CN111027096A - 用于检测针对私有数据的泄漏通道的方法及装置 - Google Patents
用于检测针对私有数据的泄漏通道的方法及装置 Download PDFInfo
- Publication number
- CN111027096A CN111027096A CN201911264395.5A CN201911264395A CN111027096A CN 111027096 A CN111027096 A CN 111027096A CN 201911264395 A CN201911264395 A CN 201911264395A CN 111027096 A CN111027096 A CN 111027096A
- Authority
- CN
- China
- Prior art keywords
- private data
- data
- processing
- processing node
- leakage
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2151—Time stamp
Landscapes
- Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书实施例提供了一种用于检测针对私有数据的泄漏通道的方法及装置。在该方法中,将携带标记的私有数据输入待检测系统,以使待检测系统对输入的私有数据进行处理,在待检测系统的各个处理节点处检测携带标记的私有数据,确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据,基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。该方法确定出的泄漏通道为后续的防范措施提供有针对性的参考,进一步地,该方法中的私有数据还可以采用同态加密的方式进行加密处理,加强了隐私保护。
Description
技术领域
本说明书实施例涉及信息安全技术领域,具体地,涉及用于检测针对私有数据的泄漏通道的方法及装置。
背景技术
随着互联网的迅速发展,尤其是移动互联网的普及,人们的生活越来越依赖于手机、平板以及智能手表等终端设备。在终端设备的使用过程中经常会需要用户输入私有数据,比如,姓名,年龄,生日,身份证号以及手机号等,终端设备采集用户的私有数据并存储在本地。终端设备所配置的数据处理系统可以对本地存储的私有数据按照既定处理流程进行处理,为了避免私有数据泄漏进而起到隐私保护的作用,终端设备中的数据处理系统在处理私有数据的过程中不会将处理的私有数据输出给其他设备或服务器。
发明内容
鉴于上述,本说明书实施例提供了一种用于检测针对私有数据的泄漏通道的方法及装置。在该方法中,待检测系统对携带标记的私有数据进行处理,在待检测系统的各个处理节点处检测携带标记的私有数据,并确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据,以及确定处理节点的权重,再基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
存在私有数据流通的流转路径就存在私有数据泄漏的风险,该方法所确定出的泄漏通道表示该泄漏通道中的处理节点和传输通道存在私有数据泄漏的风险,泄漏通道可以为后续针对私有数据泄漏的防范措施提供参考,进而有针对性地防范私有数据泄漏。并且,所确定出的泄漏通道中各个处理节点的权重表征私有数据泄漏的风险程度,进而可以根据权重表征的风险程度有针对性地采取防范措施。
根据本说明书实施例的一个方面,提供了一种用于检测针对私有数据的泄漏通道的方法,包括:将携带标记的私有数据输入待检测系统,以使所述待检测系统对输入的私有数据进行处理;在所述待检测系统的各个处理节点处检测携带所述标记的私有数据,其中,所述各个处理节点是对所述待检测系统的源码进行扫描得到的;确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据;基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
可选地,在上述方面的一个示例中,按照以下方式对所述待检测系统的源码进行扫描:对所述待检测系统的源码进行扫描,以得到所述待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系;以及对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
可选地,在上述方面的一个示例中,在所述待检测系统的各个处理节点处检测携带所述标记的私有数据包括:在所得到的处理节点中的关键处理节点处,检测携带所述标记的私有数据,其中,所述关键处理节点是基于由所得到的各个处理节点以及所述连接关系构成的网络图得到的。
可选地,在上述方面的一个示例中,基于所确定的处理节点对应的私有数据,确定该处理节点的权重包括:针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量;以及基于所统计的数量确定该关键处理节点的权重。
可选地,在上述方面的一个示例中,还包括:基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度;以及基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道包括:基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
可选地,在上述方面的一个示例中,基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道包括:基于所确定的私有数据的时间戳和/或上下游数据,构建以具有权重的处理节点作为节点的泄漏通道网络图。
可选地,在上述方面的一个示例中,还包括:基于所确定的泄漏通道以及泄漏通道包括的各个处理节点的权重,采取防范措施。
可选地,在上述方面的一个示例中,所述待检测系统包括针对服务提供商的计算机存储系统。
根据本说明书实施例的另一方面,还提供一种用于检测针对私有数据的泄漏通道的装置,包括:数据输入单元将携带标记的私有数据输入待检测系统,以使所述待检测系统对输入的私有数据进行处理;数据检测单元在所述待检测系统的各个处理节点处检测携带所述标记的私有数据,其中,所述各个处理节点是对所述待检测系统的源码进行扫描得到的;数据信息确定单元确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据;权重确定单元基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及泄漏通道确定单元基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
可选地,在上述方面的一个示例中,还包括:系统源码扫描单元,对所述待检测系统的源码进行扫描,以得到所述待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系;以及节点代码扫描单元,对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
可选地,在上述方面的一个示例中,所述数据检测单元:在所得到的处理节点中的关键处理节点处,检测携带所述标记的私有数据,其中,所述关键处理节点是基于由所得到的各个处理节点以及所述连接关系构成的网络图得到的。
可选地,在上述方面的一个示例中,所述权重确定单元:针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量;以及基于所统计的数量确定该关键处理节点的权重。
可选地,在上述方面的一个示例中,还包括:风险程度确定单元,基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度;以及所述泄漏通道确定单元:基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
可选地,在上述方面的一个示例中,所述泄漏通道确定单元:基于所确定的私有数据的时间戳和/或上下游数据,构建以具有权重的处理节点作为节点的泄漏通道网络图。
根据本说明书实施例的另一方面,还提供一种电子设备,包括:至少一个处理器;以及存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如上所述的用于检测针对私有数据的泄漏通道的方法。
根据本说明书实施例的另一方面,还提供一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如上所述的用于检测针对私有数据的泄漏通道的方法。
附图说明
通过参照下面的附图,可以实现对于本说明书内容的本质和优点的进一步理解。在附图中,类似组件或特征可以具有相同的附图标记。附图是用来提供对本说明书实施例的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本说明书的实施例,但并不构成对本说明书的实施例的限制。在附图中:
图1示出了本说明书的实施例的用于检测针对私有数据的泄漏通道的方法的流程图;
图2示出了本说明书的实施例的多个处理节点以及处理节点的连接关系所构成的网络图的一个示例的示意图;
图3示出了本说明书的实施例的所确定的泄漏通道的一个示例的示意图;
图4示出了本说明书的实施例的数据流转网络图的一个示例的示意图;
图5示出了本说明书的实施例的用于检测针对私有数据的泄漏通道的装置的方框图;和
图6示出了本说明书的实施例的实现用于检测针对私有数据的泄漏通道的方法的电子设备的方框图。
具体实施方式
以下将参考示例实施方式讨论本文描述的主题。应该理解,讨论这些实施方式只是为了使得本领域技术人员能够更好地理解从而实现本文描述的主题,并非是对权利要求书中所阐述的保护范围、适用性或者示例的限制。可以在不脱离本说明书内容的保护范围的情况下,对所讨论的元素的功能和排列进行改变。各个示例可以根据需要,省略、替代或者添加各种过程或组件。另外,相对一些示例所描述的特征在其它例子中也可以进行组合。
如本文中使用的,术语“包括”及其变型表示开放的术语,含义是“包括但不限于”。术语“基于”表示“至少部分地基于”。术语“一个实施例”和“一实施例”表示“至少一个实施例”。术语“另一个实施例”表示“至少一个其他实施例”。术语“第一”、“第二”等可以指代不同的或相同的对象。下面可以包括其他的定义,无论是明确的还是隐含的。除非上下文中明确地指明,否则一个术语的定义在整个说明书中是一致的。
在本文中,术语“连接”是指两个组件之间直接机械连接、连通或电连接,或者通过中间组件来间接机械连接、连通或电连接。术语“电连接”是指两个组件之间可以进行电通信以进行数据/信息交换。同样,所述电连接可以指两个组件之间直接电连接,或者通过中间组件来间接电连接。所述电连接可以采用有线方式或无线方式来实现。
在本文中,“泄漏通道”是针对私有数据的流转路径,流转路径中的节点以及节点之间的连接通道存在私有数据泄漏的风险。每个私有数据在被处理的过程中都可以形成一条流转路径,所形成的流转路径包括私有数据的输入节点以及处理结果的输出节点。私有数据以及相应的中间结果可以存储在流转路径中的节点中,还可以在流转路径中流转。
随着互联网的迅速发展,尤其是移动互联网的普及,人们的生活越来越依赖于手机、平板以及智能手表等终端设备。在终端设备的使用过程中经常会需要用户输入私有数据,比如,姓名,年龄,生日,身份证号以及手机号等,终端设备采集用户的私有数据并存储在本地。终端设备所配置的数据处理系统可以对本地存储的私有数据按照既定处理流程进行处理,为了避免私有数据泄漏进而起到隐私保护的作用,终端设备中的数据处理系统在处理私有数据的过程中不会将处理的私有数据输出给其他设备或服务器。
然而,终端设备的数据处理系统在处理私有数据的过程中即便不会将私有数据向外传输,但是处理流程中的处理节点以及处理节点之间的传输通道会存在私有数据泄漏的风险。
为了解决上述问题,本说明书实施例提供了一种用于检测针对私有数据的泄漏通道的方法及装置。在该方法中,待检测系统对携带标记的私有数据进行处理,在待检测系统的各个处理节点处检测携带标记的私有数据,并确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据,以及确定处理节点的权重,再基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
存在私有数据流通的流转路径就存在私有数据泄漏的风险,该方法所确定出的泄漏通道表示该泄漏通道中的处理节点和传输通道存在私有数据泄漏的风险,泄漏通道可以为后续针对私有数据泄漏的防范措施提供参考,进而有针对性地防范私有数据泄漏。并且,所确定出的泄漏通道中各个处理节点的权重表征私有数据泄漏的风险程度,进而可以根据权重表征的风险程度有针对性地采取防范措施,比如风险程度较高的处理节点需要加强防范措施。
下面将结合附图来详细描述根据本说明书实施例的用于检测针对私有数据的泄漏通道的方法及装置。
图1示出了本说明书的实施例的用于检测针对私有数据的泄漏通道的方法的流程图。
如图1所示,在块110,将携带标记的私有数据输入待检测系统,以使待检测系统对输入的私有数据进行处理。
在本说明书实施例中,携带标记的私有数据可以包括多种类型的私有数据,例如,电话号码(MSISDN:Mobile Subscriber International ISDN/PSTN number),IMSI(International Mobile Subscriber Identity,国际移动识别码),IMEI(InternationalMobile Equipment Identity,移动设备号),ICCID(Integrate circuit card identity,SIM卡序列号),位置信息,加速计信息,联系人信息,通话记录以及短信等。输入待检测系统的私有数据的类型可以是指定的。
在本说明书实施例中,私有数据的标记可以是通过人工打标实现的。在一个示例中,输入的私有数据的标记都相同。在另一个示例中,不同的私有数据所携带的标记可以不同。
