API防护方案

（1）引入API资产管理，实现对API资产的统一管理。API资产管理基于数据建模自动发现被保护站点的API资产，并在报表分析中展示检测到的API请求，帮助客户实现API资产的生命周期管理。API资产管理包括：

①  API自动发现。通过对访问流量进行分析，自动发现流量中的API接口，自动生成API列表，自动对API进行识别、梳理，对API接口的访问情况一目了然。

②  API资产分组。基于关键字快速分组，分组后指定责任人，实现资产管理闭环。

③  API导入和导出。支持从API网关导入API列表，同时可以将API清单导出。

④  API 资产生命周期管理。针对每一次API的调用，记录每一次调用情况，包括调用端的IP、端口、API调用开始以及结束时间、API调用产生的数据量等。提供以上信息的查询以及管理。

（2）对API进行攻击防护。综合利用智能规则匹配及行为分析的智能威胁检测引擎，持续监控并分析流量行为，有效检测威胁攻击。智能威胁检测引擎在用户与应用程序交互的过程中收集数据，并利用统计模型来确定HTTP请求的异
常。一旦确定异常情况，智能引擎就会使用机器学习获得的多种威胁模型来确定异常攻击。攻击防护具体又包括：

① API访问设备唯一标识。为每个访问端生成除IP地址外的唯一标识API，形成设备指纹，在后续的一系列针对API访问情况的分析的过程中，通过设备唯一标识关联到访问设备，防止IP地址、MAC地址修改后，访问设备无法追踪；

② 攻击识别。对数百万个真实攻击样本的训练建模，结合第三方漏洞库，如: CVE和Exploit DB、第三方漏洞扫描程序收集的数据，通过机器学习，实现攻击识别；

③ 智能威胁检测。覆盖OWASP Top10的攻击防御，包括： SQL注入或远程命令注入、跨站脚本、XML外部实体、不安全的反序列化、使用含有漏洞的组件、Webshell木马上传等。

（3）敏感数据管控。对API传输中的敏感数据进行识别，针对敏感数据可以进行模糊化或者实时拦截，防止敏感数据泄露 。具体包括：

① 敏感信息识别。对API接口的回传报文进行识别，识别手机号、用电户号等敏感信息，敏感信息的识别可配置。

② 敏感信息模糊化。对API接口回传报文中的敏感信息进行过滤，对敏感信息进行打码，规避安全风险。

③ 敏感信息拦截。对API接口暴漏的敏感信息进行拦截，多种拦截动作，如：阻断、退回特定页面等。

④ 敏感信息白名单。对含有敏感信息的API进行提供白名单功能。设置白名单后，用户可以正常访问含有敏感信息的API。

（4）对API接口的访问行为进行分析，通过多维度建立API基线、API威胁建模，发现恶意访问行为，避免恶意访问造成的业务损失。具体包括：

① API 运行监控。对API访问成功率、耗时、TPS、并发等进行监控。

② API访问基线。建立API访问基线，对偏离基线的行为进行拦截。

③ API风险管理。对API接口进行威胁打分，发现API异常，实时管控。 

四 对API进行安全保护的场景

（1）识别各种针对API的安全攻击，对安全攻击进行实时防护；对API请求参数进行合规管控，对不符合规范的请求参数实时管控。

（2）监控API的访问行为，针对高频情况等进行防护，防止高频情况等造成的API性能瓶颈。

（3）保障API接口只能被合法用户访问。

（4）对API传输中的敏感数据进行识别，针对敏感数据可以进行模糊化或者实时拦截，防止敏感数据泄露。

（5）通过从API网关上获取API注册数据，与API资产进行对比，发现未知API接口，防止未知API访问造成的业务访问压力，导致业务不可用。

（6）监控API接口的访问，通过多维度建立API基线、API威胁建模，发现恶意访问行为，避免恶意访问造成的业务损失。

（7）精准地构建API画像；通过API画像，可以快速预览各个业务的API情况，包括使用情况、异常情况、访问来源等。

（8）对访问流量进行分析，自动发现流量中的API接口，实现API接口
自动识别。