KR101256468B1 - 악성 파일 진단 장치 및 방법 - Google Patents

악성 파일 진단 장치 및 방법 Download PDF

Info

Publication number
KR101256468B1
KR101256468B1 KR1020120100526A KR20120100526A KR101256468B1 KR 101256468 B1 KR101256468 B1 KR 101256468B1 KR 1020120100526 A KR1020120100526 A KR 1020120100526A KR 20120100526 A KR20120100526 A KR 20120100526A KR 101256468 B1 KR101256468 B1 KR 101256468B1
Authority
KR
South Korea
Prior art keywords
file
malicious
information
information database
application executable
Prior art date
Application number
KR1020120100526A
Other languages
English (en)
Inventor
강동현
김용구
Original Assignee
주식회사 안랩
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 안랩 filed Critical 주식회사 안랩
Priority to KR1020120100526A priority Critical patent/KR101256468B1/ko
Application granted granted Critical
Publication of KR101256468B1 publication Critical patent/KR101256468B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 악성 파일 진단 장치 및 방법에 관한 것이다. 이를 위한 악성 파일 진단 장치는 모바일 운영체제 환경에서 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하는 파일 정보 추출부와, 추출된 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 저장하는 파일 정보 저장부와, 악성 여부의 진단을 위한 기준 진단 정보가 데이터베이스화되어 저장된 진단 정보 데이터베이스로부터 읽어 들인 기준 진단 정보와 파일 정보 데이터베이스의 파일 특성 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 악성 진단부와, 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 애플리케이션 실행 파일을 악성 파일로 분류 처리하는 처리부를 포함한다. 이러한 본 발명은 파일 정보 데이터베이스를 구축한 후에는 진단 대상 애플리케이션 실행 파일을 실시간으로 분석하지 않고도 악성 파일을 진단하기 때문에 종래 기술과 비교할 때에 진단 속도가 향상되며, 진단 속도가 향상됨에 따라 진단 속도에 다소의 악영향을 주는 것을 감수하면서 다양한 진단 시그니처를 사용하면 악성 진단 결과의 정확성이 향상되는 이점이 있다.

Description

악성 파일 진단 장치 및 방법{APPARATUS AND METHOD FOR DETECTING MALICIOUS FILE}
본 발명은 악성 파일 진단 장치 및 방법에 관한 것이다. 더 구체적으로, 모바일 운영체제에서 애플리케이션 실행 파일을 대상으로 하여 악성 여부를 진단하는 악성 파일 진단 장치 및 방법에 관한 것이다.
근래에 들어 유무선 인터넷뿐만 아니라 이동통신 기술의 발달로 인하여 단순한 전화통화 기능뿐만이 아닌 무선 인터넷 기능 등의 다양한 기능을 갖춘 휴대폰이 보급되고 있다. 특히 최근에 보급이 확산되고 있는 스마트폰(smartphone)은 모바일 운영체제에서 동작하는 다양한 애플리케이션 프로그램(이하, 애플리케이션이라 약칭함)을 설치할 수 있으며, 이러한 이유로 사용자들은 스마트폰을 여러 가지의 용도로 이용하고 있다.
이러한 스마트폰에는 안드로이드(Android), i-OS(Operating System), 윈도우 모바일(windows mobile) 등과 같은 모바일 운영체제가 탑재되며, 각종 모바일 운영체제에서 실행 가능한 애플리케이션의 개발이 활발히 이루어지고 있다.
위와 같은 모바일 운영체제 중에서 안드로이드 플랫폼은 구글(Google) 사가 주도하는 OHA(Open Handset Alliance)에서 공개한 오픈 소스 플랫폼이며, 리눅스(Linux) 커널, 가상머신(VM : Virtual Machine), 프레임워크(Framework) 및 애플리케이션을 모두 포함하는 소프트웨어 패키지를 의미한다.
현재 안드로이드 플랫폼에 대한 사용자들의 기대가 상승하고, 단말 제조사와 이동 통신 서비스 제공사의 높은 호응으로 안드로이드 플랫폼을 탑재하는 스마트폰 등의 모바일 단말기가 점점 늘어남에 따라 안드로이드 애플리케이션 시장이 활성화되었고, 양질의 안드로이드 애플리케이션 공급에 대한 요구가 높아지고 있다.
그런데, 위와 같이 안드로이드 플랫폼을 탑재한 스마트폰 사용자가 늘어남에 따라 안드로이드 운영체제를 타깃으로 하는 악성코드 또한 급격히 증가하고 있으며, 안드로이드 악성코드 제작자들은 기존의 PC환경에서 익혔던 다양한 기술을 안드로이드 악성 애플리케이션의 제작에 반영하여 PC에서의 것보다 빠르게 발전시켜 나가고 있다.
종래 기술에 따라 모바일 운영체제 환경에서 악성 파일을 진단할 때에는, 먼저 악성으로 판정된 애플리케이션 실행 파일로부터 소정의 정보를 추출하여 악성 여부의 진단을 위한 진단 시그니처를 포함하는 기준 진단 정보를 미리 확보하며, 진단 대상 애플리케이션 실행 파일을 실시간으로 분석하여 진단 근거를 추출하며, 추출된 진단 근거와 기 확보된 기준 진단 정보를 비교하여 애플리케이션 실행 파일에 대한 악성 여부를 판단하였다.
그런데, 모바일 운영체제 환경을 이용하는 스마트폰 등과 같은 대부분의 모바일 단말기는 PC에 비교해 상대적으로 낮은 연산 능력을 가지며, 모바일 단말기의 특성에 따라 각종 동작 및 처리 시에 배터리 소모를 최소화하여야 하는 조건이 따른다.
하지만, 종래 기술에 따른 실시간 파일 분석에 의한 악성 파일 진단 기술은 모바일 단말기의 낮은 연산 능력에 기인하여 진단 속도 측면에서 만족할만한 수준에 이르지 못하였다.
아울러, 실시간으로 파일을 분석하여야 하므로 그나마 진단 속도에 악영향을 주지 않기 위하여 다양한 진단 시그니처를 사용하지 않았으며, 이는 악성 진단 결과의 정확성을 떨어트릴 수 있었다.
또한, 악성 파일 진단을 수행할 때마다 진단 대상 애플리케이션 실행 파일을 모두 분석하였으며, 이에 따라 만족할만한 진단 속도가 나오지 않았음은 물론이고 배터리의 빠른 소모를 초래하는 문제점이 있었다.
한국 등록특허공보 제1161493호, 공고일자 2012년 6월 29일.
본 발명의 실시예는, 모바일 운영체제 환경에서 애플리케이션 실행 파일의 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 구축하여 둔 상태에서 기 구축된 진단 정보 데이터베이스와 파일 정보 데이터베이스의 비교를 통해 악성 파일을 진단하는 악성 파일 진단 장치 및 방법을 제공한다.
본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 관점에 따른 악성 파일 진단 장치는, 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일의 파일 특성 정보를 추출하는 파일 정보 추출부와, 상기 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스가 저장되는 파일 정보 저장부와, 상기 애플리케이션 실행 파일의 악성 여부를 진단하기 위해 진단 정보 데이터베이스에 기 저장된 기준 진단 정보와 상기 파일 정보 데이터베이스의 상기 파일 특성 정보를 비교하여 상기 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 악성 진단부와, 상기 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 상기 애플리케이션 실행 파일에 대한 악성 파일로의 분류 여부를 결정하는 처리부를 포함할 수 있다.
여기서, 상기 파일 정보 추출부는, 상기 애플리케이션 실행 파일의 신규 설치 이벤트 또는 기 설치된 상기 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 정보 추출부는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장되어 있지 않은 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 정보 추출부는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장된 후에 변경된 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 정보 추출부는, 상기 애플리케이션 실행 파일의 META-INF 폴더와 AndroidManifest.xml 파일, classes.dex 파일, resources.arsc 파일 또는 string.xml 파일 중에서 적어도 하나 이상으로부터 상기 파일 특성 정보를 추출할 수 있다.
상기 악성 진단부는, 상기 파일 정보 데이터베이스 또는 상기 진단 정보 데이터베이스에 업데이트가 발생할 경우에 상기 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단할 수 있다.
상기 악성 진단부는, 상기 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 상기 진단 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
상기 악성 진단부는, 상기 진단 정보 데이터베이스에 업데이트가 발생한 경우에 상기 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 상기 파일 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
본 발명의 다른 관점에 따른 악성 파일 진단 방법은, 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하는 단계와, 상기 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스를 획득하는 단계와, 상기 애플리케이션 실행 파일의 악성 여부를 진단하기 위해 진단 정보 데이터베이스에 기 저장된 기준 진단 정보와 상기 파일 정보 데이터베이스의 상기 파일 특성 정보를 비교하여 상기 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 단계와, 상기 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 상기 애플리케이션 실행 파일에 대한 악성 파일로의 분류 여부를 결정하는 단계를 포함할 수 있다.
여기서, 상기 파일 특성 정보를 추출하는 단계는, 상기 애플리케이션 실행 파일의 신규 설치 이벤트 또는 기 설치된 상기 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 특성 정보를 추출하는 단계는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장되어 있지 않은 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 특성 정보를 추출하는 단계는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장된 후에 변경된 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출할 수 있다.
상기 파일 특성 정보를 추출하는 단계는, 상기 애플리케이션 실행 파일의 META-INF 폴더와 AndroidManifest.xml 파일, classes.dex 파일, resources.arsc 파일 또는 string.xml 파일 중에서 적어도 하나 이상으로부터 상기 파일 특성 정보를 추출할 수 있다.
상기 악성 여부를 판단하는 단계는, 상기 파일 정보 데이터베이스 또는 상기 진단 정보 데이터베이스에 업데이트가 발생할 경우에 상기 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단할 수 있다.
상기 악성 여부를 판단하는 단계는, 상기 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 상기 진단 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
상기 악성 여부를 판단하는 단계는, 상기 진단 정보 데이터베이스에 업데이트가 발생한 경우에 상기 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 상기 파일 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
본 발명의 또 다른 관점에 따르면, 상기 악성 파일 진단 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체를 제공할 수 있다.
본 발명의 실시예에 따르면, 모바일 운영체제 환경에서 애플리케이션 실행 파일의 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 구축하여 둔 상태에서 기 구축된 진단 정보 데이터베이스와 파일 정보 데이터베이스의 비교를 통해 악성 파일을 진단한다.
따라서, 파일 정보 데이터베이스를 구축한 후에는 진단 대상 애플리케이션 실행 파일을 실시간으로 분석하지 않고도 악성 파일을 진단하기 때문에 종래 기술과 비교할 때에 진단 속도가 향상된다.
아울러, 진단 속도가 향상됨에 따라 진단 속도에 다소의 악영향을 주는 것을 감수한다면 다양한 진단 시그니처를 사용할 수 있으며, 이 때는 악성 진단 결과의 정확성이 향상되는 효과가 있다.
도 1은 본 발명의 실시예에 따른 악성 파일 진단 장치의 블록 구성도이다.
도 2는 안드로이드 플랫폼에서 구동되는 애플리케이션의 설치 및 동작을 위한 실행 파일인 안드로이드 패키지(APK) 파일의 일 예를 보인 트리 구조도이다.
도 3은 본 발명의 실시예에 따른 악성 파일 진단 방법을 설명하기 위한 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 악성 파일 진단 방법을 설명하기 위한 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 본 발명의 실시예에 따른 악성 파일 진단 장치의 블록 구성도이다.
이에 나타낸 바와 같이 악성 파일 진단 장치(100)는 파일 정보 추출부(110), 파일 정보 저장부(120), 악성 진단부(130), 진단 정보 저장부(140), 처리부(150) 등을 포함한다.
도 1에서는 진단 정보 저장부(140)가 악성 파일 진단 장치(100)에 포함되는 것으로 나타내었지만, 진단 정보 저장부(140)는 악성 파일 진단 장치(100)에 포함되지 않은 형태로 별도 운용되어 악성 진단부(130)와는 네트워크를 통해 연결될 수도 있다. 이러한 진단 정보 저장부(140)에는 악성 여부의 진단을 위한 기준 진단 정보가 데이터베이스화되어 진단 정보 데이터베이스로 저장된다.
파일 정보 추출부(110)는 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출한다.
이러한 파일 정보 추출부(110)는 예컨대, 애플리케이션 실행 파일의 신규 설치 이벤트 또는 기 설치된 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출할 수 있다. 다른 예로서, 파일 정보 추출부(110)는 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 데이터베이스에 파일 특성 정보가 저장되어 있지 않은 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출할 수 있다. 또는, 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 데이터베이스에 파일 특성 정보가 저장된 후에 변경되어진 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출할 수 있다.
파일 정보 저장부(120)에는 추출된 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스가 저장된다.
악성 진단부(130)는 진단 정보 저장부(140) 내의 진단 정보 데이터베이스의 기준 진단 정보와 파일 정보 저장부(120) 내의 파일 정보 데이터베이스의 파일 특성 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단한다.
처리부(150)는 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 애플리케이션 실행 파일에 대한 악성 파일로의 분류 여부를 결정하여 처리한다.
도 2는 안드로이드 플랫폼에서 구동되는 애플리케이션의 설치 및 동작을 위한 실행 파일인 안드로이드 패키지(APK) 파일의 일 예를 보인 트리 구조도이다.
도 2에 나타낸 바와 같이 안드로이드 패키지 파일은 루트(root)에 복수의 폴더 및 파일을 포함하고 있으며, 이 중에서 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30) 및 resources.arsc 파일(40)은 필수 구성 요소이다. 이러한 필수 구성 요소는 어느 하나라도 없으면 애플리케이션이 정상적으로 설치되거나 실행되지 않는다. META-INF 폴더(20)는 그 하위에 RSA 파일(21), SF 파일(22) 및 MANIFEST.MF 파일(23)을 필수적으로 포함한다. 도면부호 50은 스트링(string) 정보가 포함된 string.xml 파일이다.
이러한 안드로이드 패키지 파일을 포함하는 안드로이드 플랫폼에서 본 발명의 실시예에 따른 악성 파일 검사 장치(도 1의 도면부호 100)를 구성하는 파일 정보 추출부(도 1의 도면부호 110)는 애플리케이션 실행 파일의 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30), resources.arsc 파일(40) 또는 string.xml 파일(50) 중에서 적어도 하나 이상으로부터 파일 특성 정보를 추출할 수 있다.
도 3은 본 발명의 실시예에 따른 악성 파일 진단 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 실시예에 따른 악성 파일 진단 방법은, 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일의 신규 설치 이벤트 또는 기 설치된 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하는 단계(S201 내지 S207)와, 추출된 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스를 획득하는 단계(S209)와, 악성 여부의 진단을 위한 기준 진단 정보가 데이터베이스화되어 저장된 진단 정보 데이터베이스로부터 읽어 들인 기준 진단 정보와 파일 정보 데이터베이스의 파일 특정 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 단계(S211 및 S213)와, 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 애플리케이션 실행 파일을 악성 파일로 분류 처리하는 단계(S215)를 포함한다.
도 4는 본 발명의 다른 실시예에 따른 악성 파일 진단 방법을 설명하기 위한 흐름도이다.
이에 나타낸 바와 같이 다른 실시예에 따른 악성 파일 진단 방법은, 모바일 운영체제 환경에서 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 데이터베이스에 파일 특성 정보가 저장되어 있지 않은 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하거나 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 데이터베이스에 파일 특성 정보가 저장된 후에 변경되어진 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하는 단계(S301 내지 S309)와, 추출된 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스를 획득하는 단계(S311)와, 악성 여부의 진단을 위한 기준 진단 정보가 데이터베이스화되어 저장된 진단 정보 데이터베이스로부터 읽어 들인 기준 진단 정보와 파일 정보 데이터베이스의 파일 특정 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 단계(S313 및 S315)와, 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 애플리케이션 실행 파일을 악성 파일로 분류 처리하는 단계(S317)를 포함한다.
이하, 도 1 내지 도 4를 참조하여 본 발명의 실시예에 따른 악성 파일 진단 장치에 의한 악성 파일 진단 방법을 실시예별로 좀 더 자세히 살펴보기로 한다. 먼저, 도 1 내지 도 3을 참조하여 제 1 실시예에 대해 살펴보고, 도 1과 도 2 및 도 4를 참조하여 제 2 실시예에 대해 살펴보기로 한다.
<제 1 실시예>
먼저, 진단 대상 애플리케이션 실행 파일에 대한 악성 파일 진단을 수행하기 앞서 악성 여부의 진단을 위한 진단 정보 데이터베이스를 구축하여야 한다. 이를 위해, 악성으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 악성 여부의 진단을 위한 진단 시그니처를 포함하는 기준 진단 정보를 미리 추출 및 확보하거나, 정상으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 악성 여부의 진단을 위한 진단 시그니처를 포함하는 기준 진단 정보를 미리 추출 및 확보한다. 그리고, 기준 진단 정보를 데이터베이스화하여 진단 정보 데이터베이스를 구축하고, 구축한 진단 정보 데이터베이스를 진단 정보 저장부(140)에 저장한다.
여기서, 모바일 운영체제 환경의 애플리케이션 실행 파일이 안드로이드 패키지 파일일 때에 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30), resources.arsc 파일(40) 또는 string.xml 파일(50) 중에서 적어도 하나 이상으로부터 파일 특성 정보를 추출하여 기준 진단 정보로 이용할 수 있다. 예컨대, 파일 특성 정보는 안드로이드 패키지 파일의 디렉토리 구조 정보, META-INF 폴더(20) 내의 인증서 정보, 각 파일의 해시 정보, resources.arsc 파일(40)의 내부 정보, classes.dex 파일(30)의 클래스 및 인터페이스 정보, AndroidManifest.xml 파일(10)의 문자열 정보, string.xml 파일(50)의 문자열 정보 중에서 하나를 나타내는 해시값 또는 둘 이상을 조합해 생성한 해시값을 진단 시그니처로 이용할 수 있다.
이처럼 진단 정보 데이터베이스가 구축된 환경에서 악성 파일 진단 장치(100)가 파일 진단 모드에 진입하면 파일 정보 추출부(110)는 모바일 운영체제 환경에서 애플리케이션 실행 파일의 신규 설치 이벤트 또는 기 설치된 애플리케이션 실행 파일의 변경 이벤트가 발생하는지를 감시한다. 예컨대, 안드로이드 운영체제에서는 애플리케이션 매니저를 대상으로 하여 파일 신규 설치 또는 파일 변경 등과 같은 파일 이벤트가 발생하는지를 감시할 수 있다(S201 및 S203). 예컨대, 파일 신규 설치 또는 파일 변경은 브로드케스트 인텐트(Broadcast intent)를 이용하여 확인할 수 있다. 신규의 경우에는 ACTION_PACKAGE_ADDED, ACTION_PACKGE_INSTALL 등을 통해 확인할 수 있다. 변경의 경우에는 ACTION_PACKAGE_CHANGED, ACTION_PACKAGE_DATA_CLEARED, ACTION_PACKAGE_REMOVED, ACTION_PACKAGE_REPLACED, ACTION_PACKAGE_RESTARTED 등을 통해 확인할 수 있다.
그리고, 파일 정보 추출부(110)는 파일 이벤트를 발생시킨 진단 대상 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출할 수 있다(S205 및 S207).
이처럼 파일 정보 추출부(110)가 추출하는 파일 특성 정보는 앞서 설명한 진단 정보 데이터베이스를 구축할 때와 마찬가지로 모바일 운영체제 환경의 애플리케이션 실행 파일이 안드로이드 패키지 파일이라면 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30), resources.arsc 파일(40) 또는 string.xml 파일(50) 중에서 적어도 하나 이상으로부터 파일 특성 정보를 추출할 수 있다. 예컨대, 파일 특성 정보는 안드로이드 패키지 파일의 디렉토리 구조 정보, META-INF 폴더(20) 내의 인증서 정보, 각 파일의 해시 정보, resources.arsc 파일(40)의 내부 정보, classes.dex 파일(30)의 클래스 및 인터페이스 정보, AndroidManifest.xml 파일(10)의 문자열 정보, string.xml 파일(50)의 문자열 정보 중에서 하나를 나타내는 해시값 또는 둘 이상을 조합해 생성한 해시값을 파일 특성 정보로 이용할 수 있다.
그러면, 파일 정보 저장부(120)는 파일 정보 추출부(110)에 의해 추출된 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 저장한다(S209).
다음으로, 악성 진단부(130)는 진단 정보 저장부(140) 내의 진단 정보 데이터베이스의 기준 진단 정보와 파일 정보 저장부(120) 내의 파일 정보 데이터베이스의 파일 특성 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단한다. 예컨대, 진단 정보 저장부(140)의 진단 정보 데이터베이스가 악성으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 기준 진단 정보를 확보한 경우라면 기준 진단 정보와 파일 특성 정보가 동일할 경우에 진단 대상 애플리케이션 실행 파일을 악성으로 판단하지만 기준 진단 정보와 파일 특성 정보가 동일하지 않으면 진단 대상 애플리케이션 실행 파일을 정상으로 판단한다. 또는 진단 정보 저장부(140)의 진단 정보 데이터베이스가 정상으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 기준 진단 정보를 확보한 경우라면 기준 진단 정보와 파일 특성 정보가 동일할 경우에 진단 대상 애플리케이션 실행 파일을 정상으로 판단하지만 기준 진단 정보와 파일 특성 정보가 동일하지 않으면 진단 대상 애플리케이션 실행 파일을 악성으로 판단한다(S211 및 S213).
그러면, 처리부(150)는 악성 진단부(130)에 의한 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 악성으로 판단된 진단 대상 애플리케이션 실행 파일을 악성 파일로 분류 처리한다. 예컨대, 진단 대상 애플리케이션 실행 파일이 악성 파일로 판단되었음을 나타내는 경보음향 또는 경보화면을 제공하거나 악성 파일로 판단된 진단 대상 애플리케이션을 삭제 처리할 수도 있다(S215).
한편, 악성 진단부(130)는 파일 정보 저장부(120)에 저장된 파일 정보 데이터베이스에 업데이트가 발생하거나 진단 정보 저장부(140)에 저장된 진단 정보 데이터베이스에 업데이트가 발생할 경우에 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단할 수 있다.
여기서, 파일 정보 저장부(120)에 저장된 파일 정보 데이터베이스에 업데이트가 발생한 경우에 악성 진단부(130)는 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 진단 정보 저장부(140)의 진단 정보 데이터베이스와 비교하여 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
아울러, 진단 정보 저장부(140)에 저장된 진단 정보 데이터베이스에 업데이트가 발생한 경우에 악성 진단부(130)는 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 파일 정보 저장부(120)의 파일 정보 데이터베이스와 비교하여 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
<제 2 실시예>
먼저, 진단 대상 애플리케이션 실행 파일에 대한 악성 파일 진단을 수행하기 앞서 악성 여부의 진단을 위한 진단 정보 데이터베이스를 구축하여야 한다. 이를 위해, 악성으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 악성 여부의 진단을 위한 진단 시그니처를 포함하는 기준 진단 정보를 미리 추출 및 확보하거나, 정상으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 악성 여부의 진단을 위한 진단 시그니처를 포함하는 기준 진단 정보를 미리 추출 및 확보한다. 그리고, 기준 진단 정보를 데이터베이스화하여 진단 정보 데이터베이스를 구축하고, 구축한 진단 정보 데이터베이스를 진단 정보 저장부(140)에 저장한다.
여기서, 모바일 운영체제 환경의 애플리케이션 실행 파일이 안드로이드 패키지 파일일 때에 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30), resources.arsc 파일(40) 또는 string.xml 파일(50) 중에서 적어도 하나 이상으로부터 파일 특성 정보를 추출하여 기준 진단 정보로 이용할 수 있다. 예컨대, 파일 특성 정보는 안드로이드 패키지 파일의 디렉토리 구조 정보, META-INF 폴더(20) 내의 인증서 정보, 각 파일의 해시 정보, resources.arsc 파일(40)의 내부 정보, classes.dex 파일(30)의 클래스 및 인터페이스 정보, AndroidManifest.xml 파일(10)의 문자열 정보, string.xml 파일(50)의 문자열 정보 중에서 하나를 나타내는 해시값 또는 둘 이상을 조합해 생성한 해시값을 진단 시그니처로 이용할 수 있다.
이처럼 진단 정보 데이터베이스가 구축된 환경에서 악성 파일 진단 장치(100)가 파일 진단 모드에 진입하면 파일 정보 추출부(110)는 복수의 애플리케이션 실행 파일을 포함하는 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 저장부(120) 내의 파일 정보 데이터베이스에 파일 특성 정보가 저장되어 있지 않은 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출한다. 또, 파일 목록에 포함된 애플리케이션 실행 파일 중에서 파일 정보 저장부(120) 내의 파일 정보 데이터베이스에 파일 특성 정보가 저장된 후에 변경되어진 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출한다(S301 내지 S309).
이처럼 파일 정보 추출부(110)가 추출하는 파일 특성 정보는 앞서 설명한 진단 정보 데이터베이스를 구축할 때와 마찬가지로 모바일 운영체제 환경의 애플리케이션 실행 파일이 안드로이드 패키지 파일이라면 META-INF 폴더(20)와 AndroidManifest.xml 파일(10), classes.dex 파일(30), resources.arsc 파일(40) 또는 string.xml 파일(50) 중에서 적어도 하나 이상으로부터 파일 특성 정보를 추출할 수 있다. 예컨대, 파일 특성 정보는 안드로이드 패키지 파일의 디렉토리 구조 정보, META-INF 폴더(20) 내의 인증서 정보, 각 파일의 해시 정보, resources.arsc 파일(40)의 내부 정보, classes.dex 파일(30)의 클래스 및 인터페이스 정보, AndroidManifest.xml 파일(10)의 문자열 정보, string.xml 파일(50)의 문자열 정보 중에서 하나를 나타내는 해시값 또는 둘 이상을 조합해 생성한 해시값을 파일 특성 정보로 이용할 수 있다.
그러면, 파일 정보 저장부(120)는 파일 정보 추출부(110)에 의해 추출된 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 저장한다(S311).
다음으로, 악성 진단부(130)는 진단 정보 저장부(140) 내의 진단 정보 데이터베이스의 기준 진단 정보와 파일 정보 저장부(120) 내의 파일 정보 데이터베이스의 파일 특성 정보를 비교하여 애플리케이션 실행 파일에 대해 악성 여부를 판단한다. 예컨대, 진단 정보 저장부(140)의 진단 정보 데이터베이스가 악성으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 기준 진단 정보를 확보한 경우라면 기준 진단 정보와 파일 특성 정보가 동일할 경우에 진단 대상 애플리케이션 실행 파일을 악성으로 판단하지만 기준 진단 정보와 파일 특성 정보가 동일하지 않으면 진단 대상 애플리케이션 실행 파일을 정상으로 판단한다. 또는 진단 정보 저장부(140)의 진단 정보 데이터베이스가 정상으로 판단되어진 애플리케이션 실행 파일을 대상으로 하여 기준 진단 정보를 확보한 경우라면 기준 진단 정보와 파일 특성 정보가 동일할 경우에 진단 대상 애플리케이션 실행 파일을 정상으로 판단하지만 기준 진단 정보와 파일 특성 정보가 동일하지 않으면 진단 대상 애플리케이션 실행 파일을 악성으로 판단한다(S313 및 S315).
그러면, 처리부(150)는 악성 진단부(130)에 의한 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 악성으로 판단된 진단 대상 애플리케이션 실행 파일을 악성 파일로 분류 처리한다. 예컨대, 진단 대상 애플리케이션 실행 파일이 악성 파일로 판단되었음을 나타내는 경보음향 또는 경보화면을 제공하거나 악성 파일로 판단된 진단 대상 애플리케이션을 삭제 처리할 수도 있다(S317).
한편, 악성 진단부(130)는 전술한 제 1 실시예와 마찬가지로 파일 정보 저장부(120)에 저장된 파일 정보 데이터베이스에 업데이트가 발생하거나 진단 정보 저장부(140)에 저장된 진단 정보 데이터베이스에 업데이트가 발생할 경우에 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단할 수 있다.
여기서, 파일 정보 저장부(120)에 저장된 파일 정보 데이터베이스에 업데이트가 발생한 경우에 악성 진단부(130)는 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 진단 정보 저장부(140)의 진단 정보 데이터베이스와 비교하여 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
아울러, 진단 정보 저장부(140)에 저장된 진단 정보 데이터베이스에 업데이트가 발생한 경우에 악성 진단부(130)는 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 파일 정보 저장부(120)의 파일 정보 데이터베이스와 비교하여 애플리케이션 실행 파일에 대한 악성 여부를 판단할 수 있다.
본 발명에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100 : 악성 파일 진단 장치 110 : 파일 정보 추출부
120 : 파일 정보 저장부 130 : 악성 진단부
140 : 진단 정보 저장부 150 : 처리부

Claims (17)

  1. 삭제
  2. 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일의 신규 설치 이벤트 및 기 설치된 상기 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출하는 파일 정보 추출부와,
    상기 파일 특성 정보를 데이터베이스화하여 생성된 파일 정보 데이터베이스가 저장되는 파일 정보 저장부와,
    상기 애플리케이션 실행 파일의 악성 여부를 진단하기 위해 진단 정보 데이터베이스에 기 저장된 기준 진단 정보와 상기 파일 정보 데이터베이스의 상기 파일 특성 정보를 비교하여 상기 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 악성 진단부와,
    상기 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 상기 애플리케이션 실행 파일에 대한 악성 파일로의 분류 여부를 결정하는 처리부
    를 포함하는 악성 파일 진단 장치.
  3. 제 2 항에 있어서,
    상기 파일 정보 추출부는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장되어 있지 않은 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출하는
    악성 파일 진단 장치.
  4. 제 2 항에 있어서,
    상기 파일 정보 추출부는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장된 후에 변경된 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출하는
    악성 파일 진단 장치.
  5. 제 2 항에 있어서,
    상기 파일 정보 추출부는, 상기 애플리케이션 실행 파일의 META-INF 폴더와 AndroidManifest.xml 파일, classes.dex 파일, resources.arsc 파일 또는 string.xml 파일 중에서 적어도 하나 이상으로부터 상기 파일 특성 정보를 추출하는
    악성 파일 진단 장치.
  6. 제 2 항에 있어서,
    상기 악성 진단부는, 상기 파일 정보 데이터베이스 또는 상기 진단 정보 데이터베이스에 업데이트가 발생할 경우에 상기 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단하는
    악성 파일 진단 장치.
  7. 제 6 항에 있어서,
    상기 악성 진단부는, 상기 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 상기 진단 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단하는
    악성 파일 진단 장치.
  8. 제 6 항에 있어서,
    상기 악성 진단부는, 상기 진단 정보 데이터베이스에 업데이트가 발생한 경우에 상기 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 상기 파일 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단하는
    악성 파일 진단 장치.
  9. 삭제
  10. 모바일 운영체제 환경에서 실행될 수 있는 애플리케이션 실행 파일의 신규 설치 이벤트 및 기 설치된 상기 애플리케이션 실행 파일의 변경 이벤트를 발생시킨 상기 애플리케이션 실행 파일을 대상으로 하여 파일 특성 정보를 추출하는 단계와,
    상기 파일 특성 정보를 데이터베이스화하여 파일 정보 데이터베이스를 생성하여 저장하는 단계와,
    상기 애플리케이션 실행 파일의 악성 여부를 진단하기 위해 진단 정보 데이터베이스에 기 저장된 기준 진단 정보와 상기 파일 정보 데이터베이스의 상기 파일 특성 정보를 비교하여 상기 애플리케이션 실행 파일에 대해 악성 여부를 판단하는 단계와,
    상기 애플리케이션 실행 파일에 대한 악성 여부의 판단 결과에 따라 상기 애플리케이션 실행 파일에 대한 악성 파일로의 분류 여부를 결정하는 단계
    를 포함하는 악성 파일 진단 방법.
  11. 제 10 항에 있어서,
    상기 파일 특성 정보를 추출하는 단계는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장되어 있지 않은 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출하는
    악성 파일 진단 방법.
  12. 제 10 항에 있어서,
    상기 파일 특성 정보를 추출하는 단계는, 파일 목록에 포함된 상기 애플리케이션 실행 파일 중에서 상기 파일 정보 데이터베이스에 상기 파일 특성 정보가 저장된 후에 변경된 상기 애플리케이션 실행 파일을 대상으로 하여 상기 파일 특성 정보를 추출하는
    악성 파일 진단 방법.
  13. 제 10 항에 있어서,
    상기 파일 특성 정보를 추출하는 단계는, 상기 애플리케이션 실행 파일의 META-INF 폴더와 AndroidManifest.xml 파일, classes.dex 파일, resources.arsc 파일 또는 string.xml 파일 중에서 적어도 하나 이상으로부터 상기 파일 특성 정보를 추출하는
    악성 파일 진단 방법.
  14. 제 10 항에 있어서,
    상기 악성 여부를 판단하는 단계는, 상기 파일 정보 데이터베이스 또는 상기 진단 정보 데이터베이스에 업데이트가 발생할 경우에 상기 애플리케이션 실행 파일에 대한 실시간 감시를 수행하여 악성 여부를 판단하는
    악성 파일 진단 방법.
  15. 제 14 항에 있어서,
    상기 악성 여부를 판단하는 단계는, 상기 파일 정보 데이터베이스의 업데이트된 필드만을 대상으로 하여 상기 진단 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단하는
    악성 파일 진단 방법.
  16. 제 14 항에 있어서,
    상기 악성 여부를 판단하는 단계는, 상기 진단 정보 데이터베이스에 업데이트가 발생한 경우에 상기 진단 정보 데이터베이스의 업데이트된 진단 시그니처만을 상기 파일 정보 데이터베이스와 비교하여 상기 애플리케이션 실행 파일에 대한 악성 여부를 판단하는
    악성 파일 진단 방법.
  17. 제 10 항 내지 제 16 항 중 어느 한 항의 상기 악성 파일 진단 방법에 따른 각각의 단계를 수행하는 명령어를 포함하는 프로그램이 기록된 컴퓨터 판독가능 기록매체.
KR1020120100526A 2012-09-11 2012-09-11 악성 파일 진단 장치 및 방법 KR101256468B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120100526A KR101256468B1 (ko) 2012-09-11 2012-09-11 악성 파일 진단 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120100526A KR101256468B1 (ko) 2012-09-11 2012-09-11 악성 파일 진단 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101256468B1 true KR101256468B1 (ko) 2013-04-19

Family

ID=48443493

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120100526A KR101256468B1 (ko) 2012-09-11 2012-09-11 악성 파일 진단 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101256468B1 (ko)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101480244B1 (ko) * 2013-08-23 2015-01-12 한양대학교 산학협력단 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법 및 장치
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR101624264B1 (ko) 2014-11-17 2016-05-25 주식회사 안랩 공유 라이브러리 파일의 악성 진단 장치 및 방법
KR101752251B1 (ko) 2015-06-15 2017-06-29 이윤티안 시오., 엘티디. 파일 식별 방법 및 장치
WO2019160195A1 (ko) * 2018-02-13 2019-08-22 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR102046748B1 (ko) * 2019-04-25 2019-11-19 숭실대학교산학협력단 트리 부스팅 기반 애플리케이션의 위험도 평가 방법, 이를 수행하기 위한 기록 매체 및 장치

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161493B1 (ko) * 2010-01-18 2012-06-29 (주)쉬프트웍스 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101161493B1 (ko) * 2010-01-18 2012-06-29 (주)쉬프트웍스 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101480244B1 (ko) * 2013-08-23 2015-01-12 한양대학교 산학협력단 클래스 단위의 시그니처를 이용한 악성 어플리케이션 탐지 방법 및 장치
WO2015056885A1 (ko) * 2013-10-16 2015-04-23 (주)이스트소프트 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR101624264B1 (ko) 2014-11-17 2016-05-25 주식회사 안랩 공유 라이브러리 파일의 악성 진단 장치 및 방법
KR101752251B1 (ko) 2015-06-15 2017-06-29 이윤티안 시오., 엘티디. 파일 식별 방법 및 장치
WO2019160195A1 (ko) * 2018-02-13 2019-08-22 (주)지란지교시큐리티 파일 내 포함된 악성 위협 탐지 장치 및 방법, 그 기록매체
KR102046748B1 (ko) * 2019-04-25 2019-11-19 숭실대학교산학협력단 트리 부스팅 기반 애플리케이션의 위험도 평가 방법, 이를 수행하기 위한 기록 매체 및 장치
US10796005B1 (en) 2019-04-25 2020-10-06 Foundation Of Soongsil University-Industry Cooperation Method of application security vulnerability evaluation based on tree boosting, and readable medium and apparatus for performing the method

Similar Documents

Publication Publication Date Title
KR101246623B1 (ko) 악성 애플리케이션 진단 장치 및 방법
CN108133139B (zh) 一种基于多运行环境行为比对的安卓恶意应用检测***
US10581879B1 (en) Enhanced malware detection for generated objects
KR101256468B1 (ko) 악성 파일 진단 장치 및 방법
US10614243B2 (en) Privacy detection of a mobile application program
Sun et al. Detecting code reuse in android applications using component-based control flow graph
US10481964B2 (en) Monitoring activity of software development kits using stack trace analysis
EP2807598B1 (en) Identifying trojanized applications for mobile environments
KR20150044490A (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR101043299B1 (ko) 악성 코드 탐지 방법, 시스템 및 컴퓨터 판독 가능한 저장매체
KR20170068814A (ko) 악성 모바일 앱 감지 장치 및 방법
CN106897607B (zh) 一种应用程序监控方法及装置
US10984110B2 (en) Evaluation of security of firmware
KR101816751B1 (ko) 하이퍼바이저 기반의 가상머신 모니터링 장치 및 방법
US20130111018A1 (en) Passive monitoring of virtual systems using agent-less, offline indexing
KR20200039912A (ko) Ai 기반 안드로이드 악성코드 자동화 분석 시스템 및 방법
Nguyen et al. Detecting repackaged android applications using perceptual hashing
CN110826058A (zh) 基于用户交互的恶意软件检测
Namrud et al. AndroVul: A repository for Android security vulnerabilities
CN109711149B (zh) 动态更新机制判定方法及应用全生命周期行为监控方法
CN108090352B (zh) 检测***及检测方法
CN109818972B (zh) 一种工业控制***信息安全管理方法、装置及电子设备
CN106302531B (zh) 安全防护方法、装置及终端设备
KR101324691B1 (ko) 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법
EP4276665A1 (en) Analyzing scripts to create and enforce security policies in dynamic development pipelines

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170417

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180416

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190415

Year of fee payment: 7