專利名稱:通過應用程序數(shù)據(jù)訪問分類進行的數(shù)據(jù)損失保護的制作方法
技術領域:
本發(fā)明的實施例涉及處理數(shù)據(jù)領域���,以及更特別地�,涉及基于其數(shù)據(jù)訪問模式對
應用程序的行為的分類�。
背景技術:
現(xiàn)代機構的雇員常常要訪問包含了關于該機構各種重要商業(yè)方面的信息的文件。 該信息可以包括顧客(或患者)�,合同,票據(jù)��,供給����,雇員,生產(chǎn)或類似物的數(shù)據(jù)?��,F(xiàn)有的安全 技術通常在數(shù)據(jù)離開端點系統(tǒng)時掃描數(shù)據(jù)以防止敏感信息的損失���。上述掃描依賴于端點系 統(tǒng)攔截和分析從程序中輸出的數(shù)據(jù)的能力。然而����,在一些實例中����,端點系統(tǒng)所攔截的數(shù)據(jù)格 式可能是未知的���,或者��,程序可能在輸出數(shù)據(jù)之前對其進行加密��。此外��,端點系統(tǒng)不是總能 夠攔截由程序輸出的數(shù)據(jù)���。 端點系統(tǒng)可以通過防止特定應用程序訪問包含機密信息的文件來解決上述限制。 例如�,端點系統(tǒng)可以通過如CD或DVD燒制應用程序,壓縮或指紋識別程序應用程序等來 阻止對包含機密信息的文件的訪問��。然而��,阻止應用程序對文件的訪問會引起誤報損失 (false positive penalty)���。特別地�,應用程序并不總是為了操縱文件的數(shù)據(jù)而訪問文件 的�。相反�����,應用程序可能僅僅掃描文件的元數(shù)據(jù),而不打開文件查看或編輯(例如�����,出于目 錄呈現(xiàn)的原因來確定文件的屬性等)�。
發(fā)明內容
描述了基于應用程序的數(shù)據(jù)訪問模式對應用程序的行為分類的方法和裝置。在一 個實施例中��,該方法包括監(jiān)測與應用程序相關聯(lián)的文件訪問事件�,并確定是否這些文件訪 問事件中的至少一個指示了該應用程序操縱文件的數(shù)據(jù)的企圖。如果至少一個文件訪問事 件指示了應用程序操縱文件中的數(shù)據(jù)的企圖��,那么導致執(zhí)行至少一個動作���。
從下面的詳細說明和本發(fā)明各實施例的附圖中����,可以更加充分地理解本發(fā)明�����,然
而,這并不用來將本發(fā)明限制于特定的實施例中���,而僅用于說明和理解之用��。
圖1表示本發(fā)明的實施例可在其中運行的示例性系統(tǒng)體系結構�����。 圖2和圖3表示本發(fā)明的實施例可在其中運行的示例性網(wǎng)絡體系結構��。 圖4是監(jiān)測應用程序的一個實施例的框圖�����。 圖5是基于應用程序的數(shù)據(jù)訪問模式對應用程序行為分類的方法的一個實施例 的流程圖�����。 圖6是分析應用程序數(shù)據(jù)訪問模式的方法的一個實施例的流程圖�。
圖7是可以執(zhí)行此處所述的一個或多個操作的示例性計算機系統(tǒng)的框圖���。
具體實施例方式
描述了基于其數(shù)據(jù)訪問模式對應用程序行為進行分類的系統(tǒng)和方法�����。應用程序可 以是�����,例如��,CD燒制應用程序����,DVD燒制應用程序���,壓縮應用程序(例如��,zip壓縮)��,瀏覽器 (例如��,Internet Explorer )�,云存儲應用程序(例如����,在線網(wǎng)格(Live Mesh)服務等)。
在一個實施例中�,監(jiān)測與應用程序相關聯(lián)的文件訪問事件以確認是否這些文件訪問事件中 的至少一個指示了應用程序試圖操縱文件的數(shù)據(jù)�。該確認可以基于���,例如����,文件訪問事件的 讀取區(qū)塊尺寸�,文件訪問事件的讀取偏移量,在特定時間間隔內文件訪問事件的數(shù)量��,或以 上因素的任意組合���。文件數(shù)據(jù)操縱與元數(shù)據(jù)操縱不同����,可以涉及�,例如,編輯文件數(shù)據(jù)��,變換 文件數(shù)據(jù)�,將文件數(shù)據(jù)寫入到可移動的存儲介質等等。 如果至少一個文件訪問事件指示了應用程序試圖操縱文件數(shù)據(jù)�����,就觸發(fā)與這種操 縱相關聯(lián)的動作。示意性的被觸發(fā)的動作可以包括掃描文件數(shù)據(jù)以查找機密信息�����,以及在 檢測到機密信息后���,阻止應用程序對該文件數(shù)據(jù)的訪問�,和/或報告應用程序對該文件數(shù) 據(jù)的訪問����。否則����,如果文件訪問事件指示應用程序試圖掃描文件的元數(shù)據(jù)而非文件數(shù)據(jù),則 忽略該文件訪問事件����。 在下面的描述中,會闡述大量的細節(jié)�����。然而,很明顯�����,對于本領域的技術人員�,無需 這些特定的細節(jié)就可以實現(xiàn)本發(fā)明。在一些例子中����,為了避免與本發(fā)明混淆,采用框圖形式 而不是細節(jié)來表示已知的結構和設備�。 下面詳細描述的一部分用算法及計算機存儲器中數(shù)據(jù)位上的運算的符號表示來 表現(xiàn)。這些算法描述和表示是數(shù)據(jù)處理領域的技術人員使用的最有效地向該領域的其他技 術人員表達他們工作的實質的方式��。算法在此處以及通常被認為是通向所需結果的步驟的 自洽的(self-consistent)序列��。這些步驟是需要物理量的物理操縱的步驟���。通常���,雖然 不是一定的,但這些量還是表現(xiàn)為電或磁信號��,其能夠被存儲���,傳輸��,組合����,比較及以其他方 式操縱。主要出于通常使用的原因�,將這些信號稱為比特,值����,元素,符號����,字符��,術語��,數(shù)字 或類似物�,已經(jīng)證明有時是很方便的。 然而�����,要記住的是,所有這些及類似的術語都與適當?shù)奈锢砹肯嚓P聯(lián)�,并且僅僅是 應用于這些量的方便的標簽。除非下面的論述中明確的特別另行說明�����,可以理解��,貫穿說明 書全篇�����,使用術語如"處理"��,"計算"��,"估算"���,"確定"����,"顯示"或類似詞語的討論���,都是指計 算機系統(tǒng)或類似電子計算設備的動作和處理�,其將計算機系統(tǒng)的寄存器和存儲器中表示為 物理(例如電子)量的數(shù)據(jù)操縱和變換為在計算機系統(tǒng)存儲器或寄存器或其他這種信息存 儲,傳輸或顯示設備中的類似地表示為物理量的其他數(shù)據(jù)���。 本發(fā)明還涉及到執(zhí)行本申請中操作的裝置���。該裝置可以是為了所需目的專門構 造的,或者其可以包括由存儲于計算機中的計算機程序來選擇性激活或重新配置的通用計 算機�。這樣的計算機程序可以存儲于計算機可讀介質中,所述計算機可讀介質例如但不限 于任何形式的盤�,包括軟盤,光盤�,CD-R0M,及磁光盤��,只讀存儲器(ROM)��,隨機訪問存儲器 (RAM) ����, EPR0M, EEPROM����,磁卡或光卡�,或任何形式的適于存儲電子指令的介質����。
此處呈現(xiàn)的算法和顯示在本質上不涉及任何特定的計算機或其他裝置���。依照此處 的教導����,各種通用系統(tǒng)可與程序一起使用���,或者可以證明�����,構造更加專用的裝置來執(zhí)行所需 的方法步驟是很方便的��。各種這些系統(tǒng)所需的結構從下面的描述中可以得到�。此外����,并不 參照任何特定的編程語言來描述本發(fā)明?���?梢岳斫?����,可以使用各種編程語言來實現(xiàn)此處所述的本發(fā)明的技術�。 圖1是本發(fā)明的實施例可在其中運行的示意性系統(tǒng)體系結構100的框圖���。系統(tǒng) 100包括計算設備120��,該計算設備可以是個人計算機(PC)�����,便攜式電腦��,移動電話��,服務器 或任何其他計算設備�。計算設備120運行操作系統(tǒng)(OS) 102��,其管理計算設備120的硬件 和軟件��。OS 102可以是���,例如�,Microsoft \VindowS OS��, Li皿x��, Mac 0S�����, Solaris等等�����。 應用程序108����, 110和112運行于OS 102之上,并執(zhí)行包括訪問駐留于計算設備120的數(shù)據(jù) 存儲器(例如內存或盤驅動器)中的文件114的各種功能�����。例如���,應用程序108到112可 以包括CD或DVD燒制應用程序108�,壓縮應用程序110�����,web瀏覽器112等等。
文件114可以包括元數(shù)據(jù)118 (稱為元信息)和實際數(shù)據(jù)116 (文件的其余部分)����。 元信息118可以指定各種文件屬性,例如格式���,標題����,尺寸�,創(chuàng)建日期,最后更新的日期等 等�。應用程序108到112可以掃描文件元信息,而不訪問文件的實際數(shù)據(jù)(例如顯示文件 目錄�����,確定計算設備120的硬件是否能夠顯示特定的視頻文件��,等等)�。或者,應用程序108 到112可以讀取文件的實際數(shù)據(jù)來編輯數(shù)據(jù)���,加密數(shù)據(jù)�,將數(shù)據(jù)寫入到可移動的存儲介質����, 等等���。在特定情形下����,區(qū)分應用程序是操縱文件數(shù)據(jù)還是掃描文件元信息是重要的�。例如, 數(shù)據(jù)損失預防(DLP)系統(tǒng)可能需要防止CD或DVD燒制應用程序108向可移動存儲介質中寫 入包含機密信息的文件數(shù)據(jù)����,卻允許應用程序108掃描文件元信息以用于呈現(xiàn)文件目錄。 類似地��,DLP系統(tǒng)可能需要防止瀏覽器112打開圖像文件來編輯�,卻允許瀏覽器112掃描文 件的元信息以確定計算設備120的硬件是否能夠顯示該圖像數(shù)據(jù)。 在一個實施例中�,計算設備120容宿(host)監(jiān)測應用程序106,該監(jiān)測應用程序監(jiān) 測與應用程序108到112 ("可疑的"應用程序)相關聯(lián)的文件訪問事件,以確定這些可疑 的應用程序是試圖訪問文件數(shù)據(jù)還是文件元信息�����。特別地��,監(jiān)測應用程序106可以與過濾 驅動器104通信以檢測可疑應用程序的執(zhí)行�,并接收與該可疑應用程序相關聯(lián)的文件訪問 事件。在一個實施例中���,過濾驅動器104充當0S 102的一部分�,以能夠確定哪些應用程序 開始執(zhí)行(例如�����,通過截聽用于進程創(chuàng)建的OS調用)����,并能查看正在執(zhí)行的應用程序的1/ 0請求(例如,使用文件系統(tǒng)掛鉤(hook)查看系統(tǒng)上的所有文件I/0并接收I/0請求分組 (IRP))�。然后,過濾驅動器104能夠將與可疑應用程序108到112相關聯(lián)的文件訪問事件 發(fā)送到監(jiān)測應用程序106��。文件訪問事件例如可以包括標識出被訪問的文件��、訪問文件的應 用程序、應用程序請求的讀取區(qū)塊尺寸和/或讀取偏移量等等的信息��。
隨著接收文件訪問請求后�,監(jiān)測應用程序106可以分析該事件以確定其是否符合 著元信息讀取模式或文件數(shù)據(jù)讀取模式。在一個實施例中����,監(jiān)測應用程序106使用閾值讀 取區(qū)塊尺寸來執(zhí)行這種分析。如果已接收的文件訪問事件中的讀取區(qū)塊尺寸超過了閾值參 數(shù)���,那么監(jiān)測應用程序106確定已接收的文件訪問事件符合文件數(shù)據(jù)讀取模式。否則����,如果 已接收的文件訪問事件中的讀取區(qū)塊尺寸低于閾值參數(shù),那么監(jiān)測應用程序106確定已接 收的文件訪問事件符合元信息讀取模式���。在一個實施例中��,監(jiān)測應用程序106還能夠將來 自已接收的文件訪問事件的讀取偏移量與一個或多個預定的偏移量參數(shù)相比較���,以驗證可 疑應用程序的訪問模式。閾值讀取區(qū)塊尺寸和預定的讀取偏移量參數(shù)可以對于所有可疑應 用程序都是相同的���,或者是程序專用的���。閾值讀取區(qū)塊尺寸和預定的讀取偏移量參數(shù)可以 基于普通的系統(tǒng)庫的知識得到���,或通過觀察單獨應用程序的行為來憑經(jīng)驗確定。例如�����,為 了顯示打開文件對話框以及允許用戶查看列表文件的屬性���,CD/DVD燒制應用程序108必須以2-64字節(jié)�����,256字節(jié)和512字節(jié)使用區(qū)塊讀取來讀取Windows OS的指定DLL(動態(tài)鏈接 庫)��。然而�,當CD/DVD燒制應用程序108將文件數(shù)據(jù)寫入到可移動的存儲介質時����,其以4096 字節(jié)或更大的區(qū)塊尺寸來讀取數(shù)據(jù)。在另一個實例中���,web瀏覽器可能需要讀取avi文件 的元信息以確定計算設備120的硬件是否能夠顯示該avi文件��。Avi元信息以偏移文件頭 部32字節(jié)的偏移量和52字節(jié)的尺寸存儲���。在這個例子中�����,web瀏覽器會使用52字節(jié)的區(qū) 塊尺寸和32字節(jié)的偏移量��?���;蛘?�,如果web瀏覽器試圖打開avi文件進行查看和編輯�����,就 需要以4096字節(jié)的區(qū)塊尺寸讀取數(shù)據(jù)��。 在一個實施例中�,監(jiān)測應用程序106還追蹤在一時間間隔上可疑應用程序的文件 訪問事件的數(shù)量����。如果這個數(shù)量超過了閾值(即��,可疑應用程序生成頻繁的文件訪問請 求)����,那么監(jiān)測應用程序106判定可疑應用程序試圖操縱文件的數(shù)據(jù)�����。閾值讀取數(shù)量可憑經(jīng) 驗基于單獨應用程序的行為來確定�,并可以對于所有應用程序來說是相同的或對于至少一 些應用程序來說是不同的。 如果監(jiān)測應用程序106確定與可疑應用程序相關聯(lián)的文件訪問事件符合元信息 讀取模式�����,那么監(jiān)測應用程序106就忽略這個文件訪問事件�。或者�,如果監(jiān)測應用程序106 確定可疑應用程序試圖操縱文件數(shù)據(jù),它就觸發(fā)一個或多個可以防止或限制可疑應用程序 的這種企圖的動作���。例如�,監(jiān)測應用程序106可以使文件被掃描以查找機密信息��,以及如果 該掃描檢測到機密信息,那么就可以阻止或報告可疑應用程序對文件的訪問���。這些動作可 以由監(jiān)測應用程序106本身或由與監(jiān)測應用程序106通信并由計算設備120或通過網(wǎng)絡 (例如�����,LAN或因特網(wǎng))耦合到設備120的另一個設備來容宿的DLP應用程序來執(zhí)行��。
在另一個實施例中�����,監(jiān)測應用程序106首先確定哪些文件包含機密信息��,然后僅 監(jiān)測及分析應用程序對包含機密信息的文件的訪問��。如果監(jiān)測應用程序106確定可疑應用 程序僅試圖掃描包含機密信息的文件的元信息,那么監(jiān)測應用程序106允許掃描繼續(xù)�����?��;?者���,如果監(jiān)測應用程序106確定可疑應用程序試圖讀取文件數(shù)據(jù)��,那么監(jiān)測應用程序106觸 發(fā)可以阻止�,限制或報告可疑應用程序的這種企圖的動作��。 圖2表示本發(fā)明實施例可在其中運行的示意性網(wǎng)絡體系結構200����。根據(jù)網(wǎng)絡體系 結構200,客戶端212通過網(wǎng)絡210 (例如���,諸如LAN的專用網(wǎng)絡或諸如因特網(wǎng)的公用網(wǎng))耦 合到數(shù)據(jù)存儲系統(tǒng)206��。每個客戶端212可以是PC��,便攜式電腦�����,移動電話���,個人數(shù)字助理 等等。數(shù)據(jù)存儲系統(tǒng)206可以表示�,例如��,存儲各種文件208的附網(wǎng)存儲器(NAS)系統(tǒng)���。
每個客戶端212容宿應用程序214,應用程序執(zhí)行各種功能�,例如CD/DVD燒制,zip 壓縮����,web瀏覽等等。這些可疑應用程序214中的每一個都能訪問駐留在數(shù)據(jù)存儲系統(tǒng)206 中的文件208�。如上所述,可疑應用程序214可以僅掃描文件208的元信息或訪問實際文件 數(shù)據(jù)����。監(jiān)測應用程序204與監(jiān)測應用程序106的作用類似,基于其數(shù)據(jù)訪問模式對可疑應 用程序204的行為進行分類�����。在一個實施例中����,監(jiān)測應用程序204駐留在通過網(wǎng)絡210耦 合到客戶端212的服務器202中����,并從對客戶端212和數(shù)據(jù)存儲系統(tǒng)206之間的網(wǎng)絡流量 進行嗅探的基于網(wǎng)絡的應用程序處或從數(shù)據(jù)存儲系統(tǒng)206容宿的應用程序處���,接收與可疑 應用程序214相關聯(lián)的文件訪問事件。在另一個實施例中�����,監(jiān)測應用程序204可由數(shù)據(jù)存 儲系統(tǒng)206容宿�����,并能在數(shù)據(jù)存儲系統(tǒng)206接收應用程序214的文件訪問請求的時候����,截聽 應用程序214的文件訪問請求。 圖3表示本發(fā)明的實施例可在其中運行的另一個示意性網(wǎng)絡體系結構300�。根據(jù)網(wǎng)絡體系結構300,客戶端308通過網(wǎng)絡306 (例如���,諸如LAN的專用網(wǎng)或諸如因特網(wǎng)的公用 網(wǎng))耦合到云存儲服務設備302��。每個客戶端308可以是PC�����,便攜式電腦��,移動電話����,個人 數(shù)字助理等等。云存儲服務302提供到客戶端308的數(shù)據(jù)存儲傳遞���。在一個實施例中�,云 存儲服務302表示Mcrosoft⑧在線網(wǎng)格服務��,其使得客戶端308的文件312得以共享和同 步���。例如�����,當客戶端1的應用程序310修改客戶端1的文件312時����,服務302對客戶端2和 客戶端3的文件進行同步以匹配客戶端1的文件�。 應用程序310可以修改文件312的數(shù)據(jù)���,或者�,他們可以僅修改文件312的元信 息。監(jiān)測應用程序304監(jiān)測接收自客戶端308的同步請求��,并確定這些請求是僅影響到文 件元信息還是影響到文件數(shù)據(jù)本身���。如上參考圖1的監(jiān)測應用程序106所述�����,監(jiān)測應用程 序304能夠基于讀取區(qū)塊尺寸���,讀取偏移量,每個時間間隔中的同步請求數(shù)量����,或上述因素 的任意組合來作出這個確定。如果接收自客戶端308的請求限于文件元信息的同步��,那么 監(jiān)測應用程序304忽略該請求����,允許其繼續(xù)���。或者����,如果客戶端請求涉及文件數(shù)據(jù)的變換, 則監(jiān)測應用程序304觸發(fā)一個或多個動作���,如掃描文件以查找機密信息�,并且如果文件包 含機密信息����,就防止文件數(shù)據(jù)被同步。 圖4是監(jiān)測應用程序400的一個實施例的框圖�����。監(jiān)測應用程序400可選地可包括 配置器(configurator)402�����,該配置器可以允許監(jiān)測應用程序400被配置(例如�����,通過用戶 接口)為監(jiān)測特定可疑應用程序的文件訪問行為。此外����,配置器402能夠將監(jiān)測應用程序 400配置為使用特定參數(shù)用于分析可疑應用程序的文件訪問行為。該參數(shù)可以是所有可疑 程序公用的或單獨應用程序專用的���。 監(jiān)測應用程序400還可包括應用程序請求分析器404和動作管理器406。應用程 序請求分析器404可以監(jiān)測與可疑應用程序相關聯(lián)的文件訪問事件��,并基于文件訪問事件 對可疑應用程序的行為進行分類�。 動作管理器406忽略指示應用程序試圖掃描文件元信息的文件訪問事件。當至少 一個應用程序的文件訪問事件指示其試圖操縱文件數(shù)據(jù)時����,動作管理器406觸發(fā)響應于這 樣的事件而執(zhí)行的一個或多個動作。例如���,動作管理器406可以促使文件被掃描以查找機 密信息�����,并且如果文件包含機密信息����,就阻止或報告應用程序對文件的訪問。
圖5是基于其數(shù)據(jù)訪問模式對應用程序行為進行分類的方法500的一個實施例的 流程圖����。方法500由處理邏輯來執(zhí)行,該處理邏輯可以包括硬件(電路����,專用邏輯等),軟件 (例如在通用計算機系統(tǒng)或專用機器上運行的)或二者的組合�����。方法500可以由如圖1中 的計算設備120���,圖2中的服務器202����,或圖3中的云存儲服務設備302之類的計算設備來 執(zhí)行�。 參照圖5,處理邏輯從監(jiān)測與應用程序相關聯(lián)的文件訪問事件開始(塊502)��。應用 程序可以是��,例如���,CD燒制應用程序���,DVD燒制應用程序�,壓縮應用程序(例如�,zip壓縮), 瀏覽器(例如�����,Internet Explorer )��,云存儲應用程序(例如��,在線網(wǎng)格服務)等等��?���?梢?從充當在容宿應用程序訪問的文件的計算設備中運行的OS的一部分的過濾驅動器處接收 文件訪問事件����,從嗅探在客戶端和容宿客戶端程序訪問的文件的數(shù)據(jù)存儲系統(tǒng)之間的網(wǎng)絡 流量的基于網(wǎng)絡的應用程序處接收文件訪問事件,或從任何能夠獲取關于應用程序文件訪 問請求的信息的其他模塊或應用程序處接收文件訪問事件����。 在塊504����,處理邏輯確定是否這些文件訪問事件中的至少一個指示了應用程序試圖操縱文件的數(shù)據(jù)���。該確定可以基于��,例如����,文件訪問事件的讀取區(qū)塊尺寸����,文件訪問事件 的讀取偏移量,在特定時間間隔上文件訪問事件的數(shù)量����,或以上各因素的組合。文件數(shù)據(jù)操 縱不同于元信息數(shù)據(jù)操縱�����,其可以涉及,例如��,編輯文件數(shù)據(jù)���,變換文件數(shù)據(jù)���,向可移動存儲 介質寫入文件數(shù)據(jù),等等��。 如果至少一個文件訪問事件指示了應用程序試圖操縱文件數(shù)據(jù)��,則處理邏輯執(zhí)行 與這種操縱相關聯(lián)的動作(塊506)�����。示例性的動作可以包括掃描文件數(shù)據(jù)以查找機密信 息�����,并在檢測到機密信息后���,阻止應用程序訪問該文件數(shù)據(jù),和/或報告應用程序對該文件 數(shù)據(jù)的訪問�。否則,如果文件訪問事件指示應用程序試圖掃描文件的元數(shù)據(jù)而非文件數(shù)據(jù)�����, 那么處理邏輯忽略該文件訪問事件(塊508)。 在另一個實施例中���,處理邏輯首先確定哪些文件包含機密信息�����,然后在塊504����,其 僅考慮那些屬于包含機密信息的文件的文件訪問事件�����。如果處理邏輯確定應用程序僅僅試 圖掃描包含機密信息的文件的元信息���,那么處理邏輯忽略有關的文件訪問事件(塊508)����。 或者��,如果處理邏輯確定應用程序試圖讀取文件數(shù)據(jù),那么處理邏輯觸發(fā)可以阻止���,限制或 報告可疑應用程序的這種企圖的動作(塊506)�����。 圖6是用于分析應用程序數(shù)據(jù)訪問模式的方法的一個實施例的流程圖���。方法600
由處理邏輯來執(zhí)行,該處理邏輯可能包括硬件(電路���,專用邏輯等)��,軟件(例如在通用計算
機系統(tǒng)或專用機器上運行的)或二者的組合���。方法600可以由如圖1中的計算設備120,圖
2中的服務器202�,或圖3中的云存儲服務設備302之類的計算設備來執(zhí)行�����。 參考圖6�����,處理邏輯從接收與應用程序相關聯(lián)的文件訪問事件開始(塊602)。文
件訪問事件可以標識應用程序����,由應用程序訪問的文件,應用程序請求的讀取區(qū)塊尺寸����,及
可選地,應用程序請求的讀取偏移量����。如上所述,可以從作為在容宿應用程序訪問的文件的
計算設備中運行的OS的一部分的過濾驅動器處接收文件訪問事件����,也可以從嗅探在客戶
端和容宿客戶端程序訪問的文件的數(shù)據(jù)存儲系統(tǒng)之間的網(wǎng)絡流量的基于網(wǎng)絡的應用程序
處接收文件訪問事件,或從任何能夠獲取關于應用程序文件訪問請求的信息的其他模塊或
應用程序處接收文件訪問事件�。 在塊604,處理邏輯通過解析文件訪問事件的信息來確定所請求的讀取區(qū)塊尺寸��。 在塊606���,處理邏輯確定該請求的讀取區(qū)塊尺寸是否指示了文件數(shù)據(jù)讀取模式��。如果是��,則 處理邏輯觸發(fā)一個或多個DLP動作(塊614)����。如果否,則在一個實施例中����,處理邏輯可以通 過比較所請求的讀取偏移量和預定的讀取偏移量,來進一步驗證該文件訪問事件是否符合 元信息讀取模式(塊607)�。如果所請求的讀取偏移量與預定的讀取偏移量匹配,則處理邏 輯繼續(xù)到塊608�。如果不匹配,則處理邏輯觸發(fā)一個或多個DLP動作(塊614)�。
在塊608,處理邏輯遞增事件數(shù)量參數(shù)���。如果得到的事件數(shù)量參數(shù)超過了閾值數(shù) 量(塊610)�,則處理邏輯觸發(fā)一個或多個DLP動作(塊614)���?�;蛘?��,處理邏輯忽略該文件 訪問事件(塊612)。 圖7是計算機系統(tǒng)700的示例性形式的機器的圖形表示���,在該計算機系統(tǒng)中可執(zhí) 行一組指令��,該組指令用于導致機器執(zhí)行此處所討論的任意一種或多種方法����。在可替換的 實施例中�����,機器可以連接(例如���,聯(lián)網(wǎng))到LAN���,內部網(wǎng),外部網(wǎng)或因特網(wǎng)中的其他機器�。該 機器可以作為客戶端_服務器網(wǎng)絡環(huán)境中的服務器或客戶端機器來運行,或作為對等(或 分布式)網(wǎng)絡環(huán)境中的對等機器來運行����。該機器可以是個人計算機(PC)�,平板PC����,機頂盒
9(STB),個人數(shù)字助理(PDA)�,蜂窩電話,web裝置����,服務器,網(wǎng)絡路由器����,交換機或網(wǎng)橋,或任 何能夠(順序地或以其它方式)執(zhí)行一組指令的機器��,該組指令規(guī)定了由該機器采取的動 作���。此外�,雖然僅僅圖示了單個機器�����,但是術語"機器"還應該包括單獨或共同執(zhí)行一組(或 多組)指令以執(zhí)行此處討論的任意一種或多種方法的機器的任意集合�。
示例性的計算機系統(tǒng)700包括處理設備(處理器)702�,主存儲器704 (例如���,只讀 存儲器(ROM),閃存存儲器�����,例如同步DRAM (SDRAM)或存儲器總線DRAM (RDRAM)的動態(tài)隨機 訪問存儲器(DRAM)等)�,靜態(tài)存儲器706(例如,閃存存儲器�����,靜態(tài)隨機訪問存儲器(SRAM) 等)���,以及數(shù)據(jù)存儲設備718����,這些部件通過總線730互相通信�。 處理器702表示一個或多個通用處理設備,例如微處理器����,中央處理單元等��。更特 別的�,處理器702可以是復雜指令集計算(CISC)微處理器����,精簡指令集計算(RISC)微處理 器,超長指令字(VLIW)微處理器�����,或實現(xiàn)其他指令集的處理器�����,或實現(xiàn)指令集組合的處理 器����。處理器702還可以是一個或多個專用處理設備,例如專用集成電路(ASIC)����,現(xiàn)場可編 程門陣列(FPGA),數(shù)字信號處理器(DSP)����,網(wǎng)絡處理器等����。處理器702配置為執(zhí)行處理邏輯 726以完成此處所討論的操作和步驟���。 計算機系統(tǒng)700可以進一步包括網(wǎng)絡接口設備708 。計算機系統(tǒng)700還可以包括視 頻顯示單元710(例如�����,液晶顯示器(LCD)或陰極射線管(CRT))�,字母數(shù)字輸入設備712(例 如,鍵盤)��,光標控制設備714 (例如�,鼠標),及信號生成設備716 (例如����,揚聲器)。
數(shù)據(jù)存儲設備718可以包括機器可存取的存儲介質730���,其上存儲了一組或多組 能夠實現(xiàn)此處所討論的任意一種或多種方法或功能的指令(例如軟件722)���。軟件722還 可以在其由計算機系統(tǒng)700執(zhí)行期間完全或至少部分地駐留在主存儲器704中和/或處理 器702中�,主存儲器704和處理器702也構成機器可存取的存儲介質�����。軟件722可以進一 步通過網(wǎng)絡接口設備708在網(wǎng)絡720上發(fā)送或接收�。 雖然在示例性實施例中機器可存取的存儲介質730是單個的介質,但術語"機器 可存取的存儲介質"應該包括存儲一組或多組指令的單個的介質或多個介質(例如�,集中式 或分布式的數(shù)據(jù)庫,和/或相關聯(lián)的高速緩存和服務器)����。術語"機器可存取的存儲介質" 還應該包括能夠存儲,編碼或承載一組由該機器執(zhí)行并使得該機器完成本發(fā)明的任意一種 或多種方法的指令的任意介質���。因此�,術語"機器可存取的存儲介質"應該包括但不限于固 態(tài)存儲器����,光介質和磁介質。 可以理解�,以上描述是示例性的而非限制性的。在閱讀和理解上面的描述之后�,對 于本領域的技術人員來說,許多其他的實施例都是顯而易見的。因此���,本發(fā)明的范圍應參照 附加的權利要求與這些權利要求所代表的等同物的全部范圍來確定�。
權利要求
一種計算機實現(xiàn)的方法�����,其基于應用程序的數(shù)據(jù)訪問模式�����,對應用程序的行為進行分類�����,該方法包括監(jiān)測與應用程序相關聯(lián)的文件訪問事件�����;確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖����;及如果至少一個文件訪問事件指示了操縱文件數(shù)據(jù)的企圖����,則使至少一個動作被執(zhí)行��。
2. 如權利要求l所述的方法�,其中該應用程序是光盤(CD)燒制應用程序��,數(shù)字化視頻光盤(DVD)燒制應用程序���,數(shù)據(jù)壓縮應用程序�,瀏覽器應用程序及云存儲應用程序中的任意一種���。
3. 如權利要求l所述的方法�,進一步包括從過濾驅動器或嗅探網(wǎng)絡流量的基于網(wǎng)絡的應用程序處接收文件訪問事件�。
4. 如權利要求1所述的方法,其中文件訪問事件標識文件并指定讀取區(qū)塊尺寸����。
5. 如權利要求4所述的方法,其中文件訪問事件指定了讀取偏移量�。
6. 如權利要求1所述的方法,其中操縱文件數(shù)據(jù)包括修改文件數(shù)據(jù)�����,復制文件數(shù)據(jù)和顯示文件數(shù)據(jù)中的至少一種。
7. 如權利要求1所述的方法��,其中確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖包括確定關于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù)���。
8. 如權利要求1所述的方法�����,其中確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖包括確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量����。
9. 如權利要求1所述的方法����,其中使至少一個動作被執(zhí)行包括掃描該文件數(shù)據(jù)以查找機密信息�����;及檢測到該文件中的機密信息之后���,限制該文件讀取請求��。
10. 如權利要求l所述的方法�����,進一步包括確定文件訪問事件指示了訪問文件元數(shù)據(jù)的企圖�����;及如果該企圖被確定為訪問該文件元數(shù)據(jù)的企圖�����,則允許該文件訪問事件繼續(xù)��。
11. 一種基于應用程序的數(shù)據(jù)訪問模式對應用程序的行為分類的系統(tǒng)�����,該系統(tǒng)包括應用程序請求分析器����,該應用程序請求分析器監(jiān)測與應用程序相關聯(lián)的文件訪問事件,并確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖��;及動作管理器�,該動作管理器耦接到該應用程序請求分析器,以在至少一個文件訪問事件指示操縱文件數(shù)據(jù)的企圖的情況下執(zhí)行至少一個動作��。
12. 如權利要求ll所述的系統(tǒng),其中該應用程序是光盤(CD)燒制應用程序����,數(shù)字化視頻光盤(DVD)燒制應用程序,數(shù)據(jù)壓縮應用程序��,瀏覽器應用程序及云存儲應用程序中的任意一種�����。
13. 如權利要求ll所述的系統(tǒng)����,進一步包括過濾驅動器,該過濾驅動器生成文件訪問事件��。
14. 如權利要求11所述的系統(tǒng)���,其中文件訪問事件標識文件��,并指定讀取區(qū)塊尺寸并且可選地指定讀取偏移量。
15. 如權利要求11所述的系統(tǒng)���,其中該應用程序請求分析器通過以下方式確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖確定關于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù)���;及確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量����。
16. 如權利要求11所述的系統(tǒng)����,其中該動作管理器進一步確定文件訪問事件指示了訪問文件元數(shù)據(jù)的企圖,并且如果該企圖被確定是訪問該文件元數(shù)據(jù)的企圖����,那么該動作管理器允許該文件訪問事件繼續(xù)。
17. —種基于應用程序的數(shù)據(jù)訪問模式對應用程序的行為分類的設備�,該設備包括用于監(jiān)測與應用程序相關聯(lián)的文件訪問事件的裝置;用于確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖的裝置��;及用于如果至少一個文件訪問事件指示了操縱文件數(shù)據(jù)的企圖���,則使至少一個動作被執(zhí)行的裝置�����。
18. 如權利要求17所述的設備�,其中文件訪問事件標識文件�,并指定讀取區(qū)塊尺寸并且可選地指定讀取偏移量��。
19. 如權利要求17所述的設備�����,其中用于確定是否這些文件訪問事件中的至少一個指示了應用程序操縱文件數(shù)據(jù)的企圖的裝置包括用于確定關于文件訪問事件的讀取區(qū)塊尺寸是否超過了閾值區(qū)塊尺寸參數(shù)的裝置���;及用于確定在一時間間隔中文件訪問事件的數(shù)量是否超過了閾值訪問請求數(shù)量的裝置。
全文摘要
本申請通過應用程序數(shù)據(jù)訪問分類進行的數(shù)據(jù)損失保護���,描述了基于應用程序的數(shù)據(jù)訪問模式�����,對應用程序的行為進行分類的方法和設備�。在一個實施例中��,該方法包括監(jiān)測與應用程序相關聯(lián)的文件訪問事件����,并確定是否這些文件訪問事件中的至少一個指示了該應用程序操縱文件數(shù)據(jù)的企圖。如果至少一個文件訪問事件指示了該應用程序操縱文件中的數(shù)據(jù)的企圖���,那么使至少一個動作被執(zhí)行�。
文檔編號G06F21/22GK101751535SQ20091025308
公開日2010年6月23日 申請日期2009年10月30日 優(yōu)先權日2008年10月31日
發(fā)明者伊恩·巴利爾, 布魯斯·烏坦, 德克·克斯勒, 拉杰什·烏帕蒂亞 申請人:賽門鐵克公司