CN111859371A - 一种应用程序的隐私风险评估方法、装置及存储介质 - Google Patents

一种应用程序的隐私风险评估方法、装置及存储介质 Download PDF

Info

Publication number
CN111859371A
CN111859371A CN202010711787.8A CN202010711787A CN111859371A CN 111859371 A CN111859371 A CN 111859371A CN 202010711787 A CN202010711787 A CN 202010711787A CN 111859371 A CN111859371 A CN 111859371A
Authority
CN
China
Prior art keywords
risk
information
factor
application program
privacy
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202010711787.8A
Other languages
English (en)
Other versions
CN111859371B (zh
Inventor
王国军
李敏
彭滔
邢萧飞
陈淑红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou University
Original Assignee
Guangzhou University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou University filed Critical Guangzhou University
Priority to CN202010711787.8A priority Critical patent/CN111859371B/zh
Publication of CN111859371A publication Critical patent/CN111859371A/zh
Application granted granted Critical
Publication of CN111859371B publication Critical patent/CN111859371B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Abstract

本发明公开了一种提供了一种应用程序的隐私风险评估方法、装置及存储介质,所述方法通过获取待下载应用程序使用的权限信息、用户隐私信息、第三方插件信息、功能信息、附加项信息以及用于下载应用程序的移动终端的操作系统信息,构建出隐私风险评估的各个风险评估因子,并对各风险评估因子进行赋值;从而获得各风险评估因子的风险因子特征,然后将各风险评估因子及对应的风险因子特征输入至预设的隐私风险评估模型中,通过隐私风险评估模型对待下载应用程序的风险等级进行评估,最后将待下载应用程序的风险等级反馈给用户。通过实施本发明的实施例使得用户能够直观获悉需要下载的应用程序是否存在隐私风险,避免隐私泄露风险。

