智能学习

介绍检测条件中的智能学习及其相关知识。

检测条件介绍

智能学习检测条件是一种高级检测工具,它可通过智能学习获得的内容模板应用于内容检测,用于检测与智能学习结果相类似的文件。

智能学习通过正向学习受保护数据的样例,提炼相似信息形成策略规则元素,并在所有策略复用。智能学习支持导出和导入已有的智能学习任务。

安全鳄®数据安全解决方案支持安全管理员在统一内容安全管理平台UCSSWeb页面中执行智能学习操作,并将结果运用于安全策略检测。例如:

  • 将一批相似的文件交给数据防泄漏DLP系统学习,如一系列禁止外传的机密文件,系统学习以后会提炼出这些文件的共同点,如果有类似的文件外传则会命中策略。

  • 将一些容易与这些文件产生混淆的内容交给系统做反向学习,如一系列与机密文件相同格式但无需保护的常规公开文件,这样可以提高智能学习的精确度。

不同于文件指纹的是,提交智能学习的样例文件无需包含需要保护的机密内容的具体信息,而仅需与机密文件相似,或与机密文件服务于同一个主题。系统可以学习这些文件,并识别其中复杂的正则表达式和上下文关联,并基于此进行内容检测,而文件指纹检测条件则要求内容在很大程度上的完全匹配。因此,智能学习可用于检出新型的,零日病毒文件。

因为智能学习检测条件无需完全匹配,相比文件指纹检测条件,它往往可以检出更多的文件。

注: 智能学习检测条件仅可用于非结构数据。它不可用于数据库,以及SharePoint和IBM Domino中的非结构数据。

应用检测条件

在策略配置页面,点击添加匹配添加例外,选择智能学习,可将智能学习检测条件应用至策略。

以下匹配条件可供设置:

  • 必现 - 选择该规则是否为必现。即如需触发策略,该规则必须命中,然后再检测其它规则。

    例如:“员工信息”策略包含多个规则,中国手机号码、中国大陆二代身份证、普通证书和合同。其中,大陆身份证号(二代)和合同两项规则设置为必现,则必须匹配大陆身份证号(二代)和合同规则,方可触发安全策略。

  • 智能学习 - 点击 ,从弹出的列表中选择策略中引用的智能学习检测条件。
  • HTTP匹配属性 - 选择全部内容则匹配包括HTTP Body和HTTP Header的所有内容。 选择指定内容则可以指定匹配Body或者header。
  • Email匹配属性 - 可配置以下Email匹配属性。
    匹配 介绍
    全部内容 检测Email所有属性,包含信封(收件人地址)、首部(用户代理或者邮件服务器添加的信息,如Received、Message-ID、From、Data、Reply-To、X-Phone、X-Mailer、To和Subject)、正文(发送方发给接收方的内容,如body、attachment)。
    指定内容 指定Email检测属性,可选择正文、附件、主题、收件人、发件人、抄送接收方、密送接收方、所有邮件头或自定义邮件头。
  • 文档匹配位置 - 选择文档匹配的位置,包括文件名,页眉,正文,页脚和MetaInfo。
    注: 文档匹配位置检测仅适用于包含此类可用于文档匹配的位置属性的文件,如Word、Excel、PPT等Office类型文件。

    文件名包含邮件等包含附件的内容中,附件的文件名。

    Metainfo(默认不选中)选项用于匹配文件的Meta元数据内容。

  • 同时匹配 - 点击为同一规则设置多个其他的同时匹配例外的内容。也可以忽略同时匹配,仅使用单一的匹配例外条件。