一种基于接口画像的水平越权访问敏感数据风险的检测方法技术

本发明专利技术公开了一种基于接口画像的水平越权访问敏感数据风险的检测方法，涉及通信技术领域，解决了目前由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上，其与正常用户发起的正常请求特征无明显差异，因此传统的安全产品无法实现有效检测的技术问题。本技术方案包括离线接口画像过程和实时风险检测过程，离线接口画像过程依据水平越权接口的访问特征，识别出可能存在水平越权风险的接口及其调用上下文信息，实时风险检测过程将基于本过程提供的信息进行风险评估。本发明专利技术通过分析WEB流量事件有效检测其中涉及的水平越权访问敏感数据行为风险，具备高准确性的实时水平越权访问敏感数据风险的检测逻辑。越权访问敏感数据风险的检测逻辑。越权访问敏感数据风险的检测逻辑。

【技术实现步骤摘要】
一种基于接口画像的水平越权访问敏感数据风险的检测方法


[0001]本专利技术涉及通信
，具体涉及一种基于接口画像的水平越权访问敏感数据风险的检测方法。

技术介绍

[0002]API接口(Application Programming Interface)是一种用于应用程序之间交互通信的计算接口，定义了调用规则以及数据格式相关信息。应用程序之间通过API接口互相调用，调用关系反映了业务逻辑。API接口在设计及实现环节可能存在各种各样的逻辑缺陷，从而允许被攻击者恶意利用，对系统安全和业务安全造成损害，水平越权问题是API接口逻辑缺陷中最常见的一类，水平越权访问敏感数据行为是针对该类逻辑缺陷的而实施的攻击行为。攻击者常通过发起此类攻击获取敏感业务数据，包括但不限于用户信息、订单信息、金融信息等。由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上，其与正常用户发起的正常请求特征无明显差异，因此传统的安全产品无法实现有效检测。

技术实现思路

[0003]本专利技术的目的是提供一种基于接口画像的水平越权访问敏感数据风险的检测方法，通过接口特征自动学习获取接口画像，并根据接口画像实时发现水平越权访问敏感数据的行为。
[0004]为了实现上述目的，本专利技术提供如下技术方案：一种基于接口画像的水平越权访问敏感数据风险的检测方法，包括离线接口画像过程和实时风险检测过程，具体如下：
[0005]S1.离线接口画像过程：
[0006]S1
‑
1:从用户主体维度，对历史流量进行数据聚合操作，从而获得用户主体维度的流量事件分组；
[0007]S1
‑
2:对于经上一步所获得的用户主体维度的流量事件分组，对分组内的流量事件按照时间顺序生序排序；
[0008]S1
‑
3:对于经上一步所获得的排序后的用户主体维度的流量事件分组，对流量事件分组中的每一个流量事件，基于流量事件的请求和响应，识别其是否满足允许水平越权访问敏感数据风险发生的条件；
[0009]S1
‑
4:对于经S1
‑
2步骤中所获得的排序后的用户主体维度的流量事件分组，以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件，分析该事件的上下文调用关系，如果在该流量事件发生之前，存在前序流量事件总是返回该流量事件请求的可遍历特征的参数，将该流量事件对应的接口，标记为监控接口，并将相关信息作为该监控接口的画像信息进行保存，以备在实时风险检测过程中使用；
[0010]S2.实时风险检测过程：
[0011]S2
‑
1:获取实时流量事件及其接口，从画像数据库中根据其接口查询该接口是否被标记为监控接口，如果该接口未被标记为监控接口，对该流量事件的分析过程结束，否则
进行下一步；
[0012]S2
‑
2:分析该实时流量事件的响应中是否包含敏感数据，如果该实时流量事件的响应中不包含敏感数据，对该流量事件的分析过程结束，否则进行下一步；
[0013]S2
‑
3:根据画像数据库的接口前序调用信息，从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件，如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件，则进行风险告警，否则进入下一步；
[0014]S2
‑
4:根据上一步查询得到的该实时流量事件用户主体维度的前序调用事件，逐个分析前序调用事件的响应中是否包含当前实时流量事件的请求中的可遍历参数，如果存在任意一个前序调用事件的响应包含当前实时流量事件的请求中的可遍历参数，分析过程结束，否则进行风险告警。
[0015]优选的：
[0016]所述的步骤S1
‑
1中，用户主体通过流量客户端IP地址、Cookies等在粗力度区分不同用户身份的信息或通过用户账号名、用户Id等细粒度区分不同用户身份的信息。
[0017]所述的步骤S1
‑
3中，水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数和流量事件的响应中是否包含敏感数据。
[0018]结合参数语义分析算法，评估事件遍历特征的参数和响应中敏感数据的对应关系。
[0019]所述的步骤S2
‑
3中，对历史流量数据库查询事件范围进行限定。
[0020]本专利技术所描述的一种新型的、完整的基于接口画像的水平越权访问敏感数据风险的检测方法，通过分析WEB流量事件有效检测其中涉及的水平越权访问敏感数据行为风险，具备高准确性的实时水平越权访问敏感数据风险的检测逻辑，并且包含接口自动学习，无需任何手动配置过程。
附图说明
[0021]为了更清楚地说明本申请实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。
[0022]图1为本专利技术检测方法的流程图；
[0023]图2为本专利技术离线接口画像过程流程图；
[0024]图3为本专利技术实时风险检测过程流程图。
具体实施方式
[0025]为了使本领域的技术人员更好地理解本专利技术的技术方案，下面将结合附图对本专利技术作进一步的详细介绍。
[0026]本专利技术提供了如附图1所示的一种基于接口画像的水平越权访问敏感数据风险的检测方法，本实施例主要涉及两个过程，离线接口画像过程和实时风险检测过程。
[0027]一、离线接口画像过程
[0028]在实际业务应用环境中，并非所有的API接口都存在水平越权风险。为了提高检测性能及告警准确性，本过程依据水平越权接口的访问特征，识别出可能存在水平越权风险
的接口及其调用上下文信息。实时风险检测过程将基于本过程提供的信息进行风险评估。参考附图2描述了本专利提出的离线接口画像过程的关键步骤，关键主要分为以下4步：
[0029]S1
‑
1:从用户主体维度，对历史流量进行数据聚合操作，从而获得用户主体维度的流量事件分组。用户主体可以为流量客户端IP地址、Cookies等在粗力度区分不同用户身份的信息，也可以为用户账号名、用户Id等细粒度区分不同用户身份的信息；
[0030]S1
‑
2:对于经上一步所获得的用户主体维度的流量事件分组，对分组内的流量事件按照时间顺序生序排序。该步骤的目的将保证在后续步骤中针对接口调用顺序的分析更加准确；
[0031]S1
‑
3:对于经上一步所获得的排序后的用户主体维度的流量事件分组，对流量事件分组中的每一个流量事件，基于流量事件的请求和响应，识别其是否满足允许水平越权访问敏感数据风险发生的条件。水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数、流量本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于，包括离线接口画像过程和实时风险检测过程，具体如下：S1.离线接口画像过程：S1
‑
1:从用户主体维度，对历史流量进行数据聚合操作，从而获得用户主体维度的流量事件分组；S1
‑
2:对于经上一步所获得的用户主体维度的流量事件分组，对分组内的流量事件按照时间顺序生序排序；S1
‑
3:对于经上一步所获得的排序后的用户主体维度的流量事件分组，对流量事件分组中的每一个流量事件，基于流量事件的请求和响应，识别其是否满足允许水平越权访问敏感数据风险发生的条件；S1
‑
4:对于经S1
‑
2步骤中所获得的排序后的用户主体维度的流量事件分组，以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件，分析该事件的上下文调用关系，如果在该流量事件发生之前，存在前序流量事件总是返回该流量事件请求的可遍历特征的参数，将该流量事件对应的接口，标记为监控接口，并将相关信息作为该监控接口的画像信息进行保存，以备在实时风险检测过程中使用；S2.实时风险检测过程：S2
‑
1:获取实时流量事件及其接口，从画像数据库中根据其接口查询该接口是否被标记为监控接口，如果该接口未被标记为监控接口，对该流量事件的分析过程结束，否则进行下一步；S2
‑
2:分析该实时流量事件的响应中是否包含敏感数据，如果该实时流量事件的响应中不包含敏感数据，对该流量事件的分析过程结束，否则进行下一步...

【专利技术属性】
技术研发人员：栾尚聪，杨梦月，
申请(专利权)人：全知科技杭州有限责任公司，
类型：发明
国别省市：