【技术实现步骤摘要】
本申请属于计算机领域,具体涉及一种基于流量数据识别系统接口是否存在鉴权机制的方法。
技术介绍
1、在移动应用、web应用或者其他类型的应用开发过程中,api(applicationprogramming interface,应用程序编程接口)是用于不同软件组件之间进行通信和交互的一组定义、规范和协议,api可以作为系统之间进行集成的桥梁。通过调用其他系统提供的api,可以实现不同系统之间的数据交互和功能衔接,很多互联网服务和平台通过api提供对外的服务和数据访问接口;保证api调用安全是非常重要的,否则可能会产生未经授权的访问、数据泄露、资源滥用、非法操作和篡改等风险和安全隐患。保证api安全是保护用户隐私、保障业务连续性、增强用户信任、满足合规要求和确保系统稳定性的基础,只有通过采取适当的安全措施和实施全面的安全策略,才能确保api的正常运行和可靠性;通常会使用身份验证和授权来保护api安全,即在api调用之前,确保进行身份验证和授权。可以使用基于令牌的身份验证方案,如oauth等,以确保只有经过授权的用户可以访问api应用;系统本专利技术通过采集网络流量,从中提取出http协议的请求流量,进而分析判断应用系统是否存在身份验证机制。
2、通常存在身份认证和鉴权的应用系统,调用其api会在首次调用时为调用者颁发用于身份识别的鉴权标识,其后每次调用api均需要携带此标识用于身份认证。普通识别鉴权标识,是默认字段key名称(例如:token),通过查看请求header中是否包含默认字段key来判断是否携带有鉴权标识;通过
技术实现思路
1、为了改善相关技术中的问题,本申请提供一种基于流量数据识别系统接口是否存在鉴权机制的方法,摆脱必须通过登录api来发现鉴权机制,以及对人工配置的高度依赖,填补了现有技术的空缺。
2、本申请提供一种基于流量数据识别系统接口是否存在鉴权机制的方法,采用如下的技术方案:
3、一种基于流量数据识别系统接口是否存在鉴权机制的方法,采用如下的技术方案:步骤一、从应用的http流量中解析获取有效信息;步骤二、分析请求头;步骤三、多因素认证;步骤四、参数整合;步骤五、api最小颗粒度提取;步骤六、访问来源账号识别;步骤七、提取样本数据。
4、作为方案的进一步优化,步骤一中从应用的http流量中解析获取有效信息,包括http请求头、请求路径、请求体、来源ip、响应状态,并将http请求头和请求体内容解析成键值对格式。
5、作为方案的进一步优化,步骤二中,分析请求头具体步骤为,检查请求头中是否包含鉴权相关的信息,如令牌、api密钥、用户名和密码,验证请求的合法性。
6、作为方案的进一步优化,步骤三中,在仅依赖用户名和密码之外,引入多因素认证。
7、作为方案的进一步优化,步骤四中,从整体数据中获取相同值,操作过程如下:
8、s1、判断http响应状态是否正常;
9、s2、如果正常,判断请求头,请求体是否为空;
10、s3、如果请求头或者请求体不为空,进行数据预处理,将请求头或者请求体中的键值对进行特殊符号替换去除,将除响应状态外的所有字符进行拼接,生成一条完整的新字符串。
11、作为方案的进一步优化,步骤五中,具体操作为:通过请求路径获取api最小颗粒,如果请求路径中存在字符“?”,将字符“?”出现位置之前的数据截取并保存。
12、作为方案的进一步优化,步骤六中,从header中提取出cookie并保存,作为来源账号唯一标识。
13、作为方案的进一步优化,步骤七中,提取样本数据流程如下:
14、s1、通过api最小颗粒度去重,短时间内提取相同应用相同cookie的多个不同http请求记录;
15、s2、使用算法比较计算步骤二形成的字符串,获取所有提取到的数据进行过滤,最终提取到该批记录中共存的且最长的一串字符;
16、s3、判断字符串长度>8则记录;
17、s4、重复步骤s2-s3执行两次,并分别去除s3已经生成的结果,获取次长度的字符串,记录最多3条记录;
18、s5、重复步骤s1-s4执行两次,分别再次获取最多3条记录;
19、s6、三组9条数据均为空值,则判断该应用不存在身份鉴权机制;
20、s7、将3组数据做处理,分别通过“=”将数据转换为键值对,通过分析提取键值对特征,来判断是否为鉴权字段,不满足的则剔除,最终得到鉴权字段。
21、本申请具有以下有益效果:
22、1、通过采用相同应用不同api路径以及参数、请求头、请求体进行数据预处理,批量数据提取分析来进行应用api身份认证和鉴权机制的发现,通过算法来识别筛选数据中存在的相同字符,经过分析特征来确认是否是鉴权字段,在海量http请求业务中识别系统安全风险有着比较准确的研判,通过这种方法来摆脱必须通过登录api来发现鉴权机制,以及对人工配置的高度依赖;
23、2、本申请通过分析请求头,可以识别并拦截恶意请求,以提高系统的安全性,服务器可以更好地满足客户端的需求、提高性能、确保安全性并提供更好的用户体验;
24、3、本申请通过多因素认证为数据和系统提供了额外的保护,防止未经授权的访问和降低了密码泄露风险,增加了安全性和合规性。
本文档来自技高网...【技术保护点】
1.一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于,方法步骤如下:
2.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤一中从应用的HTTP流量中解析获取有效信息,包括HTTP请求头、请求路径、请求体、来源IP、响应状态,并将HTTP请求头和请求体内容解析成键值对格式。
3.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤二中,分析请求头具体步骤为,检查请求头中是否包含鉴权相关的信息,如令牌、API密钥、用户名和密码,验证请求的合法性。
4.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤三中,在仅依赖用户名和密码之外,引入多因素认证。
5.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤四中,从整体数据中获取相同值,操作过程如下:
6.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤五中,具体操作为:通过请
7.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤六中,从header中提取出cookie并保存,作为来源账号唯一标识。
8.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤七中,提取样本数据流程如下:
...【技术特征摘要】
1.一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于,方法步骤如下:
2.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤一中从应用的http流量中解析获取有效信息,包括http请求头、请求路径、请求体、来源ip、响应状态,并将http请求头和请求体内容解析成键值对格式。
3.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤二中,分析请求头具体步骤为,检查请求头中是否包含鉴权相关的信息,如令牌、api密钥、用户名和密码,验证请求的合法性。
4.根据权利要求1所述的一种基于流量数据识别系统接口是否存在鉴权机制的方法,其特征在于:步骤三中,在仅依赖用户名和密码之外,引入...
【专利技术属性】
技术研发人员:孙峰,邱振兴,孙魁,
申请(专利权)人:上海喜数信息科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。