CN109977000B - 一种移动应用评测方法及*** - Google Patents

一种移动应用评测方法及*** Download PDF

Info

Publication number
CN109977000B
CN109977000B CN201711464229.0A CN201711464229A CN109977000B CN 109977000 B CN109977000 B CN 109977000B CN 201711464229 A CN201711464229 A CN 201711464229A CN 109977000 B CN109977000 B CN 109977000B
Authority
CN
China
Prior art keywords
risk
evaluated
baseline
mobile application
index
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201711464229.0A
Other languages
English (en)
Other versions
CN109977000A (zh
Inventor
康雅萍
赵永安
高妍
陈熠
乔栋
孙卫国
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Mobile Group Inner Mongolia Co Ltd
Original Assignee
China Mobile Group Inner Mongolia Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Mobile Group Inner Mongolia Co Ltd filed Critical China Mobile Group Inner Mongolia Co Ltd
Priority to CN201711464229.0A priority Critical patent/CN109977000B/zh
Publication of CN109977000A publication Critical patent/CN109977000A/zh
Application granted granted Critical
Publication of CN109977000B publication Critical patent/CN109977000B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/36Preventing errors by testing or debugging software
    • G06F11/3668Software testing
    • G06F11/3672Test management
    • G06F11/3692Test management for test results analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Computing Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

本发明实施例提供了一种移动应用评测方法及***,所述方法包括:对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。统一了移动应用安全评测基线指标和风险等级计算标准,无需依赖评测人员的专业技能水平,避免了评测方法不一致、评测规范不统一以及评测范围有疏漏等问题,且评测周期短,评测成本低。

Description

一种移动应用评测方法及***
技术领域
本发明实施例涉及移动应用安全领域,更具体地,涉及一种移动应用评测方法及***。
背景技术
随着移动互联网应用快速普及,面临的安全威胁也日益严峻。尤其是近年来我国移动支付业务飞跃发展,巨大的利益空间促使黑产组织通过篡改、二次打包、漏洞利用、恶意攻击等方式攻击移动应用,达到破坏或窃取非法利益的目的,给移动应用的开发者、运营者及终端用户的利益造成严重侵害。移动应用已成为互联网业务的主要入口之一,由于移动支付的普遍应用,移动应用安全攻击的“驱利性”特征十分明显,因移动应用自身安全防护薄弱导致被非法攻击、山寨篡改、数据泄露等风险日益突出。
而造成以上问题的主要原因在于:
第一、重业务,轻安全,缺少统一的安全规范:应用开发者或运营单位将更多的投入和关注放在业务发展,忽视了安全风险可能带来的威胁和损失,另外缺少统一的、标准的安全规范导致在安全防护手段、安全防御能力方面差距较大;
第二、应用开发者安全水平良莠不齐,安全防护能力有限:应用开发者或开发厂商更擅长和专注于业务开发,缺少对特定领域的安全技术持续研究和应用的能力,导致应用“带病发布”的现象普遍存在,攻击者可利用应用自身的脆弱性发现安全攻击;
第三、智能终端操作***及组件本身存在一定的漏洞风险。
为了提升移动应用的安全性,需要对其进行评测,现有移动应用安全风险评测方法和***不足之处在于:
第一、缺少基线风险标准,依赖技术人员个人能力。现阶段对移动应用安全的风险评测多采用人工分析判断的方法,安全技术人员根据个人技术能力和经验知识,对移动应用程序进行解包、分析,一般采用攻击渗透和人工分析应用的代码、资源文件、配置文件,根据评测过程信息点记录评测结果,最后人工编制移动应用的安全风险评测报告。此方法首先对参与评测的的安全技术人员个人能力要求很高,需对移动应用安全有较深的技术积累和一定的处理经验;另外由于采用人工分析的办法需要投入的工作量较大,评测周期也比较长,另外不能确保所有风险点覆盖全面。
第二、工具扫描结果单一,缺少智能研判分析。现阶段一些安全类工具可直接对移动应用进行风险扫描,但输出结果多为过程数据或中间结果,自动化研判分析能力不足,需要人工逐个分析确认,这将消耗大量的时间,且需要安全技术人员对工具的使用和相关属性十分了解,很难适应移动应用版本快速迭代发布特征。
第三、缺少自动化及持续的安全风险更新机制。由于移动应用技术日新月异,各类新漏洞不断爆出,依赖人工分析或传统工具均不能实现与最新风险漏洞同步,可能导致移动应用评测后仍然存在致命风险。
第四、评测周期长,投入工作量大,实施成本较高
在采用人工方法对移动应用安全风险进行评测时,对人员自身的安全知识要求较高,对工具的熟练掌握程度也有较高要求,所有测试结果都需要人工直接干预,因此需要较大的工作量和较长的周期,整体实施成本较高。
因此,随着移动互联网快速发展和安全风险威胁日趋严峻,单纯采用基于人工评测移动应用安全风险的办法,已经不能满足对移动应用安全风险控制的要求,只有寻求一种全新的解决方案,才能保障用户和应用提供商的利益,促进产业链的可持续发展。
发明内容
本发明实施例提供了一种克服上述问题或者至少部分地解决上述问题的移动应用评测方法及***。
一方面本发明实施例提供了一种移动应用评测方法,所述方法包括:
对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;
将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;
根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
进一步地,在所述将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联之前,还包括:
根据所述待评测移动应用所需的基线风险评测范围,确定所述待评测移动应用所需评测的多个风险类别。
进一步地,所述基线指标包括高风险基线指标、中风险基线指标和低风险基线指标;相应地,所述根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级,具体包括:
根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级;其中,所述风险等级包括三个级别,分别为安全性高、安全性中或安全性低。
进一步地,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第一预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性高;
所述第一预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率小于第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标的检测不通过率小于所述第一预设阈值且非高风险基线指标的检测不通过率小于所述第一预设阈值。
进一步地,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第二预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性中;
所述第二预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于所述第一预设阈值或非高风险基线指标的检测不通过率不小于所述第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率不小于所述第一预设阈值。
进一步地,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第三预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低;
所述第三预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测未全部通过;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于第二预设阈值或非高风险基线指标的检测不通过率不小于所述第二预设阈值,且所述第二预设阈值大于所述第一预设阈值;则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低。
进一步地,所述预设基线风险指标库中还存储有每个风险类别的各风险等级对应的解决方案;相应地,在确定所述待评测移动应用所需评测的每个风险类别的风险等级之后,还包括:
生成包含所述待评测移动应用所需评测的每个风险类别的风险等级及对应的解决方案的评测报告。
另一方面本发明实施例提供了一种移动应用评测***,所述***包括:
特征提取模块,用于对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;
特征检测模块,用于将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;
风险等级确定模块,用于根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
第三方面本发明实施例提供了一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,使所述计算机执行上述方法。
第四方面本发明实施例提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述方法。
本发明实施例提供的一种移动应用评测方法及***,通过建立预设基线风险指标库,利用预设基线风险指标库中的基线指标对移动应用的特征信息进行检测,并对检测结果进行统计计算,得出移动应用每个风险类别对应的风险等级,统一了移动应用安全评测基线指标和风险等级计算标准,无需依赖评测人员的专业技能水平,避免了评测方法不一致、评测规范不统一以及评测范围有疏漏等问题,且评测周期短,评测成本低。
附图说明
图1为本发明实施例提供的一种移动应用评测方法的流程图;
图2为本发明实施例中移动应用实际评测过程示意图;
图3为本发明实施例中各风险类型的风险等级计算流程示意图;
图4为本发明实施中评测报告生成过程示意图;
图5为本发明实施例提供的一种移动应用评测***的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明实施例提供的一种移动应用评测方法的流程图,如图1所示,所述方法包括:S1,对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;S2,将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;S3,根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
其中,在步骤S1中,所述待评测移动应用的特征信息一般包括多项内容,例如:程序名称、包名、证书信息、配置特征、关键代码函数、是否加固和开发者信息等。
在步骤S2中,预设基线风险指标库中存储有多个风险类别对应的基线指标,每个风险类别对应的基线指标的数量由具体的风险类别确定。一般地,所述评测风险类别包括以下几个方面:
配置安全:应用程序的manifest.xml文件的关键配置标签,例如,activity\services\content\provider\allowbackup\debugabble等是否存在配置风险;
程序安全:包括不限于源码是否加固、代码是否混淆、资源文件是否加密防护等;
公共组件安全:包括不限于webview漏洞、keystore漏洞、中间人攻击漏洞、拒绝服务漏洞等;
数据安全:包括不限于私有文件泄露风险、SQLLite读取权限安全性、SharedPrefs任意读写漏洞、敏感信息的显示安全等;
通信安全:包括不限于不安全网络协议、明文传输等;
业务安全:包括不限于是否存在鉴别失败处理、登录超时后是否重鉴别、登录失败时密码或账户提示混淆、认证信息输入是否过滤等;
交互安全:包括不限于是否限制钓鱼劫持、是否过滤特殊字符输入等。
对于每个所需评测的风险类别,将特征信息中的与该所需评测的风险类别中的基线指标进行关联,获取所需的特征信息。再通过极限指标对对应的特征信息进行检测,进而得到每个基线指标对应的检测结果。
在步骤S3中,根据步骤S2中得到的每个所需评测的风险类别对应的检测结果,分析每个风险类别的风险等级,即可完成对待评测移动应用的评测。
具体地,如图2所示,本发明实施例对于移动应用的评测过程如下:
101)构建移动应用基线风险指标库,包括:基线名称、技术要求、评测目的、评测方法、评测方式(自动、人工)、风险名称、风险描述、风险或漏洞特征、解决方案等;
102)准备待评测的移动应用程序安装包软件;
103)确定基线风险评测范围,选择评测风险类别和对应的基线指标项,载入当次评测任务;
104)对待评测的移动应用程序安装包进行自动化解包并提取特征信息,包括不限于:程序名称、包名、证书信息、配置特征、关键代码函数、是否加固、开发者信息等;
105)关联预设基线风险指标库,通过自动化评测引擎分析移动应用是否存在安全风险;
106)若上述105步骤存在安全风险,关联基线风险指标库,自动分析研判风险名称、风险等级及解决方案等;
107)经上述105、106步骤自动评测和风险研判,通过自动报告分析生成评测结果报告文档,如:word、pdf、html等可读文件,评测流程结束。
本发明实施例提供的一种移动应用评测方法,通过建立预设基线风险指标库,利用预设基线风险指标库中的基线指标对移动应用的特征信息进行检测,并对检测结果进行统计计算,得出移动应用每个风险类别对应的风险等级,统一了移动应用安全评测基线指标和风险等级计算标准,无需依赖评测人员的专业技能水平,避免了评测方法不一致、评测规范不统一以及评测范围有疏漏等问题,且评测周期短,评测成本低。
基于上述实施例,在所述将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联之前,还包括:
根据所述待评测移动应用所需的基线风险评测范围,确定所述待评测移动应用所需评测的多个风险类别。
具体地,对于不同的待评测移动应用,根据所述待评测移动应用所需的基线风险评测范围,所需评测的风险类别不尽相同,需根据实际情况来确定所需评测的风险类别,一般地,对于单个待评测移动应用需要评测多个风险类别。
基于上述实施例,所述基线指标包括高风险基线指标、中风险基线指标和低风险基线指标;相应地,所述根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级,具体包括:
根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级;其中,所述风险等级包括三个级别,分别为安全性高、安全性中或安全性低。
具体地,如图3所示,将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果,可以包括:
201)如上述101,构建移动应用基线风险指标库;
201)检测应用程序配置安全性,包括:activity、broadcast、provider、content等四大组件安全风险及常规配置项安全风险,关联基线指标库自动分析被测应用是否存在安全风险;
202)检测移动应用使用的公共组件漏洞情况,包括:webview漏洞、keystore漏洞、中间件人攻击漏洞、任意文件读写等漏洞,分析移动应用是否调用常规***组件及调用方法是否存在已知漏洞风险;
203)检测移动应用业务风险,包括:认证鉴权安全、口令强调安全、短信炸弹漏洞、越权访问等业务逻辑是否存在漏洞风险;
204)检测移动应用是否使用不安全通讯协议、是否存在通讯被劫持等安全风险;
205)上述步骤201、202、203、204分别得到各风险类型对应的各基线指标的检测结果。
对每个风险类别对应的基线指标中,各类指标的不通过率的情况,来确定每个风险类别的风险等级。
基于上述实施例,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第一预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性高;
所述第一预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率小于第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标的检测不通过率小于所述第一预设阈值且非高风险基线指标的检测不通过率小于所述第一预设阈值。
基于上述实施例,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第二预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性中;
所述第二预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于所述第一预设阈值或非高风险基线指标的检测不通过率不小于所述第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率不小于所述第一预设阈值。
基于上述实施例,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第三预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低;
所述第三预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测未全部通过;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于第二预设阈值或非高风险基线指标的检测不通过率不小于所述第二预设阈值,且所述第二预设阈值大于所述第一预设阈值;则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低。
具体地,根据检测结果得到每个风险类别的风险等级的具体计算规则如下:
对于每个风险类别,设每个风险类别对应的基线指标总数为R,高风险指标项N,高风险检测结果不通过项H,中风险指标项为M,中风险检测结果不通过项T,低风险指标项S,低风险检测结果不通过项Q,高风险阈值为P1,中风险阈值P2;其中P1和P2是动态参数,且P2<P1。默阈值:P2=30%,P1=50%,根据实际运行效果可调整此参数。
一、安全性强:前提条件是没有高风险项检测不通过的,只有中、低风险项检测不通过情况或全部检测通过。具体计算方式为:
a)H=0,T=0,则:Q/S<P2;
b)H=0,T>0,则T/M<P2且(T+Q)/(M+S)<P2;
二、安全性中:前提条件是没有高风险检测不通过的项。具体计算方式为:
a)H=0,T>0,则T/M>=P2或(T+Q)/(M+S)>=P2;
b)H=0,T=0,则Q/S>=P2;
三、安全性弱:
a)当出现一个高风险项检测不通过时,直接将应用安全性判定为弱;即:H>0;
b)H=0,T>0;T/M>=P1或(T+Q)/(M+S)>=P1;
c)若H=0,T=0则结果只在“中”、“强”两项里判断;
以上业务计算原则:风险就高不就低,安全就低不就高,例如:
若P1=45%,P2=30%;
若T/M=0.29,(T+Q)/(M+S)=0.46则安全强度应为弱。
206)经上述步骤205中的风险等级计算后,输出评测结果,自动评测流程结束。
基于上述实施例,所述预设基线风险指标库中还存储有每个风险类别的各风险等级对应的解决方案;对应地,
在确定所述待评测移动应用所需评测的每个风险类别的风险等级之后,所述方法还包括:
生成包含所述待评测移动应用所需评测的每个风险类别的风险等级及对应的解决方案的评测报告。
具体地,如图4所示,生成评测报告的具体流程说明如下:
301)加载上述步骤输出的自动评测结果,包括:风险指标名称、评测结果、风险等级、风险类别、风险名称、风险描述、解决方案等;
302)对自动评测结果进行归类分析,包括:评测指标数、发现风险数、风险情况分布(按风险等级分布,按风险类别分别)、应用安全性等,生成评测结果摘要信息;
303)对自动评测结果数据进行统计分析,包括风险数量统计、风险等级统计、风险类别统计,将统计结果生成饼图、柱状图;
304)对具体的基线指标的评测结果生成分析报告,包括:基线指标名称、评测结果、是否存在风险,若存在风险则生成:风险名称、风险类别、风险等级、风险描述、解决方案等;
305)根据输出文件目标生成html、word、pdf三种格式的报告,流程结束。
图5为本发明实施例提供的一种移动应用评测***的结构框图,如图5所示,所述***包括:特征提取模块1、特征检测模块2及风险等级确定模块3。其中:
特征提取模块1用于对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息。特征检测模块2用于将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标。风险等级确定模块3用于根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
本发明实施例提供的一种移动应用评测***,通过建立预设基线风险指标库,利用预设基线风险指标库中的基线指标对移动应用的特征信息进行检测,并对检测结果进行统计计算,得出移动应用每个风险类别对应的风险等级,统一了移动应用安全评测基线指标和风险等级计算标准,无需依赖评测人员的专业技能水平,避免了评测方法不一致、评测规范不统一以及评测范围有疏漏等问题,且评测周期短,评测成本低。
本发明实施例公开一种计算机程序产品,所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序,所述计算机程序包括程序指令,当所述程序指令被计算机执行时,计算机能够执行上述各方法实施例所提供的方法,例如包括:对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
本发明实施例提供一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行上述各方法实施例所提供的方法,例如包括:对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (8)

1.一种移动应用评测方法,其特征在于,所述方法包括:
对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;
将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;
根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级;
所述基线指标包括高风险基线指标、中风险基线指标和低风险基线指标;相应地,所述根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级,具体包括:
根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级;其中,所述风险等级包括三个级别,分别为安全性高、安全性中或安全性低。
2.根据权利要求1所述方法,其特征在于,在所述将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联之前,还包括:
根据所述待评测移动应用所需的基线风险评测范围,确定所述待评测移动应用所需评测的多个风险类别。
3.根据权利要求1所述方法,其特征在于,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第一预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性高;
所述第一预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率小于第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标的检测不通过率小于所述第一预设阈值且非高风险基线指标的检测不通过率小于所述第一预设阈值。
4.根据权利要求3所述方法,其特征在于,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第二预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性中;
所述第二预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于所述第一预设阈值或非高风险基线指标的检测不通过率不小于所述第一预设阈值;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过、中风险基线指标检测全部通过且低风险基线指标的检测不通过率不小于所述第一预设阈值。
5.根据权利要求4所述方法,其特征在于,所述根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级,进一步包括:
若判断获知所需评测的每个风险类别对应的检测结果满足第三预设条件,则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低;
所述第三预设条件为所需评测的每个风险类别对应的基线指标中高风险基线指标检测未全部通过;或者,所需评测的每个风险类别对应的基线指标中高风险基线指标检测全部通过且中风险基线指标的检测不通过率不小于第二预设阈值或非高风险基线指标的检测不通过率不小于所述第二预设阈值,且所述第二预设阈值大于所述第一预设阈值;则确定所述待评测移动应用所需评测的每个风险类别的风险等级为安全性低。
6.根据权利要求1所述方法,其特征在于,所述预设基线风险指标库中还存储有每个风险类别的各风险等级对应的解决方案;相应地,在确定所述待评测移动应用所需评测的每个风险类别的风险等级之后,还包括:
生成包含所述待评测移动应用所需评测的每个风险类别的风险等级及对应的解决方案的评测报告。
7.一种移动应用评测***,其特征在于,所述***包括:
特征提取模块,用于对待评测移动应用的安装包进行解包,得到所述待评测移动应用的特征信息;
特征检测模块,用于将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联,并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测,得到所需评测的每个风险类别对应的检测结果;其中,所述预设基线风险指标库中存储有多个风险类别对应的基线指标;
风险等级确定模块,用于根据所述检测结果,确定所述待评测移动应用所需评测的每个风险类别的风险等级;
所述基线指标包括高风险基线指标、中风险基线指标和低风险基线指标;所述风险等级确定模块具体用于:
根据所需评测的每个风险类别对应的基线指标中高风险基线指标、中风险基线指标和低风险基线指标三者各自对应的检测不通过率,确定所述待评测移动应用所需评测的每个风险类别的风险等级;其中,所述风险等级包括三个级别,分别为安全性高、安全性中或安全性低。
8.一种非暂态计算机可读存储介质,其特征在于,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令使所述计算机执行如权利要求1至6任一项所述的方法。
CN201711464229.0A 2017-12-28 2017-12-28 一种移动应用评测方法及*** Active CN109977000B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201711464229.0A CN109977000B (zh) 2017-12-28 2017-12-28 一种移动应用评测方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201711464229.0A CN109977000B (zh) 2017-12-28 2017-12-28 一种移动应用评测方法及***

Publications (2)

Publication Number Publication Date
CN109977000A CN109977000A (zh) 2019-07-05
CN109977000B true CN109977000B (zh) 2022-07-29

Family

ID=67075125

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201711464229.0A Active CN109977000B (zh) 2017-12-28 2017-12-28 一种移动应用评测方法及***

Country Status (1)

Country Link
CN (1) CN109977000B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105989291A (zh) * 2015-02-06 2016-10-05 卓望数码技术(深圳)有限公司 一种移动应用的安全风险评估方法及***
CN106203666A (zh) * 2015-04-30 2016-12-07 中国南方电网有限责任公司 一种数据网络设备风险评估方法及装置
CN107122666A (zh) * 2016-12-05 2017-09-01 招商银行股份有限公司 金融应用的风险评估方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9106692B2 (en) * 2013-01-31 2015-08-11 Northrop Grumman Systems Corporation System and method for advanced malware analysis

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN105989291A (zh) * 2015-02-06 2016-10-05 卓望数码技术(深圳)有限公司 一种移动应用的安全风险评估方法及***
CN106203666A (zh) * 2015-04-30 2016-12-07 中国南方电网有限责任公司 一种数据网络设备风险评估方法及装置
CN107122666A (zh) * 2016-12-05 2017-09-01 招商银行股份有限公司 金融应用的风险评估方法及装置

Also Published As

Publication number Publication date
CN109977000A (zh) 2019-07-05

Similar Documents

Publication Publication Date Title
US20220210200A1 (en) Ai-driven defensive cybersecurity strategy analysis and recommendation system
Vieira et al. Intrusion detection for grid and cloud computing
US20170237755A1 (en) System and method for evaluating network threats and usage
EP2595423B1 (en) Application security evaluation system and method
US20190289027A1 (en) Methods and Systems for Providing Security for Page Framing
CN108833185B (zh) 一种网络攻击路线还原方法及***
CN105320883A (zh) 文件安全加载实现方法及装置
US20220210202A1 (en) Advanced cybersecurity threat mitigation using software supply chain analysis
CN111600880A (zh) 异常访问行为的检测方法、***、存储介质和终端
CN112926048B (zh) 一种异常信息检测方法和装置
US11811811B1 (en) File scanner to detect malicious electronic files
CN110879889A (zh) Windows平台的恶意软件的检测方法及***
Abdullah Evaluation of open source web application vulnerability scanners
Eastman et al. Big data and predictive analytics: on the cybersecurity front line
CN115550049A (zh) 一种物联网设备的漏洞检测方法及***
CN107122664B (zh) 安全防护方法及装置
CN105262777A (zh) 一种基于局域网的安全检测方法和装置
CN109977000B (zh) 一种移动应用评测方法及***
Benzekri et al. Dynamic security management driven by situations: An exploratory analysis of logs for the identification of security situations
CN110378120A (zh) 应用程序接口攻击检测方法、装置以及可读存储介质
CN111639033B (zh) 软件安全威胁分析方法与***
Perumal et al. Cybercrime issues in smart cities networks and prevention using ethical hacking
WO2024063714A1 (en) Method for measuring security operation center
Shackleford SANS security analytics survey
Kumi et al. Cost-Effective, Real-Time Web Application Software Security Vulnerability Test Based on Risk Management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant