[发明专利]一种移动应用评测方法及系统

说明书

本发明实施例提供了一种移动应用评测方法及系统，所述方法包括：对待评测移动应用的安装包进行解包，得到所述待评测移动应用的特征信息；将所述特征信息与预设基线风险指标库中所述待评测移动应用所需评测的多个风险类别对应的基线指标分别进行关联，并利用所需评测的每个风险类别对应的基线指标对所述特征信息进行检测，得到所需评测的每个风险类别对应的检测结果；根据所述检测结果，确定所述待评测移动应用所需评测的每个风险类别的风险等级。统一了移动应用安全评测基线指标和风险等级计算标准，无需依赖评测人员的专业技能水平，避免了评测方法不一致、评测规范不统一以及评测范围有疏漏等问题，且评测周期短，评测成本低。

技术领域

本发明实施例涉及移动应用安全领域，更具体地，涉及一种移动应用评测方法及系统。

背景技术

随着移动互联网应用快速普及，面临的安全威胁也日益严峻。尤其是近年来我国移动支付业务飞跃发展，巨大的利益空间促使黑产组织通过篡改、二次打包、漏洞利用、恶意攻击等方式攻击移动应用，达到破坏或窃取非法利益的目的，给移动应用的开发者、运营者及终端用户的利益造成严重侵害。移动应用已成为互联网业务的主要入口之一，由于移动支付的普遍应用，移动应用安全攻击的“驱利性”特征十分明显，因移动应用自身安全防护薄弱导致被非法攻击、山寨篡改、数据泄露等风险日益突出。

而造成以上问题的主要原因在于：

第一、重业务，轻安全，缺少统一的安全规范：应用开发者或运营单位将更多的投入和关注放在业务发展，忽视了安全风险可能带来的威胁和损失，另外缺少统一的、标准的安全规范导致在安全防护手段、安全防御能力方面差距较大；

第二、应用开发者安全水平良莠不齐，安全防护能力有限：应用开发者或开发厂商更擅长和专注于业务开发，缺少对特定领域的安全技术持续研究和应用的能力，导致应用“带病发布”的现象普遍存在，攻击者可利用应用自身的脆弱性发现安全攻击；

第三、智能终端操作系统及组件本身存在一定的漏洞风险。

为了提升移动应用的安全性，需要对其进行评测，现有移动应用安全风险评测方法和系统不足之处在于：

第一、缺少基线风险标准，依赖技术人员个人能力。现阶段对移动应用安全的风险评测多采用人工分析判断的方法，安全技术人员根据个人技术能力和经验知识，对移动应用程序进行解包、分析，一般采用攻击渗透和人工分析应用的代码、资源文件、配置文件，根据评测过程信息点记录评测结果，最后人工编制移动应用的安全风险评测报告。此方法首先对参与评测的的安全技术人员个人能力要求很高，需对移动应用安全有较深的技术积累和一定的处理经验；另外由于采用人工分析的办法需要投入的工作量较大，评测周期也比较长，另外不能确保所有风险点覆盖全面。

第二、工具扫描结果单一，缺少智能研判分析。现阶段一些安全类工具可直接对移动应用进行风险扫描，但输出结果多为过程数据或中间结果,自动化研判分析能力不足，需要人工逐个分析确认，这将消耗大量的时间，且需要安全技术人员对工具的使用和相关属性十分了解，很难适应移动应用版本快速迭代发布特征。

第三、缺少自动化及持续的安全风险更新机制。由于移动应用技术日新月异，各类新漏洞不断爆出，依赖人工分析或传统工具均不能实现与最新风险漏洞同步，可能导致移动应用评测后仍然存在致命风险。

第四、评测周期长，投入工作量大，实施成本较高

在采用人工方法对移动应用安全风险进行评测时，对人员自身的安全知识要求较高，对工具的熟练掌握程度也有较高要求，所有测试结果都需要人工直接干预，因此需要较大的工作量和较长的周期，整体实施成本较高。

因此，随着移动互联网快速发展和安全风险威胁日趋严峻，单纯采用基于人工评测移动应用安全风险的办法，已经不能满足对移动应用安全风险控制的要求，只有寻求一种全新的解决方案，才能保障用户和应用提供商的利益，促进产业链的可持续发展。

发明内容