CN101751535B - 通过应用程序数据访问分类进行的数据损失保护 - Google Patents
通过应用程序数据访问分类进行的数据损失保护 Download PDFInfo
- Publication number
- CN101751535B CN101751535B CN200910253085.3A CN200910253085A CN101751535B CN 101751535 B CN101751535 B CN 101751535B CN 200910253085 A CN200910253085 A CN 200910253085A CN 101751535 B CN101751535 B CN 101751535B
- Authority
- CN
- China
- Prior art keywords
- file
- accessevents
- data
- application program
- reading
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/14—Protection against unauthorised use of memory or access to memory
- G06F12/1458—Protection against unauthorised use of memory or access to memory by checking the subject access rights
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Abstract
本申请通过应用程序数据访问分类进行的数据损失保护,描述了基于应用程序的数据访问模式,对应用程序的行为进行分类的方法和设备。在一个实施例中,该方法包括监测与应用程序相关联的文件访问事件,并确定是否这些文件访问事件中的至少一个指示了该应用程序操纵文件数据的企图。如果至少一个文件访问事件指示了该应用程序操纵文件中的数据的企图,那么使至少一个动作被执行。
Description
技术领域
本发明的实施例涉及处理数据领域,以及更特别地,涉及基于其数据访问模式对应用程序的行为的分类。
背景技术
现代机构的雇员常常要访问包含了关于该机构各种重要商业方面的信息的文件。该信息可以包括顾客(或患者),合同,票据,供给,雇员,生产或类似物的数据。现有的安全技术通常在数据离开端点系统时扫描数据以防止敏感信息的损失。上述扫描依赖于端点系统拦截和分析从程序中输出的数据的能力。然而,在一些实例中,端点系统所拦截的数据格式可能是未知的,或者,程序可能在输出数据之前对其进行加密。此外,端点系统不是总能够拦截由程序输出的数据。
端点系统可以通过防止特定应用程序访问包含机密信息的文件来解决上述限制。例如,端点系统可以通过如CD或DVD烧制应用程序,压缩或指纹识别程序应用程序等来阻止对包含机密信息的文件的访问。然而,阻止应用程序对文件的访问会引起误报损失(false positive penalty)。特别地,应用程序并不总是为了操纵文件的数据而访问文件的。相反,应用程序可能仅仅扫描文件的元数据,而不打开文件查看或编辑(例如,出于目录呈现的原因来确定文件的属性等)。
发明内容
描述了基于应用程序的数据访问模式对应用程序的行为分类的方法和装置。在一个实施例中,该方法包括监测与应用程序相关联的文件访问事件,并确定是否这些文件访问事件中的至少一个指示了该应用程序操纵文件的数据的企图。如果至少一个文件访问事件指示了应用程序操纵文件中的数据的企图,那么导致执行至少一个动作。
附图说明
从下面的详细说明和本发明各实施例的附图中,可以更加充分地理解本发明,然而,这并不用来将本发明限制于特定的实施例中,而仅用于说明和理解之用。
图1表示本发明的实施例可在其中运行的示例性系统体系结构。
图2和图3表示本发明的实施例可在其中运行的示例性网络体系结构。
图4是监测应用程序的一个实施例的框图。
图5是基于应用程序的数据访问模式对应用程序行为分类的方法的一个实施例的流程图。
图6是分析应用程序数据访问模式的方法的一个实施例的流程图。
图7是可以执行此处所述的一个或多个操作的示例性计算机系统的框图。
具体实施方式
描述了基于其数据访问模式对应用程序行为进行分类的系统和方法。应用程序可以是,例如,CD烧制应用程序,DVD烧制应用程序,压缩应用程序(例如,zip压缩),浏览器(例如,Internet),云存储应用程序(例如,在线网格(Live Mesh)服务等)。在一个实施例中,监测与应用程序相关联的文件访问事件以确认是否这些文件访问事件中的至少一个指示了应用程序试图操纵文件的数据。该确认可以基于,例如,文件访问事件的读取区块尺寸,文件访问事件的读取偏移量,在特定时间间隔内文件访问事件的数量,或以上因素的任意组合。文件数据操纵与元数据操纵不同,可以涉及,例如,编辑文件数据,变换文件数据,将文件数据写入到可移动的存储介质等等。
如果至少一个文件访问事件指示了应用程序试图操纵文件数据,就触发与这种操纵相关联的动作。示意性的被触发的动作可以包括扫描文件数据以查找机密信息,以及在检测到机密信息后,阻止应用程序对该文件数据的访问,和/或报告应用程序对该文件数据的访问。否则,如果文件访问事件指示应用程序试图扫描文件的元数据而非文件数据,则忽略该文件访问事件。
在下面的描述中,会阐述大量的细节。然而,很明显,对于本领域的技术人员,无需这些特定的细节就可以实现本发明。在一些例子中,为了避免与本发明混淆,采用框图形式而不是细节来表示已知的结构和设备。
下面详细描述的一部分用算法及计算机存储器中数据位上的运算的符号表示来表现。这些算法描述和表示是数据处理领域的技术人员使用的最有效地向该领域的其他技术人员表达他们工作的实质的方式。算法在此处以及通常被认为是通向所需结果的步骤的自洽的(self-consistent)序列。这些步骤是需要物理量的物理操纵的步骤。通常,虽然不是一定的,但这些量还是表现为电或磁信号,其能够被存储,传输,组合,比较及以其他方式操纵。主要出于通常使用的原因,将这些信号称为比特,值,元素,符号,字符,术语,数字或类似物,已经证明有时是很方便的。
然而,要记住的是,所有这些及类似的术语都与适当的物理量相关联,并且仅仅是应用于这些量的方便的标签。除非下面的论述中明确的特别另行说明,可以理解,贯穿说明书全篇,使用术语如“处理”,“计算”,“估算”,“确定”,“显示”或类似词语的讨论,都是指计算机系统或类似电子计算设备的动作和处理,其将计算机系统的寄存器和存储器中表示为物理(例如电子)量的数据操纵和变换为在计算机系统存储器或寄存器或其他这种信息存储,传输或显示设备中的类似地表示为物理量的其他数据。
本发明还涉及到执行本申请中操作的装置。该装置可以是为了所需目的专门构造的,或者其可以包括由存储于计算机中的计算机程序来选择性激活或重新配置的通用计算机。这样的计算机程序可以存储于计算机可读介质中,所述计算机可读介质例如但不限于任何形式的盘,包括软盘,光盘,CD-ROM,及磁光盘,只读存储器(ROM),随机访问存储器(RAM),EPROM,EEPROM,磁卡或光卡,或任何形式的适于存储电子指令的介质。
此处呈现的算法和显示在本质上不涉及任何特定的计算机或其他装置。依照此处的教导,各种通用系统可与程序一起使用,或者可以证明,构造更加专用的装置来执行所需的方法步骤是很方便的。各种这些系统所需的结构从下面的描述中可以得到。此外,并不参照任何特定的编程语言来描述本发明。可以理解,可以使用各种编程语言来实现此处所述的本发明的技术。
图1是本发明的实施例可在其中运行的示意性系统体系结构100的框图。系统100包括计算设备120,该计算设备可以是个人计算机(PC),便携式电脑,移动电话,服务器或任何其他计算设备。计算设备120运行操作系统(OS)102,其管理计算设备120的硬件和软件。OS 102可以是,例如,OS,Linux,Mac OS,Solaris等等。应用程序108,110和112运行于OS 102之上,并执行包括访问驻留于计算设备120的数据存储器(例如内存或盘驱动器)中的文件114的各种功能。例如,应用程序108到112可以包括CD或DVD烧制应用程序108,压缩应用程序110,web浏览器112等等。
文件114可以包括元数据118(称为元信息)和实际数据116(文件的其余部分)。元信息118可以指定各种文件属性,例如格式,标题,尺寸,创建日期,最后更新的日期等等。应用程序108到112可以扫描文件元信息,而不访问文件的实际数据(例如显示文件目录,确定计算设备120的硬件是否能够显示特定的视频文件,等等)。或者,应用程序108到112可以读取文件的实际数据来编辑数据,加密数据,将数据写入到可移动的存储介质,等等。在特定情形下,区分应用程序是操纵文件数据还是扫描文件元信息是重要的。例如,数据损失预防(DLP)系统可能需要防止CD或DVD烧制应用程序108向可移动存储介质中写入包含机密信息的文件数据,却允许应用程序108扫描文件元信息以用于呈现文件目录。类似地,DLP系统可能需要防止浏览器112打开图像文件来编辑,却允许浏览器112扫描文件的元信息以确定计算设备120的硬件是否能够显示该图像数据。
在一个实施例中,计算设备120容宿(host)监测应用程序106,该监测应用程序监测与应用程序108到112(“可疑的”应用程序)相关联的文件访问事件,以确定这些可疑的应用程序是试图访问文件数据还是文件元信息。特别地,监测应用程序106可以与过滤驱动器104通信以检测可疑应用程序的执行,并接收与该可疑应用程序相关联的文件访问事件。在一个实施例中,过滤驱动器104充当OS 102的一部分,以能够确定哪些应用程序开始执行(例如,通过截听用于进程创建的OS调用),并能查看正在执行的应用程序的I/O请求(例如,使用文件系统挂钩(hook)查看系统上的所有文件I/O并接收I/O请求分组(IRP))。然后,过滤驱动器104能够将与可疑应用程序108到112相关联的文件访问事件发送到监测应用程序106。文件访问事件例如可以包括标识出被访问的文件、访问文件的应用程序、应用程序请求的读取区块尺寸和/或读取偏移量等等的信息。
随着接收文件访问请求后,监测应用程序106可以分析该事件以确定其是否符合着元信息读取模式或文件数据读取模式。在一个实施例中,监测应用程序106使用阈值读取区块尺寸来执行这种分析。如果已接收的文件访问事件中的读取区块尺寸超过了阈值参数,那么监测应用程序106确定已接收的文件访问事件符合文件数据读取模式。否则,如果已接收的文件访问事件中的读取区块尺寸低于阈值参数,那么监测应用程序106确定已接收的文件访问事件符合元信息读取模式。在一个实施例中,监测应用程序106还能够将来自已接收的文件访问事件的读取偏移量与一个或多个预定的偏移量参数相比较,以验证可疑应用程序的访问模式。阈值读取区块尺寸和预定的读取偏移量参数可以对于所有可疑应用程序都是相同的,或者是程序专用的。阈值读取区块尺寸和预定的读取偏移量参数可以基于普通的系统库的知识得到,或通过观察单独应用程序的行为来凭经验确定。例如,为了显示打开文件对话框以及允许用户查看列表文件的属性,CD/DVD烧制应用程序108必须以2-64字节,256字节和512字节使用区块读取来读取Windows OS的指定DLL(动态链接库)。然而,当CD/DVD烧制应用程序108将文件数据写入到可移动的存储介质时,其以4096字节或更大的区块尺寸来读取数据。在另一个实例中,web浏览器可能需要读取avi文件的元信息以确定计算设备120的硬件是否能够显示该avi文件。Avi元信息以偏移文件头部32字节的偏移量和52字节的尺寸存储。在这个例子中,web浏览器会使用52字节的区块尺寸和32字节的偏移量。或者,如果web浏览器试图打开avi文件进行查看和编辑,就需要以4096字节的区块尺寸读取数据。
在一个实施例中,监测应用程序106还追踪在一时间间隔上可疑应用程序的文件访问事件的数量。如果这个数量超过了阈值(即,可疑应用程序生成频繁的文件访问请求),那么监测应用程序106判定可疑应用程序试图操纵文件的数据。阈值读取数量可凭经验基于单独应用程序的行为来确定,并可以对于所有应用程序来说是相同的或对于至少一些应用程序来说是不同的。
如果监测应用程序106确定与可疑应用程序相关联的文件访问事件符合元信息读取模式,那么监测应用程序106就忽略这个文件访问事件。或者,如果监测应用程序106确定可疑应用程序试图操纵文件数据,它就触发一个或多个可以防止或限制可疑应用程序的这种企图的动作。例如,监测应用程序106可以使文件被扫描以查找机密信息,以及如果该扫描检测到机密信息,那么就可以阻止或报告可疑应用程序对文件的访问。这些动作可以由监测应用程序106本身或由与监测应用程序106通信并由计算设备120或通过网络(例如,LAN或因特网)耦合到设备120的另一个设备来容宿的DLP应用程序来执行。
在另一个实施例中,监测应用程序106首先确定哪些文件包含机密信息,然后仅监测及分析应用程序对包含机密信息的文件的访问。如果监测应用程序106确定可疑应用程序仅试图扫描包含机密信息的文件的元信息,那么监测应用程序106允许扫描继续。或者,如果监测应用程序106确定可疑应用程序试图读取文件数据,那么监测应用程序106触发可以阻止,限制或报告可疑应用程序的这种企图的动作。
图2表示本发明实施例可在其中运行的示意性网络体系结构200。根据网络体系结构200,客户端212通过网络210(例如,诸如LAN的专用网络或诸如因特网的公用网)耦合到数据存储系统206。每个客户端212可以是PC,便携式电脑,移动电话,个人数字助理等等。数据存储系统206可以表示,例如,存储各种文件208的附网存储器(NAS)系统。
每个客户端212容宿应用程序214,应用程序执行各种功能,例如CD/DVD烧制,zip压缩,web浏览等等。这些可疑应用程序214中的每一个都能访问驻留在数据存储系统206中的文件208。如上所述,可疑应用程序214可以仅扫描文件208的元信息或访问实际文件数据。监测应用程序204与监测应用程序106的作用类似,基于其数据访问模式对可疑应用程序204的行为进行分类。在一个实施例中,监测应用程序204驻留在通过网络210耦合到客户端212的服务器202中,并从对客户端212和数据存储系统206之间的网络流量进行嗅探的基于网络的应用程序处或从数据存储系统206容宿的应用程序处,接收与可疑应用程序214相关联的文件访问事件。在另一个实施例中,监测应用程序204可由数据存储系统206容宿,并能在数据存储系统206接收应用程序214的文件访问请求的时候,截听应用程序214的文件访问请求。
图3表示本发明的实施例可在其中运行的另一个示意性网络体系结构300。根据网络体系结构300,客户端308通过网络306(例如,诸如LAN的专用网或诸如因特网的公用网)耦合到云存储服务设备302。每个客户端308可以是PC,便携式电脑,移动电话,个人数字助理等等。云存储服务302提供到客户端308的数据存储传递。在一个实施例中,云存储服务302表示在线网格服务,其使得客户端308的文件312得以共享和同步。例如,当客户端1的应用程序310修改客户端1的文件312时,服务302对客户端2和客户端3的文件进行同步以匹配客户端1的文件。
应用程序310可以修改文件312的数据,或者,他们可以仅修改文件312的元信息。监测应用程序304监测接收自客户端308的同步请求,并确定这些请求是仅影响到文件元信息还是影响到文件数据本身。如上参考图1的监测应用程序106所述,监测应用程序304能够基于读取区块尺寸,读取偏移量,每个时间间隔中的同步请求数量,或上述因素的任意组合来作出这个确定。如果接收自客户端308的请求限于文件元信息的同步,那么监测应用程序304忽略该请求,允许其继续。或者,如果客户端请求涉及文件数据的变换,则监测应用程序304触发一个或多个动作,如扫描文件以查找机密信息,并且如果文件包含机密信息,就防止文件数据被同步。
图4是监测应用程序400的一个实施例的框图。监测应用程序400可选地可包括配置器(configurator)402,该配置器可以允许监测应用程序400被配置(例如,通过用户接口)为监测特定可疑应用程序的文件访问行为。此外,配置器402能够将监测应用程序400配置为使用特定参数用于分析可疑应用程序的文件访问行为。该参数可以是所有可疑程序公用的或单独应用程序专用的。
监测应用程序400还可包括应用程序请求分析器404和动作管理器406。应用程序请求分析器404可以监测与可疑应用程序相关联的文件访问事件,并基于文件访问事件对可疑应用程序的行为进行分类。
动作管理器406忽略指示应用程序试图扫描文件元信息的文件访问事件。当至少一个应用程序的文件访问事件指示其试图操纵文件数据时,动作管理器406触发响应于这样的事件而执行的一个或多个动作。例如,动作管理器406可以促使文件被扫描以查找机密信息,并且如果文件包含机密信息,就阻止或报告应用程序对文件的访问。
图5是基于其数据访问模式对应用程序行为进行分类的方法500的一个实施例的流程图。方法500由处理逻辑来执行,该处理逻辑可以包括硬件(电路,专用逻辑等),软件(例如在通用计算机系统或专用机器上运行的)或二者的组合。方法500可以由如图1中的计算设备120,图2中的服务器202,或图3中的云存储服务设备302之类的计算设备来执行。
参照图5,处理逻辑从监测与应用程序相关联的文件访问事件开始(块502)。应用程序可以是,例如,CD烧制应用程序,DVD烧制应用程序,压缩应用程序(例如,zip压缩),浏览器(例如,Internet),云存储应用程序(例如,在线网格服务)等等。可以从充当在容宿应用程序访问的文件的计算设备中运行的OS的一部分的过滤驱动器处接收文件访问事件,从嗅探在客户端和容宿客户端程序访问的文件的数据存储系统之间的网络流量的基于网络的应用程序处接收文件访问事件,或从任何能够获取关于应用程序文件访问请求的信息的其他模块或应用程序处接收文件访问事件。
在块504,处理逻辑确定是否这些文件访问事件中的至少一个指示了应用程序试图操纵文件的数据。该确定可以基于,例如,文件访问事件的读取区块尺寸,文件访问事件的读取偏移量,在特定时间间隔上文件访问事件的数量,或以上各因素的组合。文件数据操纵不同于元信息数据操纵,其可以涉及,例如,编辑文件数据,变换文件数据,向可移动存储介质写入文件数据,等等。
如果至少一个文件访问事件指示了应用程序试图操纵文件数据,则处理逻辑执行与这种操纵相关联的动作(块506)。示例性的动作可以包括扫描文件数据以查找机密信息,并在检测到机密信息后,阻止应用程序访问该文件数据,和/或报告应用程序对该文件数据的访问。否则,如果文件访问事件指示应用程序试图扫描文件的元数据而非文件数据,那么处理逻辑忽略该文件访问事件(块508)。
在另一个实施例中,处理逻辑首先确定哪些文件包含机密信息,然后在块504,其仅考虑那些属于包含机密信息的文件的文件访问事件。如果处理逻辑确定应用程序仅仅试图扫描包含机密信息的文件的元信息,那么处理逻辑忽略有关的文件访问事件(块508)。或者,如果处理逻辑确定应用程序试图读取文件数据,那么处理逻辑触发可以阻止,限制或报告可疑应用程序的这种企图的动作(块506)。
图6是用于分析应用程序数据访问模式的方法的一个实施例的流程图。方法600由处理逻辑来执行,该处理逻辑可能包括硬件(电路,专用逻辑等),软件(例如在通用计算机系统或专用机器上运行的)或二者的组合。方法600可以由如图1中的计算设备120,图2中的服务器202,或图3中的云存储服务设备302之类的计算设备来执行。
参考图6,处理逻辑从接收与应用程序相关联的文件访问事件开始(块602)。文件访问事件可以标识应用程序,由应用程序访问的文件,应用程序请求的读取区块尺寸,及可选地,应用程序请求的读取偏移量。如上所述,可以从作为在容宿应用程序访问的文件的计算设备中运行的OS的一部分的过滤驱动器处接收文件访问事件,也可以从嗅探在客户端和容宿客户端程序访问的文件的数据存储系统之间的网络流量的基于网络的应用程序处接收文件访问事件,或从任何能够获取关于应用程序文件访问请求的信息的其他模块或应用程序处接收文件访问事件。
在块604,处理逻辑通过解析文件访问事件的信息来确定所请求的读取区块尺寸。在块606,处理逻辑确定该请求的读取区块尺寸是否指示了文件数据读取模式。如果是,则处理逻辑触发一个或多个DLP动作(块614)。如果否,则在一个实施例中,处理逻辑可以通过比较所请求的读取偏移量和预定的读取偏移量,来进一步验证该文件访问事件是否符合元信息读取模式(块607)。如果所请求的读取偏移量与预定的读取偏移量匹配,则处理逻辑继续到块608。如果不匹配,则处理逻辑触发一个或多个DLP动作(块614)。
在块608,处理逻辑递增事件数量参数。如果得到的事件数量参数超过了阈值数量(块610),则处理逻辑触发一个或多个DLP动作(块614)。或者,处理逻辑忽略该文件访问事件(块612)。
图7是计算机系统700的示例性形式的机器的图形表示,在该计算机系统中可执行一组指令,该组指令用于导致机器执行此处所讨论的任意一种或多种方法。在可替换的实施例中,机器可以连接(例如,联网)到LAN,内部网,外部网或因特网中的其他机器。该机器可以作为客户端-服务器网络环境中的服务器或客户端机器来运行,或作为对等(或分布式)网络环境中的对等机器来运行。该机器可以是个人计算机(PC),平板PC,机顶盒(STB),个人数字助理(PDA),蜂窝电话,web装置,服务器,网络路由器,交换机或网桥,或任何能够(顺序地或以其它方式)执行一组指令的机器,该组指令规定了由该机器采取的动作。此外,虽然仅仅图示了单个机器,但是术语“机器”还应该包括单独或共同执行一组(或多组)指令以执行此处讨论的任意一种或多种方法的机器的任意集合。
示例性的计算机系统700包括处理设备(处理器)702,主存储器704(例如,只读存储器(ROM),闪存存储器,例如同步DRAM(SDRAM)或存储器总线DRAM(RDRAM)的动态随机访问存储器(DRAM)等),静态存储器706(例如,闪存存储器,静态随机访问存储器(SRAM)等),以及数据存储设备718,这些部件通过总线730互相通信。
处理器702表示一个或多个通用处理设备,例如微处理器,中央处理单元等。更特别的,处理器702可以是复杂指令集计算(CISC)微处理器,精简指令集计算(RISC)微处理器,超长指令字(VLIW)微处理器,或实现其他指令集的处理器,或实现指令集组合的处理器。处理器702还可以是一个或多个专用处理设备,例如专用集成电路(ASIC),现场可编程门阵列(FPGA),数字信号处理器(DSP),网络处理器等。处理器702配置为执行处理逻辑726以完成此处所讨论的操作和步骤。
计算机系统700可以进一步包括网络接口设备708。计算机系统700还可以包括视频显示单元710(例如,液晶显示器(LCD)或阴极射线管(CRT)),字母数字输入设备712(例如,键盘),光标控制设备714(例如,鼠标),及信号生成设备716(例如,扬声器)。
数据存储设备718可以包括机器可存取的存储介质730,其上存储了一组或多组能够实现此处所讨论的任意一种或多种方法或功能的指令(例如软件722)。软件722还可以在其由计算机系统700执行期间完全或至少部分地驻留在主存储器704中和/或处理器702中,主存储器704和处理器702也构成机器可存取的存储介质。软件722可以进一步通过网络接口设备708在网络720上发送或接收。
虽然在示例性实施例中机器可存取的存储介质730是单个的介质,但术语“机器可存取的存储介质”应该包括存储一组或多组指令的单个的介质或多个介质(例如,集中式或分布式的数据库,和/或相关联的高速缓存和服务器)。术语“机器可存取的存储介质”还应该包括能够存储,编码或承载一组由该机器执行并使得该机器完成本发明的任意一种或多种方法的指令的任意介质。因此,术语“机器可存取的存储介质”应该包括但不限于固态存储器,光介质和磁介质。
可以理解,以上描述是示例性的而非限制性的。在阅读和理解上面的描述之后,对于本领域的技术人员来说,许多其他的实施例都是显而易见的。因此,本发明的范围应参照附加的权利要求与这些权利要求所代表的等同物的全部范围来确定。
Claims (11)
1.一种计算机实现的通过应用程序数据访问分类进行数据损失保护的方法,该方法包括:
通过计算设备的监测应用程序检测由所监测的应用程序引发的文件访问事件;
标识在一时间间隔中所述文件访问事件的重复次数、所述文件访问事件的读取区块尺寸以及所述文件访问事件的读取偏移量;
当在所述时间间隔中所述文件访问事件的所述重复次数超过阈值重复次数、所述读取区块尺寸超过阈值区块尺寸或者所述读取偏移量超过阈值读取偏移量中的至少一个发生时,将所述文件访问事件分类为文件数据读取模式;
当在所述时间间隔中所述文件访问事件的所述重复次数低于所述阈值重复次数、所述读取区块尺寸低于所述阈值区块尺寸并且所述读取偏移量低于所述阈值读取偏移量时,将所述文件访问事件分类为元数据读取模式;
当所述文件访问事件被分类为所述文件数据读取模式时,执行至少一个动作以防止所述文件中机密数据的损失;以及
当所述文件访问事件被分类为所述元数据读取模式时,允许所述文件访问事件继续。
2.如权利要求1所述的方法,其中所监测的应用程序是光盘(CD)烧制应用程序、数字化视频光盘(DVD)烧制应用程序、数据压缩应用程序、浏览器应用程序及云存储应用程序中的任意一种。
3.如权利要求1所述的方法,进一步包括:
从过滤驱动器或嗅探网络流量的基于网络的应用程序处接收所述文件访问事件。
4.如权利要求1所述的方法,其中:
所述文件访问事件标识所述文件并指定所述读取区块尺寸;并且
所述文件访问事件指定所述读取偏移量。
5.如权利要求1所述的方法,其中所述文件数据读取模式包括通过修改所述文件数据、复制所述文件数据或显示所述文件数据中的至少一种来操纵所述文件数据。
6.如权利要求1所述的方法,其中防止所述机密数据损失的所述至少一个动作包括:
扫描该文件数据以查找所述机密信息;及
检测到该文件中的所述机密信息之后,限制该文件读取请求。
7.一种通过应用程序数据访问分类进行数据损失保护的系统,该系统包括:
用于检测由所监测的应用程序引发的文件访问事件的装置;
用于标识在一时间间隔中所述文件访问事件的重复次数、所述文件访问事件的读取区块尺寸以及所述文件访问事件的读取偏移量的装置;
用于当在所述时间间隔中所述文件访问事件的所述重复次数超过阈值重复次数、所述读取区块尺寸超过阈值区块尺寸或者所述读取偏移量超过阈值读取偏移量中的至少一个发生时,将所述文件访问事件分类为文件数据读取模式的装置;
用于当在所述时间间隔中所述文件访问事件的所述重复次数低于所述阈值重复次数、所述读取区块尺寸低于所述阈值区块尺寸并且所述读取偏移量低于所述阈值读取偏移量时,将所述文件访问事件分类为元数据读取模式的装置;
用于当所述文件访问事件被分类为所述文件数据读取模式时,执行至少一个动作以防止所述文件中机密数据的损失的装置;以及
用于当所述文件访问事件被分类为所述元数据读取模式时,允许所述文件访问事件继续的装置。
8.如权利要求7所述的系统,其中:
所述文件访问事件标识所述文件,并指定所述读取区块尺寸并且可选地指定所述读取偏移量。
9.如权利要求7所述的系统,其中防止所述机密数据损失的所述至少一个动作包括:
扫描该文件数据以查找所述机密信息;及
检测到该文件中的所述机密信息之后,限制该文件读取请求。
10.如权利要求7所述的系统,其中该应用程序是光盘(CD)烧制应用程序、数字化视频光盘(DVD)烧制应用程序、数据压缩应用程序、浏览器应用程序及云存储应用程序中的任意一种。
11.如权利要求7所述的系统,进一步包括:
过滤驱动器,该过滤驱动器生成所述文件访问事件。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/263,319 US8695090B2 (en) | 2008-10-31 | 2008-10-31 | Data loss protection through application data access classification |
| US12/263,319 | 2008-10-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101751535A CN101751535A (zh) | 2010-06-23 |
| CN101751535B true CN101751535B (zh) | 2015-04-08 |
Family
ID=41434927
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910253085.3A Active CN101751535B (zh) | 2008-10-31 | 2009-10-30 | 通过应用程序数据访问分类进行的数据损失保护 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8695090B2 (zh) |
| CN (1) | CN101751535B (zh) |
| DE (1) | DE102009051338A1 (zh) |
| GB (1) | GB2464833B (zh) |
Families Citing this family (48)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006053019A2 (en) | 2004-11-08 | 2006-05-18 | Sharpcast, Inc. | Method and apparatus for a file sharing and synchronization system |
| US20100251369A1 (en) * | 2009-03-25 | 2010-09-30 | Grant Calum A M | Method and system for preventing data leakage from a computer facilty |
| US8321560B1 (en) * | 2009-08-13 | 2012-11-27 | Symantec Corporation | Systems and methods for preventing data loss from files sent from endpoints |
| US8224796B1 (en) * | 2009-09-11 | 2012-07-17 | Symantec Corporation | Systems and methods for preventing data loss on external devices |
| US8555383B1 (en) | 2010-09-28 | 2013-10-08 | Amazon Technologies, Inc. | Network data transmission auditing |
| US8565108B1 (en) | 2010-09-28 | 2013-10-22 | Amazon Technologies, Inc. | Network data transmission analysis |
| US8416709B1 (en) | 2010-09-28 | 2013-04-09 | Amazon Technologies, Inc. | Network data transmission analysis management |
| US8909744B2 (en) * | 2010-10-20 | 2014-12-09 | Hcl Technologies Limited | System and method for transitioning to cloud computing environment |
| US9569449B2 (en) | 2010-11-18 | 2017-02-14 | International Business Machines Corporation | Method and apparatus for autonomic discovery of sensitive content |
| US9311495B2 (en) * | 2010-12-09 | 2016-04-12 | International Business Machines Corporation | Method and apparatus for associating data loss protection (DLP) policies with endpoints |
| US8726405B1 (en) | 2010-12-23 | 2014-05-13 | Emc Corporation | Techniques for providing security using a mobile wireless communications device having data loss prevention circuitry |
| US8800031B2 (en) * | 2011-02-03 | 2014-08-05 | International Business Machines Corporation | Controlling access to sensitive data based on changes in information classification |
| CN102651737B (zh) | 2011-02-28 | 2015-11-25 | 国际商业机器公司 | 在云应用环境中用于数据泄漏防护的装置和方法 |
| CN102137191A (zh) * | 2011-03-07 | 2011-07-27 | 梁宇杰 | 一种在手机上提供信息服务的方法 |
| US20140123319A1 (en) * | 2011-06-27 | 2014-05-01 | Nokia Corporation | System, Method and Apparatus For Facilitating Resource Security |
| CN102279786B (zh) * | 2011-08-25 | 2015-11-25 | 百度在线网络技术(北京)有限公司 | 一种监测应用程序有效访问量的方法及装置 |
| US9063797B2 (en) * | 2011-09-19 | 2015-06-23 | Varonis Systems, Inc. | Method and apparatus for events handling in a multi-platform system |
| EP3416071B1 (en) * | 2012-01-24 | 2021-11-03 | Varonis Systems, Inc. | A method and apparatus for authentication of file read events |
| US8751725B1 (en) * | 2012-01-27 | 2014-06-10 | Netapp, Inc. | Hybrid storage aggregate |
| KR101373461B1 (ko) * | 2012-02-24 | 2014-03-11 | 주식회사 팬택 | 클라우드 서비스를 이용하기 위한 단말기 및 방법 |
| CN102708317B (zh) * | 2012-05-03 | 2015-04-22 | 沈阳通用软件有限公司 | Windows平台下基于过滤驱动的刻录审计方法 |
| US9152640B2 (en) | 2012-05-10 | 2015-10-06 | Hewlett-Packard Development Company, L.P. | Determining file allocation based on file operations |
| WO2013172780A2 (en) * | 2012-05-16 | 2013-11-21 | Unomaly Ab | Method, apparatus and computer program for analysing events in a computer system |
| US9286491B2 (en) | 2012-06-07 | 2016-03-15 | Amazon Technologies, Inc. | Virtual service provider zones |
| US10084818B1 (en) | 2012-06-07 | 2018-09-25 | Amazon Technologies, Inc. | Flexibly configurable data modification services |
| US10075471B2 (en) | 2012-06-07 | 2018-09-11 | Amazon Technologies, Inc. | Data loss prevention techniques |
| US10057318B1 (en) | 2012-08-10 | 2018-08-21 | Dropbox, Inc. | System, method, and computer program for enabling a user to access and edit via a virtual drive objects synchronized to a plurality of synchronization clients |
| US9122841B2 (en) * | 2012-10-16 | 2015-09-01 | Sap Se | Providing remote application logs for cloud applications |
| US20150304409A1 (en) * | 2012-11-28 | 2015-10-22 | Hewelett-Packard Development Company, L.P. | Determining at least one cost factor associated with using the cloud to provide an application component |
| US9569328B2 (en) * | 2012-11-29 | 2017-02-14 | Sap Se | Managing application log levels in cloud environment |
| US9977596B2 (en) * | 2012-12-27 | 2018-05-22 | Dropbox, Inc. | Predictive models of file access patterns by application and file type |
| TW201427366A (zh) * | 2012-12-28 | 2014-07-01 | Ibm | 企業網路中為了資料外洩保護而解密檔案的方法與資訊裝置 |
| CN103246595B (zh) * | 2013-04-08 | 2016-06-08 | 小米科技有限责任公司 | 应用程序管理方法、装置、服务器及终端设备 |
| US9576145B2 (en) * | 2013-09-30 | 2017-02-21 | Acalvio Technologies, Inc. | Alternate files returned for suspicious processes in a compromised computer network |
| US9405904B1 (en) * | 2013-12-23 | 2016-08-02 | Symantec Corporation | Systems and methods for providing security for synchronized files |
| US9363293B2 (en) * | 2014-09-02 | 2016-06-07 | Bank Of America Corporation | Image monitoring framework |
| US10148694B1 (en) * | 2015-10-01 | 2018-12-04 | Symantec Corporation | Preventing data loss over network channels by dynamically monitoring file system operations of a process |
| CN105611334B (zh) * | 2015-12-21 | 2019-01-29 | 康佳集团股份有限公司 | 基于手机摇一摇获取智能电视好友热门应用的方法及系统 |
| US10685111B2 (en) * | 2016-10-31 | 2020-06-16 | Crowdstrike, Inc. | File-modifying malware detection |
| US10972740B2 (en) | 2018-03-06 | 2021-04-06 | Forcepoint, LLC | Method for bandwidth reduction when streaming large format multi-frame image data |
| US11334596B2 (en) | 2018-04-27 | 2022-05-17 | Dropbox, Inc. | Selectively identifying and recommending digital content items for synchronization |
| US11140190B2 (en) | 2018-10-23 | 2021-10-05 | Forcepoint, LLC | Automated user module assessment |
| CN109491863B (zh) * | 2018-10-25 | 2022-04-22 | 新华三大数据技术有限公司 | 应用程序类型的识别方法及装置 |
| US11048611B2 (en) * | 2018-11-29 | 2021-06-29 | Forcepoint, LLC | Web extension JavaScript execution control by service/daemon |
| US11132973B2 (en) | 2019-02-01 | 2021-09-28 | Forcepoint, LLC | System for capturing images from applications rendering video to a native platform with a graphics rendering library |
| US10917382B2 (en) | 2019-04-03 | 2021-02-09 | Forcepoint, LLC | Virtual point of presence in a country to allow for local web content |
| US11431743B2 (en) | 2020-02-03 | 2022-08-30 | Forcepoint, LLC | Cross domain dynamic data protection intermediary message transform platform |
| US11831542B2 (en) * | 2022-04-13 | 2023-11-28 | Microsoft Technology Licensing, Llc | Platform for routing internet protocol packets using flow-based policy |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839850B1 (en) * | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU6263201A (en) | 2000-05-28 | 2001-12-11 | Secureol (Israel) Ltd. | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| DE60130902T2 (de) * | 2001-11-23 | 2008-07-17 | Protegrity Research & Development | Verfahren zum Erkennen des Eindringens in ein Datenbanksystem |
| US8126856B2 (en) * | 2005-05-26 | 2012-02-28 | Hewlett-Packard Development Company, L.P. | File access management system |
| US7761927B2 (en) | 2005-09-21 | 2010-07-20 | Rovi Solutions Limited | Apparatus and method for monitoring and controlling access to data on a computer readable medium |
| US7877409B2 (en) * | 2005-12-29 | 2011-01-25 | Nextlabs, Inc. | Preventing conflicts of interests between two or more groups using applications |
| WO2008075442A1 (ja) | 2006-12-19 | 2008-06-26 | Universal Solution Systems Inc. | ドライブシールド |
| CA2717583A1 (en) | 2007-03-05 | 2008-09-12 | Andrea Robinson Fahmy | Method and system for preventing unauthorized access and distribution of digital data |
| US7783666B1 (en) * | 2007-09-26 | 2010-08-24 | Netapp, Inc. | Controlling access to storage resources by using access pattern based quotas |
-
2008
- 2008-10-31 US US12/263,319 patent/US8695090B2/en active Active
-
2009
- 2009-10-30 CN CN200910253085.3A patent/CN101751535B/zh active Active
- 2009-10-30 DE DE102009051338A patent/DE102009051338A1/de not_active Withdrawn
- 2009-10-30 GB GB0919060.4A patent/GB2464833B/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6839850B1 (en) * | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2464833B (en) | 2013-03-27 |
| DE102009051338A1 (de) | 2010-07-29 |
| CN101751535A (zh) | 2010-06-23 |
| US8695090B2 (en) | 2014-04-08 |
| GB2464833A (en) | 2010-05-05 |
| GB0919060D0 (en) | 2009-12-16 |
| US20100115614A1 (en) | 2010-05-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101751535B (zh) | 通过应用程序数据访问分类进行的数据损失保护 | |
| Deshpande et al. | HIDS: A host based intrusion detection system for cloud computing environment | |
| JP6508353B2 (ja) | 情報処理装置 | |
| CN106936812B (zh) | 一种云环境下基于Petri网的文件隐私泄露检测方法 | |
| CN110020687B (zh) | 基于操作人员态势感知画像的异常行为分析方法及装置 | |
| Chyrun et al. | Web Resource Changes Monitoring System Development. | |
| CN110855648B (zh) | 一种网络攻击的预警控制方法及装置 | |
| CN112491779B (zh) | 一种异常行为检测方法及装置、电子设备 | |
| CN107409134B (zh) | 法证分析方法 | |
| CN107004086A (zh) | 安全信息和事件管理 | |
| CN113642023A (zh) | 数据安全检测模型训练、数据安全检测方法、装置及设备 | |
| CN114584405A (zh) | 一种电力终端安全防护方法及系统 | |
| CN111046022A (zh) | 一种基于大数据技术的数据库审计方法 | |
| Scarabeo et al. | Mining known attack patterns from security-related events | |
| CN115001934A (zh) | 一种工控安全风险分析系统及方法 | |
| CN110865866B (zh) | 一种基于自省技术的虚拟机安全检测方法 | |
| KR102263111B1 (ko) | 데이터 보안 관리 방법 및 이를 수행하기 위한 프로그램을 기록한 기록 매체 | |
| RU180789U1 (ru) | Устройство аудита информационной безопасности в автоматизированных системах | |
| CN112822210A (zh) | 一种基于网络资产的漏洞管理系统 | |
| CN116894018A (zh) | 事件数据处理 | |
| Roschke et al. | An alert correlation platform for memory‐supported techniques | |
| CN111782908A (zh) | 一种基于数据挖掘聚类分析的web违规操作行为检测方法 | |
| Bo et al. | Tom: A threat operating model for early warning of cyber security threats | |
| Mihailescu et al. | Unveiling Threats: Leveraging User Behavior Analysis for Enhanced Cybersecurity | |
| RU2772549C1 (ru) | Системы и способы детектирования поведенческих угроз |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191230 Address after: California, USA Patentee after: CA,INC. Address before: California, USA Patentee before: Symantec Corporation |