CN115879166A - 数据识别方法、装置、电子设备以及存储介质 - Google Patents

数据识别方法、装置、电子设备以及存储介质 Download PDF

Info

Publication number
CN115879166A
CN115879166A CN202211059553.5A CN202211059553A CN115879166A CN 115879166 A CN115879166 A CN 115879166A CN 202211059553 A CN202211059553 A CN 202211059553A CN 115879166 A CN115879166 A CN 115879166A
Authority
CN
China
Prior art keywords
data
identified
sub
feature
determining
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211059553.5A
Other languages
English (en)
Inventor
程浩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Baidu Netcom Science and Technology Co Ltd
Original Assignee
Beijing Baidu Netcom Science and Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Baidu Netcom Science and Technology Co Ltd filed Critical Beijing Baidu Netcom Science and Technology Co Ltd
Priority to CN202211059553.5A priority Critical patent/CN115879166A/zh
Publication of CN115879166A publication Critical patent/CN115879166A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开提供了数据识别方法、装置、电子设备、存储介质以及程序产品,涉及计算机技术领域,尤其涉及网络安全技术领域。具体实现方案为:从待识别数据中确定待识别特征,待识别特征包括与加密协议相关的特征;以及基于待识别特征与基准特征,确定待识别数据的识别结果,识别结果用于表征待识别数据是否被篡改,基准特征是从已知识别结果的第一历史数据中提取的、且与加密协议相关的特征。本公开利用与加密协议相关的特征来评判待识别数据,可以提升网络通讯的安全性,进而有效对抗恶意篡改与加密协议相关的数据的行为。

