專利名稱:通過應(yīng)用程序數(shù)據(jù)訪問分類進(jìn)行的數(shù)據(jù)損失保護(hù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的實施例涉及處理數(shù)據(jù)領(lǐng)域���,以及更特別地,涉及基于其數(shù)據(jù)訪問模式對
應(yīng)用程序的行為的分類����。
背景技術(shù):
現(xiàn)代機(jī)構(gòu)的雇員常常要訪問包含了關(guān)于該機(jī)構(gòu)各種重要商業(yè)方面的信息的文件。 該信息可以包括顧客(或患者)�,合同���,票據(jù),供給�����,雇員����,生產(chǎn)或類似物的數(shù)據(jù)。現(xiàn)有的安全 技術(shù)通常在數(shù)據(jù)離開端點系統(tǒng)時掃描數(shù)據(jù)以防止敏感信息的損失��。上述掃描依賴于端點系 統(tǒng)攔截和分析從程序中輸出的數(shù)據(jù)的能力�。然而,在一些實例中����,端點系統(tǒng)所攔截的數(shù)據(jù)格 式可能是未知的,或者�,程序可能在輸出數(shù)據(jù)之前對其進(jìn)行加密。此外�����,端點系統(tǒng)不是總能 夠攔截由程序輸出的數(shù)據(jù)。 端點系統(tǒng)可以通過防止特定應(yīng)用程序訪問包含機(jī)密信息的文件來解決上述限制�����。 例如�����,端點系統(tǒng)可以通過如CD或DVD燒制應(yīng)用程序����,壓縮或指紋識別程序應(yīng)用程序等來 阻止對包含機(jī)密信息的文件的訪問�����。然而��,阻止應(yīng)用程序?qū)ξ募脑L問會引起誤報損失 (false positive penalty)��。特別地�����,應(yīng)用程序并不總是為了操縱文件的數(shù)據(jù)而訪問文件 的����。相反����,應(yīng)用程序可能僅僅掃描文件的元數(shù)據(jù)��,而不打開文件查看或編輯(例如�����,出于目 錄呈現(xiàn)的原因來確定文件的屬性等)��。
發(fā)明內(nèi)容
描述了基于應(yīng)用程序的數(shù)據(jù)訪問模式對應(yīng)用程序的行為分類的方法和裝置�。在一 個實施例中,該方法包括監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件����,并確定是否這些文件訪 問事件中的至少一個指示了該應(yīng)用程序操縱文件的數(shù)據(jù)的企圖。如果至少一個文件訪問事 件指示了應(yīng)用程序操縱文件中的數(shù)據(jù)的企圖����,那么導(dǎo)致執(zhí)行至少一個動作。
從下面的詳細(xì)說明和本發(fā)明各實施例的附圖中���,可以更加充分地理解本發(fā)明�,然
而,這并不用來將本發(fā)明限制于特定的實施例中�,而僅用于說明和理解之用。
圖1表示本發(fā)明的實施例可在其中運(yùn)行的示例性系統(tǒng)體系結(jié)構(gòu)���。 圖2和圖3表示本發(fā)明的實施例可在其中運(yùn)行的示例性網(wǎng)絡(luò)體系結(jié)構(gòu)。 圖4是監(jiān)測應(yīng)用程序的一個實施例的框圖��。 圖5是基于應(yīng)用程序的數(shù)據(jù)訪問模式對應(yīng)用程序行為分類的方法的一個實施例 的流程圖����。 圖6是分析應(yīng)用程序數(shù)據(jù)訪問模式的方法的一個實施例的流程圖。
圖7是可以執(zhí)行此處所述的一個或多個操作的示例性計算機(jī)系統(tǒng)的框圖��。
具體實施例方式
描述了基于其數(shù)據(jù)訪問模式對應(yīng)用程序行為進(jìn)行分類的系統(tǒng)和方法�����。應(yīng)用程序可 以是����,例如,CD燒制應(yīng)用程序��,DVD燒制應(yīng)用程序���,壓縮應(yīng)用程序(例如�,zip壓縮),瀏覽器 (例如����,Internet Explorer ),云存儲應(yīng)用程序(例如�����,在線網(wǎng)格(Live Mesh)服務(wù)等)�。
在一個實施例中,監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件以確認(rèn)是否這些文件訪問事件中 的至少一個指示了應(yīng)用程序試圖操縱文件的數(shù)據(jù)��。該確認(rèn)可以基于���,例如����,文件訪問事件的 讀取區(qū)塊尺寸���,文件訪問事件的讀取偏移量���,在特定時間間隔內(nèi)文件訪問事件的數(shù)量���,或以 上因素的任意組合。文件數(shù)據(jù)操縱與元數(shù)據(jù)操縱不同�,可以涉及,例如����,編輯文件數(shù)據(jù),變換 文件數(shù)據(jù)���,將文件數(shù)據(jù)寫入到可移動的存儲介質(zhì)等等。 如果至少一個文件訪問事件指示了應(yīng)用程序試圖操縱文件數(shù)據(jù)�����,就觸發(fā)與這種操 縱相關(guān)聯(lián)的動作���。示意性的被觸發(fā)的動作可以包括掃描文件數(shù)據(jù)以查找機(jī)密信息��,以及在 檢測到機(jī)密信息后��,阻止應(yīng)用程序?qū)υ撐募?shù)據(jù)的訪問�,和/或報告應(yīng)用程序?qū)υ撐募?shù) 據(jù)的訪問����。否則�,如果文件訪問事件指示應(yīng)用程序試圖掃描文件的元數(shù)據(jù)而非文件數(shù)據(jù)����,則 忽略該文件訪問事件。 在下面的描述中����,會闡述大量的細(xì)節(jié)。然而����,很明顯,對于本領(lǐng)域的技術(shù)人員�,無需 這些特定的細(xì)節(jié)就可以實現(xiàn)本發(fā)明。在一些例子中���,為了避免與本發(fā)明混淆�,采用框圖形式 而不是細(xì)節(jié)來表示已知的結(jié)構(gòu)和設(shè)備���。 下面詳細(xì)描述的一部分用算法及計算機(jī)存儲器中數(shù)據(jù)位上的運(yùn)算的符號表示來 表現(xiàn)��。這些算法描述和表示是數(shù)據(jù)處理領(lǐng)域的技術(shù)人員使用的最有效地向該領(lǐng)域的其他技 術(shù)人員表達(dá)他們工作的實質(zhì)的方式�。算法在此處以及通常被認(rèn)為是通向所需結(jié)果的步驟的 自洽的(self-consistent)序列。這些步驟是需要物理量的物理操縱的步驟�����。通常�����,雖然 不是一定的����,但這些量還是表現(xiàn)為電或磁信號,其能夠被存儲�����,傳輸���,組合,比較及以其他方 式操縱����。主要出于通常使用的原因,將這些信號稱為比特����,值�����,元素����,符號�����,字符���,術(shù)語���,數(shù)字 或類似物,已經(jīng)證明有時是很方便的��。 然而�,要記住的是,所有這些及類似的術(shù)語都與適當(dāng)?shù)奈锢砹肯嚓P(guān)聯(lián)��,并且僅僅是 應(yīng)用于這些量的方便的標(biāo)簽。除非下面的論述中明確的特別另行說明�,可以理解,貫穿說明 書全篇����,使用術(shù)語如"處理","計算"����,"估算","確定"����,"顯示"或類似詞語的討論,都是指計 算機(jī)系統(tǒng)或類似電子計算設(shè)備的動作和處理��,其將計算機(jī)系統(tǒng)的寄存器和存儲器中表示為 物理(例如電子)量的數(shù)據(jù)操縱和變換為在計算機(jī)系統(tǒng)存儲器或寄存器或其他這種信息存 儲��,傳輸或顯示設(shè)備中的類似地表示為物理量的其他數(shù)據(jù)�����。 本發(fā)明還涉及到執(zhí)行本申請中操作的裝置�����。該裝置可以是為了所需目的專門構(gòu) 造的�����,或者其可以包括由存儲于計算機(jī)中的計算機(jī)程序來選擇性激活或重新配置的通用計 算機(jī)��。這樣的計算機(jī)程序可以存儲于計算機(jī)可讀介質(zhì)中��,所述計算機(jī)可讀介質(zhì)例如但不限 于任何形式的盤����,包括軟盤,光盤����,CD-R0M,及磁光盤���,只讀存儲器(ROM)��,隨機(jī)訪問存儲器 (RAM) ��, EPR0M�����, EEPROM�����,磁卡或光卡�,或任何形式的適于存儲電子指令的介質(zhì)。
此處呈現(xiàn)的算法和顯示在本質(zhì)上不涉及任何特定的計算機(jī)或其他裝置����。依照此處 的教導(dǎo),各種通用系統(tǒng)可與程序一起使用�����,或者可以證明�����,構(gòu)造更加專用的裝置來執(zhí)行所需 的方法步驟是很方便的����。各種這些系統(tǒng)所需的結(jié)構(gòu)從下面的描述中可以得到。此外�,并不 參照任何特定的編程語言來描述本發(fā)明?���?梢岳斫猓梢允褂酶鞣N編程語言來實現(xiàn)此處所述的本發(fā)明的技術(shù)�。 圖1是本發(fā)明的實施例可在其中運(yùn)行的示意性系統(tǒng)體系結(jié)構(gòu)100的框圖。系統(tǒng) 100包括計算設(shè)備120�,該計算設(shè)備可以是個人計算機(jī)(PC),便攜式電腦�,移動電話,服務(wù)器 或任何其他計算設(shè)備��。計算設(shè)備120運(yùn)行操作系統(tǒng)(OS) 102��,其管理計算設(shè)備120的硬件 和軟件�。OS 102可以是,例如���,Microsoft \VindowS OS���, Li皿x, Mac 0S���, Solaris等等�。 應(yīng)用程序108�, 110和112運(yùn)行于OS 102之上���,并執(zhí)行包括訪問駐留于計算設(shè)備120的數(shù)據(jù) 存儲器(例如內(nèi)存或盤驅(qū)動器)中的文件114的各種功能。例如�����,應(yīng)用程序108到112可 以包括CD或DVD燒制應(yīng)用程序108���,壓縮應(yīng)用程序110��,web瀏覽器112等等�����。
文件114可以包括元數(shù)據(jù)118 (稱為元信息)和實際數(shù)據(jù)116 (文件的其余部分)��。 元信息118可以指定各種文件屬性���,例如格式,標(biāo)題�,尺寸,創(chuàng)建日期�����,最后更新的日期等 等。應(yīng)用程序108到112可以掃描文件元信息�,而不訪問文件的實際數(shù)據(jù)(例如顯示文件 目錄���,確定計算設(shè)備120的硬件是否能夠顯示特定的視頻文件����,等等)��?����;蛘?����,應(yīng)用程序108 到112可以讀取文件的實際數(shù)據(jù)來編輯數(shù)據(jù)����,加密數(shù)據(jù),將數(shù)據(jù)寫入到可移動的存儲介質(zhì)�����, 等等。在特定情形下���,區(qū)分應(yīng)用程序是操縱文件數(shù)據(jù)還是掃描文件元信息是重要的�。例如����, 數(shù)據(jù)損失預(yù)防(DLP)系統(tǒng)可能需要防止CD或DVD燒制應(yīng)用程序108向可移動存儲介質(zhì)中寫 入包含機(jī)密信息的文件數(shù)據(jù),卻允許應(yīng)用程序108掃描文件元信息以用于呈現(xiàn)文件目錄����。 類似地,DLP系統(tǒng)可能需要防止瀏覽器112打開圖像文件來編輯���,卻允許瀏覽器112掃描文 件的元信息以確定計算設(shè)備120的硬件是否能夠顯示該圖像數(shù)據(jù)����。 在一個實施例中�����,計算設(shè)備120容宿(host)監(jiān)測應(yīng)用程序106�����,該監(jiān)測應(yīng)用程序監(jiān) 測與應(yīng)用程序108到112 ("可疑的"應(yīng)用程序)相關(guān)聯(lián)的文件訪問事件,以確定這些可疑 的應(yīng)用程序是試圖訪問文件數(shù)據(jù)還是文件元信息��。特別地���,監(jiān)測應(yīng)用程序106可以與過濾 驅(qū)動器104通信以檢測可疑應(yīng)用程序的執(zhí)行����,并接收與該可疑應(yīng)用程序相關(guān)聯(lián)的文件訪問 事件���。在一個實施例中,過濾驅(qū)動器104充當(dāng)0S 102的一部分�����,以能夠確定哪些應(yīng)用程序 開始執(zhí)行(例如�,通過截聽用于進(jìn)程創(chuàng)建的OS調(diào)用),并能查看正在執(zhí)行的應(yīng)用程序的1/ 0請求(例如����,使用文件系統(tǒng)掛鉤(hook)查看系統(tǒng)上的所有文件I/0并接收I/0請求分組 (IRP))。然后���,過濾驅(qū)動器104能夠?qū)⑴c可疑應(yīng)用程序108到112相關(guān)聯(lián)的文件訪問事件 發(fā)送到監(jiān)測應(yīng)用程序106��。文件訪問事件例如可以包括標(biāo)識出被訪問的文件���、訪問文件的應(yīng) 用程序����、應(yīng)用程序請求的讀取區(qū)塊尺寸和/或讀取偏移量等等的信息�����。
隨著接收文件訪問請求后�����,監(jiān)測應(yīng)用程序106可以分析該事件以確定其是否符合 著元信息讀取模式或文件數(shù)據(jù)讀取模式�����。在一個實施例中�����,監(jiān)測應(yīng)用程序106使用閾值讀 取區(qū)塊尺寸來執(zhí)行這種分析�。如果已接收的文件訪問事件中的讀取區(qū)塊尺寸超過了閾值參 數(shù),那么監(jiān)測應(yīng)用程序106確定已接收的文件訪問事件符合文件數(shù)據(jù)讀取模式。否則����,如果 已接收的文件訪問事件中的讀取區(qū)塊尺寸低于閾值參數(shù),那么監(jiān)測應(yīng)用程序106確定已接 收的文件訪問事件符合元信息讀取模式���。在一個實施例中���,監(jiān)測應(yīng)用程序106還能夠?qū)?自已接收的文件訪問事件的讀取偏移量與一個或多個預(yù)定的偏移量參數(shù)相比較,以驗證可 疑應(yīng)用程序的訪問模式�����。閾值讀取區(qū)塊尺寸和預(yù)定的讀取偏移量參數(shù)可以對于所有可疑應(yīng) 用程序都是相同的��,或者是程序?qū)S玫?�。閾值讀取區(qū)塊尺寸和預(yù)定的讀取偏移量參數(shù)可以 基于普通的系統(tǒng)庫的知識得到�����,或通過觀察單獨(dú)應(yīng)用程序的行為來憑經(jīng)驗確定��。例如��,為 了顯示打開文件對話框以及允許用戶查看列表文件的屬性��,CD/DVD燒制應(yīng)用程序108必須以2-64字節(jié)���,256字節(jié)和512字節(jié)使用區(qū)塊讀取來讀取Windows OS的指定DLL(動態(tài)鏈接 庫)�����。然而��,當(dāng)CD/DVD燒制應(yīng)用程序108將文件數(shù)據(jù)寫入到可移動的存儲介質(zhì)時�,其以4096 字節(jié)或更大的區(qū)塊尺寸來讀取數(shù)據(jù)�����。在另一個實例中�����,web瀏覽器可能需要讀取avi文件 的元信息以確定計算設(shè)備120的硬件是否能夠顯示該avi文件���。Avi元信息以偏移文件頭 部32字節(jié)的偏移量和52字節(jié)的尺寸存儲�。在這個例子中��,web瀏覽器會使用52字節(jié)的區(qū) 塊尺寸和32字節(jié)的偏移量?���;蛘撸绻鹷eb瀏覽器試圖打開avi文件進(jìn)行查看和編輯�,就 需要以4096字節(jié)的區(qū)塊尺寸讀取數(shù)據(jù)。 在一個實施例中����,監(jiān)測應(yīng)用程序106還追蹤在一時間間隔上可疑應(yīng)用程序的文件 訪問事件的數(shù)量。如果這個數(shù)量超過了閾值(即���,可疑應(yīng)用程序生成頻繁的文件訪問請 求)�����,那么監(jiān)測應(yīng)用程序106判定可疑應(yīng)用程序試圖操縱文件的數(shù)據(jù)。閾值讀取數(shù)量可憑經(jīng) 驗基于單獨(dú)應(yīng)用程序的行為來確定�����,并可以對于所有應(yīng)用程序來說是相同的或?qū)τ谥辽僖?些應(yīng)用程序來說是不同的�����。 如果監(jiān)測應(yīng)用程序106確定與可疑應(yīng)用程序相關(guān)聯(lián)的文件訪問事件符合元信息 讀取模式,那么監(jiān)測應(yīng)用程序106就忽略這個文件訪問事件�。或者��,如果監(jiān)測應(yīng)用程序106 確定可疑應(yīng)用程序試圖操縱文件數(shù)據(jù)����,它就觸發(fā)一個或多個可以防止或限制可疑應(yīng)用程序 的這種企圖的動作。例如����,監(jiān)測應(yīng)用程序106可以使文件被掃描以查找機(jī)密信息,以及如果 該掃描檢測到機(jī)密信息���,那么就可以阻止或報告可疑應(yīng)用程序?qū)ξ募脑L問���。這些動作可 以由監(jiān)測應(yīng)用程序106本身或由與監(jiān)測應(yīng)用程序106通信并由計算設(shè)備120或通過網(wǎng)絡(luò) (例如,LAN或因特網(wǎng))耦合到設(shè)備120的另一個設(shè)備來容宿的DLP應(yīng)用程序來執(zhí)行����。
在另一個實施例中,監(jiān)測應(yīng)用程序106首先確定哪些文件包含機(jī)密信息�,然后僅 監(jiān)測及分析應(yīng)用程序?qū)Π瑱C(jī)密信息的文件的訪問。如果監(jiān)測應(yīng)用程序106確定可疑應(yīng)用 程序僅試圖掃描包含機(jī)密信息的文件的元信息���,那么監(jiān)測應(yīng)用程序106允許掃描繼續(xù)�。或 者���,如果監(jiān)測應(yīng)用程序106確定可疑應(yīng)用程序試圖讀取文件數(shù)據(jù)����,那么監(jiān)測應(yīng)用程序106觸 發(fā)可以阻止����,限制或報告可疑應(yīng)用程序的這種企圖的動作。 圖2表示本發(fā)明實施例可在其中運(yùn)行的示意性網(wǎng)絡(luò)體系結(jié)構(gòu)200����。根據(jù)網(wǎng)絡(luò)體系 結(jié)構(gòu)200,客戶端212通過網(wǎng)絡(luò)210 (例如�,諸如LAN的專用網(wǎng)絡(luò)或諸如因特網(wǎng)的公用網(wǎng))耦 合到數(shù)據(jù)存儲系統(tǒng)206。每個客戶端212可以是PC�,便攜式電腦,移動電話����,個人數(shù)字助理 等等�����。數(shù)據(jù)存儲系統(tǒng)206可以表示,例如�����,存儲各種文件208的附網(wǎng)存儲器(NAS)系統(tǒng)���。
每個客戶端212容宿應(yīng)用程序214�����,應(yīng)用程序執(zhí)行各種功能����,例如CD/DVD燒制�����,zip 壓縮��,web瀏覽等等���。這些可疑應(yīng)用程序214中的每一個都能訪問駐留在數(shù)據(jù)存儲系統(tǒng)206 中的文件208�。如上所述,可疑應(yīng)用程序214可以僅掃描文件208的元信息或訪問實際文件 數(shù)據(jù)����。監(jiān)測應(yīng)用程序204與監(jiān)測應(yīng)用程序106的作用類似,基于其數(shù)據(jù)訪問模式對可疑應(yīng) 用程序204的行為進(jìn)行分類��。在一個實施例中�����,監(jiān)測應(yīng)用程序204駐留在通過網(wǎng)絡(luò)210耦 合到客戶端212的服務(wù)器202中�����,并從對客戶端212和數(shù)據(jù)存儲系統(tǒng)206之間的網(wǎng)絡(luò)流量 進(jìn)行嗅探的基于網(wǎng)絡(luò)的應(yīng)用程序處或從數(shù)據(jù)存儲系統(tǒng)206容宿的應(yīng)用程序處��,接收與可疑 應(yīng)用程序214相關(guān)聯(lián)的文件訪問事件���。在另一個實施例中���,監(jiān)測應(yīng)用程序204可由數(shù)據(jù)存 儲系統(tǒng)206容宿,并能在數(shù)據(jù)存儲系統(tǒng)206接收應(yīng)用程序214的文件訪問請求的時候�,截聽 應(yīng)用程序214的文件訪問請求。 圖3表示本發(fā)明的實施例可在其中運(yùn)行的另一個示意性網(wǎng)絡(luò)體系結(jié)構(gòu)300����。根據(jù)網(wǎng)絡(luò)體系結(jié)構(gòu)300,客戶端308通過網(wǎng)絡(luò)306 (例如���,諸如LAN的專用網(wǎng)或諸如因特網(wǎng)的公用 網(wǎng))耦合到云存儲服務(wù)設(shè)備302����。每個客戶端308可以是PC����,便攜式電腦,移動電話����,個人 數(shù)字助理等等。云存儲服務(wù)302提供到客戶端308的數(shù)據(jù)存儲傳遞�����。在一個實施例中���,云 存儲服務(wù)302表示Mcrosoft⑧在線網(wǎng)格服務(wù)��,其使得客戶端308的文件312得以共享和同 步����。例如,當(dāng)客戶端1的應(yīng)用程序310修改客戶端1的文件312時����,服務(wù)302對客戶端2和 客戶端3的文件進(jìn)行同步以匹配客戶端1的文件。 應(yīng)用程序310可以修改文件312的數(shù)據(jù)���,或者�����,他們可以僅修改文件312的元信 息�。監(jiān)測應(yīng)用程序304監(jiān)測接收自客戶端308的同步請求��,并確定這些請求是僅影響到文 件元信息還是影響到文件數(shù)據(jù)本身�����。如上參考圖1的監(jiān)測應(yīng)用程序106所述��,監(jiān)測應(yīng)用程 序304能夠基于讀取區(qū)塊尺寸�����,讀取偏移量,每個時間間隔中的同步請求數(shù)量�,或上述因素 的任意組合來作出這個確定。如果接收自客戶端308的請求限于文件元信息的同步����,那么 監(jiān)測應(yīng)用程序304忽略該請求�,允許其繼續(xù)?���;蛘撸绻蛻舳苏埱笊婕拔募?shù)據(jù)的變換�����, 則監(jiān)測應(yīng)用程序304觸發(fā)一個或多個動作���,如掃描文件以查找機(jī)密信息����,并且如果文件包 含機(jī)密信息�����,就防止文件數(shù)據(jù)被同步。 圖4是監(jiān)測應(yīng)用程序400的一個實施例的框圖��。監(jiān)測應(yīng)用程序400可選地可包括 配置器(configurator)402����,該配置器可以允許監(jiān)測應(yīng)用程序400被配置(例如,通過用戶 接口)為監(jiān)測特定可疑應(yīng)用程序的文件訪問行為����。此外,配置器402能夠?qū)⒈O(jiān)測應(yīng)用程序 400配置為使用特定參數(shù)用于分析可疑應(yīng)用程序的文件訪問行為����。該參數(shù)可以是所有可疑 程序公用的或單獨(dú)應(yīng)用程序?qū)S玫摹?監(jiān)測應(yīng)用程序400還可包括應(yīng)用程序請求分析器404和動作管理器406。應(yīng)用程 序請求分析器404可以監(jiān)測與可疑應(yīng)用程序相關(guān)聯(lián)的文件訪問事件�,并基于文件訪問事件 對可疑應(yīng)用程序的行為進(jìn)行分類。 動作管理器406忽略指示應(yīng)用程序試圖掃描文件元信息的文件訪問事件�。當(dāng)至少 一個應(yīng)用程序的文件訪問事件指示其試圖操縱文件數(shù)據(jù)時,動作管理器406觸發(fā)響應(yīng)于這 樣的事件而執(zhí)行的一個或多個動作��。例如�����,動作管理器406可以促使文件被掃描以查找機(jī) 密信息,并且如果文件包含機(jī)密信息��,就阻止或報告應(yīng)用程序?qū)ξ募脑L問�����。
圖5是基于其數(shù)據(jù)訪問模式對應(yīng)用程序行為進(jìn)行分類的方法500的一個實施例的 流程圖�����。方法500由處理邏輯來執(zhí)行��,該處理邏輯可以包括硬件(電路���,專用邏輯等),軟件 (例如在通用計算機(jī)系統(tǒng)或?qū)S脵C(jī)器上運(yùn)行的)或二者的組合�����。方法500可以由如圖1中 的計算設(shè)備120�,圖2中的服務(wù)器202,或圖3中的云存儲服務(wù)設(shè)備302之類的計算設(shè)備來 執(zhí)行��。 參照圖5���,處理邏輯從監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件開始(塊502)���。應(yīng)用 程序可以是�����,例如�,CD燒制應(yīng)用程序����,DVD燒制應(yīng)用程序,壓縮應(yīng)用程序(例如�����,zip壓縮)��, 瀏覽器(例如�����,Internet Explorer )���,云存儲應(yīng)用程序(例如����,在線網(wǎng)格服務(wù))等等?��?梢?從充當(dāng)在容宿應(yīng)用程序訪問的文件的計算設(shè)備中運(yùn)行的OS的一部分的過濾驅(qū)動器處接收 文件訪問事件�,從嗅探在客戶端和容宿客戶端程序訪問的文件的數(shù)據(jù)存儲系統(tǒng)之間的網(wǎng)絡(luò) 流量的基于網(wǎng)絡(luò)的應(yīng)用程序處接收文件訪問事件����,或從任何能夠獲取關(guān)于應(yīng)用程序文件訪 問請求的信息的其他模塊或應(yīng)用程序處接收文件訪問事件。 在塊504����,處理邏輯確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序試圖操縱文件的數(shù)據(jù)����。該確定可以基于,例如�,文件訪問事件的讀取區(qū)塊尺寸,文件訪問事件 的讀取偏移量���,在特定時間間隔上文件訪問事件的數(shù)量����,或以上各因素的組合。文件數(shù)據(jù)操 縱不同于元信息數(shù)據(jù)操縱�����,其可以涉及���,例如��,編輯文件數(shù)據(jù)���,變換文件數(shù)據(jù),向可移動存儲 介質(zhì)寫入文件數(shù)據(jù)�����,等等�。 如果至少一個文件訪問事件指示了應(yīng)用程序試圖操縱文件數(shù)據(jù),則處理邏輯執(zhí)行 與這種操縱相關(guān)聯(lián)的動作(塊506)��。示例性的動作可以包括掃描文件數(shù)據(jù)以查找機(jī)密信 息���,并在檢測到機(jī)密信息后����,阻止應(yīng)用程序訪問該文件數(shù)據(jù),和/或報告應(yīng)用程序?qū)υ撐募?數(shù)據(jù)的訪問����。否則,如果文件訪問事件指示應(yīng)用程序試圖掃描文件的元數(shù)據(jù)而非文件數(shù)據(jù)���, 那么處理邏輯忽略該文件訪問事件(塊508)����。 在另一個實施例中����,處理邏輯首先確定哪些文件包含機(jī)密信息,然后在塊504�����,其 僅考慮那些屬于包含機(jī)密信息的文件的文件訪問事件����。如果處理邏輯確定應(yīng)用程序僅僅試 圖掃描包含機(jī)密信息的文件的元信息��,那么處理邏輯忽略有關(guān)的文件訪問事件(塊508)���。 或者��,如果處理邏輯確定應(yīng)用程序試圖讀取文件數(shù)據(jù)����,那么處理邏輯觸發(fā)可以阻止,限制或 報告可疑應(yīng)用程序的這種企圖的動作(塊506)�。 圖6是用于分析應(yīng)用程序數(shù)據(jù)訪問模式的方法的一個實施例的流程圖。方法600
由處理邏輯來執(zhí)行���,該處理邏輯可能包括硬件(電路�����,專用邏輯等)��,軟件(例如在通用計算
機(jī)系統(tǒng)或?qū)S脵C(jī)器上運(yùn)行的)或二者的組合��。方法600可以由如圖1中的計算設(shè)備120����,圖
2中的服務(wù)器202�,或圖3中的云存儲服務(wù)設(shè)備302之類的計算設(shè)備來執(zhí)行。 參考圖6���,處理邏輯從接收與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件開始(塊602)�。文
件訪問事件可以標(biāo)識應(yīng)用程序,由應(yīng)用程序訪問的文件�����,應(yīng)用程序請求的讀取區(qū)塊尺寸����,及
可選地,應(yīng)用程序請求的讀取偏移量�����。如上所述���,可以從作為在容宿應(yīng)用程序訪問的文件的
計算設(shè)備中運(yùn)行的OS的一部分的過濾驅(qū)動器處接收文件訪問事件�����,也可以從嗅探在客戶
端和容宿客戶端程序訪問的文件的數(shù)據(jù)存儲系統(tǒng)之間的網(wǎng)絡(luò)流量的基于網(wǎng)絡(luò)的應(yīng)用程序
處接收文件訪問事件,或從任何能夠獲取關(guān)于應(yīng)用程序文件訪問請求的信息的其他模塊或
應(yīng)用程序處接收文件訪問事件����。 在塊604����,處理邏輯通過解析文件訪問事件的信息來確定所請求的讀取區(qū)塊尺寸���。 在塊606���,處理邏輯確定該請求的讀取區(qū)塊尺寸是否指示了文件數(shù)據(jù)讀取模式。如果是�,則 處理邏輯觸發(fā)一個或多個DLP動作(塊614)。如果否��,則在一個實施例中�����,處理邏輯可以通 過比較所請求的讀取偏移量和預(yù)定的讀取偏移量����,來進(jìn)一步驗證該文件訪問事件是否符合 元信息讀取模式(塊607)。如果所請求的讀取偏移量與預(yù)定的讀取偏移量匹配�����,則處理邏 輯繼續(xù)到塊608。如果不匹配�����,則處理邏輯觸發(fā)一個或多個DLP動作(塊614)�。
在塊608,處理邏輯遞增事件數(shù)量參數(shù)���。如果得到的事件數(shù)量參數(shù)超過了閾值數(shù) 量(塊610)�����,則處理邏輯觸發(fā)一個或多個DLP動作(塊614)����?;蛘撸幚磉壿嫼雎栽撐募?訪問事件(塊612)���。 圖7是計算機(jī)系統(tǒng)700的示例性形式的機(jī)器的圖形表示����,在該計算機(jī)系統(tǒng)中可執(zhí) 行一組指令����,該組指令用于導(dǎo)致機(jī)器執(zhí)行此處所討論的任意一種或多種方法。在可替換的 實施例中�,機(jī)器可以連接(例如,聯(lián)網(wǎng))到LAN����,內(nèi)部網(wǎng),外部網(wǎng)或因特網(wǎng)中的其他機(jī)器�。該 機(jī)器可以作為客戶端_服務(wù)器網(wǎng)絡(luò)環(huán)境中的服務(wù)器或客戶端機(jī)器來運(yùn)行,或作為對等(或 分布式)網(wǎng)絡(luò)環(huán)境中的對等機(jī)器來運(yùn)行��。該機(jī)器可以是個人計算機(jī)(PC)���,平板PC�����,機(jī)頂盒
9(STB)���,個人數(shù)字助理(PDA),蜂窩電話�,web裝置,服務(wù)器�����,網(wǎng)絡(luò)路由器,交換機(jī)或網(wǎng)橋���,或任 何能夠(順序地或以其它方式)執(zhí)行一組指令的機(jī)器��,該組指令規(guī)定了由該機(jī)器采取的動 作�。此外��,雖然僅僅圖示了單個機(jī)器�,但是術(shù)語"機(jī)器"還應(yīng)該包括單獨(dú)或共同執(zhí)行一組(或 多組)指令以執(zhí)行此處討論的任意一種或多種方法的機(jī)器的任意集合。
示例性的計算機(jī)系統(tǒng)700包括處理設(shè)備(處理器)702�����,主存儲器704 (例如����,只讀 存儲器(ROM),閃存存儲器���,例如同步DRAM (SDRAM)或存儲器總線DRAM (RDRAM)的動態(tài)隨機(jī) 訪問存儲器(DRAM)等)��,靜態(tài)存儲器706(例如���,閃存存儲器�,靜態(tài)隨機(jī)訪問存儲器(SRAM) 等)�,以及數(shù)據(jù)存儲設(shè)備718,這些部件通過總線730互相通信���。 處理器702表示一個或多個通用處理設(shè)備,例如微處理器�,中央處理單元等。更特 別的���,處理器702可以是復(fù)雜指令集計算(CISC)微處理器�����,精簡指令集計算(RISC)微處理 器���,超長指令字(VLIW)微處理器,或?qū)崿F(xiàn)其他指令集的處理器��,或?qū)崿F(xiàn)指令集組合的處理 器���。處理器702還可以是一個或多個專用處理設(shè)備��,例如專用集成電路(ASIC)�,現(xiàn)場可編 程門陣列(FPGA),數(shù)字信號處理器(DSP)����,網(wǎng)絡(luò)處理器等。處理器702配置為執(zhí)行處理邏輯 726以完成此處所討論的操作和步驟���。 計算機(jī)系統(tǒng)700可以進(jìn)一步包括網(wǎng)絡(luò)接口設(shè)備708 �。計算機(jī)系統(tǒng)700還可以包括視 頻顯示單元710(例如����,液晶顯示器(LCD)或陰極射線管(CRT)),字母數(shù)字輸入設(shè)備712(例 如����,鍵盤),光標(biāo)控制設(shè)備714 (例如����,鼠標(biāo)),及信號生成設(shè)備716 (例如���,揚(yáng)聲器)���。
數(shù)據(jù)存儲設(shè)備718可以包括機(jī)器可存取的存儲介質(zhì)730�����,其上存儲了一組或多組 能夠?qū)崿F(xiàn)此處所討論的任意一種或多種方法或功能的指令(例如軟件722)��。軟件722還 可以在其由計算機(jī)系統(tǒng)700執(zhí)行期間完全或至少部分地駐留在主存儲器704中和/或處理 器702中��,主存儲器704和處理器702也構(gòu)成機(jī)器可存取的存儲介質(zhì)。軟件722可以進(jìn)一 步通過網(wǎng)絡(luò)接口設(shè)備708在網(wǎng)絡(luò)720上發(fā)送或接收�����。 雖然在示例性實施例中機(jī)器可存取的存儲介質(zhì)730是單個的介質(zhì)�,但術(shù)語"機(jī)器 可存取的存儲介質(zhì)"應(yīng)該包括存儲一組或多組指令的單個的介質(zhì)或多個介質(zhì)(例如,集中式 或分布式的數(shù)據(jù)庫���,和/或相關(guān)聯(lián)的高速緩存和服務(wù)器)��。術(shù)語"機(jī)器可存取的存儲介質(zhì)" 還應(yīng)該包括能夠存儲�����,編碼或承載一組由該機(jī)器執(zhí)行并使得該機(jī)器完成本發(fā)明的任意一種 或多種方法的指令的任意介質(zhì)�����。因此���,術(shù)語"機(jī)器可存取的存儲介質(zhì)"應(yīng)該包括但不限于固 態(tài)存儲器�����,光介質(zhì)和磁介質(zhì)����。 可以理解����,以上描述是示例性的而非限制性的。在閱讀和理解上面的描述之后�,對 于本領(lǐng)域的技術(shù)人員來說,許多其他的實施例都是顯而易見的�����。因此����,本發(fā)明的范圍應(yīng)參照 附加的權(quán)利要求與這些權(quán)利要求所代表的等同物的全部范圍來確定���。
權(quán)利要求
一種計算機(jī)實現(xiàn)的方法,其基于應(yīng)用程序的數(shù)據(jù)訪問模式����,對應(yīng)用程序的行為進(jìn)行分類,該方法包括監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件�;確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖;及如果至少一個文件訪問事件指示了操縱文件數(shù)據(jù)的企圖���,則使至少一個動作被執(zhí)行����。
2. 如權(quán)利要求l所述的方法���,其中該應(yīng)用程序是光盤(CD)燒制應(yīng)用程序,數(shù)字化視頻光盤(DVD)燒制應(yīng)用程序����,數(shù)據(jù)壓縮應(yīng)用程序,瀏覽器應(yīng)用程序及云存儲應(yīng)用程序中的任意一種��。
3. 如權(quán)利要求l所述的方法����,進(jìn)一步包括從過濾驅(qū)動器或嗅探網(wǎng)絡(luò)流量的基于網(wǎng)絡(luò)的應(yīng)用程序處接收文件訪問事件�����。
4. 如權(quán)利要求1所述的方法���,其中文件訪問事件標(biāo)識文件并指定讀取區(qū)塊尺寸��。
5. 如權(quán)利要求4所述的方法���,其中文件訪問事件指定了讀取偏移量。
6. 如權(quán)利要求1所述的方法�,其中操縱文件數(shù)據(jù)包括修改文件數(shù)據(jù),復(fù)制文件數(shù)據(jù)和顯示文件數(shù)據(jù)中的至少一種���。
7. 如權(quán)利要求1所述的方法��,其中確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖包括確定關(guān)于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù)���。
8. 如權(quán)利要求1所述的方法,其中確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖包括確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量��。
9. 如權(quán)利要求1所述的方法,其中使至少一個動作被執(zhí)行包括掃描該文件數(shù)據(jù)以查找機(jī)密信息����;及檢測到該文件中的機(jī)密信息之后,限制該文件讀取請求�����。
10. 如權(quán)利要求l所述的方法����,進(jìn)一步包括確定文件訪問事件指示了訪問文件元數(shù)據(jù)的企圖;及如果該企圖被確定為訪問該文件元數(shù)據(jù)的企圖�����,則允許該文件訪問事件繼續(xù)���。
11. 一種基于應(yīng)用程序的數(shù)據(jù)訪問模式對應(yīng)用程序的行為分類的系統(tǒng)���,該系統(tǒng)包括應(yīng)用程序請求分析器�,該應(yīng)用程序請求分析器監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件,并確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖��;及動作管理器,該動作管理器耦接到該應(yīng)用程序請求分析器�,以在至少一個文件訪問事件指示操縱文件數(shù)據(jù)的企圖的情況下執(zhí)行至少一個動作。
12. 如權(quán)利要求ll所述的系統(tǒng)���,其中該應(yīng)用程序是光盤(CD)燒制應(yīng)用程序��,數(shù)字化視頻光盤(DVD)燒制應(yīng)用程序�����,數(shù)據(jù)壓縮應(yīng)用程序���,瀏覽器應(yīng)用程序及云存儲應(yīng)用程序中的任意一種。
13. 如權(quán)利要求ll所述的系統(tǒng)����,進(jìn)一步包括過濾驅(qū)動器,該過濾驅(qū)動器生成文件訪問事件�。
14. 如權(quán)利要求11所述的系統(tǒng),其中文件訪問事件標(biāo)識文件�,并指定讀取區(qū)塊尺寸并且可選地指定讀取偏移量。
15. 如權(quán)利要求11所述的系統(tǒng)�����,其中該應(yīng)用程序請求分析器通過以下方式確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖確定關(guān)于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù);及確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量����。
16. 如權(quán)利要求11所述的系統(tǒng),其中該動作管理器進(jìn)一步確定文件訪問事件指示了訪問文件元數(shù)據(jù)的企圖��,并且如果該企圖被確定是訪問該文件元數(shù)據(jù)的企圖���,那么該動作管理器允許該文件訪問事件繼續(xù)��。
17. —種基于應(yīng)用程序的數(shù)據(jù)訪問模式對應(yīng)用程序的行為分類的設(shè)備��,該設(shè)備包括用于監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件的裝置��;用于確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖的裝置���;及用于如果至少一個文件訪問事件指示了操縱文件數(shù)據(jù)的企圖,則使至少一個動作被執(zhí)行的裝置����。
18. 如權(quán)利要求17所述的設(shè)備,其中文件訪問事件標(biāo)識文件��,并指定讀取區(qū)塊尺寸并且可選地指定讀取偏移量���。
19. 如權(quán)利要求17所述的設(shè)備���,其中用于確定是否這些文件訪問事件中的至少一個指示了應(yīng)用程序操縱文件數(shù)據(jù)的企圖的裝置包括用于確定關(guān)于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù)的裝置;及用于確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量的裝置�����。
全文摘要
本申請通過應(yīng)用程序數(shù)據(jù)訪問分類進(jìn)行的數(shù)據(jù)損失保護(hù)�,描述了基于應(yīng)用程序的數(shù)據(jù)訪問模式,對應(yīng)用程序的行為進(jìn)行分類的方法和設(shè)備����。在一個實施例中,該方法包括監(jiān)測與應(yīng)用程序相關(guān)聯(lián)的文件訪問事件�,并確定是否這些文件訪問事件中的至少一個指示了該應(yīng)用程序操縱文件數(shù)據(jù)的企圖。如果至少一個文件訪問事件指示了該應(yīng)用程序操縱文件中的數(shù)據(jù)的企圖�,那么使至少一個動作被執(zhí)行。
文檔編號G06F21/22GK101751535SQ20091025308
公開日2010年6月23日 申請日期2009年10月30日 優(yōu)先權(quán)日2008年10月31日
發(fā)明者伊恩·巴利爾, 布魯斯·烏坦, 德克·克斯勒, 拉杰什·烏帕蒂亞 申請人:賽門鐵克公司