KR20140075839A - 악성행위 탐지 장치 및 방법 - Google Patents

악성행위 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20140075839A
KR20140075839A KR1020120135941A KR20120135941A KR20140075839A KR 20140075839 A KR20140075839 A KR 20140075839A KR 1020120135941 A KR1020120135941 A KR 1020120135941A KR 20120135941 A KR20120135941 A KR 20120135941A KR 20140075839 A KR20140075839 A KR 20140075839A
Authority
KR
South Korea
Prior art keywords
request
execution
malicious
connection
malicious code
Prior art date
Application number
KR1020120135941A
Other languages
English (en)
Inventor
윤승용
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020120135941A priority Critical patent/KR20140075839A/ko
Publication of KR20140075839A publication Critical patent/KR20140075839A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3013Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system is an embedded system, i.e. a combination of hardware and software dedicated to perform a certain function in mobile devices, printers, automotive or aircraft systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Mathematical Physics (AREA)
  • Quality & Reliability (AREA)
  • Telephonic Communication Services (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 단말장치 내에 악성코드의 악성행위 탐지 기술에 관한 것으로, 악성코드 감염에 의한 과금 유발 행위 및 정보 유출 행위 등의 악성행위를 탐지하고 차단하는 방법 및 장치에 관한 것으로 네트워크 접속 요청과 관련하여, 기 설정된 감시항목을 감시하고, 상기 네트워크 접속 요청의 실행이 악성행위에 의한 것인지 판단하는 판단부; 및 상기 전송 명령의 실행이 악성행위에 의한 것으로 판단되는 경우, 상기 전송 명령의 실행을 차단하는 차단부를 포함하는 것을 특징으로 하는 악성행위 차단장치 및 방법을 제공한다. 본 발명에 따르면 악성코드 등에서 발생하는 각각의 행위를 모니터링하고 상호 연관 분석하여 공격을 탐지하므로 새로운 악성코드에 의한 공격을 탐지, 차단이 가능하고 블랙리스트와 화이트리스트를 적용하여 공격 탐지에 대한 오탐율 및 미탐율을 줄일 수 있다.

Description

악성행위 탐지 장치 및 방법{Methods and Apparatus for Detecting Malicious Behavior}
본 발명은 단말장치 내에 악성코드의 악성행위 탐지 기술에 관한 것으로, 악성코드 감염에 의한 과금 유발 행위 및 정보 유출 행위 등의 악성행위를 탐지하고 차단하는 방법 및 장치에 관한 것이다.
스마트폰은 휴대폰과 개인휴대단말기(Personal Digital Assistant; PDA)의 장점을 결합한 것으로, 휴대폰 기능에 일정관리, 팩스 송,수신 및 인터넷 접속 등의 데이터 통신기능을 통합시킨 것이다. 가장 큰 특징은 완제품으로 출시되어 주어진 기능만 사용하던 기존의 휴대폰과는 달리 수백여 종의 다양한 응용프로그램을 사용자가 원하는 대로 설치하고 추가 또는 삭제할 수 있다는 점이다.
이러한 특징으로 인해 스마트폰 시장은 지난 몇 년간 엄청난 성장을 해왔고, 더불어 스마트폰 악성코드도 규모 면에서 빠르게 증가하고 있는 실정이다. 이것은 누구나 쉽게 악성 코드의 제작 및 배포가 가능한 개방형 플랫폼과 개방형 마켓에 기인한 개방형 환경에 그 이유가 있다. 또한 무선인터넷, 블루투스, USB와 같은 다양한 외부 접속 환경으로 인해 쉽게 전파가 가능하기 때문이다. 초기의 스마트폰 악성코드는 단순히 전파를 목적으로 하거나 단말의 기능적 동작을 마비시키는 형태였는데, 최근에는 개인정보의 유출 및 금전적 이득을 취하는 과금 유발 형태로 변화하고 있다.
스마트폰은 다양한 경로를 통해 악성코드에 감염되는데, 최근에는 정상적인 애플리케이션으로 위장한 리패키징(Repackaing) 기법을 이용하여 앱스토어나 마켓을 통해 감염되는 사례가 증가하고 있다. 악성코드는 키 버튼 기능을 고장내거나 전화의 송수신 기능을 마비시키는 장애 유발형 공격, 스마트폰의 전력을 지속적으로 소모시키는 배터리 고갈형 공격 등 다양한 유형의 악성코드가 존재하지만, 최근에는 전화 연결이나 문자 전송을 지속적으로 시도하여 금전적 이득을 취하는 과금 유발형 공격, 감염된 스마트폰에서 기기 정보나 사용자 정보를 외부로 유출하는 정보 유출형 공격이 주를 이루고 있다.
현재 대부분의 스마트폰에서는 악성코드를 탐지하기 위해 기존 PC에서와 같이 백신프로그램을 이용하여 시그니처 기반의 패턴 매칭 기법을 사용하고 있는데, 이러한 기법은 새로운 공격이 발생했을 때 시그니처가 업데이트 되기 전까지 해당 공격을 탐지할 수 없고, 또한 악성코드의 수가 증가함에 따라 탐지를 위한 시그니처의 개수가 증가함으로써 성능상의 문제가 가장 큰 단점으로 작용한다.
KR 10-2011-0128632 충남대학교산학협력단 2011.11.30 KR 10-1051641 주식회사 안철수연구소 2011.07.19
본 발명은 전술한 종래 기술의 문제점을 해결하기 위하여, 시그니처 기반의 패턴 매칭 기법을 사용하지 않고 사용자 행위, 중요 정보 및 자원 접근, 전화연결 및 문자전송, 외부 인터넷 연결 시도를 감시하여 상호 연관 분석을 통해 악성행위를 탐지하여 단말장치에서의 과금 유발 및 정보 유출 방지 기법을 제공하는데 그 목적이 있다.
상기 기술적 과제를 해결하기 위해서 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것인지 여부를 판단하는 판단부; 및 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 차단부를 포함하는 것을 특징으로 하는 네트워크 접속 관리 장치를 제공한다.
또한, 상기 감시항목은 상기 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 입력부이며, 상기 감시항목의 상태는 상기 입력부를 통한 상기 접속을 위한 요청의 입력 유무이며, 상기 감시항목을 감시하는 것은 상기 접속을 위한 요청이 사용자에 의해 입력된 것인지 여부를 감시하는 것을 특징으로 하는 네트워크 접속 관리 장치을 제공한다.
또한, 상기 감시항목은 상기 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 저장부이며, 상기 감시항목의 상태는 상기 저장부를 통한 저장된 정보의 전송 유무이며, 상기 감시항목을 감시하는 것은 상기 저장부에 저장된 정보의 유출 여부를 감시하는 것을 특징으로 하는 네트워크 접속 관리 장치를 제공한다.
또한, 상기 차단부는 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 악성코드, 악성프로그램 또는 악성 웜의 실행임을 상기 네트워크 접속 관리 장치의 출력부로 출력하고, 상기 요청의 실행에 대한 차단 혹은 허용 여부를 입력받아 상기 요청의 실행을 차단 혹은 허용하는 것을 특징으로 하는 네트워크 접속 관리 장치를 제공한다.
또한, 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청의 실행이 악성코드, 악성프로그램 또는 악성 웜의 실행에 의한 것인지 여부를 판단하는 판단부; 및 상기 요청의 실행이 악성코드, 악성프로그램 또는 악성 웜의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 차단부를 포함하는 것을 특징으로 하는 악성코드, 악성프로그램 또는 악성 웜에 의한 악성행위 탐지 장치를 제공한다.
또한, 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것인지 여부를 판단하는 단계; 및 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 단계를 포함하는 것을 특징으로 하는 네트워크 접속 관리 방법을 제공한다.
또한, 상기 감시항목은 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 입력부이며, 상기 감시항목의 상태는 상기 입력부를 통한 입력의 유무이며, 상기 감시항목을 감시하는 것은 상기 입력부를 통해 사용자에 의해 입력된 것인지 여부를 감시하는 것을 특징으로 하는 네트워크 접속 관리 방법을 제공한다.
또한, 상기 감시항목은 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 저장부이며, 상기 감시항목의 상태는 상기 저장부를 통한 저장된 정보의 전송 유무이며, 상기 감시항목을 감시하는 것은 상기 저장부에 저장된 정보의 유출 여부를 감시하는 것을 특징으로 하는 네트워크 접속 관리 방법을 제공한다.
또한, 상기 차단하는 단계는 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 악성코드, 악성프로그램 또는 악성 웜의 실행임을 네트워크 접속 관리 장치의 출력부로 출력하고, 상기 요청의 실행에 대한 차단 혹은 허용 여부를 입력받아 상기 요청의 실행을 차단 혹은 허용하는 것을 특징으로 하는 네트워크 접속 관리 방법을 제공한다.
또한, 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청의 실행이 악성코드, 악성프로그램 또는 악성 웜의 실행에 의한 것인지 여부를 판단하는 판단하는 단계; 및 상기 요청의 실행이 악성코드, 악성프로그램 또는 악성 웜의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 차단하는 단계를 포함하는 것을 특징으로 하는 악성코드, 악성프로그램 또는 악성 웜에 의한 악성행위 탐지 방법을 제공한다.
본 발명에 의하는 경우, 시그니처 기반의 패턴 매칭 기법을 사용하지 않기 때문에 시그니처 기반의 패턴 매칭 기법의 단점인, 새로운 공격에 대한 시그니처가 생성되어 업데이트 되기 전까지는 공격을 탐지하지 못하는 점을 해결하였다. 본 발명에 따르면, 스마트폰의 악성코드 개수가 날로 증가하는 상황에서, 해당 공격들을 탐지하기 위한 시그니처의 개수를 증가시킬 필요가 없고, 시그니처 증가로 인한 성능의 저하문제 또한 해결할 수 있다. 또한, 악성코드에서 발생하는 각각의 행위를 모니터링하고 상호 연관 분석하여 공격을 탐지하므로 새로운 악성코드에 의한 공격을 탐지, 차단이 가능하고 블랙리스트와 화이트리스트를 적용하여 공격 탐지에 대한 오탐율 및 미탐율을 줄일 수 있다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 관리 장치의 블록도이다.
도 2은 본 발명의 일 실시예에 따른 네트워크 접속 관리 장치의 상세블록도이다.
도 3은 본 발명의 일 실시예에 따른 과금 유발형 공격의 악성행위에 대한 네트워크 접속 관리 방법의 흐름도이다.
도 4은 본 발명의 일 실시예에 따른 정보 유출형 공격의 악성행위에 대한 네트워크 접속 관리 방법의 흐름도이다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다.
이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명은 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
본 발명은 네트워크 접속 관리 장치 및 방법에 관한 것으로, 도 1 내지 도 4를 참조하여 이하에서 기술된다. 그렇지만, 당업자라면 본 발명이 이들 제한된 실시예를 넘어 확장되기 때문에, 이들 도면과 관련하여 본 명세서에 주어진 상세한 설명이 예시를 위한 것임을 용이하게 알 것이다.
도 1은 본 발명의 일 실시예에 따른 네트워크 접속 관리 장치의 블록도이다.
도 1을 참조하면, 본 발명의 실시예에 따른 네트워크 접속 관리 장치(1)는 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것인지 여부를 판단하는 판단부(10); 및 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 차단부(20)를 포함한다.
상기 네트워크 접속 관리 장치(1)는 키 조작에 따라 통신망을 경유하여 각종 정보를 송수신할 수 있는 단말기인 것이 바람직하며, 개인용 컴퓨터(PC: Personal Computer), 노트북, 개인휴대용 정보단말기(PDA: Personal Digital Assistant) 및 이동통신 단말기(Mobile Communication terminal) 등 중 어느 하나 일 수 있다. 바람직하게는 상기 장치는 데이터를 무선으로 송,수신할 수 있고 디스플레이부를 갖추고 있는 스마트폰이 적절하다.
사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행은 악성코드, 악성프로그램, 또는 악성웜에 의한 악성행위이며, 상기 악성행위에 대한 네트워크 접속 관리 장치의 동작원리가 이하에서 설명된다. 상기 악성행위는 과금 유발 행위, 정보 유출 행위 등을 예로 들 수 있다.
이하 본 발명의 일 실시예로 상기 과금 유발 행위에 대한 네트워크 접속 관리 장치의 동작원리를 설명한다.
네트워크 접속을 위한 요청은 통신망으로 전화연결이나 문자 메시지의 전송을 위한 요청일 수 있다. 또한, 상기 감시항목은 상기 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 입력부이며, 상기 감시항목의 상태는 상기 입력부를 통한 상기 접속을 위한 요청의 입력 유무이며, 상기 감시항목을 감시하는 것은 상기 접속을 위한 요청이 사용자에 의해 입력된 것인지 여부를 감시하는 것을 뜻한다.
상기 판단부(10)가 상기 접속을 위한 요청이 사용자에 의한 것인지, 아니면 장치 내에 설치된 악성코드 등에 의한 악성행위에 의한 것인지 구분하여 판단하는 것이 중요하다.
상기 입력부는 사용자가 입력할 수 있는 수단, 즉 키보드나 마우스, 터치스크린, 터치패널 등이 될 수 있다. 바람직하게는 스마트폰 단말장치의 터치부인 것이 바람직하다. 단말 터치부(미도시)는 외부와의 통신을 위해 손가락이나 도구를 사용하여 좌표를 지정하거나 문자를 선택할 수 있는 기능이 있다. 상기 터치부는 키보드를 사용하지 않고 화면(스크린)에 나타난 문자나 특정 위치에 사람의 손 또는 물체와 같은 입력수단이 접촉(터치)하는 경우, 터치 위치를 검출하여 저장된 소프트웨어를 사용하여 특정 처리를 할 수 있는 유저 인터페이스 장치를 말한다. 터치부의 예로서 압력식(Resistvie Overlay), 표면초음파 방식(Surface Acoustic Wave), 정전용량방식(Capacitive Overlay) 및 적외선 방식(Infrared Beam)의 터치부가 있다.
상기 판단부(10)는 사용자가 전화를 걸거나 문자를 전송하기 위해 직접 전화번호를 입력하거나 문자전송을 위해 단말에 저장되어 있는 전화번호부를 검색하는 등의 수동조작의 여부를 감지하여 판단할 수 있다. 또한, 상기 판단부(10)는 단말 터치부의 입력이 없었던 경우, 상기 접속을 위한 요청의 실행은 악성코드 등의 프로그램된 소스코드에 의해 자동으로 전화연결 혹은 문자전송을 시도하는 과금 유발 행위의 악성행위로 판단한다.
상기 판단부(10)는 미리 허락되지 않은 요청의 실행인 것인지 더욱 고려하여 판단할 수 있는데, 미리 허락되지 않은 요청의 실행인지 여부는 전화연결 또는 문자메시지 전송 요청의 목적지 전화번호 혹은 수신 전화번호가 미리 입력된 차단 전화번호인지 고려하여 판단할 수 있다. 상기 차단 전화번호는 블랙리스트로 호칭된다. 상기 사용자의 의도되지 않은 요청의 실행인지 여부와 상기 미리 허락되지 않은 요청의 실행인지 여부의 판단 순서는 먼저 블랙리스트에 있는 전화번호로의 메시지 전송 요청 여부를 먼저 고려하고, 다음 사용자의 의도되지 않은 요청의 실행인지 여부를 고려함이 바람직하다. 특히, 블랙리스트에 있는 전화번호로의 전송 요청은 후술할 차단부(20)에서 상기 접속을 위한 요청의 실행에 대한 허용여부를 묻지 않고 바로 차단함으로 차단의 신속을 기할 수 있다.
이하 본 발명의 일 실시예로 상기 정보 유출 행위에 대한 네트워크 접속 관리 장치의 동작원리를 설명한다.
상기 네트워크 접속을 위한 요청은 인터넷 연결을 위한 접속 요청일 수 있다. 상기 판단부(10)는 악성코드 등에 의한 접속 요청인지 구분하기 위하여 인터넷 연결을 위한 접속 요청이 실행되면, 중요 정보가 저장되어 있는 상기 네트워크 접속 관리 장치의 저장부(미도시)의 정보 전송이 있었는지 감지하고, 상기 정보 전송이 있었던 경우에는 중요 정보의 유출 행위로 보아 상기 접속을 위한 요청 실행을 악성코드 등에 의한 악성행위로 판단한다.
상기 감시항목은 상기 네트워크 접속 관리 장치와 유선 또는 무선으로 연결된 저장부이며, 상기 감시항목의 상태는 상기 저장부를 통한 저장된 정보의 전송 유무이며, 상기 감시항목을 감시하는 것은 상기 저장부에 저장된 정보의 유출 여부를 감시하는 것을 뜻한다.
상기 장치의 저장부(미도시)로는 메모리카드, 주소록 및 전화번호부 저장소, 위치정보 저장소, 기기정보 저장소, 혹은 웹사이트 방문기록 및 북마크 저장소, 음성 녹음 저장소 등이 적절하고, 상기 저장부로의 정보 전송 여부는 악성 행위에 의해서 인터넷 연결을 위한 접속요청이 실행된 것인지 판단할 때 고려된다.
또한, 상기 판단부(10)는 상기 접속을 위한 요청의 접속 목적지 주소가 미리 허용되거나, 차단되도록 설정된 것인지 여부를 더욱 고려하여 판단하는 것이 바람직하다. 인터넷 연결의 접속 요청의 경우에, 접속 목적지 주소는 IP(internet Protocol) 주소이며 허용 인터넷 주소는 보통의 안드로이드 계열의 스마트폰이 구글 서버와 동기화하여 접속함으로 구글 서버의 IP(Internet Protocol) 주소 등을 포함함이 바람직하고, 화이트리스트로 호칭될 수 있다.
상기 판단부(10)는 상기 화이트리스트에 있는 주소로 인터넷 연결의 접속 요청이 실행되는 경우에 악성코드 등에 의한 악성행위가 아닌 것으로 판단할 수 있다.
바람직하게는 상기 판단부(10)의 판단 순서는 허용된 인터넷 주소, 즉 화이트리스트에 대한 접속요청 실행인지 여부로 먼저 판단하고, 상기 저장부의 정보 유출을 감지하여 악성행위인지를 판단하는 것이 적절하다.
상기 블랙리스트 및 화이트리스트를 기준으로 한 악성코드의 악성행위 판단은 상기 판단부(10)의 오탐률과 미탐률을 줄이는 데 기여한다. 또한, 후술하는 상기 차단부(20)가 접속을 위한 요청의 실행을 차단 혹은 허용 여부에 대한 입력을 받지 않고, 상기 실행을 차단하거나 허용함으로써 차단에 걸리는 처리속도를 높일 수 있다. 특히 블랙리스트 및 화이트리스트는 이미 출현되어 분석이 완료된 악성코드에 의해 생성된 수신 전화번호부 데이터베이스 및 인터넷 주소 데이터베이스에서 입력받을 수 있으며, 외부의 관리서버에 의해 실시간으로 업데이트 되도록 함이 바람직하다.
상기 차단부(20)는 상기 접속을 위한 요청의 실행이 상기 악성행위에 의한 것임을 상기 네트워크 접속 관리 장치의 출력부로 출력하고, 접속을 위한 요청의 실행에 대해 차단 혹은 허용 여부를 입력받아 상기 접속을 위한 요청의 실행을 차단 혹은 허용하도록 하는 것이 바람직하다.
상기 네트워크 접속 관리 장치의 출력부(미도시)는 단말의 디스플레이부인 것이 바람직하다. 상기 단말 디스플레이부는 단말에서 처리되는 정보를 표시한다. 예를 들어, 단말이 통화 모드인 경우 통화와 관련된 UI(User Interface) 또는 GUI(Graphic User Interface)를 표시한다. 단말이 화상 통화 모드 또는 촬영 모드인 경우에는 촬영 또는/및 수신된 영상 또는 UI, GUI를 표시한다. 상기 단말 디스플레이부는 액정 디스플레이(liquid crystal display, LCD), 박막 트랜지스터 액정 디스플레이(thin film transistor-liquid crystal display, TFT LCD), 유기 발광 다이오드(organic light-emitting diode, OLED), 플렉시블 디스플레이(flexible display), 3차원 디스플레이(3D display) 중에서 적어도 하나를 포함할 수 있다.
상기 판단부(10)에 의해 상기 접속을 위한 요청의 실행이 악성코드 등에 의한 악성행위로 판단되면, 상기 단말 디스플레이부로 경고 알림 표시하도록 하고, 사용자로 하여금 상기 접속을 위한 요청의 실행을 차단 할 것인지, 허용할 것인지 더욱 표시하여 차단 여부를 입력받도록 한다. 상기 차단 혹은 허용 여부를 입력받아 상기 차단부(20)는 상기 실행을 차단 또는 허용한다.
도 2은 본 발명의 일 실시예에 따른 네트워크 접속 관리 장치의 상세블록도의 도면이다.
상기 네트워크 접속 관리 장치(1)의 판단부(10)는 사용자 입력여부 감시 모듈(100), 과금 유발형 분석모듈(102), 중요 정보 접근여부 감시 모듈(104), 정보 유출형 분석 모듈(106)을 포함할 수 있다.
전화 연결 및 문자 전송의 통신망 접속 요청과 관련하여 사용자 입력여부 감시 모듈(100)은 사용자의 입력이 있었는지 감시한다. 과금유발형 분석모듈(102)은 상기 사용자 입력여부 감시모듈(100)이 감시한 사용자 입력 여부를 고려하여 과금유발형 악성행위인지 판단한다. 또한, 인터넷 연결의 네트워크 접속 요청과 관련하여 중요정보 접근여부 감시 모듈(104)은 중요정보의 접근여부가 있었는지 감시한다. 정보 유출형 분석 모듈(106)는 상기 중요정보 접근여부 감시 모듈(104)이 감시한 중요 정보 접근 여부를 고려하여 정보 유출형 악성행위인지 판단한다. 상기 과금유발형 분석모듈(102) 및 정보유출형 분석모듈(106)은 블랙리스트 또는 화이트리스트 데이터베이스로부터 차단 전화번호 또는 허용된 IP 주소등을 입력받고 악성행위 여부를 더욱 고려하여 판단할 수 있다. 상기 과금유발형 분석모듈(102) 및 정보유출형 분석모듈(106)이 네트워크 접속행위를 악성행위로 판단하는 경우에 상기 판단된 결과를 차단부(20)로 송신한다.
또한 차단부(20)는 경보 알림 모듈(200)과 행위 차단(202) 모듈을 포함할 수 있다. 상기 판단부(10)에서 악성행위로 판단된 결과를 차단부(20)가 송신하면 경보 알림 모듈(200)은 사용자에게 악성행위임을 알리고, 행위 차단 모듈(202)은 사용자에게 상기 접속요청을 차단할지 허용할지 입력을 받아 접속을 차단하거나 허용할 수 있다.
도 3은 본 발명의 일 실시예에 따른 과금 유발형 공격에 대한 네트워크 접속 관리 방법의 흐름도이다.
네트워크 접속 관리 장치 내 전화연결 혹은 문자 전송을 위한 접속요청이 실행된다.(S200) 판단부는 전화연결 혹은 문자 전송의 수신 전화번호가 블랙리스트에 존재하는지를 판단한다.(S202) 만약 블랙리스트에 존재하는 전화번호로의 접속을 위한 요청이라면 사용자에게 차단 허용여부를 묻지 않고 바로 접속요청의 실행을 차단한다.(S210)
상기 판단부는 상기 접속을 위한 요청의 실행이 입력부의 사용자 입력에 의한 요청에 의한 것인지 감지하는데, 이것은 사용자에 의한 수동조작여부를 판단하기 위해서이다. 사용자에 의한 접속을 위한 요청의 입력으로 판단되는 경우에, 사용자에게 상기 접속을 위한 요청의 실행에 대해 허용 또는 차단 여부를 묻지 않고 접속을 위한 요청의 실행을 허용한다.(S212)
상기 판단부는 사용자에 의한 수동조작이 아니면서도 접속을 위한 요청이 입력된 경우, 악성코드 등의 프로그램된 소스에 의해 과금 유발을 위한 접속 요청의 실행으로 판단하고, 악성행위를 네트워크 접속 관리 장치의 출력부를 통하여 사용자에게 알린다.(S206) 상기 출력부는 단말의 디스플레이부인 것이 바람직하다.
또한 접속을 위한 요청의 실행을 차단할지 여부를 사용자에 의하여 입력받고 사용자가 차단을 입력하는 경우 접속을 위한 요청의 실행을 차단한다. (S210)
도 4는 본 발명의 일 실시예에 따른 정보 유출형 공격에 대한 네트워크 접속 관리 방법의 흐름도이다.
네트워크 접속 관리 장치 내 인터넷 연결을 위한 접속 요청이 실행된다.(S300)
판단부는 인터넷 연결을 위한 IP주소가 화이트리스트에 존재하는지를 판단한다.(S302) 만약 화이트리스트에 존재하는 IP주소로의 접속을 위한 요청이라면 사용자에게 차단 허용여부를 묻지 않고 바로 접속을 위한 요청의 실행을 허용한다. (S312)
상기 판단부는 네트워크 접속 관리 장치의 저장부의 중요 정보에 대한 접근 여부가 이루어진 뒤에 상기 접속을 위한 요청이 실행되는 경우인지 판단하는데, 이것은 중요 정보에 대한 정보 유출 행위로 판단하기 위해서이다. 상기 저장부의 중요 정보에 대한 접근이 없는 경우에, 사용자에게 접속을 위한 요청의 실행에 대한 허용 또는 차단 여부를 묻지 않고 상기 요청의 실행을 허용한다.(S312)
상기 판단부는 상기 저장부의 중요 정보에 대한 접근 여부가 감지된 경우에는, 상기 접속을 위한 요청의 실행을 악성코드의 프로그램된 소스에 의한 정보 유출 행위의 실행으로 판단하고, 상기 악성행위를 네트워크 접속 관리 장치의 출력부를 통하여 사용자에게 알린다.(S308)
또한 상기 접속을 위한 요청의 실행을 차단할지 여부를 사용자에 의하여 입력받고 사용자가 차단을 입력하는 경우 상기 실행을 차단한다. (S310)
본 발명의 일 실시예에 따르면, 악성코드의 행위를 탐지하기 위해 단말장치의 전화연결, 문자 전송 시도 및 인터넷 연결시도를 감지하고, 나아가 상기 연결시도를 위한 사용자로부터의 단말기의 입력, 예를 들어 전화를 걸기 위해 버튼을 누른다거나, 문자를 전송하기 위하여 전화번호부를 검색하는 등의 행위 또는 인터넷 연결 시도 전에 단말기 내의 중요 정보 및 자원 접근 행위가 있었는지를 파악하여 악성코드에 의한 악성행위를 탐지하여 차단하는 방법 또는 장치이다. 본 발명에 의하는 경우, 악성코드에서 발생하는 각각의 행위를 모니터링하고 상호 연관 분석하여 공격을 탐지하므로 새로운 악성코드에 의한 공격을 탐지, 차단이 가능하고 블랙리스트와 화이트리스트를 적용하여 공격 탐지에 대한 오탐율 및 미탐율을 줄일 수 있다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (1)

  1. 네트워크 접속을 위한 요청과 관련하여 미리 결정된 감시 항목의 상태를 감시하고, 상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것인지 여부를 판단하는 판단부; 및
    상기 요청의 실행이 사용자에 의해 의도되지 않거나 또는 미리 허락되지 않은 요청의 실행에 의한 것으로 판단되는 경우에, 상기 요청의 실행을 차단하는 차단부를 포함하는 것을 특징으로 하는 네트워크 접속 관리 장치.
KR1020120135941A 2012-11-28 2012-11-28 악성행위 탐지 장치 및 방법 KR20140075839A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120135941A KR20140075839A (ko) 2012-11-28 2012-11-28 악성행위 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120135941A KR20140075839A (ko) 2012-11-28 2012-11-28 악성행위 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20140075839A true KR20140075839A (ko) 2014-06-20

Family

ID=51128301

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120135941A KR20140075839A (ko) 2012-11-28 2012-11-28 악성행위 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20140075839A (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9740941B2 (en) 2014-10-27 2017-08-22 Hanwha Techwin Co., Ltd. Apparatus and method for visualizing loitering objects
KR101865238B1 (ko) * 2016-12-13 2018-06-07 주식회사 엔피코어 악성 코드 차단 장치 및 이의 동작 방법
CN112434297A (zh) * 2020-12-29 2021-03-02 成都立鑫新技术科技有限公司 一种公共场所检测手机安全的方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9740941B2 (en) 2014-10-27 2017-08-22 Hanwha Techwin Co., Ltd. Apparatus and method for visualizing loitering objects
KR101865238B1 (ko) * 2016-12-13 2018-06-07 주식회사 엔피코어 악성 코드 차단 장치 및 이의 동작 방법
CN112434297A (zh) * 2020-12-29 2021-03-02 成都立鑫新技术科技有限公司 一种公共场所检测手机安全的方法
CN112434297B (zh) * 2020-12-29 2024-02-20 成都立鑫新技术科技有限公司 一种公共场所检测手机安全的方法

Similar Documents

Publication Publication Date Title
US9712562B2 (en) Method, device and system for detecting potential phishing websites
CN104125216B (zh) 一种提升可信执行环境安全性的方法、***及终端
EP3165019B1 (en) Method and apparatus of notifying of smishing
US20110161452A1 (en) Collaborative malware detection and prevention on mobile devices
CN108712561B (zh) 权限管理方法、装置、移动终端以及存储介质
CN106921799A (zh) 一种移动终端安全防护方法以及移动终端
CN106713266B (zh) 一种防止信息泄露的方法、装置、终端及***
WO2019061362A1 (zh) 一种访问设备标识符的方法及装置
CN104778415B (zh) 一种基于计算机行为的数据防泄露***及方法
CN109873794B (zh) 一种拒绝服务攻击的防护方法及服务器
CN110457935B (zh) 一种权限配置方法及终端设备
Haris et al. Evolution of android operating system: a review
CN109992965B (zh) 进程处理方法和装置、电子设备、计算机可读存储介质
CN106709282B (zh) 资源文件解密方法及装置
US20240187395A1 (en) Authenticated interface element interactions
CN105279433B (zh) 一种应用程序的防护方法及装置
CN116541865A (zh) 基于数据安全的密码输入方法、装置、设备及存储介质
KR20140075839A (ko) 악성행위 탐지 장치 및 방법
CN108540645B (zh) 一种移动终端的操作方法及移动终端
KR20150124076A (ko) 불법 어플리케이션 차단 시스템 및 서버, 이를 위한 통신 단말기 및 불법 어플리케이션 차단 방법과 기록매체
WO2015037850A1 (ko) Url 호출 탐지장치 및 방법
CN110443030B (zh) 一种权限处理方法及终端设备
KR20160001046A (ko) 전자 장치의 악성 코드 방지 방법 및 이를 지원하는 장치
CN116028157A (zh) 风险识别方法、装置及电子设备
KR101516997B1 (ko) 스미싱 차단 방법 및 장치

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination