《內容安全》PPT課件.ppt

1、第9章 內容安全,主要內容,9.1 概述 9.1.1 內容保護 9.1.2 內容監(jiān)管 9.2 版權保護 9.2.1 DRM概述 9.2.2 數字水印 9.3 內容監(jiān)管 9.3.1 網絡信息內容監(jiān)管 9.3.2 垃圾郵件處理,9.1 概述,信息內容安全有兩方面內容: 一方面是指針對合法的信息內容加以安全保護，如對合法的音像制品及軟件的版權保護； 另一方面是指針對非法的信息內容實施監(jiān)管，如對網絡色情信息的過濾等。,9.1.1 內容保護,互聯網的發(fā)展與普及使電子出版物的傳播和交易變得便捷,侵權盜版活動也呈日益猖獗之勢。 為了打擊盜版犯罪 一方面要通過立法來加強對知識產權的保護。 另一方面要有先進的技

2、術手段來保障法律的實施。 針對內容保護技術大多數都是基于密碼學和隱寫術發(fā)展起來的: 如數據鎖定、隱寫標記、數字水印和數字版權管理DRM等技術，其中最具有發(fā)展前景和實用價值的是數字水印和數字版權管理。,信息隱藏的歷史,信息隱藏的歷史,信息隱藏的基本原理,假設A打算秘密傳遞一些信息給B，A需要從一個隨機消息源中隨機選取一個無關緊要的消息C，當這個消息公開傳遞時，不會引起人們的懷疑，稱這個消息C為載體對象； 把秘密信息M隱藏到載體對象C中，此時，載體對象就變成了偽裝對象C1； 偽裝對象C1與載體對象C無論從感官上，還是從計算機的分析上，都不可能把他們區(qū)分開來，而且對偽裝對象C1的正常處理，不應破壞隱

3、藏的秘密信息； 秘密信息的嵌入過程可能需要密鑰，也可能不需要密鑰，為了區(qū)別于加密的密鑰，信息隱藏的密鑰稱為偽裝密鑰k； 信息隱藏涉及兩個算法：信息嵌入算法和信息提取算法。,信息隱藏原理圖,信息隱藏和信息加密的區(qū)別,信息隱藏和信息加密都是為了保護秘密信息的存儲和傳輸，使之免遭敵手的破壞和攻擊，但兩者之間有著顯著的區(qū)別。 信息加密是利用對稱密鑰密碼或公開密鑰密碼把明文變換成密文，信息加密所保護的是信息的內容。 信息隱藏是將秘密信息嵌入到表面上看起來無害的宿主信息中，攻擊者無法直觀地判斷他所監(jiān)視的信息中是否含有秘密信息，換句話說，含有隱匿信息的宿主信息不會引起別人的注意和懷疑，同時隱匿信息又能夠為版

4、權者提供一定的版權保護。,版權保護技術,數據鎖定：出版商把多個軟件或電子出版物集成到一張光盤上出售，盤上所有的內容均被分別進行加密鎖定。 不同的用戶買到的均是相同的光盤 每個用戶只需付款買他所需內容的相應密鑰，即可利用該密鑰對所需內容解除鎖定 其余不需要的內容仍處于鎖定狀態(tài)，用戶是無法使用的。 隱匿標記：利用文字或圖像的格式（如間距、顏色等）特征隱藏特定信息。 在文本文件中，字間、行間的空白間隔精心改變后可以隱藏某種編碼的標記信息以識別版權所有者，而文件中的文字內容不需作任何改動。,數字水?。菏氰偳对跀祿校⑶也挥绊懞戏ㄊ褂玫木哂锌设b別性的數據。 具有不可察覺性、抗擦除性、穩(wěn)健性和可解碼性。

5、 為了保護版權，可以在數字視頻內容中嵌入水印信號。 數字視頻播放機能夠鑒別到水印，一旦發(fā)現在可寫光盤上有“不許拷貝”的水印，拒絕播放。 數字視頻拷貝機檢測水印信息，如果發(fā)現，就不去拷貝。 數字版權管理DRM：專門保護數字化版權的產品。 DRM的核心是數據加密和權限管理，同時也包含了上述提到的幾種技術。 DRM特別適合基于互聯網應用的數字版權保護，目前已經成為數字媒體的主要版權保護手段。,版權保護技術,9.1.2 內容監(jiān)管,在對合法信息進行有效的內容保護同時，針對大量的充斥暴力色情等非法內容的媒體信息（特別是網絡媒體信息）的內容監(jiān)管也是十分必要。 面向網絡信息內容的監(jiān)管主要涉及兩類： 靜態(tài)信息：

6、主要是存在于各個網站中的數據信息，例如掛馬網站的有關網頁、色情網站上的有害內容以及釣魚網站上的虛假信息等； 動態(tài)信息：主要是在網絡中流動的數據信息，例如網絡中傳輸的垃圾郵件、色情及虛假網頁信息等。,內容監(jiān)管技術,針對靜態(tài)信息的內容監(jiān)管 網站數據獲取技術：通過訪問網站采集網站中的各種數據 內容分析技術：對采集到的網站數據進行整理分析，判斷其危害性。 控管技術：對違法的網站實施有效的控制管理，降低其危害性。 對于動態(tài)信息的內容監(jiān)管 網絡數據獲取技術：在網絡關鍵路徑上設置數據采集點，以監(jiān)聽捕獲通過該路徑上的所有報文數據。 內容分析技術、控管技術部分基本上與對靜態(tài)信息采取的處理技術相同。,9.2 版權

7、保護,版權保護是內容保護的重要部分，其最終目的不是“如何防止使用”，而是“如何控制使用”，版權保護的實質是一種控制版權作品使用的機制。 數字版權保護技術DRM (Digital Rights Management)就是以一定安全算法實現對數字內容的保護。 DRM目的是從技術上防止數字內容的非法復制，用戶必須在得到授權后才能使用數字內容。 DRM涉及的主要技術包括數字標識技術、安全和加密技術以及安全存儲技術等。 DRM技術方法主要有兩類，一類是采用數字水印技術，另一類是以數據加密和防拷貝為核心的DRM 技術。,DRM系統(tǒng)結構分為服務器和客戶端兩部分。 服務器：管理版權文件的分發(fā)和授權。 客戶端：

8、依據受版權保護文件提供的信息申請授權許可證，并依據授權許可信息解密受保護文件，給用戶使用。,經過版權處理生成被加密的受保護文件，頭部存放密鑰識別碼和授權中心的URL,負責給用戶提供受版權保護的文件,支持授權許可證的申請和頒發(fā),9.2.1 DRM概述工作原理,主要版權保護產品,目前DRM所保護的內容主要分為三類 包括電子書、音視頻文件和電子文檔。 Adobe 公司的ACS（Adobe Content Server）軟件 方正的Apabi數字版權保護軟件，主要由Maker、Rights Server、Retail Server和Reader四部分組成。 Microsoft公司于1999年8月發(fā)布了

9、Windows Media DRM。 最新版本的Windows Media DRM 10 系列包括了服務器和軟件開發(fā)包SDKs。 Microsoft公司開發(fā)的RMS（Rights Management Services）, 適用于電子文檔保護的數字內容管理系統(tǒng)。,9.2.2 數字水印,原始的水?。涸谥谱骷垙堖^程中通過改變紙漿纖維密度的方法而形成的，“夾”在紙中而不是在紙的表面，迎光透視時可以清晰看到的有明暗紋理的圖像或文字。 人民幣、購物卷以及有價證劵等，以防止造假。 數字水印（digital watermark）：用來證明一個數字產品的擁有權、真實性。 通過一些算法嵌入在數字產品中的數字信息

10、，例如產品的序列號、公司圖像標志以及有特殊意義的文本等。 數字水印分為可見數字水印和不可見數字水印。 可見水印主要用于聲明對產品的所有權、著作權和來源，起到廣告宣傳或使用約束的作用（電視臺的臺標） 不可見數字水印應用的層次更高，制作難度更大，應用面也更廣。,數字水印原理,一個數字水印（后簡稱為水?。┓桨敢话惆ㄈ齻€基本方面：水印的形成、水印的嵌入和水印的檢測。 水印的形成：指選擇有意義的數據，以特定形式生成水印信息，如有意義的文字、序列號、數字圖像（商標、印鑒等）或者數字音頻片段的編碼。 一般水印信息可以根據需要制作成可直接閱讀的明文信息，也可以是經過加密處理后的密文。,水印的嵌入,水印的嵌入

11、與密碼體系的加密環(huán)節(jié)類似，一般分為輸入、嵌入處理和輸出三部分。,對輸入原始文件進行分析選擇嵌入點，將水印信息以特定的方式嵌入到一個或多個嵌入點，需要密碼參與。,輸入,輸入,輸入,將處理過的數據整理為帶有水印信息的文件,水印的檢測,水印的檢測包括兩部分工作 檢測水印是否存在 提取水印信息 水印的檢測方式 盲水印檢測：不需要原始數據（原始宿主文件和水印信息）參與，直接進行檢測水印信號是否存在； 非盲水印檢測：在原始數據參與下進行水印檢測,數字水印的特征,隱蔽性：數字水印應是不可知覺的，而且應不影響被保護數據的正常使用； 魯棒性：是指在經歷多種無意或有意的信號處理過程后，數字水印仍能保持部分完整性并

12、能被準確鑒別。當內容發(fā)生改變時，這些水印信息會發(fā)生相應的改變，從而可以鑒定原始數據是否被篡改。 安全性：數字水印未經授權難以篡改或偽造，避免沒有密鑰的使用者恢復修改水印。 易用性：水印的嵌入和提取算法是否簡單易用，體現了算法的實用性和執(zhí)行效率等。,數字水印算法,純文本文檔指ASCII碼文檔或計算機源代碼文檔。 不存在可插入標記的可辨認空間，很難嵌入秘密信息，需要保護和認證的正式文檔很少采用純文本格式。 格式化的文檔一般指除了文本信息之外，有很多用來標記文字格式和版面布局的冗余信息。 如Word文件、PDF文件等。 可以把水印信息嵌入到這類文檔的格式化編排中 面向文本的水印算法 基于文檔結構微調

13、的文本水印算法 基于語法的文本水印算法 基于語義的文本水印算法 基于漢字特點的文本水印算法,面向圖像的水印算法,空域數字圖像水印算法主要是在圖像的像素上直接進行的，通過修改圖像的像素值嵌入數字水印的。 經典的最低有效位LSB空域水印算法是以人類視覺系統(tǒng)不易感知為準則，將秘密信息嵌入到載體圖像像素值的最低有效位（最不顯著位)，改變這一位置對載體圖像的品質影響最小。 優(yōu)勢：可嵌入的水印容量大 不足：嵌入的水印信息很容易被移除。,變換域數字水印算法是在圖像的變換域進行水印嵌入的，將原始圖像經過正交變換，將水印嵌入到圖像的變換系數中去。常用的變換有： 離散傅里葉變換DFT、離散余弦變換、離散小波變換D

14、WT等。,面向音視頻的水印算法,根據音頻水印載體類型，音頻水印技術可分為基于原始音頻和基于壓縮音頻兩種。 基于原始音頻方法是在未經編碼壓縮的音頻信號中直接嵌入水印。 基于壓縮音頻方法指音頻信號在壓縮編碼過程中嵌入水印信息，輸出的是含水印的壓縮編碼的音頻信號。 視頻可以認為是由一系列連續(xù)的靜止圖像在時間域上構成的序列，因此視頻水印技術與圖像水印技術在應用模式和設計方案上具有相似之處。 數字視頻水印主要包括基于原始視頻的水印、基于視頻編碼的水印和基于壓縮視頻的水印。,生理模型算法,人的生理模型包括 人類視覺系統(tǒng)HVS（Human Visual System）和人類聽覺系統(tǒng)HAS（Human aud

15、itory System）等。 生理模型算法的基本思想是利用人類視覺的掩蔽現象，從HVS模型導出的可覺察差異JND。 利用JND描述來確定圖像的各個部分所能容忍的數字水印信號的最大強度。 人類視覺對物體的亮度和紋理具有不同程度的感知性，可以調節(jié)嵌入水印信號的強度。 亮度掩蔽特性：背景越亮，嵌入水印的可見性越低 紋理掩蔽特性：背景紋理越復雜，水印可見性越低,9.3內容監(jiān)管,內容監(jiān)管是內容安全的另一重要方面，如果監(jiān)管不善，會對社會造成極大的影響，其重要性不言而喻。 內容監(jiān)管涉及到很多領域，其中基于網絡的信息已經成為內容監(jiān)管的首要目標。一般來說病毒、木馬、色情、反動、嚴重的虛假欺騙以及垃圾郵件等有害

16、的網絡信息都需要進行監(jiān)管。,9.3.1 網絡信息內容監(jiān)管,內容監(jiān)管首先需要解決的就是如何制定監(jiān)管的總體策略 總體策略主要包括監(jiān)管的對象、監(jiān)管的內容、對違規(guī)內容如何處理等。 首先如何界定違規(guī)內容（那些需要禁止的信息），既能夠禁止違規(guī)內容，又不會殃及到合法應用。 其次對于可能存在一些違規(guī)信息的網站如何處理 一種方法是通過防火墻禁止對該網站的全部訪問，這樣比較安全，但也會禁止掉其他有用內容； 另一種方法是允許網站部分訪問，只是對那些有害網頁信息進行攔截，但此種方法存在攔截失敗的可能性。,內容監(jiān)管系統(tǒng)模型,對于違規(guī)載體（網站或網絡連接）的處理方法，如禁止對該網站的訪問、攔截有關網絡連接等。,確定監(jiān)管對

17、象的范圍、采用何種方式獲取需要檢測的數據,用于判斷網絡信息內容是否含有違規(guī)的特征值，如敏感字符串、圖片等,指依據網絡信息內容中包含敏感特征值的情況判斷是否違規(guī)的規(guī)則,監(jiān)管策略：依據監(jiān)管需求制定的規(guī)則及規(guī)范 監(jiān)管處理：依據監(jiān)管需求設計的對相關數據進行檢查及聯動處理的程序模塊,數據獲取,數據獲取技術分為主動式和被動式兩種形式。 主動式數據獲取：通過訪問有關網絡連接而獲得其數據內容（網絡爬蟲是典型的主動式數據獲取技術）,從一個或若干個初始網頁URL開始，根據一定的網頁分析算法，過濾與主題無關的鏈接,將所需的鏈接保存在等待抓取的URL隊列,根據一定的搜索策略從隊列中選擇下一步要抓取的網頁,被抓取的網頁

18、將被系統(tǒng)保存,被動式數據獲取,被動式數據獲取是指在網絡的特定位置設置探針，獲取流經該位置的所有數據。 被動式數據獲取主要解決兩個方面的問題 探針位置的選擇：可以獲取所有需監(jiān)管網絡數據報文的關鍵點上。 對出入數據報文的采集：解決網絡適配器及TCP/IP協(xié)議棧如何處理接收到的數據報文。,工作在混雜模式下,做適當的配置，對提交的數據報文進行IP分片重組、傳輸層協(xié)議還原等，再提交給上一層數據調整處理模塊,網絡報文處理流程,數據調整,數據調整主要指針對數據獲取模塊（主要是協(xié)議棧）提交的應用層數據進行篩選、組合、解碼以及文本還原等工作，數據調整的輸出結果用于敏感特征搜索等。,數據分別存在于不同的TCP包內

19、，需要整合,數據經過特殊編碼，需要解碼,包含特殊格式的數據需要去掉格式信息，word格式等,敏感特征搜索,敏感特征搜索：依據實現定義好的敏感特征策略，在待查內容中識別所包含的敏感特征值，搜索的結果可以作為違規(guī)判定的依據。 敏感特征值：文本字符串、圖像特征、音頻特征等，它們分別用于不同信息載體的內容的敏感特征識別。 模式匹配 單模式匹配：在一個文本串中查找某個特定的子串，如果找到則匹配成功，否則失敗。 多模式匹配：在一個文本串中查找某些特定的子串。 敏感特征一般包含多個關鍵字，多模式匹配算法多見。,違規(guī)判定及處理,違規(guī)判定程序的設計思想 將敏感特征搜索結果與違規(guī)定義相比較，判斷該網絡信息內容是否違規(guī)。 違規(guī)定義是說明違規(guī)內容應具有的特征，即敏感特征。 每個敏感特征由敏感特征值和特征值敏感度（某特征值對違規(guī)的影響程度）兩個屬性來描述。 敏感特征的搜索結果具有敏感特征值的廣度（包含相異敏感特征值的數量）和敏感特征值的深度（包含同一個特征值的數量）兩個指標。 違規(guī)處理采用的方法 報警就是通知有關人員違規(guī)事件的具體情況 封鎖IP一般是指利用防火墻等網絡設備阻斷對有關IP地址的訪問 攔截連接則是針對某個特定訪問連接實施阻斷，向通訊雙方發(fā)送RST數據包阻斷TCP連接就是常