[发明专利]用于检测敏感数据通过网络的未授权批量转发的方法和装置

说明书

技术领域

本发明涉及用于防止电子邮件被用于转发机密和/或敏感数据的技术。

背景技术

电子邮件(email)是通常通过因特网或其它计算机网络在发送者和一个或多个接收者之间交换数字消息的方法。在企业环境中，例如，已知电子邮件提供了可靠并有效的通信方式。也存在很多公认的与企业电子邮件相关联的风险。例如，计算机病毒可以使用电子邮件从一个计算机传播到另一个计算机。另外，电子邮件可以被不正当地用于将机密和/或敏感数据从安全的企业网络转发给外部接收者。例如，机密和/或敏感数据可以被包括在电子邮件的正文中或者作为电子邮件的附件。

已经提出或建议了很多技术用于防止电子邮件被用于将机密和/或敏感数据从安全的企业网络转发给外部接收者。例如，很多企业电子邮件系统包括过滤机制以扫描外发电子邮件中已知的机密和/或敏感的数据。尽管这种已有的过滤机制已经减少了使用电子邮件的机密和/或敏感数据的未授权传输，但在企业网络中有很多不能被完全信任的计算机。因此，在这种计算机上安装的过滤机制不能被依赖。

因此，仍然需要改进的用于检测敏感数据通过网络的未授权批量转发的方法和装置。

发明内容

一般地，提出了用于检测敏感数据通过网络的未授权批量转发的方法和装置。根据本发明的一个方面，电子邮件从第一网络环境的批量转发可通过确定从第一网络环境接收到一个或多个用户账户内的内部电子邮件的到达率、确定从一个或多个用户账户发送到第二网络环境的外部电子邮件的发送率、通过比较内部电子邮件的到达率和外部电子邮件的发送率来检测电子邮件从指定用户账户的批量转发来自动检测。

内部电子邮件的到达率可以通过获取到达内部电子邮件的统计模型来确定。外部电子邮件的发送率可以通过获取已发送内部电子邮件的统计模型来确定。另外，确定外部电子邮件的发送率可以导出从连接到第一网络环境的一个或多个计算机系统发送的外部电子邮件的发送率，并将一个或多个用户账户映射到一个或多个计算机系统。

根据本发明的另一个方面，电子邮件从指定用户账户的批量转发可以通过确定内部电子邮件的到达率的统计模型和外部电子邮件的发送率的统计模型是否在时间上相关来检测。例如，统计模型可以基于从第一网络环境接收到的内部电子邮件和从一个或多个用户账户发送的外部电子邮件的定时、大小和内容特性中的一个或多个的评估而在时间上相关。

统计模型可选择地包括消息大小在时间窗口上的离散分布。一般地，统计模型测量到达内部电子邮件的流与已发送外部电子邮件的流之间的相似度。通过参考以下的详细描述和附图，将获得对本发明的更完整的理解以及本发明的其它特征和优点。

附图说明

图1示出了在其中可以运行本发明的示例性网络环境；

图2是描述包含本发明的各方面的未授权电子邮件检测过程的示例性实现的流程图；

图3是描述包含本发明的各方面的内部网络监控过程的示例性实现的流程图；

图4是描述包含本发明的各方面的外部网络监控过程的示例性实现的流程图；

图5是描述包含本发明的各方面的用户账户发送率过程的示例性实现的流程图；

图6是可实施本发明的过程的未授权电子邮件检测器的框图。

具体实施方式

本发明提供了通过评估计算机系统通过诸如企业网络的网络的进入(incoming)和外发(outgoing)传输来检测机密或敏感数据通过网络的未授权批量转发的方法和装置。根据本发明的一个方面，未授权传输基于用户的底层进入和外发传输的相似度来识别。第一进入传输(诸如电子邮件)发生在内部网络上从诸如内部电子邮件服务器的可信数据存储库服务器到诸如员工工作站的半可信计算机。第二外发传输(诸如电子邮件)发生在从半可信计算机到诸如外部电子邮件服务器的不可信计算机。

在一个示例性实施例中，如果指定用户的内部电子邮件到达率和外部电子邮件发送率的统计模型在时间上相关，则识别用户将内部电子邮件向外部电子邮件账户的批量电子邮件转发。例如，两个底层传输的相似度可以基于两个底层传输的定时、大小、和内容特性之间的统计相似度来测量。

尽管使用电子邮件说明示例性实施例，但本发明可以应用于使用诸如即时通信的任何通信形式检测任何类型的敏感数据的未授权转发，这对于本领域技术人员是显而易见的。