用于生成应用控制规则的系统和方法
【专利摘要】本申请公开了用于配置针对可在计算机上执行的应用的控制规则的系统和方法。一个示例性方法包括:将计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组。该方法还包括:当所述应用被分类在所述未知类别组中时,配置控制规则,其中,配置所述控制规则是由硬件处理器通过进行以下操作来进行的:确定计算机的用户的计算机能力得分;将所述应用分类到一个或多个预定义的类别中;以及基于所确定的所述用户的计算机能力得分以及至少一个应用的一个或多个预定义的类别,定义针对所述应用的控制规则。
【专利说明】
用于生成应用控制规则的系统和方法
技术领域
[0001] 概括而言,本发明涉及计算机安全领域,更具体地说,涉及生成应用控制规则的系 统和方法。
【背景技术】
[0002] 可设想的能够在计算设备(包括个人计算机)上使用的应用(软件)的数目现今 如雪崩一般地增长。在众多应用之中,存在能够对计算机或计算机用户造成损害的许多恶 意程序,诸如因特网蠕虫、键盘记录器和/或计算机病毒。
[0003] 对于计算机网络的管理员而言,对一组计算设备进行保护的问题尤为迫切,其中 大量的应用可以被安装在网络中的每个计算机上,而其中一些应用可能是有害的。为了解 决该问题,一种常用的方法是使用应用控制系统,在该应用控制系统中,网络管理员通过使 用集中式控制模块和企业网络的计算机侧的客户端组的组合,而有权访问正在网络中的计 算机上执行的应用,其中该客户端组可以执行从集中式控制模块接收的命令。通过使用这 种系统,网络管理员能够创建用于允许/禁止应用在网络中的计算机上执行的规则,并且 控制这些应用对网络中的计算机的资源的访问。
[0004] 使用应用控制系统的一种常见方式是默认拒绝,其允许在计算机上仅使用一示例 组软件。这种组可以例如包含存在于可信应用的列表(即,白名单)上的软件。这种方法 可以通过限制计算机执行恶意软件来保护计算机。
[0005] 对于在其上仅能够安装和使用来自可信应用的列表中的软件的计算机而言,前述 方法的使用是合理的并且不会存在任何困难。然而,该方法具有缺点:在其上存在未出现于 可信应用的列表上但不是有害的软件的计算机上,该软件(可能是大量的软件)将被阻止。
[0006] 针对该问题的已知解决方案涉及修改应用控制规则。然而,这些方法未解决从计 算设备的安全的角度来形成应用控制规则的问题或者未充分高效地解决该问题。因此,在 计算机安全领域,存在对生成应用控制规则的更高效方法的需求。
【发明内容】
[0007] 本发明能够使得针对前述的应用控制的问题的有效解决方案可行。公开了用于配 置针对可在计算机上执行的应用的控制规则的示例性系统、方法以及计算机程序产品。
[0008] 在一个方面,公开了用于配置针对可在计算机上执行的应用的控制规则的示例性 方法,该方法包括:由硬件处理器将至少一个计算机应用分类到多个类别组中的至少一个 类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及当所述至少一个 应用被分类在所述未知类别组中时,配置至少一个控制规则;其中,配置所述至少一个控制 规则包括:由所述硬件处理器确定所述计算机的用户的计算机能力得分;将所述至少一个 应用分类到一个或多个预定义的类别中,以及基于所确定的所述用户的计算机能力得分以 及所述至少一个应用的所述一个或多个预定义的类别,定义针对所述至少一个应用的控制 规则。
[0009] 在另一方面,所述至少一个预定的类别组包括可信应用组和非可信应用组。
[0010] 在另一方面,所述示例方法中的所述分类包括使用下列各项中的一项或多项:与 由所述至少一个应用使用的所述计算机的函数有关的信息、所述至少一个应用的目的、以 及所述至少一个应用的临界性得分。
[0011] 在另一方面,确定所述用户的所述计算机能力得分至少基于用户信息和计算机信 息。
[0012] 在另一方面,所述用户信息包括下列各项中的一项或多项:所述用户的安全访问 水平、所述用户的社交网络简档信息、以及所述用户的个人信息。
[0013] 在另一方面,所述用户的所述社交网络简档信息和/或所述用户的所述个人信息 包括以下各项中的至少一项:工作职位、公司名称、以及所述用户的职业领域。
[0014] 在另一方面,所述计算机信息包括以下各项中的至少一项:计算机安全事件记录、 网络资源访问记录、以及所述至少一个应用的所述一个或多个预定义的类别。
[0015] 在另一方面,所述至少一个应用的所述临界性得分包括根据下列等式来计算所述 临界性得分:
[0016] (: = [,々,
[0017] 其中,C为所述临界性得分,&1是针对第i类别的加权,C i是第i类别的临界性得 分,并且h是第i类别的幂系数。
[0018] 在另一方面,公开了一种用于配置针对可在计算机上执行的应用的控制规则的系 统,该系统包括硬件处理器,其配置为:将至少一个计算机应用分类到多个类别组中的至少 一个类别组,所述多个类别组包括未知类别组和至少一个预定的类别组;以及当所述至少 一个应用被分类在所述未知类别组中时,通过以下操作来配置至少一个控制规则:确定所 述计算机的用户的计算机能力得分;将所述至少一个应用分类到一个或多个预定义的类别 中,以及基于所确定的所述用户的计算机能力得分以及所述至少一个应用的所述一个或多 个预定义的类别,定义针对所述至少一个应用的控制规则。
[0019] 上面示例性方面的简单概要是用来提供对本公开内容的基本理解。该概要并非所 有预期方面的广泛概述,并且其意图既不是要确定所有方面的关键或重要元素,也不是要 划定本公开内容的任何或所有方面的范围。其唯一目的是以简化的形式给出一个或多个方 面,作为下面本公开内容的更详细描述的前奏。为了实现上述目的,本公开内容的所述一个 或多个方面包括在权利要求中描述并示例性地指出的特征。
【附图说明】
[0020] 被合并入说明书并且构成说明书的一部分的附图示出了本公开内容的一个或多 个示例性方面,并且与【具体实施方式】一起用来解释本公开内容的原理和实现。
[0021] 图1示出了用于配置针对可在计算机上执行的应用的控制规则的示例系统的示 意图。
[0022] 图2示出了用于配置针对可在计算机上执行的应用的控制规则的流程图。
[0023] 图3示出了所公开的系统和方法能够在其上实现的通用计算机系统的示例。
【具体实施方式】
[0024] 本文在用于控制在计算机上执行的应用的系统、方法和计算机程序产品的背景 下,描述了若干示例性方面。本领域的普通技术人员应意识到的是,下面的描述仅是说明性 的,并非旨在以任何方式进行限定。其它方面将使本领域的技术人员很容易得出本公开内 容的益处的启示。现在将详细地参照如图所示出的示例性方面的实施。贯穿附图以及下面 的描述,将尽量使用相同的附图标记来指代相同或相似的项目。
[0025] 图1示出了用于配置针对可在计算机上执行的应用的控制规则的示例系统的示 意图。计算机系统1〇〇(将在图3中示出其额外的细节)可以是任意给定的计算设备,诸如 移动计算设备。根据该示例方面,各种软件可以在计算机系统1〇〇发挥功能(诸如安全模块 130),以保护计算机系统抵抗有害对象(即,能够对计算机或计算机用户造成损害的对象, 诸如因特网蠕虫、键盘记录器和/或计算机病毒,以及对这些对象的引用,例如URL)。如进 一步示出的,计算机系统100包括:应用控制模块120,其监测应用的运行和执行;操作系统 ("0S")140,其控制对例如由应用所使用的计算机100的资源(例如,处理器、随机访问存 储器、数据存储设备)的访问。在一个示例方面,安全模块130可以是杀毒软件。同样地, 一个或多个软件应用110可以在计算机100上运行,诸如用于进行以下操作的应用:与银行 一起运作/进行交易、在对等网络中进行运作、交换消息、管理文件流以及网页浏览(例如, 因特网浏览器)。
[0026] 如进一步示出的,计算机系统100可以包括应用执行记录115,其为指定用来保存 由应用110在其操作和/或安装的过程中创建的数据的一组资源。在一个方面,应用执行 记录115可以包括系统注册表(未示出),其保存由应用110使用的计算机系统100的软件 和硬件的各种设置。在另一方面,应用执行记录115可以包括易失性和非易失性存储设备 以及由应用110所使用的其一部分或分区。在一般情况下,应用执行记录115保存应用110 的设置、在执行期间发生的事件的记录(诸如,对于安全模块130而言,对包含关于检测有 害对象的信息的文件和记录进行检查的结果以及针对应用110而言,消息的交换(即,发送 和接收消息的历史))、以及可以在应用110的操作期间创建的文件。
[0027] 如前面提到的,应用控制模块120被设计成监测应用的运行和执行。在该示例方 面,应用控制模块120生成或定义并使用在各种状况下调整其行为的规则(即,对所述软件 (诸如该软件的动作)进行监测)。在一个示例方面,这种规则定义了应用控制模块120在 各种应用110以及来自不同组的应用的运行和执行期间的工作。根据一个示例方面,针对 各种应用110的组可以是:(i)可信软件、(ii)恶意软件、以及(iii)未分类(例如,未知) 软件。可信软件的组可以包括例如不对计算机系统100造成损害或其来源或作者已知为可 信的应用110。根据一个示例方面,如果例如依据X. 509标准通过可信的数字标签对应用 110进行了标记,则应用110可以被分类在可信软件的组中。在另一方面,可信软件组可以 包含关于其的信息(诸如校验和)被存储在可信应用的数据库中的应用,该数据库可以存 在于计算机系统100或远程服务器中。在另一方面,可信软件的组还可以包含从可信的源 (诸如具有可信数字证书的站点)下载的应用110。
[0028] 根据另一示例方面,恶意软件的组可以包括对计算机100造成损害的应用110。根 据一个示例方面,如果相应的信息从安全模块130到达应用控制模块120,例如,由安全模 块130作出的监测到恶意对象的结论,则应用110可以被分类在恶意软件的组中。在另一 示例方面,这种组可以包含关于其的信息(诸如校验和)被存储在恶意应用的数据库中的 应用,该数据库可以存在于计算机100或远程服务器中。
[0029] 根据一个示例方面,未分类(未知)软件的组可以包含未被包含在可信软件或恶 意软件的组中的应用110。在一个示例方面,由可信软件创建的未分类软件同样被认为是可 信的(例如,由可信的开发环境创建的可执行文件)。在一个示例方面,相应的信息(包括 进行创建的应用和被创建的应用之间的"父子"关系)可以保存在前述的可信应用的数据 库中,该数据库可以存在于计算机100或远程服务器中。
[0030] 在另一示例方面,借助于恶意软件而创建的未分类软件也被视为恶意的。
[0031] 在一个示例方面,一个应用创建另一个应用的事实是借助于安全模块130来查明 的。
[0032] 在一个示例方面,控制模块120使用应用控制规则来监测应用110 (或一个软件 组)的启动和执行。根据一个方面,该控制规则可以具有以下形式:(i)阻止恶意软件运行; (ii)允许仅可信软件运行(默认拒绝模式);以及(iii)允许不是来自恶意软件的组的软 件运行。
[0033] 在一个示例方面,该控制规则还可以定义应用110对以下各项的访问能力的类 另IJ :局域网的资源、远程资源、第三方进程的地址空间、服务和驱动程序的控制、操作系统的 注册表、操作系统的安全策略、操作系统的安全策略以及进程的调试。上述中的每个类别是 通过定义应用所使用的、由标准系统库(诸如寶应用编程接口( "API "),其可以 从正在被执行的文件的入口表中确定)提供的函数,以及上述函数的使用的条件(诸如其 参数)和对它们应用的规则集合来确定的。下面给出了允许将应用110分配到一个类别或 另一类别的规则的示例。表1中的列"临界性评估"的含义将在下面解释。
[0034] 表 1
[0035]
[0038] 在另一示例方面,关于控制规则,可以针对应用110额外定义下列目的类别: 用于与银行一起运作/进行交易(诸如用于在银行或远程银行服务对账户的远程控 制的客户端);用于在对等网络中工作(例如,用于凭借BitTorrent协议进行文件交 换的应用);用于消息交换;用于实现语音通信(VoIP-IP语音);用于与文档一起运作 (诸如Microsoft Word?.或Microsoft Visio?.);用于与电子邮箱一起运作(诸如 Microsoft Outlook? );用于软件开发(诸如Microsoft Visual Studio? );用于网页 浏览(诸如Microsoft Internet Exp丨orer? )。在一个示例方面,通过对来自资源段的信 息的分析,可以将应用110分配到一个类别或另一类别,其中该信息包含关于文件版本的 信息(FileVersionlnfo)。在另一示例方面,可以从文件记录中获取关于应用110的信息。 通过前述方法之一获得的应用110的名称(或名称的一部分)可以此后与目的类别中的一 个进行匹配。在一个示例方面,如果应用110被分类为可信软件,则可以使用如此获得的信 息来确定目的类别。下面针对根据应用110的名称来确定应用110的目的类别给出了一个 示例。表1中的列"临界性评估"的含义将在下面解释。
[0039] 表 2
[0042] 在另一示例方面,可以通过将应用110在其执行期间被提供访问的远程资源(诸 如更新服务器)的地址(诸如IP地址或URL-统一资源定位符)进行比较,来建立应用110 的目的类别。对目的类别的确定可以类似于上面描述的方法来进行,其中,在应用110的名 称和某特定类别之间对匹配进行分析,但考虑提供要访问的远程资源的地址。
[0043] 对于本领域的技术人员应当理解的是,任何给定的分类的应用110可以被分类在 上述类别中的一个以上的类别中。
[0044] 在一个示例方面,上面描述的通过目的类别进行的分类的方法还可以针对依次使 用以创建其它软件的软件来执行(上面描述了检测一个软件创建了另一个软件的方法)。 如果用于创建另外软件的软件被分类在一个或多个示例类别中,则无法根据示例方面使用 上面描述的"父/子"关系来改变所创建的软件的组(例如,前述的可信、恶意和未分类软 件的组)。在另一示例方面,这种类别针对于在对等网络中工作、消息交换、以及网页浏览。 因而,例如,由分类为可信软件的应用所创建的未分类软件无法被视为可信的。
[0045] 应当意识到的是,预防计算机系统100的用户执行恶意软件是重要的。因此,执行 对计算机系统100上存在的全部软件的分析。在一个示例方面,这种分析检测未知软件。 在一个示例方面,如果一个软件是未分类软件,也就是说,其既不是可信软件也不是恶意软 件,则将该软件确定为未知的。因此,为了检测未知软件,将计算机100上存在的每个应用 110确定为可信的、恶意的或未分类的软件。根据上面描述的方法来执行对应用是否属于这 些组的确定。在一个方面,如果在用户的计算机100上未存在未分类软件,则可以在默认拒 绝模式中使用应用控制模块(即,仅允许可信软件运行)。在另一方面,如果在用户的计算 机100上仅存在可信软件,则也可以在默认拒绝模式中使用应用控制模块。
[0046] 与之相比,如果计算机系统100上的应用110无法被分类(未分类的或未知软 件),则所公开的系统和方法可以根据示例方面为应用控制模块120形成针对这种应用的 控制规则。为了形成控制规则,可以针对先前未被认为是可信的或恶意的软件(即,针对未 分类/未知软件)来执行分类。在一个示例方面,执行对应用110的分类,以将未分类软件 分配到上面描述的访问选项的类别中的一个。在另一方面,可以执行对应用110的分类,以 将软件分配到上面描述的目的类别中的一个。
[0047] 在针对未知应用形成应用控制模块120的应用控制规则时,除了对前述应用的分 类的结果之外,所述系统和方法还考虑对计算设备的用户的评估的因素。在一个方面,为用 户评估分配该用户的计算机能力水平的数值评估(例如,在0和100或没有上界的数字之 间的数值)。在一个示例方面,所述系统和方法可以假定:与计算机能力水平较低的用户相 比,具有较高计算机能力水平的用户有较少的可能会受到恶意对象的损害。因此,用户的计 算机能力水平越高,被应用控制模块120针对未分类软件所允许的操作(例如包括调用特 定的应用功能(function)以及执行这种应用)则越多。计算机能力是关于计算设备的运 行、它们之间的关系的知识的总和,其中包括消除恶意对象的方法。将每个未知应用110的 分类的结果进行比较,对计算机100上存在的应用110的组的分类的整体评估,以及用户计 算机能力的数值评估使得所公开的系统和方法能够定义针对应用110的应用控制规则。
[0048] 在一个示例方面,对于前述的用户评估,系统收集表征计算机100上的软件(例如 包括操作系统140)的各种信息。在一个示例方面,这种信息可以包括来自安全模块130的 执行记录中的恶意对象的感染和检测的历史。在另一方面,这种信息可以包括计算机用户 的权限等级(例如,用户是否具有针对计算机100的管理员权限)。在另一方面,这种信息 可以是来自对软件110针对网络访问(特别是针对网页浏览)的执行记录的信息,诸如访 问页面的历史。在另一方面,该信息可以被确定为通过上面讨论的目的类别对应用110的 分类的结果。在另一方面,这种信息可以是社交网络(诸如FaceBook? )上用户的个人 页面的数据(例如,关于工作或职业的领域和职务的数据)。在所有前述信息的形成中,使 用规则来形成最终的用户评估。下面给出了基于前述信息来形成计算机100的用户的评估 的规则的一个示例。在一个示例方面,假定初始用户评估是固定的数值,例如0。
[0049] 表 3
[0052] 在一个示例方面,非可信资源是被安全模块130由于例如在下载的页面中存在 恶意代码而阻止访问的因特网资源。在另一方面,用于进行银行操作的资源是来自统一 资源定位符(URL)的其第一级域名可以至少是以下各项的资源:"tcsbank. ru"、"bm. ru"、 "sbrf.ru"。在另一方面,与信息技术有关的工作是其标题可以至少包含以下各项的组 织:"谷歌?( Google? )"、"卡巴斯基(Kaspersky) "、"微软?( Microsoft? )"、以及 "苹果@( Apple?
[0053] 应当理解的是,上面给出的规则仅是如何将收集到的信息转换成用户评估的示 例,其中包括如何使用所提到的信息源。因此,使用这种规则的目的是从用户的计算机能 力水平方面对用户进行评估,即,能力水平的评估越高,计算机100的用户在其使用计算机 100和应用110期间不会成为恶意对象的受害者的可能性越高。
[0054] 还应注意的是,在一个示例方面,通过表1、表2和表3例示的所有规则(包括这些 规则所使用的数值)可以由人来定义(制定)。在另一方面,这些规则可以是自动制定的。
[0055] 当针对未分类/未知软件定义应用控制模块120的应用控制规则时,考虑用户评 估和计算机1〇〇上存在的应用110的类别(访问和目的)之间的关系。为此,如果软件已 被认为是未分类的,则可以使用对该软件的临界性的评估,其中,软件的临界性可以示出使 用软件或其单个组件的危险程度。在一个示例方面,该评估是数值评估,诸如在〇和100或 没有上界的数字之间的数值。针对每个应用110的临界性评估是基于对应用110出现在其 中的类别的临界性评估的,并且可以通过对(在表1和表2中示出的)上述类别的临界性 评估的组合的方法来进行计算。在一个方面,应用110的临界性评估是应用110的类别的 临界性评估的幂级数:
[0056]
[0057] 其中,C为临界性评估,Q是第i类别的临界性评估,a渴针对第i类别的加权因 子(在一个示例方面,在〇到1的区间中),并且h是第i类别的指数(在一个示例方面, 大于〇. 5的数值)。
[0058] 在另一示例方面,应用110的临界性评估可以被定义为应用110的类别的临界性 评估之和除以所有已知类别的临界性评估之和再乘以校正因子(诸如1〇〇)。
[0059] 在一个示例方面,当针对未知软件制定应用控制模块120的控制规则时,可以将 应用的临界性评估和用户评估进行比较。例如,如果系数(诸如1. 5)与应用110的临界性 评估的乘积再提升一个幂(诸如1. 1)大于用户评估,则制定应用控制模块120拒绝未知应 用110的使用的规则。否则,可以制定允许应用110的使用的规则。
[0060] 在另一示例方面,应用的临界性评估不用于针对未知应用110来定义应用控制模 块120的控制规则,而只使用访问类别的临界性评估:控制规则不控制将示例应用110作 为整体来运行的可能性,但控制该应用使用来自每个特定访问类别的函数的可能性,如表 1(列2)中示出的。因此,在一个示例中,如果
[0061] 4 > aA,
[0062] 则制定应用控制模块120拒绝来自该第i访问类别的函数被应用110使用的规 贝1J,其中,A是用户评估,Q是第i访问类别的临界性评估,并且a 1是针对第i类别的系数 (例如,10)。否则,制定应用控制模块120允许应用110使用来自前述类别(第i类别)的 函数的规则。
[0063] 然后,将通过上面描述的方法针对未知软件为应用控制模块120制定的控制规则 提供给应用控制模块120。然后,根据先前制定的控制规则来使用应用控制模块120。
[0064] 应当意识到的是,例如,如果用于制定用户评估或应用110的临界性评估(以及应 用类别的临界性评估)的信息改变了,则可以改变控制规则。在一个方面,新的控制规则的 制定可以通过重复上面描述的方法的步骤以针对未知软件来制定应用控制模块120的控 制规则来进行。
[0065] 图2示出了根据一个方面,用于配置针对可在计算机上执行的应用的控制规则的 流程图。如图所示,在步骤201,对应用110进行分类,以便识别每个应用110的相应的组, 即,可信软件、恶意软件或未分类软件。在步骤202,对未知软件进行检测。在该步骤中,未 知软件被认为是来自未分类软件的组中的软件。如果没有发现这种应用,则在步骤203,根 据默认拒绝规则来使用应用控制模块120 (即,允许仅可信软件的运行)。相反地,如果发现 了未知应用,则在步骤204中,(通过访问以及通过目的)对这些应用进行分类。接下来, 在步骤205,针对此后在步骤206中使用的用户评估收集信息,以形成在计算机能力方面的 用户评估。该评估允许信任具有较高计算机能力水平的用户来运行未知应用(或其组件)。 接下来,在步骤207,根据所获得的用户评估以及未知应用的临界性评估,针对未知应用为 应用控制模块120定义/形成控制规则。最终,在步骤208,根据先前针对未知软件制定的 应用控制规则来使用应用控制模块120。如图2所示,该操作流程可以重复进行。
[0066] 图3示出了根据示例方面,可以在其上实现所公开的系统和方法的通用计算机系 统(其可以是个人计算机或服务器)的示例。计算机系统20包括中央处理单元21、系统 存储器22以及将各种系统组件(包括与中央处理单元21相关联的存储器)相连的系统总 线23。系统总线23是以现有技术所已知的、能够与任何其它总线架构进行交互的任何总 线结构实现的,其中依次包括总线存储器或总线存储控制器、外围设备总线以及本地总线。 系统存储器包括只读存储器(ROM) 24以及随机访问存储器(RAM) 25。基本输入/输出系统 (BIOS) 26包括确保信息在个人计算机20的元件之间的转移(诸如借助ROM 24加载操作系 统时)的基本过程。
[0067] 计算机20依次包括:用于读写数据的硬盘27、用于在可移动磁盘29上进行读写 的磁盘驱动器28、以及用于在可移动光盘31 (诸如⑶-R0M、DVD-R0M以及其它光信息介质) 上进行读写的光驱30。硬盘27、磁盘驱动器28以及光驱30分别通过硬盘接口 32、磁盘接 口 33和光驱接口 34连接到系统总线23。这些驱动器和相应的计算机信息介质是用于存储 计算机指令、数据结构、程序模块以及个人计算机20的其它数据的电源独立的模块。
[0068] 本公开内容提供了一种使用硬盘驱动器27、可移动磁盘29以及可移动光盘31的 系统的实现,但应当理解的是,可以采用能够存储以可被计算机读取的形式的数据的其它 类型的计算机信息介质56(固态硬盘、闪存卡、数字盘、随机访问存储器(RAM)等),其中上 述组件经由控制器55连接到系统总线23。
[0069] 计算机20具有文件系统36 (其中存储有所记录的操作系统35),并且还具有附加 的程序应用37、其它程序模块38和程序数据39。用户能够通过使用输入设备(键盘40、鼠 标42)向个人计算机20输入命令和信息。可以使用其它输入设备(未示出):麦克风、操 纵杆、游戏控制器、扫描仪等。这些输入设备通常通过串行端口 46插入到计算机系统20,进 而连接到系统总线,但其也可以以其它方式进行连接,例如,借助于并行端口、游戏端口或 通用串行总线(USB)。显示器47或其它类型的显示设备也通过接口(诸如视频适配器48) 连接到系统总线23。除了显示器47之外,个人计算机还可以装备有其它外围输出设备(未 示出),诸如扬声器、打印机等。
[0070] 个人计算机20能够使用到一个或多个远程计算机49的网络连接,在网络环境下 进行操作。远程计算机(或多个计算机)49也可以是具有在先前描述计算机20的属性时 所提到的大部分或所有元件的个人计算机或服务器,如图3所示。在计算机网络中还可以 存在其它设备,诸如路由器、网络站、对等设备或其它网络节点。
[0071] 网络连接可以形成局域计算机网络(LAN) 50 (诸如有线和/或无线网络)和广域 计算机网络(WAN)。这些网络被用于企业计算机网络以及公司内部网络,并且它们通常具有 到因特网的接入。在LAN或WAN网络中,个人计算机20通过网络适配器或网络接口 51连 接到局域网50。当使用网络时,个人计算机20可以使用调制解调器54或其它模块来提供 与广域计算机网络(诸如因特网)的通信。调制解调器54(其为内部或外部设备)通过串 行端口 46连接到系统总线23。应当注意的是,这些网络连接仅是示例性的,并不需要描绘 网络的实际配置,即,实际上存在通过技术通信模块(诸如蓝牙)来建立一个计算机到另一 个计算机的连接的其它方式。
[0072] 在各个方面,本文中描述的系统和方法可以在硬件、软件、固件或其任意组合中实 现。如果在软件中实现,则该方法可以作为一个或多个指令或代码存储在非暂时性计算机 可读介质上。计算机可读介质包括数据存储。通过举例而非限定的方式,这种计算机可读 介质可以包括RAM、ROM、EEPROM、CD-ROM、闪存或其它类型的电、磁或光存储介质,或能够用 于以指令或数据结构的形式携带或存储期望的程序代码并且能够被通用计算机的处理器 访问的任何其它介质。
[0073] 在各个方面,在本公开内容中在模块方面描述了系统和方法。如本文中使用的术 语"模块"指的是现实的设备、组件、或使用硬件实现的组件的排列,诸如通过专用集成电路 (ASIC)或现场可编程门阵列(FPGA);或者作为硬件和软件的组合,诸如通过微处理器系统 以及用于实现该模块的功能的指令集,其中该指令集(在被执行时)将该微处理器系统转 换成专用设备。模块还可以实现为以下二者的组合:单独由硬件协助的特定功能,以及由硬 件和软件的组合协助的其它功能。在某些实现中至少部分的以及在一些情况下所有的模块 能够在通用计算机的处理器上执行(诸如上面在图3中详细描述的)。因此,每个模块可以 以各种适当的配置实现,并且不应当限于本文中所举例说明的任何示例性实现。
[0074] 为了清楚起见,本文并未公开各个方面的所有常规特征。应当意识到的是,在本公 开内容的任何实际实现的开发中,必须做出若干特定于实现的决策以便达到开发者的具体 目标,并且对于不同的实现和不同的开发者,这些具体目标会不同。应当意识到的是,这种 开发工作会是复杂的和耗时的,但是对于具有了本公开内容的益处的本领域普通技术人员 而目,这将只不过是工程的例行工作任务。
[0075] 此外,应当理解的是,本文中使用的措辞或术语是出于描述而非限制的目的,因此 本说明书中的术语或措辞应被本领域技术人员根据本文中给出的教导和指导,结合相关领 域的技术知识来进行解释。此外,除非明确地指出,对于说明书或权利要求书中的任何术 语,并非旨在归于非常用的或特殊的释义。
[0076] 本文中公开的各个方面涵盖本文中以解释说明的方式提及的已知模块的目前以 及未来已知的等同物。此外,虽然已示出并描述了多个方面和应用,但具有本公开内容的益 处的本领域技术人员应当意识到的是,在不背离本文公开的发明构思的情况下,可能有比 上面所提及的更多的修改。
【主权项】
1. 一种用于配置针对可在计算机上执行的应用的控制规则的方法,所述方法包括: 由硬件处理器将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多 个类别组包括未知类别组和至少一个预定的类别组;W及 当所述至少一个应用被分类在所述未知类别组中时,配置至少一个控制规则; 其中,配置所述至少一个控制规则包括: 由所述硬件处理器确定所述计算机的用户的计算机能力得分; 将所述至少一个应用分类到一个或多个预定义的类别中,W及 基于所确定的所述用户的计算机能力得分W及所述至少一个应用的所述一个或多个 预定义的类别,定义针对所述至少一个应用的控制规则。2. 根据权利要求1所述的方法,其中,所述至少一个预定的类别组包括可信应用组和 非可信应用组。3. 根据权利要求1所述的方法,其中,对所述至少一个应用进行分类包括使用下列各 项中的一项或多项:与由所述至少一个应用使用的所述计算机的函数有关的信息、所述至 少一个应用的目的、W及所述至少一个应用的临界性得分。4. 根据权利要求1所述的方法,其中,确定所述用户的所述计算机能力得分至少基于 用户信息和计算机信息。5. 根据权利要求4所述的方法,其中,所述用户信息包括下列各项中的一项或多项:所 述用户的安全访问水平、所述用户的社交网络简档信息、W及所述用户的个人信息。6. 根据权利要求5所述的方法,其中,所述用户的所述社交网络简档信息或所述用户 的所述个人信息包括W下各项中的至少一项:工作职位、公司名称、W及所述用户的职业领 域。7. 根据权利要求4所述的方法,其中,所述计算机信息包括W下各项中的至少一项:计 算机安全事件记录、网络资源访问记录、W及所述至少一个应用的所述一个或多个预定义 的类别。8. 根据权利要求3所述的方法,其中,所述至少一个应用的所述临界性得分包括根据 下列等式来计算所述临界性得分:其中,C为所述临界性得分,ai是针对第i类别的加权,Ci是第i类别的临界性得分,并 且bi是第i类别的幕系数。9. 一种用于配置针对可在计算机上执行的应用的控制规则的系统,所述系统包括: 硬件处理器,其配置为: 将至少一个计算机应用分类到多个类别组中的至少一个类别组,所述多个类别组包括 未知类别组和至少一个预定的类别组;W及 当所述至少一个应用被分类在所述未知类别组中时,通过W下操作来配置至少一个控 制规则: 确定所述计算机的用户的计算机能力得分; 将所述至少一个应用分类到一个或多个预定义的类别中,W及 基于所确定的所述用户的计算机能力得分W及所述至少一个应用的所述一个或多个 预定义的类别,定义针对所述至少一个应用的控制规则。10. 根据权利要求9所述的系统,其中,所述至少一个预定的类别组包括可信应用组和 非可信应用组。11. 根据权利要求9所述的系统,其中,所述硬件处理器配置为通过使用下列各项中的 一项或多项来对所述至少一个应用进行分类:与由所述至少一个应用使用的所述计算机的 函数有关的信息、所述至少一个应用的目的、W及所述至少一个应用的临界性得分。12. 根据权利要求9所述的系统,其中,所述硬件处理器至少基于用户信息和计算机信 息来确定所述用户的所述计算机能力得分。13. 根据权利要求12所述的系统,其中,所述用户信息包括下列各项中的一项或多项: 所述用户的安全访问水平、所述用户的社交网络简档信息、W及所述用户的个人信息。14. 根据权利要求13所述的系统,其中,所述用户的所述社交网络简档信息或所述用 户的所述个人信息包括W下各项中的至少一项:工作职位、公司名称、W及所述用户的职业 领域。15. 根据权利要求12所述的系统,其中,所述计算机信息包括W下各项中的至少一项: 计算机安全事件记录、网络资源访问记录、W及所述至少一个应用的所述一个或多个预定 义的类别。16. 根据权利要求11所述的系统,其中,其中,所述至少一个应用的所述临界性得分包 括根据下列等式来计算所述临界性得分:具甲,C刃所还1化巧巧得分,曰1是针对第i类别的加权,C 1是第i类别的临界性得分,并 且bi是第i类别的幕系数。
【文档编号】G06F21/52GK105912927SQ201510524590
【公开日】2016年8月31日
【申请日】2015年8月24日
【发明人】安德烈·V·拉迪科夫
【申请人】卡巴斯基实验室股份制公司