基于數據分配策略的數據泄漏檢測研究

唐昌龍，劉吉強

(北京交通大學計算機與信息技術學院，北京100044)

1 概述

數據泄露保護(Data Leakage Protection，DLP)也稱為數據暴露防護或防數據泄露［1］。DLP系統的主要作用是防止內部和外部人員有意或無意地將敏感信息發送到未經授權的第三方。根據數據流的使用狀態，DLP系統可以用于保護靜止的數據(Dataat-Rest，DaR)、傳輸中的數據(Data-in-Motion，DiM)和使用中的數據(Data-in-Use，DiU)［2］。

當前針對DLP的研究方向主要有2個:(1)監控數據流防止敏感數據失去控制;(2)敏感數據失去控制后，識別流出渠道。第(1)種研究方向目前主要的技術有模式匹配算法、復雜指紋算法和貝葉斯統計分析算法等［1］。本文主要研究第(2)種方向，即如何使DLP系統通過應用數據分配策略(Data Allocation Strategy，DAS)在敏感數據丟失后能夠快速檢測數據是通過哪個第三方(Agent)流失的。

目前國內外關于DAS的最新研究進展，按其研究方法可以分成2個階段，分別稱為第1代DAS和第2代DAS。第1代DAS算法和技術［3］包括水印技術、標記化算法、誠信機制、信息傳輸決策點技術、便攜式數據綁定算法(Portable Data Binding，PDB)和流模型算法等。第1代DAS算法的主要缺點是需要對源數據進行一定的修改，而且在檢測性能上也不能滿足大規模的應用。第2代DAS算法主要通過應用分配策略分配給每個代理(Agent)不同的數據對象從而在不改變源數據的基礎上增加識別泄密者的機會。第2代DAS技術主要建立在過失模型的基礎上［4］。有少數文獻也研究了影子模型和數據看守/泄漏檢測技術。本文對基于第1代和第2代DAS的檢測方法進行研究，優化數據分配算法，并給出針對過失模型的研究方向。

2 相關研究

根據數據分配策略技術在不同環境下的應用，研究者進行了較為廣泛的研究。

文獻［5］側重分析了數據分配策略技術與加密技術相結合來防止數據泄漏，研究了利用非對稱加密算法(RSA算法)對偽數據進行加密和揭秘的可能性和大致過程，主要是密鑰生成、源數據加密和解密驗證。另外，該文還分析了如何優化數據對象分配過程以提高檢測成功率。其文章沒有提供具體數據來說明加密技術與數據分配策略相結合的實際性能，也沒有比較各種不同非對稱加密算法與數據分配策略相結合的穩定性和可靠性。

文獻［6］研究了數據分配及泄漏檢測技術在云計算環境中的應用情況，特別是針對云數據存儲環境的保護。該文闡述了關系數據權限保護的機制，比如將數據組拆分成大量的小數據區，然后根據數據區的不同屬性添加偽數據以達到泄漏檢測目的。同時此文還分析了K-匿名隱私保護技術，該技術可以確保一個發布的數據/記錄能夠關聯到至少K個個體。另外，該文還論述了線性追蹤技術在通用數據轉換中的應用。

文獻［7］研究了數據分配策略技術在E-mail過濾中的機制，闡述了一種用偽數據檢測過失代理的模型并將其應用到Email安全過濾系統中。當未經授權的用戶收到來自被檢測為過失代理的郵件時，郵件的內容和附件是不可讀的，從而保護了組織的敏感業務信息不被泄漏。

3 基于第1代DAS的數據泄露檢測

在數據沒有與第三方共享的環境下，組織一般對敏感數據有充分的控制手段，因此也相對容易防止和檢測數據泄露。目前大部分DLP安全技術產品和解決方案都建立在組織對數據有絕對控制權的假設或前提下(比如Symantec，McAfee等安全公司的數據防護產品)。但也存在很多需要進行數據共享的情況，比如在進行業務流程外包(BPO)的組織中，第三方需要訪問組織的一些敏感信息來履行它們的合同與職責。例如一個人力資源BPO服務方需要訪問企業的員工數據庫(可能包括社會保險號等敏感信息)，又例如一個市場服務方可能不被完全信任或不能被安全的進行管理。在電子化時代，關系型數據庫是非常容易被復制的。而且在很多情況下，服務商在利益的驅動下會將一些保密的商業信息泄露給未授權方。因此，需要有相關的技術來檢測和震懾這些不實行為［8-9］。

基于第1代DAS的研究主要基于Watermarking技術、Perturbation技術和PITDP方法等。

(1)Watermarking技術

Watermarking技術［10］的主要特點是將可識別的唯一代碼嵌入到分發的拷貝中，從而達到可以追蹤的目的。但是Watermarking技術有2個不足之處:1)需要對源數據進行一定的修改(嵌入唯一識別代碼)。2)如果數據接收方惡意作為的話，Watermarks在技術上比較容易被篡改甚至刪除［8-9］。

(2)Perturbation技術

Perturbation技術是一種非常實用的技術，可用于將敏感信息去敏感化。該技術有很多種實現方式，如 Truncation，Hash，Encryption 和 Tokenization等。在敏感數據被發送到第三方(Agent)之前，Perturbation技術可以有效地去敏感化已保護敏感信息不被泄露［11］。

對于一些法規符合性的要求如PCIDSS(Payment Card Industry Data Security Standard)而言，Perturbation是非常有效的安全控制手段來縮小符合性評估范圍。表1總結了各種Perturbation技術對PCIDDSS 審核范圍的影響［12］。

表1 Perturbation技術與PCIDSS審核范圍

Perturbation技術主要存在的問題在于:很多實際的企業應用環境下源數據不能被修改，否則就失去意義。比如，第三方提供員工薪資發放和記賬服務，他們需要準確地知道工資數額、賬戶以及對應的員工信息等［11］。

對于Tokenization技術來說，其主要缺點是需要有一個數據庫來進行真實數據和其替代值的對應。這種對應增加了對存儲和管理的需要，同時不斷對新增的數據進行備份以避免數據丟失。另外一個問題是對于跨數據中心的大型應用環境，需要對令牌數據進行持續的同步。這會嚴重影響實際應用中的性能問題。

(3)PITDP方法

PITDP(Personal Info Transfer Decision Point)方法的基本組件和系統流程如圖1所示［13］。

PITDP決定是否所要求的信息傳輸是安全的。決策基于對傳輸控制策略，傳輸日志和接受方信任級別的統籌分析。該方法的缺點是傳輸控制策略和接受方信任級別非常難以準確設定，導致大比例的false positive以及不必要的人為參與(認為決定傳輸是否安全)。另外，要使發送方和接收方互相不能否認發送或接收，需要額外的控制措施(如簽名等)，從而增加了過程復雜性和系統開銷。

4 基于第2代DAS的數據泄露檢測

Papadimitriou P等人提出了基于Agent Guilt模型［3-4］的數據分配算法。該模型能夠大大提高檢測泄密者的可能性。此模型定義數據的擁有者為Distributor，可信第三方(假定)為 Agent。解決的問題是如果Distributor的數據被泄露給不可信第三方了，是否能夠檢測是哪個Agent泄露的。

(1)問題設定

Papadimitriou P的研究主要基于一種應用場景，Distributor將數據傳輸給Agents后發現部分數據出現在沒有被授權的地方，比如一些網站等。在此種情況下Distributor有能力分析和評估是哪個或哪些Agents泄露了數據。Panagioti P等人主要采用了Agent過失模型來進行可能性的評估。

該模型假設一個Distributor擁有一組有價值的數據T={t1，t2，…}。這個 Distributor希望和一組Agents(U1，U2，…，Un)共享其中的一部分數據，同時并期望這些被分享的數據不能被泄露給任何第三方。該模型還提出了2種數據分享請求的方法:樣本請求和明確請求。

1)樣本請求:Sample request Ri=Sample(T，mi)，表示任何T中的mi的子集可以被傳輸給Ui;

2)明確請求:Explicit request Ri=Explicit(T，Condi)，Agent Ui，表示從 Distributor接收所有滿足Condi的T數據。

Agent Guilt模型定義如果一個AgentUi泄露了一組或多組數據給不可信第三方(Target)，這個Ui就是一個Guilty。同時Gi|S表示Ui是一個泄露數據S的Guilty。Agent Guilt模型主要目標是要評估Ui是一個泄露數據S的可能性(Pr{Gi|S})。

(2)問題解決模型

為了能夠使計算Pr{Gi|S}更簡單直接，該模型定義了2個前提假設:

1)所有的T數據組被泄露的概率(Pt)相同;

2)一個AgentUi泄露一個數據組的決定和其他數據組沒有任何聯系。

基于上述假設，該模型提出一個AgentUi泄露數據S的可能性，可由式(1)計算:

(3)模擬方法

Panagiotis等人的工作重心在于研究如何使得一個Distributor“聰明地”將數據組傳輸/分配給不同的Agents從而增加準確檢測是誰泄露了信息的可能性。

基于請求類型和是否加入偽數據，有如圖2所述4種場景。

圖2 4種請求場景

Panagiotis等人設計了7種算法來模擬計算Pr{Gi|S}:1)明確數據請求分配;2)隨機假對象分配;3)優化Agent選擇;4)樣本數據請求分配;5)數據選擇(s-random);6)數據選擇(s-overlap);7)數據選擇(s-max)。

(4)其他相關研究

其他的一些文獻也討論了Guilt檢測方面的問題。文獻［14-15］研究了Data Provenance的問題，他們提出跟蹤被泄漏數據組的線性關系是提高檢測Guilty Agents可能性的關鍵因素。文獻［16］提出一些更有針對性的解決方案，比如對數據倉庫的線性跟蹤。文獻［17］對企業實際應用中的數據泄漏與保護進行了研究，并提出了Data Watcher和 Leakage Detector概念模型。如果一個員工試圖在公司沒有授權的情況下獲取一些敏感信息，Data Watcher模型用來檢測數據泄漏者。在員工將數據泄漏給外部機構的情況下，Leakage Detector模型用來檢測Guilt的第三方［18］。

5 算法優化及實驗

本文優化了模擬算法1)～模擬算法3)，并對Agent Model進行實驗仿真。算法的總體設計思路如圖3所示。實驗環境為:Windows 7 Professional操作系統，Java編程語言和Eclipse IDE環境。

圖3 優化算法流程

對于Agent選擇有2種可能的方式:隨機模式和優化模式，表示如下:

(1)隨機模式:

(2)優化模式:

對算法的主要優化內容如下:

(1)將原有隨機模式irandom=SELECTAGENT(R，R1，R2，…，Rm)調整為優化模式 i=argmax((1/|Ri|)(1/(|Ri|+1)))ΣRi∩ΣRj，主要目標是為了提高算法的有效性和速度。

(2)增加了對總體偽數據數量的判斷邏輯，即對B≤0的分析以保證算法邏輯上的正確性和穩定性。

(3)將邏輯分析部分bi=0的位置從算法的尾部轉移到算法前部分，緊連bi＞0的邏輯分析部分，以增加算法的連貫性和減少程序的開銷。

優化后算法的主要步驟如下:(1)設定/計算偽數據總體數量;(2)如果偽數據數量大于0，則執行之后步驟，否則重置Agent的值;(3)選擇最優的Agent;(4)構造偽數據記錄;(5)將偽數據記錄添加到Agent;(6)從總偽數據組中遞減偽數據記錄。

根據式(1)，可以計算Δ(i，j)來推測AgentUi比其他AgentUj可能泄露數據的可能性。Δ(i，j)表示如式(2)所示，Δ值越大，越容易確定 Ui是Guilty Agent(泄漏了數據)。

同時可以計算平均 Δ(AverageΔ)和最小 Δ(MinΔ)，如式(3)所示。

其中，AverageΔ代表了一個Agent被檢測為Guilty Agent的概率，如果平均 Δ=0．38，則表示 Ui是Guilty Agent的概率要比Ui不是Guilty Agent的概率大0．38。MinΔ代表了一個 AgentUi比另一個AgentUj更有可能是Guilty Agent的概率。比如最小Δ=0．52，則表示 Ui是 Guilty Agent的概率比其他任何Uj是Guilty Agent的概率高0．52。

圖4顯示了AverageΔ和MinΔ模擬數據。模擬試驗結果顯示添加偽數據能顯著提高成功檢測Guilty Agent的可能性。

圖4 AverageΔ和MinΔ的模擬數據

較本文提到第1代DAS和第2代DAS技術而言，經過優化的算法在添加偽數據后能顯著提高成功檢測Guilty Agent的可能性。但目前Agent過失模型仍有以下不足:

(1)現階段的過失模型設計的不足使得Agents可能一起合作來識別哪些是真實的數據，哪些是偽數據。一個Distributor可能需要限制傳輸給每個Agent偽數據的數量，以防止引起Agent的懷疑或破壞Agent的正常操作。因此，偽數據必須被非常小心的構造從而防止Agents能夠識別它們。

(2)另外，該模型的局限還在于分配策略只適用于事先已知一定數量的Agents的情況，不適用于動態數據分配的情況，特別是在線數據分配的情況。

6 未來研究方向

未來針對過失模型將做以下研究:

(1)改進針對偽數據的設計

添加偽數據進行數據泄漏檢測的一個前提是要對用戶透明，既不能干擾用戶的正常數據處理流程，也不能讓用戶感知所得業務數據被加入了偽數據。下一步的研究需要關注如何構造一種簡單有效和對用戶透明的函數來產生偽數據，包括使用加密技術等，使得Agent既不能從真數據中識別偽數據，也不會影響Agent的正常操作。

(2)分配策略的擴展和優化

現階段研究的局限在于分配策略只適用于事先已知一定數量的Agents的情況，不適用用于在線數據分配的情況，特別是應用在云計算與 BYOD(Bring Your Own Device)相結合的環境中。擴展分配策略到在線處理的情況非常有實際應用價值。下一步的研究方向需要關注如何解決將數據分配給大量不確定用戶的情況。

(3)非結構化數據保護

當前大部分數據泄漏保護(DLP)解決方法不能夠有效解決非結構化數據的保護如CAD和JPG文件等。如何將過失模型用戶保護非結構化數據是未來的一個研究重點［19］。

7 結束語

本文介紹了用于解決數據泄漏檢測問題的DAS方法，包括Agent過失模型、Perturbation技術、PITDP過程方法等，闡述了這些方法的特點與不足。分析結果顯示Agent Guilt模型算法比較適合于解決數據泄漏檢測問題，與數據分配策略技術進行結合有較好的應用前景。針對目前數據分配策略技術還不成熟的現狀，提出了數據分配優化算法，并進行了相關實驗模擬，為今后進行進一步研究和應用節省了時間。本文在分析大量文獻和應用環境的基礎上，還提出了未來可能的研究方向，包括偽數據設計改進、分配策略的擴展和優化和非結構化數據保護3個方面。

［1］ Lawton G．New Technology PreventsData Leakage［J］．Computer，2008，41(9):14-17．

［2］ 馮 梅，蔣魯寧．DLP產品的作為與不作為［J］．中國信息安全，2012，(2):84-86．

［3］ Papadimitriou P，Garcia-Molina H．A Model for Data Leakage Detection［C］//Proceedings of the 25th International Conference on Data Engineering，March 29-April 2，2009，Shanghai，China．Washington D．C．，USA:IEEE Press，2009:1307-1310．

［4］ Papadimitriou P，Garcia-Molina H． Data Leakage Detection［J］．IEEE Transactions on Knowledge and Data Engineering，2011，23(1):51-63．

［5］ Koneru A，Rao G S N，Rao J V．Data Leakage Detection Using Encrypted Fake Objects［J］．International Journal of P2P Network Trends and Technology，2013，3(2):104-110．

［6］ Shobana V，Shanmugasundaram M．Data Leak Data Detection Using Cloud Computing［J］．International Journal of Emerging Technology and Advanced Engineering，2013，3(Special Issue 1):111-115．

［7］ Ansari Z S，Jagtap A M，Raut S S．Data Leakage Detection and E-mail Filtering［J］．International Journal of Innovative Research in Computer and Communication Engineering，2013，1(3):565-567．

［8］ Czerwinski S，Fromm R，HodesT．DigitalMusic Distribution and Audio Watermarking［EB/OL］．［2014-03-14］．http://www．scientificcommons．org/4302 5658．

［9］ Agrawal R， Kiernan J． Watermarking Relational Databases［C］//Proceedings of the 28th International Conference on Very Large Data Bases，August 20-23，2002，Hong Kong，China．［S．l．］:VLDB Endowment Inc．，2002:155-156．

［10］ 趙 耀．基于小波變換的抵抗幾何攻擊的魯棒視頻水印［J］．中國科學 E 輯:信息科學，2006，36(2):137-152．

［11］ Sweeney L．Achieving k-anonymity Privacy Protection Using Generalization and Suppression［J］．International Journal on Uncertainty，Fuzziness and Knowledge-based Systems，2002，10(5):571-588．

［12］ Conway W．How Enterprises Can Use Tokenization to Reduce Risk and Minimize the Cost ofPCI DSS Compliance［EB/OL］．［2014-03-14］．http://blog．403labs．com．

［13］ Choi D，Jin S，Yoon H．A Method for Preventing the Leakage ofthe Personal Information on the Internet［C］//Proceedings of ICA0T’06．Washington D．C．，USA:IEEE Press，2006:20-22．

［14］ Buneman P，Khanna S，Tan W C．Why and Where:A Characterization of Data Provenance［C］//Proceedings of the 8th International Conference on Database Theory，January 4-6，2001，London，UK．Berlin，Germany:Springer，2001:316-330．

［15］ Buneman P，Tan W C．Provenance in Databases［C］//Proceedings of ACM SIGMOD International Conference on Management of Data，June 11-14，2007，Beijing，China．New York，USA:ACM Press，2007:1171-1173．

［16］ Cui Y，Widom J．Lineage Tracing for General Data Warehouse Transformations［J］．The VLDB Journal，2003，12(1):41-58．

［17］ Jagtap N P，Patil S J，Bhavsar A K．Implementation of Data Watcher in Data Leakage Detection System［J］．International Journal of Computer＆ Technology，2012，3(1):318-322．

［18］ Capizzi R，LongoA，Venkatakrishnan V N，et al．Preventing Information Leaks Through Shadow Executions［C］//Proceedings of ACSAC’08，Augest 4-6，2008，Hsinchu，China．Washington D．c．，USA:IEEE Press，2008:322-331．

［19］ 張紅艷．強化非結構化數據管理深度挖掘企業信息價值［J］．電子技術與軟件工程，2013，(17):261-262．