一種基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息安全技術(shù)

1、 一種基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息安全技術(shù)朱磊,沈煥生(解放軍理工大學(xué)通信工程學(xué)院,江蘇南京210007摘要:針對監(jiān)控內(nèi)部網(wǎng)絡(luò)信息流動的合法性問題,采用了數(shù)字水印、信息內(nèi)容分類處理和過濾網(wǎng)關(guān)等技術(shù),通過對信息嵌入易碎性水印和魯棒性水印,在網(wǎng)關(guān)處設(shè)計的信息內(nèi)容識別和過濾,可以防止受控信息的非法篡改和偽造,并可對流出網(wǎng)關(guān)信息進(jìn)行追查,解決了內(nèi)部網(wǎng)絡(luò)的信息傳輸授權(quán)與控制。根據(jù)此方案,設(shè)計并實現(xiàn)了一個基于數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng)絡(luò)信息內(nèi)容過濾原型系統(tǒng)。通過實驗驗證,本系統(tǒng)可有效地防止內(nèi)部信息的非法發(fā)布與接收。關(guān)鍵詞:數(shù)字水印;基于內(nèi)容的識別;過濾網(wǎng)關(guān)中圖分類號:T P 393.08文獻(xiàn)標(biāo)識碼:A

2、 文章編號:1009-3443(201001-0019-07Network information secu rity technique based on digital watermark andinformation contentZH U L ei ,SH EN H uan -sheng(Inst itute o f Co mmunicatio ns Eng ineering ,P L A U niv .Sci .&T ech .,N anjing 210007,China Abstract :T o superv ise the v alidity of m ilitary

3、intramural information flow ,techniques such as digital w aterm ar k,content-based info rmation recognizing and info rmation filtering gatew ay were adopted.They embeded fragile and robust w atermark in info rmation.Info rmation recog nizing and filter ing in g atew ay w as designed ,w ith could eff

4、ectiv ely prevent the inform ation content fr om illeg al jug gling and fabricating ,and trace the o utgo ing infor matio n effectively.It w as guaranteed that info rmation transmitting w as under co ntrolling.According to the solution,a dig ital watermark and information co ntent based militar y in

5、tram ural netw ork filtering pr ototype system w as put forw ard and im plemented.The test proves that the pr ototype system yields go od per for mance in pr eventing illeg al issuing and receiv ing intramural inform ation.Key words :digital w aterm ark;content-based recog nition;filter ing gatew ay

6、 收稿日期:2008-04-28.基金項目:中國博士后科學(xué)基金資助項目(20070411026第一作者:朱磊(1973-,男,博士生,副教授;研究方向:通信網(wǎng)管理、網(wǎng)絡(luò)規(guī)劃與優(yōu)化、智能信息處理;E -m ail :zhulei -ice.盡管各單位的內(nèi)部辦公網(wǎng)絡(luò)都已實現(xiàn)了與Internet 的物理隔離,并均已制定了嚴(yán)格的網(wǎng)絡(luò)安全措施,但不斷出現(xiàn)的各類失竊密事件表明網(wǎng)絡(luò)安全形勢依然嚴(yán)峻,內(nèi)部網(wǎng)絡(luò)信息非法外泄依然是網(wǎng)絡(luò)信息安全面臨的主要問題之一。經(jīng)調(diào)研統(tǒng)計,內(nèi)部網(wǎng)絡(luò)主要存在著以下的安全漏洞:(1不同密級的信息內(nèi)容混雜在同一個網(wǎng)絡(luò)內(nèi):不同密級的信息往往都在同一個辦公網(wǎng)絡(luò)上進(jìn)行傳輸和交互,潛在的安全威

7、脅是涉密信息傳播范圍的擴(kuò)大化;(2內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)(如校園辦公網(wǎng)與軍事訓(xùn)練網(wǎng)互聯(lián):內(nèi)部網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互通互聯(lián)接口在方便網(wǎng)絡(luò)信息交互的同時,也使得內(nèi)部網(wǎng)絡(luò)的受控信息存在著流傳到公用網(wǎng)絡(luò)的危險,從而有可能造成間接失密的情況;(3普遍缺乏網(wǎng)絡(luò)信息外傳的安全審計和事后追查手段:內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的信息交互過程處于得不到有效控制和審計的狀態(tài),造成了潛在的失密隱患,且外傳后信息缺乏追蹤認(rèn)證手段;(4各種信息竊取工具在內(nèi)部網(wǎng)絡(luò)大量存在:由于各種存儲介質(zhì)的引入,在內(nèi)部網(wǎng)絡(luò)中存在大量的信息竊取工具,在用戶不知情的情況下將各類信息傳送至外部網(wǎng)絡(luò),在沒有安全審計和過濾的網(wǎng)絡(luò)環(huán)境下,對內(nèi)部網(wǎng)絡(luò)的安全造成致命的

8、威脅。針對網(wǎng)絡(luò)安全形勢越來越嚴(yán)重的現(xiàn)狀和以上存在的內(nèi)部網(wǎng)絡(luò)信息安全隱患,非常有必要采用一種可靠、高效、可信的安全審計和過濾技術(shù)手段對內(nèi)部網(wǎng)絡(luò)的出口網(wǎng)關(guān)進(jìn)行安全加固。本文通過對數(shù)字水印技術(shù)和基于內(nèi)容的信息識別、過濾技術(shù)進(jìn)行深入研究,設(shè)計了基于數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng)絡(luò)信息內(nèi)容過濾原型系統(tǒng)(以下簡稱原型系統(tǒng),將數(shù)字水印嵌入到網(wǎng)絡(luò)上需要傳輸?shù)男畔⒅?并在內(nèi)部網(wǎng)絡(luò)出口網(wǎng)關(guān)對外傳網(wǎng)絡(luò)信息的合法性、內(nèi)容實施檢測和過濾,從而起到了有效限制非法信息外泄和對外傳信息追蹤查證的目的。與國內(nèi)外常見的網(wǎng)絡(luò)信息內(nèi)容過濾技術(shù)相比,本文提出了將數(shù)字水印技術(shù)、信息內(nèi)容識別技術(shù)綜合應(yīng)用到過濾網(wǎng)關(guān)的方法,具有一定的創(chuàng)新性。1原

9、型系統(tǒng)設(shè)計1.1設(shè)計思想基于數(shù)字水印和信息內(nèi)容的內(nèi)容網(wǎng)絡(luò)信息內(nèi)容過濾原型系統(tǒng)的設(shè)計思想是:內(nèi)部網(wǎng)絡(luò)的信息向外部網(wǎng)絡(luò)傳輸前需要嵌入有效的數(shù)字水印,在內(nèi)部網(wǎng)絡(luò)出口處設(shè)置內(nèi)容過濾網(wǎng)關(guān),對外傳信息進(jìn)行內(nèi)容識別和數(shù)字水印檢測。如果外傳信息中沒有合法的數(shù)字水印,該信息將被過濾不向外網(wǎng)轉(zhuǎn)發(fā),反之則對傳輸信息進(jìn)行內(nèi)容識別并區(qū)分信息類別,只有確認(rèn)外傳信息是可以外傳的信息類別時,該信息才被轉(zhuǎn)發(fā)至外網(wǎng)。在外部攻擊非法竊取內(nèi)部網(wǎng)絡(luò)信息的情況下,由于被竊取信息中沒有合法的數(shù)字水印,該信息將被內(nèi)容過濾網(wǎng)關(guān)過濾,有效防止了機(jī)密信息被竊。在內(nèi)部網(wǎng)絡(luò)用戶主動向外網(wǎng)發(fā)送信息的情況下,內(nèi)容過濾網(wǎng)關(guān)會根據(jù)信息內(nèi)容實施過濾,防止內(nèi)部網(wǎng)

10、絡(luò)用戶未經(jīng)授權(quán)向外網(wǎng)發(fā)送機(jī)密信息。同時,外傳信息中嵌入的身份水印包含了信息發(fā)布的相關(guān)細(xì)節(jié)內(nèi)容,可作為事后查證的線索。1.2原型系統(tǒng)體系結(jié)構(gòu)原型系統(tǒng)如圖1所示,包括數(shù)字水印嵌入和內(nèi)容過濾網(wǎng)關(guān)兩部分。其中,內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)通過內(nèi)容過濾網(wǎng)關(guān)互聯(lián)。內(nèi)容過濾網(wǎng)關(guān)接收內(nèi)部網(wǎng)絡(luò)的外傳信息后對所接收的信息進(jìn)行合法性驗證,通過合法性驗證的信息由內(nèi)容過濾網(wǎng)關(guān)轉(zhuǎn)發(fā)至外部網(wǎng)絡(luò),未通過合法性驗證的信息則被過濾不向外部網(wǎng)絡(luò)轉(zhuǎn)發(fā)。1.3原型系統(tǒng)工作流程原型系統(tǒng)的信息處理流程如下:(1內(nèi)部網(wǎng)絡(luò)用戶主動向外部網(wǎng)絡(luò)傳輸時在相應(yīng)的信息中嵌入有效的數(shù)字水印;(2內(nèi)容過濾網(wǎng)關(guān)接收外傳信息并對所接收的信息進(jìn)行合法性驗證;(3內(nèi)容過濾網(wǎng)

11、關(guān)根據(jù)合法性驗證結(jié)果完成過濾操作。在原型系統(tǒng)中,信息的過濾和放行是通過內(nèi)容過濾網(wǎng)關(guān)實現(xiàn)的,信息處理流程如下:(1如果外傳信息中沒有合法的數(shù)字水印(沒有水印、水印被破壞、篡改或無法提取水印,該信息將被過濾不向外網(wǎng)轉(zhuǎn)發(fā),提交由人工進(jìn)行后處理,進(jìn)行信息內(nèi)容的甄別 ;圖1基于數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng)絡(luò)信息內(nèi)容過濾原型系統(tǒng)Fig .1Dig it al w ater mar k and infor mation content based intr amur al netw or k filter ing pro to type system20解放軍理工大學(xué)學(xué)報(自然科學(xué)版第11卷(2如果外傳信息中

12、含有合法的數(shù)字水印(正常提取水印信息,并通過水印內(nèi)容的合法性驗證,該信息將被進(jìn)行內(nèi)容識別;(3對信息內(nèi)容進(jìn)行粗分類,如果分類結(jié)果是屬于正常外流信息,則正常通過;反之則進(jìn)行基于內(nèi)容的特征匹配;(4對于基于內(nèi)容的特征匹配結(jié)果,如可以確定屬于正常外流信息,則正常通過,反之則提交由人工進(jìn)行后處理,進(jìn)行信息內(nèi)容的甄別。2原型系統(tǒng)關(guān)鍵技術(shù)基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息內(nèi)容過濾原型系統(tǒng)主要涉及到數(shù)字水印技術(shù)、過濾網(wǎng)關(guān)技術(shù)和基于內(nèi)容的文本信息識別技術(shù)等。圖2基于數(shù)字水印的內(nèi)部信息處理結(jié)構(gòu)F ig.2D igital w ater mark based info rmat ion pr ocessingstr

13、 uct ur e2.1數(shù)字水印技術(shù)原型系統(tǒng)中,基于數(shù)字水印的內(nèi)部信息處理結(jié)構(gòu)如圖2所示。該處理結(jié)構(gòu)主要由數(shù)字指紋水印申請模塊、數(shù)字水印管理中心DWM C (dig ital w aterm ar king m anag em ent center、數(shù)字指紋水印生成模塊、信息密級水印嵌入模塊、數(shù)字水印數(shù)據(jù)庫、客戶端指紋水印嵌入模塊、網(wǎng)絡(luò)關(guān)鍵節(jié)點處水印檢測提取模塊等部分組成。網(wǎng)絡(luò)關(guān)鍵節(jié)點是指位于源地址和目的地址中間的關(guān)鍵網(wǎng)絡(luò)設(shè)備,可以是防火墻系統(tǒng)、安全服務(wù)器、主干網(wǎng)的監(jiān)控設(shè)備或路由器等。這里信息密級水印能夠提供信息的機(jī)密等級信息,而數(shù)字指紋水印能夠提供信息傳輸方的身份ID 與權(quán)限信息,它們屬于主

14、動式水印技術(shù)1,2。數(shù)字水印的處理工作流程可以分為以下幾步:(1由數(shù)字水印管理中心(DWM C制定信息傳輸?shù)暮戏l件,設(shè)計主動數(shù)字水印的標(biāo)準(zhǔn)與格式35。(2在內(nèi)部網(wǎng)絡(luò)中傳輸?shù)男畔?首先要提交到數(shù)字水印管理中心,然后由DWM C 鑒定其機(jī)密等級并嵌入信息密級水印。(3客戶端向數(shù)字水印管理中心申請數(shù)字指紋水印,同時提供用戶指紋信息(如身份ID 與手寫簽名圖案、聯(lián)絡(luò)信息等。(4數(shù)字水印管理中心首先根據(jù)用戶提供的信息確定該用戶的身份與權(quán)限等級,然后由數(shù)字指紋水印生成模塊生成該用戶的數(shù)字指紋水印并在水印數(shù)據(jù)庫中備份,最后數(shù)字水印管理中心將生成的數(shù)字指紋水印發(fā)回到客戶端由該用戶接收保存。(5在客戶端,由用

15、戶將申請到的數(shù)字指紋水印嵌入到信息中以進(jìn)行傳輸。沒有嵌入標(biāo)準(zhǔn)數(shù)字指紋水印的信息將無法在網(wǎng)絡(luò)中傳輸。(6當(dāng)信息通過網(wǎng)絡(luò)傳輸時,網(wǎng)絡(luò)關(guān)鍵節(jié)點監(jiān)控系統(tǒng)決定是否傳輸。具體而言,網(wǎng)絡(luò)關(guān)鍵節(jié)點檢測提取主動數(shù)字水印6,數(shù)字水印管理中心根據(jù)水印信息進(jìn)行判斷、決策,確定其傳輸合法性,網(wǎng)絡(luò)關(guān)鍵節(jié)點根據(jù)合法性決定繼續(xù)傳輸或終止傳輸。本文設(shè)計的原型系統(tǒng),采取的具體水印技術(shù)方案為:將易碎性水印嵌入流經(jīng)網(wǎng)關(guān)的信息中,以實現(xiàn)信息流出前的內(nèi)容審核;將包含審核人信息等有意義的魯棒性水印信息嵌入,以利于信息流出網(wǎng)關(guān)后的追查;采用明文關(guān)鍵詞過濾和水印快速盲檢測技術(shù),有效地防止內(nèi)部信息的非法流出。2.2過濾網(wǎng)關(guān)技術(shù)過濾網(wǎng)關(guān)位于內(nèi)網(wǎng)的

16、唯一出口上,負(fù)責(zé)監(jiān)視所有的流入、流出信息,對違反安全要求的信息,采取不予通過、警告、存檔等措施。過濾網(wǎng)關(guān)對內(nèi)網(wǎng)的信息安全負(fù)有主要責(zé)任,因此主要針對流出的信息進(jìn)行管理。過濾網(wǎng)關(guān)的安全策略執(zhí)行嚴(yán)格的Permission list 策略,即除了允許的端口(目前只考慮80端口,預(yù)留配置接口開放外,其他端口一律關(guān)閉。過濾網(wǎng)關(guān)的工作流程如圖3所示。原型系統(tǒng)的安全措施可以分為3類:信任域、限制訪問和內(nèi)容過濾711。信任域:內(nèi)網(wǎng)的安全責(zé)任人將某個網(wǎng)址或鏈接的安全責(zé)任委托給某個部門安全管理員?？梢哉J(rèn)為信任域的內(nèi)容都是可信的,可直接通過過濾網(wǎng)關(guān)。這種措施適用于不經(jīng)常更新的網(wǎng)址。部門安全管理員向總安全管理員提交信任

17、域?qū)徍苏埱蠡蛴煽偘踩芾韱T根據(jù)流量和服務(wù)特點直接請求設(shè)置信任域,在水印管理中心審核通過后設(shè)置信任域,網(wǎng)址內(nèi)容更新后必須重新提請審核。信任域的配置由某級別的21第1期朱磊,等:一種基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息安全技術(shù) 圖3過濾網(wǎng)關(guān)的工作流程F ig.3Wo rk flow of filt ering gat eway安全員遠(yuǎn)程登錄配置。限制訪問:對于某些不希望在外網(wǎng)公開的網(wǎng)址或鏈接,可在過濾網(wǎng)關(guān)設(shè)置限制訪問列表。這些鏈接的內(nèi)容在網(wǎng)關(guān)處都會被攔截。內(nèi)容過濾:對于經(jīng)常更新的URL,需要采取內(nèi)容過濾的措施。網(wǎng)頁內(nèi)容可以分為文本和資源兩類。文本不僅包括網(wǎng)頁內(nèi)的明文,還包括文本框、按鈕等控件內(nèi)的文本。

18、資源包括圖片和文檔的鏈接。如果某個內(nèi)容因為安全原因不能通過,可以用“本內(nèi)容因安全原因不允許訪問”之類的內(nèi)容替換。因此對HT TP 連接內(nèi)嵌套的資源,應(yīng)該將獲該資源的連接與父連接關(guān)聯(lián)起來。每個連接的數(shù)據(jù)結(jié)構(gòu)需要有一個指針指向其子連接的鏈表,而子連接需有一個指 針指向父連接。圖4過濾網(wǎng)關(guān)的守護(hù)進(jìn)程的操作流程F ig.4Pr ocessing of w atching pro cedure in filter ing gatew ay過濾網(wǎng)關(guān)的守護(hù)進(jìn)程操作流程如圖4所示。水印管理中心管理員可以通過配置程序遠(yuǎn)程登錄過濾網(wǎng)關(guān)并進(jìn)行配置?？膳渲玫膬?nèi)容包括信任域和限制訪問域的設(shè)置、敏感詞匯(明文過濾使用設(shè)置

19、、指紋加卸載、端口管理、安全策略設(shè)置等。守護(hù)進(jìn)程運(yùn)行于過濾網(wǎng)關(guān),接收配置程序的配置請求并動態(tài)加載。其中,過濾網(wǎng)關(guān)對每個流入網(wǎng)關(guān)的分組執(zhí)行圖5所示的操作。圖5過濾網(wǎng)關(guān)對流入分組的操作流程Fig .5Pr ocessing inco ming packets in filtering gat eway過濾網(wǎng)關(guān)對每個流出分組執(zhí)行如圖6所示的操作。圖6過濾網(wǎng)關(guān)對流出分組的操作流程Fig.6Pr ocessing o utgo ing packets in filter ing g atew ay2.3基于內(nèi)容的文本信息識別技術(shù)對文本信息的內(nèi)容識別,首先需要確定文本信息的目標(biāo)表示方式與特征匹配方式,在對

20、文本信息預(yù)處理基礎(chǔ)上,對文本信息進(jìn)行特征提取以及根據(jù)詞條權(quán)值評價函數(shù)評估文本內(nèi)容12,從而實現(xiàn)對文本的內(nèi)容分類。典型的文本信息的內(nèi)容識別流程框圖,如圖7所示。其中,涉及到的主要技術(shù)包括:22解放軍理工大學(xué)學(xué)報(自然科學(xué)版第11卷圖7典型的文本信息的內(nèi)容識別流程框圖F ig.7T y pical pro cessing flow of co ntent-basedreco gnition for tex t info rmat ion(1文本信息的預(yù)處理在對文本進(jìn)行特征提取前,需要先進(jìn)行文本信息的預(yù)處理,主要包括英文文檔的Stemm ing處理和中文文檔的詞條切分13。從英文單詞的多種形式中提取

21、出其基本詞干的過程被稱作Stemm ing。英文單詞在具體使用時,根據(jù)相同的詞干進(jìn)行詞頻統(tǒng)計,實現(xiàn)Stem ming的一般方法是建立單詞前綴、后綴表和特殊形式表,用匹配方式實現(xiàn)。中文同英文不同,句子中各詞條間沒有固有的分隔符(空格,進(jìn)行中文文檔的詞頻統(tǒng)計前,首先需要對中文文檔進(jìn)行分詞處理。常用的分詞算法主要有:最大匹配(包括前向、后向以及前后相結(jié)合、最短路徑方法(切分出來的詞數(shù)最少、全切分方法(列出所有可能的分詞結(jié)果以及最大概率方法(訓(xùn)練一個一元的語言模型,通過計算得到一個概率最大的分詞結(jié)果。分詞系統(tǒng)能否達(dá)到實用性要求主要取決于2個因素:分詞精度與分析速度,這兩者之間相互制約,難以平衡。本文綜

22、合考慮速度和性能的兼顧,提出了如下的中文詞法分析策略:首先查詢專用詞典(用戶詞典:專用詞典收錄了人名、地名、專業(yè)詞匯、專業(yè)術(shù)語和專業(yè)概念等信息,可以首先將屬于專用詞典的內(nèi)容切分出來。將剩下的部分采取雙向分詞策略:如果前向最大匹配和后向最大匹配的切分結(jié)果相同,則說明沒有歧義,直接輸出分詞結(jié)果;如果前向和后向最大匹配的切分結(jié)果不同,則以最短路徑的那個結(jié)果為準(zhǔn);如果2種切分方式的路徑長度也一樣,則選擇切分單詞少的那一組切分結(jié)果;如果切分的單詞數(shù)也相同,則直接 選擇正向最大匹配的分詞結(jié)果。(2特征提取目標(biāo)表示中詞條T及其權(quán)值的選取稱為特征提取9,特征提取是檢索目標(biāo)共性與規(guī)則的提取過程,其采用策略的優(yōu)劣

23、將直接影響到檢索工具的效果。詞、詞組和短語是組成文檔的基本元素,并且在不同內(nèi)容的文檔中,各詞條出現(xiàn)的頻率有一定規(guī)律性,因此可根據(jù)詞條的頻率特性進(jìn)行目標(biāo)特征提取。傳統(tǒng)的特征提取采用的是詞頻統(tǒng)計法,如TF/ IDF(term fr equency/inverse docum ent fr equency算法。T F/IDF是經(jīng)典的文本相似度計算公式,是一個特定條件下,關(guān)鍵詞概率分布的交叉熵,描述了單個術(shù)語(term與特定文檔(do cument的相關(guān)性。其中T F(term fr equency稱為“詞頻”,表示了一個詞或術(shù)語與某個文檔的相關(guān)性。IDF(inverse docum ent freq

24、uency稱為“逆文本頻率指數(shù)”,表示了一個詞在文檔中的權(quán)重大小。傳統(tǒng)的T F/IDF算法的描述如下:W i=F i(t,dlgND(t+0.01kF2t(t,dlg2ND(t+0.01,其中:W i是文本中術(shù)語i的權(quán)重;F(t,d表示術(shù)語t 在文本d中出現(xiàn)的頻率;N表示總的文檔數(shù);D(t表示包含t的文檔數(shù)。通常情況下,權(quán)重W i較高的詞即可取為關(guān)鍵詞。顯然,該算法所確定的關(guān)鍵詞并未考慮到該詞在文本中的分布情況,故還需對所確定的關(guān)鍵詞作全文評價。將所處理文檔中所有詞的權(quán)重W i從高到低排列,將權(quán)重較高的詞作為全文可能的關(guān)鍵詞,然后對可能的關(guān)鍵詞作全文評價,從中抽取出全文關(guān)鍵詞。全文關(guān)鍵詞的權(quán)值

25、是詞頻與該詞跨越段數(shù)的函數(shù)。由于詞語跨越段落數(shù)與文獻(xiàn)總段落數(shù)有關(guān),可修正T F/IDF算法如下:定義W k=0.5+0.5(F k/(F avg+0.01×I k,其中:W k為全文關(guān)鍵詞權(quán)重;F k為詞在文檔中的出現(xiàn)次數(shù);F avg為該詞在文檔中的平均出現(xiàn)次數(shù),F k= lg(N/D t(N是文檔總段落量,D t是包含了該詞的段落數(shù);I k=lg(D s/D st(D s是該類別的文檔集總數(shù)量,D st是包含了該詞的該類別文檔的總數(shù)。實驗結(jié)果表明,按此定義所得到的全文關(guān)鍵詞是比較可靠的,更能反映文獻(xiàn)的主題和主要內(nèi)容。全文關(guān)鍵詞也是信息內(nèi)容分類的重要依據(jù)和主要特征。(3特征匹配目標(biāo)表

26、示是指以一定的特征項(如詞條或描述來代表目標(biāo)信息,在信息檢索時用這些特征項來評價未知文檔與用戶目標(biāo)的相關(guān)程度,目標(biāo)表示的構(gòu)23第1期朱磊,等:一種基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息安全技術(shù) 24 解 放 軍 理 工 大 學(xué) 學(xué) 報 ( 自 然 科 學(xué) 版 第 11 卷 造過程就是信息檢索模型的構(gòu)造過程。目標(biāo)表示模 型有多種, 常用的有布爾邏輯型、 向量空間型、 概率 型等。近年來應(yīng)用較多且效果較好的目標(biāo)表示法是 向量空間模型 VSM ( vect or space model 法。 在VSM 中, 將文本文檔看作是由一組詞條( T1, T2 , , Tn 構(gòu)成, 對于每一詞條 T i , 都根據(jù)

27、其在文檔 中的重要程度賦以一定的權(quán)值 W i 。將其看成一個 n 維坐標(biāo)系, W 1, W 2, , W n 為對應(yīng)的坐標(biāo)值, 因此每 一篇文檔都可映射為由一組詞條矢量張成的向量空 間中的一個點。對于所有用戶目標(biāo)或未知文檔都可 用詞條特征矢量( T 1, W1 , T2 , W2 , , Tn, Wn 表示, 從 而將文檔信息的匹配問題轉(zhuǎn)化為向量空間中的向量 匹配問題。 將文本表示成向量后, 對文本信息以 Bay es 分 類器 進(jìn)行粗分 類, 將文 本信息 歸屬為 不同的 信息 類別。 Bay es 分類器是常用于文本分類領(lǐng)域的概率分 類器, 它利用類別的先驗概率和詞的分布, 對于類別 的條

28、件概率來計算未知文本屬于某一類別的概率。 在假設(shè)文本中詞 的分布相互獨(dú)立的模型中, Bayes 分類器的數(shù)學(xué)形式為: P ( C i P ( D j C i P( Ci D j = D i 圖 8原型系統(tǒng)結(jié)構(gòu)示意圖 F ig . 8 Structur e of the pro tot ype system 表 1原型系統(tǒng)測試結(jié)果 Tab. 1Test result of the prototype system 非法文檔檢出過濾率/ % 合法文檔錯檢率/ % 平均文檔檢測過濾時間( ms/ 篇 HT M L 過濾 93. 6 1. 2 300 Wo rd 過濾 90. 1 3. 4 2060

29、測 試網(wǎng)絡(luò) 環(huán)境為 100 M 局 域網(wǎng), 網(wǎng) 關(guān)配置 為 CP U: 酷 睿 雙 核 2. 2 GHz, M emor y: 2G, 測 試 HT M L : 206 篇, 測試文檔: 189 篇。 測試結(jié)果表明, 該原型系統(tǒng)能有效地限制內(nèi)部 網(wǎng)絡(luò)的重要信息向外部網(wǎng)絡(luò)傳輸, 提高內(nèi)部網(wǎng)絡(luò)的 信息安全等級。 但原型系統(tǒng)在文檔分詞準(zhǔn)確度、 處理 效率等方面還有待進(jìn)一步提高。 在本文的最后, 將基于數(shù)字水印和信息內(nèi)容的 內(nèi)部網(wǎng)絡(luò)信息內(nèi)容過濾解決方案與傳統(tǒng)的基于數(shù)字 簽名技術(shù)的網(wǎng)絡(luò)過濾方案進(jìn)行比較: ( 1 數(shù)字簽名的作用與本方案中脆弱性水印的 作用類似, 由于數(shù)字簽名是有充分安全保證的技術(shù), 且在

30、網(wǎng)關(guān)處的簽名認(rèn)證速度較快, 因此在本方案中 可以采用數(shù)字簽名技術(shù)取代脆弱性水印。 ( 2 魯棒性水印攜帶了信息發(fā)布人、 審核人等豐 富信息, 可用于事后的追查, 此功能是數(shù)字簽名所不 具有的, 是本方案的特色。 P ( Dj = P( C i P ( W k Ci F( W k k= 1 P ( Dj , 其中: C i 為某一類別; D j 為未知類別文本; W k 為 D j 中出現(xiàn)的單詞; F ( W k 為 W k 在 D j 中出現(xiàn)的次數(shù); P ( C i 和 P ( W k C i 可以從訓(xùn)練集中估計。對于不同 的類別, 上式的分母不變, 故只要選擇使得分子最大 的類別, 即認(rèn)為是

31、待分類文本的類別。 在實際應(yīng)用的 時候, Bay es 分類器一般都能取得相對較好的結(jié)果。 3基于數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng) 絡(luò)信息內(nèi)容過濾技術(shù)的應(yīng)用 根據(jù)上述研究成果, 本文設(shè)計實現(xiàn)了一個基于 數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng)絡(luò)信息內(nèi)容過濾原型 系統(tǒng), 其結(jié)構(gòu)如圖 8 所示。 利用該原型系統(tǒng), 進(jìn)行了實驗測試。 在原型系統(tǒng) 中, 針對網(wǎng)頁和 Wor d 文件, 采取了外網(wǎng)用戶通過過 濾網(wǎng)關(guān)訪問內(nèi)部文檔和內(nèi)部用戶主動通過過濾網(wǎng)關(guān) 向 外發(fā) 送 文檔 兩 種 測試 模 式。測 試 結(jié) 果如 表 1 所示。 4結(jié)語 本文提出的基于數(shù)字水印和信息內(nèi)容的內(nèi)部網(wǎng) 絡(luò)信息內(nèi)容過濾解決方案, 通過采用主動水印技術(shù)

32、 在媒體中嵌入密級水印, 利用數(shù)字指紋水印身份認(rèn) 證機(jī)制和易碎水印內(nèi)容認(rèn)證機(jī)制, 不僅可以有效的 防止機(jī)密信息的非法傳輸與泄漏, 而且可以實現(xiàn)傳 輸方的身份認(rèn)證與傳輸內(nèi)容的完整性認(rèn)證, 還可以 為追蹤機(jī)密信息的泄漏提供證據(jù)與線索, 可有效阻 止主動或被動外泄內(nèi)部網(wǎng)絡(luò)信息的行為, 提高內(nèi)部 網(wǎng)絡(luò)的安全等級。 第 1 期 朱磊, 等: 一種基于數(shù)字水印和信息內(nèi)容的網(wǎng)絡(luò)信息安全技術(shù) 25 8 M A L L ET T D, EL DIN G J, N A SCIM EN T O M A . 參考文獻(xiàn): 1 CHEN T ao , W AN G Jing-chun , Z HO U Y ong - .

33、 lei Co mbined digital sig nature and digital w ater mar k scheme for imag e authent icatio n C . Beijing: Infot ech and Info- , 2001. net 2 W U Jin , XIA Bei-bei , L IU Jian , et al . A secur e image t ransmissio n scheme ba sed on dig ital w aterma rk and cr yptog r aphy C . HongK o ng : P ro ceed

34、ing s o f 2004 I nter natio nal Sy mpo sium on Intellig ent M ult imedia, V ideo a nd Speech Pr o cessing , 2004. 3 SU N Jia nde, L IU Ju. A no vel dig ital w ater mar k scheme based on imag e independent feature C . Changsha: China P ro ceeding s of the 2003 IEEE I nter natio nal Confer ence on Ro

35、bo tics, Sy stems and Sig nal P ro cessing , 2003. 4 李春, 黃繼 武. 一種抗 JPEG 壓 縮的 半脆弱 圖像 水 印算法 J . 軟件學(xué)報, 2006, 17( 2 : 315324. L I Chun, HU A N G Ji- u. A semi- gile image water w fra mar king r esisting to JPEG J . Journal of Soft war e, 2006, 17( 2 : 315324. ( in Chinese . 5 趙偉, 賈 振紅. 基于 新型 A rnold 反 變

36、換 的彩 色數(shù) 字 圖像水印 J . 計算機(jī)工程, 2007, 33( 13 : 171-172. Z HA O Wei, JIA Zhen- ng . Co lo r ho dig it al image w ater mar k based on new a nt i- r no ld tr ansfo r matio n A J . Co mput er Eng ineering, 2007, 33( 13 : 171-172( in Chinese . 6 孫豐, 陳 向東, 孫偉. 基于 位平面 隨機(jī)性 測試的 隱 寫 分析 算法 J . 解放 軍理 工大 學(xué)學(xué) 報: 自然 科 學(xué)版

37、, 2006, 7( 6 : 548552. SU N Feng , CHEN Xiang dong , SU N W ei. Bit plane r ando mness tests ba sed steg analysis alg or ithm J , Jour nal o f PL A U niv ersity o f Science and T echnolog y ( N atur al Science Sditio n , 2006, 7 ( 6 : 548-552. ( in Chinese . 7 D OSHI B . A pr efix space par titionin

38、g appr oach to scalable peer g atew ay discover y in secur e v ir tual pr ivat e netw or ks C . A tlantic City : M ilitar y Co mmunicat - ns Co nfer ence, 2005. io Intellig ent Infor mationcontent based sentence ex tr actio n fo r tex t summ arizat ion C . L as v egas: P ro ceeding s of the Inter nat ional Co nfer ence on Infor matio n T echnolog y : Coding and Computing ( IT CC 2004 , 2004. 9 胡燕, 吳虎子 , 鐘 珞, 中文文 本分類 中基于 詞性的 特 征提 取方 法研究 J . 武漢理 工大 學(xué)學(xué)報, 2007, 29 ( 4 : 132-135. HU Y an , W U Hu - , ZHO N G G e, Research of feat ur e zi ex traction metho ds