基于违规计数的多重文件异常检测

摘要

获得文件集的文件的加密信息。所述文件加密信息定义：(1)所述文件集内的加密文件的数量，(2)与所述加密文件相关联的加密类别的数量，(3)与用户的访问权限不匹配的未授权加密文件的数量，以及(4)与所述未授权加密文件相关联的未授权加密类别的数量。基于所述文件加密信息确定对访问控制策略的违规。

说明书

本申请要求于2018年7月16日提交的名称为“Multi-Pronged File AnomalyDetection Based on Violation Counts(基于违规计数的多重文件异常检测)”的美国非临时申请No.16/035,764的优先权权益，所述美国非临时申请的内容通过引用以其全文结合于此。

技术领域

本公开总体上涉及使用多重文件异常检测来保护敏感数据。

背景技术

在计算系统中可以使用加密类别(诸如指示文件中包含的信息的敏感性或文件的加密性质的加密类别)来保护文件的内容。例如，数据泄漏保护技术可以使用与文件相关联的加密类别来提供对数据泄漏(对文件的未授权访问)的实时阻止。即，当即将发生对加密文件的未授权访问时，数据泄漏保护技术可以试图保护加密文件。此类技术提供了对加密文件的不完全保护。例如，此类技术未考虑在数据泄漏事件之前数据泄漏的风险、未能有助于在数据泄漏事件之前的预防性动作、或者未有效地提供对数据泄漏事件的分析。

发明内容

本公开的一个方面涉及一种用于保护敏感数据的方法。所述方法可以包括：获得文件集的文件的加密信息，所述文件加密信息定义：(1)所述文件集内的加密文件的数量、(2)与所述加密文件相关联的加密类别的数量、(3)与用户的访问权限不匹配的未授权加密文件的数量、以及(4)与所述未授权加密文件相关联的未授权加密类别的数量；以及，基于所述文件加密信息确定对访问控制策略的违规。

本公开的另一方面涉及一种用于保护敏感数据的系统。所述系统可以包括一个或多个处理器以及存储有指令的存储器。所述指令当由所述一个或多个处理器执行时可以使所述系统执行：获得文件集的文件的加密信息，所述文件加密信息定义：(1)所述文件集内的加密文件的数量、(2)与所述加密文件相关联的加密类别的数量、(3)与用户的访问权限不匹配的未授权加密文件的数量、以及(4)与所述未授权加密文件相关联的未授权加密类别的数量；以及，基于所述文件加密信息确定对访问控制策略的违规。

本公开的另一方面涉及一种用于保护敏感数据的非暂态计算机可读介质。所述非暂态计算机可读介质可以包括指令，所述指令在被执行时使一个或多个处理器执行：获得文件集的文件的加密信息，所述文件加密信息定义：(1)所述文件集内的加密文件的数量、(2)与所述加密文件相关联的加密类别的数量、(3)与用户的访问权限不匹配的未授权加密文件的数量、以及(4)与所述未授权加密文件相关联的未授权加密类别的数量；以及，基于所述文件加密信息确定对访问控制策略的违规。

在一些实施例中，基于所述文件加密信息确定对所述访问控制策略的违规可以包括：基于(1)所述文件集内的加密文件的数量、(2)与所述加密文件相关联的加密类别的数量、(3)与所述用户的访问权限不匹配的未授权加密文件的数量、以及(4)与所述未授权加密文件相关联的未授权加密类别的数量来确定风险参数；以及，基于所述风险参数超过风险参数阈值来确定对所述访问控制策略的违规。

在一些实施例中，基于所述文件加密信息确定对所述访问控制策略的违规可以包括：基于与所述用户的访问权限不匹配的未授权加密文件的数量超过未授权加密文件阈值来确定对所述访问控制策略的违规。

在一些实施例中，基于所述文件加密信息确定对所述访问控制策略的违规可以包括：基于与所述未授权加密文件相关联的未授权加密类别的数量超过未授权加密类别阈值来确定对所述访问控制策略的违规。

在一些实施例中，所述文件集可以存储在计算设备的电子存储设备中，并且用于所述文件集的所述文件加密信息的至少一部分可以由在所述计算设备上运行的发现代理确定。所述发现代理可以基于以下各项来确定所述文件加密信息的所述至少一部分：(1)与所述加密文件相关联的所述加密类别的确定，以及(2)所述用户的所述访问权限。

在一些实施例中，基于对访问控制策略的违规的确定可以执行一个或多个分析。例如，基于对访问控制策略的违规的确定可以执行对加密文件的预防分析。作为另一示例，基于对访问控制策略的违规的确定可以执行对加密文件的泄漏后分析。

在参考附图考虑以下描述和所附权利要求时，本文所公开的系统、方法和非暂态计算机可读介质的这些和其他特征、以及相关结构元件和部件组合的操作方法和功能以及制造的经济性，将变得更加显而易见，所有附图形成本说明书的一部分，在附图中，相似的附图标记表示各个附图中相应的部件。然而，要明确理解的是，附图仅出于说明和描述的目的，而不意在定义对本发明的限制。应当理解的是，前述概括性描述和以下详细描述仅仅是示例性和解释性的，并非限制所要求保护的发明。

附图说明

通过参考附图可以更容易地理解本发明的优选和非限制性实施例，在附图中：

图1示出了根据本公开的各实施例的用于保护敏感数据的示例环境。

图2示出了根据本公开的各实施例的用户组与加密类别的示例映射。

图3示出了根据本公开的各实施例的用于综合数据泄漏保护的示例流程图。

图4示出了根据本公开的各实施例的用于确定对访问控制策略的违规的示例流程图。

图5示出了根据本公开的各实施例的示例方法的流程图。

图6示出了可以在其中实施本文描述的实施例中的任何一个实施例的示例计算机系统的框图。

具体实施方式

现在将参考附图对本发明的具体的非限制性实施例进行描述。应当理解的是，本文公开的任何实施例的特定特征和方面可以与本文公开的任何其他实施例的特定特征和方面一起使用和/或组合。还应当理解的是，这些实施例是示例性的，并且仅仅对本发明范围内的少量实施例进行了说明。本发明所涉及的、对本领域技术人员而言显而易见的各种改变和修改被视为是处于如所附权利要求中进一步限定的本发明的精神、范围和意图内。

本文公开的方法改善了用于保护加密文件的数据泄漏保护技术。通过使用用于文件集的文件加密信息，可以确定对用于所述文件集的访问控制策略的违规。使用文件加密信息可以提供对于访问控制策略违规的精确且灵活的确定。基于对访问控制策略的违规的确定，可以改善数据泄漏保护。例如，可以识别可能存在问题(例如，易于发生数据泄漏)的加密文件的存储，并且这种识别可以用于预防分析或泄漏后分析。本文公开的方法可以提供综合数据泄漏保护，所述综合数据泄漏保护考虑了数据泄漏事件之前数据泄漏的风险、有助于在数据泄漏事件之前的预防性动作、并且有效地提供对数据泄漏事件的分析。

图1示出了根据各实施例的用于保护敏感数据的示例环境100。示例环境100可以包括计算系统102(例如，服务器)和计算设备104(例如，客户端设备、台式计算机、膝上型计算机、智能电话、平板计算机、移动设备)。计算系统102和计算设备104可以包括一个或多个处理器以及存储器(例如，永久性存储器、暂时性存储器)。(多个)处理器可以被配置为通过解释存储在存储器中的机器可读指令来执行各种操作。计算系统102和/或计算设备104可以包括其他计算资源并且/或者可以(例如，经由一个或多个连接/网络)访问其他计算资源。

计算系统102可以包括文件加密组件112、违规组件114、分析组件116和/或其他组件。计算系统102和计算设备104可以通过一个或多个网络(例如，网络106)连接。计算系统102和计算设备104可以使用网络106交换信息。计算系统102和计算设备104可以使用一个或多个通信协议通过网络106进行通信。计算系统102可以是网络106的服务器，并且计算设备104可以是网络106的节点。

虽然图1中将计算系统102和计算设备104示出为单个实体，但是这仅仅是为了便于参考，并不意味着是限制性的。本文描述的计算系统102和/或计算设备104的一个或多个组件/功能可以在单个计算设备或多个计算设备中实施。例如，计算系统102的一个或多个组件/功能可以在计算设备104中实施并且/或者跨多个计算设备分布。例如，计算设备104可以表示诸如电子邮件系统或文件服务器等计算平台，并且计算系统102的组件/功能可以在计算平台内或在一个或多个其他计算设备中实施。

计算设备104可以包括电子存储设备122。电子存储设备122可以指，用于存储诸如定义计算机文件的信息等信息的设备。电子存储设备122可以包括其中可以存储信息的一个或多个存储介质。例如，电子存储设备122可以包括光学可读存储介质(例如，光盘等)、磁性可读存储介质(例如，磁带、磁性硬盘驱动器、软盘驱动器等)、基于电荷的存储介质(例如，EPROM、EEPROM、RAM等)、固态存储介质(例如，闪存驱动器等)、或其他电子可读存储介质。电子存储设备可以是计算设备104的一部分(例如，集成到计算设备104中)或可移除地耦接到计算设备104。

电子存储设备122可以存储文件集124和其他信息。文件集124可以包括一个或多个文件。文件可以指具有名称(文件名)的数据或信息的集合。文件集124可以包括相同类型的文件。文件集124可以包括不同类型的文件。例如，文件集124可以包括以下文件类型中的一个或多个：数据文件、文本文件、程序文件、目录文件、系统文件。可以设想其他类型的文件。文件集124内的文件可以存储在单个存储介质内或跨多个存储介质被存储。文件集124内的文件可以存储在单个文件目录内或跨多个文件目录被存储。

文件集124内的一个或多个文件可以与一个或多个加密类别相关联。加密类别可以指类、分组或分区，可以基于文件的内容而使文件归属到所述类、分组或分区。加密类别可以标识文件的内容的一个或多个类型。例如，与文件相关联的加密类别可以指示包含在文件内的敏感信息的等级或量。作为另一示例，与文件相关联的加密类别可以指示包含在文件内的加密信息的等级或量。可以设想其他类型的加密类别。

先前可能已经确定文件与加密类别的关联。例如，文件可能已经标记有用于加密类别的加密标记。作为另一示例，数据库可以包括将文件的标识符(例如，文件名、指纹)与加密类别相匹配的信息。可以在需要时确定文件与加密类别的关联。例如，关键字或表达可以与加密类别相关联，并且可以扫描文件的内容以基于包含在文件内的(多个)关键字或(多个)表达来确定文件的加密类别。与加密类别相关联的文件可以被称为加密文件。

在一些实施例中，文件可以与多个加密类别相关联。例如，文件可以与多种类型的加密类别相关联。作为另一示例，文件的不同部分可以与不同的加密类别相关联。例如，文件的一部分可以与低加密类别相关联，而文件的另一部分可以与高加密类别相关联。

加密类别可以确定哪些用户或哪些用户组被授权访问文件。对文件的授权访问可以分为不同类型的访问。例如，用户对文件的完全访问可以包括用户被授权打开文件、重命名文件、向文件添加属性、移除文件属性、更改文件属性、复制文件、删除文件、更改文件的位置、共享文件、查看文件中的信息、向文件添加信息、从文件中移除信息、更改文件中的信息、以及以其他方式访问文件。用户对文件的受限访问可以包括用户被授权仅执行在完全访问下授权的活动的子集。

可以授权不同的用户或用户组访问与不同加密类别相关联的文件。例如，可以授权一个用户或一个用户组访问与特定加密类别相关联的文件，而可以授权另一个用户或另一个用户组访问与另一个加密类别相关联的文件。作为另一示例，可以授权一个用户或一个用户组访问与加密类别范围(例如，低敏感性加密、中等敏感性加密、高敏感性加密)相关联的文件，而可以授权另一个用户或另一个用户组访问与加密类别范围的子集(例如，低敏感性加密)相关联的文件。

在一些实施例中，可以基于访问时间来限制用户或用户组对文件的授权访问。例如，可以授权特定用户或用户组在设定时间或时间间隔访问与加密类别相关联的文件。在一些实施例中，可以基于访问位置来限制用户或用户组对文件的授权访问。例如，可以授权特定用户或用户组从一个或多个特定地理位置或使用一个或多个特定计算设备访问与加密类别相关联的文件。

用户、用户组与授权的加密类别之间的关系可以形成用户、用户组与加密类别的映射。这种映射可以称为授权映射。授权映射可以将用户和用户组链接到访问被授权的那些加密类别。授权映射可以包括多到多映射(M到N映射)。授权映射可以提供关于用户或用户组的访问权限的信息。用户或用户组的访问权限可以指，定义访问被授权给用户或用户组的加密类别的信息。

计算设备104或耦接到计算设备104的另一计算设备可以生成用于文件集124的文件加密信息，并通过网络106将用于文件集124的文件加密信息提供给计算系统102。计算设备104或耦接到计算设备104的另一计算设备可以运行软件、程序、进程、代理或其他工具之一或组合来确定用于文件集124的文件加密信息。例如，扫描代理(scanning agent)或发现代理(discovery agent)可以在计算设备104上运行以分析文件集124并确定与文件集124内的(多个)文件相关联的加密类别。代理可以基于以下各项来确定用于文件集124的文件加密信息的一个或多个部分：(1)与文件集124内的(多个)加密文件相关联的加密类别的确定，以及(2)与计算设备104相关联的用户的访问权限，诸如计算设备104所注册的用户的访问权限或已知使用计算设备104的用户的访问权限。

代理可以遍历电子存储设备122的一个或多个文件夹以发现和分析文件集124。代理可以完全或渐进地扫描电子存储设备122。代理可以基于一个或多个事件扫描电子存储设备122或电子存储设备122的一个或多个部分。例如，代理可以基于对文件的改变(例如，修改文件的内容、创建文件、上传/下载文件)来扫描文件或文件所在的文件夹。作为另一示例，代理可以基于系统或用户提示(诸如请求扫描文件集124或请求用于文件集124的文件加密信息的系统或用户提示)来执行对文件集124的扫描。

代理可以基于时间表扫描电子存储设备122或电子存储设备的一个或多个部分。例如，代理可以周期性地扫描电子存储设备122以提供经更新的文件加密信息。可以以规则间隔或不规则间隔确定文件加密信息。

可以将用于文件集124的文件加密信息提供给计算系统102。向计算系统102提供文件加密信息可以使得能够分析文件集的数据泄漏的潜在风险。向计算系统102提供文件加密信息能够确定对用于文件集124的访问控制策略的一个或多个违规。这种确定可以用于执行对文件集124内的加密文件的预防分析。这种确定可以用于执行对文件集124内的加密文件的泄漏后分析。对加密文件的预防分析或泄漏后分析可以用于防止或降低文件集124内的加密文件的数据泄漏110的可能性。即，可以防止或减少对文件集124内的加密文件的未授权访问。

用于文件集124的文件加密信息可以包括与文件集124内的(多个)加密文件有关的信息。文件加密信息可以定义：(1)文件集124内的加密文件的数量、(2)与加密文件相关联的加密类别的数量、(3)与用户的访问权限不匹配的未授权加密文件的数量、以及(4)与未授权加密文件相关联的未授权加密类别的数量。

文件加密信息可以包括关于文件集124内有多少文件与加密类别相关联的信息。文件加密信息可以包括关于文件集124内有多少文件与特定加密类别相关联的信息。即，文件加密信息可以包括标识与不同加密类别相关联的加密文件的数量的信息。文件集124内的加密文件的总数可以表示为CountFT。

文件加密信息可以包括关于有多少加密类别与文件集124内的(多个)加密文件相关联的信息。文件加密信息可以包括关于有多少不同的加密类别与文件集124内的加密文件相关联的信息。文件加密信息可以包括标识与文件集124内的(多个)加密文件相关联的加密类别的信息。与文件集124内的(多个)加密文件相关联的加密类别的总数可以表示为CountCT。

文件加密信息可以包括关于文件集124内有多少加密文件与用户的访问权限不匹配的信息。即，文件加密信息可以包括标识文件集124内计算设备104的用户未被授权访问的加密文件的数量的信息。用户无权访问的加密文件可以被称为未授权加密文件。可以通过比较与文件相关联的加密类别和用户的访问权限来确定加密文件是否是未授权加密文件。文件集124内的未授权加密文件的总数可以表示为CountVT。

文件加密信息可以包括关于有多少未授权加密类别与文件集124内的(多个)未授权加密文件相关联的信息。即，文件加密信息可以包括标识与文件集124内的未授权加密文件相关联的加密类别的数量的信息。用户无权访问的加密类别可以被称为未授权加密类别。与文件集124内的(多个)未授权加密文件相关联的未授权加密类别的总数可以表示为CountNCT。

文件加密组件112可以被配置为获得文件集124的文件的加密信息。获得文件加密信息可以包括以下操作之一或组合：访问、获取、分析、确定、检查、识别、加载、定位、打开、接收、取得、回顾、存储或以其他方式获得文件加密信息。文件加密组件112可以从诸如电子存储设备等硬件组件或诸如在计算设备上运行的进程等软件组件获得文件集124的文件的加密信息。文件加密组件112可以从计算设备104或耦接到计算设备104的另一计算设备获得文件集124的文件的加密信息。文件加密组件112可以直接从确定文件加密信息的计算设备或通过一个或多个中间设备(例如，路由器、调制解调器、服务器)获得文件加密信息。可以将文件加密信息推送到文件加密组件112。文件加密信息可以由文件加密组件112提取。

违规组件114可以被配置为基于文件加密信息来确定对访问控制策略的一个或多个违规。访问控制策略可以指一组规则或标准，通过该组规则或标准来控制对一个或多个文件的访问。访问控制策略可以定义一组规则或标准，通过该组规则或标准可以生成数据泄漏警报。访问控制策略可以定义一组规则或标准，通过该组规则或标准可以识别可能存在问题的加密文件的存储。例如，用于文件集124的访问控制策略可以包括控制对文件集124的访问的规则或标准，可以生成用于文件集124的数据泄漏警报，或者识别可能存在问题的文件集124内的加密文件的存储。例如，用于文件集124的访问控制策略可以定义以下各项之一或组合：(1)文件集124内的未授权加密文件的可接受数量，(2)与文件集124内的未授权加密文件相关联的未授权加密类别的可接受数量，或(3)用于文件集124的风险参数的可接受量。对上述规则之一或组合的违规可以用于控制对文件集124的访问、生成用于文件集124的数据泄漏警报、或者识别可能存在问题的文件集内的加密文件的存储。

可以基于用于文件集124的风险参数来确定对访问控制策略的违规。用于文件集124的风险参数可以指可测量值，所述可测量值指示文件集124易于发生数据泄漏的风险等级。即，风险参数可以指示文件集124内的加密文件中的一个或多个可能被未授权用户访问的风险的等级(例如，量、百分比、低/中/高)。可以基于以下各项之一或组合来计算用于文件集124的风险参数：(1)文件集内的加密文件的数量(CountFT)，(2)与加密文件相关联的加密类别的数量(CountCT)，(3)与用户的访问权限不匹配的未授权加密文件的数量(CountVT)，或(4)与未授权加密文件相关联的未授权加密类别的数量(CountNCT)。例如，风险参数可以是(CountFT，CountCT，CountVT，CountNCT)的函数。用于文件集124的风险参数可以表示为ScoreDL。可以基于风险参数(ScoreDL)超过风险参数阈值(c)来确定对访问控制策略的违规，所述风险参数阈值为用于文件集124的风险参数的可接受量。在一些实施例中，可以基于风险参数满足风险参数阈值来确定对访问控制策略的违规。该风险参数违规规则可以表示为：ScoreDL>c，或ScoreDL≥c。

基于与用户的访问权限不匹配的未授权加密文件的数量来确定对访问控制策略的违规。例如，可以基于与用户的访问权限不匹配的未授权加密文件的数量超过未授权加密文件阈值(k)来确定对访问控制策略的违规，所述未授权加密文件阈值为文件集124内未授权加密文件的可接受数量。如果未授权加密文件阈值(k)被设置为零，则文件集124内的任何未授权加密文件的存在都可以触发对访问控制策略的违规。作为另一示例，基于与用户的访问权限不匹配的未授权加密文件的数量满足未授权加密文件阈值(k)可以确定对访问控制策略的违规。该未授权加密文件违规规则可以表示为：CountVT>k，或CountVT≥k。

可以基于与未授权加密文件相关联的未授权加密类别的数量来确定对访问控制策略的违规。例如，可以基于与未授权加密文件相关联的未授权加密类别的数量超过未授权加密类别阈值(n)来确定对访问控制策略的违规，所述未授权加密类别阈值为与文件集124内的未授权加密文件相关联的未授权加密类别的可接受数量。如果未授权加密类别阈值(n)被设置为零，则文件集124内的任何未授权加密文件/未授权加密类别的存在都可以触发对访问控制策略的违规。作为另一示例，基于与未授权加密文件相关联的未授权加密类别的数量满足未授权加密类别阈值(n)可以确定对访问控制策略的违规。该未授权加密类别违规规则可以表示为：CountNCT>n，或CountNCT≥n。

可以基于用户输入、文件集124内的(多个)文件、与文件集124内的(多个)文件相关联的加密类别、或计算设备104的用户的访问权限来设置阈值中的一个或多个，对访问控制策略的违规针对所述阈值来确定。例如，用户可以设置或指定风险参数阈值(c)、未授权加密文件阈值(k)、或未授权加密类别阈值(n)的值。作为另一示例，可以基于与文件集124内的加密文件相关联的加密类别来确定风险参数阈值(c)、未授权加密文件阈值(k)、或未授权加密类别阈值(n)的值。例如，如果加密文件与高敏感性/加密的加密类别相关联，则阈值中的一个或多个可以设置为低值。如果加密文件与低敏感性/加密的加密类别相关联，则可以将阈值中的一个或多个设置为高值。作为另一示例，可以基于计算设备104的用户的访问权限来确定风险参数阈值(c)、未授权加密文件阈值(k)、或未授权加密类别阈值(n)的值。例如，不同的访问权限可以与不同的阈值相关联。

在一些实施例中，可以基于多个违规规则的组合来确定对访问控制策略的违规。例如，可以基于对某一数量的违规规则的违规来确定对访问控制策略的违规。作为另一示例，可以基于对特定违规规则以及一个或多个其他违规规则的违规来确定对访问控制策略的违规。作为又一示例，可以指定违规规则的不同组合来确定对访问控制策略的违规。在一些实施例中，对一个或多个违规规则的违规可以改变一个或多个其他违规规则。例如，如果违反了未授权加密类别违规规则，则可以将较低阈值用于风险参数违规规则。在一些实施例中，阈值中的一个或多个可以包括不同范围的值。例如，参考改变违规规则的上述示例，风险参数阈值(c)可以降低的量可以取决于与未授权加密文件相关联的未授权加密类别的数量(CountNCT)是否超过较低的未授权加密类别阈值(n_low)或较高的未授权加密类别阈值(n_high)。这种违规规则的组合或自适应阈值的使用可以提供精确且灵活的对访问控制策略违规的确定。

分析组件116可以被配置为基于对访问控制策略的违规的确定来执行一个或多个分析。例如，分析组件116可以基于对访问控制策略的违规的确定来执行对文件集124内的加密文件的预防分析。作为另一示例，分析组件116可以基于对访问控制策略的违规的确定来执行对文件集124内的加密文件的泄漏后分析。对加密文件的预防分析可以包括监测文件集124内的加密文件。可以在不使用加密文件的同时、使用加密文件的同时、或者在移动加密文件以确定加密文件可能如何以及何时泄漏的同时监测加密文件。对加密文件的预防分析可以包括监测计算设备104的用户。可以监测用户以确定可能指示数据泄漏的用户活动或行为。

泄漏后分析可以包括对加密文件如何在未授权的情况下被访问的分析。泄漏后分析可以包括对被泄漏的加密文件的分析、对计算设备104的用户的行为的分析、或对影响数据泄漏或与数据泄漏相关的事件的其他分析。

预防分析或泄漏后分析可以有助于计算设备104的加密文件、用户访问权限、访问控制策略、或其他操作的改变，以防止或降低数据泄漏的可能性。对所有文件、所有计算设备或组织的所有用户执行这种预防分析或泄漏后分析可能不切实际。例如，这种分析可能需要花费大量的计算资源和时间。如本文所公开的对访问控制策略的违规的确定可以用于以(多个)特定文件、(多个)计算设备、或(多个)用户为目标而进行预防分析或泄漏后分析。这可以允许高效地使用计算资源和时间来改善数据泄漏保护。

图2示出了根据本公开的各实施例的用户组和加密类别的示例映射200。用户组U1202、U2 204、U3 206、U4 208可以表示各个用户或用户组。加密类别C1 212、C2 214、C3216、C4 218可以表示可以与文件相关联的不同加密类别。用户组202、204、206、208与加密类别212、214、216、218之间的关系可以形成映射200。映射200可以将用户组202、204、206、208链接到访问被授权的那些加密类别212、214、216、218。例如，用户组U1 202可以被授权访问与加密类别C2 214和C3 216相关联的文件。用户组U2 204可以被授权访问与加密类别C1 212相关联的文件。用户组U3 206可以被授权访问与加密类别C1 212和C4 218相关联的文件。用户组U4 208可以被授权访问与加密类别C4 218相关联的文件。

由映射200定义的对文件的授权访问可以包括不同类型的访问。例如，用户组U1202对与加密类别C2 214相关联的文件的访问可以包括完全访问(例如，打开文件、重命名文件、向文件添加属性、移除文件的属性、更改文件的属性、复制文件、删除文件、更改文件的位置、共享文件、查看文件中的信息、向文件添加信息、从文件中移除信息、更改文件中的信息)，而用户组U1 202对与加密类别C3 216相关联的文件的访问可以包括受限访问(例如，在完全访问下授权的活动的子集)。

由映射200定义的对文件的授权访问可能受到时间或位置的限制。例如，用户组U2204对与加密类别C1 212相关联的文件的访问可能限于设定时间或时间间隔。作为另一示例，用户组U3对与加密类别C1 212相关联的文件的访问可能限于从特定地理位置或通过特定计算设备进行的访问。

图3示出了根据本公开的各实施例的用于综合数据泄漏保护300的示例流程图。综合数据泄漏保护可以包括预防分析302、实时阻止304和泄漏后分析306。预防分析302、实时阻止304和泄漏后分析306的组合可以如图3中所示按照时间顺序在三个阶段建立抵御数据泄漏的防线。预防分析302可以包括测量数据泄漏的风险、以及在数据泄漏事件之前建议或采取预防性动作。实时阻止304可以包括在试图进行数据泄漏时停止数据泄漏。泄漏后分析306可以包括协同和关联来自数据泄漏保护系统和其他安全系统的事件，以用于数据泄漏后事件分析。可以基于对访问控制策略的违规的确定来执行预防分析302或泄漏后分析306。

图4示出了根据本公开的各实施例的用于确定对访问控制策略400的违规的示例流程图。可以提供用于确定对访问控制策略的违规的输入402。输入402可以包括：文件集内的加密文件的数量(CountFT)，(2)与加密文件相关联的加密类别的数量(CountCT)，(3)文件集内与用户的访问权限不匹配的未授权加密文件的数量(CountVT)，以及(4)与未授权加密文件相关联的未授权加密类别的数量(CountNCT)。

可以基于输入402来执行分析404。分析可以包括以下各项之一或组合：(1)将风险参数(ScoreDL)与风险参数阈值进行比较，其中，风险参数(ScoreDL)是基于以下各项之一或组合来确定的：(a)文件集内的加密文件的数量(CountFT)、(b)与加密文件相关联的加密类别的数量(CountCT)、(c)与用户的访问权限不匹配的未授权加密文件的数量(CountVT)、或(d)与未授权加密文件相关联的未授权加密类别的数量(CountNCT)；(2)将与用户的访问权限不匹配的未授权加密文件的数量(CountVT)与未授权加密文件阈值进行比较；或(3)将与未授权加密文件相关联的未授权加密类别的数量(CountNCT)与未授权加密类别阈值进行比较。

分析404的输出406可以包括确定是否已经违反了访问控制策略。可以基于以下各项之一或组合来确定对访问控制策略的违规：(1)风险参数(ScoreDL)超过风险参数阈值；(2)与用户的访问权限不匹配的未授权加密文件的数量(CountVT)超过未授权加密文件阈值；或(3)与未授权加密文件相关联的未授权加密类别的数量(CountNCT)超过未授权加密类别阈值。

图5示出了根据本公开的各实施例的示例方法500的流程图。方法500可以在包括例如图1的环境100的各种环境中实施。下文呈现的方法500的操作旨在是说明性的。取决于实施方式，方法500可以包括以各种顺序执行或并行执行的附加的、更少的或替代性的步骤。方法500可以在包括一个或多个处理器的各种计算系统或设备中实施。

关于方法500，在块510处，可以获得文件集的文件的加密信息，所述文件加密信息可以定义：(1)文件集内的加密文件的数量，(2)与加密文件相关联的加密类别的数量，(3)与用户的访问权限不匹配的未授权加密文件的数量，以及(4)与未授权加密文件相关联的未授权加密类别的数量。在块520处，可以基于文件加密信息确定对访问控制策略的违规。

在块520A处，可以基于风险参数超过风险参数阈值来确定对访问控制策略的违规。可以基于以下各项来确定风险参数：(1)文件集内的加密文件的数量，(2)与加密文件相关联的加密类别的数量，(3)与用户的访问权限不匹配的未授权加密文件的数量，以及(4)与未授权加密文件相关联的未授权加密类别的数量。

在块520B处，可以基于与用户的访问权限不匹配的未授权加密文件的数量超过未授权加密文件阈值来确定对访问控制策略的违规。

在块520C处，可以基于与未授权加密文件相关联的未授权加密类别的数量超过未授权加密类别阈值来确定对访问控制策略的违规。

图6是示出可以在其上实施本文描述的实施例中的任何一个实施例的计算机系统600的框图。计算机系统600包括总线602或用于传送信息的其他通信机制、与总线602耦接以用于处理信息的一个或多个硬件处理器604。(多个)硬件处理器604可以是例如一个或多个通用微处理器。

计算机系统600还包括耦接到总线602以用于存储要由(多个)处理器604执行的信息和指令的主存储器606，诸如随机存取存储器(RAM)、缓存和/或其他动态存储设备。主存储器606还可以用于存储在执行要由(多个)处理器604执行的指令期间的临时变量或其他中间信息。这些指令当存储在(多个)处理器604可访问的存储介质中时，使计算机系统600成为被定制成执行指令中指定的操作的专用机器。主存储器606可以包括非易失性介质和/或易失性介质。非易失性介质可以包括例如光盘或磁盘。易失性介质可以包括动态存储器。介质的常见形式可以包括例如软盘、软磁盘、硬盘、固态驱动器、磁带或任何其他磁性数据存储介质、CD-ROM、任何其他光学数据存储介质、具有孔图案的任何物理介质、RAM、DRAM、PROM和EPROM、FLASH-EPROM、NVRAM、任何其他存储器芯片或存储器盒、以及上述形式的网络化版本。

计算机系统600可以使用自定义硬接线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑来实施本文所描述的技术，所述自定义硬接线逻辑、一个或多个ASIC或FPGA、固件和/或程序逻辑与计算机系统相结合使计算机系统600成为专用机器或将其编程为专用机器。根据一个实施例，响应于(多个)处理器604执行包含在主存储器606中的一个或多个指令的一个或多个序列，计算机系统600执行本文中的技术。这样的指令可以从诸如存储设备608等另一存储介质读到主存储器606中。包含在主存储器606中的指令序列的执行使(多个)处理器604执行本文所描述的过程步骤。例如，在图5中示出并且结合此图描述的过程/方法可以通过存储在主存储器606中的计算机程序指令来实施。当这些指令由(多个)处理器604执行时，其可以执行如图5中所示并且如上文所描述的步骤。在替代性实施例中，可以使用硬接线电路代替软件指令或与软件指令组合。

计算机系统600还包括耦接到总线602的通信接口610。通信接口610提供耦接到一个或多个网络链路的双向数据通信，一个或多个网络链路连接到一个或多个网络。作为另一示例，通信接口610可以是用于提供到兼容LAN的数据通信连接的局域网(LAN)卡(或者是用于与WAN通信的WAN组件)。还可以实施无线链路。

可以将某些操作的执行分配到多个处理器之中，使其不是仅驻留在单个机器内，而是跨多个机器部署。在一些示例实施例中，处理器或处理器实施的引擎可以位于单个地理位置中(例如，在家庭环境、办公室环境或服务器区内)。在其他示例实施例中，处理器或处理器实施的引擎可以跨多个地理位置分布。

虽然本文描述了所公开原理的示例和特征，但是在不脱离所公开实施例的精神和范围的情况下，修改、适配和其他实施方式是可能的。而且，词语“包括(comprising)”、“具有(having)”、“包含(containing)”和“包括(including)”以及其他类似形式在含义上是等同的并且是开放式的，因为在这些词中的任何一个之后的一个或多个项并不意味着是这一个或多个项的穷举性列表，或不意味着仅受限于所列出的一个或多个项。还必须注意的是，除非上下文明确地另有说明，否则如在本文中和所附权利要求中所使用的单数形式“一(a)”、“一个(an)”以及“所述(the)”包括复数个指代物。

以足以使得本领域技术人员能够实践所公开的教导的细节描述了本文所示的实施例。其他实施例可以被使用并且可以从本文所示的实施例得到，从而使得可以在不脱离本公开的范围的情况下做出结构和逻辑替换和改变。因此，具体实施方式不应被视为具有限制意义，并且各实施例的范围仅由所附权利要求以及这些权利要求所赋予的等同物的全部范围来限定。