KR101720686B1 - 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 - Google Patents

시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 Download PDF

Info

Publication number
KR101720686B1
KR101720686B1 KR1020140142824A KR20140142824A KR101720686B1 KR 101720686 B1 KR101720686 B1 KR 101720686B1 KR 1020140142824 A KR1020140142824 A KR 1020140142824A KR 20140142824 A KR20140142824 A KR 20140142824A KR 101720686 B1 KR101720686 B1 KR 101720686B1
Authority
KR
South Korea
Prior art keywords
malicious
target application
image
visualized
application
Prior art date
Application number
KR1020140142824A
Other languages
English (en)
Other versions
KR20160046640A (ko
Inventor
박원주
이경하
조기성
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140142824A priority Critical patent/KR101720686B1/ko
Priority to US14/808,002 priority patent/US20160110543A1/en
Publication of KR20160046640A publication Critical patent/KR20160046640A/ko
Application granted granted Critical
Publication of KR101720686B1 publication Critical patent/KR101720686B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치는 악성 어플리케이션들을 특성에 따라 그룹 별로 분류하여 저장하는 제 1 저장부, 타겟 어플리케이션을 저장하는 제 2 저장부, 상기 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 상기 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 이미지 생성부, 상기 제 1 시각화 이미지들의 유사도를 이용하여 상기 그룹 별로 대표 이미지들을 선정하는 대표 이미지 선정부, 상기 대표 이미지들 및 제 2 시각화 이미지를 비교하여 상기 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 판단부를 포함할 수 있다.

Description

시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법{APPARAUS AND METHOD FOR DETECTING MALCIOUS APPLICATION BASED ON VISUALIZATION SIMILARITY}
본 발명은 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법에 관한 것이다.
스마트폰 이용이 증가함에 따라 모바일 금융 사기도 급증하고 있다. 피싱(phishing), 파밍(pharming) 뿐만 아니라 최근에는 악성 어플리케이션(예를 들어, .apk 파일, 멀웨어) 설치를 유도하고 개인 정보를 요구하거나, 휴대폰 소액 결제를 통한 스미싱(smishing) 공격이 늘고 있다.
모바일 환경(특히 안드로이드 운영체제의 환경)에서의 금융 사기 방법은 사용자가 인지하지 못하는 사이에 사용자 단말에 악성 어플리케이션을 설치하고, 악성 어플리케이션을 통해 개인 정보 유출한다. 구체적으로, 모바일 환경에서의 금융 사기 방법은 SMS, 모바일 메시지 등을 이용하여 악성 어플리케이션 설치를 유도하는 URL을 전송하고, 사용자가 이 URL을 클릭하면 악성 어플리케이션 패키지 파일이 다운로드 되도록 유도한다.
한편, 안드로이드 운영체제의 경우 운영체제가 공개되어 있고, 구글, 아마존 외의 3rd party, 오픈 마켓 등에 등록된 어플리케이션 설치도 가능하여 다른 운영체제에 비하여 상대적으로 위험성이 크다. 따라서, 악성 어플리케이션을 감지할 수 있는 기술이 필요한 실정이다.
본 발명의 일 목적은 악성 어플리케이션을 효과적으로 감지할 수 있는 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법을 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치는 악성 어플리케이션들을 특성에 따라 그룹 별로 분류하여 저장하는 제 1 저장부, 타겟 어플리케이션을 저장하는 제 2 저장부, 상기 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 상기 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 이미지 생성부, 상기 제 1 시각화 이미지들의 유사도를 이용하여 상기 그룹 별로 대표 이미지들을 선정하는 대표 이미지 선정부, 상기 대표 이미지들 및 제 2 시각화 이미지를 비교하여 상기 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 판단부를 포함할 수 있다.
일 실시예에서, 상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션을 대응되는 그룹으로 분류하여 상기 제 1 저장부에 저장하는 처리부를 더 포함할 수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 1 시각화 이미지들을 생성할 ㅅ수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성할 수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 타겟 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 2 시각화 이미지를 생성할 수 있다.
일 실시예에서, 상기 이미지 생성부는 상기 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성할 수 있다.
일 실시예에서, 상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 분석 난이도 판단부를 더 포함할 수 있다.
일 실시예에서, 상기 분석 난이도 판단부는 상기 타겟 어플리케이션의 상기 제 2 시각화 이미지와 상기 그룹 별 대표 이미지 간의 유사도, 상기 그룹 별 악성 어플리케이션의 수 및 상기 그룹 별 악성 어플리케이션의 발현 빈도에 기초하여 상기 타겟 어플리케이션의 분석 난이도를 판단할 수 있다.
본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법은 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계, 상기 제 1 시각화 이미지들의 유사도를 이용하여 상기 그룹 별로 대표 이미지들을 선정하는 단계, 및 상기 대표 이미지들 및 제 2 시각화 이미지를 비교하여 상기 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 단계를 포함할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 1 시각화 이미지들을 생성할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 자원 접근 권한 파일을 분석하여 접근 권한 리스트를 생성할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 타겟 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 2 시각화 이미지를 생성할 수 있다.
일 실시예에서, 상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성할 수 있다.
일 실시예에서, 상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션을 대응되는 그룹으로 분류하여 저장하는 단계, 및 상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 단계를 더 포함할 수 있다.
일 실시예에서, 상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 단계는 상기 타겟 어플리케이션의 상기 제 2 시각화 이미지와 상기 그룹 별 대표 이미지 간의 유사도, 상기 그룹 별 악성 어플리케이션의 수 및 상기 그룹 별 악성 어플리케이션의 발현 빈도 중 적어도 어느 하나에 기초하여 상기 타겟 어플리케이션의 분석 난이도를 판단할 수 있다.
본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법은 악성 어플리케이션을 효과적으로 감지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치를 보여주는 블록도이다.
도 2는 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치의 동작을 구체적으로 보여준다.
도 3은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 보여주는 흐름도이다.
도 4는 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치를 보여주는 블록도이다.
도 5는 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 보여주는 흐름도이다.
도 6은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 실행하는 컴퓨팅 시스템을 보여주는 블록도이다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다. 또한, 다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서, 어플리케이션은 안드로이드 운영체제에 기반한 어플리케이션을 의미할 수 있으나, 이에 한정되는 것은 아니다. 또한, 악성 어플리케이션은 멀웨어(malware), 악성 코드 등을 포함하는 개념으로 사용될 수 있다.
도 1은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치를 보여주는 블록도이다. 도 2는 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치의 동작을 구체적으로 보여준다.
먼저, 도 1을 참조하면, 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치(100)는 제 1 저장부(110), 제 2 저장부(120), 이미지 생성부(130), 대표 이미지 선정부(140), 및 판단부(150)를 포함할 수 있다.
제 1 저장부(110)는 악성 어플리케이션들을 특성에 따라 그룹 별로 분류하여 저장할 수 있다. 여기서, '그룹'은 '패밀리(family)'의 의미를 갖거나 호칭될 수 있다. 제 1 저장부(110)는 확장자가 apk인 안드로이드 악성 어플리케이션 패키지 파일과 각 파일의 정보, 악성 어플리케이션의 그룹 이름, 각 그룹에 포함된 악성 어플리케이션의 수, 최초 발견된 시각 정보, 가장 최근에 발견된 시각 정보, 최근의 지정된 기간 동안 발견된 그룹의 악성 어플리케이션 수 등의 메타 데이터를 포함할 수 있다.
제 2 저장부(120)는 타겟 어플리케이션을 저장할 수 있다. 타겟 어플리케이션은 악성 어플리케이션인지 여부에 대한 감지 대상이 되는 어플리케이션을 의미할 수 있다. 예를 들어, 타겟 어플리케이션은 메시지 등에 포함된 URL을 통해 다운로드되어 저장되거나 사용자(또는 관리자)에 의해 저장될 수 있다. 제 2 저장부(120)는 확장자가 apk인 안드로이드 어플리케이션 패키지 파일과 각 파일의 정보, 파일의 이름, 저장된 시간 등에 대한 메타 데이터를 저장할 수 있다.
도 1에서는 제 1 저장부(110) 및 제 2 저장부(120)가 별개의 구성으로 도시되어 있으나, 제 1 저장부(110) 및 제 2 저장부(120)는 기능적으로 구분되는 하나의 구성(예를 들어, 단일의 저장부)으로 구현될 수 있다.
이미지 생성부(130)는 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성할 수 있다. 예를 들어, 이미지 생성부(130)는 제 1 저장부(110)에 저장된 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일(예를 들어, classes.dex), 자원 접근 권한 파일(androidmanifest.xml) 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다. 실행 파일은 예를 들어, 달빅 가상 머신에서 실행되는 파일을 의미할 수 있다. 이미지 생성부(130)는 실행 파일(classes.dex)을 디스어셈블링(disassembling)하여 소스 코드를 추출할 수 있다. 예를 들어, 상기 소스 코드는 자바(JaVa) 소스 코드일 수 있다. 이미지 생성부(130)는 상기 소스 코드를 기초로 제 1 시각화 이미지들을 생성할 수 있다.
이미지 생성부(130)는 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성할 수 있다. 악성 행위와 관련된 함수 리스트는 예를 들어, 단말 자원으로의 불법적인 접근, 단말에 저장된 개인정보의 불법적인 유출 등의 악성 행위와 관련된 함수 리스트를 포함할 수 있다. 악성 행위와 관련된 문자열 리스트는 예를 들어, 소액 결제 확인번호가 포함된 SMS 메시지, 멀웨어 설치를 유도하는 캡챠(CAPTCHA) 코드 등을 전달하기 위한 URL 주소 등의 문자열이 포함된 리스트를 포함할 수 있다. 또한, 이미지 생성부(130)는 자원 접근 권한 파일을 분석하여 접근 권한(permission) 리스트를 생성할 수 있다.
이미지 생성부(130)는 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성할 수 있다. 예를 들어, 이미지 생성부(130)는 제 2 저장부(120)에 저장된 타겟 어플리케이션의 패키지 파일을 압축해제하여 실행 파일(예를 들어, classes.dex), 자원 접근 권한 파일(androidmanifest.xml) 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다. 이미지 생성부(130)는 실행 파일(classes.dex)을 디스어셈블링(disassembling)하여 소스 코드를 추출할 수 있다. 예를 들어, 상기 소스 코드는 자바(JaVa) 소스 코드일 수 있다. 이미지 생성부(130)는 상기 소스 코드를 기초로 제 2 시각화 이미지를 생성할 수 있다.
이미지 생성부(130)는 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성할 수 있다. 예를 들어, 악성 행위 의심 함수 리스트는 상기 악성 행위와 관련된 함수 리스트에 대응되는 것으로 의심되는 함수들의 리스트를 의미할 수 있다. 악성 행위 의심 문자열 리스트는 상기 악성 행위와 관련된 문자열 리스트에 대응되는 것으로 의심되는 문자열들의 리스트를 의미할 수 있다.
상술한 제 1 시각화 이미지 및 제 2 시각화 이미지는 CFG(Call Flow Graph) 이미지일 수 있다. CFG 이미지는 프로그램의 소스 코드의 실행 흐름과 구조를 시각적으로 표현하는 그래프 이미지로 정의될 수 있다. 예를 들어, CFG 이미지는 함수 또는 메소드(method)의 흐름을 나타내는 그래프 이미지로서, 함수가 시작되는 엔트리 포인트(entry point) 등으로부터 실행되는 경로를 추적하여 시각적으로 보여주는 이미지를 의미할 수 있다. 또한, 제 1 시각화 이미지 및 제 2 시각화 이미지는 함수의 호출 연결관계 뿐만 아니라 액티비티 라이프 사이클(activity life cycle) 및 쓰레드(thread) 관련 작업에 대한 분석을 포함할 수 있다.
대표 이미지 선정부(140)는 제 1 시각화 이미지들의 유사도를 이용하여 그룹 별로 대표 이미지들을 선정할 수 있다. 예를 들어, 대표 이미지 선정부(140)는 각 그룹에 속한 악성 어플리케이션들 간의 제 1 시각화 이미지들의 유사도를 계산하여 가장 유사도가 높은 악성 어플리케이션의 제 1 시각화 이미지를 해당 그룹의 대표 이미지로 선정할 수 있다. 예를 들어, 대표 이미지 선정부(140)는 동형 비교 방법(Isomorphism), 편집 거리 방법(Edit Distance), 최대 공통 부분 그래프 생성 방법(Maximum common Sub-graph), 통계학적 유사도 방법(Statistical Similarity) 등에 기반하여 대표 이미지를 선정할 수 있다.
판단부(150)는 대표 이미지들과 제 2 시각화 이미지를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 판단할 수 있다. 예를 들어, 판단부(150)는 그래프 유사도 비교 방법을 이용하여 대표 이미지들과 제 2 시각화 이미지 간의 유사도를 산출하고, 산출되는 유사도에 기초하여 타겟 어플리케이션이 악성 어플리케이션인지 판단할 수 있다. 또한, 판단부(150)는 대표 이미지들과 제 2 시각화 이미지를 비교하여 시각화 이미지 상에서 유사한 부분들을 표시할 수 있다.
도 2를 참조하여, 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치(100)의 동작을 구체적으로 설명한다. 이미지 생성부(130)는 제 1 저장부(110)에 저장된 악성 어플리케이션들(즉, 이미 알려진 악성 어플리케이션들)의 실행 파일로부터 소스 코드를 추출하고, 소스 코드를 디스어셈블(disassemble)하여 제 1 시각화 이미지를 생성할 수 있다. 또한, 이미지 생성부(130)는 악성 행위와 관련된 함수 리스트(악성 함수 API 리스트), 접근 권한 리스트(악성 접근 권한 리스트) 및 악성 행위와 관련된 문자열 리스트(악성 문자열 리스트)를 생성할 수 있다.
또한, 이미지 생성부(130)는 타겟 어플리케이션의 실행 파일로부터 소스 코드를 추출하고, 소스 코드를 디스어셈블하여 제 2 시각화 이미지를 생성할 수 있다. 또한, 이미지 생성부(130)는 악성 행위 의심 함수 리스트(의심 함수 API 리스트), 의심 접근 권한 리스트(의심 접근 권한 리스트) 및 악성 행위 의심 문자열 리스트(의심 문자열 리스트)를 생성할 수 있다.
대표 이미지 선정부(140)는 제 1 시각화 이미지들 중에서 각 그룹별로 대표 이미지를 선정할 수 있다.
판단부(150)는 대표 이미지들과 제 2 시각화 이미지의 유사도를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 여부를 판단하고, 유사 부분을 표시할 수 있다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치(100)는 악성 어플리케이션들의 그룹 별 대표 이미지들과 타겟 어플리케이션의 시각화 이미지의 유사도를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 판단할 수 있다. 따라서, 사용자에게 타겟 어플리케이션이 악성 어플리케이션인지에 대한 감지 결과를 직관적이고 시각적으로 전달할 수 있다.
도 3은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 보여주는 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법은 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지를 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계(S110), 제 1 시각호 이미지들의 유사도를 이용하여 그룹 별로 대표 이미지를 선정하는 단계(S120), 및 대표 이미지들과 제 2 시각화 이미지를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 단계(S130)를 포함할 수 있다.
이하에서, 상술한 S110 단계 내지 S130 단계가 도 1을 참조하여 구체적으로 설명된다. 도 1을 참조하여 설명한 내용과 중복되는 내용은 불필요한 반복을 피하기 위하여 생략될 것이다.
S110 단계에서, 이미지 생성부(130)는 제 1 저장부(110)에 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 제 2 저장부(120)에 저장된 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성할 수 있다.
또한, S110 단계에서, 이미지 생성부(130)는 제 1 저장부(110)에 저장된 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일(예를 들어, classes.dex), 자원 접근 권한 파일(androidmanifest.xml) 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다. 이미지 생성부(130)는 실행 파일(classes.dex)을 디스어셈블링(disassembling)하여 소스 코드를 추출할 수 있다. 이미지 생성부(130)는 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성할 수 있다. 또한, 이미지 생성부(130)는 자원 접근 권한 파일을 분석하여 접근 권한(permission) 리스트를 생성할 수 있다.
또한, 이미지 생성부(130)는 제 2 저장부(120)에 저장된 타겟 어플리케이션의 패키지 파일을 압축해제하여 실행 파일(예를 들어, classes.dex), 자원 접근 권한 파일(androidmanifest.xml) 및 메타 데이터 파일 중 적어도 어느 하나를 추출할 수 있다. 이미지 생성부(130)는 실행 파일(classes.dex)을 디스어셈블링(disassembling)하여 소스 코드를 추출할 수 있다. 이미지 생성부(130)는 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성할 수 있다.
S120 단계에서, 대표 이미지 선정부(140)는 제 1 시각화 이미지들의 유사도를 이용하여 그룹 별로 대표 이미지들을 선정할 수 있다.
S130 단계에서, 판단부(150)는 대표 이미지들 및 제 2 시각화 이미지를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 판단할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치를 보여주는 블록도이다.
도 4를 참조하면, 본 발명의 추가적인 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 장치(200)는 제 1 저장부(210), 제 2 저장부(220), 이미지 생성부(230), 대표 이미지 선정부(240), 판단부(250), 처리부(260), 및 분석 난이도 판단부(270)를 포함할 수 있다.
즉, 도 4에 도시된 시각화 유사도 기반 악성 어플리케이션 감지 장치(200)는 도 1에 도시된 시각화 유사도 기반 악성 어플리케이션 감지 장치(100)와 비교하여 처리부(260) 및 분석 난이도 판단부(270)를 더 포함할 수 있다.
따라서, 이하에서는 처리부(260) 및 분석 난이도 판단부(270)가 중점적으로 설명되며, 제 1 저장부(210), 제 2 저장부(220), 이미지 생성부(230), 대표 이미지 선정부(240), 및 판단부(250)는 제 1 저장부(110), 제 2 저장부(120), 이미지 생성부(130), 대표 이미지 선정부(140), 및 판단부(150)와 각각 동일한 기능을 갖는 것으로 이해될 수 있다.
처리부(260)는 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어플리케이션을 대응되는 그룹으로 분류하여 제 1 저장부(110)에 저장할 수 있다. 따라서, 제 1 저장부(110)에 저장되는 악성 어플리케이션에 대한 정보가 지속적으로 업데이트될 수 있다.
분석 난이도 판단부(270)는 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어플리케이션의 분석 난이도를 판단할 수 있다. 분석 난이도 판단부(270)는 대표 이미지들과 제 2 시각화 이미지의 유사도 비교 결과, 유사한 부분의 정도, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션 수, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션의 최근 발생 빈도 수, 타겟 어플리케이션에 난독화 기법이 적용되었는지 여부 중 적어도 어느 하나에 기초하여 분석 난이도를 판단할 수 있다.
예를 들어, 분석 난이도 판단부(270)는 대표 이미지들과 제 2 시각화 이미지의 유사도가 낮을수록, 유사한 부분이 많을수록, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션 수가 적을수록, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션의 최근 발생 빈도 수가 낮을수록 타겟 어플리케이션에 대한 분석 난이도가 높다고 판단할 수 있다. 또한, 분석 난이도 판단부(270)는 타겟 어플리케이션에 난독화 기법이 적용된 경우 타겟 어플리케이션에 대한 분석 난이도가 높다고 판단할 수 있다. 분석 난이도 판단부(270)는 타겟 어플리케이션에 대한 분석 난이도를 수치화(예를 들어, N≥1, N은 자연수)하여 표시할 수 있다.
도 5는 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 보여주는 흐름도이다.
도 5를 참조하면, 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법은 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지를 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계(S210), 제 1 시각호 이미지들의 유사도를 이용하여 그룹 별로 대표 이미지를 선정하는 단계(S220), 및 대표 이미지들과 제 2 시각화 이미지를 비교하여 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 단계(S230), 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어프리케이션을 대응되는 그룹으로 분류하여 저장하는 단계(S240), 및 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어플리케이션의 분석 난이도를 판단하는 단계(S250)를 포함할 수 있다.
즉, 본 발명의 다른 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법은 도 3에 도시된 시각화 유사도 기반 악성 어플리케이션 감지 방법과 비교하여 S240 및 S250 단계를 더 포함할 수 있다.
따라서, 이하에서는 S240 단계 및 S250 단계가 중점적으로 설명되며, S210 단계 내지 S230 단계는 S110 단계 내지 S130 단계와 각각 동일한 것으로 이해될 수 있다.
S240 단계에서, 처리부(260)는 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어플리케이션을 대응되는 그룹으로 분류하여 제 1 저장부(110)에 저장할 수 있다.
S250 단계에서, 분석 난이도 판단부(270)는 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 타겟 어플리케이션의 분석 난이도를 판단할 수 있다. 분석 난이도 판단부(270)는 대표 이미지들과 제 2 시각화 이미지의 유사도 비교 결과, 유사한 부분의 정도, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션 수, 타겟 어플리케이션이 분류되는 그룹의 악성 어플리케이션의 최근 발생 빈도 수, 및 타겟 어플리케이션에 난독화 기법이 적용되었는지 여부 중 적어도 어느 하나에 기초하여 분석 난이도를 판단할 수 있다. 분석 난이도 판단부(270)는 타겟 어플리케이션에 대한 분석 난이도를 수치화(예를 들어, N≥1, N은 자연수)하여 표시할 수 있다.
도 6은 본 발명의 일 실시예에 따른 시각화 유사도 기반 악성 어플리케이션 감지 방법을 실행하는 컴퓨팅 시스템을 보여주는 블록도이다.
도 6을 참조하면, 컴퓨팅 시스템(1000)은 버스(1200)를 통해 연결되는 적어도 하나의 프로세서(1100), 메모리(1300), 사용자 인터페이스 입력 장치(1400), 사용자 인터페이스 출력 장치(1500), 스토리지(1600), 및 네트워크 인터페이스(1700)를 포함할 수 있다.
프로세서(1100)는 중앙 처리 장치(CPU) 또는 메모리(1300) 및/또는 스토리지(1600)에 저장된 명령어들에 대한 처리를 실행하는 반도체 장치일 수 있다. 메모리(1300) 및 스토리지(1600)는 다양한 종류의 휘발성 또는 불휘발성 저장 매체를 포함할 수 있다. 예를 들어, 메모리(1300)는 ROM(Read Only Memory) 및 RAM(Random Access Memory)을 포함할 수 있다.
따라서, 본 명세서에 개시된 실시예들과 관련하여 설명된 방법 또는 알고리즘의 단계는 프로세서(1100)에 의해 실행되는 하드웨어, 소프트웨어 모듈, 또는 그 2 개의 결합으로 직접 구현될 수 있다. 소프트웨어 모듈은 RAM 메모리, 플래시 메모리, ROM 메모리, EPROM 메모리, EEPROM 메모리, 레지스터, 하드 디스크, 착탈형 디스크, CD-ROM과 같은 저장 매체(즉, 메모리(1300) 및/또는 스토리지(1600))에 상주할 수도 있다. 예시적인 저장 매체는 프로세서(1100)에 커플링되며, 그 프로세서(1100)는 저장 매체로부터 정보를 판독할 수 있고 저장 매체에 정보를 기입할 수 있다. 다른 방법으로, 저장 매체는 프로세서(1100)와 일체형일 수도 있다. 프로세서 및 저장 매체는 주문형 집적회로(ASIC) 내에 상주할 수도 있다. ASIC는 사용자 단말기 내에 상주할 수도 있다. 다른 방법으로, 프로세서 및 저장 매체는 사용자 단말기 내에 개별 컴포넌트로서 상주할 수도 있다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다.
따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100, 200: 시각화 유사도 기반 악성 어플리케이션 감지 장치
110, 210: 제 1 저장부
120, 220: 제 2 저장부
130, 230: 이미지 생성부
140, 240: 대표 이미지 선정부
150, 250: 판단부
260: 처리부
270: 분석 난이도 판단부
1000: 컴퓨팅 시스템
1100: 프로세서
1200: 버스
1300: 메모리
1310: ROM
1320: RAM
1400: 사용자 인터페이스 입력장치
1500: 사용자 인터페이스 출력장치
1600: 스토리지
1700: 네트워크 인터페이스

Claims (20)

  1. 악성 어플리케이션들을 특성에 따라 그룹 별로 분류하여 저장하는 제 1 저장부;
    타겟 어플리케이션을 저장하는 제 2 저장부;
    상기 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 상기 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 이미지 생성부;
    상기 제 1 시각화 이미지들의 유사도를 이용하여 상기 그룹 별로 대표 이미지들을 선정하는 대표 이미지 선정부;
    상기 대표 이미지들 및 제 2 시각화 이미지를 비교하여 상기 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 판단부; 및
    상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션을 대응되는 그룹으로 분류하여 상기 제 1 저장부에 저장하는 처리부를 포함하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  2. 삭제
  3. 제 1 항에 있어서,
    상기 이미지 생성부는 상기 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  4. 제 3 항에 있어서,
    상기 이미지 생성부는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 1 시각화 이미지들을 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  5. 제 4 항에 있어서,
    상기 이미지 생성부는 상기 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  6. 제 1 항에 있어서,
    상기 이미지 생성부는 상기 타겟 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  7. 제 6 항에 있어서,
    상기 이미지 생성부는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 2 시각화 이미지를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  8. 제 7 항에 있어서,
    상기 이미지 생성부는 상기 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  9. 제 1 항에 있어서,
    상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 분석 난이도 판단부를 더 포함하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  10. 제 9 항에 있어서,
    상기 분석 난이도 판단부는 상기 타겟 어플리케이션의 상기 제 2 시각화 이미지와 상기 그룹 별 대표 이미지 간의 유사도, 상기 그룹 별 악성 어플리케이션의 수 및 상기 그룹 별 악성 어플리케이션의 발현 빈도에 기초하여 상기 타겟 어플리케이션의 분석 난이도를 판단하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 장치.
  11. 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계;
    상기 제 1 시각화 이미지들의 유사도를 이용하여 상기 그룹 별로 대표 이미지들을 선정하는 단계;
    상기 대표 이미지들 및 제 2 시각화 이미지를 비교하여 상기 타겟 어플리케이션이 악성 어플리케이션인지 판단하는 단계; 및
    상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션을 대응되는 그룹으로 분류하여 저장하는 단계를 포함하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  12. 제 11 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 악성 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  13. 제 12 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 1 시각화 이미지들을 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  14. 제 13 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 소스 코드를 기초로 악성 행위와 관련된 함수 리스트 또는 악성 행위와 관련된 문자열 리스트를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  15. 제 13 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 자원 접근 권한 파일을 분석하여 접근 권한 리스트를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  16. 제 11 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 타겟 어플리케이션들의 패키지 파일을 압축해제하여 실행 파일, 자원 접근 권한 파일 및 메타 데이터 파일 중 적어도 어느 하나를 추출하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  17. 제 16 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 실행 파일을 디스어셈블링하여 소스 코드를 추출하고, 상기 소스 코드를 기초로 상기 제 2 시각화 이미지를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  18. 제 17 항에 있어서,
    상기 특성에 따라 그룹 별로 저장된 악성 어플리케이션들을 분석하여 제 1 시각화 이미지들을 생성하고, 타겟 어플리케이션을 분석하여 제 2 시각화 이미지를 생성하는 단계는 상기 소스 코드를 기초로 악성 행위 의심 함수 리스트 또는 악성 행위 의심 문자열 리스트를 생성하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  19. 제 11 항에 있어서,
    상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 단계를 더 포함하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
  20. 제 19 항에 있어서,
    상기 타겟 어플리케이션이 악성 어플리케이션으로 판단되는 경우 상기 타겟 어플리케이션의 분석 난이도를 판단하는 단계는 상기 타겟 어플리케이션의 상기 제 2 시각화 이미지와 상기 그룹 별 대표 이미지 간의 유사도, 상기 그룹 별 악성 어플리케이션의 수 및 상기 그룹 별 악성 어플리케이션의 발현 빈도 중 적어도 어느 하나에 기초하여 상기 타겟 어플리케이션의 분석 난이도를 판단하는 것을 특징으로 하는 시각화 유사도 기반 악성 어플리케이션 감지 방법.
KR1020140142824A 2014-10-21 2014-10-21 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법 KR101720686B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140142824A KR101720686B1 (ko) 2014-10-21 2014-10-21 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US14/808,002 US20160110543A1 (en) 2014-10-21 2015-07-24 Apparatus and method for detecting malicious application based on visualization similarity

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140142824A KR101720686B1 (ko) 2014-10-21 2014-10-21 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법

Publications (2)

Publication Number Publication Date
KR20160046640A KR20160046640A (ko) 2016-04-29
KR101720686B1 true KR101720686B1 (ko) 2017-03-28

Family

ID=55749294

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140142824A KR101720686B1 (ko) 2014-10-21 2014-10-21 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법

Country Status (2)

Country Link
US (1) US20160110543A1 (ko)
KR (1) KR101720686B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019004502A1 (ko) * 2017-06-29 2019-01-03 라인 가부시키가이샤 어플리케이션의 보안성을 평가하는 방법 및 시스템
US10963563B2 (en) 2017-04-20 2021-03-30 Line Corporation Method and system for evaluating security of application

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20170063883A1 (en) * 2015-08-26 2017-03-02 Fortinet, Inc. Metadata information based file processing
CN106055602A (zh) * 2016-05-24 2016-10-26 腾讯科技(深圳)有限公司 文件验证方法及装置
US10542015B2 (en) * 2016-08-15 2020-01-21 International Business Machines Corporation Cognitive offense analysis using contextual data and knowledge graphs
US10748579B2 (en) * 2016-10-26 2020-08-18 Adobe Inc. Employing live camera feeds to edit facial expressions
WO2019010415A1 (en) * 2017-07-06 2019-01-10 Code Walker L.L.C. MAPPING AND VISUALIZATION OF COMPUTER CODE
WO2019070630A1 (en) * 2017-10-02 2019-04-11 Code Walker L.L.C. MAPPING AND VISUALIZATION OF CUSTOMER SERVER COMPUTER CODE
KR101839747B1 (ko) * 2017-11-27 2018-03-19 한국인터넷진흥원 악성코드 정보의 시각화 장치 및 그 방법
KR102046262B1 (ko) * 2017-12-18 2019-11-18 고려대학교 산학협력단 모바일 운영체제 환경에서 악성 코드 행위에 따른 위험을 관리하는 장치 및 방법, 이 방법을 수행하기 위한 기록 매체
JP6842405B2 (ja) * 2017-12-18 2021-03-17 株式会社日立製作所 分析支援方法、分析支援サーバ及び記憶媒体
CN108197473B (zh) * 2017-12-25 2021-12-28 中国科学院信息工程研究所 一种抗干扰的环境敏感型恶意软件行为相似性评测方法和装置
CN110414246B (zh) * 2019-06-19 2023-05-30 平安科技(深圳)有限公司 共享文件安全管理方法、装置、终端及存储介质
US11853421B2 (en) 2020-02-25 2023-12-26 Agency For Defense Development Method and apparatus for analyzing malicious code
KR102344496B1 (ko) * 2020-02-28 2021-12-28 국방과학연구소 악성코드의 기능을 분석하는 방법 및 장치
CN114579970B (zh) * 2022-05-06 2022-07-22 南京明博互联网安全创新研究院有限公司 一种基于卷积神经网络的安卓恶意软件检测方法及***

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101432429B1 (ko) * 2013-02-26 2014-08-22 한양대학교 산학협력단 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2003223379A1 (en) * 2002-03-29 2003-10-13 Global Dataguard, Inc. Adaptive behavioral intrusion detection systems and methods
WO2006071985A2 (en) * 2004-12-29 2006-07-06 Alert Logic, Inc. Threat scoring system and method for intrusion detection security networks
KR20100069135A (ko) * 2008-12-16 2010-06-24 한국인터넷진흥원 악성코드 분류 시스템
KR101259696B1 (ko) * 2010-11-30 2013-05-02 삼성에스디에스 주식회사 안티 멀 웨어 스캐닝 시스템 및 그 방법
KR101260028B1 (ko) * 2010-12-23 2013-05-06 한국인터넷진흥원 악성코드 그룹 및 변종 자동 관리 시스템
KR20120105759A (ko) * 2011-03-16 2012-09-26 한국전자통신연구원 악성 코드 시각화 장치와 악성 코드 탐지 장치 및 방법
US9213729B2 (en) * 2012-01-04 2015-12-15 Trustgo Mobile, Inc. Application recommendation system
US9438620B2 (en) * 2013-10-22 2016-09-06 Mcafee, Inc. Control flow graph representation and classification

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101432429B1 (ko) * 2013-02-26 2014-08-22 한양대학교 산학협력단 시각적 데이터 생성을 이용한 악성 코드 분석 시스템과 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10963563B2 (en) 2017-04-20 2021-03-30 Line Corporation Method and system for evaluating security of application
WO2019004502A1 (ko) * 2017-06-29 2019-01-03 라인 가부시키가이샤 어플리케이션의 보안성을 평가하는 방법 및 시스템

Also Published As

Publication number Publication date
KR20160046640A (ko) 2016-04-29
US20160110543A1 (en) 2016-04-21

Similar Documents

Publication Publication Date Title
KR101720686B1 (ko) 시각화 유사도 기반 악성 어플리케이션 감지 장치 및 감지 방법
US10951647B1 (en) Behavioral scanning of mobile applications
US11570211B1 (en) Detection of phishing attacks using similarity analysis
Carlin et al. Detecting cryptomining using dynamic analysis
Andronio et al. Heldroid: Dissecting and detecting mobile ransomware
KR101122650B1 (ko) 정상 프로세스에 위장 삽입된 악성코드 탐지 장치, 시스템 및 방법
KR101543237B1 (ko) 코드 패턴을 이용한 정적 분석과 api 흐름을 이용한 동적 분석을 통한 악성 스크립트 탐지 차단 장치, 시스템 및 방법
Elish et al. Profiling user-trigger dependence for Android malware detection
Zhou et al. Detecting repackaged smartphone applications in third-party android marketplaces
TWI528216B (zh) 隨選檢測惡意程式之方法、電子裝置、及使用者介面
Zheng et al. DroidRay: a security evaluation system for customized android firmwares
JP5654944B2 (ja) アプリケーション解析装置およびプログラム
CN103065091B (zh) 用恶意软件检测扩充***还原
Andow et al. A study of grayware on *** play
KR20120105759A (ko) 악성 코드 시각화 장치와 악성 코드 탐지 장치 및 방법
US20150113652A1 (en) Detection of rogue software applications
JP6000465B2 (ja) プロセス検査装置、プロセス検査プログラムおよびプロセス検査方法
Faruki et al. Droidanalyst: Synergic app framework for static and dynamic app analysis
CN105791250B (zh) 应用程序检测方法及装置
Faruki et al. Droidolytics: robust feature signature for repackaged android apps on official and third party android markets
KR101605783B1 (ko) 악성 애플리케이션 탐지 방법 및 이 방법을 실행시키는 컴퓨터프로그램
Choi et al. All‐in‐One Framework for Detection, Unpacking, and Verification for Malware Analysis
JP5441043B2 (ja) プログラム、情報処理装置、及び情報処理方法
US9177146B1 (en) Layout scanner for application classification
KR101324691B1 (ko) 모바일 악성 행위 어플리케이션 탐지 시스템 및 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200224

Year of fee payment: 4