在本说明书实施例中,输入待检测系统的私有数据的数量可以是指定的。在一个示例中,可以输入一个携带标记的私有数据,待检测系统对该一个私有数据进行处理,可以得到至少一条针对该私有数据的流转通道。在另一个示例中,可以输入多个携带标记的私有数据,待检测系统对该多个私有数据进行处理,可以得到多条针对该多个私有数据的流转通道。在该示例中,所输入的多个私有数据的类型可以是各不相同的。
待检测系统可以是指定的,待检测系统包括多种数据处理机制,待检测系统可以按照既定的数据处理机制对输入的数据进行处理。在一个示例中,待检测系统可以包括针对服务提供商的计算机存储系统,服务提供商的计算机存储系统中存储用户的私有数据,因此需要对该计算机存储系统采取相应地防范措施以防止私有数据泄漏。对计算机存储系统进行泄漏通道检测,可以确定出计算机存储系统中针对私有数据的泄漏通道,进而可以根据泄漏通道采取相应地防范措施,降低私有数据泄漏的风险。
在块120,在待检测系统的各个处理节点处检测携带标记的私有数据。
携带标记的私有数据在经过数据处理后的中间结果以及最终结果也携带该标记。例如,携带标记的电话号码被分解为三个数据,则该三个数据都携带有该标记。又例如,携带标记的身份证号码经过加密处理后得到的加密数据也携带该标记。
在处理节点处检测携带标记的私有数据的方式可以包括数据采集、日志解析以及流量抓包等。
针对数据采集,数据库、文件存储等处理节点可以存储私有数据,则针对这些处理节点,可以采用数据采集的方式在处理节点存储的私有数据中进行数据采集,并确定所采集的私有数据是否携带标记。
针对日志解析,日志用于记录日期、时间、使用者以及动作等相关信息,每个处理节点对私有数据进行处理都可以生成相应的日志,该日志记录该处理节点的处理信息。对日志进行解析,可以得到被处理的私有数据的信息,基于所得到的信息可以确定该私有数据是否携带标记。
针对流量抓包,可以在处理节点的输入端口和/或输出端口进行流量抓包操作。当在处理节点的输入端口进行流量抓包操作时,该处理节点的上游处理节点输出的私有数据可以被抓取,确定所抓取的私有数据是否携带标记。当在处理节点的输出端口进行流量抓包操作时,该处理节点输出的私有数据可以被抓取,再确定被抓取的私有数据是否携带标记。
还可以在处理节点之间的传输通道上进行流量抓包操作,所抓取的私有数据来源于传输通道的上游端的处理节点,再确定该私有数据是否携带标记。基于此,所检测的私有数据可以作为该上游端的处理节点处的私有数据。
在本说明书实施例中,各个处理节点是对待检测系统的源码进行扫描得到的。
不同的处理节点可以对私有数据进行不同的数据处理,比如,可以进行加密处理,解密处理以及分解处理等。处理节点还可以对私有数据不处理直接输出。
被扫描的处理节点可以包括数据库、文件存储端以及可被调用的前端等,文件存储端可以包括FTP(File Transfer Protocol,文件传输协议)存储以及云存储等,可被调用的前端可以包括应用程序等。
在一个示例中,通过扫描得到的处理节点可以包括待检测系统的所有处理节点。
在一个示例中,可以按照以下方式对待检测系统的源码进行扫描:对待检测系统的源码进行扫描,以得到待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系。
存在连接关系的两个处理节点表示该两个处理节点直接连接并且可以进行数据传输,该两个处理节点是上下游关系,输出数据的处理节点是上游,接收数据的处理节点是下游。处于上游的处理节点的输出端连接处于下游的处理节点的输入端。
在一个示例中,基于所得到的处理节点以及连接关系可以构成网络图。
图2示出了本说明书的实施例的多个处理节点以及处理节点的连接关系所构成的网络图的一个示例的示意图。如图2所示,处理节点0-15都是扫描待检测系统的源码得到的,处理节点的连接关系用连接线来表示。比如,处理节点7和处理节点10存在连接关系,处理节点7将经过处理的私有数据传输给处理节点10。
在通过扫描得到处理节点后,可以对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
处理节点的处理规则用于确定处理节点对输入数据的处理方式,处理方式可以包括加密处理,分解处理,组合处理以及转发处理等,每种处理方式对应的处理规则可以包括输入数据、输出数据、导出数据、调用函数、数据组合方法以及别名命名等信息。
不同的处理节点的处理规则可以不同。例如,一个处理节点的处理规则对应的处理方式是数据转发,该处理节点可以对输入数据不处理,将该输入数据直接转发出去。对于该处理节点来说,输入数据和输出数据相同。另一个处理节点的处理规则对应的处理方式是加密处理,该处理节点对输入数据进行加密处理,再将加密处理后的数据输出。对于该处理节点来说,输入数据和输出数据不同,输出数据是经过加密处理后的数据。
在一个示例中,当处理节点是数据库时,数据库调用的方式包括API(ApplicationProgramming Interface,应用程序接口)接口调用和批量导出,对于API接口调用,该数据库的处理规则可以包括API依赖源数据、API数据计算逻辑、API数据输出以及API配置信息等。对于批量导出,该数据库的处理规则可以包括源数据、目标文件、导出配置、导出目标地址以及导出目标名称等。
在一个示例中,在所得到的处理节点中的关键处理节点处,检测携带标记的私有数据。
在该示例中,关键处理节点可以包括数据汇聚、计算、外发以及传输需要流经或者依赖的节点。关键处理节点包括所确定的处理节点中的部分处理节点,例如,关键处理节点可以包括数据汇聚节点、计算数据库、数据库之间的传输通道以及API输出接口等。在该示例中,所确定的处理节点是所检测到的每个私有数据对应的处理节点。
关键处理节点可以是基于由扫描得到的处理节点以及这些处理节点的连接关系构成的网络图得到的。
在一个示例中,可以将连接关系较多的处理节点确定为关键处理节点。在一个示例中,在扫描得到的处理节点中,可以将连接关系的数量大于数量阈值的处理节点确定为关键处理节点。其中,数量阈值可以是指定的。
以图2为例,图2示出的16个处理节点都是扫描得到的,数量阈值为2,在图2示出的16个处理节点中,可以将连接关系的数量大于2的处理节点确定为关键处理节点,则所确定的关键处理节点包括:处理节点4,处理节点6,处理节点7,处理节点8,处理节点10,处理节点12,处理节点13以及处理节点14。
在另一个示例中,可以使用pagerank算法、度中心性算法以及紧密中心性算法等算法中的至少一种算法,在由扫描得到的处理节点以及连接关系构成的网络图中确定关键处理节点。
在该示例中,从扫描得到的若干处理节点中得到数量相对较少的关键处理节点,后续仅针对关键处理节点进行计算处理,减少了计算量。并且基于关键处理节点的特性,所确定出的关键处理节点流转私有数据的概率会较大,由这些关键处理节点构成的泄露通道可以反映出整个待检测系统中的泄露通道。
在块130,确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据。
在本说明书实施例中,私有数据对应的处理节点是被检测到该私有数据的节点。例如,私有数据是电话号码,该电话号码是从处理节点1中被检测到的,则该电话号码对应的处理节点是处理节点1。
私有数据对应的时间戳表示该私有数据被处理的时间点,这里的处理可以是传输、加密、分解等处理方式。例如,以流量抓包的方式检测到的私有数据对应的时间戳表示该私有数据被抓取的时间点。
