CN113254837A - 应用程序评估方法、装置、系统、设备和介质 - Google Patents
应用程序评估方法、装置、系统、设备和介质 Download PDFInfo
- Publication number
- CN113254837A CN113254837A CN202110668977.0A CN202110668977A CN113254837A CN 113254837 A CN113254837 A CN 113254837A CN 202110668977 A CN202110668977 A CN 202110668977A CN 113254837 A CN113254837 A CN 113254837A
- Authority
- CN
- China
- Prior art keywords
- application program
- evaluation
- code
- program file
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q30/00—Commerce
- G06Q30/018—Certifying business or products
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- General Physics & Mathematics (AREA)
- Marketing (AREA)
- Strategic Management (AREA)
- Development Economics (AREA)
- General Business, Economics & Management (AREA)
- Finance (AREA)
- Accounting & Taxation (AREA)
- Entrepreneurship & Innovation (AREA)
- Economics (AREA)
- Data Mining & Analysis (AREA)
- General Engineering & Computer Science (AREA)
- Stored Programmes (AREA)
Abstract
本申请公开了一种应用程序评估方法、装置、系统、设备和介质。该方法包括:获取待评估应用程序文件;基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;若是,确定与可识别应用程序文件对应的评估项;基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果。解决了应用程序评估流程复杂和效率低下的问题。
Description
技术领域
本申请一般涉及应用程监管技术领域,具体涉及一种应用程序评估方法、装置、系统、设备和介质。
背景技术
应用程序(英文:Application,简称:APP)是用于供用户与智能终端进行交互的程序产品,它的出现极大地简化了用户与智能终端进行交互的方式。
应用程序开发完成后可以在不同的应用商店上架,供用户下载使用,通常情况下,在应用程序上线之前,需要对应用程序是否符合需要上线的国家地区的法律政策,应用商店的政策,应用程序开发公司的相关政策以及应用程序的安全性等各项内容进行评估,基于评估结果,确定应用程序能否上架。
相关技术中,应用程序上线前的评估环节没有标准的评估流程,应用程序评估过程流程复杂,效率低下。
发明内容
鉴于现有技术中的上述缺陷或不足,期望提供一种可以高效、流程化评估应用程序的应用程序评估方法、装置、系统、设备和介质。
第一方面,本申请提供了一种应用程序评估方法,包括:
获取待评估应用程序文件;
基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;
若是,确定与可识别应用程序文件对应的评估项;
基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果;
第二方面,本申请提供了一种应用程序评估装置,包括:
获取模块,被配置为获取待评估应用程序文件;
判断模块,被配置为基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;
确定模块,被配置为若是,确定与可识别应用程序对应的评估项;
评估模块,被配置为基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果;
第三方面,本申请提供了一种应用程序评估系统,包括:
文件传输单元,用于获取待评估应用程序文件,确定待评估应用程序文件为可识别应用程序文件后,存储可识别应用程序文件;
应用检测单元,用于确定与可识别应用程序对应的评估项,并基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果;
结果通知单元,用于将评估结果发送至对应的业务终端;
第四方面,本申请提供了一种计算机设备,计算机设备包括:
处理器;
用于存储处理器的可执行指令的存储器;
其中,处理器被配置为执行如第一方面的应用程序评估方法;
第五方面,本申请提供了一种计算机可读存储介质,其上存储有计算机程序,
计算机程序被处理器执行时实现如第一方面的应用程序评估方法。
本申请的实施例提供的技术方案可以包括以下有益效果:
本申请实施例提供的应用程序评估方法、装置、系统、设备和介质,可以获取待评估应用程序文件;基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;若是,确定与可识别应用程序文件对应的评估项;基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果,可以实现对应用程序文件流程化的评估,且评估过程高度贴合应用程序文件应遵守的规则规范,对应用程序文件评估效率高且针对性强。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:
图1为本申请实施例提供的一种应用程序评估系统的结构示意图;
图2为本申请实施例提供的一种应用程序评估方法的流程示意图;
图3为本申请实施例提供的另一种应用程序评估方法的流程示意图;
图4为本申请实施例提供的一种建立权重特征库和代码白名单的流程示意图;
图5为本申请实施例提供的一种应用程序评估装置的结构示意图;
图6为本申请实施例提供的另一种应用程序评估装置的结构示意图;
图7为本申请实施例提供的一种计算机设备的结构示意图。
具体实施方式
下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关发明,而非对该发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与发明相关的部分。
需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。
图1是本申请实施例提供的一种应用程序评估系统的结构示意图。如图1所示,该应用程序评估系统包括:文件传输单元110、应用检测单元120和结果通知单元130,该应用程序评估系统可以运行于终端设备,该终端设备可以基于该应用程序评估系统对开发完毕后的应用程序对应的应用程序文件进行评估,得到评估结果。该终端设备可以为具备数据处理能力的电脑、服务器或者服务器集群等。
其中,文件传输单元110,用于获取待评估应用程序文件,并判断该待评估应用程序文件是否为该应用程序评估系统可以识别的应用程序文件,若确定待评估应用程序文件为可识别应用程序文件后,存储该可识别应用程序文件。
应用检测单元120,用于确定与可识别应用程序对应的评估项,并基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果。
结果通知单元130,用于将评估结果发送至对应的业务终端,其中,该业务终端可以是公司应用产品事业部门的业务终端、运营部门的业务终端、风险控制部门的业务终端和/或个人终端,可以使与该应用程序相关的部门和个人及时获取关于该应用程序的评估结果。
本申请实施例提供一种应用程序评估方法,该方法应用于基于如图1所示的应用程序评估系统实现,该应用程序评估系统可以运行于终端设备中,如图2所示,该方法包括:
步骤201、获取待评估应用程序文件。
在本步骤中,文件传输单元可以响应于应用程序文件的上传操作,获取应用程序文件,该应用程序文件是对开发完毕后的应用程序进行打包获取的。
步骤202、基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件。
在本申请实施例中,每个应用程序在开发之前需要进行信息备案,得到与每个应用程序对应的备案信息,该备案信息至少包括应用程序的识别编号,示例的,该识别编号可以是为应用程序分配的编号。
在本步骤中,基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件的过程可以是:提取待评估应用程序文件中的应用程序编号,将该应用程序编号与备案信息中的至少一个识别编号进行比对,判断该至少一个识别编号中是否存在与应用程序编号一致的识别编号,若存在,确定该应用程序文件为可识别应用程序文件,若不存在,确定与该应用程序文件对应的应用程序为非备案应用程序,无法进行评估,结束相关操作,并显示提示信息。可以防止对未进行备案的应用程序进行评估,浪费资源。
步骤203、若是,确定与可识别应用程序文件对应的评估项。
在本申请实施例中,应用程序的备案信息还包括:应用程序信息,应用程序开发打包完成后,需要基于预先存储的与应用程序文件对应的应用程序信息,对该应用程序文件进行评估,以判定该应用程序文件是否符合相关的应用程序信息中的规范和标准。其中,该应用程序信息通常包括与应用程序对应的至少一种信息,该至少一种信息可以包括:公司内部资源信息、技术规范以及风险信息、发行地区市场和/或商店政策信息、应用程序风险行为信息和/或开发平台信息等。可以理解的是,该应用程序信息是应用程序开发前,响应于对与应用程序对应的规范和标准的选择和/或设置确定的。
其中,每类信息可以包括至少一个信息内容,例如,公司内部资源信息可以包括:与应用程序相关的编号A1、通用组件类型B1及版本号C1、应用证书D1及应用签名E1等信息;在本申请实施例中,对于至少一种信息中的至少一个信息内容可以分为标准类信息、规范类信息和风险行为信息。例如,标准类信息可以包括:与应用程序相关的编号A1、应用程序证书D1、应用程序接口等级二级、应用程序签名E1、应用程序的权限信息以及应用程序开发平台组件的属性信息等;规范类信息可以包括与应用程序对应的技术规范和发行地区以及应用商店规范,该技术规范可以包括:应用程序的代码结构规范F1和应用程序的代码深度混淆规则G2;发行地区以及应用商店规范可以包括:应用程序可使用的内部和第三方软件工具开发包(Software Development Kit,SDK)版本H1,应用程序的禁止行为,如不能进行热更新、不能进行自动升级或不能获取用户终端的国际移动设备身份码(Internationalmobile equipment identity,IMEI),应用程序搭载平台的应用程序编程接口(Application programming interface,API)规则G1;风险行为信息可以包括:虚假点击行为、程序外广告行为、动态加载欺诈行为以及敏感信息获取行为。
在本步骤中,确定与可识别应用程序文件对应的评估项的过程可以是:获取与应用程序文件对应的应用程序信息,确定该应用程序信息中的至少一个信息内容,确定与每个信息内容对应的信息属性,得到与可识别应用程序文件对应的评估项。例如,该应用程序信息中包括的一个信息内容是:应用程序接口等级为二级,则与该应用程序接口等级二级对应的信息属性为应用程序接口等级,确定与可识别应用程序文件对应的评估项为应用程序接口等级。
步骤204、基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果。
在本申请实施例中,由于应用程序信息中的至少一个信息内容分为不同的类型,对于与不同类型的信息内容对应的评估项,可以有不同的评估规则,则在本步骤中,基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果的过程可以有以下两种可选的实现方式。
在一种可选的实现方式中,该评估项可以是第一评估项,该第一评估项为与标准类信息中的信息内容对应的评估项,或者该第一评估项可以是与技术规范类信息中的信息内容对应的评估项,或者,该第一评估项可以是与发行地区以及应用商店规范类信息中的第一信息内容对应的评估项,示例的,该第一信息内容可以是应用程序可使用的内部和第三方软件工具开发包(Software Development Kit,SDK)版本H1,和/或应用程序搭载平台的应用程序编程接口(Application programming interface,API)规则G1。
该基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果的过程可以是:确定与第一评估项对应的标准信息;获取可识别应用程序文件中与第一评估项对应的待评估信息;将待评估信息与标准信息进行比对,得到评估结果。其中,该标准信息是应用程序信息中的标准类信息的信息内容,或者,该标准信息是应用程序信息中的技术规范类信息的信息内容。
示例的,假设与可识别应用程序文件对应的第一评估项为应用程序接口等级,则基于与应用程序接口等级对应的评估规则评估可识别应用程序文件,得到评估结果的过程可以是:确定与应用程序接口等级对应的标准信息为:应用程序接口等级二级;获取可识别应用程序文件中与应用程序接口等级对应的待评估信息为:应用程序接口等级二级;该标准信息与待评估信息一致,确定评估结果为正确。
又一示例的,假设与可识别应用程序文件对应的第一评估项为应用程序的代码结构规范,则基于与应用程序接口等级对应的评估规则评估可识别应用程序文件,得到评估结果的过程可以是:确定与应用程序的代码结构规范对应的标准信息为:应用程序的代码结构规范F1;获取可识别应用程序文件中与应用程序的代码结构规范对应的待评估信息为:应用程序的代码结构规范F2;该标准信息与待评估信息不一致,确定评估结果为错误。
在另一种可选的实现方式中,该评估项可以为第二评估项,该第二评估项可以是与发行地区以及应用商店规范类信息中的第二信息内容对应的评估项,示例的,该第二信息内容可以是应用程序的禁止行为,或者,该第二评估项可以是与风险行为信息中的信息内容对应的评估项,如图3所示,该基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果的过程可以是:
步骤2041、获取与第二评估项对应的权重特征值和代码白名单。
在本申请实施例中,权重特征值包括标准特征值和与标准特征值对应的权重值。其中,该标准特征值是恶意代码的特征值,该恶意代码可以是与第二评估项对应的恶意行为的恶意行为代码,该恶意行为可以是禁止行为和/或风险行为;特征值为与构成代码的函数对应的特征数据,或者特征值为与构成代码的同类函数对应的特征数据。
需要说明的是,在本申请实施例中,在获取与第二评估项对应的权重特征值和代码白名单之前,还需要预先建立权重特征库和代码白名单,该权重特征库包括与至少一个第二评估项对应的权重特征值;该代码白名单中包括非恶意代码的属性信息。
其中,如图4所示,该建立权重特征库和代码白名单的过程可以是:
步骤S1、获取与至少一个第二评估项对应的标准特征值,得到初始特征库。
在本申请实施例中,对任何应用程序文件,在进行评估过程中,需要评估的恶意行为有至少一个,每个恶意行为对应一个第二评估项,可以确定与每个恶意行为对应的第二评估项关联的恶意行为代码的标准特征值,得到初始特征库。可以理解的是,该确标准特征值是对恶意行为代码进行分析确定的,具体的可以基于实际需要确定,本申请实施例对此不做限定。
在本步骤中,如图4所示,可以获取与至少一个第二评估项对应的标准特征值,得到初始特征库。
步骤S2、利用初始特征库评估历史可识别应用程序文件,得到初始评估结果。
在本本申请实施例中,历史可识别应用程序文件可以是:历史时段内被进行过评估的,与可识别应用程序文件为同类型应用程序文件的可识别应用程序文件。
在本步骤中,利用初始特征库评估历史可识别应用程序文件,得到初始评估结果的过程可以包括:解析历史可识别应用程序文件得到与历史可识别应用程序文件对应的第一源代码;对第一源代码进行静态扫描得到第一扫描代码,确定第一扫描代码中每个子扫描代码的特征值,将每个子扫描代码的特征值与初始特征库中的至少一个标准特征值进行比对;若任一子扫描代码的特征值与任一标准特征值一致,记录该标准特征值。可以理解的是,该第一扫描代码可以包括多个子扫描代码,每个子扫描代码为函数或者函数类,该函数或者函数类对应一个特征值。
进一步的,可以利用初始特征库评估多个历史可识别应用程序文件,对于初始特征库中的每个标准特征值,确定与该标准特征值对应的特征值数量,得到初始评估结果,该特征值数量为多个第一源代码中与该标准特征值一致的子扫描代码的特征值的数量。其中,历史可识别应用程序文件的数量可以基于实际需要确定,本申请实施例对此不做限定。
步骤S3、基于初始评估结果确定权重特征库和代码白名单。
在本步骤中,基于初始评估结果确定权重特征库的过程可以包括:基于初始评估结果确定与每个标准特征值对应的权重值;建立权重值与对应的标准特征值的关系,得到权重特征值;组合至少一个权重特征值为权重特征库。
其中,基于初始评估结果确定与每个标准特征值对应的权重值的过程可以是:确定与初始特征库中的每个标准特征值对应的特征值数量,对于每个标准特征值,确定与该标准特征值对应的特征值数量与特征值总数量的比值,将该比值确定为与该标准特征值对应的权重值,其中,特征值总数量为与所有标准特征值对应的特征值数量的总和。
在本步骤中,基于初始评估结果确定代码白名单的过程可以包括:解析初始评估结果得到与历史可识别应用程序文件对应的非恶意代码;获取非恶意代码的属性信息,得到代码白名单。
其中,解析初始评估结果得到与历史可识别应用程序文件对应的非恶意代码的过程可以包括:查找每个子扫描代码的特征值与初始特征库中的至少一个标准特征值的比对结果,得到多个第一扫描代码中与每个标准特征值都不一致的特征值对应的子扫描代码,将该子扫描代码确定为非恶意代码。
可选的,该代码白名单还可以包括与可执行应用程序文件对应应用程序上线地区和/或商店规定的可执行行为代码的属性值,该可执行行为代码可以基于实际规定确定,本申请实施例对此不做限定。
需要说明的是,在本申请实施例中,可以基于实际需要对该预先建立的标准特征库和代码白名单进行更新,该更新标准特征库的过程可以包括:获取与至少一个新增第二评估项对应的标准特征值,将该与至少一个新增第二评估项对应的标准特征值加入初始特征库得到更新后的初始特征库,接着执行上述步骤S2至步骤S3中的过程,得到更新后的标准特征库和代码白名单。可以理解的是,该新增第二评估项是与应用程序评估过程新增恶意行为对应的评估项。
在本步骤中,获取与第二评估项对应的权重特征值和代码白名单的过程可以是:查找预先建立的权重特征库,获取与第二评估项对应的权重特征值;查找预先建立的代码白名单,得到代码白名单。可以理解的是,该第二评估项可以是至少一个,可以查找预先建立的权重特征库,获取与每个第二评估项对应的权重特征值。
步骤2042、解析可识别应用程序文件得到与可识别应用程序文件对应的源代码。
步骤2043、基于权重值对源代码进行静态扫描得到扫描代码。
在本步骤中,基于权重值对源代码进行静态扫描得到扫描代码的过程可以包括:确定与权重值对应的扫描等级,基于与该扫描等级对该该源代码进行静态扫描得到扫描代码。其中,扫描等级表示对源代码进行扫描的严格程度,可以基于权重值对与权重值对应的恶意行为代码进行不同程度的扫描,保证扫描结果更符合实际需求。可以理解的是,在本申请实施例中,可以预先建立权重值与扫描等级的对应关系表,基于该关系表可以确定与权重值对应的扫描等级。
步骤2044、基于标准特征值和代码白名单处理扫描代码得到评估结果。
在本步骤中,基于标准特征值和代码白名单处理扫描代码得到评估结果的过程,包括:获取扫描代码的属性信息;判断属性信息与代码白名单中的属性信息是否一致;
若一致,确定扫描代码为与第二评估项对应的合规代码:
若不一致,判断扫描代码的特征值与标准特征值是否一致;若一致,确定扫描代码为与第二评估项对应的恶意代码;若不一致,将扫描代码的属性信息加入代码白名单,更新与第二评估项对应的代码白名单。
综上所述,本申请实施例提供的应用程序评估方法,可以获取待评估应用程序文件;基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;若是,确定与可识别应用程序文件对应的评估项;基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果,可以实现对应用程序文件流程化的评估,且评估过程高度贴合应用程序文件应遵守的规则规范,对应用程序文件评估效率高且针对性强。
本申请实施例提供一种应用程序评估装置,如图5所示,该装置30包括:
获取模块301,被配置为获取待评估应用程序文件;
判断模块302,被配置为基于预先存储的识别编号判断所述待评估应用程序文件是否为可识别应用程序文件;
确定模块303,被配置为若是,确定与所述可识别应用程序文件对应的评估项;
评估模块304,被配置为基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果。
可选的,评估模块304,被配置为:
确定与第一评估项对应的标准信息;
获取所述可识别应用程序文件中与所述第一评估项对应的待评估信息;
将所述待评估信息与所述标准信息进行比对,得到评估结果。
可选的,评估模块304,被配置为:
获取与第二评估项对应的权重特征值和代码白名单,所述权重特征值包括标准特征值和与所述标准特征值对应的权重值;
解析所述可识别应用程序文件得到与所述可识别应用程序文件对应的源代码;
基于所述权重值对所述源代码进行静态扫描得到扫描代码;
基于所述标准特征值和代码白名单处理所述扫描代码得到评估结果。
可选的,评估模块304,被配置为:
获取所述扫描代码的属性信息;
判断所述属性信息与所述代码白名单中的属性信息是否一致;
若一致,确定所述扫描代码为与所述第二评估项对应的合规代码:
若不一致,判断所述扫描代码的特征值与所述标准特征值是否一致;
若一致,确定所述扫描代码为与所述第二评估项对应的恶意代码;
若不一致,将所述扫描代码的属性信息加入所述代码白名单,更新所述与所述第二评估项对应的代码白名单。
可选的,如图6所示,该装置30还包括:建立模块305,被配置为:
获取与至少一个所述第二评估项对应的标准特征值,得到初始特征库;
利用所述初始特征库评估历史可识别应用程序文件,得到初始评估结果;
基于所述初始评估结果确定权重特征库和代码白名单。
可选的,建立模块305,被配置为:
基于所述初始评估结果确定与每个所述标准特征值对应的权重值;
建立所述权重值与对应的所述标准特征值的关系,得到权重特征值;
组合至少一个所述权重特征值为权重特征库。
可选的,建立模块304,被配置为:
解析所述初始评估结果得到与所述历史可识别应用程序文件对应的非恶意代码;
获取所述非恶意代码的属性信息,得到代码白名单。
综上所述,本申请实施例提供的应用程序评估装置,可以获取待评估应用程序文件;基于预先存储的识别编号判断待评估应用程序文件是否为可识别应用程序文件;若是,确定与可识别应用程序文件对应的评估项;基于与评估项对应的评估规则评估可识别应用程序文件,得到评估结果,可以实现对应用程序文件流程化的评估,且评估过程高度贴合应用程序文件应遵守的规则规范,对应用程序文件评估效率高且针对性强。
图7是根据一示例性实施例示出的一种计算机设备,该计算机设备包括中央处理单元(CPU)401,其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM403中,还存储有系统操作所需的各种程序和数据。CPU401、ROM402以及RAM403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。
以下部件连接至I/O接口405:包括键盘、鼠标等的输入部分406;包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分;包括硬盘等的存储部分408;以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器也根据需要连接至I/O接口405。可拆卸介质411,诸如磁盘、光盘、磁光盘、半导体存储器等等,根据需要安装在驱动器410上,以便于从其上读出的计算机程序根据需要被安装入存储部分408。
特别地,根据本申请的实施例,上文图2至图6描述的过程可以被实现为计算机软件程序。例如,本申请的各个实施例包括一种计算机程序产品,其包括承载在计算机可读介质上的计算机程序,该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以通过通信部分从网络上被下载和安装,和/或从可拆卸介质被安装。在该计算机程序被中央处理单元(CPU)401执行时,执行本申请的系统中限定的上述功能。
需要说明的是,本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中,计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于:无线、电线、光缆、RF等等,或者上述的任意合适的组合。
附图中的流程图和框图,图示了按照本申请各种实施例的方法、装置和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分,上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个接连地表示的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图或流程图中的每个方框、以及框图或流程图中的方框的组合,可以用执行规定的功能或操作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
描述于本申请实施例中所涉及到的单元可以通过软件的方式实现,也可以通过硬件的方式来实现,所描述的单元也可以设置在处理器中。其中,这些单元的名称在某种情况下并不构成对该单元本身的限定。所描述的单元或模块也可以设置在处理器中,例如,可以描述为:一种处理器包括获取模块、判断模块、确定模块和评估模块。其中,这些单元或模块的名称在某种情况下并不构成对该单元或模块本身的限定,例如,获取模块还可以被描述为“用于获取待评估应用程序文件的获取模块”。
作为另一方面,本申请还提供了一种计算机可读介质,该计算机可读介质可以是上述实施例中描述的电子设备中所包含的;也可以是单独存在,而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序,当上述一个或者多个程序被一个该电子设备执行时,使得该电子设备实现如上述实施例中描述的应用程序评估方法。
以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解,本申请中所涉及的发明范围,并不限于上述技术特征的特定组合而成的技术方案,同时也应涵盖在不脱离所述发明构思的情况下,由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。
Claims (11)
1.一种应用程序评估方法,其特征在于,包括:
获取待评估应用程序文件;
基于预先存储的识别编号判断所述待评估应用程序文件是否为可识别应用程序文件;
若是,确定与所述可识别应用程序文件对应的评估项;
基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果。
2.根据权利要求1所述的方法,其特征在于,所述基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果,包括:
确定与第一评估项对应的标准信息;
获取所述可识别应用程序文件中与所述第一评估项对应的待评估信息;
将所述待评估信息与所述标准信息进行比对,得到评估结果。
3.根据权利要求1所述的方法,其特征在于,所述基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果,包括:
获取与第二评估项对应的权重特征值和代码白名单,所述权重特征值包括标准特征值和与所述标准特征值对应的权重值;
解析所述可识别应用程序文件得到与所述可识别应用程序文件对应的源代码;
基于所述权重值对所述源代码进行静态扫描得到扫描代码;
基于所述标准特征值和代码白名单处理所述扫描代码得到评估结果。
4.根据权利要求3所述的方法,其特征在于,所述基于所述标准特征值和代码白名单处理所述扫描代码得到评估结果,包括:
获取所述扫描代码的属性信息;
判断所述属性信息与所述代码白名单中的属性信息是否一致;
若一致,确定所述扫描代码为与所述第二评估项对应的合规代码:
若不一致,判断所述扫描代码的特征值与所述标准特征值是否一致;
若一致,确定所述扫描代码为与所述第二评估项对应的恶意代码;
若不一致,将所述扫描代码的属性信息加入所述代码白名单,更新所述与所述第二评估项对应的代码白名单。
5.根据权利要求3所述的方法,其特征在于,在获取与所述第二评估项对应的权重特征值和代码白名单之前,所述方法还包括:
获取与至少一个所述第二评估项对应的标准特征值,得到初始特征库;
利用所述初始特征库评估历史可识别应用程序文件,得到初始评估结果;
基于所述初始评估结果确定权重特征库和代码白名单。
6.根据权利要求5所述的方法,其特征在于,所述基于所述初始评估结果确定权重特征库,包括:
基于所述初始评估结果确定与每个所述标准特征值对应的权重值;
建立所述权重值与对应的所述标准特征值的关系,得到权重特征值;
组合至少一个所述权重特征值为权重特征库。
7.根据权利要求5所述的方法,其特征在于,所述基于所述初始评估结果确定代码白名单,包括:
解析所述初始评估结果得到与所述历史可识别应用程序文件对应的非恶意代码;
获取所述非恶意代码的属性信息,得到代码白名单。
8.一种应用程序评估装置,其特征在于,包括:
获取模块,被配置为获取待评估应用程序文件;
判断模块,被配置为基于预先存储的识别编号判断所述待评估应用程序文件是否为可识别应用程序文件;
确定模块,被配置为若是,确定与所述可识别应用程序对应的评估项;
评估模块,被配置为基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果。
9.一种应用程序评估系统,其特征在于,包括:
文件传输单元,用于获取待评估应用程序文件,确定所述待评估应用程序文件为可识别应用程序文件后,存储所述可识别应用程序文件;
应用检测单元,用于确定与所述可识别应用程序对应的评估项,并基于与所述评估项对应的评估规则评估所述可识别应用程序文件,得到评估结果;
结果通知单元,用于将所述评估结果发送至对应的业务终端。
10.一种计算机设备,其特征在于,所述计算机设备包括:
处理器;
用于存储所述处理器的可执行指令的存储器;
其中,所述处理器被配置为执行权利要求1-7任一所述的应用程序评估方法。
11.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,
所述计算机程序被处理器执行时实现如权利要求1-7任一所述的应用程序评估方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110668977.0A CN113254837A (zh) | 2021-06-17 | 2021-06-17 | 应用程序评估方法、装置、系统、设备和介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110668977.0A CN113254837A (zh) | 2021-06-17 | 2021-06-17 | 应用程序评估方法、装置、系统、设备和介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113254837A true CN113254837A (zh) | 2021-08-13 |
Family
ID=77188314
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110668977.0A Pending CN113254837A (zh) | 2021-06-17 | 2021-06-17 | 应用程序评估方法、装置、系统、设备和介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113254837A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113807717A (zh) * | 2021-09-23 | 2021-12-17 | 深圳市易平方网络科技有限公司 | 一种应用程序功能评价方法、装置、终端设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070033445A1 (en) * | 2005-08-02 | 2007-02-08 | Hirsave Praveen P K | Method, apparatus, and program product for autonomic patch risk assessment |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN107122666A (zh) * | 2016-12-05 | 2017-09-01 | 招商银行股份有限公司 | 金融应用的风险评估方法及装置 |
CN108804323A (zh) * | 2018-06-06 | 2018-11-13 | 中国平安人寿保险股份有限公司 | 代码质量监控方法、设备及存储介质 |
CN112149123A (zh) * | 2020-09-29 | 2020-12-29 | 公安部第三研究所 | 一种应用程序的安全检查系统及方法 |
-
2021
- 2021-06-17 CN CN202110668977.0A patent/CN113254837A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20070033445A1 (en) * | 2005-08-02 | 2007-02-08 | Hirsave Praveen P K | Method, apparatus, and program product for autonomic patch risk assessment |
CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
CN107122666A (zh) * | 2016-12-05 | 2017-09-01 | 招商银行股份有限公司 | 金融应用的风险评估方法及装置 |
CN108804323A (zh) * | 2018-06-06 | 2018-11-13 | 中国平安人寿保险股份有限公司 | 代码质量监控方法、设备及存储介质 |
CN112149123A (zh) * | 2020-09-29 | 2020-12-29 | 公安部第三研究所 | 一种应用程序的安全检查系统及方法 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113807717A (zh) * | 2021-09-23 | 2021-12-17 | 深圳市易平方网络科技有限公司 | 一种应用程序功能评价方法、装置、终端设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN103679031B (zh) | 一种文件病毒免疫的方法和装置 | |
CN106295333B (zh) | 用于检测恶意代码的方法和系统 | |
CN110851872B (zh) | 针对隐私数据泄漏的风险评估方法及装置 | |
US11429565B2 (en) | Terms of service platform using blockchain | |
CN111027094B (zh) | 针对隐私数据泄漏的风险评估方法及装置 | |
CN103685307A (zh) | 基于特征库检测钓鱼欺诈网页的方法及系统、客户端、服务器 | |
CN103544430A (zh) | 运算环境安全方法和电子运算系统 | |
KR20180113229A (ko) | 블록 체인을 이용한 대출 서비스 제공 방법 및 이를 실행하는 시스템 | |
CN109753808A (zh) | 一种隐私泄漏风险评估方法及装置 | |
CN108876188B (zh) | 一种间连服务商风险评估方法及装置 | |
CN111859371A (zh) | 一种应用程序的隐私风险评估方法、装置及存储介质 | |
CN107800670B (zh) | 用于预警网站安全的方法和装置 | |
CN112529575A (zh) | 风险预警方法、设备、存储介质及装置 | |
CN111338622A (zh) | 供应链代码识别方法、装置、服务器及可读存储介质 | |
CN113254837A (zh) | 应用程序评估方法、装置、系统、设备和介质 | |
CN112433936A (zh) | 测试方法、装置及存储介质 | |
CN104699619A (zh) | 线上测试的方法和装置 | |
WO2020228564A1 (zh) | 一种应用服务方法与装置 | |
CN107291618B (zh) | 应用存储方法、装置及终端设备 | |
CN113590180A (zh) | 一种检测策略生成方法及装置 | |
CN113434826A (zh) | 一种仿冒移动应用的检测方法,系统及相关产品 | |
US11995202B2 (en) | Computer system and data access control method | |
KR101088054B1 (ko) | 전문 기반 통신 시스템을 테스트하는 시스템 및 방법 | |
CN115525908A (zh) | 资源权限控制方法、装置及存储介质 | |
CN114048481A (zh) | 安全扫描报告的处理方法、装置、服务器和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210813 |
|
RJ01 | Rejection of invention patent application after publication |