● 摘要
在过去的两三年时间里,社交媒体工具,如Facebook、Twitter、新浪微博、人人网等都以惊人的速度在全球范围内发展并流行。基于社交媒体强大的影响力,庞大到媒体帝国,平民至便利商店,每家公司都纷纷将自己推到网络上,用最快也最具成本效益的方式来接触他们的客户。然而社交媒体本身是把双刃剑,员工在企业等自治域内使用社交网络逐渐频繁,对个人和企业信息的不经意暴露形成潜在威胁,会造成个人和企业的保密信息泄漏,容易给企业的品牌形象上造成不利影响。
企业等自治域现在面临的问题是:对域内用户进行网络屏蔽会造成负面影响,并且内部规章制度无法有效阻止社交媒体的使用;其次,社交网站自身的信息保护机制不够完善,用户无法完全得到信息控制的权利,容易把需要保密的信息转发他人;最后,传统隐私保护算法和计算需要依赖社交网站服务提供商来提供加密算法,无法第三方植入保护机制,虽然可以通过在客户端处进行加密保护,但这容易失去社交网站所具有的信息浏览和分享的特性。
针对以上的问题,本文通过对社交网站网页结构和数据报文的分析,利用在企业等自治域内已存在的安全网关设计并实现了自治域内信息主动保护系统,对员工不经意间透露的信息进行细粒度的检查。本文的主要工作如下:
第一,社交网站的用户请求及应答流量解析。通过对社交网站数据报文的分析,利用社交网站提供的OpenAPI自动地对报文中的流量标签进行识别和分类,该方法能够区分不同报文中的流量标签的作用;并利用标签唯一性和持续性的计算分析,本文对这些流量标签进行了优先级的排序,提高社交网站流量中HTTP协议的解析效率;最后通过对社交网站报文特征的具体分析,本文针对社交网站的应用层请求报文分别制定了HTTP和HTTPS的加速解析的方法,对比于传统的单纯依靠自动机的解析方法,在效率上有了较大的提高。
第二,社交网站流量中用户行为与生成内容的规则匹配和信息保护。通过对社交网站用户行为和生成内容的分析,本文将用户规则分成行为规则和关键字规则,并且针对以上两种规则,用不同的规则匹配器进行匹配。对比文献中的其他方法,该方法在保持较高吞吐量的同时,提高了规则添加、删除和修改的效率。对于在匹配过程中遇到的压缩流量问题,本文针对应答网页的信息中采用的压缩技术和信息流形式,提供了实时解压和再压缩技术以及对用户透明的信息流删除技术。这两种技术能够高效地针对应答网页中压缩数据进行处理,并且可以在用户无法感知的情况下能够删除带有敏感信息的信息流。
最后针对以上两个研究内容,我们设计和实现了Shutter系统,能够对有效地对特定的社交网站进行流量保护。我们收集了真实的用户数据并将它作为实验输入,结果表明,Shutter系统具有较高的吞吐量和卓越的扩展性和准确性,而仅有少量的内存消耗。