本申請涉及網絡安全，尤其涉及一種網絡安全分析方法、裝置及電子設備。

背景技術：

1、隨著數字化業務轉型的成功，應用程序編程接口(application?programminginterface，api)已成為連接各種數字化業務應用的紐帶，推動了數據和信息在應用程序、容器和微服務之間的交換。

2、然而，api的普及也帶來了潛在的安全威脅。傳統的網絡安全分析技術主要依賴于預定義的規則和閾值來檢測異常行為。例如，限制特定用戶訪問某些api的頻率或參數范圍。然而，這種方法存在明顯的局限性，包括安全監測靈活性差、難以應對新型攻擊，以及較高的誤報率。

3、如何提高api安全威脅檢測效率、降低誤報率成為一種值得商榷的問題。

技術實現思路

1、本申請實施例提供一種網絡安全分析方法、裝置及電子設備，用于提高api安全威脅檢測效率、降低誤報率。

2、第一方面，本申請實施例提供一種網絡安全分析方法，該方法包括：

3、獲取包含訪問請求的待檢測網絡流量數據，從待檢測網絡流量數據提取用戶行為特征，用戶行為特征用于表示用戶訪問應用程序編程接口api時的交互信息；

4、將用戶行為特征中用戶與目標api的對應關系與訪問權限映射集合進行匹配，確定用戶是否具有權限訪問目標api，訪問權限映射集合包括用戶與可訪問api的映射關系；

5、若用戶具有權限訪問目標api，將用戶行為特征轉換為特征向量；

6、將特征向量輸入至異常檢測模型中，輸出表示訪問是否異常的檢測結果，異常檢測模型是采用無監督學習算法分析歷史網絡流量數據中的用戶行為特征得到的。

7、可選的，訪問權限映射集合采用以下方式得到：

8、獲取歷史網絡流量數據，并對歷史網絡流量數據進行標準化處理；

9、從標準化處理后的歷史網絡流量數據中提取歷史用戶行為特征集合；

10、根據用戶標識與api標識，對標準化處理后的歷史網絡流量數據進行分組；

11、對分組后的用戶行為特征進行統計，得到每個用戶對不同api的訪問次數；

12、基于用戶標識、api標識以及每個用戶對不同api的訪問次數，構建映射關系，得到訪問映射集合。

13、可選的，將用戶行為特征中用戶與目標api的對應關系與訪問權限映射集合進行匹配，確定用戶是否具有權限訪問目標api，具體包括：

14、從訪問權限映射集合中確定用戶訪問目標api的歷史訪問次數；

15、將歷史訪問次數與預設的訪問閾值做比較，訪問閾值用于表示用戶訪問目標api的最大限制次數；

16、若歷史訪問次數小于訪問閾值，確定用戶具有權限訪問目標api；

17、若歷史訪問次數大于等于訪問閾值，確定用戶不具有權限訪問目標api。

18、可選的，上述異常檢測模型是采用無監督學習算法分析歷史網絡流量數據中的用戶行為特征得到的，具體包括：

19、獲取歷史網絡流量數據，并對歷史網絡流量數據進行標準化處理；

20、從經過標準化處理的歷史網絡流量數據中提取歷史用戶行為特征集合；

21、將每個歷史用戶行為特征轉換為特征向量，得到歷史特征向量集合；

22、基于所述歷史特征向量集合，采用孤立森林算法訓練待訓練的異常檢測模型，直至訓練完成，得到所述異常檢測模型。

23、可選的，用戶行為特征至少包括用戶標識、請求時間、目標api標識、請求參數、響應時間、返回狀態碼、用戶的地理位置信息中一項或多項。

24、可選的，若用戶不具有權限訪問目標api，存儲異常請求到權限異常日志中。

25、可選的，若檢測結果表示訪問異常，存儲異常請求到參數異常日志中。

26、第二方面，本申請實施例提供一種網絡安全分析裝置，上述裝置包括：

27、通信模塊，用于獲取包含訪問請求的待檢測網絡流量數據；

28、處理模塊，用于從待檢測網絡流量數據提取用戶行為特征，用戶行為特征用于表示用戶訪問應用程序編程接口api時的交互信息；

29、處理模塊，還用于將用戶行為特征中用戶與目標api的對應關系與訪問權限映射集合進行匹配，確定用戶是否具有權限訪問目標api，訪問權限映射集合包括用戶與可訪問api的映射關系；

30、處理模塊，還用于若用戶具有權限訪問目標api，將用戶行為特征轉換為特征向量；

31、處理模塊，還用于將特征向量輸入至異常檢測模型中，輸出表示訪問是否異常的檢測結果，異常檢測模型是采用無監督學習算法分析歷史網絡流量數據中的用戶行為特征得到的。

32、第三方面，本申請實施例提供一種電子設備，包括存儲器，處理器及存儲在存儲器上并可在處理器運行的計算機程序，當計算機程序被處理器執行時，使得處理器實現上述第一方面中的任一項網絡安全分析方法。

33、第四方面，本申請實施例還提供了一種計算機可讀存儲介質，計算機可讀存儲介質內存儲有計算機程序，計算機程序被處理器執行時，實現第一方面中的任一項的網絡安全分析方法。

34、第五方面，本申請實施例還提供了一種計算機程序產品，包括計算機程序，計算機程序被處理器執行以實現如上述第一方面中的任一項的網絡安全分析方法。

35、第二方面至第五方面中任意一種實現方式所帶來的技術效果可參見第一方面中對應的實現方式所帶來的技術效果，此處不再贅述。

技術特征：

1.一種網絡安全分析方法，其特征在于，所述方法包括：

2.根據權利要求1所述的方法，其特征在于，所述訪問權限映射集合采用以下方式得到：

3.根據權利要求1所述的方法，其特征在于，所述將所述用戶行為特征中用戶與目標api的對應關系與訪問權限映射集合進行匹配，確定所述用戶是否具有權限訪問所述目標api，具體包括：

4.根據權利要求1所述的方法，其特征在于，所述異常檢測模型是采用無監督學習算法分析歷史網絡流量數據中的用戶行為特征得到的，具體包括：

5.根據權利要求1所述的方法，其特征在于，所述用戶行為特征至少包括用戶標識、請求時間、目標api標識、請求參數、響應時間、返回狀態碼、用戶的地理位置信息中一項或多項。

6.根據權利要求1所述的方法，其特征在于，所述方法還包括：

7.根據權利要求1所述的方法，其特征在于，所述方法還包括：

8.一種網絡安全分析裝置，其特征在于，所述裝置包括：

9.一種電子設備，包括存儲器，處理器及存儲在存儲器上并可在處理器運行的計算機程序，其特征在于，所述處理器執行所述計算機程序時實現如權利要求1-7中任一項所述的方法。

10.一種計算機可讀存儲介質，其特征在于，所述計算機可讀存儲介質存儲有計算機程序，所述計算機程序用于使所述計算機執行權利要求1-7中任一項所述的方法。

11.一種計算機程序產品，其特征在于，所述計算機程序產品在被計算機調用時，使得所述計算機執行如權利要求1-7中任一項所述的方法。

技術總結
本申請涉及網絡安全技術領域，尤其涉及一種網絡安全分析方法、裝置及電子設備。該方法獲取包含訪問請求的待檢測網絡流量數據，從待檢測網絡流量數據提取用戶行為特征。其中，用戶行為特征用于表示用戶訪問應用程序編程接口API時的交互信息。將用戶行為特征中用戶與目標API的對應關系與訪問權限映射集合進行匹配，確定用戶是否具有權限訪問目標API。若用戶具有權限訪問目標API，將用戶行為特征轉換為特征向量。將特征向量輸入至異常檢測模型中，輸出表示訪問是否異常的檢測結果。上述方案，可以實現提高API安全威脅檢測效率、降低誤報率。

技術研發人員：牛晨巖,程波,胡啟明,張寧,劉新宇
受保護的技術使用者：綠盟科技集團股份有限公司
技術研發日：
技術公布日：2025/4/24