LeakDetector:隐私泄漏自动化检测方法

发布时间：2020-02-13 07:37

【摘要】：Android的开源性带来开发便利的同时,也带来了攻击的便利,如用户隐私信息的窃取。针对Android应用程序中的隐私泄漏问题,设计了基于静态污点分析的自动化检测系统——Leak Detector。该系统使用泄漏类型判断决策森林来检测应用程序中的隐私泄漏情况。首先,基于同类型相似性思想,构建了类型化泄漏数据库;其次,利用随机森林算法,将泄漏数据库转化成泄漏类型判断决策森林,再利用多方投票提高检测结果的合理性,并增加可重复利用性,减少检测人员的工作量;最后,此系统还提供了对泄漏点的逆向定位功能,该功能可以丰富简洁的检测结果,获取应用程序中存在的隐私泄漏数据流的泄漏源和泄漏点。从15个应用市场中收集了65个天气类应用程序构建泄漏数据库,并生成判断决策森林。以一个新的天气类应用程序作为待检测对象,利用判断决策森林进行隐私泄漏情况检测。共得到12条隐私泄漏数据流,其中,包括通过网络泄漏设备信息、将设备信息记录到本地日志、将本地日志存入content中、通过网络发送本地日志、通过网络发送文件5种泄漏类型。通过逆向定位功能找到了对应的泄漏源和泄漏点。结果表明,该系统可以检测出类型化应用程序的隐私泄漏情况,准确率为91.6%,并能逆向定位到隐私泄漏的泄漏源和泄漏点。
【图文】：

用程序中以Android开发文档中敏感API的形式存在。提取source和sink，其实就是定义一个包含各种可能存在隐私泄漏的AndroidAPI的文件。在执行静态分析的过程中，用该文件对应用程序中的代码进行过滤和提龋如果存在文件中的一个source到一个sink的路径，则就可以定义为一条隐私泄漏实例。后面简称泄漏点/泄漏源apisum文件为api-sum文件。设apisum文件中有n个source、m个sink，集合中source和sink一一映射，有n×m种泄漏可能，如图2所示。图1LeakDetector整体结构图Fig．1LeakDetectoroverview图2Source-sink映射图Fig．2Source-sinkmapping由于每个类型的Android应用程序的隐私泄漏情况不同，如在相机类应用程序中，检测到一个Lo-cation类API即source1的使用，存在一个sink1，如SMS中的sendMessage，且source1和sink1之间存在一个畅通的路径，就认为该应用程序存在一种隐私泄漏;而对于天气类的应用程序，必须通过Location类API定位到用户所在的地理位置，才能提供该应用程序的正常功能。根据相似性分析思想，将应用程序根据相似性功能进行分类。同功能的应用程序中如果某个可疑API(如上述天气类应用程序中的Location类API)的出现有普遍性，则认为该可疑API是正常请求的，将其从最初汇总的apisum文件中删除。本文以天气类应用程序为例进行隐私泄漏分析。针对于天气类应用程序，着重在网络、文件(I/O)、SMS、本地数据库和日志方面的隐私泄漏进行检测。具体例子如下:1)TelephonyManager尤其是getLine1Number()是天气类应用程序不需要获取的信息。2)android．os．Handler中的android．os．Handler:booleansendMessage(Messagemsg)作为泄漏点，天气并不需要发送信息出去。同样地，也不需要读取短信，如android．os．Handler

用程序中以Android开发文档中敏感API的形式存在。提取source和sink，其实就是定义一个包含各种可能存在隐私泄漏的AndroidAPI的文件。在执行静态分析的过程中，用该文件对应用程序中的代码进行过滤和提龋如果存在文件中的一个source到一个sink的路径，则就可以定义为一条隐私泄漏实例。后面简称泄漏点/泄漏源apisum文件为api-sum文件。设apisum文件中有n个source、m个sink，集合中source和sink一一映射，有n×m种泄漏可能，如图2所示。图1LeakDetector整体结构图Fig．1LeakDetectoroverview图2Source-sink映射图Fig．2Source-sinkmapping由于每个类型的Android应用程序的隐私泄漏情况不同，如在相机类应用程序中，检测到一个Lo-cation类API即source1的使用，存在一个sink1，，如SMS中的sendMessage，且source1和sink1之间存在一个畅通的路径，就认为该应用程序存在一种隐私泄漏;而对于天气类的应用程序，必须通过Location类API定位到用户所在的地理位置，才能提供该应用程序的正常功能。根据相似性分析思想，将应用程序根据相似性功能进行分类。同功能的应用程序中如果某个可疑API(如上述天气类应用程序中的Location类API)的出现有普遍性，则认为该可疑API是正常请求的，将其从最初汇总的apisum文件中删除。本文以天气类应用程序为例进行隐私泄漏分析。针对于天气类应用程序，着重在网络、文件(I/O)、SMS、本地数据库和日志方面的隐私泄漏进行检测。具体例子如下:1)TelephonyManager尤其是getLine1Number()是天气类应用程序不需要获取的信息。2)android．os．Handler中的android．os．Handler:booleansendMessage(Messagemsg)作为泄漏点，天气并不需要发送信息出去。同样地，也不需要读取短信，如android．os．Handler

【相似文献】

相关期刊论文 前10条

1 李学聚;;新时期读者隐私保护探析[J];科技情报开发与经济;2006年13期

2 管重;;谁偷窥了你的隐私[J];数字通信;2007年15期

3 孔为民;;大学图书馆与隐私保护[J];科技情报开发与经济;2007年26期

4 尹凯华;熊璋;吴晶;;个性化服务中隐私保护技术综述[J];计算机应用研究;2008年07期

5 高枫;张峰;周伟;;网络环境中的隐私保护标准化研究[J];电信科学;2013年04期

6 高密;薛宝赏;;我的电脑信息 隐私保护很强大[J];网友世界;2010年11期

7 ;为自己的电子商务设计隐私保护[J];个人电脑;2000年07期

8 ;隐私保护的10个准则[J];个人电脑;2000年07期

9 岑婷婷;韩建民;王基一;李细雨;;隐私保护中K-匿名模型的综述[J];计算机工程与应用;2008年04期

10 郑悦;;犹抱隐私半遮面[J];中国计算机用户;2008年14期

相关会议论文 前10条

1 郑思琳;陈红;叶运莉;;实习护士病人隐私保护意识和行为调查分析[A];中华护理学会第8届全国造口、伤口、失禁护理学术交流会议、全国外科护理学术交流会议、全国神经内、外科护理学术交流会议论文汇编[C];2011年

2 孙通源;;基于局部聚类和杂度增益的数据信息隐私保护方法探讨[A];中国水利学会2013学术年会论文集——S4水利信息化建设与管理[C];2013年

3 张亚维;朱智武;叶晓俊;;数据空间隐私保护平台的设计[A];第二十五届中国数据库学术会议论文集（一）[C];2008年

4 公伟;隗玉凯;王庆升;胡鑫磊;李换双;;美国隐私保护标准及隐私保护控制思路研究[A];2013年度标准化学术研究论文集[C];2013年

5 张鹏;于波;童云海;唐世渭;;基于随机响应的隐私保护关联规则挖掘[A];第二十一届中国数据库学术会议论文集（技术报告篇）[C];2004年

6 桂琼;程小辉;;一种隐私保护的分布式关联规则挖掘方法[A];2009年全国开放式分布与并行计算机学术会议论文集(下册)[C];2009年

7 俞笛;徐向阳;解庆春;刘寅;;基于保序加密的隐私保护挖掘算法[A];第八届全国信息隐藏与多媒体安全学术大会湖南省计算机学会第十一届学术年会论文集[C];2009年

8 李贝贝;乐嘉锦;;分布式环境下的隐私保护关联规则挖掘[A];第二十二届中国数据库学术会议论文集（研究报告篇）[C];2005年

9 徐振龙;郭崇慧;;隐私保护数据挖掘研究的简要综述[A];第七届（2012）中国管理学年会商务智能分会场论文集（选编）[C];2012年

10 潘晓;郝兴;孟小峰;;基于位置服务中的连续查询隐私保护研究[A];第26届中国数据库学术会议论文集（A辑）[C];2009年

相关重要报纸文章 前10条

1 记者 李舒瑜;更关注隐私保护和人格尊重[N];深圳特区报;2011年

2 荷兰鹿特丹医学中心博士 吴舟桥;荷兰人的隐私[N];东方早报;2012年

3 本报记者 周静;私密社交应用风潮来袭 聚焦小众隐私保护是关键[N];通信信息报;2013年

4 独立分析师 陈志刚;隐私管理应归个人[N];通信产业报;2013年

5 本报记者 朱宁宁;商业利益与隐私保护需立法平衡[N];法制日报;2014年

6 袁元;手机隐私保护萌发商机[N];证券日报;2014年

7 王尔山;跟隐私说再见[N];21世纪经济报道;2008年

8 记者 武晓黎;360安全浏览器推“隐私浏览”模式[N];中国消费者报;2008年

9 早报记者 是冬冬;“美国隐私保护法律已过时”[N];东方早报;2012年

10 张晓明;隐私的两难[N];电脑报;2013年

相关博士学位论文 前10条

1 孟祥旭;基于位置的移动信息服务技术与应用研究[D];国防科学技术大学;2013年

2 兰丽辉;基于向量模型的加权社会网络发布隐私保护方法研究[D];江苏大学;2015年

3 柯昌博;云服务组合隐私分析与保护方法研究[D];南京航空航天大学;2014年

4 李敏;基于位置服务的隐私保护研究[D];电子科技大学;2014年

5 陈东;信息物理融合系统安全与隐私保护关键技术研究[D];东北大学;2014年

6 张柯丽;信誉系统安全和隐私保护机制的研究[D];北京邮电大学;2015年

7 Kamenyi Domenic Mutiria;[D];电子科技大学;2014年

8 孙崇敬;面向属性与关系的隐私保护数据挖掘理论研究[D];电子科技大学;2014年

9 刘向宇;面向社会网络的隐私保护关键技术研究[D];东北大学;2014年

10 高胜;移动感知计算中位置和轨迹隐私保护研究[D];西安电子科技大学;2014年

相关硕士学位论文 前10条

1 邹朝斌;SNS用户隐私感知与自我表露行为的关系研究[D];西南大学;2015年

2 李汶龙;大数据时代的隐私保护与被遗忘权[D];中国政法大学;2015年

3 孙琪;基于位置服务的连续查询隐私保护研究[D];湖南工业大学;2015年

4 尹惠;无线传感器网络数据融合隐私保护技术研究[D];西南交通大学;2015年

5 王鹏飞;位置服务中的隐私保护技术研究[D];南京理工大学;2015年

6 顾铖;基于关联规则的隐私保护算法研究[D];南京理工大学;2015年

7 崔尧;基于匿名方案的位置隐私保护技术研究[D];西安工业大学;2015年

8 毕开圆;社会网络中用户身份隐私保护模型的研究[D];大连海事大学;2015年

9 黄奚芳;基于差分隐私保护的集值型数据发布技术研究[D];江西理工大学;2015年

10 高超;具有隐私保护意识的大样本双盲随机对照试验数据管理系统的设计与实现[D];山东大学;2015年

本文编号：2579063