CN117376004A - 一种基于深度学习的api逻辑漏洞监测方法及系统 - Google Patents
一种基于深度学习的api逻辑漏洞监测方法及系统 Download PDFInfo
- Publication number
- CN117376004A CN117376004A CN202311524811.7A CN202311524811A CN117376004A CN 117376004 A CN117376004 A CN 117376004A CN 202311524811 A CN202311524811 A CN 202311524811A CN 117376004 A CN117376004 A CN 117376004A
- Authority
- CN
- China
- Prior art keywords
- api
- api interface
- model
- logic
- deep learning
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 45
- 238000013135 deep learning Methods 0.000 title claims abstract description 33
- 238000012544 monitoring process Methods 0.000 title claims abstract description 32
- 230000006399 behavior Effects 0.000 claims abstract description 43
- 230000004044 response Effects 0.000 claims abstract description 19
- 238000001514 detection method Methods 0.000 claims abstract description 8
- 238000004458 analytical method Methods 0.000 claims description 16
- 238000012549 training Methods 0.000 claims description 16
- 238000004590 computer program Methods 0.000 claims description 14
- 230000006870 function Effects 0.000 claims description 13
- 230000008569 process Effects 0.000 claims description 11
- 238000003860 storage Methods 0.000 claims description 10
- 230000003068 static effect Effects 0.000 claims description 4
- 230000003993 interaction Effects 0.000 claims description 3
- 230000002441 reversible effect Effects 0.000 claims description 3
- 230000035515 penetration Effects 0.000 claims description 2
- 239000008186 active pharmaceutical agent Substances 0.000 description 103
- 238000012360 testing method Methods 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 238000000605 extraction Methods 0.000 description 7
- 238000007781 pre-processing Methods 0.000 description 5
- 238000010801 machine learning Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 238000013145 classification model Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000006872 improvement Effects 0.000 description 2
- 238000002347 injection Methods 0.000 description 2
- 239000007924 injection Substances 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 238000004140 cleaning Methods 0.000 description 1
- 238000002790 cross-validation Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000002068 genetic effect Effects 0.000 description 1
- 230000002427 irreversible effect Effects 0.000 description 1
- 230000000670 limiting effect Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000000873 masking effect Effects 0.000 description 1
- 238000003058 natural language processing Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Artificial Intelligence (AREA)
- Computer Vision & Pattern Recognition (AREA)
- Databases & Information Systems (AREA)
- Evolutionary Computation (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明涉及网络安全技术领域,尤其涉及一种基于深度学习的API逻辑漏洞监测方法及系统。该方法包括,在攻击方面:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;在防守方面:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
Description
技术领域
本发明涉及网络安全技术领域,尤其涉及一种基于深度学习的API逻辑漏洞监测方法及系统。
背景技术
本部分的陈述仅仅是提供了与本发明相关的背景技术信息,不必然构成在先技术。
当前,网络攻击层出不穷,对API逻辑漏洞的利用可以在网络攻击活动中获取大量的敏感数据,且隐蔽性很强。如果不能对API逻辑漏洞进行有效挖掘和监测,及时发现并修复内部漏洞,规范网络安全行为,提前发现并处置已有的安全隐患,将对业务系统造成不可逆的影响。
API逻辑漏洞对应的攻击通常存在于业务逻辑中,因其独特性而难以更新WAF规则,传统基于行为特征和规则的风险审计,规则越复杂可依赖性越低,且不确定性和持续迭代导致行为特征可依赖性降低,从而无法直接判定风险,可能导致较高的误判率。此外,API逻辑漏洞监测过程中还会存在以下问题:
(1)API基线特征提取难。随着微服务微应用新的WEB2.0框架的出现,业务应用安全防护措施的提高,前端页面加密混淆防护,采用传统方式通过前端页面和JS获取API请求路径及参数特征就变的特别困难。
(2)逻辑漏洞模型构建困难。逻辑漏洞和业务逻辑紧密关联,不同的业务设计模式和开发模型不同,利用传统自动化的手段构建逻辑模型就非常困难。
(3)逻辑漏洞判断比较困难。因业务系统代码规范不同,系统接口响应存在返回界面、字符串、XML等多种方式,同时业务请求响应状态因业务的不同而不同,通过自动化的手段分析逻辑漏洞就非常困难。
发明内容
为了解决上述背景技术中存在的技术问题,本发明提供一种基于深度学习的API逻辑漏洞监测方法及系统,本发明实现了对API接口的语义分析、逻辑漏洞检测、自动化测试和攻击监测,提高API逻辑漏洞测试效率和准确性。同时具有可扩展性,可根据不同的业务场景进行调整。
为了实现上述目的,本发明采用如下技术方案:
本发明的第一个方面提供一种基于深度学习的API逻辑漏洞监测方法。
一种基于深度学习的API逻辑漏洞监测方法,包括:
在攻击方面:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
在防守方面:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
进一步地,所述获取API接口数据的过程包括:采用静态分析对JS代码进行语法解析,通过遍历语法树的方式,提取出JS代码中的函数调用和参数信息,得到API接口数据。
更进一步地,所述语法解析包括反混淆。
进一步地,所述采用API语义模型的过程之前还包括:基于API接口数据,采用深度学习,提取API接口特征。
更进一步地,所述提取API接口特征的过程之后还包括:基于API接口特征,采用词向量模型,将API接口中的文本信息转换为API接口向量;基于API接口向量,采用API语义模型,得到API接口特征语义信息。
进一步地,所述逻辑漏洞模型的训练过程包括:获取历史漏洞API接口数据、历史正常API接口数据、API接口的输入输出参数特征以及API的行为特征,对逻辑漏洞模型进行训练,用于识别API接口是否存在逻辑漏洞;所述API的行为特征包括时间行为、访问频次、IP和访问权限特征。
进一步地,所述会话行为基线模型的训练过程包括:获取历史业务交互正向样本和反向样本,对会话行为基线模型进行训练,用于识别迥异与正常会话模式的渗透攻击行为,得到存在的攻击行为描述。
本发明的第二个方面提供一种基于深度学习的API逻辑漏洞监测系统。
一种基于深度学习的API逻辑漏洞监测系统,包括:
攻击模块,其被配置为:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
防守模块,其被配置为:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
本发明的第三个方面提供一种计算机可读存储介质。
一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述第一个方面所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
本发明的第四个方面提供一种计算机设备。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述第一个方面所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
与现有技术相比,本发明的有益效果是:
本发明利用大数据关联、聚合、深度学习、自然语言处理、JS反混淆等技术,实现API请求基线特征的提取,克服了API基线特征提取难的问题。
本发明基于API基线特征、特征样本、请求参数及响应参数特征,利用深度机器学习算法,构建基于参数的、请求协议的、多维度的逻辑漏洞模型,克服了逻辑漏洞模型构建困难的问题。
本发明通过深度机器学习算法,判断正常响应和非正常响应的差异,从而进一步判断是否存在逻辑漏洞,克服了逻辑漏洞判断比较困难的问题。
本发明完成轻量级工具开发,可在个人电脑上部署。工具集成语义模型、逻辑漏洞模型、自动化测试模型和攻击监测模型,可实现对API逻辑漏洞的辅助分析和监测。
本发明在攻击方面,输入目标系统的前端JS文件,可输出目标系统的API清单以及可能存在越权漏洞的测试用例(payload);在防守方面,输入业务系统的日志文件(流量或主机日志),可输出可能存在的攻击行为描述。
本发明可自动生成API逻辑漏洞的分析报告。
附图说明
构成本发明的一部分的说明书附图用来提供对本发明的进一步理解,本发明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。
图1是本发明示出的基于深度学习的API逻辑漏洞监测方法的流程图。
具体实施方式
下面结合附图与实施例对本发明作进一步说明。
应该指出,以下详细说明都是例示性的,旨在对本发明提供进一步的说明。除非另有指明,本文使用的所有技术和科学术语具有与本发明所属技术领域的普通技术人员通常理解的相同含义。
需要注意的是,这里所使用的术语仅是为了描述具体实施方式,而非意图限制根据本发明的示例性实施方式。如在这里所使用的,除非上下文另外明确指出,否则单数形式也意图包括复数形式,此外,还应当理解的是,当在本说明书中使用术语“包含”和/或“包括”时,其指明存在特征、步骤、操作、器件、组件和/或它们的组合。
需要注意的是,附图中的流程图和框图示出了根据本公开的各种实施例的方法和系统的可能实现的体系架构、功能和操作。应当注意,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,所述模块、程序段、或代码的一部分可以包括一个或多个用于实现各个实施例中所规定的逻辑功能的可执行指令。也应当注意,在有些作为备选的实现中,方框中所标注的功能也可以按照不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,或者它们有时也可以按照相反的顺序执行,这取决于所涉及的功能。同样应当注意的是,流程图和/或框图中的每个方框、以及流程图和/或框图中的方框的组合,可以使用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以使用专用硬件与计算机指令的组合来实现。
实施例一
如图1所示,本实施例提供了一种基于深度学习的API逻辑漏洞监测方法,本实施例以该方法应用于服务器进行举例说明,可以理解的是,该方法也可以应用于终端,还可以应用于包括终端和服务器和系统,并通过终端和服务器的交互实现。服务器可以是独立的物理服务器,也可以是多个物理服务器构成的服务器集群或者分布式系统,还可以是提供云服务、云数据库、云计算、云函数、云存储、网络服务器、云通信、中间件服务、域名服务、安全服务CDN、以及大数据和人工智能平台等基础云计算服务的云服务器。终端可以是智能手机、平板电脑、笔记本电脑、台式计算机、智能音箱、智能手表等,但并不局限于此。终端以及服务器可以通过有线或无线通信方式进行直接或间接地连接,本申请在此不做限制。本实施例中,该方法包括以下步骤:
在攻击方面:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
在防守方面:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
下面对本实施例进行详细描述:
(1)语义模型
(1-1)收集前端JS并进行预处理,可以结合以下两种方式。
(1-1-1)利用静态分析的方式对JS代码进行语法解析(包括反混淆等),然后通过遍历语法树的方式,提取出其中的函数调用和参数信息,从而实现对API接口的提取。所述静态分析为对未运行的前端代码进行分析。
(1-1-2)准备足够多的前端JS代码和对应API文档,通过大量JS代码的分析和训练,基于CNN或RNN等深度学习方式,提取出API接口的特征,从而实现对新的JS代码进行自动化识别和提取。
(1-2)根据预处理后的数据训练词向量模型,使用已有的API文档数据训练词向量模型,以便将API接口中的文本信息转化为向量表示。
(1-3)将API接口的向量表示输入到API语义模型中进行分析,输出API接口的语义信息,包括功能和语义信息。实现对API接口的语义分析,初步判断API接口是否存在潜在的业务逻辑、访问控制、会话管理等方面安全风险。
(2)逻辑漏洞模型
(2-1)收集API接口数据,包括API接口的请求参数、请求参数值信息、响应结果、返回状态码、异常信息等。收集到的数据经过预处理和标注,用于特征提取和模型训练。
(2-2)利用已知的漏洞API接口数据和正常API接口数据,通过Transformer算法训练出一个分类模型。这样将API接口的特征输入模型,模型会根据已有的经验和训练数据对API接口进行分类判断,判断其是否存在逻辑漏洞。
(3)自动化测试模型
(3-1)将收集的API接口数据还原为以API为根路径,其余参数作为叶子节点的树形逻辑结构,并通过统计分析判断URL path中的定值与可变参数;以树形结构作为基本的API结构,使用数据类型注入、通用payload注入、畸形数据替换和类型转换生成全新API数据,作为逻辑漏洞输入,基于遗传算法或受限玻尔兹曼机算法等,生成测试用例。同时使用留出法、交叉验证法生成测试集。生成的测试用例和测试集具有一定的随机性和多样性,以提高测试的可靠性。
(3-2)模拟用户的行为,向API接口发送请求并记录相应的结果和响应状态码。可以对测试结果进行分析和统计,统计正确率、召回率等,供后续完善模型。
(3-3)生成测试报告。
(4)攻击监测模型
(4-1)收集API访问流量或日志数据并进行预处理,包括正常业务访问的数据和利用逻辑漏洞攻击的数据。
(4-2)根据时间线、数据流、行为、频度等可能的因素,训练分类模型,判断是否存在攻击行为。
实施例二
本实施例提供了一种基于深度学习的API逻辑漏洞监测系统。
一种基于深度学习的API逻辑漏洞监测系统,包括:
攻击模块,其被配置为:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
防守模块,其被配置为:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
下面对本实施例进行详细描述:
(1)API特征提取
(1-1)通过镜像流量获取原始报文,完成7层数据包和常见应用层协议的解析,并通过大数据关联算法,实现丢包、分包、重传、还原等场景下会话数据预处理及关联。镜像流量从交换机端口发送到流量分析服务器,利用KAFKA消息中间件发布实时流量数据事件,flink大数据分析组件接收到实时流量处理事件后,首先对流量原始数据包进行报文解析等预处理,同时预处理之后的流量数据进行压缩、聚合、关联,并传送到API特征深度学习算法中,建立API请求基线,包括请求路径、请求参数、请求参数架构、响应参数、响应参数架构等。经过预处理的流量数据,通过深度机器学习算法,获取业务请求协议、请求及响应参数特征基线和模型。
(2)逻辑漏洞模型构建
基于API基线和特征模型,利用深度机器学习算法,构建基于参数的、请求协议的、多维度的逻辑漏洞模型,模型包括:越权攻击、接口遍历、接口爆破、支付逻辑漏洞、重放攻击等类型。最后,模拟用户的行为,向API接口发送请求并记录相应的结果和状态码。
(3)逻辑漏洞识别
首先对逻辑漏洞识别样本数据进行预处理,将收集的数据进行清洗、转化、集成和规约,为模型建立创建训练集和测试集;然后对逻辑漏洞识别模型进行构建,利用关键字识别算法、相似度算法和深度学习算法等,构建逻辑漏洞识别模型——先对API响应按长度进行分类,小于阈值的使用关键字识别算法和相似度算法进行比较,大于阈值的使用相似度算法和语义识别算法进行分析;使用梯度下降算法使模型损失函数最小化,优化逻辑漏洞识别模型,同时使用测试集优化模型超参,得出最优模型;最后使用模型对用户的响应数据进行分析,判断是否存在逻辑漏洞。
实施例三
本实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如上述实施例一所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
实施例四
本实施例提供了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述实施例一所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(RandomAccessMemory,RAM)等。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于深度学习的API逻辑漏洞监测方法,其特征在于,包括:
在攻击方面:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
在防守方面:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
2.根据权利要求1所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述获取API接口数据的过程包括:采用静态分析对JS代码进行语法解析,通过遍历语法树的方式,提取出JS代码中的函数调用和参数信息,得到API接口数据。
3.根据权利要求2所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述语法解析包括反混淆。
4.根据权利要求1所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述采用API语义模型的过程之前还包括:基于API接口数据,采用深度学习,提取API接口特征。
5.根据权利要求4所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述提取API接口特征的过程之后还包括:基于API接口特征,采用词向量模型,将API接口中的文本信息转换为API接口向量;基于API接口向量,采用API语义模型,得到API接口特征语义信息。
6.根据权利要求1所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述逻辑漏洞模型的训练过程包括:获取历史漏洞API接口数据、历史正常API接口数据、API接口的输入输出参数特征以及API的行为特征,对逻辑漏洞模型进行训练,用于识别API接口是否存在逻辑漏洞;所述API的行为特征包括时间行为、访问频次、IP和访问权限特征。
7.根据权利要求1所述的基于深度学习的API逻辑漏洞监测方法,其特征在于,所述会话行为基线模型的训练过程包括:获取历史业务交互正向样本和越权访问反向样本,对会话行为基线模型进行训练,用于识别迥异与正常会话模式的渗透攻击行为,得到存在的攻击行为描述。
8.一种基于深度学习的API逻辑漏洞监测系统,其特征在于,包括:
攻击模块,其被配置为:获取API接口数据;基于API接口数据,采用API语义模型,得到API接口特征语义信息;基于API接口特征语义信息,采用逻辑漏洞模型,模拟用户发包探测,依据响应特征判断API接口是否存在逻辑漏洞;
防守模块,其被配置为:对对外服务系统的web请求会话参数进行特征提取,为每个系统建立会话行为基线模型;基于web请求会话参数的特征,采用会话行为基线模型,得到存在的攻击行为描述。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7中任一项所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1-7中任一项所述的基于深度学习的API逻辑漏洞监测方法中的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311524811.7A CN117376004A (zh) | 2023-11-15 | 2023-11-15 | 一种基于深度学习的api逻辑漏洞监测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311524811.7A CN117376004A (zh) | 2023-11-15 | 2023-11-15 | 一种基于深度学习的api逻辑漏洞监测方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117376004A true CN117376004A (zh) | 2024-01-09 |
Family
ID=89404132
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311524811.7A Pending CN117376004A (zh) | 2023-11-15 | 2023-11-15 | 一种基于深度学习的api逻辑漏洞监测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117376004A (zh) |
-
2023
- 2023-11-15 CN CN202311524811.7A patent/CN117376004A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10243982B2 (en) | Log analyzing device, attack detecting device, attack detection method, and program | |
CN106961419B (zh) | WebShell检测方法、装置及系统 | |
CN109117634B (zh) | 基于网络流量多视图融合的恶意软件检测方法及系统 | |
CN111600919B (zh) | 智能网络应用防护系统模型的构建方法和装置 | |
CN111614599B (zh) | 基于人工智能的webshell检测方法和装置 | |
Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
CN112953971B (zh) | 一种网络安全流量入侵检测方法和系统 | |
CN112468347B (zh) | 一种云平台的安全管理方法、装置、电子设备及存储介质 | |
KR20210087403A (ko) | 컨테이너들을 관리하기 위한 포렌식들을 제공하는 시스템, 장치 및 방법 | |
CN110768875A (zh) | 一种基于dns学习的应用识别方法及系统 | |
US20240089279A1 (en) | Method and network node for detecting anomalous access behaviours | |
CN113194064B (zh) | 基于图卷积神经网络的webshell检测方法及装置 | |
CN116662184B (zh) | 一种基于Bert的工控协议模糊测试用例筛选方法及系统 | |
Huang et al. | Protocol reverse-engineering methods and tools: A survey | |
CN111464510B (zh) | 基于快速梯度提升树分类模型的网络实时入侵检测方法 | |
Wang et al. | An unknown protocol syntax analysis method based on convolutional neural network | |
CN115314268A (zh) | 基于流量指纹和行为的恶意加密流量检测方法和系统 | |
CN113282920B (zh) | 日志异常检测方法、装置、计算机设备和存储介质 | |
US20240163298A1 (en) | Retraining supervised learning through unsupervised modeling | |
CN116723058B (zh) | 网络攻击检测和防护方法和装置 | |
US20210075812A1 (en) | A system and a method for sequential anomaly revealing in a computer network | |
CN116828087B (zh) | 基于区块链连接的信息安全系统 | |
CN117376004A (zh) | 一种基于深度学习的api逻辑漏洞监测方法及系统 | |
KR102559398B1 (ko) | 인공지능을 이용한 보안관제 침입탐지 알람 처리 장치 및 방법 | |
CN113992419A (zh) | 一种用户异常行为检测和处理系统及其方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |