本發(fā)明涉及安全防護(hù)，尤其涉及一種api安全防護(hù)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)。

背景技術(shù)：

1、隨著企業(yè)級(jí)業(yè)務(wù)發(fā)展的推進(jìn)，對(duì)新應(yīng)用程序和新服務(wù)的需求越來(lái)越大。在應(yīng)用程序編程接口(application?programming?interface，api)技術(shù)廣泛應(yīng)用的背景下，企業(yè)級(jí)業(yè)務(wù)往往依賴api開發(fā)和交付新應(yīng)用程序和新服務(wù)。

2、事實(shí)上，api是一把雙刃劍。一方面，api通過(guò)共享價(jià)值和效用幫助企業(yè)擴(kuò)展業(yè)務(wù)，但另一方面，用戶常常使用api來(lái)檢索企業(yè)系統(tǒng)的重要和關(guān)鍵數(shù)據(jù)，這使得它面臨著安全和隱私問(wèn)題。對(duì)此，針對(duì)api進(jìn)行安全防護(hù)變得十分重要。

3、目前，對(duì)api進(jìn)行安全防護(hù)的方法主要是采集api調(diào)用行為相應(yīng)的業(yè)務(wù)流量，然后將業(yè)務(wù)流量輸入流量異常檢測(cè)模型(如孤立森林算法模型)，得到業(yè)務(wù)流量的異常檢測(cè)結(jié)果，并根據(jù)該結(jié)果確定需要采取的安全防護(hù)措施。

4、然而，僅僅對(duì)業(yè)務(wù)流量進(jìn)行異常檢測(cè)，忽略了具體調(diào)用的api本身的具體協(xié)議標(biāo)準(zhǔn)、開發(fā)語(yǔ)言、技術(shù)實(shí)現(xiàn)等等，容易導(dǎo)致安全防護(hù)出現(xiàn)漏報(bào)、錯(cuò)報(bào)。

技術(shù)實(shí)現(xiàn)思路

1、本發(fā)明提供一種api安全防護(hù)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，用以解決現(xiàn)有技術(shù)中安全防護(hù)出現(xiàn)漏報(bào)、錯(cuò)報(bào)的缺陷。

2、第一方面，本發(fā)明提供一種api安全防護(hù)方法，包括：

3、獲取待防護(hù)系統(tǒng)因api調(diào)用產(chǎn)生的實(shí)時(shí)流量數(shù)據(jù)；

4、調(diào)取所述待防護(hù)系統(tǒng)的各api接口的資源畫像，以根據(jù)所述資源畫像的維度標(biāo)簽，從所述流量數(shù)據(jù)中抽取出每個(gè)所述維度標(biāo)簽對(duì)應(yīng)的標(biāo)簽信息；

5、根據(jù)所述標(biāo)簽信息，執(zhí)行對(duì)所述待防護(hù)系統(tǒng)的各api接口的安全防護(hù)。

6、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，在調(diào)取所述待防護(hù)系統(tǒng)的各api接口的資源畫像之前，確定所述待防護(hù)系統(tǒng)的所有api接口，包括：

7、獲取所述待防護(hù)系統(tǒng)的歷史流量數(shù)據(jù)；

8、以每條所述歷史流量數(shù)據(jù)相關(guān)的api接口路徑作為根節(jié)點(diǎn)、將所述api接口路徑下的參數(shù)作為葉子節(jié)點(diǎn)，構(gòu)建流量路徑層次圖；

9、利用圖聚類模型根據(jù)所述流量路徑層次圖中各節(jié)點(diǎn)的出度情況對(duì)所有節(jié)點(diǎn)進(jìn)行出度聚類，以根據(jù)聚類結(jié)果確定所述待防護(hù)系統(tǒng)的所有api接口；

10、所述節(jié)點(diǎn)包括所述根節(jié)點(diǎn)和所述葉子節(jié)點(diǎn)。

11、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，每個(gè)所述api接口的資源畫像的維度標(biāo)簽，包括以下內(nèi)容中的至少一個(gè)：

12、協(xié)議標(biāo)簽、域名或ip地址標(biāo)簽、資源路徑標(biāo)簽、請(qǐng)求范例標(biāo)簽、響應(yīng)范例標(biāo)簽、服務(wù)對(duì)象標(biāo)簽、業(yè)務(wù)用途標(biāo)簽、調(diào)用序列標(biāo)簽、訪問(wèn)源統(tǒng)計(jì)標(biāo)簽。

13、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，所述請(qǐng)求范例標(biāo)簽用于標(biāo)識(shí)所述api接口的可接收數(shù)據(jù)的相關(guān)信息，包括請(qǐng)求方法、請(qǐng)求參數(shù)以及請(qǐng)求頻率中的至少一種，所述請(qǐng)求參數(shù)包括以下參數(shù)信息中的至少一項(xiàng)：參數(shù)名、參數(shù)實(shí)例值、參數(shù)位置、參數(shù)類型、參數(shù)最大值、參數(shù)最小值、參數(shù)必要性、參數(shù)最大長(zhǎng)度、參數(shù)最小長(zhǎng)度；

14、所述響應(yīng)范例標(biāo)簽用于標(biāo)識(shí)所述api接口的可響應(yīng)數(shù)據(jù)的相關(guān)信息，包括響應(yīng)狀態(tài)碼、響應(yīng)頭字段、響應(yīng)體內(nèi)容以及響應(yīng)頻率中的至少一種；

15、所述服務(wù)對(duì)象標(biāo)簽用于標(biāo)識(shí)所述api接口的訪問(wèn)服務(wù)對(duì)象，包括內(nèi)部辦公對(duì)象、三方合作對(duì)象以及公共服務(wù)對(duì)象中的至少一種；

16、所述業(yè)務(wù)用途標(biāo)簽用于標(biāo)識(shí)所述api接口的業(yè)務(wù)類型，包括賬號(hào)注冊(cè)、賬號(hào)密碼認(rèn)證、短信驗(yàn)證碼認(rèn)證、郵箱驗(yàn)證、數(shù)據(jù)查詢、數(shù)據(jù)保存、數(shù)據(jù)查詢、數(shù)據(jù)導(dǎo)出、數(shù)據(jù)更新、數(shù)據(jù)分享、數(shù)據(jù)增加、數(shù)據(jù)刪除以及下線注銷中的至少一種；

17、所述調(diào)用序列標(biāo)簽用于標(biāo)識(shí)所述api接口與其他api之間的調(diào)用序列；

18、所述訪問(wèn)源統(tǒng)計(jì)標(biāo)簽用于標(biāo)識(shí)訪問(wèn)所述api接口的訪問(wèn)源的ip信息、客戶端類型、地理位置、訪問(wèn)來(lái)源分布列表信息中的至少一種。

19、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，所述根據(jù)所述標(biāo)簽信息，執(zhí)行對(duì)所述待防護(hù)系統(tǒng)的各api接口的安全防護(hù)，包括：

20、根據(jù)所述api接口的所有維度標(biāo)簽對(duì)應(yīng)的所有標(biāo)簽信息，構(gòu)建一輸入特征向量；

21、將所述輸入特征向量輸入至攻擊檢測(cè)模型，獲取由所述攻擊檢測(cè)模型對(duì)所述輸入特征向量進(jìn)行特征重構(gòu)后輸出的訪問(wèn)識(shí)別向量；所述攻擊檢測(cè)模型是以自編碼器作為初始模型，利用所述api接口的歷史流量數(shù)據(jù)進(jìn)行預(yù)訓(xùn)練后得到的；

22、計(jì)算所述輸入特征向量與所述訪問(wèn)識(shí)別向量之間的重構(gòu)誤差；

23、在確定所述重構(gòu)誤差大于誤差閾值的情況下，判定所述api接口接收到異常流量數(shù)據(jù)；

24、所述誤差閾值是基于所述api接口的歷史流量數(shù)據(jù)中的正常流量數(shù)據(jù)預(yù)先確定的。

25、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，所述根據(jù)所述標(biāo)簽信息，執(zhí)行對(duì)所述待防護(hù)系統(tǒng)的各api接口的安全防護(hù)，還包括：

26、調(diào)取所述待防護(hù)系統(tǒng)的任一api接口的訪問(wèn)源統(tǒng)計(jì)標(biāo)簽相關(guān)的標(biāo)簽信息，獲取所述任一api接口的訪問(wèn)源的ip信息、客戶端類型、地理位置、訪問(wèn)來(lái)源分布列表信息；

27、根據(jù)所述標(biāo)簽信息判斷所述任一api接口的所述訪問(wèn)源的訪問(wèn)請(qǐng)求是否正常；

28、在確定所述訪問(wèn)請(qǐng)求正常的情況下，根據(jù)預(yù)先設(shè)置的黑白名單管控策略和/或訪問(wèn)頻率管控策略，對(duì)所述訪問(wèn)請(qǐng)求進(jìn)行管控；

29、在確定所述訪問(wèn)請(qǐng)求不正常的情況下，拒絕所述訪問(wèn)源的所述訪問(wèn)請(qǐng)求。

30、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，所述根據(jù)所述標(biāo)簽信息判斷所述任一api接口的所述訪問(wèn)源的訪問(wèn)請(qǐng)求是否正常，包括：

31、在確定所述訪問(wèn)源的ip信息存在于ip信息列表、所述客戶端類型存在于客戶端類型列表、所述地理位置存在于地理位置列表、所述訪問(wèn)來(lái)源分布列表信息是否于訪問(wèn)來(lái)源分布列表庫(kù)中的情況下，確定所述任一api接口的所述訪問(wèn)源的訪問(wèn)請(qǐng)求為正常；

32、否則，確定所述訪問(wèn)請(qǐng)求為不正常。

33、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，所述根據(jù)預(yù)先設(shè)置的黑白名單管控策略和/或訪問(wèn)頻率管控策略，對(duì)所述訪問(wèn)請(qǐng)求進(jìn)行管控，包括：

34、根據(jù)所述訪問(wèn)源的ip信息，確定所述訪問(wèn)源的域名；

35、在確定所述域名位于預(yù)先構(gòu)建的域名黑名單中，生成第一檢測(cè)結(jié)果；

36、根據(jù)所述訪問(wèn)源的訪問(wèn)來(lái)源分布列表信息，確定所述訪問(wèn)源訪問(wèn)所述任一api接口的訪問(wèn)頻率；

37、在確定所述訪問(wèn)頻率大于預(yù)先設(shè)定的額定頻率的情況下，生成第二檢測(cè)結(jié)果；

38、在根據(jù)所述第一檢測(cè)結(jié)果和所述第二檢測(cè)結(jié)果，確定所述訪問(wèn)請(qǐng)求不正常的情況下，拒絕所述訪問(wèn)請(qǐng)求。

39、根據(jù)本發(fā)明提供的一種api安全防護(hù)方法，在根據(jù)所述標(biāo)簽信息，執(zhí)行對(duì)所述待防護(hù)系統(tǒng)的各api接口的安全防護(hù)之后，還包括：

40、根據(jù)預(yù)設(shè)的數(shù)據(jù)類型匹配規(guī)則，判斷各api接口的各個(gè)實(shí)時(shí)流量數(shù)據(jù)是否為敏感數(shù)據(jù)；

41、在確定任一所述實(shí)時(shí)流量數(shù)據(jù)為敏感數(shù)據(jù)的情況下，根據(jù)預(yù)先制定的數(shù)據(jù)安全策略對(duì)所述敏感數(shù)據(jù)進(jìn)行脫敏處理。

42、第二方面，本發(fā)明提供一種api安全防護(hù)裝置，包括：

43、流量數(shù)據(jù)獲取單元，用于獲取待防護(hù)系統(tǒng)因api調(diào)用產(chǎn)生的實(shí)時(shí)流量數(shù)據(jù)；

44、標(biāo)簽信息抽取單元，用于調(diào)取所述待防護(hù)系統(tǒng)的各api接口的資源畫像，以根據(jù)所述資源畫像的維度標(biāo)簽，從所述流量數(shù)據(jù)中抽取出每個(gè)所述維度標(biāo)簽對(duì)應(yīng)的標(biāo)簽信息；

45、安全防護(hù)執(zhí)行單元，用于根據(jù)所述標(biāo)簽信息，執(zhí)行對(duì)所述待防護(hù)系統(tǒng)的各api接口的安全防護(hù)。

46、第三方面，本發(fā)明提供一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如上述任一種所述api安全防護(hù)方法。

47、第四方面，本發(fā)明還提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其上存儲(chǔ)有計(jì)算機(jī)程序，該計(jì)算機(jī)程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上述任一種所述api安全防護(hù)方法。

48、本發(fā)明提供的api安全防護(hù)方法、裝置、電子設(shè)備及存儲(chǔ)介質(zhì)，利用api調(diào)用時(shí)的實(shí)時(shí)流量數(shù)據(jù)，對(duì)調(diào)用的api接口進(jìn)行多維度的實(shí)時(shí)畫像，并根據(jù)畫像結(jié)果執(zhí)行api接口所在系統(tǒng)的安全防護(hù)，即在api安全防護(hù)時(shí)，不僅考慮了實(shí)時(shí)流量數(shù)據(jù)本身，還考慮了api接口的具體屬性和狀態(tài)，增強(qiáng)了api安全防護(hù)的準(zhǔn)確性和有效性，并提高了api所在系統(tǒng)的性能。