江宗武，戴承耕，李躍新

（湖北大學 計算機與信息工程學院，湖北 武漢 430062）

電子文件網(wǎng)絡傳輸特征分析和提取

江宗武，戴承耕，李躍新

（湖北大學 計算機與信息工程學院，湖北 武漢 430062）

針對電子文件網(wǎng)絡安全問題，為了防止敏感數(shù)據(jù)的泄漏，為電子文件的訪問提供依據(jù)，提出了一種基于數(shù)據(jù)流特征的電子文件訪問方法。通過研究網(wǎng)絡傳輸電子文件的數(shù)據(jù)報文格式、傳送形式以及通信行為特征，結合電子文件數(shù)據(jù)流的概念，提取了常用網(wǎng)絡協(xié)議傳輸電子文件的特征值，設計和構建了擴展性強的數(shù)據(jù)流特征數(shù)據(jù)庫，并給出了該特征數(shù)據(jù)庫檢測和防止電子文件網(wǎng)絡泄漏過程。實驗數(shù)據(jù)證明，該數(shù)據(jù)流特征數(shù)據(jù)庫運行高效，簡單使用并且具有較高的正確率。

網(wǎng)絡安全；電子文件；數(shù)據(jù)流；特征數(shù)據(jù)庫

隨著現(xiàn)在信息技術的不斷發(fā)展和進步，電子政務、電子商務在政治經(jīng)濟、社會生活中扮演著重要角色，而電子文件作為信息的重要載體，已成為生活不可或缺的一部分，廣泛應用于生活的各個方面。電子文件因其技術特性與傳統(tǒng)文件有許多不同之處，最突出的是電子文件對信息安全要求很高，維護難度也大。電子文件具有一般載體文件的特性同時又具有網(wǎng)上傳輸?shù)奶攸c，因此電子文件的信息安全問題很多，而且破壞性大。諸如個人隱私泄露，公司重要文件泄密，甚至國家機密文件被竊取等。因此，如何從理論和實踐兩方面加強對電子文件安全的管理是近年來網(wǎng)絡安全的重點之一。在電子文件研究的諸多熱點及重點問題中，電子文件的信息安全一直是十分重要的課題。

文中所研究的內容為基于嵌入式大型關系數(shù)據(jù)庫的網(wǎng)絡安全關鍵技術研究的省級課題的數(shù)據(jù)分析部分，其主要工作：針對電子文件信息面臨的安全問題，研究當今的防電子文件網(wǎng)絡泄漏策略，確定電子文件網(wǎng)絡傳輸?shù)闹T項特征；分析各種常用協(xié)議傳輸不同電子文件的數(shù)據(jù)流，并提取上述特征值；根據(jù)這些特征值建立特征數(shù)據(jù)庫。

1　基于數(shù)據(jù)流分析的防電子文件網(wǎng)絡泄漏

如何防止電子文件通過網(wǎng)絡泄露出去是一個十分棘手的問題，如何在不影響系統(tǒng)可用性的情況下進行文件網(wǎng)絡泄露的防護，得到了廣泛關注與研究。

1.1防電子文件網(wǎng)絡泄漏技術研究現(xiàn)狀

電子文件從泄露方式上主要可以分為兩大類：電子文件主動泄露和電子文件被動泄露。文件被動泄露是指電子文件在網(wǎng)絡上被非法竊取，主動泄露是指電子文件被合法用戶有意或者無意通過網(wǎng)絡泄露出去。為了更加全面的防止電子文件的網(wǎng)絡泄漏，目前防文件網(wǎng)絡泄漏主要應用的技術和手段包括以下幾種：網(wǎng)絡隔離技術、文件標識技術、權限角色管理、文件的安全控制技術、反拷貝技術、蜜罐技術、硬盤加密與還原技術、文件泄漏取證技術、網(wǎng)絡數(shù)據(jù)過濾技術。而為了實現(xiàn)防電子文件網(wǎng)絡泄露，目前有3種常見的方法：安全審計類、安全監(jiān)控類和文件加密類。

上述的防電子文件網(wǎng)絡泄露技術仍然需要解決一些問題：如何在進行電子文件訪問控制的同時保持對用戶較好的透明性；如何防范加密情況下的電子文件網(wǎng)絡泄露；如何快速的識別電子文件網(wǎng)絡傳輸?shù)?。針對這些問題出現(xiàn)了一種新的防電子文件網(wǎng)絡泄露機制：基于數(shù)據(jù)流分析的防電子文件網(wǎng)絡泄露。這種機制的原理是：一切網(wǎng)絡行為的實現(xiàn)最終都依賴于網(wǎng)絡數(shù)據(jù)流，從分析數(shù)據(jù)流及其特點入手，提出數(shù)據(jù)流屬性的概念，以數(shù)據(jù)流作為面向防文件網(wǎng)絡泄露（File Network-Leakage Prevention，F(xiàn)NLP）訪問控制的基本單元，以其屬性作為訪問控制的依據(jù)，以基于屬性的訪問控制模型（Attribute Based Access Control，ABACI）為理論框架。

1.2基于數(shù)據(jù)流分析的防電子文件泄露

基于數(shù)據(jù)流分析的防電子文件泄露的機制的核心思想是：將數(shù)據(jù)流看作是具有多個屬性的對象，并且作為分析與控制的基本對象，以數(shù)據(jù)流的屬性為依據(jù)制定訪問控制策略，將數(shù)據(jù)流中提取出的屬性特征與已制定的策略匹配，進行訪問控制決策。該機制有3個方面的優(yōu)勢:數(shù)據(jù)流分析是對傳輸過程中的數(shù)據(jù)流進行處理，提供了透明的訪問控制；對流出內網(wǎng)的數(shù)據(jù)流進行分析與控制，為該機制能夠有效防止文件的網(wǎng)絡泄露奠定了基礎；該機制以基于屬性的訪問控制模型（ABACI）為基礎，提供了統(tǒng)一的數(shù)據(jù)流控制流程。針對不同的訪問控制策略，機制都采取了數(shù)據(jù)流屬性提取，與控制策略的匹配，對文件傳輸進行阻斷3個過程。

綜上所述，該機制與傳統(tǒng)技術相比具有很大優(yōu)勢，因此得到廣泛研究和擴展。這套機制有很多識別和匹配算法及阻斷模塊，但是缺乏一個統(tǒng)一的數(shù)據(jù)流特征庫，文中則是針對基于數(shù)據(jù)流分析的防電子文件泄露機制出發(fā)，從常用協(xié)議網(wǎng)絡傳輸電子文件入手，通過分析比對大量數(shù)據(jù)流，提取特征值并構建特征數(shù)據(jù)庫。

2　電子文件網(wǎng)絡傳輸分析和特征提取

電子文件網(wǎng)絡傳輸?shù)膮f(xié)議有很多，其中常用的有HTTP、SMTP、FTP、TFTP、TCP等。常規(guī)的文件類型有圖片、文檔、音樂、視頻、壓縮包，其后綴名為JPEG、PNG、TXT、PDF、DOC、PPT、XLS、MP3、MP4、RAR、ZIP等。在網(wǎng)絡上分別通過每種協(xié)議傳輸各種不同大小不同類型的文件時，借助協(xié)議分析軟件捕獲數(shù)據(jù)包，分析其數(shù)據(jù)流格式和屬性，對比同一種協(xié)議傳輸不同大小不同類型文件的特點，提取文件傳輸特征值。

2.1HTTP協(xié)議

HTTP協(xié)議 （HyperText Transfer Protocol，超文本傳輸協(xié)議）是用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議，是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議。通過對大量HTTP協(xié)議傳輸各種不同類型文件的數(shù)據(jù)流分析和對比，發(fā)現(xiàn)HTTP協(xié)議傳輸文件的特征如圖1所示。

圖1　HTTP協(xié)議傳輸文件數(shù)據(jù)流

HTTP協(xié)議傳輸文件數(shù)據(jù)流特征如下：1）傳輸文件的時候，在HTTP協(xié)議頭部會使用Media Type name:multipart，Media subtype name:form-data；2）數(shù)據(jù)流中使用boundary來標識分割不同的field，其中文件是一個特殊的field；3）一次傳輸多個文件的時候頭部使用Content-type:multipart/mixed，同時定義新的 boundary來進行分割；4）然后HTTP body填充的數(shù)據(jù)要以MIME格式上傳，每部分數(shù)據(jù)的開頭都是由“--”+boundary開始的，結尾以"--"+boundary+"--"結束。

2.2FTP協(xié)議

文件傳輸協(xié)議（FTP）作為網(wǎng)絡共享文件的傳輸協(xié)議，在網(wǎng)絡應用軟件中具有廣泛的應用。在傳輸文件時，F(xiàn)TP客戶端程序先與服務器建立連接，然后向服務器發(fā)送命令。服務器收到命令后給予響應，并執(zhí)行命令。FTP協(xié)議傳輸文件數(shù)據(jù)流如圖2所示。

圖2　FTP傳輸文件數(shù)據(jù)流

FTP協(xié)議傳輸文件時會使用STOU和APPS或STOR命令，例如“STOR 2M.rar ”：傳輸文件2M.rar。

2.3TFTP協(xié)議

TFTP（Trivial File Transfer Protocol，簡單文件傳輸協(xié)議）是TCP/IP協(xié)議族中的一個用來在客戶機與服務器之間進行簡單文件傳輸?shù)膮f(xié)議，提供不復雜、開銷不大的文件傳輸服務。它運行在 UDP（用戶數(shù)據(jù)報協(xié)議）上，提供不可靠的數(shù)據(jù)流傳輸服務，不提供存取授權與認證機制，使用超時重傳方式來保證數(shù)據(jù)的到達。TFTP數(shù)據(jù)流抓包如圖3所示。

圖3　TFTP傳輸文件數(shù)據(jù)流

分析比對可得，TFTP協(xié)議傳輸文件的時候會發(fā)給服務端的WRQ包，向TFTP服務器請求上傳文件test1.txt，請求中回包含操作碼write Request。

2.4SMTP協(xié)議

SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協(xié)議）定義了郵件客戶端與SMTP服務器之間，以及兩臺SMTP服務器之間發(fā)送郵件的通信規(guī)則 。SMTP協(xié)議屬于TCP/IP協(xié)議族，通信雙方采用一問一答的命令/響應形式進行對話，并且定義了對話的規(guī)則和所有命令/響應的語法格式。SMTP協(xié)議傳輸文件數(shù)據(jù)流如圖4所示。

圖4　SMTP協(xié)議傳輸文件數(shù)據(jù)流

分析發(fā)現(xiàn)SMTP協(xié)議傳輸文件和HTTP類似，數(shù)據(jù)流回包含使用Media Type name:multipart，Media subtype name: form-data，數(shù)據(jù)流中使用boundary來標識分割不同的field，其中文件是一個特殊的field。

2.5TCP協(xié)議

TCP（Transmission Control Protocol傳輸控制協(xié)議）是一種面向連接的、可靠的、基于字節(jié)流的傳輸層通信協(xié)議，由IETF的RFC 793定義。在簡化的計算機網(wǎng)絡OSI模型中，它完成第四層傳輸層所指定的功能。用戶數(shù)據(jù)報協(xié)議（UDP）是同一層內另一個重要的傳輸協(xié)議。在因特網(wǎng)協(xié)議族（Internet protocol suite）中，TCP層是位于IP層之上，應用層之下的中間層。TCP協(xié)議和UDP協(xié)議采用SOCKET進行文件傳輸，TCP協(xié)議傳輸文件數(shù)據(jù)流如圖5所示。

對數(shù)據(jù)流分析發(fā)現(xiàn)，TCP Socket傳送文件，會先建立連接，進行TCP 3次握手，然后再發(fā)送一個緊急指針（PSH）為1的TCP包，并且數(shù)據(jù)包的最后會包含文件名。

圖5　TCP socket傳輸文件數(shù)據(jù)流

3　電子文件網(wǎng)絡傳輸特征數(shù)據(jù)庫

經(jīng)過對常規(guī)協(xié)議傳輸不同文件進行大量分析對比后，提取了不同常規(guī)協(xié)議傳輸文件的特征值，根據(jù)這些特征值設計并構建電子文件網(wǎng)絡傳輸?shù)奶卣鲾?shù)據(jù)庫。特征數(shù)據(jù)庫為訪問控制決策的依據(jù)，當網(wǎng)絡傳輸電子文件時，抽取其特征值與特征數(shù)據(jù)庫匹配比較以作出決策。二者的匹配內容直接影響到能否對電子文件對網(wǎng)絡的訪問進行有效訪問控制；匹配的粒度決定了訪問控制的粒度；匹配的效率影響到訪問控制系統(tǒng)對用戶的透明性。因此，特征數(shù)據(jù)庫的設計和構建非常重要。

3.1特征數(shù)據(jù)庫設計

定義4.1協(xié)議是數(shù)據(jù)流的序列規(guī)范。數(shù)據(jù)流s是屬于協(xié)議P的協(xié)議流，ATT（P）={s|s∈S，s滿足P的序列規(guī)范要求}?？勺R別協(xié)議集為PT={pl，p2，… …pn}。

假設4.1一個數(shù)據(jù)流不能同時屬于兩個協(xié)議。即：?si，pi，pj?ATT（pi）∩ATT（pj）。一個數(shù)據(jù)流最多只能符合一個協(xié)議規(guī)范，在實際當中，這種情況可能并不是絕對的，但對于大多數(shù)情況都是如此，如果允許一個數(shù)據(jù)流符合多個協(xié)議規(guī)范，那么將會大大增加誤判率，并且也是不實際的，因此假設4.1是必要的。

定義4.2特征值，協(xié)議特征的集合，存在一到多個特征，F(xiàn){fl，f2，… …fn}。

定義4.3數(shù)據(jù)流特征值，數(shù)據(jù)流具有的協(xié)議特征。數(shù)據(jù)流s是協(xié)議和特征值的二元組s{p，f}。

1）p為該數(shù)據(jù)流所屬協(xié)議

2）f為該數(shù)據(jù)流具有的特征集合

定義4.4電子文件安全策略，為協(xié)議和禁止傳輸文件的叉積C=Pn×Fn。P為協(xié)議，F(xiàn)為禁止傳輸文件，叉積為傳輸禁止文件的所有具有協(xié)議特征的數(shù)據(jù)流。

結合提取的特征值和以上4個定義，數(shù)據(jù)庫總體設計如圖6所示：

根據(jù)數(shù)據(jù)流分析的電子文件防泄露機制，設計了3個數(shù)據(jù)表和一個多對多關聯(lián)表，分別為協(xié)議表（Protocol）、特征值表（Feature）和禁止文件表（Prohibited_file）。出于擴展性和效率考慮，將特征值和協(xié)議分離，設計成兩個數(shù)據(jù)表，一方面可以保證數(shù)據(jù)表簡單規(guī)范，另一方面特征值單獨設計一張表可以輕易進行擴展和重用，而且通過對協(xié)議進行分類可以極大提高數(shù)據(jù)流識別，特征值匹配效率。為了進一步保障電子文件的信息安全，設計了禁止文件數(shù)據(jù)表，來規(guī)定電子文件的訪問控制，保障機密電子文件。其中協(xié)議表和特征值表為一對多的關系，協(xié)議表和禁止文件表為多對多的關系。數(shù)據(jù)表詳細設計如表1～表4。

圖6　特征數(shù)據(jù)庫總體設計

表1　協(xié)議數(shù)據(jù)表

表2　特征值數(shù)據(jù)表

表3　禁止文件數(shù)據(jù)表

表4　協(xié)議數(shù)據(jù)表和禁止文件的多對多關聯(lián)表

結合設計的數(shù)據(jù)庫和分析得到的電子文件傳輸特征值，可以構建下列數(shù)據(jù)表記錄，如圖7和8所示：

圖7　協(xié)議數(shù)據(jù)表

圖8　特征值數(shù)據(jù)表

3.2特征數(shù)據(jù)庫匹配過程

結合建立的特征數(shù)據(jù)庫和基于數(shù)據(jù)流分析的防電子文件泄漏機制，給出實際的防電子文件泄漏過程：

1）讀取網(wǎng)絡傳輸?shù)臄?shù)據(jù)流

2）提取數(shù)據(jù)流S的特征

①提取數(shù)據(jù)流的協(xié)議類別P

②讀取數(shù)據(jù)庫協(xié)議表和提取到的協(xié)議類別進行匹配

a.如果不匹配，則該數(shù)據(jù)流符合規(guī)則放行，直接執(zhí)行步驟3）

b.如果匹配，進行下一步操作

③提取數(shù)據(jù)流的特征值F

④讀取數(shù)據(jù)庫中特征表該協(xié)議P類別的特征值和該數(shù)據(jù)流特征F進行匹配

a.如果不匹配，則該數(shù)據(jù)流符合規(guī)則放行，直接執(zhí)行步驟3）

b.如果匹配，則進行下一步

⑤提取數(shù)據(jù)流的文件屬性，文件名和文件大小

⑥讀取數(shù)據(jù)庫禁止文件表和該文件屬性進行匹配

a.如果不匹配，則該數(shù)據(jù)流符合規(guī)則放行，直接執(zhí)行步驟3）

b.如果匹配，則該數(shù)據(jù)流正在泄漏重要電子文件，阻斷該數(shù)據(jù)流

3）繼續(xù)讀取后面的數(shù)據(jù)流

該數(shù)據(jù)庫是在分析大量常規(guī)協(xié)議傳輸不同大小不同類型的電子文件實驗數(shù)據(jù)基礎上，提取出電子文件網(wǎng)絡傳輸?shù)奶卣髦?，結合基于數(shù)據(jù)流分析的防電子文件網(wǎng)絡泄漏機制，建立一個統(tǒng)一規(guī)范簡單高效的特征數(shù)據(jù)庫。設計單獨的特征值數(shù)據(jù)表能夠建立更好的統(tǒng)一性，因為不同的協(xié)議的特征值數(shù)量不同，因此如果將協(xié)議和特征值設計到一個數(shù)據(jù)表里面則無法滿足這個要求，同時增加特征值復用性，而且符合數(shù)據(jù)庫范式。該特征數(shù)據(jù)庫補充和完善基于數(shù)據(jù)流分析的防電子文件泄漏機制。

4　結束語

文章針對電子文件安全問題，從基于數(shù)據(jù)流分析的電子文件訪問控制策略入手，通過分析大量的實驗數(shù)據(jù)，提取出電子文件網(wǎng)絡傳輸?shù)奶卣髦担O計和構建了統(tǒng)一化規(guī)范化形式化的特征數(shù)據(jù)庫，并描述了使用特征數(shù)據(jù)庫進行數(shù)據(jù)流匹配的過程。未來的工作：將特征數(shù)據(jù)庫嵌入到路由器上，結合基于數(shù)據(jù)流分析的電子文件訪問控制策略，選取和構造簡單高效的匹配算法，設計一個透明，高效的基于數(shù)據(jù)流的防電子文件網(wǎng)絡泄漏系統(tǒng)；基于該特征數(shù)據(jù)庫，測試分析更多的協(xié)議，提取特征值，不斷拓展和完善特征數(shù)據(jù)庫。

[1]張賓，楊家海，吳建平.Internet流量模型分析與評述軟件學報[J].2011，22（1）:115-131.

[2]謝柏林，余順爭.基于應用層協(xié)議分析的應用層實時主動防御系統(tǒng)[J].計算機學報，2011，34（3）:452-462.

[3]卓瑩，龔春葉，龔正虎.網(wǎng)絡傳輸態(tài)勢感知的研究與實現(xiàn)[J].通信學報，2010，31（9）:54-63.

[4]徐震，沈麗紅，汪月.一種可配置的可信引導系統(tǒng)[J].中國科學院研究生院學報，2008，25（5）:626-630.

[5]林臻彪.基于數(shù)據(jù)流分析防文件網(wǎng)絡泄露關鍵技術研究[D].鄭州:解放軍信息工程大學，2009.

[6]彭樂，薛一波，王春露.網(wǎng)絡視頻內容的識別和過濾綜述[J].計算機工程與設計，2008，29（10）:2587-2590.

[7]TANG Zhang-guo，ZHONG Ming-quan，LI Huan-zhou.File format vulnerability exploiting technique based on fuzzing[J]. Computer Engineering，2010，36（16）:151-153.

[8]ZHOU Zheng.Efficient Approach for Searching Data Package of Encrypted ProxyComputer Engineering[J].2007，33（21）:142-143.

[9]譚靜，張治斌.基于混合特征的P2 P流量識別方法[J].計算機仿真，2014，31（3）:316-319.

[10]沈昌祥，張煥國，土懷民等.可信計算研究與發(fā)展[J].中國科學 （信息科學），2010，40（2）:139-166.

[11]劉孜文，馮登國.基于可信計算的動態(tài)完整性度量架構[J].電子與信息學報，2010，32（4）:875-879.

[12]唐彰國，鐘明全，李煥洲，等.基于數(shù)據(jù)流的啟發(fā)式文件傳輸識別系統(tǒng)設計[J].計算機工程與設計，2011，32（9）:2929-2933，2949.

[13]李偉偉，張濤，林為民，等.基于文本內容的敏感數(shù)據(jù)識別方法研究與實現(xiàn)[J].計算機工程與設計，2013，34（4）:1202-1206.

[14]王麗娜，趙磊，郭遲，等.一種基于信任理論的路由安全接入與選路模型[J].武漢大學學報，2008，33（10）:999-1002.

[15]鄧鈞憶，劉衍晰，王健.車載自組織網(wǎng)的可信節(jié)點與可信路由分析及實現(xiàn)[J].武漢大學學報，2010，35（5）:607-609.

The analysis and extraction for the network transmission electronic file features

JIANG Zong-wu，DAI Cheng-geng，LI Yue-xin
（Computer and Information Engineering Collage of Hubei University，Wuhan 430062，China）

In order to prevent the leakage of sensitive data and provide the basis for the access of electronic documents，an electronic file access method based on the characteristics of data stream is proposed.By studying the data packet format，transmission mode and the behavior characteristics of the transmission of electronic documents on network，the paper extracts the characteristic values of the common network protocol transmission of electronic documents，designs and constructs the extended strong data stream feature database，and gives the process of feature database detection and prevention of electronic file network leakage.Experimental data prove that the data stream feature database is efficient，simple to use and has high accuracy.

network security；electronic document；data stream；feature database

TN919

A

1674－6236（2016）21-0038-04

2015-11-03稿件編號：201511025

湖北省科技廳科技支撐項目資助（2014BAA089）

江宗武（1990—），男，湖北武漢人，碩士研究生。研究方向：信息安全。