用程序编程接口API异常调用行为构建异常行为特征信息;
第一异常检测模块,用于基于所述异常行为特征信息对当前API调用行为进行异常检测,获得第一异常检测结果;
第二异常检测模块,用于若所述第一异常检测结果为检测通过,则将所述当前API调用行为发送至API应用模块进行异常检测,获得第二异常检测结果;
更新模块,用于根据所述第一异常检测结果和所述第二异常检测结果确定所述当前API调用行为的目标检测结果,并根据所述目标检测结果更新所述异常行为特征信息。
9.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的API调用的异常检测方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的API调用的异常检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210846685.6A CN115333783B (zh) | 2022-07-05 | 2022-07-05 | Api调用的异常检测方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210846685.6A CN115333783B (zh) | 2022-07-05 | 2022-07-05 | Api调用的异常检测方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115333783A true CN115333783A (zh) | 2022-11-11 |
| CN115333783B CN115333783B (zh) | 2024-08-09 |
Family
ID=83916900
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210846685.6A Active CN115333783B (zh) | 2022-07-05 | 2022-07-05 | Api调用的异常检测方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115333783B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055171A (zh) * | 2023-01-10 | 2023-05-02 | 深圳崎点数据有限公司 | 一种防火墙端口管理方法及系统 |
| CN117786656A (zh) * | 2023-12-25 | 2024-03-29 | 北京天融信网络安全技术有限公司 | 一种api识别方法、装置、电子设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180077020A (ko) * | 2016-12-28 | 2018-07-06 | 삼성전자주식회사 | 이상 검출 장치 및 그 동작방법 |
| US20210096937A1 (en) * | 2019-10-01 | 2021-04-01 | Nagraj K. Naidu | Application programming interface anomaly detection |
| CN113919664A (zh) * | 2021-09-23 | 2022-01-11 | 上海浦东发展银行股份有限公司 | Api资产风险控制方法、装置、计算机设备和存储介质 |
| CN114329469A (zh) * | 2021-12-24 | 2022-04-12 | 奇安信科技集团股份有限公司 | Api异常调用行为检测方法、装置、设备及存储介质 |
| CN114389834A (zh) * | 2021-11-26 | 2022-04-22 | 浪潮通信信息系统有限公司 | 一种api网关异常调用识别的方法、装置、设备及产品 |
-
2022
- 2022-07-05 CN CN202210846685.6A patent/CN115333783B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20180077020A (ko) * | 2016-12-28 | 2018-07-06 | 삼성전자주식회사 | 이상 검출 장치 및 그 동작방법 |
| US20210096937A1 (en) * | 2019-10-01 | 2021-04-01 | Nagraj K. Naidu | Application programming interface anomaly detection |
| CN113919664A (zh) * | 2021-09-23 | 2022-01-11 | 上海浦东发展银行股份有限公司 | Api资产风险控制方法、装置、计算机设备和存储介质 |
| CN114389834A (zh) * | 2021-11-26 | 2022-04-22 | 浪潮通信信息系统有限公司 | 一种api网关异常调用识别的方法、装置、设备及产品 |
| CN114329469A (zh) * | 2021-12-24 | 2022-04-12 | 奇安信科技集团股份有限公司 | Api异常调用行为检测方法、装置、设备及存储介质 |
Non-Patent Citations (2)
| Title |
|---|
| GASPARD BAYE; FATIMA HUSSAIN; ALMA ORACEVIC; RASHEED HUSSAIN; S.M. AHSAN KAZMI: "API Security in Large Enterprises: Leveraging Machine Learning for Anomaly Detection", 《IEEE》, 25 November 2021 (2021-11-25) * |
| 荣俸萍,方勇,左政,刘亮: "MACSPMD:基于恶意API调用序列模式挖掘的恶意代码检测", 《计算机科学》, 15 May 2018 (2018-05-15) * |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116055171A (zh) * | 2023-01-10 | 2023-05-02 | 深圳崎点数据有限公司 | 一种防火墙端口管理方法及系统 |
| CN116055171B (zh) * | 2023-01-10 | 2023-11-10 | 深圳市非常聚成科技有限公司 | 一种防火墙端口管理方法及系统 |
| CN117786656A (zh) * | 2023-12-25 | 2024-03-29 | 北京天融信网络安全技术有限公司 | 一种api识别方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115333783B (zh) | 2024-08-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN115333783A (zh) | Api调用的异常检测方法、装置、设备及存储介质 | |
| CN113010896B (zh) | 确定异常对象的方法、装置、设备、介质和程序产品 | |
| CN113065614B (zh) | 分类模型的训练方法和对目标对象进行分类的方法 | |
| CN113657249A (zh) | 训练方法、预测方法、装置、电子设备以及存储介质 | |
| CN116010220A (zh) | 一种告警诊断方法、装置、设备及存储介质 | |
| CN117474091A (zh) | 一种知识图谱构建方法、装置、设备及存储介质 | |
| CN113452700B (zh) | 处理安全信息的方法、装置、设备以及存储介质 | |
| CN115328621B (zh) | 基于区块链的事务处理方法、装置、设备及存储介质 | |
| CN115603955B (zh) | 异常访问对象识别方法、装置、设备和介质 | |
| CN116204843A (zh) | 一种异常账户的检测方法、装置、电子设备及存储介质 | |
| CN115601042A (zh) | 信息识别方法、装置、电子设备及存储介质 | |
| CN114581711A (zh) | 目标对象检测方法、装置、设备、存储介质以及程序产品 | |
| CN114492364A (zh) | 相同漏洞的判断方法、装置、设备和存储介质 | |
| CN113656422A (zh) | 人脸底库的更新方法及装置 | |
| CN118170617B (zh) | 集群异常的检测方法及装置、电子设备和存储介质 | |
| CN115422555B (zh) | 后门程序检测方法、装置、电子设备及存储介质 | |
| CN115378746B (zh) | 网络入侵检测规则生成方法、装置、设备以及存储介质 | |
| CN116112245A (zh) | 攻击检测方法、装置、电子设备及存储介质 | |
| CN115034893A (zh) | 深度学习模型的训练方法、风险评估方法和装置 | |
| CN117764759A (zh) | 主体集合的挖掘方法、装置、设备和介质 | |
| CN117670363A (zh) | 一种预警方法、装置、设备及存储介质 | |
| CN117493060A (zh) | 数据库组件异常检测方法、装置、设备及介质 | |
| CN114237701A (zh) | 代码处理方法、代码处理装置、电子设备以及存储介质 | |
| CN116245109A (zh) | 文本处理方法、装置及电子设备 | |
| CN115718919A (zh) | 固件木马检测定位方法、装置、电子设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |