基于数据行为模拟的数据安全计算方法、系统及存储介质

摘要

本发明公开了一种基于数据行为模拟的数据安全计算方法、系统及存储介质，该方法由数据提供方终端解析数据使用方终端发送的数据请求，获取该数据请求的请求内容，并将该数据请求的目标数据对象替换为等效执行对象，再在隔离环境中执行操作语句，对该等效执行对象进行相应的数据操作，得到等效执行结果，由于等效执行对象具有目标数据对象的数据特征，通过对比等效执行对象与等效执行结果的数据差异，能够确定数据操作的行为特征，最后根据该数据操作的行为特征的评价结果，确定是否响应该数据请求。因此，本发明通过构建等效执行对象，能够准确地识别数据操作风险，并进行有效地阻断与隔离，极大地提高了数据操作的安全性与数据服务的可靠性。

说明书

技术领域

本发明涉及数据安全计算技术，尤其涉及一种基于数据行为模拟的数据安全计算方法、系统及存储介质。

背景技术

随着大数据底层技术和基于数据的应用模式不断发展，数据和基于数据驱动的应用正在成为驱动企业和组织数字发展的新一轮价值动力。根据数据的归属分类，数据协作计算的参与组织一般可以分为数据提供方和数据使用方。其中数据提供方拥有、保存和管理相关数据，但不直接面向最终用户提供基于数据的服务；而数据使用方则是通过对数据提供方提供的数据，进行分析处理和增值服务开发，而提供基于数据的服务。

目前，针对数据提供方的数据安全方案，通常是首先分析请求内容，并根据具体的规则或策略来进行判断。考虑到大数据场景下，数据量每天都在高速增长，数据不停地变化，用户的需求也在变化，难以通过预设的具体的规则或策略，来限制数据使用方只获取双方约定的数据内容，即无法完全准确地识别数据操作风险，给数据提供方带来了极大的安全隐患。

发明内容

鉴于以上所述现有技术的不足，本发明的目的在于：提供一种基于数据行为模拟的数据安全计算方法，能够准确地识别数据操作风险，并进行有效地阻断与隔离，极大地提高了数据操作的安全性与数据服务的可靠性。

为实现上述发明目的，本发明提供以下技术方案：

一种基于数据行为模拟的数据安全计算方法，其包括以下步骤：

数据提供方终端解析数据使用方终端发送的数据请求，获取到所述数据请求的请求内容，其中，所述请求内容包括目标数据对象，以及用于对所述目标数据对象进行数据操作的操作语句；

数据提供方终端将所述数据请求的目标数据对象替换为等效执行对象，并在隔离环境中执行所述操作语句，以对所述等效执行对象进行相应的数据操作，而得到等效执行结果；其中，所述等效执行对象具有所述目标数据对象的数据特征；

数据提供方终端根据所述等效执行对象与所述等效执行结果的数据差异，确定所述数据操作的行为特征，并对所述数据操作的行为特征，进行数据行为评价；以及根据所述数据行为评价的评价结果，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算方法中，所述数据行为评价包括：

根据数据安全模型，对所述数据操作的行为特征进行安全性评价；以及，根据数据合规模型，对所述数据操作的行为特征进行合规性评价。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算方法还包括：结合数据行为仲裁策略，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算方法中，若所述数据操作的行为特征表示其操作语句包含SQL注入，则拦截该SQL注入定义的数据操作。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算方法中，采用沙盒技术提供所述隔离环境。

本发明的另一发面，还提供一种基于数据行为模拟的数据安全计算系统，其包括：

解析模块，解析数据使用方终端发送的数据请求，获取到所述数据请求的请求内容，其中，所述请求内容包括目标数据对象，以及用于对所述目标数据对象进行数据操作的操作语句；

等效执行模块，用于将所述数据请求的目标数据对象替换为等效执行对象，并在隔离环境中执行所述操作语句，以对所述等效执行对象进行相应的数据操作，而得到等效执行结果；其中，所述等效执行对象具有所述目标数据对象的数据特征；

数据行为分析模块，用于根据所述等效执行对象与所述等效执行结果的数据差异，确定所述数据操作的行为特征；

数据行为评价模块，用于对所述数据操作的行为特征，进行数据行为评价；

仲裁模块，用于根据所述数据行为评价的评价结果，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算系统中，所述数据行为评价模块包括：

数据安全模型模块，用于对所述数据操作的行为特征进行安全性评价；

数据合规模型模块，用于对所述数据操作的行为特征进行合规性评价。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算系统中，所述仲裁模块，还用于结合数据行为仲裁策略，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

根据一种具体的实施方式，本发明基于数据行为模拟的数据安全计算系统还包括拦截模块，用于当所述仲裁模块的仲裁结果为拦截时，拦截相应的数据操作。

本发明的另一发面，还提供一种可读存储介质，其上存储有一个或多个程序，该一个或多个程序被一个或多个处理器执行时实现本发明基于数据行为模拟的数据安全计算方法。

与现有技术相比，本发明的有益效果：

本发明基于数据行为模拟的数据安全计算方法，由数据提供方终端解析数据使用方终端发送的数据请求，获取该数据请求的请求内容，并将该数据请求的目标数据对象替换为等效执行对象，再在隔离环境中执行操作语句，对该等效执行对象进行相应的数据操作，得到等效执行结果，由于等效执行对象具有目标数据对象的数据特征，数据提供方终端通过对比等效执行对象与等效执行结果的数据差异，确定数据操作的行为特征，然后对数据操作的行为特征进行数据行为评价，并根据评价结果，确定是否响应该数据请求。因此，本发明通过构建等效执行对象，能够准确地识别数据操作风险，并进行有效地阻断与隔离，极大地提高了数据操作的安全性与数据服务的可靠性。

附图说明

图1为本发明在具体数据服务应用中的流程示意图；

图2为本发明的系统架构图

具体实施方式

以下通过特定的具体实例说明本发明的实施方式，本领域技术人员可由本说明书所揭露的内容轻易地了解本发明的其他优点与功效。本发明还可以通过另外不同的具体实施方式加以实施或应用，本说明书中的各项细节也可以基于不同观点与应用，在没有背离本发明的精神下进行各种修饰或改变。

本发明基于数据行为模拟的数据安全计算方法，其包括以下步骤：

数据提供方终端解析数据使用方终端发送的数据请求，获取到所述数据请求的请求内容，其中，所述请求内容包括目标数据对象，以及用于对所述目标数据对象进行数据操作的操作语句。

数据提供方终端将所述数据请求的目标数据对象替换为等效执行对象，并在隔离环境中执行所述操作语句，以对所述等效执行对象进行相应的数据操作，而得到等效执行结果；其中，所述等效执行对象具有所述目标数据对象的数据特征。

数据提供方终端根据所述等效执行对象与所述等效执行结果的数据差异，确定所述数据操作的行为特征，并对所述数据操作的行为特征，进行数据行为评价；以及根据所述数据行为评价的评价结果，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

如图1所示，本发明在具体数据服务应用中的安全计算过程为：

首先，数据提供方终端接收到数据使用方发送的数据操作请求后，对该数据操作请求进行解析，获取到该数据操作请求的请求内容。然后，根据该请求内容中包括的目标数据对象，以及用于对目标数据对象进行数据操作的操作语句等，进行数据行为提取。具体的，目标数据对象如数据源、数据库、数据表等，数据操作如增加、删除、修改和查询等操作。

经过数据行为提取后，一方面直接依据仲裁规则或仲裁策略来进行前置判断，另一方面，根据数据行为提取的信息，来构建等价执行体，并在隔离环境中运行该等价执行体，来加载模拟数据，模拟实现该数据操作请求的相应数据操作。实际上，该等价执行体可以理解为一个程序进程，即在隔离环境中运行操作指令或语句序列，完成对数据对象的一系列处理；而模拟数据则是由数据提供方终端结合目标数据源的存储数据，并按照一定的规则而生成；而等价执行体加载的模拟数据，则与该数据请求的目标数据对象相对应的等效执行对象，由数据提供方终端根据数据行为提取的信息，提取出具有该目标数据对象的数据特征的模拟数据，即等效执行对象；等效执行对象具有与该目标数据对象相同的数据内容特征和数据结构特征。

同时，在等价执行体在隔离环境中运行的过程中，对执行过程进行细粒度的提取和分析，获取数据操作的行为特征。同时结合数据安全模型，对数据操作进行安全分类分级，以及合规性检查，输出行为评价结果。即评价结果包含数据操作的安全性评价和合规性评价。

得到数据行为的评价结果后，结合数据行为仲裁规则或仲裁策略，确定是否响应所述数据请求，即是否允许对所述目标数据对象进行所述数据操作。

如果不允许，则表明该数据操作具有风险，需要拦截该数据操作，同时进行记录和发出预警。而如果允许，则加载数据请求的目标数据，在正常的运行环境中对该目标数据，进行数据操作，并将操作结果返回给数据使用方终端。

在具体实施时，若所述数据操作的行为特征表示其操作语句包含SQL注入，则拦截所述SQL注入的数据操作，比如删除表、删除库和全表删除等数据操作，以及涉及到隐私规则的数据操作等。

本发明基于数据行为模拟的数据安全计算方法中，采用沙盒技术提供隔离环境，数据行为仲裁规则或仲裁策略则是基于用户及实体行为分析技术实现。

如图2所示，本发明的另一发面，还提供一种基于数据行为模拟的数据安全计算系统，其包括：

解析模块，解析数据使用方终端发送的数据请求，获取到所述数据请求的请求内容，其中，所述请求内容包括目标数据对象，以及用于对所述目标数据对象进行数据操作的操作语句；

等效执行模块，用于将所述数据请求的目标数据对象替换为等效执行对象，并在隔离环境中执行所述操作语句，以对所述等效执行对象进行相应的数据操作，而得到等效执行结果；其中，所述等效执行对象具有所述目标数据对象的数据特征；

数据行为分析模块，用于根据所述等效执行对象与所述等效执行结果的数据差异，确定所述数据操作的行为特征；

数据行为评价模块，用于对所述数据操作的行为特征，进行数据行为评价；

仲裁模块，用于根据所述数据行为评价的评价结果，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。

具体的，所述数据行为评价模块包括：数据安全模型模块，用于对所述数据操作的行为特征进行安全性评价；数据合规模型模块，用于对所述数据操作的行为特征进行合规性评价。

而且，本发明基于数据行为模拟的数据安全计算系统中，所述仲裁模块还用于结合数据行为仲裁策略，确定是否响应所述数据请求，以对所述目标数据对象进行所述数据操作。其中，数据提供方终端响应数据请求时，直接从目标数据源获取该数据请求对应的目标数据对象，然后对该目标数据对象进行相应的数据操作，得到数据操作结果，最后将数据操作结果返回给数据使用方终端，即完成对该数据请求的响应过程，从而实现数据提供方与数据使用方的数据协作计算。

在具体实施时，本发明基于数据行为模拟的数据安全计算系统还包括拦截模块，用于当所述仲裁模块的仲裁结果为拦截时，拦截相应的数据操作。

本发明的另一方面，还提供一种可读存储介质，其上存储有一个或多个程序，其特征在于，该一个或多个程序被一个或多个处理器执行时实现本发明基于数据行为模拟的数据安全计算方法。

应该理解到，本发明所揭露的系统，可通过其它的方式实现。例如所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，模块之间的通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性或其它的形式。

另外，在本发明各个实施例中的各功能模块可以集成在一个处理单元中，也可以是各个模块单独物理存在，也可以两个或两个以上模块集成在一个处理单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用软件功能单元的形式实现。

所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、移动硬盘、磁碟或者光盘等各种可以存储程序代码的介质。