Методы повышения показателей качества фильтрации dlp-систем на основе предметно-ориентированной морфологической модели естественного языка

55 
Если вердикт v отрицательный, то происходит блокировка канала c, по 
которму совершена попытка передачи хотя-бы одного защищаемого факта i 
получателю информации 
.
Подсистемы сбора данных и уведомления DLP-систем являются служебными 
по отношению к подсистеме анализа и не рассматриваются подробно.
Для данного исследования особый интерес представляет подсистема анализа 
DLP-систем. На основе вердикта, который получен от подсистемы анализа, 
принимается решение о возможности передачи анализируемого сообщения во 
внешнюю по отношению к защищаемым данным среду. 
Основной задачей подсистемы анализа DLP-системы является определение 
содержания одного из защищаемых фактов 
в сообщении, передаваемом по 
каналу c. Для этого могут использоваться уже перечисленные выше методы. 
Тогда функцию анализатора DLP-системы можно представить в виде 
объединения функций 
, (2.1.2) 
где
(2.1.3) 
и, в зависимости от функционального наполнения DLP-системы функции F
j
могут обозначать: F
1
– статистический анализ, F
2
– морфологический, F
3
– 
анализ по регулярным выражениям, F
4
– анализ по цифровым отпечаткам и т.д. 
Функция нормализации 
выполняет итеративный разбор передаваемых 
объектов, разделяя их на бинарные объекты и сообщения на естественном языке. 
В результате, полученное множество бинарных объектов отправляется на анализ в 
соответствии с типом каждого объекта (изображения, схемы и т.д.), а полученное 
множество сообщений на естественном языке передается на вход функциям 
(2.1.2). 

56 
В предыдущем разделе уже упоминалось, что cообщения на естественном 
языке могут содержать в себе защищаемую информацию, которая изменена 
различными способами. Функция нормализации 
решает проблему 
модификации передаваемых данных в следующих случаях: 

Передана с грамматическими и синтаксическими ошибками 

Передана в другой кодировке 

Преобразована разделением слов на части 

Преобразована с помощью транслитерации или других способов замены 
символов 
Таким образом, последствия трех из семи способов модификации 
защищаемой информации могут быть определены на этапе нормализации, до 
начала анализа функциями 
(2.1.2). 
Важно отметить, что сам факт использования методов модификации 
защищаемой информации является подозрительным. 
После этапа нормализации (
) остается 5 способов передачи защищаемых 
фактов: 

Передача без изменения 

Передача в другой формулировке 

Передача с использованием специфических терминов и оборотов

Передача на другом естественном языке 

Преобразование перестановкой слов 

Передача частями в различные моменты времени через различные каналы 
Анализаторы 
(статистический анализ, морфологический анализ, анализ 
по регулярным выражениям, анализ по цифровым отпечаткам и т.д.) DLP-
системы предназначены для определения передачи защищаемых фактов i 
получателю информации 
, т.е. когда получатель не входит в множество 
разрешенных получателей A. За счет этого DLP-система решает поставленную 
задачу предотвращения утечки конфиденциальной информации. 

57 
Перечисленные методы показывают различную эффективность при работе 
с разными наборами данных. Так, например, статистический анализ показывает 
существенно большую точность при обработке больших объемов текста на 
естественном языке по сравнению с обработкой коротких ЕЯ сообщений. 
Наиболее универсальным методом считается морфологический анализ, однако 
он является наиболее сложным для реализации и поддержки. Кроме того, 
точность современных морфологических анализаторов, в силу большой 
сложности задачи анализа естественного языка, не идеальна. 
Таким образом, анализатор естественного языка является ключевым 
элементом подсистемы анализа DLP-системы. От качества его работы 
существенно зависит показатели качества работы всей DLP-системы, а 
следовательно и показатели полноты и точности обнаружения угрозы утечки 
конфиденциальной информации. 

Download 1,32 Mb.

Do'stlaringiz bilan baham: