本公開涉及計(jì)算機(jī)，尤其涉及一種接口流量安全檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品。

背景技術(shù)：

1、隨著信息技術(shù)的發(fā)展，網(wǎng)絡(luò)安全越來越重要。有人通過自動(dòng)化工具對(duì)用戶網(wǎng)絡(luò)、程序進(jìn)行攻擊和欺騙，對(duì)用戶造成損失。

2、目前，利用自動(dòng)化腳本進(jìn)行攻擊的行為越來越隱蔽，現(xiàn)有的安全防護(hù)產(chǎn)品難以對(duì)自動(dòng)化腳本攻擊行為進(jìn)行識(shí)別，僅能依靠人工實(shí)現(xiàn)，這對(duì)用戶造成了極大的工作量和困難。

技術(shù)實(shí)現(xiàn)思路

1、有鑒于此，本公開的目的在于提出一種接口流量安全檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品。

2、基于上述目的，本公開第一方面提供了一種接口流量安全檢測方法，包括：

3、獲取目的地址屬于同一域名的多個(gè)第一流量數(shù)據(jù)；

4、獲取所述多個(gè)第一流量數(shù)據(jù)中的接口訪問行為序列集合，所述接口訪問行為序列集合包括至少兩個(gè)接口訪問行為序列，所述接口訪問行為序列包括從所述多個(gè)第一流量數(shù)據(jù)中獲取的至少兩個(gè)接口訪問請求；

5、對(duì)所述接口訪問行為序列集合中的接口訪問行為序列進(jìn)行去重和聚合處理，得到目標(biāo)接口訪問行為序列；

6、基于所述目標(biāo)接口訪問行為序列對(duì)第二流量數(shù)據(jù)進(jìn)行安全檢測。

7、在一些實(shí)施例中，所述獲取所述多個(gè)第一流量數(shù)據(jù)中的接口訪問行為序列集合，包括：

8、從與所述多個(gè)第一流量數(shù)據(jù)對(duì)應(yīng)的訪問日志中獲取所述接口訪問行為序列集合。

9、在一些實(shí)施例中，所述獲取所述多個(gè)第一流量數(shù)據(jù)中的接口訪問行為序列集合，包括：

10、基于用戶訪問信息，獲取與所述用戶訪問信息對(duì)應(yīng)的第一接口訪問行為序列，所述用戶訪問信息包括互聯(lián)網(wǎng)協(xié)議地址、用戶代理中的至少一個(gè)；

11、對(duì)所述第一接口訪問行為序列進(jìn)行處理，獲得屬于不同會(huì)話的第二接口訪問行為序列；

12、對(duì)所述第二接口訪問行為序列進(jìn)行劃分，得到第三接口訪問行為序列；

13、基于所述第三接口訪問行為序列以及所述用戶訪問信息、會(huì)話的會(huì)話標(biāo)識(shí)確定所述接口訪問行為序列集合，所述接口訪問行為序列集合中的所述接口訪問行為序列包括所述第三接口訪問行為序列、所述用戶訪問信息以及所述會(huì)話標(biāo)識(shí)。

14、在一些實(shí)施例中，所述對(duì)所述接口訪問行為序列集合中的接口訪問行為序列進(jìn)行去重處理，包括：

15、刪除所述接口訪問行為序列集合中所述第三接口訪問行為序列、所述用戶訪問信息以及所述會(huì)話標(biāo)識(shí)相同的所述接口訪問行為序列；

16、刪除所述接口訪問行為序列集合中所述第三接口訪問行為序列相同或者相似度大于第一預(yù)設(shè)閾值的所述接口訪問行為序列。

17、在一些實(shí)施例中，所述對(duì)所述接口訪問行為序列集合中的接口訪問行為序列進(jìn)行聚合處理，得到目標(biāo)接口訪問行為序列，包括：

18、基于序列特征對(duì)所述第三接口訪問行為序列進(jìn)行聚類處理，生成多個(gè)簇；

19、獲取簇內(nèi)元素?cái)?shù)量最多的預(yù)設(shè)數(shù)量個(gè)簇，獲取簇中心對(duì)應(yīng)的第四接口訪問行為序列；

20、基于所述第四接口訪問行為序列確定所述目標(biāo)接口訪問行為序列。

21、在一些實(shí)施例中，所述基于所述目標(biāo)接口訪問行為序列對(duì)第二流量數(shù)據(jù)進(jìn)行安全檢測，包括：

22、獲取所述目標(biāo)接口訪問行為序列的節(jié)點(diǎn)分支數(shù)、所對(duì)應(yīng)的用戶訪問信息以及所屬會(huì)話中的至少一個(gè)；

23、基于所述目標(biāo)接口訪問行為序列的節(jié)點(diǎn)分支數(shù)、所對(duì)應(yīng)的用戶訪問信息以及所屬會(huì)話中的至少一個(gè)，計(jì)算置信度；

24、響應(yīng)于所述置信度大于第二預(yù)設(shè)閾值，則基于所述目標(biāo)接口訪問行為序列對(duì)接口訪問行為請求進(jìn)行安全檢測。

25、在一些實(shí)施例中，所述基于所述目標(biāo)接口訪問行為序列的節(jié)點(diǎn)分支數(shù)、所對(duì)應(yīng)的用戶訪問信息以及所屬會(huì)話中的至少一個(gè)，計(jì)算置信度，包括以下至少之一：

26、若所述目標(biāo)接口訪問行為序列的節(jié)點(diǎn)分支數(shù)減少，則增加所述置信度的值；

27、若所述目標(biāo)接口訪問行為序列所對(duì)應(yīng)的用戶訪問信息增多，則增加所述置信度的值；

28、若大于第一預(yù)設(shè)比例的所述目標(biāo)接口訪問行為序列所對(duì)應(yīng)的互聯(lián)網(wǎng)協(xié)議地址的數(shù)量或比例小于預(yù)設(shè)值，則增加所述置信度的值；

29、若所述目標(biāo)接口訪問行為序列所屬會(huì)話的數(shù)量增加，則增加所述置信度的值。

30、在一些實(shí)施例中，所述的方法，還包括：

31、響應(yīng)于所述目標(biāo)接口訪問行為序列滿足預(yù)設(shè)條件，則修改所述目標(biāo)接口訪問行為序列的標(biāo)識(shí)狀態(tài)，并更新所述置信度；

32、所述預(yù)設(shè)條件包括以下至少之一：

33、在預(yù)設(shè)時(shí)長的多個(gè)周期內(nèi)，均獲取同一所述目標(biāo)接口訪問行為序列；

34、基于所述目標(biāo)接口訪問行為序列對(duì)第二流量數(shù)據(jù)進(jìn)行安全檢測的檢測結(jié)果變化的差分在第三預(yù)設(shè)閾值內(nèi)。

35、在一些實(shí)施例中，所述基于所述目標(biāo)接口訪問行為序列對(duì)第二流量數(shù)據(jù)進(jìn)行安全檢測，包括：

36、基于所述目標(biāo)接口訪問行為序列設(shè)置防護(hù)策略，基于所述防護(hù)策略對(duì)所述第二流量數(shù)據(jù)進(jìn)行安全檢測；

37、所述防護(hù)策略包括：

38、響應(yīng)于所述第二流量數(shù)據(jù)中包括所述目標(biāo)接口訪問行為序列，確定防護(hù)狀態(tài)為通過或檢出。

39、在一些實(shí)施例中，所述第二流量數(shù)據(jù)中包括所述目標(biāo)接口訪問行為序列，確定防護(hù)狀態(tài)，包括以下至少之一：

40、所述第二流量數(shù)據(jù)中存在與所述目標(biāo)接口訪問行為序列一致的接口訪問請求的序列且每個(gè)接口訪問請求的間隔時(shí)間小于或等于第三預(yù)設(shè)閾值，確定所述防護(hù)狀態(tài)為通過；

41、所述第二流量數(shù)據(jù)中存在與所述目標(biāo)接口訪問行為序列一致的接口訪問請求的序列，部分接口訪問請求的間隔時(shí)間小于或等于第三預(yù)設(shè)閾值且部分接口訪問請求的間隔時(shí)間大于第三預(yù)設(shè)閾值，確定所述防護(hù)狀態(tài)為檢出；

42、所述第二流量數(shù)據(jù)中存在與所述目標(biāo)接口訪問行為序列的相似度大于第四預(yù)設(shè)閾值的接口訪問請求的序列，確定所述防護(hù)狀態(tài)為檢出。

43、在一些實(shí)施例中，所述基于所述防護(hù)策略對(duì)所述第二流量數(shù)據(jù)進(jìn)行安全檢測，包括：

44、響應(yīng)于在預(yù)設(shè)時(shí)段內(nèi)，防護(hù)狀態(tài)為通過的通過次數(shù)、防護(hù)狀態(tài)為檢出的檢出次數(shù)、防護(hù)狀態(tài)為通過的通過率、防護(hù)狀態(tài)為檢出的檢出率中的至少一個(gè)大于第三預(yù)設(shè)閾值，對(duì)所述第二流量數(shù)據(jù)中對(duì)應(yīng)的接口訪問請求進(jìn)行標(biāo)記或攔截。

45、本公開第二方面提供了一種接口流量安全檢測裝置，包括：

46、第一獲取模塊，被配置為：獲取目的地址屬于同一域名的多個(gè)第一流量數(shù)據(jù)；

47、第二獲取模塊，被配置為：獲取所述多個(gè)第一流量數(shù)據(jù)中的接口訪問行為序列集合，所述接口訪問行為序列集合包括至少兩個(gè)接口訪問行為序列，所述接口訪問行為序列包括從所述多個(gè)第一流量數(shù)據(jù)中獲取的至少兩個(gè)接口訪問請求；

48、聚合模塊，被配置為：對(duì)所述接口訪問行為序列集合中的接口訪問行為序列進(jìn)行去重和聚合處理，得到目標(biāo)接口訪問行為序列；

49、檢測模塊，被配置為：基于所述目標(biāo)接口訪問行為序列對(duì)第二流量數(shù)據(jù)進(jìn)行安全檢測。

50、本公開的第三方面提供一種電子設(shè)備，包括存儲(chǔ)器、處理器及存儲(chǔ)在存儲(chǔ)器上并可在處理器上運(yùn)行的計(jì)算機(jī)程序，所述處理器執(zhí)行所述程序時(shí)實(shí)現(xiàn)如第一方面所述的方法。

51、本公開的第四方面提供一種非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)存儲(chǔ)計(jì)算機(jī)指令，所述計(jì)算機(jī)指令用于使所述計(jì)算機(jī)執(zhí)行第一方面所述的方法。

52、本公開的第五方面提供了一種計(jì)算機(jī)程序產(chǎn)品，包括計(jì)算機(jī)程序指令，當(dāng)所述計(jì)算機(jī)程序指令在計(jì)算機(jī)上運(yùn)行時(shí)，使得計(jì)算機(jī)執(zhí)行如第一方面所述的方法。

53、從上面所述可以看出，本公開提供的接口流量安全檢測方法、裝置、設(shè)備、介質(zhì)及程序產(chǎn)品，獲取同一域名下的流量數(shù)據(jù)，并獲取流量數(shù)據(jù)中的接口訪問行為序列集合，通過對(duì)接口訪問行為序列集合中的接口訪問行為序列進(jìn)行去重和聚合處理得到自動(dòng)化攻擊導(dǎo)致的目標(biāo)接口訪問行為序列，再利用目標(biāo)接口訪問行為序列對(duì)接口訪問請求進(jìn)行安全檢測，從而判斷出接口訪問請求中的自動(dòng)化攻擊行為，以便于進(jìn)一步為用戶選取或推送安全防護(hù)策略，阻斷自動(dòng)化攻擊行為，保護(hù)應(yīng)用、網(wǎng)站等系統(tǒng)的安全。