CN115906135B - 目标数据泄露路径的溯源方法、装置、电子设备和存储介质 - Google Patents

目标数据泄露路径的溯源方法、装置、电子设备和存储介质 Download PDF

Info

Publication number
CN115906135B
CN115906135B CN202211701915.6A CN202211701915A CN115906135B CN 115906135 B CN115906135 B CN 115906135B CN 202211701915 A CN202211701915 A CN 202211701915A CN 115906135 B CN115906135 B CN 115906135B
Authority
CN
China
Prior art keywords
node
target data
circulation
data
graph
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211701915.6A
Other languages
English (en)
Other versions
CN115906135A (zh
Inventor
齐文杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Lexin Software Technology Co Ltd
Original Assignee
Shenzhen Lexin Software Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Lexin Software Technology Co Ltd filed Critical Shenzhen Lexin Software Technology Co Ltd
Priority to CN202211701915.6A priority Critical patent/CN115906135B/zh
Publication of CN115906135A publication Critical patent/CN115906135A/zh
Application granted granted Critical
Publication of CN115906135B publication Critical patent/CN115906135B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种目标数据泄露路径的溯源方法。其特征包括:获取待溯源的目标数据;通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;在用户终端上显示所述泄露路径及所述流转节点。本发明实施例的技术方案,实现了对数据泄露路径的快速溯源,提高了对数据泄露路径的溯源的准确率。

Description

目标数据泄露路径的溯源方法、装置、电子设备和存储介质
技术领域
本发明涉及数据处理技术领域,尤其涉及一种目标数据泄露路径的溯源方法、装置、电子设备和存储介质。
背景技术
随着互联网的发展,数据安全日益成为比较热门话题,在企业生产经营过程中,数据往往需要经过多个流转节点,数据十分容易在流转过程中泄露,而数据泄露不仅对企业生产造成财产损失,还对企业用户的信息和财产安全造成损失。数据泄露的溯源是数据安全防护中必不可少的一部分,在第一时间确定发生数据泄露的路径,可以使企业可以第一时间采取安全措施,防止造成巨大的损失。
现有技术在泄露数据溯源时往往是对疑似接触过数据的流转节点进行人工逐一盲检,进而确定泄露数据的路径,检查的效率很低,不但需要花费较长的时间,而且容易漏掉一些可疑路径,导致无法及时确定泄露数据的路径。
发明内容
本发明提供了一种目标数据泄露路径的溯源方法、装置、电子设备和存储介质,以实现准确快速确定泄露数据的路径。
根据本发明的一方面,提供了一种目标数据泄露路径的溯源方法,包括:
获取待溯源的目标数据;
通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;
根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;
在用户终端上显示所述泄露路径及所述流转节点。
根据本发明的另一方面,提供了一种目标数据泄露路径的溯源装置,包括:
目标数据获取模块,用于获取待溯源的目标数据;
流转节点查找模块,用于通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;
数据分析模块,用于根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
泄露路径确定模块,用于根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;
泄露路径展示模块,用于在用户终端上显示所述泄露路径及所述流转节点。
根据本发明的另一方面,提供了一种电子设备,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行本发明任一实施例所述的目标数据泄露路径的溯源方法。
根据本发明的另一方面,提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现本发明任一实施例所述的目标数据泄露路径的溯源方法。
本发明实施例的技术方案通过获取待溯源的目标数据;通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;确定目标数据经过的每个流转节点和流转方向,防止溯源过程缺失流转节点,提高了溯源的准确率。根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。通过有向关系网络图可以直观的反应目标数据的流转过程,减少了数据溯源的工作量,提高了数据溯源的效率和准确率,在确定目标数据的泄露路径后,对泄露路径的流转节点进行标识报警,提高数据流转的安全性;在用户终端上显示所述泄露路径及所述流转节点,在用户使用的终端中对泄露路径及所述流转节点进行可视化展示,对泄露路径的流转节点展示报警,使用户可以快速确定泄露的流转节点,对泄露的流转节点进行安全处理,保护数据流转安全。解决了现有技术中无法及时确定泄露数据的路径的技术问题,实现了对数据泄露路径的快速溯源,提高了对数据泄露路径的溯源准确率。
应当理解,本部分所描述的内容并非旨在标识本发明的实施例的关键或重要特征,也不用于限制本发明的范围。本发明的其它特征将通过以下的说明书而变得容易理解。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明实施例一提供的一种目标数据泄露路径的溯源方法的流程图;
图2是本发明实施例二提供的另一种目标数据泄露路径的溯源方法的流程图;
图3是本发明实施例提供的另一种目标数据泄露路径的溯源方法的流程图;
图4是本发明实施例三提供的一种目标数据泄露路径的溯源装置的结构示意图;
图5是实现本发明实施例的目标数据泄露路径的溯源的电子设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明方案,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明保护的范围。
需要说明的是,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的用户,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
实施例一
图1为本发明实施例一提供了一种目标数据泄露路径的溯源方法的流程图,本实施例可适用于数据疑似泄露和数据发生泄露确定泄露路径的情况,该方法可以由目标数据泄露路径的溯源装置来执行,该目标数据泄露路径的溯源装置可以采用硬件和/或软件的形式实现,该目标数据泄露路径的溯源装置可配置于电子设备中。如图1所示,该方法包括:
S110、获取待溯源的目标数据。
其中,目标数据可以是疑似泄露的数据和已经泄露的数据。应当明确的是,数据发生泄露可能有多种原因,例如网络攻击者直接攻击窃取数据造成的泄露、业务正常往来过程中由于工作人员工作疏忽造成的泄露和数据管理权限混乱造成数据泄露等,数据在流转过程中难以判断是否发生泄露,进而将疑似发生泄露的数据和已经泄露的数据都确定为进行溯源的目标数据。
本发明实施例中,获取疑似发生泄露的数据和已经泄露的数据作为待溯源的目标数据。
S120、通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向。
其中,系统日志是用于记载目标数据在整个生命周期中的流转过程。生命周期可以是目标数据从数据生成和采集到数据销毁的全部过程。示例性的,目标数据的生命周期可以是由企业生成或企业获取数据开始,进而进行数据传输、数据处理、数据存储和数据交换、最后至数据销毁或者数据输出的整个过程。
其中,流转节点可以是目标数据流转过程中接触过目标数据的节点;流转节点可以包括显式流转节点以及隐式流转节点。流转方向可以是用于反映数据传输的方向。示例性的,流转节点可以是手机归属地、户籍、注册时间、交易时间、交易商户、短信通道、操作者、邮件接收者、微服务系统、数据库、查看记录等。目标数据的流转方向可以是由数据库发送至微服务系统可以理解的是,目标数据在系统中流转过程中,系统日志记录了目标数据经过的所有流转节点和每个流转对应的流转方向。可选的,流转方向包括流转节点的流入方向和流出方向。
具体的,在系统日志中查找目标数据在生命周期中接触目标数据的流转节点,并确定目标数据接触目标节点对应的流转方向。
可选的,在本发明另一可选实施例中,所述通过预设的系统日志系统查找所述目标数据的生命周期流转节点,包括:在系统日志中检索接触过所述目标数据的流转节点;基于检索到的流转节点确定所述目标数据的流转节点。
在本发明实施例中,系统日志中提供检索界面,在系统日志中的检索界面中输入目标数据进行检索,系统日志根据输入的目标数据在日志数据库中检索出与目标数据接触过的流转节点,进而基于检索到的流转节点确定所述目标数据的流转节点。
S130、根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图。
其中,数据有向关系网络图可以是用于反映目标数据在流转节点流转过程的网络图。需要说明的是,数据有向关系网络图包括流转节点和在流转节点中流转的目标数据,目标数据和流转节点之间通过有向的关系网络进行连接。
具体的,获取到目标数据的流转节点和目标数据在流转节点流转过程中的流转方向,进而根据目标数据的流转节点和流转方向生成目标数据的数据有向关系网络图。
可选的,在本发明另一可选实施例中,根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图,包括:
将所述流转节点作为数据有向关系网络图的图节点,将所述流转节点对应的流转方向作为边方向;
根据所述图节点和所述边方向生成所述目标数据的数据有向关系网络图。
其中,图节点可以是数据有向关系网络图中的节点;边方向可以是数据有向关系网络图中连接图节点和目标数据的边的方向。
本发明实施例中,将流转节点作为数据有向关系网络图的图节点,将目标数据流转到流转节点对应的流转方向作为数据有向关系网络图的边方向,进而将目标数据生命周期中流转过程中所有接触过的流转节点确定为数据有向关系网络图的图节点,将流转至每个图节点所有目标数据的边方向确定为边方向集合,进而根据图节点和边方向集合生成目标数据的数据有向关系网络图。其中,边方向为由目标数据出发,流转至图节点。
示例性的,可以用V表示所有的图节点,E表示边方向的集合,G表示数据有向关系网络图,确定边方向为目标数据出发,流转至图节点,进而确定数据有向关系网络图:G=(V,E)。
S140、根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。
其中,泄露路径可以是目标数据泄露的路径。
其中,设定标记可以用于对流转节点进行标记。需要说明的是,设定标记可以是需要设定的标记规则,对被标记流转节点的显示状态进行修改,使被标记流转节点的显示状态区别于其他流转节点,使被标记流转节点的显示状态更加明显。
其中,数据泄露告警标记可以用于告警被标记流转节点为数据泄露的流转节点。示例性的,数据泄露告警标记可以是修改流转节点的显示颜色为红色,也可以是在流转节点的显示状态中添加警告符号。
具体的,在获取到数据有向关系网络图后,通过数据有向网络图确定目标数据的泄露路径,并在泄露路径中以数据泄露告警标记标识流转节点,警告管理人员当前流转节点为泄露路径。
S150、在用户终端上显示所述泄露路径及所述流转节点。
其中,用户终端可以是用户用于查看目标数据泄露路径的终端;用户终端包括移动终端、个人计算机和Web端(World Wide Web,万维网)中的至少一种。可选的,在获取到目标数据的泄露路径,并对泄露路径中的流转节点进行标记,将泄露路径发送至用户使用的用户终端中,在用户终端中展示目标数据的泄露路径和流转节点。
具体的,在确定目标数据的泄露路径后,将目标数据的泄露路径发送至用户终端,在用户终端中展示目标数据的泄露路径和流转节点。
可选的,在本发明另一实施例中,所述获取待溯源的目标数据,包括下述操作中至少一项:
从平台投诉信息中获取用户投诉样本信息,作为所述待溯源的目标数据;
从第三方信息服务平台获取信息泄露相关样本,作为所述待溯源的目标数据;
从预警系统获取异常数据流动的相关样本,作为所述待溯源的目标数据。
其中,平台投诉信息可以是用户在预先建立的投诉平台中对自身发送泄露的信息进行投诉,投诉平台可以是由企业建立的。
具体的,用户发现个人信息发生泄露,可以登录投诉平台,在投诉平台中发送泄露信息,收集用户在投诉平台中投诉的泄露信息,作为所述待溯源的目标数据;
其中,第三方信息服务平台可以是第三方建立的,用于收集信息泄露的信息服务平台。
具体的,可以通过连接第三方信息服务平台提供的信息接口,从第三方信息服务平台获取信息泄露相关样本,作为所述待溯源的目标数据。
其中,预警系统可以是企业预先建立的,用于监测数据流动的系统。
具体的,预警系统针对数据的流动进行监测,当发现存在数据异常流动时,收集并存储异常数据流动的相关样本,进而从预警系统中获取异常数据流动的相关样本作为所述待溯源的目标数据。
本发明实施例的技术方案通过获取待溯源的目标数据;通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;确定目标数据经过的每个流转节点和流转方向,防止溯源过程缺失流转节点,提高了溯源的准确率。根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。通过有向关系网络图可以直观的反应目标数据的流转过程,减少了数据溯源的工作量,提高了数据溯源的效率和准确率,在确定目标数据的泄露路径后,对泄露路径的流转节点进行标识报警,提高数据流转的安全性;在用户终端上显示所述泄露路径及所述流转节点,在用户使用的终端中对泄露路径及所述流转节点进行可视化展示,对泄露路径的流转节点展示报警,使用户可以快速确定泄露的流转节点,对泄露的流转节点进行安全处理,保护数据流转安全。解决了现有技术中无法及时确定泄露数据的路径的技术问题,实现了对数据泄露路径的快速溯源,提高了对数据泄露路径的溯源准确率。
实施例二
图2为本发明实施例二提供的另一种目标数据泄露路径的溯源方法的流程图,本实施例进一步说明了上述实施例中确定目标数据的泄露路径的方法。如图2所示,该方法包括:
S210、获取待溯源的目标数据。
S220、通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向。
S230、根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图。
S240、根据预设的节点等级计算方法确定所述数据有向关系网络图中的图节点的节点等级。
其中,节点等级计算方法可以是预先设置用于计算节点等级的方法;节点等级可以是用于体现图节点的泄露数据的可能性。节点等级计算方法可以包括是PageRank(互联网网页重要度)算法和入度算法中的至少一种。
本发明实施例中,在目标数据的整个生命周期流转过程中,会经过至少一个图节点,不同类型的图节点泄露目标数据的可能性并不相同,因此针对每种类型的图节点对应的重要程度并不相同;如果多个目标数据都指向同一图节点,则说明当前图节点泄露的可能性较大,从而根据当前图节点的类型提高当前图节点的重要程度。其中,图节点的重要程度表示图节点泄露数据的可能性,且图节点泄露数据的可能性与图节点的重要程度呈正比。
示例性的,图节点可以是数据库和交易商户两种不同的类型,由于目标数据经过数据库这一图节点相对于经过交易商户这一图节点,显然数据库的重要程度较低,交易商户的重要程度较高,因为多个目标数据都需要经过数据库,在目标数据的生命周期是正常流转的,而多个目标数据都经过同一交易商户,说明在交易商户这一图节点泄露的可能性较大,进而提高交易商户的重要程度。
S250、根据所述图节点的所述节点等级与所述图节点对应的预设节点权值确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。
其中,预设节点权值可以是预先设置用于体现图节点重要程度的初始权值。可选的,每种类型的图节点预先设置对应的初始节点权值,节点权值与图节点的重要程度呈正比。
具体的,在数据有向关系网络图中,通过预设的节点等级计算方法计算数据有向关系网络图中的图节点的节点等级,并获取图节点对应的预设节点权值,进而根据图节点的节点等级与图节点对应的预设节点权值确定目标数据的泄露路径。
可选的,在本发明另一可选实施例中,所述根据所述图节点的所述节点等级和与所述图节点对应的预设节点权值确定所述目标数据的泄露路径,包括:
针对每个图节点,根据所述图节点的节点等级和与所述图节点对应的预设节点权值确定计算所述图节点的参考值;
根据各个所述图节点的参考值确定所述目标数据的泄露路径。
其中,参考值可以是用于体现图节点重要程度的参考值。
具体的,针对每个图节点,获取当前图节点的节点等级和当前图节点对应的预设节点权值,进而根据当前图节点的节点等级和当前图节点对应的预设节点权值计算出图节点的参考值,然后根据各个图节点的参考值确定目标数据的泄露路径。
可选的,在本发明另一可选实施例中,所述泄露路径至少包括一个流转节点;所述根据各个所述图节点的参考值确定所述目标数据的泄露路径,包括:
根据所述图节点的参考值对各个所述图节点进行排序,确定图节点排序队列;
将位于所述图节点排序队列预设位置范围内的图节点作为目标节点,并确定目标节点对应的流转节点;
根据所述目标节点对应的流转节点确定所述目标数据的泄露路径。
其中,所述图节点排序队列可以是展示图节点参考值大小排列关系的队列。位置范围可以是处于图节点排序队列中参考值从大到小的预设位置范围。
本发明实施例中,根据每个图节点的参考值的大小关系,对数据有向关系网络图中的所有图节点进行排序,确定出图节点排序队列。其中,排序的方式可以是从大到小选择排序,也可以是从小到大选择排序。
具体的,获取数据有向关系网络图中的所有图节点的参考值,根据所有图节点的参考值进行选择排序,生成图节点排序队列,确定图节点排序队列中参考值由大到小的预设位置范围,将参考值位于预设位置范围内的图节点作为目标节点,并确定目标节点对应的流转节点,进而目标节点对应的流转节点确定目标数据的泄露路径。
可选的,在本发明另一可选实施例中,根据所述目标节点对应的流转节点确定所述目标数据的泄露路径,包括:
根据目标节点对应的流转节点确定所述流转节点对应的流转方向;
根据目标节点对应的流转节点和所述流转节点对应的流转方向确定所述目标数据的泄露路径。
具体的,获取目标节点对应的流转节点后,确定目标节点对应的流转节点的流转方向,将目标节点对应的流转节点和流转节点对应的流转方向作为目标数据的泄露路径。
S260、在用户终端上显示所述泄露路径及所述流转节点。
本发明实施例的技术方案通过获取待溯源的目标数据;通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;根据预设的节点等级计算方法确定所述数据有向关系网络图中的图节点的节点等级;根据所述图节点的所述节点等级与所述图节点对应的预设节点权值确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;在用户终端上显示所述泄露路径及所述流转节点。通过数据有向关系网络图中图节点的节点等级和预设节点权值确定所述目标数据的泄露路径,实现了对图节点泄露数据可能性准确识别,并通过数据有向关系网络图减少了对流转节点的计算量,进一步的提高了数据溯源的效率和准确率。解决了现有技术中无法及时确定泄露数据的路径的技术问题,实现了对数据泄露路径的快速准确溯源。
可选的,图3为本发明实施例公开了另一种目标数据泄露路径的溯源的流程图。如图3所示,该方法包括:
S310、获取已泄露目标数据。
首先从外部或内部获取目标数据,可以是已确认泄露的样本数据和也可以是疑似泄露的样本数据,可以包含以下数据源:
从平台投诉信息中获取用户投诉样本信息,作为所述待溯源的目标数据;
从第三方信息服务平台获取信息泄露相关样本,作为所述待溯源的目标数据;
从预警系统获取异常数据流动的相关样本,作为所述待溯源的目标数据。
S320、获取目标数据整个生命周期流转节点。
通过企业内部自建的日志系统,由日志系统接入安全日志、业务日志、系统日志等,根据获取到的目标数据在日志系统中检索目标数据的流转节点,系统把所有历史上接触过目标数据的流转节点完备的罗列出来。流转节点包含显式流转节点以及隐式流转节点,例如:手机归属地、户籍、注册时间、交易时间、交易商户、短信通道、操作者、邮件接收者、微服务、数据库、查看记录等等。
S330、生成流转节点与目标数据的数据有向关系网络图。
将流转节点作为数据有向关系网络图的图节点,将目标数据流转到流转节点对应的流转方向作为数据有向关系网络图的边方向,进而将目标数据生命周期中流转过程中所有接触过的流转节点确定为数据有向关系网络图的图节点,将流转至每个图节点所有目标数据的边方向确定为边方向集合,进而根据图节点和边方向集合生成目标数据的数据有向关系网络图。其中,边方向为由目标数据出发,流转至图节点。
示例性的,可以用V表示所有的图节点,E表示边方向的集合,G表示数据有向关系网络图,确定边方向为目标数据出发,流转至图节点,进而确定数据有向关系网络图:G=(V,E)。
S340、依据图算法计算流转节点的参考值。
示例性地,基于可以采用如下公式计算流转节点的参考值:
R=P*W
其中,R为流转节点的参考值,P为流转节点的节点等级,W为流转节点的权值。
具体的,针对每个流转节点,获取当前流转节点的节点等级和当前流转节点对应的预设节点权值,进而根据当前流转节点的节点等级和当前流转节点对应的预设节点权值计算出流转节点的参考值。
S350、依据流转节点的参考值构造可疑泄露路径。
根据流转节点的参考值对每个流转节点进行排序,即可得到可疑泄露节点,由目标数据指向流转节点的边关系为可疑泄露路径。
本发明实施例的技术方案能够解决了现有技术中无法及时确定泄露数据的路径的技术问题,实现了对数据泄露路径的快速准确溯源。
实施例三
图4为本发明实施例三提供的一种目标数据泄露路径的溯源装置的结构示意图。如图4所示,该装置包括:目标数据获取模块410、流转节点查找模块420、数据分析模块430、泄露路径确定模块440和泄露路径展示模块450。其中,
目标数据获取模块410,用于获取待溯源的目标数据;
流转节点查找模块420,用于通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;
数据分析模块430,用于根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
泄露路径确定模块440,用于根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。
泄露路径展示模块450,用于在用户终端上显示所述泄露路径及所述流转节点。
本发明实施例的技术方案通过获取待溯源的目标数据;通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;确定目标数据经过的每个流转节点和流转方向,防止溯源过程缺失流转节点,提高了溯源的准确率。根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记。通过有向关系网络图可以直观的反应目标数据的流转过程,减少了数据溯源的工作量,提高了数据溯源的效率和准确率,在确定目标数据的泄露路径后,对泄露路径的流转节点进行标识报警,提高数据流转的安全性;在用户终端上显示所述泄露路径及所述流转节点,在用户使用的终端中对泄露路径及所述流转节点进行可视化展示,对泄露路径的流转节点展示报警,使用户可以快速确定泄露的流转节点,对泄露的流转节点进行安全处理,保护数据流转安全。解决了现有技术中无法及时确定泄露数据的路径的技术问题,实现了对数据泄露路径的快速溯源,提高了对数据泄露路径的溯源准确率。
可选的,流转节点查找模块420具体用于:
在系统日志中检索接触过所述目标数据的流转节点;
基于检索到的流转节点确定所述目标数据的流转节点。
可选的,数据分析模块430具体用于:
将所述流转节点作为数据有向关系网络图的图节点,将所述流转节点对应的流转方向作为边方向;
根据所述图节点和所述边方向生成所述目标数据的数据有向关系网络图。
可选的,泄露路径确定模块440具体用于:
根据预设的节点等级计算方法确定所述数据有向关系网络图中的图节点的节点等级;
根据所述图节点的所述节点等级与所述图节点对应的预设节点权值确定所述目标数据的泄露路径。
可选的,泄露路径确定模块440具体还用于:
针对每个图节点,根据所述图节点的节点等级和与所述图节点对应的预设节点权值确定计算所述图节点的参考值;
根据各个所述图节点的参考值确定所述目标数据的泄露路径。
可选的,泄露路径确定模块440具体还用于:
根据所述图节点的参考值对各个所述图节点进行排序,确定图节点排序队列;
将位于所述图节点排序队列预设位置范围内的图节点作为目标节点,并确定目标节点对应的流转节点;
根据所述目标节点对应的流转节点确定所述目标数据的泄露路径。
可选的,目标数据获取模块410具体用于下述操作中至少一项:
从平台投诉信息中获取用户投诉样本信息,作为所述待溯源的目标数据;
从第三方信息服务平台获取信息泄露相关样本,作为所述待溯源的目标数据;
从预警系统获取异常数据流动的相关样本,作为所述待溯源的目标数据。
本发明实施例所提供的目标数据泄露路径的溯源装置可执行本发明任意实施例所提供的目标数据泄露路径的溯源方法,具备执行方法相应的功能模块和有益效果。
实施例四
图5示出了可以用来实施本发明的实施例的电子设备10的结构示意图。电子设备旨在表示各种形式的数字计算机,诸如,膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置,诸如,个人数字处理、蜂窝电话、智能电话、可穿戴设备(如头盔、眼镜、手表等)和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例,并且不意在限制本文中描述的和/或者要求的本发明的实现。
如图5所示,电子设备10包括至少一个处理器11,以及与至少一个处理器11通信连接的存储器,如只读存储器(ROM)12、随机访问存储器(RAM)13等,其中,存储器存储有可被至少一个处理器执行的计算机程序,处理器11可以根据存储在只读存储器(ROM)12中的计算机程序或者从存储单元18加载到随机访问存储器(RAM)13中的计算机程序,来执行各种适当的动作和处理。在RAM 13中,还可存储电子设备10操作所需的各种程序和数据。处理器11、ROM 12以及RAM 13通过总线14彼此相连。输入/输出(I/O)接口15也连接至总线14。
电子设备10中的多个部件连接至I/O接口15,包括:输入单元16,例如键盘、鼠标等;输出单元17,例如各种类型的显示器、扬声器等;存储单元18,例如磁盘、光盘等;以及通信单元19,例如网卡、调制解调器、无线通信收发机等。通信单元19允许电子设备10通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
处理器11可以是各种具有处理和计算能力的通用和/或专用处理组件。处理器11的一些示例包括但不限于中央处理单元(CPU)、图形处理单元(GPU)、各种专用的人工智能(AI)计算芯片、各种运行机器学习模型算法的处理器、数字信号处理器(DSP)、以及任何适当的处理器、控制器、微控制器等。处理器11执行上文所描述的各个方法和处理,例如目标数据泄露路径的溯源方法。
在一些实施例中,目标数据泄露路径的溯源方法可被实现为计算机程序,其被有形地包含于计算机可读存储介质,例如存储单元18。在一些实施例中,计算机程序的部分或者全部可以经由ROM 12和/或通信单元19而被载入和/或安装到电子设备10上。当计算机程序加载到RAM 13并由处理器11执行时,可以执行上文描述的目标数据泄露路径的溯源方法的一个或多个步骤。备选地,在其他实施例中,处理器11可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行目标数据泄露路径的溯源方法。
本文中以上描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、芯片上系统的系统(SOC)、负载可编程逻辑设备(CPLD)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括:实施在一个或者多个计算机程序中,该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释,该可编程处理器可以是专用或者通用可编程处理器,可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令,并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
用于实施本发明的方法的计算机程序可以采用一个或多个编程语言的任何组合来编写。这些计算机程序可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器,使得计算机程序当由处理器执行时使流程图和/或框图中所规定的功能/操作被实施。计算机程序可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本发明的上下文中,计算机可读存储介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的计算机程序。计算机可读存储介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。备选地,计算机可读存储介质可以是机器可读信号介质。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编程只读存储器(EPROM或快闪存储器)、光纤、便捷式紧凑盘只读存储器(CD-ROM)、光学储存设备、磁储存设备、或上述内容的任何合适组合。
为了提供与用户的交互,可以在电子设备上实施此处描述的系统和技术,该电子设备具有:用于向用户显示信息的显示装置(例如,CRT(阴极射线管)或者LCD(液晶显示器)监视器);以及键盘和指向装置(例如,鼠标或者轨迹球),用户可以通过该键盘和该指向装置来将输入提供给电子设备。其它种类的装置还可以用于提供与用户的交互;例如,提供给用户的反馈可以是任何形式的传感反馈(例如,视觉反馈、听觉反馈、或者触觉反馈);并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如,作为数据服务器)、或者包括中间件部件的计算系统(例如,应用服务器)、或者包括前端部件的计算系统(例如,具有图形用户界面或者网络浏览器的用户计算机,用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数字数据通信(例如,通信网络)来将系统的部件相互连接。通信网络的示例包括:局域网(LAN)、广域网(WAN)、区块链网络和互联网。
计算系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端-服务器关系的计算机程序来产生客户端和服务器的关系。服务器可以是云服务器,又称为云计算服务器或云主机,是云计算服务体系中的一项主机产品,以解决了传统物理主机与VPS服务中,存在的管理难度大,业务扩展性弱的缺陷。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
实施例五
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所提供的目标数据泄露路径的溯源方法步骤,该方法包括:
获取待溯源的目标数据;
通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;
根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;
在用户终端上显示所述泄露路径及所述流转节点。
本发明实施例的计算机存储介质,可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是但不限于:电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言,诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
本领域普通技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个计算装置上,或者分布在多个计算装置所组成的网络上,可选地,他们可以用计算机装置可执行的程序代码来实现,从而可以将它们存储在存储装置中由计算装置来执行,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件的结合。
应该理解,可以使用上面所示的各种形式的流程,重新排序、增加或删除步骤。例如,本发明中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行,只要能够实现本发明的技术方案所期望的结果,本文在此不进行限制。
上述具体实施方式,并不构成对本发明保护范围的限制。本领域技术人员应该明白的是,根据设计要求和其他因素,可以进行各种修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等,均应包含在本发明保护范围之内。

Claims (9)

1.一种目标数据泄露路径的溯源方法,其特征在于,包括:
获取待溯源的目标数据;
通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;其中,所述流转节点是目标数据流转过程中接触过目标数据的节点;
根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标记所述流转节点,所述设定标记包括数据泄露告警标记;
在用户终端上显示所述泄露路径及所述流转节点;
根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图,包括:
将所述流转节点作为数据有向关系网络图的图节点,将所述流转节点对应的流转方向作为边方向;
根据所述图节点和所述边方向生成所述目标数据的数据有向关系网络图。
2.根据权利要求1所述的方法,其特征在于,所述通过系统日志查找所述目标数据的生命周期中的流转节点,包括:
在系统日志中检索接触过所述目标数据的流转节点;
基于检索到的流转节点确定所述目标数据的流转节点。
3.根据权利要求2所述的方法,其特征在于,所述根据所述数据有向关系网络图确定所述目标数据的泄露路径,包括:
根据预设的节点等级计算方法确定所述数据有向关系网络图中的图节点的节点等级;
根据所述图节点的所述节点等级与所述图节点对应的预设节点权值确定所述目标数据的泄露路径。
4.根据权利要求3所述的方法,其特征在于,所述根据所述图节点的所述节点等级和与所述图节点对应的预设节点权值确定所述目标数据的泄露路径,包括:
针对每个图节点,根据所述图节点的节点等级和与所述图节点对应的预设节点权值确定计算所述图节点的参考值;
根据各个所述图节点的参考值确定所述目标数据的泄露路径。
5.根据权利要求4所述的方法,其特征在于,所述泄露路径至少包括一个流转节点;所述根据各个所述图节点的参考值确定所述目标数据的泄露路径,包括:
根据所述图节点的参考值对各个所述图节点进行排序,确定图节点排序队列;
将位于所述图节点排序队列预设位置范围内的图节点作为目标节点,并确定目标节点对应的流转节点;
根据所述目标节点对应的流转节点确定所述目标数据的泄露路径。
6.根据权利要求1所述的方法,其特征在于,所述获取待溯源的目标数据,包括下述操作中至少一项:
从平台投诉信息中获取用户投诉样本信息,作为所述待溯源的目标数据;
从第三方信息服务平台获取信息泄露相关样本,作为所述待溯源的目标数据;
从预警系统获取异常数据流动的相关样本,作为所述待溯源的目标数据。
7.一种目标数据泄露路径的溯源装置,其特征在于,包括:
目标数据获取模块,用于获取待溯源的目标数据;
流转节点查找模块,用于通过系统日志查找所述目标数据的生命周期中的流转节点,并确定与所述流转节点对应的流转方向;其中,所述流转节点是目标数据流转过程中接触过目标数据的节点;
数据分析模块,用于根据所述流转节点和所述流转方向生成所述目标数据的数据有向关系网络图;
泄露路径确定模块,用于根据所述数据有向关系网络图确定所述目标数据的泄露路径,并在所述泄露路径中以设定标记标识所述流转节点,所述设定标记包括数据泄露告警标记;
泄露路径展示模块,用于在用户终端上显示所述泄露路径及所述流转节点;
所述数据分析模块具体用于:
将所述流转节点作为数据有向关系网络图的图节点,将所述流转节点对应的流转方向作为边方向;
根据所述图节点和所述边方向生成所述目标数据的数据有向关系网络图。
8.一种电子设备,其特征在于,所述电子设备包括:
至少一个处理器;以及
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有可被所述至少一个处理器执行的计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行权利要求1-6中任一项所述的目标数据泄露路径的溯源方法。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机指令,所述计算机指令用于使处理器执行时实现权利要求1-6中任一项所述的目标数据泄露路径的溯源方法。
CN202211701915.6A 2022-12-28 2022-12-28 目标数据泄露路径的溯源方法、装置、电子设备和存储介质 Active CN115906135B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211701915.6A CN115906135B (zh) 2022-12-28 2022-12-28 目标数据泄露路径的溯源方法、装置、电子设备和存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211701915.6A CN115906135B (zh) 2022-12-28 2022-12-28 目标数据泄露路径的溯源方法、装置、电子设备和存储介质

Publications (2)

Publication Number Publication Date
CN115906135A CN115906135A (zh) 2023-04-04
CN115906135B true CN115906135B (zh) 2024-03-19

Family

ID=86488211

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211701915.6A Active CN115906135B (zh) 2022-12-28 2022-12-28 目标数据泄露路径的溯源方法、装置、电子设备和存储介质

Country Status (1)

Country Link
CN (1) CN115906135B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116488943B (zh) * 2023-06-19 2023-08-25 杭州海康威视数字技术股份有限公司 多媒体数据泄露溯源检测方法、装置及设备

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112905857A (zh) * 2021-01-30 2021-06-04 北京中安星云软件技术有限公司 一种基于数据特征的数据泄露行为溯源方法及装置
CN113886841A (zh) * 2021-10-27 2022-01-04 中国人民解放军战略支援部队信息工程大学 一种面向云数据操作行为的可信溯源方法
CN114625622A (zh) * 2022-03-17 2022-06-14 浙江网商银行股份有限公司 数据处理方法以及水印处理装置
CN115408245A (zh) * 2022-08-25 2022-11-29 重庆长安汽车股份有限公司 一种数据流转跟踪方法、系统、电子设备及存储介质

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112905857A (zh) * 2021-01-30 2021-06-04 北京中安星云软件技术有限公司 一种基于数据特征的数据泄露行为溯源方法及装置
CN113886841A (zh) * 2021-10-27 2022-01-04 中国人民解放军战略支援部队信息工程大学 一种面向云数据操作行为的可信溯源方法
CN114625622A (zh) * 2022-03-17 2022-06-14 浙江网商银行股份有限公司 数据处理方法以及水印处理装置
CN115408245A (zh) * 2022-08-25 2022-11-29 重庆长安汽车股份有限公司 一种数据流转跟踪方法、系统、电子设备及存储介质

Also Published As

Publication number Publication date
CN115906135A (zh) 2023-04-04

Similar Documents

Publication Publication Date Title
CN115396289B (zh) 一种故障告警确定方法、装置、电子设备及存储介质
CN115906135B (zh) 目标数据泄露路径的溯源方法、装置、电子设备和存储介质
CN116049146B (zh) 一种数据库故障处理方法、装置、设备及存储介质
CN116225769B (zh) 一种系统故障根因的确定方法、装置、设备及介质
CN116089231B (zh) 一种故障告警方法、装置、电子设备及存储介质
CN116010220A (zh) 一种告警诊断方法、装置、设备及存储介质
CN117149894A (zh) 一种调用链路的展示方法、装置、电子设备及存储介质
CN117762950B (zh) 基于树形结构的日志数据分析处理方法、装置及介质
CN117424850B (zh) 一种异常链路聚合方法、查询方法、装置、设备及介质
CN116915463B (zh) 一种调用链数据安全分析方法、装置、设备及存储介质
CN117421640A (zh) 一种api资产识别方法、装置、设备及存储介质
CN115687406B (zh) 一种调用链数据的采样方法、装置、设备及存储介质
CN117093627A (zh) 信息挖掘的方法、装置、电子设备和存储介质
CN116668264A (zh) 一种告警聚类的根因分析方法、装置、设备及存储介质
CN116112339B (zh) 一种根因告警的定位方法、装置、设备及介质
CN117156398B (zh) 消息处理方法、装置、电子设备及存储介质
CN118244055A (zh) 配电网故障处理方法、装置、设备以及存储介质
CN117749614A (zh) 一种协议规则确定方法、装置、电子设备及存储介质
CN117729005A (zh) 一种网络资产测绘方法
CN117272151A (zh) 数据处理方法、装置、设备和存储介质
CN118606887A (zh) 数据处理方法、装置、电子设备及存储介质
CN117632863A (zh) 一种电子档案的缺失检测方法、装置、设备及介质
CN115686517A (zh) 基于移动开发平台的前端页面埋点方法、装置、电子设备和存储介质
CN118394597A (zh) 调用链日志下指标数据异常检测方法、装置、设备及介质
CN116980273A (zh) 物联网设备接入系统、方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant