[发明专利]一种App收集用户个人敏感信息的风险评估方法

权利要求书

1.一种APP收集用户个人敏感信息的风险评估方法，其特征在于，包括以下步骤：

S1、开始；

S2、对被评估APP进行静态和动态分析，获得各风险因素的评分；

S3、对步骤S2中获得的各风险因素的评分进行加权求和，获得被评估APP的风险评分，所述风险评分包括可疑度评分和严重度评分；

S4、根据步骤S3中获得的风险评分，确定被评估APP的风险评级；

S5、结束；

所述步骤S2中，对被评估APP进行静态分析，具体是指：对被评估APP的权限需求、SDK、调用函数进行分析，分别获得权限评分Sp、SDK评分Sm、调用函数评分Ss；

所述步骤S2中，对被评估APP进行动态分析，具体是指对被评估APP的流量包参数、访问域名进行分析，分别获得流量包参数评分Sd、域名评分Sn；

所述流量包参数评分Sd的获取步骤如下：

S2-4-1，在沙盒环境中安装被评估APP；

S2-4-2，在沙盒环境内对敏感信息设置预设值；

S2-4-3，抓取被评估APP与网络通信的数据流量包；

S2-4-4，对步骤S2-4-3中的数据流量包进行分析，检测是否包含步骤S2-4-2中设置的敏感信息的预设值，包含则Sd＝1，否则Sd＝0；

所述域名评分Sn的获取步骤如下：

按照公式Sn＝β*n，求得被评估APP的域名评分；

Sn：是域名评分；β：是被评估app访问的、且包含在域名风险权重库中的域名的权重之和；n：是域名风险权重库中包含的去重后的域名的总数量；若域名为首次出现，且不在域名风险权重库中，则其风险权重设为0。

2.根据权利要求1所述的APP收集用户个人敏感信息的风险评估方法，其特征在于，所述权限评分Sp的获取步骤如下：

S2-1-1，建立或完善修正“权限敏感性评分表”，具体地，从安卓官方文档中获取所有权限列表，并根据权限与敏感信息的关联程度，对权限进行评分；

S2-1-2，对照S2-1-1中的“权限敏感性评分表”，逐项累加被评估APP权限列表所对应的权限敏感性评分，得到被评估APP的权限评分Sp；

所述SDK评分Sm获取的步骤如下：

以公式Sm＝α*m计算得到被评估APP的SDK评分；

其中：Sm是被评估APP的SDK评分；α：是被评估APP所包含的、且已在SDK风险权重库中的SDK的权重之和；m是SDK风险权重库中包含的去重后的SDK的总数量；若SDK为首次出现，且不在SDK风险权重库中，则其风险权重设为0；

所述调用函数评分Ss的获取步骤如下：

S2-3-1，获取被评估APP与读写敏感信息相关的函数以及调用这些函数的函数，记为函数集合a；

S2-3-2，获取被评估APP与网络请求操作相关的函数，记为函数集合b；

S2-3-3，获取被评估APP与数据加密操作相关的函数，记为函数集合c；

S2-3-4，求得函数集合a、函数集合b、函数集合c之间的交集中元素的数量；

S2-3-5，根据以下公式计算获取调用函数评分

Ss＝n1*q1+n2*q2+n3*q3

其中n1为函数集合a与函数集合b的交集中元素的数量；n2为函数集合b与函数集合c的交集中元素的数量；n3为函数集合a与函数集合c的交集中元素的数量；q1/q2/q3为交集的权重值。