CN104899516A - 一种访问行为控制系统及移动终端 - Google Patents
一种访问行为控制系统及移动终端 Download PDFInfo
- Publication number
- CN104899516A CN104899516A CN201510250302.9A CN201510250302A CN104899516A CN 104899516 A CN104899516 A CN 104899516A CN 201510250302 A CN201510250302 A CN 201510250302A CN 104899516 A CN104899516 A CN 104899516A
- Authority
- CN
- China
- Prior art keywords
- access
- control
- application program
- mobile terminal
- access behavior
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明公开了一种访问行为控制系统及移动终端,属于移动终端技术领域;系统包括多个控制端和设定端;每个控制端包括在一对应的移动终端内;每个控制端包括:第一控制单元,用于根据预设的访问权限控制移动终端内的应用程序对移动终端的系统内容执行的访问行为;第二控制单元,用于根据访问权限控制应用程序对移动终端的用户内容执行的访问行为;通信单元,分别连接第一控制单元和第二控制单元,并远程连接设定端;设定端用于根据每个控制端上报的同一个应用程序的访问记录设定对应的应用程序的访问权限。上述技术方案的有益效果是:采用上下一致不可旁路的访问权限策略控制严格应用程序的访问行为,提升移动终端的系统安全性能。
Description
技术领域
本发明涉及移动终端技术领域,尤其涉及一种访问行为控制系统及移动终端。
背景技术
随着移动终端越来越智能化,其中可被攻击的漏洞也越来越多,其针对移动终端的攻击手法也越来越多样且更加隐蔽复杂。传统的安全监管软件,通常都是根据应用程序的行为特征,在恶意代码已经入侵的情况下才被动发现异常访问行为并进行防御,而此时移动终端的软硬件系统有可能已经遭到破坏,即采用传统的移动终端安全监管策略有可能造成事后监管,从而导致一些不可挽回的损失。
发明内容
根据现有技术中存在的问题,现提供一种访问行为控制系统及移动终端的技术方案,旨在解决现有技术中对于应用程序访问行为的监控比较滞后的问题;
上述技术方案具体包括:
一种访问行为控制系统,其中,包括多个控制端和设定端;
每个所述控制端包括在一对应的移动终端内;
每个所述控制端包括:
第一控制单元,用于根据预设的访问权限控制所述移动终端内的应用程序对所述移动终端的系统内容执行的所述访问行为;
第二控制单元,用于根据所述访问权限控制所述应用程序对所述移动终端的用户内容执行的所述访问行为;
通信单元,分别连接所述第一控制单元和所述第二控制单元,并远程连接所述设定端,以供所述控制端远程连接所述设定端;
所述设定端用于根据每个所述控制端上报的同一个所述应用程序的访问记录设定对应的所述应用程序的所述访问权限,并将设定完成的所述访问权限发送至所述控制端。
优选的,该访问行为控制系统,其中,每个所述控制端还包括:
日志上报单元,连接所述通信单元,用于向所述设定端上报关联于相应的所述应用程序的所述访问行为的访问日志。
优选的,该访问行为控制系统,其中,所述设定端包括:
分析单元,用于根据对应的所述应用程序的多个所述访问日志,分析得到对应的所述应用程序的访问规律;
设定单元,连接所述分析单元,用于根据对应的所述应用程序的所述访问规律,设定对应的所述应用程序的访问权限;
下发单元,连接所述设定单元,用于向相应的所述控制端下发所述访问权限。
优选的,该访问行为控制系统,其中,每个所述控制端还包括:
监测单元,连接所述通信单元,用于监控所述应用程序的异常访问行为,并将表示所述异常访问行为的异常访问日志上报至所述设定端;
所述设定端根据所述异常访问日志调整对应的所述应用程序的所述访问权限,并重新下发至所述控制端。
优选的,该访问行为控制系统,其中,所述控制端于Linux操作环境下运行。
优选的,该访问行为控制系统,其中,所述第一控制单元为KSMAC控制单元。
优选的,该访问行为控制系统,其中,所述第二控制单元为USMAC控制单元。
一种移动终端,其中,包括上述的访问行为控制系统中的一个控制端。
上述技术方案的有益效果是:提供一种访问行为控制系统,以采用上下一致不可旁路的访问权限策略控制严格应用程序的访问行为,避免出现恶意代码已经入侵移动终端才发现应用程序的异常访问行为的情况发生,提升移动终端的系统安全性能,提升使用者的使用体验。
附图说明
图1是本发明的较佳的实施例中,一种访问行为控制系统的总体结构示意图;
图2是本发明的较佳的实施例中,每个控制端的结构示意图;
图3是本发明的较佳的实施例中,设定端的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动的前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在不冲突的情况下,本发明中的实施例及实施例中的特征可以相互组合。
下面结合附图和具体实施例对本发明作进一步说明,但不作为本发明的限定。
本发明的较佳的实施例中,针对现有技术中存在的上述问题,现提供一种访问行为控制系统的技术方案,其结构具体如图1所示,包括多个控制端A和一个设定端B。本发明的较佳的实施例中,每个控制端A设置于一个相应的移动终端内。设定端B分别与每个控制端A之间远程连接。
则本发明的较佳的实施例中,每个控制端A中包括:
第一控制单元A1。本发明的较佳的实施例中,第一控制单元A1用于根据预设的访问权限控制移动终端内的应用程序对移动终端的系统内容执行的访问行为;
第二控制单元A2。本发明的较佳的实施例中,第二控制单元A2用于根据访问权限控制应用程序对移动终端的用户内容执行的访问行为。
换言之,本发明的较佳的实施例中,在控制端A中包括第一控制单元A1和第二控制端A2,其分别采用上下一致且不可旁路的访问权限策略控制相应的应用程序的访问行为:
第一控制单元A1根据该访问权限控制应用程序对移动终端的系统内容执行的访问行为,例如控制应用程序作为主体对移动终端的内核所识别的设备、和/或文件、和/或套接字等客体的访问,即控制应用程序对移动终端的内核空间的访问行为。
第二控制单元A2根据该访问权限控制应用程序对移动终端的用户内容执行的访问行为,例如控制应用程序作为主体对移动终端的用户空间内生成的录音、和/或短信、和/或电话等客体的访问。
本发明的一个较佳的实施例中,上述控制端A在Linux操作环境下运行。则上述第一控制单元A1可以为一KSMAC(内核空间强制访问控制子系统)控制单元,用于控制应用程序作为主体对移动终端的内核空间中的内容的访问行为。
本发明的一个较佳的实施例中,上述控制端A在Linux操作环境下运行,则上述第二控制单元A2可以为一USMAC(用户控件强制访问控制子系统)控制单元,用于控制应用程序作为主体对移动终端的用户空间中的内容的访问行为。
综上所述,本发明技术方案中,采用一个设置于移动终端内部的控制端,以上下一致不可旁路的访问权限控制策略控制分别应用程序作为主体对移动终端的内核空间中的内容以及对移动终端的用户空间中的内容的访问行为。
本发明的较佳的实施例中,上述控制端对于应用程序的访问行为的控制,具体为:根据访问权限监控应用程序的访问行为,对访问行为进行强制性的判决,并阻止应用程序作为主体实施的超越访问权限的异常访问行为,对于异常访问行为进行日志记录及报警等处理,从而有效提升了对于应用程序的系统级监管的安全性能。
本发明的较佳的实施例中,仍然如图1所示,每个控制端A中还包括:
通信单元A3,分别连接第一控制单元A1和第二控制单元A2,并远程连接设定端B。本发明的较佳的实施例中,每个控制端A通过相应的通信单元A3与设定端B之间实现远程的数据传输。
本发明的较佳的实施例中,上述设定端B设置于一远程服务器中。
则本发明的较佳的实施例中,移动终端获取一远程服务器针对不同的应用程序设定的不同的访问权限,并根据该访问权限对相应的应用程序作为主体对移动终端的内核空间以及用户空间的访问行为进行上下一致且不可旁路的访问控制。
具体地,本发明的较佳的实施例中,如图2所示,每个控制端A中还包括:
日志上报单元A4,连接通信单元A3。本发明的较佳的实施例中,日志上报单元A4用于向设定端B上报关联于相应的应用程序的访问行为的访问日志。换言之,本发明的较佳的实施例中,每个控制端A均将关联于其监控的应用程序的不同的访问行为的日志上报给设定端B,以供设定端进行操作。
本发明的较佳的实施例中,依照上文所述,如图3所示,上述设定端B中包括:
分析单元B1,用于根据对应的应用程序的多个访问日志,分析得到对应的应用程序的访问规律。具体地,本发明的较佳的实施例中,分析单元B1根据一个特定的应用程序在不同的移动终端内的访问行为,以找到这些正常的访问行为的访问规律并输出。本发明的较佳的实施例中,所谓访问规律,可以包括一个应用程序访问移动终端的内核空间和/或用户空间时通常进行的访问行为和数据处理动作等。
设定单元B2,连接分析单元B1,用于根据对应的应用程序的访问规律,设定对应的应用程序的访问权限。本发明的较佳的实施例中,设定单元B2根据上述访问规律,设定相应的一个应用程序的具有普遍适用性的访问权限。
下发单元B3,连接设定单元B2。本发明的较佳的实施例中,下发单元B3用于向相应的控制端A下发访问权限。具体地,本发明的较佳的实施例中,下发至相应的控制端A的访问权限,被用于对其中相应的应用程序进行访问行为的控制操作。
换言之,本发明的较佳的实施例中,设定端B通过收集应用程序于不同时段内在不同的移动终端内执行的访问行为,并通过自学习的机制获取相应的访问规律,按照该访问规律制定关联于该应用程序的访问权限,随后设定端B将该访问权限下发,相应的控制端A根据下发的访问权限对应用程序的访问行为进行控制。
本发明的较佳的实施例中,仍然如图2所示,每个控制端A中还包括:
监测单元A5,连接通信单元A3。本发明的较佳的实施例中,监测单元A5用于监控应用程序的异常访问行为,并将表示异常访问行为的异常访问日志上报至设定端B。
则本发明的较佳的实施例中,设定端B根据异常访问日志调整对应的应用程序的访问权限,并重新下发至控制端A。换言之,本发明的较佳的实施例中,设定端B始终处于自学习的状态,根据收集得到的关联于应用程序的正常访问行为的访问日志,和/或关联于应用程序的异常访问行为的异常访问日志,不断调整相应的应用程序的访问权限并下发,以达到动态控制移动终端内应用程序的访问权限的目的。
综上所述,本发明技术方案中,通过远程服务端的自学习功能,不断收集关联于各个移动终端内的应用程序的访问行为的访问日志,并根据访问日志分析获取相应的应用程序的访问规律,根据访问规律处理得到相应的应用程序的访问权限,并将该访问权限下发。移动终端根据该访问权限,采用上下一致且不可旁路的访问权限控制方式对应用程序的访问行为进行严格控制,从而提升整个移动终端的系统安全性能。
本发明的较佳的实施例中,还提供一种移动终端,其中包括上文中所述的访问行为控制系统中的一个控制端。
以上所述仅为本发明较佳的实施例,并非因此限制本发明的实施方式及保护范围,对于本领域技术人员而言,应当能够意识到凡运用本发明说明书及图示内容所作出的等同替换和显而易见的变化所得到的方案,均应当包含在本发明的保护范围内。
Claims (8)
1.一种访问行为控制系统,其特征在于,包括多个控制端和设定端;
每个所述控制端包括在一对应的移动终端内;
每个所述控制端包括:
第一控制单元,用于根据预设的访问权限控制所述移动终端内的应用程序对所述移动终端的系统内容执行的所述访问行为;
第二控制单元,用于根据所述访问权限控制所述应用程序对所述移动终端的用户内容执行的所述访问行为;
通信单元,分别连接所述第一控制单元和所述第二控制单元,并远程连接所述设定端,以供所述控制端远程连接所述设定端;
所述设定端用于根据每个所述控制端上报的同一个所述应用程序的访问记录设定对应的所述应用程序的所述访问权限,并将设定完成的所述访问权限发送至所述控制端。
2.如权利要求1所述的访问行为控制系统,其特征在于,每个所述控制端还包括:
日志上报单元,连接所述通信单元,用于向所述设定端上报关联于相应的所述应用程序的所述访问行为的访问日志。
3.如权利要求2所述的访问行为控制系统,其特征在于,所述设定端包括:
分析单元,用于根据对应的所述应用程序的多个所述访问日志,分析得到对应的所述应用程序的访问规律;
设定单元,连接所述分析单元,用于根据对应的所述应用程序的所述访问规律,设定对应的所述应用程序的访问权限;
下发单元,连接所述设定单元,用于向相应的所述控制端下发所述访问权限。
4.如权利要求1所述的访问行为控制系统,其特征在于,每个所述控制端还包括:
监测单元,连接所述通信单元,用于监控所述应用程序的异常访问行为,并将表示所述异常访问行为的异常访问日志上报至所述设定端;
所述设定端根据所述异常访问日志调整对应的所述应用程序的所述访问权限,并重新下发至所述控制端。
5.如权利要求1所述的访问行为控制系统,其特征在于,所述控制端于Linux操作环境下运行。
6.如权利要求5所述的访问行为控制系统,其特征在于,所述第一控制单元为KSMAC控制单元。
7.如权利要求5所述的访问行为控制系统,其特征在于,所述第二控制单元为USMAC控制单元。
8.一种移动终端,其特征在于,包括如权利要求1-7所述的访问行为控制系统中的一个控制端。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510250302.9A CN104899516A (zh) | 2015-05-15 | 2015-05-15 | 一种访问行为控制系统及移动终端 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510250302.9A CN104899516A (zh) | 2015-05-15 | 2015-05-15 | 一种访问行为控制系统及移动终端 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104899516A true CN104899516A (zh) | 2015-09-09 |
Family
ID=54032176
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510250302.9A Pending CN104899516A (zh) | 2015-05-15 | 2015-05-15 | 一种访问行为控制系统及移动终端 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104899516A (zh) |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159070A1 (en) * | 2001-05-28 | 2003-08-21 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| US20060123101A1 (en) * | 2004-11-22 | 2006-06-08 | Veradasys, Inc. | Application instrumentation and monitoring |
| CN101288084A (zh) * | 2005-10-13 | 2008-10-15 | 株式会社Ntt都科摩 | 便携终端、访问控制管理装置以及访问控制管理方法 |
| CN101655892A (zh) * | 2009-09-22 | 2010-02-24 | 成都市华为赛门铁克科技有限公司 | 一种移动终端和访问控制方法 |
-
2015
- 2015-05-15 CN CN201510250302.9A patent/CN104899516A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030159070A1 (en) * | 2001-05-28 | 2003-08-21 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| US20060123101A1 (en) * | 2004-11-22 | 2006-06-08 | Veradasys, Inc. | Application instrumentation and monitoring |
| CN101288084A (zh) * | 2005-10-13 | 2008-10-15 | 株式会社Ntt都科摩 | 便携终端、访问控制管理装置以及访问控制管理方法 |
| CN101655892A (zh) * | 2009-09-22 | 2010-02-24 | 成都市华为赛门铁克科技有限公司 | 一种移动终端和访问控制方法 |
Non-Patent Citations (1)
| Title |
|---|
| 刘洋: "立体安全防御系统", 《计算机科学》 * |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3895046B1 (en) | Systems and methods for behavioral threat detectiion | |
| US20220201042A1 (en) | Ai-driven defensive penetration test analysis and recommendation system | |
| WO2023216641A1 (zh) | 一种电力终端安全防护方法及系统 | |
| EP3111433B1 (en) | Wireless sensor network | |
| Karnouskos | Stuxnet worm impact on industrial cyber-physical system security | |
| EP3895048B1 (en) | Systems and methods for behavioral threat detection | |
| WO2019200944A1 (zh) | 基于串行通信总线信号分析的工控系统物理入侵攻击检测方法 | |
| US11539663B2 (en) | System and method for midserver facilitation of long-haul transport of telemetry for cloud-based services | |
| JP6258562B2 (ja) | 中継装置、ネットワーク監視システム及びプログラム | |
| US10951637B2 (en) | Distributed detection of malicious cloud actors | |
| CN110830287B (zh) | 一种基于监督学习的物联网环境态势感知方法 | |
| US9661023B1 (en) | Systems and methods for automatic endpoint protection and policy management | |
| US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
| US20200349647A1 (en) | System and method for crowd-sourced refinement of natural phenomenon for risk management and contract validation | |
| KR101964148B1 (ko) | 기계 학습 기반으로 이상 행위를 분석하는 유무선 공유기 및 그 방법 | |
| CN109564609A (zh) | 利用先进计算机决策平台的计算机攻击的检测缓和与矫正 | |
| GB2532630A (en) | Network intrusion alarm method and system for nuclear power station | |
| EP3590061B1 (en) | Managing data encrypting application | |
| CN104809046B (zh) | 一种应用程序联网控制方法和应用程序联网控制装置 | |
| CN110505212A (zh) | 一种基于MiddleBox的物联网虚拟安全设备 | |
| CN111541653B (zh) | 一种数据通讯监控系统及方法 | |
| Oliner et al. | Community epidemic detection using time-correlated anomalies | |
| CN109213657B (zh) | 一种电网运行数据云储存装置 | |
| CN112822146A (zh) | 网络连接的监控方法、装置、系统和计算机可读存储介质 | |
| RU166348U1 (ru) | Устройство корреляции событий информационной безопасности |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150909 |
|
| RJ01 | Rejection of invention patent application after publication |