私有数据对应的上下游数据包括上游私有数据和下游私有数据,上游私有数据是与该私有数据对应的处理节点的输入端连接的处理节点输出的数据,下游私有数据是与该私有数据对应的处理节点的输出端连接的处理节点输入的数据。
以图2为例,处理节点2的输出端与处理节点4的输入端连接,处理节点4的输出端与处理节点7的输入端连接。处理节点4的私有数据的上游私有数据是处理节点2输出的私有数据,处理节点4的私有数据的下游私有数据是处理节点7输入的私有数据。
在一个示例中,可以对所检测到的私有数据进行结构化处理。经过结构化处理后的每个私有数据对应的结构化数据可以包括数据来源(即该私有数据对应的上游私有数据)、输出(即该私有数据对应的下游私有数据)、处理规则、目标位置(即对应的处理节点)、时间戳以及对应的处理节点等,并对结构化数据进行存储。这样,每个私有数据可以按照结构化处理后的数据化结构进行存储,从结构化数据中可以确定出私有数据对应的处理节点、时间戳以及上下游数据等。
在块140,基于所确定的处理节点对应的私有数据,确定该处理节点的权重。
在本说明书实施例中,对于所确定的处理节点,即被检测到携带标记的私有数据的处理节点,私有数据流经这些处理节点的概率较大,因此这些处理节点就会存在私有数据泄漏的风险,这些处理节点构成的流转通道也存在成为泄漏通道的风险。
以图2为例,所确定的处理节点可以包括处理节点2、处理节点4、处理节点7以及处理节点8,该处理节点2、处理节点4、处理节点7以及处理节点8可以组成一条针对私有数据的流转通道,则该处理节点2、处理节点4、处理节点7以及处理节点8中的每个处理节点都存在泄漏私有数据的风险。
处理节点对应的私有数据是流经该处理节点的数据,处理节点对流经的私有数据的数据处理可以包括数据处理以及转发处理。例如,处理节点1对身份证号码进行加密处理,对手机号码进行分解处理,以及对邮箱信息进行转发,则处理节点1对应的私有数据包括身份证号码、手机号码以及邮箱信息。
处理节点的权重可以表示该处理节点泄漏私有数据的风险程度,在一个示例中,处理节点的权重越大,表示该处理节点泄漏私有数据的风险程度越高。
在本说明书的一个示例中,针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量。其中,所统计的私有数据是携带标记的私有数据。在统计得到数量后,可以基于所统计的数量来确定该关键处理节点的权重。
在一个示例中,流经该关键处理节点的私有数据的数量越多,则该关键处理节点的权重越大。在一个示例中,可以将所统计的数量作为关键处理节点的初始权重,再将具有权重的各个关键处理节点的权重进行归一化处理,得到各个关键处理节点对应的权重。
例如,统计的流经关键处理节点1的私有数据的数量是100,流经关键处理节点2的私有数据的数量是200,流经关键处理节点3的私有数据的数量是50,流经关键处理节点4的私有数据的数量是150。则关键处理节点1的初始权重是100,关键处理节点2的初始权重是200,关键处理节点3的初始权重是50,关键处理节点4的初始权重是150,对这四个初始权重进行归一化处理,得到关键处理节点1的权重为0.2,关键处理节点2的权重为0.4,关键处理节点3的权重为0.3,关键处理节点4的权重为0.1。
在另一个示例中,还可以基于所统计的数量以及私有数据的数据类型来确定关键处理节点的权重。在该示例中,可以预先设定每个数据类型对应的类型权重,在一个示例中,重要程度越高的数据类型对应的类型权重越大,比如,证件信息所属的数据类型对应的类型权重可以较大,邮箱地址所属的数据类型对应的类型权重可以较小。
在该示例中,对于关键处理节点来说,流经该关键处理节点的私有数据的数量越多,且该私有数据对应的类型权重越大,则该关键处理节点的权重越大。流经该关键处理节点的私有数据的数量越少,且该私有数据对应的类型权重越小,则该关键处理节点的权重越小。
在该示例中,各个关键处理节点对应的权重可以为后续针对私有数据泄漏的防范措施提供参考,可以根据权重对各个处理节点采取相应的防范措施,比如,对于权重较大的处理节点需要重点防范,以降低私有数据泄漏的风险,进而避免私有数据泄漏。
在块150,基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
在一个示例中,所确定的泄漏通道可以包括多条,各条泄漏通道相互独立存在。图3示出了本说明书的实施例的所确定的泄漏通道的一个示例的示意图。如图3所示,所确定的泄漏通道有3条,第一条泄漏通道由处理节点4、处理节点7以及处理节点10构成,第二条泄漏通道由处理节点6、处理节点7以及处理节点8构成,第三条泄漏通道由处理节点15、处理节点14、处理节点13以及处理节点12构成。
在本说明实施例中,所确定的每条泄漏通道所包括的处理节点都对应有权重,每条泄漏通道所包括的处理节点的权重可以不同。
以图3为例,图3示出了的三条泄漏通道中,第一条泄漏通道和第二条泄漏通道传输的私有数据都会流经处理节点7,这使得流经处理节点7的私有数据的数量会大于这两条泄漏通道所包括的其他四个处理节点各自对应的私有数据的数量,因此,处理节点7的权重大于该其他四个处理节点的权重。
在本说明书的一个示例中,基于所确定的私有数据的时间戳来确定由具有权重的处理节点构成的泄漏通道。
在该示例中,每个私有数据对应一个处理节点,各个私有数据的时间戳不同,所检测的私有数据属于同一个泄漏通道,则可以按照时间戳的先后顺序可以确定泄漏通道。在一个示例中,可以根据时间戳确定出私有数据在该泄漏通道中的流向。
例如,所检测的私有数据包括私有数据a、私有数据b以及私有数据c,其中,私有数据a的时间戳是5:00:00,私有数据b的时间戳是5:00:01,以及私有数据c的时间戳是4:59:59,则私有数据的生成顺序依次是:私有数据c,私有数据a,私有数据b。私有数据a对应处理节点4,私有数据b对应处理节点7,私有数据c对应处理节点10,则所确定的泄漏通道由处理节点4,处理节点7以及处理节点10构成。该泄漏通道中的数据流向为:处理节点10,处理节点4以及处理节点7。
在本说明书的另一个示例中,基于所确定的私有数据的上下游数据来确定由具有权重的处理节点构成的泄漏通道。
在该示例中,可以确定出私有数据的上游私有数据和下游私有数据,其中,对于输入待检测系统的私有数据来说可以没有上游私有数据,有些私有数据可以没有下游私有数据,比如,针对私有数据的任务执行完成后的私有数据结果没有下游私有数据。
在该示例中,所检测到的私有数据各不相同。当两个不同的私有数据对应的上游私有数据均指向同一私有数据时,则该两个不同的私有数据来源于同一个上游私有数据。
以图2为例,所检测到的私有数据包括私有数据a、私有数据b、私有数据c、私有数据d、私有数据e以及私有数据f,其中,所确定出的私有数据a的下游私有数据是私有数据b,私有数据c和私有数据d的上游私有数据都是私有数据b,私有数据c的下游私有数据是私有数据e,私有数据d的下游私有数据是私有数据f。私有数据e和私有数据f都没有下游私有数据。私有数据a对应处理节点2,私有数据b对应处理节点4,私有数据c对应处理节点0,私有数据d对应处理节点7,私有数据e对应处理节点5,私有数据f对应处理节点8。则可以确定的泄漏通道包括两条:处理节点2,处理节点4,处理节点7以及处理节点8;以及,处理节点2,处理节点4,处理节点0以及处理节点5。
在本说明书的另一个示例中,基于所确定的私有数据的时间戳和上下游数据来确定由具有权重的处理节点构成的泄漏通道。
在该示例中,在确定出私有数据的上游私有数据和/或下游私有数据后,可以进一步确定出每个上游私有数据和每个下游私有数据对应的时间戳,当所检测到的私有数据有相同时,可以依据每个私有数据对应的时间戳来区分。
例如,私有数据a的时间戳为5:00:00,该私有数据a的上游私有数据是私有数据b,下游私有数据是私有数据c,而所检测到的私有数据包括有4个私有数据b以及3个私有数据c,其中,该4个私有数据b的时间戳分别为:5:11:00,4:59:59,5:00:02以及4:10:29,该3个私有数据c的时间戳分别为:4:50:50,5:00:01以及5:05:10。上游私有数据的时间戳应该是在私有数据a的时间戳之前,且与该时间戳相近,因此可以确定时间戳为4:59:59的私有数据b是私有数据a的上游私有数据。下游私有数据的时间戳应该是在私有数据a的时间戳之后,且与该时间戳相近,因此可以确定时间戳为5:00:01的私有数据c是私有数据a的下游私有数据。
在本说明书的一个示例中,可以基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度。
在该示例中,不同的处理规则对应存在不同的私有数据泄漏的风险程度。例如,加密处理可以对私有数据起到保护作用,因此,加密处理对应的处理规则的风险程度较低。分解处理可以将私有数据分解成多个部分,若要得到完整私有数据需要对所有的部分进行恢复处理,这样可以对私有数据进行保护,因此,分解处理对应的处理规则的风险程度较低。对于转发处理对应的处理规则,使用转发处理的处理节点对输入的私有数据没有处理,直接将输入的私有数据转发至下一个处理节点,转发处理前的私有数据与转发出去的私有数据相同。因此,转发处理对应的处理规则的风险程度较高。
在该示例中,基于每个处理节点的处理规则可以确定该处理节点的第一数据泄漏风险程度。基于每个处理节点的处理规则可以确定该处理节点输出端的连接关系的第二数据泄漏风险程度。在一个示例中,第一数据泄漏风险程度和第二数据泄漏风险程度都可以用数值来表示。
两个处理节点之间的连接关系表示该两个处理节点的传输通道,处理节点之间的传输通道也存在私有数据泄漏的风险,风险程度可以用第二数据泄漏风险程度来表征。连接关系对应的第二数据泄漏风险程度越高,表示该连接关系表征的传输通道泄漏私有数据的风险越大;连接关系对应的第二数据泄漏风险程度越低,表示该连接关系表征的通道泄漏私有数据的风险越小,私有数据越安全。
每个连接关系对应的第二数据泄漏风险程度可以基于该连接关系的上游处理节点的处理规则来确定。处理规则对应的风险程度越高,则使用该处理规则的处理节点输出端的连接关系对应的第二数据泄漏风险程度越高;处理规则对应的风险程度越低,则使用该处理规则的处理节点输出端的连接关系对应的第二数据泄漏风险程度越低。
以图2为例,处理节点4与处理节点7之间的连接关系1的上游处理节点是处理节点4,下游处理节点是处理节点7,即,处理节点4的输出端与处理节点7的输入端连接。处理节点7与处理节点10之间的连接关系2的上游处理节点是处理节点7,下游处理节点是处理节点10,即,处理节点7的输出端与处理节点10的输入端连接。其中,处理节点4的处理规则是加密处理,处理节点7的处理规则是转发处理,则可以基于加密处理可以确定连接关系1对应的第二数据泄漏风险程度,基于转发处理可以确定连接关系2对应的第二数据泄漏风险程度。连接关系1对应的第二数据泄漏风险程度较低,连接关系2对应的第二数据泄漏风险程度较高。
在确定出第一数据泄漏风险程度和第二数据泄漏风险程度后,可以基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
在该示例中,在所确定的泄漏通道中,每个连接关系对应有第二数据泄漏风险程度,每个处理节点对应有权重和第一数据风险值,每个处理节点泄漏私有数据的风险可以由权重和第一数据泄漏风险程度共同确定。例如,处理节点的权重越大且第一数据泄漏风险程度越高,则该处理节点泄漏私有数据的风险越高;处理节点的权重越小且第一数据泄漏风险程度越低,则该处理节点泄漏私有数据的风险越低。
在本说明书的一个示例中,基于所确定的私有数据的时间戳和/或上下游数据,构建数据流转网络图。
在该示例中,所构建的数据流转网络图以处理节点作为节点,以各个处理节点之间的连接关系作为边。数据流转网络图中的各个处理节点对应有权重,在一个示例中,数据流转网络图中的各个处理节点还对应有第一数据泄漏风险程度,以及各条边对应有第二数据泄漏风险程度。
例如,被确定出的携带标记的私有数据对应的处理节点包括处理节点0-15,该16个处理节点中存在两个处理节点之间的连接关系,以该16个处理节点为节点,以连接关系为边可以构建流转网络图,所构建的流转网络图如图2所示,处理节点0-15中的每个处理节点可以对应有权重和第一数据泄露风险程度,每条边可以对应有第二数据泄露风险程度。
在一个示例中,基于私有数据的时间戳和/或上下游数据,可以确定出有连接关系的两个处理节点之间的数据流向。在该示例中,所构建出的数据流转网络图可以表示出各个处理节点之间的数据流向,这样的数据流转网络图可以更直观地表示出私有数据的流转方向及路径。
图4示出了本说明书的实施例的数据流转网络图的一个示例的示意图。如图4所示,数据流转网络图中的每条边的箭头表示该条边的数据流向,比如,处理节点4与处理节点7之间的边的箭头表示数据流向是从处理节点4流向处理节点7。
在本说明书的一个示例中,基于所确定的泄漏通道以及泄漏通道包括的各个处理节点的权重,采取防范措施。
在该示例中,防范措施可以是针对处理节点的,还可以是针对泄漏通道的,泄漏通道中各个处理节点各自对应的权重都较大,则该泄漏通道整体的泄漏风险越高;泄漏通道中各个处理节点各自对应的权重都较小,则该泄漏通道整体的泄漏风险越低。对于具有泄漏风险的处理节点以及整个泄漏通道,都可以相应的防范措施以防止私有数据泄漏。
防范措施用于防止私有数据泄漏,进而起到保护隐私的作用。防范措施可以包括监控、埋点等。监控是有针对性地对处理节点或者整个流转通道进行监控,若发现存在私有数据泄漏则发出警报以采取相应地措施。
埋点是预先有针对性地对存在泄漏风险的处理节点采取相应地措施,埋点可以根据泄漏风险程度进行设置。在一个示例中,可以针对泄漏风险程度大于风险阈值的处理节点进行埋点设置。风险阈值可以是指定的,在该示例中,泄漏风险程度大于该风险阈值可以表示泄漏风险较高,需要重点防范。在该示例中,对一部分泄漏风险较高的处理节点进行埋点设置,在防止私有数据泄漏的前提下节省计算资源。
针对不同等级的泄漏风险,可以采取不同的防范措施。比如,泄漏风险程度较高,则可以采取安全级别更高的防范措施;泄漏风险程度较低,则可以采取安全级别较低的防范措施。
在本说明书的另一个示例中,基于所确定的泄漏通道,泄漏通道中处理节点的权重和第一数据泄漏风险程度,以及连接关系对应的第二数据泄漏风险程度,采取防范措施。
在该示例中,泄漏通道中的连接关系可以表示针对私有数据的传输通道,连接关系对应的第二数据泄漏风险程度可以表示对应传输通道泄漏私有数据的风险程度,第二数据泄漏风险程度越高则表示对应传输通道泄漏私有数据的风险越高,第二数据泄漏风险程度越低则表示对应传输通道泄漏私有数据的风险越低。
防范措施可以是针对传输通道的,在一个示例中,可以根据第二数据泄漏风险程度对传输通道采取不同的防范措施,例如,对于第二数据泄漏风险程度较高的连接关系对应的传输通道,则可以采取安全级别更高的防范措施;对于第二数据泄漏风险程度较低的连接关系对应的传输通道,则可以采取安全级别较低的防范措施。
图5示出了本说明书的实施例的用于检测针对私有数据的泄漏通道的装置(以下称为泄漏通道检测装置500)的方框图。如图5所示,该泄漏通道检测装置500包括数据输入单元510,数据检测单元520,数据信息确定单元530,权重确定单元540以及泄漏通道确定单元550。
数据输入单元510将携带标记的私有数据输入待检测系统,以使待检测系统对输入的私有数据进行处理。
数据检测单元520在待检测系统的各个处理节点处检测携带该标记的私有数据,其中,各个处理节点是对待检测系统的源码进行扫描得到的。在本说明书的一个示例中,数据检测单元520:在所得到的处理节点中的关键处理节点处,检测携带标记的私有数据,其中,关键处理节点是基于由所得到的各个处理节点以及连接关系构成的网络图得到的。
数据信息确定单元530确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据。
权重确定单元540基于所确定的处理节点对应的私有数据,确定该处理节点的权重。在本说明书的一个示例中,权重确定单元540:针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量;以及基于所统计的数量确定该关键处理节点的权重。
泄漏通道确定单元550基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。在本说明书的一个示例中,泄漏通道确定单元550:基于所确定的私有数据的时间戳和/或上下游数据,构建以具有权重的处理节点作为节点的泄漏通道网络图。
在本说明书的一个示例中,该泄漏通道检测装置500还可以包括:系统源码扫描单元对待检测系统的源码进行扫描,以得到待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系;以及节点代码扫描单元对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
在本说明书的一个示例中,该泄漏通道检测装置500还可以包括:风险程度确定单元,基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度;以及泄漏通道确定单元550:基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
以上参照图1到图5,对根据本说明书实施例的用于检测针对私有数据的泄漏通道的方法及装置的实施例进行了描述。
本说明书实施例的用于检测针对私有数据的泄漏通道的装置可以采用硬件实现,也可以采用软件或者硬件和软件的组合来实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将存储器中对应的计算机程序指令读取到内存中运行形成的。在本说明书实施例中,用于检测针对私有数据的泄漏通道的装置例如可以利用电子设备实现。
图6示出了本说明书的实施例的实现用于检测针对私有数据的泄漏通道的方法的电子设备600的方框图。
如图6所示,电子设备600可以包括至少一个处理器610、存储器(例如,非易失性存储器)620、内存630和通信接口640,并且至少一个处理器610、存储器620、内存630和通信接口640经由总线650连接在一起。至少一个处理器610执行在存储器中存储或编码的至少一个计算机可读指令(即,上述以软件形式实现的元素)。
在一个实施例中,在存储器中存储计算机可执行指令,其当执行时使得至少一个处理器610:将携带标记的私有数据输入待检测系统,以使待检测系统对输入的私有数据进行处理;在待检测系统的各个处理节点处检测携带该标记的私有数据,其中,各个处理节点是对待检测系统的源码进行扫描得到的;确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据;基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
应该理解,在存储器中存储的计算机可执行指令当执行时使得至少一个处理器610进行本说明书的各个实施例中以上结合图1-5描述的各种操作和功能。
根据一个实施例,提供了一种例如机器可读介质的程序产品。机器可读介质可以具有指令(即,上述以软件形式实现的元素),该指令当被机器执行时,使得机器执行本说明书的各个实施例中以上结合图1-5描述的各种操作和功能。
具体地,可以提供配有可读存储介质的系统或者装置,在该可读存储介质上存储着实现上述实施例中任一实施例的功能的软件程序代码,且使该系统或者装置的计算机或处理器读出并执行存储在该可读存储介质中的指令。
在这种情况下,从可读介质读取的程序代码本身可实现上述实施例中任何一项实施例的功能,因此机器可读代码和存储机器可读代码的可读存储介质构成了本说明书实施例的一部分。
可读存储介质的实施例包括软盘、硬盘、磁光盘、光盘(如CD-ROM、CD-R、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、DVD-RW)、磁带、非易失性存储卡和ROM。可选择地,可以由通信网络从服务器计算机上或云上下载程序代码。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
上述各流程和各系统结构图中不是所有的步骤和单元都是必须的,可以根据实际的需要忽略某些步骤或单元。各步骤的执行顺序不是固定的,可以根据需要进行确定。上述各实施例中描述的装置结构可以是物理结构,也可以是逻辑结构,即,有些单元可能由同一物理实体实现,或者,有些单元可能分由多个物理实体实现,或者,可以由多个独立设备中的某些部件共同实现。
在整个本说明书中使用的术语“示例性”意味着“用作示例、实例或例示”,并不意味着比其它实施例“优选”或“具有优势”。出于提供对所描述技术的理解的目的,具体实施方式包括具体细节。然而,可以在没有这些具体细节的情况下实施这些技术。在一些实例中,为了避免对所描述的实施例的概念造成难以理解,公知的结构和装置以框图形式示出。
以上结合附图详细描述了本说明书的实施例的可选实施方式,但是,本说明书的实施例并不限于上述实施方式中的具体细节,在本说明书的实施例的技术构思范围内,可以对本说明书的实施例的技术方案进行多种简单变型,这些简单变型均属于本说明书的实施例的保护范围。
本说明书内容的上述描述被提供来使得本领域任何普通技术人员能够实现或者使用本说明书内容。对于本领域普通技术人员来说,对本说明书内容进行的各种修改是显而易见的,并且,也可以在不脱离本说明书内容的保护范围的情况下,将本文所定义的一般性原理应用于其它变型。因此,本说明书内容并不限于本文所描述的示例和设计,而是与符合本文公开的原理和新颖性特征的最广范围相一致。
Claims (16)
1.一种用于检测针对私有数据的泄漏通道的方法,包括:
将携带标记的私有数据输入待检测系统,以使所述待检测系统对输入的私有数据进行处理;
在所述待检测系统的各个处理节点处检测携带所述标记的私有数据,其中,所述各个处理节点是对所述待检测系统的源码进行扫描得到的;
确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据;
基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及
基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
2.如权利要求1所述的方法,其中,按照以下方式对所述待检测系统的源码进行扫描:
对所述待检测系统的源码进行扫描,以得到所述待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系;以及
对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
3.如权利要求2所述的方法,其中,在所述待检测系统的各个处理节点处检测携带所述标记的私有数据包括:
在所得到的处理节点中的关键处理节点处,检测携带所述标记的私有数据,其中,所述关键处理节点是基于由所得到的各个处理节点以及所述连接关系构成的网络图得到的。
4.如权利要求3所述的方法,基于所确定的处理节点对应的私有数据,确定该处理节点的权重包括:
针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量;以及
基于所统计的数量确定该关键处理节点的权重。
5.如权利要求2所述的方法,还包括:
基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度;以及
基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道包括:
基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
6.如权利要求1所述的方法,基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道包括:
基于所确定的私有数据的时间戳和/或上下游数据,构建以具有权重的处理节点作为节点的泄漏通道网络图。
7.如权利要求1所述的方法,还包括:
基于所确定的泄漏通道以及泄漏通道包括的各个处理节点的权重,采取防范措施。
8.如权利要求1所述的方法,其中,所述待检测系统包括针对服务提供商的计算机存储系统。
9.一种用于检测针对私有数据的泄漏通道的装置,包括:
数据输入单元,将携带标记的私有数据输入待检测系统,以使所述待检测系统对输入的私有数据进行处理;
数据检测单元,在所述待检测系统的各个处理节点处检测携带所述标记的私有数据,其中,所述各个处理节点是对所述待检测系统的源码进行扫描得到的;
数据信息确定单元,确定所检测到的每个私有数据对应的处理节点以及时间戳和/或上下游数据;
权重确定单元,基于所确定的处理节点对应的私有数据,确定该处理节点的权重;以及
泄漏通道确定单元,基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重的处理节点构成的泄漏通道。
10.如权利要求9所述的装置,还包括:
系统源码扫描单元,对所述待检测系统的源码进行扫描,以得到所述待检测系统包括的处理节点,以及所得到的各个处理节点的连接关系;以及,
节点代码扫描单元,对所得到的各个处理节点对应的代码进行扫描,以确定该各个处理节点的处理规则。
11.如权利要求10所述的装置,所述数据检测单元:
在所得到的处理节点中的关键处理节点处,检测携带所述标记的私有数据,其中,所述关键处理节点是基于由所得到的各个处理节点以及所述连接关系构成的网络图得到的。
12.如权利要求11所述的装置,所述权重确定单元:
针对所得到的处理节点中的各个关键处理节点,统计流经该关键处理节点的私有数据的数量;以及
基于所统计的数量确定该关键处理节点的权重。
13.如权利要求10所述的装置,还包括:
风险程度确定单元,基于扫描所确定的处理规则,确定针对处理节点的第一数据泄漏风险程度,以及针对连接关系的第二数据泄漏风险程度;以及
所述泄漏通道确定单元:
基于所确定的私有数据的时间戳和/或上下游数据,确定由具有权重和第一数据泄漏风险程度的处理节点以及具有第二数据泄漏风险程度的连接关系构成的泄漏通道。
14.如权利要求9所述的装置,所述泄漏通道确定单元:
基于所确定的私有数据的时间戳和/或上下游数据,构建以具有权重的处理节点作为节点的泄漏通道网络图。
15.一种电子设备,包括:
至少一个处理器,以及
与所述至少一个处理器耦合的存储器,所述存储器存储指令,当所述指令被所述至少一个处理器执行时,使得所述至少一个处理器执行如权利要求1到8中任一所述的方法。
16.一种机器可读存储介质,其存储有可执行指令,所述指令当被执行时使得所述机器执行如权利要求1到8中任一所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911264395.5A CN111027096B (zh) | 2019-12-11 | 2019-12-11 | 用于检测针对私有数据的泄漏通道的方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911264395.5A CN111027096B (zh) | 2019-12-11 | 2019-12-11 | 用于检测针对私有数据的泄漏通道的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111027096A true CN111027096A (zh) | 2020-04-17 |
| CN111027096B CN111027096B (zh) | 2022-03-11 |
Family
ID=70205660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911264395.5A Active CN111027096B (zh) | 2019-12-11 | 2019-12-11 | 用于检测针对私有数据的泄漏通道的方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111027096B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114006776A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 一种敏感信息泄露检测方法及装置 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090232024A1 (en) * | 2006-06-30 | 2009-09-17 | Panasonic Corporation | Node discovery method for providing optimal path preserving location privacy |
| CN101616151A (zh) * | 2009-07-31 | 2009-12-30 | 中国科学院软件研究所 | 一种自动化的网络攻击特征生成方法 |
| CN103440201A (zh) * | 2013-09-05 | 2013-12-11 | 北京邮电大学 | 动态污点分析装置及其在文件格式逆向解析中的应用 |
| CN103716287A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种信息泄露路径分析方法和装置 |
-
2019
- 2019-12-11 CN CN201911264395.5A patent/CN111027096B/zh active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090232024A1 (en) * | 2006-06-30 | 2009-09-17 | Panasonic Corporation | Node discovery method for providing optimal path preserving location privacy |
| CN101616151A (zh) * | 2009-07-31 | 2009-12-30 | 中国科学院软件研究所 | 一种自动化的网络攻击特征生成方法 |
| CN103716287A (zh) * | 2012-09-29 | 2014-04-09 | 西门子公司 | 一种信息泄露路径分析方法和装置 |
| CN103440201A (zh) * | 2013-09-05 | 2013-12-11 | 北京邮电大学 | 动态污点分析装置及其在文件格式逆向解析中的应用 |
Non-Patent Citations (1)
| Title |
|---|
| 张佳程等: "大数据环境下的本地差分隐私图信息收集方法", 《信息网络安全》 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114006776A (zh) * | 2021-12-31 | 2022-02-01 | 北京微步在线科技有限公司 | 一种敏感信息泄露检测方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111027096B (zh) | 2022-03-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112217835B (zh) | 报文数据的处理方法、装置、服务器和终端设备 | |
| CN107800678B (zh) | 检测终端异常注册的方法及装置 | |
| CN112800472B (zh) | 一种基于微服务架构工业互联网标识数据保护系统 | |
| CN111368297B (zh) | 隐私保护移动恶意软件检测方法、系统、存储介质及应用 | |
| CN110313147B (zh) | 数据处理方法、装置和系统 | |
| CN112836218B (zh) | 风险识别方法及装置和电子设备 | |
| CN110224808B (zh) | 基于区块链的银行数据共享方法、装置、计算机设备和存储介质 | |
| CN111723943B (zh) | 一种基于多标签的联邦学习方法、装置和系统 | |
| CN111464525B (zh) | 一种会话识别方法、装置、控制设备及存储介质 | |
| Benssalah et al. | Security enhancement of the authenticated RFID security mechanism based on chaotic maps | |
| CN111027096B (zh) | 用于检测针对私有数据的泄漏通道的方法及装置 | |
| CN113709513B (zh) | 设备指纹的处理方法、用户端、服务器、系统及存储介质 | |
| Shuba et al. | Privacy leak classification on mobile devices | |
| CN101588578B (zh) | 一种碰撞攻击检测方法及装置 | |
| CN107770183A (zh) | 一种数据传输方法与装置 | |
| Boggs et al. | Discovery of emergent malicious campaigns in cellular networks | |
| CN107995616A (zh) | 用户行为数据的处理方法以及装置 | |
| CN115344848B (zh) | 标识获取方法、装置、设备及计算机可读存储介质 | |
| Yao et al. | Energy-aware RFID authentication in edge computing | |
| CN111459899B (zh) | 日志共享方法、装置及终端设备 | |
| Bapat et al. | Multilevel secure RFID based object tracking system | |
| CN111431918A (zh) | 一种基于区块链确定目标用户状态标签的方法和系统 | |
| Kurikala et al. | Mobile social networking below side-channel attacks: sensible security challenges | |
| CN114401126B (zh) | 一种接口安全监控方法及装置 | |
| CN117459327B (zh) | 一种云数据透明加密保护方法、系统及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 40028010 Country of ref document: HK |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20220210 Address after: 311121 room 593, floor 5, building 3, No. 969, Wenyi West Road, Wuchang Street, Yuhang District, Hangzhou, Zhejiang Province Applicant after: Hangzhou ant Juhui Network Technology Co.,Ltd. Address before: 310000 801-11 section B, 8th floor, 556 Xixi Road, Xihu District, Hangzhou City, Zhejiang Province Applicant before: Alipay (Hangzhou) Information Technology Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |