CN116756737B - 接口异常行为分析方法、装置、计算机设备及存储介质 - Google Patents
接口异常行为分析方法、装置、计算机设备及存储介质 Download PDFInfo
- Publication number
- CN116756737B CN116756737B CN202311071278.3A CN202311071278A CN116756737B CN 116756737 B CN116756737 B CN 116756737B CN 202311071278 A CN202311071278 A CN 202311071278A CN 116756737 B CN116756737 B CN 116756737B
- Authority
- CN
- China
- Prior art keywords
- information
- interface
- http
- access link
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004458 analytical method Methods 0.000 title claims abstract description 36
- 206010000117 Abnormal behaviour Diseases 0.000 title claims abstract description 28
- 230000006399 behavior Effects 0.000 claims abstract description 57
- 230000002159 abnormal effect Effects 0.000 claims abstract description 33
- 238000000034 method Methods 0.000 claims abstract description 33
- 238000005516 engineering process Methods 0.000 claims description 21
- 238000004590 computer program Methods 0.000 claims description 20
- 230000001960 triggered effect Effects 0.000 claims description 20
- 239000003795 chemical substances by application Substances 0.000 description 56
- 238000010586 diagram Methods 0.000 description 8
- 230000007246 mechanism Effects 0.000 description 3
- 229920002334 Spandex Polymers 0.000 description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 230000008569 process Effects 0.000 description 2
- 239000004759 spandex Substances 0.000 description 2
- 206010028896 Needle track marks Diseases 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 235000019800 disodium phosphate Nutrition 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明实施例公开了接口异常行为分析方法、装置、计算机设备及存储介质所述方法包括:在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。通过实施本发明实施例的方法可实现识别人员从内网应用恶意访问接口的行为,保护内部API的安全。
Description
技术领域
本发明涉及接口访问行为分析方法,更具体地说是指接口异常行为分析方法、装置、计算机设备及存储介质。
背景技术
企业内部访问API(应用程序编程接口,Application Programming Interface)获取敏感数据的过程中,存在一定的风险,比如盗取企业的核心业务数据等,然而内部API的连接操作通常无日志记录,导致针对内部API的访问风险难以检测和发现;传统网络安全防护技术关注于对互联网API进行安全防护,或者在数据库侧进行安全风险检测,缺乏对内部API的安全状态分析和预警机制。
因此,有必要设计一种新的方法,实现识别人员从内网应用恶意访问接口的行为,保护内部API的安全。
发明内容
本发明的目的在于克服现有技术的缺陷,提供接口异常行为分析方法、装置、计算机设备及存储介质。
为实现上述目的,本发明采用以下技术方案:接口异常行为分析方法,包括:
在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;
当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
其进一步技术方案为:所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作。
其进一步技术方案为:所述利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息,包括:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
其进一步技术方案为:所述利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息,包括:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;
将添加spanid信息后的http头部结合spanid信息形成http信息。
其进一步技术方案为:所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为,包括:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
其进一步技术方案为:所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为,包括:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
本发明还提供了接口异常行为分析装置,包括:
部署单元,用于在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;
嵌入单元,用于当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;
发送单元,用于将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
其进一步技术方案为:所述嵌入单元,用于利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
本案方面还提供了一种计算机设备,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现上述的方法。
本发明还提供了一种存储介质,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现上述的方法。
本发明与现有技术相比的有益效果是:本发明通过在应用程序中插入agent插件,当进行互联网API应用的接口以及内部API应用的接口的业务调用时,借助agent插件在http头部嵌入traceid信息和spanid信息,并由管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为,实现识别人员从内网应用恶意访问接口的行为,保护内部API的安全。
下面结合附图和具体实施例对本发明作进一步描述。
附图说明
为了更清楚地说明本发明实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的接口异常行为分析方法的应用场景示意图;
图2为本发明实施例提供的接口异常行为分析方法的流程示意图;
图3为本发明实施例提供的接口异常行为分析方法的子流程示意图;
图4为本发明实施例提供的接口异常行为分析装置的示意性框图;
图5为本发明实施例提供的接口异常行为分析装置的嵌入单元的示意性框图;
图6为本发明实施例提供的计算机设备的示意性框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
应当理解,当在本说明书和所附权利要求书中使用时,术语“包括”和 “包含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在,但并不排除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在或添加。
还应当理解,在此本发明说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当进一步理解,在本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
请参阅图1和图2,图1为本发明实施例提供的接口异常行为分析方法的应用场景示意图。图2为本发明实施例提供的接口异常行为分析方法的示意性流程图。该接口异常行为分析方法应用于终端,该终端与服务器即管理平台进行数据交互,实现识别人员从内网应用恶意访问接口的行为,保护内部API的安全。
图2是本发明实施例提供的接口异常行为分析方法的流程示意图。如图2所示,该方法包括以下步骤S110至S130。
S110、在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用。
在本实施例中,agent随着业务应用一同启动;agent自动执行嵌入动作,无需人工干预。
S120、当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息。
在本实施例中,http信息包括嵌入spanid信息后的头部结合traceid信息形成的内容。所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作。
具体地,互联网API应用特指企业面向互联网用户开放的服务。
在本实施例中,利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
在一实施例中,请参阅图3,上述的步骤S120可包括步骤S121~S122。
S121、利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;
S122、将添加spanid信息后的http头部结合spanid信息形成http信息。
举个例子:如图1所示,应用A为互联网应用,对互联网开放,应用B和应用C在企业内网中,外网用户无法直接访问到,在外网访问应用A的API时,应用A会调用下游应用B的API,应用B会调用下游应用C的API,应用C与数据库交互,获取数据。
上下游应用A、应用B、应用C均安装agent插件,随着业务系统一同启动,agent通过字节码增强技术对API访问时挂载钩子,钩子触发时在http头部嵌入spanid和traceid标记;
当外网用户访问应用A的API接口interfaceA时,agent检测到API请求头部中不存在spanid标记,因此在http头部添加spanid信息,格式为traceinfo:traceid:spanidA,agent将http头部信息连同traceinfo信息发送到链路安全分析引擎即管理平台;
应用A调用应用B的API接口interfaceB时,agent检测到http头部中存在traceinfo头部,因此在原来的基础上添加新的spanid信息,格式为:traceinfo:traceinfo:spanidA:spanidB, agent将http头部信息连同traceinfo信息发送到链路安全分析引擎;
应用B调用应用C的API接口interfaceC时,agent检测到http头部中存在traceinfo头部,因此在原来的基础上添加新的spanid信息,格式为:traceinfo:traceinfo:spanidA:spanidB:spanidC; agent将http头部信息连同traceinfo信息发送到链路安全分析引擎;
应用C调用数据库的接口JDBC-DB时,agent检测到http头部中存在traceinfo头部,因此在数据库接口头部添加新的spanid标记,格式为:traceinfo:traceinfo:spanidA:spanidB:spanidDB, agent将数据库接口头部信息连同traceinfo信息发送到链路安全分析引擎。
S130、将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
在本实施例中,将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
具体地,将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
针对上述的例子:基于agent上报的信息,链路安全分析引擎可以还原完整的链路调用关系,即接口访问链路信息,包含:用户-interfaceA接口(应用A)- interfaceB(应用B)- interface(应用C)-数据库的调用关系,在海量的用户请求下形成整个业务应用完整的调用链信息库基准;在恶意人员访问内部应用B的接口interfaceB时,基于以上agent的工作机制,可以快速形成链路信息:用户-interfaceB(应用B)- interface(应用C)-数据库的调用关系,由于恶意人员访问内网应用链路比外网用户访问链路少,因此可以将用户-interfaceB(应用B)-interface(应用C)-数据库链路归类为非法链路,进行预警;类似的场景,如恶意人员访问应用C的interfaceC接口获取数据,也可以基于同样的原理获取完整链路为:用户- interface(应用C)-数据库,由于恶意人员访问内网应用链路比外网用户访问链路少,因此可以将用户- interface(应用C)-数据库归类为非法链路,进行预警。
本实施例的方法利用agent采集API头部信息,完整还原应用调用链路,自动识别恶意人员从内网应用访问。agent自动执行,无需人工干预;通过agent机制,自动识别非法调用链路,从而快速自动化实现对恶意人员访问内网应用接口批量获取数据的风险检测。
上述的接口异常行为分析方法,通过在应用程序中插入agent插件,当进行互联网API应用的接口以及内部API应用的接口的业务调用时,借助agent插件在http头部嵌入traceid信息和spanid信息,并由管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为,实现识别人员从内网应用恶意访问接口的行为,保护内部API的安全。
图4是本发明实施例提供的一种接口异常行为分析装置300的示意性框图。如图4所示,对应于以上接口异常行为分析方法,本发明还提供一种接口异常行为分析装置300。该接口异常行为分析装置300包括用于执行上述接口异常行为分析方法的单元,该装置可以被配置于服务器中。具体地,请参阅图4,该接口异常行为分析装置300包括部署单元301、嵌入单元302以及发送单元303。
部署单元301,用于在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;嵌入单元302,用于当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;发送单元303,用于将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
在一实施例中,所述嵌入单元302,用于利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
在一实施例中,如图5所示,所述嵌入单元302包括信息添加子单元3021以及信息形成子单元3022。
信息添加子单元3021,用于利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;信息形成子单元3022,用于将添加spanid信息后的http头部结合spanid信息形成http信息。
在一实施例中,所述发送单元303,用于将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
在一实施例中,所述发送单元303,用于将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
需要说明的是,所属领域的技术人员可以清楚地了解到,上述接口异常行为分析装置300和各单元的具体实现过程,可以参考前述方法实施例中的相应描述,为了描述的方便和简洁,在此不再赘述。
上述接口异常行为分析装置300可以实现为一种计算机程序的形式,该计算机程序可以在如图6所示的计算机设备上运行。
请参阅图6,图6是本申请实施例提供的一种计算机设备的示意性框图。该计算机设备500可以是服务器,其中,服务器可以是独立的服务器,也可以是多个服务器组成的服务器集群。
参阅图6,该计算机设备500包括通过系统总线501连接的处理器502、存储器和网络接口505,其中,存储器可以包括非易失性存储介质503和内存储器504。
该非易失性存储介质503可存储操作系统5031和计算机程序5032。该计算机程序5032包括程序指令,该程序指令被执行时,可使得处理器502执行一种接口异常行为分析方法。
该处理器502用于提供计算和控制能力,以支撑整个计算机设备500的运行。
该内存储器504为非易失性存储介质503中的计算机程序5032的运行提供环境,该计算机程序5032被处理器502执行时,可使得处理器502执行一种接口异常行为分析方法。
该网络接口505用于与其它设备进行网络通信。本领域技术人员可以理解,图6中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备500的限定,具体的计算机设备500可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
其中,所述处理器502用于运行存储在存储器中的计算机程序5032,以实现如下步骤:
在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
其中,所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作。
在一实施例中,处理器502在实现所述利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息步骤时,具体实现如下步骤:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
在一实施例中,处理器502在实现所述利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息步骤时,具体实现如下步骤:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;将添加spanid信息后的http头部结合spanid信息形成http信息。
在一实施例中,处理器502在实现所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为步骤时,具体实现如下步骤:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
在一实施例中,处理器502在实现所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为步骤时,具体实现如下步骤:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
应当理解,在本申请实施例中,处理器502可以是中央处理单元 (CentralProcessing Unit,CPU),该处理器502还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路 (Application Specific IntegratedCircuit,ASIC)、现成可编程门阵列 (Field-Programmable Gate Array,FPGA) 或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
本领域普通技术人员可以理解的是实现上述实施例的方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成。该计算机程序包括程序指令,计算机程序可存储于一存储介质中,该存储介质为计算机可读存储介质。该程序指令被该计算机系统中的至少一个处理器执行,以实现上述方法的实施例的流程步骤。
因此,本发明还提供一种存储介质。该存储介质可以为计算机可读存储介质。该存储介质存储有计算机程序,其中该计算机程序被处理器执行时使处理器执行如下步骤:
在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为。
其中,所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作。
在一实施例中,所述处理器在执行所述计算机程序而实现所述利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息步骤时,具体实现如下步骤:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息。
在一实施例中,所述处理器在执行所述计算机程序而实现所述利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息步骤时,具体实现如下步骤:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;将添加spanid信息后的http头部结合spanid信息形成http信息。
在一实施例中,所述处理器在执行所述计算机程序而实现所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为步骤时,具体实现如下步骤:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
在一实施例中,所述处理器在执行所述计算机程序而实现所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为步骤时,具体实现如下步骤:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
所述存储介质可以是U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、磁碟或者光盘等各种可以存储程序代码的计算机可读存储介质。
本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的。例如,各个单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式。例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。
本发明实施例方法中的步骤可以根据实际需要进行顺序调整、合并和删减。本发明实施例装置中的单元可以根据实际需要进行合并、划分和删减。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以是两个或两个以上单元集成在一个单元中。
该集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分,或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,终端,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。
Claims (6)
1.接口异常行为分析方法,其特征在于,包括:
在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;
当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述接口访问链路信息识别接口异常访问行为;
所述利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息,包括:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息;
所述利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息,包括:
利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;
将添加spanid信息后的http头部结合spanid信息形成http信息;
http信息包括嵌入spanid信息后的头部结合traceid信息形成的内容;所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作;
具体地,互联网API应用特指企业面向互联网用户开放的服务。
2.根据权利要求1所述的接口异常行为分析方法,其特征在于,所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述原接口访问链路信息识别接口异常访问行为,包括:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为。
3.根据权利要求1所述的接口异常行为分析方法,其特征在于,所述将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息与外网用户访问链路不一致,则确定当前接口访问行为是接口异常访问行为,包括:
将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,将所述接口访问链路信息与外网用户访问链路对比,当所述接口访问链路信息比外网用户访问链路所经过的接口数量少,则确定当前接口访问行为是接口异常访问行为。
4.接口异常行为分析装置,其特征在于,包括:
部署单元,用于在应用程序中插入agent插件,且将所述agent插件部署于互联网API应用以及内部API应用;
嵌入单元,用于当进行互联网API应用的接口以及内部API应用的接口的业务调用时,利用agent插件在http头部嵌入traceid信息和spanid信息,以形成http信息;
发送单元,用于将所述http信息发送到管理平台,以由所述管理平台还原接口访问链路信息,并根据所述接口访问链路信息识别接口异常访问行为;
所述嵌入单元,用于利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时在http头部嵌入traceid信息和spanid信息,以形成http信息;
所述嵌入单元包括信息添加子单元以及信息形成子单元;
信息添加子单元,用于利用agent插件通过字节码增强技术对API访问时挂载钩子,当钩子触发时,当http头部中不存在spanid标记时,在http头部添加spanid信息;信息形成子单元,用于将添加spanid信息后的http头部结合spanid信息形成http信息;
http信息包括嵌入spanid信息后的头部结合traceid信息形成的内容;所述互联网API应用的接口以及内部API应用的接口的业务调用包括:用户访问互联网API应用、互联网API应用访问内部API应用接口、内部API应用访问数据库的接进行数据操作;
具体地,互联网API应用特指企业面向互联网用户开放的服务。
5.一种计算机设备,其特征在于,所述计算机设备包括存储器及处理器,所述存储器上存储有计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至3中任一项所述的方法。
6.一种存储介质,其特征在于,所述存储介质存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1至3中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311071278.3A CN116756737B (zh) | 2023-08-24 | 2023-08-24 | 接口异常行为分析方法、装置、计算机设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311071278.3A CN116756737B (zh) | 2023-08-24 | 2023-08-24 | 接口异常行为分析方法、装置、计算机设备及存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116756737A CN116756737A (zh) | 2023-09-15 |
CN116756737B true CN116756737B (zh) | 2024-03-26 |
Family
ID=87961364
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311071278.3A Active CN116756737B (zh) | 2023-08-24 | 2023-08-24 | 接口异常行为分析方法、装置、计算机设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116756737B (zh) |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107632920A (zh) * | 2017-09-16 | 2018-01-26 | 广西电网有限责任公司电力科学研究院 | 一种输变电设备监测装置深度监控方法 |
CN113900728A (zh) * | 2021-09-18 | 2022-01-07 | 浪潮云信息技术股份公司 | 同步配置的方法、系统、电子设备及存储介质 |
CN114329359A (zh) * | 2021-12-30 | 2022-04-12 | 湖南快乐阳光互动娱乐传媒有限公司 | Api调用控制方法及装置、存储介质及电子设备 |
