CN110769008A - 一种数据安全防护方法、装置及服务设备 - Google Patents
一种数据安全防护方法、装置及服务设备 Download PDFInfo
- Publication number
- CN110769008A CN110769008A CN201911372002.2A CN201911372002A CN110769008A CN 110769008 A CN110769008 A CN 110769008A CN 201911372002 A CN201911372002 A CN 201911372002A CN 110769008 A CN110769008 A CN 110769008A
- Authority
- CN
- China
- Prior art keywords
- data
- determining
- group
- current terminal
- target
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/955—Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及数据处理技术领域,具体而言,涉及一种数据安全防护方法、装置及服务设备,该方法基于APK程序的驱动链接和响应路径能够从复杂的数据交互场景出确定出目标终端,避免目标终端通过虚拟标识进行伪装,提高了确定目标终端的全面性和准确性,以超文本数据为分析基础,能够提高对目标终端进行验证的可靠性并确保根据超文本数据确定出的数据爬虫的运行效率,基于数据爬虫的运行结果能够实现安全防护的及时性和可靠性,在判断出数据环境指标没有通过验证时向当前终端下发安全防护扫描任务,能够使得当前终端执行数据清洗动作和数据负载均衡动作,避免与目标终端持续建立连接从而导致数据传输风险,提高了数据安全防护的及时性和可靠性。
Description
技术领域
本发明涉及数据处理技术领域,具体而言,涉及一种数据安全防护方法、装置及服务设备。
背景技术
现如今,随着科技的发展,数据在社会生产生活中起着愈来愈重要的作用,随之也迎来了大数据时代,人们的日常生产生活已经能够以数据的形式实现。大数据为我们提供了诸多便利,但同时也存在一定的安全隐患。例如,在大数据时代,数据传输是实现信息交流的重要手段之一,随着数据量的增多和数据规模的扩大,数据传输的安全性是现阶段亟待解决的问题。但是现有技术难以为数据传输提供全面、可靠的安全防护机制。
发明内容
为了至少克服现有技术中的上述不足,本发明的目的之一在于提供一种数据安全防护方法、装置及服务设备。
本发明实施例提供了一种数据安全防护方法,应用于服务设备,所述方法至少包括:
在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
在一种可选的方式中,所述通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时的所述目标终端的超文本数据,包括:
截取所述当前终端广播的传输请求指令;
在预存的指令集合中查找是否存在目标请求指令,所述目标请求指令的位置标识与所述传输请求指令的位置标识一致;
若存在所述目标请求指令,分别确定所述传输请求指令的第一源码和所述目标请求指令的第二源码;
在所述第一源码和所述第二源码对称时,确定所述当前终端和所述目标终端均处于数据传接行为执行状态并获取所述超文本数据。
在一种可选的方式中,所述根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,包括:
按照设定时段间隔获取所述每组交互传输数据的数据字段;
确定每个数据字段之间的逻辑拓扑图;
根据所述逻辑拓扑图确定出所述每组交互传输流量数据的数据结构信息;
针对每个数据结构信息,判断该数据结构信息是否收敛;
若该数据结构信息收敛,按照所述逻辑拓扑图确定出该数据结构信息对应的交互传输流量数据所对应的数据爬虫;
若该数据结构信息不收敛,为所述逻辑拓扑图配置至少一组逻辑节点得到目标逻辑拓扑图;根据所述目标逻辑拓扑图确定出该交互传输流量数据的目标数据结构信息,所述目标数据结构信息收敛,并按照所述目标逻辑拓扑图确定出该目标数据结构信息对应的交互传输流量数据所对应的数据爬虫。
在一种可选的方式中,所述根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点,包括:
针对每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的所述统一资源定位符URL;
确定所述统一资源定位符URL的第一字符串,确定预设资源定位符的第二字符串;
基于异或逻辑确定出所述第一字符串与所述第二字符串之间的目标标识的数量,根据所述数量确定所述统一资源定位符URL与预设资源定位符之间的汉明距离;
当所述汉明距离大于等于设定距离时,将所述汉明距离进行非等距划分得到分段距离依次增大的多个子距离;为每个子距离配置平衡系数,所述平衡系数的优先级的先后顺序按照所述每个子距离的分段距离由高到低的顺序设置;根据所述多个平衡系数的优先级的先后顺序,每次选定所述多个平衡系数中的一个平衡系数并基于该平衡系数对该组数据爬虫对应的所述统一资源定位符URL进行平衡配置得到目标资源定位符URL,直至所述目标资源定位符URL与所述预设资源定位符之间的汉明距离小于所述设定距离;
针对所述每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的传输协议;
按照预设节点标识确定所述数据爬虫的起始爬取节点,根据所述起始爬取节点以及所述目标资源定位符URL生成所述数据爬虫的抓取路径;在所述传输协议处于激活状态时根据所述抓取路径依次设置所述数据爬虫的所述爬取节点,在所述传输协议处于关闭状态时停止设置所述数据爬虫的所述爬取节点并等待所述传输协议的激活;在设置所述爬取节点的过程中,实时获取所述传输协议在所述激活状态和所述关闭状态的切换过程中的干扰系数;
响应于所述干扰系数大于设定系数,确定所述数据爬虫的爬取节点的生成次序;获取所述生成次序中每个次序点的扰动强度,在所述传输协议处于所述关闭状态时按照所述扰动强度由低到高的顺序调整所述生成次序,响应于所述干扰系数小于等于所述设定系数,停止对所述生成次序的调整。
在一种可选的方式中,所述根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果,包括:
获取针对所述每组数据爬虫的运行表单,所述运行表单包括所述每组数据爬虫的运行条件以及该运行条件对应的激活标识;
对所述激活标识进行随机标记,按照所述激活标识的标记时刻依次运行所述每组数据爬虫,得到所述每组数据爬虫对应的抓取结果;当存在相同标记时刻的至少两个激活标识时,清除已得到的抓取结果,并重新对所述激活标识进行随机标记,直至在得到所有抓取结果期间不存在相同标记时刻的至少两个激活标识;
将每个抓取结果转换为实例数据;
针对每组实例数据,该组实例数据中的中位数数据,并以所述中位数数据中的第一个数据为中心点,补全该组实例数据得到目标实例数据;
按照分割节点对每组目标实例数据进行分割,得到多组数据段,并为每组数据段打标签;其中,每类标签表征所述当前终端的性能参数的一类性能维度;
整合存在同一标签的所有数据段并确定出与该同一标签对应的置信度值;
根据确定得到的所有置信度值,获得所述运行结果。
在一种可选的方式中,所述基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标,包括:
获取所述当前终端的第一数据环境进程以及所述目标终端的第二数据环境进程;
获取至少一对第一进程标识和第二进程标识,所述第一进程标识是所述第一数据环境进程中的节点所对应的标识,所述第二进程标识是所述第二数据环境进程中的节点所对应的标识,每对第一进程标识和第二进程标识相同;
确定所述每对第一进程标识和第二进程标识中的第一进程标识对应的第一数据环境进程中的第一数据环境特征向量与第二进程标识对应的第二数据环境进程中的第二数据环境特征向量之间的相似度;
根据所述相似度得到所述当前终端的第一数据环境安全等级以及所述目标终端的第二数据环境安全等级;
确定出所述第一数据环境安全等级与所述第二数据环境安全等级相同时所述当前终端的数据环境参数;根据所述第二数据环境特征向量对所述数据环境参数进行修正,确定出第一上行参数和第一下行参数;根据所述第一数据环境特征向量对所述数据环境参数进行修正,确定出第二上行参数和第二下行参数;
根据所述第一上行参数、所述第一下行参数、所述第二上行参数和所述第二下行参数确定所述当前终端的相对数据环境参数,根据所述相对数据环境参数得到数据环境向量;
根据所述运行结果中包括的置信度值得到置信度向量;
根据所述数据环境向量和所述置信度向量得到数据环境矩阵,并确定出所述数据环境矩阵的特征值;根据所述特征值,得到所述数据环境指标。
在一种可选的方式中,所述确定所述数据环境指标是否通过验证,包括:
提取所述数据环境指标中包括的多个特征值;
基于每个特征值执行所述当前终端的云端检测进程,获得所述每个特征值对应的可信认证分数 ;
确定所述每个特征值对应的数据维度,根据所述数据维度从关系数据库中确定出与所述数据维度对应的叠加系数;
基于每个叠加系数对每个可信认证分数进行叠加处理,得到验证分数;
确定出得到的所有验证分数中超过设定分数的验证分数的占比;
在所述占比达到预设比例时,确定所述数据环境指标通过验证;
在所述占比没有达到所述预设比例时,确定所述数据环境指标没有通过验证。
本发明实施例提供了一种数据安全防护装置,应用于服务设备,所述装置至少包括:
目标终端确定模块,用于在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
超文本数据获取模块,通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
数据爬虫确定模块,用于根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
运行结果获得模块,用于根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
数据环境指标确定模块,基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
验证模块,用于确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
本发明实施例提供了一种服务设备,包括处理器以及与所述处理器连接的存储器和总线;其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述的数据安全防护方法。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现上述的数据安全防护方法。
本发明实施例所提供的一种数据安全防护方法、装置及服务设备,基于APK程序的驱动链接和响应路径能够从复杂的数据交互场景出确定出目标终端,避免目标终端通过虚拟标识进行伪装,提高了确定目标终端的全面性和准确性,以超文本数据为分析基础,能够提高对目标终端进行验证的可靠性并确保根据超文本数据确定出的数据爬虫的运行效率,基于数据爬虫的运行结果能够实现安全防护的及时性和可靠性,在判断出数据环境指标没有通过验证时,向当前终端下发安全防护扫描任务,能够使得当前终端执行数据清洗动作和数据负载均衡动作,避免与目标终端持续建立连接从而导致数据传输风险,提高了数据安全防护的及时性和可靠性。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本发明实施例所提供的一种数据安全防护方法的流程图。
图2为一实施方式中图1所示的S22的子步骤的示意图。
图3为一实施方式中图1所示的S23的子步骤的示意图。
图4为一实施方式中图1所示的S23的子步骤的示意图。
图5为一实施方式中图1所示的S24的子步骤的示意图。
图6为一实施方式中图1所示的S25的子步骤的示意图。
图7为一实施方式中图1所示的S26的子步骤的示意图。
图8为本发明实施例所提供的一种数据安全防护方法的另一流程图。
图9为本发明实施例所提供的一种数据安全防护装置的功能模块框图。
图10为本发明实施例所提供的一种服务设备的方框示意图。
图标:
20-数据安全防护装置;21-目标终端确定模块;22-超文本数据获取模块;23-数据爬虫确定模块;24-运行结果获得模块;25-数据环境指标确定模块;26-验证模块;
30-服务设备;301-处理器;302-存储器;303-总线。
具体实施方式
下面将参照附图更详细地描述本发明公开的示例性实施例。虽然附图中显示了本公开的示例性实施例,然而应当理解,可以以各种形式实现本公开而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本公开,并且能够将本公开的范围完整的传达给本领域的技术人员。
发明人经调查发现,常见的为数据传输提供的安全防护机制大多在接收端/发送端设置验证密钥,或者对传输的数据进行加密,但是这些方法的抗攻击性较差,容易被木马病毒或者恶意程序破解,可靠性较差,并且这些方法大多基于接收端/的数据应用层面,难以全面、综合地应对复杂的数据交互场景,由此可见,常见的技术难以为数据传输提供全面、可靠的安全防护机制。
本发明实施例提供了一种数据安全防护方法、装置及服务设备,用以提高数据安全防护的全面性和可靠性。
本发明实施例提供的一种数据安全防护方法、装置及服务设备为解决上述技术问题,总体思路如下:
在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端。通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据。根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点。根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果。基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标。确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互组合。
本发明实施例提供了一种数据安全防护方法。图1为根据本发明一个实施例提供的数据安全防护方法的流程图,该方法应用于服务设备,该方法可以包括以下内容:
S21,在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端。
S22,通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据。
S23,根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点。
S24,根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果。
S25,基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标。
S26,确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
在S21中,APK程序的驱动链接和响应路径是当前终端和目标终端进行数据传输交互时所使用到的原始信息,驱动链接和响应路径具有唯一性,通过驱动链接和响应路径能够从复杂的数据交互场景出确定出目标终端,避免目标终端通过虚拟标识进行伪装,提高了确定目标终端的全面性和准确性。
通过S22,在基于APK程序对应的APP进行数据传输时,当前终端和目标终端会在各自的数据传接行为执行状态时进行超文本数据的传输,从而实现当前终端和目标终端在源码层级的互相验证,超文本数据是用于建立当前终端和目标终端之间的数据传输通道的,超文本数据在传输过程中无法被更改,因此,以超文本数据为分析基础,能够提高对目标终端进行验证的可靠性。
基于S23,超文本数据中包括加密协议数据包和多组交互流量数据,交互流量数据用于表征目标终端的多个维度的数据特征,加密协议数据包用于表征目标终端对当前终端的期望权限获取度,根据每组交互传输流量数据对应的数据结构信息,能够准确确定出不同的数据爬虫,从而实现对目标终端在数据层面的安防验证,根据加密协议数据包中包括的传输协议和统一资源定位符URL设置爬取节点,能够提高数据爬虫运行时的效率,避免在非关键验证点耗费额外的验证时间,减少了数据爬虫运行的耗时。
进一步地,在S25中,基于数据爬虫的运行结果,能够先于当前终端确定出当前终端在与目标终端进行数据传输交互时的性能参数,然后确定出当前终端与目标终端在数据发放事件产生时的数据环境指标,由于数据环境指标的可篡改性较强,先于当前终端确定出数据环境指标能够避免数据环境指标在后期被刻意更改从而导致后续判断的偏差,可以理解,基于数据爬虫的运行结果提前确定数据环境指标能够实现安全防护的及时性和可靠性。
通过S26,在判断出数据环境指标没有通过验证时,向当前终端下发安全防护扫描任务,能够使得当前终端执行数据清洗动作和数据负载均衡动作,避免与目标终端持续建立连接从而导致数据传输风险,提高了数据安全防护的及时性和可靠性。
可选地,由于上述方法是基于当前终端的每个APK程序进行的,因此能够确定出与当前终端存在数据通信的多个目标终端,进而实现并行的数据安全防护,提高了数据安全防护的全面性。
请结合参阅图2,在具体实施时,数据传接行为是一种动态行为,由于数据传接行为的动态特征,使得数据传接行为容易被模仿,因此,为了提高确定数据传接行为的执行状态的准确性,进而确保获取的超文本数据的可靠性,需要对数据传接行为进行验证,为此,在S22中,所述通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时的所述目标终端的超文本数据,具体包括以下内容:
S221,截取所述当前终端广播的传输请求指令。
S222,在预存的指令集合中查找是否存在目标请求指令,所述目标请求指令的位置标识与所述传输请求指令的位置标识一致。
S223,若存在所述目标请求指令,分别确定所述传输请求指令的第一源码和所述目标请求指令的第二源码。
S224,在所述第一源码和所述第二源码对称时,确定所述当前终端和所述目标终端均处于数据传接行为执行状态并获取所述超文本数据。
可以理解,在S222中,指令集合是用于存储多个终端之间进行交互时所采用的请求指令的,位置标识是用于表征目标请求指令和传输请求指令的关联关系的,位置标识一致才能确定关联关系是合法的、安全的,因此,以指令集合为判断基础,能够确保当前终端和目标终端各自对应的请求指令的合法性和安全性。
在S223中,确定出的第一源码和第二源码是只读性质的,是无法被更改的,因此,即便目标请求指令和传输请求指令被更改,也能够基于第一源码和第二源码能够安全、可靠地确定出当前终端和目标终端是否处于数据传接行为执行状态。
由此可见,通过S221-S224,能够提高确定数据传接行为的执行状态的准确性,进而确保获取的超文本数据的可靠性。
可以理解,由于交互传输流量数据是按照数据流的形式设置的,而数据爬虫需要按照逻辑顺序进行设置,为了确保在确定数据爬虫时减小数据流前后节点的互相影响,提高确定数据爬虫的准确性,请结合参阅图3,在S23中,所述根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,具体包括以下内容:
S2311,按照设定时段间隔获取所述每组交互传输数据的数据字段。
S2312,确定每个数据字段之间的逻辑拓扑图。
S2313,根据所述逻辑拓扑图确定出所述每组交互传输流量数据的数据结构信息。
S2314,针对每个数据结构信息,判断该数据结构信息是否收敛。
S2315,若该数据结构信息收敛,按照所述逻辑拓扑图确定出该数据结构信息对应的交互传输流量数据所对应的数据爬虫。
S2316,若该数据结构信息不收敛,为所述逻辑拓扑图配置至少一组逻辑节点得到目标逻辑拓扑图;根据所述目标逻辑拓扑图确定出该交互传输流量数据的目标数据结构信息,所述目标数据结构信息收敛,并按照所述目标逻辑拓扑图确定出该目标数据结构信息对应的交互传输流量数据所对应的数据爬虫。
在S2311中,数据字段是按照设定时间间隔获取的,在获取每个数据字段时能够预留时间消除数据字段首尾之间的影响。
在S2312中,通过逻辑拓扑图能够快捷、高效地确定出每个数据字段之间的逻辑关系,从而提高后续生成数据爬虫的效率,减少服务设备的开销。
由于数据爬虫在执行时是按照逻辑顺序进行的,因此,为了避免数据爬虫进入执行死循环,需要判断数据结构信息是否收敛,若数据结构信息收敛,则可以直接根据数据结构信息对应的逻辑拓扑图确定数据爬虫,若数据结构信息不收敛,可以根据调整之后的目标逻辑拓扑图确定数据爬虫。
在S2316中,配置的逻辑节点是空白节点,不会对交互传输流量数据的原有数据以及逻辑造成影响,在确保数据爬虫不会进入执行死循环的前提下能够提高确定数据爬虫的可靠性,进而确保后续安全防护检测的可靠性。
在具体实施时,为了获得准确的运行结果,需要确保数据爬虫的爬取节点的可靠性,为此,请结合参阅图4,在S23中,所述根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点,具体包括以下内容:
S2321,针对每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的所述统一资源定位符URL。
S2322,确定所述统一资源定位符URL的第一字符串,确定预设资源定位符的第二字符串。
S2323,基于异或逻辑确定出所述第一字符串与所述第二字符串之间的目标标识的数量,根据所述数量确定所述统一资源定位符URL与预设资源定位符之间的汉明距离。
S2324,当所述汉明距离大于等于设定距离时,将所述汉明距离进行非等距划分得到分段距离依次增大的多个子距离;为每个子距离配置平衡系数,所述平衡系数的优先级的先后顺序按照所述每个子距离的分段距离由高到低的顺序设置;根据所述多个平衡系数的优先级的先后顺序,每次选定所述多个平衡系数中的一个平衡系数并基于该平衡系数对该组数据爬虫对应的所述统一资源定位符URL进行平衡配置得到目标资源定位符URL,直至所述目标资源定位符URL与所述预设资源定位符之间的汉明距离小于所述设定距离。
S2325,针对所述每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的传输协议。
S2326,按照预设节点标识确定所述数据爬虫的起始爬取节点,根据所述起始爬取节点以及所述目标资源定位符URL生成所述数据爬虫的抓取路径;在所述传输协议处于激活状态时根据所述抓取路径依次设置所述数据爬虫的所述爬取节点,在所述传输协议处于关闭状态时停止设置所述数据爬虫的所述爬取节点并等待所述传输协议的激活;在设置所述爬取节点的过程中,实时获取所述传输协议在所述激活状态和所述关闭状态的切换过程中的干扰系数。
S2327,响应于所述干扰系数大于设定系数,确定所述数据爬虫的爬取节点的生成次序;获取所述生成次序中每个次序点的扰动强度,在所述传输协议处于所述关闭状态时按照所述扰动强度由低到高的顺序调整所述生成次序,响应于所述干扰系数小于等于所述设定系数,停止对所述生成次序的调整。
通过S2321-S2323,能够确定出统一资源定位符URL与预设资源定位符之间的汉明距离,从而将运行加密协议数据包的解析线程的延时导致的统一资源定位符URL的偏移考虑在内,避免直接根据偏移的统一资源定位符设置爬取节点带来的误差。
在S2324中,由于多个子距离是非等分的,由此确定出的平衡系数对应的配置权重也是不同的,如此,能够确保对统一资源定位符URL的平衡配置的准确性,避免平衡配置不足或者平衡配置过量。
在S2326中,通过使传输协议在激活状态和关闭状态之间切换的方式设置爬取节点,能够确保传输协议的安全性,避免传输协议在长时间的激活状态下被盗取,从而避免了设置爬取节点的进程被恶意篡改,提高了设置爬取节点的可靠性。
可以理解,为了提高设置爬取节点的可靠性,需要将传输协议在激活状态和关闭状态之间进行切换,在频繁切换时可能会出现信道干扰,因此,为了提高设置爬取节点的准确性,在S2327中,会基于干扰系数与设定系数的判断结果对生成次序进行调整,优先处理干扰强度较小的次序点,从而避免在设置爬取节点时由于传输协议频繁切换时出现的信道干扰带来的误差,保证了爬取节点准确性。
由此可见,通过S2321-S2327,不仅能够确保爬取节点的可靠性,还能够确保爬取节点的准确性,进而确保了准确的运行结果的获取。
可以理解,数据爬虫的额运行结果是确定数据环境指标的重要依据,而数据环境指标是数据安全防护的判断依据,因此,为了提高数据安全防护的可靠性,需要准确确定出数据环境指标。为此,请结合参阅图5,在S24中,所述根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果,具体可以包括以下内容:
S241,获取针对所述每组数据爬虫的运行表单,所述运行表单包括所述每组数据爬虫的运行条件以及该运行条件对应的激活标识。
S242,对所述激活标识进行随机标记,按照所述激活标识的标记时刻依次运行所述每组数据爬虫,得到所述每组数据爬虫对应的抓取结果;当存在相同标记时刻的至少两个激活标识时,清除已得到的抓取结果,并重新对所述激活标识进行随机标记,直至在得到所有抓取结果期间不存在相同标记时刻的至少两个激活标识。
S243,将每个抓取结果转换为实例数据。
S244,针对每组实例数据,该组实例数据中的中位数数据,并以所述中位数数据中的第一个数据为中心点,补全该组实例数据得到目标实例数据。
S245,按照分割节点对每组目标实例数据进行分割,得到多组数据段,并为每组数据段打标签;其中,每类标签表征所述当前终端的性能参数的一类性能维度。
S246,整合存在同一标签的所有数据段并确定出与该同一标签对应的置信度值。
S247,根据确定得到的所有置信度值,获得所述运行结果。
在S241-S242中,通过对激活标识进行随机标记,能够确保抓取结果的先后顺序难以被预测,从而避免抓取结果的篡改和伪造,当存在相同标记时刻的至少两个激活标识时能够对得到的抓取结果置零,能够有效避免抓取结果之前的互相影响,进而确保抓取结果的准确性和可靠性。
在S244中,以中位数数据中的第一个数据为中心点对实例数据进行补全,能够填补不同的抓取结果之间的数据空缺,以中位数数据为依据,能够确保对应的实例数据的完整性和集中性,避免因补全措施带来的数据维度分散。
通过S245-S247,能够将当前终端的性能参数对应的性能维度进行划分,并根据实例数据中不同数据段所表征的性能对实例数据进行分割,如此,能够提高确定性能参数的准确性和时效性。进一步地,以置信度值表征当前终端的多个性能维度,能够实现对运行结果的归一化处理,避免不同性能维度对应的数据的差异所增加的运算开销,从而提高后续处理的效率。
在具体实施时,由于数据发放时间产生的持续时长较短,因此数据环境指标容易被篡改,为了确保确定出的数据环境指标的准确性和可靠性,请结合参阅图6,在S25中,所述基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标,具体包括以下内容:
S251,获取所述当前终端的第一数据环境进程以及所述目标终端的第二数据环境进程。
S252,获取至少一对第一进程标识和第二进程标识,所述第一进程标识是所述第一数据环境进程中的节点所对应的标识,所述第二进程标识是所述第二数据环境进程中的节点所对应的标识,每对第一进程标识和第二进程标识相同。
S253,确定所述每对第一进程标识和第二进程标识中的第一进程标识对应的第一数据环境进程中的第一数据环境特征向量与第二进程标识对应的第二数据环境进程中的第二数据环境特征向量之间的相似度。
S254,根据所述相似度得到所述当前终端的第一数据环境安全等级以及所述目标终端的第二数据环境安全等级。
S255,确定出所述第一数据环境安全等级与所述第二数据环境安全等级相同时所述当前终端的数据环境参数;根据所述第二数据环境特征向量对所述数据环境参数进行修正,确定出第一上行参数和第一下行参数;根据所述第一数据环境特征向量对所述数据环境参数进行修正,确定出第二上行参数和第二下行参数。
S256,根据所述第一上行参数、所述第一下行参数、所述第二上行参数和所述第二下行参数确定所述当前终端的相对数据环境参数,根据所述相对数据环境参数得到数据环境向量。
S257,根据所述运行结果中包括的置信度值得到置信度向量。
S258,根据所述数据环境向量和所述置信度向量得到数据环境矩阵,并确定出所述数据环境矩阵的特征值;根据所述特征值,得到所述数据环境指标。
由于当前终端和目标终端的数据环境进程是互相独立的,因此,在当前终端和目标终端存在数据交互的前提下,通过S251-S254能够从当前终端和目标终端各种的数据环境进程中确定出数据环境特征向量,并基于数据交互这一环境确定出数据环境特征向量之间的相似度值,进而确定出第一数据环境安全等级和第二数据环境安全等级,如此,不仅能够将当前终端和目标终端的设备差异考虑在内,还能够将当前终端和目标终端进行数据交互时的互相的数据环境影响考虑在内,确保确定出的第一数据环境安全等级和第二数据环境安全等级的可靠性。
进一步地,通过S255-S256,当第一数据环境安全等级与第二数据环境安全等级相同时表征当前终端和目标终端处于数据发放事件产生时段,考虑到当前终端和目标终端的设备差异性,在确定出数据发放事件产生时段内的当前终端的数据环境参数之后,会基于第一数据环境特征向量和第二数据环境特征向量对数据环境参数,然后确定出当前终端的相对数据环境参数,如此能够将目标终端的数据安全环境映射到当前终端中,从而更加全面地确定当前终端的相对数据环境参数。
进一步地,通过S258,能够将数据爬虫的运行结果考虑在内,进而挖掘出当前终端与目标终端之间的潜在风险,通过置信度向量表征潜在风险,能够为确定数据环境指标提供依据。进一步地,通过确定数据环境矩阵的特征值,能够滤除数据环境指标中的冗余数据,确保数据环境指标的精准性。
由此可见,通过S251-S258,能够确保确定出的数据环境指标的准确性和可靠性。
在具体实施时,请结合参阅图7,在S26中,所述确定所述数据环境指标是否通过验证,具体包括以下内容:
S261,提取所述数据环境指标中包括的多个特征值。
S262,基于每个特征值执行所述当前终端的云端检测进程,获得所述每个特征值对应的可信认证分数。
S263,确定所述每个特征值对应的数据维度,根据所述数据维度从关系数据库中确定出与所述数据维度对应的叠加系数。
S264,基于每个叠加系数对每个可信认证分数进行叠加处理,得到验证分数。
S265,确定出得到的所有验证分数中超过设定分数的验证分数的占比。
S266,在所述占比达到预设比例时,确定所述数据环境指标通过验证。
S267,在所述占比没有达到所述预设比例时,确定所述数据环境指标没有通过验证。
通过S261-S262,能够避免在当前终端中直接进行检测从而占用当前终端的资源,提高了当前终端的利用率,同时也确保检测进程与当前终端以及目标终端是互相独立的。
通过S263-S264,能够将不同数据维度的重要程度通叠加系数进行转换,如此,避免了直接对数据维度进行分析,有效减少了处理负荷。
在S265-S266中,预设比例可以为80%,也可以根据当前终端的历史安全防护记录进行调整,如此,能够提高对数据环境指标进行验证的准确性和全面性。
在具体实施时,当前终端可能拒绝执行安全防护扫描任务,在这种情况,表明当前终端可能已经存在数据传输的风险,为了避免数据传输风险的进一步扩大,在上述基础上,请结合参阅图8,本实施例还可以包括以下内容:
S31,在没有检测到所述当前终端存在所述安全防护扫描任务对应的执行信号时,响应于从预警策略和报警策略中任选的其中一种策略。
S32,实时获取所述当前终端的数据流速率和传输信号幅值。
S33,根据所述传输信号幅值确定所述当前终端的传输状态,以根据所述数据率速率来确定所述当前终端的当前拦截机制。
S34,根据所述当前拦截机制为所述当前终端设置屏蔽网络,以使得所述当前终端在所述屏蔽网络中的数据流速率和传输信号幅值为零。
在S31中,所述预警策略和所述报警策略分别包含多种拦截机制。
可以理解,通过S31-S33,能够在当前终端拒绝执行安全防护扫描任务时及时切断当前终端与外界的联系,如此,避免了当前终端对其他终端的数据的窃取,提高了数据安全防护的效率。
本发明实施例提供了一种数据安全防护装置20。图9为根据本发明一个实施例提供的一种数据安全防护装置20的功能单元框图,该数据安全防护装置20包括:
目标终端确定模块21,用于在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
超文本数据获取模块22,通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
数据爬虫确定模块23,用于根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
运行结果获得模块24,用于根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
数据环境指标确定模块25,基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
验证模块26,用于确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
在一种可选的方式中,超文本数据获取模块22,用于:
截取所述当前终端广播的传输请求指令;
在预存的指令集合中查找是否存在目标请求指令,所述目标请求指令的位置标识与所述传输请求指令的位置标识一致;
若存在所述目标请求指令,分别确定所述传输请求指令的第一源码和所述目标请求指令的第二源码;
在所述第一源码和所述第二源码对称时,确定所述当前终端和所述目标终端均处于数据传接行为执行状态并获取所述超文本数据。
在一种可选的方式中,数据爬虫确定模块23,用于:
按照设定时段间隔获取所述每组交互传输数据的数据字段;
确定每个数据字段之间的逻辑拓扑图;
根据所述逻辑拓扑图确定出所述每组交互传输流量数据的数据结构信息;
针对每个数据结构信息,判断该数据结构信息是否收敛;
若该数据结构信息收敛,按照所述逻辑拓扑图确定出该数据结构信息对应的交互传输流量数据所对应的数据爬虫;
若该数据结构信息不收敛,为所述逻辑拓扑图配置至少一组逻辑节点得到目标逻辑拓扑图;根据所述目标逻辑拓扑图确定出该交互传输流量数据的目标数据结构信息,所述目标数据结构信息收敛,并按照所述目标逻辑拓扑图确定出该目标数据结构信息对应的交互传输流量数据所对应的数据爬虫。
在一种可选的方式中,数据爬虫确定模块23,用于:
针对每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的所述统一资源定位符URL;
确定所述统一资源定位符URL的第一字符串,确定预设资源定位符的第二字符串;
基于异或逻辑确定出所述第一字符串与所述第二字符串之间的目标标识的数量,根据所述数量确定所述统一资源定位符URL与预设资源定位符之间的汉明距离;
当所述汉明距离大于等于设定距离时,将所述汉明距离进行非等距划分得到分段距离依次增大的多个子距离;为每个子距离配置平衡系数,所述平衡系数的优先级的先后顺序按照所述每个子距离的分段距离由高到低的顺序设置;根据所述多个平衡系数的优先级的先后顺序,每次选定所述多个平衡系数中的一个平衡系数并基于该平衡系数对该组数据爬虫对应的所述统一资源定位符URL进行平衡配置得到目标资源定位符URL,直至所述目标资源定位符URL与所述预设资源定位符之间的汉明距离小于所述设定距离;
针对所述每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的传输协议;
按照预设节点标识确定所述数据爬虫的起始爬取节点,根据所述起始爬取节点以及所述目标资源定位符URL生成所述数据爬虫的抓取路径;在所述传输协议处于激活状态时根据所述抓取路径依次设置所述数据爬虫的所述爬取节点,在所述传输协议处于关闭状态时停止设置所述数据爬虫的所述爬取节点并等待所述传输协议的激活;在设置所述爬取节点的过程中,实时获取所述传输协议在所述激活状态和所述关闭状态的切换过程中的干扰系数;
响应于所述干扰系数大于设定系数,确定所述数据爬虫的爬取节点的生成次序;获取所述生成次序中每个次序点的扰动强度,在所述传输协议处于所述关闭状态时按照所述扰动强度由低到高的顺序调整所述生成次序,响应于所述干扰系数小于等于所述设定系数,停止对所述生成次序的调整。
在一种可选的方式中,运行结果获得模块24,用于:
获取针对所述每组数据爬虫的运行表单,所述运行表单包括所述每组数据爬虫的运行条件以及该运行条件对应的激活标识;
对所述激活标识进行随机标记,按照所述激活标识的标记时刻依次运行所述每组数据爬虫,得到所述每组数据爬虫对应的抓取结果;当存在相同标记时刻的至少两个激活标识时,清除已得到的抓取结果,并重新对所述激活标识进行随机标记,直至在得到所有抓取结果期间不存在相同标记时刻的至少两个激活标识;
将每个抓取结果转换为实例数据;
针对每组实例数据,该组实例数据中的中位数数据,并以所述中位数数据中的第一个数据为中心点,补全该组实例数据得到目标实例数据;
按照分割节点对每组目标实例数据进行分割,得到多组数据段,并为每组数据段打标签;其中,每类标签表征所述当前终端的性能参数的一类性能维度;
整合存在同一标签的所有数据段并确定出与该同一标签对应的置信度值;
根据确定得到的所有置信度值,获得所述运行结果。
在一种可选的方式中,数据环境指标确定模块25,用于:
获取所述当前终端的第一数据环境进程以及所述目标终端的第二数据环境进程;
获取至少一对第一进程标识和第二进程标识,所述第一进程标识是所述第一数据环境进程中的节点所对应的标识,所述第二进程标识是所述第二数据环境进程中的节点所对应的标识,每对第一进程标识和第二进程标识相同;
确定所述每对第一进程标识和第二进程标识中的第一进程标识对应的第一数据环境进程中的第一数据环境特征向量与第二进程标识对应的第二数据环境进程中的第二数据环境特征向量之间的相似度;
根据所述相似度得到所述当前终端的第一数据环境安全等级以及所述目标终端的第二数据环境安全等级;
确定出所述第一数据环境安全等级与所述第二数据环境安全等级相同时所述当前终端的数据环境参数;根据所述第二数据环境特征向量对所述数据环境参数进行修正,确定出第一上行参数和第一下行参数;根据所述第一数据环境特征向量对所述数据环境参数进行修正,确定出第二上行参数和第二下行参数;
根据所述第一上行参数、所述第一下行参数、所述第二上行参数和所述第二下行参数确定所述当前终端的相对数据环境参数,根据所述相对数据环境参数得到数据环境向量;
根据所述运行结果中包括的置信度值得到置信度向量;
根据所述数据环境向量和所述置信度向量得到数据环境矩阵,并确定出所述数据环境矩阵的特征值;根据所述特征值,得到所述数据环境指标。
在一种可选的方式中,验证模块26,用于:
提取所述数据环境指标中包括的多个特征值;
基于每个特征值执行所述当前终端的云端检测进程,获得所述每个特征值对应的可信认证分数 ;
确定所述每个特征值对应的数据维度,根据所述数据维度从关系数据库中确定出与所述数据维度对应的叠加系数;
基于每个叠加系数对每个可信认证分数进行叠加处理,得到验证分数;
确定出得到的所有验证分数中超过设定分数的验证分数的占比;
在所述占比达到预设比例时,确定所述数据环境指标通过验证;
在所述占比没有达到所述预设比例时,确定所述数据环境指标没有通过验证。
所述数据安全防护装置20包括处理器和存储器,上述目标终端确定模块21、超文本数据获取模块22、数据爬虫确定模块23、运行结果获得模块24、数据环境指标确定模块25和验证模块26等均作为程序单元存储在存储器中,由处理器执行存储在存储器中的上述程序单元来实现相应的功能。
处理器中包含内核,由内核去存储器中调取相应的程序单元。内核可以设置一个或以上,通过调整内核参数基于APK程序的驱动链接和响应路径从复杂的数据交互场景出确定出目标终端,避免目标终端通过虚拟标识进行伪装,提高确定目标终端的全面性和准确性,以超文本数据为分析基础,提高对目标终端进行验证的可靠性并确保根据超文本数据确定出的数据爬虫的运行效率,基于数据爬虫的运行结果能够实现安全防护的及时性和可靠性,在判断出数据环境指标没有通过验证时,向当前终端下发安全防护扫描任务,使得当前终端执行数据清洗动作和数据负载均衡动作,避免与目标终端持续建立连接从而导致数据传输风险,提高数据安全防护的及时性和可靠性。
本发明实施例提供了一种存储介质,其上存储有程序,该程序被处理器执行时实现所述数据安全防护方法。
本发明实施例提供了一种处理器,所述处理器用于运行程序,其中,所述程序运行时执行所述数据安全防护方法。
本发明实施例提供了一种服务设备,如图10所示,服务设备30包括至少一个处理器301、以及与处理器301连接的至少一个存储器302、总线;其中,处理器301、存储器302通过总线303完成相互间的通信;处理器301用于调用存储器302中的程序指令,以执行上述的数据安全防护方法。本文中的服务设备30可以是服务器、PC、PAD、手机等。
本申请还提供了一种计算机程序产品,当在数据处理服务设备上执行时,适于执行初始化有如下方法步骤的程序:
在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
本申请是参照根据本申请实施例的方法、服务设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理服务设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理服务设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
在一个典型的配置中,服务设备包括一个或多个处理器(CPU)、存储器和总线。服务设备还可以包括输入/输出接口、网络接口等。
存储器可能包括计算机可读介质中的非永久性存储器,随机存取存储器(RAM)和/或非易失性内存等形式,如只读存储器(ROM)或闪存(flash RAM),存储器包括至少一个存储芯片。存储器是计算机可读介质的示例。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存 (PRAM)、静态随机存取存储器 (SRAM)、动态随机存取存储器 (DRAM)、其他类型的随机存取存储器 (RAM)、只读存储器 (ROM)、电可擦除可编程只读存储器 (EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘 (DVD) 或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储服务设备或任何其他非传输介质,可用于存储可以被计算服务设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体 (transitory media),如调制的数据信号和载波。
还需要说明的是,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、商品或者服务设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、商品或者服务设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括要素的过程、方法、商品或者服务设备中还存在另外的相同要素。
本领域技术人员应明白,本申请的实施例可提供为方法、系统或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
以上仅为本申请的实施例而已,并不用于限制本申请。对于本领域技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原理之内所作的任何修改、等同替换、改进等,均应包含在本申请的权利要求范围之内。
Claims (10)
1.一种数据安全防护方法,其特征在于,应用于服务设备,所述方法至少包括:
在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
2.根据权利要求1所述的方法,其特征在于,所述通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时的所述目标终端的超文本数据,包括:
截取所述当前终端广播的传输请求指令;
在预存的指令集合中查找是否存在目标请求指令,所述目标请求指令的位置标识与所述传输请求指令的位置标识一致;
若存在所述目标请求指令,分别确定所述传输请求指令的第一源码和所述目标请求指令的第二源码;
在所述第一源码和所述第二源码对称时,确定所述当前终端和所述目标终端均处于数据传接行为执行状态并获取所述超文本数据。
3.根据权利要求1所述的方法,其特征在于,所述根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,包括:
按照设定时段间隔获取所述每组交互传输数据的数据字段;
确定每个数据字段之间的逻辑拓扑图;
根据所述逻辑拓扑图确定出所述每组交互传输流量数据的数据结构信息;
针对每个数据结构信息,判断该数据结构信息是否收敛;
若该数据结构信息收敛,按照所述逻辑拓扑图确定出该数据结构信息对应的交互传输流量数据所对应的数据爬虫;
若该数据结构信息不收敛,为所述逻辑拓扑图配置至少一组逻辑节点得到目标逻辑拓扑图;根据所述目标逻辑拓扑图确定出该交互传输流量数据的目标数据结构信息,所述目标数据结构信息收敛,并按照所述目标逻辑拓扑图确定出该目标数据结构信息对应的交互传输流量数据所对应的数据爬虫。
4.根据权利要求1-3任一所述的方法,其特征在于,所述根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点,包括:
针对每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的所述统一资源定位符URL;
确定所述统一资源定位符URL的第一字符串,确定预设资源定位符的第二字符串;
基于异或逻辑确定出所述第一字符串与所述第二字符串之间的目标标识的数量,根据所述数量确定所述统一资源定位符URL与预设资源定位符之间的汉明距离;
当所述汉明距离大于等于设定距离时,将所述汉明距离进行非等距划分得到分段距离依次增大的多个子距离;为每个子距离配置平衡系数,所述平衡系数的优先级的先后顺序按照所述每个子距离的分段距离由高到低的顺序设置;根据所述多个平衡系数的优先级的先后顺序,每次选定所述多个平衡系数中的一个平衡系数并基于该平衡系数对该组数据爬虫对应的所述统一资源定位符URL进行平衡配置得到目标资源定位符URL,直至所述目标资源定位符URL与所述预设资源定位符之间的汉明距离小于所述设定距离;
针对所述每组数据爬虫,解析所述加密协议数据包并获取所述加密协议数据包中的与该组数据爬虫对应的传输协议;
按照预设节点标识确定所述数据爬虫的起始爬取节点,根据所述起始爬取节点以及所述目标资源定位符URL生成所述数据爬虫的抓取路径;在所述传输协议处于激活状态时根据所述抓取路径依次设置所述数据爬虫的所述爬取节点,在所述传输协议处于关闭状态时停止设置所述数据爬虫的所述爬取节点并等待所述传输协议的激活;在设置所述爬取节点的过程中,实时获取所述传输协议在所述激活状态和所述关闭状态的切换过程中的干扰系数;
响应于所述干扰系数大于设定系数,确定所述数据爬虫的爬取节点的生成次序;获取所述生成次序中每个次序点的扰动强度,在所述传输协议处于所述关闭状态时按照所述扰动强度由低到高的顺序调整所述生成次序,响应于所述干扰系数小于等于所述设定系数,停止对所述生成次序的调整。
5.根据权利要求1所述的方法,其特征在于,所述根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果,包括:
获取针对所述每组数据爬虫的运行表单,所述运行表单包括所述每组数据爬虫的运行条件以及该运行条件对应的激活标识;
对所述激活标识进行随机标记,按照所述激活标识的标记时刻依次运行所述每组数据爬虫,得到所述每组数据爬虫对应的抓取结果;当存在相同标记时刻的至少两个激活标识时,清除已得到的抓取结果,并重新对所述激活标识进行随机标记,直至在得到所有抓取结果期间不存在相同标记时刻的至少两个激活标识;
将每个抓取结果转换为实例数据;
针对每组实例数据,该组实例数据中的中位数数据,并以所述中位数数据中的第一个数据为中心点,补全该组实例数据得到目标实例数据;
按照分割节点对每组目标实例数据进行分割,得到多组数据段,并为每组数据段打标签;其中,每类标签表征所述当前终端的性能参数的一类性能维度;
整合存在同一标签的所有数据段并确定出与该同一标签对应的置信度值;
根据确定得到的所有置信度值,获得所述运行结果。
6.根据权利要求5所述的方法,其特征在于,所述基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标,包括:
获取所述当前终端的第一数据环境进程以及所述目标终端的第二数据环境进程;
获取至少一对第一进程标识和第二进程标识,所述第一进程标识是所述第一数据环境进程中的节点所对应的标识,所述第二进程标识是所述第二数据环境进程中的节点所对应的标识,每对第一进程标识和第二进程标识相同;
确定所述每对第一进程标识和第二进程标识中的第一进程标识对应的第一数据环境进程中的第一数据环境特征向量与第二进程标识对应的第二数据环境进程中的第二数据环境特征向量之间的相似度;
根据所述相似度得到所述当前终端的第一数据环境安全等级以及所述目标终端的第二数据环境安全等级;
确定出所述第一数据环境安全等级与所述第二数据环境安全等级相同时所述当前终端的数据环境参数;根据所述第二数据环境特征向量对所述数据环境参数进行修正,确定出第一上行参数和第一下行参数;根据所述第一数据环境特征向量对所述数据环境参数进行修正,确定出第二上行参数和第二下行参数;
根据所述第一上行参数、所述第一下行参数、所述第二上行参数和所述第二下行参数确定所述当前终端的相对数据环境参数,根据所述相对数据环境参数得到数据环境向量;
根据所述运行结果中包括的置信度值得到置信度向量;
根据所述数据环境向量和所述置信度向量得到数据环境矩阵,并确定出所述数据环境矩阵的特征值;根据所述特征值,得到所述数据环境指标。
7.根据权利要求1所述的方法,其特征在于,所述确定所述数据环境指标是否通过验证,包括:
提取所述数据环境指标中包括的多个特征值;
基于每个特征值执行所述当前终端的云端检测进程,获得所述每个特征值对应的可信认证分数;
确定所述每个特征值对应的数据维度,根据所述数据维度从关系数据库中确定出与所述数据维度对应的叠加系数;
基于每个叠加系数对每个可信认证分数进行叠加处理,得到验证分数;
确定出得到的所有验证分数中超过设定分数的验证分数的占比;
在所述占比达到预设比例时,确定所述数据环境指标通过验证;
在所述占比没有达到所述预设比例时,确定所述数据环境指标没有通过验证。
8.一种数据安全防护装置,其特征在于,应用于服务设备,所述装置至少包括:
目标终端确定模块,用于在检测到处于解压完成状态的APK程序时,根据所述APK程序对应的驱动链接和响应路径确定出与所述APK程序所在的当前终端进行数据传输交互的目标终端;
超文本数据获取模块,通过所述当前终端获取所述当前终端和所述目标终端均处于数据传接行为执行状态时所述目标终端的超文本数据,其中,所述超文本数据包括加密协议数据包以及多组交互传输流量数据;
数据爬虫确定模块,用于根据每组交互传输流量数据对应的数据结构信息确定出所述每组交互传输流量数据所对应的数据爬虫,并根据所述加密协议数据包中包括的传输协议和统一资源定位符URL对每组数据爬虫设置爬取节点;
运行结果获得模块,用于根据所述每组数据爬虫中设置的爬取节点,运行所述每组数据爬虫,获得表征所述当前终端的性能参数的运行结果;
数据环境指标确定模块,基于所述运行结果确定出所述当前终端与所述目标终端在数据发放事件产生时的数据环境指标;
验证模块,用于确定所述数据环境指标是否通过验证;在所述数据环境指标没有通过验证时,向所述当前终端下发安全防护扫描任务,所述安全防护扫描任务用于指示所述当前终端进行数据清洗动作和数据负载均衡动作。
9.一种服务设备,其特征在于,包括处理器以及与所述处理器连接的存储器和总线;其中,所述处理器和所述存储器通过所述总线完成相互间的通信;所述处理器用于调用所述存储器中的程序指令,以执行上述权利要求1-7任一项所述的数据安全防护方法。
10.一种存储介质,其特征在于,其上存储有程序,该程序被处理器执行时实现上述权利要求1-7任一项所述的数据安全防护方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911072533 | 2019-11-05 | ||
| CN201911072533X | 2019-11-05 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110769008A true CN110769008A (zh) | 2020-02-07 |
| CN110769008B CN110769008B (zh) | 2020-04-03 |
Family
ID=69341549
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911372002.2A Active CN110769008B (zh) | 2019-11-05 | 2019-12-27 | 一种数据安全防护方法、装置及服务设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110769008B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022012429A1 (zh) * | 2020-07-13 | 2022-01-20 | 华为技术有限公司 | 用于实现终端验证的方法、装置、系统、设备及存储介质 |
| CN115086053A (zh) * | 2022-06-23 | 2022-09-20 | 支付宝(杭州)信息技术有限公司 | 用于识别伪装设备的方法和系统 |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102346831A (zh) * | 2011-10-31 | 2012-02-08 | 广东欧珀移动通信有限公司 | Android操作系统的手持设备隐私加密保护方法 |
| US20120250862A1 (en) * | 2011-03-29 | 2012-10-04 | Kaseya International Limited | Method and apparatus of securely processing data for file backup, de-duplication, and restoration |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| US8387141B1 (en) * | 2011-09-27 | 2013-02-26 | Green Head LLC | Smartphone security system |
| CN103180862A (zh) * | 2010-08-25 | 2013-06-26 | 前景公司 | 用于服务器耦合的恶意软件防止的系统和方法 |
| CN103577747A (zh) * | 2013-10-16 | 2014-02-12 | 北京奇虎科技有限公司 | 移动设备隐私保护装置及方法 |
| CN104021320A (zh) * | 2014-06-20 | 2014-09-03 | 福建天晴数码有限公司 | 保护apk文件版权的方法、装置和系统 |
| CN104484607A (zh) * | 2014-12-16 | 2015-04-01 | 上海交通大学 | Android应用程序安全性测试的通用方法及系统 |
| US20160044054A1 (en) * | 2014-08-06 | 2016-02-11 | Norse Corporation | Network appliance for dynamic protection from risky network activities |
| CN106845167A (zh) * | 2016-12-12 | 2017-06-13 | 北京奇虎科技有限公司 | 一种apk的加固方法和装置,及动态加载方法和装置 |
| CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
-
2019
- 2019-12-27 CN CN201911372002.2A patent/CN110769008B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103180862A (zh) * | 2010-08-25 | 2013-06-26 | 前景公司 | 用于服务器耦合的恶意软件防止的系统和方法 |
| US20120250862A1 (en) * | 2011-03-29 | 2012-10-04 | Kaseya International Limited | Method and apparatus of securely processing data for file backup, de-duplication, and restoration |
| US8387141B1 (en) * | 2011-09-27 | 2013-02-26 | Green Head LLC | Smartphone security system |
| CN102346831A (zh) * | 2011-10-31 | 2012-02-08 | 广东欧珀移动通信有限公司 | Android操作系统的手持设备隐私加密保护方法 |
| CN102833240A (zh) * | 2012-08-17 | 2012-12-19 | 中国科学院信息工程研究所 | 一种恶意代码捕获方法及系统 |
| CN103577747A (zh) * | 2013-10-16 | 2014-02-12 | 北京奇虎科技有限公司 | 移动设备隐私保护装置及方法 |
| CN104021320A (zh) * | 2014-06-20 | 2014-09-03 | 福建天晴数码有限公司 | 保护apk文件版权的方法、装置和系统 |
| US20160044054A1 (en) * | 2014-08-06 | 2016-02-11 | Norse Corporation | Network appliance for dynamic protection from risky network activities |
| CN104484607A (zh) * | 2014-12-16 | 2015-04-01 | 上海交通大学 | Android应用程序安全性测试的通用方法及系统 |
| CN106845167A (zh) * | 2016-12-12 | 2017-06-13 | 北京奇虎科技有限公司 | 一种apk的加固方法和装置,及动态加载方法和装置 |
| CN109361643A (zh) * | 2018-06-22 | 2019-02-19 | 中国移动通信集团广东有限公司 | 一种恶意样本的深度溯源方法 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2022012429A1 (zh) * | 2020-07-13 | 2022-01-20 | 华为技术有限公司 | 用于实现终端验证的方法、装置、系统、设备及存储介质 |
| CN115086053A (zh) * | 2022-06-23 | 2022-09-20 | 支付宝(杭州)信息技术有限公司 | 用于识别伪装设备的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110769008B (zh) | 2020-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10558823B2 (en) | Systems and methods for controlling data exposure using artificial-intelligence-based modeling | |
| US9843594B1 (en) | Systems and methods for detecting anomalous messages in automobile networks | |
| CN111274583A (zh) | 一种大数据计算机网络安全防护装置及其控制方法 | |
| CN110769008B (zh) | 一种数据安全防护方法、装置及服务设备 | |
| US11647037B2 (en) | Penetration tests of systems under test | |
| CN111988304B (zh) | 基于物联网的分布式数据节点异常行为检测方法及装置 | |
| CN112131577A (zh) | 一种漏洞检测方法、装置、设备及计算机可读存储介质 | |
| CN110324416B (zh) | 下载路径跟踪方法、装置、服务器、终端及介质 | |
| CN114679292B (zh) | 基于网络空间测绘的蜜罐识别方法、装置、设备及介质 | |
| CN111092910B (zh) | 数据库安全访问方法、装置、设备、系统及可读存储介质 | |
| CN112700242A (zh) | 一种区块链的敏感信息前置检测的方法、设备及介质 | |
| CN112600839A (zh) | 基于车联网平台构建安全威胁关联视图的方法及装置 | |
| US11683336B2 (en) | System and method for using weighting factor values of inventory rules to efficiently identify devices of a computer network | |
| CN115147956A (zh) | 数据处理方法、装置、电子设备及存储介质 | |
| CN110798353A (zh) | 基于行为特征大数据分析的网络行为风险感知及防御方法 | |
| CN114024761A (zh) | 网络威胁数据的检测方法、装置、存储介质及电子设备 | |
| CN112422486A (zh) | 一种基于sdk的安全防护方法及设备 | |
| KR102040227B1 (ko) | 장치 간 보안 유효성을 평가하는 방법 및 시스템 | |
| CN115150137A (zh) | 一种基于Redis的高频访问预警方法及设备 | |
| CN115757318A (zh) | 日志查询方法、装置、存储介质以及电子设备 | |
| CN111935089B (zh) | 基于大数据和边缘计算的数据处理方法及人工智能服务器 | |
| CN110769010B (zh) | 一种数据管理权限处理方法、装置及计算机设备 | |
| CN111277953B (zh) | 通信网络稳定性处理方法、系统及电子设备 | |
| CN112232821A (zh) | 一种基于区块链的交易方法 | |
| KR20200066003A (ko) | 엔드포인트의 비정상 행위를 분석하는 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |