(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211042960.5 (22)申请日 2022.08.29 (71)申请人 国网湖南省电力有限公司 地址 410004 湖南省长 沙市天心区新韶东 路398号 申请人 国网湖南省电力有限公司信息通信 分公司　 国家电网有限公司 (72)发明人 李自尊　刘锐　孙毅臻　高隽　 田峥　陈中伟　李树　蔡哲儒　 戴大维　陶凯　 (74)专利代理 机构 长沙永星专利商标事务所 (普通合伙) 43001 专利代理师 周咏　米中业(51)Int.Cl. H04L 9/40(2022.01) H04L 41/0273(2022.01) (54)发明名称 基于流量分析的企业API安全管控方法及系 统 (57)摘要 本发明公开了一种基于流量分析的企业API 安全管控方法， 包括对企业的API调用场景进行 业务流量的采集； 识别API接口， 形成资产清单并 实现API资产的自动化统一管理； 设置敏感信息 字典并对业务流量进行敏感信息匹配， 实现对泄 露企业敏感信息的数据访问进行实时阻断； 采用 孤立森林算法进行API异常调用行为检测； 对结 果实时展示实现企业API安全风险的实时监控与 展示。 本发 明还公开了一种实现所述基于流量分 析的企业API安全管控方法的系统。 本发明能够 自动识别API 资产、 信息泄露风险和API异常调用 告警， 并进行对应的处理和统一展示， 实现了API 安全风险的实时监控与展示， 而且可靠性高、 适 用性好且稳定安全。 权利要求书3页 说明书5页 附图2页 CN 115396218 A 2022.11.25 CN 115396218 A 1.一种基于流 量分析的企业API 安全管控方法， 包括如下步骤： S1.对企业的API调用场景进行业 务流量的采集； S2.根据步骤S1获取的业务流量， 识别API接 口， 形成资产清单， 从而实现API资产的自 动化统一管理； S3.设置敏感信息字典， 并对步骤S1获取的业务流量进行敏感信息匹配， 实现对泄露企 业敏感信息的数据访问进行实时阻断； S4.提取步骤S1获取的业务流量的特征， 并采用孤立森林算法进行API异常调用行为检 测； S5.对步骤S2～步骤S4的结果进行实时展示， 实现企业API安全风险的实时监控与展 示。 2.根据权利要求1所述的基于流量分析的企业API安全管控方法， 其特征在于步骤S1所 述的对企业的API调用场景进行业 务流量的采集， 具体包括如下步骤： 选定企业的API调用场景； 配置负载均衡反向代理， 每隔设定的周期对业 务流量进行采集。 3.根据权利要求2所述的基于流量分析的企业API安全管控方法， 其特征在于所述的 API调用场景， 具体包括 Web应用、 AP P、 微信公众号和微信小程序。 4.根据权利要求2所述的基于流量分析的企业API安全管控方法， 其特征在于步骤S2所 述的根据步骤S1获取的业务流量， 识别API接口， 形成资产清单， 从而实现API资产的自动化 统一管理， 具体包括如下步骤： 基于SOAP和REST  API协议规范， 设计API识别规则； 所述的API识别规则包括域名字段、 端口字段、 URL字段、 请求方法字段和返回数据类型字段； 将步骤S1 获取的业 务流量数据包， 采用API识别规则进行识别， 从而自动发现API资产； 将自动发现的API资产， 与企业已知的API资产、 历史线下API数据库进行对比， 从而得 到已知API资产清单、 未知API资产清单和历史API资产清单； 对已知API资产清单进行更新， 将未知API资产清单上的API资产加入企业已知的API资 产数据库， 将历史API资产 清单上的API资产进 行关闭下线处理， 从而实现API资产的自动化 统一管理。 5.根据权利要求4所述的基于流量分析的企业API安全管控方法， 其特征在于步骤S3所 述的设置敏感信息字典， 并对步骤S1获取的业务流量进行敏感信息匹配， 实现对泄露企业 敏感信息的数据访问进行实时阻断， 具体包括如下步骤： 设置敏感信息字典： 包括手机号、 身份证号、 银行卡号、 邮箱地址、 固定电话号码、 IP地 址和车牌 号， 共7种敏感信息类型； 设计敏感信息正则匹配规则： 手机号的正则表达式为(13\d|14[579]|15[^4\D]|17[^49\D]|18\d)\d{8}； 身份证号的正则表达式为\d{17}[0 ‑9Xx]|\d{15}； 银行卡号的正则表达式为^\d{14,19}$； 邮箱地址的正则表达式为\w[ ‑\w.+]*@([A ‑Za‑z0‑9][‑A‑Za‑z0‑9]+\.)+[A‑Za‑z]{2, 14}； 固定电话 号码的正则表达式为(\(\d{3,4} ‑)|\d{3.4} ‑)？ \d{7,8}；权　利　要　求　书 1/3 页 2 CN 115396218 A 2IP地址的正则表达式为\d{0,3}\.\d{0,3}\.\d{0,3}\.\d{0,3}； 车牌号的正则表达式为^[\u4e0 0‑\u9fa5]{1}[A ‑Z]{1}[A‑Z_0‑9]{5}$； 对步骤S1获取的业务流量进行正则表达式匹配， 实现对敏感信息的检测： 计算一次API 调用过程中检测得到的敏感数据的数量， 若敏感数据的数量大于或等于设定的阈值， 则判 定为敏感信息泄露事件， 触发敏感信息泄露告警， 返回RST报文对API调用过程进行实时阻 断； 若敏感数据的数量小于设定的阈值， 则认定为 正常。 6.根据权利要求5所述的基于流量分析的企业API安全管控方法， 其特征在于步骤S4所 述的提取步骤S1获取的业务流量的特征， 并采用孤立森林算法进 行API异常调用行为检测， 具体包括如下步骤： A.获取已知的业务流量， 并从报文特征和时序特征两个维度， 提取业务流量的关键特 征； B.对步骤A获取的关键特 征进行归一 化处理， 并将数据分为训练数据集和 测试数据集； C.训练单棵二叉树： 从训练数据集中选定设定数量的样本作为一棵孤立树的根节点， 然后从关键特征中随机指定一个特征， 并在该特征 的数据范围内随机产生一个切割点， 并 通过该切割点 生成一个超平面， 从而划分训练数据集； D.整合若干个二叉树的结果： 采用集成学习 思想， 若干次随机抽取样本和数据， 训练若 干棵二叉树， 并综合每棵二叉树的结果， 并计算异常 分数值； E.不断调整二叉树的数量和参数， 从而构建得到API异常调用行为检测初始模型； F.针对步骤E得到的API异常调用行为检测初始模型， 采用测试 数据集进行测试： 若测试成功， 则得到API异常调用行为检测模型； 若测试不成功， 则回到步骤C 并重新进行训练， 直至测试成功， 得到API异常调用行为检 测模型； G.采用步骤F得到的API异常调用行为检测模型， 对步骤S1获取的业务流量的特征进行 检测； 若检测到API异常调用行为， 则返回RST报文， 并对API调用过程进行实时阻断。 7.根据权利要求6所述的基于流量分析的企业API安全管控方法， 其特征在于步骤A所 述的关键特征， 具体包括URL长度、 参数部 分长度、 参数名长度、 参数值长度、 参数个数、 参数 长度占比、 特殊字符个数、 参数路径深度、 Referer字段与Host字段是否一致、 返回响应码、 调用接口时间、 调用接口时长和调用接口频率。 8.一种实现权利要求1～7之一所述的基于流量分析的企业API安全管控方法的系统， 其特征在于包括业务流量采集模块、 API资产管理模块、 敏感信息检测模块、 异常调用行为 检测模块和数据展示模块； 业务流量采集模块的输出端同时连接API资产管 理模块、 敏感信 息检测模块和异常调用行为检测模块的输入端； API资产管理模块、 敏感信息检测模块和异 常调用行为检测模块的输出端同时连接数据展示模块； 业务流量采集模块用于对企业的 API调用场景进行业务流量的采集， 并将采集的数据上传API资产管理模块、 敏感信息检测 模块和异常调用行为检测模块； API资产管 理模块用于识别API接口， 形成资产 清单， 从而实 现API资产的自动化统一管理， 并将数据上传数据展示模块； 敏感信息检测模块用于 设置敏 感信息字典， 对接 收的业务流量进行敏感信息匹配， 实现对泄露企业敏感信息的数据访问 进行实时阻断， 并将数据上传数据展示模块； 异常调用行为检测模块用于采用孤立森林算 法进行API异常调用行为检测， 并将数据上传数据展示模块； 数据展示模块用于根据接收到权　利　要　求　书 2/3 页 3 CN 115396218 A 3