2. 技术
  3. 一种应用程序隐私合规的实时检测方法及装置与流程

一种应用程序隐私合规的实时检测方法及装置与流程

xiaoxiao9月前  59

本发明涉及网络信息安全,具体提供一种应用程序隐私合规的实时检测方法及装置。


背景技术:

1、应用程序(app)隐私合规:是指应用程序在收集、使用、存储、传输和保护用户个人信息时,除了满足企业内部的数据安全要求之外,还要遵守国家法律法规、行业标准的要求,以确保数据隐私得到充分保护的程度。

2、在当今数字化的世界中,大量的个人信息被收集、存储和处理,因此数据隐私合规性变得尤为重要。应用程序隐私合规检测可以有效地降低应用程序被监管部门通报、下架或罚款的风险,提升应用程序的品牌形象和用户信任度。而传统的应用程序隐私合规检测方式难以及时验证应用程序隐私合规性,尤其在权限和数据的过度获取方面存在一些缺陷。

3、目前,一些基于漏洞测试、ai沙箱的检测方案被广泛应用,通过针对应用程序安装包进行代码查看和本地运行的方式,对应用程序行为进行分析来检测应用程序隐私合规情况。然而,这种传统技术存在许多问题:

4、首先,基于漏洞测试或沙箱的检测,一般情况下只针对应用程序进行一次性上架合规检测,存在检测范围不全面的缺陷,也容易出现漏报或误报。

5、其次,应用程序调用的第三方sdk数量多且版本繁多,对第三方sdk的更新迭代及权限和数据获取无法第一时间感知并采取相应措施。

6、最后,这种方案需要大量的专家人工复核工作,检测过程中也需要大量资源支持、人工和时间成本,检测效率比较低,也影响合规检测的时效性。

7、有鉴于此,特提出本发明专利。


技术实现思路

1、针对以上技术问题,本发明提出一种应用程序隐私合规的实时检测方法及装置,基于网关应用流量监测分析,将其应用于应用程序隐私合规的权限和数据过度获取检测,提高应用程序隐私权限和数据过度获取检测的准确性和时效性,并且提高检测效率。。

2、具体地,采用了如下技术方案:

3、在第一方面,本发明提供一种应用程序隐私合规的实时检测方法,包括:

4、配置应用程序隐私合规策略,下发给流量监测分析系统;

5、将应用程序的实时访问流量复制输入至流量监测分析系统,分析实时访问流量中的隐私信息,判断是否命中应用程序隐私合规策略;

6、若判断结果为是,则将命中的隐私信息同步至应用程序隐私合规检测平台进行处理,若判断结果为否,则丢弃当前访问流量。

7、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法中,所述配置应用程序隐私合规策略包括:配置和维护应用程序权限列表、隐私数据字段清单和sdk合规版本清单。

8、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法中,所述将应用程序的实时访问流量复制输入至流量监测分析系统,分析访问流量中的隐私信息,判断是否命中应用程序隐私合规策略包括:

9、在网关上将应用程序的实时访问流量复制输入至流量监测分析系统;

10、流量监测分析系统分析实时访问流量中获取的用户数据、获取方式、请求的sdk,通过语义判断、模型识别判断是否命中应用程序隐私合规策略。

11、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法中,所述若判断结果为是,则将命中的隐私信息同步至应用程序隐私合规检测平台进行处理包括:

12、将应用程序的实时访问流量中采集的用户隐私数据、通过敏感应用程序权限获取的数据、调用的sdk信息及用户访问的应用程序基本信息进行整合,发送到应用程序隐私合规检测平台,形成待办告警。

13、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法,包括:

14、针对待办告警进行处理,识别不合规类型;

15、应用程序隐私合规检测平台根据不合规类型生成整改工单,反馈给应用程序产品研发端进行整改。

16、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法中,所述应用程序隐私合规检测平台根据不合规类型生成整改工单包括:

17、所述不合规类型为超范围获取权限,则生成含有超范围获取的权限列表的整改工单;

18、和/或,所述不合规类型为超范围采集数据,则生成含有超范围采集的数据信息的整改工单;

19、和/或,所述不合规类型为超频次采集数据,则生成含有超频次采集的数据信息及数据采集频次信息的整改工单;

20、和/或,所述不合规类型为调用sdk版本不合规,则生成含有调用的不合规sdk版本信息的整改工单。

21、作为本发明的可选实施方式,本发明的一种应用程序隐私合规的实时检测方法中,若针对待办告警识别出属于应用程序隐私合规策略中的禁止权限或禁止数据,则通过应用程序隐私合规检测平台配置阻断针对禁止权限的再授权和针对禁止数据的继续存储。

22、在第二方面,本发明提供一种应用程序隐私合规的实时检测装置,包括:

23、配置模块,配置应用程序隐私合规策略;

24、流量监测分析系统,接收配置模块下发的应用程序隐私合规策略;

25、网关,将应用程序的实时访问流量复制输入至流量监测分析系统,所述流量监测分析系统分析实时访问流量中的隐私信息,判断是否命中应用程序隐私合规策略;

26、应用程序隐私合规检测平台,若判断结果为是,则将命中的隐私信息同步至应用程序隐私合规检测平台进行处理,若判断结果为否,则丢弃当前访问流量。

27、在第三方面,本发明提供电子设备,包括处理器和存储器,所述存储器用于存储计算机可执行程序,其特征在于,当所述计算机程序被所述处理器执行时,所述处理器执行所述的一种应用程序隐私合规的实时检测方法。

28、在第四方面,本发明提供计算机可读记录介质,存储有计算机可执行程序,其特征在于,所述计算机可执行程序被执行时,实现所述的一种应用程序隐私合规的实时检测方法。

29、与现有技术相比,本发明的有益效果:

30、本发明的一种应用程序隐私合规的实时检测方法,关键点在于通过将应用程序的实时访问流量在app隐私合规检测方面,针对应用程序采集的数据和采集方式,进行高效准确的检测判断和分类。

31、具体创新点:

32、1.针对应用程序的实时访问流量进行模型识别和策略分析,将应用程序的实时访问流量中采集的隐私信息进行整合,发送到应用程序隐私合规检测平台,并形成待办处理。

33、2.这种基于应用程序的实时访问流量检测的方法相对于传统的漏洞测试、ai沙箱检测和专家人工复核方案具有更高的时效性和准确性。

34、3.运营人员通过采用本实施例的一种应用程序隐私合规的实时检测方法可进行隐私信息的判断处理,降低应用程序隐私合规风险。

35、通过以上关键点和创新点,本发明的一种应用程序隐私合规的实时检测方法,提高了对应用程序隐私合规检测的时效性,降低应用程序隐私合规风险,同时实现了运营人员的确认和整改机制。


技术特征:

1.一种应用程序隐私合规的实时检测方法,其特征在于,包括:

2.根据权利要求1所述的一种应用程序隐私合规的实时检测方法,其特征在于,所述配置应用程序隐私合规策略包括:配置和维护应用程序权限列表、隐私数据字段清单和sdk合规版本清单。

3.根据权利要求2所述的一种应用程序隐私合规的实时检测方法,其特征在于,所述将应用程序的实时访问流量复制输入至流量监测分析系统,分析访问流量中的隐私信息,判断是否命中应用程序隐私合规策略包括:

4.根据权利要求3所述的一种应用程序隐私合规的实时检测方法,其特征在于,所述若判断结果为是,则将命中的隐私信息同步至应用程序隐私合规检测平台进行处理包括:

5.根据权利要求4所述的一种应用程序隐私合规的实时检测方法,其特征在于,包括:

6.根据权利要求5所述的一种应用程序隐私合规的实时检测方法,其特征在于,所述应用程序隐私合规检测平台根据不合规类型生成整改工单包括:

7.根据权利要求5所述的一种应用程序隐私合规的实时检测方法,其特征在于,若针对待办告警识别出属于应用程序隐私合规策略中的禁止权限或禁止数据,则通过应用程序隐私合规检测平台配置阻断针对禁止权限的再授权和针对禁止数据的继续存储。

8.一种应用程序隐私合规的实时检测装置,其特征在于,包括:

9.电子设备,包括处理器和存储器,所述存储器用于存储计算机可执行程序,其特征在于,当所述计算机程序被所述处理器执行时,所述处理器执行如权利要求1-7任意一项所述的一种应用程序隐私合规的实时检测方法。

10.计算机可读记录介质,存储有计算机可执行程序,其特征在于,所述计算机可执行程序被执行时,实现如权利要求1-7任意一项所述的一种应用程序隐私合规的实时检测方法。


技术总结
本发明公开一种应用程序隐私合规的实时检测方法及装置,应用程序隐私合规的实时检测方法包括:配置应用程序隐私合规策略,下发给流量监测分析系统;将应用程序的实时访问流量复制输入至流量监测分析系统,分析实时访问流量中的隐私信息,判断是否命中应用程序隐私合规策略;若判断结果为是,则将命中的隐私信息同步至应用程序隐私合规检测平台进行处理,若判断结果为否,则丢弃当前访问流量。本发明的一种应用程序隐私合规的实时检测方法,提高了对应用程序隐私合规检测的时效性,降低应用程序隐私合规风险,同时实现了运营人员的确认和整改机制。

技术研发人员:孙瑶,吕亚霖
受保护的技术使用者:北京百舸飞驰科技有限公司
技术研发日:
技术公布日:2024/9/23

专利

最新回复(0)