大數(shù)據(jù)環(huán)境下隱私保護(hù)與風(fēng)險管控技術(shù)課件

1、大數(shù)據(jù)環(huán)境下隱私保護(hù)與風(fēng)險管控技術(shù)目錄1背景與挑戰(zhàn)2現(xiàn)狀與熱點3成果簡介Contents目錄1背景與挑戰(zhàn)2現(xiàn)狀與熱點3成果簡介Contents大數(shù)據(jù)環(huán)境下隱私保護(hù)與風(fēng)險管控技術(shù)數(shù)據(jù)規(guī)模、數(shù)據(jù)復(fù)雜性快速膨脹，如何在大數(shù)據(jù)時代保障信息安全是現(xiàn)實而迫切的需求各類網(wǎng)絡(luò)信息系統(tǒng)產(chǎn)生的數(shù)據(jù)規(guī)模越來越大，大量高價值信息隱藏在其中提高數(shù)據(jù)共享能力，并以此為基礎(chǔ)提升數(shù)據(jù)的發(fā)掘利用水平是不可逆轉(zhuǎn)的發(fā)展趨勢數(shù)據(jù)高度共享、數(shù)據(jù)有效發(fā)掘利用，與數(shù)據(jù)有效控制、用戶隱私保護(hù)等安全需求之間存在明顯沖突大數(shù)據(jù)訪問模式與安全挑戰(zhàn)在大數(shù)據(jù)離線發(fā)布模式下，數(shù)據(jù)愈來愈開放，如何實現(xiàn)個人隱私保護(hù)在大數(shù)據(jù)在線查詢模式下，數(shù)據(jù)愈來愈集中，如

2、何實現(xiàn)大數(shù)據(jù)使用及服務(wù)的有效管控造成用戶隱私信息泛濫的原因很多，涉及用戶、黑客與犯罪分子、服務(wù)提供商等多方面因素用戶過度披露個人隱私信息，不利于個人實現(xiàn)網(wǎng)絡(luò)空間中的身份匿名 黑客與犯罪分子知識挖掘與分析能力不斷提升，因此，對用戶行為與屬性進(jìn)行預(yù)測的準(zhǔn)確率也在不斷提高服務(wù)提供商未能安全、有效管理用戶隱私信息，導(dǎo)致用戶信息被盜取、倒賣或流失上述問題的根治離不開配套法規(guī)、政策的支持與嚴(yán)格的管理手段，但更需要有可信賴的技術(shù)手段支持當(dāng)前，隱私保護(hù)主要面臨三個方面的技術(shù)挑戰(zhàn)挑戰(zhàn)1用戶身份匿名保護(hù)難挑戰(zhàn)2敏感信息保護(hù)難挑戰(zhàn)3隱私信息安全管控難挑戰(zhàn)1：用戶身份匿名保護(hù)難問題：用戶身份重識別攻擊以及行為模式挖掘

3、技術(shù)的發(fā)展，導(dǎo)致用戶身份匿名保護(hù)更加困難大數(shù)據(jù)場景下，用戶數(shù)據(jù)來源與形式多樣化，攻擊者可通過鏈接多個數(shù)據(jù)源發(fā)起身份重識別攻擊，識別用戶真實身份由于用戶日?；顒泳哂休^強(qiáng)規(guī)律性，攻擊者可通過用戶軌跡、行為分析等逆向分析出匿名用戶真實身份隨著概率圖模型及深度學(xué)習(xí)模型的廣泛應(yīng)用，攻擊者不僅可以挖掘用戶外在特征模式，還可以發(fā)現(xiàn)其更穩(wěn)定的潛在模式，從而提升匿名用戶的識別準(zhǔn)確率挑戰(zhàn)2：敏感信息保護(hù)難問題：基于數(shù)據(jù)挖掘與深度學(xué)習(xí)等人工智能方法，用戶敏感信息易被推測可以通過共同好友、弱連接等發(fā)現(xiàn)用戶之間隱藏的社交聯(lián)系，發(fā)現(xiàn)用戶社交關(guān)系隱私可以通過用以往軌跡分析預(yù)測目的地，用戶隱藏的敏感位置；也可以根據(jù)其社交關(guān)系

4、推測其可能出現(xiàn)的位置，透露用戶位置隱私可以通過社交網(wǎng)絡(luò)中的群組發(fā)現(xiàn)識別出用戶的宗教、疾病等敏感屬性，發(fā)現(xiàn)用戶屬性隱私挑戰(zhàn)3：隱私信息安全管控難問題：用戶隱私信息被采集后，數(shù)據(jù)控制權(quán)轉(zhuǎn)移到網(wǎng)絡(luò)服務(wù)商，而其缺乏足夠技術(shù)手段保證隱私數(shù)據(jù)的安全存儲、受控使用與傳播，導(dǎo)致用戶隱私數(shù)據(jù)被非授權(quán)使用、傳播或濫用密文云存儲可解決機(jī)密性問題，但帶來性能損失與可用性降低問題；其實際部署應(yīng)用離不開高效的密文檢索與密文計算技術(shù)目前廠商普遍缺乏實現(xiàn)基于目的的訪問控制能力，盲目開放數(shù)據(jù)共享服務(wù)容易導(dǎo)致用戶隱私數(shù)據(jù)被濫用；需要基于風(fēng)險的訪問控制技術(shù)，實現(xiàn)自底向上的策略挖掘與實施目錄1背景與挑戰(zhàn)2現(xiàn)狀與熱點3成果簡介Cont

5、ents大數(shù)據(jù)環(huán)境下隱私保護(hù)與風(fēng)險管控技術(shù)1 身份匿名保護(hù)與去匿名化技術(shù)2 敏感信息隱私挖掘與防護(hù)技術(shù)3 密文檢索與密文計算技術(shù)4 基于風(fēng)險分析的訪問控制技術(shù)四個方面1身份匿名保護(hù)與去匿名化技術(shù)大數(shù)據(jù)場景下，用戶數(shù)據(jù)來源與形式多樣化。攻擊者可通過綜合多個數(shù)據(jù)源，鏈接相同或近似用戶，提升識別匿名用戶的可能性基于不同數(shù)據(jù)源的位置共現(xiàn)評估函數(shù)定義用戶軌跡相似度，可高度準(zhǔn)確地查找合并多個基于位置服務(wù)(LBS)APP中的匿名用戶基于推特文本信息與用戶軌跡信息，實現(xiàn)相似用戶分組與組內(nèi)軌跡建模，發(fā)現(xiàn)高相似用戶基于社交網(wǎng)絡(luò)中的節(jié)點屬性和圖結(jié)構(gòu)定義用戶相似度，可發(fā)現(xiàn)多個社交網(wǎng)絡(luò)中的相似用戶由于用戶日常活動具有較

6、強(qiáng)規(guī)律性，攻擊者對用戶移動軌跡建模分析，識別匿名用戶，或?qū)崿F(xiàn)用戶位置隱私的推斷與預(yù)測基于馬爾科夫鏈（MC）模型的分析方法：位置停留點之間的轉(zhuǎn)移時序特征基于隱馬爾可夫（HMM）模型的分析方法：影響用戶位置的隱含態(tài)轉(zhuǎn)移特征基于混合高斯模型（GMM）的分析方法：圍繞若干中心位置的概率分布特征基于LDA主題模型的分析方法：學(xué)習(xí)每個用戶的位置主題向量不僅能挖掘用戶外在特征模式，還能發(fā)現(xiàn)其更穩(wěn)定的潛在行為模式此外，經(jīng)過深度神經(jīng)網(wǎng)絡(luò)（DNN）訓(xùn)練，軌跡的深度學(xué)習(xí)表示可實現(xiàn)匿名軌跡重識別，進(jìn)一步實現(xiàn)用戶位置隱私的推斷與預(yù)測基于循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN）、長短期記憶（LSTM:long-short term mem

7、ory）等模型可以學(xué)習(xí)出位置停留點之間的轉(zhuǎn)移時序特征，能夠從社交網(wǎng)絡(luò)的匿名軌跡中提取出用戶標(biāo)識基于變分自編碼器模型的軌跡深度學(xué)習(xí)，可以學(xué)習(xí)出影響用戶位置分布的隱含態(tài)隨著攻擊者能力迅速增長，K-匿名技術(shù)體系局限性日益凸顯，基于差分隱私的方法受到更多關(guān)注，差分隱私保護(hù)提供一種不限定攻擊者能力，且能嚴(yán)格證明其安全性的隱私保護(hù)框架在這種模式中，用戶數(shù)據(jù)被采集后集中進(jìn)行隨機(jī)化處理，即使攻擊者已掌握除了攻擊目標(biāo)之外的其他所有記錄信息，仍無法獲得該攻擊目標(biāo)的確切信息初期僅應(yīng)用于（數(shù)據(jù)庫）線性查詢與數(shù)據(jù)發(fā)布場景，后逐漸擴(kuò)展服務(wù)于TOP-K頻繁模式挖掘、決策樹、聚類、支持向量機(jī)等機(jī)器學(xué)習(xí)算法，以及用戶位置與軌跡

8、數(shù)據(jù)發(fā)布等多樣化應(yīng)用場景集中式差分隱私保護(hù)本地差分隱私保護(hù)用戶數(shù)據(jù)在本地隨機(jī)化處理后再被采集，擁有任意背景知識的攻擊者無法根據(jù)擾動后的單個用戶數(shù)據(jù)，推測用戶的原始數(shù)據(jù)，典型的協(xié)議包括Rappor協(xié)議、SH協(xié)議、Piecewise協(xié)議等，分別用于頻率統(tǒng)計與均值計算2014年，谷歌在Chrome中采用本地差分隱私算法（Rappor協(xié)議）收集用戶行為數(shù)據(jù)，包括用戶任務(wù)管理器中的進(jìn)程和瀏覽過的網(wǎng)站等本地差分隱私保護(hù)（續(xù)）2016年，蘋果宣布開始在iOS數(shù)據(jù)收集行為中對行為統(tǒng)計數(shù)據(jù)應(yīng)用差分隱私算法，統(tǒng)計數(shù)據(jù)包括QuickType鍵盤常用詞和emoji表情頻繁程度等。盡管統(tǒng)計結(jié)果引入誤差，但當(dāng)數(shù)據(jù)量足夠大

9、時，仍然能在完成數(shù)據(jù)分析的同時保障用戶隱私安全2017年，蘋果基于差分隱私技術(shù)收集手機(jī)上的健康數(shù)據(jù)（如運動，步數(shù)等）現(xiàn)狀小結(jié)去匿名化不斷涌現(xiàn)新技術(shù)新方法，基于K-匿名技術(shù)體系的隱私保護(hù)方法局限性日益凸顯，基于差分隱私的保護(hù)方法受到更多關(guān)注本地差分隱私保護(hù)方法可實現(xiàn)數(shù)據(jù)的安全采集，但算法可用性仍有很大提升空間身份匿名保護(hù)與去匿名化技術(shù)研究熱點基于多源異構(gòu)數(shù)據(jù)集的匿名保護(hù)技術(shù)面向位置軌跡分析的匿名保護(hù)技術(shù)本地差分隱私保護(hù)技術(shù)身份匿名保護(hù)與去匿名化技術(shù)2敏感信息隱私挖掘與防護(hù)技術(shù)社交網(wǎng)絡(luò)服務(wù)商致力于分析用戶的偏好、向用戶推薦朋友，保持社交群體的活躍和黏性。而攻擊者可采用類似技術(shù)，根據(jù)攻擊目標(biāo)現(xiàn)有的社

10、交關(guān)系和其他屬性特征，對用戶的敏感社交關(guān)系、敏感屬性、位置與軌跡進(jìn)行分析與預(yù)測社交關(guān)系隱私屬性隱私位置隱私在社交網(wǎng)絡(luò)隱私保護(hù)中，單純刪除敏感邊、敏感屬性、敏感位置并不能防止其被探知。采用與解決數(shù)據(jù)稀疏問題類似的技術(shù)，攻擊者可以由其他用戶公開發(fā)布信息推測出缺失的敏感信息即使敏感關(guān)系被保護(hù)，攻擊者也可通過共同朋友數(shù)目、弱連接數(shù)目、社交子群劃分來判斷用戶之間的社交距離，推測兩者間存在社交關(guān)聯(lián)的概率針對Facebook的用戶數(shù)據(jù)分析顯示，具有相同屬性的用戶更容易成為朋友，用戶部分屬性與其社交結(jié)構(gòu)具有較高的相關(guān)性。攻擊者可以通過用戶的可見屬性、社交關(guān)系及其所屬群組等信息來推測用戶未標(biāo)注的敏感屬性差分隱私

11、提供可量化評估的隱私保護(hù)，并通過組合機(jī)制與高級組合機(jī)制可實現(xiàn)多個步驟的靈活組合。因此，由多項差分隱私保護(hù)算法構(gòu)成的復(fù)雜機(jī)制，仍能提供差分隱私保護(hù)，但其隱私預(yù)算消耗將快速上升基于位置直方圖、軌跡直方圖的差分隱私保護(hù)機(jī)制基于前綴樹、層次樹等樹重構(gòu)的軌跡差分隱私保護(hù)機(jī)制基于位置聚類的軌跡差分隱私保護(hù)機(jī)制以基于差分隱私的用戶位置與軌跡發(fā)布方法為例，不同機(jī)制中，總隱私預(yù)算隨著軌跡長度線性增長越來越多的數(shù)據(jù)作為訓(xùn)練集用于機(jī)器學(xué)習(xí)或深度學(xué)習(xí)模型中的參數(shù)訓(xùn)練，對外提供機(jī)器學(xué)習(xí)即服務(wù)(MLaaS服務(wù))，該過程容易引發(fā)用戶隱私泄露成員推理攻擊：給定數(shù)據(jù)記錄和模型的黑盒訪問權(quán)限，推測出某條用戶記錄是否在模型的訓(xùn)練數(shù)

12、據(jù)集之中屬性推理攻擊：獲取訓(xùn)練數(shù)據(jù)集本身的統(tǒng)計屬性信息面臨的主要攻擊是模型逆向攻擊，這種攻擊從黑盒學(xué)習(xí)模型中逆向提取出訓(xùn)練數(shù)據(jù)集信息，包括成員推理攻擊和屬性推理攻擊面向機(jī)器學(xué)習(xí)的隱私保護(hù)方法支持差分隱私的機(jī)器學(xué)習(xí)算法：典型代表為支持差分隱私的隨機(jī)梯度下降（Differential Private SVD）算法。該算法滿足（,）-DP，且實驗結(jié)果表明，深度神經(jīng)網(wǎng)絡(luò)的隱私保護(hù)可以在軟件復(fù)雜度、訓(xùn)練效率和模型質(zhì)量的適度成本下實現(xiàn)同態(tài)加密機(jī)器學(xué)習(xí)機(jī)制：典型代表為CryptoDL。在深度學(xué)習(xí)中，同態(tài)加密算法用于保護(hù)預(yù)測輸入和結(jié)果，以及訓(xùn)練神經(jīng)網(wǎng)絡(luò)模型參數(shù)，實現(xiàn)了卷積神經(jīng)網(wǎng)絡(luò)上手寫字體分類現(xiàn)狀小結(jié)差分隱私

13、提供可量化評估的隱私保護(hù)，但在復(fù)雜系統(tǒng)中隱私預(yù)算消耗過快用戶數(shù)據(jù)應(yīng)用于機(jī)器學(xué)習(xí)參數(shù)訓(xùn)練時，易遭受模型逆向攻擊，需要面向機(jī)器學(xué)習(xí)的隱私保護(hù)方法敏感信息隱私挖掘與防護(hù)技術(shù)研究熱點基于差分隱私模型的敏感信息隱私保護(hù)方法人工智能方法在敏感信息隱私挖掘與保護(hù)中的應(yīng)用敏感信息隱私挖掘與防護(hù)技術(shù)3密文檢索與密文計算技術(shù)密文檢索密文檢索可實現(xiàn)用戶在無需解密數(shù)據(jù)而直接對密文數(shù)據(jù)實施檢索訪問的能力，包括關(guān)鍵字檢索與區(qū)間檢索單關(guān)鍵字海量數(shù)據(jù)（109-1010量級）密文檢索方案將倒排鏈表分割并進(jìn)行內(nèi)存磁盤優(yōu)化，實現(xiàn)了秒級的查詢響應(yīng)多關(guān)鍵字密文檢索在108量級的密文數(shù)據(jù)庫上對多關(guān)鍵字查詢的響應(yīng)速度達(dá)到了秒級關(guān)鍵字檢索區(qū)

14、間檢索單維區(qū)間檢索基于等值檢索的密文單維區(qū)間檢索方案：利用TDAG（Tree-like Directed Acyclic Graph）樹將數(shù)值轉(zhuǎn)換為關(guān)鍵字，從而以引入冗余數(shù)據(jù)為代價，提高方案的安全性基于自適應(yīng)索引和矩陣加密方案：支持?jǐn)?shù)據(jù)動態(tài)更新的密文單維區(qū)間檢索，可根據(jù)檢索條件動態(tài)地索引數(shù)據(jù)，但同時數(shù)據(jù)的隱私泄露也會逐漸嚴(yán)重多維區(qū)間檢索高安全性的密文多維區(qū)間檢索方案：基于R樹構(gòu)造索引，并將R樹節(jié)點轉(zhuǎn)換為向量形式，通過謂詞加密安全地判斷搜索區(qū)間與節(jié)點是否相交，且不泄露額外信息，但是方案的檢索效率較低對多維區(qū)間檢索擴(kuò)展方案：檢索條件可為任意幾何圖形，基于R樹構(gòu)造索引，基于半空間的思想構(gòu)造陷門，并使

15、用矩陣加密保護(hù)索引和陷門安全的布爾空間關(guān)鍵詞檢索方案：基于EBFR (Encrypted Bloom Filter R-tree)樹構(gòu)造索引，使用矩陣加密保證數(shù)據(jù)安全性密文計算同態(tài)加密使用同態(tài)加密可以直接在加密的索引上進(jìn)行修改操作，可實現(xiàn)快速安全的加密數(shù)據(jù)更新；基于同態(tài)加密還可實現(xiàn)服務(wù)器端搜索排序函數(shù)加密屬性基加密（ABE）實現(xiàn)密文訪問控制；基于隱藏向量加密（HVE）可以計算數(shù)據(jù)權(quán)值等；基于同態(tài)加密和函數(shù)加密技術(shù)，能夠在106量級的數(shù)據(jù)庫上進(jìn)行密文數(shù)據(jù)的均值和方差等計算，時間代價為10秒級，并能夠遠(yuǎn)程驗證結(jié)果的正確性，已經(jīng)初步具有實用價值現(xiàn)狀小結(jié)密文檢索技術(shù)效率較高但安全性論證不夠充分密文計算

16、技術(shù)理論上取得一定突破但實用性不強(qiáng)密文檢索與密文計算技術(shù)研究熱點高效安全的密文檢索方法實用安全的密文計算方法密文檢索與密文計算技術(shù)4基于風(fēng)險分析的訪問控制技術(shù)經(jīng)典的訪問控制模型屬于“自頂向下”的訪問控制模式，而大數(shù)據(jù)場景下訪問需求無法明確預(yù)知訪問控制策略依賴于環(huán)境上下文大量實際數(shù)據(jù)訪問控制策略制訂需要專業(yè)領(lǐng)域知識，無法為其預(yù)先生成容易導(dǎo)致授權(quán)不足或過度授權(quán)需要“自底向上”的訪問控制模式，通過學(xué)習(xí)生成最佳訪問控制策略，實現(xiàn)自適應(yīng)訪問控制基于風(fēng)險的訪問控制對訪問行為進(jìn)行實時風(fēng)險評估，并通過訪問過程中動態(tài)地權(quán)衡風(fēng)險與收益實現(xiàn)訪問控制，具有較強(qiáng)的自適應(yīng)性基于風(fēng)險的訪問控制基于風(fēng)險閾值的訪問控制：根據(jù)資

17、源內(nèi)容和訪問用戶的屬性對資源進(jìn)行風(fēng)險估計，設(shè)定風(fēng)險閾值，將用戶訪問行為帶來的風(fēng)險總和限定在閾值內(nèi)，實現(xiàn)基于風(fēng)險的訪問權(quán)限自動調(diào)整隱私感知的風(fēng)險自適應(yīng)訪問控制：采用概率主題模型對用戶的正常與異常訪問行為進(jìn)行建模，更準(zhǔn)確地度量異常訪問所帶來的風(fēng)險角色可被看作是大量用戶共享的一些權(quán)限組合。在用戶和權(quán)限規(guī)模較大時，可以采用“自底向上”方法來發(fā)現(xiàn)角色，進(jìn)行角色挖掘當(dāng)系統(tǒng)的用戶基數(shù)越大、權(quán)限越多時，權(quán)限分配的潛在模式就越明顯，采用“自底向上”方法進(jìn)行角色挖掘的效果就越好傳統(tǒng)角色挖掘是針對已有的“用戶-權(quán)限”授權(quán)信息進(jìn)行權(quán)限的聚類，將聚類結(jié)果作為角色，其合理性取決于已有授權(quán)信息的正確性近年來，許多研究工作采

18、用了更豐富的數(shù)據(jù)集進(jìn)行角色挖掘，主要包括：生成式角色挖掘非負(fù)矩陣分解方法生成式角色挖掘從權(quán)限使用情況的歷史數(shù)據(jù)來獲得用戶的權(quán)限使用模式，進(jìn)而產(chǎn)生角色，不局限于已有權(quán)限分配的準(zhǔn)確性基于權(quán)限使用日志，將角色挖掘問題映射為文本分析問題。采用主題模型LDA（Latent Dirichlet Allocation）和ATM（Author-Topic Model）進(jìn)行生成式角色挖掘，生成角色能夠更加準(zhǔn)確地反映權(quán)限的真實使用情況非負(fù)矩陣分解方法基于物理域、網(wǎng)絡(luò)域和信息域的多域信息構(gòu)建實體-關(guān)系網(wǎng)絡(luò)，并將角色挖掘問題映射為網(wǎng)絡(luò)中的社群發(fā)現(xiàn)問題。采用非負(fù)矩陣分解方法進(jìn)行角色挖掘，能夠發(fā)現(xiàn)權(quán)限之間存在的依賴關(guān)系，避免已有授權(quán)信息中存在的錯誤現(xiàn)狀小結(jié)經(jīng)典的訪問控制模型已不適應(yīng)大數(shù)據(jù)環(huán)境下的訪問控制需求，需要“自底向上”的訪問控制模型，相關(guān)研究比較初步基于風(fēng)險分析的訪問控制技術(shù)研究熱點基于風(fēng)險分析的訪問控制機(jī)制基于機(jī)器學(xué)習(xí)的策略