CN113779616A - 用于识别数据的方法和装置 - Google Patents

用于识别数据的方法和装置 Download PDF

Info

Publication number
CN113779616A
CN113779616A CN202110180902.8A CN202110180902A CN113779616A CN 113779616 A CN113779616 A CN 113779616A CN 202110180902 A CN202110180902 A CN 202110180902A CN 113779616 A CN113779616 A CN 113779616A
Authority
CN
China
Prior art keywords
data
service application
application
sensitive data
service
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202110180902.8A
Other languages
English (en)
Other versions
CN113779616B (zh
Inventor
李长伟
方城
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Original Assignee
Beijing Jingdong Century Trading Co Ltd
Beijing Wodong Tianjun Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Jingdong Century Trading Co Ltd, Beijing Wodong Tianjun Information Technology Co Ltd filed Critical Beijing Jingdong Century Trading Co Ltd
Priority to CN202110180902.8A priority Critical patent/CN113779616B/zh
Publication of CN113779616A publication Critical patent/CN113779616A/zh
Application granted granted Critical
Publication of CN113779616B publication Critical patent/CN113779616B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)

Abstract

本申请公开了用于识别数据的方法和装置,具体实现方案为:响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到用户标识、访问地址、为请求提供的各个服务应用;基于访问地址和各个服务应用,生成链路追踪标识;基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到;基于用户标识和各个服务应用的接口信息,生成各个服务应用的权限资源码;对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型。该方案实现了一种自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。

Description

用于识别数据的方法和装置
技术领域
本申请的实施例涉及计算机技术领域,具体涉及数据处理技术领域,尤其涉及用于识别数据的方法和装置。
背景技术
权限平台是一个标准的基于角色的访问控制(简称RBAC)权限管理平台,需要权限控制的业务应用到权限平台注册、申请权限资源码,然后通过角色管理资源码权限。
目前,权限平台无法识别权限资源码背后代表了哪些敏感数据,权限审批人也没有审批依据,只能靠申请人写的申请理由和自己的经验进行判断,权限管理和审查比较困难。通过http报文流量数据不知道流量中的URL即访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个,资产定位困难,敏感数据在哪比较模糊,很难做到重点保护。
发明内容
本申请提供了一种用于识别数据的方法、装置、设备以及存储介质。
根据本申请的第一方面,提供了一种用于识别数据的方法,该方法包括:响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用;基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,其中,链路追踪标识用于表征访问地址与各个服务应用之间的关联关系;基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到;基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,其中,权限资源码用于表征对请求进行权限校验所用的资源信息;对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
在一些实施例中,数据库的更新过程如下:将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码;基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,对数据库进行更新。
在一些实施例中,将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,包括:基于链路追踪技术,将链路追踪标识与各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,其中,链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
在一些实施例中,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,包括:对各个服务应用的执行代码进行提取,得到各个服务应用的执行代码对应的特征数据集;对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
在一些实施例中,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,包括:将各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型,其中,数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
在一些实施例中,方法还包括:将链路追踪标识发送至客户端。
在一些实施例中,方法还包括:基于各个权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。
根据本申请的第二方面,提供了一种用于识别数据的装置,装置包括:第一获取单元,被配置成响应于接收到客户端发送的用户访问请求,获取请求对应的用户标识、访问地址、为请求提供的各个服务应用;第一生成单元,被配置成基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,其中,链路追踪标识用于表征访问地址与各个服务应用之间的关联关系;第二获取单元,被配置成基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到;第二生成单元,被配置成基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,其中,权限资源码用于表征对请求进行权限校验所用的资源信息;数据识别单元,被配置成对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
在一些实施例中,数据库的更新过程通过如下模块完成:生成模块,被配置成将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码;更新模块,被配置成基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,对数据库进行更新。
在一些实施例中,生成模块进一步配置成基于链路追踪技术,将链路追踪标识与各个服务应用对应的应用信息进行绑定,其中,链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
在一些实施例中,数据识别单元,包括:提取模块,被配置成对各个服务应用的执行代码进行提取,得到各个服务应用的执行代码对应的特征数据集;识别模块,被配置成对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
在一些实施例中,数据识别单元进一步被配置成将各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型,其中,数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
在一些实施例中,装置还包括:发送单元,被配置成将链路追踪标识发送至客户端。
在一些实施例中,装置还包括:优化单元,被配置成基于各个权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。
根据本申请的第三方面,提供了一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如第一方面中任一实现方式描述的方法。
根据本申请的第四方面,本申请提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,计算机指令用于使计算机执行如第一方面中任一实现方式描述的方法。
根据本申请的技术采用响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用,基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到,基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对,解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据,权限审批人也没有审批依据,权限管理和审查困难的问题,避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个,资产定位困难,敏感数据在哪比较模糊,很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息,实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系,实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本申请的限定。
图1是根据本申请的用于识别数据的方法的第一实施例的示意图;
图2是可以实现本申请实施例的用于识别数据的方法的场景图;
图3是根据本申请的用于识别数据的方法的第二实施例的示意图;
图4是根据本申请的用于识别数据的装置的一个实施例的结构示意图;
图5是用来实现本申请实施例的用于识别数据的方法的电子设备的框图。
具体实施方式
以下结合附图对本申请的示范性实施例做出说明,其中包括本申请实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本申请的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1示出了根据本申请的用于识别数据的方法的第一实施例的示意图100。该用于识别数据的方法,包括以下步骤:
步骤101,响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用。
在本实施例中,当执行主体(例如权限管理平台)接收到客户端发送的用户访问请求,执行主体可以对用户访问请求进行解析,得到该请求对应的用户标识、访问地址、为请求提供的各个服务应用。访问地址可以为URL等访问信息。应用用于表征为请求提供的服务软件,应用可以是为该请求提供的各个服务的应用。
步骤102,基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识。
在本实施例中,执行主体可以根据步骤101中获取的访问地址和各个服务应用,随机生成唯一的与访问标识和各个服务应用对应的链路追踪标识。链路追踪标识用于表征访问地址与各个服务应用之间的关联关系,即通过链路追踪标识可以看出客户端调用的是哪些后端服务应用。
步骤103,基于链路追踪标识,从数据库中获取各个服务应用的应用信息。
在本实施例中,执行主体可以基于步骤102中生成的链路追踪标识,从更新过的数据库中获取各个服务应用的应用信息。应用信息至少包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到。执行代码可以为SQL代码。
进一步的,数据库的更新过程如下:将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码;基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,对数据库进行更新。通过链路追踪标识来查询相应的应用信息,建立了后端应用到数据库的数据血缘关系,实现完整的数据链条的数据血缘关系的建立。
步骤104,基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码。
在本实施例中,执行主体可以根据步骤101中获取的用户标识和各个服务应用的接口信息,按照资源码生成规则生成与各个接口信息对应的各个服务应用的权限资源码。权限资源码用于表征对请求进行权限校验所用的资源信息。资源码通过角色信息将用户与后端服务应用进行关联。
步骤105,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型。
在本实施例中,执行主体可以将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型。敏感数据可以包括:手机号、邮箱、身份证、地址、银行卡和其他预设信息,敏感数据的数据类型可以通过各种方式对敏感数据进行分类而得到。
在本实施例的一些可选的实现方式中,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,包括:对各个服务应用的执行代码进行提取,得到各个服务应用的执行代码对应的特征数据集;对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对,特征可以包括:字段、表、库信息等SQL各种相关信息。实现精准、全面地数据识别。
继续参见图2,本实施例的用于识别数据的方法200运行于电子设备201中。当电子设备201接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用202,然后电子设备201基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识203,接着电子设备201基于链路追踪标识,从数据库中获取各个服务应用的应用信息204,电子设备201基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码205,最后电子设备201对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型206。其中,链路追踪标识用于表征访问地址与各个服务应用之间的关联关系,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
本申请的上述实施例提供的用于识别数据的方法采用响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用,基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到,基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对,解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据,权限审批人也没有审批依据,权限管理和审查困难的问题,避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个,资产定位困难,敏感数据在哪比较模糊,很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息,实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系,实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
进一步参考图3,其示出了用于识别数据的方法的第二实施例的示意图300。该方法的流程包括以下步骤:
步骤301,响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用。
步骤302,基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,并将链路追踪标识发送至客户端。
在本实施例中,执行主体可以根据步骤301中获取的访问地址和各个服务应用,随机生成唯一的与访问标识和各个服务应用对应的链路追踪标识,并将链路追踪标识发送至客户端。链路追踪标识用于表征访问地址与各个服务应用之间的关联关系,即通过链路追踪标识可以看出客户端调用的是哪些后端服务应用。
步骤303,基于链路追踪标识,从数据库中获取各个服务应用的应用信息。
在本实施例中,执行主体可以基于步骤302中生成的链路追踪标识,从更新过的数据库中获取各个服务应用的应用信息。应用信息至少包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到。数据库的更新过程如下:将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码;基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,对数据库进行更新。通过链路追踪标识来查询相应的应用信息,建立了后端应用到数据库的数据血缘关系,实现完整的数据链条的数据血缘关系的建立。
在本实施例的一些可选的实现方式中,将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,包括:基于链路追踪技术,将链路追踪标识与各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,其中,链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。链路追踪技术可以为SDK集成的Java Agent调用的链追踪技术。实现简单、快速地信息绑定。
步骤304,基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码。
步骤305,将各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型。
在本实施例中,执行主体可以将各个服务应用的权限资源码输入至训练得到的数据识别模型,利用识别方法得到各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型。数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。数据识别模型基于历史数据预先训练得到。数据识别模型可以基于卷积神经网络而构建。
在本实施例的一些可选的实现方式中,方法还包括:基于各个权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。根据权限所表征的数据,作为权限审查的依据,实现更佳的权限审查,进一步针对涉及敏感数据的URL进行流量异常检测,降低误报率。
需要说明的是,上述卷积神经网络的结构和模型的训练过程是目前广泛研究和应用的公知技术,在此不再赘述。
在本实施例中,步骤301和304的具体操作与图1所示的实施例中的步骤101和104的操作基本相同,在此不再赘述。
从图3中可以看出,与图1对应的实施例相比,本实施例中的用于识别数据的方法的示意图300采用基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,并将链路追踪标识发送至客户端,实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的全数据链条的数据血缘关系;将各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型,实现精准而全面、适用范围更广地数据识别。
进一步参考图4,作为对上述图1~3所示方法的实现,本申请提供了一种用于识别数据的装置的一个实施例,该装置实施例与图1所示的方法实施例相对应,该装置具体可以应用于各种电子设备中。
如图4所示,本实施例的用于识别数据的装置400包括:第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405,其中,第一获取单元,被配置成响应于接收到客户端发送的用户访问请求,获取请求对应的用户标识、访问地址、为请求提供的各个服务应用;第一生成单元,被配置成基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,其中,链路追踪标识用于表征访问地址与各个服务应用之间的关联关系;第二获取单元,被配置成基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到;第二生成单元,被配置成基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,其中,权限资源码用于表征对请求进行权限校验所用的资源信息;数据识别单元,被配置成对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
在本实施例中,用于识别数据的装置400的第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405的具体处理及其所带来的技术效果可分别参考图1对应的实施例中的步骤101到步骤105的相关说明,在此不再赘述。
在本实施例的一些可选的实现方式中,数据库的更新过程通过如下模块完成:生成模块,被配置成将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定,生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码;更新模块,被配置成基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码,对数据库进行更新。
在本实施例的一些可选的实现方式中,生成模块进一步配置成基于链路追踪技术,将链路追踪标识与各个服务应用对应的应用信息进行绑定,其中,链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
在本实施例的一些可选的实现方式中,数据识别单元,包括:提取模块,被配置成对各个服务应用的执行代码进行提取,得到各个服务应用的执行代码对应的特征数据集;识别模块,被配置成对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
在本实施例的一些可选的实现方式中,数据识别单元进一步被配置成将各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型,其中,数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
在本实施例的一些可选的实现方式中,装置还包括:发送单元,被配置成将链路追踪标识发送至客户端。
在本实施例的一些可选的实现方式中,装置还包括:优化单元,被配置成基于各个权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。
根据本申请的实施例,本申请还提供了一种电子设备和一种可读存储介质。
如图5所示,是根据本申请实施例的用于识别数据的方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本申请的实现。
如图5所示,该电子设备包括:一个或多个处理器501、存储器502,以及用于连接各部件的接口,包括高速接口和低速接口。各个部件利用不同的总线互相连接,并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理,包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如,耦合至接口的显示设备)上显示GUI的图形信息的指令。在其它实施方式中,若需要,可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样,可以连接多个电子设备,各个设备提供部分必要的操作(例如,作为服务器阵列、一组刀片式服务器、或者多处理器***)。图5中以一个处理器501为例。
存储器502即为本申请所提供的非瞬时计算机可读存储介质。其中,存储器存储有可由至少一个处理器执行的指令,以使至少一个处理器执行本申请所提供的用于识别数据的方法。本申请的非瞬时计算机可读存储介质存储计算机指令,该计算机指令用于使计算机执行本申请所提供的用于识别数据的方法。
存储器502作为一种非瞬时计算机可读存储介质,可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块,如本申请实施例中的用于识别数据的方法对应的程序指令/模块(例如,附图4所示的第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405)。处理器501通过运行存储在存储器502中的非瞬时软件程序、指令以及模块,从而执行服务器的各种功能应用以及数据处理,即实现上述方法实施例中的用于识别数据的方法。
存储器502可以包括存储程序区和存储数据区,其中,存储程序区可存储操作***、至少一个功能所需要的应用程序;存储数据区可存储根据用于识别数据的电子设备的使用所创建的数据等。此外,存储器502可以包括高速随机存取存储器,还可以包括非瞬时存储器,例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中,存储器502可选包括相对于处理器501远程设置的存储器,这些远程存储器可以通过网络连接至用于识别数据的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
用于识别数据的方法的电子设备还可以包括:输入装置503和输出装置504。处理器501、存储器502、输入装置503和输出装置504可以通过总线或者其他方式连接,图5中以通过总线连接为例。
输入装置503可接收输入的数字或字符信息,以及产生与用于识别数据的电子设备的用户设置以及功能控制有关的键信号输入,例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置504可以包括显示设备、辅助照明装置(例如,LED)和触觉反馈装置(例如,振动电机)等。该显示设备可以包括但不限于,液晶显示器(LCD)、发光二极管(LED)显示器和等离子体显示器。在一些实施方式中,显示设备可以是触摸屏。
此处描述的***和技术的各种实施方式可以在数字电子电路***、集成电路***、专用ASIC(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程***上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储***、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储***、该至少一个输入装置、和该至少一个输出装置。
这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令,并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的,术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如,磁盘、光盘、存储器、可编程逻辑装置(PLD)),包括,接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
为了提供与用户的交互,可以在计算机上实施此处描述的***和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的***和技术实施在包括后台部件的计算***(例如,作为数据服务器)、或者包括中间件部件的计算***(例如,应用服务器)、或者包括前端部件的计算***(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的***和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算***中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将***的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机***可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。
根据本申请实施例的技术方案采用响应于接收到客户端发送的用户访问请求,解析用户访问请求,得到请求对应的用户标识、访问地址、为请求提供的各个服务应用,基于访问地址和各个服务应用,生成与访问标识和各个服务应用对应的链路追踪标识,基于链路追踪标识,从数据库中获取各个服务应用的应用信息,其中,应用信息包括:接口信息和执行代码,数据库利用链路追踪标识预先更新得到,基于用户标识和各个服务应用的接口信息,生成与各个接口信息对应的各个服务应用的权限资源码,对各个服务应用的权限资源码进行识别,得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型,其中,识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对,解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据,权限审批人也没有审批依据,权限管理和审查困难的问题,避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个,资产定位困难,敏感数据在哪比较模糊,很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息,实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系,实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本申请中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本申请公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本申请保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本申请的精神和原则之内所作的修改、等同替换和改进等,均应包含在本申请保护范围之内。

Claims (16)

1.一种用于识别数据的方法,所述方法包括:
响应于接收到客户端发送的用户访问请求,解析所述用户访问请求,得到所述请求对应的所述用户标识、访问地址、为所述请求提供的各个服务应用;
基于所述访问地址和所述各个服务应用,生成与所述访问标识和所述各个服务应用对应的链路追踪标识,其中,所述链路追踪标识用于表征所述访问地址与所述各个服务应用之间的关联关系;
基于所述链路追踪标识,从数据库中获取所述各个服务应用的应用信息,其中,所述应用信息包括:接口信息和执行代码,所述数据库利用所述链路追踪标识预先更新得到;
基于所述用户标识和所述各个服务应用的接口信息,生成与各个接口信息对应的所述各个服务应用的权限资源码,其中,所述权限资源码用于表征对所述请求进行权限校验所用的资源信息;
对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,其中,所述识别用于表征将所述各个服务应用的执行代码与所述数据库元数据中针对敏感数据的分类数据进行比对。
2.根据权利要求1所述的方法,其中,所述数据库的更新过程如下:
将所述链路追踪标识与获取到的所述各个服务应用对应的所述应用信息进行绑定,生成绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码;
基于绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码,对所述数据库进行更新。
3.根据权利要求2所述的方法,其中,所述将所述链路追踪标识与获取到的所述各个服务应用对应的所述应用信息进行绑定,生成绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码,包括:
基于链路追踪技术,将所述链路追踪标识与所述各个服务应用对应的所述应用信息进行绑定,生成绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码,其中,所述链路追踪技术用于表征利用埋点技术在所述各个服务应用对应的所述应用信息的相应位置进行埋点。
4.根据权利要求1所述的方法,其中,所述对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,包括:
对所述各个服务应用的执行代码进行提取,得到所述各个服务应用的执行代码对应的特征数据集;
对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,其中,所述识别用于表征将各个特征数据集中的特征数据与所述数据库元数据针对敏感数据的分类数据进行比对。
5.根据权利要求1所述的方法,其中,所述对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,包括:
将所述各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个所述权限资源码所表征的各个敏感数据和与各个所述敏感数据对应的数据类型,其中,所述数据识别模型用于表征对所述权限资源码所表征数据是否存在敏感数据和所述敏感数据的数据类型进行判定。
6.根据权利要求1所述的方法,还包括:
将所述链路追踪标识发送至所述客户端。
7.根据权利要求1所述的方法,还包括:
基于各个所述权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。
8.一种用于识别数据的装置,所述装置包括:
第一获取单元,被配置成响应于接收到客户端发送的用户访问请求,获取所述请求对应的所述用户标识、访问地址、为所述请求提供的各个服务应用;
第一生成单元,被配置成基于所述访问地址和所述各个服务应用,生成与所述访问标识和所述各个服务应用对应的链路追踪标识,其中,所述链路追踪标识用于表征所述访问地址与所述各个服务应用之间的关联关系;
第二获取单元,被配置成基于所述链路追踪标识,从数据库中获取所述各个服务应用的应用信息,其中,所述应用信息包括:接口信息和执行代码,所述数据库利用所述链路追踪标识预先更新得到;
第二生成单元,被配置成基于所述用户标识和所述各个服务应用的接口信息,生成与各个接口信息对应的所述各个服务应用的权限资源码,其中,所述权限资源码用于表征对所述请求进行权限校验所用的资源信息;
数据识别单元,被配置成对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,其中,所述识别用于表征将所述各个服务应用的执行代码与所述数据库元数据中针对敏感数据的分类数据进行比对。
9.根据权利要求8所述的装置,其中,所述数据库的更新过程通过如下模块完成:
生成模块,被配置成将所述链路追踪标识与获取到的所述各个服务应用对应的所述应用信息进行绑定,生成绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码;
更新模块,被配置成基于绑定后的所述各个服务应用对应的接口信息和绑定后的所述各个服务应用对应的执行代码,对所述数据库进行更新。
10.根据权利要求9所述的装置,其中,所述生成模块进一步配置成基于链路追踪技术,将所述链路追踪标识与所述各个服务应用对应的所述应用信息进行绑定,其中,所述链路追踪技术用于表征利用埋点技术在所述各个服务应用对应的所述应用信息的相应位置进行埋点。
11.根据权利要求8所述的装置,其中,所述数据识别单元,包括:
提取模块,被配置成对所述各个服务应用的执行代码进行提取,得到所述各个服务应用的执行代码对应的特征数据集;
识别模块,被配置成对所述各个服务应用的权限资源码进行识别,得到各个所述权限资源码所表征的各个敏感数据和各个所述敏感数据对应的数据类型,其中,所述识别用于表征将各个特征数据集中的特征数据与所述数据库元数据针对敏感数据的分类数据进行比对。
12.根据权利要求8所述的装置,其中,所述数据识别单元进一步被配置成将所述各个服务应用的权限资源码输入至训练得到的数据识别模型,生成各个所述权限资源码所表征的各个敏感数据和与各个所述敏感数据对应的数据类型,其中,所述数据识别模型用于表征对所述权限资源码所表征数据是否存在敏感数据和所述敏感数据的数据类型进行判定。
13.根据权利要求8所述的装置,还包括:
发送单元,被配置成将所述链路追踪标识发送至所述客户端。
14.根据权利要求8所述的装置,还包括:
优化单元,被配置成基于各个所述权限资源码所表征的各个敏感数据与权限审查的相关性,优化权限审查策略。
15.一种电子设备,其特征在于,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-7中任一项所述的方法。
16.一种存储有计算机指令的非瞬时计算机可读存储介质,其特征在于,所述计算机指令用于使所述计算机执行权利要求1-7中任一项所述的方法。
CN202110180902.8A 2021-02-08 2021-02-08 用于识别数据的方法和装置 Active CN113779616B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110180902.8A CN113779616B (zh) 2021-02-08 2021-02-08 用于识别数据的方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110180902.8A CN113779616B (zh) 2021-02-08 2021-02-08 用于识别数据的方法和装置

Publications (2)

Publication Number Publication Date
CN113779616A true CN113779616A (zh) 2021-12-10
CN113779616B CN113779616B (zh) 2024-04-05

Family

ID=78835697

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110180902.8A Active CN113779616B (zh) 2021-02-08 2021-02-08 用于识别数据的方法和装置

Country Status (1)

Country Link
CN (1) CN113779616B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726596A (zh) * 2022-03-25 2022-07-08 北京沃东天骏信息技术有限公司 一种敏感数据处理方法和装置

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务***权限管理方法、设备及***
CN110602046A (zh) * 2019-08-13 2019-12-20 上海陆家嘴国际金融资产交易市场股份有限公司 数据监控处理方法、装置、计算机设备和存储介质
US10515212B1 (en) * 2016-06-22 2019-12-24 Amazon Technologies, Inc. Tracking sensitive data in a distributed computing environment
CN111367983A (zh) * 2020-03-10 2020-07-03 中国联合网络通信集团有限公司 数据库访问方法、***、设备和存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103078859A (zh) * 2012-12-31 2013-05-01 普天新能源有限责任公司 业务***权限管理方法、设备及***
US10515212B1 (en) * 2016-06-22 2019-12-24 Amazon Technologies, Inc. Tracking sensitive data in a distributed computing environment
CN110602046A (zh) * 2019-08-13 2019-12-20 上海陆家嘴国际金融资产交易市场股份有限公司 数据监控处理方法、装置、计算机设备和存储介质
CN111367983A (zh) * 2020-03-10 2020-07-03 中国联合网络通信集团有限公司 数据库访问方法、***、设备和存储介质

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
陈士沣;廖泰安;: "基于动态追踪机制的物资信息服务***", 计算机工程与设计, no. 03, 16 March 2011 (2011-03-16) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114726596A (zh) * 2022-03-25 2022-07-08 北京沃东天骏信息技术有限公司 一种敏感数据处理方法和装置

Also Published As

Publication number Publication date
CN113779616B (zh) 2024-04-05

Similar Documents

Publication Publication Date Title
US10310969B2 (en) Systems and methods for test prediction in continuous integration environments
CN110543506B (zh) 数据分析方法、装置、电子设备及存储介质
US11870741B2 (en) Systems and methods for a metadata driven integration of chatbot systems into back-end application services
CN111831512B (zh) 用于排查运维异常的方法、装置、电子设备及存储介质
CN111626202A (zh) 用于识别视频的方法及装置
CN112104734B (zh) 用于推送信息的方法、装置、设备以及存储介质
EP3920094A2 (en) Method and apparatus for updating user image recognition model
CN111582477A (zh) 神经网络模型的训练方法和装置
WO2022100075A1 (zh) 性能检测方法、装置、电子设备和计算机可读介质
JP2021517297A (ja) オートフィルフィールド分類のためのシステムおよび方法
CN111047434B (zh) 一种操作记录生成方法、装置、计算机设备和存储介质
CN112491617A (zh) 一种链路跟踪方法、装置、电子设备和介质
CN111654495A (zh) 用于确定流量产生来源的方法、装置、设备及存储介质
CN113342946B (zh) 客服机器人的模型训练方法、装置、电子设备及介质
CN113779616A (zh) 用于识别数据的方法和装置
CN111930346B (zh) 人工智能信息的处理方法、装置、电子设备和存储介质
CN111753330B (zh) 数据泄露主体的确定方法、装置、设备和可读存储介质
CN113595886A (zh) 即时通讯消息的处理方法、装置、电子设备及存储介质
CN112382292A (zh) 基于语音的控制方法和装置
US20210168105A1 (en) Message normalization engine for multi-cloud messaging systems
CN111581518A (zh) 信息推送方法和装置
US20210336964A1 (en) Method for identifying user, storage medium, and electronic device
CN114661274A (zh) 用于生成智能合约的方法和装置
CN111177352B (zh) 投诉信息的处理方法、装置、电子设备及可读存储介质
CN113903033A (zh) 识别、处理方法和装置及智检***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant