一种对应用进行监控的方法及系统

1.一种对应用进行监控的方法，应用于使用开源操作系统的终端中，包括：
实时对本地应用进行监控；
在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，则禁止所述应用调用所述系统资源；所述根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，具体包括：根据记录的所述应用对应的调用操作信息，判断出记录的所述应用调用所述系统资源的次数已达到最大次数值；
若根据所述预配置的安全策略判断出所述应用具有调用所述系统资源的权限，则允许所述应用调用所述系统资源，并在所述应用调用所述系统资源后，记录此次调用操作信息；
其中，记录此次调用操作信息包括：记录所述应用调用所述系统资源的次数；
所述安全策略中设置有应用使用系统资源的最大次数；通过以下方式之一获得所述预配置的安全策略：
终端提供人机交互界面供用户自设置所述安全策略；
在设置了服务器同步分析管控的情况下，终端从指定服务器侧定期或不定期地获取所述安全策略并更新到本地。
2.如权利要求1所述的方法，其特征在于，所述方法还包括：
所述终端将记录的各应用调用系统资源的操作信息定期或不定期的更新到服务器，由所述服务器根据从各终端处接收到的所述操作信息进行分析整理后，更新所述服务器上的安全策略。
3.如权利要求1所述的方法，其特征在于，
所述禁止该应用调用该系统资源，具体包括：
提示用户所述应用请求调用所述系统资源；
在接收到所述用户发来的禁止所述应用调用所述系统资源的命令后，禁止该应用调用该系统资源。
4.一种对应用进行监控的系统，应用于使用开源操作系统的终端中，包括：
第一装置，用于实时对本地应用进行监控；
第二装置，用于在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，则禁止所述应用调用所述系统资源；还用于若根据所述预配置的安全策略判断出所述应用具有调用所述系统资源的权限，则允许所述应用调用所述系统资源，并在所述应用调用所述系统资源后，记录此次调用操作信息；其中，记录此次调用操作信息包括：所述第二装置用于记录所述应用调用所述系统资源的次数；
所述第二装置用于根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，具体包括：第二装置用于根据记录的所述应用对应的调用操作信息，判断出记录的所述应用调用所述系统资源的次数已达到最大次数值；
所述安全策略中设置有应用使用系统资源的最大次数；通过以下方式之一获得所述预配置的安全策略：
终端提供人机交互界面供用户自设置所述安全策略；
在设置了服务器同步分析管控的情况下，终端从指定服务器侧定期或不定期地获取所述安全策略并更新到本地。
5.如权利要求4所述的系统，其特征在于，还包括：
第三装置，用于将所述第二装置记录的各应用调用系统资源的操作信息定期或不定期的更新到服务器。
6.如权利要求4所述的系统，其特征在于，
所述第二装置用于禁止该应用调用该系统资源，具体包括：
所述第二装置用于提示用户所述应用请求调用所述系统资源；在接收到所述用户发来的禁止所述应用调用所述系统资源的命令后，用于禁止该应用调用该系统资源。

一种对应用进行监控的方法及系统\n技术领域\n[0001] 本发明涉及移动终端领域，尤其涉及一种对应用进行监控的方法及系统。\n背景技术\n[0002] 在日益竞争激烈的电子市场，为了提高用户体验，越来越多的多模终端集成了网络应用，来满足用户类似于在PC机上对网络的需求，事实证明这类集成了大量网络应用的电子设备受到了用户一致的追捧，并被视为高端电子消费的高优先配置选择。\n[0003] 值得一提的是，在OHA（Open Handset Alliance，开放手机联盟）联盟支持的开源Android（安卓） OS（Open source，源代码开放，亦可简称为开源）系统中，本身自带了对互联网应用很好的支持度，Android平台中集成了大量如Email（电子邮箱）、Market（市场）、Youtube等需要大量数据业务支持的应用。同时Android移动终端还提供了多种安装应用的手段，包括从android market（安卓市场）下载、从internet（互联网）上下载、从SD（Secure Digital Card，安全数码卡）卡直接安装等等。\n[0004] 随着成千上万的Android应用海量涌入用户选择范围，巨大的安全隐患也随之出现。众所周知，Android平台是一个很开放的平台，应用可以轻易的获取各种系统资源的使用权限，比如使用数据业务、使用无线通讯业务、拷贝手机上的私人信息等等。\n[0005] 下面用一个简单的例子进行说明。用户在安装应用时，应用至多给出以下两种简单的提示：1、是否支持未知来源安装；2、本应用需要使用到哪些系统资源。而用户一旦选择了未知来源安装并许可了该应用提出的需要使用系统资源的要求后，用户对该应用如何使用系统资源（包括频率、内容等）将毫不知情。一旦用户不经意的安装了恶意应用，用户的个人隐私和通讯费用将陷入恶意应用的黑洞，该应用可以随意使用移动终端的各个系统资源。随着Android终端的普及，运营商和设备生产厂商已经收到越来越多的关于Android终端安全隐患方面的投诉。\n发明内容\n[0006] 本发明的目的是提供一种对应用进行监控的方法及系统，以解决现有使用开源操作系统的终端存在的安全隐患问题。\n[0007] 为解决上述问题，本发明提供了一种对应用进行监控的方法，应用于使用开源操作系统的终端中，包括：\n[0008] 实时对本地应用进行监控；\n[0009] 在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，则禁止所述应用调用所述系统资源。\n[0010] 进一步地，所述方法还包括：\n[0011] 若根据所述预配置的安全策略判断出所述应用具有调用所述系统资源的权限，则允许所述应用调用所述系统资源，并在所述应用调用所述系统资源后，记录此次调用操作信息。\n[0012] 进一步地，所述方法还包括：\n[0013] 所述终端将记录的各应用调用系统资源的操作信息定期或不定期的更新到服务器，由所述服务器根据从各终端处接收到的所述操作信息进行分析整理后，更新所述服务器上的安全策略。\n[0014] 进一步地，\n[0015] 所述安全策略中设置有应用使用系统资源的最大次数；\n[0016] 记录此次调用操作信息包括：记录所述应用调用所述系统资源的次数；\n[0017] 所述根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，具体包括：\n[0018] 根据记录的所述应用对应的调用操作信息，判断出记录的所述应用调用所述系统资源的次数已达到所述最大次数值。\n[0019] 进一步地，\n[0020] 所述终端通过以下方式之一获得所述预配置的安全策略：\n[0021] 所述终端提供人机交互界面供用户自设置所述安全策略；\n[0022] 所述终端从指定服务器侧定期或不定期地获取所述安全策略并更新到本地。\n[0023] 进一步地，\n[0024] 所述禁止该应用调用该系统资源，具体包括：\n[0025] 提示用户所述应用请求调用所述系统资源；\n[0026] 在接收到所述用户发来的禁止所述应用调用所述系统资源的命令后，禁止该应用调用该系统资源。\n[0027] 相应地，本发明还提供了一种对应用进行监控的系统，应用于使用开源操作系统的终端中，包括：\n[0028] 第一装置，用于实时对本地应用进行监控；\n[0029] 第二装置，用于在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，则禁止所述应用调用所述系统资源。\n[0030] 进一步地，\n[0031] 所述第二装置还用于若根据所述预配置的安全策略判断出所述应用具有调用所述系统资源的权限，则允许所述应用调用所述系统资源，并在所述应用调用所述系统资源后，记录此次调用操作信息。\n[0032] 进一步地，所述系统还包括：\n[0033] 第三装置，用于将所述第二装置记录的各应用调用系统资源的操作信息定期或不定期的更新到服务器。\n[0034] 进一步地，\n[0035] 所述安全策略中设置有应用使用系统资源的最大次数；\n[0036] 所述第二装置用于记录此次调用操作信息包括：所述第二装置用于记录所述应用调用所述系统资源的次数；\n[0037] 所述第二装置用于根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，具体包括：\n[0038] 第二装置用于根据记录的所述应用对应的调用操作信息，判断出记录的所述应用调用所述系统资源的次数已达到所述最大次数值。\n[0039] 进一步地，\n[0040] 所述第二装置用于禁止该应用调用该系统资源，具体包括：\n[0041] 所述第二装置用于提示用户所述应用请求调用所述系统资源；在接收到所述用户发来的禁止所述应用调用所述系统资源的命令后，用于禁止该应用调用该系统资源。\n[0042] 采用本发明后，达到了提高数据业务和无线应用的安全性能、有效保护用户个人隐私的同时帮助降低用户数据业务资费和无线应用资费的目的，提高了用户体验度，既能满足用户对海量应用的随意安装需求，又能提高终端数据业务和无线通讯业务的安全性能，提高了运营商和设备生产厂商对终端设备的安全控制能力及终端的应用安全性能。\n附图说明\n[0043] 图1为本发明实施例中对应用进行监控的方法流程图；\n[0044] 图2为用户配置和查看安全信息设计实现流程的实施流程图；\n[0045] 图3为终端安全信息收集和安全策略实现流程设计的实施流程图；\n[0046] 图4为终端厂商或运营商终端侧安全策略设计实施流程图；\n[0047] 图5为终端厂商或运营商服务器侧安全策略设计实施流程图；\n[0048] 图6为本发明应用示例流程图。\n具体实施方式\n[0049] 为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。\n[0050] 在本实施例中，一种对应用进行监控的方法，应用于使用开源操作系统的终端中，如图1所示，包括：\n[0051] 实时对本地应用进行监控；\n[0052] 在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出该应用不具有调用该系统资源的权限，则禁止该应用调用该系统资源。\n[0053] 其中，终端可通过以下方式获得上述预配置的安全策略：\n[0054] 方式一：提供人机交互界面供用户自设置安全策略；\n[0055] 方式二：从指定服务器侧定期或不定期地更新安全策略。\n[0056] 在上述方法中，若根据预配置的安全策略判断出该应用具有调用该系统资源的权限，则允许该应用调用该系统资源，并在该应用调用该系统资源后，记录此次调用操作。其中，记录的内容可包括：该应用的名称、调用的系统资源的名称及调用次数，还可以记录使用系统资源的时间和时长。\n[0057] 当用户想查看系统资源使用情况时，终端可以将其记录的调用操作详情显示给用户。另外，终端还可以将记录的各应用调用系统资源的操作信息定期或不定期的更新到指定服务器侧，由服务器根据从各终端处接收到的上述操作信息进行分析整理，以更新本地安全策略。\n[0058] 此外，上述安全策略中设置有应用使用系统资源的最大次数；则根据预配置的安全策略判断出该应用不具有调用该系统资源的权限可以是：根据该应用对应的调用操作记录，判断出该应用调用该系统资源的次数已达到上述最大次数的值。\n[0059] 禁止该应用调用该系统资源，可以是指：提示用户该应用请求调用该系统资源；\n并在接收到用户发来的禁止该应用调用该系统资源的命令后，禁止该应用调用该系统资源。此外，若接收到用户发来的允许该应用调用该系统资源的命令后，可允许该应用调用该系统资源。\n[0060] 采用上述方法后，可以让用户及时的知道恶意应用对资源的调用统计分析，配合终端厂商或运营商部署的服务器来统计分析恶意应用，尽可能的减少用户使用恶意应用的安全风险。通过服务器的强大计算统计能力，和终端厂商、运营商的强大信息来源、信息安全知识库来协助用户方法恶意应用的安全风险。\n[0061] 为对本发明进行进一步说明，从以下几方面进行进一步说明：\n[0062] 用户配置和查看安全信息流程；\n[0063] 终端安全信息收集和安全策略实现流程；\n[0064] 终端厂商或运营商终端侧安全策略设计流程；\n[0065] 终端厂商或运营商服务器侧安全策略设计流程。\n[0066] 如图2所示，用户配置和查看安全信息流程包括：\n[0067] 步骤一，终端上电完成开机启动；\n[0068] 步骤二，终端启动并实时监测终端行为；\n[0069] 步骤三，用户通过菜单配置开启和关闭实时数据业务、无线通讯业务及其他系统资源的使用通知；\n[0070] 步骤四：用户配置至少部分应用使用系统资源的权限信息；\n[0071] 步骤五，用户通过菜单可以查看终端截获的应用发送的数据业务和无线通讯业务和其他系统资源的请求；\n[0072] 步骤六，若用户开启了安全信息使用通知，在收到配置的应用请求使用配置的系统资源的请求时，使用提示框来提示用户是否需要禁止该请求；\n[0073] 步骤七，在出厂设置中，若设置了服务器同步分析管控的情况下，终端可供用户查看服务器管控了哪些应用和详细的安全策略介绍。\n[0074] 如图3所示，终端安全信息收集和安全策略实现流程，包括如下步骤：\n[0075] 步骤一，终端上电开机启动；\n[0076] 步骤二，读取用户配置信息，如果用户尚未配置，以出厂设置为默认；\n[0077] 步骤三，实时监控本终端上安装的应用发送的调用系统资源的API（Application Programming Interface，应用程序编程接口）；\n[0078] 步骤四，监控到用户配置的或系统配置的应用调用系统资源的API时记录以下信息：应用的名称、调用的系统资源名称、使用系统资源的时间和时长、调用次数等；\n[0079] 步骤五，在设置了服务器同步分析管控的情况下，调用从服务器侧同步的安全策略，过滤恶意应用发起的系统资源调用请求，并记录该信息供用户监控查看；\n[0080] 步骤六，统计终端安全信息，如进行被监控的应用发起的系统资源调用请求的统计分析；\n[0081] 步骤七，在设置了服务器同步分析管控的情况下，终端侧可将本地记录的应用请求调用的系统资源的信息同步到服务器侧；\n[0082] 步骤八，在设置了服务器同步分析管控的情况下，定期或不定期地同步服务器侧的安全策略。\n[0083] 如图4所示，终端厂商或运营商终端侧同步安全策略的过程如下：\n[0084] 步骤一，终端上电开机启动；\n[0085] 步骤二，在被激活安全管控功能后，终端上报本终端记录的应用请求使用资源的信息到终端厂商或运营商部署的网络服务器中；\n[0086] 步骤三，待机时，终端等待终端厂商或运营商部署的网络服务器的安全策略更新；\n[0087] 步骤四，当有新的安全策略可以更新时，提示用户有最新的安全策略，并询问是否需要及时更新安装最新的安全策略；在用户选择更新后，将新的安全策略下载到本地；\n[0088] 步骤五，启动实时应用监控安全策略；\n[0089] 步骤六，当监控到有策略范围内的系统资源被使用时，拦截并记录信息供用户查看；\n[0090] 步骤七，当某应用调用系统资源的频率达到一定限度时，判断出该应用为恶意应用，并及时通知用户提示该应用的安全风险；\n[0091] 步骤八，协助用户卸载识别出的恶意应用。即向用户提供询问是否卸载该应用的界面，如用户选择卸载操作，则直接跳转到卸载该应用的入口界面供用户进行后续卸载操作。\n[0092] 如图5所示，终端厂商或运营商服务器侧安全策略设计流程如下：\n[0093] 步骤一：在网络侧配置服务器，部署需要管控的终端的型号批次信息；此时就要求终端在上报记录的应用请求调用的系统资源的信息时，一并上报自身的型号及批次信息；\n[0094] 步骤二，服务器实时收集符合配置的需要管控的终端的型号批次的终端上报的系统资源的使用信息。\n[0095] 步骤三，批量统计分析恶意应用；\n[0096] 步骤四，筛选恶意应用，并将该恶意应用写入安全策略；\n[0097] 步骤五，定期的将安全策略同步到终端，防控恶意应用滥用用户资源，遏制安全隐患波及范围；\n[0098] 步骤六，定期统计其他渠道获得的安全管控信息，并及时的将根据这些安全管控信息更新的安全策略同步到终端，防控恶意应用滥用用户资源，遏制安全隐患波及范围。\n[0099] 在本实施例中，一种对应用进行监控的系统，应用于使用开源操作系统的终端中，包括：\n[0100] 第一装置，用于实时对本地应用进行监控；\n[0101] 第二装置，用于在监控到本地应用欲调用系统资源时，若根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，则禁止所述应用调用所述系统资源。\n[0102] 较佳地，\n[0103] 所述第二装置还用于若根据所述预配置的安全策略判断出所述应用具有调用所述系统资源的权限，则允许所述应用调用所述系统资源，并在所述应用调用所述系统资源后，记录此次调用操作信息。\n[0104] 较佳地，所述系统还包括：\n[0105] 第三装置，用于将所述第二装置记录的各应用调用系统资源的操作信息定期或不定期的更新到服务器。\n[0106] 较佳地，\n[0107] 所述安全策略中设置有应用使用系统资源的最大次数；\n[0108] 所述第二装置用于记录此次调用操作信息包括：所述第二装置用于记录所述应用调用所述系统资源的次数；\n[0109] 所述第二装置用于根据预配置的安全策略判断出所述应用不具有调用所述系统资源的权限，具体包括：\n[0110] 第二装置用于根据记录的所述应用对应的调用操作信息，判断出记录的所述应用调用所述系统资源的次数已达到所述最大次数值。\n[0111] 较佳地，\n[0112] 所述第二装置用于禁止该应用调用该系统资源，具体包括：\n[0113] 所述第二装置用于提示用户所述应用请求调用所述系统资源；在接收到所述用户发来的禁止所述应用调用所述系统资源的命令后，用于禁止该应用调用该系统资源。\n[0114] 以下将结合附图和实施例对本发明进行描述。\n[0115] 本实施例以某运营商定制要求和用户体验改善需求为例来设计，对本发明进行全面阐述，根据用户启动的不同应用使用的不同系统资源，对应到不同的三种场景，这三种场景分别为：\n[0116] 场景一：各个运营商定制的应用请求使用系统资源时的场景。这种场景的安全管控，安全管控量可以减到最低，该类应用是可靠的、可信的安全应用，可以任意调用使用终端的系统资源。但终端还是需要使用安全管控来统计调用次数，供用户查看，保护用户的知情权；\n[0117] 场景二：用户自行在可靠的应用市场下载的应用，请求使用系统资源时的场景。在此种场景下，应用的来源可查，因此可在安全策略中对各应用市场进行安全等级划分。可靠的应用市场下载的应用，一般不提示用户进行安全监控设置，安全监控系统可适当减低。\n[0118] 用户安装该应用时，不需要启动安全策略。用户在该类应用调用资源时，不控制，仅记录该操作简单信息，当该类应用使用系统资源到一定额度时，要及时提示用户安全风险，并协助用户关闭卸载该应用。当有新的安全策略由服务器同步到终端时，检查该类应用是否在新的策略管控范围，如果是，提示通知用户关闭卸载。\n[0119] 场景三：各个用户自行在网络上下载的应用，即通过网络安装或通过下载到SD卡来安装的应用，请求使用系统资源时的场景。在这种场景下，应用的来源不可查，来源很不安全。必须将安全控制系数提到最高，提示用户进行安全监控设置，并在安装时通过安全策略进行过滤，如果已经在安全策略禁止范围，要提示用户，如果该应用有过轻微的恶意调用记录，也要告知应用。如果用户执意安装，当该类应用使用系统资源到一定额度时，要及时提示用户安全风险，并协助用户关闭卸载该应用。\n[0120] 针对上面的三个场景，下面列出具体实施中的步骤，该步骤可配合图6进行说明，步骤如下：\n[0121] 101，终端上电开机启动；\n[0122] 102，用户通过菜单自行配置需要进行监控的应用和监控的系统资源项目，不配置的情况下，按终端出厂设置来配置；\n[0123] 103，用户启动有资源调用需求的应用；\n[0124] 104，若该应用是各个运营商定制的应用，由于是系统的内置应用，该类应用是可靠的、可信的安全应用，因此可以任意调用终端的系统资源。终端在该类应用调用系统资源时，不进行控制，仅记录该操作简单信息，使用安全管控来统计调用次数供用户查看，保护用户的知情权；\n[0125] 105，若该应用是用户自行在可靠的应用市场下载的应用，可根据应用市场本身的安全控制系数进行分级，对于可靠的应用市场下载的应用，一般不提示用户进行安全监控设置，安全监控系数可适当减低。用户安装该应用时，不需要启动安全策略。用户在该类应用调用资源时，不控制，仅记录该操作简单信息，当该类应用使用系统资源到一定额度时，要及时提示用户安全风险，并协助用户关闭卸载该应用。当有新的安全策略由服务器同步到终端时，检查该类应用是否在新的策略管控范围，如果是，提示通知用户关闭卸载；\n[0126] 106，若该应用是用户自行在网络上下载的应用，即通过网络安装或通过下载到SD卡来安装的应用，终端可提示用户进行安全监控设置，并在安装时通过安全策略来过滤，如果已经在安全策略禁止范围，要提示用户，如果该应用有过轻微的恶意调用记录，也要告知应用。如果用户执意安装，当该类应用使用系统资源到一定额度时，要及时提示用户安全风险，并协助用户关闭卸载该应用；\n[0127] 107，用户可查看所有应用的资源调用统计记录信息；\n[0128] 108，用户通过菜单来配置各个应用的资源调用权限，防止恶意应用的安全隐患。\n[0129] 本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。\n[0130] 以上所述仅为本发明的优选实施例而已，并非用于限定本发明的保护范围。根据本发明的发明内容，还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。