工信领域数据安全典型案例丨基于API的数据攻击行为检测及安全防护典型案例

申报单位：中国移动通信集团陕西有限公司

陕西移动作为区域通信运营商领军者，网络和客户规模居全省首位，到2023年，5G网络、千兆光网建设西部领先，算力网络成为全国枢纽之一。陕西移动积极承担“政治、经济、社会”责任，累计11年被评为陕西省A级纳税人。

陕西移动业务快速发展，汇聚了大量客户信息，包含个人信息、通信行为、基站等敏感数据，数据汇聚、频繁交互带来了严峻的数据安全风险。陕西移动内部、外部能力输出、数据输出、业务调用均依托API接口，亟需加强API攻击检测能力，有效应对各种API 安全威胁和挑战。

1、整体架构设计及主要建设内容

本案例通过对业务数据流量的识别和分析，提取HTTP请求，对业务系统中在运行的API资产进行分析，形成API资产清单。通过持续不断地对业务数据流量进行动态分析，提取API请求以及响应中的报文内容，构建该平台的基础数据。

以数据为核心，构建了事前防御、事中监测、事后溯源处置的数据安全风险检测机制。事前对常见的API攻击行为如自动化、爆破、越权、绕过等进行分析，建立以API运行过程中的请求和响应数据为核心的攻击访问规则防护模型；事中通过对IP、设备、访问行为等关键信息进行实时及统计行为分析，分析匹配攻击模型，并对匹配的攻击行为进行告警或阻断；事后对留存的API访问记录进行审计及溯源分析，进一步优化攻击者的攻击行为模型，提升攻击行为模型检测的准确性，从而降低攻击者通过对API发起的攻击获取数据的异常行为的可能性，减少数据安全事件的发生。

2、解决问题思路及措施

一是事前通过自动化识别方式，对API调用的方法、参数类型等进行提取，建立所属业务系统的API资产台账，形成API基线数据。以数据分类分级、数据识别相关制度为基准，识别API中的敏感数据，为后续建立数据攻击行为模型提供支撑。

二是事中在业务系统运行过程中，通过业务数据流量中的API请求进行访问分析，识别潜在的风险和威胁，对识别到的攻击产生告警信息，并和自动化编排联动，将风险数据通过API的方式输出给自动化编排系统，进行联动处置；在插件部署模式下，直接在插件中拦截达API请求会话，实现攻击行为阻断。

三是事后通过对平台中所留存的API请求和响应记录中的所有数据进行关联分析，对可能涉及的潜在攻击行为进行分析，优化攻击模型规则，并可根据特定的业务场景自定义攻击规则模型，形成风险模型建立→规则模型识别→规则模型优化的常态化运营手段。

3、功能特点

一是智能化标记API的业务功能，通过API传输的参数确定API资产所属的业务应用及功能属性，为风险识别提供精准依据。二是通过识别API请求时间、响应状态、请求及响应时长等数据，形成运行状态动态监测。三是依据分类分级、数据识别规则和标准形成API运行中的敏感数据分类分级。四是依据API自身缺陷导致的攻击行为、API异常调用攻击行为等攻击者对API的攻击特点制定多样化的风险模型。五是根据业务系统网络架构及业务架构不同，通过代理部署、旁路部署和插件部署等部署方式，实现最快的攻击行为风险处置。

4、性能指标

平台在单分析节点，多流量抓取节点的架构下，平均处理请求在4000+次/s，可满足在日常运行状态下的数据处理能力。风险识别准确率经过规则的不断修正与调优，目前基本维持在92%左右，对于高风险威胁并配置的处置方式为拦截的可对所有的识别出的请求进行拦截。对于格式化的数据，如手机号、姓名、身份证号、企业信息等，准确率维持在95%以上，对于非格式化数据，如征信数据、企业经营数据等内容，在自动化与人工参与不断修正调优的配合下，维持在75%以上。目前，相关性能指标可满足对于风险的识别以及常态化运营的需求。

通过接入流量数据和API风险检测，以数据为核心，构建了事前防御、事中监测、事后溯源处置的数据安全风险检测机制，实现已知风险发现准确率95%，未知风险发现准确率为90%，通过标准化接口与其他安全措施联动，实现风险处置率87.5%，提升陕西移动整体数据安全防护水平。

本系统具备高度的灵活性和可扩展性，以适应不同客户环境和技术需求。在部署上，系统支持本地和云化部署，核心功能模块可按照行业规范或自身业务特点自定义规则。并且，系统已稳定运行六个月，内部形成了标准化的监测及运营流程。系统实施自动化监测及处置运营能力，大幅提升了风险处置效率（提升87.5%），显著缩短风险响应时间。系统可面向中国移动政企客户推广使用，借助中国移动庞大的客户群体和行业影响力，快速覆盖各类政企客户。并根据不同客户的需求，灵活提供服务内容。