用于识别应用未授权访问的方法、装置以及电子设备制造方法及图纸

本申请公开了一种用于识别应用未授权访问的方法、装置以及电子设备。其中，该方法包括：获取目标时间段内的所有请求和响应数据；基于目标时间段内的所有请求和响应数据，生成应用列表，其中，应用列表中具有至少一个应用；识别应用列表中的应用在目标时间段内是否产生过登录行为；如果没有产生过登录行为，则判断应用列表中的应用在目标时间段内是否被正常使用；如果应用列表中的应用在目标时间段内被正常使用，则识别应用列表中的应用存在未授权访问漏洞。本申请实施例通过采集应用请求数据和响应数据来识别应用未授权访问漏洞，无需为每个应用维护一套未授权漏洞识别规则，更具有通用性，从而保证了识别的能力的同时，又保证了识别通用性。

Method, device and electronic device for identifying unauthorized access of application

【技术实现步骤摘要】
用于识别应用未授权访问的方法、装置以及电子设备
本申请涉及互联网
，尤其涉及一种用于识别应用未授权访问的方法、装置、电子设备和计算机可读存储介质。
技术介绍
应用未授权访问是指应用本身包含敏感数据或者敏感操作，但无需登录认证即可访问。对于企业内部应用而言，绝大部分应用通常是需要认证后才允许访问的，但由于安全管理不当或是未正确配置与使用产品，导致产生很多应用未授权访问漏洞。应用未授权访问可导致敏感数据泄露等安全风险，因此，如何发现应用存在未授权访问漏洞显得尤为重要。
技术实现思路
本申请旨在至少在一定程度上解决上述的技术问题之一。为此，本申请的第一个目的在于提出一种用于识别应用未授权访问的方法。该方法通过采集应用请求数据和响应数据来识别应用未授权访问漏洞，无需为每个应用维护一套未授权漏洞识别规则，更具有通用性，从而保证了识别的能力的同时，又保证了识别通用性。本申请的第二个目的在于提出一种用于识别应用未授权访问的装置。本申请的第三个目的在于提出一种电子设备。本申请的第四个目的在于提出一种计算机可读存储介质。为达到上述目的，本申请第一方面实施例提出的用于识别应用未授权访问的方法，包括：获取目标时间段内的所有请求和响应数据；基于所述目标时间段内的所有请求和响应数据，生成应用列表，其中，所述应用列表中具有至少一个应用；识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为；如果没有产生过登录行为，则判断所述应用列表中的应用在所述目标时间段内是否被正常使用；如果所述应用列表中的应用在所述目标时间段内被正常使用，则识别所述应用列表中的应用存在未授权访问漏洞。为达到上述目的，本申请第二方面实施例提出的用于识别应用未授权访问的装置，包括：数据获取模块，用于获取目标时间段内的所有请求和响应数据；应用列表生成模块，用于基于所述目标时间段内的所有请求和响应数据，生成应用列表，其中，所述应用列表中具有至少一个应用；登录行为识别模块，用于识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为；判断模块，用于判断所述应用列表中的应用在所述目标时间段内是否被正常使用；漏洞识别模块，用于在所述应用列表中的应用在所述目标时间段内没有产生过登录行为且在所述目标时间段内被正常使用时，识别所述应用列表中的应用存在未授权访问漏洞。为达到上述目的，本申请第三方面实施例提出的电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述程序时，实现本申请第一方面实施例所述的用于识别应用未授权访问的方法。为达到上述目的，本申请第四方面实施例提出的计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现本申请第一方面实施例所述的用于识别应用未授权访问的方法。根据本申请实施例的技术方案，可获取目标时间段内的所有请求数据和响应数据，并对这些所有请求数据和响应数据进行学习识别，以识别出这些请求数据和响应数据所属的应用，并基于识别出的应用对目标时间段内的所有请求数据和响应数据进行分组，以得到每个应用所对应的请求数据和响应数据，之后，对每个应用所对应的请求数据和响应数据进行分析，以识别应用在目标时间段内是否产生过登录行为，若没有产生过登录行为且目标时间段内被正常使用，则认为该应用存在未授权访问漏洞。由此可见，本申请实施例通过应用请求数据和响应数据的学习来识别未授权访问漏洞，而无需主动扫描，避免了现有技术中主动扫描面对隔离网络的问题和扫描可能对业务系统带来的不确定性风险等。另外，本申请实施例通过采集应用请求数据和响应数据来识别应用未授权访问漏洞，无需为每个应用维护一套未授权漏洞识别规则，更具有通用性，从而保证了识别的能力的同时，又保证了识别通用性。本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变得明显，或通过本申请的实践了解到。附图说明本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得明显和容易理解，其中：图1是根据本申请一个实施例的用于识别应用未授权访问的方法的流程图；图2是根据本申请实施例的生成应用列表的流程图；图3是根据本申请另一个实施例的用于识别应用未授权访问的方法的流程图；图4是根据本申请又一个实施例的用于识别应用未授权访问的方法的流程图；图5是根据本申请一个实施例的用于识别应用未授权访问的装置的结构示意图；图6是根据本申请另一个实施例的用于识别应用未授权访问的装置的结构示意图；图7是根据本申请又一个实施例的用于识别应用未授权访问的装置的结构示意图；图8是根据本申请一个实施例的电子设备的结构示意图。具体实施方式下面详细描述本申请的实施例，所述实施例的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的，旨在用于解释本申请，而不能理解为对本申请的限制。需要说明的是，应用未授权访问是指应用本身包含敏感数据或者敏感操作，但无需登录认证即可访问。应用未授权访问可导致敏感数据泄露等安全风险。相关技术中，通常是采用主动扫描的方式来发现应用是否存在未授权访问漏洞。但是，这种主动扫描技术并不够通用，需要为每个应用维护未授权访问漏洞的识别规则，如果相关的未授权漏洞扫描工具中某应用未编写扫描规则，则无法识别。因此，如何不依赖于具体的扫描规则，即可覆盖各类常见的应用未授权访问漏洞识别，则可以大大提升应用未授权访问漏洞的发现能力。同时由于企业内部，基础安全策略大多都进行了网络隔离限制，传统的扫描器技术的部署可能会相对困难，同时也难以覆盖到所有网络。另外，主动扫描技术可能会对部分应用系统产生影响(例如如果使用NMAP扫描端口和指纹，则可能导致打印机打印异常数据等)。因此，如果可以不对应用系统进行扫描即可发现未授权访问漏洞，则可以帮助避免这些问题。为此，本申请提出了一种用于识别应用未授权访问的方法、装置、电子设备和计算机可读存储介质。本申请可以解决传统主动扫描技术需要大量维护具体应用的未授权访问漏洞识别规则，难以以一种较为通用的方式发现检测越权攻击的难题；同时也解决了由于主动扫描技术会受限于企业内部网络隔离等限制和扫描技术可能导致对业务系统产生不可知的影响的问题。具体地，下面参考附图描述本申请实施例的用于识别应用未授权访问的方法、装置、电子设备和计算机可读存储介质。图1是根据本申请一个实施例的用于识别应用未授权访问的方法的流程图。如图1所示，该用于识别应用未授权访问的方法可以包括：步骤101，获取目标时间段内的所有请求和响应数据。在本申请的一些实施例中，可采用流量镜像技术、应用上报日志方式或运行时应用自我保护技术，实时获取所有请求和响应数据，并确定目标时间段，之后，从实时获取到的所有请求和响本文档来自技高网...

【技术保护点】
1.一种用于识别应用未授权访问的方法，其特征在于，包括：/n获取目标时间段内的所有请求和响应数据；/n基于所述目标时间段内的所有请求和响应数据，生成应用列表，其中，所述应用列表中具有至少一个应用；/n识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为；/n如果没有产生过登录行为，则判断所述应用列表中的应用在所述目标时间段内是否被正常使用；/n如果所述应用列表中的应用在所述目标时间段内被正常使用，则识别所述应用列表中的应用存在未授权访问漏洞。/n

【技术特征摘要】
1.一种用于识别应用未授权访问的方法，其特征在于，包括：
获取目标时间段内的所有请求和响应数据；
基于所述目标时间段内的所有请求和响应数据，生成应用列表，其中，所述应用列表中具有至少一个应用；
识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为；
如果没有产生过登录行为，则判断所述应用列表中的应用在所述目标时间段内是否被正常使用；
如果所述应用列表中的应用在所述目标时间段内被正常使用，则识别所述应用列表中的应用存在未授权访问漏洞。


2.如权利要求1所述的方法，其特征在于，所述获取目标时间段内的所有请求和响应数据，包括：
采用流量镜像技术、应用上报日志方式或运行时应用自我保护技术，实时获取所有请求和响应数据；
确定目标时间段；
从实时获取到的所有请求和响应数据中筛选出目标时间段内的请求数据和响应数据，得到所述目标时间段内的所有请求数据和响应数据。


3.如权利要求1所述的方法，其特征在于，基于所述目标时间段内的所有请求和响应数据，生成应用列表，包括：
对所述目标时间段内的所有请求和响应数据进行解析，以获取请求数据和响应数据中的应用标识；
根据所述应用标识，确定出所述目标时间段内的每个请求数据的所属应用、以及所述目标时间段内的每个响应数据的所属应用；
基于所述应用标识对确定出的所属应用进行去重，以得到所述应用列表，其中，所述应用列表中包括去重后的所属应用及其标识。


4.如权利要求1所述的方法，其特征在于，在所述生成应用列表之后，所述方法还包括：
将所述应用列表提供给用户；
接收所述用户基于应用定义方式对所述应用列表中的应用进行拆分和聚合的操作；
根据所述操作对所述应用列表中的应用进行拆分和聚合。


5.如权利要求1所述的方法，其特征在于，识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为，包括：
根据所述应用列表中的应用，对所述目标时间段内的所有请求和响应数据进行分组，以将所述目标时间段内的所有请求和响应数据分组到对应应用；
判断所述应用列表中每个应用的请求数据和响应数据中是否包含目标识别字段集合中的至少一个识别字段；
若否，则判定没有产生过登录行为。


6.如权利要求1所述的方法，其特征在于，判断所述应用列表中的应用在所述目标时间段内是否被正常使用，包括：
基于所述应用列表中每个应用的请求数据和响应数据，统计不同源IP对所述每个应用的目标接口的访问次数和访问时间，其中，所述目标接口为应用的所有接口中除静态文件接口以外的接口；
根据统计得到的所述目标接口的访问次数和访问时间，判断所述每个应用在所述目标时间段内是否被正常使用。


7.如权利要求1至6中任一项所述的方法，其特征在于，在判断所述应用列表中的应用在所述目标时间段内被正常使用之后，所述方法还包括：
判断在所述目标时间段内未产生过登录行为且被正常使用的应用，是否为敏感应用；
若是，则执行所述识别所述应用列表中的应用存在未授权访问漏洞的步骤，并进行告警。


8.一种用于识别应用未授权访问的装置，其特征在于，包括：
数据获取模块，用于获取目标时间段内的所有请求和响应数据；
应用列表生成模块，用于基于所述目标时间段内的所有请求和响应数据，生成应用列表，其中，所述应用列...

【专利技术属性】
技术研发人员：许祥，
申请(专利权)人：杭州数梦工场科技有限公司，
类型：发明
国别省市：浙江;33