2. 专利查询
  3. 接口流量安全检测方法、装置、设备、介质及程序产品与流程

接口流量安全检测方法、装置、设备、介质及程序产品与流程

专利查询10天前  6

本公开涉及计算机,尤其涉及一种接口流量安全检测方法、装置、设备、介质及程序产品。


背景技术:

1、随着信息技术的发展,网络安全越来越重要。有人通过自动化工具对用户网络、程序进行攻击和欺骗,对用户造成损失。

2、目前,利用自动化脚本进行攻击的行为越来越隐蔽,现有的安全防护产品难以对自动化脚本攻击行为进行识别,仅能依靠人工实现,这对用户造成了极大的工作量和困难。


技术实现思路

1、有鉴于此,本公开的目的在于提出一种接口流量安全检测方法、装置、设备、介质及程序产品。

2、基于上述目的,本公开第一方面提供了一种接口流量安全检测方法,包括:

3、获取目的地址属于同一域名的多个第一流量数据;

4、获取所述多个第一流量数据中的接口访问行为序列集合,所述接口访问行为序列集合包括至少两个接口访问行为序列,所述接口访问行为序列包括从所述多个第一流量数据中获取的至少两个接口访问请求;

5、对所述接口访问行为序列集合中的接口访问行为序列进行去重和聚合处理,得到目标接口访问行为序列;

6、基于所述目标接口访问行为序列对第二流量数据进行安全检测。

7、在一些实施例中,所述获取所述多个第一流量数据中的接口访问行为序列集合,包括:

8、从与所述多个第一流量数据对应的访问日志中获取所述接口访问行为序列集合。

9、在一些实施例中,所述获取所述多个第一流量数据中的接口访问行为序列集合,包括:

10、基于用户访问信息,获取与所述用户访问信息对应的第一接口访问行为序列,所述用户访问信息包括互联网协议地址、用户代理中的至少一个;

11、对所述第一接口访问行为序列进行处理,获得属于不同会话的第二接口访问行为序列;

12、对所述第二接口访问行为序列进行划分,得到第三接口访问行为序列;

13、基于所述第三接口访问行为序列以及所述用户访问信息、会话的会话标识确定所述接口访问行为序列集合,所述接口访问行为序列集合中的所述接口访问行为序列包括所述第三接口访问行为序列、所述用户访问信息以及所述会话标识。

14、在一些实施例中,所述对所述接口访问行为序列集合中的接口访问行为序列进行去重处理,包括:

15、删除所述接口访问行为序列集合中所述第三接口访问行为序列、所述用户访问信息以及所述会话标识相同的所述接口访问行为序列;

16、删除所述接口访问行为序列集合中所述第三接口访问行为序列相同或者相似度大于第一预设阈值的所述接口访问行为序列。

17、在一些实施例中,所述对所述接口访问行为序列集合中的接口访问行为序列进行聚合处理,得到目标接口访问行为序列,包括:

18、基于序列特征对所述第三接口访问行为序列进行聚类处理,生成多个簇;

19、获取簇内元素数量最多的预设数量个簇,获取簇中心对应的第四接口访问行为序列;

20、基于所述第四接口访问行为序列确定所述目标接口访问行为序列。

21、在一些实施例中,所述基于所述目标接口访问行为序列对第二流量数据进行安全检测,包括:

22、获取所述目标接口访问行为序列的节点分支数、所对应的用户访问信息以及所属会话中的至少一个;

23、基于所述目标接口访问行为序列的节点分支数、所对应的用户访问信息以及所属会话中的至少一个,计算置信度;

24、响应于所述置信度大于第二预设阈值,则基于所述目标接口访问行为序列对接口访问行为请求进行安全检测。

25、在一些实施例中,所述基于所述目标接口访问行为序列的节点分支数、所对应的用户访问信息以及所属会话中的至少一个,计算置信度,包括以下至少之一:

26、若所述目标接口访问行为序列的节点分支数减少,则增加所述置信度的值;

27、若所述目标接口访问行为序列所对应的用户访问信息增多,则增加所述置信度的值;

28、若大于第一预设比例的所述目标接口访问行为序列所对应的互联网协议地址的数量或比例小于预设值,则增加所述置信度的值;

29、若所述目标接口访问行为序列所属会话的数量增加,则增加所述置信度的值。

30、在一些实施例中,所述的方法,还包括:

31、响应于所述目标接口访问行为序列满足预设条件,则修改所述目标接口访问行为序列的标识状态,并更新所述置信度;

32、所述预设条件包括以下至少之一:

33、在预设时长的多个周期内,均获取同一所述目标接口访问行为序列;

34、基于所述目标接口访问行为序列对第二流量数据进行安全检测的检测结果变化的差分在第三预设阈值内。

35、在一些实施例中,所述基于所述目标接口访问行为序列对第二流量数据进行安全检测,包括:

36、基于所述目标接口访问行为序列设置防护策略,基于所述防护策略对所述第二流量数据进行安全检测;

37、所述防护策略包括:

38、响应于所述第二流量数据中包括所述目标接口访问行为序列,确定防护状态为通过或检出。

39、在一些实施例中,所述第二流量数据中包括所述目标接口访问行为序列,确定防护状态,包括以下至少之一:

40、所述第二流量数据中存在与所述目标接口访问行为序列一致的接口访问请求的序列且每个接口访问请求的间隔时间小于或等于第三预设阈值,确定所述防护状态为通过;

41、所述第二流量数据中存在与所述目标接口访问行为序列一致的接口访问请求的序列,部分接口访问请求的间隔时间小于或等于第三预设阈值且部分接口访问请求的间隔时间大于第三预设阈值,确定所述防护状态为检出;

42、所述第二流量数据中存在与所述目标接口访问行为序列的相似度大于第四预设阈值的接口访问请求的序列,确定所述防护状态为检出。

43、在一些实施例中,所述基于所述防护策略对所述第二流量数据进行安全检测,包括:

44、响应于在预设时段内,防护状态为通过的通过次数、防护状态为检出的检出次数、防护状态为通过的通过率、防护状态为检出的检出率中的至少一个大于第三预设阈值,对所述第二流量数据中对应的接口访问请求进行标记或拦截。

45、本公开第二方面提供了一种接口流量安全检测装置,包括:

46、第一获取模块,被配置为:获取目的地址属于同一域名的多个第一流量数据;

47、第二获取模块,被配置为:获取所述多个第一流量数据中的接口访问行为序列集合,所述接口访问行为序列集合包括至少两个接口访问行为序列,所述接口访问行为序列包括从所述多个第一流量数据中获取的至少两个接口访问请求;

48、聚合模块,被配置为:对所述接口访问行为序列集合中的接口访问行为序列进行去重和聚合处理,得到目标接口访问行为序列;

49、检测模块,被配置为:基于所述目标接口访问行为序列对第二流量数据进行安全检测。

50、本公开的第三方面提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如第一方面所述的方法。

51、本公开的第四方面提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行第一方面所述的方法。

52、本公开的第五方面提供了一种计算机程序产品,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行如第一方面所述的方法。

53、从上面所述可以看出,本公开提供的接口流量安全检测方法、装置、设备、介质及程序产品,获取同一域名下的流量数据,并获取流量数据中的接口访问行为序列集合,通过对接口访问行为序列集合中的接口访问行为序列进行去重和聚合处理得到自动化攻击导致的目标接口访问行为序列,再利用目标接口访问行为序列对接口访问请求进行安全检测,从而判断出接口访问请求中的自动化攻击行为,以便于进一步为用户选取或推送安全防护策略,阻断自动化攻击行为,保护应用、网站等系统的安全。


技术特征:

1.一种接口流量安全检测方法,包括:

2.根据权利要求1所述的方法,其中,所述获取所述多个第一流量数据中的接口访问行为序列集合,包括:

3.根据权利要求1所述的方法,其中,所述获取所述多个第一流量数据中的接口访问行为序列集合,包括:

4.根据权利要求3所述的方法,其中,所述对所述接口访问行为序列集合中的接口访问行为序列进行去重处理,包括:

5.根据权利要求3所述的方法,其中,所述对所述接口访问行为序列集合中的接口访问行为序列进行聚合处理,得到目标接口访问行为序列,包括:

6.根据权利要求5所述的方法,其中,所述基于所述目标接口访问行为序列对第二流量数据进行安全检测,包括:

7.根据权利要求6所述的方法,其中,所述基于所述目标接口访问行为序列的节点分支数、所对应的用户访问信息以及所属会话中的至少一个,计算置信度,包括以下至少之一:

8.根据权利要求6所述的方法,还包括:

9.根据权利要求1所述的方法,其中,所述基于所述目标接口访问行为序列对第二流量数据进行安全检测,包括:

10.根据权利要求9所述的方法,其中,所述第二流量数据中包括所述目标接口访问行为序列,确定防护状态,包括以下至少之一:

11.根据权利要求9所述的方法,其中,所述基于所述防护策略对所述第二流量数据进行安全检测,包括:

12.一种接口流量安全检测装置,包括:

13.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如权利要求1至11任一项所述的接口流量安全检测方法。

14.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行权利要求1至11任一项所述的接口流量安全检测方法。

15.一种计算机程序产品,其特征在于,包括计算机程序指令,当所述计算机程序指令在计算机上运行时,使得计算机执行如权利要求1至11任意一项所述的接口流量安全检测方法。


技术总结
本公开提供一种接口流量安全检测方法、装置、设备、介质及程序产品。该方法包括:获取目的地址属于同一域名的多个第一流量数据;获取多个第一流量数据中的接口访问行为序列集合,接口访问行为序列集合包括至少两个接口访问行为序列,接口访问行为序列包括从多个第一流量数据中获取的至少两个接口访问请求;对接口访问行为序列集合中的接口访问行为序列进行去重和聚合处理,得到目标接口访问行为序列;基于目标接口访问行为序列对第二流量数据进行安全检测。本公开能够获取自动化攻击导致的目标接口访问行为序列,并利用目标接口访问行为序列对接口访问请求进行安全检测,进而提高如Web应用防火墙等网络安全产品的能力。

技术研发人员:张运鹏,蔡挺,吴春来,朱晨
受保护的技术使用者:北京火山引擎科技有限公司
技术研发日:
技术公布日:2024/12/5

专利

最新回复(0)