数据安全处理方法及装置、系统与流程

本公开涉及计算机安全技术领域，具体而言，涉及一种数据安全处理方法、数据安全处理装置和数据安全处理系统。

背景技术：

随着计算机技术的不断发展，层出不穷的外挂给计算机安全带来了极大的威胁。对外挂文件进行分析并根据分析结果得到应对方案，这已成为处理外挂的主要方式之一。目前，获取外挂的途径局限于在从外部获知外挂情报后，直接上传客户端本地文件。然而，一方面，在从外部获知外挂情报后，获取外挂数据，整个过程被动且滞后；另一方面，由于直接上传客户端本地文件，可能会存在侵犯用户隐私的问题。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本公开的目的在于提供一种数据安全处理方法、数据安全处理装置和数据安全处理系统，进而至少在一定程度上克服相关技术中存在的获取外挂被动且滞后的问题。

根据本公开的一个方面，提供一种数据安全处理方法，包括：接收来自服务器的数据上传指令；其中，数据上传指令包含目标数据的标识信息；根据标识信息从应用程序的进程空间内获取目标数据并上传以用于安全检测。

根据本公开的一个方面，提供一种数据安全处理装置，包括：上传指令接收模块，用于接收来自服务器的数据上传指令；其中，数据上传指令包含目标数据的标识信息；目标数据获取模块，用于根据标识信息从应用程序的进程空间内获取目标数据并上传以用于安全检测。

可选地，目标数据获取模块包括：数据获取单元，用于根据标识信息从应用程序的进程空间内获取目标数据；数据写入单元，用于按照预定格式将目标数据写入目标文件；文件上传单元，用于将目标文件上传至服务器，以便对目标文件进行安全检测。

可选地，文件上传单元包括：文件传节点单元，用于将目标文件上传至cdn节点；第一地址获取单元，用于获取cdn节点发送的目标文件的地址信息；第一地址发送单元，用于将地址信息发送至服务器，以便服务器根据地址信息从cdn节点获取目标文件。

可选地，目标数据获取模块包括：数据获取单元，用于根据标识信息从应用程序的进程空间内获取目标数据；数据发送单元，用于将目标数据上传至服务器，以便服务器按照预定格式将目标数据写入目标文件进行安全检测。

可选地，数据发送单元包括：数据传节点单元，用于将目标数据上传至cdn节点；第二地址获取单元，用于接收cdn节点发送的目标数据的地址信息；第二地址发送单元，用于将地址信息发送至服务器，以便服务器根据地址信息从cdn节点获取目标数据。

可选地，数据安全处理装置还包括：标识信息发送模块，用于将数据的标识信息发送给服务器，以由服务器根据标识信息确定目标数据并发送数据上传指令。

可选地，目标数据为服务器根据不在白名单内的所述标识信息而确定出的数据。

可选地，目标数据为服务器对不在白名单内的所述标识信息进行统计分析而确定出的数据。

根据本公开的一个方面，提供一种数据安全处理系统，包括：客户端，用于接收来自服务器的数据上传指令；其中，数据上传指令包含目标数据的标识信息；根据标识信息从应用程序的进程空间内获取目标数据并上传；服务器，用于向客户端发送数据上传指令；获取目标数据并进行安全检测。

可选地，客户端用于将目标文件上传包括：客户端用于将目标文件上传至cdn节点；获取cdn节点发送的目标文件的地址信息；将地址信息发送至服务器；服务器用于获取目标数据包括：服务器根据地址信息从cdn节点获取目标文件。

可选地，客户端用于根据标识信息从应用程序的进程空间内获取目标数据并上传包括：客户端用于将目标数据上传至cdn节点；接收cdn节点发送的目标数据的地址信息；将地址信息发送至服务器，以便服务器根据地址信息从cdn节点获取目标数据。

可选地，目标数据为服务器根据不在白名单内的所述标识信息而确定出的数据。

可选地，目标数据为服务器对不在白名单内的所述标识信息进行统计分析而确定出的数据。

根据本公开的一个方面，提供一种存储介质，其上存储有计算机程序，计算机程序被处理器执行时实现上述数据安全处理方法。

根据本公开的一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储处理器的可执行指令；其中，处理器配置为经由执行可执行指令来执行上述数据安全处理方法。

在本公开的一些实施例所提供的技术方案中，通过接收数据上传指令，根据数据上传指令中包含的目标数据的标识信息从应用程序的进程空间内获取目标数据，并将目标数据上传作为外挂检测的对象，一方面，本公开实施例可以根据数据上传指令，有针对性地获取外挂检测对象，进而可以及时发现可能存在的外挂文件；另一方面，因为目标数据是从应用程序的进程空间中获取，因此，本公开实施例不会对客户端本地文件进行任何操作，用户的隐私相对得到了保护。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。在附图中：

图1示出了本公开的示例性实施方式的数据安全处理系统的示意图；

图2示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图；

图3示意性示出了本公开的示例性实施方式的数据安全处理方法的流程图；

图4示出了macho文件格式的示意图；

图5示意性示出了本公开的示例性实施方式的将目标数据写入macho文件的流程图；

图6示意性示出了本公开的示例性实施方式的一种客户端操作过程的流程图；

图7示意性示出了本公开的示例性实施方式的应用cdn节点的一种整体流程图；

图8示出了本公开的示例性实施方式的数据安全处理方法的一种交互过程的示意图；

图9示出了本公开的示例性实施方式的数据安全处理方法的另一交互过程的示意图；

图10示意性示出了本公开的示例性实施方式的数据安全处理装置的方框图；

图11示意性示出了本公开的示例性实施方式的目标数据获取模块的方框图；

图12示意性示出了本公开的示例性实施方式的文件上传单元的方框图；

图13示意性示出了本公开的示例性实施方式的目标数据获取模块的另一方框图；

图14示意性示出了本公开的示例性实施方式的数据发送单元的方框图；

图15示意性示出了本公开的示例性实施方式的数据安全处理装置的另一方框图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中，提供许多具体细节从而给出对本公开的实施方式的充分理解。然而，本领域技术人员将意识到，可以实践本公开的技术方案而省略所述特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知技术方案以避免喧宾夺主而使得本公开的各方面变得模糊。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

附图中所示的流程图仅是示例性说明，不是必须包括所有的步骤。例如，有的步骤还可以分解，而有的步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。

图1示出了本公开的示例性实施方式的数据安全处理系统的示意图。如图1所示，本公开的示例性实施方式的数据安全处理系统可以包括客户端11、服务器12、分析端13。另外，数据安全处理系统还可以包括有助于客户端11和服务器12进行通信的网络节点14。

应该理解的是，图1中的客户端、服务器、分析端、网络节点的数目仅仅是示意性的。根据实现需要，可以具有任意数目的客户端、服务器、分析端、网络节点。比如服务器12可以是多个服务器组成的服务器集群等。

客户端11可以是各种类型的电子设备，可以包括但不限于智能手机、平板电脑、便携式计算机和台式计算机等等。例如，客户端11可以接收来自服务器12的数据上传指令，并根据该数据上传指令从应用程序的进程空间内获取目标数据并上传至服务器12。

又如，客户端11可以向服务器12发送进程空间内数据的标识信息；服务器12可以根据接收到的标识信息确定出目标数据并向客户端11发送对应的数据上传指令；客户端11可以根据该数据上传指令从应用程序的进程空间内获取目标数据并上传至服务器12，其中，可以借助于网络节点14来使客户端11获取的目标数据发送至服务器12；服务器12在获取到目标数据后，可以将目标数据发送至分析端13进行分析，以确定目标数据或目标数据对应的文件是否存在安全问题。

需要说明的是，本公开实施例所提供的数据安全处理方法一般由客户端11执行，相应地，数据安全处理装置一般设置于客户端11中。

图2示出了适于用来实现本发明实施例的电子设备的计算机系统的结构示意图。

需要说明的是，图2示出的电子设备的计算机系统200仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图2所示，计算机系统200包括中央处理单元(cpu)201，其可以根据存储在只读存储器(rom)202中的程序或者从存储部分208加载到随机访问存储器(ram)203中的程序而执行各种适当的动作和处理。在ram203中，还存储有系统操作所需的各种程序和数据。cpu201、rom202以及ram203通过总线204彼此相连。输入/输出(i/o)接口205也连接至总线204。

以下部件连接至i/o接口205：包括键盘、鼠标等的输入部分206；包括诸如阴极射线管(crt)、液晶显示器(lcd)等以及扬声器等的输出部分207；包括硬盘等的存储部分208；以及包括诸如lan卡、调制解调器等的网络接口卡的通信部分209。通信部分209经由诸如因特网的网络执行通信处理。驱动器210也根据需要连接至i/o接口205。可拆卸介质211，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器210上，以便于从其上读出的计算机程序根据需要被安装入存储部分208。

特别地，根据本发明的实施例，下文参考流程图描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在存储介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分209从网络上被下载和安装，和/或从可拆卸介质211被安装。在该计算机程序被中央处理单元(cpu)201执行时，执行本申请的系统中限定的各种功能。

需要说明的是，本发明所示的存储介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑磁盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何存储介质，该存储介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。存储介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、rf等等，或者上述的任意合适的组合。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本发明实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现，所描述的单元也可以设置在处理器中。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定。

作为另一方面，本申请还提供了一种存储介质，该存储介质可以是上述实施例中描述的电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述存储介质承载有一个或者多个程序，当上述一个或者多个程序被一个该电子设备执行时，使得该电子设备实现如下述实施例中所述的方法。

下面对本公开实施例的技术方案进行详细阐述：

目前，各种外挂、病毒、木马的出现，不仅妨碍了应用程序的正常运行，使应用程序的运营效果与预期不符，而且还会影响正常用户的使用。以微信为例，抢红包插件、自动拉人、强制好友查看广告、一键转发朋友圈等外挂已经对微信的正常运营产生了不良影响。在这种情况下，对外挂进行分析以提供外挂打击方案已成为解决外挂问题的主要方式，在此过程中，如何获取外挂数据或外挂文件成为首先要解决的问题。

一些技术获取外挂的途径为：从外部获知外挂情报后，直接从客户端的本地文件中获取可疑文件。在这种情况下，一方面，外挂情报可能是外挂事件已经发生一段时间后得到的外挂信息，因此，该外挂情报存在滞后性，另外，获知外挂情报的过程通常是被动接收信息的过程；另一方面，由于直接从客户端的本地文件中去获取可疑文件，这可能会存在侵犯用户隐私的问题；再一方面，从客户端获取文件的过程中，尤其针对ios系统，相应的安全类软件较少，不能较好地依赖安全类软件采集文件。另外，由于客户端系统的权限限制，可能导致一些目录下的应用程序中的文件无法被正常读取。

鉴于此，本公开的示例性实施方式提供了一种数据安全处理方法。

下面以外挂为例对本公开的构思进行说明。然而，应当理解的是，本公开的数据安全处理方法和数据安全装置还可以应用于处理木马数据/文件、病毒数据/文件的场景，本公开对此不做限制。

图3示意性示出了本公开的示例性实施方式的数据安全处理方法的流程图。参考图3，所述数据安全处理方法可以包括以下步骤：

s32.接收来自服务器的数据上传指令；其中，数据上传指令包含目标数据的标识信息。

在本公开的一些实施例中，首先，客户端可以将应用程序的进程空间内的数据的标识信息发送给服务器。其中，应用程序的进程空间内的数据可以与客户端本地文件对应，数据的标识信息可以包括但不限于对应文件的文件名、uuid(universallyuniqueidentifier，通用唯一识别码)信息等。另外，客户端可以定期向服务器发送标识信息，例如，每隔8小时、一天等，具体的，可以根据外挂可能出现的实际情况确定标识信息上传的时间间隔，本公开对此不做特殊限定。

接下来，服务器在接收到标识信息后，可以对标识信息进行分析，以确定出目标数据。其中，本公开实施例中所述的目标数据是可能为外挂的可疑数据。应当理解的是，目标数据仅仅是程序部分，不涉及任何有关用户个人隐私的信息。以外挂为例，外挂可以包含程序部分以及可能包含用户个人隐私信息的数据部分，而此处的目标数据仅针对的是外挂的程序部分，具体的，可以将程序部分理解为针对某一事件编写出的共性代码，这其中必然不会包含用户的个性化信息。鉴于此，本公开可以避免侵犯用户的隐私。

具体的，服务器中可以存储有针对标识信息的白名单，以应用程序是微信为例，白名单中的信息可以包括微信自身的文件信息和客户端系统正常运行的文件信息。服务器在接收一标识信息后，可以判断该标识信息是否在白名单中，若在，则说明该标识信息对应的数据是正常的数据；若不在，则将该标识信息对应的数据确定为目标数据。

此外，在判断出标识信息不在白名单的情况下，服务器可以对该标识信息进行统计分析，以确定出目标数据。例如，服务器可以对上报的uuid的用户数量进行统计，当不在白名单内的uuid的用户数量达到一预定数量时，可以将该uuid对应的数据确定为目标数据。如果未达到预定数量，则可暂不对该uuid对应的数据进行处理。该预定数量可以由运营人员自行设定，例如，可以将预定数量设定为1万。另外，服务器还可以根据上报的uuid的频率和/或数量来确定该uuid对应的数据是否为目标数据，本公开对此不做特殊限制。

服务器在确定出目标数据后，可以向客户端发送数据上传指令。其中，该数据上传指令包括目标数据的标识信息，以便于客户端上传目标数据。

在本公开的另一些实施例中，服务器可以定期或实时监测客户端应用程序的进程空间内是否存在异常的情况，并且当发现进程空间内存在异常数据时，确定异常数据对应的标识信息，在这种情况下，异常数据即为目标数据。随后，服务器可以向客户端发送数据上传指令，其中，数据上传指令包含异常数据的标识信息。

s34.根据标识信息从应用程序的进程空间内获取目标数据并上传以用于安全检测。

在本公开的一些实施例中，客户端在接收到服务器发送的数据上传指令后，首先，客户端可以判断应用程序的进程空间中是否存在目标数据，以防止指令错误的情况。在判断出不存在目标数据时，客户端可以向服务器发送反馈指令以提示服务器重新发送数据上传指令，或者客户端可以向服务器发送告警信号，以提示运营人员进行确认；客户端在判断出存在目标数据时，客户端可以根据标识信息从应用程序的进程空间中获取目标数据。例如，客户端可以根据标识信息确定出目标数据在进程空间内的地址，利用如memcpy的内存拷贝函数读取目标数据。

接下来，客户端可以按照预定格式将目标数据写入目标文件。其中，预定格式可以是客户端系统的文件格式。以ios系统为例，可执行文件的格式为macho，图4示意性示出macho文件的文件格式，参考图4，macho文件的格式可以包括文件头(header)、加载指令(loadcommands)和数据(date)，其中，数据中包含不同的段(segment)，而不同的段包含不同的信息，例如，文本段(textsegment)主要包含可执行文件的代码信息，数据段(datasegment)主要包含数据信息。

图5示意性示出了以macho文件格式为例将目标数据写入目标文件的过程。参考图5，在步骤s502中，客户端可以判断数据是否被加载，也就是说，客户端可以监测是否要上传目标文件；在步骤s504中，在判断出数据被加载时，客户端可以计算目标数据在进程空间内的大小，并根据计算结果创建一相应大小的文件作为目标文件。另外，针对客户端系统存在文件读取受限制的情况，客户端可以在可读取文件的目录下创建目标文件；在步骤s506中，客户端可以从应用程序的进程空间内读取文件头，并将文件头对应保存到目标文件；在步骤s508中，客户端可以从应用程序的进程空间内读取加载指令，并将加载指令对应保存到目标文件；在步骤s510中，客户端可以从应用程序的进程空间内读取各个段信息，并将段信息对应保存到目标文件；在步骤s512中，客户端可以对重定位信息进行修复。在修复重定位信息后，目标数据写入目标文件的过程完成。

客户端在将目标数据写入目标文件后，可以将目标文件上传至服务器。本公开的实施例提出了如下三种将目标文件上传至服务器的实施例：

将目标文件上传至服务器的实施例1：

客户端可以将目标文件直接上传至服务器，以便服务器对目标文件进行安全检测。

将目标文件上传至服务器的实施例2：

首先，客户端可以将目标文件上传至cdn(contentdeliverynetwork，内容分发网络)节点；接下来，cdn节点可以存储目标文件并将目标文件存储的地址信息发送给客户端，其中，该地址信息可以包括url(uniformresourcelocator，统一资源定位符)信息或文件id信息；随后，客户端可以将该地址信息发送至服务器，其中，发送的过程可以是信息同步的过程；然后，服务器在接收到该地址信息后，可以向cdn节点发送目标文件获取指令，以从cdn节点获取目标文件。

图6示意性示出了包含上述实施例2的客户端操作的流程图。在s601中，客户端接收服务器发送的数据上传指令；在步骤s603中，客户端判断是否存在待上传的数据，并在判断出存在待上传的数据时，步骤跳转至步骤s605，在判断出不存在待上传的数据时，步骤跳转至步骤s615；在步骤s605中，客户端从进程空间内获取目标数据，并将目标数据写入目标文件中；在步骤s607中，客户端判断目标数据是否成功写入目标文件中，并在判断出成功写入时，步骤跳转至步骤s609，在判断出未写入成功时，步骤跳转至步骤s615；在步骤s609中，客户端将目标文件上传至cdn节点；在步骤s611中，客户端判断目标文件是否上传成功，并在判断出上传成功时，步骤跳转至步骤s613，在判断出未上传成功时，步骤跳转至步骤s615；在步骤s613中，客户端可以将cdn节点发送的目标文件的地址信息发送至服务器，以便服务器根据该地址信息获取目标文件进行安全分析；步骤s615中，流程出现异常，客户端结束发送目标文件的过程，并可以将异常返回至服务器，以便运营人员进行异常分析。

另外，图7示意性示出了在实施例2下的系统框图。整体流程可以分为：步骤s700，服务器向客户端发送数据上传指令；步骤s702，客户端将与数据上传指令对应的目标文件上传至cdn节点；步骤s704，服务器从cdn节点拉取目标文件。

将目标文件上传至服务器的实施例3：

首先，客户端可以将目标文件上传至cdn节点；接下来，cdn节点可以存储目标文件并将目标文件存储的地址信息发送给服务器，其中，该地址信息可以包括url信息或文件id信息；随后，服务器可以根据该地址信息向cdn节点发送目标文件获取指令，以从cdn节点获取目标文件。

在上述将目标文件上传至服务器的实施例2和实施例3中，客户端将目标文件先上传至cdn节点的优点在于：在复杂的网络传输过程中，传输速度较快，避免了网络拥塞。

服务器在获取目标文件后，可以对目标文件进行分析，以确定目标文件是否为外挂文件。分析过程可以采用人工分析、机器分析或它们结合的方式。例如，可以判断目标文件包含的字符串是否是应用程序或系统自身的字符串，如果不是，则可以将该目标文件发送至人工分析平台进行人工分析，或者模拟目标文件执行的场景，以判断目标文件是否为外挂文件。另外，在分析目标文件是否为外挂文件的过程中，可以对目标文件进行分类，以微信为例，可以将外挂文件例如分为抢红包外挂、自动拉人外挂、强制好友查看广告外挂、一键转发朋友圈外挂等，由此，可以将不同类型的外挂发送至不同的人工分析平台，以进行有针对性的分析处理。

以上实施例描述了在客户端生成目标文件并上传至服务器的方案，下面将对客户端直接将目标数据上传至服务器的方案进行说明。

在本公开的另一些实施例中，客户端在接收到服务器发送的数据上传指令后，首先，客户端可以根据标识信息从应用程序的进程空间中获取目标数据。

接下来，客户端可以将目标数据上传至服务器。类似的，本公开的实施例提出了如下三种将目标数据上传至服务器的实施例；

将目标数据上传至服务器的实施例1：

客户端可以将目标数据直接上传至服务器。

将目标数据上传至服务器的实施例2：

首先，客户端可以将目标数据上传至cdn节点；接下来，cdn节点可以存储目标数据并将目标数据存储的地址信息发送给客户端，其中，该地址信息可以包括url信息和文件id信息；随后，客户端可以将该地址信息发送至服务器，其中，发送的过程可以是信息同步的过程；然后，服务器在接收到该地址信息后，可以向cdn节点发送目标数据获取指令，以从cdn节点获取目标数据。

将目标数据上传至服务器的实施例3：

首先，客户端可以将目标数据上传至cdn节点；接下来，cdn节点可以存储目标数据并将目标数据存储的地址信息发送给服务器，其中，该地址信息可以包括url信息或文件id信息；随后，服务器可以根据该地址信息向cdn节点发送目标数据获取指令，以从cdn节点获取目标数据。

在上述将目标数据上传至服务器的实施例2和实施例3中，客户端将目标数据先上传至cdn节点的优点在于：在复杂的网络传输过程中，传输速度较快，避免了网络拥塞。

服务器在获取目标数据后，根据本公开的一个实施例，可以直接对目标数据进行分析，以确定出该目标数据是否为外挂数据。

根据本公开的另一个实施例，首先，服务器可以按照预定格式将目标数据写入目标文件，将目标数据写入目标文件的过程与图5所示的过程类似，在此不再赘述；接下来，服务器可以对目标文件进行分析，分析方式与前述分析方式相同。

参考图8，对本公开的示例性实施方式的数据安全处理方法的一种交互过程进行说明。

在步骤s801中，客户端可以向服务器发送数据的标识信息；在步骤s803中，服务器可以对标识信息进行分析，以确定出目标数据；在步骤s805中，服务器可以向客户端发送数据上传指令；在步骤s807中，客户端可以从进程空间内获取目标数据，并按预定格式将目标数据写入目标文件；在步骤s809中，客户端可以向cdn节点发送目标文件；在步骤s811中，cdn节点可以向客户端发送目标文件的地址信息；在步骤s813中，客户端可以向服务器发送地址信息；在步骤s815中，服务器可以向cdn节点发送目标文件获取指令；在步骤s817中，cdn节点可以响应目标文件获取指令将目标文件发送至服务器；在步骤s819中，服务器可以对目标文件进行分析，以确定目标文件是否为外挂文件，进而对外挂文件制定出解决方案。

针对图8所示的交互过程，可以存在一些容易理解的变型，例如，在步骤s811过程中，cdn节点可以直接将目标文件的地址信息发送给服务器，或者cdn节点可以直接将目标文件发送至服务器，等等。应当理解的是，这些变型也属于本发明的构思。

参考图9，对本公开的示例性实施方式的数据安全处理方法的一种交互过程进行说明。

具体的，步骤s901至步骤s905与步骤s801至步骤s805分别对应，不再赘述。在步骤s907中，客户端从应用程序的进程空间内获取目标数据；在步骤s909中，客户端将目标数据发送至cdn节点；在步骤s911中，cdn节点可以向客户端发送目标数据的地址信息；在步骤s913中，客户端可以将地址信息发送至服务器；在步骤s915中，服务器可以根据该地址信息向cdn节点发送目标数据获取指令；在步骤s917中，cdn节点可以响应目标数据获取指令将目标数据发送给服务器；在步骤s919中，服务器可以按照预定格式将目标数据写入目标文件；在步骤s921中，服务器可以对目标文件进行分析，以确定目标文件是否为外挂文件，进而对外挂文件制定出解决方案。

针对图9所示的交互过程，可以存在一些容易理解的变型，例如，在步骤s911过程中，cdn节点可以直接将目标数据的地址信息发送给服务器，或者cdn节点可以直接将目标数据发送至服务器，在步骤s917之后，服务器可以直接对目标数据进行分析，等等。应当理解的是，这些变型也属于本发明的构思。

综上所述，采用本公开实施例所述的数据安全处理方法，可以从客户端应用程序(例如，微信)的进程空间中获取可疑数据，并将该可疑数据写入预定格式的文件中并上传至服务器，或者直接将可疑数据上传至服务器。服务器可以对接收到的预定格式文件或数据进行分析，以确定该可疑数据是否为外挂数据，并对外挂数据进行分析以得到外挂的打击方案。一方面，本公开实施例可以有针对性地获取外挂检测对象，进而可以及时发现可能存在的外挂文件；另一方面，因为目标数据是从应用程序的进程空间中获取，并且目标数据仅是程序部分而不涉及任何关于用户隐私的信息。因此，本公开实施例不会对客户端本地文件进行任何操作，用户的隐私相对得到了保护。

应当注意，尽管在附图中以特定顺序描述了本公开中方法的各个步骤，但是，这并非要求或者暗示必须按照该特定顺序来执行这些步骤，或是必须执行全部所示的步骤才能实现期望的结果。附加的或备选的，可以省略某些步骤，将多个步骤合并为一个步骤执行，以及/或者将一个步骤分解为多个步骤执行等。

进一步的，本示例实施方式中还提供了一种数据安全处理装置。

图10示意性示出了本公开的示例性实施方式的数据安全处理装置的方框图。参考图10，根据本公开的示例性实施方式的数据安全处理装置10可以包括上传指令接收模块101和目标数据获取模块103。

具体的，上传指令接收模块101可以用于接收来自服务器的数据上传指令；其中，数据上传指令包含目标数据的标识信息；目标数据获取模块103可以用于根据标识信息从应用程序的进程空间内获取目标数据并上传以用于安全检测。

根据本公开实施例所提供的数据安全处理装置，一方面，可以根据数据上传指令，有针对性地获取外挂检测对象，进而可以及时发现可能存在的外挂文件；另一方面，因为目标数据是从应用程序的进程空间中获取，因此，本公开实施例不会对客户端本地文件进行任何操作，用户的隐私相对得到了保护。

根据本公开的示例性实施例，参考图11，目标数据获取模块103可以包括数据获取单元1101、数据写入单元1103和文件上传单元1105。

具体的，数据获取单元1101可以用于根据标识信息从应用程序的进程空间内获取目标数据；数据写入单元1103可以用于按照预定格式将目标数据写入目标文件；文件上传单元1105可以用于将目标文件上传至服务器，以便对目标文件进行安全检测。

根据本公开的示例性实施例，参考图12，文件上传单元1105可以包括文件传节点单元1201、第一地址获取单元1203和第一地址发送单元1205。

具体的，文件传节点单元1201可以用于将目标文件上传至cdn节点；第一地址获取单元1203可以用于获取cdn节点发送的目标文件的地址信息；第一地址发送单元1205可以用于将地址信息发送至服务器，以便服务器根据地址信息从cdn节点获取目标文件。

通过在目标文件的传输过程中采用cdn节点，传输速度较快，避免了网络拥塞。

根据本公开的示例性实施例，参考图13，与目标数据获取模块103不同，目标数据获取模块133除包括数据获取单元1101外，还可以包括数据发送单元1301。

具体的，数据发送单元1301可以用于将目标数据上传至服务器，以便服务器按照预定格式将目标数据写入目标文件进行安全检测。

根据本公开的示例性实施例，参考图14，数据发送单元1301可以包括数据传节点单元1401、第二地址获取单元1403和第二地址发送单元1405。

具体的，数据传节点单元1401可以用于将目标数据上传至cdn节点；第二地址获取单元1403可以用于接收cdn节点发送的目标数据的地址信息；第二地址发送单元1405可以用于将地址信息发送至服务器，以便服务器根据地址信息从cdn节点获取目标数据。

通过在目标文件的传输过程中采用cdn节点，传输速度较快，避免了网络拥塞。

根据本公开的示例性实施例，参考图15，与数据安全处理装置10不同，数据安全处理装置15除包括上传指令接收模块101和目标数据获取模块103外，还可以包括标识信息发送模块151。

具体的，标识信息发送模块151可以用于将数据的标识信息发送给服务器，以由服务器根据标识信息确定目标数据并发送数据上传指令。

根据本公开的示例性实施例，目标数据为服务器根据不在白名单内的所述标识信息而确定出的数据。

根据本公开的示例性实施例，目标数据为服务器对不在白名单内的所述标识信息进行统计分析而确定出的数据。

由于本发明实施方式的程序运行性能分析装置的各个功能模块与上述方法发明实施方式中相同，因此在此不再赘述。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。