【技术实现步骤摘要】
本专利技术属于计算机信息安全,具体涉及一种基于api数据的异常行为分析方法。
技术介绍
1、传统的ueba(user andentity behavior analytics,用户实体行为分析)方案更多的依赖已有的安全系统日志及应用系统日志,在采集到足够多的日志源后进行归一化的日志处理,将数据泄露、内部威胁、账号失陷、主机失陷等作为核心场景,构建安全威胁模型。结合大量采集到的各类日志,利用机器学习算法自学习和插件式扩展学习的能力,使用非监督、半监督和监督式学习等方式不断训练及优化各类模型,同时可利用深度学习等高级技术以优化识别准确率。从关联日志进行数据分类分析,进而识别出场景匹配的异常事件。
2、当前的落地检测过程包含了数据采集、信息识别、行为刻画、行为建模、异常检测等过程,而重点关注对象并不包含api(application programming interface,应用程序编程接口);在api使用越来越普遍的情况下,其作为数据安全泄露的一个主要途径,也应纳入到ueba的考察范畴来。并且由于api的实时性特性,对其分析除了要考虑时间维度,还需要具备有效解析出api认证有效性、api合规性、传输内容可识别等方面内容的能力。
3、当前针对api异常检测技术方案多为以下几种:
4、1、沙箱(sandboxie)
5、所谓沙箱即是一个虚拟系统程序,在计算机安全领域中是一种安全机制,为运行中的程序提供隔离环境。针对利用api接口上传的文件,可在沙箱中打开、编辑、运行等操作,从而防止恶意文
6、2、dos攻击
7、所谓dos(denial of service的简称)即拒绝服务,其目的是使计算机或网络无法提供正常的服务。为了防止攻击者利用api进行dos攻击,通常会部署相关抗dos设备。
8、因此,通过分析当前api异常检测技术方案,不难发现:
9、1、利用沙箱能判断某个文件是否为恶意文件,但面对海量上传的文件时,如何识别潜在的恶意文件是个问题。
10、2、随着api应用的普及,攻击者利用api所能达到的目的也变得五花八门,此时当前api异常检测方案就显得捉襟见肘。
11、所以,亟需一种基于api数据的异常行为分析方法,来解决如何分析攻击者直接或间接利用api对系统所做的恶意行为的问题。
技术实现思路
1、本专利技术针对现有技术中的不足,提供一种基于api数据的异常行为分析方法,以解决如何分析攻击者直接或间接利用api对系统所做的恶意行为的问题。
2、为实现上述目的,本专利技术采用以下技术方案:
3、一种基于api数据的异常行为分析方法,其特征在于,包括如下步骤:根据围绕api的异常行为构建api规则库,从kafka消息队列中读取数据并过滤出api访问数据,由规则引擎模块读取api访问数据,加载api规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,由威胁评估模块加载告警库的告警数据,并基于所加载的告警数据,利用评估算法评估该告警数据的威胁值,并将该威胁值记录在数据库中,以完成分析。
4、为优化上述技术方案,采取的具体措施还包括:
5、进一步地,所述api规则库的构建使用静态规则,所述静态规则为:以固定特征对从kafka消息队列中读取并过滤出的api访问数据进行检测,将超出固定特征所指定范围的api访问数据视为异常;静态规则具体实现形式表现为sql。
6、进一步地,所述由规则引擎模块读取api访问数据,加载api规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,包括如下步骤:将过滤出api访问数据注册为临时表data,加载api规则库的静态规则,基于flinksql流处理框架执行sql,将sql执行所得的信息作为告警数据输出至告警库中。
7、进一步地,所述固定特征包括:指定的利用api下载敏感文件的范围、指定的api的访问权限的范围或输入的api原始参数。
8、进一步地,所述api规则库的构建使用动态规则,所述动态规则为:基于历史api数据,从不同特征维度构建不同的行为基线,将脱离任一个或多个行为基线设定的正常范围的api访问数据视为异常;所述规则引擎模块包括基线生成模块和异常检测模块;
9、所述基线生成模块用于加载设定时间内的历史api数据,并基于动态规则中设置的不同特征维度,从历史api数据中过滤出需要的api访问数据,基于上述内容,再利用反射机制执行并生成行为基线;
10、所述异常检测模块用于加载api规则库的动态规则和基线生成模块生成的行为基线,并根据api规则库的动态规则,将所读取的api访问数据,根据动态规则对比行为基线,并将超出行为基线范围的api访问数据输出为告警数据输出至告警库。
11、进一步地,所述由规则引擎模块读取api访问数据,加载api规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,包括如下步骤:异常检测模块接收过滤出的api访问数据,并加载api规则库的动态规则和基线生成模块生成的行为基线,根据api规则库的动态规则,将所读取的api访问数据,根据动态规则对比行为基线,并将超出行为基线范围的api访问数据输出为告警数据输出至告警库。
12、进一步地,所述基于历史api数据,从不同特征维度构建不同的行为基线的方法包括:基于历史api数据中的api上传文件数据,以上传时间点、上传文件大小、上传文件频次以及上传文件后缀名为特征维度构建行为基线;基于历史api数据中的api访问数据,以用户访问api时所在ip地理位置为特征维度构建行为基线;基于历史api访问数据,将长期未发现活动的账号视为休眠账号,以活动的账号是否为休眠账号为特征维度构建行为基线。
13、进一步地,所述评估算法所评估的参数包括:某时刻前发生的告警的总数及预设的告警数据自身威胁等级、警发生的时间、告警发生时所处资产自身敏感程度和告警是否为真实攻击行为造成。
14、进一步地,所述评估算法的计算公式为:
15、
16、式中,各参数值含义如下:s:为威胁值;告警ai发生时间与所述某时刻的时间距离,当在一小时内取值0.5,在6小时内取值0.7,其余情况取值1;为告警ai对应的威胁等级系数,威胁等级取值为{2,3,4}中的一个,系数对应取值为{0.2,0.3,0.5}中的一个;n:为所述某时刻前24小时内发生的告警的总数;βsys:为告警发生时所处资产自身敏感程度系数,敏感程度取值为{低,中,高}的一种,{低,中,高}对应的系数取值为{0.1,0.2,0.7};γres:告警是否为真实攻击行为造成,对计算当前资产风险评分的系数,为真实攻击行为造成取值为1,未知取值为0.5,误报取值为0。
17、进一步地,所述威胁评估模块每5分钟加载一次告警库的告警数据,每次从告警库中加载近24小时的告警数据。本文档来自技高网...
【技术保护点】
1.一种基于API数据的异常行为分析方法,其特征在于,包括如下步骤:根据围绕API的异常行为构建API规则库,从kafka消息队列中读取数据并过滤出API访问数据,由规则引擎模块读取API访问数据,加载API规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,由威胁评估模块加载告警库的告警数据,并基于所加载的告警数据,利用评估算法评估该告警数据的威胁值,并将该威胁值记录在数据库中,以完成分析。
2.根据权利要求1所述的一种基于API数据的异常行为分析方法,其特征在于:所述API规则库的构建使用静态规则,所述静态规则为:以固定特征对从kafka消息队列中读取并过滤出的API访问数据进行检测,将超出固定特征所指定范围的API访问数据视为异常;静态规则具体实现形式表现为sql。
3.根据权利要求2所述的一种基于API数据的异常行为分析方法,其特征在于,所述由规则引擎模块读取API访问数据,加载API规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,包括如下步骤:将过滤出API访问数据注册为临时表data,加载API规则库的静态规则,基于Fl
4.根据权利要求2所述的一种基于API数据的异常行为分析方法,其特征在于:所述固定特征包括:指定的利用API下载敏感文件的范围、指定的API的访问权限的范围或输入的API原始参数。
5.根据权利要求1所述的一种基于API数据的异常行为分析方法,其特征在于:所述API规则库的构建使用动态规则,所述动态规则为:基于历史API数据,从不同特征维度构建不同的行为基线,将脱离任一个或多个行为基线设定的正常范围的API访问数据视为异常;所述规则引擎模块包括基线生成模块和异常检测模块;
6.根据权利要求5所述的一种基于API数据的异常行为分析方法,其特征在于,所述由规则引擎模块读取API访问数据,加载API规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,包括如下步骤:异常检测模块接收过滤出的API访问数据,并加载API规则库的动态规则和基线生成模块生成的行为基线,根据API规则库的动态规则,将所读取的API访问数据,根据动态规则对比行为基线,并将超出行为基线范围的API访问数据输出为告警数据输出至告警库。
7.根据权利要求5所述的一种基于API数据的异常行为分析方法,其特征在于,所述基于历史API数据,从不同特征维度构建不同的行为基线的方法包括:基于历史API数据中的API上传文件数据,以上传时间点、上传文件大小、上传文件频次以及上传文件后缀名为特征维度构建行为基线;基于历史API数据中的API访问数据,以用户访问API时所在ip地理位置为特征维度构建行为基线;基于历史API访问数据,将长期未发现活动的账号视为休眠账号,以活动的账号是否为休眠账号为特征维度构建行为基线。
8.根据权利要求1所述的一种基于API数据的异常行为分析方法,其特征在于,所述评估算法所评估的参数包括:某时刻前发生的告警的总数及预设的告警数据自身威胁等级、警发生的时间、告警发生时所处资产自身敏感程度和告警是否为真实攻击行为造成。
9.根据权利要求8所述的一种基于API数据的异常行为分析方法,其特征在于,所述评估算法的计算公式为:
10.根据权利要求1所述的一种基于API数据的异常行为分析方法,其特征在于:所述威胁评估模块每5分钟加载一次告警库的告警数据,每次从告警库中加载近24小时的告警数据。
...【技术特征摘要】
1.一种基于api数据的异常行为分析方法,其特征在于,包括如下步骤:根据围绕api的异常行为构建api规则库,从kafka消息队列中读取数据并过滤出api访问数据,由规则引擎模块读取api访问数据,加载api规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,由威胁评估模块加载告警库的告警数据,并基于所加载的告警数据,利用评估算法评估该告警数据的威胁值,并将该威胁值记录在数据库中,以完成分析。
2.根据权利要求1所述的一种基于api数据的异常行为分析方法,其特征在于:所述api规则库的构建使用静态规则,所述静态规则为:以固定特征对从kafka消息队列中读取并过滤出的api访问数据进行检测,将超出固定特征所指定范围的api访问数据视为异常;静态规则具体实现形式表现为sql。
3.根据权利要求2所述的一种基于api数据的异常行为分析方法,其特征在于,所述由规则引擎模块读取api访问数据,加载api规则库并执行相关检测逻辑,再将检测产生的告警数据输出至告警库,包括如下步骤:将过滤出api访问数据注册为临时表data,加载api规则库的静态规则,基于flinksql流处理框架执行sql,将sql执行所得的信息作为告警数据输出至告警库中。
4.根据权利要求2所述的一种基于api数据的异常行为分析方法,其特征在于:所述固定特征包括:指定的利用api下载敏感文件的范围、指定的api的访问权限的范围或输入的api原始参数。
5.根据权利要求1所述的一种基于api数据的异常行为分析方法,其特征在于:所述api规则库的构建使用动态规则,所述动态规则为:基于历史api数据,从不同特征维度构建不同的行为基线,将脱离任一个或多个行为基线设定的正常范围的api访问数据视为异常...
【专利技术属性】
技术研发人员:张国华,程超,刘薇,黄凯翔,朱峰,周蓉,
申请(专利权)人:江苏号百科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。