【技术实现步骤摘要】
应用软件安全级别的确定方法及装置
本专利技术涉及计算机安全
,尤其涉及一种应用软件安全级别的确定方法及 装直。
技术介绍
移动互联网的迅猛发展和移动应用的不断创新,为移动互联网用户带来丰富的体 验和便捷的服务,促进了智能终端出货量、移动应用软件激活量的大幅度增加。移动应用软 件作为人们使用终端功能以及移动互联网服务的主要方式,其强大的功能和易用性降低了 用户使用智能终端的门槛,刺激了信息消费,但也存在一些不规范的行为,例如,在用户不 知情的情况下自启动、消耗流量资费、静默安装、泄露隐私等,这对用户的正当权益造成了 侵害,阻碍了移动互联网健康有序发展。 移动应用软件由于不同的原因,可能带有不同程度的风险或危害。对于移动应用 软件的安全性,常见的移动应用软件安全风险分类主要有三种方式:基于应用软件风险来 源的分类,基于应用软件对用户、对其他应用软件、对运营商通信网络系统造成的危害结果 分类,基于恶意行为所使用技术的分类。以下分别进行说明。 (一)基于危险来源的分类 移动应用软件在终端功能侧、通信网络侧、系统接口侧三个方面存在安全风险。 1)终端功能侧安全风险 -些移动应用软件会向系统申请较高的权限,执行一些敏感行为或敏感行为的组 合,甚至还会向第三方提供调用接口。这些敏感行为给用户带来了隐私泄露等安全风险,主 要包括: A)收集用户个人信息。移动应用软件存在:无故读取用户的国际移动用户识别码 (International Mobile Subscriber Identification Number ...
【技术保护点】
一种应用软件安全级别的确定方法,其特征在于,包括:接收待测应用软件,获取所述待测应用软件的至少一个敏感行为;接收用户输入的信息,根据所述信息及所述至少一个敏感行为确定每个敏感行为的权值,其中所述权值表示用户对敏感行为的敏感程度;在终端模拟运行环境中触发所述待测应用软件执行其所有行为,获取所述待测应用软件对每个敏感行为的防御方式,并根据所述防御方式确定每个敏感行为的防御系数;根据每个敏感行为的权值和防御系数,确定所述待测应用软件的安全级别。
【技术特征摘要】
1. 一种应用软件安全级别的确定方法,其特征在于,包括: 接收待测应用软件,获取所述待测应用软件的至少一个敏感行为; 接收用户输入的信息,根据所述信息及所述至少一个敏感行为确定每个敏感行为的权 值,其中所述权值表示用户对敏感行为的敏感程度; 在终端模拟运行环境中触发所述待测应用软件执行其所有行为,获取所述待测应用软 件对每个敏感行为的防御方式,并根据所述防御方式确定每个敏感行为的防御系数; 根据每个敏感行为的权值和防御系数,确定所述待测应用软件的安全级别。2. 根据权利要求1所述的方法,其特征在于,获取所述待测应用软件的至少一个敏感 行为包括: 识别所述待测应用软件的至少一个权限,确定所述至少一个权限中与预设的敏感行为 匹配的权限作为所述待测应用软件的敏感行为,得到所述至少一个敏感行为。3. 根据权利要求1所述的方法,其特征在于,所述接收用户输入的信息,根据所述信息 及所述至少一个敏感行为确定每个敏感行为的权值包括: 根据所述信息对所述至少一个敏感行为进行分类,得到不同敏感程度的至少一个敏感 行为集合; 按照预设的敏感程度与权值的对应关系,确定每个敏感行为集合的权值,其中同一敏 感行为集合中的所有敏感行为的权值均与其所属的敏感行为集合的权值相同。4. 根据权利要求3所述的方法,其特征在于,根据每个敏感行为的权值和防御系数,确 定所述待测应用软件的安全级别包括: 计算所述敏感行为集合中的每个敏感行为的权值与防御系数的乘积,并计算乘积之 和,得到第一计算结果; 计算所述敏感行为集合中的所有敏感行为的权值之和,得到第二计算结果; 计算所述第一计算结果与所述第二计算结果的比值,得到所述敏感行为集合的安全级 别系数; 计算每个敏感行为集合的权值与安全级别系数的乘积,并计算乘积之和,得到第三计 算结果; 计算所有敏感行为集合的权值之和,得到第四计算结果; 计算所述第三计算结果和所述第四计算结果的比值,得到所述待测应用软件的安全级 别系数,其中,所述安全级别系数越大表示所述待测应用软件的安全级别越高。5. 根据权利要求1至4中任一项所述的方法,其特征在于,根据所述防御方式确定每个 敏感行为的防御系数包括: 按照预设的防御方式与防御系数的对应关系,确定每个敏感行为的防御系数; 其中,所述防御方式包括: 执行敏感行为时既没有提示也没有获得用户授权; 执行敏感行为时提示; 执行敏感行为之前提示但未给用户授权的机会; 执行敏感行为之前提示且获得用户授权后执行该敏感行为。6. 根据权利要求1至4中任一项所述的方法,其特征在于,在根据每个敏感行为的权值 和防御系数,确定所述待测应用软件的安全级别之后,所述方法还包括: 输出所述至少一个敏感行为及其防御方式和防御系数,以及所述待测应用软件的安全 级别系数。7. 根据权利要求1至4中任一项所述的方法,其特征在于,所述敏感行为包括:系统功 能类行为、通信网络类行为和系统接口类行为; 其中,系统功能类行为包括:读联系人、读短信记录、读彩信记录、读位置信息、读通话 记录、本地录音、摄像或拍照、对用户数据的读操作、对用户数据的写操作、读取网络连接状 态、安装方式、启动方式、退出方式、升级方式、卸载方式、内置链接或认证签名; 通信网络类行为包括:拨打电话、三方通话、发送短信、发送邮件、打开WLAN数据连接、 关闭WLAN数据连接、定位功能或通话录音; 系统接口类行为包括:打开蓝牙数据连接、关闭蓝牙数据连接、打开红外数据连接、关 闭红外数据连接、打开近场通信NFC数据连接、关闭NFC数据连接。8. -种应用软件安全...
【专利技术属性】
技术研发人员:杨正军,袁广翔,袁琦,董霁,李媛,李乔,
申请(专利权)人:工业和信息化部电信研究院,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。