(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211301745.2 (22)申请日 2022.10.24 (71)申请人 北京星阑科技有限公司 地址 100080 北京市海淀区海淀大街38号 楼4层6-01室 (72)发明人 王郁　张贵川　 (74)专利代理 机构 北京超凡宏宇专利代理事务 所(特殊普通 合伙) 11463 专利代理师 彭星 (51)Int.Cl. H04L 9/40(2022.01) H04L 67/1396(2022.01) (54)发明名称 一种API访问行为检测方法、 装置、 设备及存 储介质 (57)摘要 本申请提供了一种API访问行为检测方法、 装置、 设备及存储介质， 其中， 根据API地址的时 间戳确定出每个检测时间段API地址的访问频 次； 对每个检测时间段API地址的访问频次进行 滑动窗口统计， 得到API地址的访问频次序列组； 对于每个访问频次序列， 确定出该访问频次序列 和每个异常特征序列之间的最小距离值； 对于每 个最小距离值， 判断该最小距离值是否超过第一 目标异常特征序列所对应的最小距离阈值； 对于 每个访问频次序列， 若每个所述异常特征序列的 最小距离值均超 过最小距离阈值， 则将该访问频 次序列中所对应的访问行为确定为正常。 采用上 述方法， 以根据API地址的访问行为确定 出API访 问行为的状态。 权利要求书3页 说明书14页 附图4页 CN 115378739 A 2022.11.22 CN 115378739 A 1.一种API访问行为检测方法， 其特 征在于， 所述方法包括； 根据应用程序接口API地址的访问时间戳确定出预设的至少一个检测时间段中的每个 检测时间段的所述API地址的访问频次， 其中， 每个所述检测时间段的时长相同， 每个所述 检测时间段之间无重 叠； 根据预设的滑动 步长和滑动窗口大小对每个检测时间段的所述API地址的访问频次进 行滑动窗口统计， 得到所述API地址的访问频次序列组， 其中， 所述访问频次序列组由每个 滑动窗口中所述API地址的访问频次序列组成， 每个滑动窗口中所述API地址的访问频次序 列由每个检测时间段的所述API 地址的访问频次组成； 对于所述API地址的访问频次序列组中的每个访 问频次序列， 利用预设的距离算法确 定出用于描述该访问频次序列和预设的至少一个异常特征序列中的每个异常特征序列之 间的最小偏差度的最小距离值， 其中， 该访问频次序列和每个所述异常特征序列均对应一 个最小距离值； 对于每个最小距离值， 判断该最小距离值是否超过第 一目标异常特征序列在预设的阈 值数据库中所对应的最小距离阈值， 其中， 所述第一 目标异常特征序列为利用所述距离算 法确定出 该最小距离值时所使用到的异常特 征序列； 对于所述API地址的访问频次序列组中的每个访 问频次序列， 若该访 问频次序列和每 个所述异常特征序列的最小距离值均超过其对应的最小距离阈值， 则将该访问频次序列中 所包含的访问频次所对应的访问行为确定为 正常。 2.根据权利要求1所述的方法， 其特征在于， 所述对于所述API地址的访 问频次序列组 中的每个访问频次序列， 利用预设的距离算法确定出用于描述该访问频次序列和预设的至 少一个异常特 征序列中的每 个异常特 征序列之间的最小偏差度的最小距离值， 包括： 对于所述API地址的访问频次序列组中的每个访 问频次序列， 根据预设的归一化算法 对该访问频次序列进行归一 化处理得到待压缩序列； 利用预设的维度压缩算法对所述待压缩序列进行维度压缩， 得到该访问频次序列的压 缩序列； 对于每个异常特征序列， 将该访问频次序列的压缩序列中的每个序列值和该异常特征 序列作为变量带入预设的距离算法中确定出用于描述该访问频次序列和该异常特征序列 之间的最小偏差度的最小距离值。 3.根据权利要求1所述的方法， 其特征在于， 在判断该最小距离值是否超过第 一目标异 常特征序列在预设的阈值数据库中所对应的最小距离阈值后， 所述方法还 包括： 对于所述API地址的访问频次序列组中的每个访 问频次序列， 若该访 问频次序列和每 个所述异常特征序列的最小距离值中出现未超过其对应的最小距离阈值的情况， 则利用预 设的欧氏距离算法确定出该访问频次序列和每个所述异常特征序列之 间的欧氏距离值， 其 中， 每个所述异常特 征序列与该访问频次序列 均具有一个欧氏距离值； 对于每个欧氏距离值， 判断该欧氏距离值是否超过第 二目标异常特征序列在所述阈值 数据库中所对应的标准欧氏距离值， 其中， 所述第二 目标异常特征序列为利用所述欧氏距 离算法确定出 该欧氏距离值时所使用到的异常特 征序列； 对于所述API地址的访问频次序列组中的每个访 问频次序列， 若该访 问频次序列和每 个所述异常特征序列的欧氏距离值均超过其对应的标准欧氏距离值， 则将该访问频次序列权　利　要　求　书 1/3 页 2 CN 115378739 A 2中所包含的访问频次所对应的访问行为确定为 正常。 4.根据权利要求3所述的方法， 其特征在于， 在判断该 欧氏距离值是否超过第 二目标异 常特征序列在所述阈值数据库中所对应的标准欧氏距离值后， 所述方法还 包括： 对于所述API地址的访问频次序列组中的每个访 问频次序列， 若该访 问频次序列和每 个所述异常特征序列的欧氏距离值中出现未超过其对应的标准欧氏距离值的情况， 则将该 访问频次序列中所包 含的访问频次所对应的访问行为确定为异常。 5.根据权利要求4所述的方法， 其特征在于， 在将该访问频次序列中所包含的访问频次 所对应的访问行为确定为异常后， 所述方法还 包括： 将所述第二目标异常特征序列在预设的异常信息数据库中所对应的目标异常信息向 用户进行展示。 6.一种API访问行为检测装置， 其特 征在于， 所述装置包括： 访问频次确定模块， 用于根据应用程序接口API地址的访 问时间戳确定出预设的至少 一个检测时间段中的每个检测时间段的所述API地址的访问频次， 其中， 每个所述检测时间 段的时长相同， 每 个所述检测时间段之间无重 叠； 访问频次序列组确定模块， 用于根据 预设的滑动步长和滑动窗口大小对每个检测时间 段的所述API地址的访问频次进行滑动窗口统计， 得到所述API地址的访问频次序列组， 其 中， 所述访问频次序列组由每个滑动窗口中所述API地址的访问频次序列组成， 每个滑动窗 口中所述API 地址的访问频次序列由每 个检测时间段的所述API 地址的访问频次组成； 最小距离值确定模块， 用于对于所述API地址的访 问频次序列组中的每个访 问频次序 列， 利用预设的距离算法确定出用于描述该访问频次序列和预设的至少一个异常特征序列 中的每个异常特征序列之间的最小偏差度的最小距离值， 其中， 该访问频次序列和每个所 述异常特 征序列均对应一个最小距离值； 第一判断模块， 用于对于每个最小距离值， 判断该最小距离值是否超过第一目标异常 特征序列在预设的阈值数据库中所对应的最小距离阈值， 其中， 所述第一 目标异常特征序 列为利用所述距离算法确定出 该最小距离值时所使用到的异常特 征序列； 第一状态确定模块， 用于对于所述API地址的访问频次序列组中的每个访问频次序列， 若该访问频次序列和每个所述异常特征序列的最小距离值均超过其对应的最小距离阈值， 则将该访问频次序列中所包 含的访问频次所对应的访问行为确定为 正常。 7.根据权利要求6所述的装置， 其特征在于， 所述最小距离值确定模块在用于对于所述 API地址的访问频次序列 组中的每个访问频次序列， 利用预设的距离算法确定出用于描述 该访问频次序列和预设的至少一个异常特征序列中的每个异常特征序列之间的最小偏差 度的最小距离值时， 具体用于： 对于所述API地址的访问频次序列组中的每个访 问频次序列， 根据预设的归一化算法 对该访问频次序列进行归一 化处理得到待压缩序列； 利用预设的维度压缩算法对所述待压缩序列进行维度压缩， 得到该访问频次序列的压 缩序列； 对于每个异常特征序列， 将该访问频次序列的压缩序列中的每个序列值和该异常特征 序列作为变量带入预设的距离算法中确定出用于描述该访问频次序列和该异常特征序列 之间的最小偏差度的最小距离值。权　利　要　求　书 2/3 页 3 CN 115378739 A 3