移动应用的恶意和风险性判定准则及流程研究.docxVIP

信息安全与通信保密·cismag 信息安全与通信保密·cismag net 81 本栏目由保密通信重点实验室协办 移动应用的恶意和风险性判定准则及流程研究 蒋永成，化存卿 (j二海交通大学信息安全学院．上海200122) [摘要]针对移动互联网中存在的恶意应用及风险应用，本文从用户使用、围家监管、网络保障以及运营需求四大角度，设 计并详细阐述了对于移动应用的风险判定模型，该模型从网络通信、资源调用、资费扣取、内容使用四个方面对各种应用的使 用行为进行归类，并将其行为分为恶意、风险和安全i大类别。之后，基于该模型提出的四个方面．提m移动应用安全判定的 通用流程。最后，分析了在一些典型应用中如何使用该流程。 [关键词]恶意应用；风险应用；安全模型；判定流程 [中图分类号】TP311．56 [文献标志码】A [文章编号]1009—8054(2015 J07—008卜05 Criteria and Process for MaIiciousness Malevolence and础sk of Mobile AppIication JIANG Yong—cheng，HUA Cun—qing (College()f I山n11ation Se(：urity，Shanghai Jiao Tong University，Shanghai 200122，China) [Abstract]Ainling the malicious and risk software in the m()bile intemel，an(I fmm“)ur aspecls of consumer supervj— sion，network se(’uriIy and opemtion requiremenIs is【1esigned and descrihed in detail．This modelclassi6es usage behaVior of rious applications fmnl nelds of network communi(-ation，resources transfer，tariff deduction and use，and divides these int()three categories．including maliciousness，^sk and security hehavior．Consequently，based the four met^cs mentioned a})0ve，a genemI pmcess for mobile 8pplication securiIy judgment is pnJposed．Finally，some typical examples how apply this pmcess giVen． [Key words]mali(-ious appli(·ation；risk 8ppli(-ation；sec删‘y model；judgmen‘pm(-ess 随着这一行业的繁荣．从事移动应用开发的公司、个人稳步 O 引言 增长．其推出的应用绝大部分应用都是免费的。因而，有部分开 近年来，随着“棱镜门”事件到中国国家域名系统被攻击，信 发者H{经济利益考虑．创造jI{了一些的恶意、风险应用。据360 息安全问题已经成为国家关注的问题。从国家安全委员会与中 公司报告《2014年中国手机安全状况报告》“统计，2014年全年， 央网络安全和信息化领导小组的成立，可以看出，信息安全在国 该公司累计截获Andmid平台恶意样本326．0万个，较2叭2年， 家层面得到了极大的提升。同时，随着我国的移动互联网事业的 2013年分别增长了25．3倍和3．86倍。平均每天捕获恶意样本近 蓬勃发展，个人、企业用户对其的依赖性日益增强。与之相伴的． 8 932个。应用的安全形势虽较前一年有所缓和，但仍然十分 就是移动互联网的安全问题愈加严重．信息安全问题呈现出了多 严峻。 样化的趋势．冈此十分有必要对其进行管理和防范。 另外一方面．人们获取移动应用的主要来源是应用商店。在 国外．应用发布渠道相对集中：安卓应用的主要发布渠道为 l移动应用的安全现状 GooglePlav，绝大部分IOs应用发布的主要渠道为APP store，这 观今，移动互联网产业发展突飞猛进，基于安卓和IoS两种 两家公司均提供了相对完善的安全保护措施。但在我周国内，情 操作系统的智能终端已在手机市场中普及，智能操作系统本身提 况则大为不同．应用发布的渠道极其的多样化，为用户提供应用