CN116346472A - 调用链路的还原方法、设备、存储介质及计算机程序产品 - Google Patents

调用链路的还原方法、设备、存储介质及计算机程序产品 Download PDF

Info

Publication number
CN116346472A
CN116346472A CN202310323540.2A CN202310323540A CN116346472A CN 116346472 A CN116346472 A CN 116346472A CN 202310323540 A CN202310323540 A CN 202310323540A CN 116346472 A CN116346472 A CN 116346472A
Authority
CN
China
Prior art keywords
call
interface
request
link
source address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202310323540.2A
Other languages
English (en)
Other versions
CN116346472B (zh
Inventor
李虹达
金源
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Seashell Housing Beijing Technology Co Ltd
Original Assignee
Seashell Housing Beijing Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Seashell Housing Beijing Technology Co Ltd filed Critical Seashell Housing Beijing Technology Co Ltd
Priority to CN202310323540.2A priority Critical patent/CN116346472B/zh
Publication of CN116346472A publication Critical patent/CN116346472A/zh
Application granted granted Critical
Publication of CN116346472B publication Critical patent/CN116346472B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • G06F16/9566URL specific, e.g. using aliases, detecting broken or misspelled links
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/60Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
    • H04L67/63Routing a service request depending on the request content or context
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Abstract

本公开提供了一种调用链路的还原方法,包括:根据对接口的调用请求中的源地址,在资产管理系统中确定源地址对应的多个应用服务;在动作代码仓库中提取各个应用服务的动作文件,其中动作文件包括应用服务的接口请求数据;以及根据调用请求和接口请求数据,确定对接口的调用主体,以构建包括调用主体的调用链路。本公开还提供了一种电子设备、存储介质及计算机程序产品。

Description

调用链路的还原方法、设备、存储介质及计算机程序产品
技术领域
本公开涉及网络安全技术领域,特别涉及一种调用链路的还原方法、设备、存储介质及计算机程序产品。
背景技术
API(Application Program Interface,应用程序接口)是操作系统留给应用程序的调用接口,应用程序可以通过调用操作系统的API而使操作系统去执行应用程序的命令。随着互联网经济的全面发展,大部分企业都开始进行数字化和在线化转型。数字化和在线化的信息调用使得连接系统和应用程序的API(Application Program Interface,应用程序接口)呈爆炸式增值。企业通过API的能力将数字资源进行整合,提供给用户、合作伙伴、内部员工等多方使用,让数据在多方流动起来,提高企业的生产效率。
API在为企业提供便捷的数据通信的同时,也面临着许多安全风险,除了传统的网络攻击外,还面临着未授权访问、敏感信息过度暴露等风险。
相关技术中,对企业API管控手段主要通过部署传统的API网关、防火墙等安全产品来实现。前述方法能够预防一定的攻击类风险,但是面对敏感信息的过度暴露、未授权访问等非攻击类风险,其作用十分有限。在私有云的单机多服务的部署环境下,服务器上所部署的多个应用服务共享一个IP(Internet Protocol,网络协议)地址,即便获知了调用API的调用方id(identification,身份标识),也难以确定调用API的具体应用服务,无法保障内部信息的安全性能。
发明内容
为了解决前述问题中的至少之一,本公开提供了一种调用链路的还原方法、设备、存储介质及计算机程序产品
根据本公开的一个方面提供了这样一种调用链路的还原方法,包括:根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务;在动作代码仓库中提取各个所述应用服务的动作文件,其中所述动作文件包括所述应用服务的接口请求数据;以及根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路。
在一些实施方式中,所述根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务,包括:在所述调用请求中提取所述源地址;以及以所述源地址为搜索条件,在所述资源管理系统中确定以所述源地址为网络地址部署的全部所述应用服务,其中所述资源管理系统存储有各个所述应用服务的应用标识以及所述应用服务所对应的代码仓库地址。
在一些实施方式中,所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路,包括:判断所述调用请求和所述接口请求数据中是否存在相同的调用信息;响应于二者存在相同的调用信息的判断结果,以所述接口请求数据对应的所述应用服务作为发出所述调用请求的调用主体;以及构建包括所述调用信息和所述调用主体的所述调用链路,其中所述调用信息包括目的域名和所述接口的接口路径。
在一些实施方式中,在所述根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务之前,包括:对所述调用请求进行镜像处理,以获得用于表征所述调用请求的流量镜像数据;以及在所述流量镜像数据中提取源地址,以避免对所述调取请求的传递造成干扰。
在一些实施方式中,在所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路之后,包括:利用校验标识对所述调用链路的准确度进行验证。
在一些实施方式中,所述利用校验标识对所述调用链路的准确度进行验证,包括:以用户代理值作为校验标识,判断所述调用请求中的用户代理值和所述接口请求数据中的用户代理值是否相同;响应于二者具有相同的用户代理值的判断结果,对所述调用链路进行确认;或者响应于二者具有不同的用户代理值的判断结果,对所述调用链路进行复核。
在一些实施方式中,在所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路之后,包括:将所述调用链路存储于目标数据库,以便调取。
根据本公开的另一个方面提供了这样一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,以实现如上述任一实施方式所述的调用链路的还原方法。
根据本公开的又一个方面提供了这样一种可读存储介质,所述可读存储介质存储有计算机程序,所述计算机程序适于处理器进行加载,以执行如上述任一实施方式所述的调用链路的识别方法。
根据本公开的再一个方面提供了这样一种计算机程序产品,包括计算机程序/指令,所述计算机程序/指令被处理器执行时实现上述任一实施方式所述的调用链路的还原方法。
附图说明
附图示出了本公开的示例性实施方式,并与其说明一起用于解释本公开的原理,其中包括了这些附图以提供对本公开的进一步理解,并且附图包括在本说明书中并构成本说明书的一部分。
图1为本公开示例性实施方式的调用链路的还原方法流程图。
图2为本公开示例性实施方式的调用链路的还原方法架构图。
图3为本公开示例性实施方式的调用链路的还原装置框图。
具体实施方式
下面结合附图和实施方式对本公开作进一步的详细说明。可以理解的是,此处所描述的具体实施方式仅用于解释相关内容,而非对本公开的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本公开相关的部分。
需要说明的是,在不冲突的情况下,本公开中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本公开的技术方案。
除非另有说明,否则示出的示例性实施方式/实施例将被理解为提供可以在实践中实施本公开的技术构思的一些方式的各种细节的示例性特征。因此,除非另有说明,否则在不脱离本公开的技术构思的情况下,各种实施方式/实施例的特征可以另外地组合、分离、互换和/或重新布置。
本文使用的术语是为了描述具体实施例的目的,而不是限制性的。如这里所使用的,除非上下文另外清楚地指出,否则单数形式“一个(种、者)”和“所述(该)”也意图包括复数形式。此外,当在本说明书中使用术语“包含”和/或“包括”以及它们的变型时,说明存在所陈述的特征、整体、步骤、操作、部件、组件和/或它们的组,但不排除存在或附加一个或更多个其它特征、整体、步骤、操作、部件、组件和/或它们的组。还要注意的是,如这里使用的,术语“基本上”、“大约”和其它类似的术语被用作近似术语而不用作程度术语,如此,它们被用来解释本领域普通技术人员将认识到的测量值、计算值和/或提供的值的固有偏差。
图1为本公开示例性实施方式的调用链路的还原方法流程图。图2为本公开示例性实施方式的调用链路的还原方法架构图。下面将结合图1至图2对调用链路的还原方法S100的各个步骤进行详细阐述。
步骤S102,根据对接口的调用请求中的源地址,在资产管理系统中确定源地址对应的多个应用服务。
接口主要指API(Application Program Interface,应用接口),私有云环境中各个服务器所部署的各个应用服务均通过该接口向内部操作系统获取目标信息,内部操作系统主要指私有云环境下的企业内部系统。由于私有云环境下的企业内部系统存在大量的保密数据等内部数据,还原调用链路的目的就是为了明确获取内部数据的具体应用服务,便于及时对异常应用服务进行制止或者其他安全查询使用。
调用请求是各个应用服务在获取内部系统中数据之前,向接口发送的调用接口的指令。调用请求中包括源IP(Internet Protocol,网络协议)地址、源端口、目的IP地址、目的端口、目的域名、请求体和响应体。其中,请求体是调用请求的请求参数,请求体中包含请求的URL(uniform resource locator,统一资源定位系统)地址和目的域名Host,URL表征接口的接口路径(也即接口所对应的网络地址);响应体则表征被调用方返回的应答参数。
资源管理系统是企业内部用于查询应用服务的系统,其包含了各种服务器所部署的应用服务,以及应用服务的代码仓库地址和应用服务的应用id(identification,身份标识)。也就是说,通过资源管理系统,可以查询到调用请求中的源IP所对应的多个应用服务,以及这些应用服务的相关信息。需要说明的是,部署在同一服务器上个多个应用服务共用同一个网络地址,即源IP,因此通过资源管理系统,可以将能够用该IP地址发出调用请求的全部应用服务穷举出来,为后续的调用主体的确定提供基础。
步骤S104,在动作代码仓库中提取各个应用服务的动作文件。
动作代码仓库使用Gitlab作为仓库管理系统,用于存储各个应用服务的动作文件。动作文件主要包括应用服务向接口发送的调用请求所产生的接口请求数据,每个应用服务所产生的调用请求的动作,其接口请求数据均存储与动作代码仓库中。动作文件至少包括应用服务的调用请求所对应的目的域名和接口路径(即前述的URL地址)。
根据资源管理系统确定调用请求的源IP所对应的多个应用服务,并且获取了各个应用服务的代码仓库地址,那么根据代码仓库地址即可在动作代码仓库中追溯到各个应用服务的动作文件,尤其包括所请求的目的域名和接口路径。
步骤S106,根据调用请求和接口请求数据,确定对接口的调用主体,以构建包括调用主体的调用链路。
同一源IP的不同应用服务对应不同的动作文件,当调用请求的请求体与应用服务的动作文件具有相同的目的域名和接口路径,那么则证明该应用服务存在调用该接口的动作,也即识别出了调用请求的调用主体。
调用链路包括调用主体、目的域名和接口路径,可为由前述三者构成的三元组。根据调用链路,可以确定调用方、被调用方以及调用的路径,可还原出一个完整的调用链路,为API接口的溯源提供了便捷的方式,为私有云环境下的企业内部的数据读取提供安全保障和查询便利。
在一些实施方式中,步骤S102的具体执行方式为:在调用请求中提取源地址;以及以源地址为搜索条件,在资源管理系统中确定以源地址为网络地址部署的全部应用服务。
其中,资源管理系统存储有各个应用服务的应用标识以及应用服务所对应的代码仓库地址。
具体地,由于每一个IP地址所部署的应用服务均在资源管理系统中存储,因此,以调用请求中的源地址作为搜索条件,遍历资源管理系统所存储的全部IP地址,当检索到与源地址相同的IP地址之后,该IP地址所部署的多个应用服务即为源地址的应用服务。
调用请求通常遵守HTTP(HyperText Transfer Protocol,超文本传输协议)的规定,也即是说,调用请求下达时需要以HTTP规定的格式和规则传输给API。那么,遵守HTTP的调用请求数据包需要包含源IP、源端口、目的IP、目的端口、目的域名、请求体和响应体等信息,其中请求体中包含请求的URL(Uniform Resource Locator,统一资源定位符)地址和host域名等。
遵守HTTP的调用请求的数据包格式为:
GET/api/v1/gethost HTTP/1.0
Host:www.a.com
User-Agent:xxxxxxxx
Cookie:xxxxxxxx
其中,GET表示请求方法,api/v1/gethost为请求的接口路径,HTTP/1.0表示协议版本;Host表示目的域名,www.a.com则为目的域名的实际值;User-Agent表示用户代理值,“xxxxxxxx”表示用户代理值的实际值,可自定义;Cookie为调用主体的标识,“xxxxxxxx”表示发生调用请求的应用服务的应用标识,可例如“Cookie:traceid=tongxin-1”,即根据Cookie的值“traceid=tongxin-1”,可精准确定调用主体是“tongxin-1”。Cookie不是调用请求中的必要参数,若扫描到Cookie,可直接确定调用请求的调用主体,用于对所获得的调用链路进行复核,提升了调用链路的还原精度。当然,若扫描到Cookie也可以跳过步骤S106对调用信息的判断,直接确定调用主体,节省了调用链路的还原时间。
在一些实施方式中,在获得了源地址所对应的多个应用服务之后,还同时可以在资源管理系统中获得这些应用服务的应用id以及代码仓库地址,向动作代码仓库发送命令“gitclone地址”,动作代码仓库接收到这个命令之后,会执行对应的文件的下载任务,并将下载后的动作文件保存在代码下载系统中。
在一些实施方式中,步骤S106的具体执行方式为:判断调用请求和接口请求数据中是否存在相同的调用信息;响应于二者存在相同的调用信息的判断结果,以接口请求数据对应的应用服务作为发出调用请求的调用主体;以及构建包括调用信息和调用主体的调用链路,其中调用信息包括目的域名和接口的接口路径。
具体地,通过分析调用请求,即可获得包括目的域名和接口路径的调用信息。进而,对接口请求数据中的代码进行逐行扫描,直到扫描到与调用请求具有相同的目的域名和接口路径的调用信息时,则证明该接口数据请求所属的应用服务有访问API接口的操作,那么该应用服务即为调用主体。
在一些实施方式中,在步骤S102之前,还可包括:部署探针服务,为调用链路的还原提供流量分析系统、代码下载系统、代码分析系统以及数据库。流量分析系统用于根据HTTP流量镜像数据,确定调用请求的源地址;代码下载系统用于根据源地址在资源管理系统中提取源地址所对应的多个应用服务,并且根据各个应用服务的代码仓库地址在gitlab代码仓库(即动作代码仓库)中下载各个应用服务所对应的动作文件;代码分析系统用于对调用请求和动作文件的接口请求数据进行分析,以获取调用主体;数据库用于为根据调用主体构建的API调用链路结果提供存储空间,以便查询。
在一些实施方式中,在步骤S102之前,还可包括:对调用请求进行镜像处理,以获得用于表征调用请求的HTTP流量镜像数据;以及在HTTP流量镜像数据中提取源地址,以避免对调取请求的传递造成干扰。
HTTP流量镜像数据与前述的调用请求具有相同的数据参数,包括源IP、源端口、目的IP、目的端口、目的域名、请求体和响应体等。流量分析系统用于对HTTP流量镜像数据进行分析,以获取源IP。
在一些实施方式中,在步骤S106之后,还包括:利用校验标识对调用链路的准确度进行验证。
具体地,以用户代理值作为校验标识,判断调用请求中的用户代理值和接口请求中的用户代理值是否相同;响应于二者具有相同的用户代理值的判断结果,对调用链路进行确认;或者响应于二者具有不同的用户代理值的判断结果,对调用链路进行复核。
当然,还可以以应用标识作为校验标识,当应用标识与调用主体的应用标识一致时,则证明调用主体具有可信度,那么调用链路也具有可信度。
在一些实施方式中,在步骤S106之后,包括:将调用链路存储于目标数据库,以便调取。其中目标数据库即为探针服务所提供的数据库。
下面以一个示例说明前述方法的整个流程。
存在一个服务器,它的IP地址是10.1.1.1,该服务器部署了两个应用服务:“通信服务1”和“通信服务2”,这两个应用服务在资源管理系统中的存储信息如下:
表1
应用名称 应用标识 网络地址 代码仓库地址
通信服务1 tongxin-1 10.1.1.1 gitlab.x.com/tongxin-1.git
通信服务2 tongxin-2 10.1.1.1 gitlab.x.com/tongxin-2.git
表1为应用服务在资源管理系统中的存储信息示意表。包括应用名称“通信服务1”和“通讯服务2”,分别对应应用标识“tongxin-1”和“tongxin-2”,网络地址均为“10.1.1.1”,分别对应代码仓库地址“gitlab.x.com/tongxin-1.git”和“gitlab.x.com/tongxin-1.git”。
根据探针服务获取调用请求的HTTP流量镜像数据,其流量镜像数据如下:
表2
源IP 源端口 目的IP 目的端口 请求体 响应体
10.1.1.1 1234 10.1.1.2 4567 http://www.a.com/api/v1/gethost OK
表2为HTTP流量镜像数据示意表,包括源IP“10.1.1.1”、源端口“1234”、目的IP“10.1.1.2”、目的端口“4567”、请求体“http://www.a.com/api/v1/gethost”,响应体“OK”。其中,请求体中的www.a.com为目的域名,/api/v1/gethost为接口路径。
以源IP“10.1.1.1”作为搜索条件,在资源管理系统中确定具有相同网络地址的应用服务,即可查询到符合条件的“tongxin-1”和“tongxin-2”,以及他们分别对应的代码仓库地址。
进一步地,根据代码仓库地址,在动作代码仓库中下载这两个应用服务所对应的动作文件。动作文件中存在这两个应用服务的全部操作代码,匹配到某一动作文件与调用请求的HTTP流量镜像数据具有相同的请求体(包括目的域名和接口路径),即可证明该动作文件所属的应用服务具有对该接口的调用操作,为调用主体。
下面假设“tongxin-2”的动作文件具有目的域名www.a.com和接口路径/api/v1/gethost,那么调用主体即为通信服务1。那么所构建的调用链路如下:
表3
目的域名 接口路径 调用主体
www.a.com /api/v1/gethost tongxin-2
表3为调用链路存储格式示意表,其展示了由调用主体“tongxin-2”、接口路径“/api/v1/gethost”和目的域名“www.a.com”构成的三元组,最终将这个结果存储在容器探针提供的数据库中。
本公开提供的一种调用链路的还原方法,利用资源管理系统获取具有相同网络地址的多个应用服务,进而在动作代码仓库中调取各个应用服务所对应的动作文件,即可在同一网络地址的覆盖下,从源头找到调用API接口的具体应用服务,从为私有云场景下的数据资产提供有效的管控和防护手段。另外,还提供了校验标识,对调用链路的可信度进行验证,提升了调用链路的精准性。
图3为本公开示例性实施方式的调用链路的还原装置框图。
如图3所示,根据本公开的另一个方面提供的一种调用链路的识别装置1000,可包括:应用服务确定模块1002,用于根据对接口的调用请求中的源地址,在资产管理系统中确定源地址对应的多个应用服务;动作文件获取模1004,用于在动作代码仓库中提取各个应用服务的动作文件,其中动作文件包括应用服务的接口请求数据;以及调用链路还原模块1006,根据调用请求和接口请求数据,确定对接口的调用主体,以构建包括调用主体的调用链路。
本公开的调用链路的识别装置1000的各个模块是用于执行调用链路的识别方法的各个步骤而设置的,其执行原理和步骤可参考前述,在此不再赘述。
该装置1000可以包括执行上述流程图中各个或几个步骤的相应模块。因此,可以由相应模块执行上述流程图中的每个步骤或几个步骤,并且该装置可以包括这些模块中的一个或多个模块。模块可以是专门被配置为执行相应步骤的一个或多个硬件模块、或者由被配置为执行相应步骤的处理器来实现、或者存储在计算机可读介质内用于由处理器来实现、或者通过某种组合来实现。
该硬件结构可以利用总线架构来实现。总线架构可以包括任何数量的互连总线和桥接器,这取决于硬件的特定应用和总体设计约束。总线1100将包括一个或多个处理器1200、存储器1300和/或硬件模块的各种电路连接到一起。总线1100还可以将诸如外围设备、电压调节器、功率管理电路、外部天线等的各种其它电路1400连接。
总线1100可以是工业标准体系结构(ISA,Industry Standard Architecture)总线、外部设备互连(PCI,Peripheral Component)总线或扩展工业标准体系结构(EISA,Extended Industry Standard Component)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,该图中仅用一条连接线表示,但并不表示仅有一根总线或一种类型的总线。
本公开提供的一种调用链路的还原装置,利用资源管理系统获取具有相同网络地址的多个应用服务,进而在动作代码仓库中调取各个应用服务所对应的动作文件,即可在同一网络地址的覆盖下,从源头找到调用API接口的具体应用服务,从为私有云场景下的数据资产提供有效的管控和防护手段。另外,还提供了校验标识,对调用链路的可信度进行验证,提升了调用链路的精准性。
流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为,表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分,并且本公开的优选实施方式的范围包括另外的实现,其中可以不按所示出或讨论的顺序,包括根据所涉及的功能按基本同时的方式或按相反的顺序,来执行功能,这应被本公开的实施方式所属技术领域的技术人员所理解。处理器执行上文所描述的各个方法和处理。例如,本公开中的方法实施方式可以被实现为软件程序,其被有形地包含于机器可读介质,例如存储器。在一些实施方式中,软件程序的部分或者全部可以经由存储器和/或通信接口而被载入和/或安装。当软件程序加载到存储器并由处理器执行时,可以执行上文描述的方法中的一个或多个步骤。备选地,在其他实施方式中,处理器可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行上述方法之一。
在流程图中表示或在此以其他方式描述的逻辑和/或步骤,可以具体实现在任何可读存储介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。
就本说明书而言,“可读存储介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。可读存储介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式只读存储器(CDROM)。另外,可读存储介质甚至可以是可在其上打印程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得程序,然后将其存储在存储器中。
应当理解,本公开的各部分可以用硬件、软件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
本技术领域的普通技术人员可以理解实现上述实施方式方法的全部或部分步骤是可以通过程序来指令相关的硬件完成,的程序可以存储于一种可读存储介质中,该程序在执行时,包括方法实施方式的步骤之一或其组合。
此外,在本公开各个实施方式中的各功能单元可以集成在一个处理模块中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个可读存储介质中。存储介质可以是只读存储器,磁盘或光盘等。
本领域的技术人员应当理解,上述实施方式仅仅是为了清楚地说明本公开,而并非是对本公开的范围进行限定。对于所属领域的技术人员而言,在上述公开的基础上还可以做出其它变化或变型,并且这些变化或变型仍处于本公开的范围内。

Claims (10)

1.一种调用链路的还原方法,其特征在于,包括:
根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务;
在动作代码仓库中提取各个所述应用服务的动作文件,其中所述动作文件包括所述应用服务的接口请求数据;以及
根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路。
2.根据权利要求1所述的调用链路的还原方法,其特征在于,所述根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务,包括:
在所述调用请求中提取所述源地址;以及
以所述源地址为搜索条件,在所述资源管理系统中确定以所述源地址为网络地址部署的全部所述应用服务,其中所述资源管理系统存储有各个所述应用服务的应用标识以及所述应用服务所对应的代码仓库地址。
3.根据权利要求1所述的调用链路的还原方法,其特征在于,所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路,包括:
判断所述调用请求和所述接口请求数据中是否存在相同的调用信息;
响应于二者存在相同的调用信息的判断结果,以所述接口请求数据对应的所述应用服务作为发出所述调用请求的调用主体;以及
构建包括所述调用信息和所述调用主体的所述调用链路,其中所述调用信息包括目的域名和所述接口的接口路径。
4.根据权利要求1所述的调用链路的还原方法,其特征在于,在所述根据对接口的调用请求中的源地址,在资产管理系统中确定所述源地址对应的多个应用服务之前,包括:
对所述调用请求进行镜像处理,以获得用于表征所述调用请求的流量镜像数据;以及
在所述流量镜像数据中提取源地址,以避免对所述调取请求的传递造成干扰。
5.根据权利要求1所述的调用链路的还原方法,其特征在于,在所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路之后,包括:
利用校验标识对所述调用链路的准确度进行验证。
6.根据权利要求5所述的调用链路的还原方法,其特征在于,所述利用校验标识对所述调用链路的准确度进行验证,包括:
以用户代理值作为校验标识,判断所述调用请求中的用户代理值和所述接口请求数据中的用户代理值是否相同;
响应于二者具有相同的用户代理值的判断结果,对所述调用链路进行确认;或者响应于二者具有不同的用户代理值的判断结果,对所述调用链路进行复核。
7.根据权利要求1所述的调用链路的还原方法,其特征在于,在所述根据所述调用请求和所述接口请求数据,确定对所述接口的调用主体,以构建包括所述调用主体的调用链路之后,包括:
将所述调用链路存储于目标数据库,以便调取。
8.一种电子设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,以实现如权利要求1至7中任一项所述的调用链路的还原方法。
9.一种可读存储介质,其特征在于,所述可读存储介质存储有计算机程序,所述计算机程序适于处理器进行加载,以执行如权利要求1至7中任一项所述的调用链路的识别方法。
10.一种计算机程序产品,包括计算机程序/指令,其特征在于,所述计算机程序/指令被处理器执行时实现权利要求1至7中任一项所述的调用链路的还原方法。
CN202310323540.2A 2023-03-29 2023-03-29 调用链路的还原方法、设备、存储介质及计算机程序产品 Active CN116346472B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310323540.2A CN116346472B (zh) 2023-03-29 2023-03-29 调用链路的还原方法、设备、存储介质及计算机程序产品

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310323540.2A CN116346472B (zh) 2023-03-29 2023-03-29 调用链路的还原方法、设备、存储介质及计算机程序产品

Publications (2)

Publication Number Publication Date
CN116346472A true CN116346472A (zh) 2023-06-27
CN116346472B CN116346472B (zh) 2023-12-12

Family

ID=86889212

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310323540.2A Active CN116346472B (zh) 2023-03-29 2023-03-29 调用链路的还原方法、设备、存储介质及计算机程序产品

Country Status (1)

Country Link
CN (1) CN116346472B (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013097367A1 (zh) * 2011-12-29 2013-07-04 中兴通讯股份有限公司 一种协同业务的适配、分流传输及流切换方法和系统
US20170093877A1 (en) * 2015-09-29 2017-03-30 Ca, Inc. Fetching vendor specific policy events and corresponding device feature mappings from a policy server at mobile device runtime of a managed application
CN109150904A (zh) * 2018-09-25 2019-01-04 深圳市佰仟金融服务有限公司 接口服务调用方法及终端设备
CN109873717A (zh) * 2019-01-18 2019-06-11 深圳壹账通智能科技有限公司 监控方法、装置、计算机设备及存储介质
CN114553967A (zh) * 2022-01-14 2022-05-27 青岛海尔科技有限公司 一种微服务间的调用方法和相关装置
CN115004772A (zh) * 2022-04-13 2022-09-02 北京小米移动软件有限公司 移动性管理方法、装置、设备及存储介质

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013097367A1 (zh) * 2011-12-29 2013-07-04 中兴通讯股份有限公司 一种协同业务的适配、分流传输及流切换方法和系统
US20170093877A1 (en) * 2015-09-29 2017-03-30 Ca, Inc. Fetching vendor specific policy events and corresponding device feature mappings from a policy server at mobile device runtime of a managed application
CN109150904A (zh) * 2018-09-25 2019-01-04 深圳市佰仟金融服务有限公司 接口服务调用方法及终端设备
CN109873717A (zh) * 2019-01-18 2019-06-11 深圳壹账通智能科技有限公司 监控方法、装置、计算机设备及存储介质
CN114553967A (zh) * 2022-01-14 2022-05-27 青岛海尔科技有限公司 一种微服务间的调用方法和相关装置
CN115004772A (zh) * 2022-04-13 2022-09-02 北京小米移动软件有限公司 移动性管理方法、装置、设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
HONGLI XU; JINYUAN FAN: ""Joint deployment and routing in hybrid SDNs"", 《2017 IEEE/ACM 25TH INTERNATIONAL SYMPOSIUM ON QUALITY OF SERVICE (IWQOS)》 *
潘卿帅: ""智能服务中心服务化关键技术的研究与实现"", 《中国优秀硕士学位论文全文数据库 (信息科技辑)》, pages 138 - 298 *

Also Published As

Publication number Publication date
CN116346472B (zh) 2023-12-12

Similar Documents

Publication Publication Date Title
US10320787B2 (en) System and method of facilitating the identification of a computer on a network
CN109088909B (zh) 一种基于商户类型的服务灰度发布方法及设备
US8255985B2 (en) Methods, network services, and computer program products for recommending security policies to firewalls
CN109246078B (zh) 一种数据交互方法及服务器
CN110971569A (zh) 网络访问权限管理方法、装置及计算设备
CN112953745B (zh) 服务调用方法、系统、计算机设备和存储介质
KR20160055130A (ko) 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템
CN111182537A (zh) 移动应用的网络接入方法、装置及系统
CN111353136A (zh) 一种操作请求的处理方法和装置
CN116346473B (zh) 调用链路的识别方法、设备、存储介质及计算机程序产品
KR101622876B1 (ko) 사이트 접속 차단 방법 및 장치
CN116346472B (zh) 调用链路的还原方法、设备、存储介质及计算机程序产品
CN109462589B (zh) 应用程序网络访问控制的方法、装置及设备
CN113590180B (zh) 一种检测策略生成方法及装置
CN115460075A (zh) 基于云原生的多网络模式实现方法、装置、设备及介质
CN116150711A (zh) 一种软件处理方法、装置、电子设备及存储介质
CN111597573B (zh) 页面嵌入方法、装置、计算机设备和存储介质
CN112217770B (zh) 一种安全检测方法、装置、计算机设备及存储介质
CN114238927A (zh) 业务系统登录方法、系统、装置、计算机设备及存储介质
CN112073504B (zh) 请求转发方法、装置、设备及存储介质
CN109460642B (zh) 应用程序网络访问感知的方法、装置及设备
CN116436894A (zh) 域名策略配置方法、域名策略匹配方法及相关装置
CN106855833A (zh) 一种数据校验方法
CN117910036A (zh) 数据库的访问方法、装置、电子设备和存储介质
CN117955739A (zh) 一种接口安全的识别方法、装置、计算设备和存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant