本公開提供了一種安全防護(hù)方法、裝置及計(jì)算機(jī)可讀存儲介質(zhì)，涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，所述方法包括：監(jiān)測第一API接口的調(diào)用過程中調(diào)用的多個(gè)函數(shù)組成的函數(shù)調(diào)用鏈，在函數(shù)調(diào)用鏈中，多個(gè)函數(shù)按照調(diào)用的先后順序依次排列；將函數(shù)調(diào)用鏈輸入機(jī)器學(xué)習(xí)模型以確定第一API的調(diào)用請求是否正常。

技術(shù)領(lǐng)域

本公開涉及網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，尤其是一種安全防護(hù)方法、裝置及計(jì)算機(jī)可讀存儲介質(zhì)。

背景技術(shù)

目前，在提供應(yīng)用程序編程接口(API)調(diào)用服務(wù)的情況下，為了避免通過API調(diào)用的方式惡意攻擊API而影響到網(wǎng)絡(luò)業(yè)務(wù)，API提供方需要針對API進(jìn)行安全防護(hù)處理。

相關(guān)技術(shù)中，API提供方一般對API的調(diào)用頻率進(jìn)行限制，即限制用戶在規(guī)定時(shí)間內(nèi)對API的調(diào)用次數(shù)。在某一用戶對API的調(diào)用頻率超過限制的情況下，API提供方將直接拒絕該用戶的API的調(diào)用請求并將該用戶加入黑名單中，從而能夠降低API被惡意攻擊的風(fēng)險(xiǎn)。

發(fā)明內(nèi)容

發(fā)明人注意到，按照相關(guān)技術(shù)中的方式確定API調(diào)用請求是否正常的準(zhǔn)確率較低。

發(fā)明人分析后發(fā)現(xiàn)，在某些情況下某些正常的調(diào)用請求會(huì)被誤以為是不正常的調(diào)用請求。例如，用戶也可能較高頻率地發(fā)送正常的API的調(diào)用請求，但是這樣的調(diào)用請求按照相關(guān)技術(shù)中的方式會(huì)錯(cuò)誤地確定為是不正常的調(diào)用請求。

為了解決上述問題，本公開實(shí)施例提出了如下解決方案。

根據(jù)本公開實(shí)施例的一方面，提供一種安全防護(hù)方法，包括：監(jiān)測第一API的調(diào)用過程中調(diào)用的多個(gè)函數(shù)組成的函數(shù)調(diào)用鏈，在所述函數(shù)調(diào)用鏈中，所述多個(gè)函數(shù)按照調(diào)用的先后順序依次排列；將所述函數(shù)調(diào)用鏈輸入機(jī)器學(xué)習(xí)模型以確定所述第一API的調(diào)用請求是否正常。

在一些實(shí)施例中，所述方法還包括監(jiān)測所述第一API的調(diào)用過程中調(diào)用的至少一個(gè)預(yù)設(shè)函數(shù)，所述多個(gè)函數(shù)包括所述至少一個(gè)預(yù)設(shè)函數(shù)；根據(jù)每個(gè)預(yù)設(shè)函數(shù)對應(yīng)的代碼的上下文，確定所述多個(gè)函數(shù)中除所述至少一個(gè)預(yù)設(shè)函數(shù)外的其他函數(shù)。

在一些實(shí)施例中，所述方法還包括對所述第一API的調(diào)用請求進(jìn)行第一檢測以確定所述第一API的調(diào)用請求是否正常；在所述第一檢測的結(jié)果為正常的情況下，允許所述第一API被調(diào)用；其中，所述第一檢測包括下列多項(xiàng)檢測中的至少一項(xiàng)檢測，在所述至少一項(xiàng)檢測中每項(xiàng)檢測的結(jié)果均為是的情況下，所述第一檢測的結(jié)果才為正常：檢測所述第一API的調(diào)用請求的數(shù)值類型是否屬于預(yù)設(shè)數(shù)值類型；檢測所述第一API的調(diào)用請求的長度范圍是否屬于預(yù)設(shè)長度范圍；檢測所述第一API的調(diào)用請求的大小范圍是否屬于預(yù)設(shè)大小范圍；檢測所述第一API的調(diào)用請求是否不包含結(jié)構(gòu)化查詢語言SQL語句；和檢測所述第一API的調(diào)用請求是否不包含與所述第一API的調(diào)用請求的數(shù)值類型不匹配的字符。

在一些實(shí)施例中，所述方法還包括在滿足預(yù)設(shè)條件的情況下，將所述第一API的調(diào)用請求與其他不正常的API的調(diào)用請求進(jìn)行聚類，所述預(yù)設(shè)條件包括所述機(jī)器學(xué)習(xí)模型確定所述第一API的調(diào)用請求不正常；根據(jù)所述聚類的結(jié)果，確定不正常的API的調(diào)用請求具有的共性特征。

在一些實(shí)施例中，所述方法還包括在所述機(jī)器學(xué)習(xí)模型確定所述第一API的調(diào)用請求不正常的情況下，在模擬環(huán)境中執(zhí)行第二檢測以判斷在所述第一API的調(diào)用過程中是否出現(xiàn)攻擊行為；在出現(xiàn)攻擊行為的情況下，根據(jù)所述聚類的結(jié)果，確定不正常的API調(diào)用請求具有的所述共性特征與所述攻擊行為的類別的對應(yīng)關(guān)系；其中，所述預(yù)設(shè)條件還包括所述第二檢測的結(jié)果為出現(xiàn)攻擊行為。

在一些實(shí)施例中，所述方法還包括以第二API作為所述第一API進(jìn)行所述第一檢測；所述多項(xiàng)檢測還包括檢測所述第二API的調(diào)用請求是否具有所述共性特征。

在一些實(shí)施例中，所述方法還包括在未出現(xiàn)攻擊行為的情況下，確定所述第一API的調(diào)用請求正常。

在一些實(shí)施例中，所述攻擊行為包括篡改系統(tǒng)文件和獲取根權(quán)限中的至少一種。