用于在移动网络环境中提供有关特许资源使用的阈值级别的系统和方法
【专利摘要】一个实施例中的系统和方法包括用于执行下列各项操作的模块:检测移动设备中的应用程序对访问特许资源的请求,确定所述应用程序对所述特许资源的累积使用,以及,如果预定义的使用的阈值级别基于所述累积使用触发动作,则根据规则执行所述动作。更特定的实施例包括阻止所述请求,及向用户发送通知,以及更新规则数据库以修改与所述规则相关联的所述预先定义的使用的阈值级别。其他实施例包括:监测所述应用程序至所述特许资源的许可,以及,移除在预定义的时间段内未被使用的任何许可,将所述请求记录到利用数据库中的日志中,读取所述日志,核对所述日志中的信息,以及分析所述日志。
【专利说明】用于在移动网络环境中提供有关特许资源使用的阈值级别的系统和方法
【技术领域】
[0001]本发明一般涉及计算机网络和通信领域,更具体而言,涉及用于在移动网络环境中提供有关特许的资源使用的阈值级别(threshold level)的系统和方法。
[0002]背景
[0003]计算机网络安全领域在当今社会变得越来越重要并复杂化。为几乎每一企业或组织配置了计算机网络环境,通常带有多个互连的计算机(例如,最终用户计算机、膝上型计算机、服务器、打印设备等等)。在许多这样的企业中,信息技术(IT)管理员可以负责维护和控制网络环境,包括主机、服务器、及其他网络计算机上的可执行软件文件(例如,Web应用程序文件)。随着网络环境中的可执行软件文件的数量增多,有效率地控制、维护,以及补救这些文件的能力会变得更困难。
[0004]此外,黑客还通过移动设备瞄准计算机网络以及用户的敏感信息。黑客的针对移动渠道的欲望增强,且三分之一的智能电话用户现在从他们的移动设备来访问因特网。移动设备是增长最快的消费者技术,并且各种移动应用程序在移动渠道中流行。随着移动设备越来越普及,黑客的对这些设备的兴趣也增强。例如移动恶意软件也增多,因为攻击者瞄准移动电话。移动空间中的创新与安全的平衡面临着行业的吸引更多开发人员的愿望的挑战。提供对应用程序开发的开放的访问会驱动开发人员注意力,同时打开了技术滥用之门。移动平台之间的竞争是激烈的,给缩短内容批准周期以及简化启动之前的安全检查以增强开发人员推向市场的速度带来压力。移动用户集中,开放设备平台以及缩短的安全过程的趋势,由于移动设备中的漏洞,对计算机网络和用户的隐私产生了安全威胁。
[0005]附图简述
[0006]为提供对本发明以及其特征和优点的比较完整的理解,将参考与附图一起进行的下面的描述,其中,相同参考编号表示相同部件,其中:
[0007]图1是根据示例实施例的有关特许的资源使用的阈值级别的系统的组件的简化框图;
[0008]图2是可以与本发明的实施例相关联的示例操作步骤的简化流程图;
[0009]图3是示出了根据本发明的另一实施例的系统的组件的简化框图;以及
[0010]图4是可以与本发明的实施例相关联的示例操作步骤的简化流程图。
[0011]示例实施例的详细描述
[0012]概览
[0013]示例实施例中的系统和方法包括用于执行下列各项操作的模块:检测移动设备中的应用程序对访问特许资源的请求,确定所述应用程序对所述特许资源的累积使用,以及,如果预定义的使用的阈值级别基于所述累积使用触发动作,则根据规则执行所述动作。更多特定的实施例包括阻止所述请求,向用户发送通知,以及更新规则数据库以修改与所述规则相关联的所述预定义的使用的阈值级别。在示例实施例中,如果在预定义的时间量内发生了所述累积使用,则所述预定义的使用的阈值级别触发所述动作。在另一示例实施例中,如果所述累积使用超出所述预定义的使用的阈值级别,则所述预定义的使用的阈值级别触发所述动作。
[0014]其他实施例包括:将所述请求记录到利用数据库中的日志中,读取所述日志,核对所述日志中的信息,以及,分析所述日志。示例实施例包括:监测所述应用程序至所述特许资源的许可,以及,移除在预定义的时间段内未被使用的任何许可。如果应用程序在预定义的时间内没有使用许可,则可以通知用户。其他特定实施例包括,如果没有适用于所述请求的规则及其他特征,则向所述用户发送通知。
[0015]示例实施例
[0016]图1是示出了用于在移动网络环境中提供有关特权的资源使用的阈值级别的系统10的示例实现的简化框图。移动设备可以被配置有一个或多个应用程序12。应用程序包括在移动设备上运行(或能够在其上运行)并对于移动设备的用户执行特定任务的应用程序软件。应用程序12可以包括预先安装在移动设备上的本地应用程序,诸如地址簿、日历、计算器、游戏、地图和web浏览器。应用程序12还可以从诸如Google?安卓市场、Apple?应用商店、palm?软件商店和App Catalog、RIM? App世界等等之类的各种
移动应用程序软件分发平台下载。根据本发明的实施例,移动设备包括移动电话、智能移动电话、电子书阅读器、平板电脑、iPad、个人数字助理(PDA)、膝上型计算机或电子记事本、便携式导航系统、多媒体小器具(例如,相机、视频和/或音频播放器等等)、游戏系统,其他手持式电子设备,以及任何其他类似的设备,组件、元件,或能够启动语音、音频、视频、媒体,或数据交换的对象。
[0017]监测和阻止模块14可以被配置为截取来自应用程序12的访问一个或多个资源18的一个或多个请求16 (此处以单数作为资源18来指代资源中的任何一个)。如此处所使用的,术语“访问”包括打开、创建、读取、写入、修改、删除、执行或使用。如此处所使用的,术语“资源”包括移动设备内的任何物理或虚拟组件,诸如处理器、存储器、文件、数据结构、网络连接、相机、麦克风等等。术语“资源”还包括任何数据源,诸如文件、注册表数据、电子邮件、SMS、浏览器cookies、浏览器历史等等。如此处在本说明书中所使用的,数据是指任何类型的数字、语音、视频、图形,或脚本数据,或任何类型的源或目标代码,或以任何合适的格式存在的可以从电子设备和/或网络中的一个点传递到另一个点的任何其他合适的信息。例如,应用程序12可以向电子邮件程序发送打开电子邮件附件的请求16。在另一个示例中,应用程序12可以向一个端口发送通过无线网络发送数据的请求16。在再一个示例中,应用程序12可以向存储盘发送写入到存储在其中的文件的请求16。
[0018]资源18可以被要求特许(即,要求访问的许可)。各种特权的示例包括创建文件、读取或写入到文件、使用诸如相机之类的设备资源,读取或向用于网络通信的插槽写入等等的能力。特权可以是自动的(例如,应用程序12可以自动地被授予访问存储器34的许可),或授予的(例如,用户可以给予应用程序12访问移动设备中的联系人列表的许可)。监测和阻止模块14可以从规则/过滤器模块20向请求16应用规则。规则可包括基于发生的事件而有条件地执行的动作。规则的示例可以包括阻止包含大于预定义阈值大小(例如,10MB)的文件的传出电子邮件。规则还可以包括过滤器。例如,规则可以指定基于请求属性,诸如读取属性(例如,读取请求)或发送属性(例如,发送请求),来过滤请求的过滤器。在另一个示例中,规则可以被设置为过滤来自特定应用程序的所有请求。[0019]规则可以与一个或多个阈值级别22相关联(此处以单数作为阈值级别22来指代阈值级别中的任一个)。如此处所使用的,术语“阈值级别”构成会触发动作(例如,阻止发送请求,结束进程,记录等等)的限制。由阈值级别22触发的动作可以由规则/过滤器模块20中的规则来指定,并可以以任何合适的方式来实现(例如,系统10可以被配置成如果阈值级别被超出,满足,没有被超过,不满足等等而触发动作)。
[0020]阈值级别22可以基于与资源18相关联的任何可测属性或参数来实现,诸如文件大小、网络数据大小、中央处理单元(CPU)使用(例如,时间和/或量)、短消息服务(SMS)消息的数量、应用程序12中的许可的数量等等。根据本公开的实施例,系统10的组件可以对移动设备上的特许资源使用(例如,相机、网络等等)和特许信息访问(例如,读取浏览器历史、读取SMS等等)设置阈值级别22。某些阈值级别22可以与时间组件(例如,在一定数量的天数内,每天发送的至少50个SMS消息,在大于5分钟内,50% CPU使用,在一周之内授予的许可未被使用,等等)集成。如果这样的资源使用的阈值级别22指出可能需要干预,则系统10可以通知用户26关于特许资源使用的信息,以实现各种类型的可能的干预。
[0021]可以通过通知用户26提供可能的干预,来改变、更新,或创建规则。在一示例实施例中,规则可以指定可以将通知24发送到用户26。在一个示例中,如果没有适用于请求16的规则,则默认规则可以指定可以将通知24发送到用户26。在另一个示例中,规则/过滤器模块20可以针对就规则而言可能需要的任何更新向用户26发送通知24。用户26可以将更新28直接发送到监测和阻止模块14,和/或更新规则/过滤器模块20中的规则。如果请求16被规则/过滤器模块20允许,或被更新28允许,则请求16可以相应地被转发到资源18,供进一步处理。
[0022]规则/过滤器模块20可以包括规则数据库30。规则数据库30可以包括供规则/过滤器模块20用来处理请求16的规则。监测和阻止模块14和规则/过滤器模块20可以使用一个或多个处理器32和一个或多个存储器34来执行它们的预期功能。处理器32和存储器34可以是资源18的一部分。监测和阻止模块14还可以将请求16记录到利用数据库38中的一个或多个日志36中。
[0023]为了示出系统10的技术,理解可能存在于诸如如图1所示的系统之类的给定系统中的活动和安全关切是十分重要的。下面基础信息可以被视为可以适当地说明本发明的基础。这样的信息仅为解释起见提供的,相应地,不应该以任何方式理解为限制本发明的广泛的范围以及其潜在的应用。
[0024]一般而言,可下载的以及本地的应用程序可在移动设备上带来许多安全威胁。某些应用程序可能被专门设计为是恶意的,而某些其他应用程序可能被轻松地用于恶意目的。基于应用程序的威胁一般分为下列类别中的一个或多个:(I)恶意软件;(2)间谍软件;
(3)隐私威胁;以及(4)易受攻击应用程序。恶意软件是被设计为参与设备上的恶意和/或不希望有的行为的软件。例如,恶意软件通常会在用户不知情的情况下执行动作,诸如向用户的电话帐单收费,向用户的联系人列表发送未经同意的消息,或给予攻击者对设备的远程控制。恶意软件还可以被用来从移动设备中盗窃可能会导致身份盗窃或金融诈骗的个人信息。
[0025]间谍软件是被设计为在用户不知情或没有用户批准的情况下收集或使用数据的软件。例如,间谍软件可以自动地触发相机的电话或麦克风、记录谈话、记录位置,等等,并向远程接收方发送收集到的信息。隐私威胁可能由可能不一定是恶意的,但是收集或使用执行它们的主要功能不需要的信息(例如,位置、联系人列表、个人可标识信息)的应用程序所引起。易受攻击应用程序可包含可被用于恶意目的的软件漏洞。例如,漏洞可能常常允许攻击者访问敏感信息、执行不受欢迎的动作,停止服务使其不能正确地运转,自动地下载恶意软件,或以其他方式参与不希望发生的行为。
[0026]通常,黑客会使用移动设备中的漏洞来访问移动设备和诸如计算机网络之类的连接的网络中的设备上的信息,并秘密地将所访问的信息发送到远程位置。例如,诸如安卓操作系统(OS)之类的移动电话技术,提供丰富的应用程序设计框架,该框架允许应用程序开发人员获得对移动设备中的诸如SMS、电话日志、联系人列表、web浏览历史等等各种数据的访问——如果他们具有相关许可的话。还可以利用移动电话的资源。例如,恶意软件可能通过滥用用户的移动电话来发送垃圾邮件或未经请求的电子邮件。在另一个示例中,合法的应用程序可以请求并接收访问信息和资源的许可,并且对合法的应用程序的攻击可能会滥用那些许可。框架还允许应用程序通过请求许可,来访问诸如可用的网络、相机等等之类的资源。
[0027]—般而言,应用程序显式地请求用户给予访问信息和资源的许可(通常在安装过程中)。然而,技术悟性不强的用户可能不会理解这些许可如何被应用程序使用。即使用户技术悟性强,他/她可能不会理解在应用程序的使用寿命内许可如何以及何时被使用。此夕卜,某些应用程序还可能要求发布用于广告(位置/因特网访问)的许可来执行它们的主要功能;然而,在没有适当的控制的情况下,还可能将私有的或敏感信息发送到未经授权的接收者。可能难以区别合法的许可与非法的许可。应用程序可能不会在安装时立即表现得恶意;可能会在安装应用程序之后的许多天发出敏感信息(例如,带有金融信息、MEI号码、IMSI号码、电话号码等等的SMS),用户不会发现信息正在被泄漏。
[0028]基于应用程序的威胁通常依赖于操作系统,并可能对某些操作系统的影响会大于对其他操作系统的影响。例如,某些恶意软件和间谍软件针对在安卓OS上操作的设备。安卓OS试图通过要求用户验证某些许可,如SMS接收/发送因特网访问等等,来提供保护级另O。然而,此信息不足以让用户作出有关应用程序造成的威胁的确定性的判断。
[0029]当前可用于安卓OS的一个解决方案提供能够同时跟踪敏感数据的多个源的感染跟踪和分析系统。该解决方案通过利用安卓OS的虚拟化执行环境来提供实时分析。该解决方案修改安卓OS的应用程序验证平台以通过自动地标记来自隐私敏感的源的数据来跟踪隐私敏感信息的流向。当被标记的数据通过网络传输或以其他方式离开移动设备时,解决方案记录数据的标记,负责传输数据的应用程序,以及数据的目的地。然而,解决方案不会防止应用程序发送敏感数据。此外,用户还可能被干扰,因为每当发送数据时都通知他们。该解决方案也可能添加很大的开销。典型的移动设备不能容忍解决方案的所需的平台变化以及开销。
[0030]用于提供由图1概述的有关特许的资源使用的系统能够解决这些问题以及其他问题。本发明的实施例试图大大地改善现有的技术的能力,以允许更稳健的解决方案。图1的示例实施例示出了积极干预,其中在访问特许信息源的每一个请求中,或每一次使用特许资源时,都可以收集应用程序的对该特定资源或信息源的累积使用,并应用阈值级别。如此处所使用的,对资源的“累积使用”是对资源的使用的总和。累积使用可以是绝对的(例如,资源被使用的次数的总和),或者替代地,可以通过任何所需的参数,诸如时间(例如,预定义的时间段内的使用的总和),会话(例如,在分离的会话的数量内使用的总和)等等,计算出的。在需要时,可以通知用户应用程序已经到达对特定资源或信息源的使用的阈值级别。然后,用户可以选择要采取的相关动作。如果感觉到需要,用户可以通过修改规则来向系统提供反馈。如果规则指定应该阻止请求,则系统10的组件可能不允许请求16穿过。
[0031]在示例实施例中,系统10的组件可以设置阈值级别22,并且每当来自应用程序12的请求16超出阈值级别22时,都会通知用户26。在一示例实施例中,用户26可以为适用的规则设置阈值级别22。例如,规则/过滤器模块20可以向用户26呈现用于为传出电子邮件附件设置文件大小阈值级别的规则。在另一示例实施例中,阈值级别22可以根据由用户26设置的规则和/或过滤器,自动地设置。例如,用户26可以为能量节省而设置规则。规则可以自动地将电池使用的阈值级别22设置为50 %。
[0032]根据一实施例,由应用程序12作出的访问特许资源18的每一个请求16都可以被截取,并对其应用一个或多个规则,例如,包括阈值级别22。例如,当请求16指示已到达适用的阈值级别22(例如,有关对特定资源18的使用的)时,可以适当地通知用户26。用户26可以选择要对请求16采取的合适的动作。根据另一实施例,由应用程序12作出的访问特许资源18的每一个请求16可被输入到利用数据库38的日志36中。
[0033]在示例实施例中,可以监测由应用程序12所发送的网络数据,并在规则/过滤器模块20中设置阈值级别22。例如,可以将外出网络数据的阈值级别22设置为5kb每天,并且如果应用程序12超出5kb的网络数据,则可以通知用户26 (例如,通过通知24)。为了说明起见,假设恶意应用程序12使用移动设备来向联系人列表上列出的接收者发出垃圾广告电子邮件。恶意应用程序12可能发送对包括网络接口的资源18的请求16,请求通过网络发送垃圾邮件广告。监测和阻止模块14可以收集有关恶意应用程序12在一段时间内发送的网络数据量的信息,将收集到的信息与阈值级别22进行比较,如果超出了阈值级别22,则阻止请求16。在示例实施例中,规则/过滤器模块20可以通过应用程序12超出了阈值级别22的通知24,来通知用户26。用户26可以修改规则以提高应用程序12的阈值级别22,或拉黑应用程序12,以使得它将来不能使用网络,或者如果用户26判断应用程序12是恶意的,那么,可以从移动设备中卸载应用程序12。
[0034]在另一示例实施例中,对于处理器使用的阈值级别22可以设置为在5分钟时间段内5%,以使得如果应用程序12超出处理器使用的阈值级别22,则可以通知用户26(例如,通过通知24)。为了说明起见,假设用户26安装了使用50%的处理器32的应用程序12。监测和阻止模块14可以截取访问处理器32的请求16,将处理器使用与阈值级别22进行比较,并且如果超出了阈值级别22,则阻止请求16。在示例实施例中,规则/过滤器模块20可以通过应用程序12超出了阈值级别22的通知24,来通知用户26。可以阻止访问处理器32的进一步的请求16,等待用户干预。
[0035]在再一个示例实施例中,用户26可能无意地安装了来自市场的恶意软件应用程序12。例如,应用程序12可能冒充成合法的游戏。然而,应用程序12的主要功能可能是从移动设备向其他电话发送垃圾邮件短消息服务(SMS)。例如,应用程序12可每天从移动设备发出50个SMS。阈值级别22可以被设置为监测从移动设备发送的SMS的数量。进一步的阈值级别22可以计及发送到用户的地址簿中的联系人的SMS的数量,以及发送到用户的地址簿外面的人的SMS的数量。一旦将活动报告给用户26,用户26就可以禁止应用程序12(或任何其他应用程序)向除移动设备的地址簿中存在的那些以外的联系人发送SMS ;禁止应用程序12向用户的地址簿中的联系人发送SMS ;卸载应用程序12 ;和/或阻止应用程序12发送任何进一步的SMS。
[0036]在再一个示例实施例中,用户26可以安装请求访问各种特许资源的许多许可的应用程序12。然而,应用程序12可能很少(如果有的话)使用它请求的许可中的一些。可以将规则设置为如果应用程序12预定义的时间段(例如,至少一周)没有使用授予的许可,则向用户26发送通知24。监测和阻止模块14可以监测应用程序12在预定义的时间段内使用的许可。如果有许可在预定义的时间段没有被使用的话,则可以通知用户26。然后,用户26可以从应用程序12移除未使用的许可。这可以确保,如果在应用程序12中存在任何漏洞的话,那么,利用该漏洞不能获取对由许可保护的任何资源18的访问。
[0037]转向图2,图2是可以与本发明的实施例相关联的示例操作步骤的简化流程图。本公开的实施例可以利用移动设备的操作系统来干涉应用程序通信(例如,请求16),应用规贝U,并根据需要通知用户26。然后,用户26可以通过修改规则来向系统10提供反馈——如果需要的话。如果规则日音示应该阻止请求,则系统10的组件可能不允许请求16穿过。
[0038]操作50可以在52开始,此时系统10被激活。在54中,应用程序12发送访问资源18的请求16。在56,请求16被记录到利用数据库38中的日志36中。在58,可以从规则数据库30应用现有的规则集。如果规则允许访问,则监测和阻止模块14可以在60允许访问继续进行,并且操作可以在62停止。另一方面,如果规则不允许访问,则可以在64阻止访问,且操作在66停止。如果不存在规则,或规则指示应该通知用户26,那么,当通知用户26时,用户26可以在68指定要采取的动作。例如,用户26可以阻止或允许访问,或可以更新规则数据库30中的规则。操作可以在70停止。
[0039]转向图3,图3是示出了用于提供有关特许资源使用的阈值级别的系统10的另一种示例实现的简化框图。图3的示例实施例示出了消极干预,其中在访问特许信息源的每一个请求中,或每一次使用特许资源时,都可以进入数据库(由系统10维护的)。在特定时间段(例如,有规律的间隔),后台守护程序可以读取数据库,核对条目,并在要求时通知用户。用户可以提供关于规则和/或阈值级别的反馈——如果感觉到有需要这么做的话。
[0040]移动设备可以被配置有一个或多个应用程序12。监测和阻止模块14可以被配置以截取来自应用程序12的访问一个或多个资源18的一个或多个请求16。监测和阻止模块14可以将请求16记录到利用数据库38中的日志36中。守护程序80可以周期性地检查利用数据库38,核对其中的信息,分析它(例如,通过应用来自规则/过滤器模块20的规则),并利用通知24向用户26通知(如果需要的话)。用户26可以通过更新28来提供反馈。用户26可以将更新28直接发送到监测和阻止模块14,或更新规则/过滤器模块20中的规则。如果请求16被规则允许,或被更新28允许,则请求16可以被转发到资源18。
[0041]转向图4,图4是可以与本发明的实施例相关联的示例操作步骤的简化流程图。操作100可以在102开始,此时系统10被激活。在104中,应用程序12发送访问特许资源
18的请求16。在106,请求16被记录到利用数据库38中的日志36中。日志36可以包含一个或多个请求16 (例如,来自以前的访问尝试,或来自其他应用程序)。在108,守护程序80可以读取日志36。在110,守护程序80可以分析日志36。可以在112判断日志36 (例如,其中的任何信息)是否要求用户注意。如果要求用户注意,则在114,向用户26发送通知24。在116,用户26可以决定更新规则。如果用户26决定更新规则,则可以在118对规则数据库30作出更新28。在数据库30被更新之后,或如果用户26决定不更新规则,则在120,守护程序80可以睡眠一会儿。然后,守护程序进程可以回到108。
[0042]再次参考对应用程序12的处理,监测和阻止模块14可以在122对请求16应用来自规则数据库30的现有的规则集。现有的规则集可以包括原始规则集以及由用户26作出的任何更新。如果规则允许访问,则在124允许访问,操作在126停止。如果规则不允许访问,则在128阻止访问,操作在130停止。
[0043]虽然此处所描述的实施例引用了移动应用程序,但是,显而易见的是,可以使用系统10来评估和/或补救其他程序文件集合。如图所示的有关特许的资源使用的阈值级别的选项仅用于示例目的。可以理解,很多其他选项(本说明书中详述了至少其中一些)可以以任何组合提供,带有或排除各种图的选项。
[0044]用于提供有关特许资源使用的阈值级别的软件可以在各种位置提供(例如,在监测和阻止模块14内)。在一个示例实现中,此软件驻留在寻求被保护免于安全攻击(或保护免于对可写入存储器区域的非希望或未授权的操纵)的移动设备中。在比较详细的配置中,此软件具体地常驻在操作系统的可以包括(或以其他方式连接)图1所描绘的组件的安全层中。在其他实施例中,可以从web服务器接收或下载软件(例如,在为单独的设备、应用程序等等购买单个最终用户许可证的上下文中),以便提供此安全保护。
[0045]在其他示例中,此处所描述的功能可以涉及专有的元件(例如,作为防病毒解决方案的一部分),该元件可以在这些标识的元件中提供(或在附近),或在任何其他设备,月艮务器、网络电器、控制台、防火墙、交换机、信息技术(IT)设备等等中提供,或作为互补解决方案提供(例如,和防火墙一起),或在网络中的某处配置。如此处所描述的,移动设备可以包括任何合适的硬件、软件、组件、模块、接口,或促进其操作的对象。这可以包括允许有效安全保护的合适的算法和通信协议。另外,还可以以任何合适的方式合并此处所描述的功能。与类似的设计替代方案一起:可以以各种可能的配置组合各种图形的所示出的模块以及组件中的任何一个:所有的这些都在本说明书的广泛的的范围内。
[0046]这些元件中的任何一种都可包括用于存储用来实现此处概述的操作的信息的存储器。另外,移动设备还可以包括可以执行软件或算法以执行本说明书中所讨论的活动的处理器。移动设备还可以进一步将信息保留在任何合适的存储器(随机存取存储器(RAM)、ROM、EPROM、EEPROM、ASIC等等)、软件、硬件中,或保留在任何其他合适的组件、设备、元件,或对象中,只要合适并基于特定需要。可以基于特定需要和实现,在任何数据库、寄存器、表、缓存、队列、控制列表,或存储器结构中提供被跟踪、发送、接收、存储在系统10中的信息,所有的这些都可以以任何合适的时间帧引用。
[0047]此处所讨论的存储器项目中的任何一个都应该解释为包含在广义的术语“存储器”内。类似地,本说明书中所描述的潜在的处理元件、模块,以及机器应该解释为包含在广义的术语“处理器”内。移动设备、计算机、网络电器等等中的每一个也都可以包括用于接收、传输,和/或以别的方式在安全环境中传递数据或信息的合适的接口。
[0048]处理器可以执行与数据相关联的任何类型的指令以实现本说明书中详述的操作。在一个示例中,处理器(如图所示)可以将元件或项目(例如,数据)从一种状态或东西转换为另一种状态或东西。在另一个示例中,此处概述的活动可以利用固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,此处所标识的元件可以是某种类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦可编程只读存储器(EPROM)、电可擦可编程序只读存储器(EEPROM))或包括数字逻辑、软件、代码、电子指令,或其任何合适的组合的ASIC。
[0049]在某些示例实现中,此处概述的功能可以通过编码在一个或多个有形的,非瞬时的介质中的逻辑(例如,在专用集成电路(ASIC)中所提供的嵌入的逻辑、数字信号处理器(DSP)指令、要由处理器执行的软件(潜在地包括目标代码以及源代码),或其他类似的机器,等等)来实现。在这些实例中的某些中,存储器(如图所示)可以存储用于此处所描述的操作的数据。这包括存储器能够存储被执行以实现本说明书中所描述的活动的软件、逻辑、代码或处理器指令。
[0050]这些元件和/或模块可以彼此进行协作,以便执行此处所讨论的活动。在其他实施例中,这些特征可以在其他设备中所包括的这些元件外部提供,以实现这些计划的功能,或以任何合适的方式合并。例如,可以删除,或以其他方式合并与各种元件相关联的某些处理器,以便单一处理器和单一存储器位置负责某些活动。在一般意义上,图中所描绘的布局可以在其表示中更符合逻辑,而物理体系结构可以包括这些元件的各种置换、组合,和/或混合。在各种实施例中,这些元件中的某些或全部包括可以协调、管理,或以其他方式协作以便实现此处概述的操作的软件(或交替软件)。
[0051]在某些示例实现中,此处概述的活动可以以软件来实现。在各种实施例中,此处所描述的系统的软件可以涉及专有的元件,该元件可以在这些标识的元件中提供(或在附近),或在任何其他设备,服务器、网络电器、控制台、防火墙、交换机、信息技术(IT)设备、分布式服务器等等中提供,或作为互补解决方案提供,或在网络中以其他方式配置。
[0052]请注意,对于此处所提供的很多示例,可以以两个、三个、四个,或更多网络元件以及模块来描述交互。然而,这只是为了清楚起见,并且只作为示例。应该理解,可以以任何合适的方式来合并系统。与类似的设计替代方案一起,可以以各种可能的配置组合图1的所示出的组件、模块,以及元件中的任何一个,所有的这些都在本说明书的宽的范围内。在某些情况下,可以通过只引用数量有限的元件或组件,更容易地描述给定流程集的功能中的一个或多个。应该理解,图1的系统(以及其原理)是可轻松地扩展的,并可以接纳大量的组件,以及更复杂的布局和配置。相应地,所提供的示例不应该限制范围或抑制系统10的广泛的原理,因为潜在地应用于无数其他体系结构。
[0053]还应该指出,参考前面的图形所描述的操作仅示出了可以由系统执行的某些可能的情况。这些操作中的某些可以在合适的情况下删除,或者可以在不偏离所讨论的概念的范围的情况下,显著地修改或改变这些步骤。另外,还可以显著地改变这些操作的时间,仍实现在本发明中讲述的结果。前面的操作流程是作为示例和讨论而提供的。由系统提供相当大的灵活性,因为在不偏离所讨论的概念的原理的情况下,可以提供任何合适的布局、时序、配置,以及定时机制。
【权利要求】
1.一种方法,包括: 检测移动设备中的应用程序对访问特许资源的请求; 确定所述应用程序对所述特许资源的累积使用;以及 如果预定义的使用的阈值级别基于所述累积使用触发动作,则根据规则执行所述动作。
2.如权利要求1所述的方法,其特征在于,所述动作包括: 阻止所述请求;以及 将通知发送到用户。
3.如权利要求1所述的方法,其特征在于,所述动作包括更新规则数据库以修改与所述规则相关联的所述预定义的使用的阈值级别。
4.如权利要求1所述的方法,其特征在于,如果在预定义的时间量内发生了所述累积使用,则所述预定义的使用的阈值级别触发所述动作。
5.如权利要求1所述的方法,其特征在于,如果所述累积使用超出所述预定义的使用的阈值级别,则所述预定义的使用的阈值级别触发所述动作。
6.如权利要求1所述的方法,其特征在于,还包括: 监测所述应用程序至所述特许资源的许可;以及 移除在预定义的时间段内`未被使用的任何许可。
7.如权利要求6所述的方法,其特征在于,还包括如果所述应用程序在所述预定义的时间段内尚未使用许可,则向用户发送通知。
8.如权利要求1所述的方法,其特征在于,还包括: 如果没有适用于所述请求的规则,则向所述用户发送通知。
9.如权利要求1所述的方法,其特征在于,还包括: 将所述请求记录到利用数据库中的日志中。
10.如权利要求9所述的方法,其特征在于,还包括: 读取所述日志; 核对所述日志中的信息;以及 分析所述日志。
11.一种设备,包括: 被配置成存储数据的存储器;以及 可操作用以执行与所述数据相关联的指令的处理器; 监测并阻止模块;以及 规则模块,以便所述设备被配置成: 检测移动设备中的应用程序对访问特许资源的请求; 确定所述应用程序对所述特许的资源的累积使用;以及 如果预定义的使用的阈值级别基于所述累积使用触发动作,则根据规则执行所述动作。
12.如权利要求11所述的设备,其特征在于,所述动作包括: 阻止所述请求;以及 将通知发送到用户。
13.如权利要求11所述的设备,其特征在于,所述动作包括更新规则数据库以修改与所述规则相关联的所述预定义的使用的阈值级别。
14.如权利要求11所述的设备,进一步被配置成: 监测所述应用程序至所述特许资源的许可;以及 移除在预定义的时间段内未被使用的任何许可。
15.如权利要求11所述的设备,其特征在于,所述设备还包括用于将所述请求记录到日志中的利用数据库,其中所述设备进一步被配置成: 读取所述日志; 核对所述日志中的信息;以及 分析所述日志。
16.编码在非瞬态介质中的逻辑,所述逻辑包括用于执行的代码,并且所述代码当由处理器执行时可操作用以执行包括下列各项的操作: 检测移动设备中的应用程序对访问特许资源的请求; 确定所述应用程序对所述特许的资源的累积使用;以及 如果预定义的使用的阈值级别基于所述累积使用触发动作,则根据规则执行所述动作。
17.如权利要求16所述的逻辑,其特征在于,所述动作包括: 阻止所述请求;以及 将通知发送到用户。
18.如权利要求16所述的逻辑,其特征在于,所述动作包括更新规则数据库以修改与所述规则相关联的所述预定义的使用的阈值级别。
19.如权利要求16所述的逻辑,所述操作还包括: 监测所述应用程序至所述特许资源的许可;以及 移除在预定义的时间段内未被使用的任何许可。
20.如权利要求16所述的逻辑,其特征在于,所述操作还包括: 将所述请求记录到利用数据库中的日志中; 读取所述日志; 核对所述日志中的信息;以及 分析所述日志。
【文档编号】G06F21/60GK103874986SQ201280050220
【公开日】2014年6月18日 申请日期:2012年9月15日 优先权日:2011年10月12日
【发明者】R·巴塔查杰, B·辛格 申请人:迈克菲股份有限公司