唐昌龍，劉吉強(qiáng)

(北京交通大學(xué)計(jì)算機(jī)與信息技術(shù)學(xué)院，北京100044)

1 概述

數(shù)據(jù)泄露保護(hù)(Data Leakage Protection，DLP)也稱為數(shù)據(jù)暴露防護(hù)或防數(shù)據(jù)泄露［1］。DLP系統(tǒng)的主要作用是防止內(nèi)部和外部人員有意或無意地將敏感信息發(fā)送到未經(jīng)授權(quán)的第三方。根據(jù)數(shù)據(jù)流的使用狀態(tài)，DLP系統(tǒng)可以用于保護(hù)靜止的數(shù)據(jù)(Dataat-Rest，DaR)、傳輸中的數(shù)據(jù)(Data-in-Motion，DiM)和使用中的數(shù)據(jù)(Data-in-Use，DiU)［2］。

當(dāng)前針對(duì)DLP的研究方向主要有2個(gè):(1)監(jiān)控?cái)?shù)據(jù)流防止敏感數(shù)據(jù)失去控制;(2)敏感數(shù)據(jù)失去控制后，識(shí)別流出渠道。第(1)種研究方向目前主要的技術(shù)有模式匹配算法、復(fù)雜指紋算法和貝葉斯統(tǒng)計(jì)分析算法等［1］。本文主要研究第(2)種方向，即如何使DLP系統(tǒng)通過應(yīng)用數(shù)據(jù)分配策略(Data Allocation Strategy，DAS)在敏感數(shù)據(jù)丟失后能夠快速檢測(cè)數(shù)據(jù)是通過哪個(gè)第三方(Agent)流失的。

目前國(guó)內(nèi)外關(guān)于DAS的最新研究進(jìn)展，按其研究方法可以分成2個(gè)階段，分別稱為第1代DAS和第2代DAS。第1代DAS算法和技術(shù)［3］包括水印技術(shù)、標(biāo)記化算法、誠信機(jī)制、信息傳輸決策點(diǎn)技術(shù)、便攜式數(shù)據(jù)綁定算法(Portable Data Binding，PDB)和流模型算法等。第1代DAS算法的主要缺點(diǎn)是需要對(duì)源數(shù)據(jù)進(jìn)行一定的修改，而且在檢測(cè)性能上也不能滿足大規(guī)模的應(yīng)用。第2代DAS算法主要通過應(yīng)用分配策略分配給每個(gè)代理(Agent)不同的數(shù)據(jù)對(duì)象從而在不改變?cè)磾?shù)據(jù)的基礎(chǔ)上增加識(shí)別泄密者的機(jī)會(huì)。第2代DAS技術(shù)主要建立在過失模型的基礎(chǔ)上［4］。有少數(shù)文獻(xiàn)也研究了影子模型和數(shù)據(jù)看守/泄漏檢測(cè)技術(shù)。本文對(duì)基于第1代和第2代DAS的檢測(cè)方法進(jìn)行研究，優(yōu)化數(shù)據(jù)分配算法，并給出針對(duì)過失模型的研究方向。

2 相關(guān)研究

根據(jù)數(shù)據(jù)分配策略技術(shù)在不同環(huán)境下的應(yīng)用，研究者進(jìn)行了較為廣泛的研究。

文獻(xiàn)［5］側(cè)重分析了數(shù)據(jù)分配策略技術(shù)與加密技術(shù)相結(jié)合來防止數(shù)據(jù)泄漏，研究了利用非對(duì)稱加密算法(RSA算法)對(duì)偽數(shù)據(jù)進(jìn)行加密和揭秘的可能性和大致過程，主要是密鑰生成、源數(shù)據(jù)加密和解密驗(yàn)證。另外，該文還分析了如何優(yōu)化數(shù)據(jù)對(duì)象分配過程以提高檢測(cè)成功率。其文章沒有提供具體數(shù)據(jù)來說明加密技術(shù)與數(shù)據(jù)分配策略相結(jié)合的實(shí)際性能，也沒有比較各種不同非對(duì)稱加密算法與數(shù)據(jù)分配策略相結(jié)合的穩(wěn)定性和可靠性。

文獻(xiàn)［6］研究了數(shù)據(jù)分配及泄漏檢測(cè)技術(shù)在云計(jì)算環(huán)境中的應(yīng)用情況，特別是針對(duì)云數(shù)據(jù)存儲(chǔ)環(huán)境的保護(hù)。該文闡述了關(guān)系數(shù)據(jù)權(quán)限保護(hù)的機(jī)制，比如將數(shù)據(jù)組拆分成大量的小數(shù)據(jù)區(qū)，然后根據(jù)數(shù)據(jù)區(qū)的不同屬性添加偽數(shù)據(jù)以達(dá)到泄漏檢測(cè)目的。同時(shí)此文還分析了K-匿名隱私保護(hù)技術(shù)，該技術(shù)可以確保一個(gè)發(fā)布的數(shù)據(jù)/記錄能夠關(guān)聯(lián)到至少K個(gè)個(gè)體。另外，該文還論述了線性追蹤技術(shù)在通用數(shù)據(jù)轉(zhuǎn)換中的應(yīng)用。

文獻(xiàn)［7］研究了數(shù)據(jù)分配策略技術(shù)在E-mail過濾中的機(jī)制，闡述了一種用偽數(shù)據(jù)檢測(cè)過失代理的模型并將其應(yīng)用到Email安全過濾系統(tǒng)中。當(dāng)未經(jīng)授權(quán)的用戶收到來自被檢測(cè)為過失代理的郵件時(shí)，郵件的內(nèi)容和附件是不可讀的，從而保護(hù)了組織的敏感業(yè)務(wù)信息不被泄漏。

3 基于第1代DAS的數(shù)據(jù)泄露檢測(cè)

在數(shù)據(jù)沒有與第三方共享的環(huán)境下，組織一般對(duì)敏感數(shù)據(jù)有充分的控制手段，因此也相對(duì)容易防止和檢測(cè)數(shù)據(jù)泄露。目前大部分DLP安全技術(shù)產(chǎn)品和解決方案都建立在組織對(duì)數(shù)據(jù)有絕對(duì)控制權(quán)的假設(shè)或前提下(比如Symantec，McAfee等安全公司的數(shù)據(jù)防護(hù)產(chǎn)品)。但也存在很多需要進(jìn)行數(shù)據(jù)共享的情況，比如在進(jìn)行業(yè)務(wù)流程外包(BPO)的組織中，第三方需要訪問組織的一些敏感信息來履行它們的合同與職責(zé)。例如一個(gè)人力資源BPO服務(wù)方需要訪問企業(yè)的員工數(shù)據(jù)庫(可能包括社會(huì)保險(xiǎn)號(hào)等敏感信息)，又例如一個(gè)市場(chǎng)服務(wù)方可能不被完全信任或不能被安全的進(jìn)行管理。在電子化時(shí)代，關(guān)系型數(shù)據(jù)庫是非常容易被復(fù)制的。而且在很多情況下，服務(wù)商在利益的驅(qū)動(dòng)下會(huì)將一些保密的商業(yè)信息泄露給未授權(quán)方。因此，需要有相關(guān)的技術(shù)來檢測(cè)和震懾這些不實(shí)行為［8-9］。

基于第1代DAS的研究主要基于Watermarking技術(shù)、Perturbation技術(shù)和PITDP方法等。

(1)Watermarking技術(shù)

Watermarking技術(shù)［10］的主要特點(diǎn)是將可識(shí)別的唯一代碼嵌入到分發(fā)的拷貝中，從而達(dá)到可以追蹤的目的。但是Watermarking技術(shù)有2個(gè)不足之處:1)需要對(duì)源數(shù)據(jù)進(jìn)行一定的修改(嵌入唯一識(shí)別代碼)。2)如果數(shù)據(jù)接收方惡意作為的話，Watermarks在技術(shù)上比較容易被篡改甚至刪除［8-9］。

(2)Perturbation技術(shù)

Perturbation技術(shù)是一種非常實(shí)用的技術(shù)，可用于將敏感信息去敏感化。該技術(shù)有很多種實(shí)現(xiàn)方式，如 Truncation，Hash，Encryption 和 Tokenization等。在敏感數(shù)據(jù)被發(fā)送到第三方(Agent)之前，Perturbation技術(shù)可以有效地去敏感化已保護(hù)敏感信息不被泄露［11］。

對(duì)于一些法規(guī)符合性的要求如PCIDSS(Payment Card Industry Data Security Standard)而言，Perturbation是非常有效的安全控制手段來縮小符合性評(píng)估范圍。表1總結(jié)了各種Perturbation技術(shù)對(duì)PCIDDSS 審核范圍的影響［12］。

表1 Perturbation技術(shù)與PCIDSS審核范圍

Perturbation技術(shù)主要存在的問題在于:很多實(shí)際的企業(yè)應(yīng)用環(huán)境下源數(shù)據(jù)不能被修改，否則就失去意義。比如，第三方提供員工薪資發(fā)放和記賬服務(wù)，他們需要準(zhǔn)確地知道工資數(shù)額、賬戶以及對(duì)應(yīng)的員工信息等［11］。

對(duì)于Tokenization技術(shù)來說，其主要缺點(diǎn)是需要有一個(gè)數(shù)據(jù)庫來進(jìn)行真實(shí)數(shù)據(jù)和其替代值的對(duì)應(yīng)。這種對(duì)應(yīng)增加了對(duì)存儲(chǔ)和管理的需要，同時(shí)不斷對(duì)新增的數(shù)據(jù)進(jìn)行備份以避免數(shù)據(jù)丟失。另外一個(gè)問題是對(duì)于跨數(shù)據(jù)中心的大型應(yīng)用環(huán)境，需要對(duì)令牌數(shù)據(jù)進(jìn)行持續(xù)的同步。這會(huì)嚴(yán)重影響實(shí)際應(yīng)用中的性能問題。

(3)PITDP方法

PITDP(Personal Info Transfer Decision Point)方法的基本組件和系統(tǒng)流程如圖1所示［13］。

PITDP決定是否所要求的信息傳輸是安全的。決策基于對(duì)傳輸控制策略，傳輸日志和接受方信任級(jí)別的統(tǒng)籌分析。該方法的缺點(diǎn)是傳輸控制策略和接受方信任級(jí)別非常難以準(zhǔn)確設(shè)定，導(dǎo)致大比例的false positive以及不必要的人為參與(認(rèn)為決定傳輸是否安全)。另外，要使發(fā)送方和接收方互相不能否認(rèn)發(fā)送或接收，需要額外的控制措施(如簽名等)，從而增加了過程復(fù)雜性和系統(tǒng)開銷。

4 基于第2代DAS的數(shù)據(jù)泄露檢測(cè)

Papadimitriou P等人提出了基于Agent Guilt模型［3-4］的數(shù)據(jù)分配算法。該模型能夠大大提高檢測(cè)泄密者的可能性。此模型定義數(shù)據(jù)的擁有者為Distributor，可信第三方(假定)為 Agent。解決的問題是如果Distributor的數(shù)據(jù)被泄露給不可信第三方了，是否能夠檢測(cè)是哪個(gè)Agent泄露的。

(1)問題設(shè)定

Papadimitriou P的研究主要基于一種應(yīng)用場(chǎng)景，Distributor將數(shù)據(jù)傳輸給Agents后發(fā)現(xiàn)部分?jǐn)?shù)據(jù)出現(xiàn)在沒有被授權(quán)的地方，比如一些網(wǎng)站等。在此種情況下Distributor有能力分析和評(píng)估是哪個(gè)或哪些Agents泄露了數(shù)據(jù)。Panagioti P等人主要采用了Agent過失模型來進(jìn)行可能性的評(píng)估。

該模型假設(shè)一個(gè)Distributor擁有一組有價(jià)值的數(shù)據(jù)T={t1，t2，…}。這個(gè) Distributor希望和一組Agents(U1，U2，…，Un)共享其中的一部分?jǐn)?shù)據(jù)，同時(shí)并期望這些被分享的數(shù)據(jù)不能被泄露給任何第三方。該模型還提出了2種數(shù)據(jù)分享請(qǐng)求的方法:樣本請(qǐng)求和明確請(qǐng)求。

1)樣本請(qǐng)求:Sample request Ri=Sample(T，mi)，表示任何T中的mi的子集可以被傳輸給Ui;

2)明確請(qǐng)求:Explicit request Ri=Explicit(T，Condi)，Agent Ui，表示從 Distributor接收所有滿足Condi的T數(shù)據(jù)。

Agent Guilt模型定義如果一個(gè)AgentUi泄露了一組或多組數(shù)據(jù)給不可信第三方(Target)，這個(gè)Ui就是一個(gè)Guilty。同時(shí)Gi|S表示Ui是一個(gè)泄露數(shù)據(jù)S的Guilty。Agent Guilt模型主要目標(biāo)是要評(píng)估Ui是一個(gè)泄露數(shù)據(jù)S的可能性(Pr{Gi|S})。

(2)問題解決模型

為了能夠使計(jì)算Pr{Gi|S}更簡(jiǎn)單直接，該模型定義了2個(gè)前提假設(shè):

1)所有的T數(shù)據(jù)組被泄露的概率(Pt)相同;

2)一個(gè)AgentUi泄露一個(gè)數(shù)據(jù)組的決定和其他數(shù)據(jù)組沒有任何聯(lián)系。

基于上述假設(shè)，該模型提出一個(gè)AgentUi泄露數(shù)據(jù)S的可能性，可由式(1)計(jì)算:

(3)模擬方法

Panagiotis等人的工作重心在于研究如何使得一個(gè)Distributor“聰明地”將數(shù)據(jù)組傳輸/分配給不同的Agents從而增加準(zhǔn)確檢測(cè)是誰泄露了信息的可能性。

基于請(qǐng)求類型和是否加入偽數(shù)據(jù)，有如圖2所述4種場(chǎng)景。

圖2 4種請(qǐng)求場(chǎng)景

Panagiotis等人設(shè)計(jì)了7種算法來模擬計(jì)算Pr{Gi|S}:1)明確數(shù)據(jù)請(qǐng)求分配;2)隨機(jī)假對(duì)象分配;3)優(yōu)化Agent選擇;4)樣本數(shù)據(jù)請(qǐng)求分配;5)數(shù)據(jù)選擇(s-random);6)數(shù)據(jù)選擇(s-overlap);7)數(shù)據(jù)選擇(s-max)。

(4)其他相關(guān)研究

其他的一些文獻(xiàn)也討論了Guilt檢測(cè)方面的問題。文獻(xiàn)［14-15］研究了Data Provenance的問題，他們提出跟蹤被泄漏數(shù)據(jù)組的線性關(guān)系是提高檢測(cè)Guilty Agents可能性的關(guān)鍵因素。文獻(xiàn)［16］提出一些更有針對(duì)性的解決方案，比如對(duì)數(shù)據(jù)倉庫的線性跟蹤。文獻(xiàn)［17］對(duì)企業(yè)實(shí)際應(yīng)用中的數(shù)據(jù)泄漏與保護(hù)進(jìn)行了研究，并提出了Data Watcher和 Leakage Detector概念模型。如果一個(gè)員工試圖在公司沒有授權(quán)的情況下獲取一些敏感信息，Data Watcher模型用來檢測(cè)數(shù)據(jù)泄漏者。在員工將數(shù)據(jù)泄漏給外部機(jī)構(gòu)的情況下，Leakage Detector模型用來檢測(cè)Guilt的第三方［18］。

5 算法優(yōu)化及實(shí)驗(yàn)

本文優(yōu)化了模擬算法1)～模擬算法3)，并對(duì)Agent Model進(jìn)行實(shí)驗(yàn)仿真。算法的總體設(shè)計(jì)思路如圖3所示。實(shí)驗(yàn)環(huán)境為:Windows 7 Professional操作系統(tǒng)，Java編程語言和Eclipse IDE環(huán)境。

圖3 優(yōu)化算法流程

對(duì)于Agent選擇有2種可能的方式:隨機(jī)模式和優(yōu)化模式，表示如下:

(1)隨機(jī)模式:

(2)優(yōu)化模式:

對(duì)算法的主要優(yōu)化內(nèi)容如下:

(1)將原有隨機(jī)模式irandom=SELECTAGENT(R，R1，R2，…，Rm)調(diào)整為優(yōu)化模式 i=argmax((1/|Ri|)(1/(|Ri|+1)))ΣRi∩ΣRj，主要目標(biāo)是為了提高算法的有效性和速度。

(2)增加了對(duì)總體偽數(shù)據(jù)數(shù)量的判斷邏輯，即對(duì)B≤0的分析以保證算法邏輯上的正確性和穩(wěn)定性。

(3)將邏輯分析部分bi=0的位置從算法的尾部轉(zhuǎn)移到算法前部分，緊連bi＞0的邏輯分析部分，以增加算法的連貫性和減少程序的開銷。

優(yōu)化后算法的主要步驟如下:(1)設(shè)定/計(jì)算偽數(shù)據(jù)總體數(shù)量;(2)如果偽數(shù)據(jù)數(shù)量大于0，則執(zhí)行之后步驟，否則重置Agent的值;(3)選擇最優(yōu)的Agent;(4)構(gòu)造偽數(shù)據(jù)記錄;(5)將偽數(shù)據(jù)記錄添加到Agent;(6)從總偽數(shù)據(jù)組中遞減偽數(shù)據(jù)記錄。

根據(jù)式(1)，可以計(jì)算Δ(i，j)來推測(cè)AgentUi比其他AgentUj可能泄露數(shù)據(jù)的可能性。Δ(i，j)表示如式(2)所示，Δ值越大，越容易確定 Ui是Guilty Agent(泄漏了數(shù)據(jù))。

同時(shí)可以計(jì)算平均 Δ(AverageΔ)和最小 Δ(MinΔ)，如式(3)所示。

其中，AverageΔ代表了一個(gè)Agent被檢測(cè)為Guilty Agent的概率，如果平均 Δ=0．38，則表示 Ui是Guilty Agent的概率要比Ui不是Guilty Agent的概率大0．38。MinΔ代表了一個(gè) AgentUi比另一個(gè)AgentUj更有可能是Guilty Agent的概率。比如最小Δ=0．52，則表示 Ui是 Guilty Agent的概率比其他任何Uj是Guilty Agent的概率高0．52。

圖4顯示了AverageΔ和MinΔ模擬數(shù)據(jù)。模擬試驗(yàn)結(jié)果顯示添加偽數(shù)據(jù)能顯著提高成功檢測(cè)Guilty Agent的可能性。

圖4 AverageΔ和MinΔ的模擬數(shù)據(jù)

較本文提到第1代DAS和第2代DAS技術(shù)而言，經(jīng)過優(yōu)化的算法在添加偽數(shù)據(jù)后能顯著提高成功檢測(cè)Guilty Agent的可能性。但目前Agent過失模型仍有以下不足:

(1)現(xiàn)階段的過失模型設(shè)計(jì)的不足使得Agents可能一起合作來識(shí)別哪些是真實(shí)的數(shù)據(jù)，哪些是偽數(shù)據(jù)。一個(gè)Distributor可能需要限制傳輸給每個(gè)Agent偽數(shù)據(jù)的數(shù)量，以防止引起Agent的懷疑或破壞Agent的正常操作。因此，偽數(shù)據(jù)必須被非常小心的構(gòu)造從而防止Agents能夠識(shí)別它們。

(2)另外，該模型的局限還在于分配策略只適用于事先已知一定數(shù)量的Agents的情況，不適用于動(dòng)態(tài)數(shù)據(jù)分配的情況，特別是在線數(shù)據(jù)分配的情況。

6 未來研究方向

未來針對(duì)過失模型將做以下研究:

(1)改進(jìn)針對(duì)偽數(shù)據(jù)的設(shè)計(jì)

添加偽數(shù)據(jù)進(jìn)行數(shù)據(jù)泄漏檢測(cè)的一個(gè)前提是要對(duì)用戶透明，既不能干擾用戶的正常數(shù)據(jù)處理流程，也不能讓用戶感知所得業(yè)務(wù)數(shù)據(jù)被加入了偽數(shù)據(jù)。下一步的研究需要關(guān)注如何構(gòu)造一種簡(jiǎn)單有效和對(duì)用戶透明的函數(shù)來產(chǎn)生偽數(shù)據(jù)，包括使用加密技術(shù)等，使得Agent既不能從真數(shù)據(jù)中識(shí)別偽數(shù)據(jù)，也不會(huì)影響Agent的正常操作。

(2)分配策略的擴(kuò)展和優(yōu)化

現(xiàn)階段研究的局限在于分配策略只適用于事先已知一定數(shù)量的Agents的情況，不適用用于在線數(shù)據(jù)分配的情況，特別是應(yīng)用在云計(jì)算與 BYOD(Bring Your Own Device)相結(jié)合的環(huán)境中。擴(kuò)展分配策略到在線處理的情況非常有實(shí)際應(yīng)用價(jià)值。下一步的研究方向需要關(guān)注如何解決將數(shù)據(jù)分配給大量不確定用戶的情況。

(3)非結(jié)構(gòu)化數(shù)據(jù)保護(hù)

當(dāng)前大部分?jǐn)?shù)據(jù)泄漏保護(hù)(DLP)解決方法不能夠有效解決非結(jié)構(gòu)化數(shù)據(jù)的保護(hù)如CAD和JPG文件等。如何將過失模型用戶保護(hù)非結(jié)構(gòu)化數(shù)據(jù)是未來的一個(gè)研究重點(diǎn)［19］。

7 結(jié)束語

本文介紹了用于解決數(shù)據(jù)泄漏檢測(cè)問題的DAS方法，包括Agent過失模型、Perturbation技術(shù)、PITDP過程方法等，闡述了這些方法的特點(diǎn)與不足。分析結(jié)果顯示Agent Guilt模型算法比較適合于解決數(shù)據(jù)泄漏檢測(cè)問題，與數(shù)據(jù)分配策略技術(shù)進(jìn)行結(jié)合有較好的應(yīng)用前景。針對(duì)目前數(shù)據(jù)分配策略技術(shù)還不成熟的現(xiàn)狀，提出了數(shù)據(jù)分配優(yōu)化算法，并進(jìn)行了相關(guān)實(shí)驗(yàn)?zāi)M，為今后進(jìn)行進(jìn)一步研究和應(yīng)用節(jié)省了時(shí)間。本文在分析大量文獻(xiàn)和應(yīng)用環(huán)境的基礎(chǔ)上，還提出了未來可能的研究方向，包括偽數(shù)據(jù)設(shè)計(jì)改進(jìn)、分配策略的擴(kuò)展和優(yōu)化和非結(jié)構(gòu)化數(shù)據(jù)保護(hù)3個(gè)方面。

［1］ Lawton G．New Technology PreventsData Leakage［J］．Computer，2008，41(9):14-17．

［2］ 馮 梅，蔣魯寧．DLP產(chǎn)品的作為與不作為［J］．中國(guó)信息安全，2012，(2):84-86．

［3］ Papadimitriou P，Garcia-Molina H．A Model for Data Leakage Detection［C］//Proceedings of the 25th International Conference on Data Engineering，March 29-April 2，2009，Shanghai，China．Washington D．C．，USA:IEEE Press，2009:1307-1310．

［4］ Papadimitriou P，Garcia-Molina H． Data Leakage Detection［J］．IEEE Transactions on Knowledge and Data Engineering，2011，23(1):51-63．

［5］ Koneru A，Rao G S N，Rao J V．Data Leakage Detection Using Encrypted Fake Objects［J］．International Journal of P2P Network Trends and Technology，2013，3(2):104-110．

［6］ Shobana V，Shanmugasundaram M．Data Leak Data Detection Using Cloud Computing［J］．International Journal of Emerging Technology and Advanced Engineering，2013，3(Special Issue 1):111-115．

［7］ Ansari Z S，Jagtap A M，Raut S S．Data Leakage Detection and E-mail Filtering［J］．International Journal of Innovative Research in Computer and Communication Engineering，2013，1(3):565-567．

［8］ Czerwinski S，F(xiàn)romm R，HodesT．DigitalMusic Distribution and Audio Watermarking［EB/OL］．［2014-03-14］．http://www．scientificcommons．org/4302 5658．

［9］ Agrawal R， Kiernan J． Watermarking Relational Databases［C］//Proceedings of the 28th International Conference on Very Large Data Bases，August 20-23，2002，Hong Kong，China．［S．l．］:VLDB Endowment Inc．，2002:155-156．

［10］ 趙 耀．基于小波變換的抵抗幾何攻擊的魯棒視頻水印［J］．中國(guó)科學(xué) E 輯:信息科學(xué)，2006，36(2):137-152．

［11］ Sweeney L．Achieving k-anonymity Privacy Protection Using Generalization and Suppression［J］．International Journal on Uncertainty，F(xiàn)uzziness and Knowledge-based Systems，2002，10(5):571-588．

［12］ Conway W．How Enterprises Can Use Tokenization to Reduce Risk and Minimize the Cost ofPCI DSS Compliance［EB/OL］．［2014-03-14］．http://blog．403labs．com．

［13］ Choi D，Jin S，Yoon H．A Method for Preventing the Leakage ofthe Personal Information on the Internet［C］//Proceedings of ICA0T’06．Washington D．C．，USA:IEEE Press，2006:20-22．

［14］ Buneman P，Khanna S，Tan W C．Why and Where:A Characterization of Data Provenance［C］//Proceedings of the 8th International Conference on Database Theory，January 4-6，2001，London，UK．Berlin，Germany:Springer，2001:316-330．

［15］ Buneman P，Tan W C．Provenance in Databases［C］//Proceedings of ACM SIGMOD International Conference on Management of Data，June 11-14，2007，Beijing，China．New York，USA:ACM Press，2007:1171-1173．

［16］ Cui Y，Widom J．Lineage Tracing for General Data Warehouse Transformations［J］．The VLDB Journal，2003，12(1):41-58．

［17］ Jagtap N P，Patil S J，Bhavsar A K．Implementation of Data Watcher in Data Leakage Detection System［J］．International Journal of Computer＆ Technology，2012，3(1):318-322．

［18］ Capizzi R，LongoA，Venkatakrishnan V N，et al．Preventing Information Leaks Through Shadow Executions［C］//Proceedings of ACSAC’08，Augest 4-6，2008，Hsinchu，China．Washington D．c．，USA:IEEE Press，2008:322-331．

［19］ 張紅艷．強(qiáng)化非結(jié)構(gòu)化數(shù)據(jù)管理深度挖掘企業(yè)信息價(jià)值［J］．電子技術(shù)與軟件工程，2013，(17):261-262．