专利名称:用于分析电子信息散布事件的系统及方法
技术领域:
本发明大体来说涉及信息泄漏预防的领域。更具体来说但非排他地,本发明论及 用于高效且准确地分析信息散布事件的方法。
背景技术:
在许多情况下,由组织及企业创建并积累的信息及知识是其最有价值的资产。对 知识产权、财务信息及其它机密或敏感信息的未经授权的散布可显著地损害公司的信誉及 竞争优势。另外,组织内部的个体的私人信息以及客户、顾客及商业伙伴的私人信息可包含 可能被具有犯罪意图的用户滥用的敏感细节。撇开对商业秘密及信誉两者的损害不说,美国及国外的法规提出对信息泄漏的实 质法律责任例如健康保险便携性与责任法案(HIPAA)、格雷姆-里奇-比利雷法案(GLBA) 及各州与各国的隐私保护法律等法规暗指应监视组织内的信息资产并使其经受信息保护 策略以保护客户的隐私且缓解潜在的误用及欺诈风险。在保护现代组织及企业中的信息及知识的机密性中的一项主要挑战是由经授权 的用户导致的信息泄漏。结果是在许多大组织中普遍存在且几乎每天都发生未经授权的信 息散布的此类事件,尤其是经由电子邮件。经授权的用户所做的信息泄漏事件的重要方面是在电子信息的泄漏中所用的各 种各样的动机、意图及倾向。举例来说,泄漏可由“打破常规”(例如,在家处理机密文档) 的试图所致的无心错误导致(例如,使用电子邮件客户端中的“回复全部”而非“回复”选 项可导致将机密信息发送到组织外部的未经授权的接收者)或因由贪婪或愤怒引起动机 的信息散布的恶意试图所致。处置商业环境中对电子信息的未经授权的散布的事件极其苛刻,因为现代组织产 生巨量的电子业务且另一方面维持合法的电子信息流不受妨碍而另一方面必须维持信息 的机密性是必需的。在许多情况下,做出特定情况下的信息是否确实为机密的决策是一项 困难且主观的任务,且冒信息的机密性的风险对妨碍重要商业过程之间的折衷完全不清 楚。在这点上,信息散布的动机的问题变得重要。如果散布事件是合法的(仍成问题)商 业过程的一部分或发送者的无辜错误,那么其最好可由发送者本身处置。另一方面,如果散 布的动机为恶意的,那么在不使发送者知道的情况下阻断散布可能较好。—般来说,监视并实行关于电子信息散布的策略的当前尝试大致不对动机表明看 法。此缺乏对动机的理解诱发次于最优的事件处置。
发明内容
描述一种用于高效地且准确地分析电子信息散布事件的系统及方法。所述方法基 于使用各种启发式法及/或通过考察各种频繁发生的情景并断定这些情景中的每一情景 的似乎合理性来分析并推断散布事件的最可能动机。所述情景包含发送者及接收者的动 机、意图及倾向。此后,决策系统优选地使用基于启发式法及情景的分析的结果来提供最好
4的事件处置。揭示一种用于确定发送者在发射电子信息时的意图以防止对电子信息的未经授 权的散布的系统及方法。所述系统及方法促进对散布事件的具有成本效益的处置且包括业 务分析器,所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发 射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图,有可能在所述 电子信息被散布之前有效地对其进行隔离。所述描述符描述至少消息的内容、所述消息的 发送者及所述消息的接收者。所述业务分析器包括用于分析所述电子信息的所述描述符及参数的意图评估单 元且确定在发送所述电子信息时的所述意图是恶意的还是错误的。所述意图评估单元经配 置以基于所述发送者的所述意图来确定是否应散布所述电子信息且还确定是否应由所述 发送者做出关于散布的决策。所述意图评估单元还在确定是否散布所述电子信息时评价所 述电子信息被散布的置信级及严重性。此外,所述意图评估单元可将所述电子信息的所述 描述符及参数与预界定的情景进行比较以确定是否应散布所述电子信息。所述预界定的情 景是依据先前的电子信息散布事件产生的且所述比较包含找出所述描述符及参数与所述 预界定的情景之间的最近相邻者。另外,有可能使用基于所述发送者及接收者的电子邮件 地址的启发式法来评估所述发送者的所述意图。揭示一种用于识别电子消息的发射中的有问题商业策略的方法。所述方法包含 确定发射过的违反规定的商业策略的电子消息的数目;确定发送过所述电子消息的发送 者;及分析所述电子消息的接收者。接着响应于电子消息的所述数目、所述电子消息的所述 发送者及对所述电子消息的接收者的所述分析而确定所述电子消息的所述发射的所述商 业策略是否有问题。所述分析所述电子消息的所述接收者的步骤进一步包括针对所述接收 者应正接收所述电子消息的肯定及否定指示符而分析所述接收者的地址。接收的肯定指示 符包括所述接收者的隶属关系且接收的否定指示符包括属于低信誉的域的接收者地址。
为更好地理解本发明并显示可如何实施本发明,现在将完全以实例方式参考附 图,附图中图1是利用情景分析及动机评估的用于信息泄漏预防的系统的图解说明。图2是图解说明利用意图评估的用于事件处置的方法的流程图。图3是图解说明使用事件的严重性及决策的置信级的用于事件处置的方法的流 程图。图4是利用最近相邻者方法的用于评估动机及意图的方法的图解说明。图5是使用主要基于电子邮件地址分析的启发式法的用于评估动机及意图的方 法的图解说明。图6是用于评估遭破坏的商业过程的存在的似乎合理性的方法的图解说明。
具体实施例方式本申请案中所描述的系统及方法的发明人已认识到对在确定应如何处置电子信 息散布中包含散布事件的可能动机、意图及倾向的方法及系统的需要。本文揭示一种实现起源于电子信息泄漏的危险的高效缓解且可操作以缓解在公司内部的用户破坏及/或以 其它方式泄密机密数据(无论其是公司的私人雇员或顾客细节还是公司的知识产权)时发 生的信息泄漏的方法及系统。这些破坏可采取向公司外部发送的电子邮件、将信息上载到 web/因特网、即时消息接发、印刷、将数据复制到便携式装置等形式。在详细地解释本发明的至少一个实施例之前,应理解本发明在其应用上并不限于 以下说明中所阐述的或图式中所图解说明的组件的构造及布置的细节。本发明能够具有其 它实施例且以各种方式来实践或实施。另外,应理解,本文中所采用的短语及术语是出于说 明目的而不应视为具有限制意义。此外,将认识到,所描述的组件为说明性而非限制性且可 仅实施于软件、硬件或两者的组合中。存在其中善意的用户可无意地泄漏电子信息的数个模式。最常见的模式是简单错 误,借此(举例来说)通过在答复敏感电子邮件时点击“回复全部”而非“回复”或信任电 子邮件客户端的自动完成特征并向“竞争者约翰”而非“合作者约翰”发送秘密而将电子信 息暴露给错误的眼睛。在其它情况下,分配表被置于“CC”栏而非“BCC”栏中且揭露敏感姓 名及电子邮件地址。归因于现代生活方式的另一常见模式是“在家工作”模式,其中勤奋的雇员可将含 有机密信息的材料发送到她的家庭web邮件帐户以在工作时间之后继续工作,从而破坏材 料及公司策略的机密性。又一模式是“乐于助人”,其为所谓的“社会工程师”的生计。如果发问者看上去足 够地值得信任且无恶意,那么大多数人都愿意提供帮助且可能乐意透露机密信息。社会工 程师可能够仅通过以表面上看似无辜的方式向他人寻求帮助而获得甚至最为保密的材料, 如源代码及口令。另一方面,蓄意地且故意地破坏安全性及机密性的恶意用户可导致可观的损害。 由贪婪或不满引起动机的恶意用户是并不常见的破坏源,但由于其试图是精心的,因此每 事件的平均损害可能较大。在不充分监视其输出信息的组织中,对于此恶意用户来说,仅通 过使用web邮件向外发送保密文档而成功地破坏机密性是非常容易的。实际上,结果是经 常发生简单且明显的恶意泄漏。此可(例如)在雇员打算离开公司并向其自身发送如客户 文件夹的机密信息或技术制图及源代码时发生。介于恶意与好意之间的是行为不正当的模式。这些模式是由未充分地了解公司资 产的价值且未加以适当注意的用户导致的行为。常见的实例包含与朋友闲聊或共享新颖 (及机密)细节。信息泄漏的问题的重要方面起源于界定机密信息的固有困难。除了相对初步真实 的案例外,存在关于应将何种内容分类为机密的宽广“灰色区域”。评估手边的信息的机密 性级并界定其相关分配及使用策略可为主观的,因为不同的人可相对于机密性级及分配策 略对商业过程的影响具有不同的观点。另外,任一自动系统均可遭受误报的影响使得所述 系统可错误地指派比其应指派的更具限制性的策略。为此目的,如果可安全地断定某一事 件起源于决策系统的误报或代表发送者的无辜错误,那么对电子信息的最好缓解及处置可 以是将消息与决策系统的调查结果一起返回到发送者且使发送者做出关于所要的行动的 决策,从而考虑到机密性与可用性之间的相关折衷。由于在大组织中电子业务量可为巨大 的且因此机密信息散布事件的潜在频率可为高的,因此可通过分配事件处置实现的成本降
6低可为显著的。另一方面,如果有理由假定事件为恶意的,那么系统不应允许发送者处置事件。实 际上,组织的权威机构应使用由所述系统收集的证据来“处置”发送者本身。在不推断发送 者的动机的情况下,将难以提供对问题的充分解决。以下实施例描述一种用于高效地评估电子信息泄漏事件的动机及情景的系统。与 说明一起,每一情景可指代电子信息散布事件的整个背景,其可包含以下细节□消息的来源(发送者及机器的身份);□发送者的意图;□消息的目的地;□目的地的倾向;□消息中的信息的分类;□关于消息的内容的细节;□电子业务的信道;及□事务的时间。尽管可容易地且明确地从电子消息提取情景的元素中的一些元素(例如,信道、 时间以及来源及目的地的地址),但在许多情况下例如消息的分类以及接收者的身份及倾 向的其它元素较难以评估。最成问题的元素是发送者的意图。实际上,甚至在例如刑事和民事法律的其它领 域中,确认意图也被认为是一项困难的任务。在所描述系统的实施例中,所述系统试图使用 各种启发式法且通过考虑电子信息泄漏的最常见情景/模式并给所述情景中的每一者指 派概率来确认意图。所述系统在用于以下专利申请案中更全面描述的用于信息泄漏预防的 系统内时特别有用,所述专利申请案的内容特此以全文引用的方式并入本文中□第20020129140号美国专利申请公开案,“用于监视数字内容的未经授权的传 送的系统及方法(A System and a Method for Monitoring Unauthorized Transport ofDigital Content),,;□第20050288939号美国专利申请公开案,“用于管理机密信息的方法及系统(A method and system for managing confidential information),,;□第20040255147号美国专利申请公幵案,“用于确保符合分配及使用策略的设 备及方法(Apparatus and Method for Assuring Compliance with Distribution and UsagePolicy),,;□第20040260924号美国专利申请公幵案,“用于电子邮件过滤的设备及方法 (Apparatus and Method for Electronic Mail Filtering),,;□第20050027980号美国专利申请公幵案,“用于确保符合分配策略的设备及方法 (Apparatus and Method for Ensuring Compliance with Distribution Policy),,;□第20050025291号美国专利申请公开案,“用于信息分配管理的方法及系统(A Method and System for Information Distribution Management)”现在参考图1,其显示利用情景分析及动机评估的用于信息泄漏预防的系统100。 用户Iio发送例如具有数字业务130的电子邮件消息120等电子信息。保护器单元140拦 截电子消息120并将其副本发送到包含意图评估子单元155的业务分析器150。业务分析器150及意图评估子单元155审查电子消息120并产生发射到策略参考监视器160的分析 结果,所述策略参考监视器根据预界定的策略及所述分析结果来确定所需的行动。举例来 说,一个可能的行动是将有问题电子消息120发送到其中保持消息120的隔离区170。如 果来自评估子单元155的意图分析表明最可能的情景是无辜错误,那么可通知用户110消 息120在隔离区中。优选地,通知消息将包括允许用户110使用第2005002529号美国专 利申请公开案“用于信息分配管理的方法及系统(A Methodand System for Information Distribution Management) ”中所描述的方法从所述隔离区释放消息120的代码,所述公开 案的内容特此以全文引用的方式并入本文中。发送者接着可更改所述消息以省略(如果需 要)机密信息及/或未经授权的接收者。接着可经由WAN 180将所释放的消息引导到其目 的地。意图评估子单元155评估用户110的意图远非微不足道且可能是一项困难的任 务。在许多情况下,假定事务的细节及消息的内容,可通过推断错误的一些常见情景及恶意 意图的初步真实的情景的概率来评估意图。现在参考图2,其图解说明用于通过考察事务的 描述符并应用启发式法以确定最可能的意图来评估这些概率的方法。在阶段A 210处,将 消息120的描述符(例如消息的来源、消息的目的地、消息的内容等)及事务的参数(例如 消息的信道、事务的时间等)输入到意图评估子单元155中。在阶段B 220处,子单元155 评估事件是否为初步真实的恶意事件(例如,将大量信用卡的细节与所有者的姓名及社会 安全号一起发送到可疑的地址)。如果事件为初步真实的恶意事件,那么子单元155继续 进行到步骤230,借此将所述事件处置为恶意事件且开始所要的行动。如果事件并非是初 步真实的恶意案例,那么子单元155继续进行到阶段C 240以做出所述事件是否为初步真 实的错误的决策(例如,使用启发式法,例如“如果曾向数个内部电子邮件地址连同一个 外部电子邮件地址发送机密文件,那么将所述事件界定为错误”)。如果其为初步真实的错 误,那么子单元155继续进行到步骤250,借此发送者可优选地使用第20050025291号美国 专利申请案“用于信息分配管理的方法及系统”中所描述的方法来处置所述事件,所述申请 案的内容特此以全文引用的方式并入本文中。在允许发送者处置所述事件之后,子单元155 在步骤260中记录所述事件的细节。如果子单元155在步骤240中确定其并非是初步真实 的错误,那么所述子单元在步骤270中指派管理员处置所述案例且在步骤260中记录所述 事件及细节。一般来说,用于处置事件的方法取决于许多因素,例如破坏的严重性等级、决策系 统关于事件确实构成破坏的事实的置信级及组织对信息泄漏的灵敏度。图3图解说明与图 2的方法大致相似的方法且包含允许调节其中事件将由发送者处置的最大严重性及置信 级。更具体来说,在阶段A 310处,将电子消息120的描述符及参数输入到子单元155 中。接下来,在阶段B 320处,子单元155评估事件是否为初步真实的恶意事件。如果所述 事件为恶意的,那么过程继续进行到步骤330以相应地进行处置。如果所述事件并非是恶 意的,那么过程继续进行到阶段C 340,借此子单元155确定所述事件是否为初步真实的错 误。如果所述事件是初步真实的错误,那么过程继续进行到借此发送者可处置所述事件的 步骤350及其中记录所述事件及细节的步骤360。然而,如果所述事件并非是初步真实的错 误,那么过程继续进行到阶段D 362,借此评价决策的置信级(例如,基于与先前所界定的
8机密信息的相似性的等级,优选地使用第20020129140号美国专利申请案“用于监视数字 内容的未经授权的传送的系统及方法”及第20050288939号美国专利申请案“用于管理机 密信息的方法及系统”中所描述的方法,所述申请案的内容特此以全文引用的方式并入本 文中)及事件的严重性(例如,基于所散布的信息及如果此信息将抵达恶意接收者那么可 发生的潜在损害的严重性等级)且优选地给其中的每一者指派一数值。接下来,在阶段E 364处,将指派给置信级及严重性的数值与预界定的阈值进行比较以做出处置所述事件是 应留给用户还是应留给所指派的管理员的决策。所述阈值可由组织中的管理员或安全员以 反映关于机密及专有信息的组织策略及程序的方式来界定。如果置信级及严重性高于所述 阈值,那么此指示电子信息的散布可能不可取以致应在步骤370中通知管理员且不发射所 述信息。然而,如果置信级及严重性低于所述预界定的阈值,那么过程继续进行到步骤350, 借此发送者可处置所述事件,且在步骤360中记录细节。对于并不清晰的事件,可优选地考察来自过去的相似情景以评估发送者的意图。 图4图解说明利用“最近相邻者分类”来评估意图的方法。在阶段A 410处,子单元155获 得消息的描述符及事务的参数,如先前针对图2所描述。在阶段B 420处,评价存储于数据 库430中的各种情景以及从阶段A 410输入的消息的描述符及事务的参数之间的相似性。 数据库430中的情景可来自先前所记录及所分析的事件连同最可能的意图。在阶段C 440 处,考虑最相似的情景,其中相似性基于上文所描述的描述符的相似性。在这点上,过程通 过将事件与预界定的情景进行比较来确定事件的“最近相邻者”。接下来,在阶段D 450处, 子单元155基于从阶段C 440找出的最近相邻者来做出关于发送者的最可能意图的决策。 另外,子单元155还可基于与最近相邻者的相似性等级来给决策指派置信级。一旦在阶段 D 450处获得最可能意图,所述子单元就可确定最适当的行动,例如发射消息、隔离消息并 告知发送者或告知管理员。优选地,告知发送者还应包含破坏的细节及使发送消息被允许 所需要的行动(例如,“请省略机密信息及/或未经授权的接收者”)。此外,系统可基于对消息的标头内的电子邮件地址及主体的分析而利用以下启发 式法中的一些启发式法,以确定用户的意图1.在其中消息包含数个经授权的地址及一个或一个以上未经授权的地址的情况 下,事件很可能是非恶意的。2.在其中向内部未经授权的地址发送消息(其与另一经授权的地址非常相似以 致邮件客户端的自动完成特征很可能导致事件)的情况下,事件最可能是非恶意的。3.在其中用户使用“回复全部”特征来回复消息且所回复消息的原始发送者是经 授权的情况下,事件最可能是非恶意的。系统还可通过寻找发送者的姓名与web邮件地址之间的相似性来寻找其中 发送者正试图将信息发送到他的或她的基于web的邮件的事件(例如,杰拉德里根 (JeraldRegan)将消息发送到JReganOwebbasedmail. com)。系统可使用(例如)称为姓名 中的字符串与电子邮件地址的前缀中的字符串之间的“编辑距离”的相似性度量来评估此 类相似性。此类试图可起源于两种基本情景1.为在家工作而“打破常规”的试图-此基本上是非恶意情景,但不应将其视为无 辜的错误。2.当相关人员打算离开公司(或想到他很快就被解雇)时散布消息以供将来使用的试图-恶意事件。由于无法将两个事件视为错误,因此其两者优选地应由管理员处置。然而,两个事 件的严重性等级是不同的。存在可用来确定两个情景中的每一者的可能性的数个参数a.机密信息的所有权在其中发送者也为信息的所有者的情况下。b.信息量大量的附加文件使恶意情景更为可能。c.信息的多样性在家工作的意图的特征将在于与单个主题有关的文档。信息的 高多样性(例如,表示不同类型的信息的主题-例如,客户的数据及R&D文档)较可能起源 于恶意意图。可使用例如第20050288939号美国专利申请公开案“用于管理机密信息的方 法及系统”中所描述的内容分类方法来评估信息的多样性,所述申请案的内容特此以全文 引用的方式并入本文中。d.发送者的工作职务及级别-在大多数组织中,给顶层管理实施的信息散布事件 指派较低的严重性等级将为合理的。(例如,相比于低层发送者,大组织中的顶级管理不太 可能实施基于身份盗窃的诡计)。现在参考图5,其图解说明用于基于上文所描述的各种启发式法来评估用户的意 图的方法。更具体来说,在阶段A 510处,子单元155获得被怀疑为未经授权的电子消息的 描述符及参数。接下来,在阶段B 520处,(例如)根据上文所描述的启发式法来分析消息 的电子邮件地址,以评估事件是否最可能为错误的结果(阶段C,530)。如果存在错误的肯 定指示,那么在阶段D 540处,子单元155评估事件的严重性等级(例如,基于未经授权的 散布的潜在损害)。在阶段E 542处,子单元155将严重性与预界定的阈值进行比较如果 严重性低于预界定的阈值,那么在阶段F 544处允许发送者处置事件且在阶段G 546处记 录事件的细节及发送者的行动。否则,在阶段H548处向所指派的管理员发送消息,所述管 理员根据适用策略及程序处置事件。同样,在阶段G 546处记录事件的细节及所采取的行 动。如果在阶段C 530处不存在错误的肯定指示,那么子单元155在阶段H 550处进一步 寻找曾向发送者的私人地址发送信息的证据。如果在阶段I 552处存在此情景的肯定指示 符,那么在阶段H 548处向所指派的管理员发送消息,所述管理员接着根据适用策略及程 序处置事件。在阶段G 546处记录事件的细节及所采取的行动。如果不存在此类指示符, 那么在阶段K 560处消息可继续进一步的分析。系统还可将隐藏输出消息的试图视为恶意意图的指示符。此类试图可基于用其它 字符来替换字符(例如,pOtent替代“patent”、“$3cr3t”替代“Secret”等)。用于检测此 类操纵的方法描述于第20050288939号美国专利申请公开案“用于管理机密信息的方法及 系统”中,所述申请公开案的内容特此以全文引用的方式并入本文中。此外,系统可推断用户的再犯模式并相应地确定事件的倾向,从而考虑到用户在 过去曾参与相似的事件的事实。优选地,系统利用例如第20050027980号美国专利申请公 开案“用于确保符合分配策略的设备及方法”中所描述的那些方法的方法来处置用户的再 犯模式,所述申请公开案特此以全文引用的方式并入本文中。系统还可识别有问题(“遭破坏的”)商业过程,其中机密或非公开信息是以可将 其暴露给未经授权的接收者的方式发送的(例如,在无任何加密的情况下向公司的另一分 部或附属机构发送机密信息)。此类事件是非恶意的且可起源于有缺陷的组织策略或常见 错误。识别遭破坏的商业过程可基于图6中所图解说明的方法,借此在阶段A 610处将优选地在规定时间帧中(例如,在上个月期间)破坏某一策略Pi的消息计数为数目N。接下 来,在阶段B 620处,将N与预界定的阈值NO进行比较以确定此类事件的频率。一般来说, 遭破坏的商业过程的特征在于以下事实相同类型的破坏作为例行操作的一部分而重复, 因此人们可接受N应足够大。一般来说,阈值NO的等级将取决于组织或企业的特异特性及 业务量。如果N小于或等于N0,那么在阶段630处其最可能不是遭破坏的商业过程。如果N 大于N0,那么在阶段C 640处将不同发送者的数目NS与阈值θ 1进行比较,且在阶段D 650 处将曾破坏策略Pi的唯一项目的数目NPi与另一阈值Θ2进行比较。同样,如果Ns彡Θ1 或NPiS θ 2,那么其最可能不是遭破坏的商业过程且过程继续进行到阶段630。如果既Ns > 1又NPi> 2,那么在阶段El 660处进一步评估遭破坏的商业过程的可能性,借此针 对遭破坏的商业过程的肯定指示符分析接收者地址,例如·接收者隶属于组织或其附属机构?·接收者是商业伙伴、顾客或供应商?·数个不同发送者向同一接收者发送?在阶段E2662处,针对否定指示符分析接收者地址及发送方法,例如·接收者属于低信誉的域?·曾将消息发送到web邮件或从web邮件发送消息?在阶段E3664处,组合肯定与否定指示以评估遭破坏的商业过程的可能性。在阶 段F 670处,将所评估的可能性与可能性阈值Θ3进行比较。如果可能性大于 3,那么在 阶段G 680处决策是“遭破坏的商业过程”且在阶段H 690处优选地向策略所有者发送消 息。否则在阶段630处决策为否定的。本文中所揭示的方法及设备通过提供允许在数字业务过滤系统中高效地处置未 经授权的信息散布的事件的方法及系统而解决当前已知的配置的缺点。应了解,本文中所描述的方法中的任一者的一个或一个以上步骤可按不同于所示 的次序的次序来实施而并不背离本发明的精神及范围。尽管可能已参考或未参考特定硬件或软件来描述本文中所揭示的方法及设备,但 已以足以使所属领域的技术人员能够容易地调适将本发明实施例中的任一者简化为无需 过多实验且使用常规技术便可实践而需要的市售硬件及软件的方式描述了所述方法及设备。已在以上实施例中以各种组合显示了若干个特征。所属领域的技术人员可了解, 以上组合并非为穷尽性且以上特征的所有合理组合特此均包含于本发明中。
1权利要求
一种用于确定发送者在发射电子信息时的意图以防止对所述电子信息的未经授权的散布且促进对散布事件的具有成本效益的处置的系统,所述系统包括业务分析器,所述业务分析器经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。
2.根据权利要求1所述的系统,其中所述描述符包括消息的内容、所述消息的发送者 及所述消息的接收者中的至少一者。
3.根据权利要求1所述的系统,其中所述业务分析器包括用于分析所述电子信息的所 述描述符及参数的意图评估单元。
4.根据权利要求3所述的系统,其中所述意图评估单元确定在发送所述电子信息时的 所述意图是恶意的还是错误的。
5.根据权利要求3所述的系统,其中所述意图评估单元经配置以确定是否应散布所述 电子信息。
6.根据权利要求3所述的系统,其中所述意图评估单元经配置以确定是否应由所述发 送者做出关于所述信息的散布的决策。
7.根据权利要求6所述的系统,其中所述意图评估单元在确定是否散布所述电子信息 时评价所述电子信息被散布的置信级及严重性。
8.根据权利要求3所述的系统,其中所述意图评估单元将所述电子信息的所述描述符 及参数与预界定的情景进行比较以确定是否应散布所述电子信息。
9.根据权利要求8所述的系统,其中所述预界定的情景是依据先前的电子信息散布事 件产生的。
10.一种用于确定发送者在发射电子信息时的意图以防止对所述电子信息的未经授权 的散布的计算机实施的方法,所述方法包括确定所述电子信息的描述符及参数;分析所述电子信息的所述描述符及参数;及依据对所述电子信息的所述描述符及参数的所述分析确定所述发送者的所述意图。
11.根据权利要求10所述的方法,其进一步包括确定所述发送者的所述意图是否为恶 意的。
12.根据权利要求10所述的方法,其进一步包括确定所述发送者是否错误地发射了所 述电子信息。
13.根据权利要求10所述的方法,其进一步包括在做出所述发送者的所述意图的决策 时确定所述电子信息的置信级及严重性。
14.根据权利要求13所述的方法,其进一步包括在确定是否应隔离所述电子信息时使 用所述发送者的所述意图。
15.根据权利要求14所述的方法,其进一步包括在确定是否应由所述发送者做出关于 从隔离区释放所述电子信息的决策时使用所述发送者的所述意图。
16.根据权利要求10所述的方法,其进一步包括将所述电子信息的所述描述符及参数 与预界定的情景进行比较以确定所述发送者的所述意图。
17.根据权利要求16所述的方法,其中将所述电子信息的所述描述符及参数与预界定 的情景进行比较包括找出所述描述符及参数与所述预界定的情景之间的最近相邻者。
18.根据权利要求10所述的方法,其进一步包括应用基于发送者及接收者的电子邮件 地址的启发式法来评估所述发送者的所述意图。
19.根据权利要求10所述的方法,其进一步包括在确定是否应散布所述电子信息时使 用所述发送者的所述意图。
20.根据权利要求10所述的方法,其进一步包括在确定是否应由所述发送者做出关于 所述信息的散布的决策时使用所述发送者的所述意图。
21.根据权利要求14所述的方法,其进一步包括告知所述发送者从隔离区释放消息所 需的行动。
22.一种用于识别电子消息的发射中的有问题商业策略的计算机实施的方法,所述方 法包括确定发射过的违反规定的商业策略的电子消息的数目;识别发送过所述电子消息的发送者;分析所述电子消息的接收者;及响应于所述电子消息数目、所述电子消息的所述发送者及对所述电子消息的接收者的 所述分析而确定所述电子消息的所述发射的所述商业策略是否有问题。
23.根据权利要求22所述的方法,其中分析所述电子消息的接收者进一步包括针对所 述接收者应正接收所述电子消息的肯定及否定指示符而分析接收者地址。
24.根据权利要求23所述的方法,其中接收的肯定指示符包括所述接收者的隶属关系 且接收的否定指示符包括所述接收者地址属于低信誉的域。
全文摘要
本发明揭示一种用于确定发送者(110)在发射电子信息(120)时的意图以防止对电子信息的未经授权的散布的系统及方法。所述系统及方法促进对散布事件的具有成本效益的处置且包括业务分析器(150),所述业务分析器(150)经配置以分析所述电子信息的描述符及所述电子信息的所述发射的参数以确定所述发送者的所述意图。通过确定所述发送者的所述意图,有可能在所述电子信息被散布之前有效地对其进行隔离(170)。
文档编号H04L29/06GK101978669SQ200980109457
公开日2011年2月16日 申请日期2009年3月17日 优先权日2008年3月19日
发明者利德罗尔·特罗扬斯基 申请人:网圣公司