[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

CN115603995A - 一种信息处理方法、装置、设备及计算机可读存储介质 - Google Patents

一种信息处理方法、装置、设备及计算机可读存储介质 Download PDF

Info

Publication number
CN115603995A
CN115603995A CN202211231894.6A CN202211231894A CN115603995A CN 115603995 A CN115603995 A CN 115603995A CN 202211231894 A CN202211231894 A CN 202211231894A CN 115603995 A CN115603995 A CN 115603995A
Authority
CN
China
Prior art keywords
information
detected
interface
abnormal
risk event
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211231894.6A
Other languages
English (en)
Inventor
李可
杨荣海
陈立朋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN202211231894.6A priority Critical patent/CN115603995A/zh
Publication of CN115603995A publication Critical patent/CN115603995A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本申请实施例公开一种信息处理方法,该方法包括:获取待检测接口对应的数据,并对所述数据进行特征提取得到特征信息;所述特征信息包括访问次序信息和/或目标字符信息;根据所述特征信息确定所述待检测接口是否存在异常。本申请实施例还公开一种信息处理装置、设备及计算机可读存储介质。

Description

一种信息处理方法、装置、设备及计算机可读存储介质
技术领域
本申请涉及信息处理领域中的信息处理技术,尤其涉及一种信息处理方法、装置、设备及计算机可读存储介质。
背景技术
网络应用程序接口(Application Programming Interface,API)作为外部网络的主要对象之一,它被应用于各种环境中,为用户带来便利的同时也带来了巨大的威胁;黑客可以通过攻击网络应用程序接口来盗取用户的数据,导致用户的数据泄露存在安全隐患,因此,确定网络应用程序接口是否存在异常显得尤为重要;相关技术中确定网络应用程序接口是否存在异常,通常是对用户访问网络应用程序接口的访问次数进行统计,比如当确定用户在目标时间内访问网络应用程序接口的次数偏高时,确定网络应用程序接口存在异常;但是,相关技术中确定网络应用程序接口是否存在异常时仅考虑到用户的访问次数,会导致由于业务合理需要所产生的行为的检测结果误报,检测准确率低的问题。
发明内容
为解决上述技术问题,本申请实施例期望提供一种信息处理方法、装置、设备及计算机可读存储介质,解决了相关技术中确定网络应用程序接口是否存在异常时仅考虑到用户的访问次数,会导致由于业务合理需要所产生的行为的检测结果误报,检测准确率低的问题,提高了确定网络应用程序接口是否存在异常的准确率。
本申请的技术方案是这样实现的:
一种信息处理方法,所述方法包括:
获取待检测接口对应的数据,并对所述数据进行特征提取得到特征信息;所述特征信息包括访问次序信息和/或目标字符信息;
根据所述特征信息确定所述待检测接口是否存在异常;
上述方案中,所述根据所述特征信息确定所述待检测接口是否存在异常,包括:
确定所述特征信息中异常特征信息对应的异常情况;
基于不同检测场景对应的风险事件识别模型和所述异常情况,确定所述待检测接口是否存在异常;
上述方案中,所述方法还包括:
在确定所述待检测接口存在异常的情况下,基于所述风险事件识别模型和所述异常情况,确定所述待检测接口发生的风险事件。
上述方案中,所述数据包括请求信息及响应信息;所述对所述数据进行特征提取得到特征信息之前,还包括:
根据所述请求信息及所述响应信息,确定协议类别;
根据所述协议类别对所述请求信息及所述响应信息进行解析,得到待检测信息;
根据待检测信息执行特征提取得到特征信息的操作。
上述方案中,所述确定特征信息中异常特征信息对应的异常情况,包括,包括:
确定每类特征信息对应的特征分析模型;
采用所述特征分析模型对所述特征信息进行分析,得到所述异常情况。
上述方案中,所述方法还包括:
对所述风险事件进行整理,得到所述风险事件对应的描述信息,所述描述信息包括主机标识、所述待检测接口、所述待检测接口的异常情况和风险事件中的至少一种;
获取所述风险事件对应的处置建议信息,并输出所述描述信息和所述处置建议信息。
上述方案中,所述基于所述风险事件识别模型和所述异常情况,确定所述待检测接口发生的风险事件,包括:
获取所述待检测接口对应的历史风险事件;
对所述历史风险事件对应的历史异常情况进行关联规则挖掘,得到所述风险事件识别模型;
采用所述风险事件识别模型对所述异常情况进行处理,确定所述待检测接口发生的风险事件。
上述方案中,所述采用所述风险事件识别模型对所述异常情况进行处理,确定所述待检测接口发生的风险事件,包括:
采用所述风险事件识别模型对所述异常情况进行处理,得到初始风险事件;
对所述初始风险事件进行筛选,得到所述待检测接口发生的风险事件。
上述方案中,所述对所述初始风险事件进行筛选,得到所述待检测接口发生的风险事件,包括以下至少之一:
从所述初始风险事件中提取具有关联性的风险事件作为所述待检测接口发生的风险事件;
确定所述初始风险事件的风险等级,并基于所述风险等级从所述初始风险事件中确定所述待检测接口发生的风险事件;
基于目标归并条件对所述初始风险事件进行归并,将归并后的风险事件作为所述待检测接口发生的风险事件。
上述方案中,所述基于所述风险等级从所述初始风险事件中确定所述待检测接口发生的风险事件,包括:
获取所述初始风险事件对应的权重;
基于所述权重和所述风险等级,确定目标数值;
基于所述目标数值,从所述初始风险事件中确定所述待检测接口发生的风险事件。
上述方案中,所述方法还包括:
基于所述描述信息和所述处置建议信息,生成用于提示所述待检测接口发生所述风险事件的告警信息。
一种信息处理方法,所述方法包括:
接收用于对待检测接口进行检测的处理请求;
基于所述处理请求中携带的特征类别,对所述待检测接口对应的数据进行特征提取得到特征信息;其中,所述特征信息包括访问次序信息和/或目标字符信息;
对所述处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,所述异常分析模型用于确定所述特征信息中异常特征信息对应的异常情况。
上述方案中,所述方法还包括:
基于所述处理请求中携带的目标异常情况之间的关联关系,生成不同检测场景对应的风险事件识别模型;其中,所述风险事件识别模型用于基于所述异常情况确定所述待检测接口是否存在异常,以及待检测接口存在异常时发生的风险事件。
一种第一信息处理装置,所述第一信息处理装置包括:
获取单元,用于获取待检测接口对应的数据,并对所述数据进行特征提取得到特征信息;所述特征信息包括访问次序信息和/或目标字符信息;
第一处理单元,用于根据所述特征信息确定所述待检测接口是否存在异常。
一种第二信息处理装置,所述第二信息处理装置包括:
接收单元,用于接收用于对待检测接口进行检测的处理请求;
第二处理单元,用于基于所述处理请求中携带的特征类别,对所述待检测接口对应的数据进行特征提取得到特征信息;其中,所述特征信息包括访问次序信息和/或目标字符信息;
所述第二处理单元,还用于对所述处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,所述异常分析模型用于确定所述特征信息中异常特征信息对应的异常情况。
一种信息处理设备,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息处理程序,以实现上述信息处理方法的步骤。
一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现上述信息处理方法的步骤。
一种计算机程序,所述计算机程序被处理器执行时实现上述信息处理方法的步骤。
本申请实施例所提供的信息处理方法、装置、设备及计算机可读存储介质,获取待检测接口对应的数据,并对待检测接口对应的数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;根据特征信息确定待检测接口是否存在异常;如此,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率,解决了相关技术中仅基于用户的访问次数来确定待检测接口是否存在异常的准确率低的问题。
附图说明
图1为本申请实施例提供的一种信息处理方法的流程示意图;
图2为本申请实施例提供的另一种信息处理方法的流程示意图;
图3为本申请实施例提供的一种信息处理系统的结构示意图;
图4为本申请另一实施例提供的一种信息处理方法的流程示意图;
图5为本申请又一实施例提供的一种信息处理方法的流程示意图;
图6为本申请实施例提供的一种第一信息处理装置的结构示意图;
图7为本申请实施例提供的一种第二信息处理装置的结构示意图;
图8为本申请实施例提供的一种第一信息处理设备的结构示意图。
图9为本申请实施例提供的一种第二信息处理设备的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
应当理解,此处所描述的具体实施例仅仅用以解释本申请,并不用于限定本申请。
本申请的实施例提供一种信息处理方法,该方法可以应用于信息处理设备中,参照图1所示,该方法包括以下步骤:
步骤101、获取通过待检测接口对应的数据,并对待检测接口对应的数据进行特征提取得到特征信息。
其中,特征信息包括访问次序信息和/或目标字符信息。待检测接口可以是客户端与服务端之间的数据传输接口;信息处理设备可以对待检测接口进行实时监测或周期性监测,获取待检测接口对应的数据;待检测接口的数量可以为多个。
待检测接口对应的数据可以是通过待检测接口传输的数据包。在一种可行的实现方式中,待检测接口对应的数据可以是实时抓取的从待检测接口传输的数据包,也可以称之为流量数据包。待检测接口对应的数据还可以是安全日志;其中,安全日志可以是对待检测接口传输的数据包中的内容进行审计生成的,安全日志中可以包括数据包中的全部内容,当然,也可以包括数据包中的部分内容。当然,安全日志中也可以包括预先存储的数据包。
其中,数据包可以包括请求包和/或响应包。请求包指的是客户端通过待检测接口发送至服务端的数据包;响应包指的是服务端基于接收到的请求包,通过待检测接口发送至客户端的数据包。
其中,访问次序信息可以是同一用户访问多个待检测接口的次序信息。目标字符信息包括目标参数名信息和/或目标参数值信息;其中,目标参数名信息包括目标参数名以及对目标参数名进行统计得到的第一统计信息;目标参数值信息包括目标参数值以及对目标参数值进行统计得到的第二统计信息;目标参数值为目标参数名对应的值,该目标参数名对应的值可以是数值,也可以是字符。
具体地,考虑到业务合理需要所产生的访问行为以及业务合理需要造成数据包中数据的变化,可以从待检测接口对应的数据中提取访问次序信息,以及从待检测接口对应的数据提取预设参数格式的参数名,得到目标参数名,并对目标参数名进行统计,得到第一统计信息;对目标参数名对应的目标参数值进行统计,得到第二统计信息。
其中,目标参数名具体包括请求包中的预设参数格式的参数名和/或响应包中的预设参数格式的参数名;第一统计信息至少包括目标参数名的出现频率;第二统计信息可以是对目标参数值的字符长度、字符占比分布和字符类型的统计信息。
可选的,特征信息中还可以包括访问量信息和目标字段的内容;访问量信息包括频次、流量和时间等多个维度统计指标;目标字段的内容包括头字段内容,具体可以是请求包中的请求头字段内容和响应包中的响应头字段内容。
在一种可行的实现方式中,待检测接口可以是Web API,访问次序信息可以是同一用户访问多个Web API的顺序信息,也可以称之为API访问序列;目标字符信息中的目标参数名信息可以包括用户身份信息及该用户身份信息在API中出现的频次;目标字符信息中的目标参数值可以包括用户隐私信息及用户隐私信息相关的属性。
举例说明,用户身份信息可以包括用户名、密码、用户身份验证令牌等信息中的至少一种。用户隐私信息可以包括银行卡号、手机号、支付密码等等信息中的至少一种,用户隐私信息相关的属性可以包括用户隐私信息的类型、用户隐私信息的数据长度等等信息中的至少一种。
在另一种可行的实现方式中,为了提高检测Web API是否存在异常的准确率,特征信息还可以包括接口访问量和/或认证头字段内容,进一步根据特征信息确定待检测接口是否存在异常。如此,可以基于多维度的数据确定Web API是否存在异常,提高了确定WebAPI是否存在异常的准确率。其中,Web API访问量可以是在单位时间内源网络之间互连的协议(Internet Protocol,IP)访问Web API的次数;认证头字段内容可以是Cookie和Auth等请求头内容。
步骤102、根据特征信息确定待检测接口是否存在异常情况。
在本申请实施例中,可以基于特征异常判断条件从特征信息中确定异常特征信息对应的异常情况,基于异常情况来确定待检测接口是否存在异常。具体地:
判断特征信息中是否满足特征异常判断条件,若满足,则判定待检测接口异常;若不满足,则判定待检测接口正常。
其中,特征异常判断条件可以是根据用户需求设定的,比如,待检测接口存在异常指的是待检测接口存在安全风险。
特征异常判断条件可以是预先设置的;一个特征异常判断条件至少对应一个目标异常情况。特征异常判断条件可以包括以下至少之一:
在一个实施例中,在实际检测中,可以是:访问次序信息对应的访问次序异常条件、目标字符信息对应的参数异常条件。
比如,访问次序异常条件对应的异常情况可以为访问次序异常;目标字段异常条件对应的异常情况可以是字段内容缺失;参数异常条件对应的异常情况可以是请求参数名异常和请求参数值异常。
在一种可行的实现方式中,访问次序异常可以是指访问次序大于预设的目标访问次序。
在一种可行的实现方式中,目标字段异常可以是目标字段的内容为空。
在一种可行的实现方式中,请求参数名异常和请求参数值异常可以是目标字符信息中具有预设的敏感参数信息。
在一些其他的实施例中,特征信息中异常特征信息对应的异常情况还可以包括访问频率异常(是指访问频率的值不满足预设的频率阈值)、返回敏感数据异常(响应包中包含敏感信息)。
需要说明的是,步骤102中确定待检测接口是否存在异常还可以通过以下方式来实现:
将特征信息输入预先训练好的人工智能模型来确定待检测接口是否存在异常。所述人工智能模型被配置为根据所述特征信息进行一系列非线性运算后来确定待检测接口是否存在异常。
具体地,可以将特征信息输入至第一人工智能(Artificial Intelligence,AI)模型,之后可以根据第一AI模型的输出结果来确定待检测接口是否存在异常。其中,可以预先采用大量的样本特征信息对第一初始AI模型进行训练,得到用于检测待检测接口是否存在异常的第一AI模型。
本申请的实施例所提供的信息处理方法,获取待检测接口对应的数据,并对待检测接口对应的数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;根据特征信息确定待检测接口是否存在异常;如此,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种信息处理方法,参照图2所示,该方法包括以下步骤:
步骤201、信息处理设备获取待检测接口对应的数据。
步骤202、信息处理设备根据请求信息及响应信息,确定协议类别。
其中,待检测接口对应的数据包括请求信息和响应信息;请求信息可以是从安全日志中的请求包中提取的部分信息;响应信息可以是从安全日志中的响应包中提取的部分信息。当然,请求信息还可以是安全日志中审计得到的请求包,也可以是实时抓取的通过待检测接口的请求包;响应信息可以是安全日志中审计得到的响应包,也可以实时抓取的通过待检测接口的响应包。
在本申请实施例中,请求包可以是客户端通过待检测接口发送至服务端的数据包;响应包可以是服务端基于接收到的客户端,通过待检测接口发送至客户端的数据包。其中,请求包和响应包可以是信息处理设备可以对待检测接口进行监测获取的,还可以是其它具备监测功能的设备对待检测接口进行监测,并将监测得到的请求包和数据包发送至信息处理设备的。
在一种可行的实现方式中,待检测接口可以是Web API,Web API的数量可以是多个,信息处理设备可以对多个Web API进行监测,得到每个Web API对应的请求包和响应包。
在本申请实施例中,可以分别对请求包中表征传参格式的字段的数据和响应包中表征传参格式的字段的数据进行分析,确定协议类别。其中,协议类别可以理解为是待检测接口的类别。
在一种可行的实现方式中,响应包中表征传参格式的字段可以是Content-Type字段的字段值;协议类别可以是Rest API协议。
步骤203、信息处理设备根据协议类别对请求信息以及响应信息进行解析得到待检测信息。
其中,不同协议类别对应不同的数据格式。
在本申请实施例中,可以获取预先设置的目标协议类别对应的目标数据格式之间的第一对应关系,基于确定的协议类别和该第一对应关系,确定协议类别对应的数据格式,并采用该数据格式对请求信息和响应信息进行解析,得到待检测信息。其中,协议类别可以为表示性状态转移(Representational State Transfer,REST)协议、简单对象访问协议(Simple Object Access Protocol,SOAP)和GroprQL协议中的一种。
具体地,若协议类别为Rest API,则确定Rest API对应的数据格式为JS对象简谱(JavaScript Object Notation,JSON),可以采用JSON格式对响应包和请求包进行解析,得到待检测信息。
在一种可行的实现方式中,待检测信息具体可以包括IP五元组信息、API短点、统一资源定位系统(uniform resource locator,URL)、超文本传输协议(Hyper TextTransfer Protocol,HTTP)响应码和HTTP请求头字段等数据。
步骤204、信息处理设备根据待检测信息执行特征提取得到特征信息的操作。
在本申请实施例中,在得到待检测信息时,可以执行特征提取得到特征信息的操作。
步骤205、信息处理设备对待检测接口对应的数据进行特征提取得到特征信息。
待检测接口对应的数据包括待检测信息。
在本申请实施例中,可以基于用于特征提取得到特征信息的操作,对待检测信息进行特征提取,得到特征信息。
在一种可行的实现方式中,按照特征类别,对待检测信息进行特征提取得到特征信息。其中,特征类别可以是预先设置的。
步骤206、信息处理设备确定特征信息中异常特征信息对应的异常情况。
在本申请实施例中,可以采用异常分析模型对特征信息进行检测,得到异常特征信息对应的异常情况。其中,异常特征分析模型可以是对特征异常判断条件进行组合得到的;当然,异常特征分析模型还可以是采用神经网络算法训练得到的。
需要说明的是,步骤206可以通过步骤A1~A2来实现:
步骤A1、信息处理设备确定每类特征信息对应的特征分析模型。
在本申请实施例中,可以对特征信息进行分类,得到每类特征信息对应至少一个特征分析模型;其中,特征分析模型可以是采用神经网络算法,基于样本接口对应的样本特征信息、样本特征信息对应的样本异常情况以及目标损失函数进行模型训练后得到的;特征分析模型还可以是采用统计类方法对样本特征信息和样本异常情况进行建模得到的。可以基于特征信息的类别,可以从多个特征分析模型中获取与每类特征信息对应的特征分析模型。其中,访问次序信息、访问量信息、目标字段的内容和目标字符信息为不同类别的特征信息;也就是说,访问次序信息具有对应的特征分析模型;目标字段的内容具有对应的特征分析模型;目标字符信息具有对应的特征分析模型;访问量信息具有对应的特征分析模型。
在一种可行的实现方式中,访问次序信息包括Web API访问序列,Web API访问序列对应的模型为访问序列分析模型、目标字段的内容对应的异常分析模型为头字段分析模型、目标参数名信息对应的异常分析模型为参数名分析模型以及目标参数值信息对应的异常分析模型为参数值分析模型。
步骤A2、信息处理设备采用特征分析模型对特征信息进行分析,得到异常情况。
在本申请实施例中,可以将每一类特征信息输入至该类特征信息对应的特征分析模型中,特征分析模型可以对输入的该类特征信息进行分析,特征分析模型在确定该类特征信息中存在异常特征信息时,可以输出与异常特征信息对应的异常情况。
在一种可行的实现方式中,多个特征分析模型输出的异常情况可以是“登录认证失败次数过大”、“请求用户名变换频率过高”和“罕见访问源IP”。
步骤207、信息处理设备基于不同检测场景对应的风险事件识别模型和异常情况,确定待检测接口是否存在异常。
在本申请实施例中,可以将异常情况输入至每一个检测场景对应的风险事件识别模型中,使得风险事件识别模型可以将异常情况与目标异常情况进行匹配,在异常情况与目标异常情况匹配时,则确定待检测接口存在异常。
在一种可行的实现方式中,检测场景包括账号爆破场景和敏感数据爬取等其它检测场景;异常情况可以为“登录认证失败次数过大”、“请求用户名变换频率过高”和“罕见访问源IP”,可以将这3个异常情况输入至每个检测场景对应的风险事件识别模型,以确定待检测接口是否存在异常。
步骤208、在确定待检测接口存在异常的情况下,信息处理设备基于风险事件识别模型和异常情况,确定待检测接口发生的风险事件。
其中,风险事件识别模型还用于根据输入的异常情况确定待检测接口发生的风险事件。风险事件识别模型中可以具有目标异常情况与目标风险事件之间的第二对应关系。
在本申请实施例中,当风险事件识别模型中的目标风险事件识别模型识别到待检测接口存在异常时,目标风险事件识别模型可以对异常情况进行关联分析,得到待检测接口发生的风险事件。这里仅以一个例子对异常情况的关联分析进行说明,并不一定表明上述方案严格对应。比如,异常情况可以包括用户名或密码错误、登录次数异常,该两个异常情况单独分析的时候没有任何的关联,但是如果将这两个异常情况关联起来,发现其很符合账号爆破的情况,所以可以得出账号爆破的风险事件。
目标风险事件识别模型还可以基于异常情况和第二对应关系,确定待检测接口发生的风险事件。其中,第二对应关系可以是对待检测接口对应的历史异常情况与历史风险事件进行分析后得到的,识别历史异常情况与历史风险事件的对应关系作为第二对应关系。在当前实现检测时,既可以将当前异常情况与第二对应关系进行匹配得到风险事件分析结果。
需要说明的是,基于风险事件识别模型和异常情况,确定待检测接口发生的风险事件还可以通过以下方式来实现:
具体地,可以将待检测接口的异常情况输入至训练好的第二AI模型,之后可以根据第二AI模型的输出结果来确定待检测接口发生的风险事件。其中,可以预先采用大量的样本异常情况和样本风险事件对第二初始AI模型进行训练,得到用于确定待检测接口发生的风险事件的第二AI模型。
需要说明的是,步骤208可以通过步骤B1~B3来实现:
步骤B1、信息处理设备获取待检测接口对应的历史风险事件。
在本申请实施例中,可以根据从数据库中获取存储的在历史时间待检测接口发生的历史风险事件。
步骤B2、信息处理设备对历史风险事件对应的历史异常情况进行关联规则挖掘,得到不同检测场景对应的风险事件识别模型。
在本申请实施例中,风险事件识别模型中定义了每种风险事件对应的异常情况以及异常情况之间的时间顺序关系;其中,风险模型识别模型中涉及的风险事件包括待检测接口在历史时间发生过的风险事件以及对不同异常情况进行组合预估的风险事件;信息处理设备可以对历史风险事件和历史风险事件对应的历史异常情况进行频繁项集挖掘,得到风险事件识别模型。
在一种可行的实现方式中,A风险事件对应的异常情况包括a异常情况、b异常情况和c异常情况,A风险事件对应的异常情况之间的事件顺序关系为a异常情况的发生时间早于b异常情况的发生时间,且b异常情况的发生时间早于c异常情况的发生时间。
步骤B3、信息处理设备采用风险事件识别模型对异常情况进行处理,确定待检测接口发生的风险事件。
在本申请实施例中,可以将得到的至少一种异常情况输入至风险事件识别模型,风险事件识别模型可以对异常情况进行处理,以确定输入的异常情况对应的风险事件,得到待检测接口发生的风险事件。
需要说明的是,可以将风险事件识别模型输出的风险事件作为待检测接口发生的风险事件;还可以对风险事件识别模型输出的风险事件进行处理,以确定待检测接口发生的风险事件;其中,风险事件识别模型在输出与输入的异常情况对应的风险事件的同时,还输出该风险事件对应的场景。
在一种可行的实现方式中,风险事件识别模型在确定同一IP在同一段时间内同时出现了“登录认证失败次数过大”、“请求用户名变换频率过高”、“罕见访问源IP”三种异常情况,则风险事件识别模型输出的风险事件为“账号爆破”场景中的撞库攻击事件;其中,待检测接口发生的风险事件包括撞库攻击事件;待检测接口发生的风险事件对应的场景包括账号爆破。
需要说明的是,步骤B3可以通过步骤b1-b2来实现:
步骤b1、信息处理设备采用风险事件识别模型对异常情况进行处理,得到初始风险事件。
在本申请实施例中,可以将得到的异常情况输入至风险事件识别模型,通过风险事件识别模型对异常情况进行分析,之后将风险事件识别模型输出的风险事件作为初始风险事件。
步骤b2、信息处理设备对初始风险事件进行筛选,得到待检测接口发生的风险事件。
在本申请实施例中,可以基于目标风险过滤条件,对初始风险事件进行筛选得到待检测接口发生的风险事件。其中,目标风险过滤条件是基于风险事件的等级、风险事件之间的第一关联关系、风险事件的发生次数和风险事件的归并中的至少一种确定的;待检测接口发生的风险事件可以是多个,也可以是一个。在一种可行的实现方式中,目标过滤条件可以包括不具有关联性的风险事件、风险事件的风险等级大于预设风险等级的事件。
需要说明的是,通过对初始风险事件进行筛选,可以进一步过滤掉非攻击行为对应的风险事件,以得到攻击行为对应的风险事件,提高了确定待检测接口发生的风险事件的准确率。其中,针对Web API而言,攻击行为可以是Web业务逻辑攻击和数据攻击。
需要说明的是,步骤b2可以通过以下至少一种方式来实现:
可选的,信息处理设备从初始风险事件中提取具有关联性的风险事件作为待检测接口发生的风险事件。
在本申请实施例中,可以根据第一关联关系,从初始风险事件中提取具有关联性的风险事件,得到待检测接口发生的风险事件;其中,第一关联关系为预先设置的多个目标风险事件之间的关联关系。
在一种可行的实现方式中,第一关联关系具体是指不同类型的风险事件的与、或、顺序发生关系。
可选的,信息处理设备确定初始风险事件的风险等级,并基于风险等级从初始风险事件中确定待检测接口发生的风险事件。
在本申请实施例中,每一风险事件对应的风险等级可以是预先设置的,可以根据初始风险事件的标识,从多个风险等级中获取初始风险事件的风险等级;也可以是对初始风险事件对应的风险事件发生时间和异常情况进行分析后确定的;还可以确定初始风险事件的置信度,基于置信度确定初始风险事件的风险等级;信息处理设备可以从初始风险事件中确定风险等级大于目标风险等级的事件,得到待检测接口发生的风险事件;如此,可以过滤掉风险等级比较低的风险事件,提高了确定待检测接口发生的风险事件的准确率。
具体地,获取初始风险事件对应的权重,基于权重和风险等级,确定目标数值,并基于目标数值,从初始风险事件中确定待检测接口发生的风险事件。
在本申请实施例中,初始风险事件对应的权重,可以是信息处理设备预先根据待检测接口发生初始风险事件后所带来的危害程度确定的;也可以是安全维护人员根据历史风险事件设定的。其中,目标数值可以是初始风险事件的风险评分。
在本申请实施例中,针对每一初始风险事件,可以基于初始风险事件对应的权重和风险等级进行运算,得到目标数值;其中,目标数值表征初始风险事件的紧急程度。
在一种可行的实现方式中,可以将权重和风险等级相乘,得到目标数值。
在本申请实施例中,可以根据目标数值,从初始风险事件中确定目标数值大于预设数值的风险事件,得到待检测接口发生的风险事件。
可选的,信息处理设备基于目标归并条件对初始风险事件进行归并,将归并后的风险事件作为待检测接口发生的风险事件。
其中,目标归并条件可以是对同一源IP访问的Web API对应的每一类型的风险事件进行归并。
需要说明的是,还可以根据待检测接口在历史时间发生初始风险事件的次数,对初始风险事件进行筛选得到待检测接口发生的风险事件;或,根据初始风险事件对应的类型,对初始风险事件进行筛选得到待检测接口发生的风险事件。
在一种可行的实现方式中,可以基于待检测接口在历史时间发生初始风险事件的次数,从多个初始风险事件中确定次数大于第一目标次数的风险事件,得到待检测接口发生的风险事件;可以确定初始风险事件的类型,确定待检测接口在历史时间发生每一类型风险事件的次数,并从多个初始风险事件中确定该次数大于第二目标次数的风险事件,得到待检测接口发生的风险事件。其中,第一目标次数和第二目标次数是预先设置的次数阈值,第一目标次数和第二目标次数可以相同;当然,第一目标次数和第二目标次数也可以不同。
下述结合应用场景,对本申请实施例提供的信息处理方法进行详细的解释说明。
本申请实施例提供的信息处理方法应用于信息处理系统,如图3所示,该信息处理系统包括数据解析层、特征提取层、异常分析层、初始风险事件识别层和风险事件过滤层。
数据解析层用于从安全日志(如API访问流量审计日志)中获取请求包和响应包,并对请求包和响应包中表征传参格式的字段的数据进行分析,确定协议类别,并采用协议类别对应的数据格式,对请求包和响应包进行解析,得到待检测信息,之后可以对待检测信息进行特征提取得到特征信息;其中,协议类别为REST协议、SOAP协议和GroprQL协议中的一种。信息处理系统提供了三种解析方式,分别是基于REST协议对消息体的解析、基于SOAP协议对消息体的解析以及基于GroprQL协议对消息体的解析,针对每个待检测接口只会用到一种解析;特征提取层可以接收数据解析层输出的待检测信息,并对待检测信息进行特征提取,得到多类特征信息,并将多类特征信息传输至异常分析层,通过异常分析层中多个特征分析模型对多类特征信息进行处理,得到特征信息中异常特征信息对应的异常情况,异常分析层可以将分析得到的异常情况传输至初始风险事件识别层,初始风险事件识别层可以采用风险事件识别模型对异常情况进行处理,得到初始风险事件以及初始风险事件对应的场景,并传输初始风险事件至事件过滤层,事件过滤层可以基于归并条件、退避条件、初始风险事件之间的关联性、风险等级和风险评分中的至少一项,对初始风险事件进行筛选,得到待检测接口发生的风险事件,并生成用于提示待检测接口发生风险事件的告警信息。其中,检测场景包括批量水平越权访问、敏感数据批量获取、API资源探测、账号爆破和尝试未授权访问;每一检测场景对应一个风险事件识别模型。特征分析模型可以包括访问频率异常模型、请求参数名异常模型、请求参数值异常模型、返回敏感数据异常模型和API访问序列异常模型。
其中,采用规避条件对初始风险事件进行筛选可以是根据待检测接口在历史时间发生初始风险事件的次数,对初始风险事件进行筛选;或,根据初始风险事件对应的类型,对初始风险事件进行筛选。
基于前述实施例,在本申请的其它实施例,该信息处理方法还包括以下步骤:
步骤209、信息处理设备对风险事件进行整理,得到风险事件对应的描述信息。
其中,描述信息包括主机标识、待检测接口、待检测接口的异常情况和风险事件中的至少一种。
在本申请实施例中,主机标识可以是待检测接口所处的设备的标识;待检测接口所处的设备可以是物理机,也可以是虚拟机;待检测接口的异常情况指的是风险事件对应的异常情况;描述信息包括事件说明信息;事件说明信息用于对风险事件进行解释说明。
在一种可行的实现方式中,风险事件可以是IP在3:00到4:00针对业务系统的“撞库攻击”的风险事件,在4:00出现该IP相关的“敏感数据大量下载”的风险事件;事件说明信息可以是通过账号撞库造成账号失陷,攻击者通过登陆该账号下载了大量敏感数据;
步骤210、信息处理设备获取风险事件对应的处置建议信息,并输出描述信息和处置信息。
其中,处置建议信息可以是电子设备根据历史风险事件,针对待检测接口发生的风险事件所给出的应对措施;处理建议信息还可以是预先配置的。
在一种可行的实现方式中,处置建议信息是预先配置的“发生撞库攻击和发生敏感数据大量下载”的事件对应的处理措施,处理建议信息具体可以是“请尽快联系安全维护人员确定该事件的真实性,如果确认为攻击请及时禁用该账号并尽快提醒用户更改密码”。
步骤211、信息处理设备基于描述信息和处置建议信息,生成用于提示待检测接口发生风险事件的告警信息。
其中,告警信息中携带有描述信息和处置建议信息。
在本申请实施例中,信息处理设备可以输出告警信息,也可以将告警信息发送至待检测接口对应的安全维护人员的终端,以使得安全维护人员可以针对告警信息及时对待检测接口进行维护。其中,告警信息可以是针对一个待检测接口生成的告警信息,也可以是针对多个待检测接口生成的告警信息。
在本申请实施例中,当待检测接口发生的风险事件为多个时,告警信息还可以携带待检测接口发生的风险事件对应的异常情况的时间顺序以及确定出待检测接口发生风险事件的原因;如此,可以根据告警信息中携带的信息进一步调查溯源,并进行处置闭环。
需要说明的是,相关技术中当确定用户在目标时间内访问网络应用程序接口的次数偏高时,则生成用于提醒网络应用程序接口存在风险的告警信息;其中,这种告警方式为异常告警,无法阐述异常情况背后意味着是什么风险事件,如何对风险事件进行处理,存在可解释性差,安全维护人员闭环处置困难的问题;而本申请实施例中生成的告警信息,可以告知安全维护人员待检测接口所发生的风险事件、以及对风险事件的处置建议和风险事件对应的异常情况,以便用户针对待检测接口发生的风险事件进行溯源和闭环处置,与相关技术中的告警信息相比具有高解释性、高精准性和可扩展性的优势。
需要说明的是,本实施例中与其它实施例中相同步骤和相同内容的说明,可以参照其它实施例中的描述,此处不再赘述。
本申请的实施例所提供的信息处理方法,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种信息处理方法,参照图4所示,该方法包括以下步骤:
步骤301、信息处理设备接收用于对待检测接口进行检测的处理请求。
其中,待检测接口可以是Web API。
在本申请实施例中,处理请求可以是用户通过终端发送处理请求至信息处理设备;处理请求中携带有待检测接口的标识;其中,用户可以是多个API对应的安全维护人员。
在一种可行的实现方式中,用户的终端上可以显示多个接口的标识,当终端接收到用户针对某个接口的触发操作时,可以基于触发操作生成处理请求,并发送处理请求至信息处理设备。
步骤302、信息处理设备基于处理请求中携带的特征类别,对待检测接口对应的数据进行特征提取得到特征信息。
其中,特征信息包括访问次序信息和/或目标字符信息;
特征类别可以包括访问次序和字符。
在本申请实施例中,可以基于特征类别,对待检测接口对应的数据进行特征提取,得到与特征类别对应的特征信息;特征类别是考虑到业务合理需要所产生的行为确定的特征类别。特征类别是访问次序时,提取得到的特征信息为访问次序信息;特征类别是字符时,提取得到的特征信息为目标字符信息。
当然,特征类别还包括包括访问量和字段;当特征类别为访问量时,提取得到的特征信息为访问量信息;当特征类别为字段时,提取得到的特征信息为目标字段的内容。
在本申请实施例中,访问次序信息可以是同一用户访问多个待检测接口的次序信息。目标字符信息包括目标参数名信息和目标参数值信息;其中,目标参数名信息包括目标参数名以及对目标参数名进行统计得到的第一统计信息;目标参数值信息包括目标参数值以及对目标参数值进行统计得到的第二统计信息;目标参数值为目标参数名对应的值。访问量信息涉及频次、流量和时间等多个维度统计指标;目标字段的内容包括头字段内容,具体可以是请求包中的请求头字段内容和响应包中的响应头字段内容。
步骤303、信息处理设备对处理请求中携带的特征异常判断条件进行组合得到异常分析模型。
其中,异常分析模型用于确定特征信息中异常特征信息对应的异常情况。处理请求中携带的特征异常判断条件可以是用户对多个特征异常判断条件进行选择得到的。
在一种可行的实现方式中,特征异常判断条件可以是访问次序大于预设的目标访问次序、目标字段的内容为空、目标字符信息中具有预设的敏感参数信息。
在本申请实施例中,可以基于特征异常判断条件对应的类别,对每一类的特征异常判断条件进行组合,得到每一类特征异常条件对应的异常分析模型。
在本申请实施例中,接收用于对待检测接口进行检测的处理请求;基于处理请求中携带的特征类别,对待检测接口对应的数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;对处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,异常分析模型用于确定特征信息中异常特征信息对应的异常情况;如此,可以基于处理请求中携带的特征类别和特征异常判断条件,有选择性地提取特征信息,以及有选择性地生成特征分析模型,提高了提取特征信息和生成异常特征分析模型的灵活性;而且,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种信息处理方法,参照图5所示,该方法包括以下步骤:
步骤401、信息处理设备接收用于对待检测接口进行检测的处理请求。
步骤402、信息处理设备基于处理请求中携带的特征类别,对待检测接口对应的数据进行特征提取得到特征信息。
其中,特征信息包括访问次序信息和/或目标字符信息。
步骤403、信息处理设备对处理请求中携带的特征异常判断条件进行组合得到异常分析模型。
其中,异常分析模型用于确定特征信息中异常特征信息对应的异常情况。
步骤404、信息处理设备基于处理请求中携带的目标异常情况之间的关联关系,生成不同检测场景对应的风险事件识别模型。
其中,风险事件识别模型用于基于异常情况确定待检测接口是否存在异常,以及待检测接口存在异常时发生的风险事件。
在本申请实施例中,可以基于目标异常情况之间的关联关系,从历史风险事件中确定每一关联关系对应的目标风险事件,并基于关联关系和目标风险事件生成风险事件识别模型。目标异常情况之间的关联关系具体可以是指多个异常情况之间的与、或、顺序发生关系。
在一种可行的实现方式中,目标异常情况之间的关联关系可以是根据目标异常情况之间发生的先后顺序确定的。
本申请的实施例所提供的信息处理方法,可以基于处理请求中携带的特征类别和特征异常判断条件,有选择性地提取特征信息,以及有选择性地生成异常特征分析模型和风险事件识别模型,提高了提取特征信息、生成异常特征特征分析模型和风险事件识别模型的灵活性;而且,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率
基于前述实施例,本申请的实施例提供一种第一信息处理装置,该第一信息处理装置可以应用于图1~2对应的实施例所提供的信息处理方法中,参照图6,该第一信息处理装置5可以包括:
获取单元51,用于获取待检测接口对应的数据,并对数据进行特征提取得到特征信息;特征信息包括访问次序信息和/或目标字符信息;
第一处理单元52,用于根据特征信息确定待检测接口是否存在异常。
在本申请实施例中,第一处理单元52还用于执行以下步骤:
确定特征信息中异常特征信息对应的异常情况;
基于不同检测场景对应的风险事件识别模型和异常情况,确定待检测接口是否存在异常;
在本申请实施例中,第一处理单元52还用于执行以下步骤:
在确定待检测接口存在异常的情况下,基于风险事件识别模型和异常情况,确定待检测接口发生的风险事件。
在本申请实施例中,第一处理单元52还用于执行以下步骤:
根据请求信息及响应信息,确定协议类别;
根据协议类别对请求信息及响应信息进行解析,得到待检测信息;
根据待检测信息执行特征提取得到特征信息的操作。
在本申请实施例中,第一处理单元52还用于执行以下步骤:
确定每类特征信息对应的特征分析模型;
采用特征分析模型对特征信息进行分析,得到异常情况。
在本申请实施例中,第一处理单元52还用于执行以下步骤:
对风险事件进行整理,得到风险事件对应的描述信息,描述信息包括主机标识、待检测接口、待检测接口的异常情况和风险事件中的至少一种;
获取风险事件对应的处置建议信息,并输出描述信息和处置建议信息。
需要说明的是,本申请实施例中各单元之间的交互过程,可以参照图1~2对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
本申请实施例所提供的第一信息处理装置,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种第二信息处理装置,该第二信息处理装置可以应用于图4~5对应的实施例所提供的信息处理方法中,参照图7,该第二信息处理装置6可以包括:
接收单元61,用于接收用于对待检测接口进行检测的处理请求;
第二处理单元62,用于基于处理请求中携带的特征类别,对待检测接口对应的数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;
第二处理单元62,还用于对处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,异常分析模型用于确定特征信息中异常特征信息对应的异常情况。
在本申请实施例中,第二处理单元62,还用于执行以下步骤:
基于处理请求中携带的目标异常情况之间的关联关系,生成不同检测场景对应的风险事件识别模型;其中,风险事件识别模型用于基于异常情况确定待检测接口是否存在异常,以及待检测接口存在异常时发生的风险事件。
需要说明的是,本申请实施例中各单元之间的交互过程,可以参照图4~5对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
本申请实施例提供的第二信息处理装置,可以基于处理请求中携带的特征类别和特征异常判断条件,有选择性地提取特征信息,以及有选择性地生成特征分析模型,提高了提取特征信息和生成异常特征分析模型的灵活性;而且,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种信息处理设备,该信息处理设备包括第一信息处理设备,第一信息处理设备可以应用于图1~2对应的实施例提供的信息处理方法中,参照图8所示,该设备可以包括第一处理器71、第一存储器72和第一通信总线73,其中:
第一通信总线73用于实现第一处理器71和第一存储器72之间的通信连接;
第一处理器71用于执行第一存储器72中存储的信息处理程序,以实现以下步骤:
获取待检测接口对应的数据,并对数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;
根据特征信息确定待检测接口是否存在异常。
在本申请的其他实施例中,第一处理器71用于执行第一存储器72中的信息处理程序的根据特征信息确定待检测接口是否存在异常,包括:
确定特征信息中异常特征信息对应的异常情况;
基于不同检测场景对应的风险事件识别模型和异常情况,确定待检测接口是否存在异常;
在本申请的其他实施例中,第一处理器71用于执行第一存储器72中的信息处理程序,以实现以下步骤:
在确定待检测接口存在异常的情况下,基于风险事件识别模型和异常情况,确定待检测接口发生的风险事件。
在本申请的其他实施例中,第一处理器71用于执行第一存储器72中的信息处理程序,以实现以下步骤:
根据请求信息及响应信息,确定协议类别;
根据协议类别对请求信息及响应信息进行解析,得到待检测信息;
根据待检测信息执行特征提取得到特征信息的操作。
在本申请的其他实施例中,第一处理器71用于执行第一存储器72中的信息处理程序的确定特征信息中异常特征信息对应的异常情况,以实现以下步骤:
确定每类特征信息对应的特征分析模型;
采用特征分析模型对特征信息进行分析,得到异常情况。
在本申请的其他实施例中,第一处理器71用于执行第一存储器72中的信息处理程序的对风险事件进行整理,得到风险事件对应的描述信息,描述信息包括主机标识、待检测接口、待检测接口的异常情况和风险事件中的至少一种;
获取风险事件对应的处置建议信息,并输出描述信息和处置建议信息。
需要说明的是,本实施例中第一处理器所执行的步骤的具体实现过程,可以参照图1~2对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
本申请的实施例所提供的第一信息处理设备,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种信息处理设备,该信息处理设备包括第二信息处理设备,第二信息处理设备应用于图4~5对应的实施例提供的信息处理方法中,参照图9所示,该第二信息处理设备8可以包括:第二处理器81、第二存储器82和第二通信总线83,其中:
第二通信总线83用于实现第二处理器81和第二存储器82之间的通信连接;
第二处理器81用于执行第二存储器82中的信息处理程序,以实现以下步骤:
接收用于对待检测接口进行检测的处理请求;
基于处理请求中携带的特征类别,对待检测接口对应的数据进行特征提取得到特征信息;其中,特征信息包括访问次序信息和/或目标字符信息;
对处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,异常分析模型用于确定特征信息中异常特征信息对应的异常情况。
在本申请的其他实施例中,第二处理器81用于执行第二存储器82中的信息处理程序,以实现以下步骤:
基于处理请求中携带的目标异常情况之间的关联关系,生成不同检测场景对应的风险事件识别模型;其中,风险事件识别模型用于基于异常情况确定待检测接口是否存在异常,以及待检测接口存在异常时发生的风险事件。
需要说明的是,本实施例中第二处理器所执行的步骤的具体实现过程,可以参照图4~5对应的实施例提供的信息处理方法中的实现过程,此处不再赘述。
本申请的实施例所提供的第二信息处理设备,可以基于处理请求中携带的特征类别和特征异常判断条件,有选择性地提取特征信息,以及有选择性地生成特征分析模型,提高了提取特征信息和生成异常特征分析模型的灵活性;而且,考虑了基于业务合理需要所产生的行为,对待检测接口对应的数据进行特征提取,得到访问次序信息和/或目标字符信息,并基于访问次序信息和/或目标字符信息来确定待检测接口是否存在异常,不需要基于用户访问待检测接口的访问次数来确定待检测接口是否异常,提高了确定待检测接口是否存在异常的准确率。
基于前述实施例,本申请的实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有一个或者多个程序,该一个或者多个程序可被一个或者多个处理器执行,以实现图1~2或图4~5对应的实施例提供的信息处理方法中的步骤。
基于前述实施例,本申请的实施例提供一种计算机程序,该计算机程序被处理器执行时实现上述图1~2或图4~5对应的实施例提供的信息处理方法的步骤。
需要说明的是,上述计算机可读存储介质可以是只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-Only Memory,PROM)、可擦除可编程只读存储器(Erasable Programmable Read-Only Memory,EPROM)、电可擦除可编程只读存储器
(Electrically Erasable Programmable Read-Only Memory,EEPROM)、磁性随机存取存储器(Ferromagnetic Random Access Memory,FRAM)、快闪存储器(Flash Memory)、磁表面存储器、光盘、或只读光盘(Compact Disc Read-Only Memory,CD-ROM)等存储器;也可以是包括上述存储器之一或任意组合的各种电子设备,如移动电话、计算机、平板设备、个人数字助理等。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。
上述本申请实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本申请各个实施例所描述的方法。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅为本申请的优选实施例,并非因此限制本申请的专利范围,凡是利用本申请说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本申请的专利保护范围内。

Claims (10)

1.一种信息处理方法,其特征在于,所述方法包括:
获取待检测接口对应的数据,并对所述数据进行特征提取得到特征信息;所述特征信息包括访问次序信息和/或目标字符信息;
根据所述特征信息确定所述待检测接口是否存在异常。
2.根据权利要求1所述的方法,其特征在于,所述根据所述特征信息确定所述待检测接口是否存在异常,包括:
确定所述特征信息中异常特征信息对应的异常情况;
基于不同检测场景对应的风险事件识别模型和所述异常情况,确定所述待检测接口是否存在异常;
相应的,所述方法还包括:
在确定所述待检测接口存在异常的情况下,基于所述风险事件识别模型和所述异常情况,确定所述待检测接口发生的风险事件。
3.根据权利要求1所述的方法,其特征在于,所述数据包括请求信息及响应信息;所述对所述数据进行特征提取得到特征信息之前,还包括:
根据所述请求信息及所述响应信息,确定协议类别;
根据所述协议类别对所述请求信息及所述响应信息进行解析,得到待检测信息;
根据待检测信息执行特征提取得到特征信息的操作。
4.根据权利要求2所述的方法,其特征在于,所述确定特征信息中异常特征信息对应的异常情况,包括:
确定每类特征信息对应的特征分析模型;
采用所述特征分析模型对所述特征信息进行分析,得到所述异常情况。
5.根据权利要求2所述的方法,其特征在于,该方法还包括:
对所述风险事件进行整理,得到所述风险事件对应的描述信息,所述描述信息包括主机标识、所述待检测接口、所述待检测接口的异常情况和所述风险事件中的至少一种;
获取所述风险事件对应的处置建议信息,并输出所述描述信息和所述处置建议信息。
6.一种信息处理方法,其特征在于,所述方法包括:
接收用于对待检测接口进行检测的处理请求;
基于所述处理请求中携带的特征类别,对所述待检测接口对应的数据进行特征提取得到特征信息;其中,所述特征信息包括访问次序信息和/或目标字符信息;
对所述处理请求中携带的特征异常判断条件进行组合得到异常分析模型;其中,所述异常分析模型用于确定所述特征信息中异常特征信息对应的异常情况。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
基于所述处理请求中携带的目标异常情况之间的关联关系,生成不同检测场景对应的风险事件识别模型;其中,所述风险事件识别模型用于基于所述异常情况确定所述待检测接口是否存在异常,以及待检测接口存在异常时发生的风险事件。
8.一种第一信息处理装置,其特征在于,所述第一信息处理装置包括:
获取单元,用于获取待检测接口对应的数据,并对所述数据进行特征提取得到特征信息;所述特征信息包括访问次序信息和/或目标字符信息;
第一处理单元,用于根据所述特征信息确定所述待检测接口是否存在异常。
9.一种信息处理设备,其特征在于,所述设备包括:处理器、存储器和通信总线;
所述通信总线用于实现所述处理器和所述存储器之间的通信连接;
所述处理器用于执行所述存储器中的信息处理程序,以实现如权利要求1~5或6~7中任一项所述的信息处理方法的步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现如权利要求1~5或6~7中任一项所述的信息处理方法的步骤。
CN202211231894.6A 2022-09-30 2022-09-30 一种信息处理方法、装置、设备及计算机可读存储介质 Pending CN115603995A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211231894.6A CN115603995A (zh) 2022-09-30 2022-09-30 一种信息处理方法、装置、设备及计算机可读存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211231894.6A CN115603995A (zh) 2022-09-30 2022-09-30 一种信息处理方法、装置、设备及计算机可读存储介质

Publications (1)

Publication Number Publication Date
CN115603995A true CN115603995A (zh) 2023-01-13

Family

ID=84847208

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211231894.6A Pending CN115603995A (zh) 2022-09-30 2022-09-30 一种信息处理方法、装置、设备及计算机可读存储介质

Country Status (1)

Country Link
CN (1) CN115603995A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834249A (zh) * 2023-02-13 2023-03-21 深圳市法本信息技术股份有限公司 接口监测方法、装置、终端设备以及存储介质

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115834249A (zh) * 2023-02-13 2023-03-21 深圳市法本信息技术股份有限公司 接口监测方法、装置、终端设备以及存储介质

Similar Documents

Publication Publication Date Title
CN107566358B (zh) 一种风险预警提示方法、装置、介质及设备
CN106961419B (zh) WebShell检测方法、装置及系统
CN108881263B (zh) 一种网络攻击结果检测方法及系统
CN111277587A (zh) 基于行为分析的恶意加密流量检测方法及系统
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
CN105009132A (zh) 基于置信因子的事件关联
CN112953971B (zh) 一种网络安全流量入侵检测方法和系统
CN108471429A (zh) 一种网络攻击告警方法及系统
CN108683687A (zh) 一种网络攻击识别方法及系统
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
CN103999091A (zh) 地理映射系统安全事件
CN108282440A (zh) 一种安全检测方法、安全检测装置及服务器
CN112153062B (zh) 基于多维度的可疑终端设备检测方法及系统
US20240022585A1 (en) Detecting and responding to malicious acts directed towards machine learning model
CN108833185A (zh) 一种网络攻击路线还原方法及系统
CN108243062A (zh) 用以在时间序列数据中探测机器启动的事件的系统
CN110460611B (zh) 基于机器学习的全流量攻击检测技术
KR101692982B1 (ko) 로그 분석 및 특징 자동 학습을 통한 위험 감지 및 접근제어 자동화 시스템
CN113704328B (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN115603995A (zh) 一种信息处理方法、装置、设备及计算机可读存储介质
CN112307464A (zh) 诈骗识别方法、装置及电子设备
CN112437034A (zh) 虚假终端检测方法和装置、存储介质及电子装置
CN113918938A (zh) 一种持续免疫安全系统的用户实体行为分析方法及系统
CN114584391B (zh) 异常流量处理策略的生成方法、装置、设备及存储介质
CN114124453B (zh) 网络安全信息的处理方法、装置、电子设备及储存介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination