一种商业银行开放API接口异常监测方法和装置制造方法及图纸

本发明专利技术提出了一种商业银行开放API接口异常监测方法和装置，该方法包括如下步骤：构建API接口资产表；对网络层报文进行解析，形成网络访问统计表；根据网络访问统计表和3σ原则，构建访问行为分布模型；根据API接口资产表对应用层报文进行解析，形成请求参数统计表；根据请求参数统计表，周期性统计各拆分字段的有效性，构建请求参数合规模型；根据API接口资产表对应用层报文进行解析，形成响应参数统计表；根据响应参数统计表，周期性统计各拆分字段的有效性，构建响应参数合规模型。本发明专利技术通过构建请求参数合规模型、访问行为分布模型、响应参数合规模型，高效率、高准确性检测识别异常行为，避免恶意攻击造成的业务损失。避免恶意攻击造成的业务损失。避免恶意攻击造成的业务损失。

【技术实现步骤摘要】
一种商业银行开放API接口异常监测方法和装置


[0001]本专利技术涉及计算机信息安全
，具体而言，涉及一种商业银行开放API接口异常监测方法和装置。

技术介绍

[0002]伴随着商业银行数字化转型的进程，银行业务呈现出更加开放的特性，通过API接口开放，银行可以通过互联网向开发者开放数据、产品目录、业务渠道或其它业务资产，面向第三方企业机构提供对银行业务功能的访问权限，商业银行也将自身的金融服务变成社会公共服务平台。开放API的落地，将推动银行完成业务和IT的进一步融合，并促进银行走出去，构建自身业务场景洞见和生态资源整合的核心能力。
[0003]安全是开放的基本前提，在银行开放API接口落地运营的过程中，API接口安全性问题主要存在以下安全性考量：1.开放API接口请求来源是否合规，是否存在第三方恶意调用API接口的情况；2.开放API接口在业务数据交互过程中，是否存在请求头/查询字符串/返回内容在传输过程被恶意篡改的情况，带来资金交易风险；3.开放API接口在业务数据交互过程中，是否存在请求数据被截获，延迟重放或多次数据包重放带来的业务风险；4.开放API接口是否存在被恶意调用，恶意修改返回包数据进行流程绕过，开放接口是否存在截获用户登录请求，截获到账号、密码、用户身份标识等个人敏感信息，从而带来据信息泄漏的风险。
[0004]目前，开放API接口主要存在如下问题：（1）传统规则库安全检测完整性不高；（2）由于响应体数据为加密加签名方式，无法读取到完整有效的数据报文；（3）无法利用传统安全报文规则库进行恶意报文字段匹配；（4）API接口访问行为无行为基线，无法准确判断恶意行为。

技术实现思路

[0005]鉴于上述问题，本专利技术提供了一种商业银行开放API接口异常监测方法和装置，利用模型统计分析建立多维度访问基线和API威胁建模，识别异常访问行为，避免恶意攻击造成的业务损失。
[0006]为解决上述技术问题，本专利技术采用的技术方案是：一种商业银行开放API接口异常监测方法，包括如下步骤：接收互联网出口访问流量，从中识别并拆分出API接口流量，构建API接口资产表；根据所述API接口资产表对网络层报文进行解析，周期性统计解析后的网络访问信息，形成网络访问统计表；根据所述网络访问统计表和非正态分布下的3σ原则，构建访问行为分布模型，输出异常网络访问行为；根据所述API接口资产表对应用层报文进行解析，对解析后的HTTP请求报文进行字段拆分，读取并记录拆分字段，形成请求参数统计表；根据所述请求参数统计表，周期性统计各拆分字段的有效性，构建请求参数合规模型，输出异常请求参数；根据所述API接口资产表对应用层报文进行解析，对解析后的HTTP响应报文进行字段拆分，读取并记录拆分字段，形成响应参数统计表；根据所述响应参数统计
表，周期性统计各拆分字段的有效性，构建响应参数合规模型，输出异常响应参数。
[0007]作为优选方案，所述API接口流量包括网络层流量和应用层流量，则所述构建API接口资产表，包括：拆分并读取所述网络层流量中网络访问链接的源地址和目的地址；基于所述目的地址构建原始资产表，及与所述原始资产表动态复制的原始资产中间表，所述原始资产中间表包括具有唯一性约束的目的IP；拆分所述应用层流量中的HTTP请求报文和HTTP响应报文，获得所述HTTP响应报文中的响应头标；对所述响应头标的字段进行判断，若不包含Content
‑
type字段或者Content
‑
type字段值不为application/json，则在所述原始资产中间表中剔除与目的IP相对应的行信息，形成API接口资产表。
[0008]作为优选方案，所述构建访问行为分布模型，包括：依据时间节点周期性计数生成统计量，所述网络访问统计表中的统计量呈单峰分布；在单峰分布下，若统计量数值分布在（μ
‑
3σ,μ+3σ)区间内，则为正常值，若超出（μ
‑
3σ,μ+3σ)区间，则为异常值，其中，μ为平均值，σ为标准差。
[0009]作为优选方案，所述构建访问行为分布模型，还包括：在同一时间节点统计与所述异常值对应的各源IP和目的IP的访问行为数据，若统计数值分布在（μ
‑
σ,μ+σ)区间内，则判定为异常网络访问行为。
[0010]作为优选方案，所述请求参数统计表中的字段根据是否可以进行量值偏移分为固定量和可变量，所述固定量包括非统计指标和统计指标，所述统计指标包括请求URI字段，其约束值为统计区间，则所述构建请求参数合规模型，包括：将HTTP响应状态码作为参照值进行周期统计并记录，形成请求URI统计表；将正常行为下记录的所述请求URI统计表作为基线使用，对所述请求参数统计表产生调校基准；以请求URI字段作为外键进行表间关联查询，对所述请求参数统计表中的请求URI字段无法关联请求URI统计表的行信息，判定为异常请求参数，进行删除处理。
[0011]作为优选方案，所述非统计指标包括请求方法、http协议及版本、Accept字段，则所述构建请求参数合规模型，包括：在设定周期完成后，依照非统计指标约束值对请求参数统计表进行调校基准，对所述请求参数统计表中与非统计指标约束值不匹配的行信息，判定为异常请求参数，进行删除处理。
[0012]作为优选方案，所述可变量为User
‑
Agent字段，则所述构建请求参数合规模型，包括：将User
‑
Agent字段的参数值转换为长度值，建立可变量特征集；采用正态分布或近正态分布下的3σ原则，对可变量特征集进行处理，若长度值分布在（μ
‑
3σ,μ+3σ)区间内，则判定为正常参数值，反之，判定为异常参数值，其中，μ为平均值，σ为标准差；将判定为正常的参数值记录在User
‑
Agent统计表中，并将所述User
‑
Agent统计表作为参数值基线使用，对所述请求参数统计表产生调校基准；以User
‑
Agent字段作为外键进行表间关联查询，对所述请求参数统计表中的User
‑
Agent字段无法关联User
‑
Agent统计表的行信息，判定为异常请求参数，进行删除处理。
[0013]作为优选方案，所述响应参数统计表中的字段根据是否可以进行量值偏移分为固定量和可变量，所述固定量包括HTTP版本、响应代码、响应描述、Content
‑
Type，则所述构建响应参数合规模型，包括：在设定周期完成后，依照固定量约束值对响应参数统计表进行调校基准，对所述响应参数统计表中与固定量约束值不匹配的行信息，判定为异常请求参数，进行删除处理。
[0014]作为优选方案，所述可变量为Content
‑
Length字段，则所述构建响应参数合规模型，包括：根据Content
‑
Length字段的参数值，建立可变量特征集；采用非正本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种商业银行开放API接口异常监测方法，其特征在于，包括如下步骤：接收互联网出口访问流量，从中识别并拆分出API接口流量，构建API接口资产表；根据所述API接口资产表对网络层报文进行解析，周期性统计解析后的网络访问信息，形成网络访问统计表；根据所述网络访问统计表和非正态分布下的3σ原则，构建访问行为分布模型，输出异常网络访问行为；根据所述API接口资产表对应用层报文进行解析，对解析后的HTTP请求报文进行字段拆分，读取并记录拆分字段，形成请求参数统计表；根据所述请求参数统计表，周期性统计各拆分字段的有效性，构建请求参数合规模型，输出异常请求参数；根据所述API接口资产表对应用层报文进行解析，对解析后的HTTP响应报文进行字段拆分，读取并记录拆分字段，形成响应参数统计表；根据所述响应参数统计表，周期性统计各拆分字段的有效性，构建响应参数合规模型，输出异常响应参数。2.根据权利要求1所述的商业银行开放API接口异常监测方法，其特征在于，所述API接口流量包括网络层流量和应用层流量，则所述构建API接口资产表，包括：拆分并读取所述网络层流量中网络访问链接的源地址和目的地址；基于所述目的地址构建原始资产表，及与所述原始资产表动态复制的原始资产中间表，所述原始资产中间表包括具有唯一性约束的目的IP；拆分所述应用层流量中的HTTP请求报文和HTTP响应报文，获得所述HTTP响应报文中的响应头标；对所述响应头标的字段进行判断，若不包含Content
‑
type字段或者Content
‑
type字段值不为application/json，则在所述原始资产中间表中剔除与目的IP相对应的行信息，形成API接口资产表。3.根据权利要求1所述的商业银行开放API接口异常监测方法，其特征在于，所述构建访问行为分布模型，包括：依据时间节点周期性计数生成统计量，所述网络访问统计表中的统计量呈单峰分布；在单峰分布下，若统计量数值分布在（μ
‑
3σ,μ+3σ)区间内，则为正常值，若超出（μ
‑
3σ,μ+3σ)区间，则为异常值，其中，μ为平均值，σ为标准差。4.根据权利要求3所述的商业银行开放API接口异常监测方法，其特征在于，所述构建访问行为分布模型，还包括：在同一时间节点统计与所述异常值对应的各源IP和目的IP的访问行为数据，若统计数值分布在（μ
‑
σ,μ+σ)区间内，则判定为异常网络访问行为。5.根据权利要求1所述的商业银行开放API接口异常监测方法，其特征在于，所述请求参数统计表中的字段根据是否可以进行量值偏移分为固定量和可变量，所述固定量包括非统计指标和统计指标，所述统计指标包括请求URI字段，其约束值为统计区间，则所述构建请求参数合规模型，包括：将HTTP响应状态码作为参照值进行周期统计并记录，形成请求URI统计表；将正常行为下记录的所述请求URI统计表作为基线使用，对所述请求参数统计表产生调校基准；
以请求URI字段作为外键进行表间关联查询，对所述请求参数统计表中的请求URI字段无法关联请求URI统计表的行信息，判定为异常请求参数，进行删除处理。6.根据权利要求5所述的商业银行开放API接口异常监测方法，其特征在于，所述非统计指标包括请求方法、http协议及版本、Accept字段，则所述构建请求参数合规模型，包括：在设定周期完成后，依照非统计指标约束值对请求参数统计表进行调校基准，对所述请求参数统计表中与非统计指标约束值不匹配的行信息，判定为异常请求参数，进行删除处理。7.根据权利要求5所述的商业银行开放API接口异常监测方法，其特征在于，所述可变量为User
‑

【专利技术属性】
技术研发人员：吴昊，王巍，
申请(专利权)人：江苏苏宁银行股份有限公司，
类型：发明
国别省市：