用于檢測敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝置制造方法
【專利摘要】提供了用于檢測敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝置���。電子郵件從第一網(wǎng)絡(luò)環(huán)境的批量轉(zhuǎn)發(fā)通過確定從第一網(wǎng)絡(luò)環(huán)境接收到一個或多個用戶賬戶內(nèi)的內(nèi)部電子郵件的到達率���、確定從一個或多個用戶賬戶發(fā)送到第二網(wǎng)絡(luò)環(huán)境的外部電子郵件的發(fā)送率、通過比較內(nèi)部電子郵件的到達率和外部電子郵件的發(fā)送率來檢測電子郵件從指定用戶賬戶的批量轉(zhuǎn)發(fā)來自動檢測�。電子郵件從指定用戶賬戶的批量轉(zhuǎn)發(fā)可以通過確定內(nèi)部電子郵件的到達率的統(tǒng)計模型和外部電子郵件的發(fā)送率的統(tǒng)計模型是否在時間上相關(guān)來檢測。
【專利說明】用于檢測敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及用于防止電子郵件被用于轉(zhuǎn)發(fā)機密和/或敏感數(shù)據(jù)的技術(shù)���。
【背景技術(shù)】
[0002]電子郵件(email)是通常通過因特網(wǎng)或其它計算機網(wǎng)絡(luò)在發(fā)送者和一個或多個接收者之間交換數(shù)字消息的方法��。在企業(yè)環(huán)境中���,例如���,已知電子郵件提供了可靠并有效的通信方式。也存在很多公認的與企業(yè)電子郵件相關(guān)聯(lián)的風(fēng)險�����。例如����,計算機病毒可以使用電子郵件從一個計算機傳播到另一個計算機。另外����,電子郵件可以被不正當?shù)赜糜趯C密和/或敏感數(shù)據(jù)從安全的企業(yè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)給外部接收者��。例如�����,機密和/或敏感數(shù)據(jù)可以被包括在電子郵件的正文中或者作為電子郵件的附件��。
[0003]已經(jīng)提出或建議了很多技術(shù)用于防止電子郵件被用于將機密和/或敏感數(shù)據(jù)從安全的企業(yè)網(wǎng)絡(luò)轉(zhuǎn)發(fā)給外部接收者�。例如,很多企業(yè)電子郵件系統(tǒng)包括過濾機制以掃描外發(fā)電子郵件中已知的機密和/或敏感的數(shù)據(jù)。盡管這種已有的過濾機制已經(jīng)減少了使用電子郵件的機密和/或敏感數(shù)據(jù)的未授權(quán)傳輸���,但在企業(yè)網(wǎng)絡(luò)中有很多不能被完全信任的計算機��。因此�����,在這種計算機上安裝的過濾機制不能被依賴���。
[0004]因此,仍然需要改進的用于檢測敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝置����。
【發(fā)明內(nèi)容】
[0005]一般地,提出了用于檢測敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝置���。根據(jù)本發(fā)明的一個方面��,電子郵件從第一網(wǎng)絡(luò)環(huán)境的批量轉(zhuǎn)發(fā)可通過確定從第一網(wǎng)絡(luò)環(huán)境接收到一個或多個用戶賬戶內(nèi)的內(nèi)部電子郵件的到達率��、確定從一個或多個用戶賬戶發(fā)送到第二網(wǎng)絡(luò)環(huán)境的外部電子郵件的發(fā)送率�、通過比較內(nèi)部電子郵件的到達率和外部電子郵件的發(fā)送率來檢測電子郵件從指定用戶賬戶的批量轉(zhuǎn)發(fā)來自動檢測����。
[0006]內(nèi)部電子郵件的到達率可以通過獲取到達內(nèi)部電子郵件的統(tǒng)計模型來確定���。外部電子郵件的發(fā)送率可以通過獲取已發(fā)送內(nèi)部電子郵件的統(tǒng)計模型來確定。另外�,確定外部電子郵件的發(fā)送率可以導(dǎo)出從連接到第一網(wǎng)絡(luò)環(huán)境的一個或多個計算機系統(tǒng)發(fā)送的外部電子郵件的發(fā)送率,并將一個或多個用戶賬戶映射到一個或多個計算機系統(tǒng)���。
[0007]根據(jù)本發(fā)明的另一個方面�����,電子郵件從指定用戶賬戶的批量轉(zhuǎn)發(fā)可以通過確定內(nèi)部電子郵件的到達率的統(tǒng)計模型和外部電子郵件的發(fā)送率的統(tǒng)計模型是否在時間上相關(guān)來檢測��。例如����,統(tǒng)計模型可以基于從第一網(wǎng)絡(luò)環(huán)境接收到的內(nèi)部電子郵件和從一個或多個用戶賬戶發(fā)送的外部電子郵件的定時����、大小和內(nèi)容特性中的一個或多個的評估而在時間上相關(guān)����。
[0008]統(tǒng)計模型可選擇地包括消息大小在時間窗口上的離散分布。一般地,統(tǒng)計模型測量到達內(nèi)部電子郵件的流與已發(fā)送外部電子郵件的流之間的相似度�����。通過參考以下的詳細描述和附圖�,將獲得對本發(fā)明的更完整的理解以及本發(fā)明的其它特征和優(yōu)點。
【專利附圖】
【附圖說明】
[0009]圖1示出了在其中可以運行本發(fā)明的示例性網(wǎng)絡(luò)環(huán)境�;
[0010]圖2是描述包含本發(fā)明的各方面的未授權(quán)電子郵件檢測過程的示例性實現(xiàn)的流程圖;
[0011]圖3是描述包含本發(fā)明的各方面的內(nèi)部網(wǎng)絡(luò)監(jiān)控過程的示例性實現(xiàn)的流程圖��;
[0012]圖4是描述包含本發(fā)明的各方面的外部網(wǎng)絡(luò)監(jiān)控過程的示例性實現(xiàn)的流程圖�;
[0013]圖5是描述包含本發(fā)明的各方面的用戶賬戶發(fā)送率過程的示例性實現(xiàn)的流程圖;
[0014]圖6是可實施本發(fā)明的過程的未授權(quán)電子郵件檢測器的框圖����。
【具體實施方式】
[0015]本發(fā)明提供了通過評估計算機系統(tǒng)通過諸如企業(yè)網(wǎng)絡(luò)的網(wǎng)絡(luò)的進入(incoming)和外發(fā)(outgoing)傳輸來檢測機密或敏感數(shù)據(jù)通過網(wǎng)絡(luò)的未授權(quán)批量轉(zhuǎn)發(fā)的方法和裝置。根據(jù)本發(fā)明的一個方面����,未授權(quán)傳輸基于用戶的底層進入和外發(fā)傳輸?shù)南嗨贫葋碜R別。第一進入傳輸(諸如電子郵件)發(fā)生在內(nèi)部網(wǎng)絡(luò)上從諸如內(nèi)部電子郵件服務(wù)器的可信數(shù)據(jù)存儲庫服務(wù)器到諸如員工工作站的半可信計算機��。第二外發(fā)傳輸(諸如電子郵件)發(fā)生在從半可信計算機到諸如外部電子郵件服務(wù)器的不可信計算機�。
[0016]在一個示例性實施例中,如果指定用戶的內(nèi)部電子郵件到達率和外部電子郵件發(fā)送率的統(tǒng)計模型在時間上相關(guān)���,則識別用戶將內(nèi)部電子郵件向外部電子郵件賬戶的批量電子郵件轉(zhuǎn)發(fā)��。例如�����,兩個底層傳輸?shù)南嗨贫瓤梢曰趦蓚€底層傳輸?shù)亩〞r����、大小、和內(nèi)容特性之間的統(tǒng)計相似度來測量�����。
[0017]盡管使用電子郵件說明示例性實施例���,但本發(fā)明可以應(yīng)用于使用諸如即時通信的任何通信形式檢測任何類型的敏感數(shù)據(jù)的未授權(quán)轉(zhuǎn)發(fā)�����,這對于本領(lǐng)域技術(shù)人員是顯而易見的��。
[0018]圖1示出了在其中可以運行本發(fā)明的示例性網(wǎng)絡(luò)環(huán)境100。如圖1所示����,一個或多個終端用戶工作站180-1至180-N以已知的方式通過企業(yè)網(wǎng)絡(luò)170互相通信�,并與輕量級目錄訪問協(xié)議(LDAP)服務(wù)器130�����、一個或多個電子郵件服務(wù)器140�、一個或多個網(wǎng)頁服務(wù)器150和一個或多個數(shù)據(jù)庫服務(wù)器160通信。通常����,LDAP服務(wù)器130以已知的方式提供對分布式目錄信息服務(wù)的訪問。另外�,工作站180和服務(wù)器130、140�����、150��、160可以已知的方式經(jīng)由安全防火墻120訪問因特網(wǎng)110 (或者萬維網(wǎng))�。
