应地提供响应动作(例如,用户警报、拒绝/允许存储请求)。当监视模块208 拒绝请求时,监视模块208可W将发出请求的来源添加到黑名单W阻止来自该来源的未来 的存储请求。另外地或可替代地,监视模块108可W被布置W例如通过与HW接口 212相接口 来阻止装置上的数据的存储。
[0022] HW接口 212可W与资源调度器214或输入/输出存储器管理单元(I0MMU)216相接 口,其中,资源调度器214或IOMMU 216可W执行对存储218的读取和写入。IOMMU 216可W基 于一些策略来限制存储器访问,而资源调度器214可W基于其它策略来限制对各种资源的 访问。
[0023] 图2示出了机制可W如何工作W防止恶意网站占满磁盘的一个示例。然而,可W实 现添加客户端侧(client-side)的运行时间监视器的想法W防止其它类型的程序错误 (bug)、不安全的浏览器实现(browser implementation)、或恶意攻击。此外,允许/拒绝存 储分配的决策过程可W由更为智能的决策引擎和服务来增强。可W被用于对行为进行评估 的特征的一些示例包括但不限于:添加新数据的速度、子域的数量、子域改变的频率、W及 针对数据进行的读取对写入的比率等。运样的参数或特征可W至少部分地通过规则控制, 所述规则是在存储在监视DB 210、企业监视服务220、或云监视服务222中的策略中定义的。
[0024] 除了所监视的行为之外,机器学习或其它决策制定机制可W用于确定在特定的策 略中什么动作应该被允许或被拒绝。执行所述确定可W是在服务器层面(例如,服务提供商 系统104)或客户端层面(例如,计算设备108),或者是W组合方式利用客户端和服务器两 者。所述确定也可W利用分布在许多客户端之间的协同的/基于云端的方法来执行。
[0025] 策略可W包括一个或多个规则。规则可W由两部分组成:对象和属性。对象可W是 事物(things)或者动作(actions)。例如,对象可W是"域名"、吁域名"、或"网络应用"。对 象的进一步的示例(作为动作)包括"写入请求"或"读取请求"。
[0026] 属性用于定义关于对象的许可。属性的示例包括"每子域许可5MB"、"限制子域使 用网络存储"、"每网络应用许可20MB"等。对象和属性可W用标准化的语言传达,例如,可扩 展标记语言,或者利用标准化语言的一些具体的模式。
[0027] 图3是根据实施例的示出了用于监视和评估存储请求并且施行策略的过程300的 控制流程图。在方框302处,在浏览器处接收客户端存储请求。客户端存储请求可W被封装 在客户端侧脚本中。例如,客户端侧JavaScript?可W利用本地存储对象W借助于 IocalStorage. setltem()操作将"密钥和值化ey and value)"的对偶存储在对象中。
[0028] 在方框304处,浏览器接口模块截取请求并且将请求发送至监视模块。浏览器接口 模块可W利用应用程序接口(API)被包含在浏览器中,使得当在网络应用中的脚本尝试将 数据存储在本地存储对象或会话存储对象中时,该操作被浏览器接口模块捕获(trap)。
[0029] 可选地,在方框306处,监视模块可W将请求发送至外部分析引擎。外部分析引擎 可W提供企业范围或网络范围的服务W分析并确定写入请求的有效性。使用企业范围或网 络范围的服务可W具有从更多的机器中使用数据、度量和统计结果的优点,W关于允许还 是拒绝存储请求而做出更智能的决策。
[0030] 在方框308处,关于请求是否源自相同的网络应用进行检查。如果该请求与之前的 请求来自相同的网络应用,则在方框310处,做出检查W验证该请求的合法性。在实施例中, 监视模块可W访问监视数据库W验证请求的合法性。监视数据库可W包括白名单或黑名 单,当所述白名单或黑名单可用时可W关于允许还是拒绝来自包含在白名单或黑名单中的 给定的网络应用、域、或者其它验证特征的请求而提供自动化的确定。另外地,监视数据库 可W包括由监视模块使用的参数、阔值、或其它数据W确定合法性。
[0031] 在决策方框312处,确定请求是否0K。例如,如果请求源自白名单上存在的已知的 网络应用,则可W批准请求。可选地,如果请求来自黑名单上的网络应用,则可W拒绝请求。 如果批准请求,则在方框314处允许存储请求。如果拒绝请求,则在方框316处拒绝存储请求 并且生成用户警报。用户警报可W W弹出窗口、日志条目、状态栏指示、或其它类型的通知 (音频、视频、多媒体、图形等)的形式存在。
[0032] 返回方框308,如果请求不是来自相同的网络应用的,则在决策方框318处关于每 个个体的存储请求是否在存储限制内做出确定。存储限制可W由浏览器或由针对监视模块 的设置来设定。存储限制可W是用户定义的。例如,如果存储限制是每来源5MB,则在方框 318处,针对脚本和相关的来源确定存储请求是否在该配额W内。如果个体的请求低于该存 储限制,则在方框314处允许存储请求。或者,如果个体的请求超过该存储限制,则在方框 316处拒绝存储请求并且可W向用户发出警报。
[0033] 在实施例中,在方框318处可W进行额外的处理W检查个体的请求。例如,即使当 每个个体的请求在限制W内时,恶意应用也可W添加大量的子域W创建拒绝服务攻击 (denial Of service attack)。因此,除了检查网络应用中针对特定的子域的每个个体的 限制之外,还计算或估算[access]总的存储量,并且分析总的存储量W确定其是否在限制 W内。另外地或可替代地,处理可W包括对进行存储请求的子域的总数是否合理(例如,在 给定的会话中低于100个子域)进行确定。
[0034] 尽管图3示出了用于检测客户端侧网络浏览器异常的一种机制,但是应当理解的 是,其它类型的分析可W由监视模块或外部分析引擎来使用。例如,监视模块或外部分析引 擎可W提供脚本恶意软件检测服务。没有空白空间的、具有看起来是无限循环或长期运转 的循环的、使用递归的、或具有其它属性的脚本,可W被认为是不安全的。由于该结论,运样 的脚本可W是被拒绝的存储请求。外部分析引擎可W被用于分析网络业务量和数据行为。 例如,如果由某个域、来源、子域的组、或下属域的组进行异常大量的存储请求,则网络应用 可W被列入黑名单。域/来源可W被列入黑名单直到或除非由用户批准。
[0035] 图4是根据实施例的示出了用于在网络客户端上进行异常检测的方法400的流程 图。在方框402处监视网络浏览器。网络浏览器是安装在网络客户端(例如,计算设备108)上 的。监视可W由网络客户端的处理器执行。网络浏览器被布置W擅染网页,其中网页包括源 自多个来源的内容。在实施例中,网络浏览器是安装在网络客户端上的多个网络浏览器中 的一个,并且其中,分析请求包括根据特定于网络浏览器的设置来分析请求,所述设置指定 用W应对化andle)来自多个相关的来源中的一个的存储请求的策略。在进一步的实施例 中,多个网络浏览器中的每一个都包括不同的用于应对来自多个相关的来源中的一个的存 储请求的设置。
[0036] 在方框404处,从网页上截取请求,其中,请求用于在网络客户端上存储数据,并且 其中,请求源自多个来源中的特定来源。
[0037] 在方框406处分析请求。在示例中,用于在装置上存储数据的来自网页的请求是用 于在本地存储对象中存储数据的HTML5请求。
[0038] 在方框408处基于特定的来源而批准或拒绝请求。在实施例中,分析和批准请求包 括识别特定的来源,用特定的来源查询数据库W确定特定的来源是否在来源的白名单上, 并且当特定的来源在白名单上时批准请求。在实施例中,数据库存储在网络客户端上。在另 一个实施例中,数据库存储在远离网络客户端的服务器上。
[0039] 在示例中,分析和批准请求包括分析网络浏览器行为的特征,并且基于网络浏览 器的特征而批准请求。在各种实施例中,网络浏览器行为的特征至少是下列中的至少一个: 向装置存储数据的速度、请求存储数据的来源的子域的数量、子域改变的频率、或对所存储 的数据进行的读取和写入的比率。
[0040]在进一步的实施例中,当拒绝请求时,将通知呈现至网络客户端的用户。例如,可 W关于用W存储数据的请求通知用户,并且可W给用户提供用W允许请求继续(例如进行 存储)的选项,从而将对可能的恶意软件活动的自动化响应覆盖掉(override)。
[0041 ]在实施例中,利用网络浏览器的插件来执行方法400。
[00创硬件平台
[0043] 可W在硬件、固件、和软件中的一个或其组合中实现实施例。也可W将实施例实现 为存储在机器可读存储设备上的指令,其可W由至少一个处理器读取和执行W执行在本文 中所描述的操作。机器可读存储设备可W包括用于W由机器(例如,计算机)可读的形式存 储信息的任何非瞬时性机制。例如,机器可读存储设备可W包括只读存储器(ROM)、随机存 取存储器(RAM)、磁盘存储介质、光存储介质、闪速存储器设备、W及其它存储设备和介质。
[0044] 如在本文中所描述的示例可W包括或可W运行在逻辑或多个组件、模块、或机制 上。模块是能够执行具体的操作并且可WW某种方式被配置或被布置的有形的实体(例如, 硬件)。在示例中,可W W具体的方式将电路布置(例如,内部地或者关于外部实体,例如其 它电路)成模块。在示例中,一个或多个计算机系统(例如,独立式的、客户端或服务器计算 机系统)或者一个或多个硬件处理器的全部或一部分可W由固件或软件(例如,指令、应用 部分、或应用)配置为运行W执行具体的操作的模块。在示例中,软件可W驻留在机器可读 介质上。在实例中,当由模块的底层硬件执行时,软件使得硬件执行具体的操作。