【技术实现步骤摘要】
本专利技术涉及数据安全
,特别涉及一种评估应用数据安全风险的方法及装置。
技术介绍
随着移动互联网的快速发展,目前移动智能终端已越来越普及,据相关数据报告,2013年第四季度中国活跃的智能设备数量超过7亿,其中基于Android(安卓)操作系统的移动终端设备已占据了超过80%的市场份额。Android操作系统的广泛使用也带动了Android应用市场的繁荣发展,截止目前GooglePlay官方市场上的应用已过百万。然而Android应用开发者的安全意识并没有跟上应用发展的步伐,导致应用可以被破解篡改,插入恶意广告插件,应用自身存储和处理的用户数据(包括用户使用应用过程中输入的用户名、密码、银行卡号、手机号等)泄露等等诸多安全问题。目前使用最广泛的解决方案是在应用被攻击利用后,通过恶意软件检测工具(例如手机安全软件)进行查杀,或是在手机上对应用的敏感行为进行监控。但追根究底,一方面原因是Android本身安全机制的不足,另一方面是由于应用开发者疏忽导致的Android应用本身存在的可被利用的安全问题。因此需要通过对应用进行安全评估,发现移动应用中存在的安全风险,帮助提升应用本身的安全性。针对应用的安全评估主要可分为代码安全(程序代码可被破解、可读性较强等)、数据安全(应用在存储、读取、显示用户输入的数据时,可能导致的数据泄露)、通讯安全(通讯过程中敏感数据的传输安全性分析)和业务安全(业 ...
【技术保护点】
一种评估应用数据安全风险的方法,其特征在于,包括:获取输入应用中的第一字串数据;根据所述第一字串数据生成敏感数据特征库;获取应用运行时产生文件修改的第一文件列表信息;根据所述第一文件列表信息生成本地存储字串库;将所述敏感数据特征库与所述本地存储字串库进行匹配,获取输入数据的风险项及所述风险项对应的风险值。
【技术特征摘要】
1.一种评估应用数据安全风险的方法,其特征在于,包括:
获取输入应用中的第一字串数据;
根据所述第一字串数据生成敏感数据特征库;
获取应用运行时产生文件修改的第一文件列表信息;
根据所述第一文件列表信息生成本地存储字串库;
将所述敏感数据特征库与所述本地存储字串库进行匹配,获取输入数据的
风险项及所述风险项对应的风险值。
2.根据权利要求1所述的方法,其特征在于,所述获取输入应用中的第一
字串数据的步骤包括:
从预设目录下的保存键盘输入监听结果的文件中获取输入应用中的第一字
串数据。
3.根据权利要求1所述的方法,其特征在于,所述根据所述第一字串数据
生成敏感数据特征库的步骤包括:
将所述第一字串数据进行去重处理,生成第二字串数据;
将所述第二字串数据进行变形处理,得到第三字串数据;
根据所述第二字串数据和所述第三字串数据,生成敏感数据特征库。
4.根据权利要求1所述的方法,其特征在于,所述获取应用运行时产生文
件修改的第一文件列表信息的步骤包括:
从预设目录下的保存文件操作运行监听结果的文件中获取应用运行时产生
文件修改的第一文件列表信息,所述第一文件列表信息中包含:修改的文件对
应的路径信息。
5.根据权利要求1所述的方法,其特征在于,所述根据所述第一文件列表
生成本地存储字串库的步骤包括:
获取所述第一文件列表信息中的可读性文件的第一内容,以及所述第一文
件列表信息中包含的数据库中的第二内容;
将所述第一内容和所述第二内容分别进行存储,生成本地存储字串库。
6.根据权利要求1至5任一项所述的方法,其特征在于,所述将所述敏感
\t数据特征库与所述本地存储字串库进行匹配,获取输入数据的风险项及所述风
险项对应的风险值的步骤包括:
在本地存储字串库中查找所述敏感数据特征库中的字串数据,获取得到敏
感数据泄露点信息;
对所述敏感数据泄露点信息中的敏感数据泄露点进行归类,获取得到输入
数据的风险项信息;
计算所述风险项信息中的每个风险项对应的风险值。
7.根据权利要求6所述的方法,其特征在于,所述计算所述风险项信息中
的每个风险项对应的风险值的步骤包括:
计算得到每个风险项中的各个敏感数据泄露点的风险权值;
将所述敏感数据泄露点的风险权值相加得到所述风险项的风险值。
8.根据权利要求7所述的方法,其特征在于,所述计算得到每个风险项中
的各个敏感数据泄露点的风险权值的步骤...
【专利技术属性】
技术研发人员:刘颖卿,
申请(专利权)人:中国移动通信集团公司,
类型:发明
国别省市:北京;11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。