亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

一種移動應用的安全風險評估方法及系統(tǒng)的制作方法

文檔序號:10618252閱讀:451來源:國知局
一種移動應用的安全風險評估方法及系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種移動應用的安全風險評估方法及系統(tǒng),該方法包括:建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;提交待評估的移動應用,對其進行風險評估,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;生成應用安全風險評估報告。實施本發(fā)明的有益效果是,統(tǒng)一了移動應用安全評估標準項、安全風險項、工具掃描項,避免了移動應用安全風險評估對評估者和評估工具的依賴;實現(xiàn)了對移動應用安全風險評估的全自動化的流程處理,極大提升了評估的效率,縮短了評估周期,降低了評估成本;實現(xiàn)了對移動應用安全風險評估報告生成的自動化管理,統(tǒng)一了報告的格式,縮短了報告生成時間,降低了報告生成復雜度。
【專利說明】
一種移動應用的安全風險評估方法及系統(tǒng)
技術領域
[0001]本發(fā)明涉及移動應用技術領域,尤其涉及一種移動應用的安全風險評估方法及系統(tǒng)?!颈尘凹夹g】
[0002]隨著互聯(lián)網(wǎng)的飛速發(fā)展,智能終端快速普及,各類移動應用極速增長,移動應用已深入人們是生活和工作。但是移動應用開發(fā)者的安全意識及移動應用的安全防護手段并沒有完全跟上應用發(fā)展的步伐。截止2014年三季度末,國內累計新增移動應用惡意樣本 151.3萬份,以日均超過7300份速度增長,累計感染人群超過2.13億,環(huán)比上漲417.3%, 日均超過140萬人被感染惡意樣本。大量的應用、游戲被破解、二次打包形成盜版應用,在盜版應用中植入惡意代碼、病毒程序、惡意扣費程序、廣告插件、信息竊取程序等,給移動互聯(lián)網(wǎng)行業(yè)、開發(fā)者和終端客戶造成重大的危害和經(jīng)濟損失。如何加強移動應用安全防護,如何快速發(fā)現(xiàn)移動個應用安全威脅以及如何全面評估一款移動應用的安全風險成為安全領域面臨的一個重要挑戰(zhàn)之一。
[0003]而造成以上問題的主要原因在于:
[0004]1、Android系統(tǒng)自身存在一定的漏洞風險;
[0005]2、缺少一種快速評估移動應用安全風險的辦法和相應的系統(tǒng)。
[0006]現(xiàn)有移動應用安全風險評估方法和系統(tǒng)不足之處在于:
[0007]1、嚴重依賴評估者和安全專家的個人經(jīng)驗及主觀判斷。
[0008]目前對移動應用安全的風險評估多采用人工分析判斷的方法,安全專家根據(jù)個人安全知識和經(jīng)驗積累結合流行的惡意樣本特征,對移動應用程序進行解包、分析,一般采用沙箱測試和人工分析應用的代碼、資源文件、配置文件,根據(jù)評估過程信息點記錄評估結果,最后手工繪制移動應用的安全風險評估報告。此方法首先對安全專家的個人能力要求很高,需對移動應用安全有較深的技術積累和一定的處理經(jīng)驗;另外由于采用人工分析的辦法需要投入的工作量較大,評估周期也比較長;再者,采用人工評估的辦法由于每個專家擅長的領域和個人在行業(yè)的經(jīng)驗有差別,所評估的風險點會出現(xiàn)差異,一些關鍵點可能被遺漏。
[0009]2、依賴相關工具的直接掃描結果,缺少判斷分析。
[0010]在人工評估移動應用安全風險的過程中,往往需要借助相關的掃描工具對移動應用程序進行靜態(tài)掃描和動態(tài)分析,然后根據(jù)掃描結果進行人工判斷分析,將對工具掃描結果的分析判斷作為評估結果,生成評估報告。由于掃描工具會輸出多項中間結果,一般的工具不會直接給從掃描項是否存在風險,需要人工逐個分析確認,這將消耗大量的時間,且需要安全專家對工具的使用和相關屬性十分了解。給日常的移動應用安全評估帶來困難。
[0011]3、缺少有效的評估流程和評估執(zhí)行機制。
[0012]由于采用人工評估的方法缺少規(guī)范的評估流程和統(tǒng)一的執(zhí)行機制,使得評估結果和評估報告的格式多樣化,不利于集中分析和統(tǒng)一管理,另外在評估過程中對評估項和對應的掃描結果沒有統(tǒng)一的規(guī)范約束,使得同一問題現(xiàn)象對應的風險信息不一致的情況。
[0013]4、評估周期長,投入工作量大,評估成本較高。
[0014]在采用人工評估方法對移動應用安全風險進行評估時,對人員自身的安全知識要求較高,對工具的熟練掌握程度也有較高要求,所有評估結果都需要人工直接干預,因此需要投入的工作量很大,評估周期往往很長,整體評估成本較高。這不利于對移動應用進行批量評估,相對當前市場日益增長的應用和惡意樣本顯得力不從心。
【發(fā)明內容】

[0015]有鑒于此,本發(fā)明的目的在于提供一種移動應用的安全風險評估方法及系統(tǒng),旨在解決現(xiàn)有技術中依賴評估者和安全專家的個人經(jīng)驗及主觀判斷、依賴相關工具的直接掃描結果、缺少有效的評估流程和評估執(zhí)行機制以及評估周期長,投入工作量大,評估成本較高的技術問題。
[0016]本發(fā)明的技術方案實現(xiàn)如下:
[0017]提供一種移動應用的安全風險評估方法,包括:
[0018]建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;
[0019]提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的評估算法加載對應的評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;
[0020]調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。
[0021]在本發(fā)明所述的方法中,在建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系的步驟中,包括:
[0022]向安全知識庫錄入所述移動應用的所述評估標準項;
[0023]向所述安全知識庫錄入所述移動應用的所述安全風險項;
[0024]將所述移動應用的外部掃描工具的掃描接口組成掃描指標,向所述安全知識庫錄入所述工具掃描項;
[0025]設置評估標準項、安全風險項、工具掃描項的映射關系。
[0026]在本發(fā)明所述的方法中,在向安全知識庫錄入所述移動應用的所述評估標準項的步驟中,還包括,返回錄入結果;
[0027]在向安全知識庫錄入所述移動應用的所述安全風險項的步驟中,還包括,返回錄入結果;
[0028]在將所述移動應用的外部掃描工具的掃描接口組成掃描指標,向安全知識庫錄入所述工具掃描項的步驟中,還包括,返回錄入結果;
[0029]在設置評估標準項、安全風險項、工具掃描項的映射關系的步驟中,好包括,返回設置結果。
[0030]在本發(fā)明所述的方法中,在提交待評估的移動應用的步驟中,包括:
[0031]向自動評估引擎提交所述移動應用的安裝包,請求對所述移動應用進行安全風險評估;
[0032]所述自動評估引擎接收所述請求,調用其內置的工具驗證所述安裝包是否合法;
[0033]若所述安裝包合法,則提取所述安裝包的程序樣本。
[0034]在本發(fā)明所述的方法中,在根據(jù)所述移動應用的評估級別加載對應的評估標準項的步驟中,包括:
[0035]所述自動評估引擎根據(jù)所述移動應用的評估級別加載對應的評估標準項。
[0036]在本發(fā)明所述的方法中,在依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃描的步驟中,包括:
[0037]所述自動評估引擎根據(jù)所述安全知識庫的映射關系,加載所述移動應用對應的工具掃描項,分配對應的外部掃描工具的掃描接口;
[0038]所述自動評估引擎調用所述掃描接口;
[0039]所述自動評估引擎接收所述外部掃描工具進行掃描的掃描結果。
[0040]在本發(fā)明所述的方法中,在依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表的步驟中,包括:
[0041]所述自動評估引擎對所述掃描結果進行包括去除無效結果,格式化結果信息的預分析處理;
[0042]所述自動評估引擎啟動評估結果分析線程對所述掃描結果進行分析,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險;
[0043]所述自動評估引擎將存在風險所述評估結果寫入數(shù)據(jù)表,并返回所述移動應用的評估結果。
[0044]在本發(fā)明所述的方法中,在調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告的步驟中,包括:
[0045]所述自動評估引擎向自動報告引擎請求生成移動應用的安全風險評估報告;
[0046]所述自動報告引擎根據(jù)所述請求從所述數(shù)據(jù)表中加載所述移動應用的評估結果, 向所述自動評估引擎返回響應消息;
[0047]所述自動報告引擎調用word報告模板,根據(jù)所加載的評估結果生成移動應用的 word版本安全風險評估報告;
[0048]所述自動報告引擎調用xml報告模板,根據(jù)所加載的評估結果生成移動應用的 xml版本安全風險評估報告;
[0049]所述自動報告引擎向所述自動評估引擎返回word報告和xml報告的生成狀態(tài);
[0050]所述自動報告引擎分發(fā)已生成的報告。
[0051]另一方面,提供一種移動應用的安全風險評估系統(tǒng),包括:
[0052]安全知識庫,用于建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;
[0053]自動評估引擎,用于提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的評估算法加載對應的評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;
[0054]自動報告引擎,用于調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。
[0055]在本發(fā)明所述的系統(tǒng)中,所述自動評估引擎包括評估接口及報告接口,所述評估接口用于連接至所述安全知識庫,所述報告接口用于連接至所述自動報告引擎。
[0056]因此,本發(fā)明的有益效果是,統(tǒng)一了移動應用安全評估標準項、安全風險項、工具掃描項,避免了移動應用安全風險評估對評估者和評估工具的依賴;實現(xiàn)了對移動應用安全風險評估的全自動化的流程處理,極大提升了評估的效率,縮短了評估周期,降低了評估成本;實現(xiàn)了對移動應用安全風險評估報告生成的自動化管理,統(tǒng)一了報告的格式,縮短了報告生成時間,降低了報告生成復雜度。【附圖說明】
[0057]下面將結合附圖及實施例對本發(fā)明作進一步說明,附圖中:
[0058]圖1為本發(fā)明提供的一種移動應用的安全風險評估方法流程圖;
[0059]圖2為本發(fā)明提供的建立映射關系的流程圖;
[0060]圖3為本發(fā)明提供的評估安全風險的流程圖;
[0061]圖4為本發(fā)明提供的生成報告的流程圖;
[0062]圖5為本發(fā)明提供的一種移動應用的安全風險評估系統(tǒng)的方框示意圖?!揪唧w實施方式】
[0063] 為了對本發(fā)明的技術特征、目的和效果有更加清楚的理解,以下將對照附圖詳細說明本發(fā)明的【具體實施方式】。應當理解,以下說明僅為本發(fā)明實施例的具體闡述,不應以此限制本發(fā)明的保護范圍。
[0064]本發(fā)明提供一種移動應用的安全風險評估方法及系統(tǒng),其目的在于,為了提高移動互聯(lián)網(wǎng)應用安全,全面評估移動應用安全風險,保證用戶使用應用安全,避免惡意應用侵害市場,提升應用評估效率,通過設計安全評估標準項、安全風險項、自動評估引擎2、自動報告引起3,實現(xiàn)對移動應用的安全風險快速有效的評估。
[0065]參見圖1,圖1為本發(fā)明提供的一種移動應用的安全風險評估方法流程圖,該安全風險評估方法包括以下步驟:
[0066] S1、建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;參見圖2,圖2為本發(fā)明提供的建立映射關系的流程圖,即該步驟S1包括以下子步驟:
[0067]S11、向安全知識庫1錄入所述移動應用的所述評估標準項;返回錄入結果。例如, 由用戶(一般為評估專家或安全專家)錄入移動應用的評估標準項。
[0068] S12、向所述安全知識庫1錄入所述移動應用的所述安全風險項;返回錄入結果。 例如,安全專家錄入移動應用安全風險項。
[0069] S13、將所述移動應用的外部掃描工具的掃描接口組成掃描指標,向所述安全知識庫1錄入所述工具掃描項;返回錄入結果。例如,安全專家將各類移動應用安全掃描工具的掃描項整理成掃描指標,錄入工具掃描指標項。其中,步驟S11、S12、S13可同時也可不同時進行。
[0070] S14、設置評估標準項、安全風險項、工具掃描項的映射關系。返回設置結果。例如, 安全專家根據(jù)評估標準項、安全風險項、工具掃描項的關系,在系統(tǒng)設置對應的關聯(lián)映射關系。
[0071] S2、提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的評估算法加載對應的評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;參見圖3,圖3為本發(fā)明提供的評估安全風險的流程圖,即該步驟S2包括以下子步驟:
[0072]S201、向自動評估引擎2提交所述移動應用的安裝包,請求對所述移動應用進行安全風險評估;例如,安全專家向系統(tǒng)提交移動應用APK包,請求對移動應用進行安全風險評估。
[0073]S202、所述自動評估引擎2接收所述請求,調用其內置的工具驗證所述安裝包是否合法;例如,自動評估引擎2接收請求,調用內置工具解析驗證APK包是否合法。
[0074]S203、若所述安裝包合法,則提取所述安裝包的程序樣本。例如,自動評估引擎2 提取驗證合法的APK程序樣本。
[0075]S204、所述自動評估引擎2根據(jù)所述移動應用的評估級別加載對應的評估標準項。例如,自動評估引擎2根據(jù)安全專家提交的評估級別,自動加載該移動應用對應的評估標準項。
[0076]S205、所述自動評估引擎2根據(jù)所述安全知識庫1的映射關系,加載所述移動應用對應的工具掃描項,分配對應的外部掃描工具的掃描接口;例如,自動評估引擎2分析需要評估的標準項,根據(jù)安全知識庫1的映射關系,自動加載每個評估項對應的工具掃描項,并分配調用工具掃描接口的執(zhí)行順序。
[0077]S206、所述自動評估引擎2調用所述掃描接口;例如,自動評估引擎2調用外部的掃描工具的掃描接口。
[0078]S207、所述自動評估引擎2接收所述外部掃描工具進行掃描的掃描結果。例如,自動評估引擎2接收外部掃描工具執(zhí)行掃描接口的掃描結果。
[0079]S208、所述自動評估引擎2對所述掃描結果進行包括去除無效結果,格式化結果信息的預分析處理;例如,自動評估引擎2對掃描結果做預分析處理,包括去除無效結果, 格式化結果信息,判斷是否重新調用掃描接口,并向安全專家返回評估標準項的自動處理狀態(tài)。
[0080]S209、所述自動評估引擎2啟動評估結果分析線程對所述掃描結果進行分析,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險;例如,自動評估引擎2啟動評估結果分析線程,并行對每個評估項的掃描結果進行分析,根據(jù)預設的分析規(guī)則判斷評估標準項是否存在風險。
[0081]S210、所述自動評估引擎2將存在風險所述評估結果寫入數(shù)據(jù)表,并返回所述移動應用的評估結果。例如,自動評估引擎2將每一個評估標準項的評估結果寫入數(shù)據(jù)表,向安全專家返回每個評估標準項的最終評估結果。
[0082]S3、調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。參見圖4,圖4為本發(fā)明提供的生成報告的流程圖,即該步驟S3包括以下子步驟:
[0083]S31、所述自動評估引擎2向自動報告引起3請求生成移動應用的安全風險評估報告;例如,自動評估引擎2調用評估報告生成接口,向自動報告引起3請求生成移動應用的安全風險評估報告。
[0084]S32、所述自動報告引起3根據(jù)所述請求從所述數(shù)據(jù)表中加載所述移動應用的評估結果,向所述自動評估引擎2返回響應消息;例如,自動報告引起3根據(jù)請求條件從數(shù)據(jù)庫加載應用的評估結果數(shù)據(jù),向自動評估引擎2返回響應消息。
[0085]S33、所述自動報告引起3調用word報告模板,根據(jù)所加載的評估結果生成移動應用的word版本安全風險評估報告。
[0086]S34、所述自動報告引起3調用xml報告模板,根據(jù)所加載的評估結果生成移動應用的xml版本安全風險評估報告;其中,步驟S33和S34可同時也可不同時進行。
[0087]S35、所述自動報告引起3向所述自動評估引擎2返回word報告和xml報告的生成狀態(tài)。
[0088]S36、所述自動報告引起3分發(fā)已生成的報告。例如,自動報告引起3調用報告分發(fā)接口,自動分發(fā)已生成的報告。
[0089]綜上,本方法要解決的問題有三個:
[0090]1、通過建設安全知識庫1,解決統(tǒng)一評估標準項、應用風險項、工具掃描項以及各知識項間關聯(lián)映射問題;
[0091]2、通過自動評估引擎2,實現(xiàn)移動應用安全風險自動評估,解決批量評估、并行評估效率低下問題;
[0092]3、通過自動報告引起3,實現(xiàn)移動應用安全風險評估報告自動生成、自動分發(fā),解決報告格式不一致、與第三方系統(tǒng)交互不及時問題。
[0093]參見圖5,圖5為本發(fā)明提供的一種移動應用的安全風險評估系統(tǒng)100的方框示意圖,該安全風險評估系統(tǒng)100包括:
[0094]安全知識庫1,用于建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;
[0095]自動評估引擎2,用于提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的評估算法加載對應的評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;所述自動評估引擎2包括評估接口及報告接口,所述評估接口用于連接至所述安全知識庫1,所述報告接口用于連接至所述自動報告引起3。
[0096]自動報告引起3,用于調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。
[0097]該系統(tǒng)100通過安全知識庫1實現(xiàn)對移動應用的評估標準項、安全風險項、工具掃描項的統(tǒng)一管理和各項之間的關系映射設置,為自動評估引擎2提供基礎數(shù)據(jù)關系和分析依據(jù);自動評估引擎2根據(jù)移動應用的評估級別和系統(tǒng)內置算法,自動加載需要評估的標準項,根據(jù)評估標準項和工具掃描項的映射關系,系統(tǒng)自動調用相關工具的掃描接口,并對掃描結果進行分析判斷,根據(jù)評估標準項和安全風險項的映射關系自動判斷評估結果是否存在風險,若存在,系統(tǒng)自動加載安全風險項,并把評估結果寫入對應的數(shù)據(jù)表,調用自動報告引起3,生成應用安全風險評估報告。
[0098]該系統(tǒng)具有以下有益效果:
[0099]1、通過安全知識庫1模式,統(tǒng)一了移動應用安全評估標準項、安全風險項、工具掃描項,避免了移動應用安全風險評估對評估者和評估工具的依賴;即實現(xiàn)對移動應用安全評估標準項、安全風險項、工具掃描項及三者映射關系的統(tǒng)一管理和統(tǒng)一配置。
[0100]2、通過自動評估引擎2,實現(xiàn)了對移動應用安全風險評估的全自動化的流程處理, 極大提升了評估的效率,縮短了評估周期,降低了評估成本;即實現(xiàn)對移動應用安全風險評估自動化的方法。
[0101]3、通過自動報告引起3,實現(xiàn)了對移動應用安全風險評估報告生成的自動化管理, 統(tǒng)一了報告的格式,縮短了報告生成時間,降低了報告生成復雜度;即實現(xiàn)對移動應用安全風險評估報告自動生成、自動分發(fā)的方法,實現(xiàn)對移動應用安全風險評估整體流程自動化的方法。
[0102]4、通過報告自動分發(fā)接口,實現(xiàn)了與第三方系統(tǒng)的無縫對接,提升了與外部系統(tǒng)的交互性。
[0103]本發(fā)明雖然以較佳實施例公開如上,但其并不是用來限定本發(fā)明,任何本領域技術人員在不脫離本發(fā)明的精神和范圍內,都可以做出可能的變動和修改,因此本發(fā)明的保護范圍應當以本發(fā)明權利要求所界定的范圍為準。
【主權項】
1.一種移動應用的安全風險評估方法,其特征在于,包括:建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關系;提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的評估算法加載對應的 評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應的掃描接口以進行掃 描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險并生 成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。2.根據(jù)權利要求1所述的方法,其特征在于,在建立移動應用對應的評估標準項、安全 風險項、工具掃描項的映射關系的步驟中,包括:向安全知識庫錄入所述移動應用的所述評估標準項;向所述安全知識庫錄入所述移動應用的所述安全風險項;將所述移動應用的外部掃描工具的掃描接口組成掃描指標,向所述安全知識庫錄入所 述工具掃描項;設置評估標準項、安全風險項、工具掃描項的映射關系。3.根據(jù)權利要求2所述的方法,其特征在于,在向安全知識庫錄入所述移動應用的所 述評估標準項的步驟中,還包括,返回錄入結果;在向安全知識庫錄入所述移動應用的所述安全風險項的步驟中,還包括,返回錄入結 果;在將所述移動應用的外部掃描工具的掃描接口組成掃描指標,向安全知識庫錄入所述 工具掃描項的步驟中,還包括,返回錄入結果;在設置評估標準項、安全風險項、工具掃描項的映射關系的步驟中,好包括,返回設置結果。4.根據(jù)權利要求2所述的方法,其特征在于,在提交待評估的移動應用的步驟中,包 括:向自動評估引擎提交所述移動應用的安裝包,請求對所述移動應用進行安全風險評 估;所述自動評估引擎接收所述請求,調用其內置的工具驗證所述安裝包是否合法;若所述安裝包合法,則提取所述安裝包的程序樣本。5.根據(jù)權利要求4所述的方法,其特征在于,在根據(jù)所述移動應用的評估級別加載對 應的評估標準項的步驟中,包括:所述自動評估引擎根據(jù)所述移動應用的評估級別加載對應的評估標準項。6.根據(jù)權利要求5所述的方法,其特征在于,在依據(jù)所述評估標準項與工具掃描項的 映射關系調用對應的掃描接口以進行掃描的步驟中,包括:所述自動評估引擎根據(jù)所述安全知識庫的映射關系,加載所述移動應用對應的工具掃 描項,分配對應的外部掃描工具的掃描接口;所述自動評估引擎調用所述掃描接口;所述自動評估引擎接收所述外部掃描工具進行掃描的掃描結果。7.根據(jù)權利要求6所述的方法,其特征在于,在依據(jù)所述評估標準項與安全風險項的 映射關系判斷所述掃描的結果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表的步驟中,包括:所述自動評估引擎對所述掃描結果進行包括去除無效結果,格式化結果信息的預分析 處理;所述自動評估引擎啟動評估結果分析線程對所述掃描結果進行分析,依據(jù)所述評估標 準項與安全風險項的映射關系判斷所述掃描的結果是否存在風險;所述自動評估引擎將存在風險所述評估結果寫入數(shù)據(jù)表,并返回所述移動應用的評估結果。8.根據(jù)權利要求7所述的方法,其特征在于,在調用數(shù)據(jù)表所存儲的評估結果,生成應 用安全風險評估報告的步驟中,包括:所述自動評估引擎向自動報告引擎請求生成移動應用的安全風險評估報告;所述自動報告引擎根據(jù)所述請求從所述數(shù)據(jù)表中加載所述移動應用的評估結果,向所 述自動評估引擎返回響應消息;所述自動報告引擎調用word報告模板,根據(jù)所加載的評估結果生成移動應用的word 版本安全風險評估報告;所述自動報告引擎調用xml報告模板,根據(jù)所加載的評估結果生成移動應用的xml版 本安全風險評估報告;所述自動報告引擎向所述自動評估引擎返回word報告和xml報告的生成狀態(tài);所述自動報告引擎分發(fā)已生成的報告。9.一種移動應用的安全風險評估系統(tǒng),其特征在于,包括:安全知識庫,用于建立移動應用對應的評估標準項、安全風險項、工具掃描項的映射關 系;自動評估引擎,用于提交待評估的移動應用,根據(jù)所述移動應用的評估級別和預設的 評估算法加載對應的評估標準項,依據(jù)所述評估標準項與工具掃描項的映射關系調用對應 的掃描接口以進行掃描,依據(jù)所述評估標準項與安全風險項的映射關系判斷所述掃描的結 果是否存在風險并生成評估結果,并將存在風險的評估結果寫入預設的數(shù)據(jù)表;自動報告引擎,用于調用數(shù)據(jù)表所存儲的評估結果,生成應用安全風險評估報告。10.根據(jù)權利要求9所述的系統(tǒng),其特征在于,所述自動評估引擎包括評估接口及報告 接口,所述評估接口用于連接至所述安全知識庫,所述報告接口用于連接至所述自動報告 引擎。
【文檔編號】G06F21/57GK105989291SQ201510063247
【公開日】2016年10月5日
【申請日】2015年2月6日
【發(fā)明人】汪亞軍
【申請人】卓望數(shù)碼技術(深圳)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1