一、项目背景及目标

随着互联网应用的不断丰富与复杂化，应用服务化趋势日益显著，API作为应用系统间数据传输与控制的核心载体，已深度嵌入手机银行、微信银行、小程序以及第三方业务开放平台等各类业务场景。当前，API所传输的数据体量持续增长，敏感性也显著提升，对外开放接口的数量正快速的增加。然而，传统检测设备在面对API资产时，难以进行有效梳理，对僵尸API、影子API、失活API等隐匿性资产缺乏识别与监管能力，导致现有资产管理体系在新型业务场景下面临明显短板。同时，由于我行大部分互联网应用系统做了链路加密及应用加密，导致即使通过ssl卸载链路加密后的流量，也无法使用传统WAF设备进行网络攻击行为的检测。

在此背景下，构建覆盖API资产管理全生命周期的综合管理体系，通过掌握API新增、失活等状态，筑牢API资产的管理综合能力势在必行。

通过API审计系统，将我行互联网应用的应用层加密流量解密，利用API审计系统制订OWASP API脆弱性风险策略、行为风险策略进行监测，同时将解密后的请求及响应流量发送至WAF设备，由WAF设备进行sql注入、命令执行等高风险网络攻击监测，并将监测到的告警发送至安全运营平台，最后通过任务编排实现自动化封禁。

二、项目方案

为了支撑整体业务安全风险防控方案的落地，采用可扩展的技术体系。接口业务安全风险防控总体架构由采集层，存储层，数据层，交互层组成。

采集层从数据流动链路采集汇聚、解析、还原基础的日志，包括应用系统流量的采集和解析还原等。

存储层将采集层中采集的各类日志、流量、元数据等进行格式化和非格式化处理后，进行数据持久化存储。

数据层基于基础能力构建场景化的业务安全风险防控模型，如数据资产梳理、数据威胁监测、数据威胁响应等。

交互层将底层能力通过交互式的平台开放出来，进行业务安全风险防控相关工作。提供从宏观到微观等各个层面掌握和了解当前业务系统数据安全风险现状。

本次项目使用TAP交换机采集ssl设备解密后的互联网流量至API审计系统，实现用户访问我行互联网应用系统的安全审计。

通过API审计系统的应用资产识别策略，梳理已识别出的互联网应用资产，并进行应用资产标签化处理。由于镜像流量中存在重复的、心跳检测的、行内往外访问互联网的流量，需对上述流量进行过滤。同时，由于互联网应用复用同一个负载IP、端口，但应用侧通过url路径区分为不同的互联网应用资产，需通过应用拆分功能拆分成相应的应用资产。

由API审计系统定制开发调用应用解密的功能，约定传入解密方法所需的请求及响应的报文数据，最后由我行系统研发人员提供根据不同应用的解密算法、格式编写解密jar供API审计系统调用后获取明文。

制订API审计系统的脆弱性风险、行为风险的检测策略。目前系统已内置47条脆弱性风险检测策略，如数据库配置信息泄露、数据库操作接口、脱敏策略不一致、登录弱密码、未禁用目录浏览、敏感接口参数可遍历、敏感接口未鉴权、路径可遍历以及常见中间件的安全漏洞等检测策略。已内置22条行为风险检测策略，如账号单日获取数据条数超10000条（去重敏感数据）、账号暴力破解、账号在2个及以上IP访问、撞库攻击、短信轰炸、个人数据API出境风险等检测策略。

通过日志外发功能，将监测到的告警日志发送至安全运营平台记录，同时将全量审计日志发送至bac服务，还原为http请求及响应服务，通过代理至waf设备，对审计日志进行sql注入、命令执行等高风险网络攻击监测，waf设备告警日志同样发送至安全运营平台记录，通过行内企业微信平台推送告警信息。

三、创新点

本次项目创新主要在加密流量自动解密、访问行为审计分析、接口应用二次拆分功能创新点，丰富了API应用审计的可用性，各项创新点已完成项目交付，使用效果已达预期。

（1）加密流量自动解密，通过使用我行业务系统自带加密模块JAR包文件，API应用审计系统根据约定统一的调用方法实现加密流量的自动解密能力。

（2）访问行为审计分析，通过匹配我行实际业务场景和接口调用情况，设置基于接口账号、访问来源、访问数据内容等相关数据的行为基线，不断调优基线准确度，以次数、分钟、小时为时间线，刻画出“双非”行为规则，精准识别了非工作时间、非工作地点的恶意行为问题，提高风险发现能力。通过配置响应数据标识，可提升风险行为是否成功，从而降低误报。

（3）应用二次拆分，通过对应用审计结果进行详细分析，发现存在多个应用资产为同一负载IP和端口的情况，这些不同应用资产通过不同的一级路径进行区分，因此需对此类应用资产进行二次处理，根据一级路径拆分，实现应用资产信息更佳准确。截止目前，二次拆分后接口准确度达到100%，能够准确反映出当前我行接口资产的真实情况，提升了接口统计的准确率。

四、技术实现特点及优势

本次项目建设采用软硬一体交付模式，基于国产化麒麟V10操作系统运行，为满足业务系统高并发请求查询，采用24TB全固态模式，能够承载吞吐10Gbps，2个万兆光用于镜像流量采集使用。具体见下图所示。

针对本次项目实施，共计梳理22个系统功能点，特别是行为风险识别、应用生命周期标识、应用层报文解密、系统工单对接等功能的实现，紧贴业务建设需要，满足了我行API接口资产管理的建设需求。

五、项目过程管理

需求分析阶段：2023.05.28-2023.06.05

测试阶段：2023.09.15-2023.12.04

系统上架：2024.12.30

解密应用：2025.8.1-2025.9.9

优化阶段：2025.1.3-至今

六、运营情况

截止目前为止，API应用审计系统运行稳定，项目各项功能交付工作已完成，系统性能占用均在20%以内。

该系统为我行被动发现一批互联网应用资产风险，同时识别出相应数量的涉及接口风险。这些接口涵盖多种类型，具体包括短信验证接口、图形验证码接口、登录接口、转账交易接口、文件上传接口、文件下载接口，以及一定数量的高敏感接口。

发现存在脆弱性风险的接口若干。脆弱性风险类型主要有接口未鉴权、认证令牌有效期过长、敏感文件泄露、SQL 注入。在特定时段内，系统发现若干条行为风险记录，这些行为风险涉及多种类型，包括 IP 执行参数遍历、短信轰炸、短信验证码爆破成功等行为。

七、项目成效

通过API审计系统，可实时发现我行互联网侧对外提供的http服务，及时掌握互联网应用资产开放情况。通过配置脆弱性风险监测策略，多方位的发现API接口风险，弥补了众测、渗透测试过程中覆盖不全面的问题。同时，在划分了关键类型API后，可制定行为风险监测策略，第一时间发现存在的网络攻击行为，比如账号爆破、短信验证码爆破、sql注入、恶意文件上传等网络攻击行为，弥补了传统安全设备缺少访问频次方面的统计。依托数据包应用解密功能，将原加密流量解密后再进行WAF检测，弥补了WAF对加密流量无法检验的问题。

八、经验总结

我行运用API审计系统主要为梳理互联网资产、及时准确发现各应用系统中的API风险问题，弥补WAF设备缺少行为检测的缺陷，同时解决加密报文无法被WAF设备检测的问题。因此需要控制接入的流量，即https经过ssl卸载后的http流量，如果行内有统一的应用解密网关，可以直接采集解密网关后的流量至API审计系统。

选择API审计系统时，首先考虑应用系统识别准确性、是否存在丢流量的情况。在选型中，遇到部分产品丢流量存在丢失流量的情况，以及依托域名+端口识别应用资产的情况。丢失流量导致行为规则检测无法准备识别、脆弱性风险无法覆盖。对于使用依托域名+端口作为识别应用资产机制的产品，如果使用同一个公网IP，但不同域名的互联网资产，将影响应用识别的准确性，比如a.com和b.com都是共用111.111.111.111的公网IP，正常访问时，a.com:443是应用A，b.com:444是应用B，如果某个网络攻击使用了a.com:444进行攻击，将会产生另一个a.com:444的应用，暂且为应用C，而实际该应用C即是应用B，导致互联网资产不准确，在域名很多的情况下，攻击者访问时将有可能导致平台新增很多应用，严重影响应用资产的准确性。

其次，API审计系统是基于请求及响应内容的风险识别，如果只是提供链路解密后的密文流量，则将局限API审计系统的功能（仅从接口频次角度识别），因此我行提出定制化的解密功能。同时，考虑API标签识别的自动化能力，部分产品选择时，API标签为手动标识，导致人工介入的工作量较大，一旦有新的应用或者功能需求进来，又需人工接入进行打标，影响部分风险监测策略的实时性。比如短信验证接口的识别，若无法自动化识别为短信验证接口，在风险策略中将丢失对新增接口的风险监测，影响风险监测能力。

在脆弱性风险监测方面，需考虑监测内容的维度，能准确识别敏感信息，比如：请求或者相应报文中的内容是否存在手机号、身份证号、银行卡号，能准确记录匹配到各类敏感数的数量，尤其是去重数量，这将有效提高脆弱性检测的能力。

在行为风险监测方面，需考虑多维度的统计能力，比如基于IP、账号、API、API类型、时间、频次、内容、数量的多维度统计分析。部分产品仅仅通过频次进行风险监测，无法准确通过策略识别频次产生的问题，导致告警信息不明确，无法有效分析行为主体是否存在网络攻击行为。

未来，将结合大语言模型、智能体、自动化处置等相关人工智能技术，辅助完成业务二次拆分、接口精准研判、告警初步降噪的工作，让安全管理和业务部门的配合效率得到更高的提升，我行也将在业务安全和数据安全的方向不断拓展新的创新应用，巩固我行数字资产有序运行和高质量发展。