一种API资产识别方法和装置与流程

本发明涉及网络安全，尤其涉及一种api资产识别方法和装置。

背景技术：

1、api(application program interface，应用程序接口)是一些预先定义的函数或指软件系统不同组成部分衔接的约定。其用来提供应用程序与开发人员基于某软件或硬件得以访问的一组例程，从而无需访问源码或理解内部工作机制的细节。

2、目前绝大多数的企业虽然都建立有公司内部的api台账，如通过开发、部署文档记录了api的类型、参数等，但随着开发团队的变更、版本的升级、业务不断发展的情况下，api文档可能已经长期未进行更新，导致管理者对api资产无法完全掌握。

3、传统意义上的api资产的梳理主要通过两种方式进行，第一种是自动化api资产发现技术，即采用流量识别技术自动化发现api、参数和数据类型，并将发现的资产信息录入管理系统。第二种是采用人工主动报备的方式，将测试环境与临时环境中使用过且未关闭的api进行统计并纳入管理。

4、人工识别方式无论采用何种技术辅助，均具有高成本、不及时、难维护等问题。采用自动化api资产发现技术是大多数场景所期望使用且一直在使用的方式。但当前的自动化api资产发现技术大多是基于已有规则的技术，无论是防火墙、ids(intrusiondetection system，入侵检测系统)等产品均基于规则实现，无法精确、高效、智能的实现自动识别变种、同类、全新的api资产，某些场景下仍需人工辅助实现。对于快速增长的api资产场景，这种方式显然已不再适用。

技术实现思路

1、本发明旨在至少解决现有技术中存在的技术问题，为此，本发明第一方面提出一种api资产识别方法，所述方法包括：

2、将待检测的网络流量输入api资产识别模型，得到所述网络流量中的目标api资产；所述网络流量为流经目标网络链路的数据包的总体；所述api资产识别模型基于融入注意力机制的长短期记忆神经网络构建；

3、查询所述目标网络链路的api资产库中是否存在所述目标api资产；

4、若存在所述目标api资产，则将所述目标api资产丢弃；

5、若不存在所述目标api资产，则将所述目标api资产加入所述api资产库中。

6、可选地，所述api资产识别模型通过以下方法训练得到：

7、获取api资产数据集；所述api资产数据集中包括api数据信息和所述api数据信息对应的时间戳；

8、使用词嵌入技术将所述api数据信息转化为api编码向量，并对所述api编码向量进行特征提取，得到api特征向量；

9、将所述api特征向量根据对应的时间戳组成特征序列；

10、将所述特征序列输入长短期记忆神经网络，并将所述特征序列与所述长短期记忆神经网络的查询向量进行相关性计算，得到所述特征序列中的各个特征被所述长短期记忆神经网络选择的概率；

11、基于所述概率确定所述各个特征的注意力权重；

12、将所述api特征向量与所述注意力权重加权，得到api加权特征向量；

13、基于所述api加权特征向量对所述长短期记忆神经网络进行训练，得到api资产识别模型。

14、可选地，所述将所述特征序列与所述长短期记忆神经网络的查询向量进行相关性计算，得到所述特征序列中的各个特征被所述长短期记忆神经网络选择的概率分布，包括：

15、获取所述长短期记忆神经网络的每个时间步上的查询向量；

16、利用打分函数计算所述特征序列每个位置的特征向量与所述每个时间步上的查询向量的相关性；

17、将各个所述相关性进行归一化，得到归一化相关性；

18、将所述归一化相关性作为所述特征序列中的各个特征被所述长短期记忆神经网络选择的概率分布。

19、可选地，所述基于所述api加权特征向量对所述长短期记忆神经网络进行训练，包括：

20、将所述api加权特征向量输入所述长短期记忆神经网络，识别得到预测api资产信息；

21、将所述预测api资产信息与所述网络流量的真实api资产信息进行比对，得到残差；

22、基于所述残差调整所述长短期记忆神经网络的参数，并继续对所述长短期记忆神经网络进行训练，直至所述残差小于预设残差阈值，得到api资产识别模型。

23、可选地，在查询所述目标网络链路的api资产库中是否存在所述目标api资产之前，还包括：

24、获取所述目标网络链路当前已知的api资产信息；

25、对所述api资产信息进行路径折叠、信息补全和数据格式化，得到标准api资产信息；

26、将所述标准api资产信息的集合确定为api资产库。

27、本发明第二方面提出一种api资产识别装置，所述装置包括：

28、检测模块，用于将待检测的网络流量输入api资产识别模型，得到所述网络流量中的目标api资产；所述网络流量为流经目标网络链路的数据包的总体；所述api资产识别模型基于融入注意力机制的长短期记忆神经网络构建；

29、查询模块，用于查询所述目标网络链路的api资产库中是否存在所述目标api资产；

30、丢弃模块，用于若存在所述目标api资产，则将所述目标api资产丢弃；

31、添加模块，用于若不存在所述目标api资产，则将所述目标api资产加入所述api资产库中。

32、可选地，所述装置还包括训练模块，所述训练模块用于：

33、获取api资产数据集；所述api资产数据集中包括api数据信息和所述api数据信息对应的时间戳；

34、使用词嵌入技术将所述api数据信息转化为api编码向量，并对所述api编码向量进行特征提取，得到api特征向量；

35、将所述api特征向量根据对应的时间戳组成特征序列；

36、将所述特征序列输入长短期记忆神经网络，并将所述特征序列与所述长短期记忆神经网络的查询向量进行相关性计算，得到所述特征序列中的各个特征被所述长短期记忆神经网络选择的概率；

37、基于所述概率确定所述各个特征的注意力权重；

38、将所述api特征向量与所述注意力权重加权，得到api加权特征向量；

39、基于所述api加权特征向量对所述长短期记忆神经网络进行训练，得到api资产识别模型。

40、可选地，所述训练模块具体用于：

41、获取所述长短期记忆神经网络的每个时间步上的查询向量；

42、利用打分函数计算所述特征序列每个位置的特征向量与所述每个时间步上的查询向量的相关性；

43、将各个所述相关性进行归一化，得到归一化相关性；

44、将所述归一化相关性作为所述特征序列中的各个特征被所述长短期记忆神经网络选择的概率分布。

45、可选地，所述训练模块具体用于：

46、将所述api加权特征向量输入所述长短期记忆神经网络，识别得到预测api资产信息；

47、将所述预测api资产信息与所述网络流量的真实api资产信息进行比对，得到残差；

48、基于所述残差调整所述长短期记忆神经网络的参数，并继续对所述长短期记忆神经网络进行训练，直至所述残差小于预设残差阈值，得到api资产识别模型。

49、可选地，所述装置还包括：

50、信息获取模块，用于获取所述目标网络链路当前已知的api资产信息；

51、标准化模块，用于对所述api资产信息进行路径折叠、信息补全和数据格式化，得到标准api资产信息；

52、确定模块，用于将所述标准api资产信息的集合确定为api资产库。

53、本发明第三方面提出一种电子设备，所述电子设备包括处理器和存储器，所述存储器中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由所述处理器加载并执行以实现如第一方面所述的api资产识别方法。

54、本发明第四方面提出一种计算机可读存储介质，所述存储介质中存储有至少一条指令、至少一段程序、代码集或指令集，所述至少一条指令、所述至少一段程序、所述代码集或指令集由处理器加载并执行以实现如第一方面所述的api资产识别方法。

55、本发明实施例具有以下有益效果：

56、本发明实施例提供的api资产识别方法，将待检测的网络流量输入api资产识别模型，得到所述网络流量中的目标api资产；所述网络流量为流经目标网络链路的数据包的总体；所述api资产识别模型基于融入注意力机制的长短期记忆神经网络构建；查询所述目标网络链路的api资产库中是否存在所述目标api资产；若存在所述目标api资产，则将所述目标api资产丢弃；若不存在所述目标api资产，则将所述目标api资产加入所述api资产库中。本方案采用api资产识别模型识别网络流量中的api资产，并通过查询api资产库确定该api资产是否为全新的api资产，可以精确、高效、智能的识别变种、同类、全新的api资产。