KR101266037B1 - Method and apparatus for treating malicious action in mobile terminal - Google Patents

Method and apparatus for treating malicious action in mobile terminal Download PDF

Info

Publication number
KR101266037B1
KR101266037B1 KR1020110055153A KR20110055153A KR101266037B1 KR 101266037 B1 KR101266037 B1 KR 101266037B1 KR 1020110055153 A KR1020110055153 A KR 1020110055153A KR 20110055153 A KR20110055153 A KR 20110055153A KR 101266037 B1 KR101266037 B1 KR 101266037B1
Authority
KR
South Korea
Prior art keywords
application
malicious
mobile terminal
malicious code
unit
Prior art date
Application number
KR1020110055153A
Other languages
Korean (ko)
Other versions
KR20120136126A (en
Inventor
류재철
이희경
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020110055153A priority Critical patent/KR101266037B1/en
Publication of KR20120136126A publication Critical patent/KR20120136126A/en
Application granted granted Critical
Publication of KR101266037B1 publication Critical patent/KR101266037B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3065Monitoring arrangements determined by the means or processing involved in reporting the monitored data
    • G06F11/3072Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting
    • G06F11/3082Monitoring arrangements determined by the means or processing involved in reporting the monitored data where the reporting involves data filtering, e.g. pattern matching, time or event triggered, adaptive or policy-based reporting the data filtering being achieved by aggregating or compressing the monitored data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Abstract

본 발명은 휴대단말에서 악성행위 처리 방법에 있어서, 휴대단말로 입력된 어플리케이션의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하는 과정과, 상기 전송된 모니터링 결과를 분석하여 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단하는 과정과, 상기 판단결과에 따라 해당 어플리케이션의 실행을 제어하는 과정을 포함함을 특징으로 한다.The present invention provides a method for processing malicious behavior in a mobile terminal, the method comprising: accessing resources in the mobile terminal and monitoring and transmitting data and behavior of the application inputted by the mobile terminal; And analyzing the presence of malware and accessing resources in the application, and controlling the execution of the application according to the determination result.

Figure R1020110055153
Figure R1020110055153

Description

휴대단말에서 악성행위 처리 방법 및 장치{METHOD AND APPARATUS FOR TREATING MALICIOUS ACTION IN MOBILE TERMINAL}METHOD AND APPARATUS FOR TREATING MATERIAL ACTIVITY IN MOBILE TERMINAL {METHOD AND APPARATUS FOR TREATING MALICIOUS ACTION IN MOBILE TERMINAL}

본 발명은 휴대단말에서 악성행위 처리에 관한 것으로, 동적 분석인 행위 기반 악성코드 탐지 방식을 구현하여 조기에 익명의 어플리케이션의 위협 행위 및 시스템 내 자원에의 접근을 방지하기 위한 휴대단말에서 악성행위 처리 방법 및 장치에 관한 것이다.The present invention relates to the processing of malicious behavior in a mobile terminal, and implements a behavior-based malware detection scheme, which is a dynamic analysis, to handle the malicious behavior in a mobile terminal to prevent anonymous application threat behavior and access to resources in the system at an early stage. A method and apparatus are disclosed.

오늘날 모바일 디바이스(Mobile Device)에서 운용되는 모바일 운영체제(Mobile OS)는 사용자의 정보보호와 어플리케이션의 악성행위를 차단하도록 설계되었다. 상기 모바일 운영체제는 어플리케이션의 무분별한 개인 정보(Private Information)접근과 자원(Resource) 사용을 제한하기 위해 명시적으로 선언된 행위만 허용한다. 또한, 안전한 어플리케이션의 실행을 위한 샌드박스(Sandbox)을 제공함으로 잘못된 자원 사용(Application Crash)이나 비정상행위(Abnormal)에 대처할 수 있다. Today's mobile operating system (Mobile OS) is designed to protect users' information and prevent malicious behavior of applications. The mobile operating system allows only explicitly declared behaviors to restrict the application's indiscriminate access to private information and resource usage. In addition, by providing a sandbox for the execution of a secure application, it is possible to cope with incorrect resource use (Application Crash) or abnormal behavior (Abnormal).

그러나, 이러한 노력에도 불구하고 악성 코드(Malicious code)들은 여전히 사용자의 정보를 갈취하거나 무단으로 유료 서비스를 사용하고 있다.However, despite these efforts, malicious codes still steal user information or use paid services without permission.

모바일 운영체제에서 악성 코드 탐지를 위한 기존의 연구들은 대부분 시그니쳐 기반의 악성 코드 방식으로 익명의 악성 코드(Unknown Malicious Code 혹은 분석되지 않은 악성 코드)에 대해서 탐지가 어렵다는 단점이 있다.Most of the previous studies for detecting malicious codes in mobile operating systems are difficult to detect anonymous malicious codes (Unknown Malicious Code or unanalyzed malware) using signature-based malicious codes.

이러한 악성 코드 탐지에 관하여, 기존의 모바일 보안 어플리케이션은 운영체제가 허용하는 범위 안에서 익명의 어플리케이션에 대한 데이터를 분석하여 악성 코드를 판단하고 제어 등의 동작을 수행한다. 모바일 운영체제에서의 보안 체계는 어플리케이션에 관한 악성 행위 분석 기능이 없지만, 보안을 위해서 일반 어플리케이션에게 최소한의 자원 사용만을 허용하고 있으며, 임의의 어플리케이션이 다른 어플리케이션에 접근하거나 운영체제의 중요 데이터에 접근 하는 것을 샌드박스를 통해 제한하고 있다. 하지만, 악성 코드 발생은 여전히 지속적으로 증가하고 있으며, 악성 코드 개발자들은 모바일 운영체제의 보안 체계를 우회하고 있어 기존 수동적인 검사 방식을 갖고 있는 모바일 보안 어플리케이션에는 한계를 가지고 있다.Regarding the malicious code detection, the existing mobile security application analyzes the data of the anonymous application within the range allowed by the operating system to determine the malicious code and perform an operation such as control. Security system in mobile operating system does not have malicious function analysis function for application, but for security, it allows general application to use minimal resources and sends arbitrary application access to other application or important data of operating system. Restricted via the box. However, malware generation is still increasing and malware developers are bypassing the security system of the mobile operating system. Therefore, there are limitations on mobile security applications that have a passive inspection method.

따라서, 본 발명은 동적 분석인 행위 기반 악성코드 탐지 방식을 구현하여 악성 어플리케이션의 행위를 모니터링하고, 이를 분석하여 익명의 어플리케이션의 위협 행위를 제한하도록 하는 휴대단말에서 악성행위 처리 방법 및 장치를 제공하고자 한다.Accordingly, the present invention is to provide a method and apparatus for processing malicious behavior in a mobile terminal that implements a behavior-based malware detection scheme that is a dynamic analysis and monitors the behavior of malicious applications, and analyzes them to limit threat behavior of anonymous applications. do.

본 발명의 일 견지에 따르면, 휴대단말에서 악성행위 처리 방법에 있어서, 휴대단말로 입력된 어플리케이션의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하는 과정과, 상기 전송된 모니터링 결과를 분석하여 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단하는 과정과, 상기 판단결과에 따라 해당 어플리케이션의 실행을 제어하는 과정을 포함함을 특징으로 한다.According to an aspect of the present invention, in the method for processing malicious behavior in a mobile terminal, the process of monitoring the data input and behavior of the application and access to resources in the mobile terminal of the application input to the mobile terminal, and transmitting and monitoring; And analyzing the transmitted monitoring result to determine whether malicious code exists in the application and access to resources, and controlling the execution of the application according to the determination result.

본 발명의 다른 견지에 따르면, 휴대단말 악성행위 처리 장치에 있어서, 휴대단말의 통신 및 인터페이스를 제공하고, 다수의 어플리케이션을 통합관리하며 상기 휴대단말로 입력된 어플리케이션의 상태를 모니터링하여, 상기 모니터링 결과에 따라 어플리케이션의 실행을 제어하는 운영체제와, 상기 운영체제하에서 동작하며, 상기 운영체제로부터 출력된 정보를 통해 특정 어플리케이션에서 악성행위에 대한 악성코드 제거 및 자원에의 접근에 대한 위협행위에 대한 차단을 수행하는 보안 어플리케이션을 포함함을 특징으로 한다.According to another aspect of the present invention, in the mobile terminal malicious behavior processing apparatus, providing a communication and interface of the mobile terminal, integrated management of a plurality of applications and monitoring the status of the application input to the mobile terminal, the monitoring result Operating under the operating system and controlling the execution of the application according to the information output from the operating system, and removing the malicious code for malicious behavior and blocking the threat for access to resources. It includes a security application.

본 발명은 동적 분석인 행위 기반 악성코드 탐지 방식을 구현하여 악성코드 탐지의 오인 탐지와 미확인 탐지를 감소시킬 뿐만 아니라, 휴대단말의 운영체제와 보안 어플리케이션의 상호협력을 통해 조기에 익명의 어플리케이션의 위협 행위 및 시스템 내 자원에의 접근을 제한할 수 있는 효과가 있다.The present invention implements behavior-based malware detection, which is a dynamic analysis, to reduce false and undetected detections of malicious code detection, and to threaten anonymous applications early through the cooperation of operating systems and security applications in mobile devices. And the effect of restricting access to resources in the system.

도 1은 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 방법에 관한 개략적인 흐름도.
도 2는 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 방법에서 모니터링 결과 분석 동작에 관한 흐름도.
도 3은 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치의 구성을 보인 블록도.
도 4는 본 발명의 일 실시 예에 따른 휴대단말의 OS에서 사용자 정보보호와 어플리케이션의 악성행위 차단을 기반으로 설계된 프레임워크(framework)의 구성을 보인 블록도.
도 5는 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치에서 감시부의 구성을 보인 블록도.
도 6은 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치에서 분석부의 구성을 보인 블록도.1 is a schematic flowchart of a malicious behavior processing method in a mobile terminal according to an embodiment of the present invention.
2 is a flowchart illustrating a monitoring result analysis operation in a malicious behavior processing method in a mobile terminal according to an embodiment of the present invention.
Figure 3 is a block diagram showing the configuration of a malicious behavior processing apparatus in a mobile terminal according to an embodiment of the present invention.
Figure 4 is a block diagram showing the configuration of a framework (framework) designed based on the user information protection and malicious behavior blocking of the application in the OS of the mobile terminal according to an embodiment of the present invention.
Figure 5 is a block diagram showing the configuration of the monitoring unit in the malicious behavior processing apparatus in the mobile terminal according to an embodiment of the present invention.
Figure 6 is a block diagram showing the configuration of the analysis unit in the malicious behavior processing apparatus in the mobile terminal according to an embodiment of the present invention.

이하 본 발명에 따른 바람직한 실시 예를 첨부한 도면을 참조하여 상세히 설명한다. 하기 설명에서는 구체적인 구성 소자 등과 같은 특정 사항들이 나타나고 있는데 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐 이러한 특정 사항들이 본 발명의 범위 내에서 소정의 변형이나 혹은 변경이 이루어질 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다.
Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings. It will be appreciated that those skilled in the art will readily observe that certain changes in form and detail may be made therein without departing from the spirit and scope of the present invention as defined by the appended claims. To those of ordinary skill in the art.

본 발명은 휴대단말의 운영체제에서 행위기반의 악성코드 탐지 체계를 제안하여 휴대단말 내 악성코드를 처리하기 위한 것으로, 이를 위해 필요한 프레임워크(Framework)를 정의하고 이를 기초로 감시부와 분석부를 구성하여 상기 휴대단말에 입력된 어플리케이션의 주요 행위를 감시하여 위협 행위에 대하여 모니터링하고, 상기 모니터링된 결과를 보고받아, 해당 어플리케이션의 위협 행위를 분석하고, 통제하여 악성코드 탐지와 차단을 수행하여, 동적 분석인 행위 기반 악성코드 탐지 방식을 구현하여 악성코드 탐지의 오인 탐지와 미확인 탐지를 감소시킬 뿐만 아니라, 상기 감시부와 분석부를 통해 조기에 익명의 어플리케이션의 위협 행위를 제한 할 수 있는 기술을 제공하고자 한다.The present invention proposes an action-based malware detection system in an operating system of a mobile terminal to process malicious codes in the mobile terminal. A framework for this is defined, and a monitoring unit and an analysis unit are configured based on this. By monitoring the main action of the application input to the mobile terminal to monitor the threat behavior, receiving the monitored results, and analyzing and controlling the threat behavior of the application to perform malicious code detection and blocking, dynamic analysis By implementing a behavior-based malware detection method, we will reduce the false and undetected detections of malicious code detection, and provide a technology that can limit the threat behavior of anonymous applications early through the monitoring and analysis sections. .

또한, 본 발명의 실시 예에 따른 상기 휴대단말은 디지털 방송 단말기, 개인 정보 단말기(PDA, Personal Digital Assistant), 스마트 폰(Smart Phone), 태블릿(Tablet) PC, 아이패드(Ipad), 3G 단말기 예를 들면 IMT-2000(International Mobile Telecommunication 2000)단말기, WCDMA(Wideband Code Division Multiple Access)단말기, GSM/GPRS(Global System For Mobile Communication Packet Radio Service) 및 UMTS(Universal Mobile Telecommunication Service) 단말기 등과 같은 모든 정보통신기기 및 멀티미디어 기기 등이 포함될 수 있다. 그러나, 본 명세서에서 기재된 실시예에 따른 구성은 휴대단말기에만 적용 가능한 경우를 제외하면, 디지털 TV, 데스크탑 컴퓨터 등과 같은 고정 단말기에도 적용될 수도 있음을 본 기술분야의 당업자라면 쉽게 알 수 있을 것이다.In addition, the portable terminal according to an embodiment of the present invention is a digital broadcasting terminal, a personal digital assistant (PDA), a smart phone, a tablet PC, an iPad, an example of a 3G terminal. For example, all information communication such as International Mobile Telecommunication 2000 (IMT-2000) terminal, Wideband Code Division Multiple Access (WCDMA) terminal, Global System For Mobile Communication Packet Radio Service (GSM / GPRS) terminal, and Universal Mobile Telecommunication Service (UMTS) terminal. Devices and multimedia devices. However, it will be readily apparent to those skilled in the art that the configuration according to the embodiments described herein may also be applied to fixed terminals, such as digital TVs, desktop computers, and the like, except where applicable only to portable terminals.

그리고, 이하 본 발명에서 언급된 어플리케이션은 특정 기능을 수행하는 exe 형태의 응용 프로그램을 의미하는 것이나, 본 발명이 이에 한정되지 않음을 밝혀 두는 바이다.
In addition, the application referred to in the present invention refers to an exe-type application program that performs a specific function, but the present invention is not limited thereto.

이하, 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 방법에 관해 도 1을 참조하여 자세히 살펴보기로 한다.Hereinafter, a method of processing malicious behavior in a mobile terminal according to an embodiment of the present invention will be described in detail with reference to FIG. 1.

도 1은 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 방법에 관한 개략적인 흐름도이다. 도 1을 참조하면, 110 과정에서 익명의 어플리케이션 A(100)이 상기 휴대단말로 입력되어 악성행위를 시도한다. 또한, 112 과정에서 또 다른 익명의 어플리케이션 B는 상기 휴대단말로 입력되어 휴대단말 내 개인정보 접근을 시도한다.1 is a schematic flowchart of a malicious behavior processing method in a mobile terminal according to an embodiment of the present invention. Referring to FIG. 1, in operation 110, an anonymous application A 100 is input to the mobile terminal and attempts a malicious action. In addition, another anonymous application B is input to the mobile terminal in step 112 and attempts to access personal information in the mobile terminal.

이때, 상기 익명의 어플리케이션 A(100)의 악성행위는 어플리케이션에 악의적 기능을 수행하는 악성코드를 의미하는 것으로, 바이러스, 해킹 프로그램, 스파이웨어 등이 이에 해당한다. 상기 악의적 기능이란 휴대단말의 성능을 감소시키거나 데이터를 삭제, 변경하거나 데이터를 유출시키는 등의 스팸 메시지, Dos 공격 수행 기능을 의미한다.At this time, the malicious behavior of the anonymous application A (100) means a malicious code that performs a malicious function to the application, such as viruses, hacking programs, spyware, and the like. The malicious function refers to a function of executing a spam message or a Dos attack, such as reducing the performance of the mobile terminal, deleting or changing data, or leaking data.

또한, 상기 익명의 어플리케이션 B(102)의 개인정보 접근은 해당 어플리케이션의 프로파일에 명시되지 않은 휴대단말 내 다수의 자원 즉, GPS 또는 네트워크 자원, 휴대단말의 해당 IMEI(International Mobile Equipment Identity) 등과 같은 자원을 사용을 의미한다.In addition, access to the personal information of the anonymous application B (102) is a resource such as a number of resources in the mobile terminal that is not specified in the profile of the application, such as GPS or network resources, the corresponding mobile terminal identity (EIEI) of the mobile terminal, etc. Means use.

114 과정에서 휴대단말의 모바일 운영체제(Operating System, OS, 104)는 휴대단말로 입력된 익명의 어플리케이션 A, B(100, 102)의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하고, 116 과정에서 전송된 모니터링 결과를 분석한다.In operation 114, the mobile operating system (OS) 104 of the portable terminal accesses resources in the portable terminal of anonymous applications A and B (100, 102) input to the portable terminal and the data of the application. Behavior is monitored and transmitted, and the monitoring result transmitted in step 116 is analyzed.

여기서, 상기 휴대단말 내 자원에의 접근을 모니터링함은 휴대단말 내 자원에 접근을 시도하여 상기 자원을 사용하거나 제어하고, 상기 자원의 정보 수집을 모니터링 함을 의미한다.Here, monitoring access to resources in the mobile terminal means attempting to access resources in the mobile terminal to use or control the resources and to monitor information collection of the resources.

또한, 상기 모니터링 결과 분석에 관해 도 2를 참조하며 상세히 설명하면, 먼저, 210 과정에서 모니터링 결과 분석 시 특정 어플리케이션에 대한 모니터링 정보 이용에 대한 권한설정을 등록 여부를 체크한다.Also, the monitoring result analysis will be described in detail with reference to FIG. 2. First, in step 210, it is checked whether or not to register the authority setting for the use of monitoring information for a specific application when the monitoring result is analyzed.

이때, 상기 권한설정 등록은 휴대단말의 디스플레이부를 통해 권한설정 등록에 대해 사용자에게 미리 통보하여 사용자 허용 여부를 통해 수행된다.In this case, the permission setting registration is performed by notifying the user in advance about the permission setting registration through the display unit of the mobile terminal and performing the user permission.

212 과정에서 익명의 어플리케이션의 실행을 인식한 후, 214 과정에서 상기 특정 어플리케이션 실행에 대한 모니터링된 정보를 수신한다.After recognizing the execution of the anonymous application in step 212, the monitor receives information about the execution of the specific application in step 214.

이때, 상기 210 과정에서의 모니터링 결과 분석은 소정 어플리케이션이 휴대단말 내 자원에의 접근 시 발생하는 이벤트를 획득하여 수행된다.In this case, the monitoring result analysis in step 210 is performed by acquiring an event generated when a predetermined application accesses a resource in the mobile terminal.

또한, 상기 214 과정은 210 과정에 의해 획득된 이벤트에서 특정 이벤트만을 선별한 후 이를 메시지 형태로 생성하여 미리 정의된 프로토콜을 통해 전송함으로써 수행된다.In addition, step 214 is performed by selecting only a specific event from the event obtained by step 210, generating it in a message form, and transmitting the same through a predefined protocol.

이후 216 과정에서 상기 수신된 정보에 대하여 해당 어플리케이션의 프로파일(profile)과 시그니처(signature)기반 검출 기술을 이용하여 분석을 수행한다.In step 216, the received information is analyzed using a profile and signature-based detection technology of the corresponding application.

상기 216 과정은 상기 특정 어플리케이션에 대한 모니터링된 정보 수신 시, 필터를 통해 미리 설정된 수신을 기준으로 선별된 수신정보만을 수신하여 수행된다.In the step 216, when the monitored information about the specific application is received, only the reception information selected based on a preset reception through a filter is received.

218 과정에서 상기 분석결과, 상기 악성코드가 기존의 악성코드인지의 여부를 판단한다.In step 218, the result of the analysis determines whether the malicious code is an existing malicious code.

상기 218 과정의 동작 수행 결과, 상기 악성코드가 기존의 악성코드가 아닌 경우, 220 과정으로 이동하여 해당 어플리케이션의 행위를 모니터링한다.As a result of the operation of step 218, if the malicious code is not an existing malicious code, the process moves to step 220 to monitor the behavior of the application.

222 과정에서 상기 모니터링된 결과를 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 통해 분석한다.In step 222, the monitored result is analyzed through signature data indicating a pattern of malicious code as information required for malicious code verification.

그리고, 224 과정에서 상기 분석 결과 악성행위 여부를 판단한다.In operation 224, the result of the analysis determines whether malicious activity is performed.

더욱 상세하게는 상기 224 과정은 미리 정의된 프로토콜을 통해 수신된 메시지를 저장 및 재구성하고, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행한다.In more detail, step 224 stores and reconstructs a message received through a predefined protocol, and analyzes the reconstructed message to determine whether there is malicious activity.

또한, 상기 악성행위 유무 판단은, 휴대단말과 네트워크를 통해 연결된 서버의 악성코드 데이터베이스를 통해 해당 악성코드 검색을 요청하고, 상기 검색된 결과에 대한 반환 요청을 통해 악성행위 패턴을 조회함으로써 수행된다.In addition, the determination of the malicious behavior is performed by requesting the malicious code search through the malicious code database of the server connected through the mobile terminal and the network, and querying the malicious behavior pattern through the return request for the searched result.

상기 판단결과, 악성행위에 해당되지 않은 경우, 220 과정으로 이동하여 해당 어플리케이션의 행위를 계속해서 모니터링하고 이후의 과정을 수행하고, 악성행위에 해당되는 경우 226 과정에서 해당 어플리케이션에 대한 사용을 중지하고 이를 사용자에게 통보한다.As a result of the determination, if it does not correspond to the malicious behavior, go to step 220 to continuously monitor the behavior of the application and perform subsequent processes, and if the malicious behavior corresponds to stopping the use of the application in step 226; Notify this user.

한편, 상기 218 과정에서 기존의 악성코드인 경우 226 과정으로 이동하여 해당 어플리케이션에 대한 사용을 중지하고 이를 사용자에게 통보한다.On the other hand, if the existing malicious code in step 218 to go to step 226 to stop using the application and notify the user.

계속해서, 도 1을 참조하면 이후 118 과정에서 상기 OS(104)는 상기 분석결과를 보안 어플리케이션(106)으로 전송하여 이를 기반으로 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단한다. Subsequently, referring to FIG. 1, in step 118, the OS 104 transmits the analysis result to the security application 106 to determine whether the malware exists in the application and whether the resource is accessed.

이때, 상기 OS(104)는 익명의 어플리케이션 A, B(100, 102)에 대한 분석결과와 같은 주요정보들을 보안 어플리케이션(106)에만 전송하고, 일반 어플리케이션(108)에는 전송하지 않음으로써 무분별한 어플리케이션 제어 및 또 다른 보안문제 발생을 차단하도록 제어한다.At this time, the OS 104 transmits the main information such as the analysis results for the anonymous applications A and B 100 and 102 only to the security application 106, and not to the general application 108, thereby indiscriminate application control. And to prevent another security problem from occurring.

계속해서, 120 과정에서 보안 어플리케이션(106)은 상기 OS(104)로 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 통보한다. Subsequently, in step 120, the security application 106 notifies the OS 104 of the existence of malicious code in the application and access of resources.

그리고, 122 과정에서 상기 120 과정의 판단결과에 따라 해당 어플리케이션의 실행을 제어한다. 즉, 실행이 제어된 어플리케이션에서 악성행위에 대한 악성코드 제거 및 자원에의 접근에 대한 위협행위에 대한 차단을 수행한다.
In operation 122, the execution of the corresponding application is controlled according to the determination result of operation 120. In other words, in the application whose execution is controlled, the malicious code is removed for malicious behaviors and the threats for access to resources are blocked.

이상에서는 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 방법에 대해서 살펴보았다.In the above, the malicious behavior processing method in the mobile terminal according to an embodiment of the present invention has been described.

이하, 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치에 관해 도 3을 참조하여 자세히 살펴보기로 한다.Hereinafter, a malicious activity processing apparatus in a mobile terminal according to an embodiment of the present invention will be described in detail with reference to FIG. 3.

도 3은 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치의 구성을 보인 블록도이다. 도 3을 참조하면, 상기 휴대단말에서 악성행위 처리 장치는 OS(310) 및 보안 어플리케이션(318)을 포함하는 것으로만 도시되어 있으나, 이외에 상기 휴대단말은 카메라, 스피커, 마이크, 메모리 및 무선통신부 등을 더 구비할 수있다.3 is a block diagram showing the configuration of a malicious behavior processing apparatus in a mobile terminal according to an embodiment of the present invention. Referring to FIG. 3, the malicious activity processing apparatus in the portable terminal is illustrated as including only an OS 310 and a security application 318. In addition, the portable terminal includes a camera, a speaker, a microphone, a memory, a wireless communication unit, and the like. Can be equipped with more.

상기 OS(310)는 휴대단말의 통신 및 인터페이스를 제공하고, 다수의 어플리케이션을 통합관리하며 상기 휴대단말로 입력된 어플리케이션(300)의 상태를 모니터링하여, 상기 모니터링 결과에 따라 어플리케이션의 실행을 제어한다.The OS 310 provides a communication and interface of the mobile terminal, integrates and manages a plurality of applications, monitors the state of the application 300 input to the mobile terminal, and controls the execution of the application according to the monitoring result. .

상기 보안 어플리케이션은 상기 OS(310)하에서 동작하며, 상기 OS(310)로부터 출력된 정보를 통해 특정 어플리케이션에서 악성행위에 대한 악성코드 제거 및 자원에의 접근에 대한 위협행위에 대한 차단을 수행하는 보안 어플리케이션을 포함한다.The security application operates under the OS 310, and performs security for removing a malicious code for malicious behavior and blocking a threat for access to a resource in a specific application through information output from the OS 310. Contains an application.

더욱 상세하게는, 상기 OS(310)은 상기 휴대단말로 입력된 어플리케이션의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하는 감시부(312)와, 상기 전송된 모니터링 결과를 분석하여 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단하는 분석부(316) 및 상기 휴대단말의 전반적인 동작을 제어하고, 특히 상기 분석부의 판단결과에 따라 해당 어플리케이션의 실행을 제어하는 제어부(314)를 포함한다.
In more detail, the OS 310 includes a monitoring unit 312 that monitors and transmits an application input to the mobile terminal to a resource in the mobile terminal and monitors data and behavior of the application, and the transmission. Analyzing the monitoring results to control the overall operation of the analysis unit 316 and the mobile terminal for determining the presence of malicious code and access to resources, and in particular, executing the application according to the determination result of the analysis unit. The control unit 314 for controlling the.

도 4는 본 발명의 일 실시 예에 따른 휴대단말의 OS에서 사용자 정보보호와 어플리케이션의 악성행위 차단을 기반으로 설계된 프레임워크(framework, 400)의 구성을 보인 블록도이다.FIG. 4 is a block diagram showing a configuration of a framework 400 designed based on protecting user information and blocking malicious behavior of an application in an OS of a mobile terminal according to an embodiment of the present invention.

도 4를 참조하면, 상기 프레임워크(400)는 이벤트 캡쳐부(event capture, 410), 메시지 매니저부(message manager, 412), 메시지 분석부(message analzyer, 414) 및 데이터 매니저부(data manager, 416)을 포함한다.Referring to FIG. 4, the framework 400 includes an event capture unit 410, a message manager 412, a message analzyr 414, and a data manager. 416).

상기 이벤트 캡쳐부(410)은 소정 어플리케이션이 휴대단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 상기 획득된 이벤트에서 특정 이벤트만을 선별한 후 이를 메시지 형태로 생성하여 전송한다.The event capture unit 410 obtains an event generated when a predetermined application accesses a resource in the mobile terminal, selects only a specific event from the obtained event, and generates and transmits it in the form of a message.

상기 메시지 매니저부(412)는 상기 이벤트 캡쳐부(410)에서 생성된 메시지를 미리 정의된 프로토콜을 통해 전송한다.The message manager 412 transmits the message generated by the event capture unit 410 through a predefined protocol.

상기 메시지 분석부(414)는 상기 메시지 매니저부(412)로부터 전송된 메시지를 저장 및 재구성하고, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행한다.The message analyzer 414 stores and reconstructs the message transmitted from the message manager 412, and analyzes the reconstructed message to determine whether there is malicious activity.

상기 데이터 매니저부(416)은 악성코드 데이터베이스를 통해 해당 악성코드 검색을 요청하고, 상기 검색된 결과에 대한 반환 요청을 통해 악성행위 패턴을 조회한다.The data manager 416 requests a search for a corresponding malicious code through a malicious code database, and inquires about a malicious behavior pattern through a request for return of the searched result.

상기 이벤트 캡쳐부(410)은 특정 어플리케이션에 대한 모니터링된 정보 수신 시, 이벤트 메시지 필터(418)를 통해 미리 설정된 수신을 기준으로 선별된 수신정보 만을 메시지 매니저부(412)로 전송한다.When the event capture unit 410 receives the monitored information about the specific application, the event capture unit 410 transmits only the reception information selected based on a preset reception through the event message filter 418 to the message manager unit 412.

또한, 상기 이벤트 캡쳐부(410)은 미리 정의된 프로토콜을 사용하는 스트림 인터페이스(stream interface, 420)를 통해 외부 장치와의 통신 가능하다.In addition, the event capture unit 410 may communicate with an external device through a stream interface 420 using a predefined protocol.

이때, 상기 스트림 인터페이스(420)은 해당 프레임워크 내의 각 유닛이 해당 운영체제의 서비스에 패치(patch)되어 상기 운영체제와의 충돌없이 독립적인 서비스 실행이 가능하도록 하는 것으로, 그 밖에 공유 메모리(432), 바인더 아이피씨(Binder IPC, 430) 및 소켓(Socket, 428) 등으로 구현된다.In this case, the stream interface 420 is to allow each unit in the framework to be patched to the service of the operating system to enable independent service execution without conflict with the operating system, in addition to the shared memory 432, It is implemented with a binder IPC (430) and a socket (Socket, 428).

한편, 상기 프레임 워크 내 각 유닛 간(410, 412, 414 및 416) 전송되는 메시지 구조체(Message Structure, 422)의 제1항목은 프로토콜의 버전을 정의하는 버전(version)과, 제2항목은 발생되는 이벤트의 타입을 정의하는 타입(type)과, 제3항목은 상기 이벤트를 발생시킨 어플리케이션을 정의하는 콜러네임(caller name)과, 제4항목은 상기 발생된 이벤트를 감지한 캡쳐(capture)와, 제5항목은 해당 어플리케이션이 요청한 자원과 함께 전달되는 인자 값을 정의하는 파리미터(parameter)로 구성된다.Meanwhile, a first item of a message structure 422 transmitted between units 410, 412, 414, and 416 within the framework is a version defining a version of a protocol, and a second item is generated. A type defining a type of an event to be generated, a third item representing a caller name defining an application generating the event, and a fourth item representing a capture detecting the generated event; In this case, the fifth item is composed of parameters defining parameter values delivered with the resource requested by the application.

상기 메시지 분석부(412)는 상기 메시지 매니저부(412)로부터 전송된 메시지를 리스트(List) 혹은 트리(Tree) 형태로 저장 및 재구성하는 콘테이너 인터페이스부(container interface, 424)부와, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행하는 알고리즘 인터페이스부(algorithm interface, 426)부를 포함한다.The message analyzer 412 may include a container interface 424 that stores and reconstructs a message transmitted from the message manager 412 in a list or tree form. It includes an algorithm interface (426) to analyze the message to determine the presence of malicious behavior (algorithm interface, 426).

이때, 상기 알고리즘 인터페이스부(426)는 저장된 메시지를 분석하기 위해서 사용되는 것으로, 알고리즘은 통계적인 알고리즘(Statistic Algorithm, 434) 및 유전자 알고리즘(Genetic Algorithm, 436)을 이용한다.In this case, the algorithm interface unit 426 is used to analyze the stored message, and the algorithm uses a statistical algorithm (Statistic Algorithm, 434) and a genetic algorithm (Genetic Algorithm, 436).

여기서, 상기 프레임워크의 이벤트 캡쳐부(event capture, 410), 메시지 매니저부(message manager, 412)는 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치에서 감시부에 해당하는 것으로, 도 5를 참조하면, 소정 어플리케이션(510)이 휴대단말 내 자원(513)에의 접근 시 발생하는 이벤트를 이벤트 캡쳐부(512)에서 획득하고, 이벤트 필터(514)를 통해 상기 획득된 이벤트에서 특정 이벤트만을 선별한 후 이를 메시지 형태로 생성하여 미리 정의된 프로토콜을 통해 메시지 매니저부(516)로 전송한다.Here, the event capture unit 410 and the message manager 412 of the framework correspond to the monitoring unit in the malicious behavior processing apparatus in the mobile terminal according to an embodiment of the present invention. 5, the event capture unit 512 acquires an event generated when a predetermined application 510 accesses a resource 513 in the mobile terminal, and only a specific event in the obtained event through the event filter 514. After selection, the message is generated in the form of a message and transmitted to the message manager 516 through a predefined protocol.

상기 메시지 매니저부(516)는 해당 메시지 필터(518)을 통해 해당 메시지의 송신여부를 결정하고, 상기 송신이 결정된 메시지만을 선별하여 분석부(520)로 전송한다.The message manager 516 determines whether to transmit the corresponding message through the corresponding message filter 518, and selects only the determined message and transmits the message to the analyzer 520.

여기서, 상기 프레임워크의 메시지 분석부(414), 데이터 매니저부(416)는 본 발명의 일 실시 예에 따른 휴대단말에서 악성행위 처리 장치에서 분석부에 해당하는 것으로, 도 6을 참조하면, 상기 메시지 매니저부(516)로부터 메시지 분석부(610)로 수신된 메시지를 제어부(612)로 통보하여 해당 어플리케이션의 실행을 제어하도록 한다. Here, the message analyzing unit 414 and the data manager 416 of the framework correspond to the analyzing unit in the malicious behavior processing apparatus in the mobile terminal according to an embodiment of the present invention. Referring to FIG. The controller 612 notifies the message received from the message manager 516 to the message analyzer 610 to control the execution of the corresponding application.

또한, 상기 메시지 분석부(610)는 특정 어플리케이션에 대한 모니터링 정보 이용에 대한 권한설정을 등록하고, 상기 메시지 매니저부(516)로부터 수신된 정보에 대하여 해당 어플리케이션의 프로파일(profile)과 시그니처(signature)기반 검출 기술을 이용하여 분석을 수행하고, 해당 어플리케이션에 악성코드가 존재하는 경우, 상기 악성코드가 기존의 악성코드인지의 여부를 판단한다.In addition, the message analyzer 610 registers the authority setting for the use of monitoring information for a specific application, and the profile and signature of the corresponding application with respect to the information received from the message manager 516. The analysis is performed using the base detection technology, and if the malicious code exists in the application, it is determined whether the malicious code is an existing malicious code.

이때, 상기 어플리케이션의 프로파일(profile)과 시그니처(signature)기반 검출 기술을 이용하여 분석 수행 시, 리스트(List) 혹은 트리(Tree) 형태로 저장 및 재구성하는 콘테이너 인터페이스부(614)부와, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행하는 알고리즘 인터페이스부(616)부를 이용하여 수행된다.At this time, when performing analysis using the profile and signature-based detection technology of the application, the container interface unit 614 for storing and reconfiguring in a list or tree form, and the reconstruction. The algorithm is performed using an algorithm interface unit 616 which analyzes the received message and determines whether there is malicious activity.

상기 알고리즘 인터페이스부(616)는 저장된 메시지를 분석하기 위해서 사용되는 것으로, 알고리즘은 통계적인 알고리즘 및 유전자 알고리즘을 이용할 수 있다.The algorithm interface unit 616 is used to analyze the stored message, and the algorithm may use a statistical algorithm and a genetic algorithm.

상기 알고리즘 인터페이스부(616)는 분석 결과를 데이터 매니저부(620)로 출력하고, 상기 데이터 매니저부(620)는 악성코드 데이터베이스(622)를 통해 해당 악성코드 검색을 요청하고, 상기 검색된 결과에 대한 반환 요청을 통해 악성행위 패턴을 조회한다.
The algorithm interface unit 616 outputs the analysis result to the data manager unit 620, and the data manager unit 620 requests a corresponding malicious code search through the malicious code database 622, and Inquiry about malicious behavior pattern through return request.

상기와 같이 본 발명에 따른 휴대단말에서 악성행위 처리 방법 및 장치에 관한 동작이 이루어질 수 있으며, 한편 상기한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나 여러 가지 변형이 본 발명의 범위를 벗어나지 않고 실시될 수 있다. 따라서 본 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 청구범위와 청구범위의 균등한 것에 의하여 정하여져야 할 것이다.As described above, an operation related to a method and apparatus for processing malicious behaviors in a mobile terminal according to the present invention can be made. Meanwhile, in the above description of the present invention, specific embodiments have been described, but various modifications can be made without departing from the scope of the present invention. Can be implemented. Accordingly, the scope of the present invention should not be limited by the illustrated embodiments, but should be determined by equivalents of the claims and the claims.

312: 감시부 314: 제어부
316: 분석부 318: 보안 어플리케이션312: monitoring unit 314: control unit
316: analysis unit 318: security applications

Claims (23)

휴대단말에서 악성행위 처리 방법에 있어서,
휴대단말의 모바일 운영체제 내 감시부에서는 휴대단말로 입력된 어플리케이션의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하는 과정과,
상기 휴대단말의 모바일 운영체제 내 분석부에서는 상기 감시부로부터 전송된 모니터링 결과를 분석하여 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단하는 과정과,
상기 휴대단말의 모바일 운영체제 내 제어부에서는 상기 분석부에서 악성코드 존재 여부 및 자원에의 접근 여부를 판단한 결과에 따라 해당 어플리케이션의 실행을 제어하는 과정을 포함하고,
상기 판단한 결과에 따라 실행이 제어된 어플리케이션에서 악성행위에 대한 악성코드 제거 및 자원에의 접근에 대한 위협행위에 대한 차단을 수행하는 과정을 더 포함하고,
상기 휴대단말 내 자원에의 접근을 모니터링하는 과정은,
상기 휴대단말 내 자원에 접근을 시도하여 상기 자원을 사용하거나 제어하고, 상기 자원의 정보 수집을 모니터링하고,
상기 모니터링 결과 분석은,
특정 어플리케이션에 대한 모니터링 정보 이용에 대한 권한설정을 등록하는 과정과,
상기 특정 어플리케이션 실행 시 모니터링된 정보를 수신하는 과정과,
상기 수신된 정보에 대하여 해당 어플리케이션의 프로파일(profile)과 시그니처(signature)기반 검출 기술을 이용하여 분석을 수행하는 과정과,
상기 어플리케이션의 프로파일과 시그니처 기반 검출 기술을 이용하여 분석을 수행한 분석 결과, 해당 어플리케이션에 악성코드가 존재하는 경우, 상기 악성코드가 기존의 악성코드인지의 여부를 판단하는 과정과,
상기 악성코드가 기존의 악성코드인지의 여부를 판단한 결과 상기 판단한 결과에 따라 해당 어플리케이션에 대한 실행을 제어하는 과정을 포함하고,
상기 휴대단말 내 자원에의 접근 및 상기 어플리케이션의 데이터와 행위에 대한 모니터링은,
소정 어플리케이션이 휴대단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 상기 획득된 이벤트에서 특정 이벤트만을 선별한 후 이를 메시지 형태로 생성하여 미리 정의된 프로토콜을 통해 전송하고,
상기 모니터링 결과 분석은,
상기 미리 정의된 프로토콜을 통해 수신된 메시지를 저장 및 재구성하고, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행함을 특징으로 하는 휴대단말에서 악성행위 처리 방법.In the method of handling malicious behavior in a mobile terminal,
The monitoring unit in the mobile operating system of the mobile terminal monitors and transmits the data input and behavior of the application and access to resources in the mobile terminal of the application input to the mobile terminal;
A process in which the analysis unit in the mobile operating system of the portable terminal analyzes the monitoring result transmitted from the monitoring unit to determine whether the malicious code exists in the application and whether the resource is accessed;
The control unit in the mobile operating system of the portable terminal includes the process of controlling the execution of the application in accordance with the result of the determination of the presence of malicious code and access to resources,
And removing the malicious code for malicious activity and blocking the threat for access to resources in the application whose execution is controlled according to the determined result.
The process of monitoring access to resources in the mobile terminal,
Attempt to access resources in the mobile terminal to use or control the resources, monitor the collection of information of the resources,
The monitoring result analysis,
Registering a permission setting for the use of monitoring information for a specific application;
Receiving the monitored information when executing the specific application;
Analyzing the received information using a profile and signature-based detection technique of the corresponding application;
A process of determining whether the malicious code is an existing malicious code when the malicious code exists in the corresponding application as a result of the analysis using the profile of the application and the signature-based detection technology;
Determining whether the malicious code is an existing malicious code, and controlling the execution of the corresponding application according to the determined result;
Access to resources in the mobile terminal and monitoring the data and behavior of the application,
A predetermined application acquires an event generated when accessing a resource in a mobile terminal, selects only a specific event from the obtained event, generates it in a message form, and transmits it through a predefined protocol.
The monitoring result analysis,
Storing and reconstructing a message received through the predefined protocol, and analyzing the reconstructed message to determine whether there is a malicious activity. 삭제delete 삭제delete 제1항에 있어서, 상기 악성코드가 기존의 악성코드인지의 여부를 판단한 결과
상기 악성코드가 기존의 악성코드가 아닌 경우, 해당 어플리케이션의 행위를 모니터링하고, 상기 모니터링된 결과를 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 통해 분석하고, 상기 분석 결과 악성행위로 판단된 경우 해당 어플리케이션에 대한 사용을 중지하고 이를 사용자에게 통보함을 특징으로 하는 휴대단말에서 악성행위 처리 방법.According to claim 1, The result of determining whether the malicious code is an existing malicious code
If the malicious code is not an existing malicious code, the behavior of the application is monitored, and the monitored result is analyzed through signature data indicating a pattern of the malicious code as information necessary for verifying the malicious code, and the malicious result as a result of the analysis. If it is determined that the use of the application stops using the notification method to the user characterized in that the mobile device handling malicious behaviors. 삭제delete 삭제delete 제1항에 있어서, 상기 악성행위 유무 판단은,
휴대단말과 네트워크를 통해 연결된 서버의 악성코드 데이터베이스를 통해 해당 악성코드 검색을 요청하고, 상기 검색된 결과에 대한 반환 요청을 통해 악성행위 패턴을 조회하여 수행됨을 특징으로 하는 휴대단말에서 악성행위 처리 방법.The method of claim 1, wherein the malicious activity is determined,
The malicious code processing method of the mobile terminal characterized in that the request is performed through the malicious code database of the server connected via the mobile terminal and the network, and by querying the pattern of malicious behavior through the return request for the searched results. 제1항에 있어서, 상기 권한설정을 등록하는 과정은,
휴대단말의 디스플레이부를 통해 권한설정 등록에 대해 사용자에게 미리 통보하여 사용자 허용 여부를 통해 수행됨을 특징으로 하는 휴대단말에서 악성행위 처리 방법.The method of claim 1, wherein the registering of the authority setting comprises:
The method for processing malicious behavior in a mobile terminal, characterized in that the user is notified in advance of the registration of the permission setting through the display unit of the mobile terminal. 제1항에 있어서, 상기 어플리케이션의 프로파일과 시그니처 기반 검출 기술을 이용하여 분석을 수행하는 과정은,
상기 특정 어플리케이션에 대한 모니터링된 정보 수신 시, 필터를 통해 미리 설정된 수신을 기준으로 선별된 수신정보 만을 수신하여 수행됨을 특징으로 하는 휴대단말에서 악성행위 처리 방법.The method of claim 1, wherein the performing of the analysis using the profile and signature-based detection technique of the application comprises:
When receiving the monitored information for the specific application, malicious behavior processing method in the mobile terminal, characterized in that is performed by receiving only the received information selected based on the preset reception through the filter. 삭제delete 휴대단말 악성행위 처리 장치에 있어서,
휴대단말의 통신 및 인터페이스를 제공하고, 다수의 어플리케이션을 통합관리하며 상기 휴대단말로 입력된 어플리케이션의 상태를 모니터링하여, 상기 모니터링 결과에 따라 어플리케이션의 실행을 제어하는 운영체제와,
상기 운영체제하에서 동작하며, 상기 운영체제로부터 출력된 정보를 통해 특정 어플리케이션에서 악성행위에 대한 악성코드 제거 및 자원에의 접근에 대한 위협행위에 대한 차단을 수행하는 보안 어플리케이션을 포함하고,
상기 운영체제는,
휴대단말로 입력된 어플리케이션의 상기 휴대단말 내 자원(resource)에의 접근 및 상기 어플리케이션의 데이터와 행위를 모니터링하여 전송하는 감시부와,
상기 전송된 모니터링 결과를 분석하여 상기 어플리케이션 내 악성코드 존재 여부 및 자원에의 접근 여부를 판단하는 분석부 및
상기 분석부의 판단결과에 따라 해당 어플리케이션의 실행을 제어하는 제어부를 포함하고,
상기 감시부는,
상기 휴대단말 내 자원에 접근을 시도하여 상기 자원을 사용하거나 제어하고, 상기 자원의 정보 수집을 모니터링하고,
상기 분석부는,
특정 어플리케이션에 대한 모니터링 정보 이용에 대한 권한설정을 등록하고, 상기 특정 어플리케이션 실행 시 모니터링된 정보를 수신하여, 상기 수신된 정보에 대하여 해당 어플리케이션의 프로파일(profile)과 시그니처(signature)기반 검출 기술을 이용하여 분석을 수행하고, 해당 어플리케이션에 악성코드가 존재하는 경우, 상기 악성코드가 기존의 악성코드인지의 여부를 판단하여 상기 제어부로 출력함을 특징으로 하고,
상기 운영체제는,
소정 어플리케이션이 휴대단말 내 자원에의 접근 시 발생하는 이벤트를 획득하고, 상기 획득된 이벤트에서 특정 이벤트만을 선별한 후 이를 메시지 형태로 생성하여 전송하는 이벤트 캡쳐부(event capture)와,
상기 이벤트 캡쳐부에서 생성된 메시지를 미리 정의된 프로토콜을 통해 전송하는 메시지 매니저부(message manager)와,
상기 메시지 매니저부로부터 전송된 메시지를 저장 및 재구성하고, 상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행하는 메시지 분석부(message analzyer) 및
악성코드 데이터베이스를 통해 해당 악성코드 검색을 요청하고, 상기 검색된 결과에 대한 반환 요청을 통해 악성행위 패턴을 조회하는 데이터 매니저부(data manager)를 포함하는 휴대단말 내 사용자 정보보호와 어플리케이션의 악성 행위 차단을 기반으로 설계된 프레임워크를 포함함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.In the mobile terminal malicious behavior processing device,
An operating system for providing a communication and interface of the mobile terminal, integrated management of a plurality of applications, monitoring the state of the application input to the mobile terminal, and controlling the execution of the application according to the monitoring result;
It operates under the operating system, and includes a security application for performing the removal of the malicious code for malicious behaviors and the threat of access to resources through the information output from the operating system,
The operating system,
A monitoring unit that monitors and transmits data input and behavior of the application and access to resources in the portable terminal of the application input to the portable terminal;
An analysis unit for analyzing the transmitted monitoring result and determining whether malicious code exists in the application and whether access to a resource is performed;
A control unit for controlling execution of a corresponding application according to a determination result of the analysis unit;
Wherein,
Attempt to access resources in the mobile terminal to use or control the resources, monitor the collection of information of the resources,
The analysis unit,
Registering the authority setting for the use of monitoring information for a specific application, receiving the monitored information when executing the specific application, and using the profile and signature-based detection technology of the corresponding application with respect to the received information. When the analysis is performed, and if the malicious code is present in the application, it is determined whether the malicious code is an existing malicious code, and outputs it to the controller.
The operating system,
An event capture unit for acquiring an event occurring when a predetermined application accesses a resource in the mobile terminal, selecting only a specific event from the obtained event, and generating and transmitting the specific event in a message form;
A message manager for transmitting the message generated by the event capture unit through a predefined protocol;
A message analzyr for storing and reconstructing the message transmitted from the message manager unit and analyzing the reconstructed message to determine whether there is malicious activity;
Requests to search the malicious code through the malicious code database and blocks the malicious behavior of the application and user information protection in the mobile terminal including a data manager for retrieving the pattern of malicious behavior through a request for return of the searched result. Malicious behavior processing device in a mobile terminal, characterized in that it comprises a framework designed based on. 삭제delete 삭제delete 삭제delete 제11항에 있어서, 상기 제어부는,
상기 분석부에서 판단된 악성코드가 기존의 악성코드가 아닌 경우, 해당 어플리케이션의 행위를 상기 감시부를 통해 모니터링하여 수신하고, 상기 분석부를 통해 모니터링된 결과를 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 이용하여 분석하도록 제어하고, 상기 분석 결과 악성행위로 판단된 경우 해당 어플리케이션에 대한 사용을 중지하고 이를 사용자에게 통보함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 11, wherein the control unit,
If the malicious code determined by the analysis unit is not an existing malicious code, the behavior of the application is monitored and received through the monitoring unit, and the result of the monitoring through the analysis unit is a pattern of malicious code as information necessary for malicious code verification. And controlling to analyze the signature data using the signature data, and stopping the use of the corresponding application and notifying the user if it is determined that the malicious activity is a result of the analysis. 삭제delete 삭제delete 제11항에 있어서, 상기 이벤트 캡쳐부는,
상기 특정 어플리케이션에 대한 모니터링된 정보 수신 시, 필터를 통해 미리 설정된 수신을 기준으로 선별된 수신정보만을 메시지 매니저부로 전송함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 11, wherein the event capture unit,
When receiving the monitored information for the particular application, the malicious behavior processing device in the mobile terminal, characterized in that for transmitting only the received information selected based on the preset reception through the filter. 제11항에 있어서, 상기 메시지 분석부는,
상기 메시지 매니저부로부터 전송된 메시지를 리스트(List) 혹은 트리(Tree) 형태로 저장 및 재구성하는 콘테이너 인터페이스부(container interface)부와,
상기 재구성된 메시지를 분석하여 악성행위 유무 판단을 수행하는 알고리즘 인터페이스부(algorithm interface)부를 포함함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 11, wherein the message analysis unit,
A container interface unit for storing and reconstructing a message transmitted from the message manager unit in a form of a list or a tree;
And an algorithm interface unit configured to analyze the reconstructed message and determine whether there is a malicious activity. 제11항에 있어서, 상기 이벤트 캡쳐부는,
미리 정의된 프로토콜을 사용하는 스트림 인터페이스(stream interface)를 통해 외부 장치와의 통신이 가능함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 11, wherein the event capture unit,
An apparatus for processing malicious behavior in a mobile terminal, characterized in that communication with an external device is possible through a stream interface using a predefined protocol. 제20항에 있어서, 상기 스트림 인터페이스는,
해당 프레임워크 내의 각 유닛이 해당 운영체제의 서비스에 패치(patch)되어 상기 운영체제와의 충돌없이 독립적인 서비스 실행이 가능하도록 함을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 20, wherein the stream interface,
Each unit in the framework is patched to a service of the operating system to enable the independent service execution without conflict with the operating system, characterized in that the device for handling malicious behaviors in the mobile terminal. 제11항에 있어서,
상기 프레임 워크 내 각 유닛 간 전송되는 메시지의 제1항목은 프로토콜의 버전을 정의하는 버전(version)과, 제2항목은 발생되는 이벤트의 타입을 정의하는 타입(type)과, 제3항목은 상기 이벤트를 발생시킨 어플리케이션을 정의하는 콜러네임(caller name)과, 제4항목은 상기 발생된 이벤트를 감지한 캡쳐(capture)와, 제5항목은 해당 어플리케이션이 요청한 자원과 함께 전달되는 인자 값을 정의하는 파리미터(parameter)로 형성됨을 특징으로 하는 휴대단말에서 악성행위 처리 장치.The method of claim 11,
The first item of the message transmitted between each unit in the framework is a version defining the version of the protocol, the second item is a type defining the type of the event to occur, and the third item is the Caller name (caller name) that defines the application that triggered the event, the fourth item is the capture (capture) to detect the generated event, the fifth item defines the parameter value to be delivered with the resource requested by the application Malicious behavior processing device in a mobile terminal, characterized in that formed as a parameter (parameter). 제1항, 제4항, 제7항, 제8항, 제9항 중 어느 한 항의 악성행위 처리 방법을 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.A computer-readable recording medium having recorded thereon a program for executing the method for processing malicious activity according to any one of claims 1, 4, 7, 8, and 9.
KR1020110055153A 2011-06-08 2011-06-08 Method and apparatus for treating malicious action in mobile terminal KR101266037B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110055153A KR101266037B1 (en) 2011-06-08 2011-06-08 Method and apparatus for treating malicious action in mobile terminal

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110055153A KR101266037B1 (en) 2011-06-08 2011-06-08 Method and apparatus for treating malicious action in mobile terminal

Publications (2)

Publication Number Publication Date
KR20120136126A KR20120136126A (en) 2012-12-18
KR101266037B1 true KR101266037B1 (en) 2013-05-21

Family

ID=47903664

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110055153A KR101266037B1 (en) 2011-06-08 2011-06-08 Method and apparatus for treating malicious action in mobile terminal

Country Status (1)

Country Link
KR (1) KR101266037B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628837B1 (en) * 2014-12-10 2016-06-10 고려대학교 산학협력단 Malicious application or website detecting method and system
KR20170033217A (en) 2015-09-16 2017-03-24 박서준 Protection system, apparatus, and method for protecting telecommunications equipment
KR20170033213A (en) 2015-09-16 2017-03-24 박서준 Protection system, apparatus, and method for protecting telecommunications equipment
KR20170094533A (en) 2017-08-08 2017-08-18 박서준 Protection system, apparatus, and method for protecting telecommunications equipment

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101414084B1 (en) * 2013-03-28 2014-07-04 한신대학교 산학협력단 System and for Malicious Application Detection on Mobile Device and Method thereof
KR101416717B1 (en) * 2013-03-28 2014-07-09 (주)엠더블유스토리 System for preventing malicious intrusion based on smart device and method thereof
US9300682B2 (en) 2013-08-09 2016-03-29 Lockheed Martin Corporation Composite analysis of executable content across enterprise network
KR101594317B1 (en) * 2014-02-19 2016-02-16 주식회사 엔오디비즈웨어 Method of operating package application including self defense security module and storage medium storing the package application
KR101673364B1 (en) * 2015-07-22 2016-11-07 주식회사 엔에스에이치씨 Security providing method of improving security of application in mobile device using access monitoring on memory information
KR101590626B1 (en) * 2015-08-12 2016-02-01 이선희 Method and apparatus for controlling user privacy information in communication device
KR102019483B1 (en) * 2017-12-27 2019-09-06 주식회사 시큐아이 Removable storage device and security method thereof
KR102605461B1 (en) * 2018-09-20 2023-11-23 삼성전자주식회사 Electronic device for providing service using secure element and operating method thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007519308A (en) * 2003-11-27 2007-07-12 ナグラカード エス. アー. Application authentication method
KR101042733B1 (en) * 2009-04-09 2011-06-20 삼성에스디에스 주식회사 System-on-chip based malware detecting apparatus in mobile device

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007519308A (en) * 2003-11-27 2007-07-12 ナグラカード エス. アー. Application authentication method
KR101042733B1 (en) * 2009-04-09 2011-06-20 삼성에스디에스 주식회사 System-on-chip based malware detecting apparatus in mobile device

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101628837B1 (en) * 2014-12-10 2016-06-10 고려대학교 산학협력단 Malicious application or website detecting method and system
KR20170033217A (en) 2015-09-16 2017-03-24 박서준 Protection system, apparatus, and method for protecting telecommunications equipment
KR20170033213A (en) 2015-09-16 2017-03-24 박서준 Protection system, apparatus, and method for protecting telecommunications equipment
KR20170094533A (en) 2017-08-08 2017-08-18 박서준 Protection system, apparatus, and method for protecting telecommunications equipment

Also Published As

Publication number Publication date
KR20120136126A (en) 2012-12-18

Similar Documents

Publication Publication Date Title
KR101266037B1 (en) Method and apparatus for treating malicious action in mobile terminal
US10893068B1 (en) Ransomware file modification prevention technique
US9596257B2 (en) Detection and prevention of installation of malicious mobile applications
Arslan et al. Permission-based malware detection system for android using machine learning techniques
AU2018229557A1 (en) Methods and apparatus for identifying and removing malicious applications
WO2019133453A1 (en) Platform and method for retroactive reclassification employing a cybersecurity-based global data store
WO2019133451A1 (en) Platform and method for enhanced-cyber-attack detection and response employing a global data store
Anwar et al. A static approach towards mobile botnet detection
US20120260340A1 (en) Methods and apparatus for dealing with malware
CN108932428B (en) Lesog software processing method, device, equipment and readable storage medium
US11671461B1 (en) Apparatus and methods thereof for inspecting events in a computerized environment respective of a unified index for granular access control
KR20150124370A (en) Method, apparatus and system for detecting malicious process behavior
KR101731312B1 (en) Method, device and computer readable recording medium for searching permission change of application installed in user's terminal
CN103746992A (en) Reverse-based intrusion detection system and reverse-based intrusion detection method
CN110688653A (en) Client security protection method and device and terminal equipment
US9785775B1 (en) Malware management
CN115086036B (en) Cloud platform safety protection method, device, equipment and storage medium
CN109802955B (en) Authority control method and device, storage medium and computer equipment
Lee et al. Warning system for detecting malicious applications on android system
Hein Permission based malware protection model for android application
Jeong et al. SafeGuard: a behavior based real-time malware detection scheme for mobile multimedia applications in android platform
Ju et al. Research on android malware permission pattern using permission monitoring system
Ham et al. Vulnerability monitoring mechanism in Android based smartphone with correlation analysis on event-driven activities
CN109800580B (en) Permission control method and device of system process, storage medium and computer equipment
CN112398784A (en) Method and device for defending vulnerability attack, storage medium and computer equipment

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160428

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180427

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20190418

Year of fee payment: 7