一种对API资产进行管理方法、装置及设备

技术领域

本发明涉及网络安全技术领域，尤其涉及一种对API资产进行管理方法、装置及设备。

背景技术

API(Application Programming Interface，应用程序接口)是一种计算接口，定义了软件之间的数据交互方式、功能类型。随着互联网的普及和发展，API从早期的软件内部调用的接口，扩展到互联网上对外提供服务的接口。

调用者通过调用API，可以获取接口提供的各项服务，而无须访问源码，也无须理解内部工作机制的细节，不同于由操作系统或库公开给在同一台机器上运行的应用程序的API，Web API是一种编程接口，由一个或多个公开暴露的端点组成，指向已定义的请求-响应消息系统，通常以JSON或XML表示。

现有的API接口在提供便捷同时，也面临着Web攻击等网络安全风险。现有技术中一般是通过API网关或人工梳理登记的管理平台，将Web服务器的API接口进行登记，再对这些已知的API接口进行分析。

但是API接口会随着Web服务器的更新迭代变化，人工登记的方法容易造成疏漏，若不能即时的梳理API接口，则很难发现攻击者造成的危害，使web服务器暴露在危险之中。

因此，现有技术还有待于改进和发展。

发明内容

鉴于上述现有技术的不足，本发明的目的在于提供一种对API资产进行管理方法、装置及设备，旨在解决现有技术中API接口会随着Web服务器的更新迭代变化，人工登记的方法容易造成疏漏，若不能即时的梳理API接口，则很难发现攻击者造成的危害，使web服务器暴露在危险之中的技术问题。

本发明的技术方案如下：

一种对API资产进行管理方法，所述方法包括：

获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产；

基于预设的风险发现策略，实时对API资产存在的风险问题进行探测；

若探测到API存在风险问题，则执行告警操作。

进一步地，所述获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产，包括：

获取预定义的流量请求特征；

获取基于深度学习生成的API流量基线；

根据所述流量请求特征及所述API流量基线，捕获所述流量数据中的API资产。

进一步地，所述根据所述流量请求特征及所述API流量基线，捕获所述流量数据中的API资产，包括：

对所述API资产归属进行类型区分，按类型对所述API进行存储。

进一步优选地，所述基于预设的风险发现策略，实时对API资产存在的风险问题进行探测后，还包括：

对API访问行为日志进行收集。

进一步优选地，若探测到API存在风险问题，则执行告警操作，包括：

若探测到API存在风险问题，则进行监控告警，并将告警信息发送至用户终端和运营终端。

优选地，所述若探测到API存在风险问题，则执行告警操作后，还包括：

获取当前服务授权情况，若检测当前服务授权通过，则基于预设的API风险处理策略，对API进行对应的处理。

进一步地，所述对API访问行为日志进行收集后，还包括：

基于所述API访问行为对存在风险的API进行数据溯源。

本发明的另一实施例提供了一种对API资产进行管理装置，应用于客户端，装置包括：

API资产获取模块，用于获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产；

API风险探测模块，用于基于预设的风险发现策略，实时对API资产存在的风险问题进行探测；

告警模块，用于若探测到API存在风险问题，则执行告警操作。

本发明的另一实施例提供了一种对API资产进行管理设备，所述设备包括至少一个处理器；以及，

与所述至少一个处理器通信连接的存储器；其中，

所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行上述的对API资产进行管理方法。

本发明的另一实施例还提供了一种非易失性计算机可读存储介质，所述非易失性计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行时，可使得所述一个或多个处理器执行上述的对API资产进行管理方法。

有益效果：本发明实施例可实现对API资产进行全周期管理，而且易落地、效果明显，数据梳理时间短、业务零打扰，为识别API风险提供了便利，提高了用户使用网络的安全性。

附图说明

下面将结合附图及实施例对本发明作进一步说明，附图中：

图1为本发明一种对API资产进行管理方法较佳实施例的流程图；

图2为本发明一种对API资产进行管理装置的较佳实施例的功能模块示意图；

图3为本发明一种对API资产进行管理设备的较佳实施例的硬件结构示意图。

具体实施方式

为使本发明的目的、技术方案及效果更加清楚、明确，以下对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

以下结合附图对本发明实施例进行介绍。

本发明实施例提供了一种对API资产进行管理方法，请参阅图1，图1为本发明一种对API资产进行管理方法较佳实施例的流程图。如图1所示，其包括步骤：

步骤S100、获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产；

步骤S200、基于预设的风险发现策略，实时对API资产存在的风险问题进行探测；

步骤S300、若探测到API存在风险问题，则执行告警操作。

具体实施时，本发明实施例的对API资产进行管理方法应用于客户端，本发明实施例用于发现网络攻击和API滥用行为，及时响应发现安全威胁事件，推动威胁修复，消除数据泄露隐患。

本发明可提供多种扫描引擎，制定风险发现策略，包含丰富的弱口令字典、漏洞检测扫描工具，做到对资产全方面监测审计，实时探测资产可能存在的各种风险问题，并在发现风险问题时，及时进行告警，方便用户及安全管理人员采取措施，尽最大可能减少损失。

进一步地，获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产，包括：

获取预定义的流量请求特征；

获取基于深度学习生成的API流量基线；

根据所述流量请求特征及所述API流量基线，捕获所述流量数据中的API资产。

具体实施时，通过对系统流量数据分析，无需改变用户现有部署架构，实时盘点流量中的API资产。全自动梳理API列表资产、API参数资产、API调用方法等多维度API资产清单。根据预定义的API流量请求特征，结合机器学习的API流量基线，持续性地捕获流量中的API资源。

进一步地，根据所述流量请求特征及所述API流量基线，捕获所述流量数据中的API资产，包括：

对所述API资产归属进行类型区分，按类型对所述API进行存储。

具体实施时，对API资源归属进行类型区分，分析API资产归属的应用、账号、文件、IP等信息。

进一步地，基于预设的风险发现策略，实时对API资产存在的风险问题进行探测后，还包括：

对API访问行为日志进行收集。

具体实施时，对API访问行为日志进行记录；根据API访问行为日志进行统计，生成API访问报告，将所述API访问报告展示在后台终端。

进一步地，若探测到API存在风险问题，则执行告警操作，包括：

若探测到API存在风险问题，则进行监控告警，并将告警信息发送至用户终端和运营终端。

具体实施时,持续分析检测接收到的信息和行为，从各个维度综合发现漏洞、弱密码等安全风险和Webshel l写入、异常登录、异常网络连接、异常命令调用等异常行为并进行监控告警。同时可通过短信、电话、邮件等方式主动通知用户及安全运营小组。

进一步地，若探测到API存在风险问题，则执行告警操作后，还包括：

获取当前服务授权情况，若检测当前服务授权通过，则基于预设的API风险处理策略，对API进行对应的处理。

具体实施时，获取当前的服务授权情况，若服务授权已通过，可采取风险处理策略，协助本地紧急处理风险问题。

进一步地，对API访问行为日志进行收集后，还包括：

基于所述API访问行为对存在风险的API进行数据溯源。

具体实施时，通过对API访问行为日志的收集和审计，基于威胁情报信息的辅助，实现对账号、IP、token、API安全事件的审计和溯源。

日志审计包含告警概览、健康监控、流量监控、高频URL。

通过告警概览可查看账号活跃度、风险趋势、应用访问热度分析、实时请求流量及告警分析内容。

通过健康监控可查看应用接口分组情况，接口告警情况、应用敏感数据数量等信息。

通过流量监控，可查看今日流量监控及应用历史流量运转信息。

通过高频URL，可查看调用频率前十接口信息及高频URL列表数据。

进一步地，后台还可通过数字大屏可查看账号活跃度、风险趋势、应用访问热度分析、实时请求流量及告警分析内容。

系统自动关联资产的多方面信息数据，对资产进行全生命周期管理，并通过不同维度视角进行展示。包含告警概览、健康监控、流量监控、高频URL等信息。系统还有数据大屏，可对应用访问热度信息、实时请求流量信息、账号活跃度等进行分析展示。

由以上方法实施例可知，本发明实施例支持高精度API识别、支持多维风险监测、支持精细化时间采样、支持高性能数据源识别，易落地、效果明显，数据梳理时间短、业务零打扰、留存完整的API请求和响应日历，记录详细的攻击行为。

需要说明的是，上述各步骤之间并不必然存在一定的先后顺序，本领域普通技术人员，根据本发明实施例的描述可以理解，不同实施例中，上述各步骤可以有不同的执行顺序，亦即，可以并行执行，亦可以交换执行等等。

本发明另一实施例提供一种对API资产进行管理装置，如图2所示，装置1包括：

API资产获取模块11，用于获取客户端的流量数据，对所述流量数据进行解析，得到流量数据对应的API资产；

API风险探测模块12，用于基于预设的风险发现策略，实时对API资产存在的风险问题进行探测；

告警模块13，用于若探测到API存在风险问题，则执行告警操作。

具体实施方式见方法实施例，此处不再赘述。

进一步地，API资产获取模块11具体用于：

获取预定义的流量请求特征；

获取基于深度学习生成的API流量基线；

根据所述流量请求特征及所述API流量基线，捕获所述流量数据中的API资产。

具体实施方式见方法实施例，此处不再赘述。

进一步地，装置还包括存储模块，存储模块具体用于：

对所述API资产归属进行类型区分，按类型对所述API进行存储。

具体实施方式见方法实施例，此处不再赘述。

进一步地，装置还包括日志收集模块，日志收集模块具体用于：

对API访问行为日志进行收集。

具体实施方式见方法实施例，此处不再赘述。

进一步地，告警模块13具体用于：

若探测到API存在风险问题，则进行监控告警，并将告警信息发送至用户终端和运营终端。

具体实施方式见方法实施例，此处不再赘述。

进一步地，装置还包括风险处理模块，风险处理模块具体用于：

获取当前服务授权情况，若检测当前服务授权通过，则基于预设的API风险处理策略，对API进行对应的处理。

具体实施方式见方法实施例，此处不再赘述。

进一步地，装置还包括数据溯源模块，数据溯源模块具体用于：

基于所述API访问行为对存在风险的API进行数据溯源。

具体实施方式见方法实施例，此处不再赘述。

本发明另一实施例提供一种对API资产进行管理设备，如图3所示，设备10包括：

一个或多个处理器110以及存储器120，图3中以一个处理器110为例进行介绍，处理器110和存储器120可以通过总线或者其他方式连接，图3中以通过总线连接为例。

处理器110用于完成，设备10的各种控制逻辑，其可以为通用处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)、单片机、ARM(Acorn RISCMachine)或其它可编程逻辑器件、分立门或晶体管逻辑、分立的硬件组件或者这些部件的任何组合。还有，处理器110还可以是任何传统处理器、微处理器或状态机。处理器110也可以被实现为计算设备的组合，例如，DSP和微处理器的组合、多个微处理器、一个或多个微处理器结合DSP核、或任何其它这种配置。

存储器120作为一种非易失性计算机可读存储介质，可用于存储非易失性软件程序、非易失性计算机可执行程序以及模块，如本发明实施例中的对API资产进行管理方法对应的程序指令。处理器110通过运行存储在存储器120中的非易失性软件程序、指令以及单元，从而执行设备10的各种功能应用以及数据处理，即实现上述方法实施例中的对API资产进行管理方法。

存储器120可以包括存储程序区和存储数据区，其中，存储程序区可存储操作装置、至少一个功能所需要的应用程序；存储数据区可存储根据设备10使用所创建的数据等。此外，存储器120可以包括高速随机存取存储器，还可以包括非易失性存储器，例如至少一个磁盘存储器件、闪存器件、或其他非易失性固态存储器件。在一些实施例中，存储器120可选包括相对于处理器110远程设置的存储器，这些远程存储器可以通过网络连接至设备10。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

一个或者多个单元存储在存储器120中，当被一个或者多个处理器110执行时，执行上述任意方法实施例中的对API资产进行管理方法，例如，执行以上描述的图1中的方法步骤S100至步骤S300。

本发明实施例提供了一种非易失性计算机可读存储介质，计算机可读存储介质存储有计算机可执行指令，该计算机可执行指令被一个或多个处理器执行，例如，执行以上描述的图1中的方法步骤S100至步骤S300。

作为示例，非易失性存储介质能够包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦ROM(EEPROM)或闪速存储器。易失性存储器能够包括作为外部高速缓存存储器的随机存取存储器(RAM)。通过说明并非限制，RAM可以以诸如同步RAM(SRAM)、动态RAM、(DRAM)、同步DRAM(SDRAM)、双数据速率SDRAM(DDR SDRAM)、增强型SDRAM(ESDRAM)、Synchl ink DRAM(SLDRAM)以及直接Rambus(兰巴斯)RAM(DRRAM)之类的许多形式得到。本文中所描述的操作环境的所公开的存储器组件或存储器旨在包括这些和/或任何其他适合类型的存储器中的一个或多个。

本发明的另一种实施例提供了一种计算机程序产品，计算机程序产品包括存储在非易失性计算机可读存储介质上的计算机程序，计算机程序包括程序指令，当程序指令被处理器执行时，使处理器执行上述方法实施例的对API资产进行管理方法。例如，执行以上描述的图1中的方法步骤S100至步骤S300。

以上所描述的实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际需要选择其中的部分或者全部模块来实现本实施例方案的目的。

通过以上的实施例的描述，本领域的技术人员可以清楚地了解到各实施例可借助软件加通用硬件平台的方式来实现，当然也可以通过硬件实现。基于这样的理解，上述技术方案本质上或者说对相关技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存在于计算机可读存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机装置(可以是个人计算机，服务器，或者网络装置等)执行各个实施例或者实施例的某些部分的方法。

除了其他之外，诸如"能够'、"能"、"可能"或"可以"之类的条件语言除非另外具体地陈述或者在如所使用的上下文内以其他方式理解，否则一般地旨在传达特定实施方式能包括(然而其他实施方式不包括)特定特征、元件和/或操作。因此，这样的条件语言一般地还旨在暗示特征、元件和/或操作对于一个或多个实施方式无论如何都是需要的或者一个或多个实施方式必须包括用于在有或没有输入或提示的情况下判定这些特征、元件和/或操作是否被包括或者将在任何特定实施方式中被执行的逻辑。

已经在本文中在本说明书和附图中描述的内容包括能够提供对API资产进行管理方法及装置的示例。当然，不能够出于描述本公开的各种特征的目的来描述元件和/或方法的每个可以想象的组合，但是可以认识到，所公开的特征的许多另外的组合和置换是可能的。因此，显而易见的是，在不脱离本公开的范围或精神的情况下能够对本公开做出各种修改。此外，或在替代方案中，本公开的其他实施例从对本说明书和附图的考虑以及如本文中所呈现的本公开的实践中可能是显而易见的。意图是，本说明书和附图中所提出的示例在所有方面被认为是说明性的而非限制性的。尽管在本文中采用了特定术语，但是它们在通用和描述性意义上被使用并且不用于限制的目的。