风险识别方法、装置、电子设备及存储介质与流程

1.本公开涉及人工智能技术，特别涉及网络安全以及机器学习等领域的风险识别方法、装置、电子设备及存储介质。


背景技术：

2.随着互联网技术的发展，越来越多的接口暴露在互联网上，通过接口可以实现各种功能，如注册账号、发帖回帖等。合法的接口访问请求通常来自客户端，而黑产为了滥用接口，会实施脱端攻击，即脱离合法客户端，仅使用网络库来访问接口从而实施攻击，从而导致接口存在安全风险。


技术实现要素：

3.本公开提供了风险识别方法、装置、电子设备及存储介质。
4.一种风险识别方法，包括：
5.针对待处理接口，采集对应的访问请求的流量数据，任一访问请求分别对应一个指纹；
6.根据采集到的流量数据，确定出存在安全风险的风险指纹；
7.对之后获取到的所述风险指纹对应的访问请求进行拦截。
8.一种风险识别装置，包括：采集模块、识别模块以及拦截模块；
9.所述采集模块，用于针对待处理接口，采集对应的访问请求的流量数据，任一访问请求分别对应一个指纹；
10.所述识别模块，用于根据采集到的流量数据，确定出存在安全风险的风险指纹；
11.所述拦截模块，用于对之后获取到的所述风险指纹对应的访问请求进行拦截。
12.一种电子设备，包括：
13.至少一个处理器；以及
14.与所述至少一个处理器通信连接的存储器；其中，
15.所述存储器存储有可被所述至少一个处理器执行的指令，所述指令被所述至少一个处理器执行，以使所述至少一个处理器能够执行如以上所述的方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质，所述计算机指令用于使计算机执行如以上所述的方法。
17.一种计算机程序产品，包括计算机程序/指令，所述计算机程序/指令被处理器执行时实现如以上所述的方法。
18.应当理解，本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征，也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
19.附图用于更好地理解本方案，不构成对本公开的限定。其中：
20.图1为本公开所述风险识别方法第一实施例的流程图；
21.图2为本公开所述风险识别方法第二实施例的流程图；
22.图3为本公开所述风险识别装置实施例300的组成结构示意图；
23.图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。
具体实施方式
24.以下结合附图对本公开的示范性实施例做出说明，其中包括本公开实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本公开的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
25.另外，应理解，本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。另外，本文中字符“/”，一般表示前后关联对象是一种“或”的关系。
26.图1为本公开所述风险识别方法第一实施例的流程图。如图1所示，包括以下具体实现方式。
27.在步骤101中，针对待处理接口，采集对应的访问请求的流量数据，任一访问请求分别对应一个指纹。
28.在步骤102中，根据采集到的流量数据，确定出存在安全风险的风险指纹。
29.在步骤103中，对之后获取到的所述风险指纹对应的访问请求进行拦截。
30.传统方式中，为了识别出脱端攻击，通常借助于令牌(token)/签名(sign)机制，但这种方式的实现复杂度较高，难以实现大规模防护。
31.而采用上述方法实施例所述方案，可基于采集到的针对接口的访问请求的流量数据，确定出风险指纹，并可对风险指纹对应的访问请求进行拦截，即可确定为脱端攻击，进行拦截，从而提升了接口的安全性，而且，实现方式简单，并可适用于任意的接口，具有广泛适用性。
32.在实际应用中，可将任一接口作为待处理接口，所述任一接口可为应用程序编程接口(api，application programming interface)。正常的流量数据通常来自客户端，如来自浏览器或应用等，而黑产进行攻击通常使用各种网络库。
33.针对待处理接口，可采集对应的访问请求的流量数据，每个访问请求分别对应一个指纹，根据采集到的流量数据，可确定出存在安全风险的风险指纹。
34.本公开的一个实施例中，可实时采集待处理接口对应的访问请求的流量数据，并且，可每经过预定时长，则根据所述预定时长内采集到的流量数据，确定出风险指纹。
35.所述预定时长的具体取值可根据实际需要而定，比如，一天(24小时)。
36.通过上述周期性处理，可及时发现新出现的风险指纹，从而进一步提升了待处理接口的安全性。
37.本公开的一个实施例中，针对每个预定时长内采集到的流量数据，可分别按照以下方式确定出风险指纹：确定出所述预定时长内采集到的流量数据对应的所有指纹，作为待识别指纹，针对任一待识别指纹，分别从所述预定时长内采集到的流量数据中筛选出该待识别指纹对应的流量数据，根据筛选出的流量数据确定出该待识别指纹是否为风险指
纹。
38.比如，假设一天内共采集到了1万(仅为举例说明，实际数字可能远大于此)条访问请求对应的流量数据，共对应100个不同的指纹(不同的访问请求可对应相同的指纹)，分别为指纹1～指纹100，那么针对每个指纹，可分别确定出其是否为风险指纹，比如，对于指纹1，可从一天内采集到的流量数据中筛选出指纹1对应的流量数据，进而可根据筛选出的指纹1对应的流量数据确定出指纹1是否为风险指纹。
39.通过上述方式，可高效准确地确定出哪些指纹为风险指纹，从而为后续处理奠定了良好基础。
40.本公开的一个实施例中，根据筛选出的流量数据确定出待识别指纹是否为风险指纹的方式可包括：针对待识别指纹，从筛选出的流量数据中提取出预定维度的特征，根据提取出的特征确定出待识别指纹的评分，根据所述评分确定出待识别指纹是否为风险指纹。
41.所述预定维度的特征具体包括哪些特征可根据实际需要而定。
42.借助于提取出的特征，可对待识别指纹进行风险程度评分，进而可根据所述评分，直观准确地确定出待识别指纹是否为风险指纹。
43.本公开的一个实施例中，可将提取出的特征作为评分模型的输入，从而得到评分模型输出的待识别指纹的评分。
44.评分模型可为训练得到的机器学习模型，由于指纹会随着浏览器、网络库等的升级而变化，因此通过静态方式无法实现对于最新流量的覆盖，为此，本公开所述方案中采用机器学习的方式实现对于指纹的评分，以提升风险指纹的识别结果的准确性和全面性等。
45.本公开的一个实施例中，响应于确定待识别指纹的评分大于预定阈值，可确定待识别指纹为风险指纹。所述预定阈值的具体取值可根据实际需要而定。
46.对于识别出的风险指纹，可对之后获取到的所述风险指纹对应的访问请求进行拦截。
47.本公开的一个实施例中，可将风险指纹记录到风险名单中，相应地，响应于确定获取到的访问请求对应的指纹位于风险名单中，可确定该访问请求为脱端攻击，并可拦截该访问请求。
48.比如，对于访问请求a，可确定其对应的指纹是否位于风险名单中，若是，则可确定访问请求a为风险请求，即脱端攻击，进而可对访问请求a进行拦截，反之，可放行，即可正常处理访问请求a。
49.随着本公开所述方案的不断执行，如随着天数的不断累积，风险名单中包括的风险指纹会越来越多，即风险名单会不断地进行更新，从而可及时识别出各种最新的脱端攻击，进而进一步提升了待处理接口的安全性等。
50.本公开的一个实施例中，所述访问请求可为安全超文本传输协议(https，hypertext transferprotocol secure)请求，所述指纹可为传输层安全性(tls，transport layer security)指纹ja3。
51.ja3指纹是一种常见的tls指纹，可表现为信息摘要算法5(md5，message digest algorithm 5)的形式，该指纹是由三个名字缩写均为ja的人共同开发的，因此称为ja3指纹。
52.现代接口出于安全隐私考虑，通常都会使用https协议来提供服务，客户端同云端
进行https通信时，需要首先进行tls握手，本公开所述方案中选择业内流行的ja3方法产出tls指纹，即ja3指纹。
53.以下即以https请求以及ja3指纹为例，对本公开所述方案进行进一步说明。
54.图2为本公开所述风险识别方法第二实施例的流程图。如图2所示，包括以下具体实现方式。
55.在步骤201中，针对待处理接口，实时采集对应的https请求的流量数据，每个https请求分别对应一个ja3指纹。
56.通常来说，https头部(header)会携带有ja3指纹对应的原始信息，可根据所述原始信息加工出ja3指纹。
57.在步骤202中，每经过预定时长，则执行步骤203～步骤207所示处理。
58.比如，所述预定时长可为一天。
59.在步骤203中，确定出所述预定时长内采集到的流量数据对应的所有ja3指纹，作为待识别ja3指纹。
60.待识别ja3指纹的个数通常为多个。
61.在步骤204中，针对每个待识别ja3指纹，分别按照步骤205～步骤207所示方式进行处理。
62.在步骤205中，从所述预定时长内采集到的流量数据中筛选出待识别ja3指纹对应的流量数据。
63.比如，待识别ja3指纹对应100条https请求，那么则可将这100条https请求对应的流量数据筛选出。
64.在步骤206中，从筛选出的流量数据中提取出预定维度的特征。
65.也就是说，可以ja3指纹为聚合键(key)，从所述预定时长内采集到的流量数据中提取出预定维度的特征。
66.比如，可提取出分别属于访问行为、ip/浏览器/操作系统分布以及tls成分等类型的共200 维度特征。
67.在步骤207中，将提取出的特征作为评分模型的输入，得到评分模型输出的待识别ja3指纹的评分，若确定所述评分大于预定阈值，则将待识别ja3指纹确定为风险ja3指纹，否则，确定为非风险ja3指纹。
68.所述评分模型可为预先训练得到的机器学习模型，另外，所述评分模型具体为何种模型不作限制，可根据实际需要而定，比如，所述评分模型可为无监督模型，如孤立森林(isolation forest)模型，也可为有监督模型，如支持向量机模型。
69.以所述评分模型为有监督模型为例，可首先获取训练样本，如按照本公开所述方式进行特征提取，并人工标注对应的评分(即标签)，进而可利用训练样本训练评分模型，即使得评分模型基于训练样本学习到评分方式。
70.对于每个待识别ja3指纹来说，要么判定其为风险ja3指纹，要么判定其为非风险ja3指纹。
71.在步骤208中，对获取到的风险ja3指纹对应的https请求进行拦截。
72.比如，可将风险ja3指纹记录到风险名单中，相应地，针对获取到的任一https请求，若确定其对应的ja3指纹位于风险名单中，则可确定该https请求为脱端攻击，并可拦截
该https请求，否则，可放行该https请求。
73.需要说明的是，对于前述的各方法实施例，为了简单描述，将其都表述为一系列的动作组合，但是本领域技术人员应该知悉，本公开并不受所描述的动作顺序的限制，因为依据本公开，某些步骤可以采用其它顺序或者同时进行，比如，步骤208可与前述各步骤并行执行。其次，本领域技术人员也应该知悉，说明书中所描述的实施例均属于优选实施例，所涉及的动作和模块并不一定是本公开所必须的。另外，某个实施例中没有详述的部分，可以参见其它实施例中的相关说明。
74.总之，采用本公开方法实施例所述方案，提升了接口的安全性，而且，实现方式简单，并可适用于任意的接口，具有广泛适用性。
75.以上是关于方法实施例的介绍，以下通过装置实施例，对本公开所述方案进行进一步说明。
76.图3为本公开所述风险识别装置实施例300的组成结构示意图。如图3所示，包括：采集模块301、识别模块302以及拦截模块303。
77.采集模块301，用于针对待处理接口，采集对应的访问请求的流量数据，任一访问请求分别对应一个指纹。
78.识别模块302，用于根据采集到的流量数据，确定出存在安全风险的风险指纹。
79.拦截模块303，用于对之后获取到的所述风险指纹对应的访问请求进行拦截。
80.采用上述装置实施例所述方案，可基于采集到的针对接口的访问请求的流量数据，确定出风险指纹，并可对风险指纹对应的访问请求进行拦截，即可确定为脱端攻击，进行拦截，从而提升了接口的安全性，而且，实现方式简单，并可适用于任意的接口，具有广泛适用性。
81.在实际应用中，可将任一接口作为待处理接口，所述任一接口可为api接口。
82.针对待处理接口，采集模块301可采集对应的访问请求的流量数据，每个访问请求分别对应一个指纹，识别模块302可根据采集到的流量数据，确定出存在安全风险的风险指纹。
83.本公开的一个实施例中，采集模块301可实时采集待处理接口对应的访问请求的流量数据，相应地，识别模块302可每经过预定时长，则根据所述预定时长内采集到的流量数据，确定出风险指纹。
84.所述预定时长的具体取值可根据实际需要而定，比如，一天。
85.本公开的一个实施例中，针对每个预定时长内采集到的流量数据，识别模块302可分别按照以下方式确定出风险指纹：确定出所述预定时长内采集到的流量数据对应的所有指纹，作为待识别指纹，针对任一待识别指纹，分别从所述预定时长内采集到的流量数据中筛选出该待识别指纹对应的流量数据，根据筛选出的流量数据确定出该待识别指纹是否为风险指纹。
86.本公开的一个实施例中，识别模块302根据筛选出的流量数据确定出待识别指纹是否为风险指纹的方式可包括：针对待识别指纹，从筛选出的流量数据中提取出预定维度的特征，根据提取出的特征确定出待识别指纹的评分，根据所述评分确定出待识别指纹是否为风险指纹。
87.所述预定维度的特征具体包括哪些特征可根据实际需要而定。
88.本公开的一个实施例中，识别模块302可将提取出的特征作为评分模型的输入，从而得到评分模型输出的待识别指纹的评分。
89.评分模型可为训练得到的机器学习模型，由于指纹会随着浏览器、网络库等的升级而变化，因此通过静态方式无法实现对于最新流量的覆盖，为此，本公开所述方案中采用机器学习的方式实现对于指纹的评分，以提升风险指纹的识别结果的准确性和全面性等。
90.本公开的一个实施例中，识别模块302响应于确定待识别指纹的评分大于预定阈值，可确定待识别指纹为风险指纹。所述预定阈值的具体取值可根据实际需要而定。
91.对于识别出的风险指纹，拦截模块303可对之后获取到的所述风险指纹对应的访问请求进行拦截。
92.本公开的一个实施例中，拦截模块303可将风险指纹记录到风险名单中，相应地，响应于确定获取到的访问请求对应的指纹位于风险名单中，可确定该访问请求为脱端攻击，并可拦截该访问请求。
93.随着天数的不断累积，风险名单中包括的风险指纹会越来越多，即风险名单会不断地进行更新，从而可及时识别出各种最新的脱端攻击。
94.本公开的一个实施例中，所述访问请求可为https请求，所述指纹可为ja3指纹。
95.现代接口出于安全隐私考虑，通常都会使用https协议来提供服务，客户端同云端进行https通信时，需要首先进行tls握手，本公开所述方案中选择业内流行的ja3方法产出tls指纹，即ja3指纹。
96.图3所示装置实施例的具体工作流程可参照前述方法实施例中的相关说明，不再赘述。
97.总之，采用本公开装置实施例所述方案，提升了接口的安全性，而且，实现方式简单，并可适用于任意的接口，具有广泛适用性。
98.本公开所述方案可应用于人工智能领域，特别涉及网络安全以及机器学习等领域。人工智能是研究使计算机来模拟人的某些思维过程和智能行为(如学习、推理、思考、规划等)的学科，既有硬件层面的技术也有软件层面的技术，人工智能硬件技术一般包括如传感器、专用人工智能芯片、云计算、分布式存储、大数据处理等技术，人工智能软件技术主要包括计算机视觉技术、语音识别技术、自然语言处理技术以及机器学习/深度学习、大数据处理技术、知识图谱技术等几大方向。
99.本公开所述实施例中的流量数据并不是针对某一特定用户的，并不能反映出某一特定用户的个人信息。本公开的技术方案中，所涉及的用户个人信息的收集、存储、使用、加工、传输、提供和公开等处理，均符合相关法律法规的规定，且不违背公序良俗。
100.根据本公开的实施例，本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
101.图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字助理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本公开的实现。
102.如图4所示，设备400包括计算单元401，其可以根据存储在只读存储器(rom)402中的计算机程序或者从存储单元408加载到随机访问存储器(ram)403中的计算机程序，来执行各种适当的动作和处理。在ram 403中，还可存储设备400操作所需的各种程序和数据。计算单元401、rom 402以及ram 403通过总线404彼此相连。输入/输出(i/o)接口405也连接至总线404。
103.设备400中的多个部件连接至i/o接口405，包括：输入单元406，例如键盘、鼠标等；输出单元407，例如各种类型的显示器、扬声器等；存储单元408，例如磁盘、光盘等；以及通信单元409，例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
104.计算单元401可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元401的一些示例包括但不限于中央处理单元(cpu)、图形处理单元(gpu)、各种专用的人工智能(ai)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(dsp)、以及任何适当的处理器、控制器、微控制器等。计算单元401执行上文所描述的各个方法和处理，例如本公开所述的方法。例如，在一些实施例中，本公开所述的方法可被实现为计算机软件程序，其被有形地包含于机器可读介质，例如存储单元408。在一些实施例中，计算机程序的部分或者全部可以经由rom 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到ram 403并由计算单元401执行时，可以执行本公开所述的方法的一个或多个步骤。备选地，在其他实施例中，计算单元401可以通过其他任何适当的方式(例如，借助于固件)而被配置为执行本公开所述的方法。
105.本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(fpga)、专用集成电路(asic)、专用标准产品(assp)、芯片上系统的系统(soc)、复杂可编程逻辑设备(cpld)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
106.用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器，使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行，作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
107.在本公开的上下文中，机器可读介质可以是有形的介质，其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备，或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦除可编程只读存储器(eprom或快闪存储器)、光纤、便捷式紧凑盘只读存储器(cd-rom)、光学储存设备、磁储存设备、或
上述内容的任何合适组合。
108.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
109.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
110.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器，也可以为分布式系统的服务器，或者是结合了区块链的服务器。
111.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本公开公开的技术方案所期望的结果，本文在此不进行限制。
112.上述具体实施方式，并不构成对本公开保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等，均应包含在本公开保护范围之内。