CN111031035B - 一种敏感数据访问行为监控方法及装置 - Google Patents
一种敏感数据访问行为监控方法及装置 Download PDFInfo
- Publication number
- CN111031035B CN111031035B CN201911273094.9A CN201911273094A CN111031035B CN 111031035 B CN111031035 B CN 111031035B CN 201911273094 A CN201911273094 A CN 201911273094A CN 111031035 B CN111031035 B CN 111031035B
- Authority
- CN
- China
- Prior art keywords
- access
- data
- api
- response message
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6227—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/10—Active monitoring, e.g. heartbeat, ping or trace-route
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- Databases & Information Systems (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Medical Informatics (AREA)
- Cardiology (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本说明书公开一种敏感数据访问行为监控方法及装置。可以通过预设算法或模型构建为任一数据提供方的API配置允许访问区域,所述方法包括:获取数据提供方向数据访问方发送的数据查询响应报文;判断所述响应报文中,是否包含预设的敏感数据特征;在所述响应报文中包含预设的敏感数据特征的情况下,获取所述数据访问方的IP地址,以及数据提供方的API标识;根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,所述异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为,敏感数据包括涉及到个人信息的隐私数据。
Description
技术领域
本说明书涉及信息安全技术领域,尤其涉及一种敏感数据访问行为监控方法及装置。
背景技术
随着互联网技术的快速发展,大多数企业都会开放一些接口供合作方使用,合作方可以使用接口访问企业提供的数据,其中也包括一些敏感数据,例如身份证号码、电话号码等涉及到个人信息的隐私数据。
但现如今存在合作方账户被盗,或合作方将账户出借后被滥用的情况,如果这些敏感数据任由非法用户获取而不加监控,将造成严重的信息安全问题。
发明内容
针对上述技术问题,本说明书提供一种敏感数据访问行为监控方法及装置,技术方案如下:
根据本说明书的第一方面,提供一种敏感数据访问行为监控方法,为任一数据提供方的API配置允许访问区域,该方法包括:
获取数据提供方向数据访问方发送的数据查询响应报文;
判断响应报文中,是否包含预设的敏感数据特征;
在响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址,以及数据提供方的API标识;
根据IP地址和API标识,判断数据查询响应报文对应的访问行为是否为异常访问行为,异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
根据本说明书的第二方面,提供一种敏感数据访问行为监控装置,为任一数据提供方的API配置允许访问区域,该装置包括:
报文获取模块,用于获取数据提供方向数据访问方发送的数据查询响应报文;
数据特征判断模块,用于判断响应报文中,是否包含预设的敏感数据特征;
报文信息获取模块,用于在响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址,以及数据提供方的API标识;
异常行为判断模块,用于根据IP地址和API标识,判断数据查询响应报文对应的访问行为是否为异常访问行为,异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
本说明书所提供的技术方案,通过获取数据查询响应报文,在判断该响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址以及数据提供方的API标识,进而根据获取的IP地址和API标识判断数据查询响应报文对应的访问行为是否为异常访问行为。将访问敏感数据且访问区域为允许访问区域外的访问请求筛选出来,即能够将异常访问行为筛选出来,实现了对敏感数据访问行为的监控,从而提高了数据信息的安全。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本说明书实施例。
附图说明
为了更清楚地说明本说明书实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书实施例中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本说明书实施例的一种网络架构示意图;
图2是本说明书实施例的一种敏感数据访问行为监控方法流程图;
图3是本说明书实施例的一种敏感数据访问行为监控装置结构示意图;
图4是本说明书实施例的另一种敏感数据访问行为监控装置结构示意图;
图5是是用于配置本说明书实施例装置的一种设备的结构示意图。
具体实施方式
为了使本领域技术人员更好地理解本说明书实施例中的技术方案,下面将结合本说明书实施例中的附图,对本说明书实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本说明书的一部分实施例,而不是全部的实施例。基于本说明书中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于保护的范围。在本说明书使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本说明书。在本说明书和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本说明书可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本说明书范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
随着互联网技术的快速发展,大多数企业都会开放一些API接口供合作方使用,合作方可以使用API接口访问企业提供的数据,其中也包括一些敏感数据,例如身份证号码、电话号码等涉及到个人信息的隐私数据。
但现如今存在合作方账户被盗,或合作方将账户出借后被滥用的情况,如果这些敏感数据任由非法用户获取而不加监控,将造成严重的信息安全问题。
如图1所示,为本说明书示出的一种网络架构示意图;
现如今各企业都会开放出一些API接口供合作方使用,如图的形式,合作方通过客户端登录API接口,访问企业的服务器,进而获取服务器中的数据,客户端方即为数据请求方,服务器方即为数据提供方,数据请求方发送的查询报文都要经过第三方设备到达数据提供方,数据提供方返回的响应报文也要经过第三方设备到达数据请求方,故第三方设备可以获取查询和响应报文。当合作方的账户信息出现了泄露时,非法用户就可以利用其账户信息,随意访问服务器中的数据,这其中还涉及到一些安全性要求较高的敏感数据,例如身份证号码、电话号码、家庭住址等涉及到个人信息的隐私数据。如果这样的敏感数据被非法用户随意盗取和使用,那么会对合作方和企业造十分严重的信息安全问题。
为了解决上述问题,本说明书提供的方案是,通过技术手段监控数据请求方的敏感数据的访问行为,进而通过技术手段判断该敏感数据的访问行为是否为异常访问行为,从而实现了对敏感数据的监控,提升了敏感数据的安全性。本说明书中描述的技术方案应用于第三方设备。
图2所示,为本说明书提供的一种敏感数据访问行为监控方法流程图,具体方案是:
针对以上问题,本说明书实施例提供一种敏感数据访问行为监控方法,为任一数据提供方的API配置允许访问区域。由于企业内部会记录有API服务的数据访问方,即API和数据访问方的对应关系。可以根据API服务的数据访问方的设置,获得数据访问方自定义的访问区域。
例如数据访问方主要在北京或上海进行访问数据,可以将自定义的访问区域设置为北京和上海。当该API仅开放给该一个数据访问方时,可以将其自定义的访问区域配置为该API的允许访问区域;当该API服务于多个数据访问方时,可以将多个数据访问方自定义的访问区域的并集设置为该API的允许访问区域;
在数据访问方未自定义的情况下,也可以根据该数据访问方的历史访问区域数据配置API的允许访问区域,例如根据记载的访问日志发现该数据访问方在上海发送访问请求的次数的占总访问次数的比例超过了预设比例阈值,则将上海设置为该API的允许访问区域,例如预设比例阈值为80%,该数据访问方在上海发送访问请求的比例为90%,说明数据访问方会经常在上海进行访问,在上海进行数据访问为异常行为的几率较小,上海即为该数据访问方的安全访问区域,如果该API仅服务于该数据访问方,此时可以将上海配置为该API的允许访问区域。另外也可以通过数据访问方的历史访问区域数据进行模型构建,在得到模型后,将数据访问方的历史访问区域数据作为输入,输入到预设构建好的模型中,输出为该数据访问方的安全访问区域,该安全访问区域即为该数据访问方对应的API的允许访问区域。当该API服务于多个数据访问方时,可以根据每个数据访问方的历史访问区域数据确定每个数据访问方的安全访问区域,并将每个数据访问方的安全访问区域取并集设置为该API的允许访问区域。
当然在数据访问方有预设的自定义访问区域的情况下,也可以通过查询访问记录确定该数据访问方的安全访问区域,并将该数据访问方的自定义访问区域和安全访问区域取并集确定为该API的允许访问区域。上述根据数据访问方的历史访问区域数据配置API的允许访问区域的数学算法仅是示例性,并不对此做限定。
该敏感数据访问行为监控方法可以包括以下步骤:
S201,获取数据提供方向数据访问方发送的数据查询响应报文;
数据提供方在需要获取数据时,会通过数据提供方的API,向数据提供方发送数据查询请求。举例而言,企业会通常会将API以URL的形式开放给合作方,合作方通过在浏览器中输入目标URL,进而能够通过目标URL实现使用API来访问数据,在通过身份验证后,可以进一步获得敏感数据等安全性等级较高的数据。
数据提供方在确认了数据访问方的身份之后,会根据数据访问方发送的数据查询报文确定数据访问方需要查询的数据,并通过数据查询响应报文将数据访问方需要查询的数据返回,以使数据访问方能够获得想要查询的数据。
在数据提供方向数据访问方发送数据查询响应报文时,获取数据查询响应报文,从而能够确定数据访问方想要查询的数据。
S202,判断响应报文中,是否包含预设的敏感数据特征;
结合S201,在获取了数据查询响应报文后,可以将数据查询响应报文进行解析,获得数据查询响应报文的内容,进而采用技术手段判断响应报文中,是否包含预设的敏感数据特征。
可以采用分词技术,例如JIEBA分词技术对数据查询响应报文的内容进行分词处理,得到分词结果列表,
例如,获得数据查询响应报文的内容为,“亲爱的令狐冲先生,您的身份信息已上传,身份证号41052318520405XXXX,请等待审批。”
利用JIEBA分词技术对数据查询响应报文的内容进行分词处理,得到的分词列表为:“亲爱的”、“令狐冲”、“先生”、“您”、“的”、“身份”、“信息”、“已上传”、“身份证号”、“41052318520405XXXX”、“请”、“等待”、“审核”。
对分词结果列表中的分词结果进行逐条判定;
可以将分词列表中的分词结果进行展示,由工作人员对每条分词结果进行人工判定是否为敏感数据。
为节省人工,提升判定效率,也可以根据预设的正则表达式对分词结果列表中的分词结果进行逐条判定。将敏感数据的特征进行汇总,并根据敏感数据的特征预先设置正则表达式,这样就可以基于预先设置的正则表达式来匹配每条分词结果,若分词列表中的分词结果能够匹配预设的正则表达式,则说明该分词结果包含预设的敏感数据特征。判定了每条分词结果是否包含敏感数据后,进而能够确定该响应报文中是否包含敏感数据。
在一个实施例中,可以在判定分词结果列表中的至少一条分词结果包含预设的敏感数据特征的情况下,确定响应报文中包含预设的敏感数据特征。
结合上述分词结果列表的例子,通过正则表达式或者人工判定的方式,确定了其中的“41052318520405XXXX”类型为身份证号码,属于敏感数据,进而可以确定该响应报文中包含预设的敏感数据特征。
通过获取数据查询响应报文,并对报文做分词处理,并利用预设的正则表达式对分词列表进行判定,从而实现了对数据查询响应报文是否包含敏感数据的判定。
S203,在确定了响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址,以及数据提供方的API标识;
在确定了响应报文中包含预设的敏感数据特征的情况下,需要对该响应报文进行监控。可以通过查询响应报文的目的IP地址来确定数据访问方的IP地址,或通过查询日志中记载的数据查询报文的源IP地址来确定数据访问方的IP地址;可以通过日志中记载的数据查询报文的目标URL,并根据预设的URL及API标识的对照表来确定数据提供方的API标识,也可以通过查询响应报文的内容来确定数据提供方的API标识。
另一方面,在确定了响应报文中不包含预设的敏感数据特征的情况下,说明该数据请求方并没有获取敏感数据,无需对其进行监控,可以不做任何处理,以节约处理资源。
本说明书通过获取数据查询响应报文,并对响应报文内容进行分词处理,能够识别出包含敏感数据的响应报文,将包含安全性要求较低的常规数据的响应报文和包含敏感数据的响应报文区分开,进而只对包含敏感数据的响应报文进一步处理。
S204,根据IP地址和API标识,判断数据查询响应报文对应的访问行为是否为异常访问行为。
这里的异常访问行为是指:不在API对应的允许访问区域中发起的敏感数据访问行为。
由于敏感数据的安全性要求要高于其他普通数据,若数据查询请求为不在预设的允许访问区域发起的,且该访问请求的数据为敏感数据,则说明该数据查询请求的安全风险很大,需要对该请求做进一步的监控和处理。
可以根据S203的得到的IP地址和API标识,进一步判断该数据查询响应报文对应的访问行为是否为异常访问请求。由于已经确定了该数据查询响应报文中包含了敏感数据,故只要再确定该数据查询请求的发起区域不在允许访问区域的情况下,则可以确定该访问行为是异常访问行为。
在一个实施例中,可以在确定数据查询响应报文包含了敏感数据的情况下,立刻对该数据查询请求的发起区域进行确定。
可以将IP地址、API标识进行关联存储,生成一条针对数据查询响应报文的监控信息;可以将该监控信息进行储存,以便后续分析和查询,如表1所示。
| API标识 | IP地址 |
| A | 124.200.198.500 |
表1
在生成监控信息后可以在预设的IP地址及区域对照表中查找IP地址对应的目标区域,即根据IP地址可以确定数据查询请求的发起区域,例如国家或城市。
在确定了目标区域后,进而可以判断该目标区域是否为该API标识对应的允许访问区域,即判断该数据查询请求的发起区域是在允许访问区域内。
例如该API标识的允许访问区域为北京和上海,而确定出的该数据查询请求的发起区域即目标区域却为杭州,则说明目标区域不为该API标识的允许访问区域。在确定了目标区域不为该API标识对应的允许访问区域之后,又因为该数据查询的数据为敏感数据,故可以确定该数据查询响应报文对应的访问行为是异常访问行为。
另一方面,若确定该数据查询请求发起的区域是该API允许的访问区域,风险较低,不为异常访问行为。
本实施例中,在确定了数据查询响应报文中包含敏感数据后,直接判断该数据查询请求对应的访问行为是否为异常访问行为,可以区分出异常访问行为和正常访问行为,进而能够在监控信息中将异常访问行为识别出来。且对于每一条包含敏感数据的数据查询响应报文都进行判断,可以及时发现异常访问行为,提高了敏感数据的安全性。
在另一个实施例中,可以在确定了响应报文中包含预设的敏感数据特征的情况下,仍然获取数据访问方的IP地址,以及数据提供方的API标识,并将IP地址、API标识进行关联存储,生成一条针对数据查询响应报文的监控信息。
但由于并不能避免会出现合作方偶尔在其他地区请求数据的情况,且一般敏感信息盗取的行为特征为:短时间内出现大规模的盗取行为。故可以根据该行为特征设置相应的处理措施。例如,可以在确定了响应报文中包含预设的敏感数据特征的情况下,并不立刻判断该数据响应报文对应的访问行为是否为异常访问行为,还需进一步统计监控信息集合在预设时间内存储的相同监控信息的数量,即包含的IP地址和API标识均相同的监控信息的数量。
可以根据历史数据计算出合适的预设阈值,例如通过历史数据统计发现异常访问行为在10分钟之内的访问次数至少会超过5次,此时可以将预设阈值设置为5。当然也可以通过历史数据统计确定出异常访问行为在10分钟之内的平均访问次数,将预设阈值设置为该平均数。本申请对预设阈值的配置方法并不做限定。当监控信息预设时间内超过该预设阈值时,则说明存在安全风险,需要进一步处理。当未超过时,说明还在安全范围内,风险较小,可以不做处理
由于会将所有包含敏感数据的响应报文都生成对应的监控信息,因此监控信息集合中包括所有历史监控信息。
| API标识 | IP地址 |
| A | 124.200.198.600 |
| A | 124.200.198.600 |
| B | 124.200.198.700 |
| C | 124.200.198.850 |
| A | 124.200.198.600 |
| A | 124.200.198.600 |
| D | 124.200.198.850 |
表2
表2中示出的即为监控信息集合中的部分监控信息,例如,若刚存入的监控信息为“A-124.200.198.600”。此时,统计监控信息集合在预设时间内存储的包含“A-124.200.198.600”的监控信息的数量。例如表2所示的为近10分钟之内存储的监控信息,此时包含“A-124.200.198.600”的监控信息数量为4条。
例如,若预设阈值为5,即10分钟之内查询敏感数据的次数为5次,而记录的监控信息的数量为4,说明未达到预设阈值,风险较小,可以并不做处理。
若预设阈值为3,即10分钟之内查询敏感数据的次数为3次,而记录的监控信息的数量为4,则说明可能存在风险,可能为异常访问行为,此时需要进一步判定数据查询请求发起的区域是否在该API允许的访问区域。
关于如何确定数据查询请求发起的区域是否在该API允许的访问区域,可以参见前面实施例的描述,这里不再赘述。
同样,若确定该数据查询请求发起的区域是该API允许的访问区域,则不进行任何处理。在确定该数据查询请求发起的区域不是该API允许的访问区域的情况下,则确定该数据查询响应报文对应的访问行为为异常访问行为。
本实施例中,统计监控信息集合在预设时间内存储的包含IP地址和API标识的监控信息的数量;并在统计出的数量超过预设阈值的情况下,才进一步判断该数据查询请求对应的访问行为是否为异常访问行为,与在确定了数据查询响应报文中包含敏感数据后,直接判断该数据查询请求对应的访问行为是否为异常访问行为相比,更加节省处理资源,并且也能够起到识别异常访问行为的作用。与前述实施例相比,更适用于数据查询量较大的网络环境中。
在确定了数据查询响应报文对应的访问行为是异常访问行为的情况下,需要做进一步的处理,以降低敏感数据进一步被窃取的风险。
在一个实施例中,可以在在确定数据查询响应报文对应的访问行为是异常访问行为的情况下,触发预设的安全操作。
预设的安全操作,包括但不限于向数据安全中心发送安全警报,以提示工作人员对该API提升安全措施;以各种通知形式向合作方发送通知,例如短信通知、邮件通知等,以确定获取敏感数据的行为是否为合作方执行的;当再次监控到与上述异常访问行为相同的访问行为时,即从相同IP地址使用相同API进行查询数据的行为时,对该查询请求进行重定向,并对数据访问方的身份进行二次验证,该二次验证可以采用强度较高的验证方式,例如人脸验证、语音验证、活体验证等,在通过了验证后,方能让其查询数据。安全操作可以采用上述中的一种,也可以同时采用上述的多种,本说明书并不对此做限定。例如,可以在向数据安全中心发送安全警报的同时也可以对合作方进行短信通知。
本实施例中,通过监控敏感数据的访问行为,并在确定了敏感数据的访问行为是异常访问行为后,通过执行预设的安全操作,来避免敏感数据进一步被窃取,提高了敏感数据的安全性。
相应于上述方法实施例,本说明书实施例还提供一种敏感数据访问行为监控装置,为任一数据提供方的API配置允许访问区域,参见3图所示,该装置可以包括:
报文获取模块310,用于获取数据提供方向数据访问方发送的数据查询响应报文;
数据特征判断模块320,用于判断响应报文中,是否包含预设的敏感数据特征;
报文信息获取模块330,用于在响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址,以及数据提供方的API标识;
异常行为判断模块340,用于根据IP地址和API标识,判断数据查询响应报文对应的访问行为是否为异常访问行为,异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
在一个实施例中,该异常行为判断模块340,具体用于将IP地址、API标识进行关联存储,生成一条针对数据查询响应报文的监控信息;针对该条监控信息,在预设的IP地址及区域对照表中查找IP地址对应的目标区域;判断目标区域是否为API标识对应的允许访问区域;在目标区域不为API标识对应的允许访问区域的情况下,确定数据查询响应报文对应的访问行为是异常访问行为。
在一个实施例中,异常行为判断模块340,具体用于将IP地址、API标识进行关联存储,生成一条针对数据查询响应报文的监控信息;统计监控信息集合在预设时间内存储的包含IP地址和API标识的监控信息的数量;在统计出的数量超过预设阈值的情况下,在预设的IP地址及区域对照表中查找IP地址对应的目标区域;判断目标区域是否为API标识对应的允许访问区域;在目标区域不为API标识对应的允许访问区域的情况下,确定数据查询响应报文对应的访问行为是异常访问行为。
在一个实施例中,该数据特征判断模块320,具体用于对响应报文的内容进行分词处理,得到分词结果列表,对分词结果列表中的分词结果进行逐条判定;在判定分词结果列表中的至少一条分词结果包含预设的敏感数据特征的情况下,确定响应报文中包含预设的敏感数据特征。
在一个实施例中,该数据特征判断模块320,具体用于根据预设的正则表达式对分词结果列表中的分词结果进行逐条判定。
图4是本说明书实施例提供的另一种敏感数据访问行为监控装置,该装置还包括:
触发模块350,用于在确定数据查询响应报文对应的访问行为是异常访问行为的情况下,触发预设的安全操作。
在一个实施例中,为任一数据提供方的API配置允许访问区域,包括根据API服务的数据访问方预设的区域和/或API服务的数据访问方的历史访问区域数据配置API的允许访问区域。
上述设备中各个部件的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的。可以根据实际的需要选择其中的部分或者全部模块来实现本说明书方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书实施例还提供一种计算机设备,其至少包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,预先为任一数据提供方的API配置允许访问区域,处理器执行程序时实现前述的方法。该方法至少包括:
获取数据提供方向数据访问方发送的数据查询响应报文;
判断响应报文中,是否包含预设的敏感数据特征;
在响应报文中包含预设的敏感数据特征的情况下,获取数据访问方的IP地址,以及数据提供方的API标识;
根据IP地址和API标识,判断数据查询响应报文对应的访问行为是否为异常访问行为,异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
图5示出了本说明书实施例所提供的一种更为具体的计算设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
本说明书实施例还提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现前述的方法。其中,预先为任一数据提供方的API配置允许访问区域,该方法至少包括:
获取数据提供方向数据访问方发送的数据查询响应报文;
判断所述响应报文中,是否包含预设的敏感数据特征;
在所述响应报文中包含预设的敏感数据特征的情况下,获取所述数据访问方的IP地址,以及数据提供方的API标识;
根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,所述异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。按照本文中的界定,计算机可读介质不包括暂存电脑可读媒体(transitory media),如调制的数据信号和载波。
通过以上的实施例的描述可知,本领域的技术人员可以清楚地了解到本说明书实施例可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本说明书实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本说明书实施例各个实施例或者实施例的某些部分所述的方法。
上述实施例阐明的系统、装置、模块或单元,具体可以由计算机芯片或实体实现,或者由具有某种功能的产品来实现。一种典型的实现设备为计算机,计算机的具体形式可以是个人计算机、膝上型计算机、蜂窝电话、相机电话、智能电话、个人数字助理、媒体播放器、导航设备、电子邮件收发设备、游戏控制台、平板计算机、可穿戴设备或者这些设备中的任意几种设备的组合。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本说明书实施例方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本说明书实施例的具体实施例,应当指出,对于本技术领域的普通技术人员来说,在不脱离本说明书实施例原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本说明书实施例的保护范围。
Claims (15)
1.一种敏感数据访问行为监控方法,为任一数据提供方的API配置允许访问区域,所述方法包括:
获取数据提供方向数据访问方发送的数据查询响应报文;
判断所述响应报文中,是否包含预设的敏感数据特征;
在所述响应报文中包含预设的敏感数据特征的情况下,获取所述数据访问方的IP地址,以及数据提供方的API标识;
根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,包括:将所述IP地址和所述API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;直接针对该条监控信息进行判断;或者,在预设时间内存储的包含所述IP地址和所述API标识的监控信息的数量超过预设阈值的情况下,进行判断;
所述异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
2.根据权利要求1所述的方法,所述根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,包括:
将所述IP地址、API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;
针对该条监控信息,在预设的IP地址及区域对照表中查找所述IP地址对应的目标区域;
判断所述目标区域是否为所述API标识对应的允许访问区域;
在所述目标区域不为所述API标识对应的允许访问区域的情况下,确定所述数据查询响应报文对应的访问行为是异常访问行为。
3.根据权利要求1所述方法,所述根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,包括:
将所述IP地址、API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;
统计监控信息集合在预设时间内存储的包含所述IP地址和所述API标识的监控信息的数量;
在所述统计出的数量超过预设阈值的情况下,在预设的IP地址及区域对照表中查找所述IP地址对应的目标区域;
判断所述目标区域是否为所述API标识对应的允许访问区域;
在所述目标区域不为所述API标识对应的允许访问区域的情况下,确定所述数据查询响应报文对应的访问行为是异常访问行为。
4.根据权利要求1所述的方法,所述判断所述响应报文中,是否包含预设的敏感数据特征,包括:
对响应报文的内容进行分词处理,得到分词结果列表,对分词结果列表中的分词结果进行逐条判定;
在判定所述分词结果列表中的至少一条分词结果包含预设的敏感数据特征的情况下,确定所述响应报文中包含预设的敏感数据特征。
5.根据权利要求4所述的方法,所述对分词结果列表中的分词结果进行逐条判定包括:
根据预设的正则表达式对所述分词结果列表中的分词结果进行逐条判定。
6.根据权利要求1所述的方法,所述方法还包括:
在确定所述数据查询响应报文对应的访问行为是异常访问行为的情况下,触发预设的安全操作。
7.根据权利要求1所述的方法,所述为任一数据提供方的API配置允许访问区域,包括:
根据API服务的数据访问方预设的区域和/或所述API服务的数据访问方的历史访问区域数据配置所述API的允许访问区域。
8.一种敏感数据访问行为监控装置,为任一数据提供方的API配置允许访问区域,所述装置包括:
报文获取模块,用于获取数据提供方向数据访问方发送的数据查询响应报文;
数据特征判断模块,用于判断所述响应报文中,是否包含预设的敏感数据特征;
报文信息获取模块,用于在所述响应报文中包含预设的敏感数据特征的情况下,获取所述数据访问方的IP地址,以及数据提供方的API标识;
异常行为判断模块,用于根据所述IP地址和所述API标识,判断所述数据查询响应报文对应的访问行为是否为异常访问行为,包括:将所述IP地址和所述API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;直接针对该条监控信息进行判断;或者,在预设时间内存储的包含所述IP地址和所述API标识的监控信息的数量超过预设阈值的情况下,进行判断;所述异常访问行为是:不在API对应的允许访问区域中发起的敏感数据访问行为。
9.根据权利要求8所述的装置,
所述异常行为判断模块,具体用于将所述IP地址、API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;针对该条监控信息,在预设的IP地址及区域对照表中查找所述IP地址对应的目标区域;判断所述目标区域是否为所述API标识对应的允许访问区域;在所述目标区域不为所述API标识对应的允许访问区域的情况下,确定所述数据查询响应报文对应的访问行为是异常访问行为。
10.根据权利要求8所述的装置,
所述异常行为判断模块,具体用于将所述IP地址、API标识进行关联存储,生成一条针对所述数据查询响应报文的监控信息;统计监控信息集合在预设时间内存储的包含所述IP地址和所述API标识的监控信息的数量;在所述统计出的数量超过预设阈值的情况下,在预设的IP地址及区域对照表中查找所述IP地址对应的目标区域;判断所述目标区域是否为所述API标识对应的允许访问区域;在所述目标区域不为所述API标识对应的允许访问区域的情况下,确定所述数据查询响应报文对应的访问行为是异常访问行为。
11.根据权利要求8所述的装置,
所述数据特征判断模块,具体用于对响应报文的内容进行分词处理,得到分词结果列表,对分词结果列表中的分词结果进行逐条判定;在判定所述分词结果列表中的至少一条分词结果包含预设的敏感数据特征的情况下,确定所述响应报文中包含预设的敏感数据特征。
12.根据权利要求11所述的装置,
所述数据特征判断模块具体用于根据预设的正则表达式对所述分词结果列表中的分词结果进行逐条判定。
13.根据权利要求8所述的装置,所述装置还包括:
触发模块,用于在确定所述数据查询响应报文对应的访问行为是异常访问行为的情况下,触发预设的安全操作。
14.根据权利要求8所述的装置,所述为任一数据提供方的API配置允许访问区域,包括:
根据API服务的数据访问方预设的区域和/或所述API服务的数据访问方的历史访问区域数据配置所述API的允许访问区域。
15.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其中,所述处理器执行所述程序时实现如权利要求1至7任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911273094.9A CN111031035B (zh) | 2019-12-12 | 2019-12-12 | 一种敏感数据访问行为监控方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201911273094.9A CN111031035B (zh) | 2019-12-12 | 2019-12-12 | 一种敏感数据访问行为监控方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111031035A CN111031035A (zh) | 2020-04-17 |
| CN111031035B true CN111031035B (zh) | 2022-04-19 |
Family
ID=70206169
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201911273094.9A Active CN111031035B (zh) | 2019-12-12 | 2019-12-12 | 一种敏感数据访问行为监控方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111031035B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111291409B (zh) * | 2020-02-03 | 2022-12-20 | 支付宝(杭州)信息技术有限公司 | 一种数据监控方法及装置 |
| CN111508617B (zh) * | 2020-07-01 | 2020-09-25 | 智博云信息科技(广州)有限公司 | 疫情数据维护方法、装置、计算机设备和可读存储介质 |
| CN112597532A (zh) * | 2020-12-04 | 2021-04-02 | 光大科技有限公司 | 敏感数据访问的监控方法及装置 |
| CN112632128A (zh) * | 2020-12-29 | 2021-04-09 | 深圳昂楷科技有限公司 | 一种稽查敏感数据的方法、系统及电子设备 |
| CN112836223A (zh) * | 2021-02-01 | 2021-05-25 | 长沙市到家悠享网络科技有限公司 | 数据处理方法、装置及设备 |
| CN112965979B (zh) * | 2021-03-10 | 2024-05-03 | 中国民航信息网络股份有限公司 | 一种用户行为分析方法、装置及电子设备 |
| CN113055380B (zh) * | 2021-03-11 | 2022-08-05 | 平安银行股份有限公司 | 报文处理方法、装置、电子设备及介质 |
| CN113609520A (zh) * | 2021-07-22 | 2021-11-05 | 北京华云安信息技术有限公司 | 接口调用方法、装置、设备和计算机可读存储介质 |
| CN113986956B (zh) * | 2021-12-29 | 2022-03-25 | 深圳红途科技有限公司 | 数据异常查询分析方法、装置、计算机设备及存储介质 |
| CN118713936A (zh) * | 2024-08-29 | 2024-09-27 | 中孚信息股份有限公司 | 基于api流量数据的数据监测方法、系统、设备及介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1476561A (zh) * | 2001-09-28 | 2004-02-18 | 索尼株式会社 | 访问限制装置、访问限制方法、记录有访问限制程序的计算机可读程序存储媒体以及访问限制程序 |
| CN1836218A (zh) * | 2003-08-28 | 2006-09-20 | 国际商业机器公司 | 数据库系统、允许/禁止信息采集的检查系统、信息采集方法和程序 |
| CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
| CN107392028A (zh) * | 2017-07-21 | 2017-11-24 | 上海携程商务有限公司 | 敏感信息的检测方法及其检测装置、存储介质、电子设备 |
| CN109063511A (zh) * | 2018-08-16 | 2018-12-21 | 深圳云安宝科技有限公司 | 基于Web API的数据访问控制方法、装置、代理服务器及介质 |
| CN109561065A (zh) * | 2017-09-27 | 2019-04-02 | 佳能株式会社 | 信息处理装置及其控制方法和存储介质 |
| CN109997143A (zh) * | 2016-09-30 | 2019-07-09 | 迈克菲有限责任公司 | 敏感数据的安全共享 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10331904B2 (en) * | 2012-02-14 | 2019-06-25 | Radar, Llc | Systems and methods for managing multifaceted data incidents |
| US9959285B2 (en) * | 2014-08-08 | 2018-05-01 | International Business Machines Corporation | Restricting sensitive query results in information management platforms |
-
2019
- 2019-12-12 CN CN201911273094.9A patent/CN111031035B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1476561A (zh) * | 2001-09-28 | 2004-02-18 | 索尼株式会社 | 访问限制装置、访问限制方法、记录有访问限制程序的计算机可读程序存储媒体以及访问限制程序 |
| CN1836218A (zh) * | 2003-08-28 | 2006-09-20 | 国际商业机器公司 | 数据库系统、允许/禁止信息采集的检查系统、信息采集方法和程序 |
| CN105681276A (zh) * | 2015-12-25 | 2016-06-15 | 亿阳安全技术有限公司 | 一种敏感信息泄露主动监控与责任认定方法与装置 |
| CN109997143A (zh) * | 2016-09-30 | 2019-07-09 | 迈克菲有限责任公司 | 敏感数据的安全共享 |
| CN107392028A (zh) * | 2017-07-21 | 2017-11-24 | 上海携程商务有限公司 | 敏感信息的检测方法及其检测装置、存储介质、电子设备 |
| CN109561065A (zh) * | 2017-09-27 | 2019-04-02 | 佳能株式会社 | 信息处理装置及其控制方法和存储介质 |
| CN109063511A (zh) * | 2018-08-16 | 2018-12-21 | 深圳云安宝科技有限公司 | 基于Web API的数据访问控制方法、装置、代理服务器及介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111031035A (zh) | 2020-04-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111031035B (zh) | 一种敏感数据访问行为监控方法及装置 | |
| US8832840B2 (en) | Mobile application security and management service | |
| WO2016034063A1 (zh) | 基于伪基站的恶意短信息处理方法及客户端 | |
| CN110417778B (zh) | 访问请求的处理方法和装置 | |
| CN113489713B (zh) | 网络攻击的检测方法、装置、设备及存储介质 | |
| US9137245B2 (en) | Login method, apparatus, and system | |
| CN114244808B (zh) | 基于非客户端模式被动检查离线非法外联方法和装置 | |
| US20150326596A1 (en) | Cloud based method and apparatus for monitoring internet usage | |
| CN105095758B (zh) | 锁屏应用程序处理方法、装置以及移动终端 | |
| CN114244624A (zh) | 流量控制方法及装置、设备、存储介质 | |
| CN111756745B (zh) | 告警方法、告警装置、终端设备及计算机可读存储介质 | |
| CN108920326B (zh) | 确定系统耗时异常的方法、装置及电子设备 | |
| CN109428924B (zh) | 应用的在线状态维护方法、接入层组件、应用系统及设备 | |
| US11251976B2 (en) | Data security processing method and terminal thereof, and server | |
| CN111506895A (zh) | 一种应用登录图的构建方法及装置 | |
| CN108809909B (zh) | 数据处理方法及数据处理装置 | |
| CN110955842A (zh) | 一种异常访问行为识别方法及装置 | |
| CN108197475B (zh) | 一种恶意so模块检测方法及相关装置 | |
| CN111291409B (zh) | 一种数据监控方法及装置 | |
| CN107181719B (zh) | 一种木马程序的检测方法和装置 | |
| CN114157483B (zh) | 登录方法、装置、电子设备及存储介质 | |
| CN116094847B (zh) | 蜜罐识别方法、装置、计算机设备和存储介质 | |
| CN117640153A (zh) | 异常查询检测方法、装置、设备、介质及程序产品 | |
| JP7037628B2 (ja) | 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム | |
| US11025593B2 (en) | Template-based session control in proxy solutions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |