[发明专利]用于检测通过数据分发通道发送敏感信息的尝试的系统和方法

说明书

背景技术

公司网络和档案柜常常充满敏感数据，这些敏感数据的形式有机密电子邮件、公司私密文档、员工记录，个人身份信息、税务表格、财务信息等。这些敏感数据可以散布在几十个甚至数百个服务器、个人计算机和/或硬拷贝上。确保这些数据安全可靠对于公司的声誉和成功都是非常重要的。虽然公司可能制定了数据泄漏防护(DLP)策略来确保敏感数据被正确处理，但由于数据可通过各种方式发送，比如从电子邮件到便携式存储设备，从传真到文件共享，因此实施DLP策略变得比以往任何时候更加困难。

传统的DLP系统通常使用光学字符识别技术(OCR)来检查传出的硬拷贝文档，以确定它们的内容是否受DLP策略保护。遗憾的是，OCR技术通常十分耗费资源，而且准确度不佳。因此，本公开识别并解决了对用于检测通过数据分发通道发送敏感信息的尝试的其他改善的系统和方法的需求。

发明内容

如下面将更详细描述的，本公开描述了用于通过将所有文档处理为图像，然后使用图像处理技术提取用于与受DLP策略保护的图像库进行比较的特征，来检测通过数据分发通道发送敏感信息的尝试的各种系统和方法。

在一个示例中，一种用于检测通过数据分发通道发送敏感信息的尝试的计算机实现的方法可包括：(1)识别通过数据分发通道发送文件的尝试；(2)使用图像匹配技术，将所述文件与既以图像格式存储又受DLP策略保护的至少一个已知敏感文件进行比较，(3)基于所述图像匹配技术的结果确定所述文件违反DLP策略，以及(4)响应于确定所述文件违反DLP策略，执行安全操作。

在一些实施例中，所述安全操作可包括(1)阻止通过数据分发通道发送文件的所述尝试，(2)提醒管理员注意通过数据分发通道发送文件的所述尝试，(3)通知用户，通过数据分发通道发送文件的所述尝试违反DLP策略，和/或(4)记录通过数据分发通道发送文件的所述尝试。

可采用各种方式将文件与已知的敏感文件进行比较。在一个实施例中，将文件与已知敏感文件进行比较可包括将该文件转换为图像格式。在一些示例中，将文件与已知敏感文件进行比较可包括创建表示在已知敏感文件和所述文件之间不同的一组元素的差异图像。

除此之外或作为另外一种选择，将文件与已知敏感文件进行比较(在图像域内)可包括识别该文件内的与已知敏感文件内的一组关键点同源的一组关键点。另外，将文件与已知敏感文件进行比较可包括(1)将该文件的单个视觉元素与已知敏感文件的单个视觉元素进行比较，(2)将该文件的关键特征之间的一组距离比与已知敏感文件的关键特征之间的一组距离比进行比较，和/或(3)使用距离度量，将属于该文件的一组特征向量与属于已知敏感文件的一组特征向量进行比较。

在一些示例中，图像比较可以涉及多个步骤。在一个实施例中，将文件与已知敏感文件进行比较可包括：(1)识别既以图像格式存储又受数据泄漏防护策略保护的已知敏感文件的图库，(2)使用粗图像匹配技术，比较该文件和图库中的多个已知敏感文件，(3)使用比粗图像匹配技术消耗更多计算资源的更精细图像匹配技术，比较该文件和图库内未被粗图像匹配技术丢弃的多个已知敏感文件，以及(4)使用比更精细图像匹配技术消耗更多计算资源的最终图像匹配技术，比较该文件和图库内未被更精细图像匹配技术丢弃的多个已知敏感文件。

在一个实施例中，基于图像匹配技术的结果确定文件违反DLP策略可包括确定该文件包括个人识别信息。例如，已知敏感文件可包括基于文本的表单，并且确定文件违反DLP策略可包括确定该文件包括该基于文本的表单的已编辑版本，该已编辑版本包括个人识别信息。

在一些示例中，所述计算机实现的方法可应用于静止的数据。例如，所述计算机实现的方法还可包括：(1)识别存储在计算设备上的附加文件，(2)使用图像匹配技术将该附加文件与至少一个附加的已知敏感文件进行比较，所述附加的已知敏感文件既以图像格式存储又受DLP策略保护，(3)基于图像匹配技术确定该附加文件违反DLP策略，以及(4)响应于确定该附加文件违反DLP策略，执行附加的安全操作。