KR101472321B1 - 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템 - Google Patents

이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템 Download PDF

Info

Publication number
KR101472321B1
KR101472321B1 KR1020130066614A KR20130066614A KR101472321B1 KR 101472321 B1 KR101472321 B1 KR 101472321B1 KR 1020130066614 A KR1020130066614 A KR 1020130066614A KR 20130066614 A KR20130066614 A KR 20130066614A KR 101472321 B1 KR101472321 B1 KR 101472321B1
Authority
KR
South Korea
Prior art keywords
application
function
malicious code
new application
extracted
Prior art date
Application number
KR1020130066614A
Other languages
English (en)
Inventor
김휘강
금영준
김지홍
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020130066614A priority Critical patent/KR101472321B1/ko
Application granted granted Critical
Publication of KR101472321B1 publication Critical patent/KR101472321B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Telephone Function (AREA)

Abstract

본 발명은 이동단말의 어플리케이션 내 악성코드 탐지 시스템 및 방법에 관한 것으로, 보다 구체적으로는 어플리케이션 설치확인부가 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 단계; 콜 시퀀스 추출부가 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 단계; 및 변종코드 확인부가 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 단계;를 포함한다.
이러한 구성에 의해, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 이동단말에 신규 어플리케이션의 설치가 시도되는 경우, 그 설치 전에 상기 신규 어플리케이션 내 악성코드가 존재하는지 여부를 미리 확인함으로써, 악성코드가 포함된 어플리케이션이 이동단말에 설치되는 것을 미연에 방지할 수 있는 효과가 있다.

Description

이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템{Malignant code detect method and system for application in the mobile}
본 발명은 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템에 관한 것으로, 특히 이동단말에 설치되는 각종 어플리케이션 중 악성코드가 포함된 어플리케이션이 이동단말에 설치되는 것을 방지할 수 있는 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템에 관한 것이다.
IT 기술이 발전함에 따라 남녀노소를 불문하고, 다양한 계층의 사용자가 스마트폰과 같은 이동단말을 사용하고 있다.
이처럼 이동단말이 다양한 계층의 사용자에게 널리 사용될수록, 상기 이동단말은 각종 악성코드에 쉽게 노출되고 있는 것이 현실이다. 이러한 악성코드는 이동단말 내 설치되어, 상기 이동단말의 사용자에 대한 개인정보를 불법적으로 탈취하고, 사용자가 원하지 않는 과금을 부과하며, 상기 이동단말이 다른 이동단말을 공격하는 문제점을 야기한다.
특히, 최근에는 일반코드 중 일부가 악성코드와 유사하게 변종되어, 다른 이동단말로 배포됨으로써, 악성코드의 출현이 급격히 증가하는 문제점이 발생하였다.
상술한 바와 같이, 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템을 살펴보면 다음과 같다.
선행기술 1은 한국공개특허 제2008-0074271호(2008.08.13)로서, 휴대단말 악성코드 처리장치 및 그 처리 방법에 관한 것이다. 이러한 선행기술 1은 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 상기 휴대단말과 유무선망으로 연결된 중앙처리센터로부터 악성코드 검증에 필요한 정보를 수신하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함함으로써, 악성코드 검출 성능을 저하시키지 않으면서 CPU, 메모리 및 통신 오버헤드를 최소화하여 배터리 소모를 대폭 절감할 수 있다.
또한, 선행기술 2는 한국공개특허 제2012-0069173호(2012.06.28)로서, 악성코드 자동 분석 시스템 및 그 방법에 관한 것이다. 이러한 선행기술 2는 분석해야할 악성 의심파일들을 FTP(File Transfer Protocol)를 통해 악성코드 분석서버로 업로드(Upload)하는 의심파일 수집서버; 상기 악성코드 분석서버로 특정 파일에 대한 해쉬섬(Hashsum)을 포함하는 악성여부 판단요청정보를 전송하여 악성여부에 대한 판단을 요청하되, 특정 파일 해쉬섬은 XML포맷의 데이터로 HTTP를 이용하여 전송하며, 상기 악성코드 분석서버로부터 특정 파일 해쉬섬에 대응하는 XML포맷 형태의 해쉬섬 악성여부 분석정보를 수신하는 악성코드 탐지서버; 및 사용자로부터 수신한 악성 의심파일 및 사용자 입력정보를 분석하여 악성코드 분석결과정보를 생성하고, 상기 악성 의심파일 수집서버로부터 업로드된 악성 의심파일을 분석하여 악성코드 분석결과정보를 생성하며, 상기 악성코드 탐지서버로부터 수신한 악성여부 판단요청정보에 포함된 특정 파일 해쉬섬의 악성여부를 분석하여 해쉬섬 악성여부 분석정보를 생성하는 악성코드 분석서버;를 포함함으로써, 악성코드 분석서버가 XML포맷 형태의 악성 의심파일을 FTP를 통해 업로드받아 분석하고, 특정 파일에 대한 해쉬섬을 포함하는 악성여부 판단요청정보를 XML포맷 형태로 수신하여 해당 파일에 대한 악성여부를 분석하여 해쉬섬 악성여부 분석정보를 생성함으로써, 복수개의 악성 의심파일들에 대한 악성코드 여부의 분석 시간을 현저히 저감시키는 효과가 있다.
상기와 같은 종래 기술의 문제점을 해결하기 위해, 본 발명은 이동단말 내 설치하고자 하는 신규 어플리케이션의 코드로부터 콜 시퀀스를 추출하고, 추출한 콜 시퀀스를 기준 콜 시퀀스와 비교하여 유사도를 판단함으로써, 신규 어플리케이션 내 악성코드의 존재여부를 용이하게 파악하는 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템을 제공하고자 한다.
위와 같은 과제를 해결하기 위한 본 발명의 한 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 방법은 어플리케이션 설치확인부가 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 단계; 콜 시퀀스 추출부가 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 단계; 및 변종코드 확인부가 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 단계; 를 포함한다.
보다 바람직하게는 상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 단계; 를 더 포함한다.
특히, 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 상기 악성코드의 존재유무를 확인하는 단계를 포함할 수 있다.
특히, 문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 상기 악성코드의 존재유무를 확인하는 단계를 포함할 수 있다.
보다 바람직하게는 상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 과정; 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 상기 데이터베이스로부터 검색하는 과정; 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 과정; 함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 과정; 및 상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 과정; 을 포함하는 상기 악성코드의 존재유무를 확인하는 단계를 포함할 수 있다.
보다 바람직하게는 상기 함수 호출 그래프를 비교하는 과정을 수행하기 전, 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 과정; 및 함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 과정;을 포함할 수 있다.
위와 같은 과제를 해결하기 위한 본 발명의 다른 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 시스템은 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 어플리케이션 설치확인부; 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 콜 시퀀스 추출부; 및 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 변종코드 확인부;를 포함할 수 있다.
보다 바람직하게는 상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 갱신부;를 더 포함할 수 있다.
특히, 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 변종코드확인부를 포함할 수 있다.
특히, 문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 변종코드확인부를 포함할 수 있다.
보다 바람직하게는 상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 신규FCG추출모듈; 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값을 상기 데이터베이스로부터 검색하는 DB검색모듈; 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 제1 비교모듈; 함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 유사도연산모듈; 및 상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 변종코드판단모듈;을 포함하는 변종코드확인부를 포함할 수 있다.
보다 바람직하게는 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 제2 비교모듈; 을 포함하고, 상기 변종코드판단모듈이 함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 것을 더 포함하는 변종코드확인부를 포함할 수 있다.
본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 이동단말에 신규 어플리케이션의 설치가 시도되는 경우, 그 설치 전에 상기 신규 어플리케이션 내 악성코드가 존재하는지 여부를 미리 확인함으로써, 악성코드가 포함된 어플리케이션이 이동단말에 설치되는 것을 미연에 방지할 수 있는 효과가 있다.
또한 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 신규 어플리케이션의 실행파일 중 코드의 함수로부터 콜 시퀀스를 추출하고, 상기 신규 어플리케이션과 동일한 어플리케이션에 대해 기저장된 콜 시퀀스를 검색하여 상호 비교한 후 동일여부를 판단함으로써, 상기 신규 어플리케이션이 악성코드가 포함된 어플리케이션인지 여부를 미리 확인할 수 있는 효과가 있다.
더불어, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 어플리케이션의 모든 변종에 대하여 시그니처를 작성하지는 않으므로, 이전에 발견되지 않은 악성코드를 용이하게 탐지할 수 있는 효과가 있다.
이와 더불어, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 이동단말의 플랫폼 형태로서 전세계적으로 널리 사용되고 있는 안드로이드에서 용이하게 구현되므로, 사용자 편의성을 증대시킬 수 있는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 시스템의 블록도이다.
도 2는 악성코드확인부의 세부구성을 나타낸 블록도이다.
도 3은 본 발명의 다른 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 방법의 순서도이다.
도 4는 신규 어플리케이션의 실행 파일 내 클래스를 추출하는 과정을 나타낸 도면이다.
도 5는 각 클래스의 메소드로부터 함수 호출 그래프를 추출하는 과정을 나타낸 도면이다.
도 6은 추출한 함수 호출 그래프를 추상화하는 과정을 나타낸 도면이다.
도 7은 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 세부 과정을 나타낸 순서도이다.
도 8은 기저장된 실행파일의 메소드로부터 추출된 FCG를 비교하는 과정을 나타낸 도면이다.
이하, 본 발명을 바람직한 실시 예와 첨부한 도면을 참고로 하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며, 여기에서 설명하는 실시 예에 한정되는 것은 아니다.
이하, 도 1을 참조하여, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 시스템에 대하여 자세히 살펴보도록 한다.
도 1은 본 발명의 일 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 시스템의 블록도이다.
도 1에 도시된 바와 같이, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 시스템(100)은 어플리케이션 설치확인부(120), 콜 시퀀스 추출부(140), 악성코드확인부(160) 및 갱신부(180)를 포함한다.
어플리케이션 설치확인부(120)는 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인한다.
콜 시퀀스 추출부(140)는 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우에, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출한다. 이때, 추출되는 함수의 콜 시퀀스란, 프로그램의 실행순서를 추상적으로 변경하는 방법으로서, 일부의 변화를 용이하게 탐지할 수 있다.
악성코드확인부(160)는 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여 차이여부에 따라, 상기 신규 어플리케이션 내 악성코드가 존재하는지를 판단한다. 즉, 이러한 악성코드확인부(160)는 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단한다. 이때, 사용되는 유사도 연산과정은 문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 연산될 수 있는데, 이러한 문자열간의 거리 계산 알고리즘 중 하나인 레빈쉬타인 거리 알고리즘은 두 개의 문자열을 상호 비교하여 서로 동일하게 되기까지 몇 개의 글자를 변경해야 하는지를 기준으로 하여 상기 두 개의 문자열 간에 유사도를 연산하는 알고리즘을 나타낸다.
도 2는 악성코드확인부의 세부구성을 나타낸 블록도이다.
도 2에 도시된 바와 같이, 상기 악성코드확인부(160)는 신규FCG추출모듈(161), DB검색모듈(162), 제1 비교모듈(163), 유사도연산모듈(164), 악성코드판단모듈(165) 및 제2 비교모듈(166)을 포함한다.
신규FCG추출모듈(161)은 이동단말 내 설치하고자 하는 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출한다.
DB검색모듈(162)은 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 검색한다.
제1 비교모듈(163)은 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 상호 비교한다.
유사도연산모듈(164)은 상기 제1 비교모듈(163)에서 수행한 함수 호출 그래프의 비교 결과에 따라 가장 높은 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단한다.
악성코드판단모듈(165)은 상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하거나, 함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단한다.
제2 비교모듈(166)은 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교한다.
다시 도 1로 돌아가서, 갱신부(180)는 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트한다.
이하, 도 3을 참조하여 본 발명의 다른 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 방법을 살펴보도록 한다.
도 3은 본 발명의 다른 실시 예에 따른 이동단말의 어플리케이션 내 악성코드 탐지 방법의 순서도이다.
도 3에 도시된 바와 같이, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법은 먼저, 어플리케이션 설치확인부가 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인한다(S210).
이에 따라, 콜 시퀀스 추출부가 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출한다(S220). 즉, 상기 콜 시퀀스 추출부가 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출한다.
이하, 도 4를 참조하여 신규 어플리케이션의 실행파일 내 클래스 추출과정에 대하여 자세히 살펴보면 다음과 같다.
도 4는 신규 어플리케이션의 실행 파일 내 클래스를 추출하는 과정을 나타낸 도면이다.
도 4(a)에 도시된 바와 같이, 이동단말 내 설치하고자 하는 신규 어플리케이션의 실행파일인 APK파일을 압축해제하여 classes.dex 를 추출한다.
이후, 도 4(b)에 도시된 바와 같이, 추출한 파일 classes.dex 를 디셈블(disassemble)하여 생성된 다수의 파일 중 kakao$1.smali 파일을 추출하고, 추출된 kakao$1.smali 파일로부터 도 4(c)에 도시된 바와 같이, 추출된 클래스에 속하는 메소드를 추출한다.
도 5는 각 클래스의 메소드로부터 함수 호출 그래프를 호출하는 과정을 나타내는 도면으로서, 도 5에 도시된 바와 같이, send-BB 함수의 함수 호출 그래프를 추출한다.
이후, 도 6에 도시된 바와 같이, 앞서 도 5를 통해 추출한 함수 호출 그래프로부터 함수명을 제거하고, 오프셋을 기준으로하여 함수 호출 그래프를 추상화한다.
이후, 변종코드 확인부가 앞서 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하고, 그 비교결과에 따라 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인한다(S230).
이하, 도 7을 참조하여 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 과정에 대하여 보다 자세히 살펴보도록 한다.
도 7은 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 세부 과정을 나타낸 순서도이다.
도 7에 도시된 바와 같이, 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 단계는 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값을 미리 저장된 데이터베이스로부터 검색한다(S231).
이후, 함수 호출 그래프를 비교하기에 앞서, 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과, 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 먼저 비교한다(S232).
함수 호출 그래프 해시값의 비교결과가 동일한 경우(S233)에는 유사도값이 1이 되어, 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단한다(S234).
또는 함수 호출 그래프 해시값의 비교결과가 동일하지 않는 경우(S233)에는 상기 신규 어플리케이션으로부터 추출된 다수의 함수 호출 그래프(FCG1 ~ FCGn)와, 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교한다(S235). 즉, 도 8은 도시된 바와 같이, 데이터베이스에 기저장된 함수 호출 그래프(a)와 앞서 추출한 함수 호출 그래프(b)를 상호 비교하여 비교결과에 따라 유사도값을 연산한다. 이때, 유사도값을 연산하기 위해, 문자열간의 거리 계산(Distance measure) 알고리즘을 이용할 수 있다.
이어서, 각 함수 호출 그래프별 비교 결과에 따라 가장 높은 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 연산된 평균값을 최종 유사도로 판단한다(S236). 이때, 유사도값은 0 부터 1 사이에서 획득할 수 있으며, 0 에 가까울수록 동일한 어플리케이션으로 판단할 수 있으며, 1 에 가까운 경우에는 서로 다른 어플리케이션으로 판단하며, 이러한 경우에는 이동단말 내 설치하고자 하는 어플리케이션이 악성코드가 포함된 어플리케이션이라고 판단한다.
상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단한다(S237).
이에 따라, 상기 신규 어플리케이션 내 악성코드가 존재하는지 여부를 판단(S240)하여, 신규 어플리케이션 내 악성코드가 존재한다고 판단한 경우에는 데이터베이스에 앞서 추출한 함수의 콜 시퀀스를 저장하여 업데이트한다(S250).
이어서, 상기 신규 어플리케이션 내 악성코드가 포함되어 있음을 이동단말의 사용자에게 전달한다.
하지만 이와 달리, 신규 어플리케이션 내 악성코드가 존재하지 않는다고 판단한 경우에는 이동단말 내 상기 신규 어플리케이션을 설치하도록 한다(S260).
또한, 이러한 이동단말의 어플리케이션 내 악성코드 탐지 시스템 및 방법은 컴퓨터로 실행하기 위한 프로그램이 기록된 컴퓨터 판독가능 기록매체에 저장될 수 있다. 이때, 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, DVD±ROM, DVD-RAM, 자기 테이프, 플로피 디스크, 하드 디스크(hard disk), 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 장치에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.
본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 이동단말에 신규 어플리케이션의 설치가 시도되는 경우, 그 설치 전에 상기 신규 어플리케이션 내 악성코드가 존재하는지 여부를 미리 확인함으로써, 악성코드가 포함된 어플리케이션이 이동단말에 설치되는 것을 미연에 방지할 수 있는 효과가 있다.
또한 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 신규 어플리케이션의 실행파일 중 코드의 함수로부터 콜 시퀀스를 추출하고, 상기 신규 어플리케이션과 동일한 어플리케이션에 대해 기저장된 콜 시퀀스를 검색하여 상호 비교한 후 동일여부를 판단함으로써, 상기 신규 어플리케이션이 악성코드가 포함된 어플리케이션인지 여부를 미리 확인할 수 있는 효과가 있다.
더불어, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 어플리케이션의 모든 변종에 대하여 시그니처를 작성하지는 않으므로, 이전에 발견되지 않은 악성코드를 용이하게 탐지할 수 있는 효과가 있다.
이와 더불어, 본 발명의 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템은 이동단말의 플랫폼 형태로서 전세계적으로 널리 사용되고 있는 안드로이드에서 용이하게 구현되므로, 사용자 편의성을 증대시킬 수 있는 효과가 있다.
상기에서는 본 발명의 바람직한 실시 예에 대하여 설명하였지만, 본 발명은 이에 한정되는 것이 아니고 본 발명의 기술 사상 범위 내에서 여러 가지로 변형하여 실시하는 것이 가능하고 이 또한 첨부된 특허청구범위에 속하는 것은 당연하다.
120: 어플리케이션 설치확인부 140: 콜 시퀀스 추출분
160: 악성코드확인부 180: 갱신부

Claims (13)

  1. 어플리케이션 설치확인부가 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 단계;
    콜 시퀀스 추출부가 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 단계; 및
    악성코드 확인부가 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 단계;
    를 포함하되,
    상기 악성코드의 존재유무를 확인하는 단계는
    상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법.
  2. 제1항에 있어서,
    상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 단계;
    를 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법.
  3. 삭제
  4. 제1항에 있어서,
    상기 악성코드의 존재유무를 확인하는 단계는
    문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법.
  5. 제1항에 있어서,
    상기 악성코드의 존재유무를 확인하는 단계는
    상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 과정;
    상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값을 상기 데이터베이스로부터 검색하는 과정;
    상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 과정;
    함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 과정; 및
    상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 과정;
    을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법.
  6. 제5항에 있어서,
    상기 함수 호출 그래프를 비교하는 과정을 수행하기 전,
    상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 과정; 및
    함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 과정;
    을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법.
  7. 제1항 내지 제2항 및 제4항 내지 제6항 중 어느 한 항에 따른 방법을 컴퓨터로 실행하기 위한 프로그램이 기록된 컴퓨터 판독가능 기록매체.
  8. 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 어플리케이션 설치확인부;
    상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 콜 시퀀스 추출부; 및
    추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 악성코드확인부;
    를 포함하되,
    상기 악성코드확인부는
    상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템.
  9. 제8항에 있어서,
    상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 갱신부;
    를 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템.
  10. 삭제
  11. 제8항에 있어서,
    상기 악성코드확인부는
    문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템.
  12. 제8항에 있어서,
    상기 악성코드확인부는
    상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 신규FCG추출모듈;
    상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프 및 함수 호출 그래프 해시값을 상기 데이터베이스로부터 검색하는 DB검색모듈;
    상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 제1 비교모듈;
    함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 유사도연산모듈; 및
    상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 악성코드판단모듈;
    을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템.
  13. 제12항에 있어서,
    상기 악성코드확인부는
    상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 제2 비교모듈; 을 포함하고,
    상기 악성코드판단모듈이
    함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 것을 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템.
KR1020130066614A 2013-06-11 2013-06-11 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템 KR101472321B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130066614A KR101472321B1 (ko) 2013-06-11 2013-06-11 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130066614A KR101472321B1 (ko) 2013-06-11 2013-06-11 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템

Publications (1)

Publication Number Publication Date
KR101472321B1 true KR101472321B1 (ko) 2014-12-12

Family

ID=52678747

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130066614A KR101472321B1 (ko) 2013-06-11 2013-06-11 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템

Country Status (1)

Country Link
KR (1) KR101472321B1 (ko)

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101624264B1 (ko) 2014-11-17 2016-05-25 주식회사 안랩 공유 라이브러리 파일의 악성 진단 장치 및 방법
KR20170002115A (ko) * 2015-06-29 2017-01-06 한양대학교 산학협력단 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버
KR101796369B1 (ko) * 2016-01-22 2017-12-01 김동완 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템
KR101803888B1 (ko) * 2017-01-18 2017-12-04 한국인터넷진흥원 유사도 기반 악성 어플리케이션 탐지 방법 및 장치
KR101932174B1 (ko) * 2017-07-18 2018-12-26 한양대학교 산학협력단 악성 코드 탐지 방법 및 그 장치
WO2019066222A1 (ko) * 2017-09-29 2019-04-04 주식회사 인사이너리 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템
KR20190061211A (ko) * 2017-11-27 2019-06-05 주식회사 엔에스에이치씨 애플리케이션 보안 취약점 자동 분석 시스템 및 방법
US10339315B2 (en) 2015-12-10 2019-07-02 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious mobile app
CN111324893A (zh) * 2020-02-17 2020-06-23 电子科技大学 基于敏感模式的安卓恶意软件的检测方法及后台***
KR20200096766A (ko) * 2018-01-04 2020-08-13 라인플러스 주식회사 오픈소스 소프트웨어의 라이선스를 검증하는 방법 및 시스템
KR20210051669A (ko) 2019-10-31 2021-05-10 삼성에스디에스 주식회사 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법
CN118036005A (zh) * 2024-04-11 2024-05-14 山东省计算中心(国家超级计算济南中心) 基于精简调用图的恶意应用检测方法、***、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120069162A (ko) * 2010-12-20 2012-06-28 한국인터넷진흥원 Cfg 분석 기법에 따른 악성코드 자동 분석 시스템 및 그 방법
KR20120084184A (ko) * 2011-01-19 2012-07-27 한남대학교 산학협력단 화이트 리스트 기반 스마트폰 악성 코드 차단 방법 및 그 기록매체
KR20130031035A (ko) * 2011-09-20 2013-03-28 주식회사 인프라웨어테크놀러지 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20120069162A (ko) * 2010-12-20 2012-06-28 한국인터넷진흥원 Cfg 분석 기법에 따른 악성코드 자동 분석 시스템 및 그 방법
KR20120084184A (ko) * 2011-01-19 2012-07-27 한남대학교 산학협력단 화이트 리스트 기반 스마트폰 악성 코드 차단 방법 및 그 기록매체
KR20130031035A (ko) * 2011-09-20 2013-03-28 주식회사 인프라웨어테크놀러지 안드로이드 앱의 행위정보 동적분석 에뮬레이터 및 이를 포함하는 행위정보 동적분석 시스템, 그리고 안드로이드 앱의 행위정보 동적분석 프로그램이 기록된 컴퓨터 판독 가능한 기록매체

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
한국인터넷진흥원 , 2010.11 *

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101624264B1 (ko) 2014-11-17 2016-05-25 주식회사 안랩 공유 라이브러리 파일의 악성 진단 장치 및 방법
KR20170002115A (ko) * 2015-06-29 2017-01-06 한양대학교 산학협력단 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버
KR101726360B1 (ko) * 2015-06-29 2017-04-13 한양대학교 산학협력단 서픽스 트리 생성 방법 및 서버, 및 상기 서픽스 트리를 이용하는 악성 코드 탐지 방법 및 서버
US10339315B2 (en) 2015-12-10 2019-07-02 Electronics And Telecommunications Research Institute Apparatus and method for detecting malicious mobile app
KR101796369B1 (ko) * 2016-01-22 2017-12-01 김동완 소프트웨어 분석을 위한 리버스 엔지니어링 협업 장치, 방법 및 시스템
KR101803888B1 (ko) * 2017-01-18 2017-12-04 한국인터넷진흥원 유사도 기반 악성 어플리케이션 탐지 방법 및 장치
KR101932174B1 (ko) * 2017-07-18 2018-12-26 한양대학교 산학협력단 악성 코드 탐지 방법 및 그 장치
WO2019066222A1 (ko) * 2017-09-29 2019-04-04 주식회사 인사이너리 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템
US10296326B2 (en) 2017-09-29 2019-05-21 Insignary Inc. Method and system for identifying open-source software package based on binary files
KR20190061211A (ko) * 2017-11-27 2019-06-05 주식회사 엔에스에이치씨 애플리케이션 보안 취약점 자동 분석 시스템 및 방법
KR102054768B1 (ko) 2017-11-27 2019-12-12 주식회사 엔에스에이치씨 애플리케이션 보안 취약점 자동 분석 시스템 및 방법
KR20200096766A (ko) * 2018-01-04 2020-08-13 라인플러스 주식회사 오픈소스 소프트웨어의 라이선스를 검증하는 방법 및 시스템
KR102462541B1 (ko) * 2018-01-04 2022-11-03 라인플러스 주식회사 오픈소스 소프트웨어의 라이선스를 검증하는 방법 및 시스템
KR20210051669A (ko) 2019-10-31 2021-05-10 삼성에스디에스 주식회사 악성 코드 탐지 모델 학습 방법 및 이를 이용한 탐지 방법
US11475133B2 (en) 2019-10-31 2022-10-18 Samsung Sds Co., Ltd. Method for machine learning of malicious code detecting model and method for detecting malicious code using the same
CN111324893A (zh) * 2020-02-17 2020-06-23 电子科技大学 基于敏感模式的安卓恶意软件的检测方法及后台***
CN111324893B (zh) * 2020-02-17 2022-05-10 电子科技大学 基于敏感模式的安卓恶意软件的检测方法及后台***
CN118036005A (zh) * 2024-04-11 2024-05-14 山东省计算中心(国家超级计算济南中心) 基于精简调用图的恶意应用检测方法、***、设备及介质

Similar Documents

Publication Publication Date Title
KR101472321B1 (ko) 이동단말의 어플리케이션 내 악성코드 탐지 방법 및 시스템
US10891378B2 (en) Automated malware signature generation
WO2014166312A1 (zh) 一种广告插件识别的方法和***
CN108985057B (zh) 一种webshell检测方法及相关设备
KR101337874B1 (ko) 파일 유전자 지도를 이용하여 파일의 악성코드 포함 여부를 판단하는 방법 및 시스템
EP2693356B1 (en) Detecting pirated applications
CN110798488B (zh) Web应用攻击检测方法
WO2015101044A1 (zh) 特征提取的方法及装置
CN104067283A (zh) 识别移动环境的木马化应用程序
KR20150044490A (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
CN109492399B (zh) 风险文件检测方法、装置及计算机设备
KR20090013483A (ko) 어플리케이션 프로그램 검증 및 실행 제어 방법
US10579798B2 (en) Electronic device and method for detecting malicious file
WO2017197942A1 (zh) 病毒库的获取方法及装置、设备、服务器、***
CN111339531A (zh) 恶意代码的检测方法、装置、存储介质及电子设备
KR101605783B1 (ko) 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램
CN106709350B (zh) 一种病毒检测方法及装置
CN114780922A (zh) 一种勒索软件识别方法、装置、电子设备及存储介质
CN109145589B (zh) 应用程序获取方法及装置
KR101907681B1 (ko) 악성코드 검출을 위한 자동 규칙 생성방법, 장치, 시스템 및 이를 기록한 컴퓨터로 판독가능한 기록매체
CN108334778B (zh) 病毒检测方法、装置、存储介质及处理器
US20140245018A1 (en) Systems and Methods for Media Recognition
CN113312619B (zh) 基于小样本学习的恶意进程检测方法、装置、电子设备及存储介质
KR102311355B1 (ko) 이미지 및 음성파일의 단어와 화이트리스트를 사용하는 공공기관 또는 금융권 피싱 멀웨어 탐지방법
CN113987489A (zh) 一种网络未知威胁的检测方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20171030

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20181025

Year of fee payment: 5