一种接口资产的识别方法和数据安全监测系统与流程

1.本技术涉及数据安全领域，尤其涉及一种接口资产的识别方法和数据安全监测系统。


背景技术：

2.保障终端设备上的数据安全就要明确所需保护的数据，对数据进行识别和记录。相关技术中，对终端设备上的数据进行安全保障是通过数据安全监测系统实现的。来自终端设备的携带源数据的报文通过交换机的指定端口转发到数据安全监测系统，此过程称之为镜像流量的转发。数据安全监测系统接收到镜像流量转发的接口报文后，通过分析镜像流量中的接口报文，发现当前环境中的对应于某个终端设备的接口资产，此过程称之为接口资产识别。数据安全监测系统通过记录的接口资产，实现对终端设备上的被监测数据的识别和记录，以便实现敏感行为检测、访问轨迹检测等数据安全行业应用。
3.目前接口资产识别的方式导致识别出大批量无效且重复的接口资产。


技术实现要素：

4.有鉴于此，本技术提供一种接口资产的识别方法和数据安全监测系统，以解决相关技术中存在的上述缺陷。
5.本技术第一方面提供一种接口资产的识别方法，接口资产由数据安全监测系统基于镜像流量转发的接口报文识别；镜像流量为交换机向数据安全监测系统转发的被监测设备的接口报文的流量；方法包括：
6.从镜像流量的接口报文中解析出第一url，将第一url拆分出第二url和url传参，第二url指向监测设备的被监测数据；
7.根据第二url确定接口资产。
8.本技术第二方面提供一种数据安全监测系统，用于识别接口资产，接口资产基于镜像流量转发的接口报文识别；镜像流量为交换机转发到数据安全监测系统的被监测设备的接口报文的流量；系统包括：
9.流量探针，用于监测镜像流量，从镜像流量的接口报文中解析出第一url，将第一url拆分出第二url和url传参，第二url指向监测设备的被监测数据；
10.数据处理引擎，用于接收第二url，根据第二url确定接口资产。
11.本技术通过从镜像流量的接口报文中解析出接口统一资源定位符url，将镜像流量的接口url拆分出指向监测数据的url和url传参，能够得到去掉url传参掺杂的被监测设备的接口url。在相关技术中，做法是通过接收并解析全部镜像流量转发的接口报文后，根据解析出的接口url直接进行接口资产识别。由于url传参的存在，使得相同被监测设备的接口url但不同url传参的接口url最终会识别为不同的接口资产，但对url进行拆分会让url传参得到有效过滤，使得被监测设备的接口url相同的接口url会识别为同一个接口url，这会大大减少无效且重复的接口资产的生成，进而会有效提升资产识别质量，提高资
产识别结果的聚合度。因为识别数据量庞大，所以无效且重复的接口资产的有效减少，也大大减少了后续资产识别和记录的次数，能够有效提升资产识别处理效率。
12.应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本技术。
附图说明
13.此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本技术实施例，并与说明书一起用于解释本技术的原理。
14.图1是根据一示例性实施例示出的一种接口资产的识别方法的流程图；
15.图2是根据一示例性实施例示出的一种根据解析出的url确定接口资产的方法的流程图；
16.图3是根据一示例性实施例示出的一种根据解析出的url确定接口资产方法的流程图；
17.图4是根据一示例性实施例示出的一种根据解析出的url确定接口资产方法的流程图；
18.图5是根据一示例性实施例示出的一种接口资产的识别方法的流程图；
19.图6是根据一示例性实施例示出的一种数据监测系统的框图；
20.图7是根据一示例性实施例示出的一种数据监测系统的框图。
具体实施方式
21.这里将详细地对示例性实施例进行说明，其示例表示在附图中。下面的描述涉及附图时，除非另有表示，不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本技术相一致的所有实施方式。相反，它们仅是与如所附权利要求书中所详述的、本技术的一些方面相一致的装置和方法的例子。
22.在本技术使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本技术。在本技术和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
23.应当理解，尽管在本技术可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本技术范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”。
24.为了便于理解，对本技术所涉及到的部分概念进行解释说明：
25.数据安全监测系统，指的是以数据安全为中心的产品和/或服务，涵盖了各种场景下的数据保护需求，如居民信息数据、考生信息数据、企业资产数据等；融合了多种技术来实现对数据的安全保护，例如，数据访问控制、数据脱敏、数据加密等。对数据的安全保护前提是数据的发现，例如，在企业资产数据保护方面，发现企业的资产数据是数据保护的基础。
26.镜像流量，是指通过一定的配置将线上的真实流量如数据报文、响应参数等，复制一份到镜像服务中去，通过对镜像服务中转发的数据流量进行分析，可以较好地监测数据的安全性；且镜像流量转发能够达到在不影响线上服务的情况下对流量和/或请求内容做具体分析的目的。镜像流量服务可通过交换机的端口实现，通过把交换机上一个或多个连接终端设备的源端口的数据流量转发到一个指定端口，即可在此指定端口对转发的数据流量进行分析等操作，以实现对上述一个或多个连接终端设备的源端口的数据安全监测。
27.接口报文为在线上各系统之间或者在网络中交换与传输数据信息的交换载体，报文包含了交换的数据的完整信息，需要遵守规定好的格式。例如在企业系统运作时，多个系统之间就会以转发接口报文的方式进行通信和/或数据的交换与传输，以实现相应操作。接口报文遵循的规定格式不唯一，具体由开发人员进行配置，如包含url、请求头/体、响应头/体、cookie、目的ip等内容。
28.url(uniform resource locator，统一资源定位符)，能够唯一标识一个资源的表示方法，例如居民身份证号，是互联网上标准资源的地址。所谓资源，可以理解成各种能够通过互联网访问的文件，比如网页、图像、音频、视频、脚本等等。企业中的url资源作为企业的信息资产，对企业的发展起到重要作用。url组成通常分为以下部分：协议、主机(域名)、端口、路径、查询参数等。通常，如果资源可以通过互联网访问，它就可以有对应的url。一个url对应一个资产，但是同一个资产可能对应多个url，这种情况的存在对上述数据安全平台中数据资源的发现提供了难题。
29.接口资产识别，数据安全平台接收到镜像流量转发的接口报文后，通过分析镜像流量中的接口报文，发现当前环境中的对应于某个终端设备的接口资产，此过程称之为接口资产识别。识别出的接口资产可以应用于如敏感行为检测、访问轨迹检测等数据安全行业。当然，也可以用于其他对接口资产有需求的行业。
30.目前的接口资产识别会识别出大量无效重复的接口资产，因此需要一种高效、可靠的接口资产识别方式，在大规模处理镜像流量数据报文的同时，保证识别结果的质量，减少识别结果重复率、增加识别结果可读性。
31.发明人经过研究发现，解决同一个资源可能对应多个url的问题是我们改善目前接口资产识别方式的关注重点。目前的接口资产识别方式中，解析出来的url很可能包含字符串形式的传参和/或路径形式的传参和/或其他形式的传参，会导致表示同一个资产的url，因为传参的不同最终生成了不同的url。
32.此种问题的出现和我们访问资源的方式有关：例如我们想获得电子图书馆中的某一本书，可以通过搜索书名查询到，也可以通过点击图书类别具体进行筛选查询，还可以先点击图书类别，在图书类别中再进行搜索关键字查询到。三种方式最终都可以查询并获得我们所需要的书籍，但是第一种方式获得的图书资源生成的url即为带有查询字符串形式的传参的url；第二种方式通过进入图书类别筛选获得，此种方式获得的图书资源生成的url即为带有路径形式的传参的url；而第三种方式生成的是查询字符串形式传参和路径形式传参都带有的url。通过举例可以得知，三种方式最终获得的图书都是同一个，但是却会生成三种不同的url。
33.因此，发明人想到，对直接生成的url进行参数拆分，将字符串形式传参和/或路径形式传参和/或其他形式传参拆分，得到被监测设备的接口url，即可大大减少无效重复的
url的生成，进而减少无效重复接口资产的识别，使得接口资产的识别质量得到有效提升。
34.下面将结合实施例，针对本说明书的技术方案进行介绍。
35.图1是本技术根据一示例性实施例示出的一种接口资产的识别方法的流程图，接口资产由数据安全平台基于镜像流量转发的接口报文识别；镜像流量为交换机向所述数据安全监测系统转发的被监测设备的接口报文的流量；方法包括：
36.步骤102，从镜像流量的接口报文中解析出第一url，将第一url拆分出第二url和url传参；
37.步骤104，根据第二url确定接口资产。
38.其中，第二url指向监测设备的被监测数据。
39.因为url传参的存在，使得一个接口资产生成不同url，不同url携带了不同的url传参，使得不同url在形式上出现了差异，因此变为“不同”，但是这些url实质上都是指向同一个接口资产。本实施例可以解决上述问题，即接口资产识别的改进关键点之一是对接口资产本身的优化。将不同携带url传参的url进行拆分，生成被监测设备的接口url，去掉参数后的被监测设备的接口url因为没有了参数的具体限定，使得实质上指向同一个接口资产的不同url归为一个url，即方法中的第二url。但此处的第二并不是对此url进行限制，仅是为了描述方便，也可以将其称为第三url，第四url，等。
40.url传参有多种形式，例如，只包含字符串形式传参，只包含路径形式传参或者两者都包含等情况，当然，也有可能包含其他传参。由于本说明书的技术方案可能存在多种实施例，在不同实施例中拆分的url传参可能存在差异，使得url传参类型不一定局限于一种，本领域技术人员可以根据所需来做出实际的增减或选择，本说明书并不对此进行限制。
41.本实施例以url传参为字符串形式传参为例，当字符串形式传参的字符串参数为一个时，url中会增加括号内部分(？key＝value)，其中value为具体参数；当字符串形式传参的字符串参数为一个以上时，不同的参数之间用符号&连接，形如括号内部分(？key＝value&key＝value&key＝value)。在未拆分此传参时，形如上述括号内部分会掺杂在url中，例如当只有一个参数时，掺杂字符串传参的url可能为：/url？key＝1或/url？key＝1等；当有一个以上参数时，掺杂字符串传参的url可能为：/url？key1＝1&key2＝2或/url？key3＝3&key4＝4等，本实施例不对参数具体个数进行具体限制。上述所有的url都在原本被监测设备的接口url的基础上增加了字符串传参的内容，因此每一个url虽然本质上都是同一个url，但是都在形式上有了差异，相关技术在对上述这些接口资产url进行接口资产识别时会识别为不同的url，进而识别为不同的接口资产。本实施例可以对导致这一问题的字符串传参进行拆分去除，保留原本的被监测设备的接口url。去除掉字符串传参的不必要限定之后再进行识别就会减少识别出大量重复的接口资产，因此接口资产的识别质量也能得到有效提升。
42.本实施例以url传参为路径形式传参为例，路径形式传参更多的是指url路径中包含了不必要的端口号或接口号或者其他形式的路径id等，路径形式id的存在不会影响url当前的接口资产指向发生变化，此处的接口资产指向具体由用户进行配置，例如当前需要识别接口资产的用户是动物园行业，用户可以进行配置把当前动物园中的所有动物当作接口资产，形如/zoos/1/animals、/zoos/2/animals等，则在进行接口资产的记录时，此行业下的不同动物园中的所有动物就作为记录的接口资产，而同一个动物园中具体的不同动物
都属于此动物园即此接口资产下的具体资产数据，形如/zoos/1/animals/elephants、/zoos/1/animals/tigers等，就不再需要额外记录；当然，也可以把某个动物园中的具体动物类别当作接口资产进行记录，形如/zoos/1/animals/elephants、/zoos/1/animals/tigers等，则属于同一类别的动物中具体的不同个体就不再需要记录，形如/zoos/1/animals/elephants/1，/zoos/1/animals/elephants/2等；又如，只把动物类别当作接口资产记录，具体动物园的不同不再进行限制，形如/zoos/{id}/animals/elephants。此处的{id}表示所有动物园的集合，并且不再具体区分动物园的不同，即将所有的动物园当作一个整体，例如记录大象就不再需要记录形如“动物园1中的大象1、动物园1中的大象2、动物园2中的大象1”等。
43.接口资产的具体拆分形式、拆分程度都可以根据用户需求自行配置，本说明书不对此进行限制。因此路径形式传参也可以是我们的拆分对象，不论何种拆分形式和程度，拆分此传参后也可以达到和前述拆分字符串传参的实施例同样的技术效果。
44.本实施例以url传参为字符串形式传参和路径形式传参为例，本实施例为上述两个实施例的集合，借由上述实施例中的举例，本实施例的情形为例如当前需要识别的具体接口资产为动物园1中幼年期的大象11，此处的“幼年期”为查询的关键词，形如/zoos/1/animals/elephants/11？key＝young而用户需要记录的接口资产为所有动物园的大象,形如/zoos/{id}/animals/elephants，则我们需要拆分路径传参中代表具体动物园的1和代表大象具体个体的11和字符串传参？key＝young。
45.上述拆分url传参的实施例旨在让本领域技术人员能够更好地理解本技术的技术方案，本技术方案不对url传参的类别、个数以及表示形式进行具体限制，上述实施例不用于限制本技术。
46.接口资产识别的另一个改进关键点体现在对接口资产的识别过程，即上述步骤104。在获取到接口资产之后，我们要将获取到的接口资产和已记录的接口资产进行查询比对，在已记录的接口资产中未查询到当前接口资产时，要进行相应的记录。相关技术的做法是，每次都会从第一个接口资产直接开始查询比对，且每一次查询都是查询完整的url，况且相关技术中也没有对url进行参数拆分，使得url本身就冗长，且接口资产的记录数据本身就庞大，在查询比对时更是会使得查询耗时很长。
47.因此，为解决上述资产查询过程耗时过长的问题，发明人在进行接口资产查询之前，增加了接口组件这一级查询。接口组件的加入使得查询具有层次性，并且不再需要一开始就从第一个具体的接口资产开始，在查询到组件之后再具体查询此组件下有没有对应的接口资产，这样能缩短大量接口资产识别时间，优化识别过程。
48.为了便于理解，下面对上述接口组件进行解释。接口组件根据解析出的接口资产url的域名生成。接口组件的具体形式不唯一，例如可以通过算法基于解析出的域名生成键值来表征接口组件，当然，也可以直接将解析出的域名当作当前接口资产url的接口组件，在本技术中对接口组件的具体形式不进行限制。
49.接下来举一示例对接口组件在接口资产识别过程的作用进行描述。例如，某学校中某一年级共有一千名学生，每名学生都有一个编号，但此编号不是直接从1开始的数字，而是一串字符形式的编码，即相当于上述接口资产url；将这一千名学生分成20个班，每个班有对应的班级号，同样地，此班级号不是直接从1开始的数字，而是一串字符形式的编码，
此班级号即为上述接口组件。我们目前知道了某个学生的具体学生信息，例如为第十个编号的班级的第二十个编号的学生，需要查询此学生是不是已经是这个学校的学生，相关技术的做法是，我们只知道学生编号，具体去查询此学生就要从第一个编号的班级中第一个编号的学生开始查找，一直找到我们需要查询的学生编号；而本技术的方案是，我们先知道需要查询的学生所在的班级编号，先去查询班级编号，查到所在班级后再具体去此班级里查询学生的具体编号，在本示例里以这种方式查询，除第十个编号的班级之外的学生信息不需要再进行查询比对，这样能够减少大量不必要的查询，大大节省时间，提高查询效率。本实施例采用的方案与示例有同样的效果，先获得当前需要识别的接口资产url的接口组件，通过去查询此接口组件有没有被记录，进而继续查询此接口组件下有没有当前需要识别的接口资产，在此接口组件之外的接口组件下的接口资产信息就不再需要查询比对，大大减少查询和识别时间，提高了接口资产识别的效率。
50.加入接口组件这一级查询，为了便于对接口组件和接口资产的识别，可以通过算法生成对应主键，具体去查询对应主键即可实现接口资产的识别过程。采用算法生成的主键首先确保了主键对应的接口组件和接口资产的唯一性，且主键往往比直接的接口资产短很多；主键基于不同的生成规则而言，生成格式、长度等一般是固定的，但接口资产长短不一，格式也不固定，因此查询主键相对来说就会更容易。主键的生成有多种方式，通常能够满足较小冲突概率的算法都可以实现主键的生成。例如md系列的消息摘要算法，sha系列的安全散列算法等，本实施例对具体的主键生成方式不做限制。
51.本实施例以md系列的消息摘要算法生成主键为例，md(message digest，消息摘要)消息摘要算法，目前广泛使用的是md5消息摘要算法，是md系列的第五个版本，是由md2和md4版本的算法改进而来的。md系列的摘要算法的核心都是最终会生成一个固定长度的信息摘要，例如128位的二进制摘要信息，用于确保数据信息的完整性和一致性；每一个数据信息生成的信息摘要都是唯一的，因此还可以保证对应数据的唯一性。md系列的md2算法速度较慢但是准确性较高；md4算法速度得到了有效提升，但是准确性有了一定程度的下降；md5在此基础上准确性和算法速度都有了较好的提升。本技术可以采用md5摘要算法生成接口组件主键和接口资产主键，因为通过md5生成的md5值即上述主键都是唯一的，因此在进行接口资产识别的过程中，就可以通过查询主键信息来确定当前接口组件或当前接口资产有没有被记录，生成主键的唯一性能够有效提升接口资产识别的识别精度。在此基础上，不直接查询具体的接口资产，转而查询接口资产对应的主键，也能在一定程度上保障记录的接口资产的安全性。
52.本实施例以sha系列的安全散列算法又称安全哈希算法生成主键为例，sha(secure hash algorithm，安全哈希算法)，是在上一实施例中md4算法的基础上演变而来，目前有sha-1、sha-2系列，其中sha-2系列又具体包括sha-256、sha-384、sha512等。目前常用的sha算法为sha-256算法，以sha-256算法为例，在效果上与md算法类似，都是通过算法生成数据信息对应的唯一值，但是具体的算法计算方式和md算法不同，最终生成的唯一值也不同。sha算法同样能够达到md算法的作用，确保数据信息的完整性、一致性和保证对应数据的唯一性，提高资产识别的精度，在一定程度上保障记录的接口资产的安全性。
53.图2是本技术根据一示例性实施例示出的一种根据解析出的url确定接口资产的方法的流程图，方法包括：
54.步骤202，根据第二url的域名生成接口组件以及与接口组件绑定的组件主键；
55.步骤204，从内存中已记录的接口组件中查询与组件主键绑定的接口组件；
56.步骤206，根据第二url和域名生成接口资产主键；
57.步骤208，基于组件主键，从内存中已记录的接口资产中查询出与接口组件匹配的接口资产；
58.步骤210，从与接口组件匹配的接口资产中确定与接口资产主键匹配的接口资产。
59.其中，对应于同一接口组件的接口资产的域名相同；
60.本实施例只是一个示例性实施例，具体的方法步骤不严格限制为本实施例的步骤顺序，只要能够满足生成对应主键在查询识别对应接口组件或对应接口资产操作之前，且识别接口组件在识别接口资产之前即可，例如方法步骤还可以为以下顺序：将步骤204与步骤206调换或者将步骤206与步骤208调换等。在上述需要满足的两个条件中，生成对应主键在查询识别对应接口组件或对应接口资产操作之前是为了能够发挥主键在接口资产识别中的作用，上述实施例已作相关阐述，本实施例不再对此进行描述；识别接口组件在识别接口资产之前是为了能够发挥接口组件在接口资产识别中的作用，上述实施例也已作相关阐述，本实施例不再对此进行描述。本实施例主要描述了当前需要识别的接口资产已经记录的情况，最终都会在内存记录中查询到，此时可以直接进行下一条接口资产识别的操作，也可以先返回已记录的接口资产信息和/或接口组件信息和/或对应主键信息，再进行下一条接口资产识别的操作，本实施例不对此进行限制。
61.图3是本技术根据一示例性实施例示出的一种根据解析出的url确定接口资产方法的流程图，方法包括：
62.步骤302，将内存中未记录的与组件主键绑定的接口组件记录到内存中；
63.步骤304，将内存中未记录的与接口组件匹配的接口资产记录到内存中。
64.本实施例主要描述了当前识别的接口组件和/或接口资产未记录的情况。本技术的技术方案中，对接口资产的识别过程中增加了接口组件的识别过程，在实际应用中，接口组件的识别过程和接口资产的识别过程可以各自独立进行，但要优先进行接口组件的识别，同样是为了发挥接口组件在接口资产识别中的作用，两个过程也可以整合到一起进行，在各自独立进行查询识别时，先判断当前接口组件或接口资产是否已记录，若已记录，则进行下一步骤，若未记录，则记录当前接口组件或接口资产，再进行下一步骤；在进行下一步骤前可以返回当前查询到或者记录的接口组件或接口资产信息，也可以直接进行下一步骤，本实施例不对此进行限制。整合到一起进行查询识别时先判断当前接口组件是否已记录，若已记录，继续在当前接口组件下进行接口资产的识别，若未记录，则证明此接口组件下亦没有记录相对应的接口资产，则直接进行记录接口组件和接口资产，同样的，在进行下一步骤前可以返回当前已查询到或者记录的接口组件或接口资产的信息，本实施例不对此进行限制。
65.在上一实施例中未查询到当前接口组件或接口资产的情况下，要对此接口组件或接口资产进行记录。相关技术的做法中，查询和记录都是直接和数据库进行交互，而此处的数据库是一个外部服务器的公共资源，很多设备都要与此数据库进行数据交互，数据库类别可以是redis或hbase数据库等，本实施例不对此进行限制。同时因接口资产查询等需要与数据库交互的数据量大，交互次数多，即使单条接口资产识别处理时只需要少量查询数
据库，也会造成频繁查询数据库记录进行识别比对，大量占用数据库服务器资源，影响整体运行效率；上述数据库中接口资产信息最终需要存储在上述数据库对应的存储设备中，所述存储设备如外接机械硬盘，固态硬盘等，需要能够永久记录接口资产信息，供相关行业应用。但是存储设备读取和记录的速度有限，因此接口资产识别过程直接和数据库交互进行速度较慢，会使得整体运行效率受到影响。发明人通过使用内部的系统内存较好改善了这一问题。这里所说的内部，在一示例里为上述数据安全监测系统内部的系统内存，先把数据库中已记录的接口资产信息加载到系统内存中，将接口资产的查询识别转移到内部的系统内存中进行，在当前需要识别的接口资产未查询到需要记录的情况下，记录到内存，此时再与数据库交互，进行记录；也可以在本轮接口资产识别结束后，将系统内存中更新的接口资产信息更新到数据库中，本实施例不对此进行限制。另一示例里为上述数据安全监测系统外接的内存条，只要能够满足将接口资产的查询识别过程转移到所述内存条中进行即可，本实施例不对此进行限制。查询操作不再与数据库交互，只有记录操作与数据库交互，此方案大大减少了与数据库的交互次数，且与内部的系统内存的交互速度也远高于和外部的数据库的交互速度，能够大大提高资产识别的效率，减少占用数据库资源。
66.其中，上述实施例里步骤304可以具体分为以下几个步骤，参见图4，图4是本技术根据一示例性实施例示出的一种根据url确定接口资产方法的流程图，方法包括：
67.步骤402，在内存中查询与所述组件主键绑定的接口组件匹配的接口资产，如果未查询到，则将所述与所述组件主键绑定的接口组件匹配的接口资产记录在内存和数据库中；
68.步骤404，在内存中查询与所述接口资产主键绑定的接口资产，如果未查询到，则将所述与所述接口资产主键绑定的接口资产记录在内存和数据库中。
69.本实施例主要描述了在查询到接口组件的情况下，接口资产未查询到时如何具体进行记录，以及查询方式的描述。系统内存的使用能够大大提高接口资产识别的效率，减少数据库服务器资源的占用。接口组件的查询和记录过程与接口资产的查询和记录过程可以独立进行，也可以整合到一起进行，本实施例是在前述实施例的条件中进行的具体展开，本实施例不对此具体条件进行限制。
70.以接口组件的查询和记录过程与接口资产的查询和记录过程独立进行为例，在接口组件已查询到的情况下，首先在系统内存中查询与组件主键绑定的当前接口组件下是否已有记录匹配的接口资产，如果未记录，则将当前接口资产记录在内存中对应接口组件位置下，并且同时和数据库交互，记录到数据库对应位置中，如果已记录，进行下一步骤；在系统内存中查询与当前接口资产主键绑定的接口资产是否已记录，如果未记录，则将当前接口资产记录在内存中对应接口组件位置下，并且同时和数据库交互，记录到数据库对应位置中，如果已记录，则对当前接口资产的识别完毕。在上述每个进行下一步骤操作之前，都可以进行返回当前查询到或者记录完毕的接口组件或接口资产信息，也可以直接进行下一步骤操作，本实施例不对此进行限制。将接口组件的查询和记录过程与接口资产的查询和记录过程分开独立进行，可以使接口组件和接口资产的查询互不干扰，且分开进行可以在具体实施中放到具体的两个不同的设备中进行，这样可以在一定程度上对应减轻各设备在接口资产识别过程中的运算压力。
71.以接口组件的查询和记录过程与接口资产的查询和记录过程整合到一起进行为
例，首先在系统内存中查询当前接口资产的接口组件是否已被记录，若未记录，则在系统内存中记录当前接口组件，并与数据库交互，同样进行记录当前接口组件；查询到已记录或未查询到但记录完毕后，在内存中继续查询与组件主键绑定的当前接口组件匹配的接口资产是否已记录，如果未记录，则将当前接口资产记录在内存中对应接口组件位置下，并且同时和数据库交互，记录到数据库对应位置中，如果已记录，继续在系统内存中查询与当前接口资产主键绑定的接口资产是否已记录，如果未记录，则将当前接口资产记录在内存中对应接口组件位置下，并且同时和数据库交互，记录到数据库对应位置中，如果已记录，则对当前接口资产的识别完毕。在已查询到记录或者未查询到记录但记录完毕之后，都可以进行返回当前查询到或者记录完毕的接口组件或接口资产信息，也可以直接进行下一步骤操作，本实施例不对此进行限制。两个过程整合到一起进行可以增强接口资产识别过程的聚合度。
72.图5是本技术根据一示例性实施例示出的一种接口资产的识别方法的流程图，所述方法包括：
73.步骤502，从接口报文中解析出被监测数据的ip；
74.步骤504，将被监测数据的ip不在监测范围内的第二url进行丢弃；
75.其中，所述监测范围通过数据安全监测系统设定。
76.在接口资产的识别过程中，由于不同用户的需求不同，因此对接口资产识别的范围也不一致，例如借由上述某一实施例中动物园的示例，用户可能只想记录某一区域内的动物园作为接口资产，而不再此区域内的动物园则属于针对此用户的无效记录，即无效的接口资产。换言之，在接口资产识别过程中，用户需要记录的接口资产url还需要满足在规定范围内，如果记录的接口资产还包括不再此范围内的接口资产，用户在使用记录的接口资产时，还要自行判别所记录的接口资产是不是自己需求的范围内，这会大大降低接口资产的识别质量，还会一定程度影响用户体验。发明人注意到这一问题，通过采用本实施例的方案可以解决记录无效接口资产的问题。每一个接口资产url都有其对应的被监测数据的ip，可以通过配置需要的上述ip范围，来过滤掉不需要的无效接口资产，上述ip是在对接口报文进行解析时获得。解析获得被监测数据的ip和过滤掉不需要记录的ip范围，两者可以分开进行，也可以整合到一起进行；解析获得被监测数据的ip可以由流量探针解析接口报文时解析出，也可以在后续进行ip范围过滤时再进行解析；过滤掉不需要记录的ip范围可以直接由数据处理引擎执行操作，也可以增添过滤模块进行操作，其中过滤模块也可以解析上述接口报文获得被监测数据的ip，本实施例不对此进行限制。过滤掉不需要记录的ip范围，就可以避免记录无效的接口资产，从而提升接口资产的识别质量；因为减少了无效接口资产的生成，所以也在一定程度上减少了接口资产的识别次数，减少了和内存、数据库的交互次数，因此能够提升接口资产的识别效率。
77.与前述接口资产识别方法的实施例相对应，本说明书还提供了数据安全监测系统的实施例。
78.参考图6，图6是本技术根据一示例性实施例示出的一种数据安全监测系统的框图，系统用于识别接口资产；接口资产基于镜像流量转发的接口报文识别；镜像流量为交换机转发到数据安全监测系统的被监测设备的接口报文的流量；系统包括：
79.流量探针601，用于监测镜像流量，从镜像流量的接口报文中解析出第一url，将第
一url拆分出第二url和url传参；
80.数据处理引擎602，用于接收第二url，根据第二url确定接口资产。
81.其中，接口资产基于镜像流量转发的接口报文识别；镜像流量为交换机转发的被监测设备的接口报文的流量；第二url指向监测设备的被监测数据。
82.在一实施例中，数据处理引擎602根据第二url确定接口资产，包括：
83.根据第二url的域名生成接口组件以及与接口组件绑定的组件主键；其中，对应于同一接口组件的接口资产的域名相同；
84.从内存中已记录的接口组件中查询与组件主键绑定的接口组件；
85.根据第二url和域名生成接口资产主键；
86.基于组件主键，从内存中已记录的接口资产中查询出与接口组件匹配的接口资产；
87.从与接口组件匹配的接口资产中确定与接口资产主键匹配的接口资产。
88.在一实施例中，数据处理引擎602根据第二url确定接口资产，还包括：
89.将内存中未记录的与组件主键绑定的接口组件记录到内存中；和/或
90.将内存中未记录的与接口组件匹配的接口资产记录到内存中。
91.参考图7，图7是本技术根据一示例性实施例示出的一种数据安全监测系统的框图，在一实施例中，数据安全监测系统还包括：
92.过滤模块603，用于从所述接口报文中解析出所述被监测数据的ip，将所述被监测数据的ip不在监测范围内的所述第二url进行丢弃；
93.其中，所述监测范围通过所述数据安全监测系统设定。
94.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本技术保护的范围之内。

技术特征：
1.一种接口资产的识别方法，其特征在于，所述接口资产由数据安全监测系统基于镜像流量转发的接口报文识别；所述镜像流量为交换机向所述数据安全监测系统转发的被监测设备的接口报文的流量；所述方法包括：从所述镜像流量的接口报文中解析出第一url，将所述第一url拆分出第二url和url传参，所述第二url指向所述监测设备的被监测数据；根据所述第二url确定所述接口资产。2.根据权利要求1所述的方法，其特征在于，所述根据所述第二url确定所述接口资产，包括：根据所述第二url的域名生成接口组件以及与所述接口组件绑定的组件主键；其中，对应于同一所述接口组件的接口资产的域名相同；从内存中已记录的接口组件中查询与所述组件主键绑定的接口组件；根据所述第二url和所述域名生成接口资产主键；基于所述组件主键，从内存中已记录的接口资产中查询出与所述接口组件匹配的接口资产；从与所述接口组件匹配的接口资产中确定与所述接口资产主键匹配的接口资产。3.根据权利要求2所述的方法，其特征在于，所述方法还包括：将所述内存中未记录的与所述组件主键绑定的接口组件记录到所述内存中；和/或将所述内存中未记录的与所述接口组件匹配的接口资产记录到所述内存中。4.根据权利要求1所述的方法，其特征在于，所述url传参包括字符串形式url传参和路径形式url传参中的至少一种。5.根据权利要求4所述的方法，其特征在于，所述将所述第一url拆分出第二url和url传参，包括：将所述第一url拆分出第三url和所述字符串形式url传参，所述第三url基于所述第二url和所述路径形式url传参封装而成。6.根据权利要求5所述的方法，其特征在于，所述将所述第一url拆分出第二url和url传参，还包括：将所述第三url拆分出所述第二url和所述路径形式url传参。7.根据权利要求1所述的方法，其特征在于，所述方法还包括：从所述接口报文中解析出所述被监测数据的ip；将所述被监测数据的ip不在监测范围内的所述第二url进行丢弃；其中，所述监测范围通过所述数据安全监测系统设定。8.一种数据安全监测系统，用于识别接口资产，其特征在于，所述接口资产基于镜像流量转发的接口报文识别；所述镜像流量为交换机转发到所述数据安全监测系统的被监测设备的接口报文的流量；所述数据安全监测系统包括：流量探针，用于监测镜像流量，从所述镜像流量的接口报文中解析出第一url，将所述第一url拆分出第二url和url传参，所述第二url指向所述被监测设备的被监测数据；数据处理引擎，用于接收所述第二url，根据所述第二url确定所述接口资产。9.根据权利要求8所述的系统，其特征在于，所述数据处理引擎还用于执行权利要求2-6中任一项所述的方法。
10.根据权利要求8所述的系统，其特征在于，所述系统还包括过滤模块，用于从所述接口报文中解析出所述被监测数据的ip，将所述被监测数据的ip不在监测范围内的所述第二url进行丢弃；其中，所述监测范围通过所述数据安全监测系统设定。

技术总结
本身请提供一种接口资产的识别方法和数据安全监测系统。本身请提供的接口资产的识别方法中，所述接口资产由数据安全监测系统基于镜像流量转发的接口报文识别；所述镜像流量为交换机向所述数据安全监测系统转发的被监测设备的接口报文的流量；所述方法包括：从所述镜像流量的接口报文中解析出第一URL，将所述第一URL拆分出第二URL和URL传参，所述第二URL指向所述监测设备的被监测数据；根据所述第二URL确定所述接口资产。URL确定所述接口资产。URL确定所述接口资产。


技术研发人员：屠志强 李杰 刘阳
受保护的技术使用者：杭州迪普科技股份有限公司
技术研发日：2023.04.06
技术公布日：2023/7/25