CN101401466A

CN101401466A - 基于内容的策略遵从系统和方法

Info

Publication number: CN101401466A
Application number: CNA2006800507077A
Authority: CN
Inventors: P·朱奇; P·A·施奈克; W·杨; J·A·齐齐亚斯基
Original assignee: Secure Computing LLC
Current assignee: McAfee LLC
Priority date: 2005-11-10
Filing date: 2006-11-10
Publication date: 2009-04-01
Anticipated expiration: 2026-11-10
Also published as: AU2006315184A1; CN101401466B; JP2009516269A; WO2007059428A3; JP5046128B2; AU2006315184B2; CA2628189A1; CA2628189C; EP1982540A4; EP1982540A2; US7903549B2; WO2007059428A2; US20070195779A1

Abstract

根据基于内容的策略过滤器、使用分类器、策略遵从引擎、规则集合、词汇、上下文、集群和指纹分析而在一个或多个数据处理器上进行操作以便对用户的通信进行过滤的方法和系统。所述过滤器被应用于所接收到的通信中的一些或全部，并且根据分析的结果，通信或者被加密、隔离、延迟、丢弃或者被递送到预定接收方。

Description

基于内容的策略遵从系统和方法

背景和概述

本文总体上涉及用于处理通信的系统和方法，尤其涉及是用于过滤通信的系统和方法。

在电子邮件过滤产业中，大多数现有系统的目的都是过滤输入消息。对公司来说，有鉴于重要通信的电子特性(electronic character)以及各种电子通信技术可用性的日益提升，内容策略遵从(contentpolicy compliance)(例如遵从公司或政府的政策)会成为重要的考虑因素。

根据在此所公开的教导，在这里提供了根据基于内容的策略遵从而在一个或多个数据处理器上进行操作以过滤通信的方法和系统。例如，一种方法和系统能够包括：定义与一类文件的内容相关联的分类；接收用于区别该分类的特征(characteristic)集合；其中该特征集合是根据文件集合而得到的；接收用于定义对与该特征集合基本上相似的内容的处理的规则；并且其中该规则根据内容分类以及接收方或发送方中的至少一个来定义是否将通信转发到接收方。

附图简述

图1是描绘用于对通过网络发送的传输进行处理的系统的框图。

图2是描绘被配置成对文件进行分类并且应用策略的遵从系统的框图。

图3是描绘在本地计算机上操作的遵从系统的框图。

图4是描绘被配置成根据分析技术的组合来对文件进行分类的遵从系统的框图。

图5是描绘被配置成使用已有内容来开发与类别相关联的特征的遵从系统的框图。

图6是描绘被配置成接收来自管理员的一个或多个基于内容的策略的遵从系统的框图。

图7是描绘允许一个或多个基于内容的策略的操作方案的流程图。

图8是描绘操作方案的流程图，该操作方案允许一个或多个基于内容的策略，由此根据与分类相关联的相关文件集合来自动产生内容特征。

图9是描绘通过使用访问控制权产生策略来产生基于内容的策略遵从的操作方案的流程图。

图10是描绘根据一个或多个基于内容的策略来过滤消息的操作方案的流程图。

图11是描绘用于将通信多种格式和/或语言转换成公共格式和/或语言以及在针对任何内容匹配而解析(parse)消息之前将通信提取(distill)成用于描述通信的元数据的操作方案的流程图。

图12是描绘服务器访问体系结构的框图。

图13是描绘另一个服务器访问体系结构的框图。

详细描述

图1描绘了用于处理通过网络110接收的传输的系统100。该传输能够是多种不同类型的通信，例如从一个或多个消息传递(messaging)实体120发送的电子邮件(e-mail)消息。系统100使用消息传递策略遵从系统130来帮助处理源自始发系统120的通信。该消息传递策略遵从系统130检查与来自始发系统120的通信相关联的特征，并且根据该检查来针对通信采取操作。例如，该通信可以被确定成是合法的(legitimate)，由此该通信不应该被消息传递策略遵从系统130滤除，而是应该被提供给接收系统140，以供递送到预定(intended)接收方。

本公开涉及根据与通信相关联的分类来过滤通过网络传递的分组内容。由此应当理解，这些通信能够包括电子邮件、网际协议语音(Voiceover internet protocol VoIP)分组、即时消息传递(IM)、文件传输协议(FTP)分组、超文本传输协议(HTTP)分组、Gopher分组以及其他任何能够用于通过网络把受保护或敏感的内容(例如商业秘密、特许信息(privileged information)等等)传送给另一个用户的方法。

此外还应当理解，组织通常包含了若干部门，并且这些部门在某种程度上相互独立地工作。但是，组织可能希望根据访问信息的人员或者根据信息送抵的人员来防止信息被窃或公开。例如，组织可能不希望将工程内容公开给组织外部的人员。因此，该组织希望对包括工程相关内容在内的消息的接收方加以限制。然而，传统的过滤系统不提供对向/从组织内部的用户发送的内容的准确分类。

为了适当提高对与消息相关联的内容的分类的准确度(例如工程文件、市场交易文件、法律文件等等，其中包括文本文档、语音记录、图像、绘图)，如图2所示，能够利用消息内容分类程序210来配置消息传递策略遵从系统200。消息内容分类程序210能够使用一个或多个消息分类技术或过滤器来对消息内容进行分类。

该消息内容分类程序210对通信的内容(旨在通过网络传至接收方)进行分析，以便对通信的内容进行分类。但是应当理解，在将输入的通信分发给接收系统之前，消息传递策略遵从系统还能够对该通信进行检查。在220，该消息传递策略遵从系统200将消息内容分类程序210所生成的分类与由一个或多个规则所组成的集合相比较，以便确定该消息是否遵从策略。

如果该通信遵从组织策略，那么该通信将经由网络230被转发到接收方。但是，如果该通信不遵从组织策略，那么如块240所示，该通信将被隔离、丢弃，通知管理员或发送方/接收方，或者采取某一其他措施。其他措施能够包括例如在转发之前剥离该消息的内容和/或附件，在转发之前自动对消息进行加密，延迟消息的递送，或是作为对违反遵从(compliance violation)的响应的其他适当措施。应当理解的是，自动加密能够包括请求用户或管理员批准加密。此外，自动加密还能够包括：根据策略以及在没有用户或管理员批准的情况下，在服务器或客户端级别使得对加密内容的决定完全自动进行。

如果该通信只有一部分不遵从组织策略(例如，消息包含两个附件，其中一个附件遵从一个或多个策略，而另一个附件不遵从)，那么该通信可以被拦截(block)(例如丢弃、隔离等等)。可替换地，这样的通信可以被消息传递策略遵从系统200自动编辑，以使其遵从组织的一个或多个策略。此外，如果消息因为违反策略而不能被转移到接收方，则能够向始发系统递送通知。应当注意的是，始发系统能够通知系统管理员。可替换地，系统管理员也能够被消息传递策略遵从系统直接通知。应当理解的是，存在着很多用于管理对策略违反的响应的方法，并且这些方法中的每一个都旨在被包含在本公开的范围以内。

在图3中示出了消息传递策略遵从系统的另一个实例。例如，消息传递策略遵从代理260位于用户计算机265上。除了消息传递策略遵从代理260之外，本地计算机265还能够包含通信客户端270。应当理解的是，在某些实例中，通信客户端270可以与消息传递策略遵从代理260相结合。

当接收到来自通信客户端270的消息时，该消息传递策略遵从代理260将会使用消息内容分类程序275来确定与通信的内容相关联的分类。在220，消息传递策略遵从代理260把与通信的内容相关联的分类与基于内容的消息传递策略相比较，该基于内容的消息传递策略可以由用户或系统管理员来设置。在通信不遵从基于内容的消息传递策略的情况下，代理能够丢弃所述通信、隔离所述通信等等，如块285所示。应当理解的是，这样的功能可以与通信客户端相结合。但是还应当注意的是，块285的功能可以由代理自身来提供。

如果通信遵从一个或多个基于内容的策略，则消息传递策略遵从代理就把消息转发到始发系统290。应当理解的是，始发系统290的功能可以被包含在本地计算机265自身上。然后，始发系统290经由一个或多个网络295向接收方系统发送消息。

应当注意的是，消息传递策略遵从代理能够与消息传递策略遵从服务器结合使用。使用这样的体系结构可以提供多级内容遵从检查。代理/服务器体系结构可以允许消息传递策略遵从代理记录在计算机上发生的用户活动和/或各种事件(例如违反策略)，并且周期性地将用户活动的更新提供给消息传递策略遵从服务器。代理/服务器体系结构还可以允许消息传递策略服务器将已更新的、一个或多个基于内容的策略周期性地传递到代理。还应当注意的是，在可实施的情况下，消息传递策略遵从代理260能够包含在本公开中描述的消息传递策略遵从系统的任何功能。因而，针对消息传递策略遵从系统所描述的任何功能都能够在依照本公开的消息传递策略遵从代理上使用。

该消息传递策略遵从代理还可以允许用户请求在本地或服务器级添加一个或多个基于内容的策略。如果所请求的一个或多个基于内容的策略与管理员的一个或多个基于内容的策略不相冲突，那么本地和/或服务器可以应用用户请求的基于内容的策略。此外，该消息传递策略遵从代理还可以允许用户借助通信客户端接口来请求对通信进行加密。在加密请求遵从处于代理和/或服务器级的一个或多个基于内容的策略的情况下，服务器或代理能够执行所请求的加密。

举例来说，如图4所示，消息内容分类程序310能够包括多种分类技术360、370、380。消息内容分类程序310能够使用的示例性消息内容分类技术或过滤器360、370、380包括：

上下文分析—一种通过执行文件的马尔可夫分析来识别文件分类所独有(unique to)的短语和字词的分类技术，这能够通过分析字词或短语就特定文件类型而言的稀有性以及通过以某一确定百分比将这样的字词或短语视为指示文件组来完成的。

指纹分析—一种在多个级别上(例如整个文件、段落、句子、或未组织的字母数字成分)识别两个电子文本间的重复性(copying)的技术，举例来说，这是以下来完成的：1)应用标准化(normalization)层来去除空白和其他噪声；以及2)利用辨别(winnowing)算法来为每个文件产生最小且最优数量的散列(hash)，通过添加含混因数(ambiguity factor)来识别具有数据的真正最小但是有效重复(significant duplication)的文件。

集群分析—一种将数据划分成共享公共特性的相关子集的分类技术，所述公共特性能够被定义为已定义距离度量(例如欧几里德距离)的函数，该距离度量将点标记为至少一个集群的一部分。

自适应词汇分析—一种能够对电子文本或数据执行的分类技术，该技术可以通过例如以下方式自适应地学习稀疏和非稀疏模式(pattern)的结构：1)使用所给出的分类介质分量作为成员(member)来实例化(instantiate)马尔可夫链；以及2)应用一系列权重(weight)来推导概率，所述一系列权重基于该链的复杂度并且是利用所学习的每个链的外观矢量来分解(factor)的。该过程考虑到对稀疏模式、准确短语、字词或二进制模式的学习和标识，其中所述稀疏模式、准确短语、字词或二进制模式具有基于其在连续构建的语料库(corpus)中的历史出现的一种排列的概率，由此使用原始介质作为连续自校准的过程。

应当理解的是，这些分析技术能够根据所期望的结果而被修改(有时是很明显的修改)，并且这些分析技术的所有实施方式都旨在包含在本公开之内。例如，集群分析过滤器380能够使用多种不同算法来识别集群，此类可用技术可以包括但不局限于，例如：尤其是k-均值聚类、质量阈值(QT)聚类、模糊c均值聚类以及谱聚类。

由此应当认识到，通过对经过消息传递策略遵从系统300的内容使用分类算法的组合，能够提供与内容相关联的分类390，并可以如判决块320所示确定消息的内容是否遵从内容策略。如果该内容遵从内容策略，则该消息将会经由网络330被转发到接收系统。如果该内容不遵从内容策略，则该内容能够被丢弃、隔离等，如块340所示。在该消息没有被转发到接收系统的情况下，消息传递策略遵从系统300能够通知发送方、始发系统350和/或管理员(未示出)。

举个例子，策略可以限制从人力资源员工传送的或是传送到公司外部人员的工程类型的信息。消息内容分类可以识别工程类型信息，举例来说，可以通过包含与工程文档、演示或绘图最常关联的方程式、字词或短语—和/或通过先前在本申请中列举的分类技术之一来完成。被识别为包含与工程文档、演示或绘图共同的特征的通信将通过检查消息首部来测试，以此确定发送方是否是人力资源职员，或者接收域是否与公司不相关联。

应当理解的是，通过使用该方法，管理员可以识别被怀疑泄露信息的个人。为了遵从公司策略，该个人可以被监视。此外，消息内容分类程序310能够检测用户发送文件子集的情形，或是个人通过总结或重述文档来避免检测的情形。

如图5所示，消息遵从系统400可以被配置成对管理员494指定的已有相关文件集合492进行检查，以便创建与相关文件集合492相关联的标识特征。该文件492可被提供给消息内容分类程序410。该消息内容分类程序410可以对相关文件集合使用技术460、470、480中的每一个，以便确定什么特征或特性标记了它们的关系。例如，合法文档通常可能包括拉丁短语，例如in re(关于)、ipso facto(根据事实本身)或prima facie(明显的)。消息内容分类程序410能够发现这种包含。

消息内容分类程序410能够为一类内容产生识别特征的集合。然后，相同的技术460、470、480被用于进入消息传递策略遵从系统400的通信。之后，该通信的特征可以与一类内容的识别特征相比较，以便确定该通信的内容属于哪一类(如果存在的话)，由此产生用于该通信的内容分类490。然后，如判决块420所示，消息传递策略遵从系统400将会应用任何与该内容分类相关联的策略，以确定该通信是将会经由网络430来递送，还是如块440所示被丢弃、隔离等。在该通信不满足策略的情况下，能够向始发系统450警告策略失败。消息传递内容遵从系统还可以向系统管理员和/或发送方通知策略失败。

应当认识到，内容策略能够以多种方式来创建。例如，如图6所示，消息传递策略遵从系统能够接受来自系统管理员594的基于内容的策略596。管理员594能够通过为消息内容分类程序510提供相关内容592以及通过提供被配置成由策略遵从判决块520解析的策略规则集合596来提供内容策略。

还应当认识到，消息传递策略遵从系统能够被设置成对授权访问相关文件集合的用户的访问控制权进行检查。在(被授权)查看和/或修改相关文件集合的用户还能够发送和/或接收诸如那些被允许访问的相似内容的情况下，这些访问控制权能够用来自动分析基于内容的策略。

此外，应当认识到，消息传递策略遵从系统能够被训练来识别基于内容的与系统用户相关联的反常行为。例如，消息传递策略遵从系统能够观察某个时段上经由系统发送的所有通信。然后，一旦检测到用户正在发送包含相对于该用户的历史行为模式而言异常的内容的通信，那么该消息传递策略遵从系统就能够被配置成丢弃/隔离该通信，和/或向系统管理员发出通知。在自适应方式中，消息传递策略遵从系统能够根据内容的历史使用情况来产生一个或多个基于内容的策略。

图7描绘了图示出用于消息传递策略遵从系统的操作方案600的流程图，由此系统管理员能够定义基于内容的策略。在步骤610，系统管理员创建内容分类。例如，分类可以包括工程内容、医疗记录内容、人力资源内容、法律内容、市场交易内容、会计内容、预测内容等等。

如步骤620所示，消息传递策略遵从系统然后可以接收与所创建的分类相关联的特征集合。应当注意的是，这些特征可以在内部产生或从其他系统接收。在步骤630，该操作方案允许管理员为包含匹配与所创建分类相关联的特征的内容的通信定义规则或策略，由此消息过滤系统可以被配置成拦截不遵从已定义的规则/策略的消息。

图8描绘了图示出用于消息传递策略遵从系统的操作方案700的流程图，由此系统管理员能够通过提供相关文件集合来为通信定义基于内容的策略。在步骤710，消息传递策略遵从系统接收来自管理员的新的分类。在步骤720，系统管理员提供了用于例证该新分类的相关文件集合。如步骤730所示，消息传递策略遵从系统产生与相关文件集合相关联的特征集合。在步骤740，消息传递策略遵从系统接收用于被识别为属于该新分类的通信的规则。

在图9中示出了用于消息传递策略遵从系统的操作方案800的另一个实例。在步骤810，管理员向消息传递策略遵从系统提供新分类。在步骤820，管理员提供与在步骤810提供的新分类相对应的相关文件集合。消息传递策略遵从系统然后产生用于区别相关文件集合与其他类型/分类的文件的特征集合，如步骤830所示。该消息传递策略遵从系统然后检查每一个相关文件的访问控制权，以便开发基于内容的策略，由此允许能够访问相关文件集合的用户发送与相关文件共用区别特征的内容。

消息传递策略遵从系统能够对消息进行过滤，例如图10的操作方案900所示。在步骤910，通信被接收到。在步骤910，通信内容与已有分类进行比较。这是通过例如使用一种或多种尝试使内容元素匹配与已有分类相关联的特征集合的技术来完成的。在判决块930，消息传递策略遵从系统确定是否完成了用于把通信内容识别为与已有分类相关的阈值匹配。

在消息传递策略遵从系统无法在内容与已有分类之间发现阈值匹配的情况下，该通信确定为不包含受保护的内容，如步骤940所示。不包含受保护内容的通信能够被转发到一个或多个接收方，如步骤950所示。

但是，如果消息传递策略遵从系统确定在通信的内容与已有分类之间存在着阈值匹配，则该通信被检查，以确定是否满足基于内容的策略，如判决块960所示。如果不满足基于内容的策略，则该通信被隔离、丢弃或以其他方式被系统拦截，如步骤970所示。在满足基于内容的策略的情况下，该通信将被转发到与一个或多个预定接收方相关联的一个或多个系统。

图11描绘了用于在将消息转发给接收方之前对通信进行解析的可替换操作方案980。在步骤982，通信被接收。在步骤984，该通信将被标准化。在不同的实例中，标准化能够包含将通信转换成公共协议。例如，在系统接收到VoIP分组的情况下，该通信可以被转换成另一种格式(例如基于文本的格式)以用于检查。应当理解的是，任何格式的通信都能够被转换成任何其他格式以供解析，此外，本发明并不局限于将所有不同的协议转换成任何特定协议，但是，公共比较协议的选择仅仅是依照特定解决方案的环境而做出的设计选择(例如，在主通信机制是VoIP的情况下，可以将公共比较协议选定为VoIP，以便减少用于协议转换的资源)。

在不同的实例中，标准化还能够包括将通信从多种语言转换成公共比较语言。例如，在使用德语进行通信的情况下，比较技术将不会检测其中已经用英语文档定义分类的分类匹配。因此，为了更完整地分析所有通信，通信能够被转换成公共比较语言。应当理解的是，本公开并不局限于特定的公共比较语言。此外还应当理解，公共比较语言甚至可以不是实际语言，而可以仅仅是由用户创建并具有有助于通信分类的特殊特征的语言。此外，例如在不同语言中使用的离散概念无法通过单个语言充分描述的情况下，不同实例中的公共比较语言可以包括若干不同语言的组合。

在步骤986，操作方案980产生与通信相关的元数据。这些元数据能够将文件提取成识别特征，并且减少那些对于将通信与任何分类相关联没有帮助的多余语言。例如，定冠词/不定冠词、代词以及其他各种其他语言学设备通常是与文件分类不相关的。在步骤988，与通信相关联的元数据与已有的元数据触发器进行比较，以确定与通信相关联的分类。在判决块990，消息传递策略遵从系统确定是否已经完成了把通信元数据识别为与已有分类元数据相关的阈值匹配。

在消息传递策略遵从系统无法在该内容与已有分类之间发现匹配的情况下，该通信被确定为不包含受保护内容，如步骤992所示。不包含受保护内容的通信能够转发给一个或多个接收方，如步骤994所示。

但是，在消息传递策略遵从系统确定在通信的内容与已有分类之间存在着阈值匹配的情况下，该通信被检查以确定是否满足基于内容的策略，如判决块996所示。在不满足基于内容的策略的情况下，该通信被隔离、丢弃，或者由系统采用其他方式来进行拦截或延迟，如步骤998所示。在满足基于内容的策略的情况下，该通信被转发到与一个或多个预定接收方相关联的一个或多个系统。

这里所公开的系统和方法仅仅以示例的方式给出，并不旨在限制本发明的范围。上述系统和方法的其他变体对本领域技术人员都是显而易见的，并且这些被认为是处于本发明的范围之内。例如，系统和方法能够被配置成处理多个不同类型的通信，诸如合法消息或不需要的(unwanted)通信或违反预选策略的通信。作为例证，通信可以包含系统所识别的某一种类型的内容，并且策略可以包含公司通信策略、消息传递策略、立法或管理策略或国际通信策略。

作为依照这里所公开的系统和方法使用的体系结构的实例，如图12所示，始发系统1000、接收系统1010以及消息传递策略遵从系统1020中的每一个可以经由一个或多个网络而被连接。始发系统1000能够经由消息传递策略遵从系统以及一个或多个网络1030来向接收系统1010发送通信。该消息传递策略遵从系统1030然后可操作来经由一个或多个网络将消息转发到接收系统1010。应当理解的是，一个或多个网络1030能够包括多个子集，所述子集包括但不局限于无线网、局域网、广域网、城域网、公司内部网以及其组合。

还应当注意的是，除了众多其他的已有网络通信协议之外，始发系统1000和/或接收系统1010能够包含电子邮件服务器和/或客户端、即时消息传递服务器/客户端、网际协议语音(VoIP)服务器和/或客户端、gopher服务器和/或客户端、文件传输协议(FTP)服务器和/或客户端、超文本传输协议(HTTP)服务器和/或客户端及其组合。

作为这里公开的系统和方法的广义范围和变体的另一个实例，所述系统和方法可以在不同类型的计算机体系结构上实施，例如像在不同类型的联网环境中。作为例证，图13描绘了一种服务器访问结构，在该体系结构内部可以使用所公开的系统和方法(如图8中的1100所示)。本实例中的体系结构包含公司的本地网络1190以及驻留在本地网络1190内部的多种计算机系统。这些系统能够包括诸如Web(网络)服务器和电子邮件服务器之类的应用服务器1120，运行诸如电子邮件阅读器和Web浏览器之类的本地客户端1130的用户工作站，以及诸如数据库和与网络连接的磁盘之类的数据存储设备1110。这些系统经由诸如以太网1150之类的本地通信网络来相互通信。在本地通信网络与因特网1160之间驻留了防火墙系统1140。与因特网1160相连的是外部服务器1170和外部客户端1180的主机。应当理解的是，本公开能够采用任意种网络，包括但不局限于内部网、无线网、广域网、局域网及其组合，以便促进组件之间的通信。

本地客户端1130能够经由本地通信网络来访问应用服务器1120和共享数据存储器1110。外部客户端1180能够经由因特网1160来访问外部应用服务器1170。在本地服务器1120或本地客户端1130要求访问外部服务器1170的情况下或者在外部客户端1180或外部服务器1170需要访问本地服务器1120的情况下，采用给定应用服务器的适当协议的电子通信流经防火墙系统1140的“始终开启”的端口。

这里公开的系统1100可以位于硬件设备或与诸如以太网1180之类的本地通信网络相连的一个或多个服务器上，并且其在逻辑上介于防火墙系统1140、本地服务器1120以及客户端1130之间。尝试通过防火墙系统1140进入或离开本地通信网络的、与应用相关的电子通信被路由到系统1100。

系统1100可以被用于处理多种不同类型的电子邮件及其各种协议，所述协议被用于电子邮件的传输、递送和处理，包括SMTP和POP3。这些协议分别涉及用于在服务器之间传递电子邮件消息的标准以及用于与电子邮件消息相关的服务器-客户端通信的标准。这些协议分别在IETF(因特网工程任务组)所公布的特定RFC(请求注解)中定义。SMTP协议在RFC 1221中定义，而POP3协议在RFC 1939中定义。

从这些标准开始以来，在电子邮件领域中已经演进出各种需求，从而引起包含增强或附加协议的进一步标准的发展。例如，针对SMTP标准的各种增强都得到演进，从而引起扩展SMTP的演进。扩展的实例可以从以下文档中了解：(1)RFC 1869，该文献通过定义可供服务器SMTP向客户端SMTP通知其所支持的服务扩展来定义用于扩展SMTP服务的框架；(2)RFC 1891，该文档定义了SMTP服务扩展，该扩展允许SMTP客户端指定(a)递送状态通知(DSN)应该在某些条件下产生，(b)这样的通知是否应该返回消息内容，以及(c)要与DSN一起返回的附加信息，该附加信息允许发送方识别DSN要发布至的一个或多个接收方，以及其中原始消息被发送的事务。

此外，IMAP协议已演进成为POP3的替换方案，它支持电子邮件服务器与客户端之间的更高级的交互。该协议是RFC 2060中描述。

其他通信机制也广泛应用在网络上。这些通信机制包括但不局限于IP语音(VoIP)以及即时消息传递。VoIP在IP电话中使用，以提供用于对使用网际协议(IP)的语音信息递送进行管理的工具的集合。即时消息传递是一种包含了连接到即时消息传递服务的客户端的通信，所述即时消息传递服务实时递送通信(例如会话)。

还应当指出的是，在此公开的系统和方法可以使用经由网络(例如局域网、广域网、因特网等等)、光纤介质、载波、无线网络等传送的数据信号来与一个或多个数据处理设备进行通信。所述数据信号能够承载在此公开并且从设备提供或向设备提供的任何或所有数据。

此外，在此所描述的方法和系统可以通过程序代码在众多不同类型的处理设备上实施，所述程序代码包括能被一个或多个处理器执行的程序指令。所述程序指令可以包括源代码、目标代码、机器代码或其他任何能够操作来使处理系统执行在此描述的方法的存储数据。

系统和方法的数据(例如关联、映射等等)可以采用一种或多种不同类型的计算机执行的方法来存储和实施，例如不同类型的存储设备和编程结构(例如数据存储、RAM、ROM、闪存存储器、平面文件、数据库、编程数据结构、编程变量、IF-THEN(或类似类型)语句结构等等)。应当注意的是，这些数据结构描述的是供在数据库、程序、存储器或其他可供计算机程序使用的计算机可读介质中组织和存储数据中使用的格式。

这些系统和方法可以在众多不同类型的计算机可读媒体上提供，所述计算机可读媒体包括计算机存储机制(例如CD-ROM、磁盘、RAM、闪存存储器、计算机硬盘驱动器等等)，所述计算机存储机制包含用于由处理器运行以执行方法操作和实现在此描述的系统的指令。

这里描述的计算机组件、软件模块、功能以及数据结构可以直接或间接地相互连接，以便允许其操作所需数据的流动。还应当注意的是，软件指令或模块能够例如实现为代码子例程单元、代码软件功能单元、对象(与在面向对象的程序中类似)、Java程序(applet)、或计算机脚本语言或其他类型的计算机代码或固件。根据即将发生的状况，这些软件组件和/或功能既可以位于单个设备之上，也可以分布于多个设备。

应当理解的是，对这里的描述以及后面整个权利要求书中使用的“一”、“一个”和“该”来说，除非在上下文中以别的方式清楚指示，否则其含义将包含复数引用。此外，对在这里的描述以及后续的整个权利要求书中使用的“在......中”来说，除非在上下文中以别的方式清楚指示，否则其含义将会包含“在......中”和“在......上”。最后，对在这里的描述以及后续的整个权利要求书中使用的“和”和“或”来说，除非在上下文中以别的方式清楚指示，否则其含义将同时包含联合和转折意义，短语“异或”可以用于指示只能应用转折意义的状况。

Claims

1.一种根据基于内容的策略遵从在一个或多个数据处理器上进行操作以便过滤通信的方法，包括：

定义与文件集合相关联的分类，所述分类将文件集合的内容概括地分类成与多个业务活动之一相关联；

接收与分类相关的已知识别特征集合；

其中所述已知识别特征集合已经根据文件集合而得到；

接收用于指定对被识别为与已知识别特征集合相关联的内容的处理的规则；

其中所述规则根据内容的分类以及接收方与发送方中的至少一个来指定是否将包含内容的通信转发给接收方。

2.如权利要求1所述的方法，其中所接收的与文件集合相关联的已知识别特征集合是通过检查用于触发在文件中所包含的特征的文件集合的内容而产生的。

3.如权利要求2所述的方法，其中对文件的检查包括指纹分析、集群分析、上下文分析和自适应词汇分析中的至少一个。

4.如权利要求1所述的方法，其中所述规则是根据与发送方或接收方中的至少一个相关联的访问控制权而产生的，其中所述访问控制权是根据与文件集合相关联的访问控制权而得到的。

5.如权利要求1所述的方法，其中所述规则是根据与发送方和接收方中的至少一个相关联的访问控制权、通信中所包含的内容、通信中所包含的内容的使用或其组合而产生的。

6.如权利要求5所述的方法，其中访问控制权被提供给用户组，其中发送方和接收方被包含在至少一个用户组中。

7.如权利要求1所述的方法，进一步包括以下步骤：

接收来自始发系统的通信；

提取与通信相关联的识别特征；

将通信的识别特征与已知识别特征集合相比较，以便识别与通信相关联的确定的分类；

应用与所述确定的分类相关联的规则，所述规则指定是否应该将通信转发给其预定接收方。

8.如权利要求7所述的方法，进一步包括步骤：根据规则的应用而转发通信。

9.如权利要求7所述的方法，进一步包括步骤：响应于通信不与任何已知识别特征相关联而转发所述通信。

10.如权利要求7所述的方法，进一步包括步骤：响应于与用户组相关联的学习通信模式，并且根据分布在用户组之间的内容类型，自动产生规则。

11.如权利要求7所述的方法，进一步包括：根据规则的应用来延迟通信的递送。

12.如权利要求11所述的方法，进一步包括：响应于通信的递送被延迟而向通信的始发方发出通知。

13.如权利要求12所述的方法，其中所述延迟是以下各项中的至少一项：将通信保存在隔离文件夹中、丢弃通信、临时拒绝通信、在从管理员接收到转发通信的许可之前存储通信、自动加密通信、通知管理员、通知接收方、或其组合。

14.如权利要求7所述的方法，进一步包括：在从通信中提取识别特征之前，将通信从多种不匹配的格式之一转换成比较格式。

15.如权利要求7所述的方法，进一步包括：在提取识别特征或产生已知的识别特征之前，将文件或通信转换成公共语言或格式。

16.如权利要求15所述的方法，其中转换步骤创建要在提取识别特征的过程中使用的元数据。

17.如权利要求7所述的方法，进一步包括以下步骤：

观察通信业务；

识别所观察的通信业务所表现的一个或多个模式；

根据所识别的一个或多个模式来产生规则。

18.如权利要求17所述的方法，其中落入一个或多个已识别的业务模式之外的通信将被施以下列操作：发送到隔离文件夹、丢弃、临时拒绝、在从管理员接收到转发通信的许可之前一直存储、自动加密、向接收方发出通知、向发送方发出通知、或是这些操作的组合。

19.如权利要求1所述的方法，其中已定义的分类是下列各项中的至少一项：管理文件、法律文件、技术文件、市场交易文件、金融文件、信息技术文件、所有权文件、策略文件、敏感文件或是政府机密文件。

20.如权利要求1所述的方法，其中系统管理员通过下列操作来指定规则：选择用于规则应用的文件分类，选择准许发送所选择的文件分类的用户类别，以及选择准许接收所选择的文件分类的用户类别。

21.如权利要求1所述的方法，其中选择用户类别的步骤包括：选择准许发送或接收所选择的文件分类的个人用户。

22.一种基于内容的策略遵从系统，被配置成根据内容以及与消息相关联的发送方或接收方中的至少一个来过滤消息，所述系统包括：

消息传递内容分类器，被配置成接收消息以及根据消息的内容和多个消息分类中的已知识别特征而将消息识别为与多个内容分类中的至少一个相关联；

消息传递过滤器，被配置成从消息传递内容分类器接收至少一个内容分类，并且根据至少一个内容分类以及消息的发送方或接收方中的至少一个来为消息应用规则；以及

转发逻辑，被配置成响应于消息传递过滤器的输出而传送消息。

23.如权利要求22所述的系统，其中消息传递内容分类器被进一步配置成接收与指定类别相关联的多个文件，并且从消息中提取任意识别特征以产生已知识别特征，以及将已知识别特征与多个内容分类中的指定类别相关联。

24.如权利要求23所述的系统，还包括：用户接口，被配置成从用户接收多个文件以及指定类别，并且将多个文件和指定类别提供给消息传递内容分类器。

25.如权利要求24所述的系统，其中用户接口还被配置成允许用户为消息传递过滤器指定规则。

26.如权利要求25所述的系统，其中所述规则指定哪些类别的个人被准许发送和接收与所述规则相关联的指定内容类别。

27.如权利要求26所述的系统，其中消息传递内容分类器被配置成使用下列识别技术中的一个或多个来识别多个文件之间的共同性，以及使用多个类别之一来对消息进行分类：指纹分析、集群分析、上下文分析以及自适应词汇分析。

28.如权利要求22所述的系统，其中转发逻辑可操作来将消息转发给接收方、隔离消息、丢弃消息或者在将消息转发给接收方之前对消息进行加密。

29.如权利要求22所述的系统，其中所述系统是消息传递客户端，并且其中所述消息传递客户端周期性地从消息传递服务器接收更新，所述更新包括更新的规则、更新的内容分类或更新的用于内容分类的识别特征中的至少一项。

30.如权利要求22所述的系统，其中所述消息包括：电子邮件通信、即时消息传递通信、HTTP通信、FTP通信、WAIS通信、telnet通信、Gopher通信或网际协议语音通信。

31.一种存储着指令的计算机可读存储媒体，其中所述指令在通过系统处理器而执行时使得系统处理器根据通信的内容以及通信的发送方和一个或多个接收方来对通过通信网络传送的通信进行过滤，所述媒体存储着使得系统处理器执行下列步骤的指令，包括：

从消息内容分类器接收与多个内容分类相关的已知识别特征集合；

其中用于多个内容分类的已知识别特征集合已经根据提供给消息内容分类器的文件集合而得到；

从系统管理员接收规则集合，所述规则指定对被识别成与已知识别特征集合相关联的内容的处理；

其中所述规则根据通信内容的分类以及发送方和接收方中的至少一个而定义是否将通信转发给接收方；

接收来自用户的通信，所述通信包含始发地址、接收地址或多个接收地址和内容；

分别根据与内容分类相关联的已知识别特征集合来确定通信的内容是否与多个内容分类中的任何一个基本匹配；

响应于与基本匹配的内容分类相关联的规则而转发通信，其中所述规则根据通信的内容分类以及所述通信的始发地址和接收地址而指定要对所述通信执行的措施。