一种API的风险确定方法、装置、设备及介质与流程

一种api的风险确定方法、装置、设备及介质
技术领域
1.本发明涉及网络安全技术领域，尤其涉及一种应用程序接口(application programming interface，api)的风险确定方法、装置、设备及介质。


背景技术：

2.随着企业互联网进程的不断深入，越来越多的业务被迁移到云端。使得企业需要使用大量的api进行业务交互和对外服务，例如使用表述性状态转移(representational state transfer-ful，restful)api进行业务交互和对外服务。攻击者为了获取数据，通常通过api进行利用渗透，以获得更大的收益。
3.现有技术中在检测每个api是否因遭到攻击存在风险时，是通过各检测设备及预设的检测规则对api进行单点检测，然而单点检测只是进行了一次检测，其所检测出的api是否遭到攻击并不一定准确。另外不同的攻击手段所具备的危害性不同，对api造成的损失也是不同的。不同的api的重要程度相同，对不同的api进行攻击所造成的风险也是不同的。


技术实现要素：

4.本发明实施例提供了一种api的风险确定方法、装置、设备及介质，用提高每个api的风险评估的准确性。
5.第一方面，本发明实施例提供了一种api的风险确定方法，所述方法包括：
6.若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api；
7.针对每个被检测的api，获取携带该api的每个目标告警信息；获取所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
8.进一步地，所述当前满足风险确定条件包括：
9.若接收到风险确定请求，则确定当前满足风险确定条件；或
10.若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
11.进一步地，所述采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值包括：
12.根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的
攻击的概率值；
13.根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
14.进一步地，所述根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值包括：
15.确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
16.进一步地，所述采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值包括：
17.根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
18.进一步地，所述根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值包括：
19.确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
20.进一步地，所述采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值包括：
21.根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
22.进一步地，所述根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值包括：
23.确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api遭到该告警类别的攻击的第一风险值。
24.进一步地，所述根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值包括：
25.根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；
26.根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；
27.根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
28.进一步地，所述根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值包括：
29.确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
30.第二方面，本发明实施例还提供了一种api的风险确定装置，所述装置包括：
31.获取模块，用于若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api；
32.处理模块，用于针对每个被检测的api，获取携带该api的每个目标告警信息；获取
所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
33.进一步地，所述获取模块，具体用于若接收到风险确定请求，则确定当前满足风险确定条件；或若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
34.进一步地，所述处理模块，具体用于根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值；根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
35.进一步地，所述处理模块，具体用于确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
36.进一步地，所述处理模块，具体用于根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
37.进一步地，所述处理模块，具体用于确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
38.进一步地，所述处理模块，具体用于根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
39.进一步地，所述处理模块，具体用于确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api遭到该告警类别的攻击的第一风险值。
40.进一步地，所述处理模块，具体用于根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
41.进一步地，所述处理模块，具体用于确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
42.第三方面，本发明实施例还提供了一种电子设备，所述电子设备至少包括处理器和存储器，所述处理器用于执行存储器中存储的计算机程序时执行上述任一所述api的风险确定方法的步骤。
43.第四方面，本发明实施例还提供了一种计算机可读存储介质，其存储有计算机程序，所述计算机程序被处理器执行时执行上述任一所述api的风险确定方法的步骤。
44.在本发明实施例中，在当前满足风险确定条件时，电子设备获取当前时间之前预设时间长度内接收到的每个告警信息，并获取每个告警信息中携带的被检测的api。针对每个被检测的api，获取携带该api的每个目标告警信息；获取每个目标告警信息中携带的告
警类别，并针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，根据该目标数量、该告警类别的威胁等级及该api的重要等级，确定该api遭到该告警类别的攻击的第一风险值，并根据该api遭到每种告警类别的攻击的第一风险值、该api的重要等级及每种告警类别对应的威胁等级，确定该api的目标风险值。由于在本发明实施例中，在确定某一api的目标风险值时，针对预设时间长度内接收到的告警信息，确定的第一风险值，并不只是针对某一次告警信息进行的确定，因此可以准确地确定出该api遭到每个告警类别的攻击的第一风险值。在本发明实施例中根据第一风险值、该api的重要等级及每种告警类别的威胁等级，可以提高该api的风险评估的准确性。
附图说明
45.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
46.图1为本发明实施例提供的一种api的风险确定过程示意图；
47.图2为本发明实施例提供的一种api的风险确定过程示意图；
48.图3为本发明实施例提供的一种api的风险确定装置结构示意图；
49.图4为本发明提供的一种电子设备结构示意图。
具体实施方式
50.下面将结合附图对本发明作进一步地详细描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
51.为了提高每个api风险评估的准确性，本发明实施例提供了一种api的风险确定方法、装置、设备及介质。
52.实施例1：
53.图1为本发明实施例提供的一种api的风险确定过程示意图，该过程包括以下步骤：
54.s101：若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api。
55.本发明实施例提供的api的风险确定方法应用于电子设备，该电子设备可以为pc或服务器等智能设备。
56.在本发明实施例中，当有确定api的风险的需求时，因为每个告警信息中携带有被检测的api，因此可以获取每个告警信息，基于该每个告警信息其中携带的被检测的api。
57.具体的，可以是在当前满足风险确定条件时，电子设备确定当前有确定api的风险的需求。其中，该风险确定条件可以为接收到某一种类型的告警信息，则确定当前满足风险确定条件。
58.由于仅根据单次告警结果无法准确地确定api的风险，因此在本发明实施例中，在
当前满足风险确定条件时，电子设备获取当前时间之前预设时间长度内接收到的每个告警信息。具体的，电子设备中可以保存有接收到每个告警信息的时间，根据接收到告警信息的时间，当前时间以及该预设时间长度，可以确定在该当前时间之前的该预设时间长度内接收到的每个告警信息。该预设时间长度δt可以为任意时长，例如2小时(hours，h)，该预设时间长度的取值可根据需要灵活配置。
59.为了确定每个api是否存在风险，电子设备在获取到当前时间之前预设时间长度内接收到的每个告警信息之后，获取该每个告警信息中携带的每个api，进而可以针对每个被检测的api，确定该api是否存在风险。
60.s102：针对每个被检测的api，获取携带该api的每个目标告警信息；获取所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
61.在本发明实施例中，电子设备针对每个被检测的api，可以确定该api的目标风险值，该目标风险值的大小可以表示该api存在风险的大小，其中目标风险值越大，说明该api存在风险的可能越大，反之，目标风险值越小，说明该api存在风险的可能越小。电子设备在确定该api的目标风险值时，可以确定该api遭到每个告警类别的攻击的第一风险值，根据该api遭到每个告警类别的攻击的第一风险值，确定该api的目标风险值。其中，告警类别包括结构化查询语言(structured query language，sql)注入、命令注入、异常行为、脆弱性认证等。
62.每种api都可能会遭受到不同类型的攻击，相应的告警信息的告警类别也就不同，为了确定每个api是否存在风险，在本发明实施例中可以针对每个被检测的api，统计该api遭到每一种告警类别的攻击的第一风险值。由于api遭到某一告警类别的攻击的概率越大，该api遭到该告警类别的攻击的第一风险值越大，且该api遭到该告警类别的损失越大。因此电子设备可以先针对每个告警类别，确定每个api遭到该告警类别的攻击的第一风险值。
63.具体的在确定第一风险值时，第一风险值与该api遭到该告警类别的攻击的目标概率值及损失数值有关。因此需要先确定该api遭到该告警类别的攻击的目标概率值及损失数值。
64.针对每个告警类别，由于告警信息中携带该告警类别的目标告警信息的数量越多，则api遭到该告警类别的攻击的目标概率值越大。另外，由于每个告警信息中携带有对应的告警类别，因此电子设备可以先获取携带该告警类别的每个目标告警信息的目标数量，在获取到目标数量后，采用第一预设函数，根据预设数值及目标数量，确定api遭到该告警类别的攻击的目标概率值。
