[发明专利]一种基于接口画像的水平越权访问敏感数据风险的检测方法

权利要求书

1.一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于，包括离线接口画像过程和实时风险检测过程，具体如下：

S1.离线接口画像过程：

S1-1: 从用户主体维度，对历史流量进行数据聚合操作，从而获得用户主体维度的流量事件分组；

S1-2: 对于经上一步所获得的用户主体维度的流量事件分组，对分组内的流量事件按照时间顺序生序排序；

S1-3: 对于经上一步所获得的排序后的用户主体维度的流量事件分组，对流量事件分组中的每一个流量事件，基于流量事件的请求和响应，识别其是否满足允许水平越权访问敏感数据风险发生的条件；

S1-4: 对于经S1-2步骤中所获得的排序后的用户主体维度的流量事件分组，以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件，分析该事件的上下文调用关系，如果在该流量事件发生之前，存在前序流量事件总是返回该流量事件请求的可遍历特征的参数，将该流量事件对应的接口，标记为监控接口，并将相关信息作为该监控接口的画像信息进行保存，以备在实时风险检测过程中使用；

S2.实时风险检测过程：

S2-1: 获取实时流量事件及其接口，从画像数据库中根据其接口查询该接口是否被标记为监控接口，如果该接口未被标记为监控接口，对该流量事件的分析过程结束，否则进行下一步；

S2-2: 分析该实时流量事件的响应中是否包含敏感数据，如果该实时流量事件的响应中不包含敏感数据，对该流量事件的分析过程结束，否则进行下一步；

S2-3: 根据画像数据库的接口前序调用信息，从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件，如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件，则进行风险告警，否则进入下一步；

S2-4: 根据上一步查询得到的该实时流量事件用户主体维度的前序调用事件，逐个分析前序调用事件的响应中是否包含当前实时流量事件的请求中的可遍历参数，如果存在任意一个前序调用事件的响应包含当前实时流量事件的请求中的可遍历参数，分析过程结束，否则进行风险告警。

2.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于：所述的步骤S1-1中，用户主体通过流量客户端IP地址、Cookies在粗力度区分不同用户身份的信息或通过用户账号名、用户Id细粒度区分不同用户身份的信息。

3.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于：所述的步骤S1-3中，水平越权访问敏感数据风险发生的条件包括流量事件的请求中是否携带可遍历特征的参数和流量事件的响应中是否包含敏感数据。

4.根据权利要求3所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于：结合参数语义分析算法，评估事件遍历特征的参数和响应中敏感数据的对应关系。

5.根据权利要求1所述的一种基于接口画像的水平越权访问敏感数据风险的检测方法，其特征在于：所述的步骤S2-3中，对历史流量数据库查询事件范围进行限定。