本發明公開了一種對API資產進行管理方法、裝置及設備，該方法包括：獲取客戶端的流量數據，對所述流量數據進行解析，得到流量數據對應的API資產；基于預設的風險發現策略，實時對API資產存在的風險問題進行探測；若探測到API存在風險問題，則執行告警操作。本發明實施例可實現對API資產進行全周期管理，而且易落地、效果明顯，數據梳理時間短、業務零打擾，為識別API風險提供了便利，提高了用戶使用網絡的安全性。

技術領域

本發明涉及網絡安全技術領域，尤其涉及一種對API資產進行管理方法、裝置及設備。

背景技術

API(Application?Programming?Interface，應用程序接口)是一種計算接口，定義了軟件之間的數據交互方式、功能類型。隨著互聯網的普及和發展，API從早期的軟件內部調用的接口，擴展到互聯網上對外提供服務的接口。

調用者通過調用API，可以獲取接口提供的各項服務，而無須訪問源碼，也無須理解內部工作機制的細節，不同于由操作系統或庫公開給在同一臺機器上運行的應用程序的API，Web?API是一種編程接口，由一個或多個公開暴露的端點組成，指向已定義的請求-響應消息系統，通常以JSON或XML表示。

現有的API接口在提供便捷同時，也面臨著Web攻擊等網絡安全風險。現有技術中一般是通過API網關或人工梳理登記的管理平臺，將Web服務器的API接口進行登記，再對這些已知的API接口進行分析。

但是API接口會隨著Web服務器的更新迭代變化，人工登記的方法容易造成疏漏，若不能即時的梳理API接口，則很難發現攻擊者造成的危害，使web服務器暴露在危險之中。

因此，現有技術還有待于改進和發展。

發明內容

鑒于上述現有技術的不足，本發明的目的在于提供一種對API資產進行管理方法、裝置及設備，旨在解決現有技術中API接口會隨著Web服務器的更新迭代變化，人工登記的方法容易造成疏漏，若不能即時的梳理API接口，則很難發現攻擊者造成的危害，使web服務器暴露在危險之中的技術問題。

本發明的技術方案如下：

一種對API資產進行管理方法，所述方法包括：

獲取客戶端的流量數據，對所述流量數據進行解析，得到流量數據對應的API資產；

基于預設的風險發現策略，實時對API資產存在的風險問題進行探測；

若探測到API存在風險問題，則執行告警操作。

進一步地，所述獲取客戶端的流量數據，對所述流量數據進行解析，得到流量數據對應的API資產，包括：

獲取預定義的流量請求特征；

獲取基于深度學習生成的API流量基線；

根據所述流量請求特征及所述API流量基線，捕獲所述流量數據中的API資產。

進一步地，所述根據所述流量請求特征及所述API流量基線，捕獲所述流量數據中的API資產，包括：

對所述API資產歸屬進行類型區分，按類型對所述API進行存儲。

進一步優選地，所述基于預設的風險發現策略，實時對API資產存在的風險問題進行探測后，還包括：

對API訪問行為日志進行收集。

進一步優選地，若探測到API存在風險問題，則執行告警操作，包括：

若探測到API存在風險問題，則進行監控告警，并將告警信息發送至用戶終端和運營終端。

優選地，所述若探測到API存在風險問題，則執行告警操作后，還包括：