[发明专利]一种基于接口画像的水平越权访问敏感数据风险的检测方法

说明书

本发明公开了一种基于接口画像的水平越权访问敏感数据风险的检测方法，涉及通信技术领域，解决了目前由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上，其与正常用户发起的正常请求特征无明显差异，因此传统的安全产品无法实现有效检测的技术问题。本技术方案包括离线接口画像过程和实时风险检测过程，离线接口画像过程依据水平越权接口的访问特征，识别出可能存在水平越权风险的接口及其调用上下文信息，实时风险检测过程将基于本过程提供的信息进行风险评估。本发明通过分析WEB流量事件有效检测其中涉及的水平越权访问敏感数据行为风险，具备高准确性的实时水平越权访问敏感数据风险的检测逻辑。

技术领域

本发明涉及通信技术领域，具体涉及一种基于接口画像的水平越权访问敏感数据风险的检测方法。

背景技术

API接口(Application Programming Interface)是一种用于应用程序之间交互通信的计算接口，定义了调用规则以及数据格式相关信息。应用程序之间通过API接口互相调用，调用关系反映了业务逻辑。API接口在设计及实现环节可能存在各种各样的逻辑缺陷，从而允许被攻击者恶意利用，对系统安全和业务安全造成损害，水平越权问题是API接口逻辑缺陷中最常见的一类，水平越权访问敏感数据行为是针对该类逻辑缺陷的而实施的攻击行为。攻击者常通过发起此类攻击获取敏感业务数据，包括但不限于用户信息、订单信息、金融信息等。由于水平越权攻击在API接口调用过程中的请求/响应参数等特征上，其与正常用户发起的正常请求特征无明显差异，因此传统的安全产品无法实现有效检测。

发明内容

本发明的目的是提供一种基于接口画像的水平越权访问敏感数据风险的检测方法，通过接口特征自动学习获取接口画像，并根据接口画像实时发现水平越权访问敏感数据的行为。

为了实现上述目的，本发明提供如下技术方案：一种基于接口画像的水平越权访问敏感数据风险的检测方法，包括离线接口画像过程和实时风险检测过程，具体如下：

S1.离线接口画像过程：

S1-1:从用户主体维度，对历史流量进行数据聚合操作，从而获得用户主体维度的流量事件分组；

S1-2:对于经上一步所获得的用户主体维度的流量事件分组，对分组内的流量事件按照时间顺序生序排序；

S1-3:对于经上一步所获得的排序后的用户主体维度的流量事件分组，对流量事件分组中的每一个流量事件，基于流量事件的请求和响应，识别其是否满足允许水平越权访问敏感数据风险发生的条件；

S1-4:对于经S1-2步骤中所获得的排序后的用户主体维度的流量事件分组，以及该流量事件分组中的满足允许水平越权访问敏感数据风险发生的条件的流量事件，分析该事件的上下文调用关系，如果在该流量事件发生之前，存在前序流量事件总是返回该流量事件请求的可遍历特征的参数，将该流量事件对应的接口，标记为监控接口，并将相关信息作为该监控接口的画像信息进行保存，以备在实时风险检测过程中使用；

S2.实时风险检测过程：

S2-1:获取实时流量事件及其接口，从画像数据库中根据其接口查询该接口是否被标记为监控接口，如果该接口未被标记为监控接口，对该流量事件的分析过程结束，否则进行下一步；

S2-2:分析该实时流量事件的响应中是否包含敏感数据，如果该实时流量事件的响应中不包含敏感数据，对该流量事件的分析过程结束，否则进行下一步；

S2-3:根据画像数据库的接口前序调用信息，从历史流量数据库中查询该实时流量事件用户主体维度的前序调用事件，如果历史流量数据库中未发现与画像数据库的接口前序调用信息相匹配的前序流量事件，则进行风险告警，否则进入下一步；