本發(fā)明屬于api安全領(lǐng)域，尤其是涉及一種api風險判別方法及系統(tǒng)。

背景技術(shù)：

1、近年來，api安全問題呈上升趨勢，惡意攻擊者可能會利用api進行未授權(quán)訪問，導致敏感數(shù)據(jù)的泄露，進而威脅到應(yīng)用系統(tǒng)的數(shù)據(jù)安全。傳統(tǒng)的安全防御措施如防火墻或入侵檢測系統(tǒng)（ids）主要關(guān)注網(wǎng)絡(luò)層面的安全保護，對于api層面的異常訪問行為監(jiān)測是相對較弱的，而api層面的異常訪問行為的監(jiān)測大多僅僅落在了api接口層面，以api接口作為api異常訪問行為風險監(jiān)測的最小單元將會導致風險的識別困難，無法準確定位到具體的api異常點，使系統(tǒng)對api風險的監(jiān)測敏感性太高。

2、考慮到api的異常訪問行為數(shù)據(jù)在時間維度上是階段性集中分布的，現(xiàn)在有風險閾值確定算法是在整個數(shù)據(jù)尺度上進行計算的，缺乏對局部、多階段數(shù)據(jù)的關(guān)注。

3、考慮到api的異常訪問行為可能是周期性的，現(xiàn)有對于api的異常行為風險監(jiān)測是對整個時間范圍上進行實時監(jiān)測的，這種方式對于周期性的api的異常訪問行為風險檢測增大了系統(tǒng)的服務(wù)壓力。

技術(shù)實現(xiàn)思路

1、本發(fā)明要解決的技術(shù)問題是怎樣對api敏感數(shù)據(jù)進行檢測，提出了一種api風險判別方法及系統(tǒng)。

2、為解決上述技術(shù)問題，本發(fā)明所采用的技術(shù)方案是：

3、一種api風險判別方法，包括以下步驟：

4、步驟1：獲取擬分析的api元資產(chǎn)的數(shù)據(jù)，所述api元資產(chǎn)是指通過api接口的請求數(shù)據(jù)包、響應(yīng)數(shù)據(jù)包、ip和端口號組成的數(shù)據(jù)；

5、步驟2：使用多種規(guī)則檢測所獲取的api元資產(chǎn)數(shù)據(jù)中的離群點形成離群點集合，所述離群點是指不滿足某一種檢測規(guī)則劃分要求的數(shù)據(jù)；

6、步驟3：對所述離群點集合計算擬分析的api元資產(chǎn)風險總值；

7、步驟4：根據(jù)風險總值判斷是否具有風險，并給出風險等級。

8、進一步地，檢測離群點的方法為頻次基線檢測方法；

9、所述頻次基線檢測方法是指對擬分析的api元資產(chǎn)數(shù)據(jù)設(shè)置檢測條件，對滿足檢測條件的api元資產(chǎn)數(shù)據(jù)在一定時間周期內(nèi)的訪問次數(shù)進行統(tǒng)計，當一定時間周期內(nèi)的次數(shù)超過閾值時，則認定為離群點，用于頻次基線檢測的檢測規(guī)則設(shè)置有多種。

10、進一步地，對所述離群點集合計算風險總值，計算風險總值的方法是：

11、

12、n為預設(shè)參數(shù)，將多種用于統(tǒng)計計算方法的檢測規(guī)則和用于頻次基線檢測的檢測規(guī)則合在一起形成檢測規(guī)則集，j為檢測規(guī)則集中的檢測規(guī)則條目數(shù)，為第i條檢測規(guī)則的權(quán)重值，p為冪指數(shù)，為第i條檢測規(guī)則所判斷出的離群點個數(shù)，為使用第i條檢測規(guī)則劃定范圍下擬分析的api元資產(chǎn)進行檢測的次數(shù)，為第i條檢測規(guī)則的誤差率，為指數(shù)衰減映射函數(shù)。

13、進一步地，根據(jù)風險總值判斷是否具有風險是指根據(jù)步驟3計算出的風險總值，按照預先設(shè)置的風險等級區(qū)間段，判斷風險總值所處的等級，給出相應(yīng)的風險等級。

14、本發(fā)明還提供了一種api風險判別系統(tǒng)，使用前面所述的一種api風險判別方法各步驟。

15、采用上述技術(shù)方案，本發(fā)明具有如下有益效果：

16、本發(fā)明提供的一種api風險判別方法及系統(tǒng)，通過對api元資產(chǎn)數(shù)據(jù)都進行風險檢測，能夠在更小的數(shù)據(jù)層面如通過api接口的請求數(shù)據(jù)包、響應(yīng)數(shù)據(jù)包、ip和端口號層面進行風險檢測，避免了現(xiàn)有的風險檢測僅僅落在api接口層面，無法準確定位到具體的api異常點的問題，此外，由于離群點經(jīng)常是風險較大的數(shù)據(jù)點，而使用滿足一種檢測條件的離群點檢測不能更好地檢測出風險點，通過使用多種檢測規(guī)則進行判斷，可以檢測出滿足多種檢測條件的離群點形成離群點集合，根據(jù)離群點集合計算風險總值，從而可以綜合考慮多種風險因素，使得風險檢測更加全面，風險判斷更加精確。

技術(shù)特征：

1.一種api風險判別方法，其特征在于，包括以下步驟：

2.根據(jù)權(quán)利要求1所述的方法，其特征在于，檢測離群點的方法為頻次基線檢測方法；

3.根據(jù)權(quán)利要求2所述的方法，其特征在于，對所述離群點集合計算風險總值，計算其風險總值的方法是：

4.根據(jù)權(quán)利要求3所述的方法，其特征在于，根據(jù)風險總值判斷是否具有風險是指根據(jù)步驟3計算出的風險總值，按照預先設(shè)置的風險等級區(qū)間段，判斷風險總值所處的等級，給出相應(yīng)的風險等級。

5.一種api風險判別系統(tǒng)，其特征在于，使用權(quán)利要求1至4任一項所述的一種api風險判別方法各步驟。

技術(shù)總結(jié)
本發(fā)明提供了一種API風險判別方法及系統(tǒng)，通過對API元資產(chǎn)接收和響應(yīng)的流量數(shù)據(jù)都進行風險檢測，避免了現(xiàn)有的風險檢測僅僅落在接口層面，無法準確定位到具體的API異常點的問題，此外，由于離群點經(jīng)常是風險較大的數(shù)據(jù)點，而使用滿足一種檢測條件的離群點檢測不能更好地檢測出風險點，通過使用多種檢測規(guī)則進行判斷，可以檢測出滿足多種檢測條件的離群點形成離群點集合，根據(jù)離群點集合計算風險總值，從而可以綜合考慮多種風險因素，使得風險檢測更加全面，風險判斷更加精確。

技術(shù)研發(fā)人員：程可,沈雪冰,程科偉,浦雨三,汪楊,孫韜
受保護的技術(shù)使用者：博雅中科（北京）信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/9/9