用于识别数据的方法和装置与流程

1.本技术的实施例涉及计算机技术领域，具体涉及数据处理技术领域，尤其涉及用于识别数据的方法和装置。


背景技术：

2.权限平台是一个标准的基于角色的访问控制(简称rbac)权限管理平台，需要权限控制的业务应用到权限平台注册、申请权限资源码，然后通过角色管理资源码权限。
3.目前，权限平台无法识别权限资源码背后代表了哪些敏感数据，权限审批人也没有审批依据，只能靠申请人写的申请理由和自己的经验进行判断，权限管理和审查比较困难。通过http报文流量数据不知道流量中的url即访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个，资产定位困难，敏感数据在哪比较模糊，很难做到重点保护。


技术实现要素：

4.本技术提供了一种用于识别数据的方法、装置、设备以及存储介质。
5.根据本技术的第一方面，提供了一种用于识别数据的方法，该方法包括：响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用；基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，其中，链路追踪标识用于表征访问地址与各个服务应用之间的关联关系；基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到；基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，其中，权限资源码用于表征对请求进行权限校验所用的资源信息；对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
6.在一些实施例中，数据库的更新过程如下：将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码；基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，对数据库进行更新。
7.在一些实施例中，将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，包括：基于链路追踪技术，将链路追踪标识与各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，其中，链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
8.在一些实施例中，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，包括：对各个服务应用的执行代码进行提取，得到各个服务应用的执行代码对应的特征数据集；对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
9.在一些实施例中，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，包括：将各个服务应用的权限资源码输入至训练得到的数据识别模型，生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型，其中，数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
10.在一些实施例中，方法还包括：将链路追踪标识发送至客户端。
11.在一些实施例中，方法还包括：基于各个权限资源码所表征的各个敏感数据与权限审查的相关性，优化权限审查策略。
12.根据本技术的第二方面，提供了一种用于识别数据的装置，装置包括：第一获取单元，被配置成响应于接收到客户端发送的用户访问请求，获取请求对应的用户标识、访问地址、为请求提供的各个服务应用；第一生成单元，被配置成基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，其中，链路追踪标识用于表征访问地址与各个服务应用之间的关联关系；第二获取单元，被配置成基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到；第二生成单元，被配置成基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，其中，权限资源码用于表征对请求进行权限校验所用的资源信息；数据识别单元，被配置成对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
13.在一些实施例中，数据库的更新过程通过如下模块完成：生成模块，被配置成将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码；更新模块，被配置成基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，对数据库进行更新。
14.在一些实施例中，生成模块进一步配置成基于链路追踪技术，将链路追踪标识与各个服务应用对应的应用信息进行绑定，其中，链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
15.在一些实施例中，数据识别单元，包括：提取模块，被配置成对各个服务应用的执行代码进行提取，得到各个服务应用的执行代码对应的特征数据集；识别模块，被配置成对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
16.在一些实施例中，数据识别单元进一步被配置成将各个服务应用的权限资源码输入至训练得到的数据识别模型，生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型，其中，数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
17.在一些实施例中，装置还包括：发送单元，被配置成将链路追踪标识发送至客户端。
