電子文件網絡傳輸特征分析和提取

江宗武，戴承耕，李躍新

（湖北大學 計算機與信息工程學院，湖北 武漢 430062）

電子文件網絡傳輸特征分析和提取

江宗武，戴承耕，李躍新

（湖北大學 計算機與信息工程學院，湖北 武漢 430062）

針對電子文件網絡安全問題，為了防止敏感數據的泄漏，為電子文件的訪問提供依據，提出了一種基于數據流特征的電子文件訪問方法。通過研究網絡傳輸電子文件的數據報文格式、傳送形式以及通信行為特征，結合電子文件數據流的概念，提取了常用網絡協議傳輸電子文件的特征值，設計和構建了擴展性強的數據流特征數據庫，并給出了該特征數據庫檢測和防止電子文件網絡泄漏過程。實驗數據證明，該數據流特征數據庫運行高效，簡單使用并且具有較高的正確率。

網絡安全；電子文件；數據流；特征數據庫

隨著現在信息技術的不斷發展和進步，電子政務、電子商務在政治經濟、社會生活中扮演著重要角色，而電子文件作為信息的重要載體，已成為生活不可或缺的一部分，廣泛應用于生活的各個方面。電子文件因其技術特性與傳統文件有許多不同之處，最突出的是電子文件對信息安全要求很高，維護難度也大。電子文件具有一般載體文件的特性同時又具有網上傳輸的特點，因此電子文件的信息安全問題很多，而且破壞性大。諸如個人隱私泄露，公司重要文件泄密，甚至國家機密文件被竊取等。因此，如何從理論和實踐兩方面加強對電子文件安全的管理是近年來網絡安全的重點之一。在電子文件研究的諸多熱點及重點問題中，電子文件的信息安全一直是十分重要的課題。

文中所研究的內容為基于嵌入式大型關系數據庫的網絡安全關鍵技術研究的省級課題的數據分析部分，其主要工作：針對電子文件信息面臨的安全問題，研究當今的防電子文件網絡泄漏策略，確定電子文件網絡傳輸的諸項特征；分析各種常用協議傳輸不同電子文件的數據流，并提取上述特征值；根據這些特征值建立特征數據庫。

1　基于數據流分析的防電子文件網絡泄漏

如何防止電子文件通過網絡泄露出去是一個十分棘手的問題，如何在不影響系統可用性的情況下進行文件網絡泄露的防護，得到了廣泛關注與研究。

1.1防電子文件網絡泄漏技術研究現狀

電子文件從泄露方式上主要可以分為兩大類：電子文件主動泄露和電子文件被動泄露。文件被動泄露是指電子文件在網絡上被非法竊取，主動泄露是指電子文件被合法用戶有意或者無意通過網絡泄露出去。為了更加全面的防止電子文件的網絡泄漏，目前防文件網絡泄漏主要應用的技術和手段包括以下幾種：網絡隔離技術、文件標識技術、權限角色管理、文件的安全控制技術、反拷貝技術、蜜罐技術、硬盤加密與還原技術、文件泄漏取證技術、網絡數據過濾技術。而為了實現防電子文件網絡泄露，目前有3種常見的方法：安全審計類、安全監控類和文件加密類。

上述的防電子文件網絡泄露技術仍然需要解決一些問題：如何在進行電子文件訪問控制的同時保持對用戶較好的透明性；如何防范加密情況下的電子文件網絡泄露；如何快速的識別電子文件網絡傳輸等。針對這些問題出現了一種新的防電子文件網絡泄露機制：基于數據流分析的防電子文件網絡泄露。這種機制的原理是：一切網絡行為的實現最終都依賴于網絡數據流，從分析數據流及其特點入手，提出數據流屬性的概念，以數據流作為面向防文件網絡泄露（File Network-Leakage Prevention，FNLP）訪問控制的基本單元，以其屬性作為訪問控制的依據，以基于屬性的訪問控制模型（Attribute Based Access Control，ABACI）為理論框架。

1.2基于數據流分析的防電子文件泄露

基于數據流分析的防電子文件泄露的機制的核心思想是：將數據流看作是具有多個屬性的對象，并且作為分析與控制的基本對象，以數據流的屬性為依據制定訪問控制策略，將數據流中提取出的屬性特征與已制定的策略匹配，進行訪問控制決策。該機制有3個方面的優勢:數據流分析是對傳輸過程中的數據流進行處理，提供了透明的訪問控制；對流出內網的數據流進行分析與控制，為該機制能夠有效防止文件的網絡泄露奠定了基礎；該機制以基于屬性的訪問控制模型（ABACI）為基礎，提供了統一的數據流控制流程。針對不同的訪問控制策略，機制都采取了數據流屬性提取，與控制策略的匹配，對文件傳輸進行阻斷3個過程。

綜上所述，該機制與傳統技術相比具有很大優勢，因此得到廣泛研究和擴展。這套機制有很多識別和匹配算法及阻斷模塊，但是缺乏一個統一的數據流特征庫，文中則是針對基于數據流分析的防電子文件泄露機制出發，從常用協議網絡傳輸電子文件入手，通過分析比對大量數據流，提取特征值并構建特征數據庫。

2　電子文件網絡傳輸分析和特征提取

電子文件網絡傳輸的協議有很多，其中常用的有HTTP、SMTP、FTP、TFTP、TCP等。常規的文件類型有圖片、文檔、音樂、視頻、壓縮包，其后綴名為JPEG、PNG、TXT、PDF、DOC、PPT、XLS、MP3、MP4、RAR、ZIP等。在網絡上分別通過每種協議傳輸各種不同大小不同類型的文件時，借助協議分析軟件捕獲數據包，分析其數據流格式和屬性，對比同一種協議傳輸不同大小不同類型文件的特點，提取文件傳輸特征值。

2.1HTTP協議

HTTP協議 （HyperText Transfer Protocol，超文本傳輸協議）是用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協議，是互聯網上應用最為廣泛的一種網絡協議。通過對大量HTTP協議傳輸各種不同類型文件的數據流分析和對比，發現HTTP協議傳輸文件的特征如圖1所示。

圖1　HTTP協議傳輸文件數據流

HTTP協議傳輸文件數據流特征如下：1）傳輸文件的時候，在HTTP協議頭部會使用Media Type name:multipart，Media subtype name:form-data；2）數據流中使用boundary來標識分割不同的field，其中文件是一個特殊的field；3）一次傳輸多個文件的時候頭部使用Content-type:multipart/mixed，同時定義新的 boundary來進行分割；4）然后HTTP body填充的數據要以MIME格式上傳，每部分數據的開頭都是由“--”+boundary開始的，結尾以"--"+boundary+"--"結束。

2.2FTP協議

文件傳輸協議（FTP）作為網絡共享文件的傳輸協議，在網絡應用軟件中具有廣泛的應用。在傳輸文件時，FTP客戶端程序先與服務器建立連接，然后向服務器發送命令。服務器收到命令后給予響應，并執行命令。FTP協議傳輸文件數據流如圖2所示。

圖2　FTP傳輸文件數據流

FTP協議傳輸文件時會使用STOU和APPS或STOR命令，例如“STOR 2M.rar ”：傳輸文件2M.rar。

2.3TFTP協議

TFTP（Trivial File Transfer Protocol，簡單文件傳輸協議）是TCP/IP協議族中的一個用來在客戶機與服務器之間進行簡單文件傳輸的協議，提供不復雜、開銷不大的文件傳輸服務。它運行在 UDP（用戶數據報協議）上，提供不可靠的數據流傳輸服務，不提供存取授權與認證機制，使用超時重傳方式來保證數據的到達。TFTP數據流抓包如圖3所示。

圖3　TFTP傳輸文件數據流

分析比對可得，TFTP協議傳輸文件的時候會發給服務端的WRQ包，向TFTP服務器請求上傳文件test1.txt，請求中回包含操作碼write Request。

2.4SMTP協議

SMTP（Simple Mail Transfer Protocol，簡單郵件傳輸協議）定義了郵件客戶端與SMTP服務器之間，以及兩臺SMTP服務器之間發送郵件的通信規則 。SMTP協議屬于TCP/IP協議族，通信雙方采用一問一答的命令/響應形式進行對話，并且定義了對話的規則和所有命令/響應的語法格式。SMTP協議傳輸文件數據流如圖4所示。

圖4　SMTP協議傳輸文件數據流

分析發現SMTP協議傳輸文件和HTTP類似，數據流回包含使用Media Type name:multipart，Media subtype name: form-data，數據流中使用boundary來標識分割不同的field，其中文件是一個特殊的field。

2.5TCP協議

TCP（Transmission Control Protocol傳輸控制協議）是一種面向連接的、可靠的、基于字節流的傳輸層通信協議，由IETF的RFC 793定義。在簡化的計算機網絡OSI模型中，它完成第四層傳輸層所指定的功能。用戶數據報協議（UDP）是同一層內另一個重要的傳輸協議。在因特網協議族（Internet protocol suite）中，TCP層是位于IP層之上，應用層之下的中間層。TCP協議和UDP協議采用SOCKET進行文件傳輸，TCP協議傳輸文件數據流如圖5所示。

對數據流分析發現，TCP Socket傳送文件，會先建立連接，進行TCP 3次握手，然后再發送一個緊急指針（PSH）為1的TCP包，并且數據包的最后會包含文件名。

圖5　TCP socket傳輸文件數據流

3　電子文件網絡傳輸特征數據庫

經過對常規協議傳輸不同文件進行大量分析對比后，提取了不同常規協議傳輸文件的特征值，根據這些特征值設計并構建電子文件網絡傳輸的特征數據庫。特征數據庫為訪問控制決策的依據，當網絡傳輸電子文件時，抽取其特征值與特征數據庫匹配比較以作出決策。二者的匹配內容直接影響到能否對電子文件對網絡的訪問進行有效訪問控制；匹配的粒度決定了訪問控制的粒度；匹配的效率影響到訪問控制系統對用戶的透明性。因此，特征數據庫的設計和構建非常重要。

3.1特征數據庫設計

定義4.1協議是數據流的序列規范。數據流s是屬于協議P的協議流，ATT（P）={s|s∈S，s滿足P的序列規范要求}。可識別協議集為PT={pl，p2，… …pn}。

假設4.1一個數據流不能同時屬于兩個協議。即：?si，pi，pj?ATT（pi）∩ATT（pj）。一個數據流最多只能符合一個協議規范，在實際當中，這種情況可能并不是絕對的，但對于大多數情況都是如此，如果允許一個數據流符合多個協議規范，那么將會大大增加誤判率，并且也是不實際的，因此假設4.1是必要的。

定義4.2特征值，協議特征的集合，存在一到多個特征，F{fl，f2，… …fn}。

定義4.3數據流特征值，數據流具有的協議特征。數據流s是協議和特征值的二元組s{p，f}。

1）p為該數據流所屬協議

2）f為該數據流具有的特征集合

定義4.4電子文件安全策略，為協議和禁止傳輸文件的叉積C=Pn×Fn。P為協議，F為禁止傳輸文件，叉積為傳輸禁止文件的所有具有協議特征的數據流。

結合提取的特征值和以上4個定義，數據庫總體設計如圖6所示：

根據數據流分析的電子文件防泄露機制，設計了3個數據表和一個多對多關聯表，分別為協議表（Protocol）、特征值表（Feature）和禁止文件表（Prohibited_file）。出于擴展性和效率考慮，將特征值和協議分離，設計成兩個數據表，一方面可以保證數據表簡單規范，另一方面特征值單獨設計一張表可以輕易進行擴展和重用，而且通過對協議進行分類可以極大提高數據流識別，特征值匹配效率。為了進一步保障電子文件的信息安全，設計了禁止文件數據表，來規定電子文件的訪問控制，保障機密電子文件。其中協議表和特征值表為一對多的關系，協議表和禁止文件表為多對多的關系。數據表詳細設計如表1～表4。

圖6　特征數據庫總體設計

表1　協議數據表

表2　特征值數據表

表3　禁止文件數據表

表4　協議數據表和禁止文件的多對多關聯表

結合設計的數據庫和分析得到的電子文件傳輸特征值，可以構建下列數據表記錄，如圖7和8所示：

圖7　協議數據表

圖8　特征值數據表

3.2特征數據庫匹配過程

結合建立的特征數據庫和基于數據流分析的防電子文件泄漏機制，給出實際的防電子文件泄漏過程：

1）讀取網絡傳輸的數據流

2）提取數據流S的特征

①提取數據流的協議類別P

②讀取數據庫協議表和提取到的協議類別進行匹配

a.如果不匹配，則該數據流符合規則放行，直接執行步驟3）

b.如果匹配，進行下一步操作

③提取數據流的特征值F

④讀取數據庫中特征表該協議P類別的特征值和該數據流特征F進行匹配

a.如果不匹配，則該數據流符合規則放行，直接執行步驟3）

b.如果匹配，則進行下一步

⑤提取數據流的文件屬性，文件名和文件大小

⑥讀取數據庫禁止文件表和該文件屬性進行匹配

a.如果不匹配，則該數據流符合規則放行，直接執行步驟3）

b.如果匹配，則該數據流正在泄漏重要電子文件，阻斷該數據流

3）繼續讀取后面的數據流

該數據庫是在分析大量常規協議傳輸不同大小不同類型的電子文件實驗數據基礎上，提取出電子文件網絡傳輸的特征值，結合基于數據流分析的防電子文件網絡泄漏機制，建立一個統一規范簡單高效的特征數據庫。設計單獨的特征值數據表能夠建立更好的統一性，因為不同的協議的特征值數量不同，因此如果將協議和特征值設計到一個數據表里面則無法滿足這個要求，同時增加特征值復用性，而且符合數據庫范式。該特征數據庫補充和完善基于數據流分析的防電子文件泄漏機制。

4　結束語

文章針對電子文件安全問題，從基于數據流分析的電子文件訪問控制策略入手，通過分析大量的實驗數據，提取出電子文件網絡傳輸的特征值，設計和構建了統一化規范化形式化的特征數據庫，并描述了使用特征數據庫進行數據流匹配的過程。未來的工作：將特征數據庫嵌入到路由器上，結合基于數據流分析的電子文件訪問控制策略，選取和構造簡單高效的匹配算法，設計一個透明，高效的基于數據流的防電子文件網絡泄漏系統；基于該特征數據庫，測試分析更多的協議，提取特征值，不斷拓展和完善特征數據庫。

[1]張賓，楊家海，吳建平.Internet流量模型分析與評述軟件學報[J].2011，22（1）:115-131.

[2]謝柏林，余順爭.基于應用層協議分析的應用層實時主動防御系統[J].計算機學報，2011，34（3）:452-462.

[3]卓瑩，龔春葉，龔正虎.網絡傳輸態勢感知的研究與實現[J].通信學報，2010，31（9）:54-63.

[4]徐震，沈麗紅，汪月.一種可配置的可信引導系統[J].中國科學院研究生院學報，2008，25（5）:626-630.

[5]林臻彪.基于數據流分析防文件網絡泄露關鍵技術研究[D].鄭州:解放軍信息工程大學，2009.

[6]彭樂，薛一波，王春露.網絡視頻內容的識別和過濾綜述[J].計算機工程與設計，2008，29（10）:2587-2590.

[7]TANG Zhang-guo，ZHONG Ming-quan，LI Huan-zhou.File format vulnerability exploiting technique based on fuzzing[J]. Computer Engineering，2010，36（16）:151-153.

[8]ZHOU Zheng.Efficient Approach for Searching Data Package of Encrypted ProxyComputer Engineering[J].2007，33（21）:142-143.

[9]譚靜，張治斌.基于混合特征的P2 P流量識別方法[J].計算機仿真，2014，31（3）:316-319.

[10]沈昌祥，張煥國，土懷民等.可信計算研究與發展[J].中國科學 （信息科學），2010，40（2）:139-166.

[11]劉孜文，馮登國.基于可信計算的動態完整性度量架構[J].電子與信息學報，2010，32（4）:875-879.

[12]唐彰國，鐘明全，李煥洲，等.基于數據流的啟發式文件傳輸識別系統設計[J].計算機工程與設計，2011，32（9）:2929-2933，2949.

[13]李偉偉，張濤，林為民，等.基于文本內容的敏感數據識別方法研究與實現[J].計算機工程與設計，2013，34（4）:1202-1206.

[14]王麗娜，趙磊，郭遲，等.一種基于信任理論的路由安全接入與選路模型[J].武漢大學學報，2008，33（10）:999-1002.

[15]鄧鈞憶，劉衍晰，王健.車載自組織網的可信節點與可信路由分析及實現[J].武漢大學學報，2010，35（5）:607-609.

The analysis and extraction for the network transmission electronic file features

JIANG Zong-wu，DAI Cheng-geng，LI Yue-xin
（Computer and Information Engineering Collage of Hubei University，Wuhan 430062，China）

In order to prevent the leakage of sensitive data and provide the basis for the access of electronic documents，an electronic file access method based on the characteristics of data stream is proposed.By studying the data packet format，transmission mode and the behavior characteristics of the transmission of electronic documents on network，the paper extracts the characteristic values of the common network protocol transmission of electronic documents，designs and constructs the extended strong data stream feature database，and gives the process of feature database detection and prevention of electronic file network leakage.Experimental data prove that the data stream feature database is efficient，simple to use and has high accuracy.

network security；electronic document；data stream；feature database

TN919

A

1674－6236（2016）21-0038-04

2015-11-03稿件編號：201511025

湖北省科技廳科技支撐項目資助（2014BAA089）

江宗武（1990—），男，湖北武漢人，碩士研究生。研究方向：信息安全。