本發明實施例提供了一種移動應用評測方法及系統，所述方法包括：對待評測移動應用的安裝包進行解包，得到所述待評測移動應用的特征信息；將所述特征信息與預設基線風險指標庫中所述待評測移動應用所需評測的多個風險類別對應的基線指標分別進行關聯，并利用所需評測的每個風險類別對應的基線指標對所述特征信息進行檢測，得到所需評測的每個風險類別對應的檢測結果；根據所述檢測結果，確定所述待評測移動應用所需評測的每個風險類別的風險等級。統一了移動應用安全評測基線指標和風險等級計算標準，無需依賴評測人員的專業技能水平，避免了評測方法不一致、評測規范不統一以及評測范圍有疏漏等問題，且評測周期短，評測成本低。

技術領域

本發明實施例涉及移動應用安全領域，更具體地，涉及一種移動應用評測方法及系統。

背景技術

隨著移動互聯網應用快速普及，面臨的安全威脅也日益嚴峻。尤其是近年來我國移動支付業務飛躍發展，巨大的利益空間促使黑產組織通過篡改、二次打包、漏洞利用、惡意攻擊等方式攻擊移動應用，達到破壞或竊取非法利益的目的，給移動應用的開發者、運營者及終端用戶的利益造成嚴重侵害。移動應用已成為互聯網業務的主要入口之一，由于移動支付的普遍應用，移動應用安全攻擊的“驅利性”特征十分明顯，因移動應用自身安全防護薄弱導致被非法攻擊、山寨篡改、數據泄露等風險日益突出。

而造成以上問題的主要原因在于：

第一、重業務，輕安全，缺少統一的安全規范：應用開發者或運營單位將更多的投入和關注放在業務發展，忽視了安全風險可能帶來的威脅和損失，另外缺少統一的、標準的安全規范導致在安全防護手段、安全防御能力方面差距較大；

第二、應用開發者安全水平良莠不齊，安全防護能力有限：應用開發者或開發廠商更擅長和專注于業務開發，缺少對特定領域的安全技術持續研究和應用的能力，導致應用“帶病發布”的現象普遍存在，攻擊者可利用應用自身的脆弱性發現安全攻擊；

第三、智能終端操作系統及組件本身存在一定的漏洞風險。

為了提升移動應用的安全性，需要對其進行評測，現有移動應用安全風險評測方法和系統不足之處在于：

第一、缺少基線風險標準，依賴技術人員個人能力。現階段對移動應用安全的風險評測多采用人工分析判斷的方法，安全技術人員根據個人技術能力和經驗知識，對移動應用程序進行解包、分析，一般采用攻擊滲透和人工分析應用的代碼、資源文件、配置文件，根據評測過程信息點記錄評測結果，最后人工編制移動應用的安全風險評測報告。此方法首先對參與評測的的安全技術人員個人能力要求很高，需對移動應用安全有較深的技術積累和一定的處理經驗；另外由于采用人工分析的辦法需要投入的工作量較大，評測周期也比較長，另外不能確保所有風險點覆蓋全面。

第二、工具掃描結果單一，缺少智能研判分析。現階段一些安全類工具可直接對移動應用進行風險掃描，但輸出結果多為過程數據或中間結果,自動化研判分析能力不足，需要人工逐個分析確認，這將消耗大量的時間，且需要安全技術人員對工具的使用和相關屬性十分了解，很難適應移動應用版本快速迭代發布特征。

第三、缺少自動化及持續的安全風險更新機制。由于移動應用技術日新月異，各類新漏洞不斷爆出，依賴人工分析或傳統工具均不能實現與最新風險漏洞同步，可能導致移動應用評測后仍然存在致命風險。

第四、評測周期長，投入工作量大，實施成本較高

在采用人工方法對移動應用安全風險進行評測時，對人員自身的安全知識要求較高，對工具的熟練掌握程度也有較高要求，所有測試結果都需要人工直接干預，因此需要較大的工作量和較長的周期，整體實施成本較高。

因此，隨著移動互聯網快速發展和安全風險威脅日趨嚴峻，單純采用基于人工評測移動應用安全風險的辦法，已經不能滿足對移動應用安全風險控制的要求，只有尋求一種全新的解決方案，才能保障用戶和應用提供商的利益，促進產業鏈的可持續發展。

發明內容