一种数据处理方法以及存储介质与流程

1.本技术涉及互联网技术领域，尤其涉及一种数据处理方法以及存储介质。


背景技术：

2.枚举在渗透测试、apt攻击中都有广泛的应用，目前针对枚举检测基本上基于风控系统，并且依赖业务自身进行接口监控，但是针对枚举主要是部分接口的短期的异常访问，针对常见的接口枚举导致的敏感信息批量泄露等高威胁场景未覆盖，因此，目前针对枚举检测只能针对部分接口，或者是针对特定类型的枚举检测，可覆盖面较小，无法全量覆盖，从而造成了巨大的安全隐患。


技术实现要素：

3.本技术实施例提供一种数据处理方法以及存储介质，可以增加枚举检测的覆盖面，提高数据的安全性。
4.本技术实施例一方面提供了一种数据处理方法，可包括：
5.获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，所述流量序列包括至少两个流量，所述目标流量属于所述流量序列，所述目标流量包括至少两个流量；
6.对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量；
7.根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态。
8.其中，所述数据处理方法还包括：
9.提取目标链路的流量序列中每个流量的响应信息，确定所述响应信息的信息类型；
10.根据所述响应信息的信息类型和流量数量，确定一个用户或者至少两个用户中每个用户对应的流量的敏感程度，根据所述敏感程度的优先级从一个用户或者至少两个用户确定目标用户。
11.其中，所述获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，包括：
12.确定流量序列对应的时间阈值，根据所述时间阈值和当前时间确定目标时间段，从目标链路中获取所述目标时间段内的流量序列；
13.获取所述流量序列中每个流量的用户标识，将具有相同用户标识的流量划分至用户标识对应流量集合；
14.获取目标用户对应的目标用户标识，获取所述目标用户标识对应的目标流量集合，将所述目标流量集合中的流量确定为目标用户的目标流量。
15.其中，所述对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，包括：
16.获取所述目标流量中的待处理流量，所述待处理流量为目标流量中的任意一个流量；所述每个流量中包括cookie信息和统一资源定位符；
17.获取所述待处理流量中的cookie信息，对所述cookie信息进行归一化处理生成归一化的cookie信息；
18.获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符；
19.将归一化的cookie信息和归一化的统一资源定位符确定为归一化的待处理流量；
20.当目标流量中的所有流量均确定为待处理流量时，将所有归一化的待处理流量确定为归一化的目标流量。
21.其中，所述获取所述待处理流量中的cookie信息，对所述cookie信息进行归一化处理生成归一化的cookie信息，包括：
22.确定所述待处理流量中cookie中的第一参数，提取所述第一参数对应的第一参数值，将所述第一参数和第一参数值存储至参数列表；所述第一参数用于标识所述目标用户的个人身份信息；
23.将所述cookie信息中的第一参数值进行置零，生成归一化的cookie信息。
24.其中，所述获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符，包括：
25.若所述待处理流量的访问方法为get方法，确定所述待处理流量中统一资源定位符中的第二参数，提取所述第二参数对应的第二参数值，将所述第二参数和第二参数值存储至参数列表；
26.将所述统一资源定位符中的第二参数值进行置零，生成归一化的统一资源定位符；
27.若所述待处理流量的访问方法为post方法，确定待处理流量中统一资源定位符中的第三参数，以及所述待处理流量中的post参数，提取所述第三参数对应的第三参数值和所述post参数对应的post参数值，将所述第三参数和第三参数值，以及post参数和post参数值存储至参数列表；
28.将所述统一资源定位符中的第三参数值和post参数值进行置零，生成归一化的统一资源定位符和归一化的post参数。
29.其中，所述根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态，包括：
30.将归一化目标流量划分至一个或者至少两个待检测集合中；所述每个待检测集合中的归一化目标流量均相同；
31.获取每个待检测集合中归一化目标流量对应的参数列表；所述参数列表用于存储目标流量中的参数和参数对应的参数值；
32.检测所述参数列表中每个参数的参数值不重复的变化次数，将检测列表中参数值最大的变化次数作为待检测集合的变化次数；
33.当任意一个待检测集合的变化次数小于次数阈值时，则目标用户不存在枚举漏洞，当任意一个待检测集合的变化次数大于或等于次数阈值时，则目标用户存在枚举漏洞。
34.其中，所述数据处理方法还包括：
35.所述枚举漏洞状态包括存在枚举漏洞和不存在枚举漏洞；
36.当所述目标用户存在枚举漏洞时，对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截。
37.本技术实施例一方面提供了一种数据处理设备，可包括：
38.流量获取单元，用于获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，所述流量序列包括至少两个流量，所述目标流量属于所述流量序列，所述目标流量包括至少两个流量；
39.流量处理单元，用于对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量；
40.行为分析单元，用于根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态。
41.其中，所述数据处理设备还包括：
42.优先级确定单元，用于提取目标链路的流量序列中每个流量的响应信息，确定所述响应信息的信息类型；
43.根据所述响应信息的信息类型和流量数量，确定一个用户或者至少两个用户中每个用户对应的流量的敏感程度，根据所述敏感程度的优先级从一个用户或者至少两个用户确定目标用户。
44.其中，所述流量获取单元具体用于：
45.确定流量序列对应的时间阈值，根据所述时间阈值和当前时间确定目标时间段，从目标链路中获取所述目标时间段内的流量序列；
46.获取所述流量序列中每个流量的用户标识，将具有相同用户标识的流量划分至用户标识对应流量集合；
47.获取目标用户对应的目标用户标识，获取所述目标用户标识对应的目标流量集合，将所述目标流量集合中的流量确定为目标用户的目标流量。
48.其中，所述流量处理单元，包括：
49.待处理流量获取子单元，用于获取所述目标流量中的待处理流量，所述待处理流量为目标流量中的任意一个流量；所述每个流量中包括cookie信息和统一资源定位符；
50.第一归一化处理子单元，用于获取所述待处理流量中的cookie信息，对所述cookie信息进行归一化处理生成归一化的cookie信息；
51.第二归一化处理子单元，用于获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符；
52.将归一化的cookie信息和归一化的统一资源定位符确定为归一化的待处理流量；
53.当目标流量中的所有流量均确定为待处理流量时，将所有归一化的待处理流量确定为归一化的目标流量。
54.其中，所述第一归一化处理子单元具体用于：
55.确定所述待处理流量中cookie中的第一参数，提取所述第一参数对应的第一参数值，将所述第一参数和第一参数值存储至参数列表；所述第一参数用于标识所述目标用户的个人身份信息；
56.将所述cookie信息中的第一参数值进行置零，生成归一化的cookie信息。
57.其中，所述第二归一化处理子单元具体用于：
58.若所述待处理流量的访问方法为get方法，确定所述待处理流量中统一资源定位符中的第二参数，提取所述第二参数对应的第二参数值，将所述第二参数和第二参数值存储至参数列表；
59.将所述统一资源定位符中的第二参数值进行置零，生成归一化的统一资源定位符；
60.若所述待处理流量的访问方法为post方法，确定待处理流量中统一资源定位符中的第三参数，以及所述待处理流量中的post参数，提取所述第三参数对应的第三参数值和所述post参数对应的post参数值，将所述第三参数和第三参数值，以及post参数和post参数值存储至参数列表；
61.将所述统一资源定位符中的第三参数值和post参数值进行置零，生成归一化的统一资源定位符和归一化的post参数。
62.其中，所述行为分析单元具体用于：
63.将归一化目标流量划分至一个或者至少两个待检测集合中；所述每个待检测集合中的归一化目标流量均相同；
64.获取每个待检测集合中归一化目标流量对应的参数列表；所述参数列表用于存储目标流量中的参数和参数对应的参数值；
65.检测所述参数列表中每个参数的参数值不重复的变化次数，将检测列表中参数值最大的变化次数作为待检测集合的变化次数；
66.当任意一个待检测集合的变化次数小于次数阈值时，则目标用户不存在枚举漏洞，当任意一个待检测集合的变化次数大于或等于次数阈值时，则目标用户存在枚举漏洞。
67.其中，所述数据处理设备还包括：
68.所述枚举漏洞状态包括存在枚举漏洞和不存在枚举漏洞；
69.告警单元，用于当所述目标用户存在枚举漏洞时，对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截。
70.本技术实施例一方面提供了一种计算机可读存储介质，所述计算机存储介质存储有多条指令，所述指令适于由处理器加载并执行上述的方法步骤。
71.本技术实施例一方面提供了一种计算机设备，包括处理器和存储器；其中，所述存储器存储有计算机程序，所述计算机程序适于由所述处理器加载并执行上述的方法步骤。
72.本技术实施例一方面提供了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行上述的方法步骤。
73.在本技术实施例中，通过获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，进一步根据所述归一化的目标流量分析所述目标用户的行为特征，最后根据所述行为特征确定所述目标用户的枚举漏洞状态。通过对目标链路中流量的分析，可以确定目标用户是否存在枚举漏洞，防止敏感信息批量泄露，同时枚举漏洞检测并不针对特定的枚举类型，提高了枚举漏洞检测的覆盖率，提高了数据的安全性。
附图说明
74.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
75.图1是本技术实施例提供的一种数据处理的系统架构图；
76.图2是本技术实施例提供的一种数据处理方法的流程示意图；
77.图3是本技术实施例提供的一种数据处理方法的举例示意图；
78.图4是本技术实施例提供的一种数据处理方法的流程示意图；
79.图5是本技术实施例提供的一种数据处理设备的结构示意图；
80.图6是本技术实施例提供的一种计算机设备的结构示意图。
具体实施方式
81.下面将结合本技术实施例中的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
82.请参见图1，是本发明实施例提供的一种数据处理的系统架构图。服务器10f通过交换机10e和通信总线10d与用户终端集群建立连接，用户终端集群可包括：用户终端10a、用户终端10b、...、用户终端10c。服务器10f获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，所述流量序列包括至少两个流量，所述目标流量属于所述流量序列，所述目标流量包括至少两个流量，服务器10f对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，服务器10f根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态。数据库10g用于存储了归一化的目标流量，以及归一化处理中从目标流量中提取的参数，当检测到目标用户存在枚举漏洞时，服务器10f向对应的用户终端发送告警信息。
83.本技术实施例涉及的所述用户终端包括：平板电脑、智能手机、个人电脑(pc)、笔记本电脑、掌上电脑等终端设备。
84.请参见图2，为本技术实施例提供了一种数据处理方法的流程示意图。如图2所示，本技术实施例的所述方法可以包括以下步骤s101-步骤s103。
85.s101，获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量；
86.具体的，数据处理设备获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，可以理解的是，所述数据处理设备可以是图1中的服务器10f，所述流量序列可以通过流量采集组件来完成，流量采集组件可以部署在多个核心链路，通过分光的方式，对流经链路中的完整流量进行采集，流量序列通过分光方式采集，不影响用户正常业务，例如，流量采集组件可以部署在微信或者qq的核心链路上，采集用户的登陆请求。同时，流量采集组件可以定时对目标链路中的流量进行采集，例如可以每分钟对前一分钟的流量进行采集，采集的频率可以预先设定。流量序列中可以包括一个或者至少两个用户的
