(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211064899.4 (22)申请日 2022.09.01 (71)申请人 深信服科技股份有限公司 地址 518071 广东省深圳市南 山区学苑大 道1001号南山智园A1栋一层 (72)发明人 周艺华　杨学斌　刘余　骆鹏元　 (74)专利代理 机构 北京汇鑫君达知识产权代理 有限公司 1 1769 专利代理师 黄启法 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 API数据安全 管理方法、 装置、 设备及计算机 存储介质 (57)摘要 本申请涉及一种API数据安全管理方法、 装 置、 设备及计算机存储介质。 该系统包括： 将目标 流量数据进行镜像得到镜像流量数据， 对镜像流 量数据中的数据包进行解析， 对 各数据包进行分 析， 当确定存在问题数据包时， 对问题数据包的 原始数据包内容进行重组， 并对重组数据包进行 重放， 以检测问题数据包的API脆弱性是否修复。 本申请实施例无需用户手动构建重组数据包， 并 自动监测问题数据包是否已经修复好， 降低用户 技术水平的需求， 提升用户体验， 同时能较好的 保证数据安全性。 权利要求书2页 说明书13页 附图5页 CN 115412353 A 2022.11.29 CN 115412353 A 1.一种API数据安全管理方法， 其特 征在于， 所述方法包括： 将目标流量数据进行镜像得到镜像流量数据， 其中， 所述目标流量数据为通过API接口 传输的流 量数据； 对所述镜像流 量数据中的数据包进行解析， 得到所述数据包的原 始数据包内容； 对各所述数据包的所述原始数据包内容进行分析， 当确定所述镜像流量数据中存在问 题数据包时， 将所述问题数据包的原始数据内容保存， 其中， 所述问题数据包是指存在API 脆弱性的数据包； 对所述问题数据包的原始数据包内容进行重组， 并对重组数据包进行重放， 以检测所 述问题数据包的API 脆弱性是否修复。 2.根据权利要求1所述的API数据安全管理方法， 其特征在于， 所述将目标流量数据进 行镜像得到 镜像流量数据， 包括： 将全部目标流 量数据进行镜像得到 镜像流量数据； 或 将通过预设端口传输的目标流 量数据进行镜像得到 镜像流量数据。 3.根据权利要求1所述的API数据安全管理方法， 其特征在于， 所述数据包的原始数据 包内容包括所述数据包的源IP、 目的IP、 源端口、 目的端口、 请求头部、 请求BODY、 响应数据 包内容、 标识字段； 所述对各所述数据包的所述原始数据包内容进行分析， 当确定所述镜像流量数据中存 在问题数据包时， 将所述问题数据包的原 始数据内容保存， 包括： 将各所述数据包中的标识字段与 标准标识字段进行比较， 当确定任一数据包中的标识 字段相较于所述标准标识字段存在缺失时， 确定所述数据包为问题数据包； 根据所述问题数据包的标识字段相较于所述标准标识字段所缺失的标识字段， 确定所 述问题数据包的API脆弱性类型， 将所述 问题数据包的IP、 目的IP、 源端口、 目的端口、 请求 头部、 请求BODY、 响应数据包内容、 标识字段以及所述API 脆弱性类型保存。 4.根据权利要求3所述的API数据安全管理方法， 其特征在于， 所述对所述问题数据包 的原始数据包内容进行重组， 包括： 获取重放IP， 将所述重放IP与所述问题数据包的目的IP、 源端口、 目的端口、 请求头部、 请求BODY、 标识字段进行重组， 得到重组中间数据包， 并将所述重组中间数据包与目标IP返 回的相应数据包内容结合， 生 成重组数据包， 其中， 所述重放IP是指用于对重组数据包进 行 重放的设备的IP。 5.根据权利要求4所述的API数据安全管理方法， 其特征在于， 所述对重组数据包进行 重放， 包括： 将所述重组中间数据包从所述重放IP发送至目的IP， 并接收所述目标IP返回的响应数 据包内容， 将所述重组中间数据包与所述 目标IP返回的响应数据包内容结合， 生成重组数 据包； 对所述重组数据包进行解析， 得到所述重组数据包的原始数据包内容， 基于所述重组 数据包的原 始数据包内容判断所述重组数据包是否存在API 脆弱性问题。 6.根据权利要求4所述的API数据安全管理方法， 其特征在于， 所述检测所述问题数据 包的API脆弱性问题是否修复， 包括： 将所述重组数据包进行解析， 获取 所述重组数据包中的标识字段；权　利　要　求　书 1/2 页 2 CN 115412353 A 2将所述重组数据包中的标识字段与标准标识字段进行对比， 当所述重组数据包中的标 识字段相较于所述标准标识字段不存在缺失时， 表示所述问题数据包的API脆弱性问题已 经修复。 7.根据权利要求3所述的API数据安全管理方法， 其特征在于， 所述确定所述问题数据 包的API脆弱性类型之后， 还 包括： 基于所述问题数据包的API脆弱性类型发出警告信息， 所述警告信息包括问题数据包 的身份信息、 所述问题数据包 存在的API 脆弱性类型信息； 所述检测所述问题数据包的API 脆弱性是否修复之后， 包括： 基于检测结果， 发出数据包复查结果信息， 其中， 所述复查结果信息包括API脆弱性已 解决信息或API 脆弱性问题未解决信息 。 8.一种API数据安全管理装置， 其特 征在于， 所述装置包括： 数据镜像模块， 用于将目标流量数据进行镜像得到镜像流量数据， 其中， 所述目标流量 数据为通过API接口传输的流 量数据； 数据包解析模块， 用于对所述镜像流量数据中的数据包进行解析， 得到所述数据包的 原始数据包内容； 数据包分析模块， 用于对各所述数据包的所述原始数据包内容进行分析， 当确定所述 镜像流量数据中存在问题数据包时， 将所述问题数据包的原始数据内容保存， 其中， 所述问 题数据包是指存在API 脆弱性的数据包； 数据包重放模块， 用于对所述问题数据包的原始数据包内容进行重组， 并对重组数据 包进行重放， 以检测所述问题数据包的API 脆弱性是否修复。 9.一种电子设备， 其特 征在于， 包括： 处理器； 以及 存储器， 其上存储有可执行代码， 当所述可执行代码被所述处理器执行时， 使所述处理 器执行如权利要求1至7 所述的方法。 10.一种计算机可读存储介质， 其上存储有可执行代码， 当所述可执行代码被电子设备 的处理器执行时， 使所述处 理器执行如权利要求1至7 所述的方法。权　利　要　求　书 2/2 页 3 CN 115412353 A 3