用于分析电子信息散布事件的系统及方法.pdf

摘要
申请专利号：	CN200980109457.3	申请日：	2009.03.17
公开号：	CN101978669A	公开日：	2011.02.16
当前法律状态：	授权	有效性：	有权
法律详情：	授权\|\|\|实质审查的生效IPC(主分类):H04L 29/06申请日:20090317\|\|\|公开
IPC分类号：	H04L29/06; H04L12/58	主分类号：	H04L29/06
申请人：	网圣公司
发明人：	利德罗尔·特罗扬斯基
地址：	美国加利福尼亚州
优先权：	2008.03.19 US 12/051,709
专利代理机构：	北京律盟知识产权代理有限责任公司 11287	代理人：	张世俊
PDF下载：	PDF下载

内容摘要

本发明揭示一种用于确定发送者(110)在发射电子信息(120)时的意图以防止对电子信息的未经授权的散布的系统及方法。所述系统及方法促进对散布事件的具有成本效益的处置且包括业务分析器(150)，所述业务分析器(150)经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图，有可能在所述电子信息被散布之前有效地对其进行隔离(170)。

权利要求书

1：一种用于确定发送者在发射电子信息时的意图以防止对所述电子信息的未经授权的散布且促进对散布事件的具有成本效益的处置的系统，所述系统包括业务分析器，所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。
2：根据权利要求 1 所述的系统，其中所述描述符包括消息的内容、所述消息的发送者及所述消息的接收者中的至少一者。
3：根据权利要求 1 所述的系统，其中所述业务分析器包括用于分析所述电子信息的所述描述符及参数的意图评估单元。
4：根据权利要求 3 所述的系统，其中所述意图评估单元确定在发送所述电子信息时的所述意图是恶意的还是错误的。
5：根据权利要求 3 所述的系统，其中所述意图评估单元经配置以确定是否应散布所述电子信息。
6：根据权利要求 3 所述的系统，其中所述意图评估单元经配置以确定是否应由所述发送者做出关于所述信息的散布的决策。
7：根据权利要求 6 所述的系统，其中所述意图评估单元在确定是否散布所述电子信息时评价所述电子信息被散布的置信级及严重性。
8：根据权利要求 3 所述的系统，其中所述意图评估单元将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定是否应散布所述电子信息。
9：根据权利要求 8 所述的系统，其中所述预界定的情景是依据先前的电子信息散布事件产生的。
10：一种用于确定发送者在发射电子信息时的意图以防止对所述电子信息的未经授权的散布的计算机实施的方法，所述方法包括：确定所述电子信息的描述符及参数；分析所述电子信息的所述描述符及参数；及依据对所述电子信息的所述描述符及参数的所述分析确定所述发送者的所述意图。
11：根据权利要求 10 所述的方法，其进一步包括确定所述发送者的所述意图是否为恶意的。
12：根据权利要求 10 所述的方法，其进一步包括确定所述发送者是否错误地发射了所述电子信息。
13：根据权利要求 10 所述的方法，其进一步包括在做出所述发送者的所述意图的决策时确定所述电子信息的置信级及严重性。
14：根据权利要求 13 所述的方法，其进一步包括在确定是否应隔离所述电子信息时使用所述发送者的所述意图。
15：根据权利要求 14 所述的方法，其进一步包括在确定是否应由所述发送者做出关于从隔离区释放所述电子信息的决策时使用所述发送者的所述意图。
16：根据权利要求 10 所述的方法，其进一步包括将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定所述发送者的所述意图。
17：根据权利要求 16 所述的方法，其中将所述电子信息的所述描述符及参数与预界定的情景进行比较包括找出所述描述符及参数与所述预界定的情景之间的最近相邻者。 2
18：根据权利要求 10 所述的方法，其进一步包括应用基于发送者及接收者的电子邮件地址的启发式法来评估所述发送者的所述意图。
19：根据权利要求 10 所述的方法，其进一步包括在确定是否应散布所述电子信息时使用所述发送者的所述意图。
20：根据权利要求 10 所述的方法，其进一步包括在确定是否应由所述发送者做出关于所述信息的散布的决策时使用所述发送者的所述意图。
21：根据权利要求 14 所述的方法，其进一步包括告知所述发送者从隔离区释放消息所需的行动。
22：一种用于识别电子消息的发射中的有问题商业策略的计算机实施的方法，所述方法包括：确定发射过的违反规定的商业策略的电子消息的数目；识别发送过所述电子消息的发送者；分析所述电子消息的接收者；及响应于所述电子消息数目、所述电子消息的所述发送者及对所述电子消息的接收者的所述分析而确定所述电子消息的所述发射的所述商业策略是否有问题。
23：根据权利要求 22 所述的方法，其中分析所述电子消息的接收者进一步包括针对所述接收者应正接收所述电子消息的肯定及否定指示符而分析接收者地址。
24：根据权利要求 23 所述的方法，其中接收的肯定指示符包括所述接收者的隶属关系且接收的否定指示符包括所述接收者地址属于低信誉的域。

说明书

用于分析电子信息散布事件的系统及方法
    【技术领域】
     本发明大体来说涉及信息泄漏预防的领域。更具体来说但非排他地，本发明论及用于高效且准确地分析信息散布事件的方法。背景技术
     在许多情况下，由组织及企业创建并积累的信息及知识是其最有价值的资产。对知识产权、财务信息及其它机密或敏感信息的未经授权的散布可显著地损害公司的信誉及竞争优势。另外，组织内部的个体的私人信息以及客户、顾客及商业伙伴的私人信息可包含可能被具有犯罪意图的用户滥用的敏感细节。
     撇开对商业秘密及信誉两者的损害不说，美国及国外的法规提出对信息泄漏的实质法律责任：例如健康保险便携性与责任法案 (HIPAA)、格雷姆 - 里奇 - 比利雷法案 (GLBA) 及各州与各国的隐私保护法律等法规暗指应监视组织内的信息资产并使其经受信息保护策略以保护客户的隐私且缓解潜在的误用及欺诈风险。在保护现代组织及企业中的信息及知识的机密性中的一项主要挑战是由经授权的用户导致的信息泄漏。结果是在许多大组织中普遍存在且几乎每天都发生未经授权的信息散布的此类事件，尤其是经由电子邮件。
     经授权的用户所做的信息泄漏事件的重要方面是在电子信息的泄漏中所用的各种各样的动机、意图及倾向。举例来说，泄漏可由 “打破常规” ( 例如，在家处理机密文档 ) 的试图所致的无心错误导致 ( 例如，使用电子邮件客户端中的 “回复全部” 而非 “回复” 选项可导致将机密信息发送到组织外部的未经授权的接收者 ) 或因由贪婪或愤怒引起动机的信息散布的恶意试图所致。
     处置商业环境中对电子信息的未经授权的散布的事件极其苛刻，因为现代组织产生巨量的电子业务且另一方面维持合法的电子信息流不受妨碍而另一方面必须维持信息的机密性是必需的。在许多情况下，做出特定情况下的信息是否确实为机密的决策是一项困难且主观的任务，且冒信息的机密性的风险对妨碍重要商业过程之间的折衷完全不清楚。在这点上，信息散布的动机的问题变得重要。如果散布事件是合法的 ( 仍成问题 ) 商业过程的一部分或发送者的无辜错误，那么其最好可由发送者本身处置。另一方面，如果散布的动机为恶意的，那么在不使发送者知道的情况下阻断散布可能较好。
     一般来说，监视并实行关于电子信息散布的策略的当前尝试大致不对动机表明看法。此缺乏对动机的理解诱发次于最优的事件处置。
     发明内容描述一种用于高效地且准确地分析电子信息散布事件的系统及方法。所述方法基于使用各种启发式法及 / 或通过考察各种频繁发生的情景并断定这些情景中的每一情景的似乎合理性来分析并推断散布事件的最可能动机。所述情景包含发送者及接收者的动机、意图及倾向。此后，决策系统优选地使用基于启发式法及情景的分析的结果来提供最好
     的事件处置。
     揭示一种用于确定发送者在发射电子信息时的意图以防止对电子信息的未经授权的散布的系统及方法。所述系统及方法促进对散布事件的具有成本效益的处置且包括业务分析器，所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图，有可能在所述电子信息被散布之前有效地对其进行隔离。所述描述符描述至少消息的内容、所述消息的发送者及所述消息的接收者。
     所述业务分析器包括用于分析所述电子信息的所述描述符及参数的意图评估单元且确定在发送所述电子信息时的所述意图是恶意的还是错误的。所述意图评估单元经配置以基于所述发送者的所述意图来确定是否应散布所述电子信息且还确定是否应由所述发送者做出关于散布的决策。所述意图评估单元还在确定是否散布所述电子信息时评价所述电子信息被散布的置信级及严重性。此外，所述意图评估单元可将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定是否应散布所述电子信息。所述预界定的情景是依据先前的电子信息散布事件产生的且所述比较包含找出所述描述符及参数与所述预界定的情景之间的最近相邻者。另外，有可能使用基于所述发送者及接收者的电子邮件地址的启发式法来评估所述发送者的所述意图。
     揭示一种用于识别电子消息的发射中的有问题商业策略的方法。所述方法包含：确定发射过的违反规定的商业策略的电子消息的数目；确定发送过所述电子消息的发送者；及分析所述电子消息的接收者。接着响应于电子消息的所述数目、所述电子消息的所述发送者及对所述电子消息的接收者的所述分析而确定所述电子消息的所述发射的所述商业策略是否有问题。所述分析所述电子消息的所述接收者的步骤进一步包括针对所述接收者应正接收所述电子消息的肯定及否定指示符而分析所述接收者的地址。接收的肯定指示符包括所述接收者的隶属关系且接收的否定指示符包括属于低信誉的域的接收者地址。附图说明
     为更好地理解本发明并显示可如何实施本发明，现在将完全以实例方式参考附图，附图中：
     图 1 是利用情景分析及动机评估的用于信息泄漏预防的系统的图解说明。
     图 2 是图解说明利用意图评估的用于事件处置的方法的流程图。
     图 3 是图解说明使用事件的严重性及决策的置信级的用于事件处置的方法的流程图。
     图 4 是利用最近相邻者方法的用于评估动机及意图的方法的图解说明。
     图 5 是使用主要基于电子邮件地址分析的启发式法的用于评估动机及意图的方法的图解说明。
     图 6 是用于评估遭破坏的商业过程的存在的似乎合理性的方法的图解说明。具体实施方式
     本申请案中所描述的系统及方法的发明人已认识到对在确定应如何处置电子信息散布中包含散布事件的可能动机、意图及倾向的方法及系统的需要。本文揭示一种实现起源于电子信息泄漏的危险的高效缓解且可操作以缓解在公司内部的用户破坏及 / 或以其它方式泄密机密数据 ( 无论其是公司的私人雇员或顾客细节还是公司的知识产权 ) 时发生的信息泄漏的方法及系统。这些破坏可采取向公司外部发送的电子邮件、将信息上载到 web/ 因特网、即时消息接发、印刷、将数据复制到便携式装置等形式。
     在详细地解释本发明的至少一个实施例之前，应理解本发明在其应用上并不限于以下说明中所阐述的或图式中所图解说明的组件的构造及布置的细节。本发明能够具有其它实施例且以各种方式来实践或实施。另外，应理解，本文中所采用的短语及术语是出于说明目的而不应视为具有限制意义。此外，将认识到，所描述的组件为说明性而非限制性且可仅实施于软件、硬件或两者的组合中。
     存在其中善意的用户可无意地泄漏电子信息的数个模式。最常见的模式是简单错误，借此 ( 举例来说 ) 通过在答复敏感电子邮件时点击 “回复全部” 而非 “回复” 或信任电子邮件客户端的自动完成特征并向 “竞争者约翰” 而非 “合作者约翰” 发送秘密而将电子信息暴露给错误的眼睛。在其它情况下，分配表被置于 “CC” 栏而非 “BCC” 栏中且揭露敏感姓名及电子邮件地址。
     归因于现代生活方式的另一常见模式是 “在家工作” 模式，其中勤奋的雇员可将含有机密信息的材料发送到她的家庭 web 邮件帐户以在工作时间之后继续工作，从而破坏材料及公司策略的机密性。又一模式是 “乐于助人” ，其为所谓的 “社会工程师” 的生计。如果发问者看上去足够地值得信任且无恶意，那么大多数人都愿意提供帮助且可能乐意透露机密信息。社会工程师可能够仅通过以表面上看似无辜的方式向他人寻求帮助而获得甚至最为保密的材料，如源代码及口令。
     另一方面，蓄意地且故意地破坏安全性及机密性的恶意用户可导致可观的损害。由贪婪或不满引起动机的恶意用户是并不常见的破坏源，但由于其试图是精心的，因此每事件的平均损害可能较大。在不充分监视其输出信息的组织中，对于此恶意用户来说，仅通过使用 web 邮件向外发送保密文档而成功地破坏机密性是非常容易的。实际上，结果是经常发生简单且明显的恶意泄漏。此可 ( 例如 ) 在雇员打算离开公司并向其自身发送如客户文件夹的机密信息或技术制图及源代码时发生。
     介于恶意与好意之间的是行为不正当的模式。这些模式是由未充分地了解公司资产的价值且未加以适当注意的用户导致的行为。常见的实例包含与朋友闲聊或共享新颖 ( 及机密 ) 细节。
     信息泄漏的问题的重要方面起源于界定机密信息的固有困难。除了相对初步真实的案例外，存在关于应将何种内容分类为机密的宽广 “灰色区域” 。评估手边的信息的机密性级并界定其相关分配及使用策略可为主观的，因为不同的人可相对于机密性级及分配策略对商业过程的影响具有不同的观点。另外，任一自动系统均可遭受误报的影响使得所述系统可错误地指派比其应指派的更具限制性的策略。为此目的，如果可安全地断定某一事件起源于决策系统的误报或代表发送者的无辜错误，那么对电子信息的最好缓解及处置可以是将消息与决策系统的调查结果一起返回到发送者且使发送者做出关于所要的行动的决策，从而考虑到机密性与可用性之间的相关折衷。由于在大组织中电子业务量可为巨大的且因此机密信息散布事件的潜在频率可为高的，因此可通过分配事件处置实现的成本降
     低可为显著的。
     另一方面，如果有理由假定事件为恶意的，那么系统不应允许发送者处置事件。实际上，组织的权威机构应使用由所述系统收集的证据来 “处置” 发送者本身。在不推断发送者的动机的情况下，将难以提供对问题的充分解决。
     以下实施例描述一种用于高效地评估电子信息泄漏事件的动机及情景的系统。与说明一起，每一情景可指代电子信息散布事件的整个背景，其可包含以下细节：
     □消息的来源 ( 发送者及机器的身份 ) ；
     □发送者的意图；
     □消息的目的地；
     □目的地的倾向；
     □消息中的信息的分类；
     □关于消息的内容的细节；
     □电子业务的信道；及
     □事务的时间。
     尽管可容易地且明确地从电子消息提取情景的元素中的一些元素 ( 例如，信道、时间以及来源及目的地的地址 )，但在许多情况下例如消息的分类以及接收者的身份及倾向的其它元素较难以评估。
     最成问题的元素是发送者的意图。实际上，甚至在例如刑事和民事法律的其它领域中，确认意图也被认为是一项困难的任务。在所描述系统的实施例中，所述系统试图使用各种启发式法且通过考虑电子信息泄漏的最常见情景 / 模式并给所述情景中的每一者指派概率来确认意图。所述系统在用于以下专利申请案中更全面描述的用于信息泄漏预防的系统内时特别有用，所述专利申请案的内容特此以全文引用的方式并入本文中：
     □第 20020129140 号美国专利申请公开案， “用于监视数字内容的未经授权的传送的系统及方法 (A System and a Method for Monitoring Unauthorized Transport ofDigital Content)” ；
     □第 20050288939 号美国专利申请公开案， “用于管理机密信息的方法及系统 (A method and system for managing confidential information)” ；
     □第 20040255147 号美国专利申请公开案， “用于确保符合分配及使用策略的设备及方法 (Apparatus and Method for Assuring Compliance with Distribution and UsagePolicy)” ；
     □第 20040260924 号美国专利申请公开案， “用于电子邮件过滤的设备及方法 (Apparatus and Method for Electronic Mail Filtering)” ；
     □第 20050027980 号美国专利申请公开案， “用于确保符合分配策略的设备及方法 (Apparatus and Method for Ensuring Compliance with Distribution Policy)” ；
     □第 20050025291 号美国专利申请公开案， “用于信息分配管理的方法及系统 (A Method and System for Information Distribution Management)”
     现在参考图 1，其显示利用情景分析及动机评估的用于信息泄漏预防的系统 100。用户 110 发送例如具有数字业务 130 的电子邮件消息 120 等电子信息。保护器单元 140 拦截电子消息 120 并将其副本发送到包含意图评估子单元 155 的业务分析器 150。业务分析器 150 及意图评估子单元 155 审查电子消息 120 并产生发射到策略参考监视器 160 的分析结果，所述策略参考监视器根据预界定的策略及所述分析结果来确定所需的行动。举例来说，一个可能的行动是将有问题电子消息 120 发送到其中保持消息 120 的隔离区 170。如果来自评估子单元 155 的意图分析表明最可能的情景是无辜错误，那么可通知用户 110 消息 120 在隔离区中。优选地，通知消息将包括允许用户 110 使用第 2005002529 号美国专利申请公开案 “用于信息分配管理的方法及系统 (A Methodand System for Information Distribution Management)” 中所描述的方法从所述隔离区释放消息 120 的代码，所述公开案的内容特此以全文引用的方式并入本文中。发送者接着可更改所述消息以省略 ( 如果需要 ) 机密信息及 / 或未经授权的接收者。接着可经由 WAN 180 将所释放的消息引导到其目的地。
     意图评估子单元 155 评估用户 110 的意图远非微不足道且可能是一项困难的任务。在许多情况下，假定事务的细节及消息的内容，可通过推断错误的一些常见情景及恶意意图的初步真实的情景的概率来评估意图。现在参考图 2，其图解说明用于通过考察事务的描述符并应用启发式法以确定最可能的意图来评估这些概率的方法。在阶段 A 210 处，将消息 120 的描述符 ( 例如消息的来源、消息的目的地、消息的内容等 ) 及事务的参数 ( 例如消息的信道、事务的时间等 ) 输入到意图评估子单元 155 中。在阶段 B 220 处，子单元 155 评估事件是否为初步真实的恶意事件 ( 例如，将大量信用卡的细节与所有者的姓名及社会安全号一起发送到可疑的地址 )。如果事件为初步真实的恶意事件，那么子单元 155 继续进行到步骤 230，借此将所述事件处置为恶意事件且开始所要的行动。如果事件并非是初步真实的恶意案例，那么子单元 155 继续进行到阶段 C 240 以做出所述事件是否为初步真实的错误的决策 ( 例如，使用启发式法，例如： “如果曾向数个内部电子邮件地址连同一个外部电子邮件地址发送机密文件，那么将所述事件界定为错误” )。如果其为初步真实的错误，那么子单元 155 继续进行到步骤 250，借此发送者可优选地使用第 20050025291 号美国专利申请案 “用于信息分配管理的方法及系统” 中所描述的方法来处置所述事件，所述申请案的内容特此以全文引用的方式并入本文中。在允许发送者处置所述事件之后，子单元 155 在步骤 260 中记录所述事件的细节。如果子单元 155 在步骤 240 中确定其并非是初步真实的错误，那么所述子单元在步骤 270 中指派管理员处置所述案例且在步骤 260 中记录所述事件及细节。
     一般来说，用于处置事件的方法取决于许多因素，例如破坏的严重性等级、决策系统关于事件确实构成破坏的事实的置信级及组织对信息泄漏的灵敏度。图 3 图解说明与图 2 的方法大致相似的方法且包含允许调节其中事件将由发送者处置的最大严重性及置信级。
     更具体来说，在阶段 A 310 处，将电子消息 120 的描述符及参数输入到子单元 155 中。接下来，在阶段 B 320 处，子单元 155 评估事件是否为初步真实的恶意事件。如果所述事件为恶意的，那么过程继续进行到步骤 330 以相应地进行处置。如果所述事件并非是恶意的，那么过程继续进行到阶段 C 340，借此子单元 155 确定所述事件是否为初步真实的错误。如果所述事件是初步真实的错误，那么过程继续进行到借此发送者可处置所述事件的步骤 350 及其中记录所述事件及细节的步骤 360。然而，如果所述事件并非是初步真实的错误，那么过程继续进行到阶段 D 362，借此评价决策的置信级 ( 例如，基于与先前所界定的机密信息的相似性的等级，优选地使用第 20020129140 号美国专利申请案： “用于监视数字内容的未经授权的传送的系统及方法” 及第 20050288939 号美国专利申请案： “用于管理机密信息的方法及系统” 中所描述的方法，所述申请案的内容特此以全文引用的方式并入本文中 ) 及事件的严重性 ( 例如，基于所散布的信息及如果此信息将抵达恶意接收者那么可发生的潜在损害的严重性等级 ) 且优选地给其中的每一者指派一数值。接下来，在阶段 E 364 处，将指派给置信级及严重性的数值与预界定的阈值进行比较以做出处置所述事件是应留给用户还是应留给所指派的管理员的决策。所述阈值可由组织中的管理员或安全员以反映关于机密及专有信息的组织策略及程序的方式来界定。如果置信级及严重性高于所述阈值，那么此指示电子信息的散布可能不可取以致应在步骤 370 中通知管理员且不发射所述信息。然而，如果置信级及严重性低于所述预界定的阈值，那么过程继续进行到步骤 350，借此发送者可处置所述事件，且在步骤 360 中记录细节。
     对于并不清晰的事件，可优选地考察来自过去的相似情景以评估发送者的意图。图 4 图解说明利用 “最近相邻者分类” 来评估意图的方法。在阶段 A 410 处，子单元 155 获得消息的描述符及事务的参数，如先前针对图 2 所描述。在阶段 B 420 处，评价存储于数据库 430 中的各种情景以及从阶段 A 410 输入的消息的描述符及事务的参数之间的相似性。数据库 430 中的情景可来自先前所记录及所分析的事件连同最可能的意图。在阶段 C 440 处，考虑最相似的情景，其中相似性基于上文所描述的描述符的相似性。在这点上，过程通过将事件与预界定的情景进行比较来确定事件的 “最近相邻者” 。接下来，在阶段 D 450 处，子单元 155 基于从阶段 C 440 找出的最近相邻者来做出关于发送者的最可能意图的决策。另外，子单元 155 还可基于与最近相邻者的相似性等级来给决策指派置信级。一旦在阶段 D 450 处获得最可能意图，所述子单元就可确定最适当的行动，例如发射消息、隔离消息并告知发送者或告知管理员。优选地，告知发送者还应包含破坏的细节及使发送消息被允许所需要的行动 ( 例如， “请省略机密信息及 / 或未经授权的接收者” )。
     此外，系统可基于对消息的标头内的电子邮件地址及主体的分析而利用以下启发式法中的一些启发式法，以确定用户的意图：
     1. 在其中消息包含数个经授权的地址及一个或一个以上未经授权的地址的情况下，事件很可能是非恶意的。
     2. 在其中向内部未经授权的地址发送消息 ( 其与另一经授权的地址非常相似以致邮件客户端的自动完成特征很可能导致事件 ) 的情况下，事件最可能是非恶意的。
     3. 在其中用户使用 “回复全部” 特征来回复消息且所回复消息的原始发送者是经授权的情况下，事件最可能是非恶意的。
     系统还可通过寻找发送者的姓名与 web 邮件地址之间的相似性来寻找其中发送者正试图将信息发送到他的或她的基于 web 的邮件的事件 ( 例如，杰拉德里根 (JeraldRegan) 将消息发送到 JRegan@webbasedmail.com)。系统可使用 ( 例如 ) 称为姓名中的字符串与电子邮件地址的前缀中的字符串之间的 “编辑距离” 的相似性度量来评估此类相似性。此类试图可起源于两种基本情景：
     1. 为在家工作而 “打破常规” 的试图 - 此基本上是非恶意情景，但不应将其视为无辜的错误。
     2. 当相关人员打算离开公司 ( 或想到他很快就被解雇 ) 时散布消息以供将来使用的试图 - 恶意事件。
     由于无法将两个事件视为错误，因此其两者优选地应由管理员处置。然而，两个事件的严重性等级是不同的。存在可用来确定两个情景中的每一者的可能性的数个参数：
     a. 机密信息的所有权：在其中发送者也为信息的所有者的情况下。
     b. 信息量：大量的附加文件使恶意情景更为可能。
     c. 信息的多样性：在家工作的意图的特征将在于与单个主题有关的文档。信息的高多样性 ( 例如，表示不同类型的信息的主题 - 例如，客户的数据及 R&D 文档 ) 较可能起源于恶意意图。可使用例如第 20050288939 号美国专利申请公开案 “用于管理机密信息的方法及系统” 中所描述的内容分类方法来评估信息的多样性，所述申请案的内容特此以全文引用的方式并入本文中。
     d. 发送者的工作职务及级别 - 在大多数组织中，给顶层管理实施的信息散布事件指派较低的严重性等级将为合理的。( 例如，相比于低层发送者，大组织中的顶级管理不太可能实施基于身份盗窃的诡计 )。
     现在参考图 5，其图解说明用于基于上文所描述的各种启发式法来评估用户的意图的方法。更具体来说，在阶段 A 510 处，子单元 155 获得被怀疑为未经授权的电子消息的描述符及参数。接下来，在阶段 B 520 处， ( 例如 ) 根据上文所描述的启发式法来分析消息的电子邮件地址，以评估事件是否最可能为错误的结果 ( 阶段 C， 530)。如果存在错误的肯定指示，那么在阶段 D 540 处，子单元 155 评估事件的严重性等级 ( 例如，基于未经授权的散布的潜在损害 )。在阶段 E 542 处，子单元 155 将严重性与预界定的阈值进行比较：如果严重性低于预界定的阈值，那么在阶段 F 544 处允许发送者处置事件且在阶段 G 546 处记录事件的细节及发送者的行动。否则，在阶段 H548 处向所指派的管理员发送消息，所述管理员根据适用策略及程序处置事件。同样，在阶段 G 546 处记录事件的细节及所采取的行动。如果在阶段 C 530 处不存在错误的肯定指示，那么子单元 155 在阶段 H 550 处进一步寻找曾向发送者的私人地址发送信息的证据。如果在阶段 I 552 处存在此情景的肯定指示符，那么在阶段 H 548 处向所指派的管理员发送消息，所述管理员接着根据适用策略及程序处置事件。在阶段 G 546 处记录事件的细节及所采取的行动。如果不存在此类指示符，那么在阶段 K 560 处消息可继续进一步的分析。
     系统还可将隐藏输出消息的试图视为恶意意图的指示符。此类试图可基于用其它字符来替换字符 ( 例如， p@tent 替代 “patent” 、 “$3cr3t” 替代 “Secret” 等 )。用于检测此类操纵的方法描述于第 20050288939 号美国专利申请公开案 “用于管理机密信息的方法及系统” 中，所述申请公开案的内容特此以全文引用的方式并入本文中。
     此外，系统可推断用户的再犯模式并相应地确定事件的倾向，从而考虑到用户在过去曾参与相似的事件的事实。优选地，系统利用例如第 20050027980 号美国专利申请公开案 “用于确保符合分配策略的设备及方法” 中所描述的那些方法的方法来处置用户的再犯模式，所述申请公开案特此以全文引用的方式并入本文中。
     系统还可识别有问题 (“遭破坏的” ) 商业过程，其中机密或非公开信息是以可将其暴露给未经授权的接收者的方式发送的 ( 例如，在无任何加密的情况下向公司的另一分部或附属机构发送机密信息 )。此类事件是非恶意的且可起源于有缺陷的组织策略或常见错误。识别遭破坏的商业过程可基于图 6 中所图解说明的方法，借此在阶段 A 610 处将优选地在规定时间帧中 ( 例如，在上个月期间 ) 破坏某一策略 Pi 的消息计数为数目 N。接下来，在阶段 B 620 处，将 N 与预界定的阈值 N0 进行比较以确定此类事件的频率。一般来说，遭破坏的商业过程的特征在于以下事实：相同类型的破坏作为例行操作的一部分而重复，因此人们可接受 N 应足够大。一般来说，阈值 N0 的等级将取决于组织或企业的特异特性及业务量。如果 N 小于或等于 N0，那么在阶段 630 处其最可能不是遭破坏的商业过程。如果 N 大于 N0，那么在阶段 C 640 处将不同发送者的数目 NS 与阈值 Θ1 进行比较，且在阶段 D 650 处将曾破坏策略 Pi 的唯一项目的数目 NPi 与另一阈值 Θ2 进行比较。同样，如果 Ns ≤ Θ1 或 NPi ≤ Θ2，那么其最可能不是遭破坏的商业过程且过程继续进行到阶段 630。如果既 Ns ＞ Θ1 又 NPi ＞ Θ2，那么在阶段 El 660 处进一步评估遭破坏的商业过程的可能性，借此针对遭破坏的商业过程的肯定指示符分析接收者地址，例如：
     ·接收者隶属于组织或其附属机构？
     ·接收者是商业伙伴、顾客或供应商？
     ·数个不同发送者向同一接收者发送？
     在阶段 E2662 处，针对否定指示符分析接收者地址及发送方法，例如：
     ·接收者属于低信誉的域？ ·曾将消息发送到 web 邮件或从 web 邮件发送消息？
     在阶段 E3664 处，组合肯定与否定指示以评估遭破坏的商业过程的可能性。在阶段 F 670 处，将所评估的可能性与可能性阈值 Θ3 进行比较。如果可能性大于 Θ3，那么在阶段 G 680 处决策是 “遭破坏的商业过程” 且在阶段 H 690 处优选地向策略所有者发送消息。否则在阶段 630 处决策为否定的。
     本文中所揭示的方法及设备通过提供允许在数字业务过滤系统中高效地处置未经授权的信息散布的事件的方法及系统而解决当前已知的配置的缺点。
     应了解，本文中所描述的方法中的任一者的一个或一个以上步骤可按不同于所示的次序的次序来实施而并不背离本发明的精神及范围。
     尽管可能已参考或未参考特定硬件或软件来描述本文中所揭示的方法及设备，但已以足以使所属领域的技术人员能够容易地调适将本发明实施例中的任一者简化为无需过多实验且使用常规技术便可实践而需要的市售硬件及软件的方式描述了所述方法及设备。
     已在以上实施例中以各种组合显示了若干个特征。所属领域的技术人员可了解，以上组合并非为穷尽性且以上特征的所有合理组合特此均包含于本发明中。

资源描述

《用于分析电子信息散布事件的系统及方法.pdf》由会员分享，可在线阅读，更多相关《用于分析电子信息散布事件的系统及方法.pdf（17页珍藏版）》请在专利查询网上搜索。

1、10申请公布号CN101978669A43申请公布日20110216CN101978669ACN101978669A21申请号200980109457322申请日2009031712/051,70920080319USH04L29/06200601H04L12/5820060171申请人网圣公司地址美国加利福尼亚州72发明人利德罗尔特罗扬斯基74专利代理机构北京律盟知识产权代理有限责任公司11287代理人张世俊54发明名称用于分析电子信息散布事件的系统及方法57摘要本发明揭示一种用于确定发送者110在发射电子信息120时的意图以防止对电子信息的未经授权的散布的系统及方法。所述系统及方法促进对散。

2、布事件的具有成本效益的处置且包括业务分析器150，所述业务分析器150经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图，有可能在所述电子信息被散布之前有效地对其进行隔离170。30优先权数据85PCT申请进入国家阶段日2010091786PCT申请的申请数据PCT/US2009/0374362009031787PCT申请的公布数据WO2009/117446EN2009092451INTCL19中华人民共和国国家知识产权局12发明专利申请权利要求书2页说明书8页附图6页CN101978674A1/2页21一种用于确定发送者在发。

3、射电子信息时的意图以防止对所述电子信息的未经授权的散布且促进对散布事件的具有成本效益的处置的系统，所述系统包括业务分析器，所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。2根据权利要求1所述的系统，其中所述描述符包括消息的内容、所述消息的发送者及所述消息的接收者中的至少一者。3根据权利要求1所述的系统，其中所述业务分析器包括用于分析所述电子信息的所述描述符及参数的意图评估单元。4根据权利要求3所述的系统，其中所述意图评估单元确定在发送所述电子信息时的所述意图是恶意的还是错误的。5根据权利要求3所述的系统，其中所述意图评估单元经配置以确定是。

4、否应散布所述电子信息。6根据权利要求3所述的系统，其中所述意图评估单元经配置以确定是否应由所述发送者做出关于所述信息的散布的决策。7根据权利要求6所述的系统，其中所述意图评估单元在确定是否散布所述电子信息时评价所述电子信息被散布的置信级及严重性。8根据权利要求3所述的系统，其中所述意图评估单元将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定是否应散布所述电子信息。9根据权利要求8所述的系统，其中所述预界定的情景是依据先前的电子信息散布事件产生的。10一种用于确定发送者在发射电子信息时的意图以防止对所述电子信息的未经授权的散布的计算机实施的方法，所述方法包括确定所述电子信息的描述符及。

5、参数；分析所述电子信息的所述描述符及参数；及依据对所述电子信息的所述描述符及参数的所述分析确定所述发送者的所述意图。11根据权利要求10所述的方法，其进一步包括确定所述发送者的所述意图是否为恶意的。12根据权利要求10所述的方法，其进一步包括确定所述发送者是否错误地发射了所述电子信息。13根据权利要求10所述的方法，其进一步包括在做出所述发送者的所述意图的决策时确定所述电子信息的置信级及严重性。14根据权利要求13所述的方法，其进一步包括在确定是否应隔离所述电子信息时使用所述发送者的所述意图。15根据权利要求14所述的方法，其进一步包括在确定是否应由所述发送者做出关于从隔离区释放所述电子信息的。

6、决策时使用所述发送者的所述意图。16根据权利要求10所述的方法，其进一步包括将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定所述发送者的所述意图。17根据权利要求16所述的方法，其中将所述电子信息的所述描述符及参数与预界定的情景进行比较包括找出所述描述符及参数与所述预界定的情景之间的最近相邻者。权利要求书CN101978669ACN101978674A2/2页318根据权利要求10所述的方法，其进一步包括应用基于发送者及接收者的电子邮件地址的启发式法来评估所述发送者的所述意图。19根据权利要求10所述的方法，其进一步包括在确定是否应散布所述电子信息时使用所述发送者的所述意图。20根。

7、据权利要求10所述的方法，其进一步包括在确定是否应由所述发送者做出关于所述信息的散布的决策时使用所述发送者的所述意图。21根据权利要求14所述的方法，其进一步包括告知所述发送者从隔离区释放消息所需的行动。22一种用于识别电子消息的发射中的有问题商业策略的计算机实施的方法，所述方法包括确定发射过的违反规定的商业策略的电子消息的数目；识别发送过所述电子消息的发送者；分析所述电子消息的接收者；及响应于所述电子消息数目、所述电子消息的所述发送者及对所述电子消息的接收者的所述分析而确定所述电子消息的所述发射的所述商业策略是否有问题。23根据权利要求22所述的方法，其中分析所述电子消息的接收者进一步包括针。

8、对所述接收者应正接收所述电子消息的肯定及否定指示符而分析接收者地址。24根据权利要求23所述的方法，其中接收的肯定指示符包括所述接收者的隶属关系且接收的否定指示符包括所述接收者地址属于低信誉的域。权利要求书CN101978669ACN101978674A1/8页4用于分析电子信息散布事件的系统及方法技术领域0001本发明大体来说涉及信息泄漏预防的领域。更具体来说但非排他地，本发明论及用于高效且准确地分析信息散布事件的方法。背景技术0002在许多情况下，由组织及企业创建并积累的信息及知识是其最有价值的资产。对知识产权、财务信息及其它机密或敏感信息的未经授权的散布可显著地损害公司的信誉及竞争优势。。

9、另外，组织内部的个体的私人信息以及客户、顾客及商业伙伴的私人信息可包含可能被具有犯罪意图的用户滥用的敏感细节。0003撇开对商业秘密及信誉两者的损害不说，美国及国外的法规提出对信息泄漏的实质法律责任例如健康保险便携性与责任法案HIPAA、格雷姆里奇比利雷法案GLBA及各州与各国的隐私保护法律等法规暗指应监视组织内的信息资产并使其经受信息保护策略以保护客户的隐私且缓解潜在的误用及欺诈风险。0004在保护现代组织及企业中的信息及知识的机密性中的一项主要挑战是由经授权的用户导致的信息泄漏。结果是在许多大组织中普遍存在且几乎每天都发生未经授权的信息散布的此类事件，尤其是经由电子邮件。0005经授权的用。

10、户所做的信息泄漏事件的重要方面是在电子信息的泄漏中所用的各种各样的动机、意图及倾向。举例来说，泄漏可由“打破常规”例如，在家处理机密文档的试图所致的无心错误导致例如，使用电子邮件客户端中的“回复全部”而非“回复”选项可导致将机密信息发送到组织外部的未经授权的接收者或因由贪婪或愤怒引起动机的信息散布的恶意试图所致。0006处置商业环境中对电子信息的未经授权的散布的事件极其苛刻，因为现代组织产生巨量的电子业务且另一方面维持合法的电子信息流不受妨碍而另一方面必须维持信息的机密性是必需的。在许多情况下，做出特定情况下的信息是否确实为机密的决策是一项困难且主观的任务，且冒信息的机密性的风险对妨碍重要商业。

11、过程之间的折衷完全不清楚。在这点上，信息散布的动机的问题变得重要。如果散布事件是合法的仍成问题商业过程的一部分或发送者的无辜错误，那么其最好可由发送者本身处置。另一方面，如果散布的动机为恶意的，那么在不使发送者知道的情况下阻断散布可能较好。0007一般来说，监视并实行关于电子信息散布的策略的当前尝试大致不对动机表明看法。此缺乏对动机的理解诱发次于最优的事件处置。发明内容0008描述一种用于高效地且准确地分析电子信息散布事件的系统及方法。所述方法基于使用各种启发式法及/或通过考察各种频繁发生的情景并断定这些情景中的每一情景的似乎合理性来分析并推断散布事件的最可能动机。所述情景包含发送者及接收者的。

12、动机、意图及倾向。此后，决策系统优选地使用基于启发式法及情景的分析的结果来提供最好说明书CN101978669ACN101978674A2/8页5的事件处置。0009揭示一种用于确定发送者在发射电子信息时的意图以防止对电子信息的未经授权的散布的系统及方法。所述系统及方法促进对散布事件的具有成本效益的处置且包括业务分析器，所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图，有可能在所述电子信息被散布之前有效地对其进行隔离。所述描述符描述至少消息的内容、所述消息的发送者及所述消息的接收者。0010所述业务分析器包括用。

13、于分析所述电子信息的所述描述符及参数的意图评估单元且确定在发送所述电子信息时的所述意图是恶意的还是错误的。所述意图评估单元经配置以基于所述发送者的所述意图来确定是否应散布所述电子信息且还确定是否应由所述发送者做出关于散布的决策。所述意图评估单元还在确定是否散布所述电子信息时评价所述电子信息被散布的置信级及严重性。此外，所述意图评估单元可将所述电子信息的所述描述符及参数与预界定的情景进行比较以确定是否应散布所述电子信息。所述预界定的情景是依据先前的电子信息散布事件产生的且所述比较包含找出所述描述符及参数与所述预界定的情景之间的最近相邻者。另外，有可能使用基于所述发送者及接收者的电子邮件地址的启发。

14、式法来评估所述发送者的所述意图。0011揭示一种用于识别电子消息的发射中的有问题商业策略的方法。所述方法包含确定发射过的违反规定的商业策略的电子消息的数目；确定发送过所述电子消息的发送者；及分析所述电子消息的接收者。接着响应于电子消息的所述数目、所述电子消息的所述发送者及对所述电子消息的接收者的所述分析而确定所述电子消息的所述发射的所述商业策略是否有问题。所述分析所述电子消息的所述接收者的步骤进一步包括针对所述接收者应正接收所述电子消息的肯定及否定指示符而分析所述接收者的地址。接收的肯定指示符包括所述接收者的隶属关系且接收的否定指示符包括属于低信誉的域的接收者地址。附图说明0012为更好地理解。

15、本发明并显示可如何实施本发明，现在将完全以实例方式参考附图，附图中0013图1是利用情景分析及动机评估的用于信息泄漏预防的系统的图解说明。0014图2是图解说明利用意图评估的用于事件处置的方法的流程图。0015图3是图解说明使用事件的严重性及决策的置信级的用于事件处置的方法的流程图。0016图4是利用最近相邻者方法的用于评估动机及意图的方法的图解说明。0017图5是使用主要基于电子邮件地址分析的启发式法的用于评估动机及意图的方法的图解说明。0018图6是用于评估遭破坏的商业过程的存在的似乎合理性的方法的图解说明。具体实施方式0019本申请案中所描述的系统及方法的发明人已认识到对在确定应如何处置。

16、电子信息散布中包含散布事件的可能动机、意图及倾向的方法及系统的需要。本文揭示一种实现说明书CN101978669ACN101978674A3/8页6起源于电子信息泄漏的危险的高效缓解且可操作以缓解在公司内部的用户破坏及/或以其它方式泄密机密数据无论其是公司的私人雇员或顾客细节还是公司的知识产权时发生的信息泄漏的方法及系统。这些破坏可采取向公司外部发送的电子邮件、将信息上载到WEB/因特网、即时消息接发、印刷、将数据复制到便携式装置等形式。0020在详细地解释本发明的至少一个实施例之前，应理解本发明在其应用上并不限于以下说明中所阐述的或图式中所图解说明的组件的构造及布置的细节。本发明能够具有其它。

17、实施例且以各种方式来实践或实施。另外，应理解，本文中所采用的短语及术语是出于说明目的而不应视为具有限制意义。此外，将认识到，所描述的组件为说明性而非限制性且可仅实施于软件、硬件或两者的组合中。0021存在其中善意的用户可无意地泄漏电子信息的数个模式。最常见的模式是简单错误，借此举例来说通过在答复敏感电子邮件时点击“回复全部”而非“回复”或信任电子邮件客户端的自动完成特征并向“竞争者约翰”而非“合作者约翰”发送秘密而将电子信息暴露给错误的眼睛。在其它情况下，分配表被置于“CC”栏而非“BCC”栏中且揭露敏感姓名及电子邮件地址。0022归因于现代生活方式的另一常见模式是“在家工作”模式，其中勤奋的。

18、雇员可将含有机密信息的材料发送到她的家庭WEB邮件帐户以在工作时间之后继续工作，从而破坏材料及公司策略的机密性。0023又一模式是“乐于助人”，其为所谓的“社会工程师”的生计。如果发问者看上去足够地值得信任且无恶意，那么大多数人都愿意提供帮助且可能乐意透露机密信息。社会工程师可能够仅通过以表面上看似无辜的方式向他人寻求帮助而获得甚至最为保密的材料，如源代码及口令。0024另一方面，蓄意地且故意地破坏安全性及机密性的恶意用户可导致可观的损害。由贪婪或不满引起动机的恶意用户是并不常见的破坏源，但由于其试图是精心的，因此每事件的平均损害可能较大。在不充分监视其输出信息的组织中，对于此恶意用户来说，仅。

19、通过使用WEB邮件向外发送保密文档而成功地破坏机密性是非常容易的。实际上，结果是经常发生简单且明显的恶意泄漏。此可例如在雇员打算离开公司并向其自身发送如客户文件夹的机密信息或技术制图及源代码时发生。0025介于恶意与好意之间的是行为不正当的模式。这些模式是由未充分地了解公司资产的价值且未加以适当注意的用户导致的行为。常见的实例包含与朋友闲聊或共享新颖及机密细节。0026信息泄漏的问题的重要方面起源于界定机密信息的固有困难。除了相对初步真实的案例外，存在关于应将何种内容分类为机密的宽广“灰色区域”。评估手边的信息的机密性级并界定其相关分配及使用策略可为主观的，因为不同的人可相对于机密性级及分配策。

20、略对商业过程的影响具有不同的观点。另外，任一自动系统均可遭受误报的影响使得所述系统可错误地指派比其应指派的更具限制性的策略。为此目的，如果可安全地断定某一事件起源于决策系统的误报或代表发送者的无辜错误，那么对电子信息的最好缓解及处置可以是将消息与决策系统的调查结果一起返回到发送者且使发送者做出关于所要的行动的决策，从而考虑到机密性与可用性之间的相关折衷。由于在大组织中电子业务量可为巨大的且因此机密信息散布事件的潜在频率可为高的，因此可通过分配事件处置实现的成本降说明书CN101978669ACN101978674A4/8页7低可为显著的。0027另一方面，如果有理由假定事件为恶意的，那么系统不。

21、应允许发送者处置事件。实际上，组织的权威机构应使用由所述系统收集的证据来“处置”发送者本身。在不推断发送者的动机的情况下，将难以提供对问题的充分解决。0028以下实施例描述一种用于高效地评估电子信息泄漏事件的动机及情景的系统。与说明一起，每一情景可指代电子信息散布事件的整个背景，其可包含以下细节0029消息的来源发送者及机器的身份；0030发送者的意图；0031消息的目的地；0032目的地的倾向；0033消息中的信息的分类；0034关于消息的内容的细节；0035电子业务的信道；及0036事务的时间。0037尽管可容易地且明确地从电子消息提取情景的元素中的一些元素例如，信道、时间以及来源及目的地。

22、的地址，但在许多情况下例如消息的分类以及接收者的身份及倾向的其它元素较难以评估。0038最成问题的元素是发送者的意图。实际上，甚至在例如刑事和民事法律的其它领域中，确认意图也被认为是一项困难的任务。在所描述系统的实施例中，所述系统试图使用各种启发式法且通过考虑电子信息泄漏的最常见情景/模式并给所述情景中的每一者指派概率来确认意图。所述系统在用于以下专利申请案中更全面描述的用于信息泄漏预防的系统内时特别有用，所述专利申请案的内容特此以全文引用的方式并入本文中0039第20020129140号美国专利申请公开案，“用于监视数字内容的未经授权的传送的系统及方法ASYSTEMANDAMETHODFOR。

23、MONITORINGUNAUTHORIZEDTRANSPORTOFDIGITALCONTENT”；0040第20050288939号美国专利申请公开案，“用于管理机密信息的方法及系统AMETHODANDSYSTEMFORMANAGINGCONFIDENTIALINFORMATION”；0041第20040255147号美国专利申请公开案，“用于确保符合分配及使用策略的设备及方法APPARATUSANDMETHODFORASSURINGCOMPLIANCEWITHDISTRIBUTIONANDUSAGEPOLICY”；0042第20040260924号美国专利申请公开案，“用于电子邮件过滤的设备。

24、及方法APPARATUSANDMETHODFORELECTRONICMAILFILTERING”；0043第20050027980号美国专利申请公开案，“用于确保符合分配策略的设备及方法APPARATUSANDMETHODFORENSURINGCOMPLIANCEWITHDISTRIBUTIONPOLICY”；0044第20050025291号美国专利申请公开案，“用于信息分配管理的方法及系统AMETHODANDSYSTEMFORINFORMATIONDISTRIBUTIONMANAGEMENT”0045现在参考图1，其显示利用情景分析及动机评估的用于信息泄漏预防的系统100。用户110发送例。

25、如具有数字业务130的电子邮件消息120等电子信息。保护器单元140拦截电子消息120并将其副本发送到包含意图评估子单元155的业务分析器150。业务分析说明书CN101978669ACN101978674A5/8页8器150及意图评估子单元155审查电子消息120并产生发射到策略参考监视器160的分析结果，所述策略参考监视器根据预界定的策略及所述分析结果来确定所需的行动。举例来说，一个可能的行动是将有问题电子消息120发送到其中保持消息120的隔离区170。如果来自评估子单元155的意图分析表明最可能的情景是无辜错误，那么可通知用户110消息120在隔离区中。优选地，通知消息将包括允许用户1。

26、10使用第2005002529号美国专利申请公开案“用于信息分配管理的方法及系统AMETHODANDSYSTEMFORINFORMATIONDISTRIBUTIONMANAGEMENT”中所描述的方法从所述隔离区释放消息120的代码，所述公开案的内容特此以全文引用的方式并入本文中。发送者接着可更改所述消息以省略如果需要机密信息及/或未经授权的接收者。接着可经由WAN180将所释放的消息引导到其目的地。0046意图评估子单元155评估用户110的意图远非微不足道且可能是一项困难的任务。在许多情况下，假定事务的细节及消息的内容，可通过推断错误的一些常见情景及恶意意图的初步真实的情景的概率来评估意图。

27、。现在参考图2，其图解说明用于通过考察事务的描述符并应用启发式法以确定最可能的意图来评估这些概率的方法。在阶段A210处，将消息120的描述符例如消息的来源、消息的目的地、消息的内容等及事务的参数例如消息的信道、事务的时间等输入到意图评估子单元155中。在阶段B220处，子单元155评估事件是否为初步真实的恶意事件例如，将大量信用卡的细节与所有者的姓名及社会安全号一起发送到可疑的地址。如果事件为初步真实的恶意事件，那么子单元155继续进行到步骤230，借此将所述事件处置为恶意事件且开始所要的行动。如果事件并非是初步真实的恶意案例，那么子单元155继续进行到阶段C240以做出所述事件是否为初步真。

28、实的错误的决策例如，使用启发式法，例如“如果曾向数个内部电子邮件地址连同一个外部电子邮件地址发送机密文件，那么将所述事件界定为错误”。如果其为初步真实的错误，那么子单元155继续进行到步骤250，借此发送者可优选地使用第20050025291号美国专利申请案“用于信息分配管理的方法及系统”中所描述的方法来处置所述事件，所述申请案的内容特此以全文引用的方式并入本文中。在允许发送者处置所述事件之后，子单元155在步骤260中记录所述事件的细节。如果子单元155在步骤240中确定其并非是初步真实的错误，那么所述子单元在步骤270中指派管理员处置所述案例且在步骤260中记录所述事件及细节。0047一般。

29、来说，用于处置事件的方法取决于许多因素，例如破坏的严重性等级、决策系统关于事件确实构成破坏的事实的置信级及组织对信息泄漏的灵敏度。图3图解说明与图2的方法大致相似的方法且包含允许调节其中事件将由发送者处置的最大严重性及置信级。0048更具体来说，在阶段A310处，将电子消息120的描述符及参数输入到子单元155中。接下来，在阶段B320处，子单元155评估事件是否为初步真实的恶意事件。如果所述事件为恶意的，那么过程继续进行到步骤330以相应地进行处置。如果所述事件并非是恶意的，那么过程继续进行到阶段C340，借此子单元155确定所述事件是否为初步真实的错误。如果所述事件是初步真实的错误，那么过。

30、程继续进行到借此发送者可处置所述事件的步骤350及其中记录所述事件及细节的步骤360。然而，如果所述事件并非是初步真实的错误，那么过程继续进行到阶段D362，借此评价决策的置信级例如，基于与先前所界定的说明书CN101978669ACN101978674A6/8页9机密信息的相似性的等级，优选地使用第20020129140号美国专利申请案“用于监视数字内容的未经授权的传送的系统及方法”及第20050288939号美国专利申请案“用于管理机密信息的方法及系统”中所描述的方法，所述申请案的内容特此以全文引用的方式并入本文中及事件的严重性例如，基于所散布的信息及如果此信息将抵达恶意接收者那么可发生的。

31、潜在损害的严重性等级且优选地给其中的每一者指派一数值。接下来，在阶段E364处，将指派给置信级及严重性的数值与预界定的阈值进行比较以做出处置所述事件是应留给用户还是应留给所指派的管理员的决策。所述阈值可由组织中的管理员或安全员以反映关于机密及专有信息的组织策略及程序的方式来界定。如果置信级及严重性高于所述阈值，那么此指示电子信息的散布可能不可取以致应在步骤370中通知管理员且不发射所述信息。然而，如果置信级及严重性低于所述预界定的阈值，那么过程继续进行到步骤350，借此发送者可处置所述事件，且在步骤360中记录细节。0049对于并不清晰的事件，可优选地考察来自过去的相似情景以评估发送者的意图。。

32、图4图解说明利用“最近相邻者分类”来评估意图的方法。在阶段A410处，子单元155获得消息的描述符及事务的参数，如先前针对图2所描述。在阶段B420处，评价存储于数据库430中的各种情景以及从阶段A410输入的消息的描述符及事务的参数之间的相似性。数据库430中的情景可来自先前所记录及所分析的事件连同最可能的意图。在阶段C440处，考虑最相似的情景，其中相似性基于上文所描述的描述符的相似性。在这点上，过程通过将事件与预界定的情景进行比较来确定事件的“最近相邻者”。接下来，在阶段D450处，子单元155基于从阶段C440找出的最近相邻者来做出关于发送者的最可能意图的决策。另外，子单元155还可基。

33、于与最近相邻者的相似性等级来给决策指派置信级。一旦在阶段D450处获得最可能意图，所述子单元就可确定最适当的行动，例如发射消息、隔离消息并告知发送者或告知管理员。优选地，告知发送者还应包含破坏的细节及使发送消息被允许所需要的行动例如，“请省略机密信息及/或未经授权的接收者”。0050此外，系统可基于对消息的标头内的电子邮件地址及主体的分析而利用以下启发式法中的一些启发式法，以确定用户的意图00511在其中消息包含数个经授权的地址及一个或一个以上未经授权的地址的情况下，事件很可能是非恶意的。00522在其中向内部未经授权的地址发送消息其与另一经授权的地址非常相似以致邮件客户端的自动完成特征很可能。

34、导致事件的情况下，事件最可能是非恶意的。00533在其中用户使用“回复全部”特征来回复消息且所回复消息的原始发送者是经授权的情况下，事件最可能是非恶意的。0054系统还可通过寻找发送者的姓名与WEB邮件地址之间的相似性来寻找其中发送者正试图将信息发送到他的或她的基于WEB的邮件的事件例如，杰拉德里根JERALDREGAN将消息发送到JREGANWEBBASEDMAILCOM。系统可使用例如称为姓名中的字符串与电子邮件地址的前缀中的字符串之间的“编辑距离”的相似性度量来评估此类相似性。此类试图可起源于两种基本情景00551为在家工作而“打破常规”的试图此基本上是非恶意情景，但不应将其视为无辜的错。

35、误。00562当相关人员打算离开公司或想到他很快就被解雇时散布消息以供将来使用说明书CN101978669ACN101978674A7/8页10的试图恶意事件。0057由于无法将两个事件视为错误，因此其两者优选地应由管理员处置。然而，两个事件的严重性等级是不同的。存在可用来确定两个情景中的每一者的可能性的数个参数0058A机密信息的所有权在其中发送者也为信息的所有者的情况下。0059B信息量大量的附加文件使恶意情景更为可能。0060C信息的多样性在家工作的意图的特征将在于与单个主题有关的文档。信息的高多样性例如，表示不同类型的信息的主题例如，客户的数据及RD文档较可能起源于恶意意图。可使用例如。

36、第20050288939号美国专利申请公开案“用于管理机密信息的方法及系统”中所描述的内容分类方法来评估信息的多样性，所述申请案的内容特此以全文引用的方式并入本文中。0061D发送者的工作职务及级别在大多数组织中，给顶层管理实施的信息散布事件指派较低的严重性等级将为合理的。例如，相比于低层发送者，大组织中的顶级管理不太可能实施基于身份盗窃的诡计。0062现在参考图5，其图解说明用于基于上文所描述的各种启发式法来评估用户的意图的方法。更具体来说，在阶段A510处，子单元155获得被怀疑为未经授权的电子消息的描述符及参数。接下来，在阶段B520处，例如根据上文所描述的启发式法来分析消息的电子邮件地。

37、址，以评估事件是否最可能为错误的结果阶段C，530。如果存在错误的肯定指示，那么在阶段D540处，子单元155评估事件的严重性等级例如，基于未经授权的散布的潜在损害。在阶段E542处，子单元155将严重性与预界定的阈值进行比较如果严重性低于预界定的阈值，那么在阶段F544处允许发送者处置事件且在阶段G546处记录事件的细节及发送者的行动。否则，在阶段H548处向所指派的管理员发送消息，所述管理员根据适用策略及程序处置事件。同样，在阶段G546处记录事件的细节及所采取的行动。如果在阶段C530处不存在错误的肯定指示，那么子单元155在阶段H550处进一步寻找曾向发送者的私人地址发送信息的证据。如。

38、果在阶段I552处存在此情景的肯定指示符，那么在阶段H548处向所指派的管理员发送消息，所述管理员接着根据适用策略及程序处置事件。在阶段G546处记录事件的细节及所采取的行动。如果不存在此类指示符，那么在阶段K560处消息可继续进一步的分析。0063系统还可将隐藏输出消息的试图视为恶意意图的指示符。此类试图可基于用其它字符来替换字符例如，PTENT替代“PATENT”、“3CR3T”替代“SECRET”等。用于检测此类操纵的方法描述于第20050288939号美国专利申请公开案“用于管理机密信息的方法及系统”中，所述申请公开案的内容特此以全文引用的方式并入本文中。0064此外，系统可推断用户的。

39、再犯模式并相应地确定事件的倾向，从而考虑到用户在过去曾参与相似的事件的事实。优选地，系统利用例如第20050027980号美国专利申请公开案“用于确保符合分配策略的设备及方法”中所描述的那些方法的方法来处置用户的再犯模式，所述申请公开案特此以全文引用的方式并入本文中。0065系统还可识别有问题“遭破坏的”商业过程，其中机密或非公开信息是以可将其暴露给未经授权的接收者的方式发送的例如，在无任何加密的情况下向公司的另一分部或附属机构发送机密信息。此类事件是非恶意的且可起源于有缺陷的组织策略或常见错误。识别遭破坏的商业过程可基于图6中所图解说明的方法，借此在阶段A610处将优说明书CN1019786。

40、69ACN101978674A8/8页11选地在规定时间帧中例如，在上个月期间破坏某一策略PI的消息计数为数目N。接下来，在阶段B620处，将N与预界定的阈值N0进行比较以确定此类事件的频率。一般来说，遭破坏的商业过程的特征在于以下事实相同类型的破坏作为例行操作的一部分而重复，因此人们可接受N应足够大。一般来说，阈值N0的等级将取决于组织或企业的特异特性及业务量。如果N小于或等于N0，那么在阶段630处其最可能不是遭破坏的商业过程。如果N大于N0，那么在阶段C640处将不同发送者的数目NS与阈值1进行比较，且在阶段D650处将曾破坏策略PI的唯一项目的数目NPI与另一阈值2进行比较。同样，如果。

41、NS1或NPI2，那么其最可能不是遭破坏的商业过程且过程继续进行到阶段630。如果既NS1又NPI2，那么在阶段EL660处进一步评估遭破坏的商业过程的可能性，借此针对遭破坏的商业过程的肯定指示符分析接收者地址，例如0066接收者隶属于组织或其附属机构0067接收者是商业伙伴、顾客或供应商0068数个不同发送者向同一接收者发送0069在阶段E2662处，针对否定指示符分析接收者地址及发送方法，例如0070接收者属于低信誉的域0071曾将消息发送到WEB邮件或从WEB邮件发送消息0072在阶段E3664处，组合肯定与否定指示以评估遭破坏的商业过程的可能性。在阶段F670处，将所评估的可能性与可能。

42、性阈值3进行比较。如果可能性大于3，那么在阶段G680处决策是“遭破坏的商业过程”且在阶段H690处优选地向策略所有者发送消息。否则在阶段630处决策为否定的。0073本文中所揭示的方法及设备通过提供允许在数字业务过滤系统中高效地处置未经授权的信息散布的事件的方法及系统而解决当前已知的配置的缺点。0074应了解，本文中所描述的方法中的任一者的一个或一个以上步骤可按不同于所示的次序的次序来实施而并不背离本发明的精神及范围。0075尽管可能已参考或未参考特定硬件或软件来描述本文中所揭示的方法及设备，但已以足以使所属领域的技术人员能够容易地调适将本发明实施例中的任一者简化为无需过多实验且使用常规技术。

43、便可实践而需要的市售硬件及软件的方式描述了所述方法及设备。0076已在以上实施例中以各种组合显示了若干个特征。所属领域的技术人员可了解，以上组合并非为穷尽性且以上特征的所有合理组合特此均包含于本发明中。说明书CN101978669ACN101978674A1/6页12图1说明书附图CN101978669ACN101978674A2/6页13图2说明书附图CN101978669ACN101978674A3/6页14图3说明书附图CN101978669ACN101978674A4/6页15图4说明书附图CN101978669ACN101978674A5/6页16图5说明书附图CN101978669ACN101978674A6/6页17图6说明书附图CN101978669A。

展开阅读全文