[发明专利]一种基于HTTP流量自动化解析账号的方法

说明书

本发明公开了一种基于HTTP流量自动化解析账号的方法，具体涉及数据安全、网络数据分析技术领域，包括以下内容：日志格式化：将HTTP流量还原为日志；登陆接口识别：从HTTP流量还原的日志中找到登陆接口；账号、凭证路径识别：登陆接口识别后，我们可以从该接口中提取出账号和凭证的字段；账号、凭证配置验证：验证账号和凭证的路径这些配置是否正确，将错误的配置丢弃掉；账号提取：根据准确率达标的配置提取对应的账号和凭证，将它们关联起来，再通过其他接口上的凭证字段，找到对应的账号。本发明提供了一种新的方式通过接口特征自动学习出账号和凭证路径，根据这个对应关系解析出流量中的账号，从而实现自动化解析账号的功能。

技术领域

本发明实施例涉及数据安全、网络数据分析领域，具体涉及一种基于HTTP流量自动化解析账号的方法。

背景技术

目前每年都发生着大量的数据泄露事件，给公司造成巨大的损失，根据威瑞森的《数据泄露调查报告》，其中85%的事件涉及人的因素。账号是在数据泄露场景中能关联到具体人的重要标识，只有在流量中识别出账号，后续才能更好的发现、审计、溯源人员的行为是否存在数据泄露风险。现有的账号解析需要依赖人工找寻登陆接口上的账号和凭证等自动的路径进行配置，效率低且投入成本大。

发明内容

为了解决账号解析依赖人工配置导致配置效率低投入成本大的问题，本发明所描述的一种基于HTTP流量自动化解析账号的方法，提供了一种新的方式通过接口特征自动学习出账号和凭证路径，根据这个对应关系解析出流量中的账号，从而实现自动化解析账号的功能。

为了实现上述目的，本发明实施例提供如下技术方案：一种基于HTTP流量自动化解析账号的方法，包括以下内容：

 S1、日志格式化：将HTTP流量还原为日志，日志中包含HTTP的请求头、请求体、请求URL、请求方法、返回头和返回内容；

 S2、登陆接口识别：从HTTP流量还原的日志中找到登陆接口，流程如下：

a)从日志中获取URL，判断是否符合登陆特征；

b)如果符合，判断请求参数中是否为账号密码，通过键值对做校验；

c)如果校验通过，则说明这个接口是登陆接口；

S3、账号、凭证路径识别：登陆接口识别后，我们可以从该接口中提取出账号和凭证的字段，流程如下：

a)提取日志中的请求参数；

b)遍历参数的键值对，从中筛选出符合特征的参数；

c)将符合条件的参数路径以jsonpath的语法存储起来；

 S4、账号、凭证配置验证：当账号和凭证的路径识别完成后，可能会存在推荐多个账号和凭证的路径的情况，我们需要验证这些配置是否正确，将错误的配置丢弃掉，流程如下：

a)历史日志流量中筛选出该接口的所有事件，根据上一步识别出的路径去提取对应的账号和凭证，校验正确率达标才能将此配置保留，正确率未达标的配置删除；

b)校验正确率=校验成功的事件数/事件数；

S5、账号提取：根据正确率达标的配置提取对应的账号和凭证，将它们关联起来，再通过其他接口上的凭证字段，找到对应的账号，流程如下：

a)日志进来后，判断是否是登陆接口的日志,如果是登陆接口，根据登陆接口上的配置提取出账号和凭证，将它们作为键值对保存起来；

b) 如果不是登陆接口的日志，则提取该日志的凭证字段，再尝试从内存中查找此凭证对应的账号，实现流量中的账号解析。