[发明专利]一种接口安全监控方法及装置

说明书

本申请提供一种接口安全监控方法及装置，其中方法包括：从流量数据中包括的敏感字段和流量数据的目标接收方两个维度对访问接口时所传输的流量数据进行敏感度评估，得到流量数据的敏感度，该方法可提升敏感度评估的全面性，提高敏感度评估的准确性。然后，针对接口的每一次访问，根据此次访问过程中所述接口传输的流量数据的敏感度以及此次访问接口的源IP地址，评估当前访问的风险值，当风险值高于阈值时进行预警，该方法可使得对接口进行安全监控并非仅简单基于访问行为这单一特征，而是综合考虑了接口、访问者等多方特征，从而可提升安全风险评估的全面性，提高了风险评估结果的准确性。

技术领域

本申请涉及通信技术领域，尤其涉及一种接口安全监控方法及装置。

背景技术

随着《网络安全法》、《数据安全法》(草案)、《个人信息保护法》(草案)的颁布施行，对个人隐私数据的保护已经上升到法律层面。而时下正处于大数据时代，数据已成为新的生产要素，数据的价值逐渐凸显，数据的保护也越来越重要。

然而，数字化的发展驱使行业内部的数据应用和流动变得更加广泛和频繁。数据流动使用的场景也越来越多，各业务系统以开放式应用程序编程接口(applicationprogramming interface，API)接口对其他业务系统或外部合作伙伴提供便捷的服务。

现有的对接口进行安全监控的方法中，会接收来自外部系统的外部请求，根据外部请求的流量与访问流量阈值之间关系确定是否为正常访问。可见，现有方案仅是基于访问量进行接口安全监控，随着数据在各个场景中的流通变得越来越开放，对接口的访问威胁已不再局限于访问量一个维度，还会包括访问数据本身敏感程度等多个维度，现有的监控方案已不适用于当前的接口安全监控。因此，如何在数据流通过程中对接口进行安全监控成为亟待解决的问题。

发明内容

本申请提供一种接口安全监控方法及装置，用以对业务系统间的接口进行有效的安全监控。

第一方面，本申请实施例提供一种接口安全监控方法，该方法可由接口安全监控装置来执行，所述接口例如可以是业务系统之间的软件接口，也可以是其他类型的接口。

所述方法包括：通过流量分析技术，确定此次访问接口的源IP地址；根据所述接口所传输的流量数据中包括的敏感字段和/或所述流量数据的目标接收方的信息，确定此次访问所述接口的流量数据的敏感度；根据所述接口的流量数据的敏感度和所述源IP地址此次访问的安全度，确定源IP地址此次访问的风险值；若所述风险值大于设定阈值，则将所述接口的访问来源定位至所述源IP地址，并进行预警。

上述技术方案，可从流量数据中包括的敏感字段和流量数据的目标接收方两个维度对访问接口时所传输的流量数据进行敏感度评估，得到流量数据的敏感度，该方法可提升敏感度评估的全面性，提高敏感度评估的准确性。然后，针对接口的每一次访问，根据此次访问过程中所述接口传输的流量数据的敏感度以及此次访问接口的源IP地址，评估当前访问的风险值，当风险值高于阈值时进行预警，该方法可使得对接口进行安全监控并非仅简单基于访问行为这单一特征，而是综合考虑了接口、访问者等多方特征，从而可提升安全风险评估的全面性，提高了风险评估结果的准确性。

在一种可能的设计中，根据此次访问所述接口所传输的流量数据中包括的敏感字段和所述流量数据的接收方，确定此次访问所述接口的流量数据的敏感度，包括：根据此次访问所述接口所传输的流量数据中包括的敏感字段和/或所述流量数据的接收方的信息，确定此次访问所述接口的流量数据中每个数据包的敏感度；将所述流量数据中各个数据包的敏感度之和，确定为此次访问所述接口的流量数据的敏感度。

在一种可能的设计中，针对此次访问所述接口的流量数据中的每个数据包，确定所述数据包的敏感度，包括：若所述数据包为上行数据，且所述接口所在设备为所述数据包的数据生产方，则所述数据包的敏感度α＝α₂*α₃；其中，所述α2为所述数据包的数据字段敏感度，所述α3为所述数据包的目标接收方的敏感度。