一种API异常调用检测方法、装置、设备和存储介质与流程

一种api异常调用检测方法、装置、设备和存储介质
技术领域
1.本发明实施例涉及计算机技术领域，尤其涉及一种api异常调用检测方法、装置、设备和存储介质。


背景技术：

2.开放银行是基于api(application programming interface，应用程序编程接口)技术实现金融机构内部与外部互联的金融服务模式。开放银行api平台现有的安全方案是统一部署的防火墙和安全网关。其中，防火墙是银行统一部署的，并非专门针对api设计，只能用于防止常见的网络攻击；api网关是银行建立用于api调用的统一对外接口，主要功能为加解密、认证、鉴权、流控等。但是，防火墙和api网关不能直接检测用户对api的异常调用行为，存在安全隐患。


技术实现要素：

3.本发明实施例提供了一种api异常调用检测方法、装置、设备和存储介质，可以通过对网关日志和应用日志的分析，检测出用户对api的异常调用行为，增加了通过api进行业务处理的安全性。
4.第一方面，本发明实施例提供了一种api异常调用检测方法，该方法包括：
5.获取目标api的网关日志和应用日志，并对所述网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；
6.对各所述目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；
7.根据预设异常调用分析策略对各所述数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
8.第二方面，本发明实施例提供了一种api异常调用检测装置，该装置包括：
9.日志处理模块，用于获取目标api的网关日志和应用日志，并对所述网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；
10.数据处理模块，用于对各所述目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；
11.数据分析模块，用于根据预设异常调用分析策略对各所述数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
12.第三方面，本发明实施例提供了一种计算机设备，该计算机设备包括：
13.一个或多个处理器；
14.存储器，用于存储一个或多个程序；
15.当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现任一实施例所述的api异常调用检测方法。
16.第四方面，本发明实施例提供了一种计算机可读存储介质，其上存储有计算机程
序，该程序被处理器执行时实现任一实施例所述的api异常调用检测方法。
17.本发明实施例所提供的技术方案，通过获取目标api的网关日志和应用日志，并对网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；对各目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定目标api的异常调用情况。本发明实施例的技术方案解决了现有技术中无法检测用户对api的异常调用行为的问题，可以通过对网关日志和应用日志的分析，检测出用户对api的异常调用行为，增加了通过api进行业务处理的安全性。
附图说明
18.图1是本发明实施例提供的一种api异常调用检测方法流程图；
19.图2是本发明实施例提供的一种api异常调用检测方法流程图；
20.图3是本发明实施例提供的一种api异常调用检测方法流程图；
21.图4是本发明实施例提供的一种数据查询方法流程图；
22.图5是本发明实施例提供的一种api异常调用检测系统的功能示意图；
23.图6是本发明实施例提供的一种api异常调用检测系统的技术层次划分示意图；
24.图7是本发明实施例提供的一种api异常调用检测装置的结构示意图；
25.图8是本发明实施例提供的一种计算机设备的结构示意图。
具体实施方式
26.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
27.图1是本发明实施例提供的一种api异常调用检测方法流程图，本发明实施例可适用于检测用户对api的调用行为的场景中，该方法可以由api异常调用检测装置执行，该装置可以由软件和/或硬件的方式来实现。
28.如图1所示，api异常调用检测方法包括以下步骤：
29.s110、获取目标api的网关日志和应用日志，并对所述网关日志和应用日志进行关联处理，确定多个目标字段的内容数据。
30.其中，目标api可以是需要进行异常调用检测的api。网关日志可以是记录api网关情况的信息，其中，api网关拥有解密、认证、鉴权、流控等功能。应用日志可以是记录用户与应用服务端通过api实现业务交互的过程信息，包括用户对api进行的调用行为的记录情况。api目标字段可以是需要用于检测api调用行为的字段，通过后续对目标字段的内容数据进行分析，可以检测出用户是否存在对api的异常调用行为。关联处理可以是将有关联关系的网关日志和应用日志进行组合的一种数据处理方式，示例性的，可以将网关日志和应用日志中的与同一个业务请求相关联的网关日志和应用日志之间建立关联关系，或者在同一个业务类型的api调用的网关日志和应用日志间建立关联关系。进而，再对建立关联关系的网关日志和应用日志进行关键词提取处理，得到各目标字段的内容数据。
31.s120、对各所述目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果。
32.其中，数据整合可以对与目标字段的内容数据相关的数据内容进行整合的一种数据处理方式，通过对各目标字段的内容数据进行数据整合，可以丰富目标字段的内容数据，也可以便于后续对相关的数据内容进行统一分析，提高api异常调用检测的效率。数据匹配可以是对与目标字段的内容数据是否涉及到异常信息进行匹配的一种数据处理方式。具体的，可以识别目标字段的内容数据，分析目标字段的内容数据的类型，再根据目标字段的内容数据的类型进行针对性的数据整合或数据匹配操作，得到相应的数据处理结果。
33.s130、根据预设异常调用分析策略对各所述数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
34.其中，预设异常调用分析策略可以是预设的用于判断对数据处理结果中是否存在api异常调用行为的分析策略。预设异常调用分析策略可以从多个角度对数据处理结果中是否存在api异常调用行为进行判断，并基于分析结果确定目标api的异常调用情况。针对不同的异常调用情况，可以预先配置有不同的分析策略。具体的，可以针对潜在的水平越权、垂直越权、bot攻击、参数枚举攻击、敏感数据等调用异常情况配置不同的异常调用分析策略。例如，可以对数据处理结果中api的访问是否存在风险，当用户在预设的时间内对单一api的访问次数超过预设报警阈值时，进行风险预警；又或者当数据处理结果中的敏感信息不符合预设的标准时，也可以进行风险预警。
35.本发明实施例所提供的技术方案，通过获取目标api的网关日志和应用日志，并对网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；对各目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定目标api的异常调用情况。本发明实施例的技术方案解决了现有技术中无法检测用户对api的异常调用行为的问题，可以通过对网关日志和应用日志的分析，检测出用户对api的异常调用行为，增加了通过api进行业务处理的安全性。
36.图2是本发明实施例提供的一种api异常调用检测方法流程图，本发明实施例可适用于检测用户对api的调用行为的场景中，本实施例在上述实施例的基础上，进一步的说明如何对网关日志和应用日志进行关联处理，确定多个目标字段的内容数据，以及如何对各目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果，该装置可以由软件和/或硬件的方式来实现，集成于具有应用开发功能的计算机设备中。
37.如图2所示，api异常调用检测方法包括以下步骤：
38.s210、获取目标api的网关日志和应用日志，在所述网关日志和所述应用日志中的与同一个业务请求相关联的网关日志和应用日志之间建立关联关系，得到关联日志组。
39.其中，目标api可以是需要进行异常调用检测的api。网关日志可以是记录api网关情况的信息，其中，api网关拥有解密、认证、鉴权、流控等功能。应用日志可以是记录用户与应用服务端通过api实现业务交互的过程信息，包括用户对api进行的调用行为的记录情况。关联日志组可以是具有关联关系的网关日志和应用日志的组合，具体的，可以通过业务请求的业务请求标识判断网关日志和应用日志中的是否与同一个业务请求相关联，当识别到两者的业务请求的业务请求标识相同时，则可以确定网关日志和应用日志与同一个业务
请求相关联，将网关日志和应用日志建立关联关系后得到关联日志组。
40.s220、在所述关联日志组中进行信息处理得到各所述目标字段的内容数据。
41.其中，目标字段可以是需要用于后续调用行为检测的字段，通过后续对目标字段的内容数据进行分析，可以检测出用户是否存在对api的异常调用行为。进一步的，可以在关联日志组中进行信息处理得到各目标字段的内容数据，例如，可以在关联日志组中根据目标字段的关键字进行内容提取，得到各目标字段对应的内容数据。
42.在一种可选的实施方式中，当目标字段的内容数据为统计结果数据时，还可以确定与目标字段关联的待计算数据内容，根据与目标字段对应的数据统计计算策略，对待计算数据内容进行计算，得到目标字段的内容数据。
43.其中，统计结果数据可以是需要对用户的预设时期内的调用行为数据进行统计得到统计结果的数据，例如，可以是对用户最近一周或者最近一个月内的调用行为进行统计得到统计结果的数据。相应的，待计算数据内容可以是与统计结果数据关联的需要进行统计计算的数据；数据统计计算策略以是与统计结果数据关联的对待计算数据内容进行计算的策略。当目标字段的内容数据为统计结果数据时，可以确定与目标字段对应的待计算数据内容和数据统计计算策略，进而根据数据统计计算策略对对待计算数据内容进行计算，得到目标字段的内容数据。
44.s230、当所述目标字段为业务功能时，将相同业务功能的请求事件信息进行合并；和/或，当所述目标字段的数据内容为敏感数据时，将所述目标字段的数据内容与预设敏感数据白名单进行匹配；当所述目标字段的数据内容为ip地址数据时，将所述目标字段的数据内容与预设地理位置库数据进行匹配。
45.其中，业务功能可以是开放银行可以实现的业务功能，例如存款、取款或者查询等业务功能。当目标字段为业务功能时，将相同业务功能的请求事件信息进行合并，可以丰富关联日志组中的内容，也可以便于后续将与同一业务功能关联的请求事件信息进行统一分析，提高api异常调用检测的效率。
46.敏感数据可以是涉及到用户隐私、财产安全信息的一些数据，例如用户的身份证、电话号码、社保号、银行卡号等信息，可以基于预设的数据识别规则识别目标字段的数据内容是否为敏感数据。预设敏感数据白名单可以是预设的关于敏感数据的无害化名单，当目标字段的数据内容与预设敏感数据白名单可以匹配成功时，可以不对目标字段的数据内容进行报警。
47.预设地理位置库数据可以是预设的用于判断ip地址的是否异常的库数据，当目标字段的数据内容为ip地址数据时，将目标字段的数据内容与预设地理位置库数据进行匹配，可以判断ip地址是否为异地或国外地址，进而对该ip地址是否可以访问开放银行进行针对性检测。
48.s240、根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
49.其中，预设异常调用分析策略可以是预设的用于判断对数据处理结果中是否存在api异常调用行为的一种分析策略。预设异常调用分析策略可以从多个角度对数据处理结果中是否存在api异常调用行为进行判断，并基于分析结果确定目标api的异常调用情况。例如，可以对数据处理结果中api的访问是否存在风险，当用户在预设的时间内对单一api
的访问次数超过预设报警阈值时，进行风险预警；又或者当数据处理结果中的敏感信息与预设敏感数据白名单无法匹配成功时，也可以进行风险预警。
50.在一种可选实施方式中，还可以将网关日志和应用日志存储到es(elastic search，弹性搜素)数据库；将各目标字段的内容数据存储到postgresql数据库；将分析结果和目标api的异常调用情况存储到clickhouse(click stream data warehouse，单击流数据库)数据库，并进行异常调用情况的数据分析。通过将网关日志和应用日志、目标字段的内容数据、分析结果和目标api的异常调用情况分别存储在不同数据库中，可以方便后续根据需要在数据库中寻找相应的数据，提高api异常调用检测的效率。
51.示例性的，图3是本发明实施例提供的一种api异常调用检测方法流程图。如图3所示，api异常调用检测方法流程为：首先从数据源中获取网关日志和应用日志，接下来对网关日志和应用日志进行日志分析处理，即读取网关日志和应用日志文件，对两个日志文件内容进行关联分析，并提取关键词生成目标字段，生成指定格式的消息内容，发送到消息队列；随后又对网关日志和应用日志进行日志富化处理，即读取消息队列里的消息，进行api合并、地理位置匹配、敏感匹配处理，富化处理完后，发送至消息队列；最后，读取消息队列里的消息，进行api风险模型匹配，产生的告警日志插入数据库。
52.在一种可选实施方式中，api异常调用检测方法还包括：在预设用户交互界面，获取用户的数据查询指令；根据数据查询指令验证用户的操作权限，并基于操作权限的验证结果，读取并展示与数据查询指令相关联的数据内容。
53.其中，预设用户交互界面可以是预设的用于进行人机交互的界面，例如，预设用户交互界面可以是手机端界面或者电脑端界面。数据查询指令可以是用户在预设用户交互界面输入的用于数据查询的指令，例如，可以是在预设用户交互界面点击数据查询按钮或者手动输入“数据查询”的指令。进一步的，可以根据数据查询指令验证用户的操作权限，并基于操作权限的验证结果，读取并展示与数据查询指令相关联的数据内容。例如，可以验证用户输入的该api的账号和密码是否正确或者该api是否拥有数据查询的权限，当验证该api的账号和密码正确或者该api拥有数据查询的权限时，可以读取与数据查询指令相关联的数据内容，并在预设用户交互界面进行展示。其中，数据内容包括网关日志和应用日志的原始内容、各目标字段的内容数据以及目标api的异常调用情况中至少一项。
54.示例性的，图4是本发明实施例提供的一种数据查询方法流程图。如图4所示，数据查询方法流程为：用户在api展示前端发起查询请求，api展示前端再向api展示后端发起查询请求，api展示后端读取消息队列里的消息，进行api风险模型匹配，产生的告警日志插入数据库，并对数据内容进行处理，返回结果给前端页面，api展示前端再对数据内容进行渲染，并向用户进行展示。
55.示例性的，图5是本发明实施例提供的一种api异常调用检测系统的功能示意图，如图5所示，api异常调用检测系统包含：api前端异常展示、api后端异常展示、api风险模型检测、日志分析、日志富化等功能。其中，api后端异常展示功能中包含：管理员登录、前端页面访问等功能；在“管理员登录”功能中，管理员需要先登录成功后才能进入到平台的管理页面进行管理操作，在“前端页面访问”功能中，管理员可以访问前端页面平台进行管理操作。api后端异常展示功能中包含：策略配置、系统配置、资产管理、日志查询、风险详情与处置等功能；在“策略配置”功能中，管理员可以针对安全检测功能进行策略配置，包括配置风
险策略、敏感匹配策略，策略配置支持新增和编辑操作；在“系统配置”功能中，可以实现对系统平台的相关配置，包括系统平台的操作日志记录、平台时间同步的设置、管理员账号显示等；在“资产管理”功能中，管理员可以在资产管理里查看所有的应用和api列表及api是否包含敏感信息；在“日志查询”功能中，管理员可以通过平台查询所有的日志，日志详情包括：访问时间、访问源ip、访问源端口、访问的目的ip、访问的目的端口、请求的uri、请求的域名、响应状态码、请求包内容和响应包内容等等；在“风险详情与处置”功能中，管理员可以查询当前检测到的风险，并且可以查询不同时间段的风险，既可以看到每条告警详情，也可看到所有告警的统计信息，比如每天的告警走势、告警top排行等；管理员也可以在平台上对这些风险进行处置，处置的动作包括：忽略该条告警、标记已修复该条告警。在“api风险模型检测”功能中，可以检测api的访问是否存在风险，比如某个用户在预设的时间内对某个api的访问流量过大，超过基线阈值，产生风险告警。日志富化功能中包含：敏感信息匹配、api合并、地理位置匹配等功能；在“敏感信息匹配”功能中，可以基于预设的敏感匹配规则，匹配响应内容里是否存在敏感数据，比如身份证、电话号码、社保号、银行卡号等信息，如果响应内容中存在敏感数据，则该api就是涉敏api,涉敏api可用于风险模型检测；在“api合并”功能中，可以对多个日志进行合并，如果日志的uri相同，则进行api合并，通过api合并可以减少告警日志量；在“地理位置匹配”功能中，可以将api的ip地址匹配地理位置库，识别异地或国外异常ip地址。在“日志分析”功能中，可以关联网关日志和应用日志，确定多个目标字段的内容数据。
56.进一步的，图6是本发明实施例提供的一种api异常调用检测系统的技术层次划分示意图，如图6所示，该api异常调用检测系统的技术层次包括：展现层、业务层、服务层和数据访问层。其中，展现层负责人机交互界面，接收输入的数据，完成基本校验，将运维人员或管理员的请求发送到后台，并将后台的响应进行展现；业务层接收管理员的不同操作请求，分配给不同的模块进行处理，并将处理结果返回给展现层；服务层对应用日志和网关日志进行解析处理和检测，生成新的安全日志，这些生成的结果在数据库里存储，用于对业务层提供数据支撑服务；数据访问层提供应用层对数据的访问支持，针对不同的数据进行存储，提供统一的数据定义、维护、访问和更新数据功能，数据访问层包括对数据库的访问和消息队列的访问以及对象存储的访问。
57.本发明实施例所提供的技术方案，通过获取目标api的网关日志和应用日志，在网关日志和应用日志中的与同一个业务请求相关联的网关日志和应用日志之间建立关联关系，得到关联日志组；在关联日志组中进行信息处理得到各目标字段的内容数据；当目标字段为业务功能时，将相同业务功能的请求事件信息进行合并；当目标字段的数据内容为敏感数据时，将目标字段的数据内容与预设敏感数据白名单进行匹配；当目标字段的数据内容为ip地址数据时，将目标字段的数据内容与预设地理位置库数据进行匹配；根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定目标api的异常调用情况。本发明实施例的技术方案解决了现有技术中无法检测用户对api的异常调用行为的问题，可以通过对网关日志和应用日志的分析，检测出用户对api的异常调用行为，增加了通过api进行业务处理的安全性。
58.图7是本发明实施例提供的一种api异常调用检测装置的结构示意图，本发明实施例可适用于检测用户对api的调用行为的场景中，该装置可以由软件和/或硬件的方式来实
现，集成于具有应用开发功能的计算机设备中。
59.如图7所示，api异常调用检测装置包括：日志处理模块310、数据处理模块320和数据分析模块330。
60.其中，日志处理模块310，用于获取目标api的网关日志和应用日志，并对网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；数据处理模块320，用于对各目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；数据分析模块330，用于根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定目标api的异常调用情况。
61.本发明实施例所提供的技术方案，通过获取目标api的网关日志和应用日志，并对网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；对各目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；根据预设异常调用分析策略对各数据处理结果进行分析，并基于分析结果确定目标api的异常调用情况。本发明实施例的技术方案解决了现有技术中无法检测用户对api的异常调用行为的问题，可以通过对网关日志和应用日志的分析，检测出用户对api的异常调用行为，增加了通过api进行业务处理的安全性。
62.在一种可选的实施方式中，日志处理模块310具体用于：在网关日志和应用日志中的与同一个业务请求相关联的网关日志和应用日志之间建立关联关系，得到关联日志组；在关联日志组中进行信息处理得到各目标字段的内容数据。
63.在一种可选的实施方式中，日志处理模块310还用于：识别网关日志和应用日志中的业务请求标识；在包含有相同业务请求标识的网关日志和/或应用日志间建立关联关系。
64.在一种可选的实施方式中，日志处理模块310还用于：在关联日志组中根据目标字段的关键字进行内容提取，得到各目标字段对应的内容数据。
65.在一种可选的实施方式中，日志处理模块310还用于：确定与目标字段关联的待计算数据内容；根据与目标字段对应的数据统计计算策略，对待计算数据内容进行计算，得到目标字段的内容数据。
66.在一种可选的实施方式中，数据处理模块320用于当目标字段为业务功能时，将相同业务功能的请求事件信息进行合并；和/或，当目标字段的数据内容为敏感数据时，将目标字段的数据内容与预设敏感数据白名单进行匹配；当目标字段的数据内容为ip地址数据时，将目标字段的数据内容与预设地理位置库数据进行匹配。
67.在一种可选的实施方式中，api异常调用检测装置还包括：检测数据存储模块，用于：将网关日志和应用日志存储到elastic search数据库；将各目标字段的内容数据存储到postgresql数据库；将分析结果和目标api的异常调用情况存储到clickhouse数据库，并进行异常调用情况的数据分析。
68.在一种可选的实施方式中，api异常调用检测装置还包括：数据查询模块，用于：在预设用户交互界面，获取用户的数据查询指令；根据数据查询指令验证用户的操作权限，并基于操作权限的验证结果，读取并展示与数据查询指令相关联的数据内容；其中，数据内容包括网关日志和应用日志的原始内容、各目标字段的内容数据以及目标api的异常调用情况中至少一项。
69.本发明实施例所提供的api异常调用检测装置可执行本发明任意实施例所提供的
api异常调用检测方法，具备执行方法相应的功能模块和有益效果。
70.图8为本发明实施例提供的一种计算机设备的结构示意图。图8示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图8显示的计算机设备12仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。计算机设备12可以任意具有计算能力的终端设备，可以与配置于api异常调用检测设备中。
71.如图8所示，计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于：一个或者多个处理器或者处理单元16，系统存储器28，连接不同系统组件(包括系统存储器28和处理单元16)的总线18。
72.总线18可以是几类总线结构中的一种或多种，包括存储器总线或者存储器控制器，外围总线，图形加速端口，处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说，这些体系结构包括但不限于工业标准体系结构(isa)总线，微通道体系结构(mac)总线，增强型isa总线、视频电子标准协会(vesa)局域总线以及外围组件互连(pci)总线。
73.计算机设备12典型地包括多种计算机系统可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质，包括易失性和非易失性介质，可移动的和不可移动的介质。
74.系统存储器28可以包括易失性存储器形式的计算机系统可读介质，例如随机存取存储器(ram)30和/或高速缓存32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机系统存储介质。仅作为举例，存储系统34可以用于读写不可移动的、非易失性磁介质(图8未显示，通常称为“硬盘驱动器”)。尽管图8中未示出，可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器，以及对可移动非易失性光盘(例如cd-rom，dvd-rom或者其它光介质)读写的光盘驱动器。在这些情况下，每个驱动器可以通过一个或者多个数据介质接口与总线18相连。系统存储器28可以包括至少一个程序产品，该程序产品具有一组(例如至少一个)程序模块，这些程序模块被配置以执行本发明各实施例的功能。
75.具有一组(至少一个)程序模块42的程序/实用工具40，可以存储在例如系统存储器28中，这样的程序模块42包括但不限于操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
76.计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信，还可与一个或者多个使得用户能与该计算机设备12交互的设备通信，和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(i/o)接口22进行。并且，计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(lan)，广域网(wan)和/或公共网络，例如因特网)通信。如图所示，网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白，尽管图8中未示出，可以结合计算机设备12使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、raid系统、磁带驱动器以及数据备份存储系统等。
77.处理单元16通过运行存储在系统存储器28中的程序，从而执行各种功能应用以及数据处理，例如实现本发实施例所提供的api异常调用检测方法，该方法包括：
78.获取目标api的网关日志和应用日志，并对所述网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；
79.对各所述目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；
80.根据预设异常调用分析策略对各所述数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
81.本实施例提供了一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现如本发明任意实施例所提供的api异常调用检测方法，包括：
82.获取目标api的网关日志和应用日志，并对所述网关日志和应用日志进行关联处理，确定多个目标字段的内容数据；
83.对各所述目标字段的内容数据进行数据整合或数据匹配操作，得到相应的数据处理结果；
84.根据预设异常调用分析策略对各所述数据处理结果进行分析，并基于分析结果确定所述目标api的异常调用情况。
85.本发明实施例的计算机存储介质，可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于：电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
86.计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
87.计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。
88.可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码，程序设计语言包括面向对象的程序设计语言，诸如java、smalltalk、c++，还包括常规的过程式程序设计语言，诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络，包括局域网(lan)或广域网(wan)，连接到用户计算机，或者，可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
89.本领域普通技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计
算装置来实现，它们可以集中在单个计算装置上，或者分布在多个计算装置所组成的网络上，可选地，他们可以用计算机装置可执行的程序代码来实现，从而可以将它们存储在存储装置中由计算装置来执行，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件的结合。
90.注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。