至少两个流量，流量序列是用户在时间上的一连串访问请求，流量序列中可以存在多个用户的访问请求，根据所述流量序列获取针对目标用户的目标流量，具体的，可以根据流量中源ip地址对流量序列进行分类，获取目标用户的目标流量，所述目标流量属于所述流量序列，所述目标流量中包括至少两个流量。
87.s102，对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量；
88.具体的，数据处理设备对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，可以理解的是，归一化处理是对流量中的参数进行提取，并将参数进行置零，每个流量中包括cookie信息，统一资源定位系统(uniform resource locator，url)，若流量中的访问方法为post方法，则流量中还包括postbody对应的参数信息，流量的归一化处理包括对上述cookie信息、统一资源定位符以及post方法中的参数信息的归一化处理，通过归一化处理，生成归一化的目标流量，归一化的目标流量中参数对应的参数值均为0。
89.s103，根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态。
90.具体的，数据处理设备根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态，可以理解的是，所述枚举漏洞状态包括存在枚举漏洞和不存在枚举漏洞，通过对归一化的目标流量，以及从目标流量中获取的参数值分析用户的行为，具体的，可以通过参数值的变化情况确定目标用户的枚举漏洞状态，请参见图3，为本技术实施例提供了一种数据处理方法的举例示意图，如图3所示，目标用户的访问请求流量的域名和参数为“*.qq.com/api？freeid＝1&lan_ip＝10.1.1.1”，即目标流量中的参数包括“freeid”和“lan_ip”，从目标流量中提取参数“freeid”和“lan_ip”，以及参数对应的参数值，对目标流量进行归一化处理，生成归一化的目标流量“*.qq.com/api？freeid＝0&lan_ip＝0”，获取目标用户所有相同的归一化的目标流量，从提取的参数值中可知其中“freeid”的参数值存在不重复的10个数值，参数“lan_ip”只存在1个数值，则最后我们可以得到参数“freeid”的变化次数为10次，参数“lan_ip”的变化次数为1，若参数“freeid”的变化次数大于次数阈值，则可知目标用户存在外部针对lan_ip字段的枚举。当确定目标用户存在枚举漏洞时，可以对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截，具体的告警提示可以是语音提示或者是文字弹框提示。
91.在本技术实施例中，通过获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，进一步根据所述归一化的目标流量分析所述目标用户的行为特征，最后根据所述行为特征确定所述目标用户的枚举漏洞状态。通过对目标链路中流量的分析，可以确定目标用户是否存在枚举漏洞，防止敏感信息批量泄露，同时枚举漏洞检测并不针对特定的枚举类型，提高了枚举漏洞检测的覆盖率，提高了数据的安全性。
92.请参见图4，为本技术实施例提供了一种数据处理方法的流程示意图。如图4所示，本技术实施例的所述方法可以包括以下步骤s201-步骤s207。
93.s201，提取目标链路的流量序列中每个流量的响应信息，确定所述响应信息的信息类型；根据所述响应信息的信息类型和流量数量，确定一个用户或者至少两个用户中每个用户对应的流量的敏感程度，根据所述敏感程度的优先级从一个用户或者至少两个用户
确定目标用户。
94.具体的，数据处理设备提取目标链路的流量序列中每个流量的响应信息，确定响应信息的信息类型，所述响应信息为用户针对请求的反馈信息，响应信息的类型包括用户名密码、个人身份数据、金融数据等，用户名密码可以是账号的密码信息，个人身份信息可以是身份证号码、手机号码等，金融数据可以是银行卡号，进一步根据响应信息的信息类型和流量数量，确定一个用户或者至少两个用户中每个用户对应的流量的敏感程度，敏感程度反映目标用户的存在枚举漏洞的可能性，敏感程度越高，反映存在枚举漏洞的可能性越大，该用户的优先级则越高，优先级高的用户可以优先进行枚举漏洞的检测，所述流量数量为流量序列中用户所属流量的数量，具体的，流量数量越多，则敏感程度越高，根据敏感程度的优先级从一个用户或者至少两个用户确定目标用户，具体的目标用户可以是敏感程度最高的用户，需要说明的是，目标用户的选择也可以采用其他筛选规则，或者是按照时间顺序，或者是选择指定的用户作为目标用户。
95.s202，确定流量序列对应的时间阈值，根据所述时间阈值和当前时间确定目标时间段，从目标链路中获取所述目标时间段内的流量序列；获取所述流量序列中每个流量的用户标识，将具有相同用户标识的流量划分至用户标识对应流量集合；获取目标用户对应的目标用户标识，获取所述目标用户标识对应的目标流量集合，将所述目标流量集合中的流量确定为目标用户的目标流量。
96.具体的，时间阈值时数据处理设备采集流量的时间长度，目标时间段是采集流量的具体的时间段，例如，时间阈值为一分钟，目标时间段为当前时间之前的前一分钟，即从目标链路中获取当前时间之前的前一分钟内的流量序列，获取所述流量序列中每个流量的用户标识，用户标识具体可以是源ip地址，或者是用户名，不用的用户具有不同的用户标识，将具有相同用户标识的流量划分至用户标识对应流量集合，即每个用户标识对应一个流量集合，流量集合中存储有用户的一个或者至少两个流量，获取目标用户对应的目标用户标识，获取所述目标用户标识对应的目标流量集合，将所述目标流量集合中的流量确定为目标用户的目标流量。
97.s203，获取所述目标流量中的待处理流量；
98.具体的，数据处理设备获取所述目标流量中的待处理流量，所述待处理流量为目标流量中的任意一个流量，所述每个流量中包括cookie信息和统一资源定位符。
99.s204，获取所述待处理流量中的cookie信息，对所述cookie信息进行归一化处理生成归一化的cookie信息；
100.具体的，流量中包括cookie信息和统一资源定位符，数据处理设备确定所述待处理流量中cookie中的第一参数，提取所述第一参数对应的第一参数值，将所述第一参数和第一参数值存储至参数列表，将所述cookie信息中的第一参数值进行置零，生成归一化的cookie信息。
101.所述第一参数用于标识所述目标用户的个人身份信息，例如，用户使用qq登录网站的cookie信息均包含uin字段，则第一参数为“uin”，若uin字段值为“uin＝3”，则将uin字段对应的参数值“3”进行提取，将第一参数和第一参数值“uin＝3”存储至参数列表，进一步将cookie中uin字段的参数值置零，即将“uin＝3”归一化为“uin＝0”，需要说明的是，若所述待处理流量中cookie信息不存在第一参数，则将所述待处理流量进行置空处理。
102.s205，获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符；
103.具体的，数据处理设备获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符，可以理解的是，流量中的访问方法包括get方法和post方法。
104.若所述待处理流量的访问方法为get方法，确定所述待处理流量中统一资源定位符中的第二参数，提取所述第二参数对应的第二参数值，将所述第二参数和第二参数值存储至参数列表，将所述统一资源定位符中的第二参数值进行置零，生成归一化的统一资源定位符；具体的，可以通过参数赋值符提取统一资源定位符中的第二参数，所述参数赋值符可以是等号“＝”或者“：”，当待处理流量的访问方法为get方法时，参数赋值符为“＝”，例如，待处理流量中统一资源定位符为“*.qq.com/api？freeid＝1&lan_ip＝10.1.1.1”，数据处理设备检测统一资源定位符中的“＝”，“＝”左侧的为第二参数，“＝”右侧为第二参数对应的第二参数值，即上述待处理流量中的第二参数包括“freeid”和“lan_ip”，第二参数“freeid”的参数值为1和第二参数“lan_ip”的参数值为10.1.1.1，提取所述第二参数对应的第二参数值，将所述第二参数和第二参数值存储至参数列表，将所述统一资源定位符中的第二参数值进行置零，即保持域名与参数不变，将参数值全部变为0，归一化的统一资源定位符为“*.qq.com/api？freeid＝0&lan_ip＝0”。
105.若所述待处理流量的访问方法为post方法，确定待处理流量中统一资源定位符中的第三参数，以及所述待处理流量中的post参数，提取所述第三参数对应的第三参数值和所述post参数对应的post参数值，将所述第三参数和第三参数值，以及post参数和post参数值存储至参数列表，将所述统一资源定位符中的第三参数值和post参数值进行置零，生成归一化的统一资源定位符和归一化的post参数，post方法中第三参数的提取与get方法中第二参数的提取相同，都是通过参数赋值符“＝”进行提取，post参数的提取可以通过参数赋值符“：”进行提取，具体的，当待处理流量的访问方法为post方法时，参数赋值符为“：”，例如，待处理流量中post方法中的具体内容postbody为{“a”：3}，数据处理设备检测postbody中的“：”，“：”左侧的为post参数，“＝”右侧为post参数对应的post参数值，即上述待处理流量中的post参数为“a”，post参数“a”的参数值为3，将post参数值进行置零，即归一化的postbody为{“a”：0}。
106.数据处理设备遍历目标流量中的所有流量，将每个流量作为待处理流量，将待处理流量中的cookie信息和统一资源定位符进行归一化处理，生成归一化的cookie信息和归一化的统一资源定位符，将待处理流量对应的归一化的cookie信息和归一化的统一资源定位符确定为归一化的待处理流量，当目标流量中的所有流量均确定为待处理流量时，将所有归一化的待处理流量确定为归一化的目标流量。
107.s206，根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态；
108.具体的，数据处理设备根据归一化的统一资源定位符，归一化的cookie以及归一化的post参数，将归一化目标流量划分至一个或者至少两个待检测集合中，具体的，归一化的目标流量包括归一化的一个或至少两个流量，将归一化的目标流量中，具有相同归一化的cookie、相同归一化的统一资源定位符以及相同归一化的postbody的流量，划分至相同
的待检测集合，每个待检测集合中的归一化的统一资源定位符，归一化的cookie以及归一化的post参数均相同，需要说明的是，若目标流量的访问方法为get方法，则待检测集合中不存在post参数。
109.获取每个待检测集合中归一化目标流量对应的参数列表，所述参数列表用于存储目标流量中的参数和参数对应的参数值，参数包括第一参数、第二参数、第三参数以及post参数，检测参数列表中每个参数的参数值不重复的变化次数，将检测列表中参数值最大的变化次数作为待检测集合的变化次数，当任意一个待检测集合的变化次数小于次数阈值时，则目标用户不存在枚举漏洞，当任意一个待检测集合的变化次数大于或等于次数阈值时，则目标用户存在枚举漏洞，次数阈值可以预先设定。
110.例如，目标用户的目标流量为“*.qq.com/api？freeid＝1&lan_ip＝10.1.1.1”，进行归一化处理后的归一化的目标流量为“*.qq.com/api？freeid＝0&lan_ip＝0”，获取上述归一化的目标流量对应的待检测集合，所述待检测集合为一个或者至少两个待检测集合中的一个集合，从目标流量对应的参数列表中获取参数“freeid”和“lan_ip”，以及参数对应的参数值，检测参数列表中参数“freeid”和“lan_ip”的参数值不重复的变化次数，若从提取的参数值中可知其中“freeid”的参数值存在不重复的10个数值，参数“lan_ip”只存在1个数值，则可以得到参数“freeid”的变化次数为10次，参数“lan_ip”的变化次数为1，若参数“freeid”的变化次数大于次数阈值，则可知目标用户存在外部针对lan_ip字段的枚举。
111.s207，当所述目标用户存在枚举漏洞时，对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截。
112.具体的，所述枚举漏洞状态包括存在枚举漏洞和不存在枚举漏洞，当检测到目标用户存在枚举漏洞时，数据处理设备可以对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截，用户可以采用封禁或者访问限制等措施，具体的告警提示可以是语音提示或者是文字弹框提示。
113.在本技术实施例中，通过获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，进一步根据所述归一化的目标流量分析所述目标用户的行为特征，最后根据所述行为特征确定所述目标用户的枚举漏洞状态。通过对目标链路中流量的分析，可以确定目标用户是否存在枚举漏洞，防止敏感信息批量泄露，同时枚举漏洞检测并不针对特定的枚举类型，提高了枚举漏洞检测的覆盖率，提高了数据的安全性。
114.请参见图5，为本技术实施例提供了一种数据处理设备的结构示意图。所述数据处理设备可以是运行于计算机设备中的一个计算机程序(包括程序代码)，例如该数据处理设备为一个应用软件；该设备可以用于执行本技术实施例提供的方法中的相应步骤。如图5所示，本技术实施例的所述数据处理设备1可以包括：流量获取单元11、流量处理单元12、行为分析单元13。
115.流量获取单元11，用于获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，所述流量序列包括至少两个流量，所述目标流量属于所述流量序列，所述目标流量包括至少两个流量；
116.流量处理单元12，用于对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量；
117.行为分析单元13，用于根据所述归一化的目标流量分析所述目标用户的行为特征，根据所述行为特征确定所述目标用户的枚举漏洞状态。
118.请参见图5，本技术实施例的所述数据处理设备1可以还包括：优先级确定单元14。
119.优先级确定单元14，用于提取目标链路的流量序列中每个流量的响应信息，确定所述响应信息的信息类型；
120.根据所述响应信息的信息类型和流量数量，确定一个用户或者至少两个用户中每个用户对应的流量的敏感程度，根据所述敏感程度的优先级从一个用户或者至少两个用户确定目标用户。
121.所述流量获取单元11具体用于：
122.确定流量序列对应的时间阈值，根据所述时间阈值和当前时间确定目标时间段，从目标链路中获取所述目标时间段内的流量序列；
123.获取所述流量序列中每个流量的用户标识，将具有相同用户标识的流量划分至用户标识对应流量集合；
124.获取目标用户对应的目标用户标识，获取所述目标用户标识对应的目标流量集合，将所述目标流量集合中的流量确定为目标用户的目标流量。
125.请参见图5，本技术实施例的所述流量处理单元12可以包括：待处理流量获取子单元121、第一归一化处理子单元122、第二归一化处理子单元123。
126.待处理流量获取子单元121，用于获取所述目标流量中的待处理流量，所述待处理流量为目标流量中的任意一个流量；所述每个流量中包括cookie信息和统一资源定位符；
127.第一归一化处理子单元122，用于获取所述待处理流量中的cookie信息，对所述cookie信息进行归一化处理生成归一化的cookie信息；
128.第二归一化处理子单元123，用于获取所述待处理流量中的统一资源定位符，对所述统一资源定位符进行归一化处理，生成归一化的统一资源定位符；
129.将归一化的cookie信息和归一化的统一资源定位符确定为归一化的待处理流量；
130.当目标流量中的所有流量均确定为待处理流量时，将所有归一化的待处理流量确定为归一化的目标流量。
131.所述第一归一化处理子单元122具体用于：
132.确定所述待处理流量中cookie中的第一参数，提取所述第一参数对应的第一参数值，将所述第一参数和第一参数值存储至参数列表；所述第一参数用于标识所述目标用户的个人身份信息；
133.将所述cookie信息中的第一参数值进行置零，生成归一化的cookie信息。
134.所述第二归一化处理子单元123具体用于：
135.若所述待处理流量的访问方法为get方法，确定所述待处理流量中统一资源定位符中的第二参数，提取所述第二参数对应的第二参数值，将所述第二参数和第二参数值存储至参数列表；
136.将所述统一资源定位符中的第二参数值进行置零，生成归一化的统一资源定位符；
137.若所述待处理流量的访问方法为post方法，确定待处理流量中统一资源定位符中的第三参数，以及所述待处理流量中的post参数，提取所述第三参数对应的第三参数值和
所述post参数对应的post参数值，将所述第三参数和第三参数值，以及post参数和post参数值存储至参数列表；
138.将所述统一资源定位符中的第三参数值和post参数值进行置零，生成归一化的统一资源定位符和归一化的post参数。
139.所述行为分析单元13具体用于：
140.将归一化目标流量划分至一个或者至少两个待检测集合中；所述每个待检测集合中的归一化目标流量均相同；
141.获取每个待检测集合中归一化目标流量对应的参数列表；所述参数列表用于存储目标流量中的参数和参数对应的参数值；
142.检测参数列表中每个参数的参数值不重复的变化次数，将检测列表中参数值最大的变化次数作为待检测集合的变化次数；
143.当任意一个待检测集合的变化次数小于次数阈值时，则目标用户不存在枚举漏洞，当任意一个待检测集合的变化次数大于或等于次数阈值时，则目标用户存在枚举漏洞。
144.请参见图5，本技术实施例的所述数据处理设备1可以还包括：告警单元15。
145.所述枚举漏洞状态包括存在枚举漏洞和不存在枚举漏洞；
146.告警单元15，用于当所述目标用户存在枚举漏洞时，对所述目标用户发送告警信息，以提示所述目标用户进行枚举漏洞拦截。
147.在本技术实施例中，通过获取目标链路中的流量序列，根据所述流量序列获取针对目标用户的目标流量，对所述目标流量中每个流量进行归一化处理，生成归一化的目标流量，进一步根据所述归一化的目标流量分析所述目标用户的行为特征，最后根据所述行为特征确定所述目标用户的枚举漏洞状态。通过对目标链路中流量的分析，可以确定目标用户是否存在枚举漏洞，防止敏感信息批量泄露，同时枚举漏洞检测并不针对特定的枚举类型，提高了枚举漏洞检测的覆盖率，提高了数据的安全性。
148.请参见图6，为本技术实施例提供了一种计算机设备的结构示意图。如图6所示，所述计算机设备1000可以包括：至少一个处理器1001，例如cpu，至少一个网络接口1004，用户接口1003，存储器1005，至少一个通信总线1002。其中，通信总线1002用于实现这些组件之间的连接通信。其中，用户接口1003可以包括显示屏(display)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如wi-fi接口)。存储器1005可以是随机存取存储器(random access memory，ram)，也可以是非易失性存储器(non-volatile memory，nvm)，例如至少一个磁盘存储器。存储器1005可选的还可以是至少一个位于远离前述处理器1001的存储装置。如图6所示，作为一种计算机存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及数据处理应用程序。
149.在图6所示的计算机设备1000中，网络接口1004可提供网络通讯功能，用户接口1003主要用于为用户提供输入的接口；而处理器1001可以用于调用存储器1005中存储的数据处理应用程序，以实现上述图2-图4任一个所对应实施例中对所述数据处理方法的描述，在此不再赘述。
150.应当理解，本技术实施例中所描述的计算机设备1000可执行前文图2-图4任一个所对应实施例中对所述数据处理方法的描述，也可执行前文图5所对应实施例中对所述数
据处理设备的描述，在此不再赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。
151.此外，这里需要指出的是：本技术实施例还提供了一种计算机可读存储介质，且所述计算机可读存储介质中存储有前文提及的数据处理设备所执行的计算机程序，且所述计算机程序包括程序指令，当所述处理器执行所述程序指令时，能够执行前文图2-图4任一个所对应实施例中对所述数据处理方法的描述，因此，这里将不再进行赘述。另外，对采用相同方法的有益效果描述，也不再进行赘述。对于本技术所涉及的计算机可读存储介质实施例中未披露的技术细节，请参照本技术方法实施例的描述。作为示例，程序指令可被部署为在一个计算设备上执行，或者在位于一个地点的多个计算设备上执行，又或者，在分布在多个地点且通过通信网络互连的多个计算设备上执行，分布在多个地点且通过通信网络互连的多个计算设备可以组成区块链系统。
152.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述存储介质可为磁碟、光盘、nvm或ram等。
153.以上所揭露的仅为本技术较佳实施例而已，当然不能以此来限定本技术之权利范围，因此依本技术权利要求所作的等同变化，仍属本技术所涵盖的范围。