CN117421640A

CN117421640A - 一种api资产识别方法、装置、设备及存储介质

Info

Publication number: CN117421640A
Application number: CN202311530335.XA
Authority: CN
Inventors: 商林江; 韩际晖; 王翀; 陆烨; 汤振立; 王想; 刘赛; 王超; 王佳宁; 项银强
Original assignee: Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Current assignee: Information and Telecommunication Branch of State Grid Jiangsu Electric Power Co Ltd
Priority date: 2023-11-16
Filing date: 2023-11-16
Publication date: 2024-01-19

Abstract

本发明公开了一种API资产识别方法、装置、设备及存储介质。所述方法包括：获取云环境中的网络流量数据；对所述网络流量数据进行过滤得到接口信息；识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。该方法通过识别云环境的网络流量数据中的API，能够得到分类后的API资产，保证了API资产的清晰，从而保证数据安全。

Description

一种API资产识别方法、装置、设备及存储介质

技术领域

本发明实施例涉及网络技术领域，尤其涉及一种API资产识别方法、装置、设备及存储介质。

背景技术

伴随着云计算、大数据、移动互联网的发展，企业中越来越多的系统基于云环境下运行，系统与系统之间的调用、访问、数据共享更加频繁，在这个过程中应用程序接口(Application Programming Interface，API)作为数据传输流转的重要通道发挥着举足轻重的作用，API接口提供函数、方法和协议，使得不同系统之间可以进行数据交换和共享，从而实现数据互操作。

然而，在API接口带来便捷访问的同时，与其相关的数据安全问题也日益的凸显。API作为云上数据流通的重要通道，成为网络攻击者利用最频繁的载体，攻击者利用接口漏洞窃取企业的敏感数据、商业信息。由于API资产的不清晰，存在大量的、过时的、废弃的僵尸API在缺失安全防护的情况下增加了API安全威胁，导致API接口存在敏感信息过度暴露，以上安全问题一旦被利用会导致信息泄漏，甚至数据库、服务器被接管。即API资产的不清晰是导致上述问题的根本原因。

发明内容

本发明提供了一种API资产识别方法、装置、设备及存储介质，以解决现有技术中API资产不清晰的问题。

根据本发明的一方面，提供了一种API资产识别方法，所述方法包括：

获取云环境中的网络流量数据；

对所述网络流量数据进行过滤得到接口信息；

识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。

根据本发明的另一方面，提供了一种API资产识别装置，所述装置包括：

获取模块，用于获取云环境中的网络流量数据；

过滤模块，用于对所述网络流量数据进行过滤得到接口信息；

识别模块，用于识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。

根据本发明的另一方面，提供了一种电子设备，所述电子设备包括：至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行本发明任一实施例所述的API资产识别方法。

根据本发明的另一方面，提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现本发明任一实施例所述的API资产识别方法。

本发明实施例的一种API资产识别方法、装置、设备及存储介质，所述方法包括：获取云环境中的网络流量数据；对所述网络流量数据进行过滤得到接口信息；识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。该方法通过识别云环境的网络流量数据中的API，能够得到分类后的API资产，保证了API资产的清晰，从而保证数据安全。

应当理解，本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征，也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例一提供的一种API资产识别方法的流程示意图；

图2为本发明实施例提供的一种网络流量数据获取示意图；

图3为本发明实施例提供的一种API资产分类的流程示意图；

图4为本发明实施例提供的一种树形结构示意图；

图5为本发明实施例提供的一种API资产识别方法的流程示意图；

图6为本发明实施例二提供的一种API资产识别装置的结构示意图；

图7为本发明实施例的电子设备的结构示意图。

具体实施方式

为了使本技术领域的人员更好地理解本发明方案，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分的实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本发明保护的范围。应当理解，本发明的方法实施方式中记载的各个步骤可以按照不同的顺序执行，和/或并行执行。此外，方法实施方式可以包括附加的步骤和/或省略执行示出的步骤。本发明的范围在此方面不受限制。

本文使用的术语“包括”及其变形是开放性包括，即“包括但不限于”。术语“基于”是“至少部分地基于”。术语“一个实施例”表示“至少一个实施例”；术语“另一实施例”表示“至少一个另外的实施例”；术语“一些实施例”表示“至少一些实施例”。其他术语的相关定义将在下文描述中给出。

需要说明的是，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要注意，本发明中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。

本发明实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。

实施例一

图1为本发明实施例一提供的一种API资产识别方法的流程示意图，该方法可适用于对API资产进行识别分类的情况，该方法可以由API资产识别装置来执行，其中该装置可由软件和/或硬件实现，并一般集成在电子设备上，在本实施例中电子设备包括但不限于：计算机等设备。

如图1所示，本发明实施例一提供的一种API资产识别方法，包括如下步骤：

S110、获取云环境中的网络流量数据。

其中，云环境可以是企业系统的运行环境，不同的系统在云环境上可以通过接口传输信息。网络流量数据可以是企业在云环境上传输的数据。

在本实施例中，可以通过设置采集点的方式从云环境中获取企业的网络流量数据。示例性的，图2为本发明实施例提供的一种网络流量数据获取示意图，如图2所示，云环境下既有外部系统通过接口调用企业内部的系统，如对外暴露的产品属性的信息查询、工作流程的处理等，也有内部系统之间通过接口的信息共享，如员工信息共享查询、产品信息的共享等。这就需要在企业的出访口及内网的信息汇聚点进行设置网络流量数据采集点，然后选择合适的交换机端口，进行流量采集。确定采集点后，可以通过复制交换机端口的镜像流量方式进行设置网络流量数据的采集设备，该方式下，设备实时进行流量复制从而获取到云环境出访的网络流量信息、企业内部的东西向网络流量信息。还可以默认通过旁路模式采集网络流量数据，旁路模式是旁路复制现有的实时流量不做流量拦截，不影响业务的正常流转。网络流量数据复制采集之后可以通过异步的传输方式，将流量信息存储在后端的集群化部署数据结构化分析装置。

在一个实施例中，所述获取云环境中的网络流量数据，包括：

通过采集器采集云环境中的初始网络流量数据；

对所述初始网络流量数据进行结构化处理，将结构化处理后的数据作为云环境中的网络流量数据。

其中，采集器可以是用于采集网络流量数据的设备，采集器的类型可以根据网络流量数据的类型选取，采集器的位置可以根据网络数据流量的传输路径设置。例如，云环境中网络流量数据涉及到不同类型的数据，对于特殊的数据格式要选择合适的采集器，通过与其匹配的数据格式进行解析。本实施例的采集器，可以支持HTML、XML、MIME、JSON、ASCII以及多种混合类型的数据格式解析，同时支持各类网络设备的日志数据。初始网络流量数据可以是未经过处理的数据。

在本实施例中，可以将通过采集器从云环境中采集到的数据作为初始网络流量数据，并对初始网络流量数据进行结构化处理。示例性的，对初始网络流量数据的结构化处理可以包括清洗、转换和丰富化。网络流量数据的清洗是由于网络流量数据比较杂乱，清洗过程可以包括去除失效数据、过期数据、重复数据和错误数据等方式以保持网络流量数据的原子一致性。流量数据的转换是由于采集到的网络流量数据某些标准参数格式不一，如来源参数格式、地域参数格式、时间参数格式等，需要对这些参数进行标准化转换成统一的辨识度较高的格式。流量数据的丰富化是由于转换的网络流量数据已具备辨识度，但是缺少存储前的公共参数部分，如存储时间参数、采集的时间参数、采集的数据源参数等，需要将此类参数进行丰富化以便网络流量数据更好的追溯以及多维度的查询操作。

在一个实施例中，网络流量数据还可以通过异步集群化存储。

在本实施例中，网络流量数据通过结构化处理后，已提升了数据质量具备了可用性，接下来可以将此类数据进行存储，为了提高存储速度可以先将数据进行缓存存储，当缓存达到一定阈值后，将此部分数据存储在集群数据库中。

S120、对所述网络流量数据进行过滤得到接口信息。

其中，接口信息可以是网络流量数据中API的相关信息。

在本实施例中，云环境中的初始网络流量数据通过结构化分析之后转换成可识别的、规则的结构化数据，这部分结构化的网络流量数据包括网络访问日志、WAF访问日志数据、防火墙日志数据、DLP数据以及各类业务系统数据，由于数据存在数据量大、类型多样化、结构复杂等特征，单纯靠正则匹配API接口类型的数据，存在处理效率低、运行时间长、结果精度低等问题。因此，本实施例可以先对网络数据流量进行过滤，去除非真正接口的流量，比如静态资源或者流媒体资源，JPG、PNG、GIT、AVI、MPEG等，过滤后得到可以调用的接口信息。得到的接口信息主要包括三种类型的接口：GraphQL、Restful和SOAP类型的接口。

S130、识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。

其中，应用程序编程接口是一些预先定义的函数，目的是提供应用程序与开发人员基于某软件或硬件得以访问一组例程的能力，而又无需访问源码，或理解内部工作机制的细节。API资产可以是企业所使用到的所有API。

在本实施例中，可以将接口信息中不同类型的API进行分类，从而将相同类型的API归类到一起，得到分类后的API资产。

在一个实施例中，所述识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产，包括：

通过不同接口类型的特征对所述接口信息进行初步分类，得到不同接口类型的分类后接口信息；通过归类算法对所述分类后接口信息中相似的接口进行归类，得到归类后接口信息；通过聚合算法对所述归类后接口信息进行聚合处理，得到分类后的API资产。

其中，分类后接口信息可以包括同一接口类型的接口，即经过初步分类的分类后接口信息中仅包括相同类型的接口。例如，当接口信息中接口类型包括GraphQL、Restful和SOAP时，分类后接口信息包括GraphQL类型的分类后接口信息、Restful类型的分类后接口信息和SOAP类型的分类后接口信息。归类算法可以是对已经初步分类后的相同类型的接口进行进一步归类的算法。归类后接口信息可以是同一类型的接口经过合并后的接口信息。聚合算法可以是对包括可变路径接口的接口进行聚合的算法。

在本实施例中，可以通过接口信息中的响应报文和请求报文对接口信息进行初步分类，根据响应报文和请求报文中的参数确定接口所属类型，在分类得到分类后接口信息后，可以通过归类算法和聚合算法进一步进行分类，从而得到分类后的API资产。示例性的，图3为本发明实施例提供的一种API资产分类的流程示意图，如图3所示，可以根据不同接口类型对应的特征，初步将接口分为三种类型。例如，GraphQL API用于API的查询语言，通过类型和字段的方式进行相关的查询操作，是一种类似于Json形式的查询，比如query{name{id}}。因此可以通过识别请求中是否有query、mutation或者subscription关键字段，以此来识别GraphQL类型的API资产。当检测到网络数据流量中的Json格式后，如果输入的参数值为特殊的数据结构，且响应的参数与请求参数一一对应，则可以确定该接口为GraphQL类型。

SOAP API通过XML格式进行传输对象信息，信息中包括四种不同的元素，文档标志信息Envelope是必须的元素，消息以信封的标签开始和结束；Heager是一个可选元素，可以使用其增加新特性和功能；Body是正文的实际消息也是必需元素；Fault是处理过程出现问题用于标识错误消息和状态信息。若在网络流量数据中识别出以上必须元素或是必须元素以及可选元素，则此接口为SOAP类型。

Restful API可以通过多种判断条件和方法进行识别，HTTP中的动词方法，如GET、POST、DELETE的描述操作；版本控制的方法，如URL中的带有的V1、V2版本标识；除此之外，还可以通过请求标头Accept的参数，统计URL端点的前几位是否存在相同的字段的分析方法来更加精准的识别Restful API类型。

本发明实施例一提供的一种API资产识别方法，所述方法包括：获取云环境中的网络流量数据；对所述网络流量数据进行过滤得到接口信息；识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。该方法通过识别云环境的网络流量数据中的API，能够得到分类后的API资产，保证了API资产的清晰，从而保证数据安全。

在上述实施例的基础上，提出了上述实施例的变型实施例，在此需要说明的是，为了使描述简要，在变型实施例中仅描述与上述实施例的不同之处。

在一个实施例中，所述归类算法包括字典树归类算法；相应的，所述通过归类算法对所述分类后接口信息中相似的接口进行归类，得到归类后接口信息，包括：

通过标识符分割所述分类后接口信息中的每个接口，得到相似接口对应的树形结构；

根据所述树形结构计算每个接口对应的统一资源定位符URL长度信息；

将所述URL长度信息相同且非叶子节点的层级属性相同的接口进行归类，得到归类后接口信息。

其中，字典树归类算法又称三次查找树或者键树，是一种哈希树的变种的树形结构，主要应用在数据统计、数据排序以及字符串分类场景中，优点在于可以用于字符串的公共前缀来减少查询时间，最大限度的检查无关的字符串比较，因此比较及查询效率较高。

其中，标识符可以是用于分割接口的符号。例如，本实施例可以通过标识符“/”进行分割。相似接口可以是具有公共前缀的接口。树形结构可以是一种将层次结构式的构造性质，以图象方式表现出来的方法。树形结构可以通过接口之间的层级关系构建。统一资源定位符(Uniform Resource Locator，URL)是一个给定的独特资源在Web上的地址。每个有效的URL都指向一个唯一的资源，这个资源可以是一个HTML页面，一个CSS文档，一幅图像，等等。长度信息可以是根据树形结构得到的接口URL的长度。非叶子节点可以是树形结构中除叶子节点以外的节点。层级属性可以是节点的属性，层级属性可以包括数据类型、字母类型或其他类型。

在本实施例中，归类算法可以是字典树归类算法，通过对结构化的网络流量数据进行初步分类后得到包括三类接口信息的分类后接口信息，这些接口信息依然存在数据量大、形态相似的重复接口，因此本实施例可以通过字典树归类算法对同一种类型的接口下相似的URL继续进行合并归类，如htpps://domain/a1b1/c1/1001与htpps://domain/a1b1/c1/1002就可以聚合成一个API接口：htpps://domain/a1b1/c1/{str}。

示例性的，在同类API识别的场景中，首先将接口信息通过“/”进行分割，得到树形结构，如以下API接口信息：

htpps://domain/a1b1/e1f1

htpps://domain/a1b1/e2f2

htpps://domain/a2b2/c1d1/1001

htpps://domain/a2b2/c1d1/1002

htpps://domain/a2b2/c1d1/1003

图4为本发明实施例提供的一种树形结构示意图，通过字典数归类算法可以根据上述接口构建如图4所示的树形结构，基于树状结构可以统计每个接口的URL长度信息：叶子节点到根节点的距离。如果两个接口的URL长度信息相同，则可以进一步对比树形结构的同一层级的属性是否相同，当同一层级的属性相同且叶子节点的类型均为数字类型(或有规律的类型)时，可以将这两个接口归类在一起。例如，接口htpps://domain/a1b1/c1/1001与htpps://domain/a1b1/c1/1002在树形结构中的同一层节点的层级属性相同，则可以将这两个接口归类为htpps://domain/a2b2/c1d1/{str}。如果URL长度信息相同，但是叶子节点为非数字类型(或无规律的类型)则判断为不同类型的接口，即htpps://domain/a1b1/e1f1与htpps://domain/a1b1/e2f2为两类不同的接口。

在一个实施例中，所述聚合算法包括余弦相似度聚合算法，相应的，所述通过聚合算法对所述归类后接口信息进行聚合处理，得到分类后的API资产，包括：

对归类后接口信息中接口的可变路径进行分词得到分词结果；

确定分词结果中每个分词在所述接口中出现的频率；

根据所述频率计算不同接口之间的余弦相似度；

将余弦相似度满足预设阈值的接口聚合，得到分类后的API资产。

其中，余弦相似度聚合算法是一种基于余弦相似度的聚类方法，通过计算样本之间的余弦相似度，并将相似度高的样本归为一类，从而实现数据的聚类。余弦相似度的取值范围在-1到1之间，值越接近1表示两个向量越相似，值越接近-1表示两个向量越不相似。

其中，可变路径可以是路径中的可变文本。分词结果可以是可变路径被拆分为字符的结果。分词可以是分词结果中的字符。频率可以是每个分词在接口中出现的次数。预设阈值可以是符合聚合条件的数值，预设阈值可以根据实际情况设置。

在本实施例中，可以对归类后接口信息中的接口进一步进行聚合，选取归类后接口信息中路径长度相同、有相同的分隔符、存在可变路径且除可变路径外的符号相同的接口，对每个接口的可变路径进行分词得到分词结果，计算每个分词结果中的分词在每个接口中的出现频率，根据频率计算不同接口之间的余弦相似度，当余弦相似度满足预设阈值时，则可以将不同的接口聚合在一起，当所有归类后接口信息中的接口都处理完后，即得到分类后的API资产。

示例性的，通过字典树归类算法得到的归类后接口信息中的接口属于同一业务系统、路径长度相同、拥有相同的路径，并且存在可变的路径接口，如以下接口信息：

接口1：htpps://domain/a1b1-e1f1-J1k1/c1d1/1001

接口2：htpps://domain/a1b2-e1f2-J2k2/c1d1/1002

此类接口如果用正则去匹配得到的结果是不同的三种接口，但通过分析可以发现这些接口是同一种类型，只是有可变路径。因此，本实施例可以通过余弦相似度聚合算法将这些带有可变路径的接口进行聚合，具体包括：

先对可变路径的属性进行分词，以上接口信息的可变路径为a1b1-e1f1-J1k1与a1b2-e1f2-J2k2

接口1的分词(用斜杆分割)：a1/b1/-/e1/f1/-/J1/k1

接口2的分词(用斜杆分割)：a1/b2/-/e1/f2/-/J2/k2

可得，所有的分词为a1/b1/-/e1/f1/J1/k1/b2/f2/J2/k2，计算每个分词在接口中出现的频率，以a1(1)表示分词a1在接口1中出现的次数，可得两类接口的分词出现的频率如下：

接口1频率：a1(1)/b1(1)/-(3)/e1(1)/f1(1)/J1(1)/k1(1)/b2(0)/f2(0)/J2(0)/k2(0)

接口2频率：a1(1)/b1(0)/-(3)/e1(1)/f1(0)/J1(0)/k1(0)/b2(1)/f2(1)/J2(1)/k2(1)

根据频率列出分词的词频向量

接口1的分词向量：(1，1，3，1，1，1，1，0，0，0，0)

接口2的分词向量：(1，0，3，1，0，0，0，1，1，1，1)

根据以下公式计算出余弦相似度Similarity的值：

其中，A为接口1的分词向量，B为接口2的分词向量。可得余弦相似度Similarity：

计算得到的余弦相似度为0.733接近于1，若设置预设阈值为0.7，则接口1与接口2很相似，于是将接口1和接口2聚合，得到聚合后的接口为htpps://domain/{str}/c1d1/{str}。通过将相似的接口聚合，能够梳理出接近真实的API的资产及数量。

在一个实施例中，所述方法还包括：

对所述API资产中API所传输的数据进行实时监测；

若所述数据中出现敏感数据，则对工作人员进行预警。

其中，敏感数据可以是企业或个人不能够对外暴露的数据。

在本实施例中，识别出API资产后，对于API资产中的API可以进行实时的监测，如果在接口的出入参内容中发现企业的商业信息或个人的敏感数据，则可以对工作人员进行报警。示例性的，图5为本发明实施例提供的一种API资产识别方法的流程示意图，如图5所示，在对API进行资产识别后，可以对API中的敏感数据进行监测。

监测范围可以为所有已识别到的API资产，对这些接口的调用响应信息进行实时检查，检查规则可以配合敏感数据检测方法进行识别，或配置敏感数据库进行关键信息匹配。当发现某些API资产存在敏感数据泄漏，一方面可以进行暴漏面收敛，通知业务团队及时处置，另外一方面还可以收集泄漏信息评估损失，包括泄漏时间、泄漏数据量，进而评估此次泄露对于企业或个人造成的损失，包括公司的品牌、声誉方面的损失，最后彻底调查此次数据泄露事件的原因，分析存在的安全漏洞，并加以修复，形成闭环处置，以保护个人隐私及企业的信息安全。

在一个实施例中，所述方法还包括：

通过自动化扫描工具对所述API资产进行漏洞扫描，得到扫描结果；

当扫描结果指示所述API资产存在漏洞时，对工作人员进行提醒。

其中，自动化扫描工具可以是能够自动扫描漏洞的工具。扫描结果可以是漏洞的扫描结果，扫描结果可以包括存在漏洞或不存在漏洞，本实施例对此不做限定。

在本实施例中，对于识别出来的API资产，可以通过各种探测手段进行漏洞扫描得到扫描结果，若根据扫描结果确定API资产存在漏洞，则可以提醒工作人员。如可以利用自动化扫描工具进行漏洞扫描，如使用Burp、AppScan等发现接口的认证授权缺陷、SQL注入缺陷、路径遍历缺陷等；通过模拟黑客的攻击手法进行探测，对API进行渗透测试，如使用“绕过认证”、“输入验证”等手段验证接口的缺陷；通过权限提升漏洞，获取API的更高权限，从而进行接口探测。

本实施例在探测发现API资产漏洞之后，可以通过邮件或者企业的工单流程进行漏洞处置，及时发现并应对潜在的安全威胁并快速的进行漏洞修复，保护云上环境的API接口的安全。

本实施例的一种API资产识别方法，通过对云环境上的系统访问的流量进行实时采集检测、对采集到的网络流量数据进行结构化分析、并通过API资产识别、实时监测API中的敏感数据、及时的探测API的漏洞信息，将API风险进行闭环处置。从而可以对API资产信息进行有效管理暴露面收敛，并全面的保护API接口中的敏感数据免受未经授权的访问和滥用，保障了企业云上环境的数据安全及业务的健康发展。

实施例二

图6为本发明实施例二提供的一种API资产识别装置的结构示意图，该装置可适用于对API资产进行识别分类的情况，其中该装置可由软件和/或硬件实现，并一般集成在电子设备上。

如图6所示，该装置包括：

获取模块210，用于获取云环境中的网络流量数据；

过滤模块220，用于对所述网络流量数据进行过滤得到接口信息；

识别模块230，用于识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。

本实施例提供了一种API资产识别装置，包括：获取模块，用于获取云环境中的网络流量数据；过滤模块，用于对所述网络流量数据进行过滤得到接口信息；识别模块，用于识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产。通过识别云环境的网络流量数据中的API，能够得到分类后的API资产，保证了API资产的清晰，从而保证数据安全。

进一步的，识别模块230，包括：

分类单元，用于通过不同接口类型的特征对所述接口信息进行初步分类，得到不同接口类型的分类后接口信息；

归类单元，用于通过归类算法对所述分类后接口信息中相似的接口进行归类，得到归类后接口信息；

聚合单元，用于通过聚合算法对所述归类后接口信息进行聚合处理，得到分类后的API资产。

进一步的，所述归类算法包括字典树归类算法；相应的，所述归类单元，包括：

进一步的，所述聚合算法包括余弦相似度聚合算法，相应的，所述聚合单元，包括：

确定分词结果中每个分词在所述接口中出现的频率；

根据所述频率计算不同接口之间的余弦相似度；

进一步的，获取模块210，包括：

通过采集器采集云环境中的初始网络流量数据；

进一步的，所述装置包括：

对所述API资产中API所传输的数据进行实时监测；

若所述数据中出现敏感数据，则对工作人员进行预警。

进一步的，所述装置包括：

上述API资产识别装置可执行本发明任意实施例所提供的API资产识别方法，具备执行方法相应的功能模块和有益效果。

实施例三

图7示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本发明的实现。

如图7所示，电子设备10包括至少一个处理器11，以及与至少一个处理器11通信连接的存储器，如只读存储器(ROM)12、随机访问存储器(RAM)13等，其中，存储器存储有可被至少一个处理器执行的计算机程序，处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序，来执行各种适当的动作和处理。在RAM 13中，还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。

电子设备10中的多个部件连接至I/O接口15，包括：输入单元16，例如键盘、鼠标等；输出单元17，例如各种类型的显示器、扬声器等；存储单元18，例如磁盘、光盘等；以及通信单元19，例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。

处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理，例如API资产识别方法。

在一些实施例中，API资产识别方法可被实现为计算机程序，其被有形地包含于计算机可读存储介质，例如存储单元18。在一些实施例中，计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM13并由处理器11执行时，可以执行上文描述的API资产识别方法的一个或多个步骤。备选地，在其他实施例中，处理器11可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行API资产识别方法。

本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。

用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器，使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。

在本发明的上下文中，计算机可读存储介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。备选地，计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。

为了提供与用户的交互，可以在电子设备上实施此处描述的系统和技术，该电子设备具有：用于向用户显示信息的显示装置(例如，CRT(阴极射线管)或者LCD(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。

可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(LAN)、广域网(WAN)、区块链网络和互联网。

计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，又称为云计算服务器或云主机，是云计算服务体系中的一项主机产品，以解决了传统物理主机与VPS服务中，存在的管理难度大，业务扩展性弱的缺陷。

应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本发明的技术方案所期望的结果，本文在此不进行限制。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims

1.一种API资产识别方法，其特征在于，所述方法包括：

获取云环境中的网络流量数据；

对所述网络流量数据进行过滤得到接口信息；

2.根据权利要求1所述的方法，其特征在于，所述识别所述接口信息中不同类型的应用程序接口API，对所述API进行分类得到分类后的API资产，包括：

通过不同接口类型的特征对所述接口信息进行初步分类，得到不同接口类型的分类后接口信息；

通过归类算法对所述分类后接口信息中相似的接口进行归类，得到归类后接口信息；

通过聚合算法对所述归类后接口信息进行聚合处理，得到分类后的API资产。

3.根据权利要求2所述的方法，其特征在于，所述归类算法包括字典树归类算法；相应的，所述通过归类算法对所述分类后接口信息中相似的接口进行归类，得到归类后接口信息，包括：

4.根据权利要求2所述的方法，其特征在于，所述聚合算法包括余弦相似度聚合算法，相应的，所述通过聚合算法对所述归类后接口信息进行聚合处理，得到分类后的API资产，包括：

确定分词结果中每个分词在所述接口中出现的频率；

根据所述频率计算不同接口之间的余弦相似度；

5.根据权利要求1所述的方法，其特征在于，所述获取云环境中的网络流量数据，包括：

通过采集器采集云环境中的初始网络流量数据；

6.根据权利要求1所述的方法，其特征在于，所述方法还包括：

对所述API资产中API所传输的数据进行实时监测；

若所述数据中出现敏感数据，则对工作人员进行预警。

7.根据权利要求1所述的方法，其特征在于，所述方法还包括：

8.一种API资产识别装置，其特征在于，所述装置包括：

获取模块，用于获取云环境中的网络流量数据；

9.根据权利要求8所述的装置，其特征在于，所述识别模块，包括：

10.根据权利要求9所述的装置，其特征在于，所述归类算法包括字典树归类算法；相应的，所述归类单元，包括：

11.根据权利要求9所述的装置，其特征在于，所述聚合算法包括余弦相似度聚合算法，相应的，所述聚合单元，包括：

确定分词结果中每个分词在所述接口中出现的频率；

根据所述频率计算不同接口之间的余弦相似度；

12.根据权利要求8所述的装置，其特征在于，所述获取模块，包括：

通过采集器采集云环境中的初始网络流量数据；

13.根据权利要求8所述的装置，其特征在于，所述装置包括：

对所述API资产中API所传输的数据进行实时监测；

若所述数据中出现敏感数据，则对工作人员进行预警。

14.根据权利要求8所述的装置，其特征在于，所述装置包括：

15.一种电子设备，其特征在于，所述设备包括：

至少一个处理器；以及

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的计算机程序，所述计算机程序被所述至少一个处理器执行，以使所述至少一个处理器能够执行权利要求1-7中任一项所述的API资产识别方法。

16.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机指令，所述计算机指令用于使处理器执行时实现权利要求1-7中任一项所述的API资产识别方法。