WO2023053101A1 (en) * | 2021-10-03 | 2023-04-06 | Seraphic Algorithms Ltd. | Systems and methods for malicious code neutralization in execution environments |
CN116192621A (zh) * | 2022-12-27 | 2023-05-30 | 上海轻维软件有限公司 | 基于Opentracing链路追踪业务调用链的方法 |
CN116232963A (zh) * | 2023-02-20 | 2023-06-06 | 中银消费金融有限公司 | 一种链路跟踪方法及系统 |
CN116340943A (zh) * | 2023-03-16 | 2023-06-27 | 中国工商银行股份有限公司 | 应用程序保护方法、装置、设备、存储介质和程序产品 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10380006B2 (en) * | 2015-06-05 | 2019-08-13 | International Business Machines Corporation | Application testing for security vulnerabilities |
-
2023
- 2023-08-24 CN CN202311071278.3A patent/CN116756737B/zh active Active
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107632920A (zh) * | 2017-09-16 | 2018-01-26 | 广西电网有限责任公司电力科学研究院 | 一种输变电设备监测装置深度监控方法 |
CN113900728A (zh) * | 2021-09-18 | 2022-01-07 | 浪潮云信息技术股份公司 | 同步配置的方法、系统、电子设备及存储介质 |
WO2023053101A1 (en) * | 2021-10-03 | 2023-04-06 | Seraphic Algorithms Ltd. | Systems and methods for malicious code neutralization in execution environments |
CN114329359A (zh) * | 2021-12-30 | 2022-04-12 | 湖南快乐阳光互动娱乐传媒有限公司 | Api调用控制方法及装置、存储介质及电子设备 |
CN116192621A (zh) * | 2022-12-27 | 2023-05-30 | 上海轻维软件有限公司 | 基于Opentracing链路追踪业务调用链的方法 |
CN116232963A (zh) * | 2023-02-20 | 2023-06-06 | 中银消费金融有限公司 | 一种链路跟踪方法及系统 |
CN116340943A (zh) * | 2023-03-16 | 2023-06-27 | 中国工商银行股份有限公司 | 应用程序保护方法、装置、设备、存储介质和程序产品 |
Non-Patent Citations (1)
Title |
---|
轻量级分布式追踪系统的设计与实现;温小斌;张达;诸映晴;;计算机时代(第09期);全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116756737A (zh) | 2023-09-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8533818B1 (en) | Profiling backup activity | |
US7584503B1 (en) | Federating trust in a heterogeneous network | |
EP2309408B1 (en) | Method and system for detection and prediction of computer virus-related epidemics | |
US8443354B1 (en) | Detecting new or modified portions of code | |
US20070174912A1 (en) | Methods and apparatus providing recovery from computer and network security attacks | |
JP6726706B2 (ja) | コンボリューションのポピュラリティに基づいて異常なイベントを検出するシステムおよび方法 | |
CN109922062B (zh) | 源代码泄露监控方法及相关设备 | |
KR101086203B1 (ko) | 악성 프로세스의 행위를 판단하여 사전에 차단하는 악성프로세스 사전차단 시스템 및 방법 | |
JP5736305B2 (ja) | ソフトウェア評価を確立し監視するシステムおよびプログラム | |
US20110219454A1 (en) | Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same | |
CN111064745A (zh) | 一种基于异常行为探测的自适应反爬方法和系统 | |
US10839074B2 (en) | System and method of adapting patterns of dangerous behavior of programs to the computer systems of users | |
WO2006137657A1 (en) | Method for intercepting malicious code in computer system and system therefor | |
US10204036B2 (en) | System and method for altering application functionality | |
CN110688653A (zh) | 客户端的安全防护方法及装置、终端设备 | |
KR100736540B1 (ko) | 웹 서버 위/변조 감시장치 및 그 방법 | |
US11003772B2 (en) | System and method for adapting patterns of malicious program behavior from groups of computer systems | |
CN116756737B (zh) | 接口异常行为分析方法、装置、计算机设备及存储介质 | |
US9785775B1 (en) | Malware management | |
CN111488576B (zh) | 一种首页篡改的保护方法、系统、电子设备及存储介质 | |
CN106899977B (zh) | 异常流量检验方法和装置 | |
US10880316B2 (en) | Method and system for determining initial execution of an attack | |
CN114785621B (zh) | 漏洞检测方法、装置、电子设备及计算机可读存储介质 | |
JP2002259187A (ja) | 異常ファイル検出および除去を目的とした着脱可能ファイル監視システム | |
CN111259392B (zh) | 一种基于内核模块的恶意软件拦截方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |