基于APP分层结构的Android应用漏洞分类法

信息安全研究 ›› 2018, Vol. 4 ›› Issue (9): 792-798.

基于APP分层结构的Android应用漏洞分类法

刘蓉¹,于浩佳¹,陈思远¹,陈波²

1. 南京师范大学
2. 南京

收稿日期:2018-09-17 出版日期:2018-09-15 发布日期:2018-09-17
通讯作者: 刘蓉
作者简介:刘蓉硕士研究生，主要研究方向为信息安全、社交网络. 于浩佳硕士，主要研究方向为信息安全、移动安全. 陈思远硕士研究生，主要研究方向为信息安全、移动安全. 陈波博士，教授，主要研究方向为信息安全、社会计算等.

A Taxonomy of Android Application Vulnerabilities Based on Layered Structure of Application

Received:2018-09-17 Online:2018-09-15 Published:2018-09-17

摘要/Abstract

摘要： Android应用安全评估是对Android应用的安全漏洞进行全方位的检测，进而给出一个安全等级或评分的过程，Android应用漏洞的分类是其中一项重要工作. 为此，提出了一种基于APP分层结构的分类法，命名为LSA分类法. 从Java代码层、应用源文件层和用户界面层3个层次将Android应用漏洞分为四大类：组件安全漏洞、数据安全漏洞、源文件安全漏洞和业务逻辑漏洞. 最后通过Z方法对LSA分类法进行了形式化描述和科学性验证. 相较已有分类法，LSA分类更为科学严谨、更系统化，并在安全评估方面具有更强的针对性.

关键词: Android应用, 漏洞, 分类法, Z方法, 安全评估

Abstract: Security evaluation of Android applications is to detect security vulnerabilities of Android Apps comprehensively, and then provide a safety grade or score. It is quite important to classify Android application vulnerabilities before evaluation. Therefore, we proposed a taxonomy based on layered structure of application named LSA. There are 3 layers of LSA, Java code layer, source file layer and logistic vulnerability layer. Android vulnerabilities are divided into 4 categories on those 3 layers. LSA is more systematic and performs better than other existing taxonomies in security evaluation. Finally, this paper gives a formal description of LSA by using Z schema, and then the scientificalness of this taxonomy is demonstrated.?

Key words: Android application, vulnerability, taxonomy, Z schema, security evaluation

刘蓉于浩佳陈思远陈波. 基于APP分层结构的Android应用漏洞分类法[J]. 信息安全研究, 2018, 4(9): 792-798.

参考文献

] Kantar Worldpanel. Kantar worldpanel comtech's smartphone os market share data[EB/OL]. [2018-04-05]. https://www.kantarworldpanel.com/global/smartphone-os-market-share/ [2] 360互联网安全中心. 2017年度安卓系统安全性生态环境研究[R/OL]. 北京: 360互联网安全中心, 2018 [2018-04-05]. http://zt.360.cn/1101061855.php?dtid=1101061451&did=210555695 [3] Amoroso E G. Fundamentals of Computer Security Technology[M]. Englewood Cliffs: Prentice Hall, 1994:75-96 [4] Abbott R P, Chin J S, Donnelley J E, et al. Security analysis and enhancements of computer operating systems[R]. Washington, D C: NATIONAL BUREAU OF STANDARDS WASHINGTONDC INST FOR COMPUTER SCIENCES AND TECHNOLOGY, 1976 [5] Aslam T. A taxonomy of security faults in the unix operating system[D]. West Lafayette: Purdue University, 1995 [6] Aslam T, Ivan K, Eugene H S. Use of a taxonomy of security faults[C]// Proc of the 19th National Information Systems Security Conf. Baltimore: CSRC, 1996:551-560 [7] 鲁伊莎, 曾庆凯. 软件脆弱性分类方法研究[J]. 计算机应用, 2008, 28(9):2244-2248 [8] 王颖, 李祥和. 软件漏洞的分类研究[J]. 计算机系统应用, 2008, 17(11):42-46 [9] Tsipenyuk K, Chess B, Mcgraw G. Seven pernicious kingdoms: A taxonomy of software security errors[J]. IEEE Security & Privacy, 2005, 3(6):81-84 [ 0] 王勇, 云晓春, 崔翔. 基于生存期的软件安全漏洞多维量化属性分类法[C] //第2届信息安全漏洞分析与风险评估大会论文集. 北京: 中国信息安全测评中心, 2009:71-81 [ 1] Frei S, May M, Fiedler U, et al. Large-scale vulnerability analysis[C] //Proc of the 2006 SIGCOMM Workshop on Large-Scale Attack Defense. New York: ACM, 2006: 131-138 [ 2] 中华人民共和国国家质量监督检验检疫总局, 中国国家标准化管理委员会. GB/T33561—2017信息安全技术安全漏洞分类[S]. 北京: 中国标准出版社, 2017 [ 3] 卢双龙，孙其博. Android移动操作系统的脆弱性分类研究[EB/OL]. 北京：中国科技论文在线 (2013-12-13)[2018-07-28]. http://www.paper.edu.cn/releasepaper/content/201312-329 [ 4] 董国伟, 王眉林, 邵帅,等. 基于特征匹配的Android应用漏洞分析框架[J]. 清华大学学报:自然科学版,2016, 56(5):461-467 [ 5] 刘昊晨. 基于Lua引擎的Android漏洞检测工具研究[D]. 西安: 西安电子科技大学,2015

[1]	时翌飞冯景瑜黄鹤翔曹旭栋王鹤张玉清. 安全漏洞国际披露政策研究[J]. 信息安全研究, 2021, 7(3): 215-224.
[2]	王柯林杨珂赵瑞哲辛丽玲汪秋云. 基于随机森林的抗混淆Android恶意应用检测[J]. 信息安全研究, 2021, 7(2): 126-135.
[3]	黄志华王子凯徐玉华李云龙孙伟. 文件上传漏洞研究与实践[J]. 信息安全研究, 2020, 6(2): 151-158.
[4]	郭锡泉. 基于领域本体的信息安全漏洞知识库构建 [J]. 信息安全研究, 2020, 6(10): 0-0.
[5]	郭锡泉陈香锡. 大数据环境下情报驱动的网络安全漏洞管理[J]. 信息安全研究, 2020, 6(1): 85-90.
[6]	华驰鲁志萍王可. 缓冲区溢出漏洞分析及防范策略[J]. 信息安全研究, 2019, 5(9): 812-819.
[7]	刘洋. 铁路重载货车检修工控网络安全态势感知平台方案研究[J]. 信息安全研究, 2019, 5(8): 673-678.
[8]	李金鑫. WordPress 5.0.0远程代码执行漏洞研究[J]. 信息安全研究, 2019, 5(4): 352-360.
[9]	黄凯峰张胜利金石. 区块链智能合约安全研究[J]. 信息安全研究, 2019, 5(3): 192-206.
[10]	唐枭. 基于动态污点分析的反馈式模糊测试改进方法[J]. 信息安全研究, 2019, 5(2): 145-151.
[11]	曾永瑞. Linux二进制漏洞利用——突破系统防御的关键技术[J]. 信息安全研究, 2018, 4(9): 806-818.
[12]	郗桐金昊徐根炜周金岭. 基于卷积神经网络的Android恶意应用检测方法[J]. 信息安全研究, 2018, 4(8): 715-721.
[13]	周航方勇黄诚刘亮陈兴刚. 针对PHP应用的二阶漏洞检测方法[J]. 信息安全研究, 2018, 4(4): 380-386.
[14]	王帆洪流顾欣. 基于Sigmoid函数的软件漏洞风险评价算法[J]. 信息安全研究, 2018, 4(11): 993-996.
[15]	景亮方晖蒋坚迪. 城市轨交AFC系统安全建设方案的设计与分析[J]. 信息安全研究, 2018, 4(1): 91-96.