看过我博客的人都知道，我们是一家推广OpenAPI的企业。

OpenAPI是一种用于定义API结构的规范，在Java里我们可以使用swagger进行自动生成。其他语言也可以（Golang等）。通过这种对开发人员零成本的工具，我们可以高效的获取开放API服务的业务结构、合理输入及输出等描述信息。

我们自己也做了一个在线OpenAPI编辑器，用于API的设计和手工编辑。

上周，我们发布了0.7.0版本，增强了API网关的产品能力，突然有些突发奇想，如果我们结合OpenAPI的这种业务描述信息以及实际发生的访问日志，是不是就可以有效的对恶意访问进行筛选，比如查找常见的各式扫描访问和一些违规操作的目的呢。

于是这周开始，我们做了一个开源项目：

OpenAPI Log Cathttps://gitee.com/bjf-fhe/apicat

目前的设想是，通过传入OpenAPI定义，对nginx的访问日志进行分析。希望可以通过本项目探测以下两类非法请求

• 非法url请求

我们经常会看到扫描服务器的人试图通过常见url漏洞进行扫描，这些url访问的通常是常见服务漏洞的url，而不是开发开放的url，他们并不在OpenAPI定义中出现。

• url功能滥用

前后台分离架构下，我们通常会提供一系列接口以便完成前端功能，这些功能通常以页面为组成组访问，或者以用户id为主，进行同用户访问，url功能滥用通常会出现在以下的情况下：

- 本应登陆后使用的数据接口出现登陆前访问

- 某个登录接口正确相应的客户批量化调用系统其他用户的相关资料

通常通过OpenAPI对接口的描述，我们可以按定义的参数将用户请求分组，分组后形成正常用户访问的API路径指纹，从而将正常访问和不正常访问进行区分。例如一个用户在登录后，通常提交的userid都会是同一个，于是我们通过ip和userid的成组输入关系，可以清楚的判定一个登录用户的正常访问指纹。而此时，如果出现一个在指纹内的，应该只面向登录用户的接口，突发的出现横向的，同一path，但不同userid的请求，可以判定为非法探针请求。

目前我们开展了初步的研发工作，但是鉴于我们自己的需求和验证场景较少，特别希望有运维的同学可以参与到我们的项目中来，如果你觉得哎，好像挺有意思的，欢迎与我们联系，参与讨论或提交需求。