Description

一种应用程序的隐私风险评估方法、装置及存储介质
技术领域
本发明涉及计算机技术领域,尤其涉及一种应用程序的隐私风险评估方法、装置及存储介质。
背景技术
目前,市场上的各种“应用市场”在给用户推荐应用程序时,通常呈现的是用户评分、应用程序的简单介绍和界面图、用户评价、应用程序需要的权限说明、版本信息等比较理论性的知识。用户若想从这些信息中了解应用程序的隐私安全性,需要耗费大量的时间去阅读大量相关信息,并具有一定的相关专业知识,才能做出较好的评判。从而导致了用户无法直观准确的衡量应用程序可能存在的隐私风险,容易用户隐私泄露的风险。
发明内容
本发明实施例提供一种应用程序的隐私风险评估方法、装置及存储介质,能对用户需要下载的应用程序进行隐私评估,并向用户反馈评估结果,使得用户能够直观获悉需要下载的应用程序是否存在隐私风险,避免隐私泄露风险。
本发明一实施例提供一种应用程序的隐私风险评估方法,包括:
提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
将所述待下载应用程序的风险等级反馈给用户。
进一步的,通过决策树算法构建所述隐私风险评估模型;其中,所述隐私风险评估模型的训练集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序;
所述训练集的基尼值公式为:
Figure BDA0002596819280000031
其中,D表示训练集,n表示训练集D中样本类型的数量,Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′为不为k的其他风险等级;
每一风险因子的基尼值计算公式如下:
Figure BDA0002596819280000032
其中,A表示一风险因子、DV为训练集D中所有A风险因子取值为v的样本。
进一步的,所述根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,具体包括:
根据所述移动终端的操作系统版本信息,确定所述移动终端当前版本的操作系统的漏洞数;
计算所述操作系统所有版本的平均漏洞数,继而计算所述当前版本的漏洞数与苏所述平均漏洞数的漏洞数差值;
根据所述漏洞数差值确定所述移动终端当前版本的操作系统所处的版本安全性等级,继而根据所述安全性等级,设定所述移动终端当前操作系统版本的权值。
在上述方法项实施例的基础上,对应提供了装置项实施例;
本发明另一实施例提供了一种应用程序的隐私风险评估装置,包括应用程序信息提取模块、第一风险因子提取模块、第二风险因子提取模块、第三风险因子提取模块、第四风险因子提取模块、第五风险因子提取模块、隐私风险评估模块以及用户反馈模块;
所述应用程序信息提取模块,用于提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
所述第一风险因子提取模块,用于将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
所述第二风险因子提取模块,用于将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
所述第三风险因子提取模块,用于将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
所述第四风险因子提取模块,用于将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
所述第五风险因子提取模块,用于将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
所述隐私风险评估模块,用于将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
所述用户反馈模块,用于将所述待下载应用程序的风险等级反馈给用户。
进一步的,还包括模型构建模块;所述模型构建模块,用于通过决策树算法构建所述隐私风险评估模型;其中,所述隐私风险评估模型的训练集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序;
所述训练集的基尼值公式为:
Figure BDA0002596819280000051
其中,D表示训练集,n表示训练集D中样本类型的数量,Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′为不为k的其他风险等级;
每一风险因子的基尼值计算公式如下:
Figure BDA0002596819280000052
其中,A表示一风险因子、DV为训练集D中A风险因子取值为v的样本。
在上述方法项实施例基础上,对应提供了存储介质项实施例;
本发明另一实施例提供了一种存储介质,所述存储介质包括存储的计算机程序,所述计算机程序执行时,控制所述存储介质所在的设备执行本发明任意一项方法项实施例所述的应用程序的隐私风险评估方法。
通过实施本发明实施例具有如下有益效果:
本发明实施例提供了一种应用程序的隐私风险评估方法、装置及存储介质,所述方法通过获取待下载应用程序的权限信息、用户隐私信息、第三方插件信息、功能信息、附加项信息以及用于下载应用程序的移动终端的操作系统信息,构建出隐私风险评估的各个风险评估因子,并对各风险评估因子进行赋值;从而获得各风险评估因子的风险因子特征,然后将各风险评估因子及对应的风险因子特征输入至预设的隐私风险评估模型中,通过隐私风险评估模型对待下载应用程序的风险等级进行评估,最后将待下载应用程序的风险等级反馈给用户。通过上述方法提取应用程序本身多个维度的信息结合移动终端的操作系统信息,对应用程序的风险进行多维度的自动评估,并最终向用户反馈结果,得用户能够直观获悉需要下载的应用程序是否存在隐私风险,避免隐私泄露风险。
附图说明
图1是本发明一实施例提供的应用程序的隐私风险评估方法的流程示意图。
图2是本发明一实施例提供的应用程序的隐私风险评估装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
如图1所示,本发明一实施例提供的一种应用程序的隐私风险评估方法,包括:
步骤S101:提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
步骤S102:将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
步骤S103:将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
步骤S104:将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
步骤S105:将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
步骤S106:将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
步骤S107:将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
步骤S108:将所述待下载应用程序的风险等级反馈给用户。
对于步骤S101、首先对应用程序信息进行说明:在本发明中应用程序信息包括各权限信息,用户隐私信息、第三方插件信息、功能信息以及附加项信息;一个对上述各个信息进行说明:
权限信息指的是应用程序实现各个功能时所需要开启的权限,常见的例如:获取照相权限、文件上传权限或读取通讯录权限等;在本发明中预先对每种权限预先设定了权限等级,优选的在本发明中将所有权限分为两个权限等级,一个是dangerous(危险)权限,一个是normal(正常)权限;即预先将各权限信息分成了危险权限和正常权限;各权限信息的权限等级可根据实际情况进行适应性调整。
用户隐私信息指的是应用程序运行时会采集的用户在移动终端中存储的数据信息。例如通信录信息,位置信息,照片信息,银行账号信息,短信数据以及视频数据等;同样每种隐私信息都会预先设定私密程度等级;具体的在本发明中私密程度分为高、中、低三等;高私密度信息包括银行账号,电话号码,位置信息,账号密码等,中私密度信息包括相片信息,短信数据,视频数据等,低私密度信息包括:各软件使用频率,常用软件类型等信息。各隐私信息的具体私密程度等级可根据实际情况进行适应性调整。
第三方插件信息:应用程序常常会引入第三插件来开发其功能,常见的有广告类插件用于在应用程序中进行广告的发布;用户行为分析类插件用于收集用户数据,分析用户行为等,如用户画像类的广告插件、第三方分析库等;功能辅助类插件用于实现应用程序的部分功能,不产生用户数据手机的行为,如开发工具库、因为功能需要使用的地图和位置服务库等。通过对应用程序中使用的插件进行分析,提取所述第三方插件信息并对所使用的各种插件按上述类别进行分类;
功能信息:指的是待下载应用程序下载时所能实现的各个功能;在本发明中预先对各实现功能设定不同的重要程度等级,具体可分为高、中、低三个等级;
高等级的为主要功能、中等级的为可选的次要功能,低等级的为不可选的次要功能;主要功能指的是根据该功能可以确定划分该应用程序的类型,如摄像类的应用程序,拍照是主要功能,图形的美化是次要功能;次要功能指的是如果具有该功能,可以使得主要功能的性能得到更好的提升,如上述摄像类应用程序中的图形功能属于次要功能;其次要功能可选的含义是指能否通过设置关闭该功能或在权限授权时,可以拒绝授予该权限,但不会影响程序运行。不可选功能则与之相反,在设备上不能关闭该功能;运行时,如果拒绝授予该权限,则程序会崩溃。
附加项信息:在本发明中附加项信息指的是待下载应用程序在运行时,是否会显示广告链接和支付链接;移动终端的操作系统版本信息:指的是用于下载待下载应用程序的移动终端当前操作系统所属的版本的信息。
对于步骤S102、应用程序在实现各项功能时需要调用各种权限,所调用的权限的权限等级与隐私的泄露息息相关,因此在这一步骤中,建立各功能信息与权限信息的关联关系,构建第一风险评估因子,然后根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值;具体赋值示例如表1所示:
表1
Figure BDA0002596819280000101
对于重要程度等级为高的功能信息,那么其对应的功能是主要功能,若运行这一功能需要获取的权限为dangerous的权限,那么该功能信息的权值为4,若其需要获取的权限为normal,则该功能信息的权值为3,参照表1,以此类推;将各个功能信息权值的作为本发明上述的第一风险因子特征;
对于步骤S103、由于所调用的权限直接用户的隐私信息相关;因此在这一步骤中,建立各用户隐私信息与权限信息的关联关系,构建第二风险评估因子,然后根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值;具体赋值示例如表2所示:
表2
Figure BDA0002596819280000102
同样对于高私密度信息,若其对应的权限为dangerous的权限,那么用户隐私信息的权值为1,若其对应的权限为normal,则该用户隐私信息的权的权值为1,参照表2,以此类推;将各个用户隐私信息的权值的作为本发明上述的第二风险因子特征;
对于步骤S104、由于应用程序的恶意广告链接被点击后,可触发恶意代码;支付链接被点击后,可获取用户的账户密码等,隐私安全风险较大;因此将待下载附加项信息作为第三风险评估因子;
在本发明中附加项信息指的是,应用程序在运行是否会出现广告链接或支付链接;如果是则赋值为1,如果不是则赋值为0;从而获得第三风险因子特征;具体如表3所示:
表3
附加信息状态 广告链接 支付链接
包含 1 1
不包含 0 0
对于步骤S105、提取待下载应用程序运行时所用到的第三方插件的信息,然后根据第三方插件的类型对各第三方插件信息进行赋值,具体如表4所示:
表4:
Figure BDA0002596819280000111
对于步骤S106、在一个优选的实施例中,所述根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,具体包括:
根据所述移动终端的操作系统版本信息,确定所述移动终端当前版本的操作系统的漏洞数;
计算所述操作系统所有版本的平均漏洞数,继而计算所述当前版本的漏洞数与所述平均漏洞数的漏洞数差值;
根据所述漏洞数差值确定所述移动终端当前版本的操作系统所处的版本安全性等级,继而根据所述安全性等级,设定所述移动终端当前操作系统版本的权值。
以移动终端所搭载的操作系统为基准,统计该应用程序所有能够运行的操作系统版本的漏洞值,得到一个可运行系统漏洞的平均值,将移动终端当前所搭载的系统的版本(若缺省,以当前最高版本为参考)的漏洞值与漏洞值平均数进行作差,求出漏洞数差值;然后根据漏洞数差值进行赋值,在本发明中设定了3个档位的数值区间,每一数值区间对应一权值;若大于平均值,则赋值为3;相等,则为2;小于平均值,则为1,获得上述第五风险因子特征。
对于步骤S107、在一个优选的实施例中,所述隐私风险评估模型的训练集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序,训练数据集可以采用专家意见的方式打标签,设定各训练样本的风险等级,训练集的各个特征项可通过代码静态分析提取或由应用商城中所公布的信息进行提取;
所述训练集的基尼值公式为:
Figure BDA0002596819280000121
其中,D表示训练集、Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′为不为k的其他风险等级,Gini(D)的取值范围为[0,1];
每一风险因子的基尼值计算公式如下:
Figure BDA0002596819280000131
其中,A表示一风险因子、DV为训练集D中A风险因子取值为v的样本。比较所有风险因子的基尼值,选取基尼值最小的因子作为本次的分类因子;重复上述步骤,直至剩余的风险因子全部用完,得到最后的分类结果。
通过上述隐私风险评估模型后,对待下载应用程序的风险进行评估,在本发明中会给出三个评级,高风险,中等风险和低风险。
对于步骤S108、通过文本的形式将待下载应用程序的风险等级反馈至显示终端,以便用户直观的获悉待下载应用程序的风险等级。
通过实施本发明上述实施例,能对用户需要下载的应用程序进行隐私评估,并向用户反馈评估结果,使得用户能够直观获悉需要下载的应用程序是否存在隐私风险,避免隐私泄露风险。
在上述方法项实施例的基础上,本发明对应提供了装置项实施例;
如图2所示,本发明另一实施例提供了一种应用程序的隐私风险评估装置,包括:应用程序信息提取模块、第一风险因子提取模块、第二风险因子提取模块、第三风险因子提取模块、第四风险因子提取模块、第五风险因子提取模块、隐私风险评估模块以及用户反馈模块;
所述应用程序信息提取模块,用于提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
所述第一风险因子提取模块,用于将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
所述第二风险因子提取模块,用于将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
所述第三风险因子提取模块,用于将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
所述第四风险因子提取模块,用于将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
所述第五风险因子提取模块,用于将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
所述隐私风险评估模块,用于将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
所述用户反馈模块,用于将所述待下载应用程序的风险等级反馈给用户。
在一个优选的实施例中,还包括模型构建模块;所述模型构建模块,用于通过决策树算法构建所述隐私风险评估模型;其中,所述隐私风险评估模型的训练集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序;
所述训练集的基尼值公式为:
Figure BDA0002596819280000151
其中,D表示训练集,n表示训练集D中样本类型的数量,Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′为不为k的其他风险等级;
每一风险因子的基尼值计算公式如下:
Figure BDA0002596819280000152
其中,A表示一风险因子、DV为训练集D中A风险因子的取值为v的样本。
需要说明的是上述装置项实施例是与本发明的方法项实施例相对应的,其能够实现本发明任意一项方法项实施例所述的应用程序的隐私风险评估方法;
在上述发明项实施例的基础上,本发明对应提供了存储介质项实施例;
本发明另一实施例提供了一种存储介质,所述存储介质包括存储的计算机程序,所述计算机程序执行时,控制所述存储介质所在的设备执行如本发明任意一项方法项实施例所述的应用程序的隐私风险评估方法。
上述存储介质为计算机可读存储介质,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一计算机可读存储介质中,该计算机程序在被处理器执行时,可实现上述各个方法实施例的步骤。其中,所述计算机程序包括计算机程序代码,所述计算机程序代码可以为源代码形式、对象代码形式、可执行文件或某些中间形式等。所述计算机可读介质可以包括:能够携带所述计算机程序代码的任何实体或装置、记录介质、U盘、移动硬盘、磁碟、光盘、计算机存储器、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random AccessMemory)、电载波信号、电信信号以及软件分发介质等。
需说明的是,以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外,本发明提供的装置实施例附图中,模块之间的连接关系表示它们之间具有通信连接,具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种应用程序的隐私风险评估方法,其特征在于,包括:
提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
将所述待下载应用程序的风险等级反馈给用户。
2.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,通过CART决策树算法构建所述隐私风险评估模型;其中,所述隐私风险评估模型的训练集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序;
所述训练集的基尼值公式为:
Figure FDA0002596819270000021
其中,D表示训练集,k为应用程序的所有风险类别,n表示训练集D中样本类型的数量,Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′是不为k的其他风险等级;Gini(D)的值用于表示数据集D的纯度。
每一风险因子的基尼值计算公式如下:
Figure FDA0002596819270000022
其中,A表示一风险因子、DV为训练集D中A风险因子的风险因子特征为V的样本。
3.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,所述根据所述功能信息与权限信息设定所述第一风险因子的值,具体包括:
根据所述应用程序功能的重要性和权限的重要程度设定第一风险因子的值。
4.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,所述根据所述用户隐私信息与各所述权限信息设定第二风险因子的值,具体包括:
根据所述应用程序所使用隐私信息的重要程度和其相关权限的重要性,确定第二风险因子的值。
5.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,所述根据所述附加项信息设定第三风险因子的值,具体包括:
根据所述附加项信息,包括是否含有广告项、是否含有支付项,来判断可能带来风险概率的大小,从而进行赋值。
6.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,所述根据所述第三方插件信息设定第四风险因子的值,具体包括:
根据所述第三方插件在应用程序中的功能将第三方插件分为不同的三个类型,根据类型可能存在的风险大小赋予不同的值。
7.如权利要求1所述的应用程序的隐私风险评估方法,其特征在于,所述根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,具体包括:
根据所述移动终端的操作系统版本信息,确定所述移动终端当前版本的操作系统的漏洞数;
计算所述操作系统所有版本的平均漏洞数,继而计算所述当前版本的漏洞数与所述平均漏洞数的漏洞数差值;
根据所述漏洞数差值确定所述移动终端当前版本的操作系统所处的版本安全性等级,继而根据所述安全性等级,设定所述移动终端当前操作系统版本的权值。
8.一种应用程序的隐私风险评估装置,其特征在于,包括:应用程序信息提取模块、第一风险因子提取模块、第二风险因子提取模块、第三风险因子提取模块、第四风险因子提取模块、第五风险因子提取模块、隐私风险评估模块以及用户反馈模块;
所述应用程序信息提取模块,用于提取待下载应用程序的应用程序信息以及用于下载所述待下载应用程序的移动终端的操作系统版本信息;其中,所述应用程序信息包括待下载应用程序运行时所需的各权限信息、各用户隐私信息、第三方插件信息、运行时能够实现的各功能信息以及待应用程序本身携带的附加项信息;所述附加项信息为:是否包含广告链接以及是否包含支付链接;每一所述权限信息对应一预设的权限等级,每一所述用户隐私信息对应一预设的私密程度等级,每一所述功能信息对应一预设的重要程度等级;
所述第一风险因子提取模块,用于将各所述功能信息与各所述权限信息相关联,构建第一风险评估因子,继而根据各所述功能信息的重要程度等级以及各所述功能信息所对应的权限信息的权限等级,设定各所述功能信息的权值,并将各功能信息的权值作为所述第一风险评估因子的第一风险因子特征;
所述第二风险因子提取模块,用于将各所述用户隐私信息与各所述权限信息相关联,构建第二风险评估因子,继而根据各所述用户隐私信息的私密程度等级以及各所述用户隐私信息所对应的权限信息的权限等级,设定各所述用户隐私信息的权值,并将各所述用户隐私信息的权值作为所述第二风险评估因子的第二风险因子特征;
所述第三风险因子提取模块,用于将所述附加项信息作为第三风险评估因子,设定所述附加项信息中的各数据项的权值,生成所述第三风险评估因子的第三风险因子特征;
所述第四风险因子提取模块,用于将所述第三方插件信息作为第四风险评估因子,根据所述第三方插件信息的类型对所述第三方插件信息进行赋值,生成第四风险评估因子的第四风险因子特征;
所述第五风险因子提取模块,用于将所述移动终端的操作系统版本信息作为第五风险评估因子,并根据所述移动终端的操作版本信息设定所述移动终端当前版本的操作系统的权值,生成所述第五风险评估因子的第五风险因子特征;
所述隐私风险评估模块,用于将各风险评估因子及各风险评估因子的风险因子特征输入至预设的隐私风险评估模型中,以使所述隐私风险评估模型确定所述待下载应用程序的风险等级;
所述用户反馈模块,用于将所述待下载应用程序的风险等级反馈给用户。
9.如权利要求4所述的应用程序的隐私风险评估装置,其特征在于,还包括模型构建模块;所述模型构建模块,用于通过决策树算法构建所述隐私风险评估模型;其中,所述隐私风险评估模型的训练数据集的训练样本中包括若干风险等级为高风险的应用程序、若干风险等级为低风险的应用程序以及若干风险等级为中等风险的应用程序;
所述训练集的基尼值公式为:
Figure FDA0002596819270000061
其中,D表示训练集,n表示训练集D中样本类型的数量,Pk为风险等级为k的应用程序在训练集中所占比例;Pk′为风险等级为k′的应用程序在训练集中所占比例,k′为不为k的其他风险等级;
每一风险因子的基尼值计算公式如下:
Figure FDA0002596819270000062
其中,A表示一风险因子、DV为训练集D中所有A风险因子取值为v的样本。
10.一种存储介质,其特征在于,所述存储介质包括存储的计算机程序,所述计算机程序执行时,控制所述存储介质所在的设备执行如权利要求1至3中任意一项所述的应用程序的隐私风险评估方法。
CN202010711787.8A 2020-07-22 2020-07-22 一种应用程序的隐私风险评估方法、装置及存储介质 Active CN111859371B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010711787.8A CN111859371B (zh) 2020-07-22 2020-07-22 一种应用程序的隐私风险评估方法、装置及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010711787.8A CN111859371B (zh) 2020-07-22 2020-07-22 一种应用程序的隐私风险评估方法、装置及存储介质

Publications (2)

Publication Number Publication Date
CN111859371A true CN111859371A (zh) 2020-10-30
CN111859371B CN111859371B (zh) 2022-11-08

Family

ID=72950254

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010711787.8A Active CN111859371B (zh) 2020-07-22 2020-07-22 一种应用程序的隐私风险评估方法、装置及存储介质

Country Status (1)

Country Link
CN (1) CN111859371B (zh)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113158236A (zh) * 2021-03-30 2021-07-23 中电数据服务有限公司 实时运行状态下应用软件个人信息保护能力的评价方法
CN113378231A (zh) * 2021-07-08 2021-09-10 杭州煋辰数智科技有限公司 一种大数据应用开放平台的隐私计算方法及应用
CN113672914A (zh) * 2021-08-23 2021-11-19 郑州云智信安安全技术有限公司 一种用于app个人数据安全的风险评估方法及装置
CN115296894A (zh) * 2022-08-02 2022-11-04 北京天融信网络安全技术有限公司 车内隐私数据风险评估方法、装置、电子设备和存储介质
CN115357907A (zh) * 2022-10-19 2022-11-18 威海海洋职业学院 一种基于云计算的数据安全风险评估方法和系统
CN116305267A (zh) * 2023-03-14 2023-06-23 中国医学科学院北京协和医院 一种混合云模型的隐私泄露风险评估方法及系统

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104036194A (zh) * 2014-05-16 2014-09-10 北京金山安全软件有限公司 一种应用程序中泄露隐私数据的漏洞检测方法及装置
CN107992884A (zh) * 2017-11-24 2018-05-04 武汉科技大学 一种基于大数据的android应用权限聚类与群体特征分析方法
CN108280352A (zh) * 2018-01-17 2018-07-13 西安邮电大学 一种基于Android 8.0权限机制的隐私评估和权限管理方法
CN109685635A (zh) * 2018-09-11 2019-04-26 深圳平安财富宝投资咨询有限公司 金融业务的风险评估方法、风控服务端及存储介质
CN110298176A (zh) * 2018-10-25 2019-10-01 贵州财经大学 智能终端App权限隐私风险监测与评估系统及方法
CN110968865A (zh) * 2019-11-27 2020-04-07 桂林电子科技大学 一种基于概率本体的安卓软件风险评估方法
CN111222994A (zh) * 2018-11-23 2020-06-02 泰康保险集团股份有限公司 客户风险评估方法、装置、介质和电子设备

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104036194A (zh) * 2014-05-16 2014-09-10 北京金山安全软件有限公司 一种应用程序中泄露隐私数据的漏洞检测方法及装置
CN107992884A (zh) * 2017-11-24 2018-05-04 武汉科技大学 一种基于大数据的android应用权限聚类与群体特征分析方法
CN108280352A (zh) * 2018-01-17 2018-07-13 西安邮电大学 一种基于Android 8.0权限机制的隐私评估和权限管理方法
CN109685635A (zh) * 2018-09-11 2019-04-26 深圳平安财富宝投资咨询有限公司 金融业务的风险评估方法、风控服务端及存储介质
CN110298176A (zh) * 2018-10-25 2019-10-01 贵州财经大学 智能终端App权限隐私风险监测与评估系统及方法
CN111222994A (zh) * 2018-11-23 2020-06-02 泰康保险集团股份有限公司 客户风险评估方法、装置、介质和电子设备
CN110968865A (zh) * 2019-11-27 2020-04-07 桂林电子科技大学 一种基于概率本体的安卓软件风险评估方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
李网灿等: "移动APP应用安全风险分析方法与加固建议", 《江苏通信》 *

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113158236A (zh) * 2021-03-30 2021-07-23 中电数据服务有限公司 实时运行状态下应用软件个人信息保护能力的评价方法
CN113378231A (zh) * 2021-07-08 2021-09-10 杭州煋辰数智科技有限公司 一种大数据应用开放平台的隐私计算方法及应用
CN113672914A (zh) * 2021-08-23 2021-11-19 郑州云智信安安全技术有限公司 一种用于app个人数据安全的风险评估方法及装置
CN115296894A (zh) * 2022-08-02 2022-11-04 北京天融信网络安全技术有限公司 车内隐私数据风险评估方法、装置、电子设备和存储介质
CN115296894B (zh) * 2022-08-02 2023-11-28 北京天融信网络安全技术有限公司 车内隐私数据风险评估方法、装置、电子设备和存储介质
CN115357907A (zh) * 2022-10-19 2022-11-18 威海海洋职业学院 一种基于云计算的数据安全风险评估方法和系统
CN116305267A (zh) * 2023-03-14 2023-06-23 中国医学科学院北京协和医院 一种混合云模型的隐私泄露风险评估方法及系统
CN116305267B (zh) * 2023-03-14 2023-11-14 中国医学科学院北京协和医院 一种混合云模型的隐私泄露风险评估方法及系统

Also Published As

Publication number Publication date
CN111859371B (zh) 2022-11-08

Similar Documents

Publication Publication Date Title
CN111859371B (zh) 一种应用程序的隐私风险评估方法、装置及存储介质
Koyuncu et al. Security awareness level of smartphone users: An exploratory case study
US9215548B2 (en) Methods and systems for rating privacy risk of applications for smart phones and other mobile platforms
CN116506217B (zh) 业务数据流安全风险的分析方法、系统、存储介质及终端
CN108460692A (zh) 一种基于健康险的线上核保方法、装置、设备和存储介质
US20130055401A1 (en) Terminal and method for providing risk of application using the same
CN110851872B (zh) 针对隐私数据泄漏的风险评估方法及装置
CN109753811B (zh) 一种检测敏感信息的数据探针设计方法及装置
CN107122655B (zh) 一种基于信任管理的移动应用安全设置推荐系统
CN109753808A (zh) 一种隐私泄漏风险评估方法及装置
CN110348238A (zh) 一种面向应用的隐私保护分级方法及装置
CN114398665A (zh) 一种数据脱敏方法、装置、存储介质及终端
CN113553583A (zh) 信息系统资产安全风险评估方法与装置
CN115080956A (zh) 基于移动终端已安装应用程序违规权限的检测方法和系统
CN114186275A (zh) 隐私保护方法、装置、计算机设备及存储介质
CN108009444A (zh) 全文搜索的权限控制方法、装置与计算机可读存储介质
CN106897880B (zh) 一种账号风险评估方法和设备
CN112598496A (zh) 风控黑名单设置方法、装置、终端设备及可读存储介质
CN113051601A (zh) 敏感数据识别方法、装置、设备和介质
CN113254837A (zh) 应用程序评估方法、装置、系统、设备和介质
CN106355089A (zh) 涉密信息的分析方法及装置
EP3859623A1 (en) Risk vertex identification method and apparatus
CN115357907B (zh) 一种基于云计算的数据安全风险评估方法和系统
CN114492360B (zh) 一种授权合规管理方法及装置
CN115525908A (zh) 资源权限控制方法、装置及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant