[发明专利]通过应用程序数据访问分类进行的数据损失保护

说明书

技术领域

本发明的实施例涉及处理数据领域，以及更特别地，涉及基于其数据访 问模式对应用程序的行为的分类。

背景技术

现代机构的雇员常常要访问包含了关于该机构各种重要商业方面的信息 的文件。该信息可以包括顾客(或患者)，合同，票据，供给，雇员，生产 或类似物的数据。现有的安全技术通常在数据离开端点系统时扫描数据以防 止敏感信息的损失。上述扫描依赖于端点系统拦截和分析从程序中输出的数 据的能力。然而，在一些实例中，端点系统所拦截的数据格式可能是未知 的，或者，程序可能在输出数据之前对其进行加密。此外，端点系统不是总 能够拦截由程序输出的数据。

端点系统可以通过防止特定应用程序访问包含机密信息的文件来解决上 述限制。例如，端点系统可以通过如CD或DVD烧制应用程序，压缩或指纹 识别程序应用程序等来阻止对包含机密信息的文件的访问。然而，阻止应用 程序对文件的访问会引起误报损失(false positive penalty)。特别地，应用程 序并不总是为了操纵文件的数据而访问文件的。相反，应用程序可能仅仅扫 描文件的元数据，而不打开文件查看或编辑(例如，出于目录呈现的原因来 确定文件的属性等)。

发明内容

描述了基于应用程序的数据访问模式对应用程序的行为分类的方法和装 置。在一个实施例中，该方法包括监测与应用程序相关联的文件访问事件， 并确定是否这些文件访问事件中的至少一个指示了该应用程序操纵文件的数 据的企图。如果至少一个文件访问事件指示了应用程序操纵文件中的数据的 企图，那么导致执行至少一个动作。

附图说明

从下面的详细说明和本发明各实施例的附图中，可以更加充分地理解本 发明，然而，这并不用来将本发明限制于特定的实施例中，而仅用于说明和 理解之用。

图1表示本发明的实施例可在其中运行的示例性系统体系结构。

图2和图3表示本发明的实施例可在其中运行的示例性网络体系结构。

图4是监测应用程序的一个实施例的框图。

图5是基于应用程序的数据访问模式对应用程序行为分类的方法的一个 实施例的流程图。

图6是分析应用程序数据访问模式的方法的一个实施例的流程图。

图7是可以执行此处所述的一个或多个操作的示例性计算机系统的框 图。

具体实施方式

描述了基于其数据访问模式对应用程序行为进行分类的系统和方法。应 用程序可以是，例如，CD烧制应用程序，DVD烧制应用程序，压缩应用程 序(例如，zip压缩)，浏览器(例如，Internet)，云存储应用程序 (例如，在线网格(Live Mesh)服务等)。在一个实施例中，监测与应用程序 相关联的文件访问事件以确认是否这些文件访问事件中的至少一个指示了应 用程序试图操纵文件的数据。该确认可以基于，例如，文件访问事件的读取 区块尺寸，文件访问事件的读取偏移量，在特定时间间隔内文件访问事件的 数量，或以上因素的任意组合。文件数据操纵与元数据操纵不同，可以涉 及，例如，编辑文件数据，变换文件数据，将文件数据写入到可移动的存储 介质等等。

如果至少一个文件访问事件指示了应用程序试图操纵文件数据，就触发 与这种操纵相关联的动作。示意性的被触发的动作可以包括扫描文件数据以 查找机密信息，以及在检测到机密信息后，阻止应用程序对该文件数据的访 问，和/或报告应用程序对该文件数据的访问。否则，如果文件访问事件指示 应用程序试图扫描文件的元数据而非文件数据，则忽略该文件访问事件。

在下面的描述中，会阐述大量的细节。然而，很明显，对于本领域的技 术人员，无需这些特定的细节就可以实现本发明。在一些例子中，为了避免 与本发明混淆，采用框图形式而不是细节来表示已知的结构和设备。