18.在一些实施例中，装置还包括：优化单元，被配置成基于各个权限资源码所表征的各个敏感数据与权限审查的相关性，优化权限审查策略。
19.根据本技术的第三方面，提供了一种电子设备，包括：至少一个处理器；以及与至少一个处理器通信连接的存储器；其中，存储器存储有可被至少一个处理器执行的指令，指令被至少一个处理器执行，以使至少一个处理器能够执行如第一方面中任一实现方式描述的方法。
20.根据本技术的第四方面，本技术提供了一种存储有计算机指令的非瞬时计算机可读存储介质，其特征在于，计算机指令用于使计算机执行如第一方面中任一实现方式描述的方法。
21.根据本技术的技术采用响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用，基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到，基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对，解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据，权限审批人也没有审批依据，权限管理和审查困难的问题，避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个，资产定位困难，敏感数据在哪比较模糊，很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息，实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系，实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
22.应当理解，本部分所描述的内容并非旨在标识本技术的实施例的关键或重要特征，也不用于限制本技术的范围。本技术的其它特征将通过以下的说明书而变得容易理解。
附图说明
23.附图用于更好地理解本方案，不构成对本技术的限定。
24.图1是根据本技术的用于识别数据的方法的第一实施例的示意图；
25.图2是可以实现本技术实施例的用于识别数据的方法的场景图；
26.图3是根据本技术的用于识别数据的方法的第二实施例的示意图；
27.图4是根据本技术的用于识别数据的装置的一个实施例的结构示意图；
28.图5是用来实现本技术实施例的用于识别数据的方法的电子设备的框图。
具体实施方式
29.以下结合附图对本技术的示范性实施例做出说明，其中包括本技术实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本技术的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。
30.需要说明的是，在不冲突的情况下，本技术中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本技术。
31.图1示出了根据本技术的用于识别数据的方法的第一实施例的示意图100。该用于识别数据的方法，包括以下步骤：
32.步骤101，响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用。
33.在本实施例中，当执行主体(例如权限管理平台)接收到客户端发送的用户访问请求，执行主体可以对用户访问请求进行解析，得到该请求对应的用户标识、访问地址、为请求提供的各个服务应用。访问地址可以为url等访问信息。应用用于表征为请求提供的服务软件，应用可以是为该请求提供的各个服务的应用。
34.步骤102，基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识。
35.在本实施例中，执行主体可以根据步骤101中获取的访问地址和各个服务应用，随机生成唯一的与访问标识和各个服务应用对应的链路追踪标识。链路追踪标识用于表征访问地址与各个服务应用之间的关联关系，即通过链路追踪标识可以看出客户端调用的是哪些后端服务应用。
36.步骤103，基于链路追踪标识，从数据库中获取各个服务应用的应用信息。
37.在本实施例中，执行主体可以基于步骤102中生成的链路追踪标识，从更新过的数据库中获取各个服务应用的应用信息。应用信息至少包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到。执行代码可以为sql代码。
38.进一步的，数据库的更新过程如下：将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码；基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，对数据库进行更新。通过链路追踪标识来查询相应的应用信息，建立了后端应用到数据库的数据血缘关系，实现完整的数据链条的数据血缘关系的建立。
39.步骤104，基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码。
40.在本实施例中，执行主体可以根据步骤101中获取的用户标识和各个服务应用的接口信息，按照资源码生成规则生成与各个接口信息对应的各个服务应用的权限资源码。权限资源码用于表征对请求进行权限校验所用的资源信息。资源码通过角色信息将用户与后端服务应用进行关联。
41.步骤105，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的
各个敏感数据和各个敏感数据对应的数据类型。
42.在本实施例中，执行主体可以将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型。敏感数据可以包括：手机号、邮箱、身份证、地址、银行卡和其他预设信息，敏感数据的数据类型可以通过各种方式对敏感数据进行分类而得到。
43.在本实施例的一些可选的实现方式中，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，包括：对各个服务应用的执行代码进行提取，得到各个服务应用的执行代码对应的特征数据集；对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对，特征可以包括：字段、表、库信息等sql各种相关信息。实现精准、全面地数据识别。
44.继续参见图2，本实施例的用于识别数据的方法200运行于电子设备201中。当电子设备201接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用202，然后电子设备201基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识203，接着电子设备201基于链路追踪标识，从数据库中获取各个服务应用的应用信息204，电子设备201基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码205，最后电子设备201对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型206。其中，链路追踪标识用于表征访问地址与各个服务应用之间的关联关系，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
45.本技术的上述实施例提供的用于识别数据的方法采用响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用，基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到，基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对，解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据，权限审批人也没有审批依据，权限管理和审查困难的问题，避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个，资产定位困难，敏感数据在哪比较模糊，很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息，实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系，实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
46.进一步参考图3，其示出了用于识别数据的方法的第二实施例的示意图300。该方法的流程包括以下步骤：
47.步骤301，响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用。
48.步骤302，基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，并将链路追踪标识发送至客户端。
49.在本实施例中，执行主体可以根据步骤301中获取的访问地址和各个服务应用，随机生成唯一的与访问标识和各个服务应用对应的链路追踪标识，并将链路追踪标识发送至客户端。链路追踪标识用于表征访问地址与各个服务应用之间的关联关系，即通过链路追踪标识可以看出客户端调用的是哪些后端服务应用。
50.步骤303，基于链路追踪标识，从数据库中获取各个服务应用的应用信息。
51.在本实施例中，执行主体可以基于步骤302中生成的链路追踪标识，从更新过的数据库中获取各个服务应用的应用信息。应用信息至少包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到。数据库的更新过程如下：将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码；基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，对数据库进行更新。通过链路追踪标识来查询相应的应用信息，建立了后端应用到数据库的数据血缘关系，实现完整的数据链条的数据血缘关系的建立。
52.在本实施例的一些可选的实现方式中，将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，包括：基于链路追踪技术，将链路追踪标识与各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，其中，链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。链路追踪技术可以为sdk集成的java agent调用的链追踪技术。实现简单、快速地信息绑定。
53.步骤304，基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码。
54.步骤305，将各个服务应用的权限资源码输入至训练得到的数据识别模型，生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型。
55.在本实施例中，执行主体可以将各个服务应用的权限资源码输入至训练得到的数据识别模型，利用识别方法得到各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型。数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。数据识别模型基于历史数据预先训练得到。数据识别模型可以基于卷积神经网络而构建。
56.在本实施例的一些可选的实现方式中，方法还包括：基于各个权限资源码所表征的各个敏感数据与权限审查的相关性，优化权限审查策略。根据权限所表征的数据，作为权限审查的依据，实现更佳的权限审查，进一步针对涉及敏感数据的url进行流量异常检测，降低误报率。
57.需要说明的是，上述卷积神经网络的结构和模型的训练过程是目前广泛研究和应用的公知技术，在此不再赘述。
58.在本实施例中，步骤301和304的具体操作与图1所示的实施例中的步骤101和104的操作基本相同，在此不再赘述。
59.从图3中可以看出，与图1对应的实施例相比，本实施例中的用于识别数据的方法的示意图300采用基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，并将链路追踪标识发送至客户端，实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的全数据链条的数据血缘关系；将各个服务应用的权限资源码输入至训练得到的数据识别模型，生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型，实现精准而全面、适用范围更广地数据识别。
60.进一步参考图4，作为对上述图1～3所示方法的实现，本技术提供了一种用于识别数据的装置的一个实施例，该装置实施例与图1所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。
61.如图4所示，本实施例的用于识别数据的装置400包括：第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405，其中，第一获取单元，被配置成响应于接收到客户端发送的用户访问请求，获取请求对应的用户标识、访问地址、为请求提供的各个服务应用；第一生成单元，被配置成基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，其中，链路追踪标识用于表征访问地址与各个服务应用之间的关联关系；第二获取单元，被配置成基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到；第二生成单元，被配置成基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，其中，权限资源码用于表征对请求进行权限校验所用的资源信息；数据识别单元，被配置成对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对。
62.在本实施例中，用于识别数据的装置400的第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405的具体处理及其所带来的技术效果可分别参考图1对应的实施例中的步骤101到步骤105的相关说明，在此不再赘述。
63.在本实施例的一些可选的实现方式中，数据库的更新过程通过如下模块完成：生成模块，被配置成将链路追踪标识与获取到的各个服务应用对应的应用信息进行绑定，生成绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码；更新模块，被配置成基于绑定后的各个服务应用对应的接口信息和绑定后的各个服务应用对应的执行代码，对数据库进行更新。
64.在本实施例的一些可选的实现方式中，生成模块进一步配置成基于链路追踪技术，将链路追踪标识与各个服务应用对应的应用信息进行绑定，其中，链路追踪技术用于表征利用埋点技术在各个服务应用对应的应用信息的相应位置进行埋点。
65.在本实施例的一些可选的实现方式中，数据识别单元，包括：提取模块，被配置成
对各个服务应用的执行代码进行提取，得到各个服务应用的执行代码对应的特征数据集；识别模块，被配置成对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个特征数据集中的特征数据与数据库元数据针对敏感数据的分类数据进行比对。
66.在本实施例的一些可选的实现方式中，数据识别单元进一步被配置成将各个服务应用的权限资源码输入至训练得到的数据识别模型，生成各个权限资源码所表征的各个敏感数据和与各个敏感数据对应的数据类型，其中，数据识别模型用于表征对权限资源码所表征数据是否存在敏感数据和敏感数据的数据类型进行判定。
67.在本实施例的一些可选的实现方式中，装置还包括：发送单元，被配置成将链路追踪标识发送至客户端。
68.在本实施例的一些可选的实现方式中，装置还包括：优化单元，被配置成基于各个权限资源码所表征的各个敏感数据与权限审查的相关性，优化权限审查策略。
69.根据本技术的实施例，本技术还提供了一种电子设备和一种可读存储介质。
70.如图5所示，是根据本技术实施例的用于识别数据的方法的电子设备的框图。电子设备旨在表示各种形式的数字计算机，诸如，膝上型计算机、台式计算机、工作台、个人数字助理、服务器、刀片式服务器、大型计算机、和其它适合的计算机。电子设备还可以表示各种形式的移动装置，诸如，个人数字处理、蜂窝电话、智能电话、可穿戴设备和其它类似的计算装置。本文所示的部件、它们的连接和关系、以及它们的功能仅仅作为示例，并且不意在限制本文中描述的和/或者要求的本技术的实现。
71.如图5所示，该电子设备包括：一个或多个处理器501、存储器502，以及用于连接各部件的接口，包括高速接口和低速接口。各个部件利用不同的总线互相连接，并且可以被安装在公共主板上或者根据需要以其它方式安装。处理器可以对在电子设备内执行的指令进行处理，包括存储在存储器中或者存储器上以在外部输入/输出装置(诸如，耦合至接口的显示设备)上显示gui的图形信息的指令。在其它实施方式中，若需要，可以将多个处理器和/或多条总线与多个存储器和多个存储器一起使用。同样，可以连接多个电子设备，各个设备提供部分必要的操作(例如，作为服务器阵列、一组刀片式服务器、或者多处理器系统)。图5中以一个处理器501为例。
72.存储器502即为本技术所提供的非瞬时计算机可读存储介质。其中，存储器存储有可由至少一个处理器执行的指令，以使至少一个处理器执行本技术所提供的用于识别数据的方法。本技术的非瞬时计算机可读存储介质存储计算机指令，该计算机指令用于使计算机执行本技术所提供的用于识别数据的方法。
73.存储器502作为一种非瞬时计算机可读存储介质，可用于存储非瞬时软件程序、非瞬时计算机可执行程序以及模块，如本技术实施例中的用于识别数据的方法对应的程序指令/模块(例如，附图4所示的第一获取单元401、第一生成单元402、第二获取单元403、第二生成单元404和数据识别单元405)。处理器501通过运行存储在存储器502中的非瞬时软件程序、指令以及模块，从而执行服务器的各种功能应用以及数据处理，即实现上述方法实施例中的用于识别数据的方法。
74.存储器502可以包括存储程序区和存储数据区，其中，存储程序区可存储操作系统、至少一个功能所需要的应用程序；存储数据区可存储根据用于识别数据的电子设备的
使用所创建的数据等。此外，存储器502可以包括高速随机存取存储器，还可以包括非瞬时存储器，例如至少一个磁盘存储器件、闪存器件、或其他非瞬时固态存储器件。在一些实施例中，存储器502可选包括相对于处理器501远程设置的存储器，这些远程存储器可以通过网络连接至用于识别数据的电子设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
75.用于识别数据的方法的电子设备还可以包括：输入装置503和输出装置504。处理器501、存储器502、输入装置503和输出装置504可以通过总线或者其他方式连接，图5中以通过总线连接为例。
76.输入装置503可接收输入的数字或字符信息，以及产生与用于识别数据的电子设备的用户设置以及功能控制有关的键信号输入，例如触摸屏、小键盘、鼠标、轨迹板、触摸板、指示杆、一个或者多个鼠标按钮、轨迹球、操纵杆等输入装置。输出装置504可以包括显示设备、辅助照明装置(例如，led)和触觉反馈装置(例如，振动电机)等。该显示设备可以包括但不限于，液晶显示器(lcd)、发光二极管(led)显示器和等离子体显示器。在一些实施方式中，显示设备可以是触摸屏。
77.此处描述的系统和技术的各种实施方式可以在数字电子电路系统、集成电路系统、专用asic(专用集成电路)、计算机硬件、固件、软件、和/或它们的组合中实现。这些各种实施方式可以包括：实施在一个或者多个计算机程序中，该一个或者多个计算机程序可在包括至少一个可编程处理器的可编程系统上执行和/或解释，该可编程处理器可以是专用或者通用可编程处理器，可以从存储系统、至少一个输入装置、和至少一个输出装置接收数据和指令，并且将数据和指令传输至该存储系统、该至少一个输入装置、和该至少一个输出装置。
78.这些计算程序(也称作程序、软件、软件应用、或者代码)包括可编程处理器的机器指令，并且可以利用高级过程和/或面向对象的编程语言、和/或汇编/机器语言来实施这些计算程序。如本文使用的，术语“机器可读介质”和“计算机可读介质”指的是用于将机器指令和/或数据提供给可编程处理器的任何计算机程序产品、设备、和/或装置(例如，磁盘、光盘、存储器、可编程逻辑装置(pld))，包括，接收作为机器可读信号的机器指令的机器可读介质。术语“机器可读信号”指的是用于将机器指令和/或数据提供给可编程处理器的任何信号。
79.为了提供与用户的交互，可以在计算机上实施此处描述的系统和技术，该计算机具有：用于向用户显示信息的显示装置(例如，crt(阴极射线管)或者lcd(液晶显示器)监视器)；以及键盘和指向装置(例如，鼠标或者轨迹球)，用户可以通过该键盘和该指向装置来将输入提供给计算机。其它种类的装置还可以用于提供与用户的交互；例如，提供给用户的反馈可以是任何形式的传感反馈(例如，视觉反馈、听觉反馈、或者触觉反馈)；并且可以用任何形式(包括声输入、语音输入或者、触觉输入)来接收来自用户的输入。
80.可以将此处描述的系统和技术实施在包括后台部件的计算系统(例如，作为数据服务器)、或者包括中间件部件的计算系统(例如，应用服务器)、或者包括前端部件的计算系统(例如，具有图形用户界面或者网络浏览器的用户计算机，用户可以通过该图形用户界面或者该网络浏览器来与此处描述的系统和技术的实施方式交互)、或者包括这种后台部件、中间件部件、或者前端部件的任何组合的计算系统中。可以通过任何形式或者介质的数
字数据通信(例如，通信网络)来将系统的部件相互连接。通信网络的示例包括：局域网(lan)、广域网(wan)和互联网。
81.计算机系统可以包括客户端和服务器。客户端和服务器一般远离彼此并且通常通过通信网络进行交互。通过在相应的计算机上运行并且彼此具有客户端
‑
服务器关系的计算机程序来产生客户端和服务器的关系。
82.根据本技术实施例的技术方案采用响应于接收到客户端发送的用户访问请求，解析用户访问请求，得到请求对应的用户标识、访问地址、为请求提供的各个服务应用，基于访问地址和各个服务应用，生成与访问标识和各个服务应用对应的链路追踪标识，基于链路追踪标识，从数据库中获取各个服务应用的应用信息，其中，应用信息包括：接口信息和执行代码，数据库利用链路追踪标识预先更新得到，基于用户标识和各个服务应用的接口信息，生成与各个接口信息对应的各个服务应用的权限资源码，对各个服务应用的权限资源码进行识别，得到各个权限资源码所表征的各个敏感数据和各个敏感数据对应的数据类型，其中，识别用于表征将各个服务应用的执行代码与数据库元数据中针对敏感数据的分类数据进行比对，解决了现有技术中无法识别权限资源码背后代表了哪些敏感数据，权限审批人也没有审批依据，权限管理和审查困难的问题，避免了通过http报文流量数据无法知道流量中的访问地址关联的哪个后端应用以及后端应用对应的权限资源码是哪个，资产定位困难，敏感数据在哪比较模糊，很难做到重点保护的问题。通过生成链路追踪标识并更新数据库中的相应的应用信息，实现结合流量数据透视出从用户到前端应用、前端应用到后端应用、后端服务间及后端应用到数据库的整个数据链条的数据血缘关系，实现了根据数据血缘关系自动识别出权限资源码所表征的敏感数据以及敏感数据类型的数据识别方法。
83.应该理解，可以使用上面所示的各种形式的流程，重新排序、增加或删除步骤。例如，本技术中记载的各步骤可以并行地执行也可以顺序地执行也可以不同的次序执行，只要能够实现本技术公开的技术方案所期望的结果，本文在此不进行限制。
84.上述具体实施方式，并不构成对本技术保护范围的限制。本领域技术人员应该明白的是，根据设计要求和其他因素，可以进行各种修改、组合、子组合和替代。任何在本技术的精神和原则之内所作的修改、等同替换和改进等，均应包含在本技术保护范围之内。