[发明专利]一种API接口调用路径异常的检测方法及系统

权利要求书

1.一种API接口调用路径异常的检测系统，其特征在于：整个系统说明如下：

步骤一、持续地从大量的正常用户的访问路径中提取API的调用关系，不断扩展调用关系集合；

步骤二、对当前的一批数据，使用异常检测方法，找出异常的调用路径；

步骤三、利用调用关系集合，对步骤二中的异常结果进行再次确认，对确认为异常的结果进行告警。

2.一种使用权利要求1所述的API接口调用路径异常检测系统的检测方法，其特征在于：具体检测步骤如下所示：

S1、对每个应用，提取调用关系集合；

S1.1、数据提取：提取当前时间之前的一段时间的事件数据，并根据应用不同，对数据分组；

S1.2、数据预处理：对每组数据，从事件中提取相关字段，构成结构化数据记录；

S1.3、调用路径提取：利用关联分析算法，从大量的调用路径数据中，提取频繁调用路径；

S1.4、调用路径存储：将当前得到的调用关系集合，更新到数据库中；

S2、调用路径异常检测；

S2.1、数据提取：提取过去一段时间窗口内的数据，并以IP为主体，对调用路径按发生时间排序，提取API访问路径序列；

S2.2、特征提取：对每个主体的API访问路径序列，使用n-gram方法提取特征；

S2.3、特征向量化：对步骤S2.2中得到的n-gram特征，使用TF-IDF对特征向量化表示，每个主体表示为一维向量；

S2.4、异常检测：使用机器学习中的异常检测算法，对当前数据进行异常检测，得到异常的调用路径；

S3、异常行为确认；

S3.1、对每个异常结果，根据应用提取对应的调用关系集合；

S3.2、根据调用关系集合，对当前的异常调用路径序列，计算一个分值；

S3.3：若分值低于阈值，可认为是异常，产生一条异常告警。

3.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S1中每个应用提取调用关系集合方法为：采用离线系统，定时运行一次，利用关联分析算法，从用户的调用路径数据中提取频繁调用关系，添加到调用关系集合。

4.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S1.2中数据预处理以IP作为主体，对多条事件的数据进行聚合操作，得到每个主体的API访问路径。

5.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S1.3中调用路径提取时，考虑访问API的前后关系，并设定支持度阈值，出现次数大于支持度阈值的路径，可认为是频繁路径，将其添加到调用关系集合中。

6.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S2中调用路径异常检测判定方法：一个窗口内的数据，大量是正常的，少量是异常的，并且，异常的行为与正常行为有明显不同，基于这两个特点，使用异常检测算法寻找异常的调用路径。

7.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S3中异常行为确认利用调用关系集合对调用路径异常检测的结果进行确认，降低误报率。

8.根据权利要求2所述的一种API接口调用路径异常的检测方法，其特征在于：所述步骤S3.2中异常调用路径序列分值的计算具体步骤：对调用路径序列中的每个子序列，出现在调用关系集合中的给出一个分值1，未出现在调用关系集合中的给出一个分值2，对当前调用路径序列计算综合得分。