用于识别应用未授权访问的方法、装置以及电子设备.pdf

《用于识别应用未授权访问的方法、装置以及电子设备.pdf》由会员分享，可在线阅读，更多相关《用于识别应用未授权访问的方法、装置以及电子设备.pdf（20页完成版）》请在专利查询网上搜索。

1、(19)中华人民共和国国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202010587649.3 (22)申请日 2020.06.24 (71)申请人 杭州数梦工场科技有限公司 地址 310024 浙江省杭州市转塘科技经济 区块16号4幢326室 (72)发明人 许祥 (74)专利代理机构 北京清亦华知识产权代理事 务所(普通合伙) 11201 代理人 黄海艳 (51)Int.Cl. G06F 21/45(2013.01) G06F 21/57(2013.01) (54)发明名称 用于识别应用未授权访问的方法、 装置以及 电子设备 (57)摘要 。

2、本申请公开了一种用于识别应用未授权访 问的方法、 装置以及电子设备。 其中， 该方法包 括： 获取目标时间段内的所有请求和响应数据； 基于目标时间段内的所有请求和响应数据， 生成 应用列表， 其中， 应用列表中具有至少一个应用； 识别应用列表中的应用在目标时间段内是否产 生过登录行为； 如果没有产生过登录行为， 则判 断应用列表中的应用在目标时间段内是否被正 常使用； 如果应用列表中的应用在目标时间段内 被正常使用， 则识别应用列表中的应用存在未授 权访问漏洞。 本申请实施例通过采集应用请求数 据和响应数据来识别应用未授权访问漏洞， 无需 为每个应用维护一套未授权漏洞识别规则， 更具 有通用性。

3、， 从而保证了识别的能力的同时， 又保 证了识别通用性。 权利要求书3页 说明书11页 附图5页 CN 111859363 A 2020.10.30 CN 111859363 A 1.一种用于识别应用未授权访问的方法， 其特征在于， 包括： 获取目标时间段内的所有请求和响应数据； 基于所述目标时间段内的所有请求和响应数据， 生成应用列表， 其中， 所述应用列表中 具有至少一个应用； 识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为； 如果没有产生过登录行为， 则判断所述应用列表中的应用在所述目标时间段内是否被 正常使用； 如果所述应用列表中的应用在所述目标时间段内被正常使用， 则识。

4、别所述应用列表中 的应用存在未授权访问漏洞。 2.如权利要求1所述的方法， 其特征在于， 所述获取目标时间段内的所有请求和响应数 据， 包括： 采用流量镜像技术、 应用上报日志方式或运行时应用自我保护技术， 实时获取所有请 求和响应数据； 确定目标时间段； 从实时获取到的所有请求和响应数据中筛选出目标时间段内的请求数据和响应数据， 得到所述目标时间段内的所有请求数据和响应数据。 3.如权利要求1所述的方法， 其特征在于， 基于所述目标时间段内的所有请求和响应数 据， 生成应用列表， 包括： 对所述目标时间段内的所有请求和响应数据进行解析， 以获取请求数据和响应数据中 的应用标识； 根据所述应用。

5、标识， 确定出所述目标时间段内的每个请求数据的所属应用、 以及所述 目标时间段内的每个响应数据的所属应用； 基于所述应用标识对确定出的所属应用进行去重， 以得到所述应用列表， 其中， 所述应 用列表中包括去重后的所属应用及其标识。 4.如权利要求1所述的方法， 其特征在于， 在所述生成应用列表之后， 所述方法还包括： 将所述应用列表提供给用户； 接收所述用户基于应用定义方式对所述应用列表中的应用进行拆分和聚合的操作； 根据所述操作对所述应用列表中的应用进行拆分和聚合。 5.如权利要求1所述的方法， 其特征在于， 识别所述应用列表中的应用在所述目标时间 段内是否产生过登录行为， 包括： 根据所述。

6、应用列表中的应用， 对所述目标时间段内的所有请求和响应数据进行分组， 以将所述目标时间段内的所有请求和响应数据分组到对应应用； 判断所述应用列表中每个应用的请求数据和响应数据中是否包含目标识别字段集合 中的至少一个识别字段； 若否， 则判定没有产生过登录行为。 6.如权利要求1所述的方法， 其特征在于， 判断所述应用列表中的应用在所述目标时间 段内是否被正常使用， 包括： 基于所述应用列表中每个应用的请求数据和响应数据， 统计不同源IP对所述每个应用 的目标接口的访问次数和访问时间， 其中， 所述目标接口为应用的所有接口中除静态文件 权利要求书 1/3 页 2 CN 111859363 A 2。

7、 接口以外的接口； 根据统计得到的所述目标接口的访问次数和访问时间， 判断所述每个应用在所述目标 时间段内是否被正常使用。 7.如权利要求1至6中任一项所述的方法， 其特征在于， 在判断所述应用列表中的应用 在所述目标时间段内被正常使用之后， 所述方法还包括： 判断在所述目标时间段内未产生过登录行为且被正常使用的应用， 是否为敏感应用； 若是， 则执行所述识别所述应用列表中的应用存在未授权访问漏洞的步骤， 并进行告 警。 8.一种用于识别应用未授权访问的装置， 其特征在于， 包括： 数据获取模块， 用于获取目标时间段内的所有请求和响应数据； 应用列表生成模块， 用于基于所述目标时间段内的所有请。

8、求和响应数据， 生成应用列 表， 其中， 所述应用列表中具有至少一个应用； 登录行为识别模块， 用于识别所述应用列表中的应用在所述目标时间段内是否产生过 登录行为； 判断模块， 用于判断所述应用列表中的应用在所述目标时间段内是否被正常使用； 漏洞识别模块， 用于在所述应用列表中的应用在所述目标时间段内没有产生过登录行 为且在所述目标时间段内被正常使用时， 识别所述应用列表中的应用存在未授权访问漏 洞。 9.如权利要求8所述的装置， 其特征在于， 所述数据获取模块具体用于： 采用流量镜像技术、 应用上报日志方式或运行时应用自我保护技术， 实时获取所有请 求和响应数据； 确定目标时间段； 从实时获。

9、取到的所有请求和响应数据中筛选出目标时间段内的请求数据和响应数据， 得到所述目标时间段内的所有请求数据和响应数据。 10.如权利要求8所述的装置， 其特征在于， 所述应用列表生成模块具体用于： 对所述目标时间段内的所有请求和响应数据进行解析， 以获取请求数据和响应数据中 的应用标识； 根据所述应用标识， 确定出所述目标时间段内的每个请求数据的所属应用、 以及所述 目标时间段内的每个响应数据的所属应用； 基于所述应用标识对确定出的所属应用进行去重， 以得到所述应用列表， 其中， 所述应 用列表中包括去重后的所属应用及其标识。 11.如权利要求8所述的装置， 其特征在于， 所述装置还包括： 提供模。

10、块， 用于将所述应用列表提供给用户； 操作接收模块， 用于接收所述用户基于应用定义方式对所述应用列表中的应用进行拆 分和聚合的操作； 调整模块， 用于根据所述操作对对所述应用列表中的应用进行拆分和聚合。 12.如权利要求8所述的装置， 其特征在于， 所述登录行为识别模块具体用于： 根据所述应用列表中的应用， 对所述目标时间段内的所有请求和响应数据进行分组， 以将所述目标时间段内的所有请求和响应数据分组到对应应用； 权利要求书 2/3 页 3 CN 111859363 A 3 判断所述应用列表中每个应用的请求数据和响应数据中是否包含目标识别字段集合 中的至少一个识别字段； 若否， 则判定没有产生。

11、过登录行为。 13.如权利要求8所述的装置， 其特征在于， 所述判断模块具体用于： 基于所述应用列表中每个应用的请求数据和响应数据， 统计不同源IP对所述每个应用 的目标接口的访问次数和访问时间， 其中， 所述目标接口为应用的所有接口中除静态文件 接口以外的接口； 根据统计得到的所述目标接口的访问次数和访问时间， 判断所述每个应用在所述目标 时间段内是否被正常使用。 14.如权利要求8至13中任一项所述的装置， 其特征在于， 所述装置还包括： 敏感应用判断模块， 用于判断在所述目标时间段内未产生过登录行为且被正常使用的 应用是否为敏感应用； 其中， 所述漏洞识别模块， 还用于在所述敏感应用判断。

12、模块判断在所述目标时间段内 未产生过登录行为且被正常使用的应用为敏感应用时， 识别所述应用列表中的应用存在未 授权访问漏洞， 并进行告警。 15.一种电子设备， 其特征在于， 包括： 存储器、 处理器及存储在所述存储器上并可在所 述处理器上运行的计算机程序， 所述处理器执行所述程序时， 实现如权利要求1至7中任一 项所述的用于识别应用未授权访问的方法。 16.一种计算机可读存储介质， 其上存储有计算机程序， 其特征在于， 所述计算机程序 被处理器执行时实现如权利要求1至7中任一项所述的用于识别应用未授权访问的方法。 权利要求书 3/3 页 4 CN 111859363 A 4 用于识别应用未授。

13、权访问的方法、 装置以及电子设备 技术领域 0001 本申请涉及互联网技术领域， 尤其涉及一种用于识别应用未授权访问的方法、 装 置、 电子设备和计算机可读存储介质。 背景技术 0002 应用未授权访问是指应用本身包含敏感数据或者敏感操作， 但无需登录认证即可 访问。 对于企业内部应用而言， 绝大部分应用通常是需要认证后才允许访问的， 但由于安全 管理不当或是未正确配置与使用产品， 导致产生很多应用未授权访问漏洞。 应用未授权访 问可导致敏感数据泄露等安全风险， 因此， 如何发现应用存在未授权访问漏洞显得尤为重 要。 发明内容 0003 本申请旨在至少在一定程度上解决上述的技术问题之一。 00。

14、04 为此， 本申请的第一个目的在于提出一种用于识别应用未授权访问的方法。 该方 法通过采集应用请求数据和响应数据来识别应用未授权访问漏洞， 无需为每个应用维护一 套未授权漏洞识别规则， 更具有通用性， 从而保证了识别的能力的同时， 又保证了识别通用 性。 0005 本申请的第二个目的在于提出一种用于识别应用未授权访问的装置。 0006 本申请的第三个目的在于提出一种电子设备。 0007 本申请的第四个目的在于提出一种计算机可读存储介质。 0008 为达到上述目的， 本申请第一方面实施例提出的用于识别应用未授权访问的方 法， 包括： 0009 获取目标时间段内的所有请求和响应数据； 0010 。

15、基于所述目标时间段内的所有请求和响应数据， 生成应用列表， 其中， 所述应用列 表中具有至少一个应用； 0011 识别所述应用列表中的应用在所述目标时间段内是否产生过登录行为； 0012 如果没有产生过登录行为， 则判断所述应用列表中的应用在所述目标时间段内是 否被正常使用； 0013 如果所述应用列表中的应用在所述目标时间段内被正常使用， 则识别所述应用列 表中的应用存在未授权访问漏洞。 0014 为达到上述目的， 本申请第二方面实施例提出的用于识别应用未授权访问的装 置， 包括： 0015 数据获取模块， 用于获取目标时间段内的所有请求和响应数据； 0016 应用列表生成模块， 用于基于所。

16、述目标时间段内的所有请求和响应数据， 生成应 用列表， 其中， 所述应用列表中具有至少一个应用； 0017 登录行为识别模块， 用于识别所述应用列表中的应用在所述目标时间段内是否产 说明书 1/11 页 5 CN 111859363 A 5 生过登录行为； 0018 判断模块， 用于判断所述应用列表中的应用在所述目标时间段内是否被正常使 用； 0019 漏洞识别模块， 用于在所述应用列表中的应用在所述目标时间段内没有产生过登 录行为且在所述目标时间段内被正常使用时， 识别所述应用列表中的应用存在未授权访问 漏洞。 0020 为达到上述目的， 本申请第三方面实施例提出的电子设备， 包括： 存储器。

17、、 处理器 及存储在所述存储器上并可在所述处理器上运行的计算机程序， 所述处理器执行所述程序 时， 实现本申请第一方面实施例所述的用于识别应用未授权访问的方法。 0021 为达到上述目的， 本申请第四方面实施例提出的计算机可读存储介质， 其上存储 有计算机程序， 所述计算机程序被处理器执行时实现本申请第一方面实施例所述的用于识 别应用未授权访问的方法。 0022 根据本申请实施例的技术方案， 可获取目标时间段内的所有请求数据和响应数 据， 并对这些所有请求数据和响应数据进行学习识别， 以识别出这些请求数据和响应数据 所属的应用， 并基于识别出的应用对目标时间段内的所有请求数据和响应数据进行分组。

18、， 以得到每个应用所对应的请求数据和响应数据， 之后， 对每个应用所对应的请求数据和响 应数据进行分析， 以识别应用在目标时间段内是否产生过登录行为， 若没有产生过登录行 为且目标时间段内被正常使用， 则认为该应用存在未授权访问漏洞。 由此可见， 本申请实施 例通过应用请求数据和响应数据的学习来识别未授权访问漏洞， 而无需主动扫描， 避免了 现有技术中主动扫描面对隔离网络的问题和扫描可能对业务系统带来的不确定性风险等。 另外， 本申请实施例通过采集应用请求数据和响应数据来识别应用未授权访问漏洞， 无需 为每个应用维护一套未授权漏洞识别规则， 更具有通用性， 从而保证了识别的能力的同时， 又保证。

19、了识别通用性。 0023 本申请附加的方面和优点将在下面的描述中部分给出， 部分将从下面的描述中变 得明显， 或通过本申请的实践了解到。 附图说明 0024 本申请上述的和/或附加的方面和优点从下面结合附图对实施例的描述中将变得 明显和容易理解， 其中： 0025 图1是根据本申请一个实施例的用于识别应用未授权访问的方法的流程图； 0026 图2是根据本申请实施例的生成应用列表的流程图； 0027 图3是根据本申请另一个实施例的用于识别应用未授权访问的方法的流程图； 0028 图4是根据本申请又一个实施例的用于识别应用未授权访问的方法的流程图； 0029 图5是根据本申请一个实施例的用于识别应。

20、用未授权访问的装置的结构示意图； 0030 图6是根据本申请另一个实施例的用于识别应用未授权访问的装置的结构示意 图； 0031 图7是根据本申请又一个实施例的用于识别应用未授权访问的装置的结构示意 图； 0032 图8是根据本申请一个实施例的电子设备的结构示意图。 说明书 2/11 页 6 CN 111859363 A 6 具体实施方式 0033 下面详细描述本申请的实施例， 所述实施例的示例在附图中示出， 其中自始至终 相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。 下面通过参考附 图描述的实施例是示例性的， 旨在用于解释本申请， 而不能理解为对本申请的限制。 0034 。

21、需要说明的是， 应用未授权访问是指应用本身包含敏感数据或者敏感操作， 但无 需登录认证即可访问。 应用未授权访问可导致敏感数据泄露等安全风险。 相关技术中， 通常 是采用主动扫描的方式来发现应用是否存在未授权访问漏洞。 但是， 这种主动扫描技术并 不够通用， 需要为每个应用维护未授权访问漏洞的识别规则， 如果相关的未授权漏洞扫描 工具中某应用未编写扫描规则， 则无法识别。 0035 因此， 如何不依赖于具体的扫描规则， 即可覆盖各类常见的应用未授权访问漏洞 识别， 则可以大大提升应用未授权访问漏洞的发现能力。 0036 同时由于企业内部， 基础安全策略大多都进行了网络隔离限制， 传统的扫描器技。

22、 术的部署可能会相对困难， 同时也难以覆盖到所有网络。 另外， 主动扫描技术可能会对部分 应用系统产生影响(例如如果使用NMAP扫描端口和指纹， 则可能导致打印机打印异常数据 等)。 因此， 如果可以不对应用系统进行扫描即可发现未授权访问漏洞， 则可以帮助避免这 些问题。 0037 为此， 本申请提出了一种用于识别应用未授权访问的方法、 装置、 电子设备和计算 机可读存储介质。 本申请可以解决传统主动扫描技术需要大量维护具体应用的未授权访问 漏洞识别规则， 难以以一种较为通用的方式发现检测越权攻击的难题； 同时也解决了由于 主动扫描技术会受限于企业内部网络隔离等限制和扫描技术可能导致对业务系统。

23、产生不 可知的影响的问题。 具体地， 下面参考附图描述本申请实施例的用于识别应用未授权访问 的方法、 装置、 电子设备和计算机可读存储介质。 0038 图1是根据本申请一个实施例的用于识别应用未授权访问的方法的流程图。 如图1 所示， 该用于识别应用未授权访问的方法可以包括： 0039 步骤101， 获取目标时间段内的所有请求和响应数据。 0040 在本申请的一些实施例中， 可采用流量镜像技术、 应用上报日志方式或运行时应 用自我保护技术， 实时获取所有请求和响应数据， 并确定目标时间段， 之后， 从实时获取到 的所有请求和响应数据中筛选出目标时间段内的请求数据和响应数据， 得到目标时间段内 。

24、的所有请求数据和响应数据。 其中， 上述目标时间段可为N天， N为正整数， 比如N为5。 0041 也就是说， 可以通过流量镜像技术、 应用上报日志方式或RASP(Runtime application self-protection， 运行时应用自我保护)技术， 来实时获取所有请求和响应 数据， 并从实时获取到的所有请求和响应数据中筛选出目标时间段内的请求数据和响应数 据， 从而得到目标时间段内的所有请求数据和响应数据。 可以理解， 上述请求数据可为应用 被使用而向服务器发送的请求数据， 响应数据为应用向服务器发送请求时， 服务器返回的 响应数据。 0042 其中， 在本申请的实施例中， 采。

25、用流量镜像技术实时获取所有请求和响应数据的 具体实现过程可如下： 采用流量镜像技术， 将进出应用客户端的数据流量进行镜像， 并对镜 像的数据流量进行分析， 以得到应用客户端的所有请求数据和响应数据。 0043 在本申请的实施例中， 采用应用上报日志方式实时获取所有请求和响应数据的具 说明书 3/11 页 7 CN 111859363 A 7 体实现过程可如下： 应用客户端在访问服务器时， 会实时记录日志， 该日志中记录有向服务 器发送的请求数据和服务器返回的响应数据， 应用客户端可定期或实时将记录的日志进行 上报， 由此， 可通过对应用上报的日志进行分析， 以获取应用的所有请求和响应数据。 0。

26、044 在本申请的实施例中， 采用RASP技术实时获取所有请求和响应数据的具体实现过 程可如下： 可采用RASP技术， 获取应用运行时的上下文， 根据应用运行时的上下文进行分 析， 以得到应用的所有请求和响应数据。 0045 步骤102， 基于目标时间段内的所有请求和响应数据， 生成应用列表， 其中， 应用列 表中具有至少一个应用。 0046 可选地， 在获得目标时间段内的所有请求和响应数据之后， 可按照HTTP协议标准 对该目标时间段内的所有请求和响应数据进行解析， 并基于应用标识从目标时间段内的所 有请求和响应数据中识别出所包括的应用， 即识别出这些请求数据和响应数据各自所属的 应用， 将。

27、这些应用写入列表中， 以得到应用列表。 0047 步骤103， 识别应用列表中的应用在目标时间段内是否产生过登录行为。 0048 在本申请的一些实施例中， 判断目标时间段内的所有请求数据中是否存在有针对 应用列表之中应用的登录请求数据， 若有， 则可判定该应用在目标时间段内产生过登录行 为； 或者， 可判断目标时间段内的所有响应数据中是否存在有针对应用列表之中应用的登 录操作响应数据， 若有， 可判定该应用在目标时间段内产生过登录行为。 0049 在本申请的一些实施例中， 若目标时间段内的所有请求数据中不存在针对应用列 表之中应用的登录请求数据， 和/或， 目标时间段内的所有响应数据中不存在针。

28、对应用列表 之中应用的登录操作响应数据， 则可判定应用列表中的应用在目标时间段内没有产生过登 录行为。 0050 步骤104， 如果没有产生过登录行为， 则判断应用列表中的应用在目标时间段内是 否被正常使用。 0051 在本申请的一些实施例中， 可基于应用列表中每个应用的请求数据和响应数据， 其中， 可以理解， 该每个应用的请求数据和响应数据来源于目标时间段内的所有请求和响 应数据。 之后， 可统计不同源IP对每个应用的目标接口的访问次数和访问时间， 其中， 目标 接口为应用的所有接口中除静态文件接口以外的接口， 并根据统计得到的目标接口的访问 次数和访问时间， 判断每个应用在目标时间段内是否。

29、被正常使用。 0052 也就是说， 可通过分析每个应用在目标时间段的请求数据和响应数据， 统计不同 不同源IP对每个应用的目标接口的访问次数和访问时间， 其中， 目标接口为应用的所有接 口中除静态文件接口(如包括JS、 CSS等接口)以外的接口， 如果访问次数大于或等于第一阈 值且小于或等于第二阈值， 且每次访问时间均大于第一目标时间， 则可判定应用在目标时 间段内被正常使用； 若访问次数小于不满足条件(即访问次数小于第一阈值， 或者访问次数 大于第二阈值)， 和/或， 每个访问时间小于第二目标时间， 则可判定应用在目标时间段内未 被正常使用。 其中， 第一阈值小于第二阈值， 第二目标时间小于。

30、或等于第一目标时间。 0053 步骤105， 如果应用列表中的应用在目标时间段内被正常使用， 则识别应用列表中 的应用存在未授权访问漏洞。 0054 也就是说， 在判断应用列表中的应用在目标时间段内未产生过登录行为且被正常 使用时， 可判定该应用存在未授权访问漏洞。 说明书 4/11 页 8 CN 111859363 A 8 0055 根据本申请实施例的用于识别应用未授权访问的方法， 可获取目标时间段内的所 有请求数据和响应数据， 并对这些所有请求数据和响应数据进行学习识别， 以识别出这些 请求数据和响应数据所属的应用， 并基于识别出的应用对目标时间段内的所有请求数据和 响应数据进行分组， 以。

31、得到每个应用所对应的请求数据和响应数据， 之后， 对每个应用所对 应的请求数据和响应数据进行分析， 以识别应用在目标时间段内是否产生过登录行为， 若 没有产生过登录行为且目标时间段内被正常使用， 则认为该应用存在未授权访问漏洞。 由 此可见， 本申请实施例通过应用请求数据和响应数据的学习来识别未授权访问漏洞， 而无 需主动扫描， 避免了现有技术中主动扫描面对隔离网络的问题和扫描可能对业务系统带来 的不确定性风险等。 另外， 本申请实施例通过采集应用请求数据和响应数据来识别应用未 授权访问漏洞， 无需为每个应用维护一套未授权漏洞识别规则， 更具有通用性， 从而保证了 识别的能力的同时， 又保证了。

32、识别通用性。 0056 为了能够识别出目标时间段内哪些或哪个应用存在未授权访问漏洞， 则需要先识 别出哪些或哪个应用在目标时间段内被访问(或使用)， 可选地， 可对目标时间段的所有请 求和响应数据进行分析， 以识别出这些请求数据和响应数据属于哪个或哪些应用。 具体而 言， 在本申请的一些实施例中， 如图2所示， 所述基于目标时间段内的所有请求和响应数据， 生成应用列表的具体实现过程可包括： 0057 步骤201， 对目标时间段内的所有请求和响应数据进行解析， 以获取请求数据和响 应数据中的应用标识。 0058 其中， 在本申请的实施例中， 应用标识可为IP+端口号。 例如， 应用A的标识可为 。

33、192.192.0.1:8080， 其中，“192.192.0.1” 为IP，“8080” 为端口号。 也就是说， 可对目标时间 段内的所有请求和响应数据进行解析， 以获得请求数据和响应数据中的应用标识， 以便基 于应用标识识别出这些请求数据和响应数据所属的应用。 0059 步骤202， 根据应用标识， 确定出目标时间段内的每个请求数据的所属应用、 以及 目标时间段内的每个响应数据的所属应用。 0060 可以理解， 在应用被使用时， 会产生针对该应用的请求数据和响应数据， 例如， 使 用某搜索引擎进行搜索， 当用户输入搜索词并点击搜索时， 搜索引擎应用客户端向服务器 端发起搜索请求数据， 该搜。

34、索请求数据所对应的URL携带有该搜索引擎应用的应用标识(如 192.192.0.1:8080)。 服务器在接收到搜索请求数据时， 根据搜索词进行搜索， 并将搜索结 果返回给搜索引擎应用客户端， 使得搜索引擎应用客户端获得服务器返回的响应数据， 该 响应数据携带有该搜索引擎应用的应用标识。 由此， 可依据应用标识， 即可确定出目标时间 段内的每个请求数据的所属应用、 以及目标时间段内的每个响应数据的所属应用。 0061 步骤203， 基于应用标识对确定出的所属应用进行去重， 以得到应用列表， 其中， 应 用列表中包括去重后的所属应用及其标识。 0062 由于应用在目标时间段内可能存在多次被使用，。

35、 因此， 在根据应用标识确定请求 数据和响应数据所属的应用时， 可能存在相同应用， 为了使得应用列表中的应用具有唯一 性， 可基于应用标识对确定出的所属应用进行去重。 例如， 可认为同一个IP+端口为同一个 应用， 为此， 可根据IP+端口对确定出的所属应用进行去重， 使得得到的应用列表中的应用 具有唯一性。 0063 为了提高漏洞识别的准确度， 保证应用列表的完整性， 可将生成的应用列表提供 说明书 5/11 页 9 CN 111859363 A 9 给用户， 通过用户对该应用列表进行调整。 具体而言， 在本申请的一些实施例中， 如图3所 示， 在生成应用列表之后， 该用于识别应用未授权访问。

36、的方法还可包括： 0064 步骤301， 获取目标时间段内的所有请求和响应数据。 0065 步骤302， 基于目标时间段内的所有请求和响应数据， 生成应用列表， 其中， 应用列 表中具有至少一个应用。 0066 步骤303， 将应用列表提供给用户。 0067 例如， 可通过人机交互的方式将上述生成的应用列表提供给用户。 0068 步骤304， 接收用户基于应用定义方式对应用列表中的应用进行拆分和聚合的操 作。 0069 可以理解， 应用的定义方式有多种， 例如， 可基于IP+端口的方式定义一个应用， 或 者， 根据HOST定义方式定义一个应用， 或者， 根据IP+端口+一级目录的方式定义应用。。

37、 0070 在本申请的实施例中， 用户可根据应用定义方式对应用列表中的应用进行拆分和 聚合。 举例而言， 对于具有同一个IP+端口应用， 可以根据IP+端口所对应的HOST(即域名)， 将具有同一个IP+端口的记录拆分成多个应用， 比如， 对于 “192.192.0.1:8080” 所对应的应 用1， 假设 “192.192.0.1:8080” 所对应的域名包含多个， 比如域名1和域名2都可表示应用1， 而为了保证生成的应用列表的完整性， 可将 “192.192.0.1:8080” 所对应的域名1作为一个 应用， 将 “192.192.0.1:8080” 所对应的域名2作为另一个应用， 即根据。

38、 “192.192.0.1:8080” 的域名， 将同一个 “192.192.0.1:8080” 的应用拆分成了两个。 又如， 可根据HOST将多个IP+ 端口聚合成一个应用， 或者， 也可以根据IP+端口+一级目录来将同一个IP+端口的应用拆分 成多个应用。 0071 在用户完成对应用列表之中应用拆分和聚合之后， 可获取该拆分和聚合的过程中 用户的操作， 进而基于该操作以完成对应用列表中应用的拆分和聚合。 0072 步骤305， 根据操作对应用列表中的应用进行拆分和聚合， 以得到经过拆分和聚合 后的应用列表， 并执行步骤306。 0073 步骤306， 识别应用列表中的应用在目标时间段内是否。

39、产生过登录行为。 0074 在本申请的一些实施例中， 可根据应用列表中的应用， 对目标时间段内的所有请 求和响应数据进行分组， 以将目标时间段内的所有请求和响应数据分组到对应应用， 并判 断应用列表中每个应用的请求数据和响应数据中是否包含目标识别字段集合中的至少一 个识别字段； 若否， 则判定没有产生过登录行为。 0075 其中， 在本申请的实施例中， 目标识别字段集合可包括接口名的多个识别字段、 URI的多个识别字段、 请求参数的多个识别字段、 响应内容的多个识别字段、 location的多 个识别字段等。 例如， 接口名的多个识别字段可包含： Login且rescode不为4XX， Tok。

40、en且 rescode不为4XX， Authorize且rescode不为4xx， Certify且rescode不为4XX， ticket且 rescode不为4xx， 其中，“4XX” 是指HTTP状态码。 URI的多个识别字段可包含： user且rescode 不为4xx， username且rescode不为4xx， name且rescode不为4xx， password且rescode不为 4xx， pwd且rescode不为4xx， pword且rescode不为4xx， token且rescode不为4xx， ticket且 rescode不为4xx。 请求参数的多个识别字段可包。

41、括： user且rescode不为4xx， username且 rescode不为4xx， name且rescode不为4xx， &password且rescode不为4xx， pwd且rescode不 为4xx， pword且rescode不为4xx， token且rescode不为4xx， ticket且rescode不为4xx。 响应 说明书 6/11 页 10 CN 111859363 A 10 内容的多个识别字段可包含： ： 出现登录或认证。 location的多个识别字段可包含： Login， Token， Authorize， Certify， Ticket等。 0076 也就是。

42、说， 可根据如下策略来识别应用是否产生过登录行为， 内置下列识别方法， 当出现特殊场景无法覆盖时， 也可以增加下列识别方法： 0077 接口名： 包含Login|Token|Authorize|Certify|ticket且rescode不为4xx； uri： 包含user|username|name|password|pwd|pword|token|ticket且rescode不 为4xx； 请求参数： 出现user|username|name|&password|pwd|pword|token|ticket 且rescode不为4xx； 响应内容： 出现登录(中英)或认证(中英)； loc。

43、ation： ogin|Token| Authorize|Certify|Ticket等。 其中， 上述字符 “|” 表示含义是 “或、 或者” 的意思。 其中， 上述接口名中的字段、 请求参数中的字段、 URI中的字段通常是包含于请求数据， 上述响应 内容所包含的字段、 location中所包含的字段通常是包含于响应数据。 因此， 可判断应用列 表中每个应用的请求数据和响应数据中是否包含有上述识别字段， 若包含， 则判定该应用 产生过登录行为， 若没有包含， 则可判定该应用没有产生过登录行为。 0078 步骤307， 如果没有产生过登录行为， 则判断应用列表中的应用在目标时间段内是 否被正常。

44、使用。 0079 在本申请的一些实施例中， 可基于应用列表中每个应用的请求数据和响应数据， 统计不同源IP对每个应用的目标接口的访问次数和访问时间， 其中， 目标接口为应用的所 有接口中除静态文件接口以外的接口， 并根据统计得到的目标接口的访问次数和访问时 间， 判断每个应用在目标时间段内是否被正常使用。 0080 也就是说， 可通过分析每个应用在目标时间段的请求数据和响应数据， 统计不同 不同源IP对每个应用的目标接口的访问次数和访问时间， 其中， 目标接口为应用的所有接 口中除静态文件接口(如包括JS、 CSS等接口)以外的接口， 如果访问次数大于或等于第一阈 值且小于或等于第二阈值， 且。

45、每次访问时间均大于第一目标时间， 则可判定应用在目标时 间段内被正常使用； 若访问次数小于不满足条件(即访问次数小于第一阈值， 或者访问次数 大于第二阈值)， 和/或， 每个访问时间小于第二目标时间， 则可判定应用在目标时间段内未 被正常使用。 其中， 第一阈值小于第二阈值， 第二目标时间小于或等于第一目标时间。 0081 步骤308， 如果应用列表中的应用在目标时间段内被正常使用， 则识别应用列表中 的应用存在未授权访问漏洞。 0082 也就是说， 在判断应用列表中的应用在目标时间段内未产生过登录行为且被正常 使用时， 可判定该应用存在未授权访问漏洞。 0083 为了降低误报率， 减少识别非。

46、关键的应用为未授权访问漏洞应用， 可选配识别应 用是否为敏感应用的检测流程。 具体而言， 在本申请的一些实施例中， 在判断应用列表中的 应用在目标时间段内被正常使用之后， 还可判断在目标时间段内未产生过登录行为且被正 常使用的应用， 是否为敏感应用； 若是， 则执行所述识别应用列表中的应用存在未授权访问 漏洞的步骤， 并进行告警。 0084 也就是说， 在判断应用列表中的应用在目标时间段内被正常使用之后， 可判断该 应用是否为敏感应用， 若是， 则识别该应用存在未授权访问漏洞， 若该应用不为敏感应用， 则可认为该应用不存在未授权访问漏洞。 0085 在本申请的实施例中， 识别是否为敏感应用可以。

47、通过以下方式： 1)内置策略和用 说明书 7/11 页 11 CN 111859363 A 11 户自定义策略来检测请求数据或者响应内容中是否包含敏感数据， 如果包含敏感数据且敏 感数据的数量超过检测阈值， 则认为该应用为敏感应用； 2)根据应用自定义的应用列表， 来 标识敏感应用和非敏感应用， 例如， 可自定义一个黑名单， 该黑名单中包含了敏感应用， 通 过判断应用是否包含于该黑名单中， 若是， 则可认为该应用为敏感应用， 否则为非敏感应 用； 或者， 定义一个白名单， 该白名单包含了非敏感应用， 通过判断该应用是否包含于白名 单中， 若包含， 则认为该应用为非敏感应用， 否则为敏感应用。 。

48、需要说明的是， 上述两种识别 方式仅是为了方便本领域技术人员的了解而给出的示例， 并不能作为对本申请的具体限 定， 也即还可通过其他用户自定义方法来识别是否为敏感应用。 0086 为了方便本领域技术人员了解本申请， 下面将结合图4进行详细描述。 0087 举例而言， 如图4所示， 可以通过流量镜像、 应用日志上报采集、 RASP等技术来实时 采集获取应用的所有请求和响应数据(S401)。 之后， 按照HTTP协议标准解析获得的应用请 求数据和响应数据， 并从这些请求数据和响应数据中筛选出近N天数据(默认为近30天)， 可 选配任意时间范围进行请求数据和响应数据的分析(S402)。 根据IP+端。

49、口对近N天数据进行 分析， 以识别近N天数据中每个请求数据和响应数据所属的应用， 从而得到应用列表 (S403)。 将生成的应用列表提供给用户， 使得用户可以对应用列表的应用进行调整， 例如， 可以将同一个IP+端口根据其HOST拆分为多个应用， 或是根据HOST将多个IP+端口聚合成一 个应用， 也可以选择IP+端口后指定几个一级目录来拆分为多个应用等， 通过用户来维护出 完整的应用列表(S404)。 然后， 根据完整的应用列表分组所有请求数据和响应数据， 将近N 天数据的所有请求和响应数据分组到每一个应用上(S405)。 之后， 可识别应用列表中的应 用是否产生过登录行为(S406)， 当。

50、识别应用近N天产生过登录行为， 则认为应用不存在未授 权访问漏洞， 如果应用近N天没有产生过登录行为， 则继续监测该应用近N天内是否被正常 的使用与访问(S407)。 例如， 可通过分析近N天请求与响应数据， 计算不同源IP对每个应用 的所有接口访问情况(其中， 需要排除静态文件接口， 包括JS、 CSS等)， 如果应用在近N天内， 被持续或者间断访问的正常访问则标识该应用为正常使用应用， 继续进行下面的检测流 程。 如果应用在近N天内没有被持续或者间断访问， 则可结束检测， 认为该应用近期未被正 常的访问， 无登录行为也无法判断其是否存在应用未授权访问漏洞。 然后， 通过上述检测流 程后， 。