◆盧騰 李靜 魏家輝 程杰 楊大力 王嬋

加解密技術(shù)

基于語(yǔ)義分析的保密安全敏感事件可視化研究與應(yīng)用

◆盧騰1李靜1魏家輝1程杰1楊大力2王嬋1

（1.國(guó)家電網(wǎng)有限公司信息通信分公司 北京 100081；2.中孚信息股份有限公司 北京 100081）

隨著信息化發(fā)展已深入到企業(yè)的方方面面，新興移動(dòng)辦公模式在提升工作效率的同時(shí)，也給企業(yè)保密安全工作帶來(lái)了新的風(fēng)險(xiǎn)，保密安全作為企業(yè)“大安全”的一部分，關(guān)系到公司生存發(fā)展。本文基于保密安全工作現(xiàn)狀，分析保密工作面臨的風(fēng)險(xiǎn)，研究語(yǔ)義分析相關(guān)的智能化判定技術(shù)，實(shí)現(xiàn)了保密安全敏感事件感知及可視化展現(xiàn)，建成一套支撐保密安全的監(jiān)測(cè)平臺(tái)，能夠精準(zhǔn)、高效的服務(wù)于企業(yè)保密管理工作，提升了企業(yè)保密技術(shù)支撐水平，有效遏制失泄密事件發(fā)生。

文本提?。徽Z(yǔ)義分析；智能化；可視化；事件監(jiān)測(cè)

1 引言

隨著世界經(jīng)濟(jì)日益一體化，信息化技術(shù)已經(jīng)在各行業(yè)廣泛應(yīng)用發(fā)展，企業(yè)承擔(dān)的國(guó)家任務(wù)日益增多，新媒體的快速崛起，線上辦公以及移動(dòng)辦公逐漸成為一種新的工作模式，在提高企業(yè)工作效率的同時(shí)，也給企業(yè)保密安全工作帶來(lái)了新的挑戰(zhàn)。帶有重要敏感信息的文件泄露的風(fēng)險(xiǎn)越來(lái)越高，加之境內(nèi)外敵對(duì)勢(shì)力滲透竊密情形依然嚴(yán)峻，加強(qiáng)保密安全敏感事件監(jiān)測(cè)能力已刻不容緩。

當(dāng)前保密安全工作在觀念、制度、技術(shù)支撐等方面與面臨的形勢(shì)任務(wù)不相適應(yīng)的問(wèn)題日益突出，缺乏有效的措施監(jiān)控敏感事件發(fā)生，控制失泄密風(fēng)險(xiǎn)擴(kuò)大。因此，提升網(wǎng)絡(luò)保密安全敏感事件監(jiān)測(cè)技術(shù)水平，建立行之有效的保密安全監(jiān)控管理體系是當(dāng)前迫切工作任務(wù)。

2 保密安全工作風(fēng)險(xiǎn)分析

（1）保密人員意識(shí)薄弱：意識(shí)薄弱側(cè)面反映出保密知識(shí)的缺乏，重要涉密人員保密觀念淡漠，認(rèn)為保密與自己關(guān)系甚遠(yuǎn)，工作中只涉及工作秘密，接觸不到高敏感的文件，殊不知失泄密行為的發(fā)生多為被動(dòng)泄密。部分人員對(duì)保密形勢(shì)的復(fù)雜性估計(jì)不足，認(rèn)為上網(wǎng)行為規(guī)范，不需要對(duì)計(jì)算機(jī)進(jìn)行保密，僥幸心理一直存在，放松警惕性，就會(huì)讓不法分子有機(jī)可乘。

（2）移動(dòng)辦公上網(wǎng)行為風(fēng)險(xiǎn)：移動(dòng)設(shè)備丟失，據(jù)調(diào)查結(jié)果顯示，每年有7000萬(wàn)部手機(jī)丟失，其中60%的手機(jī)包含敏感信息；手機(jī)拍照將敏感信息在互聯(lián)網(wǎng)中進(jìn)行傳播；公私網(wǎng)絡(luò)混用，移動(dòng)終端既有個(gè)人應(yīng)用也有企業(yè)應(yīng)用，企業(yè)及個(gè)人數(shù)據(jù)無(wú)明顯隔離區(qū)分，數(shù)據(jù)追蹤審查和上網(wǎng)行為審計(jì)支撐手段不足，企業(yè)機(jī)密泄露風(fēng)險(xiǎn)巨大。

（3）技術(shù)防范手段不足：辦公終端弱口令現(xiàn)象依然存在，涉密信息設(shè)備、涉密載體缺少全生命周期管控措施，導(dǎo)致涉密內(nèi)容的閱知范圍界定不清晰，可能會(huì)帶來(lái)失泄密擴(kuò)大風(fēng)險(xiǎn)。辦公終端違規(guī)存儲(chǔ)敏感文件是失泄密事件發(fā)生的源頭，缺少針對(duì)敏感文件監(jiān)測(cè)的技術(shù)支撐手段。

3 基于語(yǔ)義分析的敏感事件可視化研究

3.1 技術(shù)路線及關(guān)鍵技術(shù)研究

本文研究文字、圖片等智能化識(shí)別技術(shù)，結(jié)合分詞技術(shù)、tf-idf加權(quán)技術(shù)，借助simHash算法、minHash算法，以用戶實(shí)際使用場(chǎng)景、保密業(yè)務(wù)操作流程為基礎(chǔ)，同時(shí)兼顧用戶使用體驗(yàn)，切實(shí)提高用戶業(yè)務(wù)工作效率，將保密敏感事件場(chǎng)景化、流程化，形成以下技術(shù)路線，如圖1所示。

圖1 技術(shù)路線圖

整體技術(shù)路線采用三層結(jié)構(gòu)：終端主機(jī)探針監(jiān)控層，采用技術(shù)化手段掃描、監(jiān)測(cè)敏感文件違規(guī)存儲(chǔ)、操作、傳遞的各種行為；后臺(tái)數(shù)據(jù)采集分析層，建立四類數(shù)據(jù)分析場(chǎng)景模型，對(duì)終端監(jiān)控采集的各類數(shù)據(jù)進(jìn)行匯總處理分析；前臺(tái)可視化呈現(xiàn)層，將后臺(tái)分析結(jié)果采用各種可視化圖表集中實(shí)時(shí)呈現(xiàn)給用戶，并根據(jù)用戶重要級(jí)別分級(jí)、分域進(jìn)行數(shù)據(jù)展現(xiàn)，從而實(shí)現(xiàn)精準(zhǔn)用戶行為定位、實(shí)時(shí)遠(yuǎn)程在線自動(dòng)化監(jiān)測(cè)、大屏可視化展示，全面提升保密安全敏感事件感知能力。

3.2 敏感信息實(shí)時(shí)監(jiān)控感知技術(shù)研究

敏感信息實(shí)時(shí)監(jiān)控感知是對(duì)用戶終端執(zhí)行各類文件操作進(jìn)行行為監(jiān)控捕獲，本文通過(guò)Hook監(jiān)控，磁盤底層文件掃描等技術(shù)實(shí)現(xiàn)。

（1）Hook監(jiān)控技術(shù)

通過(guò)Hook技術(shù)既可以實(shí)現(xiàn)對(duì)文件的保護(hù)，防止文件被篡改，同時(shí)可以對(duì)操作系統(tǒng)進(jìn)程進(jìn)行監(jiān)控，即可對(duì)合規(guī)進(jìn)程進(jìn)行保護(hù)，又可以對(duì)違規(guī)進(jìn)程強(qiáng)制關(guān)閉。本文對(duì)Hook技術(shù)進(jìn)行封裝設(shè)計(jì)，實(shí)現(xiàn)模塊化的Hook平臺(tái)。

（2）磁盤底層文件掃描技術(shù)

磁盤底層文件掃描是通過(guò)分析文件系統(tǒng)原理、OLE文檔嵌套機(jī)制以及各種文檔文件二進(jìn)制格式，對(duì)系統(tǒng)中各式各樣文件進(jìn)行識(shí)別、分析、提取文件全部?jī)?nèi)容的一種技術(shù)。利用該技術(shù)可對(duì)嵌套隱藏的文件、受損文件、修改后綴名的文件等非正常文件進(jìn)行提取，杜絕違規(guī)旁路操作。

該文通過(guò)研究近4000種嵌套組合，首次實(shí)現(xiàn)了嵌套文檔檢查技術(shù)，解決了違規(guī)文件嵌套隱藏在常規(guī)文件中的問(wèn)題，該技術(shù)支持DOC、DOCX、PPT、PPTX、XLS、XLSX等多種類型辦公文檔多層次嵌套檢查。在此基礎(chǔ)上，優(yōu)化了文件抽查算法，研究文本提取技術(shù)，實(shí)現(xiàn)了對(duì)文件頭損壞、文件后綴被修改等情況的文檔檢查，使得文件檢查全面無(wú)遺漏。

3.3 基于語(yǔ)義分析的智能化判定技術(shù)研究

針對(duì)文件判定工作量大、文件重復(fù)檢查上報(bào)等情況，本文研究綜合OCR識(shí)別、語(yǔ)義詞庫(kù)過(guò)濾、指紋比對(duì)等多種技術(shù)，實(shí)現(xiàn)了智能化文件判定，有效提升敏感事件監(jiān)測(cè)、判定的準(zhǔn)確性。

（1）OCR識(shí)別

檢查終端通過(guò)對(duì)圖片圖像文件識(shí)別并轉(zhuǎn)換成文本格式，從而實(shí)現(xiàn)對(duì)圖片圖像文件的檢查。首先對(duì)圖像進(jìn)行預(yù)處理，對(duì)圖像的成像效果進(jìn)行調(diào)整。接下來(lái)對(duì)文字版面進(jìn)行分析；先將每一行進(jìn)行行分割，這樣把每行的字符切割下來(lái)；然后再對(duì)每行文本進(jìn)行列的分割，最后切割成一個(gè)一個(gè)的字符；將字符送到訓(xùn)練好的OCR識(shí)別模型里進(jìn)行最重要的字符識(shí)別，得到最終識(shí)別結(jié)果。

（2）語(yǔ)義詞庫(kù)過(guò)濾

終端執(zhí)行檢查任務(wù)，對(duì)每次發(fā)起檢查任務(wù)策略做記錄，對(duì)檢查的合規(guī)性詞語(yǔ)自動(dòng)過(guò)濾，諸如電腦“開(kāi)機(jī)密碼”等此類短語(yǔ)。逐步積累補(bǔ)充完善，構(gòu)建合規(guī)詞匯專家知識(shí)庫(kù)，實(shí)現(xiàn)自動(dòng)過(guò)濾，降低系統(tǒng)誤報(bào)率。

（3）版式文件檢查

通過(guò)對(duì)政府機(jī)關(guān)下發(fā)的紅頭文件機(jī)要文件等相關(guān)文件的格式進(jìn)行分析、總結(jié)歸納后對(duì)此類特定格式文件形成統(tǒng)一可量化的各類指標(biāo)，終端檢查工具檢查過(guò)程中分析各個(gè)指標(biāo)匹配程度進(jìn)而對(duì)標(biāo)準(zhǔn)版式文件進(jìn)行檢查，發(fā)現(xiàn)真正符合指標(biāo)的版式文件，同時(shí)頁(yè)面單獨(dú)展示，提高文件操作人員對(duì)該類型文件的關(guān)注程度，輔助判定工作。

（4）指紋比對(duì)相似文件

文件指紋匹配技術(shù)是從樣本文檔中生成指紋特征庫(kù)，然后以同樣的方法從待檢測(cè)文檔或內(nèi)容中提取指紋；將得到的指紋與指紋庫(kù)進(jìn)行匹配，獲得其相似度。終端通過(guò)指紋算法計(jì)算出文件的指紋特征碼，服務(wù)端接收到文件指紋信息后，通過(guò)分詞技術(shù)、信息檢索與數(shù)據(jù)挖掘加權(quán)技術(shù)tf-idf，借助simHash、minHash算法，以敏感文件庫(kù)中的違規(guī)文件作為比對(duì)源，從比對(duì)源數(shù)據(jù)中找出符合一定相似度臨界值的特定文件，實(shí)現(xiàn)輔助文件判定功能。

（5）相同文件自動(dòng)判定

終端檢查文件時(shí)通過(guò)MD5信息摘要算法計(jì)算文件MD5值，上報(bào)報(bào)告時(shí)作為文件唯一標(biāo)識(shí)信息，通信服務(wù)器接收?qǐng)?bào)告時(shí)將文件MD5值與敏感文件庫(kù)文件的MD5值進(jìn)行比對(duì)，發(fā)現(xiàn)一致時(shí)自動(dòng)以敏感文件庫(kù)中文件的判定結(jié)果判定當(dāng)前文件，從而實(shí)現(xiàn)文件自動(dòng)判定，簡(jiǎn)化判定人員工作量。

（6）數(shù)字水印

管理端進(jìn)行文件提取縮略圖和文件摘要等操作時(shí)，通過(guò)施加數(shù)字水印背景（包含訪問(wèn)源IP、MAC、賬號(hào)等信息），實(shí)現(xiàn)對(duì)文件保護(hù)，一旦對(duì)文件進(jìn)行拍照、復(fù)制粘貼等操作時(shí)均會(huì)帶上水印，該技術(shù)對(duì)泄密事件的發(fā)生起到一定預(yù)防和威懾作用，一旦泄漏可利用水印進(jìn)行溯源。終端產(chǎn)生的檢查報(bào)告經(jīng)SM4加密算法加密后嵌套閱讀器底層識(shí)別，終端僅能通過(guò)專用閱讀器瀏覽報(bào)告文件，僅允許查看而不可篡改報(bào)告內(nèi)容。

終端文件存在形式不一，文件傳播的路徑多樣化，綜合運(yùn)用以上智能化技術(shù)，實(shí)現(xiàn)了靜態(tài)文件、動(dòng)態(tài)文件的全面監(jiān)控，大大提升網(wǎng)絡(luò)保密安全敏感事件監(jiān)測(cè)技術(shù)水平。

3.4 敏感事件可視化監(jiān)控平臺(tái)

基于以上技術(shù)研究，設(shè)計(jì)并實(shí)現(xiàn)了一套網(wǎng)絡(luò)保密安全敏感事件監(jiān)控平臺(tái)，實(shí)現(xiàn)了對(duì)辦公終端采用在線實(shí)時(shí)掃描，監(jiān)測(cè)敏感文件違規(guī)存儲(chǔ)、操作、傳遞的各種行為。在展現(xiàn)模塊設(shè)計(jì)方面，根據(jù)用戶重要程度分級(jí)、分域、分時(shí)進(jìn)行展示，建立多個(gè)數(shù)據(jù)采集分析場(chǎng)景模型，對(duì)終端監(jiān)控采集的各類數(shù)據(jù)進(jìn)行匯總處理，將分析結(jié)果通過(guò)豐富的組件實(shí)現(xiàn)多樣化個(gè)性展示。

在敏感事件可視化呈現(xiàn)上，由于監(jiān)測(cè)全網(wǎng)終端操作行為數(shù)據(jù)量較大，考慮到綜合展現(xiàn)平臺(tái)的響應(yīng)速度和展示效果，采用了前端較先進(jìn)的主流框架Angular、WebGL三位立體技術(shù)、柵格化技術(shù)等，確保可視化效果的完美呈現(xiàn)。

4 總結(jié)

“沒(méi)有網(wǎng)絡(luò)安全就沒(méi)有國(guó)家安全”，網(wǎng)絡(luò)信息化是一把雙刃劍，在促使經(jīng)濟(jì)高速發(fā)展的同時(shí)，也給保密安全帶來(lái)更多的風(fēng)險(xiǎn)與挑戰(zhàn)。本文基于企業(yè)級(jí)保密安全工作需求，對(duì)語(yǔ)義分析技術(shù)進(jìn)行研究實(shí)現(xiàn)，并應(yīng)用于保密敏感事件監(jiān)測(cè)業(yè)務(wù)中，做到敏感事件智能化感知、可視化展現(xiàn)，實(shí)現(xiàn)企業(yè)級(jí)保密工作科學(xué)運(yùn)行管理，有效提升企業(yè)保密安全的綜合防范能力。下一步，我們將繼續(xù)完善語(yǔ)義分析知識(shí)庫(kù)，提升機(jī)器學(xué)習(xí)算法精度，擴(kuò)展敏感事件可視化展現(xiàn)形式，豐富監(jiān)控場(chǎng)景，逐步推廣到移動(dòng)端敏感事件風(fēng)險(xiǎn)感知監(jiān)測(cè)，實(shí)現(xiàn)敏感信息的全面掌控，嚴(yán)防失泄密事件的發(fā)生。

[1]黃子穎. 淺談信息化條件下保密管理工作面臨的問(wèn)題和對(duì)策[J]. 福建冶金，2020.

[2]林楠.省級(jí)電力公司系統(tǒng)提高失泄密風(fēng)險(xiǎn)防范能力“靶狀”保密工作機(jī)制構(gòu)建[J]. 中國(guó)科技期刊數(shù)據(jù)庫(kù)經(jīng)濟(jì)，2017.

[3]陳功文.人工智能中的語(yǔ)義分析技術(shù)及其應(yīng)用[J].電子技術(shù)與軟件工程，2019（11）.

[4]李小翠. 圖像特征和語(yǔ)義分析方法的研究[D].電子科技大學(xué)，2017.