本發(fā)明涉及it安全評(píng)估，尤其涉及一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法、裝置、系統(tǒng)以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。
背景技術(shù)：
：：1、目前針對(duì)應(yīng)用軟件的安全評(píng)估方案，主要是通過(guò)軟件檢查應(yīng)用軟件中的一些核心代碼文件的格式頭，例如dex(dalvik?executable，一種android平臺(tái)源代碼文件)文件的格式頭“dex.035”，根據(jù)格式頭來(lái)判斷該文件是否有加密，若已加密則認(rèn)為該代碼文件是安全的。2、然而，這種方式無(wú)法對(duì)應(yīng)用軟件的第三方sdk(software?development?kit，軟件開(kāi)發(fā)工具包)是否存在安全隱患進(jìn)行評(píng)估，當(dāng)?shù)谌絪dk被惡意獲取之后，應(yīng)用軟件中用戶隱私數(shù)據(jù)便會(huì)泄露，因此，傳統(tǒng)的應(yīng)用軟件的安全評(píng)估方案，存在評(píng)估不全面的缺陷。3、上述內(nèi)容僅用于輔助理解本發(fā)明的技術(shù)方案，并不代表承認(rèn)上述內(nèi)容是現(xiàn)有技術(shù)。技術(shù)實(shí)現(xiàn)思路1、本發(fā)明的主要目的在于提供一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，旨在解決如何提升應(yīng)用軟件的安全評(píng)估全面性的問(wèn)題。2、為實(shí)現(xiàn)上述目的，本發(fā)明提供的一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，所述方法包括：3、確定所述待評(píng)估應(yīng)用中的第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作中的至少一個(gè)；4、根據(jù)所述使用次數(shù)、所述使用權(quán)限和所述歷史行為操作中的至少一個(gè)，確定第三方sdk風(fēng)險(xiǎn)評(píng)估結(jié)果。5、可選地，所述確定所述待評(píng)估應(yīng)用中的第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作中的至少一個(gè)步驟包括：6、基于動(dòng)態(tài)分析引擎，確定待評(píng)估應(yīng)用的反編譯結(jié)果，以及獲取所述待評(píng)估應(yīng)用中的歷史sdk事件；7、根據(jù)所述反編譯結(jié)果和所述歷史sdk事件，確定所述第三方sdk使用次數(shù)、所述使用權(quán)限和所述歷史行為操作中的至少一個(gè)。8、可選地，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：9、基于所述動(dòng)態(tài)分析引擎，確定待評(píng)估應(yīng)用中android-java二進(jìn)制文件的二進(jìn)制代碼10、根據(jù)所述二進(jìn)制代碼，確定所述android-java二進(jìn)制文件的函數(shù)個(gè)數(shù)和函數(shù)類型；11、根據(jù)所述函數(shù)個(gè)數(shù)和所述函數(shù)類型，確定android-java二進(jìn)制文件風(fēng)險(xiǎn)評(píng)估結(jié)果。12、可選地，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：13、基于所述動(dòng)態(tài)分析引擎，解析所述待評(píng)估應(yīng)用中elf二進(jìn)制格式文件中是否存在加殼標(biāo)識(shí)；14、若存在，確定所述elf二進(jìn)制格式文件的數(shù)據(jù)段和代碼段；15、通過(guò)標(biāo)準(zhǔn)elf格式，解析所述elf二進(jìn)制格式文件中的字符串表和符號(hào)表，若無(wú)法解析，則判斷所述數(shù)據(jù)段處于加密狀態(tài)；以及，16、確定所述代碼段是否可以建立交叉引用關(guān)系，若否，則判斷所述代碼段處于所述加密狀態(tài)；17、根據(jù)所述數(shù)據(jù)段和/或所述代碼段是否處于所述加密狀態(tài)，確定elf二進(jìn)制格式文件風(fēng)險(xiǎn)評(píng)估結(jié)果。18、可選地，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：19、基于所述動(dòng)態(tài)分析引擎，確定所述待評(píng)估應(yīng)用的移動(dòng)端公鑰文件的證書文件中，是否存在與第一預(yù)設(shè)加密關(guān)鍵字相匹配的目標(biāo)字段；20、根據(jù)所述目標(biāo)字段與所述第一預(yù)設(shè)加密關(guān)鍵字的匹配結(jié)果，確定移動(dòng)端公鑰文件風(fēng)險(xiǎn)評(píng)估結(jié)果。21、可選地，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：22、基于所述動(dòng)態(tài)分析引擎，確定所述待評(píng)估應(yīng)用的h5文件中，是否存在與第二預(yù)設(shè)加密關(guān)鍵字相匹配的目標(biāo)字段；23、根據(jù)所述目標(biāo)字段與所述第二預(yù)設(shè)加密關(guān)鍵字的匹配結(jié)果，確定h5文件風(fēng)險(xiǎn)評(píng)估結(jié)果。24、可選地，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：25、基于所述動(dòng)態(tài)分析引擎，確定所述待評(píng)估應(yīng)用中dex文件對(duì)應(yīng)的smali匯編代碼；26、基于合規(guī)檢測(cè)引擎，確定所述smali匯編代碼的合規(guī)檢測(cè)結(jié)果；27、根據(jù)合規(guī)檢測(cè)結(jié)果，確定dex文件風(fēng)險(xiǎn)評(píng)估結(jié)果。28、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種應(yīng)用風(fēng)險(xiǎn)評(píng)估裝置，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估裝置包括：29、第三方sdk數(shù)據(jù)獲取模塊，用于基于動(dòng)態(tài)分析引擎，確定待評(píng)估應(yīng)用的反編譯結(jié)果，以及獲取所述待評(píng)估應(yīng)用中的歷史sdk事件；30、第三方sdk數(shù)據(jù)解析模塊，用于根據(jù)所述反編譯結(jié)果和所述歷史sdk事件，確定所述待評(píng)估應(yīng)用對(duì)應(yīng)的第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作中的至少一個(gè)；31、第三方sdk風(fēng)險(xiǎn)評(píng)估模塊，用于根據(jù)所述使用次數(shù)、所述使用權(quán)限和所述歷史行為操作中的至少一個(gè)，確定第三方sdk風(fēng)險(xiǎn)評(píng)估結(jié)果。32、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的應(yīng)用風(fēng)險(xiǎn)評(píng)估程序，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如上所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法的步驟。33、此外，為實(shí)現(xiàn)上述目的，本發(fā)明還提供一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有應(yīng)用風(fēng)險(xiǎn)評(píng)估程序，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如上所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法的步驟。34、本發(fā)明實(shí)施例提供一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法、裝置、系統(tǒng)以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，基于自研動(dòng)態(tài)分析引擎，將待評(píng)估的應(yīng)用軟件中的文件進(jìn)行反編譯，根據(jù)反編譯結(jié)果和過(guò)去時(shí)段中記錄的歷史sdk事件，來(lái)確定待評(píng)估應(yīng)用中的第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作的至少一個(gè)，并基于第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作的至少一個(gè)來(lái)確定第三方sdk風(fēng)險(xiǎn)評(píng)估結(jié)果，達(dá)到提升應(yīng)用軟件的安全評(píng)估風(fēng)險(xiǎn)全面性的效果。技術(shù)特征：1.一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法包括以下步驟：2.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述確定所述待評(píng)估應(yīng)用中的第三方sdk使用次數(shù)、使用權(quán)限和歷史行為操作中的至少一個(gè)步驟包括：3.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：4.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：5.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：6.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：7.如權(quán)利要求1所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估方法還包括以下步驟：8.一種應(yīng)用風(fēng)險(xiǎn)評(píng)估裝置，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估裝置包括：9.一種應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)，其特征在于，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估系統(tǒng)包括：存儲(chǔ)器、處理器及存儲(chǔ)在所述存儲(chǔ)器上并可在所述處理器上運(yùn)行的應(yīng)用風(fēng)險(xiǎn)評(píng)估程序，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估程序被所述處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法的步驟。10.一種計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)，其特征在于，所述計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)上存儲(chǔ)有應(yīng)用風(fēng)險(xiǎn)評(píng)估程序，所述應(yīng)用風(fēng)險(xiǎn)評(píng)估程序被處理器執(zhí)行時(shí)實(shí)現(xiàn)如權(quán)利要求1至7中任一項(xiàng)所述的應(yīng)用風(fēng)險(xiǎn)評(píng)估方法的步驟。技術(shù)總結(jié)本發(fā)明涉及IT安全評(píng)估
技術(shù)領(lǐng)域：
：，尤其涉及一種應(yīng)用風(fēng)險(xiǎn)評(píng)估方法、裝置、系統(tǒng)以及計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。所述方法包括：確定所述待評(píng)估應(yīng)用中的第三方SDK使用次數(shù)、使用權(quán)限和歷史行為操作中的至少一個(gè)；根據(jù)所述使用次數(shù)、所述使用權(quán)限和所述歷史行為操作中的至少一個(gè)，確定第三方SDK風(fēng)險(xiǎn)評(píng)估結(jié)果，旨在解決如何提升應(yīng)用軟件的安全評(píng)估全面性的問(wèn)題。技術(shù)研發(fā)人員：康雅萍,于涵,劉宇宏,郝力群,王譜新,張育慧,張晨光,孫衛(wèi)國(guó),喬棟,陳熠受保護(hù)的技術(shù)使用者：中國(guó)移動(dòng)通信集團(tuán)內(nèi)蒙古有限公司技術(shù)研發(fā)日：技術(shù)公布日：2024/10/21