【API安全】威胁猎人发布关联情报引擎，风险识别准确率稳定在98%+

云计算、大数据在各行业深入应用，业务安全场景不断变化，大量的企业业务及应用深度依赖于API的调用，API应用的增速与API安全发展的不平衡，使得当下存在许多由API管理不当引发的业务攻击、数据泄露等安全问题，对企业业务安全提出了较大的挑战。

2021年，威胁猎人推出了国内首个以“情报”能力为基础的API安全管控平台，基于攻击者使用的攻击资源如IP、工具等风险情报构建API安全基线，主要体现在通过业务请求命中的风险IP浓度波动来判断是否存在攻击事件，从情报的视角能够更加有效、快速地识别API流量中的攻击流量。

截至目前，威胁猎人API安全管控平台已在金融、互联网、医疗、汽车等行业应用，在与越来越多的客户落地实践中，我们的“情报”也遇到了一些问题：

一方面，当业务本身是大流量，会极大稀释流量中隐藏的攻击流量，导致业务请求中命中的风险IP浓度波动不明显；

另一方面，针对长期持续、低频的慢速攻击，也会出现风险IP浓度波动不明显的情况，从而导致对API风险的识别不够敏感。

为此，威胁猎人对API风险感知模块进一步升级，推出“关联情报引擎”，在原有情报能力的基础上，挖掘更多特征维度进行关联分析，以确保风险感知的灵敏度和风险判定的准确性。

威胁猎人关联情报引擎在原有情报能力的基础上，增加了对API访问流量中UA、请求序列等维度的分析，进一步挖掘出攻击流量的特征，以确保风险判定的准确性，并为风险判定提供了有效的解释证据。

在对API风险流量进行识别的过程中，关联情报引擎会基于流量中命中风险标签的流量进行分组，比如命中风险IP的流量可定义为高风险流量，未命中风险IP的流量定义为低风险流量，同时，对不同分组的流量异常特征进行提取和分析，例如提取UA、行为序列进行分析。

如果业务遭到黑产攻击，对比高风险流量和低风险流量，两者之间往往会在UA、行为序列等维度存在非常明显的分布差异。

以攻击风险在API请求序列的表现为例：

如果业务遭到攻击，高风险流量组在请求序列上的表现，往往是集中请求几个主要攻击的业务接口。

黑产为了提高攻击效率，会使用自动化的协议攻击脚本或模拟点击脚本，这些脚本会遵循特定的攻击序列，因此攻击会出现API请求序列聚集的共性，从而导致某些请求序列的风险IP浓度明显异常；而正常用户的请求相对分散，基本不会出现明显聚集的情况。

如图是一起API攻击事件中请求序列的数据表现，可以看到有3个请求序列存在明显的风险IP异常情况，高风险浓度都超过50%，其中一个甚至超过了80%。

但这个风险IP浓度在API总请求量下并没有体现出来，如果依靠过往的API单一维度风险基线，就会产生漏判，而在关联情报引擎的请求序列这个维度下，可以判定风险存在。

除了请求序列，UA分布也是一个比较合适的分析维度：

虽然攻击者可以任意伪造UA，但很难伪造出跟业务流量总体数据一致的UA分布，因此高风险流量组和低风险流量组往往会出现UA分布存在明显差异的情况。

威胁猎人在近一年分析的1215起安全事件中，有78.4%的攻击风险可以依靠UA进行风险判断。

如图是一起API攻击事件中UA的数据表现，可以直观看到高风险流量在2个UA上存在明显聚集，高风险IP浓度甚至达到90%以上，但这个风险流量浓度在API总请求量下并没有体现出来，与前文同理，如果单纯依靠过往的API单一维度风险基线，就会产生漏判，而在关联情报引擎的UA特征维度下，可以判定风险存在。

威胁猎人关联情报引擎在原有情报能力的基础上，融入了请求序列、UA等维度的特征分析，为API访问建立了多维度的动态安全基线，使得API风险识别的灵敏度和准确性大大提升，同时也为用户进行风险研判提供相关的依据，相比单纯从API维度检测风险IP浓度，更容易判别出攻击目的与风险类型，逻辑性与可解释性更强（比如通过异常的请求序列，更容易推断出攻击的场景和逻辑）。

目前，威胁猎人关联情报引擎已在多个互联网头部客户的API安全风险管理上落地应用，整体风险识别准确率持续稳定在98%以上，其表现获得客户的高度认可。