一种用于操作行为预警的方法、设备、介质及程序产品与流程

一种用于操作行为预警的方法、设备、介质及程序产品
1.本案要求cn 2022112937202(申请日2022-10-21)的优先权
技术领域
2.本技术涉及通信领域，尤其涉及一种用于操作行为预警的技术。


背景技术：

3.数据库操作行为是指对数据库上的存储的数据进行的一系列操作，包括读取数据、写数据、更新或修改数据、删除数据等。在现有技术中，通过是将数据库操作行为记录在日志数据中，后续通过对日志数据进行分析来确定是否存在数据库操作行为，并不能够做到对数据库敏感操作行为进行实时预警。


技术实现要素：

4.本技术的一个目的是提供一种用于操作行为预警的方法、设备、介质及程序产品。
5.根据本技术的一个方面，提供了一种用于操作行为预警的方法，该方法包括：
6.对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息；
7.根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则；
8.采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。
9.根据本技术的一个方面，提供了一种用于操作行为预警的计算机设备，该设备包括：
10.一一模块，用于对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息；
11.一二模块，用于根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则；
12.一三模块，用于采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。
13.根据本技术的一个方面，提供了一种用于操作行为预警的计算机设备，包括存储器、处理器及存储在存储器上的计算机程序，其中，所述处理器执行所述计算机程序以实现如上所述任一方法的操作。
14.根据本技术的一个方面，提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现如上所述任一方法的操作。
15.根据本技术的一个方面，提供了一种计算机程序产品，包括计算机程序，该计算机程序被处理器执行时实现如上所述任一方法的步骤
16.与现有技术相比，本技术通过对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息；根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则；采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警，从而可以通过预设的分类分级规则对数据库中抽样采集的存储数据进行智能分类分级，并自动打上对应的敏感标记，且可以根据敏感数据生成对应的、与业务强相关的预警规则，基于该预警规则来实现对数据库敏感操作行为进行实时预警，从而能够帮助业务更好地解决数据安全行业中的敏感数据审计问题。
附图说明
17.通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本技术的其它特征、目的和优点将会变得更明显：
18.图1示出根据本技术一个实施例的一种用于操作行为预警的方法流程图；
19.图2示出根据本技术一个实施例的一种用于数据安全的敏感数据溯源的审计方法流程图；
20.图3示出根据本技术一个实施例的一种用于操作行为预警的计算机设备结构图；
21.图4示出可被用于实施本技术中所述的各个实施例的示例性系统。
22.附图中相同或相似的附图标记代表相同或相似的部件。
具体实施方式
23.下面结合附图对本技术作进一步详细描述。
24.在本技术一个典型的配置中，终端、服务网络的设备和可信方均包括一个或多个处理器(例如，中央处理器(central processing unit，cpu))、输入/输出接口、网络接口和内存。
25.内存可能包括计算机可读介质中的非永久性存储器，随机存取存储器(random access memory，ram)和/或非易失性内存等形式，如只读存储器(read only memory，rom)或闪存(flash memory)。内存是计算机可读介质的示例。
26.计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(phase-change memory，pcm)、可编程随机存取存储器(programmable random access memory，pram)、静态随机存取存储器(static random-access memory，sram)、动态随机存取存储器(dynamic random access memory，dram)、其他类型的随机存取存储器(ram)、只读存储器(rom)、电可擦除可编程只读存储器(electrically-erasable programmable read-only memory，eeprom)、快闪记忆体或其他内存技术、只读光盘只读存储器(compact disc read-only memory，cd-rom)、数字多功能光盘(digital versatile disc,dvd)或其他光学存储、磁盒式磁带，磁带磁盘存储
或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。
27.本技术所指设备包括但不限于用户设备、网络设备、或用户设备与网络设备通过网络相集成所构成的设备。所述用户设备包括但不限于任何一种可与用户进行人机交互(例如通过触摸板进行人机交互)的移动电子产品，例如智能手机、平板电脑等，所述移动电子产品可以采用任意操作系统，如android操作系统、ios操作系统等。其中，所述网络设备包括一种能够按照事先设定或存储的指令，自动进行数值计算和信息处理的电子设备，其硬件包括但不限于微处理器、专用集成电路(application specific integrated circuit，asic)、可编程逻辑器件(programmable logic device，pld)、现场可编程门阵列(field programmable gate array，fpga)、数字信号处理器(digital signal processor，dsp)、嵌入式设备等。所述网络设备包括但不限于计算机、网络主机、单个网络服务器、多个网络服务器集或多个服务器构成的云；在此，云由基于云计算(cloud computing)的大量计算机或网络服务器构成，其中，云计算是分布式计算的一种，由一群松散耦合的计算机集组成的一个虚拟超级计算机。所述网络包括但不限于互联网、广域网、城域网、局域网、vpn网络、无线自组织网络(ad hoc网络)等。优选地，所述设备还可以是运行于所述用户设备、网络设备、或用户设备与网络设备、网络设备、触摸终端或网络设备与触摸终端通过网络相集成所构成的设备上的程序。
28.当然，本领域技术人员应能理解上述设备仅为举例，其他现有的或今后可能出现的设备如可适用于本技术，也应包含在本技术保护范围以内，并在此以引用方式包含于此。
29.在本技术的描述中，“多个”的含义是两个或者更多，除非另有明确具体的限定。
30.图1示出根据本技术一个实施例的一种用于操作行为预警的方法流程图，该方法包括步骤s11、步骤s12和步骤s13。在步骤s11中，计算机设备对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息；在步骤s12中，计算机设备根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则；在步骤s13中，计算机设备采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。
31.在步骤s11中，计算机设备对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，可以按照预定的采样率或采样间隔对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据。在一些实施例中，分类分级规则中包括多个预设的敏感分类(例如，个人身份信息类、个人财产信息类)，分类分级规则用于先识别抽样数据中是否包括某个或某几个敏感分类，具体的识别方式包括但不限于正则表达式识别、关键词识别、模型特征识别等，再确定该抽样数据在该敏感分类下对应的敏感级别，敏感级别可以是用数值形式来表征，例如，数值越大，则说明对应的抽样数据越敏感或越不安全，或者，敏感级别还可以用文本形式来表征，例如，“轻度敏感”、“中度敏感”、“重度敏感”等，若根据分类分级规则识别到抽样数据中包括某个或某几个敏感分类，则将其作为该抽样数据对应的敏感分类，然后继续根据分类分级规则确定该抽样数据在该敏感分类下对应的敏感级别。在一些实施例中，可以是一个敏感分类仅对应一个敏感级别，若识别到
抽样数据中包括某个敏感分类，则直接将该敏感分类对应的敏感级别作为该抽样数据在该敏感分类下对应的敏感级别，或者，还可以是一个敏感分类对应多个不同的敏感级别，则此时需要具体确定该抽样数据在该敏感分类下对应的敏感级别，具体的确定方式包括但不限于语义分析方式、关键词提取方式，模型特征方式等，例如，通过语义分析的方式来确定该抽样数据在该敏感分类下对应的敏感级别，或者，该敏感分类预定设定了若干个关键词与敏感级别之间的映射关系，根据该抽样数据中所包括的关键词所映射的敏感级别，确定该抽样数据在该敏感分类下对应的敏感级别，或者，将该抽样数据输入已训练的该敏感分类对应的敏感级别模型，得到该敏感级别模型输出的该抽样数据在该敏感分类下对应的敏感级别。例如，分类分级规则可以是按照个人信息保护进行分类的规则，其包括个人身份信息、个人财产信息等多个敏感分类，又例如，分类分级规则还可以是按照电信运营商行业进行分类的规则，其包括用户基本资料、位置数据、消费信息等多个敏感分类。在一些实施例中，预置了多个默认分类分级规则，用户可以在该多个默认分类分级规则中自由灵活选择一个作为该数据库对应的分类分级规则。在一些实施例中，还可以是通过对所述数据库中的存储数据进行语义分析，确定所述数据库对应的存储数据特征，根据所述存储数据特征，自动在该多个默认分类分级规则中确定该数据库对应的分类分级规则。
32.在步骤s12中，计算机设备根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则。在一些实施例中，可以是根据抽样数据对应的敏感级别，将敏感级别满足预定的级别阈值的抽样数据确定为敏感数据，例如，将对应的敏感级别大于或等于预定的级别数值阈值的抽样数据确定为敏感数据。在一些实施例中，针对敏感数据(即至少一个抽样数据)打上对应的敏感标记，该敏感标记包括该敏感数据所对应的敏感级别，或者，该敏感标记还包括该敏感数据对应的敏感分类。在一些实施例中，根据敏感数据生成对应的预警规则，该预警规则用于定义如何根据某个数据库操作行为对应的日志数据来检测其是否涉及敏感数据，该预警规则可以包括敏感数据及该敏感数据包括对应的敏感级别，或者，该预定规则还包括敏感数据对应的敏感分类，或者，该预警规则可以包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别。在一些实施例中，由于该预警规则是根据从数据库中抽样采集的存储数据生成的，因此，该预警规则与具体的业务是强相关的。
33.在步骤s13中，计算机设备采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。在一些实施例中，日志数据(审计日志)是指数据库的操作行为日志数据，日志数据中包括但不限于针对数据库的某个操作行为的行为时间、行为内容(例如，在数据库中读取、插入、修改、删除的存储数据)、行为结果(例如，是否成功)、行为对象(即数据库中的至少一个存储数据)等。在一些实施例中，可以通过消息队列实时地采集数据库的日志数据。在一些实施例中，基于预警规则对日志数据进行检测，若检查到日志数据中包括敏感数据，或者，若检测到日志数据中包括敏感数据且敏感数据的数量大于或等于预定的数量阈值，或者，若检测到日志数据中包括敏感数据且各个敏感数据对应的平均敏感等级或敏感等级总和大于或等于预定的数值阈值，则可以确定该日志数据已触发该预警规则。在一些实施例中，若该日志数据触发该预警规则，则会对该日志数据对应的敏感数据操作行为进行预警，在向用户预警该敏感数据操作行为的时候会向该用户呈现该日志数据中所
包括的敏感数据即该敏感数据操作行为所涉及的敏感数据。本技术可以通过预设的分类分级规则对数据库中抽样采集的存储数据进行智能分类分级，并自动打上对应的敏感标记，且可以根据敏感数据生成对应的、与业务强相关的预警规则，基于该预警规则来实现对数据库敏感操作行为进行实时预警，从而能够帮助业务更好地解决数据安全行业中的敏感数据审计问题。
34.在一些实施例中，所述分类分级规则包括分类策略和敏感级别策略；其中，所述根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述分类策略对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感分类；根据所述敏感级别策略，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，分类策略中通常包括预先设定的多个敏感分类，分类策略用于识别抽样数据中是否包括该分类策略中的某个或某几个敏感分类，具体的识别方式包括但不限于正则表达式识别、关键词识别、模型特征识别等。在一些实施例中，一个抽样数据可以对应多个敏感分类，即若根据分类策略识别到抽样数据中包括某个敏感分类，则可以直接将其作为该抽样数据对应的其中一个敏感分类。在一些实施例中，一个抽样数据仅可以对应一个敏感分类，则若根据分类分级规则识别到抽样数据中包括多个不同的敏感分类，需要在该多个不同的敏感分类确定其中的一个敏感分类作为该抽样数据对应的敏感分类，例如，每个敏感分类对应不同的识别可信度或匹配度，可以在该多个不同的敏感分类中对应的识别可信度或匹配度最高的敏感分类作为该抽样数据对应的敏感分类。在一些实施例中，在确定出抽样数据对应的敏感分类之后，进一步根据敏感级别策略，确定该抽样数据在该敏感分类下对应的敏感级别，敏感级别可以是用数值形式来表征，例如，数值越大，则说明对应的数据越敏感或越不安全，或者，敏感级别还可以用文本形式来表征，例如，“轻度敏感”、“中度敏感”、“重度敏感”等。在一些实施例中，敏感级别策略中可以包括每个敏感分类分别对应的敏感级别，可以直接将抽样数据所对应的敏感分类对应的敏感级别作为该抽样数据在该敏感分类下对应的敏感级别。在一些实施例中，敏感级别策略中可以包括每个敏感分类对应的敏感级别的具体确定方式，该具体确定方式包括但不限于语义分析方式、关键词提取方式，模型特征方式等，在确定出抽样数据对应的敏感分类之后，需要根据该敏感分类对应的敏感级别确定方式，来具体确定该抽样数据在该敏感分类下对应的敏感级别，例如，通过语义分析的方式来确定该数据在该敏感分类下对应的敏感级别，或者，该敏感分类预定设定了若干个关键词与敏感级别之间的映射关系，根据该数据中所包括的关键词所映射的敏感级别，确定该数据在该敏感分类下对应的敏感级别，或者，将该数据输入已训练的该敏感分类对应的敏感级别模型，得到该敏感级别模型输出的该数据在该敏感分类下对应的敏感级别。在一些实施例中，若抽样数据对应多个敏感分类，则需要先分别确定该抽样数据在每个敏感分类下对应的敏感级别，然后再根据该多个敏感级别来确定该抽样数据在该多个敏感分类下所对应的敏感级别，例如，若敏感级别是数值形式，则可以将多个敏感级别数值所对应的平均值作为该抽样数据在该多个敏感分类下所对应的敏感级别。
35.在一些实施例中，所述敏感级别策略包括所述分类策略下的每个敏感分类对应的第一敏感级别信息；其中，所述根据所述敏感级别策略，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略，获得所述敏感分类对应的第一敏感级别信
息；根据所述第一敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，每个敏感分类对应一个敏感级别，敏感级别策略中包括分类策略下的每个敏感分类对应的第一敏感级别。在一些实施例中，在确定出抽样数据对应的敏感分类之后，可以直接将该敏感分类对应的第一敏感级别作为该抽样数据在该敏感分类下对应的敏感级别，或者，可以将该敏感分类对应的第一敏感级别输入预定的函数关系式，将该函数关系式的输出作该抽样数据在该敏感分类下对应的敏感级别。
36.在一些实施例中，所述敏感级别策略还包括所述分类策略下的每个敏感分类对应的多个子敏感分类及每个子敏感分类对应的第二敏感级别信息；其中，所述根据所述第一敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略,确定所述一个或多个抽样数据在所述敏感分类下对应的子敏感分类；根据所述第一敏感级别信息及所述子敏感分类对应的第二敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，个敏感分类还会对应多个子敏感分类，每个子敏感分类对应一个敏感级别，敏感级别策略还包括分类策略下的每个敏感分类所对应的多个子敏感分类及每个子敏感分类对应的第二敏感级别。在一些实施例中，在确定出抽样数据对应的敏感分类之后，需要根据敏感级别策略来确定该抽样数据在该敏感分类下对应的子敏感分类，具体的确定方式包括但不限于正则表达式识别、关键词识别、语义分析、模型特征识别等，通过敏感级别策略可以识别出该抽样数据属于该敏感分类下的哪个具体的子敏感分类，然后根据该敏感分类对应的第一敏感级别和该抽样数据所属的子敏感分类对应的第二敏感级别，来确定该抽样数据在该敏感分类下对应的敏感级别，例如，若敏感级别是数值形式，则可以将该第一敏感级别与该第二敏感级别的平均值或最大值或最小值作为该抽样数据在该敏感分类下对应的敏感级别，或者，还可以将该第一敏感级别和该第二敏感级别输入一个预定的函数关系式，然后将该函数关系式的输出作为该抽样数据在该敏感分类下对应的敏感级别。
37.在一些实施例中，所述敏感级别策略包括所述分类策略下的每个敏感分类对应的多个子敏感分类及每个子敏感分类对应的第三敏感级别信息；其中，所述根据所述敏感级别策略，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略,确定所述一个或多个抽样数据在所述敏感分类下对应的子敏感分类；根据所述子敏感分类对应的第三敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，第三敏感级别与前文所述的第二敏感级别相同或相似，在此不再赘述。在一些实施例中，在确定出抽样数据对应的敏感分类之后，再根据敏感级别策略来确定该抽样数据在该敏感分类下对应的子敏感分类，然后可以仅根据该子敏感分类对应的第三敏感级别，来确定该抽样数据在该敏感分类下对应的敏感级别，例如，将该子敏感分类对应的第三敏感级别作为该抽样数据在该敏感分类下对应的敏感级别。
38.在一些实施例中，所述至少一个抽样数据对应的识别率大于或等于预定的第一阈值；其中，确定所述一个或多个抽样数据对应的敏感级别信息，包括：确定所述一个或多个抽样数据对应的敏感级别信息及每个抽样数据对应的识别率。在一些实施例中，在根据分类分级规则识别到抽样数据中包括分类分级规则中预设的敏感分类的时候，还会得到该抽样数据相对于该敏感分类的识别率，该识别率包括但不限于识别置信度、识别匹配度。在一些实施例中，会将对应的敏感级别大于或等于预定的级别数值阈值、且对应的识别率大于
或等于预定的第一阈值的抽样数据确定为敏感数据，并针对敏感数据(即至少一个抽样数据)打上对应的敏感标记。
39.在一些实施例中，所述预警规则包括所述至少一个抽样数据及每个抽样数据对应的敏感级别信息。在一些实施例中，该预警规则可以包括敏感数据(即该至少一个抽样数据)及该敏感数据包括对应的敏感级别，或者，该预定规则还包括敏感数据对应的敏感分类。
40.在一些实施例中，所述预警规则包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别信息；其中，所述根据所述至少一个抽样数据，生成对应的预警规则，包括：对所述至少一个抽样数据进行聚类，得到至少一个敏感数据类型；对于每个敏感数据类型，根据属于该敏感数据类型的抽样数据对应的敏感级别信息，确定该敏感数据类型对应的敏感级别信息；根据所述至少一个敏感数据类型及所述每个敏感数据类型对应的敏感级别信息，生成对应的预警规则。在一些实施例中，该预警规则可以包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别。在一些实施例中，可以先对敏感数据进行聚类，得到至少一个敏感数据类型，其中，每个敏感数据类型对应一个或多个敏感数据，每个敏感数据属于该至少一个敏感数据类型中的其中一个敏感数据类型。在一些实施例中，对于每个敏感数据类型，需要根据属于该敏感数据类型的一个或多个敏感数据分别对应的敏感级别，来确定该敏感数据类型对应的敏感级别，例如，该敏感数据类型对应的敏感级别可以是属于该敏感数据类型的各个敏感数据对应的平均敏感级别。
41.在一些实施例中，所述对所述至少一个抽样数据进行聚类，得到至少一个敏感数据类型，包括：根据所述至少一个抽样数据对应的一个或多个敏感分类，分别对每个敏感分类下的抽样数据进行聚类，得到至少一个敏感数据类型。在一些实施例中，先根据分类分级规则中预设的每个敏感分类，获得每个敏感分类所对应的敏感数据，然后分别对于每个敏感分类，对该敏感分类对应的敏感数据进行聚类，得到该敏感分类下的至少一个敏感数据类型，其中，每个敏感数据类型对应属于该敏感分类的一个或多个敏感数据，该敏感分类对应的每个敏感数据属于该至少一个敏感数据类型中的其中一个敏感数据类型。
42.在一些实施例中，所述采集所述数据库的日志数据，包括：通过已部署在所述数据库上的插件采集所述数据库的日志数据。在一些实施例中，可以通过在数据库上部署(或者安装)插件来对数据库的日志数据进行自动采集，该插件属于半侵入式的软件应用，成本低，便捷性好，同时可扩展性强，通过该插件直接进行数据库日志数据的获取，具备更精准的效果。
43.在一些实施例中，所述基于所述预警规则对所述日志数据进行检测，包括：基于所述预警规则检测所述日志数据中是否包括敏感数据；若是，确定所述目标日志数据触发所述预警规则。在一些实施例中，基于预警规则对日志数据进行检测，若检查到日志数据中包括敏感数据，则可以确定该日志数据已触发该预警规则。
44.在一些实施例中，所述预警规则包括至少抽样数据及每个抽样数据对应的敏感级别信息；其中，所述基于所述预警规则检测所述日志数据中是否包括敏感数据，包括：检测所述日志数据中是否包括与所述至少一个抽样数据相匹配的敏感数据。在一些实施例中，可以是检测该日志数据中是否存在与该至少一个敏感数据中的其中某个敏感数据相同的数据，或者，还可以是检测该日志数据中是否存在与该至少一个敏感数据中的其中某个敏
感数据语义相似的数据。
45.在一些实施例中，所述预警规则包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别信息；其中，所述基于所述预警规则检测所述日志数据中是否包括敏感数据，包括：检测所述日志数据中是否包括属于所述至少一个敏感数据类型的敏感数据。在一些实施例中，还可以是检测该日志数据中是否存在属于该至少一个敏感数据类型中的其中某个敏感数据类型的数据。
46.在一些实施例中，所述方法还包括：计算机设备根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级；其中，所述对所述日志数据对应的数据操作行为进行预警，包括：根据所述预警等级，对所述日志数据对应的数据操作行为进行预警。在一些实施例中，预警规则中预设了多种不同的预警等级，例如，预警等级包括低风险、中风险、高风险、无风险等。在一些实施例中，会根据预警规则来确定根据该日志数据对应的预警等级，然后根据该预警等级来对该日志数据对应的数据操作行为进行不同方式或不同程度的预警，其中，预警方式包括但不限于界面预警、声音预警、邮件通知等。在一些实施例中，可以根据将所述日志数据中所包括的敏感数据的数量信息，确定所述日志数据对应的预警等级，或者，还可以根据所述日志数据中所包括的敏感数据对应的敏感级别信息，确定所述日志数据对应的日志敏感级别信息，并根据所述日志敏感级别信息，确定所述日志数据对应的预警等级。
47.在一些实施例中，所述根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级，包括：根据将所述日志数据中所包括的敏感数据的数量信息，确定所述日志数据对应的预警等级。在一些实施例中，可以根据该日志数据中所包括的敏感数据的数量多少，来确定该日志数据对应的预警等级，例如，预警规则中预设了多个数量阈值以及该多个数量阈值与预警等级之间的映射关系或者根据该多个数量阈值确定的多个数值区间与预警等级之间的映射关系，通过将该日志数据中所包括的敏感数据的数量与该预设的多个数量阈值进行比较，根据比较结果来确定该日志数据对应的预警等级，例如，1条敏感数据对应低风险，1条以上100条以下敏感数据对应中风险，100条以上敏感数据对应高风险，无敏感数据对应无风险。
48.在一些实施例中，所述根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级，包括：根据所述日志数据中所包括的敏感数据对应的敏感级别信息，确定所述日志数据对应的日志敏感级别信息；根据所述日志敏感级别信息，确定所述日志数据对应的预警等级。在一些实施例中，可以根据该日志数据中所包括的每个敏感数据分别对应的敏感级别，来确定该日志数据对应的日志敏感级别，例如，该日志敏感级别可以是各个敏感数据对应的多个敏感级别中的最高敏感级别或者最低敏感级别或者平均敏感级别，或者，还可以是各个敏感数据对应的多个敏感级别的总和。在一些实施例中，根据该日志敏感级别来确定该日志数据对应的预警等级，例如，预警规则中预设了多个数值区间与预警等级之间的映射关系，通过确定该日志敏感级别所落入的数值区间，将该数值区间所映射的预警等级作为该日志数据对应的预警等级。
49.在一些实施例中，所述方法还包括：计算机设备向用户提供所述敏感数据在所述数据库中的溯源信息。在一些实施例中，在向用户预警该敏感数据操作行为的时候还会结合日志数据向该用户呈现该日志数据中所包括的敏感数据即该敏感数据操作行为所涉及
的敏感数据在该数据库中的溯源信息，该溯源信息包括但不限于敏感数据所在表、敏感数据量级、敏感数据变化趋势、敏感数据所在数据库、敏感数据引用关系等。
50.图2示出根据本技术一个实施例的一种用于数据安全的敏感数据溯源的审计方法流程图。
51.如图2所示，审计日志及数据库资产采集模块用于抽样采集数据库中的存储数据以及以插件化形式对数据库的审计日志进行采集，数据分类分级引擎用于对数据库抽样采集的存储数据进行分类分级识别，敏感数据标识模块用于对分类分级数据进行敏感标记，即将其标记为敏感数据，存储模块用于对敏感数据进行存储，预警模块用于及时同步敏感数据并自动化变为内置预警规则，以及融合数据库的审计日志对敏感数据进行跟踪预警，溯源检索分析模块用于对触发预警的敏感数据结合审计日志进行查找溯源。
52.图3示出根据本技术一个实施例的一种用于操作行为预警的计算机设备结构图，该设备包括一一模块11、一二模块12和一三模块13。一一模块11，用于对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息；一二模块12，用于根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则；一三模块13，用于采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。
53.一一模块11，用于对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据，根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息。在一些实施例中，可以按照预定的采样率或采样间隔对数据库中存储的数据进行抽样采集，获得一个或多个抽样数据。在一些实施例中，分类分级规则中包括多个预设的敏感分类(例如，个人身份信息类、个人财产信息类)，分类分级规则用于先识别抽样数据中是否包括某个或某几个敏感分类，具体的识别方式包括但不限于正则表达式识别、关键词识别、模型特征识别等，再确定该抽样数据在该敏感分类下对应的敏感级别，敏感级别可以是用数值形式来表征，例如，数值越大，则说明对应的抽样数据越敏感或越不安全，或者，敏感级别还可以用文本形式来表征，例如，“轻度敏感”、“中度敏感”、“重度敏感”等，若根据分类分级规则识别到抽样数据中包括某个或某几个敏感分类，则将其作为该抽样数据对应的敏感分类，然后继续根据分类分级规则确定该抽样数据在该敏感分类下对应的敏感级别。在一些实施例中，可以是一个敏感分类仅对应一个敏感级别，若识别到抽样数据中包括某个敏感分类，则直接将该敏感分类对应的敏感级别作为该抽样数据在该敏感分类下对应的敏感级别，或者，还可以是一个敏感分类对应多个不同的敏感级别，则此时需要具体确定该抽样数据在该敏感分类下对应的敏感级别，具体的确定方式包括但不限于语义分析方式、关键词提取方式，模型特征方式等，例如，通过语义分析的方式来确定该抽样数据在该敏感分类下对应的敏感级别，或者，该敏感分类预定设定了若干个关键词与敏感级别之间的映射关系，根据该抽样数据中所包括的关键词所映射的敏感级别，确定该抽样数据在该敏感分类下对应的敏感级别，或者，将该抽样数据输入已训练的该敏感分类对应的敏感级别模型，得到该敏感级别模型输出的该抽样数据在该敏感分类下对应的敏感级别。例如，分类分级规则可以是按照个人信息保护进行分类的规则，其包括个人身份信息、
个人财产信息等多个敏感分类，又例如，分类分级规则还可以是按照电信运营商行业进行分类的规则，其包括用户基本资料、位置数据、消费信息等多个敏感分类。在一些实施例中，预置了多个默认分类分级规则，用户可以在该多个默认分类分级规则中自由灵活选择一个作为该数据库对应的分类分级规则。在一些实施例中，还可以是通过对所述数据库中的存储数据进行语义分析，确定所述数据库对应的存储数据特征，根据所述存储数据特征，自动在该多个默认分类分级规则中确定该数据库对应的分类分级规则。
54.一二模块12，用于根据所述敏感级别信息，针对至少一个抽样数据打上敏感标记，根据所述至少一个抽样数据，生成对应的预警规则。在一些实施例中，可以是根据抽样数据对应的敏感级别，将敏感级别满足预定的级别阈值的抽样数据确定为敏感数据，例如，将对应的敏感级别大于或等于预定的级别数值阈值的抽样数据确定为敏感数据。在一些实施例中，针对敏感数据(即至少一个抽样数据)打上对应的敏感标记，该敏感标记包括该敏感数据所对应的敏感级别，或者，该敏感标记还包括该敏感数据对应的敏感分类。在一些实施例中，根据敏感数据生成对应的预警规则，该预警规则用于定义如何根据某个数据库操作行为对应的日志数据来检测其是否涉及敏感数据，该预警规则可以包括敏感数据及该敏感数据包括对应的敏感级别，或者，该预定规则还包括敏感数据对应的敏感分类，或者，该预警规则可以包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别。在一些实施例中，由于该预警规则是根据从数据库中抽样采集的存储数据生成的，因此，该预警规则与具体的业务是强相关的。
55.一三模块13，用于采集所述数据库的日志数据，基于所述预警规则对所述日志数据进行检测，若所述日志数据触发所述预警规则，对所述日志数据对应的敏感数据操作行为进行预警。在一些实施例中，日志数据(审计日志)是指数据库的操作行为日志数据，日志数据中包括但不限于针对数据库的某个操作行为的行为时间、行为内容(例如，在数据库中读取、插入、修改、删除的存储数据)、行为结果(例如，是否成功)、行为对象(即数据库中的至少一个存储数据)等。在一些实施例中，可以通过消息队列实时地采集数据库的日志数据。在一些实施例中，基于预警规则对日志数据进行检测，若检查到日志数据中包括敏感数据，或者，若检测到日志数据中包括敏感数据且敏感数据的数量大于或等于预定的数量阈值，或者，若检测到日志数据中包括敏感数据且各个敏感数据对应的平均敏感等级或敏感等级总和大于或等于预定的数值阈值，则可以确定该日志数据已触发该预警规则。在一些实施例中，若该日志数据触发该预警规则，则会对该日志数据对应的敏感数据操作行为进行预警，在向用户预警该敏感数据操作行为的时候会向该用户呈现该日志数据中所包括的敏感数据即该敏感数据操作行为所涉及的敏感数据。本技术可以通过预设的分类分级规则对数据库中抽样采集的存储数据进行智能分类分级，并自动打上对应的敏感标记，且可以根据敏感数据生成对应的、与业务强相关的预警规则，基于该预警规则来实现对数据库敏感操作行为进行实时预警，从而能够帮助业务更好地解决数据安全行业中的敏感数据审计问题。
56.在一些实施例中，所述分类分级规则包括分类策略和敏感级别策略；其中，所述根据分类分级规则对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述分类策略对所述一个或多个抽样数据进行识别，确定所述一个或多个抽样数据对应的敏感分类；根据所述敏感级别策略，确定所述一个或多个抽样
数据对应的敏感级别信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
57.在一些实施例中，所述敏感级别策略包括所述分类策略下的每个敏感分类对应的第一敏感级别信息；其中，所述根据所述敏感级别策略，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略，获得所述敏感分类对应的第一敏感级别信息；根据所述第一敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
58.在一些实施例中，所述敏感级别策略还包括所述分类策略下的每个敏感分类对应的多个子敏感分类及每个子敏感分类对应的第二敏感级别信息；其中，所述根据所述第一敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略,确定所述一个或多个抽样数据在所述敏感分类下对应的子敏感分类；根据所述第一敏感级别信息及所述子敏感分类对应的第二敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
59.在一些实施例中，所述敏感级别策略包括所述分类策略下的每个敏感分类对应的多个子敏感分类及每个子敏感分类对应的第三敏感级别信息；其中，所述根据所述敏感级别策略，确定所述一个或多个抽样数据对应的敏感级别信息，包括：根据所述敏感级别策略,确定所述一个或多个抽样数据在所述敏感分类下对应的子敏感分类；根据所述子敏感分类对应的第三敏感级别信息，确定所述一个或多个抽样数据对应的敏感级别信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
60.在一些实施例中，所述至少一个抽样数据对应的识别率大于或等于预定的第一阈值；其中，确定所述一个或多个抽样数据对应的敏感级别信息，包括：确定所述一个或多个抽样数据对应的敏感级别信息及每个抽样数据对应的识别率。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
61.在一些实施例中，所述预警规则包括所述至少一个抽样数据及每个抽样数据对应的敏感级别信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
62.在一些实施例中，所述预警规则包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别信息；其中，所述根据所述至少一个抽样数据，生成对应的预警规则，包括：对所述至少一个抽样数据进行聚类，得到至少一个敏感数据类型；对于每个敏感数据类型，根据属于该敏感数据类型的抽样数据对应的敏感级别信息，确定该敏感数据类型对应的敏感级别信息；根据所述至少一个敏感数据类型及所述每个敏感数据类型对应的敏感级别信息，生成对应的预警规则。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
63.在一些实施例中，所述对所述至少一个抽样数据进行聚类，得到至少一个敏感数据类型，包括：根据所述至少一个抽样数据对应的一个或多个敏感分类，分别对每个敏感分类下的抽样数据进行聚类，得到至少一个敏感数据类型。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
64.在一些实施例中，所述采集所述数据库的日志数据，包括：通过已部署在所述数据
库上的插件采集所述数据库的日志数据。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
65.在一些实施例中，所述基于所述预警规则对所述日志数据进行检测，包括：基于所述预警规则检测所述日志数据中是否包括敏感数据；若是，确定所述目标日志数据触发所述预警规则。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
66.在一些实施例中，所述预警规则包括至少抽样数据及每个抽样数据对应的敏感级别信息；其中，所述基于所述预警规则检测所述日志数据中是否包括敏感数据，包括：检测所述日志数据中是否包括与所述至少一个抽样数据相匹配的敏感数据。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
67.在一些实施例中，所述预警规则包括至少一个敏感数据类型及每个敏感数据类型对应的敏感级别信息；其中，所述基于所述预警规则检测所述日志数据中是否包括敏感数据，包括：检测所述日志数据中是否包括属于所述至少一个敏感数据类型的敏感数据。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
68.在一些实施例中，所述设备还用于：根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级；其中，所述对所述日志数据对应的数据操作行为进行预警，包括：根据所述预警等级，对所述日志数据对应的数据操作行为进行预警。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
69.在一些实施例中，所述根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级，包括：根据将所述日志数据中所包括的敏感数据的数量信息，确定所述日志数据对应的预警等级。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
70.在一些实施例中，所述根据所述日志数据中所包括的敏感数据，确定所述日志数据对应的预警等级，包括：根据所述日志数据中所包括的敏感数据对应的敏感级别信息，确定所述日志数据对应的日志敏感级别信息；根据所述日志敏感级别信息，确定所述日志数据对应的预警等级。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
71.在一些实施例中，所述设备还用于：向用户提供所述敏感数据在所述数据库中的溯源信息。在此，相关操作与图1所示实施例相同或相近，故不再赘述，在此以引用方式包含于此。
72.除上述各实施例介绍的方法和设备外，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机代码，当所述计算机代码被执行时，如前任一项所述的方法被执行。
73.本技术还提供了一种计算机程序产品，当所述计算机程序产品被计算机设备执行时，如前任一项所述的方法被执行。
74.本技术还提供了一种计算机设备，所述计算机设备包括：
75.一个或多个处理器；
76.存储器，用于存储一个或多个计算机程序；
77.当所述一个或多个计算机程序被所述一个或多个处理器执行时，使得所述一个或
多个处理器实现如前任一项所述的方法。
78.图4示出了可被用于实施本技术中所述的各个实施例的示例性系统；
79.如图4所示在一些实施例中，系统300能够作为各所述实施例中的任意一个设备。在一些实施例中，系统300可包括具有指令的一个或多个计算机可读介质(例如，系统存储器或nvm/存储设备320)以及与该一个或多个计算机可读介质耦合并被配置为执行指令以实现模块从而执行本技术中所述的动作的一个或多个处理器(例如，(一个或多个)处理器305)。
80.对于一个实施例，系统控制模块310可包括任意适当的接口控制器，以向(一个或多个)处理器305中的至少一个和/或与系统控制模块310通信的任意适当的设备或组件提供任意适当的接口。
81.系统控制模块310可包括存储器控制器模块330，以向系统存储器315提供接口。存储器控制器模块330可以是硬件模块、软件模块和/或固件模块。
82.系统存储器315可被用于例如为系统300加载和存储数据和/或指令。对于一个实施例，系统存储器315可包括任意适当的易失性存储器，例如，适当的dram。在一些实施例中，系统存储器315可包括双倍数据速率类型四同步动态随机存取存储器(ddr4sdram)。
83.对于一个实施例，系统控制模块310可包括一个或多个输入/输出(i/o)控制器，以向nvm/存储设备320及(一个或多个)通信接口325提供接口。
84.例如，nvm/存储设备320可被用于存储数据和/或指令。nvm/存储设备320可包括任意适当的非易失性存储器(例如，闪存)和/或可包括任意适当的(一个或多个)非易失性存储设备(例如，一个或多个硬盘驱动器(hdd)、一个或多个光盘(cd)驱动器和/或一个或多个数字通用光盘(dvd)驱动器)。
85.nvm/存储设备320可包括在物理上作为系统300被安装在其上的设备的一部分的存储资源，或者其可被该设备访问而不必作为该设备的一部分。例如，nvm/存储设备320可通过网络经由(一个或多个)通信接口325进行访问。
86.(一个或多个)通信接口325可为系统300提供接口以通过一个或多个网络和/或与任意其他适当的设备通信。系统300可根据一个或多个无线网络标准和/或协议中的任意标准和/或协议来与无线网络的一个或多个组件进行无线通信。
87.对于一个实施例，(一个或多个)处理器305中的至少一个可与系统控制模块310的一个或多个控制器(例如，存储器控制器模块330)的逻辑封装在一起。对于一个实施例，(一个或多个)处理器305中的至少一个可与系统控制模块310的一个或多个控制器的逻辑封装在一起以形成系统级封装(sip)。对于一个实施例，(一个或多个)处理器305中的至少一个可与系统控制模块310的一个或多个控制器的逻辑集成在同一模具上。对于一个实施例，(一个或多个)处理器305中的至少一个可与系统控制模块310的一个或多个控制器的逻辑集成在同一模具上以形成片上系统(soc)。
88.在各个实施例中，系统300可以但不限于是：服务器、工作站、台式计算设备或移动计算设备(例如，膝上型计算设备、手持计算设备、平板电脑、上网本等)。在各个实施例中，系统300可具有更多或更少的组件和/或不同的架构。例如，在一些实施例中，系统300包括一个或多个摄像机、键盘、液晶显示器(lcd)屏幕(包括触屏显示器)、非易失性存储器端口、多个天线、图形芯片、专用集成电路(asic)和扬声器。
89.除上述各实施例介绍的方法和设备外，本技术还提供了一种计算机可读存储介质，所述计算机可读存储介质存储有计算机代码，当所述计算机代码被执行时，如前任一项所述的方法被执行。
90.本技术还提供了一种计算机程序产品，当所述计算机程序产品被计算机设备执行时，如前任一项所述的方法被执行。
91.本技术还提供了一种计算机设备，所述计算机设备包括：
92.一个或多个处理器；
93.存储器，用于存储一个或多个计算机程序；
94.当所述一个或多个计算机程序被所述一个或多个处理器执行时，使得所述一个或多个处理器实现如前任一项所述的方法。
95.需要注意的是，本技术可在软件和/或软件与硬件的组合体中被实施，例如，可采用专用集成电路(asic)、通用目的计算机或任何其他类似硬件设备来实现。在一个实施例中，本技术的软件程序可以通过处理器执行以实现上文所述步骤或功能。同样地，本技术的软件程序(包括相关的数据结构)可以被存储到计算机可读记录介质中，例如，ram存储器，磁或光驱动器或软磁盘及类似设备。另外，本技术的一些步骤或功能可采用硬件来实现，例如，作为与处理器配合从而执行各个步骤或功能的电路。
96.另外，本技术的一部分可被应用为计算机程序产品，例如计算机程序指令，当其被计算机执行时，通过该计算机的操作，可以调用或提供根据本技术的方法和/或技术方案。本领域技术人员应能理解，计算机程序指令在计算机可读介质中的存在形式包括但不限于源文件、可执行文件、安装包文件等，相应地，计算机程序指令被计算机执行的方式包括但不限于：该计算机直接执行该指令，或者该计算机编译该指令后再执行对应的编译后程序，或者该计算机读取并执行该指令，或者该计算机读取并安装该指令后再执行对应的安装后程序。在此，计算机可读介质可以是可供计算机访问的任意可用的计算机可读存储介质或通信介质。
97.通信介质包括藉此包含例如计算机可读指令、数据结构、程序模块或其他数据的通信信号被从一个系统传送到另一系统的介质。通信介质可包括有导的传输介质(诸如电缆和线(例如，光纤、同轴等))和能传播能量波的无线(未有导的传输)介质，诸如声音、电磁、rf、微波和红外。计算机可读指令、数据结构、程序模块或其他数据可被体现为例如无线介质(诸如载波或诸如被体现为扩展频谱技术的一部分的类似机制)中的已调制数据信号。术语“已调制数据信号”指的是其一个或多个特征以在信号中编码信息的方式被更改或设定的信号。调制可以是模拟的、数字的或混合调制技术。
98.作为示例而非限制，计算机可读存储介质可包括以用于存储诸如计算机可读指令、数据结构、程序模块或其它数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动的介质。例如，计算机可读存储介质包括，但不限于，易失性存储器，诸如随机存储器(ram,dram,sram)；以及非易失性存储器，诸如闪存、各种只读存储器(rom,prom,eprom,eeprom)、磁性和铁磁/铁电存储器(mram,feram)；以及磁性和光学存储设备(硬盘、磁带、cd、dvd)；或其它现在已知的介质或今后开发的能够存储供计算机系统使用的计算机可读信息/数据。
99.在此，根据本技术的一个实施例包括一个装置，该装置包括用于存储计算机程序
指令的存储器和用于执行程序指令的处理器，其中，当该计算机程序指令被该处理器执行时，触发该装置运行基于前述根据本技术的多个实施例的方法和/或技术方案。
100.对于本领域技术人员而言，显然本技术不限于上述示范性实施例的细节，而且在不背离本技术的精神或基本特征的情况下，能够以其他的具体形式实现本技术。因此，无论从哪一点来看，均应将实施例看作是示范性的，而且是非限制性的，本技术的范围由所附权利要求而不是上述说明限定，因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本技术内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。此外，显然“包括”一词不排除其他单元或步骤，单数不排除复数。装置权利要求中陈述的多个单元或装置也可以由一个单元或装置通过软件或者硬件来实现。第一，第二等词语用来表示名称，而并不表示任何特定的顺序。