[发明专利]一种针对移动应用地理位置访问行为的细粒度分析方法

说明书

本发明公开一种针对移动应用地理位置访问行为的细粒度分析方法，可以自动从应用中hook位置请求并确定其细粒度的精度要求，无需应用开发者的支持，以便我们在进行个性化位置隐私保护时平衡用户可用性与安全性。其关键点是识别应用中调用了位置的下游功能，即基于位置的功能，简写为LBF。首先找到与位置请求相关联的L‑UI，然后抓取其呈现的LBF文本。接下来，定义了LBF的类型，并对样本进行了打标。最后改进现有的NLP技术，通过分析文本的语义对相应的服务类型进行分类。为了保证基于文本的LBF分类模型的精确度，构建了第一个专用的大型训练数据集，包含3000多个可手动标记的LBF样本，其平均细粒度分类准确率超过了90％。

技术领域

本发明涉及一种针对移动应用地理位置访问行为的细粒度分析方法，属于网络安全技术领域。

背景技术

近年来，以智能手机为代表的智能移动设备得到了迅猛发展，凭借它们的便捷性，以及无所不在的网络，已经成为人们生活甚至是身体的一部分。在国内，据国际数据公司(IDC)最新发布的手机季度跟踪报告显示，2018年仅第三季度中国的智能手机零售量就达到约1.03亿部。另据工信部的数据显示，2018年1-7月全国移动互联网用户总数保持在13.7亿户，预计2018年中国移动互联网市场规模有望突破8万亿元。世界范围内，据全球智库GSMA估算，到2025年全球移动互联网用户将达37亿，占全球网民的70％。

移动设备与传统PC相比存在的一个重要区别是移动设备(例如智能手机)通常装备有GPS等定位模块，可以实时获得设备精准的地理位置。同时，由于这些设备是由用户随身携带的，也就意味着这些设备上的应用软件一旦获得访问定位模块的权限，就可以实时获得用户的地理位置。这从根本上提高了移动应用给用户提供更为个性化服务的能力。事实上，LuK的文章对GooglePlay市场上的40456个免费应用进行了静态分析，结果显示超26.15％的应用都会访问用户的地理位置。

不同于一般的数据，无论是对于用户还是对于服务提供者而言，对于地理位置的安全性都是异常敏感的。对于用户而言，地理位置是人的核心隐私之一，如果不加保护，一旦被攻击者或者是恶意服务提供者获得，将会对用户的隐私造成极大的破坏，甚至威胁用户的人生与财产安全。事实上，近年来，已经出现了大量与手机用户地理位置泄露相关的事件。

另一方面，对于很多服务提供者而言，其核心利益是与用户提供的地理位置的准确性休戚相关的，一旦恶意用户提供虚假的位置(篡改应用获得的定位结果)，很可能给其利益带来不可估量的损失，而恶意用户可能得到非法的收益。例如，很多打车软件会给司机接单完成后给予一定比例的现金补贴，为此，有些恶意的司机用户便使用某些所谓的扫街软件，通过修改GPS定位的结果，来模拟行车，从而骗取补贴。又例如，微信等社交软件，恶意用户可能通过修改自己的地理位置冒充附近的人来实施诈骗等行为。导航应用可以伪造位置上报虚假事故，干扰其他正常用户的导航服务。

事实上，对于上述的位置隐私和安全，相关研究已经存在十多年，两个方面都取得了大量成果。然而到目前为止，我们鲜有看到大规模实际应用的方案，一方面用户精确的地理位置信息仍然源源不断在被各类移动应用显式或者隐式的获取，滥用之势没有得到任何改观；另一方面，地理位置篡改软件、框架在网络上层出不穷，大部分可以有效的欺骗Top级别的移动应用。究其原因，主要是这两方面的保护方案都面临着严重的安全性与可用性的矛盾。对于前者，现有高安全方案要么过于复杂，会带来较大的计算及通信开销，从而影响原有服务质量；要么需要服务提供者配合，假设其是半诚实的，而在该场景中服务提供者恰恰就是不可信的。对于后者，现有的方案通常依赖于额外的环境信息比对来判断位置的准确性，然而这需要提前搜集大规模的环境指纹信息，建立并维护庞大的数据库，这需要投入巨大的人力和财力才能办到，不是一般应用开发者可以承担。而且环境信息也可以伪造，同时匹配的过程反过来会泄露用户的地理位置信息，造成新的隐私泄露。