CN116248340A - 接口攻击的检测方法、装置、电子设备及存储介质 - Google Patents

接口攻击的检测方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN116248340A
CN116248340A CN202211678112.3A CN202211678112A CN116248340A CN 116248340 A CN116248340 A CN 116248340A CN 202211678112 A CN202211678112 A CN 202211678112A CN 116248340 A CN116248340 A CN 116248340A
Authority
CN
China
Prior art keywords
access
triplet
attack
request
access request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211678112.3A
Other languages
English (en)
Inventor
秦弼时
李世勇
陈卉敏
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202211678112.3A priority Critical patent/CN116248340A/zh
Publication of CN116248340A publication Critical patent/CN116248340A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了一种接口攻击的检测方法、装置、电子设备及存储介质,涉及信息流、网络安全、人工智能以及机器学习等技术领域。具体实现方案为:获取接口的访问请求;基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及所述键信息对应的值信息;获取各所述访问三元组的访问特征信息;基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。本公开的技术,能够有效地提高接口攻击检测的效率。

Description

接口攻击的检测方法、装置、电子设备及存储介质
技术领域
本公开涉及计算机技术领域,具体涉及信息流、网络安全、人工智能以及机器学习等技术领域,尤其涉及一种接口攻击的检测方法、装置、电子设备及存储介质。
背景技术
随着互联网技术的发展,越来越多的接口暴露在互联网上,通过接口可以实现各种功能,如注册账号、发帖回帖、发送即时消息等。接口攻击通常表现为超文本传输协议(Hyper Text Transfer Protocol;HTTP)请求、或者安全超文本传输协议(HypertextTransfer Protocol Secure;HTTPS)请求。
发明内容
本公开提供了一种接口攻击的检测方法、装置、电子设备及存储介质。
根据本公开的一方面,提供了一种接口攻击的检测方法,包括:
获取接口的访问请求;
基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及所述键信息对应的值信息;
获取各所述访问三元组的访问特征信息;
基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。
根据本公开的另一方面,提供了一种接口攻击的检测装置,包括:
请求获取模块,用于获取接口的访问请求;
三元组获取模块,用于基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及所述键信息对应的值信息;
特征获取模块,用于获取各所述访问三元组的访问特征信息;
检测模块,用于基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。根据本公开的再一方面,提供了一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的方面和任一可能的实现方式的方法。
根据本公开的又一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,所述计算机指令用于使所述计算机执行如上所述的方面和任一可能的实现方式的方法。
根据本公开的再另一方面,提供了一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现如上所述的方面和任一可能的实现方式的方法。
根据本公开的技术,能够有效地提高接口攻击检测的效率。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1是根据本公开第一实施例的示意图;
图2是根据本公开第二实施例的示意图;
图3是根据本公开第三实施例的示意图;
图4是根据本公开第四实施例的示意图;
图5是用来实现本公开实施例的方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
需要说明的是,本公开实施例中所涉及的终端设备可以包括但不限于手机、个人数字助理(Personal Digital Assistant,PDA)、无线手持设备、平板电脑(TabletComputer)等智能设备;显示设备可以包括但不限于个人电脑、电视等具有显示功能的设备。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
传统识别接口攻击的方法,通常需要借助Token/Sign机制,这一方法需要配合客户端的软件开发工具包(Software Development Kit;SDK),并对Token/Sign产出机制进行保护。具体地,需要前端SDK和后端接口共同接入,且必须逐个接口接入,否则接口无法被保护;而通常情况下,后端通常有几十甚至上百个的接口,要对这些接口逐一接入比较困难。因此,现有的接口攻击的检测方案,接入成本高,接口攻击的检测效率低。
图1是根据本公开第一实施例的示意图;如图1所示,本实施例提供一种接口攻击的检测方法,具体可以包括如下步骤:
S101、获取接口的访问请求;
本实施例的接口的访问请求可以为浏览器发送的访问请求。
S102、基于访问请求,获取多个访问三元组;
各访问三元组包括(User Agent;UA)信息、头部(Header)的键(Key)信息以及该Key对应的值(Value)信息,即各访问三元组包括UA信息、Header Key和Header Value。
S103、获取各访问三元组的访问特征信息;
S104、基于访问请求的各访问三元组的访问特征信息和预先训练的可信评分模型,检测访问请求是否为攻击。
本实施例的接口攻击的检测方法的执行主体为接口攻击的检测装置,该装置可以部署在服务器的流量入口位置处,以对所有接口的访问请求进行检测,识别属于接口攻击的流量,以进行有效地阻止。
本实施例中,获取的接口的访问请求,可以为浏览器向任意接口发起的HTTP请求。
对于HTTP请求,HTTP header中可以包括有UA信息,以及多个Key以及每个Key对应的Value。在基于访问请求,获取访问三元组的时候,可以将UA分别与每个Key以及对应的Value构成一个访问三元组。这样的话,一个HTTP请求的header中,包括有多少个Key,则对应可以包括有多少个访问三元组。
访问三元组的访问特征信息可以基于访问三元组的所有访问信息来获取。
本实施例的接口攻击的检测方法,可以在不接入JS SDK前提下,对云端接口提供保护,能够有效地降低接入成本,提高接口攻击的检测效率。而且,本实施例的接口攻击检测方法,可以适用于检测任意接口的任意攻击,接口攻击检测的动态防护性能非常强,能够及时、准确、全面、持续地进行接口攻击地检测,并识别风险,有效地提高接口攻击的检测效率,增强接口的防护能力。
图2是根据本公开第一实施例的示意图;如图2所示,本实施例提供一种接口攻击的检测方法,具体可以包括如下步骤:
S201、获取接口的访问请求;
本实施例的接口的访问请求可以为浏览器接口的访问请求,也就是说,由浏览器接口向服务器发起的访问请求。
本实施例的接口攻击的检测方法的执行主体为接口攻击的检测装置,该接口攻击装置部署在服务器侧的流量入口处,以对服务器接收到的每个访问请求进行检测,以确定对应的访问请求是正常流量,还是存在接口攻击的风险。
S202、基于访问请求,获取头部的键序列顺序标识;
具体地,在访问请求的头部Header中包括有多个键(Key)信息,该步骤即用于获取Header中的Key的顺序标识,得到头部的键序列顺序标识。例如,在某个访问请求的Header中从前至后依次包括有Key1、Key2、Key3、Key4共4个key。对应地,基于该访问请求,可以获取到头部的键序列顺序标识可以为:【Key1、Key2、Key3】。
S203、基于头部的键序列顺序标识,检测访问请求是否为攻击;若是攻击,执行步骤S204;否则,执行步骤S205;
具体地,可以检测头部Header的键序列顺序标识是否符合预设的顺序关系;若不符合,确定访问请求为攻击。
例如,预设的顺序关系可以要求头部Header的键序列顺序标识按照由小到大的顺序标识Key,如可以为【Key1、Key2、Key3】。若头部Header的键序列顺序标识为【Key1、Key3、Key2】,则不符合预设的顺序关系。此时,可以认为该访问请求为攻击。
S204、拦截访问请求,结束。
S205、基于访问请求,获取多个访问三元组;各访问三元组包括UA信息、HeaderKey以及Header Vlaue;执行步骤S206;
本实施例的访问请求为浏览器发起的访问请求,该UA信息指的是浏览器的UA信息,Header Key和Header Value分别指的是访问请求的Header中的一对Key和对应的Value。该访问请求的Header中存在多少个Key,可以对应获取到多少个访问三元组。
S206、对于各访问三元组,获取对应的访问三元组的流量、IP以及历史行为维度的访问特征信息;执行步骤S207;
对于各访问三元组,获取当前时刻之前的预设时间长度内对应的访问三元组的如下访问特征信息:
基于该访问三元组发起的访问请求的次数、基于该访问三元组发起的正常访问请求的次数、基于该访问三元组发起的恶意攻击的次数、基于该访问三元组发起的访问请求中风险IP对应的访问请求的次数、以及基于该访问三元组发起的访问请求中对应的IP的数量、基于该访问三元组发起的访问请求中存在浏览器风险的访问请求的数量、基于该访问三元组发起的访问请求中对应的用户的数量、和基于该访问三元组发起的访问请求中风险用户的数量中的至少一个。
例如,预设时间长度内,基于该访问三元组发起的正常访问请求的次数越多,恶意攻击的次数越少,标识该访问三元组越可信。基于该访问三元组发起的访问请求中风险IP对应的访问请求的次数越多,标识该访问三元组越不可信。基于该访问三元组的访问请求中对应的IP的数量越少,标识恶意攻击的可能性越大,标识该访问三元组越不可信。基于该访问三元组发起的访问请求中存在浏览器风险的访问请求的数量越多,标识该访问三元组越不可信。基于该访问三元组发起的访问请求中对应的用户的数量越多,标识该访问三元组越可信;反之,基于该访问三元组发起的访问请求中对应的用户的数量越少,标识恶意攻击可能性越大,该访问三元组越不可信。基于该访问三元组发起的访问请求中风险用户的数量越多,标识该访问三元组越不可信。
上述访问特征信息,为访问三元组的流量、IP以及历史行为维度的特征信息,能够从多个维度更加准确、更加客观地标识访问三元组的访问特征,进而可以基于各访问三元组的访问特征信息,对访问请求进行更加准确地检测。
实际应用中,还可以获取更多、更丰富的访问特征信息,在此不再一一举例赘述。
本实施例的预设时间长度可以为1小时,2小时,或者其他时间长度。实际应用中,为了获取更加准确、更加全面、更加丰富地访问三元组的特征信息,可以同时获取当前时刻之前,多个不同预设时间长度内的上述特征信息,以更加准确地获取各访问三元组的评分。
S207、基于各访问三元组的访问特征信息,采用预先训练的可信评分模型,获取各访问三元组的评分;执行步骤S208;
具体地,对于各访问三元组,将该访问三元组的访问特征信息输入至可信评分模型,该可信评分模型输出该访问三元组的评分。
该可信评分模型输出的分值越接近于0,表示该访问三元组越可信。而输出的分值越高,表示该访问三元组越不可信。
S208、基于各访问三元组的评分,参考预设的评分阈值,确定多个访问三元组中是否存在不可信的访问三元组;若存在,执行步骤S209;否则,若不存在,确定该访问请求为正常流量,放行即可,结束。
具体地,可以检测各访问三元组的评分是否均小于或者等于评分阈值;若不是,即各访问三元组的评分中存在大于评分阈值的访问三元组,而访问三元组的评分若大于评分阈值,则说明该访问三元组存在风险。即此时可以确定多个访问三元组中存在不可信的访问三元组;进而可以确定该访问请求为攻击;进一步地,在接口攻击的检测装置中,可以拦截该访问请求,以避免攻击带来进一步地风险。
而若各访问三元组的评分均小于或者等于评分阈值,则可以认为该访问请求中的所有访问三元组都不存在风险,都是可信的。此时,可以确定该访问请求是正常流量,不存在任何攻击风险,放行即可。
S209、确定访问请求为攻击,执行步骤S204;
采用该方式的检测,能够非常快速、准确地检测到访问三元组中存在不可信的访问三元组,进而确定访问请求为攻击,检测方式准确、高效。
本实施例中,是先采用步骤S202和步骤S203,基于头部的键序列顺序标识,检测访问请求是否为攻击;若不是攻击时,进一步采用步骤S205-S209,基于访问请求的多个访问三元组,检测访问请求是否为攻击。可选地,实际应用中,也可以先采用步骤S205-S209,基于访问请求的多个访问三元组,检测访问请求是否为攻击;若不是攻击时,再进一步采用步骤S202和步骤S203,基于头部的键序列顺序标识,检测访问请求是否为攻击。总之,只有两种方式检测访问请求都不是攻击时,才能确定该访问请求不是攻击。只要其中一种方式,确定访问请求为攻击时,便确定该访问请求为攻击,并拦截该访问请求,避免攻击风险发生。
本实施例的可信评分模型,在训练的时候,采用可信的访问请求数据进行训练。例如,该可信评分模型的训练,具体可以包括如下步骤:
(1)获取多条可信访问请求;
例如,可以通过控制JS(Java Script)SDK向安全云端发送多条可信访问请求;并从安全云端获取多条可信访问请求;和/或
可以基于自动化测试套件,收集所有已知的安全浏览器列表,例如,可以包括全版本的Chrome、Firefox等浏览器。然后操控已知的安全浏览器列表中的浏览器向安全云端发起HTTP访问请求,这些访问请求也为可信访问请求。对应地,安全云端可以接收到多条可信访问请求;进而可以从安全云端获取到多条可信访问请求。
或者可选地,实际应用中,还可以获取多条原始访问请求;按照预设的可信访问请求筛选策略,从多条原始访问请求中筛选出多条可信访问请求。
该实现方式中的多条原始访问请求,可以为后端的服务器接收到的真实的访问流量。但是这些访问流量中有些是用户的正常的、可信的访问请求;而有些可能是恶意攻击。所以,需要按照预设的可信访问请求筛选策略,从多条原始访问请求中筛选出多条可信访问请求。
例如,预设的可信访问请求筛选策略可以基于用户的正常的历史访问请求统计的策略。例如,可以包括UA是合法浏览器的UA、Key的取值要合理、Key的顺序要合理、Value的取值要合理中的至少一个。例如,浏览器的可信访问请求的头部Header的Key中应包含内容类型Content-Type。IE浏览器的可信访问请求中不应包含允许跨域访问的标识Access-Control-Allow-Origin。对IE浏览器来说,其可信访问请求中的编码类型Accept-Encoding的取值不应包含br。
(2)基于各可信访问请求,获取对应的多个访问三元组;
参考上述实施例中从访问请求中获取多个访问三元组的方式,对于每一条可信访问请求,也可以获取到多个访问三元组。
(3)获取各访问三元组的访问特征信息;并配置各访问三元组的可信标签为0;即评分为0;
本实施例中,各访问三元组的访问特征信息的获取方式,参考上述实施例的记载,在此不再赘述。
本实施例中,配置各访问三元组的可信标签为0,即配置各访问三元组的评分为0。本实施例的评分规则,要求访问三元组的评分越低,即越接近于0,则标识访问三元组越可信;相反地,若访问三元组的评分越高,即越远离0,则标识访问三元组越不可信。
(4)基于各访问三元组的特征信息和可信标签,对可信评分模型进行训练。
本实施例中,选择多条可信访问请求对应的所有访问三元组的特征信息和对应的可信标签,对可信评分模型进行训练。由于访问请求为可信访问请求,对应的访问三元组也均为可信访问三元组,对应的可信标签评分都是0。可以理解为,本实施例中,对可信评分模型进行训练的训练数据均为正样本数据。通过该训练,可以使得可信评分模型学习基于访问三元组的访问特征信息,对访问三元组进行打分的能力。
训练完成后的可信评分模型,在使用时,对访问三元组的打分越低,表示访问三元组越可信,而对访问三元组的打分越高,表示访问三元组越不可信。具体可以结合预设的评分阈值来使用。例如,若可信评分模型对访问三元组的打分小于或者等于预设的评分阈值,则可以确定该访问三元组是可信的;而若可信评分模型对访问三元组的打分大于预设的评分阈值,则可以确定该访问三元组是不可信的。
例如,训练时,将各访问三元组的特征信息,输入至该可信评分模型,该可信评分模型基于输入的信息,预测一个评分。并基于可信标签的分值0和预测的评分,调整可信评分模型的参数,使得可信评分模型的预测评分与可信标签的分值趋于接近。采用多个可信访问请求的多个访问三元组的访问特征信息和对应的可信标签,按照上述方式,对该可信评分模型进行不断地训练,可以使得模型收敛,得到该可信评分模型。
本实施例的接口攻击的检测方法,通过检测头部Header的键序列顺序标识是否符合预设的顺序关系,若不符合,确定访问请求为攻击,能够提高接口攻击的检测效率。而若头部Header的键序列顺序标识符合预设的顺序关系,进一步基于各访问三元组的访问特征信息,采用预先训练的可信评分模型,获取各访问三元组的评分,若各访问三元组的评分不是均小于或者等于评分阈值;确定多个访问三元组中存在不可信的访问三元组,即确定访问请求为攻击,进行拦截。本实施例的方式,能够动态地进行接口攻击的检测,接口攻击检测的动态防护性能非常强,能够及时、准确、全面、持续地检测到接口攻击,有效地提高接口攻击的检测效率,增强接口的防护能力。
本实施例的接口攻击的检测方法,在应用时,部署在接入方的后端。在检测时,所有流量都进入接入方后端,采用本实施例的接口攻击的检测方法,可以对进入的所有流量进行检测,并在流量为接口攻击时,进行拦截。该方案,在不用接入JS SDK前提下,即可对云端接口提供保护,而且能够实现对各类接口进行安全防护,避免接口遭受风险攻击。
图3是根据本公开第三实施例的示意图;如图3所示,本实施例提供一种接口攻击的检测装置300,包括:
请求获取模块301,用于获取接口的访问请求;
三元组获取模块302,用于基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及键信息对应的值信息;
特征获取模块303,用于获取各所述访问三元组的访问特征信息;
检测模块304,用于基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。
本实施例的接口攻击的检测装置300,通过采用上述模块实现接口攻击检测的实现原理以及技术效果,与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
图4是根据本公开第四实施例的示意图;如图4所示,本实施例提供一种接口攻击的检测装置400,包括:与上述图3所述的同名同功能模块:请求获取模块401、三元组获取模块402、特征获取模块403和检测模块404。
在本实施例中,特征获取模块403,用于:
对于各所述访问三元组,获取对应的所述访问三元组的流量、IP以及历史行为维度的访问特征信息。
在本公开的一个实施例中,特征获取模块403,用于:
对于各所述访问三元组,获取当前时刻之前的预设时间长度内对应的所述访问三元组的如下访问特征信息:
基于所述访问三元组发起的访问请求的次数、基于所述访问三元组发起的正常访问请求的次数、基于所述访问三元组发起的恶意攻击的次数、基于所述访问三元组发起的访问请求中风险IP对应的访问请求的次数、以及基于所述访问三元组发起的访问请求中对应的IP的数量、基于所述访问三元组发起的访问请求中存在浏览器风险的访问请求的数量、基于所述访问三元组发起的访问请求中对应的用户的数量、和基于所述访问三元组发起的访问请求中风险用户的数量中的至少一个。
在本公开的一个实施例中,检测模块404,用于:
基于各所述访问三元组的访问特征信息,采用预先训练的所述可信评分模型,获取各所述访问三元组的评分;
基于各所述访问三元组的评分,参考预设的评分阈值,确定所述多个访问三元组中是否存在不可信的所述访问三元组;
若存在,确定所述访问请求为攻击。
在本公开的一个实施例中,检测模块404,用于:
检测各所述访问三元组的评分是否均小于或者等于所述评分阈值;
若不是,确定所述多个访问三元组中存在不可信的所述访问三元组。
如图4所示,在本公开的一个实施例中,接口攻击的检测装置400还包括:
键序列获取模块405,用于基于所述访问请求,获取头部的键序列顺序标识。
在本公开的一个实施例中,检测模块404,还用于:
基于所述头部的键序列顺序标识,检测所述访问请求是否为攻击。
在本公开的一个实施例中,检测模404,用于:
检测所述头部的键序列顺序标识是否符合预设的顺序关系;
若不符合,确定所述访问请求为攻击。
如图4所示,在本公开的一个实施例中,接口攻击的检测装置400还包括:
拦截模块406,用于若所述访问请求为攻击时,拦截所述访问请求。
本实施例的接口攻击的检测装置400,通过采用上述模块实现接口攻击检测的实现原理以及技术效果,与上述相关方法实施例的实现相同,详细可以参考上述相关方法实施例的记载,在此不再赘述。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
图5示出了可以用来实施本公开的实施例的示例电子设备500的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图5所示,设备500包括计算单元501,其可以根据存储在只读存储器(ROM)502中的计算机程序或者从存储单元508加载到随机访问存储器(RAM)503中的计算机程序,来执行各种适当的动作和处理。在RAM 503中,还可存储设备500操作所需的各种程序和数据。计算单元501、ROM 502以及RAM 503通过总线504彼此相连。输入/输出(I/O)接口505也连接至总线504。
设备500中的多个部件连接至I/O接口505,包括:输入单元506,例如键盘、鼠标等;输出单元507,例如各种类型的显示器、扬声器等;存储单元508,例如磁盘、光盘等;以及通信单元509,例如网卡、调制解调器、无线通信收发机等。通信单元509允许设备500通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元501可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元501的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元501执行上文所描述的各个方法和处理,例如本公开的上述方法。例如,在一些实施例中,本公开的上述方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元508。在一些实施例中,计算机程序的部分或者全部可以经由ROM 502和/或通信单元509而被载入和/或安装到设备500上。当计算机程序加载到RAM 503并由计算单元501执行时,可以执行上文描述的本公开的上述方法的一个或多个步骤。备选地,在其他实施例中,计算单元501可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行本公开的上述方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以为分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (21)

1.一种接口攻击的检测方法,包括:
获取接口的访问请求;
基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及所述键信息对应的值信息;
获取各所述访问三元组的访问特征信息;
基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。
2.根据权利要求1所述的方法,其中,获取各所述访问三元组的访问特征信息,包括:
对于各所述访问三元组,获取对应的所述访问三元组的流量、IP以及历史行为维度的访问特征信息。
3.根据权利要求2所述的方法,其中,对于各所述访问三元组,获取对应的所述访问三元组的流量、IP以及历史行为维度的访问特征信息,包括:
对于各所述访问三元组,获取当前时刻之前的预设时间长度内对应的所述访问三元组的如下访问特征信息:
基于所述访问三元组发起的访问请求的次数、基于所述访问三元组发起的正常访问请求的次数、基于所述访问三元组发起的恶意攻击的次数、基于所述访问三元组发起的访问请求中风险IP对应的访问请求的次数、以及基于所述访问三元组发起的访问请求中对应的IP的数量、基于所述访问三元组发起的访问请求中存在浏览器风险的访问请求的数量、基于所述访问三元组发起的访问请求中对应的用户的数量、和基于所述访问三元组发起的访问请求中风险用户的数量中的至少一个。
4.根据权利要求1所述的方法,其中,基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击,包括:
基于各所述访问三元组的访问特征信息,采用预先训练的所述可信评分模型,获取各所述访问三元组的评分;
基于各所述访问三元组的评分,参考预设的评分阈值,确定所述多个访问三元组中是否存在不可信的所述访问三元组;
若存在,确定所述访问请求为攻击。
5.根据权利要求4所述的方法,其中,基于各所述访问三元组的评分,参考预设的评分阈值,确定所述多个访问三元组中是否存在不可信的所述访问三元组,包括:
检测各所述访问三元组的评分是否均小于或者等于所述评分阈值;
若不是,确定所述多个访问三元组中存在不可信的所述访问三元组。
6.根据权利要求1所述的方法,其中,所述方法还包括:
基于所述访问请求,获取头部的键序列顺序标识。
7.根据权利要求6所述的方法,其中,所述方法还包括:
基于所述头部的键序列顺序标识,检测所述访问请求是否为攻击。
8.根据权利要求7所述的方法,其中,基于所述头部的键序列顺序标识,检测所述访问请求是否为攻击,包括:
检测所述头部的键序列顺序标识是否符合预设的顺序关系;
若不符合,确定所述访问请求为攻击。
9.根据权利要求1-8任一所述的方法,其中,所述方法还包括:
若所述访问请求为攻击时,拦截所述访问请求。
10.一种接口攻击的检测装置,包括:
请求获取模块,用于获取接口的访问请求;
三元组获取模块,用于基于所述访问请求,获取多个访问三元组;各所述访问三元组包括用户代理信息、头部的键信息以及所述键信息对应的值信息;
特征获取模块,用于获取各所述访问三元组的访问特征信息;
检测模块,用于基于所述访问请求的各所述访问三元组的访问特征信息和预先训练的可信评分模型,检测所述访问请求是否为攻击。
11.根据权利要求10所述的装置,其中,所述特征获取模块,用于:
对于各所述访问三元组,获取对应的所述访问三元组的流量、IP以及历史行为维度的访问特征信息。
12.根据权利要求11所述的装置,其中,所述特征获取模块,用于:
对于各所述访问三元组,获取当前时刻之前的预设时间长度内对应的所述访问三元组的如下访问特征信息:
基于所述访问三元组发起的访问请求的次数、基于所述访问三元组发起的正常访问请求的次数、基于所述访问三元组发起的恶意攻击的次数、基于所述访问三元组发起的访问请求中风险IP对应的访问请求的次数、以及基于所述访问三元组发起的访问请求中对应的IP的数量、基于所述访问三元组发起的访问请求中存在浏览器风险的访问请求的数量、基于所述访问三元组发起的访问请求中对应的用户的数量、和基于所述访问三元组发起的访问请求中风险用户的数量中的至少一个。
13.根据权利要求10所述的装置,其中,所述检测模块,用于:
基于各所述访问三元组的访问特征信息,采用预先训练的所述可信评分模型,获取各所述访问三元组的评分;
基于各所述访问三元组的评分,参考预设的评分阈值,确定所述多个访问三元组中是否存在不可信的所述访问三元组;
若存在,确定所述访问请求为攻击。
14.根据权利要求13所述的装置,其中,所述检测模块,用于:
检测各所述访问三元组的评分是否均小于或者等于所述评分阈值;
若不是,确定所述多个访问三元组中存在不可信的所述访问三元组。
15.根据权利要求10所述的装置,其中,所述装置还包括:
键序列获取模块,用于基于所述访问请求,获取头部的键序列顺序标识。
16.根据权利要求15所述的装置,其中,所述检测模块,还用于:
基于所述头部的键序列顺序标识,检测所述访问请求是否为攻击。
17.根据权利要求16所述的装置,其中,所述检测模块,用于:
检测所述头部的键序列顺序标识是否符合预设的顺序关系;
若不符合,确定所述访问请求为攻击。
18.根据权利要求10-17任一所述的装置,其中,所述装置还包括:
拦截模块,用于若所述访问请求为攻击时,拦截所述访问请求。
19.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-9中任一项所述的方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1-9中任一项所述的方法。
21.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1-9中任一项所述的方法。
CN202211678112.3A 2022-12-26 2022-12-26 接口攻击的检测方法、装置、电子设备及存储介质 Pending CN116248340A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211678112.3A CN116248340A (zh) 2022-12-26 2022-12-26 接口攻击的检测方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211678112.3A CN116248340A (zh) 2022-12-26 2022-12-26 接口攻击的检测方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN116248340A true CN116248340A (zh) 2023-06-09

Family

ID=86630465

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211678112.3A Pending CN116248340A (zh) 2022-12-26 2022-12-26 接口攻击的检测方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN116248340A (zh)

Similar Documents

Publication Publication Date Title
CN110198248B (zh) 检测ip地址的方法和装置
CN112953938B (zh) 网络攻击防御方法、装置、电子设备及可读存储介质
CN111835777B (zh) 一种异常流量检测方法、装置、设备及介质
EP4083823A2 (en) Method and apparatus for determining risk level of instance on cloud server and electronic device
CN114598512A (zh) 一种基于蜜罐的网络安全保障方法、装置及终端设备
CN114157480B (zh) 网络攻击方案的确定方法、装置、设备和存储介质
CN114301692B (zh) 攻击预测方法、装置、介质及设备
CN112769595B (zh) 异常检测方法、装置、电子设备及可读存储介质
US20220321598A1 (en) Method of processing security information, device and storage medium
CN114726579B (zh) 防御网络攻击的方法、装置、设备、存储介质及程序产品
CN116248340A (zh) 接口攻击的检测方法、装置、电子设备及存储介质
CN115314322A (zh) 基于流量的漏洞检测确认方法、装置、设备以及存储介质
CN115643044A (zh) 数据处理方法、装置、服务器及存储介质
CN111262842B (zh) 网页防篡改方法、装置、电子设备、及存储介质
CN116094772A (zh) 接口攻击的检测方法、装置、电子设备及存储介质
CN113810342A (zh) 一种入侵检测方法、装置、设备、介质
CN115378746B (zh) 网络入侵检测规则生成方法、装置、设备以及存储介质
CN117424764B (zh) 系统资源访问请求信息处理方法、装置、电子设备和介质
CN115296917B (zh) 资产暴露面信息获取方法、装置、设备以及存储介质
CN116132117A (zh) 接口攻击的检测方法、装置、电子设备及存储介质
CN109150871A (zh) 安全检测方法、装置、电子设备及计算机可读存储介质
CN115576852B (zh) 模糊测试用例的质量评估方法、装置、设备以及存储介质
CN114513369B (zh) 基于深度报文检测的物联网行为分析方法及系统
CN115102728B (zh) 一种用于信息安全的扫描器识别方法、装置、设备及介质
CN115835214A (zh) 面向5g网络用户面通信的处理方法、装置、设备及介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination