基于語義分析的保密安全敏感事件可視化研究與應用

◆盧騰 李靜 魏家輝 程杰 楊大力 王嬋

加解密技術

基于語義分析的保密安全敏感事件可視化研究與應用

◆盧騰1李靜1魏家輝1程杰1楊大力2王嬋1

（1.國家電網有限公司信息通信分公司 北京 100081；2.中孚信息股份有限公司 北京 100081）

隨著信息化發展已深入到企業的方方面面，新興移動辦公模式在提升工作效率的同時，也給企業保密安全工作帶來了新的風險，保密安全作為企業“大安全”的一部分，關系到公司生存發展。本文基于保密安全工作現狀，分析保密工作面臨的風險，研究語義分析相關的智能化判定技術，實現了保密安全敏感事件感知及可視化展現，建成一套支撐保密安全的監測平臺，能夠精準、高效的服務于企業保密管理工作，提升了企業保密技術支撐水平，有效遏制失泄密事件發生。

文本提取；語義分析；智能化；可視化；事件監測

1 引言

隨著世界經濟日益一體化，信息化技術已經在各行業廣泛應用發展，企業承擔的國家任務日益增多，新媒體的快速崛起，線上辦公以及移動辦公逐漸成為一種新的工作模式，在提高企業工作效率的同時，也給企業保密安全工作帶來了新的挑戰。帶有重要敏感信息的文件泄露的風險越來越高，加之境內外敵對勢力滲透竊密情形依然嚴峻，加強保密安全敏感事件監測能力已刻不容緩。

當前保密安全工作在觀念、制度、技術支撐等方面與面臨的形勢任務不相適應的問題日益突出，缺乏有效的措施監控敏感事件發生，控制失泄密風險擴大。因此，提升網絡保密安全敏感事件監測技術水平，建立行之有效的保密安全監控管理體系是當前迫切工作任務。

2 保密安全工作風險分析

（1）保密人員意識薄弱：意識薄弱側面反映出保密知識的缺乏，重要涉密人員保密觀念淡漠，認為保密與自己關系甚遠，工作中只涉及工作秘密，接觸不到高敏感的文件，殊不知失泄密行為的發生多為被動泄密。部分人員對保密形勢的復雜性估計不足，認為上網行為規范，不需要對計算機進行保密，僥幸心理一直存在，放松警惕性，就會讓不法分子有機可乘。

（2）移動辦公上網行為風險：移動設備丟失，據調查結果顯示，每年有7000萬部手機丟失，其中60%的手機包含敏感信息；手機拍照將敏感信息在互聯網中進行傳播；公私網絡混用，移動終端既有個人應用也有企業應用，企業及個人數據無明顯隔離區分，數據追蹤審查和上網行為審計支撐手段不足，企業機密泄露風險巨大。

（3）技術防范手段不足：辦公終端弱口令現象依然存在，涉密信息設備、涉密載體缺少全生命周期管控措施，導致涉密內容的閱知范圍界定不清晰，可能會帶來失泄密擴大風險。辦公終端違規存儲敏感文件是失泄密事件發生的源頭，缺少針對敏感文件監測的技術支撐手段。

3 基于語義分析的敏感事件可視化研究

3.1 技術路線及關鍵技術研究

本文研究文字、圖片等智能化識別技術，結合分詞技術、tf-idf加權技術，借助simHash算法、minHash算法，以用戶實際使用場景、保密業務操作流程為基礎，同時兼顧用戶使用體驗，切實提高用戶業務工作效率，將保密敏感事件場景化、流程化，形成以下技術路線，如圖1所示。

圖1 技術路線圖

整體技術路線采用三層結構：終端主機探針監控層，采用技術化手段掃描、監測敏感文件違規存儲、操作、傳遞的各種行為；后臺數據采集分析層，建立四類數據分析場景模型，對終端監控采集的各類數據進行匯總處理分析；前臺可視化呈現層，將后臺分析結果采用各種可視化圖表集中實時呈現給用戶，并根據用戶重要級別分級、分域進行數據展現，從而實現精準用戶行為定位、實時遠程在線自動化監測、大屏可視化展示，全面提升保密安全敏感事件感知能力。

3.2 敏感信息實時監控感知技術研究

敏感信息實時監控感知是對用戶終端執行各類文件操作進行行為監控捕獲，本文通過Hook監控，磁盤底層文件掃描等技術實現。

（1）Hook監控技術

通過Hook技術既可以實現對文件的保護，防止文件被篡改，同時可以對操作系統進程進行監控，即可對合規進程進行保護，又可以對違規進程強制關閉。本文對Hook技術進行封裝設計，實現模塊化的Hook平臺。

（2）磁盤底層文件掃描技術

磁盤底層文件掃描是通過分析文件系統原理、OLE文檔嵌套機制以及各種文檔文件二進制格式，對系統中各式各樣文件進行識別、分析、提取文件全部內容的一種技術。利用該技術可對嵌套隱藏的文件、受損文件、修改后綴名的文件等非正常文件進行提取，杜絕違規旁路操作。

該文通過研究近4000種嵌套組合，首次實現了嵌套文檔檢查技術，解決了違規文件嵌套隱藏在常規文件中的問題，該技術支持DOC、DOCX、PPT、PPTX、XLS、XLSX等多種類型辦公文檔多層次嵌套檢查。在此基礎上，優化了文件抽查算法，研究文本提取技術，實現了對文件頭損壞、文件后綴被修改等情況的文檔檢查，使得文件檢查全面無遺漏。

3.3 基于語義分析的智能化判定技術研究

針對文件判定工作量大、文件重復檢查上報等情況，本文研究綜合OCR識別、語義詞庫過濾、指紋比對等多種技術，實現了智能化文件判定，有效提升敏感事件監測、判定的準確性。

（1）OCR識別

檢查終端通過對圖片圖像文件識別并轉換成文本格式，從而實現對圖片圖像文件的檢查。首先對圖像進行預處理，對圖像的成像效果進行調整。接下來對文字版面進行分析；先將每一行進行行分割，這樣把每行的字符切割下來；然后再對每行文本進行列的分割，最后切割成一個一個的字符；將字符送到訓練好的OCR識別模型里進行最重要的字符識別，得到最終識別結果。

（2）語義詞庫過濾

終端執行檢查任務，對每次發起檢查任務策略做記錄，對檢查的合規性詞語自動過濾，諸如電腦“開機密碼”等此類短語。逐步積累補充完善，構建合規詞匯專家知識庫，實現自動過濾，降低系統誤報率。

（3）版式文件檢查

通過對政府機關下發的紅頭文件機要文件等相關文件的格式進行分析、總結歸納后對此類特定格式文件形成統一可量化的各類指標，終端檢查工具檢查過程中分析各個指標匹配程度進而對標準版式文件進行檢查，發現真正符合指標的版式文件，同時頁面單獨展示，提高文件操作人員對該類型文件的關注程度，輔助判定工作。

（4）指紋比對相似文件

文件指紋匹配技術是從樣本文檔中生成指紋特征庫，然后以同樣的方法從待檢測文檔或內容中提取指紋；將得到的指紋與指紋庫進行匹配，獲得其相似度。終端通過指紋算法計算出文件的指紋特征碼，服務端接收到文件指紋信息后，通過分詞技術、信息檢索與數據挖掘加權技術tf-idf，借助simHash、minHash算法，以敏感文件庫中的違規文件作為比對源，從比對源數據中找出符合一定相似度臨界值的特定文件，實現輔助文件判定功能。

（5）相同文件自動判定

終端檢查文件時通過MD5信息摘要算法計算文件MD5值，上報報告時作為文件唯一標識信息，通信服務器接收報告時將文件MD5值與敏感文件庫文件的MD5值進行比對，發現一致時自動以敏感文件庫中文件的判定結果判定當前文件，從而實現文件自動判定，簡化判定人員工作量。

（6）數字水印

管理端進行文件提取縮略圖和文件摘要等操作時，通過施加數字水印背景（包含訪問源IP、MAC、賬號等信息），實現對文件保護，一旦對文件進行拍照、復制粘貼等操作時均會帶上水印，該技術對泄密事件的發生起到一定預防和威懾作用，一旦泄漏可利用水印進行溯源。終端產生的檢查報告經SM4加密算法加密后嵌套閱讀器底層識別，終端僅能通過專用閱讀器瀏覽報告文件，僅允許查看而不可篡改報告內容。

終端文件存在形式不一，文件傳播的路徑多樣化，綜合運用以上智能化技術，實現了靜態文件、動態文件的全面監控，大大提升網絡保密安全敏感事件監測技術水平。

3.4 敏感事件可視化監控平臺

基于以上技術研究，設計并實現了一套網絡保密安全敏感事件監控平臺，實現了對辦公終端采用在線實時掃描，監測敏感文件違規存儲、操作、傳遞的各種行為。在展現模塊設計方面，根據用戶重要程度分級、分域、分時進行展示，建立多個數據采集分析場景模型，對終端監控采集的各類數據進行匯總處理，將分析結果通過豐富的組件實現多樣化個性展示。

在敏感事件可視化呈現上，由于監測全網終端操作行為數據量較大，考慮到綜合展現平臺的響應速度和展示效果，采用了前端較先進的主流框架Angular、WebGL三位立體技術、柵格化技術等，確保可視化效果的完美呈現。

4 總結

“沒有網絡安全就沒有國家安全”，網絡信息化是一把雙刃劍，在促使經濟高速發展的同時，也給保密安全帶來更多的風險與挑戰。本文基于企業級保密安全工作需求，對語義分析技術進行研究實現，并應用于保密敏感事件監測業務中，做到敏感事件智能化感知、可視化展現，實現企業級保密工作科學運行管理，有效提升企業保密安全的綜合防范能力。下一步，我們將繼續完善語義分析知識庫，提升機器學習算法精度，擴展敏感事件可視化展現形式，豐富監控場景，逐步推廣到移動端敏感事件風險感知監測，實現敏感信息的全面掌控，嚴防失泄密事件的發生。

[1]黃子穎. 淺談信息化條件下保密管理工作面臨的問題和對策[J]. 福建冶金，2020.

[2]林楠.省級電力公司系統提高失泄密風險防范能力“靶狀”保密工作機制構建[J]. 中國科技期刊數據庫經濟，2017.

[3]陳功文.人工智能中的語義分析技術及其應用[J].電子技術與軟件工程，2019（11）.

[4]李小翠. 圖像特征和語義分析方法的研究[D].電子科技大學，2017.