劉建華，任丹丹，王國銘

(1.西安郵電大學(xué) 信息中心，陜西 西安 710121；2.西安郵電大學(xué) 計算機(jī)學(xué)院，陜西 西安 710121； 3.陜西師范大學(xué) 民族教育學(xué)院，陜西 西安 710119)

敏感信息[1]是指不當(dāng)使用或未經(jīng)授權(quán)被人接觸或修改會不利于國家利益或政府計劃的實(shí)行或不利于個人依法享有的個人隱私權(quán)的所有信息。中國《個人信息安全規(guī)范》將個人敏感信息界定為“一旦泄露、非法提供或?yàn)E用可能危害人身和財產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視性待遇的個人信息”。在大數(shù)據(jù)環(huán)境下對敏感信息的保護(hù)十分重要，不同用戶針對敏感信息的敏感程度具有差異性，制定合理的訪問授權(quán)策略[2]，可更為有效地保護(hù)敏感信息不被泄露。敏感程度即用戶希望敏感信息不被他人獲悉的程度，是用戶是否有權(quán)限訪問敏感信息的重要依據(jù)。因此，有效分析用戶針對敏感信息的敏感程度尤為重要。

針對敏感程度的測度，文獻(xiàn)[3]提出了基于屬性敏感度度量的自動信任協(xié)商模型，通過給出敏感度量化標(biāo)準(zhǔn)和屬性敏感度到訪問控制策略的映射規(guī)則，自動匹配相應(yīng)的協(xié)商策略。該模型不僅提高了自動信任協(xié)商的效率，還減少了陌生域隱私泄露問題；面向敏感值和敏感程度同時保護(hù)的(SD,K)-anonymity模型，主要結(jié)合分類樹對敏感屬性進(jìn)行敏感程度衡量[4]；文獻(xiàn)[5]提出了可自動計算數(shù)據(jù)敏感性的動態(tài)框架，使數(shù)據(jù)敏感性會隨著時間段推移而變化，以保護(hù)敏感數(shù)據(jù)遠(yuǎn)離未經(jīng)授權(quán)的用戶；ε-敏感程度不可區(qū)分的隱私保護(hù)方法將敏感程度融入了隱私保護(hù)中，可防止攻擊者獲得用戶目標(biāo)[6]；敏感度感知的高維數(shù)據(jù)差分隱私保護(hù)方法主要利用信息熵衡量屬性的敏感程度[7]。然而，上述方法僅分析了敏感數(shù)據(jù)的敏感度屬性，并沒有充分考慮訪問敏感信息的用戶自身攜帶的敏感度屬性，屬性考慮的不全面會對敏感數(shù)據(jù)的隱私保護(hù)造成威脅。在某種特定應(yīng)用場景下分析敏感程度，如采用統(tǒng)計方法構(gòu)建敏感度計算公式，將高校圖書館服務(wù)質(zhì)量評價指標(biāo)分類[8]；通過建立駕駛員信息敏感反應(yīng)結(jié)構(gòu)方程模型，分析不同駕駛員敏感信息的反應(yīng)程度[9]，但這些方法并不能適用于其他場景。

針對現(xiàn)有敏感度衡量方法中敏感度屬性考慮不全面，敏感程度分析模型不具有普適性的問題，擬建立一種基于屬性的兩級敏感度計算模型。通過結(jié)合用戶和敏感信息的敏感度屬性，從定量層面[10]準(zhǔn)確計算用戶針對敏感信息的敏感程度，以期在不同場景下分析用戶針對敏感信息的敏感程度差異性，保護(hù)敏感信息不被泄露。

1 兩級敏感度模型

1.1 基于訪問控制的敏感信息分類模型

在訪問控制過程中，增加敏感信息敏感程度測度機(jī)制是提高敏感度計算普適性的有效方法?；谠L問控制的敏感信息分類模型如圖1所示。

在該模型中，角色即一種叫做“角色”的屬性，代表用戶的屬性集合。通過兩級敏感度計算模型分別計算出用戶和敏感信息的敏感度值，以及二級敏感度值，然后將包含用戶自身屬性、所處環(huán)境屬性和用戶敏感度屬性等用戶屬性隱含到“角色”里，使用戶通過權(quán)限訪問樹獲得密鑰，進(jìn)行解密，進(jìn)而訪問敏感信息。

1.2 兩級敏感度模型

基于屬性的兩級敏感度模型，主要從分層角度定義了兩種實(shí)體的敏感度，分別是敏感信息和用戶的敏感度，以及一種虛擬的敏感度，即用戶對于敏感信息的反應(yīng)程度。用戶和敏感信息分別擁有的敏感度屬性為一級敏感度。用戶針對敏感信息的敏感程度為二級敏感度，是多對多的關(guān)系[11]。兩級敏感度模型如圖2所示。

圖2 兩級敏感度模型

用戶敏感度U、敏感信息敏感度I和二級敏感度S具體定義如下。

定義1用戶敏感度U為各個用戶自身具有的敏感度值，也稱用戶的敏感標(biāo)簽，其指定了該用戶的敏感等級或者信任等級[12]。

定義2敏感信息敏感度I為各個敏感字段的敏感度值，也稱敏感信息的敏感標(biāo)簽，說明了該敏感字段的敏感等級及其隱私保護(hù)的要求大小。

定義3二級敏感度S表示某一用戶針對某一敏感信字段的敏感程度，是多對多關(guān)系。

將敏感度的范圍設(shè)定為(0,1)的一個開區(qū)間，假設(shè)I，U，S∈(0,1)，標(biāo)度越小，表示I的敏感等級越低，U的敏感類型越輕微，S的程度越輕微。敏感度分類如表1所示。

表1 敏感度分類表

2 敏感度計算

分別采用層次分析法[13]和統(tǒng)計法計算一級敏感度中的敏感信息敏感度和用戶敏感度，采用線性回歸法計算二級敏感度。

2.1 一級敏感度計算

1)敏感信息敏感度計算。敏感信息涉及用戶的個人隱私，層次分析法不僅適用于存在不確定性和主觀信息的情況，還允許以合乎邏輯的方式運(yùn)用經(jīng)驗(yàn)、洞察力和直覺。因此，通過定性指標(biāo)模糊量化方法[14]計算敏感信息的敏感度。

設(shè)目標(biāo)層為敏感信息I，準(zhǔn)則層為各敏感字段a1,a2,…,an，I?{a1,a2,…,an}。類比Santy-成對比較矩陣標(biāo)度表[15]中的重要性等級，按照1-9分級設(shè)計敏感性等級。在確定準(zhǔn)則層各敏感字段之間的權(quán)重時，用相對尺度對所有敏感字段兩兩比較，盡可能減少性質(zhì)不同的敏感字段間相互比較的困難。敏感字段ai與敏感字段aj的敏感性對比結(jié)果為aij，i,j∈n由9個敏感性等級及其賦值建立的敏感程度標(biāo)度如表2所示。

表2 敏感程度標(biāo)度

根據(jù)表2，對準(zhǔn)則層各敏感字段創(chuàng)建成對比較矩陣，即

式中，n為A中敏感字段的個數(shù)。

敏感信息敏感度的計算步驟如下。

步驟1建立敏感信息敏感度的層次結(jié)構(gòu)模型，即目標(biāo)層的敏感信息和準(zhǔn)則層的各敏感信息字段。

步驟2構(gòu)建如表2所示的敏感程度標(biāo)度表，依據(jù)表2，結(jié)合具體應(yīng)用場景創(chuàng)建成對比較矩陣A。

步驟3在Matlab中運(yùn)行層次分析法[13]程序，輸入矩陣A，輸出各敏感字段權(quán)重Q。

敏感信息敏感度的計算過程如圖3所示。

圖3 敏感信息敏感度計算過程

2)用戶敏感度計算。用戶即敏感信息的訪問者，通過分析用戶訪問日志，過濾包含關(guān)鍵詞的網(wǎng)際互連協(xié)議(Internet Protocol，IP)，關(guān)鍵詞的選取與敏感信息相關(guān)[16]。最后，統(tǒng)計日志中IP出現(xiàn)的頻率作為用戶的敏感度[17]。具體計算步驟如下。

步驟1下載用戶網(wǎng)絡(luò)日志數(shù)據(jù)集D={date,time,ip,method,url,status}。

步驟2遍歷日志文件，包含關(guān)鍵字xxx的日志行用正則表達(dá)式[18]"(?:[0-9]{1,3}.){3}[0-9]{1,3}"提取IP。

步驟3創(chuàng)建列表countX存放包含關(guān)鍵字的IP，ipsum為不同IP出現(xiàn)次數(shù)，countX.count(ip)/ipsum即為不同IP出現(xiàn)的頻率。

2.2 二級敏感度計算

將二級敏感度S作為因變量，敏感信息敏感度I和用戶敏感度U作為自變量，通過自變量的最優(yōu)組合共同預(yù)測二級敏感度，借助線性回歸法[19]構(gòu)建二級敏感度對應(yīng)的多元線性回歸模型，表達(dá)式為

S=β0+β1I+β2U

(1)

其中，β0、β1和β2表示回歸系數(shù)。

二級敏感度計算過程如圖4所示。首先，針對每一個敏感信息字段，建立一個以敏感信息敏感度和用戶敏感度作為自變量，二級敏感度作為因變量的數(shù)據(jù)集。然后，對其進(jìn)行相關(guān)性分析，從箱圖和散點(diǎn)圖可視化分析數(shù)據(jù)分布情況，生成相關(guān)系數(shù)矩陣，從定量層面刻畫相關(guān)性。最后，通過劃分訓(xùn)練集和測試集訓(xùn)練回歸模型，得到相應(yīng)的二級敏感度公式。

圖4 二級敏感度計算過程

3 實(shí)例驗(yàn)證與分析

不同的用戶(如輔導(dǎo)員、任課老師等)對在校大學(xué)生(簡稱學(xué)生)敏感信息具有差異性，以此為例，驗(yàn)證基于屬性的兩級敏感度計算模型的有效性。實(shí)驗(yàn)硬件環(huán)境為Windows 10操作系統(tǒng)，主頻1.90 GHz，內(nèi)存8 G。軟件環(huán)境為Python 3.7.2,Matlab 2018,JetBrains PyCharm 5.0.3。

3.1 學(xué)生敏感信息敏感度計算

選取表示學(xué)生敏感信息的學(xué)號、姓名、學(xué)院、專業(yè)、出生日期、性別和聯(lián)系電話等7個數(shù)據(jù)字段構(gòu)建層次模型，如圖5所示。

圖5 層次結(jié)構(gòu)模型

根據(jù)表2，結(jié)合接觸學(xué)生敏感信息各個字段時的反應(yīng)程度，以及信息的保密程度，構(gòu)造成對比較矩陣

在Matlab中運(yùn)行層次分析法程序，輸入矩陣A，輸出權(quán)重Q=(0.034 5,0.245 7,0.110 8,0.141 0,0.174 9,0.116 0,0.176 6)。計算得出一致性指標(biāo)CI=0.045 0，接近于0，有滿意的一致性，檢驗(yàn)系數(shù)CR=0.033 1，CR<0.1，說明該成對比較矩陣通過了一致性檢驗(yàn)，即權(quán)重Q可用來表示各敏感字段的敏感度。姓名的敏感度為0.245 7，是權(quán)重里最高的一個，因此，對姓名字段的保護(hù)要求也最高，其他敏感字段同理。

3.2 用戶敏感度計算

選取網(wǎng)絡(luò)日志數(shù)據(jù)集UserClustering作為實(shí)驗(yàn)依據(jù)，其部分內(nèi)容如圖6所示。

圖6 用戶訪問日志截取圖

考慮到訪問學(xué)生敏感信息，可將Student作為關(guān)鍵字進(jìn)行篩選，然后遍歷日志文件每一行，查看是否包含關(guān)鍵字Student，包含關(guān)鍵字的日志行用正則表達(dá)式"(?:[0-9{1,3}.]){3}[0-9]{1,3}"提取IP，并統(tǒng)計IP出現(xiàn)的頻率[20]，由此得到用戶的敏感度分布如圖7所示。

圖7 用戶敏感度分布

從圖7中可以看出，用戶118.244.228.205擁有最高的敏感度，說明該用戶的敏感等級最高，其信任等級也最高。其次是用戶118.244.228.208，該用戶敏感等級和信任等級僅次于用戶118.244.228.205，其他用戶同理。

3.3 用戶針對學(xué)生信息敏感程度計算

以姓名這一敏感字段為例，借助python實(shí)現(xiàn)計算，包括利用pandas和numpy對數(shù)據(jù)進(jìn)行操作，使用matplotlib和seaborn進(jìn)行圖像化，以及sklearn進(jìn)行數(shù)據(jù)集訓(xùn)練與模型導(dǎo)入[21]。

1)數(shù)據(jù)集準(zhǔn)備。創(chuàng)建包含姓名敏感度、用戶敏感度以及二級敏感度的小型數(shù)據(jù)集，如表3所示。姓名敏感度是由前面計算出的敏感信息敏感度中姓名字段對應(yīng)的值0.245 7為中心，左右0.01為單位擴(kuò)展得到的5項(xiàng)值組成的一組數(shù)據(jù)，目的是為了讓層次分析法計算出的敏感信息敏感度值更具有客觀性，減少人為因素的干預(yù)。用戶敏感度即隨機(jī)抽取5位用戶組成。二級敏感度采用random模塊隨機(jī)生成介于姓名敏感度和用戶敏感度區(qū)間內(nèi)的隨機(jī)值，由實(shí)際意義可知，二級敏感度受姓名敏感度和用戶敏感度相互牽制的影響，必然介于兩者之間。

表3 二級敏感度_姓名表

為了使數(shù)據(jù)集更具有說服力，復(fù)制該數(shù)據(jù)集3份，對應(yīng)二級敏感度也隨機(jī)生成3份，得到總計20條數(shù)據(jù)的數(shù)據(jù)集Sen_2nd_namecsv。

2)相關(guān)性分析。采用describe()方法對數(shù)據(jù)進(jìn)行描述性統(tǒng)計，并采用boxplot()方法繪制箱圖，姓名敏感度、用戶敏感度和二級敏感度的最大值、上四分位數(shù)、中位數(shù)、下四分位數(shù)及最小值如圖8所示。圖中空心原點(diǎn)表示異常值，可忽略不計。

圖8 二級敏感度_姓名箱圖

在描述統(tǒng)計之后對數(shù)據(jù)進(jìn)行相關(guān)性分析，以此查找數(shù)據(jù)中特征值與標(biāo)簽值之間的關(guān)系。采用corr()方法計算相關(guān)系數(shù)矩陣如表4所示。

表4 相關(guān)系數(shù)矩陣

從表4中可以看出，用戶敏感度和二級敏感度呈較強(qiáng)的正相關(guān)關(guān)系，姓名敏感度和二級敏感度呈較弱的負(fù)相關(guān)關(guān)系。

使用seaborn的pairplot建立散點(diǎn)圖，查看姓名敏感度、用戶敏感度分別對二級敏感度的影響，以及不同的因素對二級敏感度的預(yù)測線。二級敏感度_姓名散點(diǎn)如圖9所示。

圖9 二級敏感度_姓名/用戶散點(diǎn)

3)回歸模型的建立。使用train_test_split函數(shù)創(chuàng)建訓(xùn)練集與測試集，訓(xùn)練比例設(shè)置為0.8，將訓(xùn)練集中的特征值與標(biāo)簽值放入LinearRegression()模型中，并使用fit函數(shù)進(jìn)行訓(xùn)練，在模型訓(xùn)練完成之后，由式(1)可得對應(yīng)的線性回歸方程式為

S=0.108 2-0.084 9I+0.295 9U

(2)

即可得某一用戶針對姓名字段的敏感程度。例如，當(dāng)姓名敏感度為0.245 7時，某一用戶敏感度為0.305 6，代入式(2)可計算出該用戶針對姓名的敏感程度為0.177 7，說明該用戶對姓名這一敏感字段輕微敏感。其他敏感字段的線性回歸模型建立方法同理。

用戶針對學(xué)生敏感信息各個字段的二級敏感度，描述了用戶針對不同敏感字段的反應(yīng)程度，便于后續(xù)結(jié)合訪問控制策略判斷用戶是否可以訪問相應(yīng)的敏感字段。該模型從全面計算用戶和敏感信息的敏感度屬性出發(fā)，有利于更好地保護(hù)敏感信息的隱私安全，且對應(yīng)用場景沒有強(qiáng)依賴性，僅需要確定用戶群體和敏感信息內(nèi)容后，便可分析出敏感程度的差異性。

4 結(jié)語

基于屬性的兩級敏感度計算模型是用戶在訪問控制過程中判斷訪問敏感信息敏感程度的一種測度模型。該模型不僅測度信息敏感度，還測度訪問該信息的用戶敏感度，計算訪問過程的綜合敏感度，充分全面考慮了兩者之間的影響與關(guān)聯(lián)性。實(shí)例驗(yàn)證結(jié)果表明，該模型能有效地從定量層面計算出用戶針對敏感信息的敏感程度，只需在訪問控制模型中加入敏感度計算即可，具有通用性，且適用于非單一化應(yīng)用場景下分析用戶對于敏感信息的反應(yīng)程度。