CN107070878B - 一种用于对受监控应用进行病毒隔离的系统及方法 - Google Patents

一种用于对受监控应用进行病毒隔离的系统及方法 Download PDF

Info

Publication number
CN107070878B
CN107070878B CN201710075911.4A CN201710075911A CN107070878B CN 107070878 B CN107070878 B CN 107070878B CN 201710075911 A CN201710075911 A CN 201710075911A CN 107070878 B CN107070878 B CN 107070878B
Authority
CN
China
Prior art keywords
application
security
access request
level
response
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710075911.4A
Other languages
English (en)
Other versions
CN107070878A (zh
Inventor
张纪刚
华杨
刘佳
李晨
管帅朝
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Anyun Century Technology Co Ltd
Original Assignee
Beijing Anyun Century Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Anyun Century Technology Co Ltd filed Critical Beijing Anyun Century Technology Co Ltd
Priority to CN201710075911.4A priority Critical patent/CN107070878B/zh
Publication of CN107070878A publication Critical patent/CN107070878A/zh
Application granted granted Critical
Publication of CN107070878B publication Critical patent/CN107070878B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种用于对受监控应用进行病毒隔离的系统及方法,所述系统包括:设置单元,用于为用户设备的每个安全功能设置安全级别,并且为病毒隔离区内的每个受监控应用设置风险级别;监听单元,用于监听所述病毒隔离区内受监控应用的运行,当第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能;控制单元,响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息;以及响应单元,利用所述响应消息对第一应用的访问请求进行应答。

Description

一种用于对受监控应用进行病毒隔离的系统及方法
技术领域
本发明涉及信息安全领域,并且更具体地涉及一种用于对受监控应用进行病毒隔离的系统及方法。
背景技术
目前,基于病毒隔离区进行信息保护的技术通常会将应用所创建、修改以及删除的文件和数据进行虚拟化重定向,也就是说所有操作都是虚拟的。而真实的文件和注册表不会被改动,这样可以确保病毒或恶意代码无法对系统关键部位进行改动破坏系统。这种技术通过重定向把应用生成和修改的文件定向到安全文件夹中。当某个应用试图发挥作用时,可以先让它在病毒隔离区中运行。如果这个应用含有恶意代码,则禁止其进一步运行,而这不会对系统造成任何危害。例如,在病毒隔离区中运行浏览器或其他应用时,浏览器或其他应用所产生的变化可以随时被删除。这种方式可用来保护浏览网页或启动应用时系统的安全,也可以用来清除上网、运行程序的痕迹,还可以用来测试软件,测试病毒等用途。
病毒隔离区技术被设计用来针对计算机病毒进行处理。在个人计算机端设置虚拟空间,对虚拟空间内应用或程序进行应用程序接口(API,Application ProgramInterface)调用的截获,从而实现病毒隔离。通常,为了实现病毒隔离,病毒隔离区中的应用不能调用任何本地或远程可执行程序、不能从本地计算机文件系统中读取任何信息、不能往本地计算机文件系统中写入任何信息以及不能查看少数几个无害的操作系统详细信息外的任何有关本地计算机的信息。
但是这种完全隔离的策略会导致用户对某些应用的使用不便。例如,当用户希望使用内部嵌入了自动发送当前位置的插件的网络游戏时,如果采用传统的病毒隔离策略,那么用户就会因为无法访问网络而不能进行游戏。在另一种情况下,用户希望使用一款能够自动发送信息的财务软件时,如果采用传统的病毒隔离策略,那么用户就会因为无法发送信息而不能使用这款财务软件。为此,需要一种灵活的病毒隔离技术,其能够使用户使用特定应用的所需功能并且屏蔽所述特定应用的恶意动作。
发明内容
根据本发明的一个方面,提供一种用于对受监控应用进行病毒隔离的系统,所述系统包括:
设置单元,用于为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别;
监听单元,用于监听所述病毒隔离区内至少一个受监控应用的运行,当所述至少一个受监控应用中的第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能;
控制单元,响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息;以及
响应单元,利用所述响应消息对第一应用的访问请求进行应答。
优选地,还包括识别单元,用于统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。
优选地,还包括标识单元,用于根据用户的输入将应用标识为受监控应用。
优选地,所述设置单元在应用被标识为受监控应用后,将所述受监控应用放置到病毒隔离区内。
优选地,所述安全级别包括高安全级别和低安全级别。
优选地,所述风险级别包括:高风险级别、中风险级别和低风险级别。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。
优选地,所述根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。
优选地,所述根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。
优选地,所述根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。
根据本发明的另一方面,提供一种移动终端,包括或用于执行如前所述的系统。
根据本发明的再一方面,提供一种用于对受监控应用进行病毒隔离的方法,所述方法包括:
为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别;
监听所述病毒隔离区内至少一个受监控应用的运行,当所述至少一个受监控应用中的第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,不将所述访问请求发送给所述第一安全功能;
响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息;以及
利用所述响应消息对第一应用的访问请求进行应答。
优选地,还包括统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。
优选地,还包括根据用户的输入将应用标识为受监控应用。
优选地,在应用被标识为受监控应用后,将所述受监控应用放置到病毒隔离区内。
优选地,所述安全级别包括高安全级别和低安全级别。
优选地,所述风险级别包括:高风险级别、中风险级别和低风险级别。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。
优选地,所述根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。
优选地,所述根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息。
优选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。
优选地,所述根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。
附图说明
通过参考下面的附图,可以更为完整地理解本发明的示例性实施方式:
图1为根据本发明优选实施方式的用于对受监控应用进行病毒隔离的系统的结构示意图;
图2为根据本发明优选实施方式的移动终端的结构示意图;
图3为根据本发明优选实施方式的利用服务代理进行安全控制的系统的结构示意图;
图4为根据本发明优选实施方式的安全级别的示意图;以及
图5为根据本发明优选实施方式的用于对受监控应用进行病毒隔离的方法的流程图。
具体实施方式
现在参考附图介绍本发明的示例性实施方式,然而,本发明可以用许多不同的形式来实施,并且不局限于此处描述的实施例,提供这些实施例是为了详尽地且完全地公开本发明,并且向所属技术领域的技术人员充分传达本发明的范围。对于表示在附图中的示例性实施方式中的术语并不是对本发明的限定。在附图中,相同的单元/元件使用相同的附图标记。
除非另有说明,此处使用的术语(包括科技术语)对所属技术领域的技术人员具有通常的理解含义。另外,可以理解的是,以通常使用的词典限定的术语,应当被理解为与其相关领域的语境具有一致的含义,而不应该被理解为理想化的或过于正式的意义。
图1为根据本发明优选实施方式的用于对受监控应用进行病毒隔离的系统100的结构示意图。优选地,系统100通过统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值进行判断以基于判断结果,或通过用户的输入指令将用户设备上的应用标识为受监控应用。随后,系统100在上述应用被标识为受监控应用后,将受监控应用放置到病毒隔离区内。优选地,系统100为用户设备的每个安全功能设置安全级别,并且为病毒隔离区内的每个受监控应用设置风险级别,从而作为病毒隔离的控制基础。优选地,系统100监听所述病毒隔离区内至少一个受监控应用的运行,当第一应用发起针对第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能。随后,系统100响应于访问请求,根据访问请求所涉及的第一安全功能的安全级别以及第一应用的风险级别确定能够保证信息安全的响应策略。最后系统100根据所述响应策略生成响应消息并且利用所述响应消息对第一应用的访问请求进行应答。
如图1所示,系统100包括:设置单元101、监听单元102、控制单元103、响应单元104、识别单元105以及标识单元106。优选地,系统100可以运行在用户设备上。其中用户设备可以是任意类型的移动终端、固定终端、或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、桌面计算机、膝上型计算机、个人数字助理(PDA)、或其任意组合。
优选地,在逻辑上,可以在用户设备上设置病毒隔离区。其中,用户设备通过系统100对病毒隔离区中的项目,例如应用等,进行额外的安全控制。通常,用户设备会对其中的任何项目进行安全保护。但是,由于越来越多的项目需要进行网络访问或交互、需要与其他项目进行交互,因此用户设备不得不放开部分安全限制以对这种交互提供方便。然而,这种安全限制的放开会威胁部分安全级别较高的项目的安全性。例如,用户设备上的游戏应用、银行应用、理财应用等内容,可能面临着极大的安全挑战。为此,在用户设备上设置病毒隔离区以对这些项目进行额外的安全控制。优选地,在用户设备中的非病毒隔离区能够方便用户的操作,这是因为在例如非病毒隔离区中的项目进行网络访问或交互时不需要进行额外的安全控制,并且因此能够提高速度和效率。
优选地,病毒隔离区中的项目存在调用或请求访问用户设备中的各种功能的需求。此外,用户设备中的各种功能可能包括各种安全级别的功能。例如,高安全级别的应用是短信功能,这是因为很多账务操作需要依赖于短信验证码。低安全级别的应用是摄像头功能,这是因为摄像头应用会导致用户的隐私信息(例如文档、账户、密码)泄露。此外,低安全级别的应用还可以是位置功能,这是因为位置功能会暴露用户的位置。
优选地,设置单元101用于为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别。通常,用户设备可以具有各种类型的功能。在各种类型的功能中,部分功能涉及用户设备或用户的信息安全。如上所述的短信功能、摄像头功能和位置功能被恶意应用调用后,会对用户造成损失。为此,系统100会将各种类型的功能划分为安全功能和普通功能,并且系统100会针对部分应用(受监控应用)调用安全功能进行控制,从而保证用户的信息安全。
通常,用户设备上可以运行各种类型的应用。其中各种类型的应用中的部分应用是安全应用、危险应用或安全性未知的应用。当应用被确定为危险应用或安全性未知的应用时,进行安全控制是非常必要的手段。优选地,病毒隔离区通常用于容纳受监控的应用。优选地,当通过统计得到:应用在预定时间内访问任意安全功能的次数的累加值大于阈值时,将应用标识为受监控应用。可替换地,系统100根据用户的输入将应用标识为受监控应用。当应用被标识为受监控应用时,将所述受监控应用放置到病毒隔离区内,从而进行安全控制。
优选地,系统100为安全应用分配的安全级别包括高安全级别和低安全级别。如上所述,高安全级别的安全功能是短信功能,并且低安全级别的应用是摄像头应用或位置应用。优选地,系统100为受监控应用设置的风险级别包括:高风险级别、中风险级别和低风险级别。通常,如上所述,系统100根据应用在预定时间内访问任意安全功能的次数的累加值来确定应用是否应该被标识为受监控应用。进一步地,系统100可以将用于判断的阈值设置为三个阈值:低风险阈值、中风险阈值和高风险阈值。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于低风险阈值且小于中风险阈值时,将这个应用标识为低风险级别的受监控应用。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于中风险阈值且小于高风险阈值时,将这个应用标识为中风险级别的受监控应用。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于高风险阈值时,将这个应用标识为高风险级别的受监控应用。
根据另一种实施方式,系统100可以根据用户的输入将应用标识为受监控应用。在这种情况下,用户可以进一步指定受监控应用的风险级别,例如,高风险级别、中风险级别和低风险级别。
优选地,监听单元102用于监听病毒隔离区内至少一个受监控应用的运行。通常,病毒隔离区用于容纳至少一个受监控应用,从而实现对受监控应用的控制。当所述至少一个受监控应用中的第一应用,发起针对所述多个安全功能中第一安全功能的访问请求时,监听单元102将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能。所述第一应用也可以是特定的受监控应用或第一受监控应用。所属领域技术人员应当了解的是,第一应用可以是至少一个受监控应用中的任意一个受监控应用。同理,所属领域技术人员应当了解的是,第一安全功能可以是多个安全功能中的任意一个安全功能。为了实现安全控制,当第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,监听单元102需要对这种对安全功能的访问进行控制。优选地,为了实现控制,监听单元102将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能,从而避免了第一应用调用第一安全功能的动作可能造成的风险。
优选地,控制单元103,响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息。优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。在这种情况下,根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。在这种情况下,系统100在将指示第一应用被禁止运行的通知消息作为响应消息发送给第一应用后,会禁止第一应用运行。
优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。在这种情况下,根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息。在这种情况下,系统100将第一应用所期望执行的安全功能运行成功的确认消息作为响应消息发送给第一应用。实际上,用户设备并未运行第一应用所期望执行的安全功能,而仅是将其运行成功的欺骗消息发送给第一应用。
预选地,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。在这种情况下,根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。例如,当第一应用希望访问摄像头应用时,响应消息为用户设备不具备摄像头。
优选地,响应单元104利用响应消息对第一应用的访问请求进行应答。如上所述,响应消息可以是指示所述第一应用被禁止运行的通知消息、第一应用所期望执行的安全功能运行成功的确认消息以及所涉及的安全功能不可用的响应消息。
优选地,识别单元105,用于统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。进一步地,系统100可以将用于判断的阈值设置为三个阈值:低风险阈值、中风险阈值和高风险阈值。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于低风险阈值且小于中风险阈值时,将这个应用标识为低风险级别的受监控应用。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于中风险阈值且小于高风险阈值时,将这个应用标识为中风险级别的受监控应用。优选地,当应用在预定时间内访问任意安全功能的次数的累加值大于高风险阈值时,将这个应用标识为高风险级别的受监控应用。
优选地,标识单元106,用于根据用户的输入将应用标识为受监控应用。在这种情况下,用户可以进一步指定受监控应用的风险级别,例如,高风险级别、中风险级别和低风险级别。
图2为根据本发明优选实施方式的移动终端200的结构示意图。如图2所示,移动终端200上设置了病毒隔离区201和非病毒隔离区202。优选地,病毒隔离区201中容纳了受监控应用A1、受监控应用A2、受监控应用A3…受监控应用AN。优选地,非病毒隔离区202中容纳了正常应用A1、正常应用A2、正常应用A3…正常应用AN。
优选地,移动终端200通过统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值进行判断以基于判断结果,或通过用户的输入指令将用户设备上的应用标识为受监控应用。随后,移动终端200在上述应用被标识为受监控应用后,将受监控应用放置到病毒隔离区内。优选地,移动终端200为用户设备的每个安全功能设置安全级别,并且为病毒隔离区内的每个受监控应用设置风险级别,从而作为病毒隔离的控制基础。优选地,移动终端200监听所述病毒隔离区内至少一个受监控应用的运行,当第一应用发起针对第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能。随后,移动终端200响应于访问请求,根据访问请求所涉及的第一安全功能的安全级别以及第一应用的风险级别确定能够保证信息安全的响应策略。最后,移动终端200根据所述响应策略生成响应消息并且利用所述响应消息对第一应用的访问请求进行应答。
图3为根据本发明优选实施方式的利用服务代理进行安全控制的系统300的结构示意图。如图3所示,系统300包括病毒隔离区301、服务代理302和功能区域303。其中病毒隔离区301容纳了受监控应用A1、受监控应用A2、受监控应用A3…受监控应用AN。功能区域303容纳了安全功能G1、安全功能G2、安全功能G3…安全功能GN。
优选地,服务代理302通过统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值进行判断以基于判断结果,或通过用户的输入指令将用户设备上的应用标识为受监控应用。随后,服务代理302在上述应用被标识为受监控应用后,将受监控应用放置到病毒隔离区内。优选地,服务代理302为用户设备的每个安全功能设置安全级别,并且为病毒隔离区内的每个受监控应用设置风险级别,从而作为病毒隔离的控制基础。优选地,服务代理302监听所述病毒隔离区内至少一个受监控应用的运行,当第一应用发起针对第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能。随后,服务代理302响应于访问请求,根据访问请求所涉及的第一安全功能的安全级别以及第一应用的风险级别确定能够保证信息安全的响应策略。最后,服务代理302根据所述响应策略生成响应消息并且利用所述响应消息对第一应用的访问请求进行应答。
图4为根据本发明优选实施方式的安全级别的示意图。如图4所示,高安全级别的应用是短信功能,这是因为很多账务操作需要依赖于短信验证码。低安全级别的应用是摄像头功能和位置功能,这是因为摄像头应用会导致用户的隐私信息(例如文档、账户、密码)泄露并且位置功能会暴露用户的位置。
图5为根据本发明优选实施方式的用于对受监控应用进行病毒隔离的方法500的流程图。优选地,方法500通过统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值进行判断以基于判断结果,或通过用户的输入指令将用户设备上的应用标识为受监控应用。随后,方法500在上述应用被标识为受监控应用后,将受监控应用放置到病毒隔离区内。优选地,方法500为用户设备的每个安全功能设置安全级别,并且为病毒隔离区内的每个受监控应用设置风险级别,从而作为病毒隔离的控制基础。优选地,方法500监听所述病毒隔离区内至少一个受监控应用的运行,当第一应用发起针对第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能。随后,方法500响应于访问请求,根据访问请求所涉及的第一安全功能的安全级别以及第一应用的风险级别确定能够保证信息安全的响应策略。最后方法500根据所述响应策略生成响应消息并且利用所述响应消息对第一应用的访问请求进行应答。
如图5所示,方法500从步骤501处开始。在步骤501处,为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别。在步骤501之前还包括,统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。可替换地,方法500根据用户的输入将应用标识为受监控应用。优选地,在应用被标识为受监控应用后,将所述受监控应用放置到病毒隔离区内。其中,安全级别包括高安全级别和低安全级别,并且风险级别包括:高风险级别、中风险级别和低风险级别。
在步骤502处,监听所述病毒隔离区内至少一个受监控应用的运行,当所述至少一个受监控应用中的第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,不将所述访问请求发送给所述第一安全功能。
在步骤503处,响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息。优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。在这种情况下,根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。
优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应。在这种情况下,所述根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息。
优选地,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。在这种情况下,根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。
在步骤504处,利用所述响应消息对第一应用的访问请求进行应答。
已经通过参考少量实施方式描述了本发明。然而,本领域技术人员所公知的,正如附带的专利权利要求所限定的,除了本发明以上公开的其他的实施例等同地落在本发明的范围内。
通常地,在权利要求中使用的所有术语都根据他们在技术领域的通常含义被解释,除非在其中被另外明确地定义。所有的参考“一个/所述/该[装置、组件等]”都被开放地解释为所述装置、组件等中的至少一个实例,除非另外明确地说明。这里公开的任何方法的步骤都没必要以公开的准确的顺序运行,除非明确地说明。

Claims (17)

1.一种用于对受监控应用进行病毒隔离的系统,所述系统包括:
设置单元,用于为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别;
监听单元,用于监听所述病毒隔离区内至少一个受监控应用的运行,当所述至少一个受监控应用中的第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,将所述访问请求发送给控制单元而不将所述访问请求发送给所述第一安全功能;
控制单元,响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息;其中,当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应;或者,当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应;则所述根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息,而用户设备并未运行第一应用所期望执行的安全功能;
响应单元,利用所述响应消息对第一应用的访问请求进行应答。
2.根据权利要求1所述的系统,还包括识别单元,用于统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。
3.根据权利要求1所述的系统,还包括标识单元,用于根据用户的输入将应用标识为受监控应用。
4.根据权利要求1所述的系统,所述设置单元在应用被标识为受监控应用后,将所述受监控应用放置到病毒隔离区内。
5.根据权利要求1-4中任一项所述的系统,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。
6.根据权利要求5所述的系统,所述根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。
7.根据权利要求1-4中任一项所述的系统,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。
8.根据权利要求7所述的系统,所述根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。
9.一种移动终端,包括或用于执行如权利要求1-8中任意一项所述的系统。
10.一种用于对受监控应用进行病毒隔离的方法,所述方法包括:
为用户设备的多个安全功能中的每个安全功能设置安全级别,并且为病毒隔离区内至少一个受监控应用中的每个受监控应用设置风险级别;
监听所述病毒隔离区内至少一个受监控应用的运行,当所述至少一个受监控应用中的第一应用发起针对所述多个安全功能中第一安全功能的访问请求时,不将所述访问请求发送给所述第一安全功能;
响应于所述访问请求,根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略,根据所述响应策略生成响应消息;其中,当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应;或者,当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是构建与访问请求相对应的虚拟响应;则所述根据所述响应策略生成响应消息包括:根据构建与访问请求相对应的虚拟响应的响应策略,生成指示所述第一应用所期望执行的安全功能运行成功的确认消息,而用户设备并未运行第一应用所期望执行的安全功能;
利用所述响应消息对第一应用的访问请求进行应答。
11.根据权利要求10所述的方法,还包括统计应用在预定时间内访问多个安全功能中任意安全功能的次数的累加值,当所述累加值大于阈值时,将所述应用标识为受监控应用。
12.根据权利要求10所述的方法,还包括根据用户的输入将应用标识为受监控应用。
13.根据权利要求10所述的方法,在应用被标识为受监控应用后,将所述受监控应用放置到病毒隔离区内。
14.根据权利要求10-13中任一项所述的方法,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为高安全级别并且所述第一应用的风险级别为高风险级别时,确定响应策略是禁止第一应用运行。
15.根据权利要求14所述的方法,所述根据所述响应策略生成响应消息包括:根据禁止第一应用运行的响应策略,生成指示所述第一应用被禁止运行的通知消息。
16.根据权利要求10-13中任一项所述的方法,所述根据所述访问请求所涉及的第一安全功能的安全级别以及所述第一应用的风险级别确定能够保证信息安全的响应策略包括:当第一安全功能的安全级别为低安全级别并且所述第一应用的风险级别为中风险级别或低风险级别时,确定响应策略是告知所述访问请求所涉及的安全功能不可用。
17.根据权利要求16所述的方法,所述根据所述响应策略生成响应消息包括:根据告知所述访问请求所涉及的安全功能不可用的响应策略,生成指示所涉及的安全功能不可用的响应消息。
CN201710075911.4A 2017-02-13 2017-02-13 一种用于对受监控应用进行病毒隔离的系统及方法 Active CN107070878B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710075911.4A CN107070878B (zh) 2017-02-13 2017-02-13 一种用于对受监控应用进行病毒隔离的系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710075911.4A CN107070878B (zh) 2017-02-13 2017-02-13 一种用于对受监控应用进行病毒隔离的系统及方法

Publications (2)

Publication Number Publication Date
CN107070878A CN107070878A (zh) 2017-08-18
CN107070878B true CN107070878B (zh) 2020-09-18

Family

ID=59598745

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710075911.4A Active CN107070878B (zh) 2017-02-13 2017-02-13 一种用于对受监控应用进行病毒隔离的系统及方法

Country Status (1)

Country Link
CN (1) CN107070878B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110324486A (zh) * 2019-04-25 2019-10-11 维沃移动通信有限公司 一种应用程序控制方法及终端
CN111818107B (zh) * 2020-09-14 2021-04-27 深圳赛安特技术服务有限公司 网络请求的响应方法、装置、设备及可读存储介质
CN115258858A (zh) * 2022-07-21 2022-11-01 深圳中正信息科技有限公司 门禁和层显集成系统的控制方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101547202A (zh) * 2008-03-28 2009-09-30 三星电子株式会社 处理网络上的装置的安全等级的方法和设备
CN102446259A (zh) * 2010-09-30 2012-05-09 联想(北京)有限公司 组件访问控制方法及电子设备
CN103379089A (zh) * 2012-04-12 2013-10-30 中国航空工业集团公司第六三一研究所 基于安全域隔离的访问控制方法及其系统
CN103686722A (zh) * 2012-09-13 2014-03-26 中兴通讯股份有限公司 访问控制方法及装置
CN103679026A (zh) * 2013-12-03 2014-03-26 西安电子科技大学 一种云计算环境下的恶意程序智能防御系统及防御方法
CN104660578A (zh) * 2014-04-22 2015-05-27 董唯元 一种实现数据安全存储及数据访问控制的系统及其方法
CN105095754A (zh) * 2015-05-11 2015-11-25 北京奇虎科技有限公司 一种处理病毒应用的方法、和装置和移动终端

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101547202A (zh) * 2008-03-28 2009-09-30 三星电子株式会社 处理网络上的装置的安全等级的方法和设备
CN102446259A (zh) * 2010-09-30 2012-05-09 联想(北京)有限公司 组件访问控制方法及电子设备
CN103379089A (zh) * 2012-04-12 2013-10-30 中国航空工业集团公司第六三一研究所 基于安全域隔离的访问控制方法及其系统
CN103686722A (zh) * 2012-09-13 2014-03-26 中兴通讯股份有限公司 访问控制方法及装置
CN103679026A (zh) * 2013-12-03 2014-03-26 西安电子科技大学 一种云计算环境下的恶意程序智能防御系统及防御方法
CN104660578A (zh) * 2014-04-22 2015-05-27 董唯元 一种实现数据安全存储及数据访问控制的系统及其方法
CN105095754A (zh) * 2015-05-11 2015-11-25 北京奇虎科技有限公司 一种处理病毒应用的方法、和装置和移动终端

Also Published As

Publication number Publication date
CN107070878A (zh) 2017-08-18

Similar Documents

Publication Publication Date Title
JP6715887B2 (ja) ユーザのコンピュータ装置への攻撃に対抗するシステムおよび方法
Jeon et al. A practical analysis of smartphone security
EP3182323B1 (en) System and method for controlling access to data using api for users with disabilities
JP4197959B2 (ja) 無線装置の権限なき使用を防止するシステムおよび方法
US8732827B1 (en) Smartphone security system
US10867048B2 (en) Dynamic security module server device and method of operating same
CN105657712B (zh) 一种WiFi热点的访问控制方法和装置
Xie et al. Designing system-level defenses against cellphone malware
CN107070878B (zh) 一种用于对受监控应用进行病毒隔离的系统及方法
JP2010520566A (ja) 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法
Lei et al. A threat to mobile cyber-physical systems: Sensor-based privacy theft attacks on android smartphones
EP3179751B1 (en) Information sending method and apparatus, terminal device, and system
BalaGanesh et al. Smart devices threats, vulnerabilities and malware detection approaches: a survey
CN110730446A (zh) 一种登录方法、终端及计算机存储介质
KR101834808B1 (ko) 파일 암호화 방지 장치 및 방법
CN106355100A (zh) 一种安全保护系统及方法
KR20170057803A (ko) 사용자 접속에 대한 보안 인증 시스템 및 그 방법
CN111783082A (zh) 进程的追溯方法、装置、终端和计算机可读存储介质
CN105791221B (zh) 规则下发方法及装置
KR20160145574A (ko) 모바일 컴퓨팅에서의 보안을 강제하는 시스템 및 방법
Hamandi et al. Messaging attacks on android: vulnerabilities and intrusion detection
US20190163905A1 (en) System, Method, and Apparatus for Preventing Execution of Malicious Scripts
CN110753060A (zh) 一种进程操作控制方法、装置及电子设备和存储介质
CN110619214A (zh) 一种监控软件正常运行的方法和装置
US8973137B1 (en) Systems and methods for detecting illegitimate out-of-band authentication attempts

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
TA01 Transfer of patent application right
TA01 Transfer of patent application right

Effective date of registration: 20170804

Address after: 100102, 18 floor, building 2, Wangjing street, Beijing, Chaoyang District, 1801

Applicant after: BEIJING ANYUN SHIJI SCIENCE AND TECHNOLOGY CO., LTD.

Address before: 100088 Beijing city Xicheng District xinjiekouwai Street 28, block D room 112 (Desheng Park)

Applicant before: Beijing Qihu Technology Co., Ltd.

SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant