一文讀懂數據內容識別核心技術
小王所在企業因為辦公文件通過網絡出口被泄露到了互聯網上被有關部門通報了……
去年單位剛剛在網絡出口部署了具有攔截敏感文件外發功能的設備,為什么還會出現這種情況呢?
那我們就要從數據防泄漏通用技術說起了。
數據防泄露通用技術
為了預防數據丟失,無論數據的存儲、復制或傳輸位置在哪里,都必須準確地檢測所有類型的機密數據。如果沒有準確的檢測,數據安全系統就會生成許多誤報 (將并未違規的消息或文件標識為違規) 以及漏報 (未將違反策略的消息或文件標識為違規)。誤報會大量耗費進行進一步調查和解決明顯事故所需的時間和資源。漏報會掩蓋安全漏洞,導致數據丟失、潛在財務損失、法律風險并有損組織聲譽。小王單位的這起事件,很明顯就是因為漏報引起的。
因此需要準確的檢測技術來做保障。為了確保最高的準確性,一般數據防泄漏DLP系統采用了三種基礎檢測技術和三種高級檢測技術。
1. 基礎檢測技術
基礎檢測技術中通常有三種方式,正則表達式檢測(標示符)、關鍵字和關鍵字對檢測、文檔屬性檢測。基礎檢測方法采用常規的檢測技術進行內容搜索和匹配,比較常見的都是正則表達式和關鍵字,此兩種方法可以對明確的敏感信息內容進行檢測;文檔屬性檢測主要是針對文檔的類型、文檔的大小、文檔的名稱進行檢測,其中文檔的類型的檢測是基于文件格式進行檢測,不是簡單的基于后綴名檢測,對于修改后綴名的場景,文件類型檢測可以準確的檢測出被檢測文件的類型,綠盟科技的數據防泄漏DLP系統目前支持100多種標準的文件類型,并且可以通過自定義特征,去識別特殊的文件類型格式的文檔。
2. 高級檢測技術
高級檢測技術中也有三種方式,精確數據比對 (EDM)、指紋文檔比對 (IDM)、向量分類比對 (SVM)。EDM 用于保護通常為結構化格式的數據,例如客戶或員工數據庫記錄。IDM和SVM 用于保護非結構化的數據,例如 Microsoft Word 或 PowerPoint 文檔。對于 EDM、IDM、SVM 而言,敏感數據會先由企業標識出來,然后再由DLP判別其特征,以進行精準的持續檢測。判別特征的流程包括DLP訪問和檢索文本及數據、予以正規化,并使用不可逆的打亂方式進行保護。
DLP 檢測是以實際的機密內容為基礎,而非根據文件本身。因此,DLP不只能檢測敏感數據的檢索項或衍生項,而且能夠標識文件格式與特征信息格式不同的敏感數據。例如,如果已經判別出機密 Microsoft Word 文檔的特征,DLP就能夠在相同的內容以 PDF 附件的方式通過電子郵件進行提交時,將其準確檢測出來。
(1) 精確數據比對
精確數據比對 (EDM) 可保護客戶與員工的數據,以及其他通常存儲在數據庫中的結構化數據。例如,客戶可能會撰寫有關使用 EDM 檢測的策略,以在消息中查找“名字”、“身份證號”、“銀行帳號”或“電話號碼”其中任意三項同時出現的情況,并將其映射至客戶數據庫中的記錄。
EDM 允許根據特定數據列中的任何數據欄組合進行檢測;也就是在特定記錄中檢測 M 個字段中的 N 個字段。它能夠在“值組”或指定的數據類型集上觸發;例如,可接受名字與身份證號這兩個字段的組合,但不接受名字與手機號這兩個字段的組合。
由于會針對每個數據存儲格存儲一個單獨的打亂號碼,因此只有來自單個列的映射數據才能觸發正在查找不同數據組合的檢測策略。例如,有個 EDM 策略請求“名字 + 身份證號 +手機號”的組合,則“張三”+“13333333333”“110001198107011533” 可觸發此策略,但是即使 “李四”也位于同一數據庫中,“李四”+“13333333333”“110001198107011533”也不能觸發此策略。EDM 也支持相近邏輯以減少可能的誤報情形。對于檢測期間所處理的自由格式文本而言,單個特征列中所有數據各自的字數均必須在可配置的范圍內,方可視為匹配項。例如,依默認,在檢測到的電子郵件正文的文本中,“張三”+“13333333333”“110001198107011533”各自的字數必須在選定的范圍內,才會出現匹配項。對于含有表式數據 (例如 Excel 電子表格) 的文本而言,單個特征列中所有數據都必須位于表式文本的同一行上,方可視為匹配項,以減少整體誤報情形。
(2) 指紋文檔比對
“指紋文檔比對”(IDM) 可確保準確檢測以文檔形式存儲的非結構化數據,例如 Microsoft Word 與 PowerPoint 文件、PDF 文檔、財務、并購文檔,以及其他敏感或專有信息。IDM 會創建文檔指紋特征,以檢測原始文檔的已檢索部分、草稿或不同版本的受保護文檔。
IDM 首先要進行敏感文件的學習和訓練,拿到敏感內容的文檔時, IDM采用語義分析的技術進行分詞,然后進行語義分析,提出來需要學習和訓練的敏感信息文檔的指紋模型,然后利用同樣的方法對被測的文檔或內容進行指紋抓取,將得到的指紋與訓練的指紋進行比對,根據預設的相似度去確認被檢測文檔是否為敏感信息文檔。這種方法可讓 IDM 具備極高的準確率與較大的擴展性。
(3) 向量機分類比對
支持向量機(Support Vector Machines)是由Vapnik等人于1995年提出來的。之后隨著統計理論的發展,支持向量機也逐漸受到了各領域研究者的關注,在很短的時間就得到很廣泛的應用。支持向量機是建立在統計學習理論的VC維理論和結構風險最小化原理基礎上的,利用有限的樣本所提供的信息對模型的復雜性和學習能力兩者進行了尋求最佳的折中,以獲得最好的泛化能力。SVM的基本思想是把訓練數據非線性的映射到一個更高維的特征空間(Hilbert空間)中,在這個高維的特征空間中尋找到一個超平面使得正例和反例兩者間的隔離邊緣被最大化。SVM的出現有效的解決了傳統的神經網絡結果選擇問題、局部極小值、過擬合等問題。并且在小樣本、非線性、數據高維等機器學習問題中表現出很多令人注目的性質,被廣泛地應用在模式識別,數據挖掘等領域。
SVM比對算法適合那些具有微妙的特征或很難描述的數據,如財務報告和源代碼等。使用過程中,先將文檔按照內容細分化分類,每一類文檔集合有屬于本類的意義,經過SVM比對,確定被檢測的文檔屬于哪一類,并取得此類文檔的權限和策略。同時,針對SVM的特點,可以進行終端或服務器上的文檔按照分類含義進行分類數據發現。
IDM和SVM的比對區別是,IDM將待檢測文件的指紋和訓練模型中的每一個文件進行指紋比對;而SVM是將待檢測文件向量化,并歸屬到某一類訓練集所建立的向量空間。
可見,做好數據防泄密,只有基礎的識別、檢測技術是不夠的。隨著大數據、云計算以及移動互聯網的高度融合,對數據安全技術提出了更高的要求,泄密事件將呈現高發趨勢。選擇一套功能強、信得過的數據防泄露系統,保護企業的核心數據,降低泄密風險顯得尤為重要。
【本文是51CTO專欄作者“綠盟科技博客”的原創稿件,轉載請通過51CTO聯系原作者獲取授權】
