基於安全風險的聚類方法及聚類裝置製造方法

2023-09-17 18:37:10

基於安全風險的聚類方法及聚類裝置製造方法
【專利摘要】本申請實施例公開了一種基於安全風險的聚類方法和聚類裝置，所述方法包括：確定多個應用程式與多個權限之間的多個申請關係；其中，所述多個申請關係中的每個申請關係對應於所述多個應用程式中的一應用程式申請所述多個權限中的一權限；確定所述多個申請關係中每個申請關係的權值；根據所述每個申請關係的所述權值對所述多個應用程式進行應用安全風險聚類。本申請實施例的技術方案通過一二部圖模型確定多個應用程式與多個權限之間的申請關係以及所述申請關係的權值，並根據所述權值對所述多個應用程式進行基於安全風險的聚類，使得安全風險相似的應用程式被歸為同一應用安全風險分類中，便於後續基於安全風險對應用程式進行的處理。
【專利說明】基於安全風險的聚類方法及聚類裝置

【技術領域】
[0001] 本申請涉及一種數據處理方法，尤其涉及一種基於安全風險的聚類技術方案。

【背景技術】
[0002] 近年來隨著行動裝置與移動網際網路的高速發展，行動應用程式的數量出現了爆 炸式的增長。與此同時，行動應用程式的功能被極大的擴展，用以豐富和滿足用戶各種各 樣的需求，例如：基於位置的服務（Location Based Services, LBS)，基於社交平臺的服務 (Social Networking Services, SNS)，等等。事實上，這些豐富的功能依賴於各種用戶數據 和設備的使用權限，例如位置訪問權、通訊錄訪問權、簡訊訪問權等等。這些訪問權限的使 用，使得用戶產生了對於自身隱私、安全的擔心，因而越來越多的用戶希望能了解應用程式 的權限訪問安全性。


【發明內容】

[0003] 本申請的目的是：提供一種基於安全風險的聚類技術方案。
[0004] 第一方面，本申請一個實施方案提供了一種基於安全風險的聚類方法，包括：
[0005] 確定多個應用程式與多個權限之間的多個申請關係；其中，所述多個申請關係 中的每個申請關係對應於所述多個應用程式中的一應用程式申請所述多個權限中的一權 限；
[0006] 確定所述多個申請關係中每個申請關係的權值；
[0007] 根據所述每個申請關係的所述權值對所述多個應用程式進行應用安全風險聚類。
[0008] 第二方面，本申請一個實施方案提供了一種基於安全風險的聚類裝置，包括：
[0009] 申請關係確定模塊，用於確定多個應用程式與多個權限之間的多個申請關係；其 中，所述多個申請關係中的每個申請關係對應於所述多個應用程式中的一應用程式申請所 述多個權限中的一權限；
[0010] 權值確定模塊，用於確定所述多個申請關係中每個申請關係的權值；
[0011] 應用聚類模塊，用於根據所述每個申請關係的所述權值對所述多個應用程式進行 應用安全風險聚類。
[0012] 本申請實施例的至少一個實施方案通過一二部圖模型確定多個應用程式與多個 權限之間的申請關係以及所述申請關係的權值，並根據所述權值對所述多個應用程式進行 基於安全風險的聚類，使得安全風險相似的應用程式被歸為同一應用安全風險分類中，便 於後續基於安全風險對應用程式進行的處理，例如：在所述多個應用程式中的一些應用程 序的安全風險已知的前提下，可以快速的確定與這些應用程式同一應用安全風險分類的其 它安全風險未知的應用程式的安全風險。

【專利附圖】

【附圖說明】
[0013] 圖1為本申請實施例的一種基於安全風險的聚類方法的流程圖；
[0014] 圖2為本申請實施例的一種基於安全風險的聚類方法中應用程式與權限的二部 圖不意圖；
[0015] 圖3為本申請實施例另一種基於安全風險的聚類方法的流程圖；
[0016] 圖4為本申請實施例一種基於安全風險的聚類裝置的結構示意框圖；
[0017] 圖5a為本申請實施例另一種基於安全風險的聚類裝置的結構示意框圖；
[0018] 圖5b為本申請實施例一種基於安全風險的聚類裝置的權值確定單元的結構示意 框圖；
[0019] 圖5c和5d分別為本申請實施例兩種基於安全風險的聚類裝置的應用聚類子模塊 的結構示意框圖；
[0020] 圖6a為本申請實施例又一種基於安全風險的聚類裝置的結構示意框圖；
[0021] 圖6b和6c分別為本申請實施例兩種基於安全風險的聚類裝置的權限聚類子模塊 的結構示意框圖；
[0022] 圖7為本申請實施例一種電子設備的結構示意框圖；
[0023] 圖8為本申請實施例再一種基於安全風險的聚類裝置的結構示意框圖。

【具體實施方式】
[0024] 下面結合附圖（若干附圖中相同的標號表示相同的元素）和實施例，對本申請的

【具體實施方式】作進一步詳細說明。以下實施例用於說明本申請，但不用來限制本申請的範 圍。
[0025] 本領域技術人員可以理解，本申請中的"第一"、"第二"等術語僅用於區別不同步 驟、設備或模塊等，既不代表任何特定技術含義，也不表示它們之間的必然邏輯順序。
[0026] 對於應用於一用戶設備的一應用程式來說，其可能會申請使用該用戶設備的至少 一數據使用的權限，例如一桌面應用程式申請用戶設備中存儲的照片數據的使用權限。本 申請的發明人發現，在對應用程式的安全風險進行評估時，結合考慮應用程式與權限之間 潛在的關係會提高評估的準確性。
[0027] 如圖1所示，本申請實施例提供了一種基於安全風險的聚類方法，包括：
[0028] S110確定多個應用程式與多個權限之間的多個申請關係；其中，所述多個申請關 系中的每個申請關係對應於所述多個應用程式中的一應用程式申請所述多個權限中的一 權限；
[0029] S120確定所述多個申請關係中每個申請關係的權值；
[0030] S130根據所述每個申請關係的所述權值對所述多個應用程式進行應用安全風險 聚類。
[0031] 如圖2所示，在本申請實施例中，發明人考慮到應用程式和權限的特性，提出了基 於二部圖的模型，來確定應用程式與權限之間的關係。其中，將多個應用程式作為二部圖中 的第一組節點，將多個權限作為二部圖中的第二組節點，兩組節點之間的連接由應用程式 與權限的申請關係確定，即，若且唯若一應用程式申請了一權限時，所述應用程式與所述權 限之間具有申請關係，建立有連接。
[0032] 舉例來說，本發明提供的基於安全風險的聚類裝置作為本實施例的執行主體，執 行S110?S130。具體地，所述聚類裝置可以以軟體、硬體或軟硬體結合的方式設置在用戶 設備或伺服器設備中。
[0033] 本申請實施例的至少一個實施方案通過一二部圖模型確定多個應用程式與多個 權限之間的申請關係以及所述申請關係的權值，並根據所述權值對所述多個應用程式進行 基於安全風險的聚類，使得安全風險相似的應用程式被歸為同一應用安全風險分類中，便 於後續基於安全風險對應用程式進行的處理。
[0034] 下面結合圖2所示的二部圖進一步說明本申請實施例方法的各步驟：
[0035] 在本申請實施例中，通過圖2所示的二部圖表示本申請實施例多個應用程式與多 個權限之間的關係，其中所述二部圖G可以表示為：G= {V，E，W}，其中，
[0036] V 為節點集，有 V = {Va，Vp}，
[0037] Va為應用程式集，包括所述多個應用程式ai?aM，即Va = {&1，· · ·，aM}，Μ為所 述多個應用程式的個數，為正整數；
[0038] Vp為權限集，包括所述多個權限Pi?ρΝ，即V p = {ρ^ · · ·，ρΝ} ;Ν為所述多個權 限的個數，為正整數；
[0039] Ε為申請關係集，其中，若且唯若所述多個應用程式中的一應用程式％申請了所述 多個權限中的一權限h時，存在一申請關係e E ;
[0040] W為權值集，一權值e w表示所述申請關係eu的權值。
[0041] 如圖2所示的實施方式中，二部圖包括4個應用程式?a4,3個權限Pl?p 3， (在圖2所示實施例中，所述應用程式ai?a4分別為：憤怒的小鳥（遊戲類）、切水果（遊 戲類）、臉譜（社交類）以及麥塊（遊戲類）；所述權限pl為讀取手機狀態、權限P2為訪問 精確位置、權限P3表示讀取聯繫人）；申請關係集包含8個申請關係（圖2中通過應用程式 與權限之間的連線表示）：e n，e12, e21，e22, e32, e33, e42以及e43，它們分別對應的權值為0. 3， 0· 7,0· 2,0· 8,0· 5,0· 5,0· 4 以及 0· 6。
[0042] 本申請實施例中，所述權值Wij表示所述應用程式ai與所述權限Pj的相關性。在 一種可能的實施方式中，所述權值表示所述應用程式％申請所述權限?的概率。這裡 應用程式％申請權限&的概率指的是，在確定所述應用程式％申請了哪些權限之前，其申 請權限h的可能性。例如，對於圖2中的申請關係e n來說，0. 3表示應用程式申請權限 Pi的概率為0.3。
[0043] 當然，在其它可能的實施方式中，所述權值還可以根據其它依據確定，來表示應用 程序與權限之間的相關程度，特別的，在一種可能的實施方式中，可以根據用戶的設定指令 確定所述權值。
[0044] 如上面所述的，在本申請實施例一種可能的實施方式中，所述步驟S120在確定所 述權值時，可以根據所述每個申請關係對應的所述應用程式申請所述權限的概率確定所述 每個申請關係的權值。
[0045] 在本申請實施例中，可以根據歷史數據獲取所述概率。可選地，在一種可能的實施 方式中，可以根據所述每個申請關係對應的所述應用程式所屬的一應用分類中所有應用程 序的權限申請歷史數據確定對應的所述權值。在本實施方式中，所述應用分類可以是根據 所述應用程式的功能劃分的分類，例如遊戲、辦公、地圖等；還可以是根據應用程式的開發 商進行的分類，或者還可以是根據應用程式其它方面的相似性（例如本申請實施例中的應 用安全風險分類）等進行的聚類分類等等。當然，本領域的技術人員可以知道，所述應用分 類還可以是其它的分類標準進行的分類。
[0046] 可選地，在本申請實施例一種可能的實施方式中，可以根據所述應用程式所屬的 所述應用分類中所有應用程式申請所述權限的頻率與所述所有應用程式分別申請所述多 個權限的多個頻率之和的比值得到所述權值。可以通過下面的公式表示： _ ^ij
[0047] Wij = γ jT，
[0048] 其中t表示所述應用程式％所屬的所述應用分類中的應用程式申請權限&的頻 率。
[0049] 在本申請實施例一種可能的實施方式中，為了得到歸一化的頻率，可以通過所述 應用分類中申請了一權限的應用程式的數量與該應用分類中所有應用程式的比值得到所 述權限對應的所述頻率。當然，在本申請實施例其它可能的實施方式中，還可以通過其它方 式確定所述頻率。
[0050] 在本申請實施例其它可能的實施方式中，除了上述根據權限的申請頻率確定所述 每個申請關係的權值外，還可以根據其它參數確定所述權值，例如外部的先驗知識，所述先 驗知識例如可以為本領域專家的意見、其它方法計算出了應用程式與權限之間的相關值 等。
[0051] 可選地，在一種可能的實施方式中，所述步驟S130包括：
[0052] 獲取與所述多個應用程式一一對應的多個應用權值向量；
[0053] 根據所述多個應用權值向量對所述多個應用程式進行應用安全風險聚類。
[0054] 其中，所述多個應用權值向量中的每個應用權值向量中包含與所述多個權限 對應的多個元素，對於每個應用權值向量：
[0055] 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間有 申請關係，所述應用權值向量中與所述權限對應的元素為所述申請關係的權值；
[0056] 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間沒 有申請關係，所述應用權值向量中與所述權限對應的元素為0。
[0057] 可以看出，得到的所述多個應用權值向量中相同位置的元素對應於同一權限，例 如，所有應用權值向量的第一個元素對應於第一個權限、第二個元素對應於第二個權限… 最後一個元素對應於最後一個權限。
[0058] 例如：一應用程式ai對應的應用權值向量\可以表示為：= {wn，...，WiN}，其中，所述向量&包含N個元素，依次分別對應於N個權限，其中，當所述 應用程式申請一權限時，對應的元素為對應的權值；當所述應用程式％沒有申請一權限時， 用〇代替該元素（此時可以看成所述應用程式％申請該權限的權值為0);應用程式&」對 應的應用權值向量可以表示為^ =·(λνμ，...，wjN}。
[0059] 例如，圖2所示的實施例中，應用程式al對應的應用權值向量= {0.3， 0. 7,0}，這裡的0表示應用程式沒有申請權限p3 ;應用程式a2對應的應用權值向量 a2=.丨0.2, 0.8, 0丨；應用程式a3對應的應用權值向量53=.丨〇,〇.5,0.5丨；應用程式&4對 應的應用權值向量1=彳0, 0.4，0.6}。
[0060] 可選地，在一種可能的實施方式中，可以根據所述多個應用程式中兩個應用程式 分別對應的應用權值向量的相似度來對所述多個應用程式進行應用安全風險聚類。例如， 在所述多個應用程式中一些應用程式的安全風險已知的情況下，根據其它應用程式與這些 應用程式的相似度，可以對所述其它應用程式進行聚類，進而可以估算該應用安全風險分 類中其它應用程式的安全風險。
[0061] 可選地，在一種可能的實施方式中，可以通過兩個應用程式對應的應用權值向量 的餘弦距離來確定兩個應用程式的相似度 ：
[0062] =Cos (a^ gj) = - 1」 IKIl· aj
[0063] 當然，本領域的技術人員可以知道，其它用於表示兩個向量之間相似度的方法也 可以用於本申請實施例確定兩個應用程式的相似程度，例如通過兩個向量之間的歐式距離 或KL距離（Kullback-Leibler Divergence)來確定所述兩個向量的相似度。
[0064] 可選地，在另一種可能的實施方式中，所述步驟S130在獲取了所述多個應用程式 分別對應的多個應用權值向量之後，可以通過基於距離的聚類算法對所述多個應用權值向 量進行聚類，進而確定所述多個應用程式的應用安全風險聚類。
[0065] 例如，在一種可能的實施方式中，可以將每個應用權值向量看成是多維空間中的 點（所述多維空間的維度與所述應用權值向量中的元素個數相等），通過基於距離的聚類 算法，例如通過K-means聚類算法可以對所述多個應用權值向量進行聚類。當然，本領域技 術人員可以知道，其它用於向量的聚類算法也可以應用在本申請實施例中對所述多個應用 權值向量進行聚類，進而對所述多個應用程式進行聚類。
[0066] 本領域的技術人員可以知道，上面所述的距離為兩個向量之間的距離，例如上面 所述的餘弦距離、歐式距離、KL距離等等。
[0067] 可以看出，通過本發明實施例上面的實施方案，可以對多個應用程式進行基於安 全風險的聚類，將安全風險相似的應用程式劃分在同一應用安全風險分類中，方便用戶或 應用平臺基於安全風險對應用程式進行後續操作。
[0068] 如圖3所示，在本申請實施例另一種可能的實施方式中，除了對所述多個應用程 序進行應用安全風險聚類外，還可以對所述多個權限進行權限安全風險聚類，此時，所述方 法還包括：
[0069] S140根據所述每個申請關係的所述權值對所述多個權限進行權2安全風險聚類。
[0070] 可選地，在一種可能的實施方式中，所述步驟S140包括：
[0071] 獲取與所述多個權限 對應的多個權限權值向量；
[0072] 根據所述多個權限權值向量對所述多個應用程式進行權限安全風險聚類。
[0073] 其中，所述多個權限權值向量中的每個權限權值向量中包含與所述多個應用程式 一一對應的多個元素，對於每個權限權值向量：
[0074] 對應於與所述權限權值向量對應的權限與所述多個應用程式中的一應用程式之 間有申請關係，所述權限權值向量中與所述應用程式對應的元素為所述申請關係的權值；
[0075] 對應於與所述權限權值向量對應的權值與所述多個應用程式中的一應用程式之 間沒有申請關係，所述權限權值向量中與所述應用程式對應的元素為〇。
[0076] 可以看出，得到的所述多個權限權值向量中相同位置的元素對應於同一應用程 序，例如，所有權限權值向量的第一個元素對應於第一個應用程式、第二個元素對應於第二 個應用程式…最後一個元素對應於最後一個應用程式。
[0077] 例如：一權限Pi對應的權限權值向量表不為Pi = {Wn, ...，WMi}，其中，所 述向量Pi包含Μ個元素，依次分別對應於Μ個應用程式，其中，當一應用程式申請所述 權限Pi時，對應的元素為對應的權值；當一應用程式沒有申請所述權限Pi時，用〇代替 該元素（此時可以看成所述應用程式申請所述權限的權值為0);權限h表示為$ = {Wjj, ..., WMj}〇
[0078] 例如，圖2所示的實施例中，權限Pi對應的向量氏={0.3，0.2，0，0}， 這裡的兩個0分別表示應用程式％和 &4沒有申請權限pi ;權限p2對應的向量 ρ2 ={0.7, 0.8, 0.5, 0.5};權限 p3 對應的向量泛3 ={0,0，0,5，0.6}。
[0079] 可選地，在一種可能的實施方式中，可以根據所述多個權限中兩個權限分別對應 的權限權值向量的相似度來對所述多個權限進行權限安全風險聚類。例如，在所述多個權 限中一些權限的安全風險已知的情況下，根據其它權限與這些權限的相似度，可以對所述 其它權限進行聚類，進而可以估算該權限安全風險分類中其它權限的安全風險。
[0080] 可選地，在一種可能的實施方式中，可以通過兩個權限對應的權限權值向量的餘 弦距離來確定這兩個權限的相似度 ：
[0081] S?=C〇S (p1? Pj) = _____:__________________________ Pi · Pj
[0082] 同樣的，本領域的技術人員可以知道，其它用於表示兩個向量之間相似度的方法 也可以用於本申請實施例確定兩個權限的相似程度，例如上面所述的歐式距離。
[0083] 可選地，在另一種可能的實施方式中，所述步驟S140在獲取了所述多個權限分別 對應的多個權限權值向量之後，可以通過基於距離的聚類算法對所述多個權限權值向量進 行聚類，進而確定所述多個權限的權限安全風險聚類。
[0084] 例如，在一種可能的實施方式中，可以將每個權限權值向量看成是多維空間中的 點（所述多維空間的維度與所述權限權值向量中的元素個數相等），通過基於距離的聚類 算法，例如通過K-means聚類算法可以對所述多個權限權值向量進行聚類。當然，本領域技 術人員可以知道，其它用於向量的聚類算法也可以應用在本申請實施例中對所述多個權限 權值向量進行聚類，進而對所述多個權限進行聚類。
[0085] 本領域的技術人員可以知道，上面所述的距離為兩個向量之間的距離，例如上面 所述的餘弦距離、歐式距離等等。
[0086] 可以看出，通過本發明實施例上面的實施方案，可以對多個權限進行基於安全風 險的聚類，將安全風險相似的權限劃分在同一權限安全風險分類中，方便用戶或開發者基 於安全風險對權限進行後續操作，例如用戶根據所述安全風險確定是否要關閉或打開權 限，開發者根據所述安全風險確定是否要使用對應的權限。
[0087] 本領域技術人員可以理解，在本申請【具體實施方式】的上述方法中，各步驟的序號 大小並不意味著執行順序的先後，各步驟的執行順序應以其功能和內在邏輯確定，而不應 對本申請【具體實施方式】的實施過程構成任何限定。
[0088] 如圖4所示，本申請實施例一種可能的實施方式提供了一種基於安全風險的聚類 裝置400,包括：
[0089] 申請關係確定模塊410,用於確定多個應用程式與多個權限之間的多個申請關係； 其中，所述多個申請關係中的每個申請關係對應於所述多個應用程式中的一應用程式申請 所述多個權限中的一權限；
[0090] 權值確定|吳塊420,用於確定所述多個申請關係中每個申請關係的權值；
[0091] 應用聚類模塊430,用於根據所述每個申請關係的所述權值對所述多個應用程式 進行應用安全風險聚類。
[0092] 本申請實施例的裝置400通過基於一二部圖的模型確定所述多個應用程式和多 個權限之間的關係。具體參見圖1所示方法實施例中對應的描述。
[0093] 本申請實施例的至少一個實施方案通過一二部圖模型確定多個應用程式與多個 權限之間的申請關係以及所述申請關係的權值，並根據所述權值對所述多個應用程式進行 基於安全風險的聚類，使得安全風險相似的應用程式被歸為同一應用安全風險分類中，便 於後續基於安全風險對應用程式進行的處理。
[0094] 本申請實施例通過下面的實施方式進一步說明本申請實施例的各模塊。
[0095] 在本申請實施例一種可能的實施方式中，對於所述多個應用程式與多個權限之間 的多個申請關係以及每個申請關係對應的權值的進一步描述參見上述方法實施例中對圖2 所示實施方式的描述，這裡不再贅述。
[0096] 在本申請實施例中，所述申請關係的權值對應於所述申請關係對應的應用程式與 權限之間的相關性，一般來說，所述相關性越強，所述權值的大小越大。因此，所述權值確定 模塊420根據所述應用程式與權值之間的相關性就可以確定所述權值的大小。在一種可能 的實施方式中，可以通過所述應用程式申請所述權限的概率的大小來獲得所述相關性。當 然，本領域的技術人員可以知道，在其它可能的實施方式中，除了所述概率外，還可以通過 其它方式確定所述應用程式與權限之間的相關性。
[0097] 因此，可選地，如圖5a所示，在本申請實施例一種可能的實施方式中，所述權值確 定模塊420可以包括：
[0098] 權值確定子模塊421，用於根據所述每個申請關係對應的所述應用程式申請所述 權限的概率確定所述每個申請關係的權值。
[0099] 在本申請實施例一種可能的實施方式中，可以根據歷史數據獲取所述概率。進一 步的，在本實施方式中，所述權值確定子模塊421可以包括：
[0100] 權值確定單元4211，用於根據所述每個申請關係對應的所述應用程式所屬的一應 用分類中所有應用程式的權限申請歷史數據確定對應的所述權值。
[0101] 在本實施方式中，所述應用分類可以是根據應用程式的功能劃分的分類，例如遊 戲、辦公、地圖等；還可以是根據應用程式的開發商進行的分類，或者還可以是根據應用程 序其它方面的相似性等進行的聚類分類等等。當然，本領域的技術人員可以知道，所述應用 分類還可以是以其它的分類標準進行的分類。
[0102] 如圖5b所示，在一種可能的實施方式中，所述權值確定單元4211包括：
[0103] 權值確定子單元4211a，用於根據所述應用分類中所有應用程式申請所述權限的 頻率與所述所有應用程式分別申請所述多個權限的多個頻率之和的比值得到所述權值。具 體參見圖2所示方法實施例中對應的描述。
[0104] 在本申請實施例一種可能的實施方式中，為了得到歸一化的頻率，可以通過所述 應用分類中申請了一權限的應用程式的數量與該應用分類中所有應用程式的比值得到所 述權限對應的所述頻率。當然，在本申請實施例其它可能的實施方式中，還可以通過其它方 式確定所述頻率。
[0105] 可選地，如圖5a所示，在一種可能的實施方式中，所述應用聚類模塊430包括：
[0106] 應用權值向量獲取子模塊431，用於獲取與所述多個應用程式一一對應的多個應 用權值向量；
[0107] 應用聚類子模塊432,用於根據所述多個應用權值向量對所述多個應用程式進行 應用安全風險聚類。
[0108] 其中，所述多個應用權值向量中的每個應用權值向量中包含與所述多個權限-- 對應的多個元素，對於每個應用權值向量：
[0109] 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間有 申請關係，所述應用權值向量中與所述權限對應的元素為所述申請關係的權值；
[0110] 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間沒 有申請關係，所述應用權值向量中與所述權限對應的元素為0。
[0111] 可以看出，得到的所述多個應用權值向量中相同位置的元素對應於同一權限，例 如，所有應用權值向量的第一個元素對應於第一個權限、第二個元素對應於第二個權限… 最後一個元素對應於最後一個權限。具體參見上述方法實施例中對應的描述。
[0112] 可選地，如圖5c所示，在一種可能的實施方式中，所述應用聚類子模塊432包括：
[0113] 第一應用聚類單元4321，用於根據所述多個應用程式中兩個應用程式分別對應的 應用權值向量的相似度來對所述多個應用程式進行應用安全風險聚類。
[0114] 例如，在所述多個應用程式中一些應用程式的安全風險已知的情況下，根據其它 應用程式與這些應用程式的相似度，可以對所述其它應用程式進行聚類，進而可以估算該 應用安全風險分類中其它應用程式的安全風險。
[0115] 可選地，在一種可能的實施方式中，可以通過兩個應用程式對應的應用權值向量 的餘弦距離來確定兩個應用程式的相似度，具體參見上面的方法實施例中對應的描述。
[0116] 當然，本領域的技術人員可以知道，其它用於表示兩個向量之間相似度的方法也 可以用於本申請實施例確定兩個應用程式的相似程度，例如通過兩個向量之間的歐式距離 或KL距離來確定所述兩個向量的相似度。
[0117] 可選地，如圖5d所示，在另一種可能的實施方式中，所述應用聚類子模塊432包 括：
[0118] 第二應用聚類單元4322,用於通過基於距離的聚類算法對所述多個應用權值向量 進行聚類，進而確定所述多個應用程式的應用安全風險聚類。
[0119] 例如，在一種可能的實施方式中，可以將每個應用權值向量看成是多維空間中的 點（所述多維空間的維度與所述應用權值向量中的元素個數相等），通過基於距離的聚類 算法，例如通過K-means聚類算法可以對所述多個應用權值向量進行聚類。當然，本領域技 術人員可以知道，其它用於向量的聚類算法也可以應用在本申請實施例中對所述多個應用 權值向量進行聚類，進而對所述多個應用程式進行聚類。
[0120] 本領域的技術人員可以知道，上面所述的距離為兩個向量之間的距離，例如上面 所述的餘弦距離、歐式距離、KL距離等等。
[0121] 可以看出，通過本發明實施例上面的實施方案，可以對多個應用程式進行基於安 全風險的聚類，將安全風險相似的應用程式劃分在同一應用安全風險分類中，方便用戶或 應用平臺基於安全風險對應用程式進行後續操作。
[0122] 如圖6a所示，在本申請實施例一種可能的實施方式中，所述裝置400除了對所述 多個應用程式進行應用安全風險聚類外，還可以對所述多個權限進行權限安全風險聚類， 此時，所述裝置400還包括：
[0123] 權限聚類模塊440,用於根據所述每個申請關係的所述權值對所述多個權限進行 權限安全風險聚類。
[0124] 可選地，在一種可能的實施方式中，所述權限聚類模塊440包括：
[0125] 權限權值向量獲取子模塊441，用於獲取與所述多個權限 對應的多個權限權 值向量；
[0126] 其中，所述多個權限權值向量中的每個權限權值向量中包含與所述多個應用程式 --對應的多個元素；
[0127] 所述權限權值向量獲取子模塊441在獲取每個權限權值向量時：
[0128] 對應於與所述權限權值向量對應的權限與所述多個應用程式中的一應用程式之 間有申請關係，所述權限權值向量中與所述應用程式對應的元素為所述申請關係的權值；
[0129] 對應於與所述權限權值向量對應的權值與所述多個應用程式中的一應用程式之 間沒有申請關係，所述權限權值向量中與所述應用程式對應的元素為0。
[0130] 在本實施方式中，所述權限聚類模塊440還包括：
[0131] 權限聚類子模塊442,用於根據所述多個權限權值向量對所述多個應用程式進行 權限安全風險聚類。
[0132] 可以看出，得到的所述多個權限權值向量中相同位置的元素對應於同一應用程 序，例如，所有權限權值向量的第一個元素對應於第一個應用程式、第二個元素對應於第二 個應用程式…最後一個元素對應於最後一個應用程式。具體參見上面方法實施例中對應的 描述。
[0133] 可選地，如圖6b所示，在一種可能的實施方式中，所述權限聚類子模塊442包括：
[0134] 第一權限聚類單元4421，用於根據所述多個權限中兩個權限分別對應的權限權值 向量的相似度來對所述多個權限進行權限安全風險聚類。
[0135] 例如，在所述多個權限中一些權限的安全風險已知的情況下，根據其它權限與這 些權限的相似度，可以對所述其它權限進行聚類，進而可以估算該權限安全風險分類中其 它權限的安全風險。
[0136] 可選地，在一種可能的實施方式中，可以通過兩個權限對應的權限權值向量的餘 弦距離來確定這兩個權限的相似度。具體參見上述方法實施例中對應的描述。
[0137] 同樣的，本領域的技術人員可以知道，其它用於表示兩個向量之間相似度的方法 也可以用於本申請實施例確定兩個權限的相似程度，例如上面所述的歐式距離。
[0138] 可選地，如圖6c所示，在另一種可能的實施方式中，所述權限聚類子模塊442包 括：
[0139] 第二權限聚類單元4422,用於通過基於距離的聚類算法對所述多個權限權值向量 進行聚類，進而確定所述多個權限的權限安全風險聚類。
[0140] 例如，在一種可能的實施方式中，可以將每個權限權值向量看成是多維空間中的 點（所述多維空間的維度與所述權限權值向量中的元素個數相等），通過基於距離的聚類 算法，例如通過K-means聚類算法可以對所述多個權限權值向量進行聚類。當然，本領域技 術人員可以知道，其它用於向量的聚類算法也可以應用在本申請實施例中對所述多個權限 權值向量進行聚類，進而對所述多個權限進行聚類。
[0141] 本領域的技術人員可以知道，上面所述的距離為兩個向量之間的距離，例如上面 所述的餘弦距離、歐式距離等等。
[0142] 可以看出，通過本發明實施例上面的實施方案，可以對多個權限進行基於安全風 險的聚類，將安全風險相似的權限劃分在同一權限安全風險分類中，方便用戶或開發者基 於安全風險對權限進行後續操作，例如用戶根據所述安全風險確定是否要關閉或打開權 限，開發者根據所述安全風險確定是否要使用對應的權限。
[0143] 如圖7所示，在本申請實施例一種可能的實施方式中提供了一種電子設備700,包 括上面所述的基於安全風險的聚類裝置710。
[0144] 其中，在一種可能的實施方式中，所述電子設備700可以為一用戶設備，可選的， 可以為一移動用戶設備。在另一種可能的實施方式中，所述電子設備700還可以為一服務 器，可選地，例如為應用分發平臺的伺服器。
[0145] 圖8為本申請實施例提供的又一種基於安全風險的聚類裝置800的結構示意圖， 本申請具體實施例並不對基於安全風險的聚類裝置800的具體實現做限定。如圖8所示， 該基於安全風險的聚類裝置800可以包括：
[0146] 處理器（processor) 810、通信接口（Communications Interface) 820、存儲器 (memory)830、以及通信總線840。其中：
[0147] 處理器810、通信接口 820、以及存儲器830通過通信總線840完成相互間的通信。
[0148] 通信接口 820,用於與比如客戶端等的網元通信。
[0149] 處理器810，用於執行程序832，具體可以執行上述方法實施例中的相關步驟。
[0150] 具體地，程序832可以包括程序代碼，所述程序代碼包括計算機操作指令。
[0151] 處理器810可能是一個中央處理器CPU,或者是特定集成電路ASIC(Application Specific Integrated Circuit),或者是被配置成實施本申請實施例的一個或多個集成電 路。
[0152] 存儲器830,用於存放程序832。存儲器830可能包含高速RAM存儲器，也可能還 包括非易失性存儲器（non-volatile memory),例如至少一個磁碟存儲器。程序832具體可 以用於使得所述基於安全風險的聚類裝置800執行以下步驟：
[0153] 確定多個應用程式與多個權限之間的多個申請關係；其中，所述多個申請關係 中的每個申請關係對應於所述多個應用程式中的一應用程式申請所述多個權限中的一權 限；
[0154] 確定所述多個申請關係中每個申請關係的權值；
[0155] 根據所述每個申請關係的所述權值對所述多個應用程式進行應用安全風險聚類。
[0156] 程序832中各步驟的具體實現可以參見上述實施例中的相應步驟和單元中對應 的描述，在此不贅述。所屬領域的技術人員可以清楚地了解到，為描述的方便和簡潔，上述 描述的設備和模塊的具體工作過程，可以參考前述方法實施例中的對應過程描述，在此不 再贅述。
[0157] 本領域普通技術人員可以意識到，結合本文中所公開的實施例描述的各示例的單 元及方法步驟，能夠以電子硬體、或者計算機軟體和電子硬體的結合來實現。這些功能究竟 以硬體還是軟體方式來執行，取決於技術方案的特定應用和設計約束條件。專業技術人員 可以對每個特定的應用來使用不同方法來實現所描述的功能，但是這種實現不應認為超出 本申請的範圍。
[0158] 所述功能如果以軟體功能單元的形式實現並作為獨立的產品銷售或使用時，可以 存儲在一個計算機可讀取存儲介質中。基於這樣的理解，本申請的技術方案本質上或者說 對現有技術做出貢獻的部分或者該技術方案的部分可以以軟體產品的形式體現出來，該計 算機軟體產品存儲在一個存儲介質中，包括若干指令用以使得一臺計算機設備（可以是個 人計算機，伺服器，或者網絡設備等）執行本申請各個實施例所述方法的全部或部分步驟。 而前述的存儲介質包括：U盤、移動硬碟、只讀存儲器（ROM，Read-Only Memory)、隨機存取 存儲器（RAM, Random Access Memory)、磁碟或者光碟等各種可以存儲程序代碼的介質。
[0159] 以上實施方式僅用於說明本申請，而並非對本申請的限制，有關【技術領域】的普通 技術人員，在不脫離本申請的精神和範圍的情況下，還可以做出各種變化和變型，因此所有 等同的技術方案也屬於本申請的範疇，本申請的專利保護範圍應由權利要求限定。
【權利要求】
1. 一種基於安全風險的聚類方法，其特徵在於，包括： 確定多個應用程式與多個權限之間的多個申請關係；其中，所述多個申請關係中的每 個申請關係對應於所述多個應用程式中的一應用程式申請所述多個權限中的一權限； 確定所述多個申請關係中每個申請關係的權值； 根據所述每個申請關係的所述權值對所述多個應用程式進行應用安全風險聚類。
2. 如權利要求1所述的方法，其特徵在於，根據所述每個申請關係對應的所述應用程 序申請所述權限的概率確定所述每個申請關係的權值。
3. 如權利要求1所述的方法，其特徵在於，根據所述每個申請關係對應的所述應用程 序所屬的一應用分類中所有應用程式的權限申請歷史數據確定對應的所述權值。
4. 如權利要求3所述的方法，其特徵在於，根據所述應用分類中所述所有應用程式申 請所述權限的頻率與所述所有應用程式分別申請所述多個權限的多個頻率之和的比值得 到所述權值。
5. 如權利要求1所述的方法，其特徵在於，根據所述每個申請關係的所述權值對所述 多個應用程式進行應用安全風險聚類包括： 獲取與所述多個應用程式一一對應的多個應用權值向量； 根據所述多個應用權值向量對所述多個應用程式進行應用安全風險聚類； 其中，所述多個應用權值向量中的每個應用權值向量中包含與所述多個權限一一對應 的多個元素，對於每個應用權值向量： 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間有申請 關係，所述應用權值向量中與所述權限對應的元素為所述申請關係的權值； 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間沒有申 請關係，所述應用權值向量中與所述權限對應的元素為0。
6. 如權利要求5所述的方法，其特徵在於，所述根據所述多個應用權值向量對所述多 個應用程式進行應用安全風險聚類包括： 根據所述多個應用程式中兩個應用程式分別對應的應用權值向量的相似度來對所述 多個應用程式進行應用安全風險聚類。
7. 如權利要求5所述的方法，其特徵在於，所述根據所述多個應用權值向量對所述多 個應用程式進行應用安全風險聚類包括： 通過基於距離的聚類算法對所述多個應用權值向量進行聚類，進而確定所述多個應用 程序的應用安全風險聚類。
8. 如權利要求1所述的方法，其特徵在於，所述方法還包括：根據所述每個申請關係的 所述權值對所述多個權限進行權限安全風險聚類。
9. 如權利要求8所述的方法，其特徵在於，所述根據所述每個申請關係的所述權值對 所述多個權限進行權限安全風險聚類包括： 獲取與所述多個權限 對應的多個權限權值向量； 根據所述多個權限權值向量對所述多個應用程式進行權限安全風險聚類； 其中，所述多個權限權值向量中的每個權限權值向量中包含與所述多個應用程式一一 對應的多個元素，對於每個權限權值向量： 對應於與所述權限權值向量對應的權限與所述多個應用程式中的一應用程式之間有 申請關係，所述權限權值向量中與所述應用程式對應的元素為所述申請關係的權值； 對應於與所述權限權值向量對應的權值與所述多個應用程式中的一應用程式之間沒 有申請關係，所述權限權值向量中與所述應用程式對應的元素為0。
10. 如權利要求9所述的方法，其特徵在於，所述根據所述多個權限權值向量對所述多 個權限進行應用安全風險聚類包括： 根據所述多個權限中兩個權限分別對應的權限權值向量的相似度來對所述多個權限 進行權限安全風險聚類。
11. 如權利要求9所述的方法，其特徵在於，所述根據所述多個權限權值向量對所述多 個權限進行權限安全風險聚類包括： 通過基於距離的聚類算法對所述多個權限權值向量進行聚類，進而確定所述多個權限 的權限安全風險聚類。
12. -種基於安全風險的聚類裝置，其特徵在於，包括： 申請關係確定模塊，用於確定多個應用程式與多個權限之間的多個申請關係；其中，所 述多個申請關係中的每個申請關係對應於所述多個應用程式中的一應用程式申請所述多 個權限中的一權限； 權值確定模塊，用於確定所述多個申請關係中每個申請關係的權值； 應用聚類模塊，用於根據所述每個申請關係的所述權值對所述多個應用程式進行應用 安全風險聚類。
13. 如權利要求12所述的裝置，其特徵在於，所述權值確定模塊包括： 權值確定子模塊，用於根據所述每個申請關係對應的所述應用程式申請所述權限的概 率確定所述每個申請關係的權值。
14. 如權利要求13所述的裝置，其特徵在於，所述權值確定子模塊包括： 權值確定單元，用於根據所述每個申請關係對應的所述應用程式所屬的一應用分類中 所有應用程式的權限申請歷史數據確定對應的所述權值。
15. 如權利要求14所述的裝置，其特徵在於，所述權值確定單元包括： 權值確定子單元，用於根據所述應用分類中所述所有應用程式申請所述權限的頻率與 所述所有應用程式分別申請所述多個權限的多個頻率之和的比值得到所述權值。
16. 如權利要求12所述的裝置，其特徵在於，所述應用聚類模塊包括： 應用權值向量獲取子模塊，用於獲取與所述多個應用程式一一對應的多個應用權值向 量； 應用聚類子模塊，用於根據所述多個應用權值向量對所述多個應用程式進行應用安全 風險聚類； 其中，所述多個應用權值向量中的每個應用權值向量中包含與所述多個權限一一對應 的多個元素，對於每個應用權值向量： 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間有申請 關係，所述應用權值向量中與所述權限對應的元素為所述申請關係的權值； 對應於與所述應用權值向量對應的應用程式與所述多個權限中的一權限之間沒有申 請關係，所述應用權值向量中與所述權限對應的元素為0。
17. 如權利要求16所述的裝置，其特徵在於，所述應用聚類子模塊包括： 第一應用聚類單元，用於根據所述多個應用程式中兩個應用程式分別對應的應用權值 向量的相似度來對所述多個應用程式進行應用安全風險聚類。
18. 如權利要求16所述的方法，其特徵在於，所述應用聚類子模塊包括： 第二應用聚類單元，用於通過基於距離的聚類算法對所述多個應用權值向量進行聚 類，進而確定所述多個應用程式的應用安全風險聚類。
19. 如權利要求12所述的裝置，其特徵在於，所述裝置還包括：權限聚類模塊，用於根 據所述每個申請關係的所述權值對所述多個權限進行權限安全風險聚類。
20. 如權利要求19所述的裝置，其特徵在於，所述權限聚類模塊包括： 權限權值向量獲取子模塊，用於獲取與所述多個權限一一對應的多個權限權值向量； 權限聚類子模塊，用於根據所述多個權限權值向量對所述多個應用程式進行權限安全 風險聚類； 其中，所述多個權限權值向量中的每個權限權值向量中包含與所述多個應用程式一一 對應的多個元素；對於每個權限權值向量： 對應於與所述權限權值向量對應的權限與所述多個應用程式中的一應用程式之間有 申請關係，所述權限權值向量中與所述應用程式對應的元素為所述申請關係的權值； 對應於與所述權限權值向量對應的權值與所述多個應用程式中的一應用程式之間沒 有申請關係，所述權限權值向量中與所述應用程式對應的元素為0。
21. 如權利要求20所述的方法，其特徵在於，所述權限聚類子模塊包括： 第一權限聚類單元，用於根據所述多個權限中兩個權限分別對應的權限權值向量的相 似度來對所述多個權限進行權限安全風險聚類。
22. 如權利要求20所述的方法，其特徵在於，所述權限聚類子模塊包括： 第二權限聚類單元，用於通過基於距離的聚類算法對所述多個權限權值向量進行聚 類，進而確定所述多個權限的權限安全風險聚類。
23. -種電子設備，其特徵在於，包括權利要求12-22中任一項所述的基於安全風險的 聚類裝置。
【文檔編號】G06F21/50GK104091117SQ201410326050
【公開日】2014年10月8日 申請日期:2014年7月9日 優先權日:2014年7月9日
【發明者】祝恆書, 於魁飛 申請人:北京智谷睿拓技術服務有限公司