[0019]根據(jù)本發(fā)明的一個方面,未授權(quán)電子郵件檢測器600自動檢測機密或敏感數(shù)據(jù)通過網(wǎng)絡(luò)170的未授權(quán)批量轉(zhuǎn)發(fā)��。在圖1的示例性實施例中���,未授權(quán)電子郵件檢測器600位于企業(yè)網(wǎng)絡(luò)170和防火墻120之間�����。與未授權(quán)電子郵件檢測器600相關(guān)聯(lián)的過程將在下文中結(jié)合圖2至5進一步討論���。未授權(quán)電子郵件檢測器600的系統(tǒng)方面將在下文中結(jié)合圖6進一步討論�����。
[0020]圖2是描述包含本發(fā)明的各方面的未授權(quán)電子郵件檢測過程200的示例性實現(xiàn)的流程圖�。如圖2所示��,在步驟210中����,示例性未授權(quán)電子郵件檢測過程200首先導(dǎo)出內(nèi)部電子郵件到達每個用戶賬戶的到達率,如將在下文中結(jié)合圖3進一步討論的����。[0021 ] 此后,在步驟220中��,示例性未授權(quán)電子郵件檢測過程200導(dǎo)出外部電子郵件從企業(yè)網(wǎng)絡(luò)170上的每個內(nèi)部系統(tǒng)(例如工作站180)到在外部托管的電子郵件服務(wù)器的發(fā)送率�����,如將在下文中結(jié)合圖4進一步討論的�����。
[0022]在步驟230中���,與這種內(nèi)部系統(tǒng)相關(guān)聯(lián)的用戶賬戶被映射到相應(yīng)的內(nèi)部系統(tǒng)��?����?梢陨蓪⒂脩糍~戶映射到內(nèi)部系統(tǒng)(例如工作站180)的列表��,以使得可以在觀察到每個進入或外發(fā)電子郵件通信時識別登錄到內(nèi)部系統(tǒng)的特定用戶���。例如,用戶映射列表可以通過查詢每個內(nèi)部系統(tǒng)的認證日志來生成���,以確定在指定時間哪個用戶登錄到內(nèi)部系統(tǒng)�。在進一步的變形中�,用戶映射列表可以通過監(jiān)控從內(nèi)部系統(tǒng)到企業(yè)范圍的認證服務(wù)器的認證業(yè)務(wù)(如果可用)來生成�。
[0023]然后���,在步驟240中����,導(dǎo)出從每個用戶賬戶到在外部托管的電子郵件服務(wù)器的電子郵件發(fā)送率�����,如將在下文中結(jié)合圖5進一步討論的��。
[0024]最后����,在步驟250中,示例性未授權(quán)電子郵件檢測過程200檢測并報告電子郵件的自動轉(zhuǎn)發(fā)�。
[0025]例如,如果指定用戶的內(nèi)部電子郵件到達率(來自步驟210)和外部電子郵件發(fā)送率(來自步驟240)的統(tǒng)計模型在時間上相關(guān)��,則在步驟250中可識別用戶將內(nèi)部電子郵件向外部電子郵件賬戶的批量電子郵件轉(zhuǎn)發(fā)�����。例如,兩個底層傳輸?shù)南嗨贫瓤梢曰趦蓚€底層傳輸?shù)亩〞r����、大小和內(nèi)容特性之間的統(tǒng)計相似度來測量。
[0026]這樣���,示意性未授權(quán)電子郵件檢測過程200分析步驟210的統(tǒng)計模型(用于用戶賬戶的內(nèi)部電子郵件到達率)和步驟240的統(tǒng)計模型(用于用戶賬戶的外部電子郵件發(fā)送率)。統(tǒng)計相關(guān)性確定兩個模型(來自步驟210和240)是否在時間上相關(guān)��。如果兩個模型在時間上相關(guān)��,則強烈表明用戶正在將他或她的內(nèi)部電子郵件轉(zhuǎn)發(fā)到外部電子郵件賬戶����。在這種情況下,可以有選擇地生成警告以允許安全分析員或者系統(tǒng)管理員從示例性未授權(quán)電子郵件檢測過程200的步驟中審核支持信息并采取任何適當措施�。
[0027]圖3是描述包含本發(fā)明的各方面的內(nèi)部網(wǎng)絡(luò)監(jiān)控過程300的示例性實現(xiàn)的流程圖。如圖3所示����,首先在步驟310中,示例性內(nèi)部網(wǎng)絡(luò)監(jiān)控過程300在網(wǎng)絡(luò)業(yè)務(wù)中識別內(nèi)部電子郵件消息�����。此后,在步驟320中��,內(nèi)部網(wǎng)絡(luò)監(jiān)控過程300識別每個所識別的內(nèi)部電子郵件消息被寄往的用戶賬戶����。
[0028]最后,在步驟330中��,內(nèi)部網(wǎng)絡(luò)監(jiān)控過程300構(gòu)建每個用戶賬戶的內(nèi)部電子郵件到達率的統(tǒng)計模型����,例如通過分析足夠大量的內(nèi)部電子郵件。在內(nèi)部網(wǎng)絡(luò)監(jiān)控過程300的進一步變形中��,內(nèi)部郵件服務(wù)器日志(例如�����,Lotus Domino服務(wù)器或者Microsoft Exchange服務(wù)器的日志)可用于以已知的方式建立統(tǒng)計模型��。
[0029]例如��,消息大小在時間窗口上的離散分布可以用作示例性的統(tǒng)計模型���。然后�����,使用Kullback-Leibler發(fā)散比較進入分布和外發(fā)分布的相似度���。關(guān)于Kullback-Leibler發(fā)散的論述��,可以例如參考S.Kullback和R.A.Leibler的〃0n Informat1n andSufficiency, "Ann.Math.Statist., Vol.22, N0.1, 79-86(1951)����。更一般地�,所選擇的統(tǒng)計模型應(yīng)當測量進入消息流與外發(fā)消息流之間的相似度���。
[0030]圖4是描述包含本發(fā)明的各方面的外部網(wǎng)絡(luò)監(jiān)控過程400的示例性實現(xiàn)的流程圖���。如圖4所示,首先在步驟410中�����,示例性外部網(wǎng)絡(luò)監(jiān)控過程400識別去往已知的外部電子郵件服務(wù)(例如�,Google Mail、Hotmail或Yahoo ! Mail)的網(wǎng)絡(luò)消息�。此后,在步驟420中,示例性外部網(wǎng)絡(luò)監(jiān)控過程400導(dǎo)出每個內(nèi)部系統(tǒng)的已發(fā)送電子郵件的統(tǒng)計模型�,例如通過分析足夠大量的外部電子郵件。
[0031]應(yīng)當注意���,當攜帶外部電子郵件的網(wǎng)絡(luò)消息被加密時�����,可能不可能識別發(fā)起電子郵件的用戶賬戶���。因此,總體計算相似度���。
[0032]圖5是描述包含本發(fā)明的各方面的用戶賬戶發(fā)送率過程500的示例性實現(xiàn)的流程圖���。如圖5所示,首先在步驟510中��,示例性用戶賬戶發(fā)送率過程500將來自步驟220和230的數(shù)據(jù)進行結(jié)合��,然后在步驟520中��,構(gòu)建每個企業(yè)用戶的外部電子郵件發(fā)送率的統(tǒng)計模型����。
[0033]通過結(jié)合步驟220和230的數(shù)據(jù)��,示例性用戶賬戶發(fā)送率過程500構(gòu)建每個企業(yè)用戶的外部電子郵件發(fā)送率的統(tǒng)計模型�����。在許多情況下��,統(tǒng)計模型的構(gòu)建是簡單的查找操作以識別登錄到指定系統(tǒng)的用戶�,然后將系統(tǒng)的發(fā)送率的統(tǒng)計模型和登錄的用戶的發(fā)送率的統(tǒng)計模型相關(guān)聯(lián)���。
[0034]然而����,在用戶在其正常工作流程中經(jīng)常改變工作站的情況下�����,系統(tǒng)的外部電子郵件發(fā)送率的統(tǒng)計模型是多個用戶的統(tǒng)計模型的組合��。在這種場景中�,本發(fā)明使用每個用戶的登錄細節(jié)(包括登錄和登出次數(shù))以從多個系統(tǒng)模型中識別統(tǒng)計模型的相關(guān)部分并創(chuàng)建用于該用戶的復(fù)合模型���。應(yīng)當注意���,內(nèi)部用戶賬戶和外部電子郵件賬戶的名稱可以是不同的����。
[0035]雖然圖2至圖5示出了示例性的步驟順序�����,但在本發(fā)明的實施例中���,這些順序也可以改變����。算法的各種置換可以作為本發(fā)明的可替換的實施例���。
[0036]雖然本發(fā)明的示例性實施例已經(jīng)針對在軟件程序中的處理步驟進行了描述���,但是,正如對本領(lǐng)域技術(shù)人員顯而易見的�����,各種功能可以在數(shù)字域中被實現(xiàn)為軟件程序中的處理步驟,或者通過編程通用計算機�����、電路元件或狀態(tài)機用硬件實現(xiàn)��,或者用軟件和硬件的結(jié)合實現(xiàn)���。這種軟件例如可以具體化在硬件設(shè)備中����,諸如數(shù)字信號處理器����、專用集成電路、微控制器或者通用計算機����。這種硬件和軟件可以具體化在實現(xiàn)在集成電路內(nèi)的電路中�����。
[0037]所屬【技術(shù)領(lǐng)域】的技術(shù)人員知道�����,本發(fā)明的各個方面可以實現(xiàn)為系統(tǒng)、方法或計算機程序產(chǎn)品��。因此�����,本發(fā)明的各個方面可以具體實現(xiàn)為以下形式�����,即:完全的硬件實施方式���、完全的軟件實施方式(包括固件����、駐留軟件�����、微代碼等)�����,或硬件和軟件方面結(jié)合的實施方式,這里可以統(tǒng)稱為“電路”��、“模塊”或“系統(tǒng)”���。此外�,在一些實施例中�,本發(fā)明的各個方面還可以實現(xiàn)為在一個或多個計算機可讀介質(zhì)中的計算機程序產(chǎn)品的形式,該計算機可讀介質(zhì)中包含計算機可讀的程序代碼�。
[0038]可以采用一個或多個計算機可讀介質(zhì)的任意組合。計算機可讀介質(zhì)可以是計算機可讀信號介質(zhì)或者計算機可讀存儲介質(zhì)�����。計算機可讀存儲介質(zhì)例如可以是一但不限于——電��、磁��、光��、電磁���、紅外線、或半導(dǎo)體的系統(tǒng)��、裝置或設(shè)備,或者任意以上的組合�。計算機可讀存儲介質(zhì)的更具體的例子(非窮舉的列表)包括:具有一個或多個導(dǎo)線的電連接、便攜式計算機盤����、硬盤、隨機存取存儲器(RAM)�����、只讀存儲器(ROM)�����、可擦式可編程只讀存儲器(EPR0M或閃存)���、光纖�、便攜式緊湊盤只讀存儲器(CD-ROM)�、光存儲設(shè)備、磁存儲設(shè)備���、或者上述的任意合適的組合�。在本文件中,計算機可讀存儲介質(zhì)可以是任何包含或存儲程序的有形介質(zhì)�����,該程序可以被指令執(zhí)行系統(tǒng)�、裝置或者設(shè)備使用或者與其結(jié)合使用。
[0039]計算機可讀的信號介質(zhì)可以包括在基帶中或者作為載波一部分傳播的數(shù)據(jù)信號����,其中承載了計算機可讀的程序代碼。這種傳播的數(shù)據(jù)信號可以采用多種形式����,包括一但不限于一電磁信號、光信號或上述的任意合適的組合�。計算機可讀的信號介質(zhì)還可以是計算機可讀存儲介質(zhì)以外的任何計算機可讀介質(zhì),該計算機可讀介質(zhì)可以發(fā)送���、傳播或者傳輸用于由指令執(zhí)行系統(tǒng)���、裝置或者設(shè)備使用或者與其結(jié)合使用的程序。
[0040]計算機可讀介質(zhì)上包含的程序代碼可以用任何適當?shù)慕橘|(zhì)傳輸�����,包括一但不限于一無線、有線�、光纜�����、RF等等�����,或者上述的任意合適的組合�����。
[0041]可以以一種或多種程序設(shè)計語言的任意組合來編寫用于執(zhí)行本發(fā)明操作的計算機程序代碼���,所述程序設(shè)計語言包括面向?qū)ο蟮某绦蛟O(shè)計語言一諸如Java����、Smalltalk��、C++等�����,還包括常規(guī)的過程式程序設(shè)計語言一諸如“C”語言或類似的程序設(shè)計語言。程序代碼可以完全地在用戶計算機上執(zhí)行��、部分地在用戶計算機上執(zhí)行��、作為一個獨立的軟件包執(zhí)行�����、部分在用戶計算機上部分在遠程計算機上執(zhí)行�、或者完全在遠程計算機或服務(wù)器上執(zhí)行。在涉及遠程計算機的情形中��,遠程計算機可以通過任意種類的網(wǎng)絡(luò)一包括局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)—連接到用戶計算機�,或者,可以連接到外部計算機(例如利用因特網(wǎng)服務(wù)提供商來通過因特網(wǎng)連接)�。
[0042]下面將參照根據(jù)本發(fā)明實施例的方法、裝置(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或框圖描述本發(fā)明��。應(yīng)當理解����,流程圖和/或框圖的每個方框以及流程圖和/或框圖中各方框的組合,都可以由計算機程序指令實現(xiàn)�。這些計算機程序指令可以提供給通用計算機、專用計算機或其它可編程數(shù)據(jù)處理裝置的處理器��,從而生產(chǎn)出一種機器,使得這些計算機程序指令在通過計算機或其它可編程數(shù)據(jù)處理裝置的處理器執(zhí)行時�����,產(chǎn)生了實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的裝置�����。
[0043]也可以把這些計算機程序指令存儲在計算機可讀介質(zhì)中�����,這些指令使得計算機�、其它可編程數(shù)據(jù)處理裝置��、或其他設(shè)備以特定方式工作��,從而�����,存儲在計算機可讀介質(zhì)中的指令就產(chǎn)生出包括實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的指令的制造品(article of manufacture)�����。
[0044]也可以把這些計算機程序指令載入到計算機、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備中以使得一系列操作步驟在計算機����、其它可編程數(shù)據(jù)處理裝置或其它設(shè)備上執(zhí)行,以產(chǎn)生計算機實現(xiàn)的過程�,使得運行在計算機或其它可編程裝置上的指令提供實現(xiàn)流程圖和/或框圖中的一個或多個方框中規(guī)定的功能/動作的過程。
[0045]圖6是可實施本發(fā)明的過程的未授權(quán)電子郵件檢測器600的框圖��。如圖6所示���,存儲器630將處理器620配置成實施在此公開的未授權(quán)電子郵件檢測方法��、步驟和功能(如圖6中680所示)��。存儲器630可以是分布式的或者本地的�����,處理器620可以是分布式的或單一式的��。存儲器630可以被實現(xiàn)為電�����、磁或者光存儲器或者這些或其它類型的存儲設(shè)備的任何組合���。應(yīng)當注意���,構(gòu)成處理器620的每個分布式處理器通常包含它自己的可尋址存儲空間。還應(yīng)當注意�����,計算機系統(tǒng)600的某些或全部可以被合并到個人計算機����、膝上型計算機��、手持計算設(shè)備���、專用電路或者通用集成電路中����。
[0046]附圖中的流程圖和框圖顯示了根據(jù)本發(fā)明的多個實施例的系統(tǒng)�、方法和計算機程序產(chǎn)品的可能實現(xiàn)的體系架構(gòu)、功能和操作���。在這點上�����,流程圖或框圖中的每個方框可以代表一個模塊��、程序段或代碼的一部分�����,所述模塊��、程序段或代碼的一部分包含一個或多個用于實現(xiàn)規(guī)定的邏輯功能的可執(zhí)行指令�����。也應(yīng)當注意���,在有些作為替換的實現(xiàn)中�,方框中所標注的功能也可以以不同于附圖中所標注的順序發(fā)生�。例如,兩個連續(xù)的方框?qū)嶋H上可以基本并行地執(zhí)行�,它們有時也可以按相反的順序執(zhí)行,這依所涉及的功能而定���。也要注意的是�����,框圖和/或流程圖中的每個方框�����、以及框圖和/或流程圖中的方框的組合��,可以用執(zhí)行規(guī)定的功能或動作的專用的基于硬件的系統(tǒng)來實現(xiàn)�,或者可以用專用硬件與計算機指令的組合來實現(xiàn)。
[0047]應(yīng)當理解��,在此示出并描述的實施例和變形僅僅是本發(fā)明的原理的說明�����,在不脫離本發(fā)明的范圍和精神的前提下��,本領(lǐng)域技術(shù)人員可以進行各種修改�����。
【權(quán)利要求】
1.一種用于自動檢測電子郵件從第一網(wǎng)絡(luò)環(huán)境的批量轉(zhuǎn)發(fā)的方法�����,包括: 確定從所述第一網(wǎng)絡(luò)環(huán)境接收到一個或多個用戶賬戶內(nèi)的內(nèi)部電子郵件的到達率�����; 確定從所述一個或多個用戶賬戶發(fā)送到第二網(wǎng)絡(luò)環(huán)境的外部電子郵件的發(fā)送率�����;以及 通過比較內(nèi)部電子郵件的所述到達率和外部電子郵件的所述發(fā)送率���,檢測電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)�。
2.根據(jù)權(quán)利要求1所述的方法���,其中����,所述確定內(nèi)部電子郵件的所述到達率的步驟還包括:獲取所述到達內(nèi)部電子郵件的統(tǒng)計模型的步驟����。
3.根據(jù)權(quán)利要求1所述的方法,其中����,所述確定外部電子郵件的所述發(fā)送率的步驟還包括:獲取所述已發(fā)送內(nèi)部電子郵件的統(tǒng)計模型的步驟����。
4.根據(jù)權(quán)利要求1所述的方法���,其中��,所述確定從所述一個或多個用戶賬戶發(fā)送的外部電子郵件的所述發(fā)送率的步驟還包括以下步驟:導(dǎo)出從連接到所述第一網(wǎng)絡(luò)環(huán)境的一個或多個計算機系統(tǒng)發(fā)送的外部電子郵件的發(fā)送率����;以及將所述一個或多個用戶賬戶映射到所述一個或多個計算機系統(tǒng)�。
5.根據(jù)權(quán)利要求1所述的方法,其中�����,所述檢測電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)的步驟還包括:確定內(nèi)部電子郵件的所述到達率的統(tǒng)計模型和外部電子郵件的所述發(fā)送率的統(tǒng)計模型是否在時間上相關(guān)的步驟���。
6.根據(jù)權(quán)利要求5所述的方法,其中����,確定所述統(tǒng)計模型是否在時間上相關(guān)的步驟包括:評估從所述第一網(wǎng)絡(luò)環(huán)境接收到的所述內(nèi)部電子郵件和從所述一個或多個用戶賬戶發(fā)送的所述外部電子郵件的定時、大小和內(nèi)容特性中的一個或多個。
7.根據(jù)權(quán)利要求5所述的方法����,其中,所述統(tǒng)計模型中的一個或多個包括消息大小在時間窗口上的離散分布����。
8.根據(jù)權(quán)利要求5所述的方法,其中����,所述統(tǒng)計模型中的一個或多個測量所述到達內(nèi)部電子郵件的流與所述已發(fā)送外部電子郵件的流之間的相似度。
9.根據(jù)權(quán)利要求1所述的方法�����,還包括:生成用于審核的警告的步驟�����。
10.一種用于自動檢測電子郵件從第一網(wǎng)絡(luò)環(huán)境的批量轉(zhuǎn)發(fā)的裝置����,所述裝置包括: 存儲器;以及 耦合到所述存儲器的至少一個硬件設(shè)備���,其被操作以: 確定從所述第一網(wǎng)絡(luò)環(huán)境接收到一個或多個用戶賬戶內(nèi)的內(nèi)部電子郵件的到達率��; 確定從所述一個或多個用戶賬戶發(fā)送到第二網(wǎng)絡(luò)環(huán)境的外部電子郵件的發(fā)送率�;以及 通過比較內(nèi)部電子郵件的所述到達率和外部電子郵件的所述發(fā)速率,檢測電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)���。
11.根據(jù)權(quán)利要求10所述的裝置�����,其中�����,內(nèi)部電子郵件的所述到達率通過獲取所述到達內(nèi)部電子郵件的統(tǒng)計模型來確定�����。
12.根據(jù)權(quán)利要求10所述的裝置�,其中�,外部電子郵件的所述發(fā)送率通過獲取所述已發(fā)送內(nèi)部電子郵件的統(tǒng)計模型來確定。
13.根據(jù)權(quán)利要求10所述的裝置����,其中,從所述一個或多個用戶賬戶發(fā)送的外部電子郵件的所述發(fā)送率通過導(dǎo)出從連接到所述第一網(wǎng)絡(luò)環(huán)境的一個或多個計算機系統(tǒng)發(fā)送的外部電子郵件的發(fā)送率并將所述一個或多個用戶賬戶映射到所述一個或多個計算機系統(tǒng)來確定���。
14.根據(jù)權(quán)利要求10所述的裝置��,其中�,電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)通過確定內(nèi)部電子郵件的所述到達率的統(tǒng)計模型和外部電子郵件的所述發(fā)送率的統(tǒng)計模型是否在時間上相關(guān)來檢測�。
15.根據(jù)權(quán)利要求14所述的裝置,其中��,所述確定所述統(tǒng)計模型是否在時間上相關(guān)包括:評估從所述第一網(wǎng)絡(luò)環(huán)境接收到的所述內(nèi)部電子郵件和從所述一個或多個用戶賬戶發(fā)送的所述外部電子郵件的定時�����、大小和內(nèi)容特性中的一個或多個���。
16.根據(jù)權(quán)利要求14所述的裝置�,其中�����,所述統(tǒng)計模型中的一個或多個包括消息大小在時間窗口上的離散分布�。
17.根據(jù)權(quán)利要求14所述的裝置,其中�,所述統(tǒng)計模型中的一個或多個測量所述到達內(nèi)部電子郵件的流和所述已發(fā)送外部電子郵件的流之間的相似度����。
18.根據(jù)權(quán)利要求10所述的裝置��,其中�,所述至少一個硬件設(shè)備還被配置為生成用于審核的警告。
19.一種用于自動檢測電子郵件從第一網(wǎng)絡(luò)環(huán)境的批量轉(zhuǎn)發(fā)的制造品�,包括:包含一個或多個程序的有形機器可讀可記錄介質(zhì),其中���,所述一個或多個程序在被執(zhí)行時實現(xiàn)以下步驟: 確定從所述第一網(wǎng)絡(luò)環(huán)境接收到一個或多個用戶賬戶內(nèi)的內(nèi)部電子郵件的到達率�; 確定從所述一個或多個用戶賬戶發(fā)送到第二網(wǎng)絡(luò)環(huán)境的外部電子郵件的發(fā)送率����;以及 通過比較內(nèi)部電子郵件的所述到達率和外部電子郵件的所述發(fā)送率,檢測電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)�����。
20.根據(jù)權(quán)利要求19所述的制造品���,其中�����,所述確定內(nèi)部電子郵件的所述到達率的步驟還包括:獲取所述到達內(nèi)部電子郵件的統(tǒng)計模型的步驟�。
21.根據(jù)權(quán)利要求19所述的制造品,其中���,所述確定外部電子郵件的所述發(fā)送率的步驟還包括:獲取所述已發(fā)送內(nèi)部電子郵件的統(tǒng)計模型的步驟。
22.根據(jù)權(quán)利要求19所述的制造品���,其中���,所述確定從所述一個或多個用戶賬戶發(fā)送的外部電子郵件的所述發(fā)送率的步驟還包括以下步驟:導(dǎo)出從連接到所述第一網(wǎng)絡(luò)環(huán)境的一個或多個計算機系統(tǒng)發(fā)送的外部電子郵件的發(fā)送率;以及將所述一個或多個用戶賬戶映射到所述一個或多個計算機系統(tǒng)����。
23.根據(jù)權(quán)利要求19所述的制造品,其中�,所述檢測電子郵件從指定用戶賬戶的所述批量轉(zhuǎn)發(fā)的步驟還包括:確定內(nèi)部電子郵件的所述到達率的統(tǒng)計模型和外部電子郵件的所述發(fā)送率的統(tǒng)計模型是否在時間上相關(guān)。
24.根據(jù)權(quán)利要求23所述的制造品���,其中����,所述統(tǒng)計模型中的一個或多個包括消息大小在時間窗口上的離散分布���。
25.根據(jù)權(quán)利要求23所述的制造品����,其中,所述統(tǒng)計模型中的一個或多個測量所述到達內(nèi)部電子郵件的流和所述已發(fā)送外部電子郵件的流之間的相似度����。
【文檔編號】G06Q10/10GK104335236SQ201380026714
【公開日】2015年2月4日 申請日期:2013年3月21日 優(yōu)先權(quán)日:2012年6月12日
【發(fā)明者】M·克里斯托多雷斯庫, J·R·拉奧, R·賽勒, D·L·沙勒斯 申請人:國際商業(yè)機器公司