65.其中，确定该目标概率值的方式可以为确定该目标数量的倒数，确定该预设数值与该倒数的差值，将该差值确定为该api遭到该告警类别的攻击的目标概率值。
66.由于某一api的重要等级越高，该api遭到攻击的损失数值越大；某一告警类别的
威胁等级越高，遭到该告警类别的攻击的api的损失数值越大。电子设备中预设有每个api的重要等级，及每个告警类别的威胁等级，其中，每个api的重要等级，及每个告警类别的威胁等级为工作人员预先设置的。电子设备在针对每个被检测的api，确定该api遭到某一告警类别的攻击的损失数值时，可以采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值。
67.针对每个被检测的api，电子设备在确定该api遭到某一告警类别的攻击的第一风险值时，可以在确定该api遭到该告警类别的攻击的目标概率值，及该api遭到该告警类别的攻击的损失数值后，采用第三预设函数，根据该目标概率值及该损失函数，确定该api遭到该告警类别的攻击的第一风险值。
68.由于api遭到每个告警类别的攻击的第一风险值越高，则api的目标风险值越高，且api的目标风险值与api的遭到每个告警类别的攻击的损失数值相关，因此在本发明实施例中，针对每个被检测的api，电子设备可以根据该api遭到每个告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
69.另外，在本发明实施例中，告警信息可以为检测设备发送至电子设备的，具体的，可以是检测设备根据预设的不同的规则，对不同的告警类别进行检测。其中，该规则可以为管理人员梳理api相关的检测场景，例如，sql注入、异常时段访问、认证脆弱性利用等，对应形成对应告警类别的规则列表scel＝[ruleidi]，i为告警类别的标识，ruleidi为检测设备检测第i类告警类别时对应采用的规则，在本发明实施例中规则列表可以保存在告警规则库中。
[0070]
由于在本发明实施例中，在确定某一api的目标风险值时，针对预设时间长度内接收到的告警信息，确定的第一风险值，并不只是针对某一次告警信息进行的确定，因此可以准确地确定出该api遭到每个告警类别的攻击的第一风险值。在本发明实施例中根据第一风险值、该api的重要等级及每种告警类别的威胁等级，可以提高该api的风险评估的准确性。
[0071]
实施例2：
[0072]
为了确定当前是否满足风险确定条件，在上述实施例的基础上，在本发明实施例中，所述当前满足风险确定条件包括：
[0073]
若接收到风险确定请求，则确定当前满足风险确定条件；或
[0074]
若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
[0075]
在本发明实施例中，可以是电子设备接收到风险确定请求，则确定当前满足风险确定条件。例如，可以是管理人员通过预设设备向电子设备发送风险确定请求。
[0076]
另外，在本发明实施例中，还可以是电子设备中保存有上次进行风险确定的时间，实时确定当前时间与上次进行风险确定的时间之间的时间间隔，并确定该时间间隔是否达到设定时间阈值，若达到设定时间阈值，则确定当前满足风险确定条件。该设定时间阈值可以为任意时长，例如，2h。
[0077]
具体的，在电子设备运行过程中实时接收检测设备上报的告警信息，并保存接收到的告警信息，例如可以将告警信息保存在数据库中。并针对每个被检测的api，周期性对该api的目标风险值进行确定。例如当设定时间阈值δstep为1h时，则表示每间隔1h，确定
一次该api的目标风险值。其中，设定时间阈值δstep可根据需要灵活配置，但不宜过大。其中，为了避免连续两次确定目标风险值时，多次获取某些告警信息，在本发明实施例中该设定时间阈值大于上述描述的预设时间长度，也就是说设定时间阈值δstep》δt。
[0078]
在本发明实施例中，针对每个被检测的api，电子设备可以通过该设定时间阈值，对该api的目标风险值进行周期性确定，从而可以根据所确定出该api的每个目标风险值及对应确定的时间，绘制对应的曲线，进而可以对该曲线进行显示，由此管理人员可以监测该api的当前的目标风险值，以及风险变化曲线。
[0079]
为了确定api遭到某一告警类别的攻击的目标概率值，在上述各实施例的基础上，在本发明实施例中，所述采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值包括：
[0080]
根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值；
[0081]
根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
[0082]
针对每个被检测的api，在确定该api遭到某一告警类别的攻击的目标概率值时，携带该告警类别的目标告警信息的数量越多，则该api遭到该告警类别的目标概率值越大。因此电子设备可以根据获取携带该告警类别的目标告警信息的目标数量，确定该api遭到该告警类别的攻击的目标概率值。
[0083]
针对每个被检测的api，在确定该api遭到某一告警类别的攻击的目标概率值时，电子设备可以先确定第一预设数值，与携带该告警类别的目标告警信息的目标数量的第一乘积，其中，该第一预设数值为任意负数，从而使得该目标数量越大，该第一乘积越小，在确定第一乘积后，可以根据该第一乘积确定该api未遭到该告警类别的攻击的概率值，从而使得该第一乘积越大，该概率值越大，也就是说目标数量越大，该第一乘积越小，该api未遭到该告警类别的攻击的概率值越小，从而可以准确地确定出该api未遭到该告警类别的攻击的概率值。
[0084]
在确定该api未遭到该告警类别的攻击的概率值后，电子设备可以确定第二预设数值与该概率值的差值，该差值即为该api遭到该告警类别的攻击的概率值。由于概率值为大于0小于1的数值，因此该第二预设数值为大于0且不大于1的数值。
[0085]
为了确定api未遭到某一告警类别的攻击的概率值，在上述各实施例的基础上，在本发明实施例中，根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值包括：
[0086]
确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
[0087]
在本发明实施例中，在确定第一预设数值与目标数量的第一乘积后，可以确定第三预设数值为底数，该第一乘积为指数时，得到的数值，该数值即为该api未遭到该告警类别的攻击的概率值。其中，该第三预设数值为大于1的任意数值，例如为e。从而可以使得该概率值小于1，更符合实际应用场景，另外还可以使得该第一乘积越大，该概率值越大，也就是说目标数量越大，该第一乘积越小，该api未遭到该告警类别的攻击的概率值越小，从而可以准确地确定出该api未遭到该告警类别的攻击的概率值。
[0088]
其中，在本发明实施例中，若该第三预设数值为e，则针对每个被检测的api，该api遭到某一告警类别的攻击的目标概率值可以通过以下方式确定：
[0089]
a-e
r*cnti
[0090]
其中，“a”为第二预设数值，“r”为第一预设数值，cnti为目标数量。
[0091]
在本发明实施例中，可以通过调整第一预设数值，调整目标数量与被攻击的目标概率值的关系，例如r＝-0.3，a＝1，cnti＝10时，1-e
r*cnti
近似于1，则表明携带该告警类别的目标告警信息出现10次时，该api遭到该告警类别的攻击的目标概率值几乎为1。
[0092]
实施例3：
[0093]
为了确定api遭到某一告警类别的攻击的损失数值，在上述各实施例的基础上，在本发明实施例中，所述采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值包括：
[0094]
根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
[0095]
由于某一api的重要等级越高，该api遭到攻击的损失数值越大，某一告警类别的威胁等级越高，遭到该告警类别的攻击的api的损失数值越大。因此电子设备针对每个被检测的api，在确定该api遭到某一告警类别的攻击的损失数值时，可以获取预设的该api的重要等级与该告警类别的威胁等级的第二乘积，该api的重要等级越高，则该第二乘积越大，该告警类别的威胁等级越高，第二乘积越大，则该api遭到该告警类别的攻击的损失数值越大。因此电子设备可以根据该第二乘积，确定该api遭到该告警类别的攻击的损失数值。该损失数值代表该告警类别的风险对该api造成的损失，该损失数值综合考虑了告警类别的威胁等级和api的重要等级。具体的，电子设备可以确定该第二乘积与任意正整数的乘积为该api遭到该告警类别的攻击的损失数值，也可以确定该第二乘积与任意数值的和值为该api遭到该告警类别的攻击的损失数值。
[0096]
在本发明实施例中，可以预先通过资产扫描器主动识别包含哪几种api，或者通过设计/代码审查的方式梳理包含哪几种api。管理人员结合用户业务特性，制定每个api的重要等级，输出api的重要等级知识库assetl＝[《apia,assetlevela》],该a为api的标识，其中assetlevela为apia的重要等级。可以将该api的重要等级分为3个等级，例如管理人员可以预先将重要程度较高的api的重要等级确定为3，将重要程度次之的api的重要等级确定为2，将重要程度较低的api的重要等级确定为1。在本发明实施例中，电子设备可以在该重要等级知识库中获取该api的重要等级。
[0097]
为了确定api遭到某一告警类别的攻击的损失数值，在上述各实施例的基础上，在本发明实施例中，所述根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值包括：
[0098]
确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
[0099]
在本发明实施例中，电子设备针对每个被检测的api，在确定该api遭到某一告警类别的攻击的损失数值时，可以确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，可以确定该第二乘积为该api遭到该告警类别的攻击的损失数值。从而使得该api的重要等级越高，该api遭到攻击的损失数值越大，该告警类别的威胁等级越高，该
api遭到该告警类别的攻击的api的损失数值越大，从而可以准确地确定出该api遭到该告警类别的攻击的损失数值。
[0100]
其中，电子设备针对每个被检测的api，在确定该api遭到某一告警类别的攻击的损失数值时，若确定对应的第二乘积为该api遭到该告警类别的攻击的损失数值，则电子设备可以根据以下公式确定该api遭到该告警类别的攻击的损失数值：
[0101]
alarmlevel*assetleveli[0102]
i为告警类别的标识，alarmlevel为该api的重要等级，assetleveli为该第i类告警类别的威胁等级。
[0103]
为了确定api遭到某一告警类别的攻击的第一风险值，在上述各实施例的基础上，在本发明实施例中，所述采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值包括：
[0104]
根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
[0105]
针对每个被检测的api，在确定该api遭到某一告警类别的攻击的第一风险值时，该api遭到该告警类别的攻击的目标概率值越高，该api遭到该告警类别的攻击的第一风险值越大，且该api遭到该告警类别的攻击的损失数值越大，该api遭到该告警类别的攻击的第一风险值越大。因此电子设备可以获取该api遭到该告警类别的攻击的目标概率值，及该api遭到该告警类别的攻击的损失数值，并确定该目标概率值与该损失数值的第三乘积，由于该api遭到该告警类别的攻击的目标概率值越大，该第三乘积越大，且该api遭到该告警类别的攻击的损失数值越大，该第三乘积越大，因此电子设备可以根据该第三乘积，确定该api遭到该告警类别的攻击的第一风险值。具体的，电子设备可以确定该第三乘积与任意正整数的乘积为该api遭到该告警类别的攻击的第一风险值，也可以确定该第三乘积与任意数值的和值为该api遭到该告警类别的攻击的第一风险值。
[0106]
为了确定api遭到某一告警类别的攻击的第一风险值，在上述各实施例的基础上，在本发明实施例中，所述根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值包括：
[0107]
确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api遭到该告警类别的攻击的第一风险值。
[0108]
针对每个被检测的api，在确定该api遭到某一告警类别的攻击的第一风险值时，电子设备可以获取该api遭到该告警类别的攻击的目标概率值，及该api遭到该告警类别的攻击的损失数值，并确定该目标概率值与该损失数值的第三乘积为该api遭到该告警类别的攻击的第一风险值。从而可以使得该目标概率值越大，该api遭到该告警类别的攻击的第一风险值越大，该损失数值越大，该api遭到该告警类别的攻击的第一风险值越大，从而可以准确地确定出api遭到该告警类别的攻击的第一风险值。
[0109]
在本发明实施例中，针对每个被检测的api，在确定该api遭到某一告警类别的攻击的第一风险值时，可以通过以下公式确定该api遭到该告警类别的攻击的第一风险值：
[0110]
riski＝(1-e
r*cnti
)*(alarmleveli*assetleveli)
[0111]
其中，i为该告警类别的标识，riski为该api遭到该告警类别的攻击的第一风险值，1为第一预设数值，r为第二预设数值，cnti为目标数量。
[0112]
实施例4：
[0113]
为了确定api的目标风险值，在上述各实施例的基础上，在本发明实施例中，所述根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值包括：
[0114]
根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；
[0115]
根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；
[0116]
根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
[0117]
针对每个被检测的api，在确定该api的风险值时，该api遭到每个告警类别的攻击的第一风险值越高，则该api遭到攻击的第二风险值越高，因此电子设备可以先确定该api遭到每种告警类别的攻击的第一风险值的第一和值，根据该第一和值，确定该api遭到攻击的第二风险值。具体的，电子设备可以确定该第一和值为该api遭到攻击的第二风险值，还可以确定该第一和值与任意正数的乘积为该api遭到攻击的第二风险值。
[0118]
由于可能存在重要等级较高的api被检测到遭到攻击的告警信息的数量较少，重要等级较低的api被检测到遭到攻击的告警信息的数量较多，那么仅根据api遭到攻击的风险值，确定api的目标风险值可能不够准确。因此在本发明实施例中，针对每个被检测的api，电子设备可以获取该api遭到每种告警类别的攻击的损失数值的第二和值，并在获取到第二和值之后，根据该第一和值与第二和值的比值，确定该api的目标风险值。具体的，电子设备可以确定该比值与预设数值的乘积为该api的目标风险值。
[0119]
为了确定api的目标风险值，在上述各实施例的基础上，在本发明实施例中，所述根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值包括：
[0120]
确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
[0121]
针对每个被检测的api，在确定该api的目标风险值时，电子设备可以确定该api遭到攻击的第二风险值，及该api遭到攻击的目标损失数值，在确定第二风险值及目标损失数值后，可以确定第二风险值与目标损失数值的比值，为该api的目标风险值。
[0122]
其中，针对每个被检测的api，在确定该api的目标风险值时，若电子设备确定该比值为该api的目标风险值，则电子设备可以根据以下公式确定该api的目标风险值：
[0123]
risk＝∑iriski/∑i(alarmleveli*assetleveli)
[0124]
其中，risk为该api的目标风险值，i为某一告警类别的标识，riski为该api遭到第i类告警类别的攻击的第一风险值，alarmleveli为该api遭到第i类告警类别时获取到的该api的重要等级，其中，该api遭到每类告警类别时获取到的该api的重要等级均一致，assetleveli为第i类告警类别的威胁等级。
[0125]
图2为本发明实施例提供的一种api的风险确定过程示意图。
[0126]
由图2可知，由管理人员预先配置有api的重要等级及每个告警信息对应的检测规则，并将api的重要等级保存在api的重要等级知识库中，将每个告警信息对应的检测规则保存在告警规则库中，电子设备根据接收到的告警信息周期性进行风险确定，对应确定每个api的目标风险值，从而绘制每个api的风险曲线。
[0127]
实施例5：
[0128]
图3为本发明实施例提供的一种api的风险确定装置结构示意图，所述装置包括：
[0129]
获取模块301，用于若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api；
[0130]
处理模块302，用于针对每个被检测的api，获取携带该api的每个目标告警信息；获取所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
[0131]
在一种可能的实施方式中，所述获取模块301，具体用于若接收到风险确定请求，则确定当前满足风险确定条件；或若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
[0132]
在一种可能的实施方式中，所述处理模块302，具体用于根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值；根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
[0133]
在一种可能的实施方式中，所述处理模块302，具体用于确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
[0134]
在一种可能的实施方式中，所述处理模块302，具体用于根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
[0135]
在一种可能的实施方式中，所述处理模块302，具体用于确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
[0136]
在一种可能的实施方式中，所述处理模块302，具体用于根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
[0137]
在一种可能的实施方式中，所述处理模块302，具体用于确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api遭到该告警类别的攻击的第一风险值。
[0138]
在一种可能的实施方式中，所述处理模块302，具体用于根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
[0139]
在一种可能的实施方式中，所述处理模块302，具体用于确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
[0140]
实施例6：
[0141]
图4为本发明提供的一种电子设备结构示意图，在上述各实施例的基础上，本发明实施例还提供了一种电子设备，如图4所示，包括：处理器401、通信接口402、存储器403和通信总线404，其中，处理器401，通信接口402，存储器403通过通信总线404完成相互间的通信；
[0142]
所述存储器403中存储有计算机程序，当所述程序被所述处理器401执行时，使得所述处理器401执行如下步骤：
[0143]
若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api；
[0144]
针对每个被检测的api，获取携带该api的每个目标告警信息；获取所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
[0145]
在一种可能的实施方式中，所述当前满足风险确定条件包括：
[0146]
若接收到风险确定请求，则确定当前满足风险确定条件；或
[0147]
若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
[0148]
在一种可能的实施方式中，所述采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值包括：
[0149]
根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值；
[0150]
根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
[0151]
在一种可能的实施方式中，所述根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值包括：
[0152]
确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
[0153]
在一种可能的实施方式中，所述采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值包括：
[0154]
根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
[0155]
在一种可能的实施方式中，所述根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值包括：
[0156]
确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确
定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
[0157]
在一种可能的实施方式中，所述采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值包括：
[0158]
根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
[0159]
在一种可能的实施方式中，所述根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值包括：
[0160]
确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api遭到该告警类别的攻击的第一风险值。
[0161]
在一种可能的实施方式中，所述根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值包括：
[0162]
根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；
[0163]
根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；
[0164]
根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
[0165]
在一种可能的实施方式中，所述根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值包括：
[0166]
确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
[0167]
上述服务器提到的通信总线可以是外设部件互连标准(peripheral component interconnect，pci)总线或扩展工业标准结构(extended industry standard architecture，eisa)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示，图中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。
[0168]
通信接口用于上述电子设备与其他设备之间的通信。
[0169]
存储器可以包括随机存取存储器(random access memory，ram)，也可以包括非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。可选地，存储器还可以是至少一个位于远离前述处理器的存储装置。
[0170]
上述处理器可以是通用处理器，包括中央处理器、网络处理器(network processor，np)等；还可以是数字指令处理器(digital signal processing，dsp)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
[0171]
实施例7：
[0172]
在上述各实施例的基础上，本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质内存储有可由电子设备执行的计算机程序，当所述程序在所述电子设备上运行时，使得所述电子设备执行时实现如下步骤：
[0173]
所述存储器中存储有计算机程序，当所述程序被所述处理器执行时，使得所述处理器执行如下步骤：
[0174]
若当前满足风险确定条件，则根据保存的接收到每个告警信息的时间，获取当前
时间之前预设时间长度内接收到的每个告警信息；并获取所述每个告警信息中携带的被检测的api；
[0175]
针对每个被检测的api，获取携带该api的每个目标告警信息；获取所述每个目标告警信息中携带的告警类别；针对每个告警类别，统计携带该告警类别的目标告警信息的目标数量，采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值；采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值；采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值；根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值。
[0176]
在一种可能的实施方式中，所述当前满足风险确定条件包括：
[0177]
若接收到风险确定请求，则确定当前满足风险确定条件；或
[0178]
若当前时间与上次进行风险确定的时间之间的时间间隔达到设定时间阈值，则确定当前满足风险确定条件。
[0179]
在一种可能的实施方式中，所述采用第一预设函数，根据预设数值及所述目标数量，确定该api遭到该告警类别的攻击的目标概率值包括：
[0180]
根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值；
[0181]
根据第二预设数值与所述概率值的差值，确定该api遭到该告警类别的攻击的目标概率值。
[0182]
在一种可能的实施方式中，所述根据第一预设数值与所述目标数量的第一乘积，确定该api未遭到该告警类别的攻击的概率值包括：
[0183]
确定第一预设数值与所述目标数量的第一乘积，确定第三预设数值为底数，所述第一乘积为指数的数值，为该api未遭到该告警类别的攻击的概率值。
[0184]
在一种可能的实施方式中，所述采用第二预设函数，根据预设的该api的重要等级及该告警类别的威胁等级，确定该api遭到该告警类别的攻击的损失数值包括：
[0185]
根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值。
[0186]
在一种可能的实施方式中，所述根据预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，确定该api遭到该告警类别的攻击的损失数值包括：
[0187]
确定预设的该api的重要等级与预设的该告警类别的威胁等级的第二乘积，并确定所述第二乘积为该api遭到该告警类别的攻击的损失数值。
[0188]
在一种可能的实施方式中，所述采用第三预设函数，根据所述目标概率值及所述损失数值，确定该api遭到该告警类别的攻击的第一风险值包括：
[0189]
根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值。
[0190]
在一种可能的实施方式中，所述根据所述目标概率值与所述损失数值的第三乘积，确定该api遭到该告警类别的攻击的第一风险值包括：
[0191]
确定所述目标概率值与所述损失数值的第三乘积，并确定所述第三乘积为该api
遭到该告警类别的攻击的第一风险值。
[0192]
在一种可能的实施方式中，所述根据该api遭到每种告警类别的攻击的第一风险值，及该api遭到每种告警类别的攻击的损失数值，确定该api的目标风险值包括：
[0193]
根据该api遭到每种告警类别的攻击的第一风险值的第一和值，确定该api遭到攻击的第二风险值；
[0194]
根据该api遭到每种告警类别的攻击的损失数值的第二和值，确定该api遭到攻击的目标损失数值；
[0195]
根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值。
[0196]
在一种可能的实施方式中，所述根据所述第二风险值与所述目标损失数值的比值，确定该api的目标风险值包括：
[0197]
确定所述第二风险值与所述目标损失数值的比值，并确定所述比值为该api的目标风险值。
[0198]
本领域内的技术人员应明白，本发明的实施例可提供为方法、系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
[0199]
本发明是参照根据本发明的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
[0200]
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
[0201]
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
[0202]
显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。