CN116861422A - Api接口的检测与防护方法、装置、设备及存储介质 - Google Patents
Api接口的检测与防护方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116861422A CN116861422A CN202310622965.3A CN202310622965A CN116861422A CN 116861422 A CN116861422 A CN 116861422A CN 202310622965 A CN202310622965 A CN 202310622965A CN 116861422 A CN116861422 A CN 116861422A
- Authority
- CN
- China
- Prior art keywords
- api interface
- information
- api
- abnormal
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 96
- 238000000034 method Methods 0.000 title claims abstract description 67
- 238000003860 storage Methods 0.000 title claims abstract description 17
- 230000002159 abnormal effect Effects 0.000 claims abstract description 99
- 230000005540 biological transmission Effects 0.000 claims abstract description 70
- 230000005856 abnormality Effects 0.000 claims abstract description 34
- 238000012545 processing Methods 0.000 claims abstract description 34
- 238000012549 training Methods 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims description 22
- 230000008569 process Effects 0.000 claims description 19
- 238000000586 desensitisation Methods 0.000 claims description 9
- 238000003066 decision tree Methods 0.000 claims description 8
- 238000012544 monitoring process Methods 0.000 claims description 8
- 230000003014 reinforcing effect Effects 0.000 claims description 8
- 238000004590 computer program Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 abstract description 16
- 238000005516 engineering process Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 5
- 239000008186 active pharmaceutical agent Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000000116 mitigating effect Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000002787 reinforcement Effects 0.000 description 3
- SPBWHPXCWJLQRU-FITJORAGSA-N 4-amino-8-[(2r,3r,4s,5r)-3,4-dihydroxy-5-(hydroxymethyl)oxolan-2-yl]-5-oxopyrido[2,3-d]pyrimidine-6-carboxamide Chemical compound C12=NC=NC(N)=C2C(=O)C(C(=O)N)=CN1[C@@H]1O[C@H](CO)[C@@H](O)[C@H]1O SPBWHPXCWJLQRU-FITJORAGSA-N 0.000 description 2
- 239000002360 explosive Substances 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 102100021677 Baculoviral IAP repeat-containing protein 2 Human genes 0.000 description 1
- 102100021662 Baculoviral IAP repeat-containing protein 3 Human genes 0.000 description 1
- 101000896157 Homo sapiens Baculoviral IAP repeat-containing protein 2 Proteins 0.000 description 1
- 101000896224 Homo sapiens Baculoviral IAP repeat-containing protein 3 Proteins 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000009960 carding Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013079 data visualisation Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000005304 joining Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本公开提供了一种API接口的检测与防护方法、装置、设备及存储介质,包括:识别API接口,获取所述API接口的运行信息;基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。本公开实现了对API接口的全面检测和防护,保障了API接口的通信安全。
Description
技术领域
本公开涉及信息安全技术领域,尤其涉及一种API接口的检测与防护方法、装置、设备及存储介质。
背景技术
随着企业信息化的发展,API接口的应用越来越广泛,企业的信息系统中存在大量的API资产。因此,API接口的安全问题也越来越受到关注。由于API接口开放性强,攻击者可以通过API接口进行攻击,因此,API接口的安全问题已成为企业信息安全的重要问题。
目前,市场上已有一些API安全产品,但它们主要集中在API漏洞扫描和API访问控制方面,缺乏对API传输敏感数据的检测和数据流转的管控。此外,现有的API安全产品通常只提供基础的API访问控制和安全防护功能,缺乏对API使用情况的全面监控和预警功能。
有鉴于此,如何实现对API接口的全面检测和防护,保障API接口的通信安全,成为了一个重要的研究问题。
发明内容
有鉴于此,本公开的目的在于提出一种API接口的检测与防护方法、装置、设备及存储介质,用以解决或部分解决上述问题。
基于上述目的,本公开的第一方面提供了一种API接口的检测与防护方法,所述方法包括:
识别API接口,获取所述API接口的运行信息;
基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;
响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;
响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
基于同一发明构思,本公开的第二方面提出了一种API接口的检测与防护装置,包括:
API接口识别模块,被配置为识别API接口,获取所述API接口的运行信息;
第一检测模块,被配置为基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;
第二检测模块,被配置为响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;
防护处理模块,被配置为响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
基于同一发明构思,本公开的第三方面提出了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器在执行所述计算机程序时实现如上所述的API接口的检测与防护方法。
基于同一发明构思,本公开的第四方面提出了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行如上所述的API接口的检测与防护方法。
从上述可以看出,本公开提出了一种API接口的检测与防护方法、装置、设备及存储介质,基于获取到的运行信息对API接口进行检测,检测出可能存在运行异常的API接口,再根据所述API接口中的传输信息,利用异常检测模型进行二次检测,进一步确定出包含异常信息的API接口,实现了API接口的全面检测,更加准确的检测出存在异常的API接口,并对所述存在异常的API接口实现精准的防护,保障了API接口的通信安全。
附图说明
为了更清楚地说明本公开或相关技术中的技术方案,下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开实施例的API接口的检测与防护方法的流程图;
图2为本公开实施例的API接口知识图谱的示意图;
图3为本公开实施例的API接口的检测与防护装置的结构框图;
图4为本公开实施例的电子设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
本公开涉及的名词解释如下:
API接口:应用程序接口(Application Programming Interface,API),又称为应用编程接口,就是软件系统不同组成部分衔接的约定。由于近年来软件的规模日益庞大,常常需要把复杂的系统划分成小的组成部分,编程接口的设计十分重要。
TLS:安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。
SSL:SSL(Secure Socket Layer)安全套接层是Netscape公司率先采用的网络安全协议。它是在传输通信协议(TCP/IP)上实现的一种安全协议,采用公开密钥技术。SSL广泛支持各种类型的网络,同时提供三种基本的安全服务,它们都使用公开密钥技术。
基于上述描述,本实施例提出了一种API接口的检测与防护方法,如图1所示,所述方法包括:
步骤101,识别API接口,获取所述API接口的运行信息。
具体实施时,对API接口进行识别和发现,其中识别方法包括下列至少之一:自动化扫描工具及人工分析,识别得到的API接口的数量为至少一个。获取所述识别到的API接口的运行信息,其中所述运行信息包括下列至少之一:API接口调用频次、API接口的调用周期、API接口传输数据的大小或API接口传输数据的类型。通过上述方案,识别得到至少一个API接口并获取所述API接口的运行信息,以供后续步骤根据所述运行信息判断所述API接口是否存在异常。
步骤102,基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果。
具体实施时,在API接口运行过程中,通过对接口访问日志和网络流量的监控和分析,基于上述步骤获取到的运行信息对API接口进行一次检测,检测出可能存在运行异常的API接口,以供后续步骤对此类一次检测可能存在运行异常的API接口进行二次检测。
获取所述API接口传输信息的大小,响应于所述API接口传输信息的大小大于预设范围,确定所述API接口存在运行异常;或者,
获取所述API接口传输信息的类型,响应于所述API接口传输信息的类型与预设类型不同,确定所述API接口存在运行异常。
示例性的,预设传输信息的大小为2M,获取到的传输信息的大小为3M,确定所述API接口运行异常。
另一示例,预设传输信息的类型为图片,获取到传输信息的类型为语音,确定所述API接口运行异常。
步骤103,响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型。
具体实施时,当检测出存在运行异常的API接口后,获取所述存在运行异常的API接口的预设时间段内的传输信息。利用异常检测模型检测所述传输信息中是否存在异常信息,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型。
所述异常检测模型训练得到的过程包括:
获取生产流量,获取基于所述API接口中的安全日志得到的非告警日志,根据所述生产流量及所述非告警日志对所述检测模型进行训练,得到异常检测模型。
步骤104,响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
具体实施时,当检测出存在异常信息的API接口,调用所述存在异常信息的API接口进行人工研判,并将所述人工研判反馈给所述异常检测模型,并对所述异常检测模型进行优化更新,以提高所述异常检测模型对所述存在异常信息的API接口的检测准确性。对所述存在异常信息的API接口进行防护处理,其中所述防护处理的手段包括下列至少之一:API安全监测、接口签名及口令加密等。同时将所述异常信息发送给用户,针对所述异常信息向用户进行预警,如发送警报提示等。
通过上述方案,基于获取到的运行信息对API接口进行检测,检测出可能存在运行异常的API接口,再根据所述API接口中的传输信息,利用异常检测模型进行二次检测,进一步确定出包含异常信息的API接口,实现了API接口的全面检测,更加准确的检测出存在异常的API接口,并对所述存在异常的API接口实现精准的防护,保障了API接口的通信安全。
在一些实施例中,所述运行信息包括下列至少之一;所述API接口的调用频次及所述API接口的调用周期;步骤102具体包括:
步骤1021,响应于所述API接口的调用频次小于预设频次,确定所述第一检测结果为存在运行异常;或者,
响应于所述API接口的调用周期大于预设周期,确定所述第一检测结果为存在运行异常。
具体实施时,获取所述API接口的调用频次,响应于所述API接口的调用频次大于预设频次,确定所述API接口存在运行异常;或者,
获取所述API接口的调用周期,响应于所述API接口的调用周期大于预设周期,确定所述API接口存在运行异常。
示例性的,预设调用频次为10次,获取到的所述API接口的调用频次为20次,则确定所述API接口存在运行异常。
另一示例,预设的调用周期为2小时,获取到的所述API接口的调用周期为4小时,确定所述API接口存在运行异常。
在一些实施例中,步骤104具体包括:
步骤1041,获取存在异常信息的API接口数量。
具体实施时,当二次检测确定API接口存在异常信息,获取存在异常信息的API接口的数量。
步骤1042,响应于所述存在异常信息的API接口数量为一个,对所述存在异常信息的API接口进行防护处理。
具体实施时,当存在异常信息的API接口的数量为一个,对所述存在异常信息的API接口进行防护处理。
或者,
步骤1043,响应于所述存在异常信息的API接口数量为至少两个,利用基于决策树的风险评分算法对所述存在异常信息的API接口进行评分,得到评分结果,根据所述评分结果对所述存在异常信息的API接口进行防护处理。
具体实施时,当存在至少两个存在异常信息的API接口,利用基于决策树的风险评分算法对所述存在异常信息的API接口进行评分,得到至少两个评分结果。根据所述评分结果对所述存在异常信息的API接口进行防护处理。
利用决策树进行风险评分分析,首先需对特征进行选择,对所述API接口按照特征分类分级进行评估评分,得到评分结果。
对基于决策树的风险评分算法进行优化处理,优化方法为减少对数据集的特征划分,也就是所述决策树中划分过细的子节点,通过删除或合并处理。通过不断调整,达到一种全局最优解,避免了在模型训练时过度拟合导致检测结果变差。
通过上述方案,当存在多个API接口均存在异常信息时,为避免日志告警量爆炸式增长,采用基于决策树的风险评分算法,将不同检测模型,不同攻击类型和不同端点的API综合评分,按照评分高低决定安全事件的优先级,进而对评分过低的API接口进行防护处理。
在一些实施例中,步骤1043具体包括:
步骤10431,响应于存在所述评分结果小于预设评分,对所述评分结果小于预设评分对应的API接口进行防护处理,并采用加固手段对所述API接口进行安全加固,其中所述加固手段包括下列至少之一:API请求限流、防重放攻击及签名校验;
或者,
步骤10432,响应于存在所述评分结果大于或等于预设评分,对所述评分结果大于或等于预设评分对应的API接口进行监测。
具体实施时,通过判断评分结果与预设评分的大小关系。当存在所述评分结果小于预设评分时,对所述评分结果小于预设评分的对应的API接口进行防护处理。同时,采用加固手段对所述API接口进行安全加固,其中所述加固手段包括下列至少之一:API请求限流、防重放攻击及签名校验。通过上述方案,当存在API接口的评分结果小于预设评分时,除对所述API接口进行防护外,还需对所述API接口进行加固处理,避免所述API接口后续再次出现运行异常的情况。
当存在评分结果大于或等于预设评分时,对所述评分结果大于或等于预设评分的API接口进行监测处理。
通过上述方案,对于不同评分结果的存在异常信息的API接口采取不同的措施进行处理,避免了避免日志告警量的爆炸式增长。
在一些实施例中,所述方法还包括:
步骤10A,获取所述API接口的传输信息,通过正则表达式判断所述传输内容信息中是否包含敏感数据。
具体实施时,获取API接口中的传输信息,利用敏感信息的正则表达式识别所述API接口中携带的敏感信息,其中所述敏感信息包括下列至少之一:密码、手机号、邮箱、姓名及身份证号等。
步骤10B,响应于所述传输信息中包含所述敏感数据,对所述敏感数据进行脱敏处理,对所述传输信息进行加密。
具体实施时,当检测到所述传输信息中包含敏感数据时,对所述敏感数据进行脱敏处理,数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。同时,采用传输层安全协议加密所述API接口的传输信息,避免所述敏感信息发生泄漏。其中所述传输层安全协议如TLS/SSL。
通过上述方案,对API接口传输信息中的敏感数据进行检测,当检测到存在敏感数据时,对所述敏感数据进行脱敏处理的同时对所述传输内容进行加密处理,双重保障了所述敏感数据不被泄露。
在一些实施例中,所述方法还包括:
步骤10a,获取所述API接口的基本信息及所述API接口传输信息的基本信息,其中所述API接口的基本信息包括下列至少之一:API接口名称及API接口调用方,所述API接口传输信息的基本信息包括下列至少之一:传输信息名称及所述传输信息的接收方名称。
步骤10b,对所述API接口的基本信息及所述API接口传输数据的基本信息进行实体抽取,构建API接口知识图谱。
具体实施时,获取所述API接口的基本信息及所述API接口传输信息的基本信息,将所述API接口的基本信息及所述API接口传输信息的基本信息进行实体抽取,并将其中的关联关系绘制成连线,构建API接口知识图谱。
构建的API接口知识图谱如图2所示,所述知识图谱中包含API接口名称(API1、API2)、API接口调用方(账号1)、传输信息名称(数据1、数据2)及所述传输信息的接收方名称(账号2)。
通过所述API接口知识图谱,利用不一致性原则可以进行风险判断。所述不一致性原则为找出知识图谱中本应相同却实际不同、本应不同却实际相同的实体。如“数据1”监测到数据1发生敏感信息泄露,那么API1和API2都应该存在安全风险,这是本应相同却实际不同的例子;而对于账号1和账号2,他们共同拥有数据1,这就存在不合理性,可能是出现了水平越权或垂直越权的风险,这就是本应不同却相同的例子。
将攻击和风险可以结合起来,形成<风险值,影响>对,形成该API传输数据知识图谱的风险图。基于风险图和业内收集的漏洞解决办法和防护策略可以制定出相应的安全管理措施,来缓解针对API或数据的攻击影响。在实际操作时,可以对缓解措施进行约束,以便只执行那些在约束范围内的缓解措施(例如,在规定的成本内,在规定的持续时间内,等等),任何不满足约束的缓解措施不会被预先提出来进一步考虑。
通过上述方案,采用知识图谱的方式,将不同系统之间的API调用关系实例化,形成关联关系。在API出现漏洞,或者确认敏感信息泄露事件时,可快速关联梳理出受影响的API端点。同时,通过一致性原则识别实例之间关系的异常,从而从可视化信息中继续发现API安全风险,避免了API数据可视化要依赖人工研判的经验性风险。
在一些实施例中,还包括:
步骤10c,响应于所述API接口存在异常信息,获取所述异常信息的基本信息;
步骤10d,根据所述异常信息的基本信息对所述API接口知识图谱进行标记处理。
具体实施时,当检测到所述API接口中存在异常信息时,获取所述异常信息的基本信息,其中所述基本信息包括下列至少之一:异常信息名称、异常信息的发送方及异常信息的接收方。根据所述异常信息的基本信息对上述步骤构建的API接口知识图谱进行标记,示例性的,对所述知识图谱中的异常信息相关进行标黄处理。
通过上述方案,当出现异常信息时,通过在所述API接口知识图谱中进行标记,方便用户对所述出现异常信息的API接口进行及时处理,同时对所述异常信息进行及时的解决。
在一些实施例中,可利用Java的API实现API数据流的动态展示,采用WebSocket和HTML5实时数据推送技术保证数据的实时性。
基于同一发明构思,本公开在另一应用场景下的实施例,应用于企业信息系统,包括:
步骤201,对API接口进行管理。
具体实施时,对企业信息系统中的API接口进行梳理和管理,包括对多所述API接口的类型、所述API接口的来源、所述API接口的地址、所述AP接口的访问方式进行规范化描述和记录,并为不同类型的API接口进行分类分级,便于后续的管控及管理。
步骤202,对所述API接口进行识别。
具体实施时,采用自动化扫描工具、人工分析等方式进行API接口的发现与识别。
步骤203,对所述识别成功的API接口进行监测。
具体实施时,在API接口运行过程中,通过对接口访问日志和网络流量的监控和分析,对接口运行中可能出现的异常信息或者攻击行为进行实时监测和分析,并且在发生问题时,及时向相关部门进行预警。
步骤204,对所述识别成功的API接口进行敏感数据的探测。
具体实施时,在实现API接口传输敏感数据的发现时,可以进行内容分析,如利用敏感信息的正则表达式,识别API接口中携带的敏感信息,如密码、手机号、邮箱等。当检测到所述传输信息中包含敏感数据时,对所述敏感数据进行脱敏处理,数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。同时,采用传输层安全协议加密所述API接口的传输信息,避免所述敏感信息发生泄漏。其中所述传输层安全协议如TLS/SSL。
步骤205,对所述存在敏感数据的API接口进行防护处理。
具体实施时,对所述存在异常信息的API接口进行防护处理,其中所述防护处理的手段包括下列至少之一:API安全监测、接口签名及口令加密等。同时,采用加固手段对所述API接口进行安全加固,其中所述加固手段包括下列至少之一:API请求限流、防重放攻击及签名校验。
步骤206,记录API请求和响应数据。
具体实施时,记录API请求和响应数据,提供审计和调查功能,追溯数据流向和数据泄露风险。同时使用Java的API来实现API数据流的动态展示和管控,使用的技术是WebSocket和HTML5实时数据推送技术。
需要说明的是,本公开实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种API接口的检测与防护装置。
参考图3,图3为实施例的API接口的检测与防护装置,包括:
API接口识别模块301,被配置为识别API接口,获取所述API接口的运行信息;
第一检测模块302,被配置为基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;
第二检测模块303,被配置为响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;
防护处理模块304,被配置为响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
在一些实施例中,所述运行信息包括下列至少之一;所述API接口的调用频次及所述API接口的调用周期;所述第一检测模块302具体包括:
第一判断单元,被配置为响应于所述API接口的调用频次大于预设频次,确定所述第一检测结果为存在运行异常;或者,
第二判断单元,被配置为响应于所述API接口的调用周期大于预设周期,确定所述第一检测结果为存在运行异常。
在一些实施例中,所述防护处理模块304包括:
数量获取单元,被配置为获取存在异常信息的API接口数量;
第一防护处理单元,被配置为响应于所述存在异常信息的API接口数量为一个,对所述存在异常信息的API接口进行防护处理;或者,
第二防护处理单元,被配置为响应于所述存在异常信息的API接口数量为至少两个,利用基于决策树的风险评分算法对所述存在异常信息的API接口进行评分,得到评分结果,根据所述评分结果对所述存在异常信息的API接口进行防护处理。
在一些实施例中,所述第二防护处理单元具体包括:
响应于存在所述评分结果小于预设评分,对所述评分结果小于预设评分对应的API接口进行防护处理,并采用加固手段对所述API接口进行安全加固,其中所述加固手段包括下列至少之一:API请求限流、防重放攻击及签名校验;或者,
响应于存在所述评分结果大于或等于预设评分,对所述评分结果大于或等于预设评分对应的API接口进行监测。
在一些实施例中,所述装置具体还包括:
敏感数据检测模块,被配置为获取所述API接口的传输信息,通过正则表达式判断所述传输内容信息中是否包含敏感数据;
信息加密模块,被配置为响应于所述传输信息中包含所述敏感数据,对所述敏感数据进行脱敏处理,对所述传输信息进行加密。
在一些实施例中,所述装置具体还包括:
信息获取模块,被配置为获取所述API接口的基本信息及所述API接口传输信息的基本信息,其中所述API接口的基本信息包括下列至少之一:API接口名称及API接口调用方,所述API接口传输信息的基本信息包括下列至少之一:传输信息名称及所述传输信息的接收方名称;
实体抽取模块,被配置为对所述API接口的基本信息及所述API接口传输数据的基本信息进行实体抽取,构建API接口知识图谱。
在一些实施例中,所述装置具体还包括:
异常信息获取模块,被配置为响应于所述API接口存在异常信息,获取所述异常信息的基本信息;
标记处理模块,被配置为根据所述异常信息的基本信息对所述API接口知识图谱进行标记处理。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本公开时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述任一实施例中相应的API接口的检测与防护方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的API接口的检测与防护方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的API接口的检测与防护方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的API接口的检测与防护方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的API接口的检测与防护方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本公开实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种API接口的检测与防护方法,其特征在于,包括:
识别API接口,获取所述API接口的运行信息;
基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;
响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;
响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
2.根据权利要求1所述的方法,其特征在于,所述运行信息包括下列至少之一;所述API接口的调用频次及所述API接口的调用周期;
所述基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果,包括;
响应于所述API接口的调用频次大于预设频次,确定所述第一检测结果为存在运行异常;或者,
响应于所述API接口的调用周期大于预设周期,确定所述第一检测结果为存在运行异常。
3.根据权利要求1所述的方法,其特征在于,所述响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理,包括:
获取存在异常信息的API接口数量;
响应于所述存在异常信息的API接口数量为一个,对所述存在异常信息的API接口进行防护处理;或者,
响应于所述存在异常信息的API接口数量为至少两个,利用基于决策树的风险评分算法对所述存在异常信息的API接口进行评分,得到评分结果,根据所述评分结果对所述存在异常信息的API接口进行防护处理。
4.根据权利要求3所述的方法,其特征在于,所述根据所述评分结果对所述存在异常信息的API接口进行防护处理,包括:
响应于存在所述评分结果小于预设评分,对所述评分结果小于预设评分对应的API接口进行防护处理,并采用加固手段对所述API接口进行安全加固,其中所述加固手段包括下列至少之一:API请求限流、防重放攻击及签名校验;或者,
响应于存在所述评分结果大于或等于预设评分,对所述评分结果大于或等于预设评分对应的API接口进行监测。
5.根据权利要求1所述的方法,其特征在于,还包括:
获取所述API接口的传输信息,通过正则表达式判断所述传输内容信息中是否包含敏感数据;
响应于所述传输信息中包含所述敏感数据,对所述敏感数据进行脱敏处理,对所述传输信息进行加密。
6.根据权利要求1所述的方法,其特征在于,还包括:
获取所述API接口的基本信息及所述API接口传输信息的基本信息,其中所述API接口的基本信息包括下列至少之一:API接口名称及API接口调用方,所述API接口传输信息的基本信息包括下列至少之一:传输信息名称及所述传输信息的接收方名称;
对所述API接口的基本信息及所述API接口传输数据的基本信息进行实体抽取,构建API接口知识图谱。
7.根据权利要求6所述的方法,其特征在于,还包括:
响应于所述API接口存在异常信息,获取所述异常信息的基本信息;
根据所述异常信息的基本信息对所述API接口知识图谱进行标记处理。
8.一种API接口的检测与防护装置,其特征在于,包括:
API接口识别模块,被配置为识别API接口,获取所述API接口的运行信息;
第一检测模块,被配置为基于所述运行信息对所述API接口进行检测,确定所述API接口中是否存在运行异常,得到第一检测结果;
第二检测模块,被配置为响应于所述第一检测结果为存在运行异常,获取预设时间段内的所述API接口的传输信息,利用异常检测模型对所述传输信息进行检测,得到第二检测结果,其中所述异常检测模型为对所述检测模型进行训练得到的用于检测异常信息的模型;
防护处理模块,被配置为响应于所述第二检测结果为存在异常信息,对所述API接口进行防护处理。
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的API接口的检测与防护方法。
10.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行权利要求1至7任一所述的API接口的检测与防护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310622965.3A CN116861422A (zh) | 2023-05-29 | 2023-05-29 | Api接口的检测与防护方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310622965.3A CN116861422A (zh) | 2023-05-29 | 2023-05-29 | Api接口的检测与防护方法、装置、设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116861422A true CN116861422A (zh) | 2023-10-10 |
Family
ID=88220518
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310622965.3A Pending CN116861422A (zh) | 2023-05-29 | 2023-05-29 | Api接口的检测与防护方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116861422A (zh) |
-
2023
- 2023-05-29 CN CN202310622965.3A patent/CN116861422A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11165815B2 (en) | Systems and methods for cyber security alert triage | |
| US20140380475A1 (en) | User centric fraud detection | |
| EP2892197A1 (en) | IP reputation | |
| CN112003838B (zh) | 网络威胁的检测方法、装置、电子装置和存储介质 | |
| WO2019153857A1 (zh) | 一种数字钱包资产保护方法、装置、电子设备及存储介质 | |
| US11777961B2 (en) | Asset remediation trend map generation and utilization for threat mitigation | |
| CN110598404A (zh) | 安全风险监控方法、监控装置、服务器和存储介质 | |
| US20170155683A1 (en) | Remedial action for release of threat data | |
| US11762991B2 (en) | Attack kill chain generation and utilization for threat analysis | |
| CN114374566B (zh) | 一种攻击检测方法及装置 | |
| JP2022037896A (ja) | 脅威対応自動化方法 | |
| Alexakos et al. | Enabling digital forensics readiness for internet of vehicles | |
| CN113177205A (zh) | 一种恶意应用检测系统及方法 | |
| CN112637215A (zh) | 网络安全检测方法、装置、电子设备及可读存储介质 | |
| CN111316272A (zh) | 使用行为和深度分析的先进网络安全威胁减缓 | |
| CN112000719A (zh) | 数据安全态势感知系统、方法、设备及存储介质 | |
| KR101464736B1 (ko) | 정보보호 관리 시스템 및 이를 통한 홈페이지 위변조 탐지 방법 | |
| CN114584391B (zh) | 异常流量处理策略的生成方法、装置、设备及存储介质 | |
| CN116861422A (zh) | Api接口的检测与防护方法、装置、设备及存储介质 | |
| CN115603995A (zh) | 一种信息处理方法、装置、设备及计算机可读存储介质 | |
| CN114124453A (zh) | 网络安全信息的处理方法、装置、电子设备及储存介质 | |
| CN113360354A (zh) | 用户操作行为监控方法、装置、设备及可读存储介质 | |
| CN114006701A (zh) | 一种名单共享方法、装置、设备及存储介质 | |
| Suciu et al. | Mobile devices forensic platform for malware detection | |
| Prasetyo et al. | Investigation Cyberbullying on Kik Messenger using National Institute of Standards Technology Method |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |