(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211110045.5 (22)申请日 2022.09.13 (71)申请人 国网智能电网研究院有限公司 地址 102209 北京市昌平区未来科技城 滨 河大道18号 申请人 国网江苏省电力有限公司 　 国网江苏省电力有限公司信息通信 分公司　 国家电网有限公司 (72)发明人 陈牧　陈璐　戴造建　李勇　 李尼格　卢子昂　方文高　 (74)专利代理 机构 北京三聚阳光知识产权代理 有限公司 1 1250 专利代理师 李博洋(51)Int.Cl. H04L 9/40(2022.01) G06N 3/08(2006.01) G06N 3/04(2006.01) (54)发明名称 API安全监测模型训练方法、 监测方法、 装置 及设备 (57)摘要 本发明公开了一种API安全监测模 型训练方 法、 监测方法、 装置及设备， 属于计算机网络空间 安全技术领域， 其中， 所述API安全监测模型训练 方法包括： 将训练数据输入至待训练的API安全 监测神经网络模型， 所述训练数据为API调用相 关的数据； 所述训练数据包括基本属性特征数 据、 调用行为特征数据、 参数统计特征数据与参 数文本特征数据； 获取所述待训练的API安全监 测神经网络模型基于输入的所述训练数据输出 的第一预测结果； 基于所述第一预测结果和所述 训练数据对应的标签， 对所述待训练的API安全 监测神经网络模 型的参数进行迭代更新。 本发明 提供的技术方案， 能够提高复杂场景下API调用 安全监测的准确性。 权利要求书2页 说明书13页 附图4页 CN 115499187 A 2022.12.20 CN 115499187 A 1.一种API 安全监测模型训练方法， 其特 征在于， 所述方法包括： 将训练数据输入至待训练的API安全监测神经网络模型， 所述训练数据为API调用相关 的数据； 所述训练数据包括基本属性特征数据、 调用行为特征数据、 参数 统计特征数据与参 数文本特 征数据； 获取所述待训练的API安全监测神经网络模型基于输入的所述训练数据输出的第一预 测结果； 基于所述第一预测结果和所述训练数据对应的标签， 对所述待训练的API安全监测神 经网络模型的参数进行迭代更新， 得到训练好的所述API 安全监测 神经网络模型。 2.根据权利要求1所述的方法， 其特征在于， 所述基本属性特征数据记录了调用API的 终端的信息以及发起调用时的连接信息； 所述调用行为特 征数据描述了终端调用API时的行为特点； 所述参数统计特征数据 是对API调用发生过程中的数据信 息进行精确的量化分析得到 的数据； 所述参数文本特征数据 是对API调用时的文本参数以及服务端返回的文本内容进行分 析得到的数据。 3.根据权利要求1或2所述的方法， 其特征在于， 所述基本属性特征数据包括以下至少 之一基本属性的特征数据： API调用终端的IP地址、 API调用终端请求 发起的原始页面地址、 API调用时的代表用户行为的程序的用户代理、 API调用终端的媒体存 取控制位址、 API连续 调用过程中终端与API 服务端连接时的储 存在用户本地终端上的数据； 和/或， 所述调用行为特 征数据包括以下至少之一： 平均调用间隔、 平均调用持续时间； 和/或， 所述参数统计特征数据包括以下至少之一： 单次API调用时服务端返回的数据 大小、 单 次API调用时服务端返回的数据类型的数量、 单次API调用时每秒终端上传的数据量大小、 单次API调用时每秒终端下 载的数据量大小； 和/或， 所述参数文本特征数据包括以下至少之一： 一次API调用时的参数与上次调用时的参 数的相似程度， 单次API调用的参数文本的长度， 单次API调用时服务端返回的文本型内容 中敏感信息的数量， 单次API调用时参数的词频 ‑逆文本频率指数。 4.根据权利要求1所述的方法， 其特征在于， 所述将训练数据输入至待训练的API安全 监测神经网络模型之前， 还 包括： 获取原始训练数据； 针对所述原始训练数据中的数值型数据进行以下至少之一操作， 将得到的数据作为所 述训练数据： 合并收集数据， 删除重复数据， 补 充缺失值， 丢弃异常或错误的值， 转换为批格 式。 5.根据权利要求1所述的方法， 其特征在于， 所述将训练数据输入至待训练的API安全 监测神经网络模型之前， 还 包括： 获取原始训练数据； 针对所述原始训练数据中的文本型数据进行以下至少之一操作， 将得到的数据作为所 述训练数据： 合并收集数据， 删除重复数据， 对字符数小于预设值的文本填补预设字符， 对字符数大 于预设值的文本进行截断， 使用词嵌入技 术对文本进行向量 化表示， 转换为批格式。权　利　要　求　书 1/2 页 2 CN 115499187 A 26.根据权利要求1所述的方法， 其特征在于， 所述将训练数据输入至待训练的API安全 监测神经网络模型之前， 还 包括： 构建所述待训练的API安全监测神经网络模型， 所述API安全监测神经网络模型为CNN ‑ LSTM模型； 所述CNN ‑LSTM模型的架构包括： 输入层、 卷积层、 最大池化层、 长短期记忆层和输 出层； 其中， 所述卷积层用于通过局部感知和/或权值 参数共享， 提高不同的特 征数据之间关联性； 所述长短期记忆层， 用于对特征数据中的时序信息的以及语义信息进行表达， 所述长 短期记忆层包括遗 忘门、 输入门、 候选门和输出门。 7.一种API 安全监测方法， 其特 征在于， 所述方法包括： 将待检测数据输入至API安全监测神经网络模型， 所述待检测数据为API调用相关的数 据； 所述待检测数据包括基本属性特征数据， 调用行为特征数据， 参数统计特征数据与参数 文本特征数据； 获取所述API安全监测神经网络模型基于输入的所述待检测数据输出的第二预测结 果； 基于所述第二预测结果确定所述待检测数据对应的API调用是否是异常调用。 8.一种API 安全监测模型训练装置， 其特 征在于， 包括： 第一输入模块， 用于将训练数据输入至待训练的API安全监测神经网络模型， 所述训练 数据为API调用相关的数据； 所述训练数据包括基本属性特征数据、 调用行为特征数据、 参 数统计特 征数据与参数文本特 征数据； 第一获取模块， 用于获取所述待训练的API安全监测神经网络模型基于输入的所述训 练数据输出的第一预测结果； 调参模块， 用于基于所述第一预测结果和所述训练数据对应的标签， 对所述待训练的 API安全监测神经网络模 型的参数进行迭代更新， 得到训练好的所述API安全监测神经网络 模型。 9.一种API 安全监测装置， 其特 征在于， 包括： 第二输入模块， 用于将待检测数据输入至API安全监测神经网络模型， 所述待检测数据 为API调用相关的数据； 所述待检测数据包括基本属性特征数据， 调用行为特征数据， 参数 统计特征数据与参数文本特 征数据； 第二获取模块， 用于获取所述API安全监测神经网络模型基于输入的所述待检测数据 输出的第二预测结果； 确定模块， 用于基于所述第二预测结果确定所述待检测数据对应的API调用是否是异 常调用。 10.一种电子设备， 其特 征在于， 包括： 存储器和 处理器， 所述存储器和所述处理器之间互相通信连接， 所述存储器用于存储 计算机程序， 所述计算机程序被所述处理器执行时， 实现权利要求 1至6中任一项 所述的API 安全监测模型训练方法或者实现权利要求7 所述的API 安全监测方法。 11.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质用于存储计算机 程序， 所述计算机程序被处理器执行时， 实现权利要求 1至6中任一项 所述的API安全监测模 型训练方法或者实现权利要求7 所述的API 安全监测方法。权　利　要　求　书 2/2 页 3 CN 115499187 A 3