发明内容
本发明实施例提出了一种数据保护方法、装置、计算机设备和存储介质,以解决客户端设备在数据通信过程中可能携带恶意程序占用大量网络资源,影响用户数据安全的问题。
第一方面,本发明实施例提供了一种数据保护方法,所述方法应用于数据保护***,所述***包括客户端、服务器和边缘计算服务器,所述客户端分别与所述服务器、所述边缘计算服务器连接,所述服务器与所述边缘计算服务器连接,所述方法包括:
根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器;
所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据;
所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性;
所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作;
所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型;
所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。
第二方面,本发明实施例还提供了一种数据保护装置,所述装置应用于数据保护***,所述***包括客户端、服务器和边缘计算服务器,所述客户端分别与所述服务器、所述边缘计算服务器连接,所述服务器与所述边缘计算服务器连接,所述装置包括:
用户行为数据获取模块,用于根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器;
用户行为识别模块,用于所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据;
用户行为判别模块,用于所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性;
访问操作确定模块,用于所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作;
用户行为识别模型实时训练模块,用于所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型;
用户行为识别模型更新模块,用于所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。
第三方面,本发明实施例还提供了一种计算机设备,所述计算机设备包括:
一个或多个处理器;
存储器,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面中任一项所述的数据保护方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如第一方面中任一项所述的数据保护方法。
在本实施例中,根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器;所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据;所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性;所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作;所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型;所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。通过真实用户正常的人为的操作建立用户行为识别算法模型,由边缘计算服务器进行识别,并持续记录用户行为,并计算风险等级和信任度,从而判断是否对数据访问请求进行控制,以实现对恶意数据爬虫进行有效阻止的目的。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1为本发明实施例一提供的一种数据保护方法的流程图,该方法应用于数据保护***,该***包括客户端和服务器和边缘计算服务器,该客户端分别与服务器、边缘计算服务器连接,服务器与边缘计算服务器连接,该方法可以由数据保护装置来执行,该数据保护装置可以由软件和/或硬件实现,可配置在计算机设备中,例如,服务器、工作站、个人电脑,等等,具体包括如下步骤:
步骤101、根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器。
本发明实施例中,如图2A所示,数据保护***中包含客户端、服务器、边缘计算服务器,其中客户端通常为用户使用的移动终端设备,在移动终端设备用户通过安装的任何程序访问服务器数据,即为客户端对服务器发起数据访问请求。
进一步地,在客户端设备E1中安装有用户行为感知程序P1和用户行为数据加密程序P2,用户行为感知程序用以获取用户行为数据,通常包括用户操作逻辑顺序、用户操作的频次、用户访问的数据流量等。
如图2所示,建立用户行为感知程序P1,P1运行时首先询问用户是否同意本程序对客户端设备E1的数据访问请求进行检查并感知用户操作行为,若用户同意,则检查E1是否发生一数据访问请求Q1,并感知E1的用户是否发生一行为以及产生用户行为数据F1。
进一步地,用户行为数据加密程序P2对F1进行加密处理得到加密后的用户行为数据F2,同时立即销毁F1,并将加密后的用户行为数据F2发送至边缘计算服务器和服务器。
优选地,在本发明另外的实施例中,F2保留F1的一部分数据特征,该数据特征包括统计分布特性、数据关联特性等,但是从F2中无法获取F1中的原始信息,F2也无法被恢复为F1。
优选地,在本发明另外的实施例中,步骤101中将所述用户行为数据发送至所述边缘计算服务器可以包括:
子步骤A1,所述客户端将客户端版本识别号、客户端硬件识别号和客户端通讯地址,作为用户唯一识别码。
具体地,用户行为数据加密程序P2也根据客户端版本识别号、客户端硬件识别号、通讯地址等信息生成建立用户唯一识别码。
子步骤A2,所述客户端将所述用户唯一识别码与所述用户行为数据以第二预设频率发送到所述边缘计算服务器。
具体地,客户端通过HTTP协议以一固定的发送周期将F2和用户唯一识别码上传到边缘计算服务器E3。
可以理解地,第一预设频率和第二预设频率,即上述固定周期由相关技术人员根据具体应用场景进行设置,本发明实施例对此不加以具体限制。
优选地,在本发明另外的实施例中,步骤101之后还可以包括:
步骤E,所述客户端接收所述服务器返回的确认收到通知消息,则删除本地的所述用户行为数据。
具体地,当客户端接收到服务器返回的确认收到通知消息后,就删除本地缓存的加密后的用户行为数据,用户行为数据长期存储在服务器。
步骤102、所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据。
本发明实施例中,如图2A和2B所示,在服务器E2中安装有用户行为数据库***D1和行为识别算法P4,行为识别算法P4用于进行实时用户行为识别模型的训练,在计算服务器E3中安装有用户行为判别程序A1和用户行为识别模型P3,其中,用户行为判别程序A1接收从客户端传送过来的加密用户行为数据F2,并针对P3输出的行为识别结果数据,判别对应的用户行为是否具备合法性。
其中,行为识别算法P4使用的方法包括图卷积神经网络、并发/循环神经网络、卷积神经网络、支持向量机等,利用这些方法中的一种或几种,通过预先使用用户行为样本数据训练好的用户行为识别模型,可以对实时产生的用户行为打上标签,以表示该用户行为的特征,并转换为机器可以识别的特征向量,最后输出一种已定义行为作为识别结果,整个过程完成得到的模型即为更新的用户行为识别模型,将被发送到边缘计算服务器E3中用以替换其中旧的用户行为识别模型P3。
优选地,在本发明另外的实施例中,步骤102可以包括:
子步骤B1,所述边缘计算服务器接收所述用户唯一识别码与所述用户行为数据。
具体地,当客户端设备将获取的用户唯一识别码与用户行为数据发送至计算服务器,计算服务器接收对应的用户唯一识别码与用户行为数据。
子步骤B2,所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出用户行为标识。
具体地,边缘计算服务器将接收到的用户行为数据输入预先训练好的用户行为识别模型,输出该用户行为数据的用户行为标识。
子步骤B3,所述边缘计算服务器将所述用户行为标识与所述用户唯一识别码进行关联后,生成行为识别结果数据。
具体地,边缘计算服务器将用户行为标识与对应用户行为数据的用户唯一识别码进行唯一关联,得到的数据为结果行为数据。
其中,客户端通过HTTP协议以一固定的发送周期将加密后的用户行为数据F2和用户唯一识别码上传到边缘计算服务器E3,由安装在E3中的用户行为判别程序A1接收,A1将用户唯一识别码和用户行为标识F3进行关联和记录。
步骤103、所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性。
本发明实施例中,边缘计算服务器中预先设置有用户行为判别程序,其中设置有针对各种用户行为识别标识的用户行为等级操作,例如针对用户行为识别结果的风险等级和信任度进行评级,根据等级设置可执行的具体操作,如限制访问频次、IP地址封禁等。
具体地,如图2A-2C,S51:用户行为数据加密程序P2周期性地将F2发送给A1;用户行为判别程序A1根据F2输出用户行为标识F3,并持续记录;边缘计算服务器E3接收到客户端E1发出的服务器访问请求Q1时触发A1执行用户行为判别逻辑,若判断为正常行为,则允许E3对Q1进行处理;若A1判断为异常行为,则阻止E3对Q1进行处理。
优选地,在本发明另外的实施例中,步骤103可以包括:
子步骤C1,所述边缘计算服务器通过预置的用户行为判别程序获取所述行为识别结果数据的风险等级和信任度评级;所述预置的用户行为判别程序包括用户行为标识的风险等级和信任度评级标准。
具体地,预置的用户行为判别程中设置有对应用户行为标识的风险等级和信任度评级,当收到行为识别结果数据时,用户行为判别程序将其中的用户行为标识进行匹配,得到匹配的风险等级和信任度评级。
子步骤C2,所述边缘计算服务器根据所述风险等级和信任度评级确定所述行为识别结果数据的操作权限。
具体地,如图2A-2C,用户行为判别程序A1还建立风险控制策略,根据用户行为识别结果对E1的风险等级和信任度进行评定,并与用户唯一识别码进行关联和记录,从而控制E1的网络访问;风险控制策略包括限制访问频次、IP地址封禁等。
步骤104、所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作。
本发明实施例中,如步骤103所描述的,根据用户的识别出的用户风险等级和信任度级别确定对应的操作,即允许该用户访问哪些数据,进行哪些操作,或禁止用户访问哪些数据,进行哪些操作等。
优选地,在本发明另外的实施例中,步骤104可以包括:
子步骤D1,若所述行为识别结果数据合法,则边缘计算服务器通过所述客户端向所述服务器发起的数据访问请求;
子步骤D2,若所述行为识别结果数据不合法,则边缘计算服务器拒绝所述客户端向所述服务器发起的数据访问请求。
具体地,如图2A-2C所示,用户行为判别程序A1将连续产生的F3形成用户行为路径,A1使用该用户行为路径辅助判断客户端设备E1的数据访问请求是否应当被阻止。
其中,如果判定通过,则允许用户行为路径产生的对服务器的数据访问请求,否则,则拒绝该请求。
步骤105、所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型。
本发明实施例中,如图2A-2C所示,服务器E2中程序P4训练实时用户行为识别模型的方法包括深度神经网络学习算法,首先确定已定义行为的各类和名称,然后读取加密后的用户行为数据F2,从中分析特定的用户行为模式和行为路径作为训练特征或特征向量,最后进行实时用户行为识别模型的训练。
步骤106、所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。
本发明实施例中,在服务器E2中的用户行为识别模型的训练方法是通过客户端存储在E2中的用户行为数据,每隔一个固定时间段就进行模型训练,由于E2是固定时间接收客户端传送的用户行为数据,所以数据更新后进行模型训练,得到的模型也是实时的,将该实时训练出的模型替换边缘计算服务器E3中的用户行为识别模型P3,确保用户行为识别模型的时效性以及用户行为数据的输出用户行为标识的精确度。
优选地,本发明实施例中的用户行为识别模型通过如下步骤进行训练:
步骤11,将获取到的用户行为数据设置标识,得到用户行为标识数据;
步骤12,将所述用户行为标识数据转换为用户行为特征向量;
步骤13,将所述用户行为特征向量输入预设行为识别算法进行训练,得到用户行为识别模型;所述预设行为识别算法至少包括图卷积神经网络、并发或循环神经网络、卷积神经网络、支持向量机其中的一种或多种。
具体地,建立用户行为识别模型P3的方法还包括图卷积神经网络、并发/循环神经网络、卷积神经网络、支持向量机等,利用这些方法中的一种或几种,首先将用户行为数据进行定义和标记,然后读取加密后的用户行为数据F2,从中分析特定的用户行为模式和行为路径作为特征,并转换为机器可以识别的特征向量,最后输出一种已定义行为作为识别结果。
可以理解地,预设行为识别算法可以是神经网络模型的一种或多种的组合,也可以是其他机器学习模型,例如深度学习算法,对于具体算法内容,本发明实施例对此不加以限制。
在本实施例中,根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器;所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据;所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性;所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作;所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型;所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。通过真实用户正常的人为的操作建立用户行为识别算法模型,由边缘计算服务器进行识别,并持续记录用户行为,并计算风险等级和信任度,从而判断是否对数据访问请求进行控制,以实现对恶意数据爬虫进行有效阻止的目的。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
实施例二
图3为本发明实施例二提供的一种数据保护装置的结构框图,该装置应用于数据保护***,该***包括客户端01、服务器021和边缘计算服务器022,该客户端01分别与服务器021和边缘计算服务器连接022相连,服务器021和边缘计算服务器022连接,具体可以包括如下模块:
用户行为数据获取模块201,用于根据所述客户端对所述服务器发起的数据访问请求,所述客户端中预置的用户行为感知程序获取用户行为数据,并将所述用户行为数据发送至所述边缘计算服务器。
优选地,在本发明另外的实施例中,还包括:
用户行为数据删除模块,用于所述客户端接收所述服务器返回的确认收到通知消息,则删除本地的所述用户行为数据。
优选地,在本发明另外的实施例中,所述用户行为数据获取模块201还用于:
所述客户端将客户端版本识别号、客户端硬件识别号和客户端通讯地址,作为用户唯一识别码;
所述客户端将所述用户唯一识别码与所述用户行为数据以第二预设频率发送到所述边缘计算服务器。
用户行为识别模块202,用于所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出行为识别结果数据。
优选地,在本发明另外的实施例中,所述结果行为数据获取模块202还用于:
所述边缘计算服务器接收所述用户唯一识别码与所述用户行为数据;
所述边缘计算服务器通过预先训练好的用户行为识别模型识别所述用户行为数据,并输出用户行为标识;
所述边缘计算服务器将所述用户行为标识与所述用户唯一识别码进行关联后,生成行为识别结果数据。
用户行为判别模块203,用于所述边缘计算服务器通过预置的用户行为判别程序,判别所述行为识别结果数据的合法性。
优选地,在本发明另外的实施例中,所述结果行为数据判别模块203还用于:
所述边缘计算服务器通过预置的用户行为判别程序获取所述行为识别结果数据的风险等级和信任度评级;所述预置的用户行为判别程序包括用户行为标识的风险等级和信任度评级标准;
所述边缘计算服务器根据所述风险等级和信任度评级确定所述行为识别结果数据的操作权限。
访问操作确定模块204,用于所述边缘计算服务器根据所述行为识别结果数据的合法性,确定所述客户端对所述服务器发起的数据访问请求的对应操作。
优选地,在本发明另外的实施例中,所述访问操作确定模块204还用于:
若所述行为识别结果数据合法,则边缘计算服务器通过所述客户端向所述服务器发起的数据访问请求;
若所述行为识别结果数据不合法,则边缘计算服务器拒绝所述客户端向所述服务器发起的数据访问请求。
用户行为识别模型实时训练模块205,用于所述服务器接收所述客户端发送的所述用户行为数据进行存储,并通过预设行为识别算法,利用存储的所述用户行为数据训练实时用户行为识别模型。
用户行为识别模型更新模块206,用于所述服务器将所述实时用户行为识别模型以第一预设频率发送至所述边缘计算服务器,以更新所述边缘计算服务器中预置的所述用户行为识别模型。
优选地,在本发明另外的实施例中,所述服务器还包括用户行为识别模型训练模块,用于:将获取到的用户行为数据设置标识,得到用户行为标识数据;将所述用户行为标识数据转换为用户行为特征向量;将所述用户行为特征向量输入预设行为识别算法进行训练,得到用户行为识别模型;所述预设行为识别算法至少包括图卷积神经网络、并发或循环神经网络、卷积神经网络、支持向量机其中的一种或多种。
本发明实施例所提供的数据保护装置可执行本发明任意实施例所提供的数据保护方法,具备执行方法相应的功能模块和有益效果。
实施例三
图4为本发明实施例三提供的一种计算机设备的结构示意图。图4示出了适于用来实现本发明实施方式的示例性计算机设备12的框图。图4显示的计算机设备12仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图4所示,计算机设备12以通用计算设备的形式表现。计算机设备12的组件可以包括但不限于:一个或者多个处理器或者处理单元16,***存储器28,连接不同***组件(包括***存储器28和处理单元16)的总线18。
总线18表示几类总线结构中的一种或多种,包括存储器总线或者存储器控制器,***总线,图形加速端口,处理器或者使用多种总线结构中的任意总线结构的局域总线。举例来说,这些体系结构包括但不限于工业标准体系结构(ISA)总线,微通道体系结构(MAC)总线,增强型ISA总线、视频电子标准协会(VESA)局域总线以及***组件互连(PCI)总线。
计算机设备12典型地包括多种计算机***可读介质。这些介质可以是任何能够被计算机设备12访问的可用介质,包括易失性和非易失性介质,可移动的和不可移动的介质。
***存储器28可以包括易失性存储器形式的计算机***可读介质,例如随机存取存储器(RAM)30和/或高速缓存存储器32。计算机设备12可以进一步包括其它可移动/不可移动的、易失性/非易失性计算机***存储介质。仅作为举例,存储***34可以用于读写不可移动的、非易失性磁介质(图4未显示,通常称为“硬盘驱动器”)。尽管图4中未示出,可以提供用于对可移动非易失性磁盘(例如“软盘”)读写的磁盘驱动器,以及对可移动非易失性光盘(例如CD-ROM,DVD-ROM或者其它光介质)读写的光盘驱动器。在这些情况下,每个驱动器可以通过一个或者多个数据介质接口与总线18相连。存储器28可以包括至少一个程序产品,该程序产品具有一组(例如至少一个)程序模块,这些程序模块被配置以执行本发明各实施例的功能。
具有一组(至少一个)程序模块42的程序/实用工具40,可以存储在例如存储器28中,这样的程序模块42包括但不限于操作***、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。程序模块42通常执行本发明所描述的实施例中的功能和/或方法。
计算机设备12也可以与一个或多个外部设备14(例如键盘、指向设备、显示器24等)通信,还可与一个或者多个使得用户能与该计算机设备12交互的设备通信,和/或与使得该计算机设备12能与一个或多个其它计算设备进行通信的任何设备(例如网卡,调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口22进行。并且,计算机设备12还可以通过网络适配器20与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器20通过总线18与计算机设备12的其它模块通信。应当明白,尽管图中未示出,可以结合计算机设备12使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID***、磁带驱动器以及数据备份存储***等。
处理单元16通过运行存储在***存储器28中的程序,从而执行各种功能应用以及数据处理,例如实现本发明实施例所提供的数据保护方法。
实施例四
本发明实施例四还提供一种计算机可读存储介质,计算机可读存储介质上存储有计算机程序,该计算机程序被处理器执行时实现上述数据保护方法的各个过程,且能达到相同的技术效果,为避免重复,这里不再赘述。
其中,计算机可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的***、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行***、装置或者器件使用或者与其结合使用。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。