用于移动应用声誉的众包的系统和方法

用于移动应用声誉的众包的系统和方法
【专利摘要】一实施例中的系统和方法包括多个模块，多个模块用于：获得移动应用的属性集合；将属性中的一个或多个与和其他移动应用相关联的众包数据相比较以确定一个或多个可信度指示符；以及基于一个或多个可信度指示符计算声誉评分。更具体的实施例包括含有清单和应用行为的属性集合。其他实施例包括基于声誉评分确定适当的动作，诸如改变移动应用的配置、从移动设备删除移动应用、在移动设备的显示上生成安全警报、等等。
【专利说明】用于移动应用声誉的众包的系统和方法

【技术领域】
[0001] 本公开案一般涉及计算机网络领域，更为具体地涉及用于移动应用声誉 (reputation)的众包（crowdsourcing)的系统和方法。
[0002] 背景
[0003] 计算机网络安全领域在当今社会已经变得越来越重要和复杂。计算机网络环境被 配置用于实质上每一企业或组织，这些企业或组织一般具有多个互连的计算机（例如，终 端用户计算机、膝上型电脑、服务器、打印设备等）。在许多这样的企业中，信息技术（IT)管 理员可具有维护和控制网络环境的任务，网络环境包括主机、服务器及其他网络计算机上 的可执行软件文件（例如，web应用文件）。随着网络环境中可执行软件文件的数量增加， 有效地控制、维护和纠正这些文件的能力会变得更为困难。而且，当今的计算机和通信网络 包含诸如智能电话、平板电脑等移动设备，移动设备使用户能快速地且以最小疏忽下载应 用并将应用安装在这些设备上。然而，如果具有未知或不被信任的来源的应用对移动资源 和应用编程接口的不受限访问未由适当的安全基础结构和网络预防措施来管理，则该不受 限访问会造成对用户、设备和网络的损害。因此，需要创新的工具来辅助IT管理员有效地 控制和管理计算机和通信网络环境内的移动设备上的应用。
[0004] 附图简述
[0005]为了提供对本公开案及其特征和优点的更完整理解，结合附图参考以下描述，附 图中，相同的附图标记代表相同的部件，附图中：
[0006] 图1是说明根据一示例实施例用于众包移动应用声誉的系统的组件的简化框图；
[0007]图2是说明根据一示例实施例用于众包移动应用声誉的系统的其他细节的简化 框图；
[0008] 图3是说明根据另一示例实施例用于众包移动应用声誉的系统的简化框图；
[0009] 图4是说明可与本公开案一实施例相关联的示例操作步骤的简化流程图；
[0010] 图5是说明可与本公开案多个实施例相关联的示例操作步骤的简化流程图；以及
[0011] 图6是示出根据该说明书的多个应用相对于应用得分的示例场景的柱状图。
[0012] 示例实施例的详细描述
[0013] 概览
[0014] 示例实施例中的系统和方法包括用于以下操作的多个模块：获得移动应用的属性 集合；将属性中的一个或多个与和其他移动应用相关联的众包数据相比较以确定一个或多 个可信度指示符；以及基于一个或多个可信度指示符来计算声誉得分。更具体的实施例包 括含有清单（manifest)和应用行为在内的属性的集合。其他实施例包括：基于声誉得分来 确定适当的动作，诸如改变移动应用的配置；从移动设备删除移动应用；在移动设备的显 示上生成安全警报、等等。
[0015] 示例实施例
[0016] 图1是说明系统10的示例实现的简化框图，系统10用于移动应用声誉的众包。示 例性环境不出网络12将一个或多个移动设备14a、14b和14c与云16相连。在一不例实施 例中，移动设备14a_c可以通过服务器17与云16通信。移动设备（例如14a_c)包括移动 电话、智能移动电话（智能电话）、电子书阅读器、平板电脑、iPad、个人数字助理（PDA)、膝 上型或电子笔记本、便携式导航系统、多媒体配件（例如，相机、视频和/或音频播放器等）、 游戏系统、其他手持电子设备以及任何其他能够在系统10内发起声音、音频、视频、媒体或 数据交换的设备、组件、元素或对象。
[0017] 移动设备Ha-C可以访问来自位于云16内的一个或多个应用存储18的移动应 用。如此处所使用的，"移动设备"包含运行于（或能够运行于）移动设备上并且为移动设 备的用户执行具体任务的应用软件。移动应用可以包括预先安装于移动设备上的本机应 用，诸如地址簿、日历、计算器、游戏、地图和Web浏览器。移动应用还可以从各个应用存储 18下载。应用存储18包含移动应用软件发布平台，诸如Google?安卓市场、Apple?的App商店、Palm?的应用商店（AppStore)以及AppCatalog(App目录）、RIM?应用世界（App 世界）等等。
[0018] 云16可以包括用于收集和评估移动应用声誉的声誉引擎20,移动应用声誉在此 也称为"声誉评分"（这两个术语可以在说明书中互换使用）。声誉评分是表示在从良好 (例如，声誉好的）到恶意（例如，无声誉的）的范围上移动应用的相对可信度水平的值。 声誉评分可以指示移动应用是恶意软件的概率。例如，具有成为恶意的高概率的移动应用 可能具有低声誉评分。在一示例场景中，在没有授权的情况下自动打开移动设备上的相机 和麦克风（或其他记录设备）的移动应用可以被认为是恶意的。另一方面，仅仅访问移动 设备的处理器和存储器以进行纸牌游戏的移动应用可以被视为是良好的。
[0019] 每一移动设备14a、14b和14c可预设有一个或多个移动应用（例如，一个或多个 相应的应用22a、22b和22c)和相应的代理24a、24b和24c。代理24a-c可以监视相应的移 动设备14a_c上的任何一个或多个移动应用（例如22a_c)的行为和活动。代理24a_c也 可以访问相应的移动设备14a_c上存储的策略以确定移动应用22a_c是否违反任何策略。 代理24a_c也可以管理移动应用22a_c的行为，例如通过基于相应的声誉评分来防止一个 或多个应用的执行来进行管理。
[0020] 声誉引擎20可以从多个源（例如，移动设备14a-C、应用商店18等）收集和聚集 基本所有移动应用的应用指纹的详细目录。如此处使用的，"应用指纹"包含应用属性（例 如，自移动应用的清单获得的属性）和/或唯一标识应用的应用行为（例如，应用请求或动 作、网络活动等）的集合。
[0021] 如此处使用的，应用清单包括含有与移动应用有关的细节的一个或多个文件，所 述细节诸如唯一应用标识符（ID)标签（例如iPhone?AppID号、安卓市场ID号或其他 能唯一标识移动应用的特性系列）；应用证书；应用名称；诸如相机激活、网络连接、电话激 活、定位等应用性能；与应用被下载/安装的应用商店有关的信息（例如，URL/IP及其他 标识信息）；可由移动应用使用的端口和协议；应用寿命；移动应用的地理始发地；移动应 用在移动设备上的第一次和/或最近一次出现的日子和/或时间；与移动应用相关联的文 件和文件散列；来自应用的可执行和配置文件的其他静态分析信息（例如，文件尺寸、来自 与应用相关联的二进制文件的唯一或区别的人类可读字符串、感兴趣的文件标题信息、等 等）；移动设备当前所位于的国家/地区；以及移动应用的后续出现的地理位置。这里提供 的示例仅为说明目的，而不旨在成为限制。与移动应用、应用商店和应用签署者有关的各种 其他细节可以被包括在本公开案的宽泛范围内的清单中。
[0022] 应用的行为可以包括网络活动；攻击历史；移动应用实际使用的端口和协议；与 其他已知网际协议（IP)地址的关联；对资源的应用请求；以及应用动作。将会理解，这里提 出这些细节类型是为了示例目的，而不旨在以任何方式加以限制。
[0023] 根据图1所示的实施例，服务器17可预设有应用指纹（fingerprint)数据库25a和 策略数据库25b。在一示例实施例中，服务器17可以是企业服务器。在另一实施例中，服务 器17可以是一个或多个中间服务器。图1示出移动设备14a-c通过服务器17与云16通 信，这仅仅是代表性的。一个或多个服务器可用于一组相关联的移动设备（例如，企业的移 动设备、具有公共局部通信载波的移动设备、等等）；多个企业或多组相关联的移动设备可 以通过它们自身的一个或多个服务器连接至云。声誉引擎20可以访问应用指纹数据库25a 以确定移动应用的声誉评分。声誉引擎20可以访问策略数据库25b以标识可以基于移动 应用的声誉评分对于该移动应用采取的适当动作。
[0024] 在一示例实施例中，详细目录可以通过企业网络（例如，McAfee?EMM)的企业移 动管理器（EMM)来收集。例如，EMM可以提供安装在每个移动设备上的软件应用来收集移 动设备的详细目录，并将其推入集中式的或分布式的贮藏室。在另一示例实施例中，详细目 录可以直接从移动设备及其他适当的源收集。源可以包括移动设备、应用商店、服务器、网 站等等。云16中的声誉引擎20可以对与移动应用及其能力的增殖（proliferation)有关 的情报进行众包（例如，从未定义的多个源而不是指定的/已标识的源获得），并且基于详 细目录中的应用指纹数据得到移动应用的声誉评分。随着越多的信息被收集到详细目录中 (例如，从更多移动设备），详细目录中的应用指纹数据可以更为准确，导致所计算的声誉 评分的较高置信度。在一示例实施例中，移动设备（例如，14a-c)上每一个安装的应用可以 在云16中由声誉引擎20来查询，并且可能通过手动研究分析来增加，声誉引擎20可以返 回基于应用的增殖、其性能和寿命计算的相应的移动应用声誉。
[0025] 根据本公开案的多个实施例，和其他方法（例如，爬行应用（crawling application)商店、单独地分析个别恶意样本）相比，众包（例如，自多个移动设备）可以 使数据收集更有效率和有效果。例如，在一些实施例中，数据可以直接从用户设备收集，而 不是从其他源（例如，应用商店）。在应用商店不允许在不购买的情况下获取应用副本的情 况下，或者在许多应用商店在市场中快速出现又消失的情况下，众包（例如，从移动设备） 可以对已经从这种应用商店下载和/或安装的应用进行有效的数据收集。
[0026] 来自移动设备的众包数据可用于计算移动应用的声誉评分。在示例实施例中，众 包数据可用于分析移动应用的各种属性以确定可信度指示符，并且声誉评分可以基于可信 度指示符来计算。可信度指示符可以包括应用的流行性、从中下载应用的应用商店的声誉、 签署该应用的厂商（即，签署者）的声誉、应用的性能（例如，被分析的应用及其他类似应 用的性能）的预定义组合、应用的流行因子、应用的始发地、等等。众包数据可以包括其他 移动应用的属性，所示其他移动应用可以与被分析的移动应用相同，或者可以与可能指示 恶意组件的一些重要差异相类似。因此，众包也可帮助标识已经被重新包装以包括恶意软 件的移动应用。
[0027] 在合法应用被重新包装（例如，在后续版本中）带有恶意软件的情况下，众包可确 定特定应用已经重新包装有恶意软件，并相应地确定重新包装的应用的适当的声誉评分。 重新包装的应用可以与合法应用具有类似的量度，而同时显示出其他关键差异（例如，不 同的性能）。例如，重新包装的应用可以具有较低流行性，导致较低声誉评分；应用清单中 的至少一些数据与众包数据之间的比较可以指示危险信号（redflag)(例如，与另一应用 具有相同名称但不同性能的应用可以唤起危险信号）。而且，众包可以表示应用的商店和签 署者具有低声誉，且应用的声誉评分会相应地降低。
[0028] 在示例实施例中，应用评分可以基于移动应用的多个可信度指示符（或单独或组 合）来计算。例如，声誉评分可以基于应用的流行性来计算。较广泛使用的应用以及已经 使用了较长时间的应用更可能是非恶意的。同样，用于选择下载和安装应用这一事实可以 表示用户默认该应用是可信的且需要的。相反，新的应用可被赋予降低的声誉评分，特别是 如果其他因子（例如，表示应用已经被重新包装的数据的组合）指示应用会是恶意的。
[0029] 应用商店的声誉也可以在计算与应用商店相关联的应用的声誉评分时被考虑。例 如，各种应用商店的评分可以通过追踪外部可用数据（诸如，报纸报道、财务申报等等）来 确定，或者通过已检测的恶意软件来推断（例如，历史上主存恶意软件的应用商店可以被 分配降低的声誉）。众包可以提供指示已经从中下载特定应用的应用商店的信息。因而，在 计算特定应用的声誉评分时可以考虑所指示的应用商店的声誉（例如，从具有差劣声誉的 应用商店下载的应用可以被分配降低的声誉评分）。
[0030] 在还有其他示例实施例中，声誉评分可以基于移动应用的性能来计算。例如，如果 应用要求大量可能被滥用行为许可，则该应用可以被分配较低的声誉评分。这种情况下的 众包可用于帮助标识不寻常的许可组合、或未预料的许可（例如，发送未授权的SMS消息的 假传游戏应用（purportedgameapplication))。在还有其他示例实施例中，声誉评分可以 基于来自签署者（例如，数字地签署该应用的厂商）的其他应用的声誉来计算。例如，如果 签署者之前签署了具有低声誉评分的应用，则具有相同签署者的任何新应用都被分配低声 誉评分。在还有其他示例实施例中，可信度指示符和属性的组合可用于计算声誉评分。例 如，流行性和应用行为以及来自清单的数据可用于确定移动应用的声誉评分。
[0031] 声誉引擎20可以将相应的声誉评分转发至代理24a_c，代理24a_c可以基于移动 应用声誉来确定进一步的动作（例如，改变应用22a_c的配置；从移动设备14a_c删除应用 22a_c;在移动设备14a_c的显示上显示安全警报；在移动设备14a_c的扬声器上生成安全 哔哔声；防止执行应用22a_c;防止从应用商店18下载移动应用；防止访问移动设备14a中 的资源；隔离应用22a_c;隔离移动设备14a;不采取任何安全动作；等等）。
[0032] 图1所示的网络环境一般可配置或安排用于表示能电子地交换分组的任何通信 基础结构。此外，网络还可以被配置成与其他网络交换分组，其他网络诸如例如因特网或其 他局域网。网络中也可以预设其他公共网络元件（例如，电子邮件网关、web网关、路由器、 交换机、负载平衡器、防火墙等等）。
[0033] 为说明系统10的技术，理解可存在于诸如图1所示网络的给定网络中的活动和安 全问题是重要的。以下基本信息可以被视为可适当解释本公开案的基础。这种信息仅为说 明目的而提供，因而不应被认为以任何方式限制本公开案及其潜在应用的宽泛范围。
[0034] 组织（例如，企业、学校、政府组织等）中以及家庭中的典型网络环境包括诸如终 端用户台式机、膝上型计算机、服务器、网络设备等多个设备，每个设备具有已安装的一组 可执行软件。组织和家庭中的用户也可以使用移动设备来连接到各种有线和/或无线网 络。用户在网络环境中管理他们的设备时所面临的一个难题是确保设备上仅存在可信和经 核准的可执行软件文件。尽管网络中的设备最初可配置有可信和经核准的可执行软件，但 为了保护不受未知和/或恶意软件影响，通常需要持续的努力（电子和手动两方面）。特 别是，用户可使用移动设备连接至网络，移动设备具有弱点，黑客可使用所述弱点来监视用 户、或损坏服务器和相关联网设备上存储的安全信息。
[0035] 对于用户或网络来说，特定的移动应用可能是不期望的或甚至是恶意的。恶意的 软件（恶意软件）包括敌对的、侵入的或讨厌的编程（例如，代码、脚本、活动内容等），所述 敌对的、侵入的或讨厌的编程可破坏或拒绝操作、收集导致隐私丧失或非法利用的信息、获 得对系统资源的未经授权的访问以及展现出其他滥用行为。例如，移动电话上的移动应用 可以被远程地控制，并被配置成打开电话的相机和麦克风，允许监视。在另一示例中，移动 应用可以追踪用户的位置并将该信息传递至未经授权的人。在还有另一例中，恶意的移动 应用可以为对关键和专有信息的未经授权访问、资源的不当使用、业务中断、欺诈、以及安 全漏洞提供路径。研究表明，欺诈的移动应用（例如，恶意软件和间谍软件）将会成为移动 安全空间的巨大问题。
[0036]目前，用于标识这种欺诈移动应用的解决方案一般存在于企业空间。一些现有的 用于恶意软件检测的解决方案使用黑名单。然而，黑名单解决方案未能检测和阻止零日 (day-zero)和此前未见的恶意软件。此外，黑名单是反应性的，并且不是抗击新的和/或 略微修改的恶意软件的有效解决方案。其他企业解决方案采用声誉系统来标识恶意应用。 例如，McAfee?企业移动管理（EMM)软件配置移动设备以匹配公司安全策略，并且在网络 访问前强制执行。企业解决方案可以管理地理上分散的企业网络中的少量或数千个移动 设备，防卫经由电子邮件、即时消息接发和因特网下载始发的威胁（即，恶意软件和间谍软 件）。然而，这种当前企业解决方案的范围有限。例如，应用的声誉评分可以仅基于从企业 网络中的移动设备获得的信息。企业网络外部的移动设备上存在的恶意应用可能是未知 的，或者可以在企业网络内被表征为良好（由于缺乏历史信息），直到攻击发生为止。
[0037] 图1概述的用于移动应用声誉的众包的系统可以解决这些问题以及其他问题。本 公开案的多个实施例寻求极大地改进现有技术的性能以允许更稳健的解决方案。为了规 模、效率和普及性，声誉信息的收集和分析可以发生在云（例如，云16)中。为了聚集用于 计算移动应用声誉的信息，移动设备可以被配置成许可来自云的对其代理和应用的防卫。
[0038] 从监视任何一个移动设备上的移动应用活动获得的知识可以对照从其他移动设 备获得的类似活动（例如，通过众包）被聚集和分析，并且与来自其他矢量（例如，文件、 web、消息、网络连接和手动努力）的数据相关以得到关于移动应用的实质上全面的信息。 此外，任何威胁或弱点在性质上可以是暂时的（例如，如果移动应用正在与临时损坏的IP 地址交互），系统10的组件可以实时地适当修改应用的声誉评分以补救对主机移动设备的 威胁。例如，声誉引擎20可以对于每个附加数据点结合和调整移动应用声誉。因此，尝试 测试恶意软件或对攻击/监视活动作"排练"的欺诈/恶意的移动应用可能不注意地警告 系统10存在这种活动。
[0039] 声誉引擎20可以通过评估被一个或多个源上传到声誉引擎20的移动应用22a的 一个或多个应用指纹，来确定移动应用22a的声誉评分。在一示例实施例中，聚集的应用指 纹可以包括来自各种应用清单的信息，所述信息可被评估以确定声誉评分。在另一实施例 中，聚集的应用指纹可以包括聚集的应用行为，所述聚集行为也可被评估以确定移动应用 的声誉评分。随着越多的关于应用的信息被报告给声誉引擎20或可为声誉引擎20所用， 声誉评分的统计学置信度水平可能更高。
[0040] 总声誉评分可以基于所计算的概率来确定，并且被提供给移动设备14a上的代理 24a。代理24a可以检查移动应用声誉以确定基于声誉评分应当采取什么动作。可以采取任 何适当的动作，例如，改变应用22a的配置；从移动设备14a删除应用22a;在移动设备14a 的显示上生成安全警报；在移动设备14a的扬声器上生成安全哔哔声；阻止应用22a的执 行；阻止从应用商店18下载应用22a;将安全警报发送至应用商店18 ;阻止对移动设备14a 中的资源进行访问；隔离移动应用22a;隔离移动设备14a;不采取任何安全动作；等等。
[0041] 图1的系统10中未示出可以适当地耦合至声誉引擎20的硬件，硬件的形式为控 制台、用户界面、存储器管理单元（MMU)、附加对称多处理（SMP)元件、外围组件互连（PCI) 总线和相应的桥、小型计算机系统接口（SCSI)/集成驱动电子（IDE)元件、等等。此外，也 可以包括适当的调制解调器、路由器、基站、无线接入点和/或网络适配器，以允许系统10 的组件进行网络访问。在系统10的组件中也可以配置任何适当的操作系统以便适当地管 理系统10中的硬件组件的操作。系统10的组件可以包括便于其操作的任何其他适当的硬 件、软件、组件、模块、接口或对象。这可以包括便于这里详述的用于移动应用声誉操作的众 包的适当算法和通信协议。参照系统10示出和/或描述的这些元件是说明性的目的，而不 旨在暗指结构上的限制。此外，每个元件（包括声誉引擎20、代理24和移动设备14)可以 在适当时且基于特定要求而包括更多或更少的组件。
[0042] 系统10可适合于提供电子数据（例如，移动应用）的移动应用声誉活动的众包， 该电子数据可以驻留在移动设备、计算机或其他电子存储设备的存储器中。与移动应用声 誉活动的众包有关的信息可以被适当地呈现、或被发送值指定位置（例如，移动设备14、声 誉引擎20等）、或仅仅被存储或存档、以及/或者以任何适当的格式被显示。
[0043] 网络12表示这样的网络，所述网络可以是互连通信路径的一系列点或节点，互连 通信路径用于接收和发送通过系统10传播的信息分组。网络12提供在图1的任何组件 之间的通信接口。网络12可以使任何局域网（LAN)、无线局域网（WLAN)、广域网（WAN)、 无线广域网（WWAN)、城域网（MAN)、无线城域网（WMN)、无线单跳或多跳网络、虚拟专用网 络（VPN)、内联网、外联网或便于网络环境中的通信的任何其他适当的结构或系统。网络 12可以包括到声誉引擎20的任何适当的通信链接，所述通信链接诸如无线技术（例如， IEEE802. 11、802· 16、WiFi、蓝牙、WiMax、DSRC、WiMAX等）、卫星、蜂窝技术（例如，3G、4G等） 等或者它们的任一组合。在适当的时候以及基于特定地需求，网络12还可以包括能够实施 传输控制协议/网际协议（TCP/IP)、通信、用户数据包协议/IP(UDP/IP)或任何其他适当的 协议的配置。
[0044] 回到图2,图2示出系统10的附加细节。声誉引擎20可以与移动设备14通信。 一个或多个应用22可以被安装在移动设备14上或在移动设备14上可用。应用22可以包 括一个或多个清单。在一示例实施例中，单独的清单可以与应用22中的每一个唯一地相关 联。在另一示例实施例中，清单26可以聚集来自多个应用22的信息。在一些实施例中，清 单26可以包括XML文档，而在其他实施例中，清单26可以采用任何其他适当的形式。移动 设备14可以使用清单26来分配资源用于应用执行。例如，清单26可以指定应用22中的 一个可以使用移动设备的相机、协同定位（co-location)、等等。
[0045] 移动设备14可配备有代理24,代理24追踪应用22和可应用策略25。在一示例实 施例中，代理24可以包括事件检测性能、通信接口、策略管理器等。在另一示例实施例中， 代理24可以包括能够与声誉引擎20通信并执行来自策略管理器、事件检测组件等的指令 的软件。代理24可以被配置成从声誉引擎20接收查询或信息。例如，声誉引擎20可以查 询代理24以得到一个或多个应用22的状态。代理24可以响应于查询将应用状态提供给 声誉引擎20。在另一示例中，声誉引擎20可以向代理24提供应用22中的一个的移动应用 声誉。响应于此，代理24可以查找策略，并且基于移动应用声誉来确定适当的动作。
[0046] 移动设备14可以被配置成将信息发送至声誉引擎20和/或许可声誉引擎20访 问存储于移动设备14上的信息。在一示例实施例中，用户可以向声誉引擎20提供许可以 访问移动设备14。在另一示例实施例中，移动设备14可以被配置成使用验证协议来与声誉 引擎20通信--例如，当用户在因特网站点上登录以访问声誉引擎20所提供的服务时。
[0047] 声誉引擎20可以包括应用清单数据库32,应用清单数据库32可以聚集和存储从 多个移动设备（例如，移动设备14)众包的应用清单信息的详细目录。可在声誉引擎20中 预设实时数据捕获模块40。在一示例实施例中，实时数据捕获模块40可以访问移动设备 14并且实时地捕获与应用22的活动有关的信息，例如从应用清单26和/或代理24捕获。 在另一示例实施例中，代理24可以将应用行为信息发送至声誉引擎20中的实时数据捕获 模块40。声誉引擎20可以以任何适当格式并且基于适当的需求来在应用清单数据库32和 实时数据捕获模块40中聚集应用信息。
[0048]在示例情况下，如果新的移动应用突然出现于特定的地理位置（例如，中国）并且 它在数小时内像野火一样蔓延（例如，移动应用在短时间跨度内被下载和安装于分布在各 个地理位置的几百个移动设备上，各个地理位置诸如美国、澳大利亚、印度和日本），则这种 快速分发可能是恶意行为的指示符，且其声誉评分可以被上传以反映该特征。应用清单数 据库32可以包括和应用的出现位置和时间有关的信息，该应用来自从各个移动设备发送 至声誉引擎20的应用清单。数据挖掘模块34可以聚集该信息，分析它，并且确定移动应用 的传播因子（即，移动应用扩散至其他移动设备有多快）为高，这指示可能的恶意行为。 [0049]在另一示例情况下，特定移动设备上的应用可以发起监视动作。实时数据捕获模 块40可认出该监视动作，并且因此声誉引擎20可以计算该应用的经更新的声誉评分。经 更新的声誉评分可以被分发给其上安装有该应用的所有其他移动设备，使相应的代理能采 取适当的动作。
[0050] 数据挖掘模块34、处理器36和存储器38可以被预设于声誉引擎20上以便于计算 移动应用声誉。数据挖掘模块34可以从应用清单数据库32和实时数据捕获模块40提取 相关的应用指纹。尽管数据挖掘模块34被示出为声誉引擎20的一部分，但是数据挖掘模 块34可以以各种方式实现，例如通过与声誉引擎20通信的单机服务、在专有网络中的安全 服务器上部分或全部地运行的服务器应用等等。通过使用处理器36和存储器38,声誉引 擎20可以从数据挖掘模块34所提取的信息中计算和/或更新移动应用的移动应用声誉评 分。
[0051] 在一示例情况下，移动设备14可被预设有不允许网络上访问移动设备14上的照 片的应用运行的策略。代理24可以追踪应用22对移动设备14上的照片的访问。处于说 明性的目的，假定网络中的应用试图访问网络上的移动设备之一的照片。声誉引擎20可以 变得注意到应用动作（例如，通过实时数据捕获模块40)。响应于此，声誉引擎20可以更新 该应用的声誉评分。如果应用是移动设备14中的应用22中的一个，则代理24可以访问经 更新的声誉评分，并且对于移动设备14上的应用采取适当的动作。因此，系统10的组件在 应用试图访问照片时不必要检查和分析每一个移动设备中的应用的代码。相反，可以使用 来自单个源的动作来更新声誉评分并且许可网络上的其他设备适当地对应用采取动作。
[0052] 转至图3,图3示出本公开案一实施例的简化框图。系统10可以包括能与云16通 信的移动设备14 (例如，移动设备14a_c)。每个移动设备14a_c可预设有相应的声誉引擎 20a_c。此外，云16也可预设有声誉引擎20d。每个移动设备14a_c也可以分别预设有一个 或多个移动应用22a_c以及相应的代理24a_c。
[0053] 声誉引擎20a_c可以聚集移动应用信息并且为安装于相应移动设备14a_c上的移 动应用22计算相应的声誉评分。例如，声誉引擎20a可以为移动设备14a上的移动应用 22a计算移动应用声誉。同样，声誉引擎20b可以为移动设备14b上的移动应用22b计算移 动应用声誉，以此类推。在一示例实施例中，驻留于云16中的声誉引擎22d可以聚集来自 声誉引擎22a_c的移动应用声誉，并且协调这些评分。例如，声誉引擎20a可以为移动应用 提供指示移动应用良好的声誉评分。然而，声誉引擎20c可以为同一移动应用提供声誉评 分，指不该移动应用是恶意的。
[0054] 声誉引擎20d可以协调冲突信息并将经更新的声誉评分发送至声誉引擎20a_c。 因此，例如，即使移动设备14a丧失到云16的连接，驻留于移动设备14a中的声誉引擎20a 也能够实时地为应用22a之一计算经更新的移动应用声誉。当移动设备14a重新获得到云 16的连接时，声誉引擎20a可以将经更新的移动应用声誉发送至声誉引擎204。在另一实 施例中，声誉引擎20可以计算移动应用声誉并且将该信息推送给个别的声誉引擎20a_c。
[0055] 转至图4,图4是说明与根据本公开案的实施例相关联的示例操作步骤的简化流 程图。本公开案的实施例可以为来自移动应用清单的移动应用计算声誉评分。用于计算移 动应用的声誉评分的方法50可以开始于步骤52,此时移动设备（例如移动设备14)访问 应用商店18或者移动应用的其他源。在步骤54中，移动设备14可以下载应用22。在步 骤56中，可以获得应用清单26。在一示例实施例中，清单26可随应用22下载。在另一示 例实施例中，移动设备14可以从应用22提取相关信息并且用所提取的信息来填充清单26。 在步骤58中，清单26可以被传送至声誉引擎20。在一示例实施例中，声誉引擎20可以访 问清单26并且获得存储在清单26中的信息。在另一示例实施例中，移动设备14可以将清 单26发送至声誉引擎20。在任一实施例中，声誉引擎20可以远程地位于云16上，或者，可 以在移动设备14上具有本地组件和云组件两者。
[0056] 在步骤60中，声誉引擎20可以用应用清单数据库32和/或实时数据捕获模块40 中的其他已存储数据来分析清单26。其他已存储数据可以是先前从多个源众包的。分析可 以包括确定清单26和其他已存储数据之间的任何差异，并且将差异与其他已存储数据聚 集；分析还可以包括将来自清单26的信息与其他已存储数据聚集，并且确定移动应用的传 播因子及其他趋势。在一示例实施例中，数据挖掘模块34可以从应用清单数据库32和/或 实时数据捕获模块40提取类似的信息用于和清单26比较。在另一示例实施例中，清单26 可以被聚集至应用清单数据库32和/或实时数据捕获模块40中。清单26可以被保存到 应用清单数据库32中。数据挖掘模块34然后可以从应用清单数据库32和实时数据捕获 模块40提取与应用22有关的基本所有相关信息（包括清单26中的信息）。声誉引擎20 可以在步骤62中为应用22计算声誉评分。计算可以通过任何适当的手段来执行。在一示 例实施例中，所计算的声誉评分可以是经更新的声誉评分。
[0057] 在步骤64中，可以基于所计算的声誉评分来确定适当的动作。在一示例实施例 中，声誉引擎20可以将所计算的声誉评分发送至移动设备14上的代理24。代理24可以使 用声誉评分基于移动设备14上可用的策略来确定适当的动作。在另一示例实施例中，声誉 引擎20可以存储声誉评分，声誉评分可被代理24访问。代理24然后确定适当的动作。适 当的动作可以包括任何动作，例如，改变应用22的配置；从移动设备14删除应用22 ;在移 动设备14的显示上显示安全警报；在移动设备14的扬声器上生成安全哔哔声；防止执行 应用22 ;防止从应用商店18下载移动应用22 ;将安全警报发送至应用商店18 ;防止访问移 动设备14中的资源；隔离移动应用22 ;隔离移动设备14 ;不采取任何安全动作；等等。过 程终止于步骤66。
[0058] 转至图5,图5是说明与本公开案的实施例相关联的示例操作步骤的简化流程图。 本公开案的实施例可以从实时活动以及对移动应用资源的请求来计算移动应用的声誉评 分。本公开案的实施例也可以从实时活动以及对移动应用资源的请求来提高移动应用的声 誉评分。用于计算和/或更新移动应用（例如，应用22)的声誉评分的方法70开始于步骤 72,此时移动设备（例如，移动设备14)访问应用商店18或者移动应用的其他源。在步骤 74中，应用22可以被下载。在步骤76中，移动设备14可以运行应用22。
[0059] 在一示例实施例中，在运行应用22之前，可以实现参照图4所述的方法50,并且 可以计算声誉评分。在步骤77中，可以监视应用行为（例如，对资源和应用动作的请求）。 在步骤78中，应用行为可以被传送至声誉引擎20。应用行为可以包括应用请求（例如，对 移动设备资源的请求，诸如对存储于移动设备上的文件和照片的访问、对相机和麦克风的 访问等等）和应用动作（例如，由应用发起的动作，诸如打开移动设备麦克风和相机、启动 与欺诈IP地址的网络连接、开始虚拟纸牌游戏等等）。在一示例实施例中，移动设备14上 的代理24可以监视应用行为并将其传送至声誉引擎20中的实时数据捕获模块40。
[0060] 在步骤80中，声誉引擎80可以用应用清单数据库32和/或实时数据捕获模块40 中的其他已存储数据（例如，自多个源众包的之前存储的数据）来分析应用行为。分析可 以包括确定应用行为及其他已存储数据之间的任何差异、以及将差异与其他已存储数据聚 集；分析还可以包括将应用行为与其他已存储数据聚集、以及确定移动应用的传播因子及 其他趋势。在一示例实施例中，数据挖掘模块34可以从应用清单数据库32和/或实时数 据捕获模块40提取类似的信息来分析应用行为。例如，数据挖掘模块34可以寻求信息以 确定过去是否已经请求了类似的动作。在另一示例实施例中，应用行为可以被聚集到应用 清单数据库32和/或实时数据捕获模块40中。然后，数据挖掘模块34可以从应用清单数 据库32和实时数据捕获模块40提取与应用22有关的基本所有相关信息。在步骤82中， 声誉引擎20可以计算应用22的声誉评分。计算可以通过任何手段来执行。在一示例实施 例中，所计算的声誉评分可以是经更新的（例如，提高的）声誉评分。
[0061] 在步骤84中，适当的动作可以基于所计算的声誉评分来确定。在一示例实施例 中，声誉引擎20可以将所计算的声誉评分发送至移动设备14上的代理24。代理24可以使 用声誉评分、基于移动设备14上可用的策略来确定适当的动作。在另一示例实施例中，声 誉引擎20可以存储声誉评分，声誉评分可由代理24访问。代理24然后确定适当的动作。 适当的动作可以包括任何动作，例如，改变应用22的配置；从移动设备14删除应用22 ;在 移动设备14的显不上显不安全警报；在移动设备14的扬声器上生成安全哔哔声；将安全 警报发送给应用商店18 ;防止执行应用22 ;防止从应用商店18下载移动应用22 ;防止访问 移动设备14中的资源；隔离应用22a;隔离移动设备14 ;不采取任何安全动作；等等。过程 终止于步骤86。
[0062] 转至图6,图6是柱状图，其例示了沿Y轴的应用数量92相对于X轴上的声誉评 分90。声誉评分90可以被分类为多个类别。在一示例实施例中，低声誉评分可以被分类为 低风险，并且被分配到绿色。反映未经核准的状态的声誉评分可以被分配到黄色。中间声 誉评分可以被分类为中等风险并被分配到橙色。高声誉评分可以被分类为高风险并被分配 到红色。对于每个声誉评分（或声誉评分的范围），可以有几个相应的应用。例如，多个应 用92可具有相同的声誉评分（或声誉评分范围），多个应用92可以不同于具有不同声誉评 分的另外多个应用。可以基于风险水平采取适当的动作。例如，具有高风险类别中的声誉 评分的应用可以不被允许下载或运行，并且在作出下载或运行高风险应用的尝试时可以向 移动设备发送适当的警报。另一方面，具有低风险类别中的声誉评分的应用可以被允许下 载和运行。可以基于应用的风险类别来采取任何数量的适当动作。色彩仅为说明目的而提 供。可以使用任何其他的分类标签、手段、方案和方法，而不改变本公开案的范围。
[0063] 尽管这里所述的实施例已经指代移动应用，但是显然可以使用系统10评估和/或 补救其他程序文件集合。附图中示出用于移动应用声誉的众包的选项，选项仅为示例目的。 将会理解，可以与各附图的选项的任一组合或者排除各附图的选项而提供许多其他选项， 这许多其他选项中的至少一些在此说明书中详述。可以在各种位置（例如，公司IT总部、 终端用户计算机、web服务器、云中的分布式服务器、软件安全提供商云或数据中心等等） 提供软件，所述软件用于实现这里所述的用于移动应用声誉的众包的操作。在一些实施例 中，该软件可以自web服务器接收或下载（例如，在为单独的网络、设备、服务器等购买个别 终端用户许可证的上下文中），以便提供这一用于移动应用声誉的众包的系统。在一示例实 现中，该软件驻留在意图抵抗安全攻击（或抵抗不期望的或未经授权的数据操纵）的一个 或多个移动设备、计算机和/服务器中。
[0064] 系统10可以以硬件或软件来实现，并且可用于或远程或本地地访问移动应用。在 一示例实施例中，系统10可以被实现为各种移动设备上的云组件和本地代理，其中本地代 理进行收集信息（例如，应用指纹信息）、监视（例如，应用行为）和实施功能等，并且云组 件接收应用指纹信息、确定声誉评分并将声誉评分推回至移动设备。在另一实施例中，系统 10可以被实现为远程自动化服务，远程自动化服务可以根据预定时间表（例如，每24小时 一次）来扫描目标移动设备。在其他另一实施例中，系统10可以被实现为便携式解决方案， 该便携式解决方案可以被临时加载到连至目标移动设备的网络上。系统10可以对无数移 动设备上的移动应用进行深度检查。在还有另一示例实施例中，系统10可以被主存于移动 设备上。
[0065]在各种实施例中，用于移动应用声誉的众包的软件可以涉及专有元素（例如，作 为具有安全管理产品的网络安全解决方案的一部分，安全管理产品诸如McAfee?企业移动 管理），专有元素可以被提供于（或最接近于）这些已标识元素中，或者被提供于任何其他 设备、服务器、网络设备、控制台、防火墙、交换机、信息技术（IT)设备、分布式服务器等中， 或者作为互补解决方案来提供，或者以其他方式被预设于网络中。在各种实施例中，云16 可以包括一个或多个服务器运行的专有软件，诸如McAfee?全球威胁情报（GTI)云软件。 [0066] 在特定的示例实现中，这里概述的活动可以以软件来实现。这可以包括在声誉引 擎20以及包括移动应用的其他网络元素（例如，移动设备14)中提供的软件。这些元素和 /或模块可以彼此协作以便执行与这里讨论的移动应用声誉的众包有关的行为。在其他实 施例中，这些特征可以在这些元素外部被提供、被包括在其他设备中以实现这些期望功能、 或者以任何适当方式被强化。例如，与各个元素相关联的一些处理器可以被移除或以其他 方式被强化，使得单个处理器和单个存储器位置负责特定的多个活动。广而言之，附图中图 示的布置在其表现上更为逻辑性，而物理基础结构可以包括这些元素的各种置换、组合和/ 或混合。
[0067]在各个实施例中，这些元素的一些或全部包括软件（或往复式软件），软件可以协 调、管理或以其他方式协作以便实现这里概述的web应用评估操作。这些元素的一个或多 个可以包括便于其操作的任何适当的算法、硬件、软件、组件、模块、接口或对象。在包括软 件的实现中，这一配置可以包括在一个或多个有形介质中编码的逻辑，有形介质可以包括 非暂时性介质（例如，在专用集成电路（ASIC)、数字信号处理器（DSP)指令、软件（可能包 括目标代码和源代码）中提供以便由处理器或其他类似机器等执行的嵌入式逻辑）。
[0068]在这些情况的一些中，一个或多个存储器元件（例如，存储器38)可以存储用于此 处所述操作的数据。这包括能存储软件、逻辑、代码或处理器指令的存储器元件，软件、逻 辑、代码或处理器指令被执行以实现本说明书中所述的行为。处理器可执行与数据相关联 的任何类型的指令以实现本说明书中详述的操作。在一示例中，处理器36可以将元件或物 品（例如，数据）从一个状态或事物转变为另一个状态或事物。在另一示例中，这里概述的 活动可以用固定逻辑或可编程逻辑（例如，由处理器执行的软件/计算机指令）来实现，这 里标识的元件可以是某一类型的可编程处理器、可编程数字逻辑（例如，场可编程门阵列 (FPGA))、可擦除可编程只读存储器（EPROM)、电可擦除可编程只读存储器（EEPROM)、包括 数字逻辑、软件、代码、电子指令的ASIC、闪存、光盘、CD-ROM、DVDROM、磁性或光学卡、其他 类型的适用于存储电子指令的机器可读介质、或者它们的任一适当组合。
[0069]声誉引擎20以及系统10中的其他相关组件可以包括一个或多个存储器元件（例 如，存储器38)，用于存储要用于实现与这里概述的移动应用声誉的众包相关联的操作的 信息。这些设备还可以将信息保存在任何适当类型的存储器元件（例如，随机存取存储器 (RAM)、只读存储器（ROM)、场可编程门阵列（FPGA)、可擦除可编程只读存储器（EPROM)、电 可擦除可编程ROM(EEPROM)等）、软件、硬件中、或在适当时且基于特定需求而将信息保存 在任何其他适当的组件、设备、元件或对象中。基于特定需求和实现，在系统10中被追踪、 发送、接收或存储的信息可以被提供于任何数据库、寄存器、表、高速缓存、队列、控制列表 或存储结构，所有这些结构都可以在任何时间范围内被参考。这里讨论的任何存储器项目 都可以被视为包含于宽泛术语'存储器元件'之内。类似地，本说明书中所述的任何潜在的 处理元件、模块和机器应当被视为包含于宽泛术语'处理器'之内。每一个处理器还可以包 括用于在网络环境中接收、发送和/或以其他方式传送数据或信息的适当接口。
[0070] 注意到对于这里提供的许多示例而言，可以用两个、三个、四个或更多个网络元件 和模块来描述交互。然而，这仅仅是为了清楚和示例目的。应当理解，系统可以以任何适当 方式来强化。根据类似的设计替代，图1所图示的计算机、模块、组件和元件的任一个可以 与各种可能的配置组合，各种可能的配置的全部都清楚地在本说明书的宽泛范围内。在特 定的情况下，通过仅参考有限数量的网络元件，可能较易于描述特定流程集合的一个或多 个功能。应当理解，图1(及其教导）的系统可容易地缩放，并且可以容纳大量组件以及更 复杂/精密的布置和配置。因而，这里提供的示例不应限制系统10的范围或抑制系统10 的宽泛教导，范围或教导可能应用于无数其他基础结构。
[0071] 注意到以下也是重要的，参照前述附图所描述的操作仅说明了可由系统执行或可 以在系统内执行的可能情况中的一些。在适当时可以删除或移除这些操作中的一些，或者 可以相当多地修改或改变这些步骤，而不背离所讨论概念的范围。此外，这些操作的时序可 以相当多地改变，而仍能实现本说明书中所教导的结果。前述的操作流程已经为示例和讨 论目的而提供。系统提供了实质上的灵活性，因为可以提供任何适当的布局、年表、配置和 时序机制，而不背离所讨论概念的教导。
【权利要求】
1. 一种方法，包括： 获得移动应用的属性集合； 用与其他移动应用相关联的众包数据来所述属性中的一个或多个以确定一个或多个 可信度指示符；以及 基于所述一个或多个可信度指示符计算所述移动应用的声誉评分。
2. 如权利要求1所述的方法，其特征在于，所述一个或多个可信度指示符包括： (a) 所述移动应用的流行性； (b) 应用商店的声誉； (c) 所述移动应用的性能；以及 (d) 来自同一签署者的其他移动应用的声誉评分。
3. 如权利要求1所述的方法，其特征在于，所述属性集合包括以下的至少一个：清单； 以及应用行为。
4. 如权利要求3所述的方法，其特征在于，所述清单包括以下的一个或多个：唯一应用 标识（ID)标签；应用证书；应用名称；应用性能；应用寿命；可由所述移动应用使用的端口 和协议；网络活动；攻击历史；与其他已知网际协议（IP)地址的关联；与所述移动应用相 关联的文件和文件散列；以及所述移动应用当前所位于的国家或地区。
5. 如权利要求1所述的方法，其特征在于，还包括：基于所述声誉评分确定适当的动 作。
6. 如权利要求5所述的方法，其特征在于，所述适当的动作包括以下的至少一个： (a) 改变所述移动应用的配置； (b) 从移动设备删除所述移动应用； (c) 在所述移动设备的显示上生成安全警报； (d) 在所述移动设备的扬声器上生成安全哔哔声； (e) 将安全警报发送至应用商店； (f) 阻止执行所述移动应用； (g) 阻止从所述应用商店下载所述移动应用； (h) 阻止访问所述移动设备中的资源； (i) 隔离所述移动应用； (j) 隔离所述移动设备；以及 (k) 不采取任何安全动作。
7. 如权利要求1所述的方法，其特征在于，还包括： 确定所述移动应用的传播因子， 其中所述属性集合包括至少一个应用性能，并且其中所述众包数据包括所述传播因子 以及所述移动应用的始发地的地理位置。
8. -种装置，包括： 存储器元件，被配置成存储数据；以及 计算处理器，可用于执行与所述数据相关联的指令； 数据挖掘模块； 实时数据捕获模块；以及 应用清单数据库，其中所述装置被配置用于： 获得移动应用的属性集合； 用与其他移动应用相关联的众包数据来分析所述属性中的一个或多个以确定一个或 多个可信度指示符；以及 基于所述一个或多个可信度指示符计算所述移动应用的声誉评分。
9. 如权利要求8所述的装置，其特征在于，所述一个或多个可信度指示符包括： (a) 所述移动应用的流行性； (b) 应用商店的声誉； (c) 所述移动应用的性能；以及 (d) 来自同一签署者的其他移动应用的声誉评分。
10. 如权利要求8所述的装置，其特征在于，所述属性集合包括以下的至少一个：清单； 以及应用行为。
11. 如权利要求10所述的装置，其特征在于，所述清单包括以下的一个或多个：唯一应 用标识（ID)标签；应用证书；应用名称；应用性能；应用寿命；可由所述移动应用使用的端 口和协议；网络活动；攻击历史；与其他已知网际协议（IP)地址的关联；与所述移动应用 相关联的文件和文件散列；以及所述移动应用当前所位于的国家或地区。
12. 如权利要求8所述的装置，其特征在于，所述装置还被配置用于： 基于所述声誉评分确定适当的动作。
13. 如权利要求12所述的装置，其特征在于，所述适当的动作包括以下的至少一个： (a) 改变所述移动应用的配置； (b) 从移动设备删除所述移动应用； (c) 在所述移动设备的显示上生成安全警报； (d) 在所述移动设备的扬声器上生成安全哔哔声； (e) 将安全警报发送至应用商店； (f) 阻止执行所述移动应用； (g) 阻止从所述应用商店下载所述移动应用； (h) 阻止访问所述移动设备中的资源； (i) 隔离所述移动应用； (j) 隔离所述移动设备；以及 (k) 不采取任何安全动作。
14. 编码在非暂时性媒介中的逻辑，其包括用于执行的代码并且在由处理器执行时可 用于执行包括下列在内的操作： 获得移动应用的属性集合； 用与其他移动应用相关联的众包数据来分析所述属性中的一个或多个以确定一个或 多个可信度指示符；以及 基于所述一个或多个可信度指示符计算所述移动应用的声誉评分。
15. 如权利要求14所述的逻辑，其特征在于，所述一个或多个可信度指示符包括： (a) 所述移动应用的流行性； (b) 应用商店的声誉； (C)所述移动应用的性能；以及 (d)来自同一签署者的其他移动应用的声誉评分。
16. 如权利要求14所述的逻辑，其特征在于，所述属性集合包括以下的至少一个：清 单；以及应用行为。
17. 如权利要求16所述的逻辑，其特征在于，所述清单包括以下的一个或多个：唯一应 用标识（ID)标签；应用证书；应用名称；应用性能；应用寿命；可由所述移动应用使用的端 口和协议；网络活动；攻击历史；与其他已知网际协议（IP)地址的关联；与所述移动应用 相关联的文件和文件散列；以及所述移动应用当前所位于的国家或地区。
18. 如权利要求14所述的逻辑，其特征在于，所述处理器还用于执行包括下列在内的 进一步操作： 基于所述声誉评分确定适当的动作。
19. 如权利要求18所述的逻辑，其特征在于，所述适当的动作包括以下的至少一个： (a) 改变所述移动应用的配置； (b) 从移动设备删除所述移动应用； (c) 在所述移动设备的显示上生成安全警报； (d) 在所述移动设备的扬声器上生成安全哔哔声； (e) 将安全警报发送至应用商店； (f) 阻止执行所述移动应用； (g) 阻止从所述应用商店下载所述移动应用； (h) 阻止访问所述移动设备中的资源； (i) 隔离所述移动应用； (j) 隔离所述移动设备；以及 (k) 不采取任何安全动作。
20. 如权利要求14所述的逻辑，其特征在于，还包括： 确定所述移动应用的传播因子， 其中所述属性集合包括至少一个应用性能，并且其中所述众包数据包括所述传播因子 以及所述移动应用的始发地的地理位置。
【文档编号】G06F21/51GK104246785SQ201380015476
【公开日】2014年12月24日 申请日期:2013年3月20日 优先权日:2012年3月21日
【发明者】D·艾尔珀洛维奇, S·科拉瑟, M·布林克雷 申请人:迈克菲股份有限公司