Description

数据识别方法、装置、电子设备以及存储介质
技术领域
本公开涉及计算机技术领域,尤其涉及网络安全技术领域,具体涉及数据识别方法、装置、电子设备、存储介质以及程序产品。
背景技术
随着信息技术的发展,互联网信息的开放性、互联性等特点也日渐凸显,进而使得网络安全尤为重要。从涉及范围方面考虑,网络安全可以包括硬件结构的安全和操作程序的安全等。从特点方面考虑,网络安全需要保证信息的保密性、完整性、可用性以及抗攻击性等。如何提高网络安全,成为一个研究重点。
发明内容
本公开提供了一种数据识别方法、装置、电子设备、存储介质以及程序产品。
根据本公开的一方面,提供了一种数据识别方法,包括:从待识别数据中确定待识别特征,其中,上述待识别特征包括与加密协议相关的特征;以及基于上述待识别特征与基准特征,确定上述待识别数据的识别结果,其中,上述识别结果用于表征上述待识别数据是否被篡改,上述基准特征是从已知识别结果的第一历史数据中提取的、且与上述加密协议相关的特征。
根据本公开的另一方面,提供了一种数据识别装置,包括:第一确定模块,用于从待识别数据中确定待识别特征,其中,上述待识别特征包括与加密协议相关的特征;以及第二确定模块,用于基于上述待识别特征与基准特征,确定上述待识别数据的识别结果,其中,上述识别结果用于表征上述待识别数据是否被篡改,上述基准特征是从已知识别结果的第一历史数据中提取的、且与上述加密协议相关的特征。
根据本公开的另一方面,提供了一种电子设备,包括:至少一个处理器;以及与上述至少一个处理器通信连接的存储器;其中,上述存储器存储有可被上述至少一个处理器执行的指令,上述指令被上述至少一个处理器执行,以使上述至少一个处理器能够执行如本公开的方法。
根据本公开的另一方面,提供了一种存储有计算机指令的非瞬时计算机可读存储介质,其中,上述计算机指令用于使上述计算机执行如本公开的方法。
根据本公开的另一方面,提供了一种计算机程序产品,包括计算机程序,上述计算机程序在被处理器执行时实现如本公开的方法。
应当理解,本部分所描述的内容并非旨在标识本公开的实施例的关键或重要特征,也不用于限制本公开的范围。本公开的其它特征将通过以下的说明书而变得容易理解。
附图说明
附图用于更好地理解本方案,不构成对本公开的限定。其中:
图1示意性示出了根据本公开实施例的可以应用数据识别方法及装置的示例性系统架构;
图2示意性示出了根据本公开实施例的数据识别方法的流程图;
图3示意性示出了根据本公开实施例的数据识别方法的信令图;
图4示意性示出了根据本公开实施例的确定识别结果的流程示意图;
图5示意性示出了根据本公开另一实施例的数据识别方法的流程图;
图6示意性示出了根据本公开实施例的数据识别装置的框图;以及
图7示意性示出了根据本公开实施例的适于实现数据识别方法的电子设备的框图。
具体实施方式
以下结合附图对本公开的示范性实施例做出说明,其中包括本公开实施例的各种细节以助于理解,应当将它们认为仅仅是示范性的。因此,本领域普通技术人员应当认识到,可以对这里描述的实施例做出各种改变和修改,而不会背离本公开的范围和精神。同样,为了清楚和简明,以下的描述中省略了对公知功能和结构的描述。
本公开提供了一种数据识别方法、装置、电子设备、存储介质以及程序产品。
根据本公开的实施例,提供了一种数据识别方法,包括:从待识别数据中确定待识别特征,其中,待识别特征包括与加密协议相关的特征;以及基于待识别特征与基准特征,确定待识别数据的识别结果,其中,识别结果用于表征待识别数据是否被篡改,基准特征是从已知识别结果的第一历史数据中提取的、且与加密协议相关的特征。
在本公开的技术方案中,所涉及的用户个人信息的收集、存储、使用、加工、传输、提供、公开和应用等处理,均符合相关法律法规的规定,采取了必要保密措施,且不违背公序良俗。
在本公开的技术方案中,在获取或采集用户个人信息之前,均获取了用户的授权或同意。
图1示意性示出了根据本公开实施例的可以应用数据识别方法及装置的示例性系统架构。
需要注意的是,图1所示仅为可以应用本公开实施例的系统架构的示例,以帮助本领域技术人员理解本公开的技术内容,但并不意味着本公开实施例不可以用于其他设备、系统、环境或场景。例如,在另一实施例中,可以应用数据识别方法及装置的示例性系统架构可以包括终端设备,但终端设备可以无需与服务器进行交互,即可实现本公开实施例提供的数据识别方法及装置。
如图1所示,根据该实施例的系统架构100可以包括终端设备101、应用服务器102和检测服务器103。可以在终端设备101和应用服务器102之间、以及应用服务器102和检测服务器103之间分别提供网络。网络,作为通信链路的介质,可以包括各种连接类型,例如有线和/或无线通信链路等等。
用户可以使用终端设备101通过网络与应用服务器102交互,以接收或发送消息等。终端设备101发送的消息例如网络请求可以为用于建立加密通信连接的请求。以便应用服务器102响应于该网络请求,与终端设备101建立加密通信连接。终端设备101上可以安装有各种通讯客户端应用,例如知识阅读类应用、网页浏览器应用、搜索类应用、即时通信工具、邮箱客户端和/或社交平台软件等(仅为示例)。
终端设备101可以是具有显示屏并且支持网页浏览的各种电子设备,包括但不限于智能手机、平板电脑、膝上型便携计算机和台式计算机等等。
应用服务器102可以是提供各种服务的服务器,例如对用户利用终端设备101所浏览的内容提供支持的后台管理服务器(仅为示例)。
检测服务器103可以是提供网络安全检测的服务器,检测服务器103可以接收应用服务器102发送的网络请求,确定网络请求是否为异常请求,例如网络请求中的待识别数据是否已被篡改,在确定待识别数据已被篡改的情况下,确定网络请求为异常请求,在确定待识别数据未被篡改的情况下,确定网络请求为正常请求。检测服务器103可以将识别结果发送给应用服务器102,以便应用服务器102基于识别结果对终端设备101进行反馈。例如,在识别结果表征待识别数据为未被篡改的正常数据的情况下,应用服务器102可以与终端设备101建立加密通信连接。
需要说明的是,本公开实施例所提供的数据识别方法一般也可以由检测服务器103执行。相应地,本公开实施例所提供的数据识别装置一般可以设置于服务器103中。本公开实施例所提供的数据识别方法也可以由不同于服务器103且能够与服务器103通信的服务器或服务器集群执行。相应地,本公开实施例所提供的数据识别装置也可以设置于不同于服务器103且能够与服务器103通信的服务器或服务器集群中。
应该理解,图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要,可以具有任意数目的终端设备、网络和服务器。
应注意,以下方法中各个操作的序号仅作为该操作的表示以便描述,而不应被看作表示该各个操作的执行顺序。除非明确指出,否则该方法不需要完全按照所示顺序来执行。
图2示意性示出了根据本公开实施例的数据识别方法的流程图。
如图2所示,该方法包括操作S210~S220。
在操作S210,从待识别数据中确定待识别特征。待识别特征包括与加密协议相关的特征。
在操作S220,基于待识别特征与基准特征,确定待识别数据的识别结果。识别结果用于表征待识别数据是否被篡改,基准特征是从已知识别结果的第一历史数据中提取的、且与加密协议相关的特征。
根据本公开的实施例,数据识别方法可以应用于终端设备与应用服务器之间通过网络进行安全地通信连接的场景中。待识别数据可以包括与加密协议相关的数据,加密协议为用于为网络通讯提供安全支持的协议。但是并不局限于此,待识别数据还可以包括身份验证数据等其他用于为网络通讯提供安全支持的数据。
根据本公开的实施例,可以从待识别数据中确定待识别特征。待识别特征包括与加密协议相关的特征。待识别特征可以用于反映待识别数据的特点。
根据本公开的实施例,可以收集第一历史数据。第一历史数据为已知识别结果的历史数据。第一历史数据的识别结果可以用于表征第一历史数据为被篡改的异常数据,但是并不局限于此,第一历史数据的识别结果还可以用于表征第一历史数据为未被篡改的正常数据。
根据本公开的实施例,从第一历史数据中提取与加密协议相关的特征,作为基准特征。基准特征是从第一历史数据中提取得到的特征,用于反映第一历史数据的特点。可以通过对基准特征和待识别特征进行比对,确定基准特征和待识别特征之间的关系,进而确定待识别数据与第一历史数据之间的关系。第一历史数据的数据量不做限定,但是数据量越大,所提取得到的基准特征越具有代表性和准确性。
根据本公开的实施例,基于待识别特征与基准特征,确定待识别数据的识别结果,可以包括:对基准特征和待识别特征进行相似度匹配,得到相似度匹配结果。在确定相似度匹配结果大于预定相似度阈值的情况下,则确定待识别数据的识别结果与第一历史数据的识别结果相同。在确定相似度匹配结果小于或者等于预定相似度阈值的情况下,则确定待识别数据的识别结果与第一历史数据的识别结果不同。基于待识别特征与基准特征,确定待识别数据的识别结果的方法并不局限于此,只要是基于待识别特征和基准特征,能够确定待识别数据的识别结果与第一历史数据的识别结果是否一致的方法即可。
根据本公开的实施例,利用基准特征作为待识别特征的比对标准,可以简单、有效地确定待识别数据的识别结果。与此同时,利用与加密协议相关的特征来评判待识别数据,可以提升网络通讯的安全性,进而有效对抗恶意篡改与加密协议相关的数据的行为。
根据本公开的实施例,在执行如图2所示的操作S210,从待识别数据中确定待识别特征之前,数据识别方法还可以包括如下操作。
例如,接收网络请求。对初始待识别数据进行预处理,得到待识别数据。
根据本公开的实施例,网络请求中包括初始待识别数据,初始待识别数据为与加密协议相关的数据。
根据本公开的实施例,加密协议可以为用于在终端设备和应用服务器之间提供安全传输数据的网络安全协议。例如,加密协议包括TLS(Transport Layer Security,安全传输层协议)加密协议、SSL(Secure Sockets Layer,安全套接层)加密协议中的一种或多种。
根据本公开的实施例,网络请求可以是在终端设备与应用服务器之间进行协商会话过程中,由终端设备向应用服务器发送的用于建立以加密协议为基准的加密通信连接的请求。例如,在终端设备与应用服务器之间的TLS握手阶段,由终端设备向应用服务器发送的用于完成加密通信连接的网络请求,该网络请求中包括Client Hello(客户端会话)请求数据包。该请求数据包可以作为初始待识别数据。
根据本公开的可选实施例,与加密协议相关的数据可以包括:加密协议中的指纹数据,但是并不局限于此,与加密协议相关的数据还可以包括:与设备环境相关的数据。与加密协议相关的数据也可以包括:与业务相关的数据。
根据本公开的实施例,加密协议中的指纹数据可以包括:TLS Version协议版本、Ciphers加密套件、Extensions扩展列表、Elliptic Curves椭圆算法的字段、EllipticCurve Point Formats椭圆标准中的一项或多项。
以终端设备的JA3 TLS指纹数据为例,加密协议中的指纹数据包括TLS Version协议版本、Ciphers加密套件、Extensions扩展列表、Elliptic Curves椭圆算法的字段和Elliptic Curve Point Formats椭圆标准。
根据本公开的实施例,与设备环境相关的数据可以包括以下至少一项:设备终端的IP地址、应用服务器的IP地址、用户身份标识数据、设备终端的设备标识数据、应用服务器的设备标识数据。
根据本公开的实施例,与业务相关的数据可以包括以下至少一项:验证码、验证码是否被通过的历史记录、验证码输入时长。
根据本公开的实施例,对初始待识别数据进行预处理可以包括:对初始待识别数据进行数据清洗,例如去除与初始待识别数据的格式不同的脏数据或者去除空数据等。
根据本公开的实施例,对初始待识别数据进行预处理,得到待识别数据,能够将初始待识别数据中的噪音数据去除,简化对待识别数据的处理,提高处理效率以及提高确定识别结果的精度。
图3示意性示出了根据本公开实施例的数据识别方法的信令图。
如图3所示,数据识别方法可以包括操作S310~S360。
在操作S310,由终端设备向应用服务器发送网络请求。
在操作S320,应用服务器将网络请求发送至检测服务器。
在操作S330,检测服务器对网络请求执行数据识别方法,确定网络请求中的待识别数据的识别结果。
在操作S340,检测服务器将识别结果发送至应用服务器。
在操作S350,确定待识别结果是否表征待识别数据为被篡改的数据。在确定识别结果用于表征待识别数据为被篡改的数据的情况下,停止操作。在确定待识别结果用于表征待识别数据未被篡改的情况下,执行操作S360。
在操作S360,向终端设备发送反馈消息,以建立终端设备与应用服务器之间的加密通信连接。
根据本公开的实施例,需要说明的是,可以设置检测服务器,用于执行数据识别方法,但是并不局限于此,还可以在应用服务器上设置检测模块,用于执行数据识别方法。
根据本公开的实施例,将数据识别方法应用于终端设备与应用服务器之间的握手阶段,可以提高加密通信连接的安全性。针对网络上的对加密协议中的指纹数据进行攻击、篡改等行为,能够有效且快速地从待识别数据中甄别出,由此提高网络通信的安全性。
根据本公开的实施例,待识别特征包括多个待识别子特征。基准特征可以包括多个基准子特征。待识别子特征的数目与基准子特征的数目可以相同,基准子特征的数目也可以大于待识别子特征的数目。
根据本公开的实施例,在待识别特征包括多个待识别子特征的情况下,针对如图2所示的操作S220,基于待识别特征与基准特征,确定待识别数据的识别结果,可以包括下述操作。
例如,针对多个待识别子特征中的每个待识别子特征,从多个基准子特征中确定与待识别子特征的特征类型相匹配的目标基准子特征。基于待识别子特征和目标基准子特征,确定待识别数据的识别子结果。基于多个识别子结果,确定待识别数据的识别结果。多个识别子结果与多个待识别子特征一一对应。
根据本公开的实施例,针对每个待识别子特征,可以从多个基准子特征中确定与待识别子特征的特征类型相匹配的目标基准子特征。基于待识别子特征与目标基准子特征来确定待识别数据的识别子结果,可以使得识别子结果精准、有效。待识别特征中的待识别子特征的数目越多,最终确定的待识别数据的识别结果越精准。多个待识别子特征彼此之间的特征类型不同,特征类型的数目越多,所涉及的特征范围越广,所考虑的因素越多,进而确定的待识别数据的识别结果越精准。
根据本公开的实施例,基于多个识别子结果,确定待识别数据的识别结果可以包括:加权求和多个识别子结果,得到待识别数据的识别结果。例如,多个识别子结果包括识别子结果A、识别子结果B和识别子结果C。预先为每个识别子结果配置权重,例如识别子结果A的权重Wa、识别子结果B的权重Wb和识别子结果C的权重Wc。识别结果=识别子结果A*权重Wa+识别子结果B*权重Wb+识别子结果C*权重Wc。
根据本公开的实施例,可以用置信度来表征识别子结果,置信度可以为数值。例如,将0-1或者0-100之间的数值作为置信度。可以预先规定,置信度越高,识别子结果用于表征待识别数据被篡改的可能性越大。
根据本公开的实施例,用置信度来表征待识别子特征的识别子结果,能够将识别子结果量化,进而有利于基于多个识别子结果,确定待识别数据的识别结果。
根据本公开的其他实施例,基于多个识别子结果,确定待识别数据的识别结果还可以包括:按照由高到低的顺序对多个识别子结果进行排序,得到排序结果。基于排序结果,从多个识别子结果中确定目标识别子结果,将目标识别子结果作为待识别数据的识别结果。目标识别子结果可以为数值最高的识别子结果,但是并不局限于此,目标识别子结果还可以为数值最低的识别子结果。可以根据实际情况自行确定。
图4示意性示出了根据本公开实施例的确定识别结果的流程示意图。
如图4所示,以待识别子特征包括两个为例。从待识别数据410中确定多个待识别子特征,例如第一待识别子特征420和第二待识别子特征430。针对多个待识别子特征中的每个待识别子特征,从存储有多个基准子特征的基准特征数据库中确定与待识别子特征的特征类型相匹配的目标基准子特征。基准特征数据库中的基准特征可以是从第一历史数据中提取得到的,预先存储至基准特征数据库中的特征。可以从基准特征数据库中确定与第一待识别子特征420相匹配的第一目标基准子特征440,与第二待识别子特征430相匹配的第二目标基准子特征450。基于第一待识别子特征420和第一目标基准子特征440,确定待识别数据410的第一识别子结果460。基于第二待识别子特征430和第二目标基准子特征450,确定待识别数据410的第二识别子结果470。基于第一识别子结果460和第二识别子结果470,确定待识别数据410的识别结果480。
根据本公开的实施例,可以基于待识别子特征的生成类别,将待识别子特征划分为源数据和总结数据。例如,源数据为与加密协议相关的数据的部分数据,总结数据为从与加密协议相关的数据中确定的共性数据。
根据本公开的实施例,可以基于待识别子特征的特征类型,将待识别子特征划分为与加密协议中的指纹数据相关的特征、与设备环境信息相关的特征和与业务信息相关的特征。
根据本公开的实施例,待识别子特征可以包括与加密协议中的指纹数据相关的特征。例如,待识别子特征包括以下至少一项:加密协议的协议版本、加密协议的目标字段序列、加密协议的字符串长度。
根据本公开的实施例,加密协议的目标字段序列包括加密套件字段的字符串序列和/或扩展列表字段的字符串序列。加密协议的字符串长度可以包括协议版本字段、加密套件字段以及扩展列表字段的字符串长度,但是并不局限于此,还可以指指纹数据中的所有原始字段的字符串长度。例如,协议版本字段、加密套件字段、椭圆算法字段、椭圆标准字段以及扩展列表字段的字符串长度。
根据本公开的实施例,从加密协议中的指纹数据中确定待识别子特征,能够实现对待识别数据中的加密协议的指纹数据是否被攻击、是否被篡改进行识别。此外,根据指纹数据中的多个字段,确定多个待识别子特征,由此能够利用不同类别的多个待识别子特征,从不同程度、不同角度来对指纹数据是否被篡改、是否被攻击进行识别。
根据本公开的实施例,与设备环境信息相关的待识别子特征可以包括以下至少一项:设备终端的IP地址、应用服务器的IP地址、用户身份标识信息、设备终端的设备标识信息、应用服务器的设备标识信息。
根据本公开的实施例,与业务信息相关的待识别子特征可以包括以下至少一项:验证码、验证码是否被通过的历史记录、验证码输入时长。
根据本公开的实施例,除与加密协议中的指纹数据相关的特征以及与加密协议中的地址信息相关的特征外,待识别子特征还可以包括与业务信息相关的特征或者与设备环境信息相关的特征。待识别子特征的种类越多,确定的识别子结果越精准,识别子结果越具有参考价值。
根据本公开的实施例,多个待识别子特征各自的特征类型不同,基于待识别子特征和目标基准子特征来确定待识别数据的识别子结果的方式也不同。可以针对待识别子特征的特征类型,预先为待识别子特征配置目标识别规则,以使得识别子结果的确定精准且有效。
根据本公开的实施例,基于待识别子特征和目标基准子特征,确定待识别数据的识别子结果,可以包括如下操作。
例如,从预定的多个识别规则中确定与待识别子特征的特征类型相匹配的目标识别规则。基于待识别子特征和目标基准子特征,确定待识别子特征是否满足目标识别规则。在确定待识别子特征满足目标识别规则的情况下,确定待识别数据的识别子结果表征待识别数据为被篡改的数据。
根据本公开的实施例,多个待识别子特征各自的特征类型彼此之间不同,多个待识别子特征各自的识别规则彼此之间也不同。可以配置识别规则和特征类型之间的映射关系,多个特征类型与多个识别规则可以为一一对应的关系。基于待识别子特征的特征类型,从识别规则和特征类型之间的映射关系中确定与待识别子特征相匹配的目标识别规则。
根据本公开的实施例,在确定待识别子特征满足目标识别规则的情况下,确定待识别数据的识别子结果表征待识别数据为被篡改的数据。在确定待识别子特征不满足目标识别规则的情况下,确定待识别数据的识别子结果表征待识别数据为未被篡改的数据。
根据本公开的实施例,根据待识别子特征的特征类型,确定与待识别子特征相匹配的目标识别规则,通过确定待识别子特征与基准子特征之间是否满足目标识别规则,确定待识别数据的识别子结果,可以使得确定识别子结果的方式具有基准性和可评判性。
根据本公开的实施例,识别规则可以为预先设置的规则。基于待识别子特征和目标基准子特征,确定待识别子特征是否满足目标识别规则,可以包括如下操作。
例如,确定待识别子特征和目标基准子特征之间的目标关联关系。基于目标关联关系和预定关联关系,确定待识别子特征是否满足目标识别规则。
根据本公开的实施例,目标关联关系可以指:待识别子特征和目标基准子特征之间是否相同。但是并不局限于此。目标关联关系还可以指:待识别子特征和目标基准子特征之间的相似度结果是否大于预定相似度阈值。目标关联关系还可以指:待识别子特征是否属于目标基准子特征的一部分,或者待识别子特征是否包括目标基准子特征。目标关联关系只要是能够体现待识别子特征和目标基准子特征之间的关联关系即可。
根据本公开的实施例,预定关联关系为与目标关联关系类型一致的关联关系。
根据本公开的实施例,以待识别子特征包括加密协议的协议版本为例。与加密协议的协议版本相匹配的目标识别规则包括:在确定目标关联关系为待识别子特征与目标基准子特征之间不同,且预定关联关系为待识别子特征与目标基准子特征不同的情况下,确定待识别子特征满足目标识别规则。否则,确定待识别子特征不满足目标识别规则。
例如,协议版本为1.2版本的目标基准子特征,对应第一历史数据的识别结果表征第一历史数据为未被篡改的数据。在待识别子特征为协议版本为1.1的情况下,确定待识别子特征与目标基准子特征之间的目标关联关系为不同,目标关联关系与预定关联关系相同。则确定待识别子特征满足目标识别规则。确定识别子结果用于表征待识别数据为被篡改的数据。
根据本公开的实施例,以待识别子特征包括加密协议的目标字段为例。与加密协议的目标字段相匹配的目标识别规则包括:在确定目标关联关系为待识别子特征与目标基准子特征相同,且预定关联关系为待识别子特征与目标基准子特征相同的情况下,确定待识别子特征满足目标识别规则。否则,确定待识别子特征不满足目标识别规则。
例如,加密协议的目标字段例如加密套件的目标字段序列AAAA或者扩展列表的目标字段序列BBBB为目标基准子特征,对应第一历史数据的识别结果表征第一历史数据为被篡改的数据。在待识别子特征为加密套件的目标字段序列AAAA或者扩展列表的目标字段序列BBBB的情况下,确定待识别子特征与目标基准子特征之间的目标关联关系为相同,目标关联关系与预定关联关系相同。则确定待识别子特征满足目标识别规则。确定识别子结果用于表征待识别数据为被篡改的数据。
根据本公开的实施例,以待识别子特征包括加密协议中的指纹数据的字符串长度为例。与加密协议中的指纹数据的字符串长度相匹配的目标识别规则包括:在确定目标关联关系为待识别子特征与目标基准子特征相同,且预定关联关系为待识别子特征与目标基准子特征相同的情况下,确定待识别子特征满足目标识别规则,否则,确定待识别子特征不满足目标识别规则。
例如,加密协议中的指纹数据的字符串长度300的目标基准子特征,对应第一历史数据的识别结果表征第一历史数据为被篡改的数据。在待识别子特征为加密协议中的指纹数据的字符串长度300的情况下,确定待识别子特征与目标基准子特征之间的目标关联关系为相同,目标关联关系与预定关联关系相同。则确定待识别子特征满足目标识别规则。确定识别子结果用于表征待识别数据为被篡改的数据。
根据本公开的实施例,目标识别规则中的目标关联关系以及预定关联关系,可以根据目标基准子特征来进行匹配,进而设定为与实际更为贴合的容易判别的规则,使得确定识别子结果的方式灵活且易于实现。
根据本公开的实施例,可以收集海量的网络流量,将已确定识别结果的数据作为第一历史数据。第一历史数据的数据量越多,提取得到的待识别子特征越具有代表性。基准子特征的特征类型可以与待识别子特征的特征类型相同。基准子特征的确定方式可以与待识别子特征的确定方式类似。
例如,可以直接将第一历史数据中的与加密协议相关的数据的部分数据作为基准子特征。例如从第一历史数据中提取与加密协议相关的数据例如加密协议中的目标字段作为基准子特征。还可以从多个第一历史数据中提取与加密协议相关的数据,对与加密协议相关的数据进行处理,得到处理后的数据。将处理后的数据作为基准子特征。也可以从第一历史数据中的与加密协议相关的数据中确定共性数据,将共性数据作为基准子特征。例如,从加密协议中的与设备环境信息相关的数据中确定指标数据。基于指标数据,确定一个与加密协议中的指纹数据相关的数据,作为基准子特征。
根据本公开的实施例,以基准子特征包括加密协议中的指纹数据的字符串长度为例。数据识别方法还可以包括如下确定基准子特征的方式。
例如,获取预定历史时段内的第一历史数据。从第一历史数据中确定与设备环境信息相关的数据。基于与设备环境信息相关的数据,确定指标数据。基于指标数据和预定指标阈值,从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征。
根据本公开的实施例,第一历史数据的识别结果可以用于表征第一历史数据被篡改。可以从第一历史数据中确定与设备环境信息相关的数据。与设备环境信息相关的数据可以包括以下至少一项:设备终端的IP地址、应用服务器的IP地址、用户身份标识信息、设备终端的设备标识信息、应用服务器的设备标识信息。
根据本公开的实施例,在第一历史数据的数据量足够大的情况下,可以基于第一历史数据中的与设备环境信息相关的数据,确定指标数据。该指标数据可以用于间接指示识别结果与基准特征之间的映射关系。
根据本公开的实施例,指标数据可以包括IP地址的携带率、标识信息的合法率、是否登录、登录时长、浏览量中的一种或多种。
根据本公开的实施例,IP地址的携带率可以包括设备终端的IP地址的携带率、应用服务器的IP地址的携带率中的一种或多种。标识信息的合法率可以包括用户身份标识信息的合法率、设备终端的设备标识信息的合法率、应用服务器的设备标识信息的合法率中的一种或多种。是否登录可以包括采用用户身份标识信息是否登录。登录时长可以指在采用用户身份标识信息登录的情况下,登录时长。浏览量可以指应用服务器的IP地址的浏览量。
根据本公开的其他实施例,在指标数据包括多个指标子数据,每个指标子数据可以包括例如IP地址的携带率、标识信息的合法率、是否登录、登录时长、浏览量中的一个。可以针对每个指标子数据,确定与指标子数据相匹配的目标预定指标子阈值。基于指标子数据和目标预定子阈值,确定匹配结果,得到多个匹配结果,多个匹配结果与多个指标子数据一一对应。加权求和多个匹配结果,确定目标匹配结果。基于目标匹配结果,从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征。但是并不局限于此。还可以加权求和多个指标子数据,得到指标数据。以便基于指标数据与预定指标阈值,从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征。
根据本公开的实施例,从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征可以包括:对指标数据与预定指标阈值进行比较,在确定指标数据小于预定指标阈值的情况下,则从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征。
例如,在确定指标数据大于或者等于预定指标阈值的情况下,说明第一历史数据中的加密协议的指纹数据为未被篡改的数据,该目标字符串长度为200,可以不作为基准子特征。在确定指标数据小于预定指标阈值的情况下,说明第一历史数据中的加密协议的指纹数据为被篡改的数据,该目标字符串长度为300,可以将目标字符串长度为300的数据作为基准子特征。
根据本公开的实施例,需要说明的是,第一历史数据是具有时效性的,采集第一历史数据时,可利用预定历史时段进行筛选。预定历史时段可以为距离当前时刻的前一个月时长内的历史数据。利用预定历史时段不仅可以使得采集的第一历史数据具有代表性,还可以基于预定历史时段来更新第一历史数据,以使得基准子特征为具有时效性的特征。
根据本公开的实施例,通过第一历史数据中的指标数据来确定与识别结果相关的基准子特征,可以使得确定的基准子特征具有代表性,为识别待识别数据的是否被篡改提供基础。
根据本公开的实施例,数据识别方法还可以包括:获取在预定历史时段内收集的历史数据集合。在确定历史数据集合中存在与待识别数据相匹配的目标第二历史数据的情况下,基于目标第二历史数据的识别结果,更新待识别数据的识别结果。
根据本公开的实施例,历史数据集合中的每个第二历史数据为已知识别结果的数据,第二历史数据包括与基准特征相同的特征,且第二历史数据的识别结果与第一历史数据的识别结果不同。
根据本公开的实施例,第二历史数据中存在的与加密协议相关的特征与基准特征相同,但是第二历史数据的识别结果与第一历史数据的识别结果不同。例如,从第二历史数据中提取得到与加密协议相关的特征,该特征与基准特征相同。参照基准特征,可以确定第二历史数据的识别结果与第一历史数据的识别结果相同。第一历史数据的识别结果用于表征第一历史数据为被篡改的异常数据。而实际情况为第二历史数据为正常数据,即未被篡改的正常数据。
根据本公开的实施例,在基于基准数据,已经确定待识别数据的识别结果的情况下,可以将待识别数据与历史数据集合中的数据进行比对,从历史数据集合中确定与待识别数据相匹配的目标第二历史数据。在确定历史数据集合中存在与待识别数据相匹配的目标第二历史数据的情况下,可以利用目标第二历史数据的识别结果,更新待识别数据的识别结果。例如,基于基准特征,确定待识别数据的识别结果为第一识别结果,用于表征待识别数据为被篡改的数据。基于目标第二历史数据,确定待识别数据的识别结果为第二识别结果,用于表征待识别数据为未被篡改的数据。可以利用第二识别结果更新第一识别结果。例如可以从第一识别结果和第二识别结果中确定第二识别结果作为最终的目标识别结果。
根据本公开的实施例,利用预先收集的历史数据集合中的第二历史数据,可以根据实际情况,将不符合预定识别规则的待识别数据进行二次归类,避免利用基准特征确定待识别数据的识别结果而导致的识别错误的问题,最终实现将未被篡改的待识别数据进行准确识别。
根据本公开的实施例,在执行在确定历史数据集合中存在与待识别数据相匹配的目标第二历史数据的情况下,基于目标第二历史数据的识别结果,更新待识别数据的识别结果的操作之前,数据识别方法可以包括如下操作。
例如,对待识别数据进行预定算法转换,得到转换后的待识别数据。基于转换后的待识别数据和历史数据集合中的转换后的多个第二历史数据,确定历史数据集合中是否存在与待识别数据相匹配的目标第二历史数据。转换后的多个第二历史数据分别为通过预定算法转换后的数据。
根据本公开的实施例,预定算法可以指哈希算法。哈希算法可以为单向数学函数,哈希算法可以包括以下至少一项函数:MD2、MD4、MD5。
根据本公开的实施例,可以对待识别数据进行预定算法转换,以及对多个第二历史数据进行预定算法转换,使得用于确定待识别数据和多个第二历史数据是处于同一格式的。此外,经过预定算法转换后,得到的转换后的待识别数据和转换后的多个第二历史数据的数据量小,易于存储与计算,使得减小第二历史数据的存储空间的同时,提高确定目标第二历史数据的处理效率。
图5示意性示出了根据本公开另一实施例的数据识别方法的流程示意图。
如图5所示,可以从网络请求510中确定初始待识别数据520。对初始待识别数据520进行预处理,得到待识别数据530。从待识别数据530中确定待识别特征540。基于待识别特征540和基准特征550,确定待识别数据的第一识别结果560。将待识别数据530与历史数据集合570中的多个第二历史数据相匹配,确定历史数据集合570中是否存在与待识别数据530相匹配的目标第二历史数据571。在确定历史数据集合570中存在目标第二历史数据571的情况下,将目标第二历史数据571的第二识别结果580,作为待识别数据530的识别结果590。在确定历史数据集合中不存在目标第二历史数据的情况下,将第一识别结果560作为待识别数据530的识别结果590。
根据本公开的实施例,网络请求可以是由终端设备向应用服务器发送的用于建立以加密协议为基准的加密通信连接的请求。初始待识别数据可以是终端设备和应用服务器之间进行TLS协议握手时的client hello数据包中的数据。基于TLS协议,在终端设备和应用服务端之间交换信息的情况下,应用服务器会记录终端设备的协议版本、支持的加密套件和扩展列表等数据,根据这些数据形成指纹数据,例如JA3指纹数据,用以描述设备环境信息或者浏览器信息等。可以对初始待识别数据进行预处理,得到待识别数据。从待识别数据中提取与TLS相关的JA3指纹维度的待识别特征。基于基准特征和待识别特征,确定待识别数据的第一识别结果。并结合收集得到的具有特殊规则的历史数据集合,确定待识别数据是否为特殊的数据。在从历史数据集合中确定目标第二历史数据的情况下,则待识别数据为特殊的数据。例如,因设备升级出现的新的正常的指纹数据。针对该新的正常的指纹数据,利用基准特征评判,将确定为被篡改的数据。在此情况下,可以预先将新的正常的指纹数据划分在历史数据集合中。当出现与新的正常的指纹数据相同的待识别数据的情况下,可以利用第二识别结果来修正第一识别结果,最终确定识别结果。避免单一利用基准特征确定错误的第一识别结果,并将错误的第一识别结果作为识别结果的问题。
利用本公开实施例提供的数据识别方法,可以在异常的设备环境中,例如JA3指纹支持的加密套件或者扩展列表被篡改的情况下,可以有效识别被篡改的数据,提高网络通信连接的安全性。
图6示意性示出了根据本公开实施例的数据识别装置的框图。
如图6所示,数据识别装置600包括:第一确定模块610和第二确定模块620。
第一确定模块610,用于从待识别数据中确定待识别特征,其中,待识别特征包括与加密协议相关的特征。
第二确定模块620,用于基于待识别特征与基准特征,确定待识别数据的识别结果,其中,识别结果用于表征待识别数据是否被篡改,基准特征是从已知识别结果的第一历史数据中提取的、且与加密协议相关的特征。
根据本公开的实施例,待识别特征包括多个待识别子特征,基准特征包括多个基准子特征。
根据本公开的实施例,第二确定模块包括:第一确定子模块、第二确定子模块、第三确定子模块。
第一确定子模块,用于针对多个待识别子特征中的每个待识别子特征,从多个基准子特征中确定与待识别子特征的特征类型相匹配的目标基准子特征。
第二确定子模块,用于基于待识别子特征和目标基准子特征,确定待识别数据的识别子结果。
第三确定子模块,用于基于多个识别子结果,确定待识别数据的识别结果,其中,多个识别子结果与多个待识别子特征一一对应。
根据本公开的实施例,数据识别装置还包括:第一获取模块和更新模块。
第一获取模块,用于获取在预定历史时段内收集的历史数据集合,其中,历史数据集合中的每个第二历史数据为已知识别结果的数据,第二历史数据包括与基准特征相同的特征,且第二历史数据的识别结果与第一历史数据的识别结果不同。
更新模块,用于在确定历史数据集合中存在与待识别数据相匹配的目标第二历史数据的情况下,基于目标第二历史数据的识别结果,更新待识别数据的识别结果。
根据本公开的实施例,第二确定子模块包括:第一确定单元、第二确定单元和第三确定单元。
第一确定单元,用于从预定的多个识别规则中确定与待识别子特征的特征类型相匹配的目标识别规则。
第二确定单元,用于基于待识别子特征和目标基准子特征,确定待识别子特征是否满足目标识别规则。
第三确定单元,用于在确定待识别子特征满足目标识别规则的情况下,确定待识别数据的识别子结果表征待识别数据为被篡改的数据。
根据本公开的实施例,第二确定单元包括:第一确定子单元和第二确定子单元。
第一确定子单元,用于确定待识别子特征和目标基准子特征之间的目标关联关系。
第二确定子单元,用于基于目标关联关系和预定关联关系,确定待识别子特征是否满足目标识别规则。
根据本公开的实施例,基准子特征包括加密协议中的指纹数据的字符串长度。
根据本公开的实施例,数据识别装置还包括:第二获取模块、第三确定模块、第四确定模块和第五确定模块。
第二获取模块,用于获取预定历史时段内的第一历史数据。
第三确定模块,用于从第一历史数据中确定与设备环境信息相关的数据。
第四确定模块,用于基于与设备环境信息相关的数据,确定指标数据。
第五确定模块,用于基于指标数据和预定指标阈值,从第一历史数据中确定加密协议中的指纹数据的目标字符串长度,作为基准子特征。
根据本公开的实施例,数据识别装置还包括,在所述更新模块之前:转换模块和第六确定模块。
转换模块,用于对待识别数据进行预定算法转换,得到转换后的待识别数据。
第六确定模块,用于基于转换后的待识别数据和历史数据集合中的转换后的多个第二历史数据,确定历史数据集合中是否存在与待识别数据相匹配的目标第二历史数据,其中,转换后的多个第二历史数据分别为通过预定算法转换后的数据。
根据本公开的实施例,数据识别装置还包括,在第一确定模块之前:接收模块和预处理模块。
接收模块,用于接收网络请求,其中,网络请求中包括初始待识别数据,初始待识别数据为与加密协议相关的数据。
预处理模块,用于对初始待识别数据进行预处理,得到待识别数据。
根据本公开的实施例,待识别子特征包括以下至少一项:
加密协议的协议版本、加密协议的目标字段序列、加密协议的字符串长度。
根据本公开的实施例,本公开还提供了一种电子设备、一种可读存储介质和一种计算机程序产品。
根据本公开的实施例,一种电子设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如本公开实施例的方法。
根据本公开的实施例,一种存储有计算机指令的非瞬时计算机可读存储介质,其中,计算机指令用于使计算机执行如本公开实施例的方法。
根据本公开的实施例,一种计算机程序产品,包括计算机程序,计算机程序在被处理器执行时实现如本公开实施例的方法。
图7示出了可以用来实施本公开的实施例的示例电子设备700的示意性框图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本公开的实现。
如图7所示,设备700包括计算单元701,其可以根据存储在只读存储器(ROM)702中的计算机程序或者从存储单元708加载到随机访问存储器(RAM)703中的计算机程序,来执行各种适当的动作和处理。在RAM 703中,还可存储设备700操作所需的各种程序和数据。计算单元701、ROM 702以及RAM 703通过总线704彼此相连。输入/输出(I/O)接口705也连接至总线704。
设备700中的多个部件连接至I/O接口705,包括:输入单元706,例如键盘、鼠标等;输出单元707,例如各种类型的显示器、扬声器等;存储单元708,例如磁盘、光盘等;以及通信单元709,例如网卡、调制解调器、无线通信收发机等。通信单元709允许设备700通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
计算单元701可以是各种具有处理和计算能力的通用和/或专用处理组件。计算单元701的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的计算单元、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。计算单元701执行上文所描述的各个方法和处理,例如数据识别方法。例如,在一些实施例中,数据识别方法可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元708。在一些实施例中,计算机程序的部分或者全部可以经由ROM 702和/或通信单元709而被载入和/或安装到设备700上。当计算机程序加载到RAM 703并由计算单元701执行时,可以执行上文描述的数据识别方法的一个或多个步骤。备选地,在其他实施例中,计算单元701可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行数据识别方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、复杂可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在计算机上实施此处描述的系统和技术,该计算机具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)和互联网。
计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,也可以是分布式系统的服务器,或者是结合了区块链的服务器。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发公开中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本公开公开的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本公开保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本公开的精神和原则之内所作的修改、等同替换和改进等,均应包含在本公开保护范围之内。

Claims (21)

1.一种数据识别方法,包括:
从待识别数据中确定待识别特征,其中,所述待识别特征包括与加密协议相关的特征;以及
基于所述待识别特征与基准特征,确定所述待识别数据的识别结果,其中,所述识别结果用于表征所述待识别数据是否被篡改,所述基准特征是从已知识别结果的第一历史数据中提取的、且与所述加密协议相关的特征。
2.根据权利要求1所述的方法,其中,所述待识别特征包括多个待识别子特征,所述基准特征包括多个基准子特征;
所述基于所述待识别特征与基准特征,确定所述待识别数据的识别结果,包括:
针对所述多个待识别子特征中的每个待识别子特征,从所述多个基准子特征中确定与所述待识别子特征的特征类型相匹配的目标基准子特征;
基于所述待识别子特征和所述目标基准子特征,确定所述待识别数据的识别子结果;以及
基于多个所述识别子结果,确定所述待识别数据的识别结果,其中,多个所述识别子结果与所述多个待识别子特征一一对应。
3.根据权利要求1或2所述的方法,还包括:
获取在预定历史时段内收集的历史数据集合,其中,所述历史数据集合中的每个第二历史数据为已知识别结果的数据,所述第二历史数据包括与所述基准特征相同的特征,且所述第二历史数据的识别结果与所述第一历史数据的识别结果不同;以及
在确定所述历史数据集合中存在与所述待识别数据相匹配的目标第二历史数据的情况下,基于所述目标第二历史数据的识别结果,更新所述待识别数据的识别结果。
4.根据权利要求2所述的方法,其中,所述基于所述待识别子特征和所述目标基准子特征,确定所述待识别数据的识别子结果,包括:
从预定的多个识别规则中确定与所述待识别子特征的特征类型相匹配的目标识别规则;
基于所述待识别子特征和所述目标基准子特征,确定所述待识别子特征是否满足所述目标识别规则;以及
在确定所述待识别子特征满足所述目标识别规则的情况下,确定所述待识别数据的识别子结果表征所述待识别数据为被篡改的数据。
5.根据权利要求4所述的方法,其中,所述基于所述待识别子特征和所述目标基准子特征,确定所述待识别子特征是否满足所述目标识别规则,包括:
确定所述待识别子特征和所述目标基准子特征之间的目标关联关系;以及
基于所述目标关联关系和预定关联关系,确定所述待识别子特征是否满足所述目标识别规则。
6.根据权利要求2所述的方法,其中,所述基准子特征包括所述加密协议中的指纹数据的字符串长度;
所述方法还包括:
获取预定历史时段内的所述第一历史数据;
从所述第一历史数据中确定与设备环境信息相关的数据;
基于所述与设备环境信息相关的数据,确定指标数据;以及
基于所述指标数据和预定指标阈值,从所述第一历史数据中确定所述加密协议中的指纹数据的目标字符串长度,作为所述基准子特征。
7.根据权利要求3所述的方法,还包括,在所述在确定所述历史数据集合中存在与所述待识别数据相匹配的目标第二历史数据的情况下,基于所述目标第二历史数据的识别结果,更新所述待识别数据的识别结果之前:
对所述待识别数据进行预定算法转换,得到转换后的待识别数据;以及
基于所述转换后的待识别数据和所述历史数据集合中的转换后的多个第二历史数据,确定所述历史数据集合中是否存在与所述待识别数据相匹配的目标第二历史数据,其中,所述转换后的多个第二历史数据分别为通过所述预定算法转换后的数据。
8.根据权利要求2所述的方法,还包括,在所述从待识别数据中确定待识别特征之前:
接收网络请求,其中,所述网络请求中包括初始待识别数据,所述初始待识别数据为与所述加密协议相关的数据;以及
对所述初始待识别数据进行预处理,得到所述待识别数据。
9.根据权利要求8所述的方法,其中,所述待识别子特征包括以下至少一项:
加密协议的协议版本、加密协议的目标字段序列、加密协议的字符串长度。
10.一种数据识别装置,包括:
第一确定模块,用于从待识别数据中确定待识别特征,其中,所述待识别特征包括与加密协议相关的特征;以及
第二确定模块,用于基于所述待识别特征与基准特征,确定所述待识别数据的识别结果,其中,所述识别结果用于表征所述待识别数据是否被篡改,所述基准特征是从已知识别结果的第一历史数据中提取的、且与所述加密协议相关的特征。
11.根据权利要求10所述的装置,其中,所述待识别特征包括多个待识别子特征,所述基准特征包括多个基准子特征;
所述第二确定模块包括:
第一确定子模块,用于针对所述多个待识别子特征中的每个待识别子特征,从所述多个基准子特征中确定与所述待识别子特征的特征类型相匹配的目标基准子特征;
第二确定子模块,用于基于所述待识别子特征和所述目标基准子特征,确定所述待识别数据的识别子结果;以及
第三确定子模块,用于基于多个所述识别子结果,确定所述待识别数据的识别结果,其中,多个所述识别子结果与所述多个待识别子特征一一对应。
12.根据权利要求10或11所述的装置,还包括:
第一获取模块,用于获取在预定历史时段内收集的历史数据集合,其中,所述历史数据集合中的每个第二历史数据为已知识别结果的数据,所述第二历史数据包括与所述基准特征相同的特征,且所述第二历史数据的识别结果与所述第一历史数据的识别结果不同;以及
更新模块,用于在确定所述历史数据集合中存在与所述待识别数据相匹配的目标第二历史数据的情况下,基于所述目标第二历史数据的识别结果,更新所述待识别数据的识别结果。
13.根据权利要求11所述的装置,其中,所述第二确定子模块包括:
第一确定单元,用于从预定的多个识别规则中确定与所述待识别子特征的特征类型相匹配的目标识别规则;
第二确定单元,用于基于所述待识别子特征和所述目标基准子特征,确定所述待识别子特征是否满足所述目标识别规则;以及
第三确定单元,用于在确定所述待识别子特征满足所述目标识别规则的情况下,确定所述待识别数据的识别子结果表征所述待识别数据为被篡改的数据。
14.根据权利要求13所述的装置,其中,所述第二确定单元包括:
第一确定子单元,用于确定所述待识别子特征和所述目标基准子特征之间的目标关联关系;以及
第二确定子单元,用于基于所述目标关联关系和预定关联关系,确定所述待识别子特征是否满足所述目标识别规则。
15.根据权利要求11所述的装置,其中,所述基准子特征包括所述加密协议中的指纹数据的字符串长度;
所述装置还包括:
第二获取模块,用于获取预定历史时段内的所述第一历史数据;
第三确定模块,用于从所述第一历史数据中确定与设备环境信息相关的数据;
第四确定模块,用于基于所述与设备环境信息相关的数据,确定指标数据;以及
第五确定模块,用于基于所述指标数据和预定指标阈值,从所述第一历史数据中确定所述加密协议中的指纹数据的目标字符串长度,作为所述基准子特征。
16.根据权利要求12所述的装置,还包括,在所述更新模块之前:
转换模块,用于对所述待识别数据进行预定算法转换,得到转换后的待识别数据;以及
第六确定模块,用于基于所述转换后的待识别数据和所述历史数据集合中的转换后的多个第二历史数据,确定所述历史数据集合中是否存在与所述待识别数据相匹配的目标第二历史数据,其中,所述转换后的多个第二历史数据分别为通过所述预定算法转换后的数据。
17.根据权利要求11所述的装置,还包括,在所述第一确定模块之前:
接收模块,用于接收网络请求,其中,所述网络请求中包括初始待识别数据,所述初始待识别数据为与所述加密协议相关的数据;以及
预处理模块,用于对所述初始待识别数据进行预处理,得到所述待识别数据。
18.根据权利要求17所述的装置,其中,所述待识别子特征包括以下至少一项:
加密协议的协议版本、加密协议的目标字段序列、加密协议的字符串长度。
19.一种电子设备,包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1至9中任一项所述的方法。
20.一种存储有计算机指令的非瞬时计算机可读存储介质,其中,所述计算机指令用于使所述计算机执行根据权利要求1至9中任一项所述的方法。
21.一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现根据权利要求1至9中任一项所述的方法。
CN202211059553.5A 2022-08-31 2022-08-31 数据识别方法、装置、电子设备以及存储介质 Pending CN115879166A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211059553.5A CN115879166A (zh) 2022-08-31 2022-08-31 数据识别方法、装置、电子设备以及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211059553.5A CN115879166A (zh) 2022-08-31 2022-08-31 数据识别方法、装置、电子设备以及存储介质

Publications (1)

Publication Number Publication Date
CN115879166A true CN115879166A (zh) 2023-03-31

Family

ID=85769728

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211059553.5A Pending CN115879166A (zh) 2022-08-31 2022-08-31 数据识别方法、装置、电子设备以及存储介质

Country Status (1)

Country Link
CN (1) CN115879166A (zh)

Similar Documents

Publication Publication Date Title
US11750659B2 (en) Cybersecurity profiling and rating using active and passive external reconnaissance
US20200389495A1 (en) Secure policy-controlled processing and auditing on regulated data sets
CN107809331B (zh) 识别异常流量的方法和装置
EP3373543B1 (en) Service processing method and apparatus
CN110610196B (zh) 脱敏方法、系统、计算机设备和计算机可读存储介质
CN111786950B (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
US20210092160A1 (en) Data set creation with crowd-based reinforcement
CN110290522B (zh) 用于移动设备的风险识别方法、装置和计算机系统
JP6697123B2 (ja) プロファイル生成装置、攻撃検知装置、プロファイル生成方法、および、プロファイル生成プログラム
KR20160147622A (ko) 파일 식별 방법 및 장치
CN111400357A (zh) 一种识别异常登录的方法和装置
CN109614327B (zh) 用于输出信息的方法和装置
CN113704328A (zh) 基于人工智能的用户行为大数据挖掘方法及系统
CN110599278B (zh) 聚合设备标识符的方法、装置和计算机存储介质
CN113312611A (zh) 密码检测方法、装置、设备和计算机可读存储介质
CN113656315A (zh) 数据测试方法、装置、电子设备和存储介质
CN116738369A (zh) 一种流量数据的分类方法、装置、设备及存储介质
CN107995167B (zh) 一种设备识别方法及服务器
CN115827379A (zh) 异常进程检测方法、装置、设备和介质
CN115879166A (zh) 数据识别方法、装置、电子设备以及存储介质
CN114925365A (zh) 一种文件处理方法、装置、电子设备及存储介质
CN113553370A (zh) 异常检测方法、装置、电子设备及可读存储介质
CN113452700A (zh) 处理安全信息的方法、装置、设备以及存储介质
CN113052509A (zh) 模型评估方法、模型评估装置、电子设备和存储介质
CN114650252B (zh) 基于企业服务总线的路由方法、装置及计算机设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination