专利名称:通过应用程序数据访问分类进行的数据损失保护的制作方法
技术领域:
本发明的实施例涉及处理数据领域,以及更特别地,涉及基于其数据访问模式对
应用程序的行为的分类。
背景技术:
现代机构的雇员常常要访问包含了关于该机构各种重要商业方面的信息的文件。 该信息可以包括顾客(或患者),合同,票据,供给,雇员,生产或类似物的数据。现有的安全 技术通常在数据离开端点系统时扫描数据以防止敏感信息的损失。上述扫描依赖于端点系 统拦截和分析从程序中输出的数据的能力。然而,在一些实例中,端点系统所拦截的数据格 式可能是未知的,或者,程序可能在输出数据之前对其进行加密。此外,端点系统不是总能 够拦截由程序输出的数据。 端点系统可以通过防止特定应用程序访问包含机密信息的文件来解决上述限制。 例如,端点系统可以通过如CD或DVD烧制应用程序,压縮或指纹识别程序应用程序等来 阻止对包含机密信息的文件的访问。然而,阻止应用程序对文件的访问会引起误报损失 (false positive penalty)。特别地,应用程序并不总是为了操纵文件的数据而访问文件 的。相反,应用程序可能仅仅扫描文件的元数据,而不打开文件查看或编辑(例如,出于目 录呈现的原因来确定文件的属性等)。
发明内容
描述了基于应用程序的数据访问模式对应用程序的行为分类的方法和装置。在一 个实施例中,该方法包括监测与应用程序相关联的文件访问事件,并确定是否这些文件访 问事件中的至少一个指示了该应用程序操纵文件的数据的企图。如果至少一个文件访问事 件指示了应用程序操纵文件中的数据的企图,那么导致执行至少一个动作。
从下面的详细说明和本发明各实施例的附图中,可以更加充分地理解本发明,然
而,这并不用来将本发明限制于特定的实施例中,而仅用于说明和理解之用。
图1表示本发明的实施例可在其中运行的示例性系统体系结构。 图2和图3表示本发明的实施例可在其中运行的示例性网络体系结构。 图4是监测应用程序的一个实施例的框图。 图5是基于应用程序的数据访问模式对应用程序行为分类的方法的一个实施例 的流程图。 图6是分析应用程序数据访问模式的方法的一个实施例的流程图。
图7是可以执行此处所述的一个或多个操作的示例性计算机系统的框图。
具体实施例方式
描述了基于其数据访问模式对应用程序行为进行分类的系统和方法。应用程序可 以是,例如,CD烧制应用程序,DVD烧制应用程序,压縮应用程序(例如,zip压縮),浏览器 (例如,Internet Explorer ),云存储应用程序(例如,在线网格(Live Mesh)服务等)。
在一个实施例中,监测与应用程序相关联的文件访问事件以确认是否这些文件访问事件中 的至少一个指示了应用程序试图操纵文件的数据。该确认可以基于,例如,文件访问事件的 读取区块尺寸,文件访问事件的读取偏移量,在特定时间间隔内文件访问事件的数量,或以 上因素的任意组合。文件数据操纵与元数据操纵不同,可以涉及,例如,编辑文件数据,变换 文件数据,将文件数据写入到可移动的存储介质等等。 如果至少一个文件访问事件指示了应用程序试图操纵文件数据,就触发与这种操 纵相关联的动作。示意性的被触发的动作可以包括扫描文件数据以查找机密信息,以及在 检测到机密信息后,阻止应用程序对该文件数据的访问,和/或报告应用程序对该文件数 据的访问。否则,如果文件访问事件指示应用程序试图扫描文件的元数据而非文件数据,则 忽略该文件访问事件。 在下面的描述中,会阐述大量的细节。然而,很明显,对于本领域的技术人员,无需 这些特定的细节就可以实现本发明。在一些例子中,为了避免与本发明混淆,采用框图形式 而不是细节来表示已知的结构和设备。 下面详细描述的一部分用算法及计算机存储器中数据位上的运算的符号表示来 表现。这些算法描述和表示是数据处理领域的技术人员使用的最有效地向该领域的其他技 术人员表达他们工作的实质的方式。算法在此处以及通常被认为是通向所需结果的步骤的 自洽的(self-consistent)序列。这些步骤是需要物理量的物理操纵的步骤。通常,虽然 不是一定的,但这些量还是表现为电或磁信号,其能够被存储,传输,组合,比较及以其他方 式操纵。主要出于通常使用的原因,将这些信号称为比特,值,元素,符号,字符,术语,数字 或类似物,已经证明有时是很方便的。 然而,要记住的是,所有这些及类似的术语都与适当的物理量相关联,并且仅仅是 应用于这些量的方便的标签。除非下面的论述中明确的特别另行说明,可以理解,贯穿说明 书全篇,使用术语如"处理","计算","估算","确定","显示"或类似词语的讨论,都是指计 算机系统或类似电子计算设备的动作和处理,其将计算机系统的寄存器和存储器中表示为 物理(例如电子)量的数据操纵和变换为在计算机系统存储器或寄存器或其他这种信息存 储,传输或显示设备中的类似地表示为物理量的其他数据。 本发明还涉及到执行本申请中操作的装置。该装置可以是为了所需目的专门构 造的,或者其可以包括由存储于计算机中的计算机程序来选择性激活或重新配置的通用计 算机。这样的计算机程序可以存储于计算机可读介质中,所述计算机可读介质例如但不限 于任何形式的盘,包括软盘,光盘,CD-R0M,及磁光盘,只读存储器(ROM),随机访问存储器 (RAM) , EPR0M, EEPROM,磁卡或光卡,或任何形式的适于存储电子指令的介质。
此处呈现的算法和显示在本质上不涉及任何特定的计算机或其他装置。依照此处 的教导,各种通用系统可与程序一起使用,或者可以证明,构造更加专用的装置来执行所需 的方法步骤是很方便的。各种这些系统所需的结构从下面的描述中可以得到。此外,并不 参照任何特定的编程语言来描述本发明。可以理解,可以使用各种编程语言来实现此处所述的本发明的技术。 图1是本发明的实施例可在其中运行的示意性系统体系结构100的框图。系统 100包括计算设备120,该计算设备可以是个人计算机(PC),便携式电脑,移动电话,服务器 或任何其他计算设备。计算设备120运行操作系统(OS) 102,其管理计算设备120的硬件 和软件。OS 102可以是,例如,Microsoft \VindowS OS, Li皿x, Mac 0S, Solaris等等。 应用程序108, 110和112运行于OS 102之上,并执行包括访问驻留于计算设备120的数据 存储器(例如内存或盘驱动器)中的文件114的各种功能。例如,应用程序108到112可 以包括CD或DVD烧制应用程序108,压縮应用程序110,web浏览器112等等。
文件114可以包括元数据118 (称为元信息)和实际数据116 (文件的其余部分)。 元信息118可以指定各种文件属性,例如格式,标题,尺寸,创建日期,最后更新的日期等 等。应用程序108到112可以扫描文件元信息,而不访问文件的实际数据(例如显示文件 目录,确定计算设备120的硬件是否能够显示特定的视频文件,等等)。或者,应用程序108 到112可以读取文件的实际数据来编辑数据,加密数据,将数据写入到可移动的存储介质, 等等。在特定情形下,区分应用程序是操纵文件数据还是扫描文件元信息是重要的。例如, 数据损失预防(DLP)系统可能需要防止CD或DVD烧制应用程序108向可移动存储介质中写 入包含机密信息的文件数据,却允许应用程序108扫描文件元信息以用于呈现文件目录。 类似地,DLP系统可能需要防止浏览器112打开图像文件来编辑,却允许浏览器112扫描文 件的元信息以确定计算设备120的硬件是否能够显示该图像数据。 在一个实施例中,计算设备120容宿(host)监测应用程序106,该监测应用程序监 测与应用程序108到112 ("可疑的"应用程序)相关联的文件访问事件,以确定这些可疑 的应用程序是试图访问文件数据还是文件元信息。特别地,监测应用程序106可以与过滤 驱动器104通信以检测可疑应用程序的执行,并接收与该可疑应用程序相关联的文件访问 事件。在一个实施例中,过滤驱动器104充当0S 102的一部分,以能够确定哪些应用程序 开始执行(例如,通过截听用于进程创建的OS调用),并能查看正在执行的应用程序的1/ 0请求(例如,使用文件系统挂钩(hook)查看系统上的所有文件I/0并接收I/0请求分组 (IRP))。然后,过滤驱动器104能够将与可疑应用程序108到112相关联的文件访问事件 发送到监测应用程序106。文件访问事件例如可以包括标识出被访问的文件、访问文件的应 用程序、应用程序请求的读取区块尺寸和/或读取偏移量等等的信息。
随着接收文件访问请求后,监测应用程序106可以分析该事件以确定其是否符合 着元信息读取模式或文件数据读取模式。在一个实施例中,监测应用程序106使用阈值读 取区块尺寸来执行这种分析。如果已接收的文件访问事件中的读取区块尺寸超过了阈值参 数,那么监测应用程序106确定已接收的文件访问事件符合文件数据读取模式。否则,如果 已接收的文件访问事件中的读取区块尺寸低于阈值参数,那么监测应用程序106确定已接 收的文件访问事件符合元信息读取模式。在一个实施例中,监测应用程序106还能够将来 自已接收的文件访问事件的读取偏移量与一个或多个预定的偏移量参数相比较,以验证可 疑应用程序的访问模式。阈值读取区块尺寸和预定的读取偏移量参数可以对于所有可疑应 用程序都是相同的,或者是程序专用的。阈值读取区块尺寸和预定的读取偏移量参数可以 基于普通的系统库的知识得到,或通过观察单独应用程序的行为来凭经验确定。例如,为 了显示打开文件对话框以及允许用户查看列表文件的属性,CD/DVD烧制应用程序108必须以2-64字节,256字节和512字节使用区块读取来读取Windows OS的指定DLL(动态链接 库)。然而,当CD/DVD烧制应用程序108将文件数据写入到可移动的存储介质时,其以4096 字节或更大的区块尺寸来读取数据。在另一个实例中,web浏览器可能需要读取avi文件 的元信息以确定计算设备120的硬件是否能够显示该avi文件。Avi元信息以偏移文件头 部32字节的偏移量和52字节的尺寸存储。在这个例子中,web浏览器会使用52字节的区 块尺寸和32字节的偏移量。或者,如果web浏览器试图打开avi文件进行查看和编辑,就 需要以4096字节的区块尺寸读取数据。 在一个实施例中,监测应用程序106还追踪在一时间间隔上可疑应用程序的文件 访问事件的数量。如果这个数量超过了阈值(即,可疑应用程序生成频繁的文件访问请 求),那么监测应用程序106判定可疑应用程序试图操纵文件的数据。阈值读取数量可凭经 验基于单独应用程序的行为来确定,并可以对于所有应用程序来说是相同的或对于至少一 些应用程序来说是不同的。 如果监测应用程序106确定与可疑应用程序相关联的文件访问事件符合元信息 读取模式,那么监测应用程序106就忽略这个文件访问事件。或者,如果监测应用程序106 确定可疑应用程序试图操纵文件数据,它就触发一个或多个可以防止或限制可疑应用程序 的这种企图的动作。例如,监测应用程序106可以使文件被扫描以查找机密信息,以及如果 该扫描检测到机密信息,那么就可以阻止或报告可疑应用程序对文件的访问。这些动作可 以由监测应用程序106本身或由与监测应用程序106通信并由计算设备120或通过网络 (例如,LAN或因特网)耦合到设备120的另一个设备来容宿的DLP应用程序来执行。
在另一个实施例中,监测应用程序106首先确定哪些文件包含机密信息,然后仅 监测及分析应用程序对包含机密信息的文件的访问。如果监测应用程序106确定可疑应用 程序仅试图扫描包含机密信息的文件的元信息,那么监测应用程序106允许扫描继续。或 者,如果监测应用程序106确定可疑应用程序试图读取文件数据,那么监测应用程序106触 发可以阻止,限制或报告可疑应用程序的这种企图的动作。 图2表示本发明实施例可在其中运行的示意性网络体系结构200。根据网络体系 结构200,客户端212通过网络210 (例如,诸如LAN的专用网络或诸如因特网的公用网)耦 合到数据存储系统206。每个客户端212可以是PC,便携式电脑,移动电话,个人数字助理 等等。数据存储系统206可以表示,例如,存储各种文件208的附网存储器(NAS)系统。
每个客户端212容宿应用程序214,应用程序执行各种功能,例如CD/DVD烧制,zip 压縮,web浏览等等。这些可疑应用程序214中的每一个都能访问驻留在数据存储系统206 中的文件208。如上所述,可疑应用程序214可以仅扫描文件208的元信息或访问实际文件 数据。监测应用程序204与监测应用程序106的作用类似,基于其数据访问模式对可疑应 用程序204的行为进行分类。在一个实施例中,监测应用程序204驻留在通过网络210耦 合到客户端212的服务器202中,并从对客户端212和数据存储系统206之间的网络流量 进行嗅探的基于网络的应用程序处或从数据存储系统206容宿的应用程序处,接收与可疑 应用程序214相关联的文件访问事件。在另一个实施例中,监测应用程序204可由数据存 储系统206容宿,并能在数据存储系统206接收应用程序214的文件访问请求的时候,截听 应用程序214的文件访问请求。 图3表示本发明的实施例可在其中运行的另一个示意性网络体系结构300。根据网络体系结构300,客户端308通过网络306 (例如,诸如LAN的专用网或诸如因特网的公用 网)耦合到云存储服务设备302。每个客户端308可以是PC,便携式电脑,移动电话,个人 数字助理等等。云存储服务302提供到客户端308的数据存储传递。在一个实施例中,云 存储服务302表示Mcrosoft⑧在线网格服务,其使得客户端308的文件312得以共享和同 步。例如,当客户端1的应用程序310修改客户端1的文件312时,服务302对客户端2和 客户端3的文件进行同步以匹配客户端1的文件。 应用程序310可以修改文件312的数据,或者,他们可以仅修改文件312的元信 息。监测应用程序304监测接收自客户端308的同步请求,并确定这些请求是仅影响到文 件元信息还是影响到文件数据本身。如上参考图1的监测应用程序106所述,监测应用程 序304能够基于读取区块尺寸,读取偏移量,每个时间间隔中的同步请求数量,或上述因素 的任意组合来作出这个确定。如果接收自客户端308的请求限于文件元信息的同步,那么 监测应用程序304忽略该请求,允许其继续。或者,如果客户端请求涉及文件数据的变换, 则监测应用程序304触发一个或多个动作,如扫描文件以查找机密信息,并且如果文件包 含机密信息,就防止文件数据被同步。 图4是监测应用程序400的一个实施例的框图。监测应用程序400可选地可包括 配置器(configurator)402,该配置器可以允许监测应用程序400被配置(例如,通过用户 接口)为监测特定可疑应用程序的文件访问行为。此外,配置器402能够将监测应用程序 400配置为使用特定参数用于分析可疑应用程序的文件访问行为。该参数可以是所有可疑 程序公用的或单独应用程序专用的。 监测应用程序400还可包括应用程序请求分析器404和动作管理器406。应用程 序请求分析器404可以监测与可疑应用程序相关联的文件访问事件,并基于文件访问事件 对可疑应用程序的行为进行分类。 动作管理器406忽略指示应用程序试图扫描文件元信息的文件访问事件。当至少 一个应用程序的文件访问事件指示其试图操纵文件数据时,动作管理器406触发响应于这 样的事件而执行的一个或多个动作。例如,动作管理器406可以促使文件被扫描以查找机 密信息,并且如果文件包含机密信息,就阻止或报告应用程序对文件的访问。
图5是基于其数据访问模式对应用程序行为进行分类的方法500的一个实施例的 流程图。方法500由处理逻辑来执行,该处理逻辑可以包括硬件(电路,专用逻辑等),软件 (例如在通用计算机系统或专用机器上运行的)或二者的组合。方法500可以由如图1中 的计算设备120,图2中的服务器202,或图3中的云存储服务设备302之类的计算设备来 执行。 参照图5,处理逻辑从监测与应用程序相关联的文件访问事件开始(块502)。应用 程序可以是,例如,CD烧制应用程序,DVD烧制应用程序,压縮应用程序(例如,zip压縮), 浏览器(例如,Internet Explorer ),云存储应用程序(例如,在线网格服务)等等。可以 从充当在容宿应用程序访问的文件的计算设备中运行的OS的一部分的过滤驱动器处接收 文件访问事件,从嗅探在客户端和容宿客户端程序访问的文件的数据存储系统之间的网络 流量的基于网络的应用程序处接收文件访问事件,或从任何能够获取关于应用程序文件访 问请求的信息的其他模块或应用程序处接收文件访问事件。 在块504,处理逻辑确定是否这些文件访问事件中的至少一个指示了应用程序试图操纵文件的数据。该确定可以基于,例如,文件访问事件的读取区块尺寸,文件访问事件 的读取偏移量,在特定时间间隔上文件访问事件的数量,或以上各因素的组合。文件数据操 纵不同于元信息数据操纵,其可以涉及,例如,编辑文件数据,变换文件数据,向可移动存储 介质写入文件数据,等等。 如果至少一个文件访问事件指示了应用程序试图操纵文件数据,则处理逻辑执行 与这种操纵相关联的动作(块506)。示例性的动作可以包括扫描文件数据以查找机密信 息,并在检测到机密信息后,阻止应用程序访问该文件数据,和/或报告应用程序对该文件 数据的访问。否则,如果文件访问事件指示应用程序试图扫描文件的元数据而非文件数据, 那么处理逻辑忽略该文件访问事件(块508)。 在另一个实施例中,处理逻辑首先确定哪些文件包含机密信息,然后在块504,其 仅考虑那些属于包含机密信息的文件的文件访问事件。如果处理逻辑确定应用程序仅仅试 图扫描包含机密信息的文件的元信息,那么处理逻辑忽略有关的文件访问事件(块508)。 或者,如果处理逻辑确定应用程序试图读取文件数据,那么处理逻辑触发可以阻止,限制或 报告可疑应用程序的这种企图的动作(块506)。 图6是用于分析应用程序数据访问模式的方法的一个实施例的流程图。方法600
由处理逻辑来执行,该处理逻辑可能包括硬件(电路,专用逻辑等),软件(例如在通用计算
机系统或专用机器上运行的)或二者的组合。方法600可以由如图1中的计算设备120,图
2中的服务器202,或图3中的云存储服务设备302之类的计算设备来执行。 参考图6,处理逻辑从接收与应用程序相关联的文件访问事件开始(块602)。文
件访问事件可以标识应用程序,由应用程序访问的文件,应用程序请求的读取区块尺寸,及
可选地,应用程序请求的读取偏移量。如上所述,可以从作为在容宿应用程序访问的文件的
计算设备中运行的OS的一部分的过滤驱动器处接收文件访问事件,也可以从嗅探在客户
端和容宿客户端程序访问的文件的数据存储系统之间的网络流量的基于网络的应用程序
处接收文件访问事件,或从任何能够获取关于应用程序文件访问请求的信息的其他模块或
应用程序处接收文件访问事件。 在块604,处理逻辑通过解析文件访问事件的信息来确定所请求的读取区块尺寸。 在块606,处理逻辑确定该请求的读取区块尺寸是否指示了文件数据读取模式。如果是,则 处理逻辑触发一个或多个DLP动作(块614)。如果否,则在一个实施例中,处理逻辑可以通 过比较所请求的读取偏移量和预定的读取偏移量,来进一步验证该文件访问事件是否符合 元信息读取模式(块607)。如果所请求的读取偏移量与预定的读取偏移量匹配,则处理逻 辑继续到块608。如果不匹配,则处理逻辑触发一个或多个DLP动作(块614)。
在块608,处理逻辑递增事件数量参数。如果得到的事件数量参数超过了阈值数 量(块610),则处理逻辑触发一个或多个DLP动作(块614)。或者,处理逻辑忽略该文件 访问事件(块612)。 图7是计算机系统700的示例性形式的机器的图形表示,在该计算机系统中可执 行一组指令,该组指令用于导致机器执行此处所讨论的任意一种或多种方法。在可替换的 实施例中,机器可以连接(例如,联网)到LAN,内部网,外部网或因特网中的其他机器。该 机器可以作为客户端_服务器网络环境中的服务器或客户端机器来运行,或作为对等(或 分布式)网络环境中的对等机器来运行。该机器可以是个人计算机(PC),平板PC,机顶盒
9(STB),个人数字助理(PDA),蜂窝电话,web装置,服务器,网络路由器,交换机或网桥,或任 何能够(顺序地或以其它方式)执行一组指令的机器,该组指令规定了由该机器采取的动 作。此外,虽然仅仅图示了单个机器,但是术语"机器"还应该包括单独或共同执行一组(或 多组)指令以执行此处讨论的任意一种或多种方法的机器的任意集合。
示例性的计算机系统700包括处理设备(处理器)702,主存储器704 (例如,只读 存储器(ROM),闪存存储器,例如同步DRAM (SDRAM)或存储器总线DRAM (RDRAM)的动态随机 访问存储器(DRAM)等),静态存储器706(例如,闪存存储器,静态随机访问存储器(SRAM) 等),以及数据存储设备718,这些部件通过总线730互相通信。 处理器702表示一个或多个通用处理设备,例如微处理器,中央处理单元等。更特 别的,处理器702可以是复杂指令集计算(CISC)微处理器,精简指令集计算(RISC)微处理 器,超长指令字(VLIW)微处理器,或实现其他指令集的处理器,或实现指令集组合的处理 器。处理器702还可以是一个或多个专用处理设备,例如专用集成电路(ASIC),现场可编 程门阵列(FPGA),数字信号处理器(DSP),网络处理器等。处理器702配置为执行处理逻辑 726以完成此处所讨论的操作和步骤。 计算机系统700可以进一步包括网络接口设备708 。计算机系统700还可以包括视 频显示单元710(例如,液晶显示器(LCD)或阴极射线管(CRT)),字母数字输入设备712(例 如,键盘),光标控制设备714 (例如,鼠标),及信号生成设备716 (例如,扬声器)。
数据存储设备718可以包括机器可存取的存储介质730,其上存储了一组或多组 能够实现此处所讨论的任意一种或多种方法或功能的指令(例如软件722)。软件722还 可以在其由计算机系统700执行期间完全或至少部分地驻留在主存储器704中和/或处理 器702中,主存储器704和处理器702也构成机器可存取的存储介质。软件722可以进一 步通过网络接口设备708在网络720上发送或接收。 虽然在示例性实施例中机器可存取的存储介质730是单个的介质,但术语"机器 可存取的存储介质"应该包括存储一组或多组指令的单个的介质或多个介质(例如,集中式 或分布式的数据库,和/或相关联的高速缓存和服务器)。术语"机器可存取的存储介质" 还应该包括能够存储,编码或承载一组由该机器执行并使得该机器完成本发明的任意一种 或多种方法的指令的任意介质。因此,术语"机器可存取的存储介质"应该包括但不限于固 态存储器,光介质和磁介质。 可以理解,以上描述是示例性的而非限制性的。在阅读和理解上面的描述之后,对 于本领域的技术人员来说,许多其他的实施例都是显而易见的。因此,本发明的范围应参照 附加的权利要求与这些权利要求所代表的等同物的全部范围来确定。
权利要求
一种计算机实现的方法,其基于应用程序的数据访问模式,对应用程序的行为进行分类,该方法包括监测与应用程序相关联的文件访问事件;确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图;及如果至少一个文件访问事件指示了操纵文件数据的企图,则使至少一个动作被执行。
2. 如权利要求l所述的方法,其中该应用程序是光盘(CD)烧制应用程序,数字化视频光盘(DVD)烧制应用程序,数据压縮应用程序,浏览器应用程序及云存储应用程序中的任意一种。
3. 如权利要求l所述的方法,进一步包括从过滤驱动器或嗅探网络流量的基于网络的应用程序处接收文件访问事件。
4. 如权利要求1所述的方法,其中文件访问事件标识文件并指定读取区块尺寸。
5. 如权利要求4所述的方法,其中文件访问事件指定了读取偏移量。
6. 如权利要求1所述的方法,其中操纵文件数据包括修改文件数据,复制文件数据和显示文件数据中的至少一种。
7. 如权利要求1所述的方法,其中确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图包括确定关于文件访问事件的读取区块尺寸是否超过了阈值区块尺寸参数。
8. 如权利要求1所述的方法,其中确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图包括确定在一时间间隔中文件访问事件的数量是否超过了阈值访问请求数量。
9. 如权利要求1所述的方法,其中使至少一个动作被执行包括扫描该文件数据以查找机密信息;及检测到该文件中的机密信息之后,限制该文件读取请求。
10. 如权利要求l所述的方法,进一步包括确定文件访问事件指示了访问文件元数据的企图;及如果该企图被确定为访问该文件元数据的企图,则允许该文件访问事件继续。
11. 一种基于应用程序的数据访问模式对应用程序的行为分类的系统,该系统包括应用程序请求分析器,该应用程序请求分析器监测与应用程序相关联的文件访问事件,并确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图;及动作管理器,该动作管理器耦接到该应用程序请求分析器,以在至少一个文件访问事件指示操纵文件数据的企图的情况下执行至少一个动作。
12. 如权利要求ll所述的系统,其中该应用程序是光盘(CD)烧制应用程序,数字化视频光盘(DVD)烧制应用程序,数据压縮应用程序,浏览器应用程序及云存储应用程序中的任意一种。
13. 如权利要求ll所述的系统,进一步包括过滤驱动器,该过滤驱动器生成文件访问事件。
14. 如权利要求11所述的系统,其中文件访问事件标识文件,并指定读取区块尺寸并且可选地指定读取偏移量。
15. 如权利要求11所述的系统,其中该应用程序请求分析器通过以下方式确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图确定关于文件访问事件的读取区块尺寸是否超过了阈值区块尺寸参数;及确定在一时间间隔中文件访问事件的数量是否超过了阈值访问请求数量。
16. 如权利要求11所述的系统,其中该动作管理器进一步确定文件访问事件指示了访问文件元数据的企图,并且如果该企图被确定是访问该文件元数据的企图,那么该动作管理器允许该文件访问事件继续。
17. —种基于应用程序的数据访问模式对应用程序的行为分类的设备,该设备包括用于监测与应用程序相关联的文件访问事件的装置;用于确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图的装置;及用于如果至少一个文件访问事件指示了操纵文件数据的企图,则使至少一个动作被执行的装置。
18. 如权利要求17所述的设备,其中文件访问事件标识文件,并指定读取区块尺寸并且可选地指定读取偏移量。
19. 如权利要求17所述的设备,其中用于确定是否这些文件访问事件中的至少一个指示了应用程序操纵文件数据的企图的装置包括用于确定关于文件访问事件的读取区块尺寸是否超过了阈值区块尺寸参数的装置;及用于确定在一时间间隔中文件访问事件的数量是否超过了阈值访问请求数量的装置。
全文摘要
本申请通过应用程序数据访问分类进行的数据损失保护,描述了基于应用程序的数据访问模式,对应用程序的行为进行分类的方法和设备。在一个实施例中,该方法包括监测与应用程序相关联的文件访问事件,并确定是否这些文件访问事件中的至少一个指示了该应用程序操纵文件数据的企图。如果至少一个文件访问事件指示了该应用程序操纵文件中的数据的企图,那么使至少一个动作被执行。
文档编号G06F21/22GK101751535SQ20091025308
公开日2010年6月23日 申请日期2009年10月30日 优先权日2008年10月31日
发明者伊恩·巴利尔, 布鲁斯·乌坦, 德克·克斯勒, 拉杰什·乌帕蒂亚 申请人:赛门铁克公司