API接口的安全防护处理方法、装置、设备和存储介质与流程

本技术涉及安全防护，尤其涉及一种api接口的安全防护处理方法、装置、设备和存储介质。

背景技术：

1、随着数字化技术的发展，云计算的广泛应用和业务上云的不断推进，软件应用系统逐渐由单一架构转变为低耦合、高内聚的服务网格架构，应用程序编程接口(application programming interface，以下简称api)作为驱动开放共享的核心能力，已经广泛用于软件应用系统之间的交互。api的广泛使用和暴露面的扩大，使得其面临的安全风险越来越多，攻击者开始更多的依托api存在的安全漏洞作为攻击突破口来发起攻击行为，并且攻击者除了攻击对外暴露的api外，已经逐渐开始将目标转向内部api和已授权的api。

2、现有技术中，为了解决api面临的安全问题，常用的手段主要包括api网关和网站应用级入侵防御系统(web application firewall，waf)，其中，api网关通过身份认证、访问控制和速率限制等手段提供防护能力，waf通过特征匹配、策略规则等方式，对api的攻击行为进行攻击检测和防护。

3、然而，由于微服务技术的普遍使用，业务系统内部不同的服务之间的api调用增多，使得部分服务在调用api接口时，不经过api网关和waf，进而导致运营人员无法掌握相关的api资产，使得api的安全防护存在盲点。

技术实现思路

1、本技术提供一种api接口的安全防护处理方法、装置、设备和存储介质，用以提高对api风险和相关攻击行为的处置效率和准确率，实现了系统对api攻击的主动防御，弥补了原有api安全防护体系的不足。

2、第一方面，本技术提供一种api接口的安全防护处理方法，应用于管理平台，该方法包括：

3、获取iast检测模块发送的api信息，所述api信息包括：多个api接口对应的风险信息；

4、根据所述多个api接口对应的风险信息，确定每个api接口对应的目标风险点位；

5、根据多个目标风险点位，生成与每个api接口对应的目标防御逻辑；

6、将多个目标防御逻辑发送至rasp防御模块，以使所述rasp防御模块根据所述多个目标防御逻辑对每个api接口对应的风险点位进行安全防护处理。

7、可选的，根据所述多个api接口对应的风险信息，确定每个api接口对应的目标风险点位，包括：

8、获取风险信息与风险点位之间的第一关联关系；

9、根据所述多个api接口对应的风险信息以及所述第一关联关系，确定每个api接口对应的目标风险点位。

10、可选的，所述将多个目标防御逻辑发送至rasp防御模块，包括：

11、根据所述多个目标防御逻辑，对多个api接口的防御逻辑进行更新处理，并向运维人员发送确认请求；

12、若在预设时长内获取到所述运维人员反馈的确认信息，则将更新处理后的防御逻辑发送至所述rasp防御模块。

13、第二方面，本技术提供一种api接口的安全防护处理方法，应用于iast检测模块，该方法包括：

14、获取应用系统中多个探针采集到的多个api接口的数据信息；

15、对所述数据信息进行风险分析处理，得到每个api接口的api信息，所述api信息包括：api接口对应的风险信息；

16、将所述api信息发送至管理平台，以使所述管理平台根据所述api信息，确定每个api接口对应的目标风险点位，并生成对应的目标防御逻辑。

17、可选的，所述对所述数据信息进行风险分析处理，得到每个api接口的api信息，包括：

18、对每个api对应的数据信息进行参数分析处理、请求方法分析处理以及代码分析处理，得到每个api接口的api信息。

19、第三方面，本技术提供一种api接口的安全防护处理方法，应用于rasp防御模块，该方法包括：

20、获取管理平台发送的多个目标防御逻辑，所述多个目标防御逻辑与多个api接口之间存在关联关系；

21、根据所述多个目标防御逻辑，确定每个api接口对应的风险点位，并对每个api接口对应的风险点位进行安全防护处理。

22、可选的，所述方法还包括：

23、获取每个api接口对应的安全防护模式，所述安全防护模式包括：检测模式以及防御模式；

24、在所述安全防护模式为检测模式时，当检测到所述api接口对应的风险点位存在安全防护风险时，生成防护告警信息，并将所述防护告警信息发送至所述管理平台，所述防护告警信息用于指示所述api接口当前存在安全防护风险；

25、在所述安全防护模式为防御模式时，当检测到所述api接口对应的风险点位存在安全防护风险时，采用与目标防御逻辑对应的防御措施对所述api接口进行防御处理。

26、第四方面，本技术提供一种api接口的安全防护处理装置，应用于管理平台，该装置包括：

27、获取模块，用于获取iast检测模块发送的api信息，所述api信息包括：多个api接口对应的风险信息；

28、确定模块，用于根据所述多个api接口对应的风险信息，确定每个api接口对应的目标风险点位；

29、生成模块，用于根据多个目标风险点位，生成与每个api接口对应的目标防御逻辑；

30、发送模块，用于将多个目标防御逻辑发送至rasp防御模块，以使所述rasp防御模块根据所述多个目标防御逻辑对每个api接口对应的风险点位进行安全防护处理。

31、可选的，所述获取模块，还用于获取风险信息与风险点位之间的第一关联关系；

32、所述确定模块，用于根据所述多个api接口对应的风险信息以及所述第一关联关系，确定每个api接口对应的目标风险点位。

33、可选的，所述装置还包括：处理模块；

34、所述处理模块，用于根据所述多个目标防御逻辑，对多个api接口的防御逻辑进行更新处理；

35、所述发送模块，还用于向运维人员发送确认请求；

36、所述发送模块，还用于在预设时长内获取到所述运维人员反馈的确认信息时，将更新处理后的防御逻辑发送至所述rasp防御模块。

37、第五方面，本技术提供一种api接口的安全防护处理装置，应用于iast检测模块，该装置包括：

38、获取模块，用于获取应用系统中多个探针采集到的多个api接口的数据信息；

39、处理模块，用于对所述数据信息进行风险分析处理，得到每个api接口的api信息，所述api信息包括：api接口对应的风险信息；

40、发送模块，用于将所述api信息发送至管理平台，以使所述管理平台根据所述api信息，确定每个api接口对应的目标风险点位，并生成对应的目标防御逻辑。

41、可选的，所述处理模块，用于对每个api对应的数据信息进行参数分析处理、请求方法分析处理以及代码分析处理，得到每个api接口的api信息。

42、第六方面，本技术提供一种api接口的安全防护处理装置，应用于rasp防御模块，该装置包括：

43、获取模块，用于获取管理平台发送的多个目标防御逻辑，所述多个目标防御逻辑与多个api接口之间存在关联关系；

44、处理模块，用于根据所述多个目标防御逻辑，确定每个api接口对应的风险点位，并对每个api接口对应的风险点位进行安全防护处理。

45、可选的，所述装置还包括：生成模块和发送模块；

46、所述获取模块，还用于获取每个api接口对应的安全防护模式，所述安全防护模式包括：检测模式以及防御模式；

47、所述生成模块，用于在所述安全防护模式为检测模式时，当检测到所述api接口对应的风险点位存在安全防护风险时，生成防护告警信息；

48、所述发送模块，用于将所述防护告警信息发送至所述管理平台，所述防护告警信息用于指示所述api接口当前存在安全防护风险；

49、所述处理模块，还用于在所述安全防护模式为防御模式时，当检测到所述api接口对应的风险点位存在安全防护风险时，采用与目标防御逻辑对应的防御措施对所述api接口进行防御处理。

50、第七方面，本技术提供一种api接口的安全防护处理设备，该设备包括：

51、存储器；

52、处理器；

53、其中，所述存储器存储计算机执行指令；

54、所述处理器执行所述存储器存储的计算机执行指令，以实现如上述第一方面和第一方面各种可能的实现方式或第二方面和第二方面各种可能的实现方式或第三方面和第三方面各种可能的实现方式所述的api接口的安全防护处理方法。

55、第八方面，本技术提供一种计算机存储介质，其上存储有计算机程序，所述计算机程序被处理器执行以实现如上述第一方面及第一方面各种可能的实现方式或第二方面和第二方面各种可能的实现方式或第三方面和第三方面各种可能的实现方式所述的api接口的安全防护处理方法。

56、本技术提供的api接口的安全防护处理方法、装置、设备和存储介质，该方法通过获取iast检测模块发送的api信息，所述api信息包括：多个api接口对应的风险信息；根据所述多个api接口对应的风险信息，确定每个api接口对应的目标风险点位；根据多个目标风险点位，生成与每个api接口对应的目标防御逻辑；将多个目标防御逻辑发送至rasp防御模块，以使所述rasp防御模块根据所述多个目标防御逻辑对每个api接口对应的风险点位进行安全防护处理；该方法提高了对api风险和相关攻击行为的处置效率和准确率，实现了系统对api攻击的主动防御，弥补了原有api安全防护体系的不足。