網(wǎng)絡(luò)服務(wù)接口分析的制作方法
【專利摘要】在一個(gè)實(shí)現(xiàn)方式中,服務(wù)接口分析系統(tǒng)基于與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的多個(gè)統(tǒng)一資源標(biāo)識(shí)符定義多個(gè)服務(wù)模板,并且生成來自多個(gè)服務(wù)模板的每個(gè)服務(wù)模板的至少一個(gè)效用度量。
【專利說明】網(wǎng)絡(luò)服務(wù)接口分析
【背景技術(shù)】
[0001]安全性測試用于針對(duì)脆弱性(vulnerability)或攻擊向量(attack vector)而評(píng)定諸如web (網(wǎng)絡(luò))應(yīng)用之類的網(wǎng)絡(luò)服務(wù)。在安全性測試的一種方法中,安全性測試應(yīng)用(或掃描器(scanner))識(shí)別網(wǎng)絡(luò)服務(wù)的服務(wù)接口(例如,統(tǒng)一資源標(biāo)識(shí)符(URI),諸如應(yīng)用在其處接受輸入的統(tǒng)一資源定位符(URL))。網(wǎng)絡(luò)服務(wù)的服務(wù)接口有時(shí)被稱作網(wǎng)絡(luò)服務(wù)的攻擊面。
[0002]掃描器通過分析與網(wǎng)絡(luò)服務(wù)有關(guān)的網(wǎng)頁以識(shí)別引用網(wǎng)絡(luò)服務(wù)的URI (諸如包括網(wǎng)絡(luò)服務(wù)的主機(jī)標(biāo)識(shí)符的URI)來識(shí)別網(wǎng)絡(luò)服務(wù)的服務(wù)接口。在一些實(shí)現(xiàn)方式中,掃描器還向網(wǎng)絡(luò)服務(wù)提供超文本傳輸協(xié)議(HTTP)請(qǐng)求并且評(píng)估來自網(wǎng)絡(luò)服務(wù)的HTTP響應(yīng)以確定網(wǎng)絡(luò)服務(wù)是否在這些URI處對(duì)請(qǐng)求進(jìn)行響應(yīng)以及響應(yīng)于這樣的請(qǐng)求而返回的數(shù)據(jù)的特性。
[0003]掃描器然后基于諸如導(dǎo)向網(wǎng)絡(luò)服務(wù)在其處接受輸入的URI的HTTP請(qǐng)求之類的服務(wù)接口而執(zhí)行攻擊。這些請(qǐng)求特別地被精心制作成(例如具有參數(shù)或數(shù)據(jù)有效載荷以)測試攻擊向量,諸如,例如,存儲(chǔ)器緩沖器溢出、結(jié)構(gòu)化查詢語言(SQL)注入、特權(quán)提升和任意代碼執(zhí)行。此外,掃描器可以通過評(píng)估來自網(wǎng)絡(luò)服務(wù)的HTTP響應(yīng)來診斷存在或不存在脆弱性。
【專利附圖】
【附圖說明】
[0004]圖1是根據(jù)實(shí)現(xiàn)方式的包括網(wǎng)絡(luò)服務(wù)的環(huán)境的圖示。
[0005]圖2是根據(jù)實(shí)現(xiàn)方式的服務(wù)接口分析過程的流程圖。
[0006]圖3是根據(jù)另一個(gè)實(shí)現(xiàn)方式的服務(wù)接口分析系統(tǒng)的示意性框圖。
[0007]圖4是根據(jù)另一個(gè)實(shí)現(xiàn)方式的服務(wù)接口分析過程的流程圖。
[0008]圖5是根據(jù)實(shí)現(xiàn)方式的服務(wù)接口分析系統(tǒng)的數(shù)據(jù)流圖。
[0009]圖6是根據(jù)實(shí)現(xiàn)方式的在計(jì)算系統(tǒng)處主控(host)的服務(wù)接口分析系統(tǒng)的示意性框圖。
【具體實(shí)施方式】
[0010]一些掃描器通過首先解釋(interpret)網(wǎng)絡(luò)服務(wù)的服務(wù)接口的識(shí)別出的URI并且使那些URI的參數(shù)改變成包括攻擊數(shù)據(jù)集(例如旨在測試網(wǎng)絡(luò)服務(wù)處的攻擊向量的數(shù)據(jù)集)來執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試。然后將具有改變的URI的諸如HTTP請(qǐng)求之類的請(qǐng)求(還稱為服務(wù)請(qǐng)求或資源請(qǐng)求)提供給網(wǎng)絡(luò)服務(wù)以執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試。
[0011]一些網(wǎng)絡(luò)服務(wù)的服務(wù)接口適用于這樣的安全性測試。例如,服務(wù)接口可以基于以下形式的 URI:http://www.service, com/directory/file?parameterl=valuel¶meter2=value20 該 URI 包括主機(jī)標(biāo)識(shí)符“www.service, com”,到文件的路徑“/directory/file”,以及查詢串“parameterl=valueI¶meter2=value2”。典型地,查詢串被轉(zhuǎn)發(fā)到路徑識(shí)別的文件并且被其處理。因此,查詢串定義到網(wǎng)絡(luò)服務(wù)或服務(wù)接口的輸入。這里,網(wǎng)絡(luò)服務(wù)接受“valuel”作為名為“namel”的輸入?yún)?shù)以及“value2”作為名為“name2”的輸入?yún)?shù)。
[0012]掃描器可以相對(duì)簡單地識(shí)別這樣的服務(wù)接口,因?yàn)槎x這樣的服務(wù)接口的URI符合模式。更具體地,資源(這里,文件)被來自網(wǎng)絡(luò)服務(wù)的主機(jī)標(biāo)識(shí)符的路徑所識(shí)別,查詢串由問號(hào)字符(“? ”)識(shí)別,每個(gè)參數(shù)名稱/值對(duì)通過與字符(“&”)與其它參數(shù)名稱/值對(duì)分開,并且任何參數(shù)名稱/值對(duì)的參數(shù)名稱和值通過等號(hào)字符(“ = ”)分開。通過根據(jù)該模式解釋URI,掃描器可以識(shí)別可以被改變以執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試的值。
[0013]然而,其它網(wǎng)絡(luò)服務(wù)的服務(wù)接口并不適用于這樣的安全性測試。例如,一些網(wǎng)絡(luò)服務(wù)顯露或定義表述性狀態(tài)轉(zhuǎn)移(REST)服務(wù)接口。符合REST (或顯露這樣的服務(wù)接口的網(wǎng)絡(luò)服務(wù))的原則的服務(wù)接口通常稱作“REST的(RESTful)”。REST不是協(xié)議,而是架構(gòu)或接口式樣。許多REST的服務(wù)接口的一個(gè)共同特點(diǎn)是用于這樣的服務(wù)接口的URI包括作為URI路徑的元素而不是例如作為URI內(nèi)的查詢串的參數(shù)(或輸入?yún)?shù)的值)。
[0014]例如,與來自上文的URI 7]\ 例(http://www.service, com/directory/file?namel=valueI&name2=value2)形成對(duì)照,REST的服務(wù)接口可以基于以下形式中的任一種的URI:
http://www.service, com/directory/file/valuel/value2,
http://www.service, com/valuel/directory/file/value2,
http://www.service.com/value2/directory/file/valuel,或者
http://www.service.com/valuel/value2/file.html。
[0015]這樣的接口對(duì)于掃描器而言難以識(shí)別,因?yàn)檫@樣的URI具有類似于靜態(tài)URI的形式。也就是說,在沒有服務(wù)接口的單獨(dú)描述的情況下,URI http://www.service, com/valuel/value2/file.html可以解釋成是指在由www.service, com識(shí)別的主機(jī)處的具有路徑“/valUel/valUe2/”的目錄中的題為“file, html”的靜態(tài)網(wǎng)頁,而不是作為包括兩個(gè)參數(shù)(即 “ value I ” 和 “ value2 ”)的 URI。
[0016]此外,這樣的URI不符合掃描器從其可以識(shí)別可以被改變以執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試的參數(shù)(或輸入?yún)?shù)值)的清楚模式。結(jié)果,掃描器通常不能在沒有來自具有將在其上執(zhí)行安全性測試的網(wǎng)絡(luò)服務(wù)的服務(wù)接口的理解的測試工程師的輔助的情況下利用這樣的服務(wù)接口有效地執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試。
[0017]本文所論述的實(shí)現(xiàn)方式不依賴于網(wǎng)絡(luò)服務(wù)的服務(wù)接口的描述而識(shí)別可以被改變以執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試的URI內(nèi)的參數(shù)。例如,本文所論述的實(shí)現(xiàn)方式基于針對(duì)網(wǎng)絡(luò)服務(wù)的服務(wù)接口的URI組而識(shí)別URI內(nèi)的這樣的參數(shù)。作為更特定的示例,服務(wù)接口分析系統(tǒng)可以基于通過爬行(crawl) —組網(wǎng)頁而識(shí)別出的URI來定義服務(wù)模板組(例如其中識(shí)別出包括或者可以包括參數(shù)的URI的元素的URI或其部分)。此外,服務(wù)接口分析系統(tǒng)可以基于該服務(wù)模板的屬性而生成針對(duì)每個(gè)服務(wù)模板的一個(gè)或多個(gè)效用度量(measure)。服務(wù)接口分析系統(tǒng)然后可以基于針對(duì)每個(gè)服務(wù)模板的一個(gè)或多個(gè)效用度量將啟發(fā)法(例如表征或分類的規(guī)則)應(yīng)用于服務(wù)模板以識(shí)別由于不太可能正確地識(shí)別包括參數(shù)的URI的元素而應(yīng)當(dāng)被丟棄的服務(wù)模板。剩余的服務(wù)模板(即未被丟棄的那些)可以用于執(zhí)行網(wǎng)絡(luò)服務(wù)的安全性測試。
[0018]圖1是根據(jù)實(shí)現(xiàn)方式的包括網(wǎng)絡(luò)服務(wù)的環(huán)境的圖示。圖1中所示的環(huán)境被邏輯地而非物理地圖示。例如,圖1中圖示的環(huán)境的組件可以包括多個(gè)物理組件或單個(gè)物理組件。作為特定示例,計(jì)算系統(tǒng)110可以是單個(gè)計(jì)算機(jī)服務(wù)器、計(jì)算機(jī)服務(wù)器的外殼或機(jī)架、在計(jì)算機(jī)服務(wù)器或計(jì)算機(jī)服務(wù)器組處主控的虛擬機(jī)組、或負(fù)載平衡器和計(jì)算機(jī)服務(wù)器集群。
[0019]客戶端140是諸如web或因特網(wǎng)瀏覽器或在計(jì)算系統(tǒng)(諸如臺(tái)式計(jì)算機(jī)、筆記本或膝上型計(jì)算機(jī)、平板設(shè)備或智能電話)處主控的其它應(yīng)用之類的應(yīng)用??蛻舳?40通過使用URI請(qǐng)求那些資源來訪問網(wǎng)絡(luò)服務(wù)120處的資源。
[0020]通信鏈路130包括定義計(jì)算系統(tǒng)110、客戶端140和/或其它設(shè)備或服務(wù)之間的通信路徑的設(shè)備、服務(wù)或其組合。例如,通信鏈路130可以包括線纜(例如,雙絞線纜、同軸線纜或光纖線纜)、無線鏈路(例如,射頻鏈路、光學(xué)鏈路或聲波鏈路)或者傳輸或支持信號(hào)傳輸?shù)娜魏纹渌B接器或系統(tǒng)中的一個(gè)或多個(gè)。通信鏈路130可以包括諸如內(nèi)聯(lián)網(wǎng)、因特網(wǎng)、其它電信網(wǎng)絡(luò)或其組合之類的通信網(wǎng)絡(luò)。此外,通信鏈路130可以包括代理、路由器、交換機(jī)、網(wǎng)關(guān)、橋接器、負(fù)載平衡器和類似的通信設(shè)備。此外,圖1中圖示的連接和通信路徑(例如,在通信鏈路130和客戶端140和計(jì)算系統(tǒng)110之間)是邏輯性的并且不一定反映物理連接。
[0021]計(jì)算系統(tǒng)100主控網(wǎng)絡(luò)服務(wù)120。網(wǎng)絡(luò)服務(wù)120是資源經(jīng)由其可以被訪問的諸如web應(yīng)用之類的應(yīng)用。資源121-128是數(shù)據(jù)或數(shù)據(jù)的集合。例如,資源121可以是關(guān)系數(shù)據(jù)庫內(nèi)的表,并且資源121、123和124可以是關(guān)系數(shù)據(jù)庫內(nèi)的記錄。資源125可以是,例如,圖像的容器(或集合),資源126可以是資源125內(nèi)的容器,資源127可以是資源126內(nèi)的圖像,并且資源128可以是該資源125內(nèi)的圖像。
[0022]網(wǎng)絡(luò)服務(wù)120定義資源121-128經(jīng)由其可以例如被客戶端140訪問的服務(wù)接口。換言之,網(wǎng)絡(luò)服務(wù)120定義識(shí)別資源121-128的URI的結(jié)構(gòu)。URI是識(shí)別資源的符號(hào)組。因此,服務(wù)接口定義在網(wǎng)絡(luò)服務(wù)120處如何解釋URI以識(shí)別資源。
[0023]URI 190是URI的示例。URI 190包括各種片段(或部分或元素)。在圖1中圖示的示例中,URI 190的片段由斜線字符(“/”)劃界或分開。更具體地,URI 190包括五個(gè)片段:模式“HTTP”,其描述數(shù)據(jù)要如何被傳送;主機(jī)標(biāo)識(shí)符,其識(shí)別網(wǎng)絡(luò)服務(wù)120 ;以及作為URI的主體或路徑的部分的三個(gè)片段。在其中網(wǎng)絡(luò)服務(wù)120定義REST的服務(wù)接口的示例中,例如,作為URI的路徑的部分的三個(gè)片段可以每一個(gè)包括被網(wǎng)絡(luò)服務(wù)120用于識(shí)別資源的參數(shù)。也就是說,網(wǎng)絡(luò)服務(wù)120將這些片段的內(nèi)容解釋為參數(shù)或輸入?yún)?shù)值。
[0024]參數(shù)是諸如在URI (或諸如包括URI的HTTP請(qǐng)求之類的請(qǐng)求)內(nèi)作為輸入提供給網(wǎng)絡(luò)服務(wù)的符號(hào)、字符或數(shù)字之類的數(shù)據(jù)。參數(shù)或參數(shù)組可以識(shí)別資源、識(shí)別關(guān)于資源要執(zhí)行的操作、表示用于相對(duì)于資源被執(zhí)行的操作的數(shù)據(jù)(例如用于更新資源的數(shù)據(jù))、表示與資源有關(guān)的元數(shù)據(jù)或者表示與資源有關(guān)的其它數(shù)據(jù)。
[0025]作為特定示例,網(wǎng)絡(luò)服務(wù)120可以提供與圖書有關(guān)的信息。在該示例中,資源121可以是關(guān)系數(shù)據(jù)庫內(nèi)的表,所述關(guān)系數(shù)據(jù)庫包括諸如唯一圖書標(biāo)識(shí)符(例如國際標(biāo)準(zhǔn)圖書編號(hào)(ISBN))、標(biāo)題、作者、出版日期、頁數(shù)和其它信息之類的關(guān)于圖書的信息。也就是說,資源122、123、124中的每一個(gè)和資源121內(nèi)的其它資源是與特定圖書有關(guān)的信息集合。此外,在該示例中,資源125可以包括圖書封面的圖像。對(duì)于該示例更具體地,資源126可以是針對(duì)特定圖書的不同圖書封面的圖像的集合(資源127可以是那些圖像之一),并且資源128是圖書封面的圖像。包括PARAMETER1 (參數(shù)I)的片段可以被網(wǎng)絡(luò)服務(wù)120用于確定是否請(qǐng)求關(guān)于圖書或圖書封面的信息。如果PARAMETER1具有值“data”,關(guān)于圖書的信息被請(qǐng)求并且包括PARAMETER2 (參數(shù)2)的片段可以被網(wǎng)絡(luò)服務(wù)120用于識(shí)別所期望的圖書的唯一圖書標(biāo)識(shí)符,并且包括PARAMETER3 (參數(shù)3)的片段可以被網(wǎng)絡(luò)服務(wù)120用于識(shí)別針對(duì)該所期望的圖書的資源中的信息的特定類型或字段。如果PARAMETER1具有值“cover”,圖書封面被請(qǐng)求并且包括PARAMETER2的片段可以被網(wǎng)絡(luò)服務(wù)120用于通過使用所期望的圖書的唯一圖書標(biāo)識(shí)符來識(shí)別請(qǐng)求針對(duì)其的圖書封面圖像的圖書,并且包括PARAMETER3的片段可以被網(wǎng)絡(luò)服務(wù)120用于識(shí)別所請(qǐng)求的圖像的格式(例如,位圖圖像、JPEG圖像、PNG圖像、GIF圖像或某個(gè)其它圖像格式)。
[0026]因此,如果客戶端140通過向網(wǎng)絡(luò)服務(wù)120提供URI http://www.service, com/data/29132464/titIe來請(qǐng)求網(wǎng)絡(luò)服務(wù)120處的資源,網(wǎng)絡(luò)服務(wù)120將用由29132464唯一識(shí)別的圖書的標(biāo)題向客戶端140提供響應(yīng)。類似地,如果客戶端140通過向網(wǎng)絡(luò)服務(wù)120提供URI http://www.service, com/data/36007380/title 來請(qǐng)求網(wǎng)絡(luò)服務(wù) 120 處的資源,網(wǎng)絡(luò)服務(wù)120將用由36007380唯一識(shí)別的圖書的標(biāo)題向客戶端140提供響應(yīng)。然而,如果客戶端 140通過向網(wǎng)絡(luò)服務(wù) 120提供URI http://www.service, com/cover/29132464/JPEG來請(qǐng)求網(wǎng)絡(luò)服務(wù)120處的資源,網(wǎng)絡(luò)服務(wù)120將用以JPEG格式的針對(duì)由29132464唯一識(shí)別的圖書的圖書封面的圖像向客戶端140提供響應(yīng)。此外,如果客戶端140通過向網(wǎng)絡(luò)服務(wù) 120 提供 URI http: //www.service, com/cover/36007380/PNG 來請(qǐng)求網(wǎng)絡(luò)服務(wù) 120 處的資源,網(wǎng)絡(luò)服務(wù)120將用以PNG格式的針對(duì)由36007380唯一識(shí)別的圖書的圖書封面的圖像向客戶端140提供響應(yīng)。
[0027]掃描器可以通過,例如,爬行鏈接到網(wǎng)絡(luò)服務(wù)120的網(wǎng)頁(或經(jīng)由網(wǎng)絡(luò)服務(wù)120可訪問的資源121-128)和/或監(jiān)視去往計(jì)算系統(tǒng)110的通信(例如網(wǎng)絡(luò)業(yè)務(wù))來獲取包括網(wǎng)絡(luò)服務(wù)120的主機(jī)標(biāo)識(shí)符的URI大組(在該示例中,www.service, com)。這些URI將具有形式http://www.service.com/cover/〈唯一圖書標(biāo)識(shí)符 >/〈圖像格式 > 或形式http://www.service, com/data/<唯一圖書標(biāo)識(shí)符>/〈信息字段 >。本文論述的實(shí)現(xiàn)方式分析這些URI以生成描述這些URI的哪些片段包括可以被改變以執(zhí)行網(wǎng)絡(luò)服務(wù)120的安全性測試的參數(shù)的服務(wù)模板。
[0028]作為示例,圖2是根據(jù)實(shí)現(xiàn)方式的服務(wù)接口分析過程的流程圖。過程200可以在諸如在計(jì)算系統(tǒng)處主控的服務(wù)接口分析系統(tǒng)之類的服務(wù)接口分析系統(tǒng)處實(shí)現(xiàn)?;赨RI組在塊210處定義服務(wù)模板組。服務(wù)模板描述針對(duì)用于網(wǎng)絡(luò)服務(wù)的服務(wù)接口的URI的結(jié)構(gòu)。作為示例,服務(wù)模板可以是包括與包括參數(shù)的其它URI的片段對(duì)應(yīng)的服務(wù)模板的部分(或片段)處的一個(gè)或多個(gè)占位標(biāo)識(shí)符的URI (或其部分)。換言之,服務(wù)模板中的占位標(biāo)識(shí)符是對(duì)于URI中的參數(shù)的代替。因此,服務(wù)模板通過描述網(wǎng)絡(luò)服務(wù)經(jīng)由其接受輸入的URI和那些URI的哪些片段可以包括參數(shù)來描述服務(wù)接口(或其部分)。在其它實(shí)現(xiàn)方式中,服務(wù)模板可以以除了 URI或字符串之外的格式來描述,諸如使用諸如可擴(kuò)展標(biāo)記語言(XML)之類的標(biāo)記語言。
[0029]作為特定示例,參考以上關(guān)于圖1論述的示例,網(wǎng)絡(luò)服務(wù)可以顯露基于以下形式的URI的服務(wù)接口:http://www.service.com/cover/<唯一圖書標(biāo)識(shí)符>/〈圖像格式 > 或形式http://www.service, com/data/<唯一圖書標(biāo)識(shí)符>/〈信息字段 >。該服務(wù)接口可以通過例如兩個(gè)服務(wù)模板來描述:http://www.service, com/cover/*/*或形式http://www.service, com/data/*/*,其中星號(hào)字符(“*”)是占位標(biāo)識(shí)符。換言之,服務(wù)模板http://www.service, com/cover/*/*描述網(wǎng)絡(luò)服務(wù)經(jīng)由其接受輸入的URI的結(jié)構(gòu)。通過用各種值(例如字母數(shù)字字符或其它符號(hào)串)取代占位標(biāo)識(shí)符(這里,星號(hào)字符),諸如攻擊數(shù)據(jù)集之類的數(shù)據(jù)可以被提供作為對(duì)網(wǎng)絡(luò)服務(wù)的輸入。
[0030]在該示例中,URI可以按如下從服務(wù)模板http://www.service, com/cover/*/*生成或基于所述服務(wù)模板生成。第一星號(hào)字符可以用作為唯一圖書標(biāo)識(shí)符的要被輸入到網(wǎng)絡(luò)服務(wù)的值“SQL ATTACK”取代,并且第二星號(hào)字符可以用作為圖像格式的要被輸入到網(wǎng)絡(luò)服務(wù)的值“SHELL CODE”取代。更具體地,在該示例中所生成的URI將是http://www.service,com/cover/ SQL ATTACK / SHELL CODE。
[0031]作為另一個(gè)示例,服務(wù)模板可以由XML文檔內(nèi)的XML元素描述。例如,服務(wù)模板http://www.service, com/cover/氺/氺可以表述為:
【權(quán)利要求】
1.一種處理器可讀介質(zhì),包括表示指令的代碼,所述指令當(dāng)在處理器處執(zhí)行時(shí)使處理器: 基于與網(wǎng)絡(luò)服務(wù)相關(guān)聯(lián)的多個(gè)統(tǒng)一資源標(biāo)識(shí)符而定義多個(gè)服務(wù)模板; 生成來自多個(gè)服務(wù)模板的每個(gè)服務(wù)模板的至少一個(gè)效用度量;以及 基于服務(wù)模板的至少一個(gè)效用度量而丟棄來自多個(gè)服務(wù)模板的所述服務(wù)模板。
2.權(quán)利要求1的處理器可讀介質(zhì),還包括表示指令的代碼,所述指令當(dāng)在處理器處執(zhí)行時(shí)使處理器: 獲取數(shù)據(jù)存儲(chǔ)裝置處的多個(gè)統(tǒng)一資源標(biāo)識(shí)符。
3.權(quán)利要求1的處理器可讀介質(zhì),還包括表示指令的代碼,所述指令當(dāng)在處理器處執(zhí)行時(shí)使處理器: 向網(wǎng)絡(luò)服務(wù)提供多個(gè)請(qǐng)求;以及 基于來自網(wǎng)絡(luò)服務(wù)的多個(gè)響應(yīng)而定義多個(gè)統(tǒng)一資源標(biāo)識(shí)符。
4.權(quán)利要求1的處理器可讀介質(zhì),其中所述至少一個(gè)效用度量包括覆蓋度量、特異性度量、度度量或其組合中的至少一個(gè)。
5.權(quán)利要求1的處理器可讀介質(zhì),還包括表示指令的代碼,所述指令當(dāng)在處理器處執(zhí)行時(shí)使處理器: 識(shí)別來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的每個(gè)統(tǒng)一資源標(biāo)識(shí)符內(nèi)的網(wǎng)絡(luò)服務(wù)的主機(jī)標(biāo)識(shí)符和多個(gè)片段; 針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的每個(gè)統(tǒng)一資源標(biāo)識(shí)符,通過用至少一個(gè)占位標(biāo)識(shí)符取代來自該統(tǒng)一資源標(biāo)識(shí)符內(nèi)的多個(gè)片段的一個(gè)或多個(gè)片段來生成服務(wù)模板組, 通過來自針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的每個(gè)統(tǒng)一資源標(biāo)識(shí)符的服務(wù)模板組的唯一服務(wù)模板而定義多個(gè)服務(wù)模板。
6.權(quán)利要求1的處理器可讀介質(zhì),還包括表示指令的代碼,所述指令當(dāng)在處理器處執(zhí)行時(shí)使處理器: 確定服務(wù)模板的至少一個(gè)效用度量不滿足針對(duì)至少一個(gè)效用度量的預(yù)定閾值。
7.一種服務(wù)接口分析系統(tǒng),包括: 解析模塊,其識(shí)別來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的每個(gè)統(tǒng)一資源標(biāo)識(shí)符內(nèi)的多個(gè)片段; 服務(wù)模板生成器模塊,其用至少一個(gè)占位標(biāo)識(shí)符取代來自每個(gè)統(tǒng)一資源標(biāo)識(shí)符內(nèi)的多個(gè)片段的一個(gè)或多個(gè)片段以定義針對(duì)該統(tǒng)一資源標(biāo)識(shí)符的至少一個(gè)服務(wù)模板;以及 測量模塊,其向針對(duì)每個(gè)統(tǒng)一資源標(biāo)識(shí)符的至少一個(gè)服務(wù)模板分配至少一個(gè)效用度量。
8.權(quán)利要求7的系統(tǒng),還包括: 過濾模塊,其基于分配到針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的統(tǒng)一資源標(biāo)識(shí)符的至少一個(gè)服務(wù)模板的至少一個(gè)效用度量而丟棄針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的所述統(tǒng)一資源標(biāo)識(shí)符的來自至少一個(gè)服務(wù)模板的服務(wù)模板。
9.權(quán)利要求7的系統(tǒng),其中分配到針對(duì)每個(gè)統(tǒng)一資源標(biāo)識(shí)符的至少一個(gè)服務(wù)模板的至少一個(gè)效用度量包括覆蓋度量、特異性度量、度度量或其組合中的至少一個(gè)。
10.權(quán)利要求7的系統(tǒng),其中分配到針對(duì)每個(gè)統(tǒng)一資源標(biāo)識(shí)符的至少一個(gè)服務(wù)模板的至少一個(gè)效用度量包括覆蓋度量、特異性度量、度度量或其組合中的至少兩個(gè)。
11.權(quán)利要求7的系統(tǒng),還包括: 捕獲模塊,其基于與網(wǎng)絡(luò)服務(wù)的通信而識(shí)別多個(gè)統(tǒng)一資源標(biāo)識(shí)符。
12.權(quán)利要求7的系統(tǒng),還包括: 分析模塊,其向網(wǎng)絡(luò)服務(wù)提供多個(gè)請(qǐng)求,所述請(qǐng)求基于針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的統(tǒng)一資源標(biāo)識(shí)符的來自至少一個(gè)服務(wù)模板的多個(gè)服務(wù)模板,每個(gè)請(qǐng)求包括攻擊數(shù)據(jù)集。
13.一種服務(wù)接口分析方法,包括: 獲取存儲(chǔ)器處的多個(gè)統(tǒng)一資源標(biāo)識(shí)符; 針對(duì)來自多個(gè)統(tǒng)一資源標(biāo)識(shí)符的每個(gè)統(tǒng)一資源標(biāo)識(shí)符, 識(shí)別該統(tǒng)一資源標(biāo)識(shí)符內(nèi)的多個(gè)片段,以及 用至少一個(gè)占位標(biāo)識(shí)符取代來自該統(tǒng)一資源標(biāo)識(shí)符內(nèi)的多個(gè)片段的一個(gè)或多個(gè)片段以定義針對(duì)該統(tǒng)一資源標(biāo)識(shí)符的服務(wù)模板組; 聚合針對(duì)每個(gè)統(tǒng)一資源標(biāo)識(shí)符的服務(wù)模板組以定義多個(gè)服務(wù)模板;以及 向來自多個(gè)服務(wù)模板的每個(gè)服務(wù)模板分配效用度量。
14.權(quán)利要求13的方法,其中分配到每個(gè)服務(wù)模板的效用度量包括覆蓋度量、特異性度量、度度量或其組合中的至少一個(gè)。
15.權(quán)利要求13的方法,還包括: 基于分配到服務(wù)模板的效用度量而丟棄來自多個(gè)服務(wù)模板的所述服務(wù)模板。
【文檔編號(hào)】H04L29/06GK104137506SQ201280070943
【公開日】2014年11月5日 申請(qǐng)日期:2012年2月29日 優(yōu)先權(quán)日:2012年2月29日
【發(fā)明者】Z.梅澤, K.門德列夫, O.舍扎夫 申請(qǐng)人:惠普發(fā)展公司,有限責(zé)任合伙企業(yè)