本发明专利技术提供一种移动应用软件的隐私合规检测方法、装置、计算机设备和可读存储介质,所述方法包括以下步骤:响应隐私合规检测命令,获取待检测的移动应用软件;基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为;对所述隐私信息收集使用隐私信息收集使用行为进行检测,确定所述隐私信息收集使用隐私信息收集使用行为是否合规;获取所述移动应用软件中的隐私协议政策文本,识别所述隐私协议政策文本中的语义内容;对所述语义内容进行检测,确定所述隐私协议政策文本是否合规。本发明专利技术可以及时全面地发现移动应用软件中与隐私相关的安全及合规隐患,从而保障用户在使用应用软件过程中的合规性。程中的合规性。程中的合规性。
【技术实现步骤摘要】
移动应用软件的隐私合规检测方法和隐私合规检测装置
[0001]本专利技术涉及网络安全
,特别涉及一种移动应用软件的隐私合规检测方法和隐私合规检测装置。
技术介绍
[0002]随着智能移动终端的普及推广,移动应用软件也进入迅猛发展阶段,用户在智能移动终端使用的应用软件也越来越多。移动应用软件在使用过程中或多或少会涉及用户隐私,例如读取智能移动终端的相册信息、通讯录信息等,如果这些信息被不法软件商获取,可能会给用户造成严重损失。
[0003]现有的移动应用软件隐私合规检测大多是通过漏洞测试方法进行的。这种检测方法存在检测范围不全、容易出现漏报或者误报的缺陷,并且检测过程中需要耗费大量资源,检测效率较低。
技术实现思路
[0004]本专利技术的目的是提供一种能够全面、快速地检测移动应用软件中隐私相关行为的技术方案,以解决现有技术中存在的上述问题。
[0005]为实现上述目的,本专利技术提供一种移动应用软件的隐私合规检测方法,包括以下步骤:
[0006]响应隐私合规检测命令,获取待检测的移动应用软件;
[0007]基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为;
[0008]对所述隐私信息收集使用行为进行检测,确定所述隐私信息收集使用行为是否合规;
[0009]获取所述移动应用软件中的隐私协议政策文本,识别所述隐私协议政策文本中的语义内容;
[0010]对所述语义内容进行检测,确定所述隐私协议政策文本是否合规。
[0011]根据本专利技术提供的隐私合规检测方法,所述基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为的步骤包括:
[0012]搭建沙箱中的基础层、数据层、业务层和结果层;其中所述基础层用于记录应用的操作行为日志,提供针对所述日志的过滤器,对特定操作行为进行自动触发,并确定操作行为之间的关联关系;所述数据层用于对所述日志进行存储,并提供对应的过滤及提取接口;所述业务层用于对应用的操作行为进行业务分析,包括建立行为描述、分析所述日志的关联性以及根据操作行为的敏感程度进行风险级别判定;所述结果层用于将所述业务层的分析结果以特定格式输出;
[0013]在搭建好的所述沙箱中运行所述移动应用软件;
[0014]基于预设的触发流程依次触发所述移动应用软件执行对应操作,以获取所述移动
应用软件的动态隐私信息收集使用行为。
[0015]根据本专利技术提供的隐私合规检测方法,所述动态隐私信息收集使用行为是通过HOOK断点对应的日志文件获取的,所述日志文件包括以下至少一种:
[0016]文件操作记录,包括对存储卡文件、私有目录文件或临时目录文件中的一种或多种进行增删改查操作记录;
[0017]界面文件,包括特定应用场景下的操作界面抓图文件;
[0018]个人敏感数据获取记录,包括对通讯录或地理位置信息的获取记录;
[0019]网络行为记录,包括连接的服务器地址或上传的个人信息内容。
[0020]根据本专利技术提供的隐私合规检测方法,所述对所述隐私信息收集使用行为进行检测,确定所述隐私信息是否合规的步骤包括以下任意一项或多项:
[0021]对所述移动应用软件在运行过程中通过系统API以及用户输入方式获取、存储及传输的个人信息项进行检测;
[0022]通过代码特征、内嵌文件特征、网络特征和配置信息特征对第三方SDK进行识别;
[0023]识别个人信息获取、存储、传输行为属于移动应用软件自身行为还是第三方SDK行为;
[0024]对所述移动应用软件在运行过程中访问的服务器列表进行过滤,检测数据出境情况;
[0025]通过枚举所有调用API的方式检测所述移动应用软件申请权限行为是否符合标准。
[0026]根据本专利技术提供的隐私合规检测方法,所述获取所述移动应用软件中的隐私协议政策文本,识别所述隐私协议政策文本中的语义内容的步骤包括:
[0027]对所述隐私协议政策文本分别进行分词处理、词性标注和语义标注;其中,所述分词处理用于将所述隐私协议政策文本中的文本句划分为多个分词,所述词性标注用于对划分的多个分词分别标注正向词性或反向词性,所述语义标注用于对词性标注之后的所述文本句标注文本含义;
[0028]根据语义标注结果将隐私协议文本划分为多个段落;
[0029]对每个段落进行数据过滤形成数据集,将所述数据集的特征输入到LDA模型提取与每个段落相对应的主题字段并进行语义内容分析。
[0030]根据本专利技术提供的隐私合规检测方法,所述对所述语义内容进行检测,确定所述隐私协议政策文本是否合规的步骤包括以下任意一项或多项:
[0031]根据所述语义内容对所述隐私协议政策文本进行完整性检测,确定所述隐私协议政策文本中是否包含必要内容;
[0032]根据所述语义内容检测所述隐私协议政策文本中申明要获取的个人信息项,确定所述要获取的个人信息项中是否包含法律禁止获取的个人信息以及超范围收集使用的个人信息;
[0033]根据所述语义内容检测所述隐私协议政策中申明的个人权限信息,确定所述权限信息中是否包含过量申请的权限;
[0034]根据所述语义内容检测所述隐私协议政策中描述不清的词语。
[0035]根据本专利技术提供的隐私合规检测方法,所述方法还包括以下一项或多项:
[0036]根据所述隐私协议政策文本对所述隐私信息收集使用行为进行真实性检测,确定所述隐私协议政策文本中描述的收集使用个人信息行为与所述移动应用实际收集使用个人信息行为是否相符;
[0037]根据所述隐私协议文本对所述隐私信息收集使用行为进行第三方SDK收集使用个人信息检测,确定所述隐私协议政策文本中描述的第三方SDK收集使用个人信息行为与所述第三方SDK实际收集使用个人信息的行为是否相符;
[0038]对于数据出境情况的检测,通过对应用运行过程中访问的服务器列表进行过滤,以检测数据出境情况是否合规。
[0039]根据本专利技术提供的隐私合规检测方法,其特征在于,所述方法还包括:
[0040]获取与信息安全相关的国家标准及法规类文件;
[0041]对所述国家标准及法规类文件进行解析,并根据解析结果确定所述隐私信息收集使用行为的检测项目或所述隐私协议政策文本的检测项目。
[0042]为实现上述目的,本专利技术还提供一种移动应用软件的隐私合规检测装置,包括:
[0043]应用获取模块,适用于响应于隐私合规检测命令,获取待检测的移动应用软件;
[0044]隐私信息监测模块,适用于基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为;
[0045]行为检测模块,适用于对所述隐私信息收集使用行为进行检测,确定所述隐私信息收集使用行为是否合规;
[0046]隐私协议政策模块,适用于获取所述本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种移动应用软件的隐私合规检测方法,其特征在于,包括以下步骤:响应隐私合规检测命令,获取待检测的移动应用软件;基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为;对所述隐私信息收集使用行为进行检测,确定所述隐私信息收集使用行为是否合规;获取所述移动应用软件中的隐私协议政策文本,识别所述隐私协议政策文本中的语义内容;对所述语义内容进行检测,确定所述隐私协议政策文本是否合规。2.根据权利要求1所述的隐私合规检测方法,其特征在于,所述基于沙箱技术运行所述移动应用软件,收集所述移动应用软件在运行过程中产生的隐私信息收集使用行为的步骤包括:搭建沙箱中的基础层、数据层、业务层和结果层;其中所述基础层用于记录应用的操作行为日志,提供针对所述日志的过滤器,对特定操作行为进行自动触发,并确定操作行为之间的关联关系;所述数据层用于对所述日志进行存储,并提供对应的过滤及提取接口;所述业务层用于对应用的操作行为进行业务分析,包括建立行为描述、分析所述日志的关联性以及根据操作行为的敏感程度进行风险级别判定;所述结果层用于将所述业务层的分析结果以特定格式输出;在搭建好的所述沙箱中运行所述移动应用软件;基于预设的触发流程依次触发所述移动应用软件执行对应操作,以获取所述移动应用软件的动态隐私信息收集使用行为。3.根据权利要求2所述的隐私合规检测方法,其特征在于,所述动态隐私信息收集使用行为是通过HOOK断点对应的日志文件获取的,所述日志文件包括以下至少一种:文件操作记录,包括对存储卡文件、私有目录文件或临时目录文件中的一种或多种进行增删改查操作记录;界面文件,包括特定应用场景下的操作界面抓图文件;个人敏感数据获取记录,包括对通讯录或地理位置信息的获取记录;网络行为记录,包括连接的服务器地址或上传的个人信息内容。4.根据权利要求3所述的隐私合规检测方法,其特征在于,所述对所述隐私信息收集使用行为进行检测,确定所述隐私信息是否合规的步骤包括以下任意一项或多项:对所述移动应用软件在运行过程中通过系统API以及用户输入方式获取、存储及传输的个人信息项进行检测;通过代码特征、内嵌文件特征、网络特征和配置信息特征对第三方SDK进行识别;识别个人信息获取、存储、传输行为属于移动应用软件自身行为还是第三方SDK行为;对所述移动应用软件在运行过程中访问的服务器列表进行过滤,检测数据出境情况;通过枚举所有调用API的方式检测所述移动应用软件申请权限行为是否符合标准。5.根据权利要求1所述的隐私合规检测方法,其特征在于,所述获取所述移动应用软件中的隐私协议政策文本,识别所述隐私协议政策文本中的语义内容的步骤包括:对所述隐私协议政策文本分别进行分词处理、词性标注和语义标注;其中,所述分词处理用于将所述隐私协议政策文本中的文本句划分为多个分词,所述词性标注用于对划分的
多个分词分别标注...
【专利技术属性】
技术研发人员:吕石奎,齐向东,吴云坤,
申请(专利权)人:网神信息技术北京股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。