近年來,在國(guó)内商業銀行數字化轉型的整體背景下,“開(kāi)放銀行”因其規模化的商業價值和普惠化的社會價值,受到各方的重點關注。開(kāi)放銀行是一種(zhǒng)利用開(kāi)放API技術實現銀行與第三方之間數據共享,從而提升客戶體驗的平台合作模式。API是數字時代的流量連接器,是目前金融數據和服務在平台内和平台之間共享的主要手段,API經(jīng)濟以開(kāi)放式、跨界、價值重塑等特點,助力銀行業在同業間和跨界平台、跨界企業中釋放服務能(néng)力和數據價值,給消費者提供更好(hǎo)的服務體驗,并在新的生态體系中創造新的價值。
近些年,API安全在安全領域越來越多的被業界和學(xué)術界提及和關注。OWASP在2019年就將(jiāng)API安全列爲未來最受關注的十大安全問題。事(shì)實上随着應用程序驅動的普及,API接口已經(jīng)是Web應用、移動互聯網以及SaaS服務等領域的重要組成(chéng)部分。由于對(duì)API接口的訪問與控制伴随着數據的傳輸,其中不乏大量的用戶隐私數據以及重要文件數據,因此越來越多的非法黑客將(jiāng)API接口作爲攻擊的目标,并通過(guò)非法控制和使用API接口竊取數據等。所以沒(méi)有安全的API服務,就會帶來生産生活上的巨大不便和潛在風險。
深信服API檢測方案會運用統計學(xué)習、機器學(xué)習、聯邦學(xué)習等新型技術手段,通過(guò)人工智能(néng)模型與規則引擎相結合的創新方法,開(kāi)展API異常行爲識别感知研究,應對(duì)包括API特定拒絕服務攻擊、BOT攻擊、登錄攻擊和敏感數據洩露等在内的各種(zhǒng)安全威脅。底層首先執行會話關聯、内容解析、特征抽取聚合、序列聚合等數據預處理步驟,解析的特征和數據存放到對(duì)應中間表之後(hòu),上層“異常分析”層執行基礎的異常模型分析,包括“請求源信譽度分析”、“内容異常分析”、“統計量異常分析”、“訪問序列異常分析”等。將(jiāng)檢出的異常事(shì)件結果輸入到“關聯分析”層,通過(guò)“組合邏輯”和“主體風險評分”進(jìn)一步執行異常事(shì)件的關聯分析,挖掘出高可疑的安全風險事(shì)件,并按照IP/API和時間維度對(duì)風險事(shì)件做聚合排序,最終結果將(jiāng)交由前端來呈現。