视听APP安全及业务合规自动检测系统、方法及介质

技术领域

本发明涉及软件检测技术领域，具体涉及视听APP安全及业务合规自动检 测系统、方法及介质。

背景技术

目前视听节目传播环境发生了巨大变化，移动终端APP(手机软件)应用 等新型传播手段发展迅猛，针对新兴的视听传播形态进行有效监管已迫在眉 睫，由于视听节目通过视听类APP更新速度快，传播效率高、隐蔽性强，为提 高视听类APP在传播过程中的安全以及节目内容合规传播，在APP生产完成后 就能及时发现安全合规问题，并快速处置，急需针对含有视听类节目内容的 APP进行软件安全和业务合规性自动化检测的系统，为视听类APP内容安全、 传播安全提供技术支撑非常必要，目前针对APP安全检测及安全加固的产品颇 多，但是针对广电关心的视听类APP的专有检测系统尚无，针对APP内容安全 类检测系统尚无，给检测机构在合规和安全检测方面带来了极大的技术困难。

发明内容

针对现有技术中的缺陷，本发明实施例提供一种视听APP安全及业务合规 自动检测系统、方法及介质，通过不同维度自动检测出视听类APP的安全状况 和内容合规情况，并生成检测报告，提高了检测效率。

第一方面，本发明实施例提供的一种视听APP安全及业务合规自动检测系 统，包括APP软件包上传模块、安全检测模块、业务合规检测模块和检测报告 管理模块，所述APP软件包上传模块用于提供待检测APP软件包上传服务，所 述安全检测模块用于提供APP安全检测服务，对基本信息、恶意行为、安全规 范、动态安全及漏洞与风险防范进行检测得到安全检测结果；所述业务合规检 测模块用于对APP进行规范性检测、软终端有效性检测、用户使用行为检测和 视音频解码能力检测得到合规检测结果，所述检测报告管理模块用于根据APP 安全检测模块和业务合规检测模块的检测结果生成检测报告。

第二方面，本发明提供实施例的一种视听APP安全及业务合规自动检测方 法，包括以下步骤：

获取待检测APP软件包数据；

对APP进行基本信息、恶意行为、安全规范、动态安全及漏洞与风险防范 进行检测得到安全检测结果；

对APP进行规范性检测、软终端有效性检测、用户使用行为检测和视音频 解码能力检测得到合规检测结果；

获取安全检测结果和合规检测结果，根据安全检测结果和合规检测结果生 成检测报告。

第三方面，本发明实施例提供的一种计算机可读存储介质，所述计算机存 储介质存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被 处理器执行时使所述处理器执行上述实施例描述的方法。

本发明的有益效果：

本发明实施例提供的一种视听APP安全及业务合规自动检测系统、方法及 介质，通过不同维度自动检测出视听类APP的安全状况和内容合规情况，并生 成检测报告，提高了检测效率。

附图说明

为了更清楚地说明本发明具体实施方式或现有技术中的技术方案，下面将 对具体实施方式或现有技术描述中所需要使用的附图作简单地介绍。在所有附 图中，类似的元件或部分一般由类似的附图标记标识。附图中，各元件或部分 并不一定按照实际的比例绘制。

图1示出了一种视听APP安全及业务合规自动检测系统的架构图；

图2示出了本发明第一实施例所提供的一种视听APP安全及业务合规自动 检测系统的结构框图；

图3示出了本发明第二实施例所提供的一种视听APP安全及业务合规自动 检测方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清 楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部 的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳 动前提下所获得的所有其他实施例，都属于本发明保护的范围。

应当理解，当在本说明书和所附权利要求书中使用时，术语“包括”和“包 含”指示所描述特征、整体、步骤、操作、元素和/或组件的存在，但并不排 除一个或多个其它特征、整体、步骤、操作、元素、组件和/或其集合的存在 或添加。

还应当理解，在此本发明说明书中所使用的术语仅仅是出于描述特定实施 例的目的而并不意在限制本发明。如在本发明说明书和所附权利要求书中所使 用的那样，除非上下文清楚地指明其它情况，否则单数形式的“一”、“一个” 及“该”意在包括复数形式。

还应当进一步理解，本发明说明书和所附权利要求书中使用的术语“和/ 或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合，并且 包括这些组合。

如在本说明书和所附权利要求书中所使用的那样，术语“如果”可以依据 上下文被解释为“当...时”或“一旦”或“响应于确定”或“响应于检测 到”。类似地，短语“如果确定”或“如果检测到[所描述条件或事件]”可以 依据上下文被解释为意指“一旦确定”或“响应于确定”或“一旦检测到[所 描述条件或事件]”或“响应于检测到[所描述条件或事件]”。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当 为本发明所属领域技术人员所理解的通常意义。

如图1所示，示出了视听APP安全及业务合规自动检测系统的架构图，系 统采用微服务、模块化、分层设计技术，不同模块间耦合度低，修改和完善不 会影响系统其他部分模块，保证系统稳定，能够很好的支持APP检测业务的灵 活变化，并且可根据检测需求灵活升级部分模块，例如：使用更准确更符合政 策要求的检测规则、安全检测各核心模块升级等。应用层即为WEB管理平台、 应用APP可视化展示层提供数据和业务服务支撑，为用户提供检测业务数据查 看、检测请求创建、软件包上传、自动化检测、检测设备管理、检测报告生成及管理等功能，并可根据用户需求实时灵活改进。

数据检测层作为独立的、核心算法模块，利用云计算、大数据、人工智能 等先进技术提供视听APP软件安全和内容合规的监测能力，可实时升级、替换， 并根据业务进展需要随时增加必要的检测模块(如基本信息检测、恶意行为检 测、安全规范检测、软件漏洞监测、风险防范检测、用户数据安全检测、视听 规范性检测、安全播出监测、用户使用行为检测、软件有效性等)，快速、动 态满足用户检测业务开展。

数据存储层用于存储系统中使用的所有文件类、数据类信息，提供文件存 储、移动APP安装包存储、安全检测规则、合规检测规则、检测报告存储以及 关系型数据库存储系统日常数据信息。

基础设施程用于提供系统的底层硬件服务支持，采用云服务结合专有设备 的方式提高系统的可扩展性、安全性和稳定性。

实施例1

如图2所示，示出了本发明第一实施例所提供的一种视听APP安全及业务 合规自动检测系统的结构框图，本实施例提供的视听APP安全及业务合规自动 检测系统包括APP软件包上传模块、安全检测模块、业务合规检测模块和检测 报告管理模块，所述APP软件包上传模块用于提供待检测APP软件包上传服务， 所述安全检测模块用于提供APP安全检测服务，对基本信息、恶意行为、安全 规范、动态安全及漏洞与风险防范进行检测得到安全检测结果；所述业务合规 检测模块用于对APP进行规范性检测、软终端有效性检测、用户使用行为检测 和视音频解码能力检测得到合规检测结果，所述检测报告管理模块用于根据APP安全检测模块和业务合规检测模块的检测结果生成检测报告。

根据视听APP安全及业务合规检测系统的业务要求，系统包含了APP安全 检测和APP业务合规检测两方面，使用人员主要包含媒体机构人员、APP检测 人员、检测机构领导、超级管理员等几个角色。媒体机构人员注册系统帐号， 审核通过后即可登陆，然后创建APP检测申请，上传待检测APP，提交检测申 请，系统自动检测后生成检测报告，媒体机构人员查看、下载检测报告。APP 检测人员为检测机构的工作人员，查看和完成APP检测，对报告内容进行检查， 提交检测报告给机构领导审核，检测机构领导对工作人员完成的检测报告进行 审核，审核通过后生成PDF文件打印盖章，若不通过，则填写原因，打回重写 进行检测。

安全检测提供移动应用的安全检测服务，包括自动化安全检测，自动化安 全检测效率高，检测方便无需人工干预，可快速检查出移动应用存在的安全问 题；漏洞挖掘服务，进一步发现移动应用潜在的安全威胁；应用行为监控以及 性能检测，应用行为监控包含对文件的操作行为、通讯录访问、短信、设备信 息获取、录音录像、蓝牙访问、摄像头访问、应用程序包管理行为、账户管理 行为、访问位置、本地数据库存储以及WebView加载行为进行监控，防止用户 隐私数据泄露。APP安全检测模块包括静态检测单元、动态检测单元、模拟交 互检测单元、渗透检测单元、服务器指纹探测单元、动态沙箱检测单元、移动 应用动态组件检测单元、基本信息检测单元、漏洞与风险防范检测单元、恶意 行为检测单元和安全合规检测单元。

静态检测单元可以覆盖代码级的安全漏洞，并且能够对移动应用的配置文 件、资源文件进行检测，验证移动应用是否满足规范性、安全性、可靠性、可 维护性等指标，将具有安全隐患的代码进行摘录并存入到检测平台后台，为后 续的安全检测报告提供数据依据。并能够发现常见的敏感数据信息泄漏、组件 导出漏洞等中高危漏洞或风险。

模拟交互检测单元通过对模拟器发送触摸、移动等指令从而模拟用户行 为，进而产生移动应用内的业务逻辑，包括数据流量、函数调用、文件读写等。 通过对这些业务逻辑、数据以及系统方法的监控，为分辨恶意程序、发现危险 方法和对服务器端进行安全渗透测试提供检测依据。

渗透检测单元对业务服务器进行渗透测试，基于信息采集的漏洞验证的过 程。

很多高风险的漏洞可以仅凭服务器指纹就可判断，所以采用服务器指纹探 测单元，“指纹”的对象在这里包含了后端服务器系统、开发框架、Web服务 器、数据库等服务组件安全。

面对如今的复杂威胁，沙箱检测单元能够提供全面、深入的防御能力，这 是实现强大的整体安全性的一个重要步骤。多层防御能够阻止已知的高级持 续威胁、主动侦测未知和已存在的恶意软件，基于沙箱技术，实现移动恶意代 码运行过程动态行为特征监测和分析的移动恶意代码检测技术，系统内置独创 多种模型算法，完成对移动恶意代码判定和评估。通过仿真和虚拟化等多种检 测方法，能够检测到虚拟机感知的恶意软件。同时能够解决手机进不了服务器 的问题，提升了稳定性。

移动应用动态组件检测单元对移动应用组件安全进行检测，防止异常导 出，被第三方调用，造成本地拒绝服务，影响程序的正常使用；对应用程序运 行时的操作行为进行监控，监控敏感数据的访问权限，防止攻击者恶意读取文 件，获取、篡改个人敏感信息、敏感函数等，破坏数据完整性，造成用户隐私 数据泄露。

基本信息检测单元，所述基本信息检测单元用于对基本信息、应用权限配 置情况、应用行为对应的函数、集成的第三方SDK、敏感函数调用风险等进行 检测。基本信息包括软终端名称、包名、文件大小、版本、MD5、签名信息、 加固厂商等。应用行为对应的函数包括拨打电话、读取联系人等行为对应的函 数。敏感函数调用风险检测是检测是否调用了存在敏感行为的函数。

动态安全检测单元用于通过沙箱模型、虚拟机等方式将移动应用安装到定 制化的虚拟运行环境中，从而模拟真实环境，对APP常见的脆弱点进行检测， 并对APP安装、运行过程中发生的操作、通讯、数据等行为进行检测和分析， 从外界观察和分析应用程序的执行过程，记录应用程序表现出来的恶意行为。

漏洞与风险防范检测单元用于对恶意应用可执行程序感染漏洞、运行其它 可执行程序漏洞、本地端口开放越权漏洞、SO未使用地址空间随机化风险、 SO未使用编译器堆栈保护风险、应用ROOT设备运行风险、“寄生推”SDK云 控漏洞、ZipperDown漏洞、截屏攻击风险和下载任意APK风险等进行检测。

恶意行为检测单元用于对APP中中含有黄赌毒、暴力等敏感词汇，以及应 用程序中调用的包括发送短信、发送地理位置、拨打电话等敏感行为的函数进 行检测，确保其使用是必要且限制于授权用户的，并删除敏感词汇，检测违反 监管法规、用户隐私数据泄露等违规行为。

安全规范检测单元用于对各种应用漏洞，如组件安全、行为监控、恶意行 为检测、自身安全、算法使用安全、网络通信安全、数据交互安全、数据存储 安全、恶意攻击防范能力等方面来进行多维多态的合规检测，确保符合安全法 律规范。

业务合规检测模块包括视听规范性检测单元和软终端有效性检测单元，所 述视听规范性检测单元用于检测视听APP是否符合视听节目规范，所述软终端 有效性检测单元用于检测所有终端是否能正常安装、启动和访问，检测是否向 公众提供免费收听收看网络视听节目。

视听规范性检测单元检测内容包括：

1)是否存在后门，可转播、链接、聚合、集成非法广播电视频道、非法 视听节目网站的节目，审查其访问经备案的域名及IP等；

2)是否防止插播、截留视听节目信号，是否具备安全传输保障能力；

3)审查是否安全传输方式，如https，不提供超出其业务范围的服务， 复核直播和点播业务，PGC和UGC；

4)是否未经许可擅自在互联网上使用广播电视专有名称开展业务；是否 存在利用广告覆盖行为来进行非法传播相关信息的漏洞；

5)对个人用户上传的视音频资源是否有效的审查机制，是否存在如危害 国家安全、煽动破坏民族团结等相关非法内容；

6)对播放的视听节目是否有资源篡改、广告植入等后门，广告控制机制 能力；

7)是否存在播放未获取版权的视听节目资源。

软终端有效性检测单元检测内容包括：

1)APP软件在合规检测平台是否能正常安装和启动，是否可正常访问；

2)APP软件是否向公众提供免费收听收看网络视听节目，承担公共服务责 任。

业务合规检测模块包括用户使用行为检测单元，所述用户使用行为检测单 元用于检测APP是否保留节目记录；是否具有用户评论、弹幕和留言等功能； 是否有审核手段，是否能过滤、屏蔽非法言论并支持可溯源；检测APP是否植 入非视频运营商的非法收视SDK(非法收视SDK指未纳入国务院广播电视主管 部门批准目录的收视SDK)。

业务合规检测模块包括视音频解码能力检测单元，所述视音频解码能力检 测单元用于检测APP的解码格式、解码效率、解码准确度和解码质量。

本发明实施例提供的特征视听APP安全及业务合规检测系统，实现自动化 的安全合规检测，拓展检测的维度(检测内容)，提高检测效率，通过不同维 度检测出APP的在不同场景中暴露出的安全状况、内容合规情况，一键自动化 检测并输出检测结果，自动化生成检测报告。

以下根据软件安装的系统不同进行安全检测的具体检测项如表1、表2所 示。

表1安全检测(Android系统和LINUX系统)

表2安全检测(iOS系统)

业务合规检测模块具体检测项目及描述如表3所示：

表3业务合规检测

在上述的第一实施例中，提供了一种视听APP安全及业务合规自动检测系 统，与之相对应的，本申请还提供一种视听APP安全及业务合规自动检测方法。 请参考图2，其为本发明第二实施例提供的一种视听APP安全及业务合规自动 检测方法的流程图。由于方法实施例基本相似于装置实施例，所以描述得比较 简单，相关之处参见方法实施例的部分说明即可。下述描述的方法实施例仅仅 是示意性的。

实施例2

如图3所示，示出了本发明第二实施例提供的一种视听APP安全及业务合 规自动检测方法流程图，该方法包括以下步骤：

S1:获取待检测APP软件包数据。

S2:对APP进行基本信息、恶意行为、安全规范、动态安全及漏洞与风险 防范进行检测得到安全检测结果。

S3:对APP进行规范性检测、软终端有效性检测、用户使用行为检测和视 音频解码能力检测得到合规检测结果。

S4:获取安全检测结果和合规检测结果，根据安全检测结果和合规检测结 果生成检测报告。

S5:将生成的检测报告提交给审核人员审核。

S6:若审核通过，则形成PDF报告并打印盖章。

S7:若审核不通过，则填写原因，跳转执行步骤S2。

以上，为本发明第二实施例提供的一种视听APP安全及业务合规自动检测 方法的实施例说明。

本发明提供的一种视听APP安全及业务合规自动检测方法与视听APP安全 及业务合规自动检测系统出于相同的发明构思，具有相同的有益效果，此处不 再赘述。

在本发明还提供一种计算机可读存储介质的实施例，所述计算机存储介质 存储有计算机程序，所述计算机程序包括程序指令，所述程序指令当被处理器 执行时使所述处理器执行上述实施例描述的方法。

所述计算机可读存储介质可以是前述实施例所述的终端的内部存储单元， 例如终端的硬盘或内存。所述计算机可读存储介质也可以是所述终端的外部存 储设备，例如所述终端上配备的插接式硬盘，智能存储卡(Smart Media Card, SMC)，安全数字(SecureDigital,SD)卡，闪存卡(Flash Card)等。进 一步地，所述计算机可读存储介质还可以既包括所述终端的内部存储单元也包 括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述 终端所需的其他程序和数据。所述计算机可读存储介质还可以用于暂时地存储 已经输出或者将要输出的数据。

本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示 例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现， 为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地 描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行，取决 于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用 来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本发明的范 围。

所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描 述的终端和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在 此不再赘述。

在本申请所提供的几个实施例中，应该理解到，所揭露终端和方法，可以 通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如， 所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方 式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可 以忽略，或不执行。另外，所显示或讨论的相互之间的耦合或直接耦合或通信 连接可以是通过一些接口、装置或单元的间接耦合或通信连接，也可以是电的， 机械的或其它的形式连接。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其 限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术 人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者 对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相 应技术方案的本质脱离本发明各实施例技术方案的范围，其均应涵盖在本发明 的权利要求和说明书的范围当中。