陳 璐,劉 行,陳 牧,李尼格,戴造建

(1.全球能源互聯(lián)網(wǎng)研究院有限公司 信息網(wǎng)絡(luò)安全國(guó)網(wǎng)重點(diǎn)實(shí)驗(yàn)室,南京 210003; 2.南京南瑞信息通信科技有限公司,南京 210003)

0 概述

移動(dòng)通信和移動(dòng)互聯(lián)網(wǎng)技術(shù)的飛速發(fā)展使移動(dòng)智能設(shè)備在社會(huì)各領(lǐng)域被廣泛應(yīng)用。GSMA報(bào)告顯示2014年底全球共有36億移動(dòng)用戶,其中智能手機(jī)用戶達(dá)到了26億,我國(guó)的智能手機(jī)用戶則在2014年6月底超過(guò)了5.27億[1],智能手機(jī)已超越個(gè)人電腦成為主流網(wǎng)絡(luò)工具。而根據(jù)中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)、國(guó)家互聯(lián)網(wǎng)應(yīng)急中心聯(lián)合發(fā)布的《中國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展?fàn)顩r及其安全報(bào)告(2016)》資料顯示,2015年中國(guó)境內(nèi)活躍的手機(jī)網(wǎng)民數(shù)量達(dá)7.8億人,活躍的智能手機(jī)聯(lián)網(wǎng)終端達(dá)11.3億部[2]。與此同時(shí),移動(dòng)智能設(shè)備所具有的功能擴(kuò)展性和平臺(tái)開放性帶來(lái)了數(shù)以百萬(wàn)計(jì)的移動(dòng)應(yīng)用程序,這些移動(dòng)應(yīng)用給人們提供了諸如MP4、網(wǎng)絡(luò)相機(jī)、電子書等多樣化的服務(wù)。

然而,上述移動(dòng)應(yīng)用在給人們帶來(lái)便利的同時(shí),也帶來(lái)了各種安全問(wèn)題,病毒、木馬與惡意軟件等攻擊技術(shù)和威脅方式給移動(dòng)智能設(shè)備應(yīng)用程序與用戶信息安全造成重大威脅[3]。由于移動(dòng)應(yīng)用開放的應(yīng)用市場(chǎng)中存在層次不齊的應(yīng)用商店以及相對(duì)寬松的應(yīng)用審核機(jī)制,導(dǎo)致惡意軟件泛濫,安全威脅與日俱增。同時(shí),通過(guò)正規(guī)渠道下載的移動(dòng)應(yīng)用也存在二次打包、漏洞利用、惡意行為等不安全因素,這些不安全的移動(dòng)應(yīng)用會(huì)對(duì)移動(dòng)終端用戶造成巨大的安全風(fēng)險(xiǎn)和資產(chǎn)損失[4-6]。根據(jù)安天發(fā)布的《2016移動(dòng)安全年報(bào)》顯示,移動(dòng)互聯(lián)網(wǎng)在2016年仍面臨惡意應(yīng)用的持續(xù)威脅,新增威脅繼續(xù)涌現(xiàn),威脅手段持續(xù)進(jìn)化,攻擊者加強(qiáng)仿冒、社工欺詐、勒索手段、權(quán)限冒用、開源組件惡意利用等攻擊手段的使用。同時(shí)存量威脅依然泛濫,電信詐騙攔截馬、扣費(fèi)、流氓、色情等威脅仍在持續(xù)演化和進(jìn)化,整個(gè)移動(dòng)威脅面臨全面遷徙和規(guī)?；鲩L(zhǎng)以及爆發(fā)。因此,針對(duì)移動(dòng)應(yīng)用進(jìn)行分析和安全保護(hù)具有重要意義[7]。

目前,研究人員提出了一些面向移動(dòng)應(yīng)用的安全評(píng)估方法[8-9],但其中多數(shù)集中在對(duì)漏洞收集、惡意樣本行為等的關(guān)聯(lián)挖掘研究,面對(duì)快速增大的移動(dòng)應(yīng)用規(guī)模安全評(píng)估能力較差[10]。針對(duì)該問(wèn)題,本文構(gòu)建一種基于圖的可擴(kuò)展移動(dòng)應(yīng)用安全評(píng)估模型,以期提高評(píng)估準(zhǔn)確性。

1 相關(guān)研究

文獻(xiàn)[11]針對(duì)移動(dòng)應(yīng)用的安全評(píng)估模型構(gòu)建問(wèn)題,分析了風(fēng)險(xiǎn)評(píng)估的3個(gè)要素:威脅行為,資產(chǎn),脆弱性,同時(shí)建立一種新的智能終端系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估模型。該模型基于AHP算法和安全評(píng)估的各要素,將整個(gè)移動(dòng)應(yīng)用系統(tǒng)分為不同的風(fēng)險(xiǎn)等級(jí)。

文獻(xiàn)[12]針對(duì)智能終端的風(fēng)險(xiǎn)評(píng)估提出了一種需要裁剪的方法。該方法步驟如下:1)明確終端資產(chǎn)和威脅;2)通過(guò)分析危害程度確定威脅值;3)采用具體算法計(jì)算出風(fēng)險(xiǎn)評(píng)估值。

文獻(xiàn)[13]通過(guò)對(duì)計(jì)算機(jī)網(wǎng)絡(luò)攻擊效果指標(biāo)體系的研究,將其應(yīng)用到移動(dòng)終端評(píng)估中,建立層次化的移動(dòng)終端攻擊效果評(píng)估的指標(biāo)體系,采用模糊層次分析法和多專家決策得出惡意軟件的整體攻擊效果評(píng)價(jià)。

文獻(xiàn)[14]提出了一種基于圖的移動(dòng)終端系統(tǒng)安全評(píng)估方法。該方法借鑒攻擊圖方法,通過(guò)威脅圖節(jié)點(diǎn)來(lái)構(gòu)建安全威脅模型,其中節(jié)點(diǎn)分為威脅節(jié)點(diǎn)和缺陷或漏洞節(jié)點(diǎn)兩類。該方法通過(guò)量化節(jié)點(diǎn)來(lái)對(duì)待測(cè)終端進(jìn)行評(píng)估。

上述模型和方法在進(jìn)行移動(dòng)應(yīng)用的安全評(píng)估時(shí),只是針對(duì)特定的或者較小規(guī)模的移動(dòng)應(yīng)用進(jìn)行安全威脅建?；蛟u(píng)估[15]。然而,現(xiàn)有的移動(dòng)應(yīng)用通常是大規(guī)模存在的,針對(duì)移動(dòng)應(yīng)用的安全模型應(yīng)該具有很好的擴(kuò)展性[16]。同時(shí)移動(dòng)智能系統(tǒng)存在的一些漏洞、安全機(jī)制具有一定的關(guān)聯(lián)性,只有考慮到這些關(guān)聯(lián)性,移動(dòng)應(yīng)用的安全評(píng)估才能更準(zhǔn)確。

本文在借鑒上述研究成果的基礎(chǔ)上,構(gòu)建一種安全評(píng)估模型。該模型以安全漏洞和攻擊威脅為節(jié)點(diǎn),并以各個(gè)節(jié)點(diǎn)間的關(guān)聯(lián)性相互連接,同時(shí)也考慮對(duì)漏洞風(fēng)險(xiǎn)值的量化和它們之間的關(guān)聯(lián)性。

2 基于圖的移動(dòng)應(yīng)用安全評(píng)估模型

2.1 移動(dòng)應(yīng)用安全評(píng)估模型分析

當(dāng)前針對(duì)移動(dòng)應(yīng)用的攻擊主要利用系統(tǒng)存在的安全漏洞獲取用戶權(quán)限。在該過(guò)程中,攻擊者通過(guò)系統(tǒng)存在的漏洞,不斷地利用惡意代碼、病毒等實(shí)現(xiàn)權(quán)限的提升,獲取用戶的特定資源。

造成移動(dòng)應(yīng)用安全威脅的要素包括系統(tǒng)遭受的惡意代碼、病毒等網(wǎng)絡(luò)攻擊,以及移動(dòng)應(yīng)用和系統(tǒng)固有的安全機(jī)制脆弱性、安全漏洞、策略漏洞等,本文稱這兩種要素為攻擊威脅和安全漏洞。攻擊者利用安全漏洞或者發(fā)動(dòng)網(wǎng)絡(luò)攻擊獲取用戶權(quán)限。

攻擊手段的發(fā)展,使得現(xiàn)有的攻擊方法已經(jīng)不局限于單一的攻擊手段,而是采用多種攻擊手段的組合攻擊。因此,不同的網(wǎng)絡(luò)攻擊和安全漏洞之間存在一定的關(guān)聯(lián)性。

根據(jù)上述分析,移動(dòng)應(yīng)用安全評(píng)估模型應(yīng)是一個(gè)以安全漏洞和攻擊威脅為節(jié)點(diǎn)的模型,其中各個(gè)節(jié)點(diǎn)之間存在特定的關(guān)聯(lián)性,且模型各個(gè)節(jié)點(diǎn)通過(guò)這種關(guān)聯(lián)性相互連接,具有可擴(kuò)展性。

2.2 移動(dòng)應(yīng)用安全評(píng)估模型

根據(jù)2.1節(jié)的分析構(gòu)建移動(dòng)應(yīng)用安全評(píng)估模型。該模型定義如下:

定義1模型G=(V,E,P,β,R)為具有一個(gè)或者多個(gè)AND-OR節(jié)點(diǎn)的有向無(wú)圈圖。

V={Vi|i=1,2,…,Ni}為威脅節(jié)點(diǎn)集合,包括攻擊威脅和安全漏洞2種要素,它是一個(gè)非空有限的AND-OR節(jié)點(diǎn)集合。

E={Ei∪Ej}為關(guān)聯(lián)各類節(jié)點(diǎn)的有向邊集合。以eij=表示從節(jié)點(diǎn)Vi指向其子節(jié)點(diǎn)Vj的一條有向邊,攻擊者通過(guò)安全漏洞Vi獲取權(quán)限后,沿著邊eij向Vj發(fā)動(dòng)攻擊。一般地,記Pre(Vi)為節(jié)點(diǎn)Vi的父節(jié)點(diǎn)集合,Con(Vi)為節(jié)點(diǎn)Vi的子節(jié)點(diǎn)集合。

P={P1∪P2}。P1為安全漏洞的先驗(yàn)概率,即節(jié)點(diǎn)之間實(shí)現(xiàn)單步攻擊的概率;P2為節(jié)點(diǎn)Vi在其父節(jié)點(diǎn)滿足條件下的條件概率。由于只有Vi的父節(jié)點(diǎn)Pre(Vi)滿足條件時(shí)Vj才能發(fā)生,因此P2=(Vi|Pre(Vi))滿足條件:

{P2:Pre(Vi),Vi}→[0,1]

(1)

β為模型各節(jié)點(diǎn)的聯(lián)合概率分布集合,表示攻擊者成功利用該漏洞的難易程度。對(duì)任意節(jié)點(diǎn)變量Vi:

β(Vi)≥0

(2)

R={AND,OR}為節(jié)點(diǎn)之間關(guān)聯(lián)關(guān)系的集合。AND節(jié)點(diǎn)指的是節(jié)點(diǎn)Vi的所有父節(jié)點(diǎn)Pre(Vi)之間是AND關(guān)系,即Pre(Vi)集合中的所有節(jié)點(diǎn)同時(shí)滿足條件時(shí),才能引發(fā)節(jié)點(diǎn)Vi。圖1是父節(jié)點(diǎn)Pre(Vi)之間是AND關(guān)系的示意圖,只有Vj和Vk同時(shí)滿足條件時(shí)才能引發(fā)節(jié)點(diǎn)Vi。OR節(jié)點(diǎn)指的是節(jié)點(diǎn)Vi的所有父節(jié)點(diǎn)Pre(Vi)是OR關(guān)系,即Pre(Vi)集合中的任一節(jié)點(diǎn)滿足條件時(shí),就能引發(fā)節(jié)點(diǎn)Vi。圖2是父節(jié)點(diǎn)Pre(Vi)之間是OR關(guān)系的示意圖,只要Vj或者Vk任一節(jié)點(diǎn)滿足條件就能引發(fā)節(jié)點(diǎn)Vi。

圖1 AND關(guān)系節(jié)點(diǎn) 圖2 OR關(guān)系節(jié)點(diǎn)

定義2對(duì)于一個(gè)模型G,如果到達(dá)某個(gè)威脅節(jié)點(diǎn)所經(jīng)歷的所有節(jié)點(diǎn)和邊組成的一組有序節(jié)點(diǎn)序列l(wèi)={V0,e01,V1,e12,…,Vi,eij,Vj,…,Vn},使得對(duì)節(jié)點(diǎn)序列中任意2個(gè)相鄰節(jié)點(diǎn)總有∈E,(0

3 移動(dòng)應(yīng)用安全威脅評(píng)估

3.1 威脅節(jié)點(diǎn)評(píng)估標(biāo)準(zhǔn)的量化

移動(dòng)應(yīng)用面臨的攻擊方法和安全漏洞是多樣的,如何對(duì)這些攻擊方法和安全漏洞進(jìn)行量化,是準(zhǔn)確評(píng)估安全威脅的前提和保障。文獻(xiàn)[11-12]、移動(dòng)終端信息安全技術(shù)要求(YD/T 1699-2007)等對(duì)移動(dòng)應(yīng)用的安全漏洞和攻擊威脅進(jìn)行量化,具體見表1和表2。

表1 安全漏洞的量化

表2 攻擊威脅的量化

考慮到安全漏洞之間的關(guān)聯(lián)性,攻擊者通過(guò)安全漏洞獲取權(quán)限的可能性不僅和安全漏洞自身有關(guān),也和攻擊者利用該漏洞時(shí)所擁有的權(quán)限有關(guān)。因此,表1中安全漏洞的概率僅作為威脅節(jié)點(diǎn)的先驗(yàn)概率,即P1。

3.2 威脅節(jié)點(diǎn)概率的計(jì)算

攻擊者通過(guò)安全漏洞獲取權(quán)限的可能性和安全漏洞自身以及攻擊者利用該漏洞時(shí)所擁有的權(quán)限有關(guān)。因此,威脅節(jié)點(diǎn)概率,即模型各節(jié)點(diǎn)的聯(lián)合概率分布β取決于先驗(yàn)概率P1和條件概率P2。本文對(duì)其給出如下定義:

定義3對(duì)模型G中的任意節(jié)點(diǎn)Vi,其有s個(gè)父節(jié)點(diǎn),即Pre(Vi)={V1,V2,…,Vs},則:

β(Vi)=P(Vi,V1,V2,…,Vs)=

P1(Vi)·P2(Vi|V1,V2,…,Vs)

(3)

定義4在模型G中,對(duì)于任意節(jié)點(diǎn)Vi,其有s個(gè)父節(jié)點(diǎn),即Pre(Vi)={V1,V2,…,Vs},則節(jié)點(diǎn)Vi發(fā)生的條件概率P2(Vi|V1,V2,…,Vs)為:

1)如果Vi為起始節(jié)點(diǎn),定義為V0,則:

P2(Vi|V1,V2,…,Vs)=1.0

(4)

2)如果Pre(Vi)中節(jié)點(diǎn)關(guān)系R=AND,則:

(5)

3)如果Pre(Vi)中節(jié)點(diǎn)關(guān)系R=OR,則:

P2(Vi|V1,V2,…,Vs)=max{β(Vj)|j=1,2,…,s}

(6)

4)如果Pre(Vi)中節(jié)點(diǎn)關(guān)系既非R=OR,又非R=AND,則:

P2(Vi|V1,V2,…,Vs)=

P2(Vi|Pre(Vi))=β(Pre(Vi))

(7)

定義5分析考慮威脅節(jié)點(diǎn)關(guān)聯(lián)關(guān)系條件下威脅節(jié)點(diǎn)條件概率的數(shù)學(xué)模型。初始狀態(tài)下,攻擊者已經(jīng)獲取了利用初始威脅節(jié)點(diǎn)的權(quán)限。因此,初始的威脅節(jié)點(diǎn)條件概率為1.0。對(duì)于初始威脅節(jié)點(diǎn)以外的節(jié)點(diǎn),當(dāng)節(jié)點(diǎn)Vi的父節(jié)點(diǎn)間關(guān)系為AND時(shí),表示攻擊者必須成功地利用節(jié)點(diǎn)Vi得所有父節(jié)點(diǎn)漏洞才能獲取節(jié)點(diǎn)Vi的權(quán)限。因此,所有到達(dá)節(jié)點(diǎn)Vi的父節(jié)點(diǎn)的概率是相同的。當(dāng)節(jié)點(diǎn)Vi的父節(jié)點(diǎn)間關(guān)系為OR時(shí),表示攻擊者只需成功地利用節(jié)點(diǎn)Vi的具有最大威脅概率的父節(jié)點(diǎn)代表的漏洞,就能獲取節(jié)點(diǎn)Vi的權(quán)限。此時(shí),父節(jié)點(diǎn)中威脅概率的最大節(jié)點(diǎn)就會(huì)是攻擊者所選擇的威脅節(jié)點(diǎn)。當(dāng)節(jié)點(diǎn)vi的父節(jié)點(diǎn)間關(guān)系為非AND節(jié)點(diǎn)和非OR節(jié)點(diǎn),實(shí)際上表示Vi的父節(jié)點(diǎn)只有一個(gè),因此,父節(jié)點(diǎn)的威脅節(jié)點(diǎn)概率就是節(jié)點(diǎn)Vi的條件概率。

3.3 安全威脅評(píng)估算法

本文設(shè)計(jì)移動(dòng)應(yīng)用的安全威脅評(píng)估算法STNPA,依據(jù)移動(dòng)應(yīng)用安全評(píng)估模型G和各節(jié)點(diǎn)先驗(yàn)概率P1計(jì)算安全威脅節(jié)點(diǎn)概率β。在任何一個(gè)時(shí)刻該評(píng)估算法都能評(píng)估那些未被利用的安全漏洞,并檢測(cè)該時(shí)刻最可能的攻擊路徑(攻擊者會(huì)選擇那些具有最大節(jié)點(diǎn)概率的威脅節(jié)點(diǎn)作為下一個(gè)攻擊目標(biāo)),最后返回沿該路徑欲到達(dá)的下一個(gè)攻擊目標(biāo)的威脅節(jié)點(diǎn)概率β,其對(duì)應(yīng)的安全風(fēng)險(xiǎn)量化值就是當(dāng)前時(shí)刻的安全風(fēng)險(xiǎn)級(jí)別。β計(jì)算方法見定義4。STNPA算法具體描述如下:

算法安全威脅節(jié)點(diǎn)概率算法STNPA

輸入模型G,節(jié)點(diǎn)先驗(yàn)概率P1

輸出安全威脅節(jié)點(diǎn)概率β

IF 節(jié)點(diǎn)v是初始節(jié)點(diǎn) THEN {P2(v)=1.0}

RETURN β(v)=P1(v)·P2(v)//初始節(jié)點(diǎn)安全//威脅節(jié)點(diǎn)概率

END IF

IF 節(jié)點(diǎn)v的父節(jié)點(diǎn)Pre(v)中節(jié)點(diǎn)關(guān)系R=AND THEN

END IF

IF 節(jié)點(diǎn)v的父節(jié)點(diǎn)Pre(v)中節(jié)點(diǎn)關(guān)系為OR THEN

v發(fā)生的條件概率為P2(Vi|V1,V2,…,Vs)=max{β(Vj)|j=1,2,…,s}

RETURN β(v)=P1(v)·max{β(Vj)|j=1,2,…,s}

END IF

ELSE 節(jié)點(diǎn)v的父節(jié)點(diǎn)Pre(v)中節(jié)點(diǎn)關(guān)系既非R=OR,又非R=AND,THEN v發(fā)生的條件概率為P2(Vi|V1,V2,…,Vs)=β(Pre(Vi))

RETURN β(v)=P1(v)·β(Pre(vi))

4 實(shí)驗(yàn)與結(jié)果分析

為驗(yàn)證本文評(píng)估模型的有效性,實(shí)驗(yàn)選取Android系統(tǒng)存在的9個(gè)相關(guān)安全機(jī)制和安全漏洞作為節(jié)點(diǎn),具體信息如表3所示。根據(jù)對(duì)待測(cè)終端和這些節(jié)點(diǎn)的分析,建立的安全評(píng)估模型G,并為每個(gè)節(jié)點(diǎn)進(jìn)行先驗(yàn)概率賦值,如圖3所示。

表3 選取的安全威脅節(jié)點(diǎn)

圖3 安全威脅評(píng)估模型構(gòu)建示意圖

依據(jù)表3、圖3以及STNPA算法所得到的各安全威脅節(jié)點(diǎn)評(píng)估值如圖4所示。其中,β1表示未考慮各節(jié)點(diǎn)間關(guān)聯(lián)關(guān)系情況下的安全威脅節(jié)點(diǎn)評(píng)估值,β2表示考慮各節(jié)點(diǎn)間關(guān)聯(lián)關(guān)系情況下的安全威脅節(jié)點(diǎn)評(píng)估值。

圖4 安全威脅節(jié)點(diǎn)評(píng)估值對(duì)比

對(duì)比β1和β2曲線可知,從節(jié)點(diǎn)V4開始,β2曲線上的各個(gè)節(jié)點(diǎn)的評(píng)估值均低于β1曲線各對(duì)應(yīng)節(jié)點(diǎn)的值,其原因是攻擊者通過(guò)多種路徑獲取目標(biāo)節(jié)點(diǎn)權(quán)限時(shí),考慮到成本、獲取更多的節(jié)點(diǎn)權(quán)限等因素,其攻擊難度會(huì)增大。以節(jié)點(diǎn)V4和V5為例,攻擊者需要同時(shí)獲取這兩個(gè)節(jié)點(diǎn)的權(quán)限才能到達(dá)目標(biāo)節(jié)點(diǎn),從而降低了成功獲取節(jié)點(diǎn)權(quán)限的可能性?？紤]到實(shí)際的攻擊,攻擊者往往通過(guò)多種攻擊途徑獲取目標(biāo)權(quán)限,因此,本文構(gòu)建的評(píng)估模型能夠更準(zhǔn)確地評(píng)估移動(dòng)應(yīng)用的安全威脅。

此外,節(jié)點(diǎn)間關(guān)聯(lián)關(guān)系也影響移動(dòng)應(yīng)用安全威脅評(píng)估攻擊路徑的預(yù)判,具體分析如圖5所示。

圖5 攻擊路徑預(yù)判示意圖

攻擊路徑是移動(dòng)應(yīng)用安全威脅評(píng)估的一個(gè)重要組成部分。在選擇攻擊路徑時(shí),攻擊者傾向于選擇最易獲取節(jié)點(diǎn)權(quán)限的路徑到達(dá)目標(biāo)節(jié)點(diǎn)。攻擊路徑用l表示,其中Vi表示第i個(gè)節(jié)點(diǎn),eij表示節(jié)點(diǎn)Vi到節(jié)點(diǎn)Vj的有向路徑。圖5中,在不考慮節(jié)點(diǎn)間關(guān)聯(lián)關(guān)系情況下,路徑l1={V1,e14,V4,e47,V7,e79,V9}為攻擊者最可能選擇的攻擊路徑。實(shí)際上,攻擊者除了傾向于選擇最易獲取節(jié)點(diǎn)權(quán)限的路徑,還會(huì)綜合考慮成本、到達(dá)目標(biāo)可行性等多種因素。在實(shí)際攻擊中,由于攻擊者必須同時(shí)成功的利用節(jié)點(diǎn)V4和V5才能到達(dá)節(jié)點(diǎn)V7,因此在不考慮節(jié)點(diǎn)間管理關(guān)系時(shí),l1將成為理論上可達(dá)而實(shí)際上不可能到達(dá)目標(biāo)節(jié)點(diǎn)V9的路徑,降低了路徑預(yù)判的正確率。在圖5中,將AND和OR等節(jié)點(diǎn)間關(guān)聯(lián)關(guān)系作為影響因素評(píng)估移動(dòng)應(yīng)用安全時(shí),由于攻擊者通過(guò)節(jié)點(diǎn)V7到達(dá)目標(biāo)節(jié)點(diǎn)V9需要同時(shí)成功利用節(jié)點(diǎn)V4和V5,會(huì)降低成功的可能性,而且在對(duì)比V4和V6節(jié)點(diǎn)時(shí),節(jié)點(diǎn)V4具有更高的成功可能性,因而最終會(huì)放棄路徑l2={V1,e16,V6,e68,V8,e89,V9}(圖5中虛線路徑),而選擇路徑l3={V1,e14,V4,e48,V8,e89,V9}(圖5中點(diǎn)線路徑)到達(dá)目標(biāo)節(jié)點(diǎn),從而達(dá)到消除類似于l1的路徑,提高預(yù)判準(zhǔn)確性的目的。

5 結(jié)束語(yǔ)

在評(píng)估移動(dòng)應(yīng)用安全時(shí),對(duì)現(xiàn)有移動(dòng)應(yīng)用安全漏洞風(fēng)險(xiǎn)值的量化限于衡量漏洞自身被利用的難易程度,不能用作評(píng)估移動(dòng)應(yīng)用安全威脅的唯一要素。同時(shí),攻擊者利用安全漏洞發(fā)動(dòng)攻擊時(shí),不同安全漏洞存在一定的關(guān)聯(lián)性,這種關(guān)聯(lián)性影響著對(duì)移動(dòng)應(yīng)用安全的評(píng)估。因此,本文在構(gòu)建移動(dòng)應(yīng)用安全評(píng)估模型時(shí)充分考慮了上述2個(gè)問(wèn)題,從而提高了評(píng)估的準(zhǔn)確性,而且模型基于節(jié)點(diǎn)間關(guān)系,能夠用于大規(guī)模移動(dòng)應(yīng)用模型的構(gòu)建,具有良好的可擴(kuò)展性。

雖然本文移動(dòng)安全評(píng)估模型考慮了安全漏洞、攻擊威脅以及相互之間的關(guān)聯(lián)性,但仍存在一定程度誤報(bào)。因此,下一步將在攻擊路徑預(yù)判的基礎(chǔ)上進(jìn)行有針對(duì)性的滲透測(cè)試,從而提高評(píng)估的準(zhǔn)確性。

[1] 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.第34次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告[EB/OL].(2014-07-21)[2017-01-12].http://www.cnnic.net.cn/hlwfzyj/hlwxzbg/hlwtjbg/201407/P020140721507223212132.pdf.

[2] 中國(guó)互聯(lián)網(wǎng)協(xié)會(huì),國(guó)家互聯(lián)網(wǎng)應(yīng)急中心.中國(guó)移動(dòng)互聯(lián)網(wǎng)發(fā)展?fàn)顩r及其安全報(bào)告(2016)[Z].2016.

[3] 張玉清,王 凱,楊 歡,等.Android安全綜述[J].計(jì)算機(jī)研究與發(fā)展,2014,51(7):1385-1396.

[4] CHAN P P F,HUI L C K,YIU S M.Droidchecker:analyzing Android applications for capability leak[C]//Proceedings of the 5th ACM Conference on Security and Privacy in Wireless and Mobile Networks.New York,USA:ACM Press,2012:125-136.

[5] 王菲飛.基于Android平臺(tái)的手機(jī)惡意代碼檢測(cè)與防護(hù)技術(shù)研究[D].北京:北京交通大學(xué),2012.

[6] SHABTAI A,FLEDEL Y,ELOVICI Y.Securing Android-powered mobile devices using SELinux[J].IEEE Security and Privacy,2010,8(3):36-44.

[7] 岳 倩.移動(dòng)互聯(lián)網(wǎng)APP應(yīng)用安全評(píng)估模型[J].沈陽(yáng)航空航天大學(xué)學(xué)報(bào),2016,33(5):68-73.

[8] 陳建民.面向移動(dòng)應(yīng)用安全評(píng)估的多屬性專家決策模型及應(yīng)用研究[D].北京:北京工業(yè)大學(xué),2014.

[9] 張 健,舒 心,杜振華,等.一種評(píng)估惡意代碼危害性方法的研究[J].信息網(wǎng)絡(luò)安全,2009,39(10):7-9.

[10] 李向東,夏 冰,鄭秋生.Android應(yīng)用軟件安全測(cè)評(píng)方法研究[J].信息安全與通信保密,2014(9):133-135.

[11] 唐 杰,逯全芳,文 紅,等.基于AHP移動(dòng)終端系統(tǒng)的安全風(fēng)險(xiǎn)評(píng)估[J].信息安全與技術(shù),2013,4(3):13-16.

[12] THEOHARIDOU M,MYLONAS A,GRITZALIS D.A risk assessment method for smartphones[J].IFIP Advances in Information and Communication Technology,2012,376:443-456.

[13] 李 佳,鄭康鋒,崔 旭.一種基于模糊層次分析的智能手機(jī)攻擊效果評(píng)估方法[C]//第十三屆中國(guó)科學(xué)技術(shù)協(xié)會(huì)年會(huì)-中國(guó)智慧城市論壇論文集.北京:中國(guó)科學(xué)技術(shù)協(xié)會(huì),2011:103-107.

[14] 唐 杰,逯全芳,文 紅.基于圖的移動(dòng)終端系統(tǒng)安全評(píng)估[J].信息安全與通信保密,2013(5):72-75.

[15] CHIN E,FELT A P,GREENWOOD K,et al.Analyzing inter-application communication in Android[C]//Proceedings of the 9th International Conference on Mobile Systems,Applications,and Services.New York,USA:ACM Press,2011:239-250.

[16] 李錚山,林 干,范文浩,等.Android的應(yīng)用程序安全評(píng)估系統(tǒng)設(shè)計(jì)[J].軟件,2013,33(12):287-291.