KR20080074271A - Apparatus and method for detecting malware in mobile hand-held devices - Google Patents

Apparatus and method for detecting malware in mobile hand-held devices Download PDF

Info

Publication number
KR20080074271A
KR20080074271A KR1020070013060A KR20070013060A KR20080074271A KR 20080074271 A KR20080074271 A KR 20080074271A KR 1020070013060 A KR1020070013060 A KR 1020070013060A KR 20070013060 A KR20070013060 A KR 20070013060A KR 20080074271 A KR20080074271 A KR 20080074271A
Authority
KR
South Korea
Prior art keywords
malicious code
information
mobile terminal
detection
suspected
Prior art date
Application number
KR1020070013060A
Other languages
Korean (ko)
Other versions
KR100878895B1 (en
Inventor
박태준
안태진
정태철
Original Assignee
삼성전자주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 삼성전자주식회사 filed Critical 삼성전자주식회사
Priority to KR1020070013060A priority Critical patent/KR100878895B1/en
Publication of KR20080074271A publication Critical patent/KR20080074271A/en
Application granted granted Critical
Publication of KR100878895B1 publication Critical patent/KR100878895B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/70Reducing energy consumption in communication networks in wireless communication networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

A device and a method for processing malware in a mobile terminal are provided to reduce battery consumption largely by minimizing CPU, memory, and communication overhead without degrading malware detection performance. A first detector(12) detects information suspected as malware by analyzing the information inputted to a mobile terminal. A second detector(14) verifies whether the detected suspected information is the malware or not by receiving the information needed for verifying the malware from a central processing center connected with the mobile terminal through the wired/wireless network. A display unit displays a detection result of the first detector and/or a verification result of the second detector. The central processing unit includes a database storing the information needed for verifying the malware and a processor. The processor receiving the information suspected as the malware from the mobile terminal, extracts the information needed for verification for determining whether or not the received suspected information corresponds to the malware by referring to the database, and transmits the extracted information to the mobile terminal.

Description

휴대단말 악성코드 처리장치 및 그 처리 방법{Apparatus and method for detecting malware in mobile hand-held devices}Apparatus and method for detecting malware in mobile hand-held devices}

도 1은 본 발명의 바람직한 실시예에 따른 휴대단말 악성코드 처리 시스템의 개요도,1 is a schematic diagram of a mobile terminal malware processing system according to a preferred embodiment of the present invention;

도 2 및 도 3은 본 발명의 제1 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,2 and 3 are block diagrams of a malicious code processing apparatus and a central processing center according to a first embodiment of the present invention;

도 4 및 도 5는 본 발명의 제2 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,4 and 5 are block diagrams of a malicious code processing apparatus and a central processing center according to a second embodiment of the present invention;

도 6 및 도 7은 본 발명의 제3 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,6 and 7 are block diagrams of a malicious code processing apparatus and a central processing center according to a third embodiment of the present invention;

도 8 및 도 9는 본 발명의 제4 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,8 and 9 are block diagrams of a malicious code processing apparatus and a central processing center according to a fourth embodiment of the present invention;

도 10은 악성코드 데이터베이스의 일 실시예,10 illustrates an embodiment of a malware database.

도 11은 본 발명의 일 실시예에 따른 악성코드 처리방법을 도시한 플로차트,11 is a flowchart illustrating a malicious code processing method according to an embodiment of the present invention;

도 12는 본 발명의 다른 실시예에 따른 악성코드 처리방법을 도시한 플로차트이다.12 is a flowchart illustrating a malicious code processing method according to another embodiment of the present invention.

<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>

10: 휴대단말 악성코드 처리장치 20: 중앙처리센터10: mobile device malware processing device 20: central processing center

12, 32: 제1 검출부 14, 46: 제2 검출부12, 32: first detector 14, 46: second detector

16, 36: 검출처리부 24, 44: 데이터베이스 16, 36: detection processing unit 24, 44: database

본 발명은 스마트폰, PDA(personal digital assistant), WiBro 단말 등의 각종 휴대단말에 관한 것으로, 특히 휴대단말에서 바이러스, 웜, 스파이웨어, 스팸, 해킹툴 등의 각종 악성코드(malware)를 검출하여 처리하는 휴대단말 악성코드 처리장치 및 그 처리 방법에 관한 것이다.The present invention relates to various mobile terminals such as smart phones, personal digital assistants (PDAs), WiBro terminals, and the like, and specifically detects various malware such as viruses, worms, spyware, spam, hacking tools, etc. The present invention relates to a mobile terminal malware processing apparatus for processing and a processing method thereof.

최근 스마트폰, PDA, WiBro 단말 등이 보편화되면서 휴대단말은 현대인의 생활에서 빼놓을 수 없는 중요한 도구가 되고 있다. 많은 사람들이 휴대단말을 이용하여 서로 안부를 묻고 정보를 교환하며 음성 및 데이터 통신을 통하여 업무상 중요한 정보를 교환하기도 한다.Recently, as smartphones, PDAs, WiBro terminals, and the like become more common, portable terminals have become an indispensable tool in modern life. Many people use mobile terminals to talk about each other, exchange information, and exchange business-critical information through voice and data communications.

한편, 휴대단말의 하드웨어가 고급화되고 휴대단말에서 수행되는 응용프로그램이 다양해지고 복잡해져 감에 따라 기존 컴퓨터를 공격하던 악성코드가 휴대단말에도 심각한 폐해를 일으킬 가능성이 높아지고 있다. 특히, WiBro 등 무선 휴대 인터넷 서비스가 확산되는 추세에 따라 기존 컴퓨터용 응용 프로그램의 취약점을 공격하는 악성코드에 더하여 블루투스(Bluetooth), MMS(Multimedia Messaging System) 등 휴대단말용 응용 프로그램 및 서비스의 취약점을 공격하는 모바일 악성 코드(mobile malware)가 등장하고 있다. 이러한 각종 악성코드들은 휴대단말의 오동작을 유도하고 데이터를 삭제하거나 사용자 개인정보를 유출하는 등 심각한 피해를 입힐 수 있다. 따라서 각종 악성코드로부터 휴대단말을 효과적으로 보호하기 위한 대책이 요구된다.On the other hand, as the hardware of the mobile terminal is advanced and the applications executed in the mobile terminal are diversified and complicated, the malicious code that attacks the existing computer is likely to cause serious damage to the mobile terminal. In particular, with the proliferation of wireless mobile Internet services such as WiBro, in addition to malicious code that attacks vulnerabilities of existing computer applications, the vulnerability of mobile applications and services such as Bluetooth and MMS (Multimedia Messaging System) Attacking mobile malware is emerging. These various malicious codes can cause serious damage such as inducing malfunction of the mobile terminal, deleting data or leaking user's personal information. Therefore, a countermeasure for effectively protecting a mobile terminal from various malicious codes is required.

종래의 악성코드 검출 기술로는 시그니처 기반(signature-based) 검출 방식이 대표적이다. 이 방식은 인터넷 환경에서 실행되는 안티 바이러스(anti-virus) 소프트웨어에서 널리 사용되고 있다. 보다 구체적으로 시그니처 기반 검출방식은 알려진 악성코드 중 일부 패턴들(이하 '시그니처' 라고 한다)을 데이터베이스에 저장하고, 입력되는 정보와 데이터베이스에 저장된 악성코드 시그니처 데이터를 일일이 비교하여 일치하는 시그니처가 존재하는지 검사함으로써 악성코드를 검출한다. A signature-based detection scheme is typical of conventional malware detection techniques. This approach is widely used in anti-virus software running in the Internet environment. More specifically, the signature-based detection method stores some patterns of known malware (hereinafter referred to as 'signatures') in a database, compares the input information with the malware signature data stored in the database, and checks whether there is a matching signature. By detecting malicious code.

그러나 전술한 시그니처 기반 검출방식은 다음과 같이 심각한 문제점을 가지고 있다. 첫째, 알려진 악성코드의 개수가 늘어남에 따라 필연적으로 시그니처 데이터베이스의 크기가 급속히 늘어나게 되며, 이로 인해 CPU 오버헤드, 메모리 오버헤드 및 배터리 소모 급증이라는 문제를 야기 시킨다. 특히 배터리 자원이 극히 제한된 휴대단말에 시그니처 기반 검출방식을 그대로 적용할 경우 단말의 성능을 심각하게 저하시키게 된다. 둘째, 악성코드의 확산 시점과 시그니처 데이터베이스의 갱신 시점 사이의 시차로 인해 악성코드의 실시간 검출 및 치료가 불가능하다는 문제점이 있다.However, the signature-based detection method described above has serious problems as follows. First, as the number of known malicious codes increases, the size of the signature database inevitably increases rapidly, which causes problems such as CPU overhead, memory overhead, and battery consumption surge. In particular, if the signature-based detection method is applied to a mobile terminal with extremely limited battery resources, the performance of the terminal is seriously degraded. Second, there is a problem in that real-time detection and treatment of the malicious code is impossible due to the time difference between the spreading time of the malicious code and the updating time of the signature database.

이러한 문제점을 해결하기 위하여 미국공개특허 2003-0162575호는 전술한 시그니처 기반 검출 방식을 휴대단말 환경에 맞게 개량한 발명을 제안하고 있다. 이 발명은 대용량의 시그니처 데이터베이스 및 악성코드 검출수단을 휴대단말과 별개의 정보처리장치에 탑재하는 것을 요지로 한다. 휴대단말은 악성코드 검출 수단을 전혀 탑재하지 않고 별도의 정보처리장치로부터 검출결과를 수신한다. 이에 따라 휴대단말은 입력되는 모든 데이터를 전술한 정보처리장치에 전송하고 검출결과를 수신하여 악성코드 감염 여부를 판단한다. In order to solve this problem, US Patent Publication No. 2003-0162575 proposes an invention in which the signature-based detection method described above is improved to be suitable for a mobile terminal environment. The present invention aims to mount a large-capacity signature database and malicious code detection means in an information processing apparatus separate from the mobile terminal. The portable terminal receives the detection result from a separate information processing apparatus without any malicious code detection means. Accordingly, the portable terminal transmits all the input data to the above-described information processing apparatus and receives the detection result to determine whether the malicious code is infected.

그러나 전술한 발명에 따르면 휴대단말로 입력되는 모든 데이터를 별도의 정보처리장치로 전송해야 하므로 과도한 통신 오버헤드가 발생한다는 문제점이 발생한다. 과도한 통신 오버헤드는 결국 데이터 전송비용의 증가와 배터리 소모량의 급증으로 이어지게 되므로 역시 휴대단말 환경에 적용하기에는 매우 비효율적이다.However, according to the above-described invention, since all data input to the mobile terminal must be transmitted to a separate information processing apparatus, there is a problem that excessive communication overhead occurs. Excessive communication overhead eventually leads to an increase in data transmission costs and a surge in battery consumption, which is also very inefficient for the mobile terminal environment.

한편, 일본공개특허 2003-216447호는 휴대단말의 CPU 및 메모리 용량이 시그니처 데이터베이스를 저장하기에는 충분하지 않다는 점에 착안하여 서버로부터 시그니처 데이터베이스 중 일부의 특정 시그니처 데이터만을 다운로드 받아 휴대단말에서 악성코드를 검출하는 구성을 제안하고 있다. 예를 들어 전체 시그니처 데이터베이스에 1만개의 시그니처 데이터가 저장되어 있다고 가정하면 이 중 최근에 발견된 1천개의 시그니처 데이터만을 선택적으로 다운로드 받아 휴대단말에서 악성코드를 검출하도록 하는 것이다.On the other hand, Japanese Laid-Open Patent Publication No. 2003-216447 pays attention to the fact that the CPU and memory capacity of the mobile terminal are not sufficient to store the signature database, so that only specific signature data of a part of the signature database is downloaded from the server to detect malicious code in the mobile terminal. We suggest constitution to make. For example, assuming that 10,000 signature data is stored in the entire signature database, only 1,000 signature data recently found are selectively downloaded to detect malware in the mobile terminal.

그러나 전술한 발명의 경우 일부의 시그니처 데이터만을 이용하여 패턴매칭을 수행하게 되므로 악성코드의 검출 성능이 저하되는 문제점을 가진다. However, in the above-described invention, since pattern matching is performed using only some signature data, the detection performance of the malicious code is deteriorated.

본 발명은 상술한 바와 같은 종래기술의 문제점을 해결하기 위해 안출된 것 으로서, 악성코드 검출 성능을 저하시키지 않으면서 CPU, 메모리 및 통신 오버헤드를 최소화하여 배터리 소모를 대폭 절감하는 휴대단말용 초경량 악성코드 처리장치 및 그 처리 방법을 제공하는 것을 목적으로 한다.The present invention has been made to solve the problems of the prior art as described above, ultra-light malicious for the mobile terminal to significantly reduce the battery consumption by minimizing the CPU, memory and communication overhead without degrading malware detection performance An object of the present invention is to provide a code processing apparatus and a processing method thereof.

전술한 목적을 달성하기 위하여 본 발명은 휴대단말에 탑재되는 악성코드 처리장치와 중앙처리센터 간의 상호협력을 통한 악성코드 검출 시스템을 구성하는 것을 특징으로 한다. 특히 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 확인하는 2차 검출 과정을 포함하는 2단계의 검출과정을 구현하는 휴대단말 악성코드 처리 시스템을 제안한다. 이때, 제2 검출 과정을 휴대단말에 탑재되는 악성코드 처리장치에서 수행할지 또는 중앙처리센터에서 수행할지에 따라 본 발명에 따른 휴대단말 악성코드 처리 시스템을 다양한 실시예로 구현할 수 있다.In order to achieve the above object, the present invention is characterized by configuring a malicious code detection system through mutual cooperation between the malicious code processing apparatus mounted on a mobile terminal and the central processing center. In particular, a primary detection process that detects information (including programs or data) suspected of malicious code to harm a mobile terminal, and a second detection that confirms that the information suspected of the first detected malicious code is actually malicious code. We propose a mobile terminal malware processing system that implements a two-step detection process that includes a process. In this case, the mobile terminal malware processing system according to the present invention may be implemented in various embodiments depending on whether the second detection process is performed in the malware processing apparatus mounted in the mobile terminal or the central processing center.

보다 구체적으로 본 발명의 일 양상(제1 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 휴대단말과 유무선망으로 연결된 중앙처리센터로부터 악성코드 검증에 필요한 정보를 수신하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해 달성된다.More specifically, according to an aspect (first embodiment) of the present invention, the above-described object is a first method for detecting information suspected of malicious code that may cause damage to a mobile terminal by analyzing information input to the mobile terminal. And a second detector configured to receive information necessary for verifying malware from a central processing center connected to a mobile terminal and a wired / wireless network and verify whether information detected as suspected malicious code is actually malicious code. It is achieved by the terminal malware processing device.

이때, 제1 검출부는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코 드로 의심되는 정보를 검출하는 것이 바람직하며, 제2 검출부는 시그니처 기반 검출기술을 적용하여 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것이 특히 바람직하다.In this case, the first detection unit preferably detects information suspected to be malicious code by applying a computer immune system-based detection technology, and the second detection unit applies signature-based detection technology to detect information suspected of malicious code as the actual malicious code. It is particularly desirable to verify whether it is.

한편 본 발명의 다른 양상에 따르면 전술한 목적은 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및 휴대단말로부터 악성코드로 의심되는 정보를 수신하고, 데이터베이스를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 판단하기 위한 악성코드 검증에 필요한 정보를 추출하여 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.Meanwhile, according to another aspect of the present invention, the above object is a central processing center connected to a mobile terminal and a wired or wireless network, receiving information suspected of malicious code from a database and a mobile terminal for storing information necessary for verifying malicious code, and the database By the central processing center comprising a processing unit for extracting the information necessary for the verification of the malicious code to determine whether the received information suspected malicious code corresponds to the actual malicious code to the mobile terminal; Is achieved.

여기서 악성코드 검증에 필요한 정보는 시그니처 기반 검출기술에 이용되며 악성코드의 패턴을 나타내는 시그니처 데이터인 것이 바람직하다.In this case, the information required for malicious code verification is used for signature-based detection technology, and preferably, signature data representing a pattern of malicious code.

한편 본 발명의 일 양상(제2 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해 달성된다.On the other hand, according to an aspect (second embodiment) of the present invention, the above object is the first detection unit for detecting information suspected of malicious code that may cause harm to the mobile terminal by analyzing the information input to the mobile terminal and The detection processing unit transmits the information suspected of the detected malicious code to the central processing center connected to the mobile terminal and the wired / wireless network, and receives the result of verifying whether the information suspected of the malicious code transmitted from the central processing center is the actual malicious code. It is achieved by a mobile terminal malware processing device comprising a.

한편 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및 데이터베이스를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the central processing center connected to the mobile terminal and wired and wireless network, suspected malicious code received from the mobile terminal with reference to the database and database for storing information necessary for malicious code verification It is achieved by the central processing center, characterized in that it comprises a second detection unit for verifying whether the information is actually malicious code.

한편 본 발명의 또 다른 양상(제3 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하여 제2 검출부로 전달하는 검출처리부 및 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해서 달성된다.On the other hand, according to another aspect (third embodiment) of the present invention, the above-described object is the first detection unit for detecting information suspected of malicious code that may cause harm to the mobile terminal by analyzing the information input to the mobile terminal The second detection unit transmits information suspected of the detected malicious code to the central processing center connected to the mobile terminal and the wired / wireless network, and receives information necessary for verifying the malicious code corresponding to the information suspected of the detected malicious code from the central processing center. And a second detection unit which verifies whether the information suspected of the detected malicious code is an actual malicious code by using a detection processor for transmitting the information and necessary information for verifying the received malicious code. Is achieved by

이 때, 검출처리부는 제2 검출부에 탑재된 검출엔진의 버전정보를 중앙처리센터로 전송하고, 버전정보에 기초하여 검출엔진의 업데이트가 필요하다고 판단되는 경우 중앙처리센터로부터 최신 버전의 검출엔진 프로그램을 수신하여 제2 검출부에 탑재된 검출엔진을 업데이트하는 것이 바람직하다.At this time, the detection processor transmits the version information of the detection engine mounted on the second detection unit to the central processing center, and when it is determined that the update of the detection engine is necessary based on the version information, the detection engine program of the latest version from the central processing center. It is preferable to update the detection engine mounted on the second detection unit by receiving.

한편 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보와, 검출엔진의 최신 버전정보 및 최신 버전 검출엔진 프로그램을 저장하는 데이터베이스 및 휴대단말로부터 악성코드로 의심되는 정보를 수신하고 데이터베이스를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 검증하기 위해 필 요한 정보를 추출하여 휴대단말로 전송하며, 휴대단말로부터 휴대단말에 탑재된 검출엔진의 버전정보를 수신하고 데이터베이스를 참조하여 검출엔진의 업데이트가 필요한지 판단하고 업데이트가 필요한 경우 최신 버전 검출엔진 프로그램을 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.According to another aspect of the present invention, the above object is a database for storing information necessary for malicious code verification, latest version information of a detection engine, and a latest version detection engine program in a central processing center connected to a mobile terminal and a wired or wireless network. And receiving information suspected of malicious code from the mobile terminal and extracting necessary information to verify whether the received suspected malicious code corresponds to the actual malicious code by referring to a database and transmitting the information to the mobile terminal. Receiving the version information of the detection engine mounted on the portable terminal from the terminal, and referring to the database to determine whether the update of the detection engine is necessary, and if the update is necessary to include a processing unit for transmitting the latest version detection engine program to the mobile terminal Achieved by a central processing center.

한편, 본 발명의 일 양상(제4 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부 및 수신된 검증결과에 따라 전송된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 저장하는 저장부를 포함하며, 검출처리부는 중앙처리센터와 통신하기 전에 검출된 악성코드로 의심되는 정보가 저장부에 저장되어 있는지 확인하여 만약 저장된 경우 검출된 악성코드로 의심되는 정보는 실제 악성코드가 아닌 것으로 판단하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해서 달성된다.On the other hand, according to an aspect (fourth embodiment) of the present invention, the above-described object is a first detection unit for detecting information suspected of malicious code that may harm the mobile terminal by analyzing the information input to the mobile terminal And detecting information suspected of the detected malicious code to a central processing center connected with a mobile terminal and a wired or wireless network, and receiving a result of verifying whether the information suspected of the malicious code transmitted from the central processing center is an actual malicious code. It includes a processing unit and a storage unit for storing information verified as not the actual malicious code of the information suspected of the transmitted malicious code according to the received verification result, the detection processing unit suspected of the detected malicious code before communicating with the central processing center Check if the information is stored in the storage, and if it is stored, the suspected detected malware is not the actual malware. It is achieved by the mobile terminal malware processing device, characterized in that judged as.

한편, 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 데이터베이스를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부 및 휴대단말로부터 악성코드 로 의심되는 정보를 수신하여 제2 검출부로 전달하고 제2 검출부의 검증결과를 휴대단말로 전송하는 것을 특징으로 하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해서 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the central processing center connected to the mobile terminal and wired and wireless networks, suspected malicious code received from the mobile terminal with reference to a database database that stores information necessary for malicious code verification A processing unit characterized in that it receives information suspected of malicious code from the second detection unit and the mobile terminal for verifying whether the information is actually malicious code and transmits the information to the second detection unit and transmits the verification result of the second detection unit to the mobile terminal. It is achieved by a central processing center comprising a.

한편, 본 발명의 일 양상에 따르면 전술한 목적은, 휴대단말의 악성코드 처리방법에 있어서, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하는 단계 및 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법에 의해 달성된다.On the other hand, according to an aspect of the present invention, the above object, in the method of processing a malicious code of a mobile terminal, by analyzing information input to the mobile terminal to suspect information that may be harmful to the mobile terminal 1 Step of detecting difference Transmitting information suspected as detected malicious code to central processing center connected with mobile terminal and wired / wireless network Receiving information necessary for verification of malicious code corresponding to detected information suspected as malicious code from central processing center And secondly verifying whether the detected suspected malicious code is the actual malicious code by using the information necessary for verifying the received malicious code.

또 한편, 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말의 악성코드 처리방법에 있어서, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계 및 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한 결과를 수신하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법에 의해 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the method of processing a malicious code of a mobile terminal, by analyzing the information input to the mobile terminal to suspect information that is suspected of malicious code that may harm the mobile terminal The first step of detecting and transmitting the information suspected of the detected malicious code to the central processing center connected with the mobile terminal and wired and wireless network, and the second whether the information suspected of the malicious code transmitted from the central processing center is the actual malicious code. It is achieved by a malicious code processing method comprising the step of receiving a verified result.

이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설 명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, if it is determined that detailed descriptions of related well-known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intention or custom of a user or an operator. Therefore, the definition should be made based on the contents throughout the specification.

도 1은 본 발명의 바람직한 실시예에 따른 휴대단말 악성코드 처리 시스템의 개요도이다.1 is a schematic diagram of a mobile terminal malware processing system according to a preferred embodiment of the present invention.

도 1을 참조하면, 휴대단말에 탑재되는 악성코드 처리장치(10)와 중앙처리센터(20)간의 상호협력을 통해 효율적으로 악성코드를 검출하는 것을 특징으로 하는 본 발명에 따른 휴대단말 악성코드 처리 시스템이 도시된다. Referring to Figure 1, the mobile terminal malicious code processing according to the invention, characterized in that the effective detection of the malicious code through the cooperation between the malicious code processing apparatus 10 and the central processing center 20 mounted on the mobile terminal The system is shown.

여기서 휴대단말은 스마트폰, PDA(personal digital assistant), WiBro 단말 등의 다양한 휴대 단말 기기들을 포함하며, 악성코드 처리장치(10)는 이러한 휴대단말에 탑재되는 소프트웨어 또는 하드웨어의 형태로 구현할 수 있다. 중앙처리센터(20)는 다양한 휴대단말들이 복수의 기지국(base station)을 통해 통합 관리되는 적어도 하나의 중앙 서버를 의미한다.The portable terminal may include various portable terminal devices such as a smart phone, a personal digital assistant (PDA), a WiBro terminal, and the malware processing apparatus 10 may be implemented in the form of software or hardware mounted on the portable terminal. The central processing center 20 refers to at least one central server in which various mobile terminals are integrated and managed through a plurality of base stations.

도시된 바와 같이, 디지털 멀티미디어 방송, 블루투스, 무선 휴대 인터넷 서비스(WiBro), USB, 전자메일, 멀티미디어 메시지 서비스 등의 다양한 서비스를 통해 휴대단말에는 계속적으로 디지털 데이터가 입력된다. 입력되는 정보로부터 악성 코드를 효과적으로 검출하기 위하여 본 발명에서는 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 저렴하게 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 정확하게 확인하는 2차 검출 과정을 포함하여 2단계의 검출과정을 가진 휴대단말 악성코드 처리 시스템을 제공한다. As shown, digital data is continuously input to the mobile terminal through various services such as digital multimedia broadcasting, Bluetooth, wireless mobile Internet service (WiBro), USB, e-mail, and multimedia message service. In order to effectively detect malicious code from the inputted information, the present invention provides a first detection process for inexpensively detecting information (including a program or data) suspected of causing malicious code to harm a mobile terminal, and a first detected malicious code. It provides a mobile terminal malware processing system having a two-step detection process, including a second detection process to accurately determine whether the suspected information is actually malicious code.

또한 휴대단말에 탑재되는 악성코드 처리장치(10)와 중앙처리센터(20) 간에 역할 분담을 통해 휴대단말의 부하를 줄인 초경량 악성코드 처리 시스템을 구현할 수 있다. 특히 제2 검출 과정을 휴대단말에 탑재되는 악성코드 처리장치(10)에서 수행할지 또는 중앙처리센터(20)에서 수행할지에 따라 본 발명에 따른 휴대단말 악성코드 처리 시스템은 후술하는 바와 같이 다양한 실시예들로 구현할 수 있다.In addition, it is possible to implement an ultra-light malware processing system that reduces the load of the mobile terminal by sharing the role between the malicious code processing device 10 and the central processing center 20 mounted on the mobile terminal. In particular, according to whether the second detection process is performed by the malware processing apparatus 10 or the central processing center 20 mounted on the mobile terminal, the mobile terminal malware processing system according to the present invention may be implemented in various ways as will be described later. You can implement it with examples.

예를 들어 본 발명에 따른 제1 실시예는 악성코드 처리장치(10)가 제1 검출 과정 및 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템으로서 도 2 및 도 3에 도시된다.For example, the first embodiment according to the present invention is illustrated in FIGS. 2 and 3 as a mobile terminal malware processing system when the malicious code processing apparatus 10 performs the first detection process and the second detection process.

본 발명에 따른 제2 실시예는 악성코드 처리장치(10)가 제1 검출과정을, 중앙처리센터(20)가 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템으로 도 4 및 도 5에 도시된다.The second embodiment according to the present invention is a mobile terminal malware processing system when the malicious code processing apparatus 10 performs the first detection process and the central processing center 20 performs the second detection process. 5 is shown.

본 발명에 따른 제3 실시예는 전술한 제1 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템으로 도 6 및 도 7에 도시된다.The third embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the first embodiment described above, and is shown in FIGS. 6 and 7.

본 발명에 따른 제4 실시예는 전술한 제2 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템으로 도 8 및 도 9에 도시된다.The fourth embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described second embodiment is shown in Figs. 8 and 9.

그러나 이러한 실시예들은 설명의 편의를 위하여 본 발명의 일 실시예를 예시한 것에 불과한 것으로 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. However, these embodiments are merely illustrative of one embodiment of the present invention for convenience of description and those skilled in the art to which the present invention pertains modified without departing from the essential characteristics of the present invention. It will be appreciated that it may be implemented in a form.

본 발명에 따른 제1 실시예는 악성코드 처리장치(10)가 제1 검출 과정 및 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템이다.The first embodiment according to the present invention is a mobile terminal malware processing system when the malicious code processing apparatus 10 performs a first detection process and a second detection process.

도 2는 본 발명의 제1 실시예에 따른 악성코드 처리장치의 블록도를 도시한다. 도 2를 참조하면, 본 발명에 따른 악성코드 처리장치(10A)는 제1 검출부(12) 및 제2 검출부(14)를 구비한다. 2 is a block diagram of a malicious code processing apparatus according to a first embodiment of the present invention. Referring to FIG. 2, the malicious code processing apparatus 10A according to the present invention includes a first detector 12 and a second detector 14.

제1 검출부(12)는 휴대단말로 입력되는 모든 정보를 검사 및 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 "의심되는" 정보를 검출하는 1차 검출 기능을 수행한다. 즉, 제1 검출부(12)는 전술한 종래의 시그니처 기반 검출 방식과 비교할 때 검출 정확도는 떨어지나 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있도록 구성하는 것이 특징이다. The first detection unit 12 performs a primary detection function of detecting and analyzing all information input to the mobile terminal to detect information “suspected” by malicious code that may damage the mobile terminal. That is, the first detection unit 12 is configured to be able to significantly reduce the CPU, memory and battery overhead, although the detection accuracy is inferior as compared with the conventional signature-based detection method described above.

본 발명의 일 실시예로서 제1 검출부(12)는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코드로 의심되는 정보를 검출하도록 구현될 수 있다. 즉, 미리 저장된 휴대단말 내 상주 프로그램에 대한 특징 정보를 참조하여 휴대단말로 입력되는 정보 중 상주 프로그램과 상이한 특징을 갖는 정보를 악성코드로 의심되는 정보로서 검출하는 것이다. As an embodiment of the present invention, the first detection unit 12 may be implemented to detect information suspected of malicious code by applying a computer immune system-based detection technology. That is, information having a different characteristic from the resident program among the information input to the mobile terminal is detected as suspected malicious code by referring to the characteristic information of the resident program in the mobile terminal previously stored.

제2 검출부(14)는 휴대단말과 유무선망으로 연결된 중앙처리센터(20A)로부터 악성코드 검증에 필요한 정보를 수신하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증하고 검증결과를 출력한다. 휴대단말은 2차 검증 결과 악성코드로 확인된 경우 사용자에게 경고 메시지를 디스플레이하거나 또는 악성코드로 확인된 입력정보가 유입되는 소스(source)에 대한 접근을 차단하거나 또는 확인된 악성코드를 치료하기 위한 응용 프로그램을 구동하는 등 악성코드로부터 휴대단말을 보호하기 위한 다양한 어플리케이션을 수행할 수 있다. The second detection unit 14 receives information necessary to verify the malicious code from the central processing center 20A connected to the mobile terminal and the wired or wireless network, and secondly verifies whether the information suspected as the detected malicious code is the actual malicious code. Output the verification result. The mobile terminal displays a warning message to the user when it is identified as a malicious code as a result of the second verification, or blocks access to a source from which input information identified as malicious code is introduced or to clean up the identified malicious code. Various applications can be performed to protect the mobile terminal from malicious code such as running an application program.

특히 본 발명에 따른 악성코드 처리장치(10A)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 2차 검증 결과를 사용자에게 디스플레이할 수 있다. 나아가 1차 검출 결과를 디스플레이하고 사용자로부터 2차 검출을 계속할지 여부를 확인받아 2차 검출의 진행여부를 결정할 수도 있고, 2차 검출 결과를 디스플레이하는 등 사용자 인터페이스로서 다양하게 응용될 수 있다.In particular, the malicious code processing apparatus 10A according to the present invention may further include a display unit (not shown). The display unit may display the first detection result and / or the second verification result to the user. In addition, it is possible to determine whether to proceed with the secondary detection by displaying the primary detection result and confirming whether or not to continue the secondary detection from the user, and can be variously applied as a user interface such as displaying the secondary detection result.

한편, 본 발명의 일 실시예로서 제2 검출부(14)는 보다 정확한 검증을 위하여 시그니처 기반 검출기술을 적용하여 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하도록 구현될 수 있다. 즉, 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 중앙처리센터(20A)로부터 수신하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 정확하게 검증하는 것이다. On the other hand, as an embodiment of the present invention, the second detection unit 14 may be implemented to verify whether the information suspected of malicious code is actually malicious code by applying a signature-based detection technique for more accurate verification. In other words, the signature data indicating the pattern of the malicious code is received from the central processing center 20A as the information required for the malicious code verification, and it is accurately verified whether the information suspected as the first detected malicious code is the actual malicious code.

이와 같이 제2검출부(14)는 종래의 대용량 시그니처 데이터베이스를 이용하 는 대신 확인에 필요한 일부 시그니처만을 중앙처리센터(20A)로부터 다운로드 받아서 이용함으로써 휴대단말의 메모리 사용을 최소화 할 수 있으며 CPU 오버헤드도 대폭 줄일 수 있다.As such, the second detector 14 downloads and uses only some of the signatures required for verification from the central processing center 20A instead of using a conventional large-capacity signature database, thereby minimizing the memory usage of the mobile terminal and significantly reducing CPU overhead. Can be reduced.

보다 구체적으로 컴퓨터 면역시스템 기반의 검출기술은 생체 면역시스템의 바이러스 면역 체계를 퍼스널 컴퓨터와 같은 컴퓨팅 디바이스에 응용한 기술로서, 기본적인 개념은 참고문헌(An Immune System for Cyberspace by Jeffrey O. Kephart et al. in IEEE, 1997, pp. 879-884.)에 소개되어 있다. 간략히 개념을 살펴보면, 인체의 자기(self)/비자기(non-self) 구분 기작을 응용한 방식으로서 안전한 파일들로 상주파일(self)을 구성하고 상주 파일에 대하여는 민감하지 않지만 상주 파일이 아닌 비자기 파일(non-self)에 대하여 민감하게 반응하는 특징(features)들을 생성하여 이를 면역 데이터베이스로 활용하는 방식이다.More specifically, the computer immune system-based detection technology is a technique in which the viral immune system of the biological immune system is applied to a computing device such as a personal computer, and the basic concept is described in An Immune System for Cyberspace by Jeffrey O. Kephart et al. in IEEE, 1997, pp. 879-884. In brief, the concept is a method of applying the self / non-self distinction mechanism of the human body to construct a resident file with safe files and is not sensitive to the resident file but is not a non-resident file. This is a method of generating features that react sensitively to non-self and using it as an immune database.

컴퓨터 면역시스템 기반의 검출기술은 비교적 적은 용량의 상주 파일의 특징 정보만을 필요로 함으로써 대용량의 악성코드 시그니처 데이터베이스를 저장할 필요가 없어 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있다. 또한, 상주 코드를 침입 코드로 오인하는 경우가 발생되지 않고 알려지지 않은 신종 악성 코드나 변종 악성 코드가 침입 하더라도 데이터베이스를 갱신할 필요 없이 실시간으로 이들을 침입 코드로 검출할 수 있다는 장점이 있다. 그러나 악성코드에 감염되지 않은 입력 데이터를 비자기 파일로 판단하여 악성코드로 검출할 가능성이 있어서 시그니처 기반 검출기술에 비해 검출 정확도가 떨어지는 단점을 가진다. Computer immune system-based detection technology requires only a small amount of resident file feature information, eliminating the need to store a large malware signature database, significantly reducing CPU, memory, and battery overhead. In addition, there is no case in which the resident code is mistaken as an intrusion code, and even if an unknown new or modified malicious code is invaded, it can be detected as an intrusion code in real time without having to update the database. However, it is possible to detect input data that is not infected with malicious code as non-magnetic file and detect it as malicious code. Therefore, the detection accuracy is lower than that of signature-based detection technology.

이러한 문제점을 해결하기 위하여 본 발명에 따른 휴대단말 악성코드 처리 시스템은 2단계의 검출 과정을 수행하도록 하는 것을 특징으로 한다. 즉, 1차 검출부(12)에서 적은 용량의 특징 정보를 이용한 컴퓨터 면역시스템 기반의 검출기술을 이용하여 알려지지 않은 신종 또는 변종 바이러스를 포함하여 악성코드일 가능성이 있는 모든 입력 정보들을 실시간으로 1차 검출하고, 검출된 악성코드로 의심되는 정보들이 실제로 악성코드인지를 확인하기 위하여 제2 검출부(14)에서 시그니처 기반 검출기술을 이용하여 실제 악성코드의 시그니처들과 비교함으로써 보다 정확한 2차 검증을 수행하게 한다. In order to solve this problem, the mobile terminal malware processing system according to the present invention is characterized by performing a two-step detection process. That is, the primary detection unit 12 detects in real time all input information that may be malicious code, including unknown new or variant viruses, using a computer immune system-based detection technology using a small amount of feature information. In order to confirm whether the information suspected of the detected malicious code is actually malicious code, the second detection unit 14 performs signature-based detection technology to perform more accurate secondary verification by comparing the signatures with the actual malicious codes. do.

이로써 컴퓨터 면역시스템 검출 기술의 단점을 보완하여 오검출 확률을 최소화하면서 동시에, CPU, 메모리 및 배터리 오버헤드를 대폭 절감하고 알려지지 않은 신종 악성코드나 변종 악성 코드까지도 실시간으로 검출할 수 있는 컴퓨터 면역시스템의 장점을 살려 효율적인 휴대단말 악성코드 처리시스템을 구현할 수 있다.This minimizes the probability of false positives by compensating for the weaknesses of computer immune system detection technology, while significantly reducing CPU, memory and battery overhead, and real-time detection of unknown new or modified malware in real time. Taking advantage of the advantages, it is possible to implement an efficient mobile terminal malware processing system.

전술한 1차 검출을 위한 컴퓨터 면역시스템 기반 검출기술이나 2차 검출을 위한 시그니처 기반 검출기술은 본 발명에 따른 악성코드 처리 시스템을 구현하기 위한 일 실시예에 불과할 뿐이며, 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있다. 예를 들면, 2차 검출의 위한 시그니처 기반 검출기술의 경우, 입력되는 코드를 가상머신(virtual machine)에서 실행하도록 하고 그 실행을 감시하여 악성코드 여부를 판단하는 기술을 이용할 수 있다. 물론 이는 후술하는 제2 검출부가 중앙처리센터 정도의 충분한 리소스를 보유하고 있는 경우에 적용할 수 있을 것이다. 이와 같이 제2 검출부는 종래에 알려진 또는 앞으로 발견될 다양한 악성코드 검출방법을 사용하여 구현할 수 있다.The above-described computer immune system-based detection technology for primary detection or signature-based detection technology for secondary detection are only one embodiment for implementing the malware processing system according to the present invention, and various detection technologies are applied. The mobile terminal malware system according to the present invention can be implemented. For example, in the case of signature-based detection technology for secondary detection, a technology for determining whether or not malicious code is executed by executing an input code in a virtual machine and monitoring the execution thereof may be used. Of course, this may be applied to the case where the second detection unit described later has sufficient resources as the central processing center. As such, the second detection unit may be implemented using various malicious code detection methods known or found in the related art.

한편, 본 발명은 제1 검출부를 가볍게 하여 이동 단말에 두고 상대적으로 무거운 제2 검출부를 보다 간략화하여 이동 단말에 두거나 또는 아예 무거운 제2 검출부를 중앙처리센터에 두도록 함으로써 이동 단말이나 통신 부하를 줄이고 효과적인 악성코드 검출을 수행하는 것을 특징으로 한다. 따라서, 발명의 핵심 사상을 벗어나지 않는 한, 시스템 설계자의 고려사항에 따라 제1 검출부 또는 제2 검출부는 하나의 검출기술에 한정되지 않고 둘 이상의 검출 기술을 적용하여 구현할 수도 있으며, 또한 제1 검출부 및 제2 검출부 외에 별도의 제3 검출부를 두도록 하는 등 다양한 응용이 가능하다. On the other hand, the present invention is to reduce the mobile terminal or communication load by lightening the first detection unit in the mobile terminal and to simplify the relatively heavy second detection unit in the mobile terminal or to place the heavy second detection unit in the central processing center. Characterized in that the malicious code detection. Accordingly, the first detection unit or the second detection unit may be implemented by applying two or more detection techniques, and the first detection unit and the second detection unit according to the system designer's consideration, without departing from the core idea of the invention. Various applications are possible, such as having a separate third detector in addition to the second detector.

이하에서는 다만 설명의 편의를 위하여 컴퓨터 면역시스템 기반 검출기술과 시그니처 기반 검출기술을 예로 들어 본 발명을 설명함을 밝혀둔다.Hereinafter, for convenience of explanation, the present invention will be described by taking a computer immune system-based detection technique and a signature-based detection technique as an example.

한편 도 3은 본 발명의 제1 실시예에 따른 중앙처리센터의 블록도이다.3 is a block diagram of a central processing center according to the first embodiment of the present invention.

도 3을 참조하면, 휴대단말과 유무선망으로 연결된 중앙처리센터(20A)는 데이터베이스(24) 및 처리부(22)를 구비한다. Referring to FIG. 3, the central processing center 20A connected to a mobile terminal and a wired or wireless network includes a database 24 and a processing unit 22.

데이터베이스(24)는 악성코드 검증에 필요한 정보를 저장한다. 예를 들면, 제2 검출부(14)가 시그니처 기반 검출기술을 이용하는 경우 악성코드의 패턴을 나타내는 시그니처 데이터가 악성코드 검증에 필요한 정보로서 데이터베이스(24)에 저장된다. 데이터베이스(24)의 상세한 구성은 후술한다.The database 24 stores information necessary for malicious code verification. For example, when the second detection unit 14 uses a signature-based detection technique, signature data indicating a pattern of malicious code is stored in the database 24 as information necessary for malicious code verification. The detailed configuration of the database 24 will be described later.

처리부(22)는 휴대단말의 악성코드 처리장치(10A)로부터 1차 검출된 악성코드로 의심되는 정보를 수신하고, 데이터베이스(24)를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 판단하기 위한 악성코드 검증 에 필요한 정보를 추출하여 휴대단말로 전송한다. 악성코드 검증에 필요한 정보는 전술한 시그니처 데이터가 될 수 있다.The processing unit 22 receives information suspected of being primarily detected malicious code from the malicious code processing apparatus 10A of the mobile terminal, and the information suspected of receiving malicious code by referring to the database 24 is converted into actual malware. Extract information necessary for malicious code verification to determine whether it is applicable and send it to the mobile terminal. Information necessary for malicious code verification may be the above-described signature data.

이와 같이 악성코드 검출수단은 휴대단말에 두지만, 악성코드 검증에 필요한 정보를 저장한 대용량 데이터베이스(24)를 휴대단말에 저장하지 않고 중앙처리센터(20A)에 저장함으로써 휴대단말의 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있다. As described above, the malware detection means is placed in the mobile terminal, but the CPU, memory and the mobile terminal are stored in the central processing center 20A without storing the large database 24 storing the information necessary for malicious code verification in the mobile terminal. The battery overhead can be greatly reduced.

한편 본 발명에 따른 제2 실시예는 악성코드 처리장치(10)가 제1 검출과정을, 중앙처리센터(20)가 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템이다.On the other hand, the second embodiment according to the present invention is a mobile terminal malware processing system when the malicious code processing apparatus 10 performs the first detection process, the central processing center 20 performs the second detection process.

도 4는 본 발명의 제2 실시예에 따른 악성코드 처리장치의 블록도이다.4 is a block diagram of a malicious code processing apparatus according to a second embodiment of the present invention.

도 4를 참조하면, 본 발명에 따른 악성코드 처리장치(10B)는 제1 검출부(32)와 검출처리부(36)를 구비한다. 제1 검출부(32)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출한다. 도 2에서 상술한 바와 같이 제1 검출부(32)는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코드로 의심되는 정보를 1차 검출하도록 구현될 수 있다. 제1 검출부(32)는 도 2에서 상술한 구성과 동일하므로 설명을 생략한다.4, the malicious code processing apparatus 10B according to the present invention includes a first detection unit 32 and a detection processing unit 36. The first detection unit 32 analyzes the information input to the mobile terminal to detect information suspected of malicious code that may damage the mobile terminal. As described above with reference to FIG. 2, the first detection unit 32 may be implemented to first detect information suspected of malicious code by applying a computer immune system-based detection technology. Since the 1st detection part 32 is the same as the structure mentioned above in FIG. 2, it abbreviate | omits description.

검출처리부(36)는 제1 검출부(32)에서 1차 검출된 악성코드로 의심되는 정보를 전달받아 휴대단말과 유무선망으로 연결된 중앙처리센터(20B)에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한 결과를 수신하여 출력한다. 휴대단말은2차 검증 결과 악성코드로 확인된 경우 사용자에게 경고 메시지를 디스플레이하거나 또는 악성코드로 확인된 입력정보가 유입되는 소스(source)에 대한 접근을 차단하거나 또는 확인된 악성코드를 치료하기 위한 응용 프로그램을 구동하는 등 악성코드로부터 휴대단말을 보호하기 위한 다양한 어플리케이션을 수행할 수 있다. ) The detection processing unit 36 receives the suspected malicious code detected by the first detection unit 32 and transmits the suspected malicious code to the central processing center 20B connected to the mobile terminal via a wired or wireless network, and transmits the malicious information transmitted from the central processing center. It receives and outputs the result of the second verification whether the information suspected of the code is actually malicious code. The mobile terminal may display a warning message to the user when it is identified as a malicious code, block access to a source from which input information identified as malicious code, or to cure the identified malicious code. Various applications can be performed to protect the mobile terminal from malicious code such as running an application program. )

특히 본 발명에 따른 악성코드 처리장치(10B)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 검출처리부(36)가 중앙처리센터(20B)로부터 수신한 2차 검증 결과를 사용자에게 디스플레이할 수 있다. In particular, the malicious code processing apparatus 10B according to the present invention may further include a display unit (not shown). Through the display unit, the primary detection result and / or the detection processing unit 36 may display the secondary verification result received from the central processing center 20B to the user.

도 5는 본 발명의 제2 실시예에 따른 중앙처리센터의 블록도이다.5 is a block diagram of a central processing center according to a second embodiment of the present invention.

도 5를 참조하면, 중앙처리센터(20B)는 데이터베이스(44)와 제2 검출부(42)를 구비한다.Referring to FIG. 5, the central processing center 20B includes a database 44 and a second detection unit 42.

데이터베이스(44)는 악성코드 검증에 필요한 정보를 저장한다. 예를 들면, 제2 검출부(14)가 시그니처 기반 검출기술을 이용하는 경우 악성코드의 패턴을 나타내는 시그니처 데이터가 악성코드 검증에 필요한 정보로서 데이터베이스(44)에 저장된다. The database 44 stores information necessary for malicious code verification. For example, when the second detection unit 14 uses a signature-based detection technique, signature data indicating a pattern of malicious code is stored in the database 44 as information necessary for malicious code verification.

제2 검출부(36)는 데이터베이스에 저장된 시그니처 데이터를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하며 검증결과를 악성코드 처리장치(10B)로 전송한다. 이때, 제2 검출부는 시그니처 기반 검출기술을 적용하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증할 수 있다. The second detection unit 36 verifies whether the information suspected of the malicious code received from the mobile terminal is the actual malicious code by referring to the signature data stored in the database, and transmits the verification result to the malicious code processing apparatus 10B. In this case, the second detection unit may verify whether the information suspected of the malicious code received from the mobile terminal is the actual malicious code by applying the signature-based detection technology.

전술한 제2 실시예에 따른 휴대단말 악성코드 처리 시스템에 따르면, 악성코드 처리장치(10B)에서 악성코드로 의심되는 정보를 1차로 검출하고 이 정보를 중앙처리센터(20B)로 전송하여 실제 악성코드인지를 2차 검증하도록 구성되어 있다. 따라서 휴대단말에 탑재된 악성코드 처리장치(10A)가 중앙처리센터(20A)로부터 2차 검증에 필요한 시그니처 데이터를 수신하여 2차 검증을 실시하는 제1 실시예에 비하여 더욱더 CPU, 메모리 및 배터리 오버헤드를 줄일 수 있고 통신 오버헤드도 감소하는 효과가 있다.According to the mobile terminal malicious code processing system according to the above-described second embodiment, the malicious code processing apparatus 10B primarily detects information suspected to be malicious code and transmits the information to the central processing center 20B to actually perform malicious information. It is configured to perform secondary verification of code. Therefore, compared to the first embodiment in which the malicious code processing apparatus 10A mounted in the mobile terminal receives the signature data necessary for the second verification from the central processing center 20A and performs the second verification, the CPU, memory, and battery overload are more severe. The head can be reduced and the communication overhead is also reduced.

한편 본 발명에 따른 제3 실시예는 전술한 제1 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템이다.On the other hand, the third embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described first embodiment.

도 6은 본 발명의 제3 실시예에 따른 악성코드 처리장치의 블록도이다.6 is a block diagram of a malicious code processing apparatus according to a third embodiment of the present invention.

도 6을 참조하면, 본 발명에 따른 악성코드 처리장치(10C)는 제1 검출부(12), 제2 검출부(14), 검출처리부(16)를 포함하여 구성되며, 저장부(18)를 더 구비할 수 있다.Referring to FIG. 6, the malicious code processing apparatus 10C according to the present invention includes a first detection unit 12, a second detection unit 14, and a detection processing unit 16, and further includes a storage unit 18. It can be provided.

제1 검출부(12)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 1차 검출 기능을 수행한다. 제1 검출부(12)는 종래의 시그니처 기반 검출 방식과 비교할 때 검출 정확도는 떨어지나 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있도록 구성하는 것을 특징으로 한다. The first detection unit 12 performs a primary detection function by analyzing information input to the mobile terminal to detect information suspected of malicious code that may cause damage to the mobile terminal. The first detection unit 12 is configured to be able to significantly reduce the CPU, memory and battery overhead, although the detection accuracy is lower than that of the conventional signature-based detection method.

검출처리부(16)는 중앙처리센터(20C)와의 협력을 통해 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 확인함으로써 제1 검출부(12)의 정상 입력정보를 악성코드로 잘못 판정하는 오검출 가능성을 제거하는 것을 목적으로 한다. 이를 위해 검출처리부(16)는 제1 검출부(12)에서 1차 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하여 제2 검출부(14)로 전달한다. The detection processor 16, in cooperation with the central processing center 20C, checks whether or not the information suspected to be a malicious code is an actual malicious code, thereby erroneously detecting normal input information of the first detection unit 12 as a malicious code. It aims to eliminate the possibility. To this end, the detection processing unit 16 transmits information suspected as the first malicious code detected by the first detection unit 12 to a central processing center connected by a mobile terminal and a wired or wireless network, and suspects the malicious code detected by the central processing center. Information necessary to verify the malicious code corresponding to the received information is received and transmitted to the second detection unit 14.

이 때 휴대단말과 중앙처리센터 간 통신은 감염이 의심되는 정보가 검출되었을 경우에만 이루어지므로 휴대단말로 입력되는 정보 중 극히 일부 정보만이 중앙처리센터로 전송된다. 따라서 휴대단말로 입력되는 모든 데이터를 전부 전송하는 종래기술로 언급된 미국공개특허 2003-0162575호에 비해 통신 오버헤드를 대폭 줄이는 것이 가능하다.At this time, the communication between the mobile terminal and the central processing center is performed only when information suspected of infection is detected, so only a part of the information input to the portable terminal is transmitted to the central processing center. Therefore, it is possible to drastically reduce the communication overhead compared to US Patent Publication No. 2003-0162575, which is referred to as the prior art which transmits all data input to the portable terminal.

또한 검출처리부(16)는 중앙처리센터(20C)와의 통신 오버헤드를 줄이기 위하여 1차 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 전송하거나, 1차 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 압축하여 전송하거나, 1차 검출된 악성코드로 의심되는 정보로부터 특징을 분석, 추출하여 전송하거나, 또는 추출된 특징을 압축하여 전송하도록 구현할 수 있다.In addition, the detection processing unit 16 transmits all or part of the information suspected as the first detected malicious code, or all of the information suspected as the first detected malicious code to reduce the communication overhead with the central processing center 20C. Alternatively, a portion may be compressed and transmitted, or a feature may be analyzed, extracted, and transmitted from information suspected as primary detected malicious code, or may be compressed and transmitted.

제2 검출부(14)는 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하고 검증결과를 출력한다. The second detection unit 14 verifies whether the information suspected as the detected malicious code is the actual malicious code by using the received information necessary for verifying the malicious code and outputs the verification result.

한편, 검출처리부(16)는 제2 검출부(14)에 탑재된 검출엔진의 버전정보를 중 앙처리센터(20C)로 전송하고, 버전정보에 기초하여 검출엔진의 업데이트가 필요하다고 판단되는 경우 중앙처리센터로부터 최신 버전의 검출엔진 프로그램을 수신하여 제2 검출부에 탑재된 검출엔진을 업데이트할 수 있다. 즉, 검출처리부(16)는 중앙처리센터(20C)에 2차 검출에 필요한 시그니처 데이터와 최신버전 검출엔진 프로그램을 요청하고 수신하는 역할을 담당한다.On the other hand, the detection processing unit 16 transmits the version information of the detection engine mounted on the second detection unit 14 to the central processing center 20C, and when it is determined that the detection engine needs to be updated based on the version information, The detection engine program of the latest version can be received from the processing center to update the detection engine mounted on the second detection unit. That is, the detection processing unit 16 is responsible for requesting and receiving the signature data and the latest version detection engine program necessary for the secondary detection from the central processing center 20C.

나아가, 본 발명에 따른 악성코드 처리장치(10C)는 저장부(18)를 더 포함할 수 있으며, 저장부(18)에는 제1 검출부(12)를 통해 1차 검출되었던 악성코드로 의심되는 정보와 이에 대응하는 악성코드 검증에 필요한 정보를 저장한다. 이에 따라 검출처리부(16)는 중앙처리센터로 검증에 필요한 정보를 요청하기 전에 먼저 1차 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보가 저장부(18)에 미리 저장되어 있는지 확인할 수 있다. Furthermore, the malicious code processing apparatus 10C according to the present invention may further include a storage unit 18, and the storage unit 18 may include information suspected to be firstly detected malicious code through the first detection unit 12. And information necessary to verify the malicious code corresponding thereto. Accordingly, the detection processing unit 16 stores the information necessary for the malicious code verification corresponding to the information suspected as the first detected malicious code in advance in the storage unit 18 before requesting the information necessary for the verification to the central processing center. You can check.

만약 악성코드 검증에 필요한 정보가 저장되어 있다면, 검출처리부(16)는 저장된 악성코드 검증에 필요한 정보를 제2 검출부(14)로 전달한다. 이에 따라 한번 검출된 악성코드로 의심되는 정보는 중앙처리센터(20C)와의 통신 없이 바로 로컬 저장부(18)에 저장된 정보를 이용함으로써 통신 오버헤드를 줄일 수 있다.If the information necessary to verify the malicious code is stored, the detection processing unit 16 transmits the information necessary for verifying the stored malicious code to the second detection unit 14. Accordingly, the information suspected once detected as malicious code can reduce communication overhead by using information stored in the local storage unit 18 directly without communication with the central processing center 20C.

특히 본 발명에 따른 악성코드 처리장치(10C)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 2차 검증 결과를 사용자에게 디스플레이할 수 있다.In particular, the malicious code processing apparatus 10C according to the present invention may further include a display unit (not shown). The display unit may display the first detection result and / or the second verification result to the user.

한편 도 7은 본 발명의 제3 실시예에 따른 중앙처리센터의 블록도이다.7 is a block diagram of a central processing center according to a third embodiment of the present invention.

도 7을 참조하면, 본 발명에 따른 중앙처리센터(20C)는 데이터베이스(24), 처리부(22)를 포함하여 구성되며, 데이터베이스 갱신부(26)를 더 구비할 수 있다.Referring to FIG. 7, the central processing center 20C according to the present invention may include a database 24 and a processor 22, and may further include a database updater 26.

데이터베이스(24)는 악성코드 검증에 필요한 정보와, 검출엔진의 최신 버전정보 및 최신 버전 검출엔진 프로그램을 저장한다. 데이터베이스(24)의 데이터 구성의 일 예가 도 10에 도시되어 있다. 도 10을 참조하면, 데이터베이스(24)에는 입력정보와 이에 대응하는 악성코드 검증에 필요한 정보(예를 들면 시그니처 데이터)가 저장되며, 해당 악성코드를 검출할 수 있는 검출엔진의 버전 정보와 검출엔진 프로그램이 더 포함될 수 있다.The database 24 stores information necessary for malicious code verification, the latest version information of the detection engine, and the latest version detection engine program. An example of the data structure of the database 24 is shown in FIG. Referring to FIG. 10, the database 24 stores input information and corresponding information (eg, signature data) necessary for verifying malicious codes, and includes version information and a detection engine of a detection engine capable of detecting the malicious code. The program may be further included.

처리부(22)는 휴대단말로부터 악성코드로 의심되는 정보를 수신하고 데이터베이스(24)를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 검증하기 위해 필요한 정보를 추출하여 휴대단말의 악성코드 처리장치(10C)로 전송한다. 검증에 필요한 정보는 시그니처 기반 검출기술을 이용하는 경우 악성코드 패턴을 나타내는 시그니처 데이터일 수 있다.The processor 22 receives information suspected of malicious code from the mobile terminal and extracts and carries information necessary for verifying whether the information suspected of received malicious code corresponds to the actual malware by referring to the database 24. Transmission to the malware processing apparatus 10C of the terminal. The information required for verification may be signature data representing a malicious code pattern when using signature-based detection technology.

또한, 처리부(22)는 휴대단말로부터 휴대단말에 탑재된 검출엔진의 버전정보를 수신하고 데이터베이스(24)를 참조하여 검출엔진의 업데이트가 필요한지 판단하고 업데이트가 필요한 경우 최신 버전 검출엔진 프로그램을 휴대단말로 전송한다.In addition, the processor 22 receives the version information of the detection engine mounted on the portable terminal from the portable terminal, determines whether the update of the detection engine is necessary by referring to the database 24, and when the update is necessary, the portable terminal downloads the latest version detection engine program. To send.

데이터베이스 갱신부(26)는 데이터베이스(24)로부터 해당 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 찾을 수 없는 경우, 예를 들면 신종 바이러스나 변종 바이러스로 데이터베이스(24)에 등록되지 않은 경우, 해당 악성코드를 검출하기 위한 새로운 시그니처 데이터나 검출엔진 프로그램을 생성하여 데이터베이스(24)를 업데이트 할 수 있다. If the database update unit 26 cannot find the information necessary for the verification of the malicious code corresponding to the information suspected as the malicious code from the database 24, it is not registered in the database 24 as a new virus or a variant virus, for example. If not, the database 24 may be updated by generating new signature data or a detection engine program for detecting the malicious code.

또한, 데이터베이스 갱신부(26)는 악성코드에 대한 최신 버전의 검출엔진 프로그램이 개발된 경우 그 버전정보와 함께 최신버전 검출엔진 프로그램을 생성하여 데이터베이스를 업데이트 할 수 있다.In addition, the database updater 26 may update the database by generating the latest version detection engine program together with the version information when the latest version detection engine program for the malicious code is developed.

이때 등록되지 않은 악성코드로 의심되는 정보가 수신된 경우에 검증에 필요한 정보로서 시그니처 데이터를 신규로 생성하는 분석 모듈(도시하지 않음)을 데이터베이스 갱신부(26)와 별도로 구성할 수도 있다. 이 경우 분석 모듈(도시하지 않음)은 시그니처 데이터뿐만 아니라 2차 검출엔진 프로그램을 신규로 생성할 수 있다.In this case, when information suspected of unregistered malicious code is received, an analysis module (not shown) for newly generating signature data as information necessary for verification may be separately configured from the database updater 26. In this case, the analysis module (not shown) may newly generate not only the signature data but also the secondary detection engine program.

전술한 실시예에서 1차 검출을 위해 컴퓨터 면역시스템 기반 검출기술을, 2차 검출을 위해 시그니처 기반 검출기술을 적용할 수 있으나, 그밖에 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있음은 물론이다. In the above-described embodiment, a computer immune system-based detection technique may be applied for the primary detection and a signature-based detection technique may be applied for the secondary detection. In addition, various types of detection techniques may be applied to the mobile terminal malware according to the present invention. Of course, the system can be implemented.

한편 본 발명에 따른 제4 실시예는 전술한 제2 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템이다. 즉, 중앙처리센터(20D)가 2차 검출 기능을 수행하고 그 결과를 휴대단말의 악성코드 처리장치(10D)로 전송하는 것을 특징으로 한다. 특히, 2차 검출 결과 입력 정보가 정상적인 정보로 판정되면, 해당 입력정보에 대응하는 악성코드로 의심되는 정보를 휴대단말의 저장부에 별도로 저장해 둠으로써 차후에 유사한 입력 정보가 입력되면 2차 검출을 수행하지 않고 바로 정상입력으로 판단하도록 하는 기능을 부가하여 구성할 수 있다.On the other hand, the fourth embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described second embodiment. That is, the central processing center 20D performs the secondary detection function and transmits the result to the malicious code processing apparatus 10D of the portable terminal. In particular, if the input information is determined to be normal information as a result of the secondary detection, information suspected to be malicious code corresponding to the input information is stored separately in the storage unit of the mobile terminal, and when similar input information is subsequently input, secondary detection is performed. It can be configured by adding a function to determine the normal input immediately.

보다 구체적으로 도 8은 본 발명의 제4 실시예에 따른 악성코드 처리장치의 블록도이다.More specifically, Figure 8 is a block diagram of a malicious code processing apparatus according to a fourth embodiment of the present invention.

도 8을 참조하면, 본 발명에 따른 악성코드 처리장치(10D)는 제1 검출부(32), 검출처리부(36)를 포함하여 구성하며 저장부(38)를 더 구비할 수 있다.Referring to FIG. 8, the malicious code processing apparatus 10D according to the present invention may include a first detection unit 32 and a detection processing unit 36, and may further include a storage unit 38.

제1 검출부는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출한다.The first detection unit analyzes the information input to the mobile terminal to detect information suspected of malicious code that may harm the mobile terminal.

검출처리부(36)는 1차 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터(20D)에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하여 출력한다.The detection processor 36 transmits the information suspected as the first detected malicious code to the central processing center 20D connected with the mobile terminal and the wired / wireless network, and the information suspected as the malicious code transmitted from the central processing center is the actual malicious code. Receive and output the result of verifying whether

또한, 저장부(38)는 중앙처리센터(20D)로부터 수신된 검증결과에 따라 전송된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 저장한다.In addition, the storage unit 38 stores information verified as not the actual malicious code among the information suspected to be malicious codes transmitted according to the verification result received from the central processing center 20D.

검출처리부(36)는 1차 검출된 악성코드로 의심되는 정보를 중앙처리센터(20D)로 보내 2차 검출을 수행하기 전에 먼저 저장부(38)에 해당 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보가 저장되어 있는지 확인한다. 만약 저장된 경우 2차 검출을 수행하지 않고 바로 해당 1차 검출된 악성코드로 의심되는 정보는 실제 악성코드가 아닌 것으로 판단할 수 있어 통신 오버헤드를 절감할 수 있다.The detection processing unit 36 sends the information suspected as the first detected malicious code to the central processing center 20D, before performing the second detection, the actual malicious code among the information suspected as the corresponding malicious code in the storage unit 38. Verify that the information verified as not is stored. If stored, the information suspected as the first detected malicious code without performing the second detection can be determined as not the actual malicious code, thereby reducing communication overhead.

특히 본 발명에 따른 악성코드 처리장치(10D)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 검출처리부(36)가 중앙처리센터(20D)로부터 수신한 2차 검증 결과를 사용자에게 디스플레이할 수 있다.In particular, the malicious code processing apparatus 10D according to the present invention may further include a display unit (not shown). Through the display unit, the primary detection result and / or the detection processing unit 36 may display the secondary verification result received from the central processing center 20D to the user.

한편 도 9는 본 발명의 제4 실시예에 따른 중앙처리센터의 블록도이다.9 is a block diagram of a central processing center according to a fourth embodiment of the present invention.

도 9를 참조하면, 본 발명에 따른 중앙처리센터(20D)는 데이터베이스(44), 처리부(42), 및 제2 검출부(46)를 포함하여 구성된다.Referring to FIG. 9, the central processing center 20D according to the present invention includes a database 44, a processing unit 42, and a second detection unit 46.

데이터베이스(44)는 악성코드 검증에 필요한 정보를 저장한다.The database 44 stores information necessary for malicious code verification.

제2 검출부(42)는 데이터베이스(44)를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한다.The second detection unit 42 secondly verifies whether the information suspected of the malicious code received from the mobile terminal is the actual malicious code by referring to the database 44.

처리부(42)는 휴대단말로부터 악성코드로 의심되는 정보를 수신하여 제2 검출부로 전달하고 제2 검출부의 검증결과를 휴대단말로 전송한다. 이때, 처리부(42)는 2차 검증결과에 따라 휴대단말로부터 수신된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 추출하여 휴대단말로 전송하여 해당 정보를 악성코드 처리장치(10D)의 저장부(38)에 저장할 수 있도록 한다. The processor 42 receives the suspected malicious code from the portable terminal, transmits the suspected malicious code to the second detector, and transmits the verification result of the second detector to the portable terminal. At this time, the processor 42 extracts the information verified as not the actual malicious code from the information suspected of the malicious code received from the mobile terminal according to the second verification result and transmits the information to the mobile terminal to transmit the information to the malicious code processing device ( 10D) can be stored in the storage unit 38.

나아가 처리부(42)는 휴대단말의 악성코드 처리장치(10D)가 특정 입력 정보를 정상 정보로 인식하지 못할 경우, 악성코드 처리장치(10D) 내의 저장부(38)를 업데이트 하도록 필요한 정보를 휴대단말의 악성코드 처리장치(10D)로 전송할 수도 있다.Further, when the malicious code processing apparatus 10D of the portable terminal does not recognize the specific input information as normal information, the processing unit 42 provides the portable terminal with information necessary to update the storage unit 38 in the malicious code processing apparatus 10D. May be transmitted to the malware processing apparatus 10D.

한편 전술한 실시예에서 1차 검출을 위해 컴퓨터 면역시스템 기반 검출기술을, 2차 검출을 위해 시그니처 기반 검출기술을 적용할 수 있으나, 그밖에 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있음은 물론이다. Meanwhile, in the above-described embodiment, computer immune system-based detection technology may be applied for primary detection and signature-based detection technology may be applied for secondary detection. However, various types of detection techniques may be applied to the mobile terminal malicious according to the present invention. Of course, you can implement a code system.

이하에서는 상술한 본 발명에 따른 휴대단말 악성코드 처리 시스템의 구성에 기초하여 본 발명에 따른 휴대단말 악성코드 처리 방법을 설명한다.Hereinafter, the mobile terminal malicious code processing method according to the present invention will be described based on the configuration of the mobile terminal malicious code processing system according to the present invention described above.

도 11은 본 발명의 일 실시예에 따른 악성코드 처리방법을 도시한 플로차트로서 제3 실시예의 시스템 구성을 기초로 설명한 예이다.11 is a flowchart illustrating a malicious code processing method according to an embodiment of the present invention and is an example described based on the system configuration of the third embodiment.

도 11을 참조하면, 휴대단말에 탑재된 악성코드 처리장치(10C)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출한다(S100). Referring to FIG. 11, the malicious code processing apparatus 10C mounted on the portable terminal analyzes the information input to the portable terminal and primarily detects suspected malicious code that may cause damage to the portable terminal (S100). ).

이때 악성코드 처리장치(10C)는 저장부(18)에 저장된 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보가 이전에 악성코드가 아니라는 2차 검증결과를 받은 적이 있는지 확인하고 만약 그렇다고 확인되면 악성코드가 아닌 정상 입력정보라는 검출결과를 출력한다(S180).At this time, the malicious code processing apparatus 10C checks whether or not the information suspected as the first detected malicious code has previously received the second verification result that the malicious code is not the malicious code by using the data stored in the storage unit 18 and confirms that it is the case. When the detection result of the normal input information rather than malicious code (S180).

또한 악성코드 처리장치(10C)의 저장부(18)에 저장된 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터가 있는지 확인(S110)한다. 만약 시그니처 데이터가 이미 존재하는 경우 더 이상 중앙처리센터(20)와 통신할 필요 없이 저장된 시그니처 데이터를 이용하여 2차 검증을 수행한다(S160). 반면 저장된 시그니처 데이터가 존재하지 않는 경우 중앙처리센터(20C)로 1차 검출된 악성코드로 의심되는 정보와 검출엔진의 버전정보를 전송한다(S120). In addition, by using the data stored in the storage unit 18 of the malicious code processing apparatus 10C, it is checked whether there is signature data corresponding to the information suspected of the primary detected malicious code (S110). If the signature data already exists, the second verification is performed using the stored signature data without having to communicate with the central processing center 20 (S160). On the other hand, if there is no stored signature data, the central processing center 20C transmits information suspected as the first detected malicious code and version information of the detection engine (S120).

중앙처리센터(20C)는 수신된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터를 데이터베이스(44)로부터 추출(S130)하여 악성코드 처리장치(10C)로 전송한다(S150). 이때, 검출엔진의 버전정보를 이용하여 데이터베이스(44)에 저장된 최신버전 검출엔진 프로그램이 있는 것으로 확인된 경우 해당 최신 버전 검출엔진 프로그램도 함께 전송한다(S150). 한편, 신종 또는 변종 바이러스의 경우와 같이 수신된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터가 존재하지 않는 경우 새로운 시그니처 데이터를 생성하여 데이터베이스(44)를 업데이트할 수도 있다(S140).The central processing center 20C extracts signature data corresponding to the suspected malicious code information from the database 44 (S130) and transmits the signature data to the malware processing apparatus 10C (S150). At this time, when it is determined that there is a latest version detection engine program stored in the database 44 using the version information of the detection engine, the corresponding latest version detection engine program is also transmitted (S150). On the other hand, when signature data corresponding to information suspected of being received malicious code does not exist as in the case of a new or variant virus, new signature data may be generated to update the database 44 (S140).

악성코드 처리장치(10C)는 수신된 시그니처 정보를 이용하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부에 대한 2차 검증을 수행한다(S160). 검증결과 악성코드가 아닌 정상입력임이 확인되면 해당 정보를 악성코드 처리장치(10C) 내부의 저장부(38)에 저장하여 차후에 동일 또는 유사한 1차 검출된 악성코드로 의심되는 정보에 대하여 활용한다(S170). 검증결과를 출력하고 필요한 조치를 취한다(S180).The malicious code processing apparatus 10C performs second verification on whether the information suspected as the first detected malicious code is the actual malicious code by using the received signature information (S160). As a result of the verification, when it is confirmed that the input is not a malicious code, the corresponding information is stored in the storage unit 38 inside the malware processing apparatus 10C and used for information suspected of being the same or similar primary detected malware later ( S170). Output the verification result and take the necessary measures (S180).

한편 도 12는 본 발명의 다른 실시예에 따른 악성코드 처리방법을 도시한 플로차트로서 제4 실시예의 시스템 구성을 기초로 설명한 예이다.12 is a flowchart illustrating a malicious code processing method according to another embodiment of the present invention and is an example described based on the system configuration of the fourth embodiment.

도 12를 참조하면, 대부분의 절차가 도 11에 도시된 예와 유사함을 알 수 있다. 다만 추출된 시그니처 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 확인하는 제2 검증 과정을 휴대단말에 탑재된 악성코드 처리장치(10C) 대신에 중앙처리센터(20D)에서 수행하는 점에 차이가 있다(S240). Referring to FIG. 12, it can be seen that most procedures are similar to the example shown in FIG. 11. However, the central processing center 20D instead of the malicious code processing apparatus 10C mounted on the mobile terminal performs a second verification process that uses the extracted signature data to confirm whether the first suspected malicious code is the actual malicious code. There is a difference in performing at (S240).

본 실시예에 따른 악성코드 처리방법을 간략히 정리하면 다음과 같다.A brief summary of the malicious code processing method according to the present embodiment is as follows.

악성코드 처리장치(10D)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하고(S200), 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송한다(S220). 중앙처리센터(20D)는 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 데이터베이스를 이용하여 2차 검증한다(S240). 악성코드 처리장치(10D)는 중앙처리센터로부터 전송된 2차 검증한 결과를 수신하여(S250) 검출결과를 출력한다(S270).The malicious code processing apparatus 10D analyzes the information input to the mobile terminal and primarily detects suspected malicious code that may damage the portable terminal (S200), and detects suspected information as the detected malicious code. The mobile terminal transmits to the central processing center connected to the wired or wireless network (S220). The central processing center 20D secondly verifies whether the information suspected of the detected malicious code is an actual malicious code using a database (S240). The malicious code processing apparatus 10D receives the secondary verification result transmitted from the central processing center (S250) and outputs the detection result (S270).

전술한 바와 같이 본 발명에 따르면, 악성코드 검출 성능을 저하시키지 않으면서 CPU, 메모리 및 통신 오버헤드를 최소화하여 배터리 소모를 대폭 절감하는 휴대단말용 초경량 악성코드 처리장치 및 그 처리 방법이 제공된다.As described above, according to the present invention, there is provided an ultralight malware processing apparatus and a processing method thereof for minimizing battery consumption by minimizing CPU, memory and communication overhead without degrading malicious code detection performance.

즉, 본 발명은 휴대단말에 탑재되는 악성코드 처리장치와 중앙처리센터 간의 상호협력을 통한 악성코드 검출 시스템을 구성하는 것을 특징으로 한다. 특히 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 저렴하게 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 정확하게 확인하는 2차 검출 과정을 포함하는 2단계의 검출과정을 구현한 휴대단말 악성코드 처리 시스템이 제공된다. That is, the present invention is characterized by configuring a malicious code detection system through mutual cooperation between the malicious code processing apparatus mounted on the mobile terminal and the central processing center. In particular, a primary detection process that inexpensively detects information (including programs or data) suspected of causing malicious code to harm the mobile terminal, and accurately confirms whether the information suspected of the first detected malicious code is actually malicious code. Provided is a mobile terminal malware processing system implementing a two-step detection process including a second detection process.

이에 따라 검출 정확도를 높이면서 휴대단말의 CPU, 메모리, 배터리 오버헤드를 절감하고 통신 오버헤드를 줄일 수 있다. 또한, 알려지지 않은 신종 악성코드 나 변종 악성 코드까지도 실시간으로 검출할 수 있다.As a result, the CPU, memory, and battery overhead of the mobile terminal can be reduced and communication overhead can be reduced while increasing the detection accuracy. In addition, it is possible to detect unknown new malicious code or variant malicious code in real time.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

Claims (40)

휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및A first detector for analyzing information input to the mobile terminal and detecting information suspected of malicious code that may damage the mobile terminal; 상기 휴대단말과 유무선망으로 연결된 중앙처리센터로부터 악성코드 검증에 필요한 정보를 수신하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a second detection unit configured to receive information necessary for verifying malicious code from a central processing center connected to the portable terminal via a wired or wireless network and verify whether the detected suspected malicious code is an actual malicious code. Terminal malware processing device. 제1항에 있어서, 상기 제1 검출부는The method of claim 1, wherein the first detection unit 컴퓨터 면역시스템 기반의 검출기술을 적용하여 상기 악성코드로 의심되는 정보를 검출하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.A mobile terminal malware processing device, characterized in that for detecting information suspected as the malicious code by applying a computer immune system based detection technology. 제1항에 있어서, 상기 제1 검출부는 The method of claim 1, wherein the first detection unit 미리 저장된 휴대단말 내 상주 프로그램에 대한 특징 정보를 참조하여 상기 휴대단말로 입력되는 정보 중 상기 상주 프로그램과 상이한 특징을 갖는 정보를 상기 악성코드로 의심되는 정보로서 검출하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The mobile terminal malicious code, characterized by detecting information having a different characteristic from the resident program as suspected malicious code among information inputted to the mobile terminal with reference to characteristic information on the resident program in the mobile terminal previously stored. Processing unit. 제1항에 있어서, 상기 제2 검출부는The method of claim 1, wherein the second detection unit 시그니처 기반 검출기술을 적용하여 상기 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.A mobile terminal malware processing apparatus characterized by verifying whether the information suspected as the malicious code is a real malware by applying a signature-based detection technology. 제1항에 있어서, 상기 제2 검출부는The method of claim 1, wherein the second detection unit 상기 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 이용하여 상기 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The mobile terminal malicious code processing apparatus, characterized by verifying whether the information suspected of the malicious code is an actual malicious code by using signature data indicating a pattern of malicious code as the information necessary for the malicious code verification. 제1항에 있어서, The method of claim 1, 상기 제1 검출부의 검출 결과 및/또는 상기 제2 검출부의 검증 결과를 디스플레이하는 표시부를 더 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a display unit for displaying the detection result of the first detection unit and / or the verification result of the second detection unit. 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서,In the central processing center connected to a mobile terminal and wired or wireless network, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및Databases that store information needed to verify malware, and 상기 휴대단말로부터 악성코드로 의심되는 정보를 수신하고, 상기 데이터베이스를 참조하여 상기 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 판단하기 위한 악성코드 검증에 필요한 정보를 추출하여 상기 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터.Receiving information suspected of malicious code from the mobile terminal, and extracts the information necessary for verifying the malicious code to determine whether the information suspected of the received malicious code corresponds to the actual malicious code with reference to the database; Central processing center comprising a processing unit for transmitting to a mobile terminal. 제7항에 있어서, 상기 악성코드 검증에 필요한 정보는The method of claim 7, wherein the information necessary for verifying the malicious code is 시그니처 기반 검출기술에 이용되며 악성코드의 패턴을 나타내는 시그니처 데이터인 것을 특징으로 하는 중앙처리센터.The central processing center, which is used for signature-based detection technology and is signature data representing a pattern of malicious code. 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및A first detector for analyzing information input to the mobile terminal and detecting information suspected of malicious code that may damage the mobile terminal; 상기 검출된 악성코드로 의심되는 정보를 상기 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 상기 중앙처리센터로부터 상기 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The information suspected as the detected malicious code is transmitted to a central processing center connected with the mobile terminal and a wired / wireless network, and the result of verifying whether the information suspected as the transmitted malicious code is from the central processing center is a real malicious code. Mobile terminal malware processing device comprising a detection processing unit for receiving. 제9항에 있어서, 상기 제1 검출부는The method of claim 9, wherein the first detection unit 컴퓨터 면역시스템 기반의 검출기술을 적용하여 상기 악성코드로 의심되는 정보를 검출하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.A mobile terminal malware processing device, characterized in that for detecting information suspected as the malicious code by applying a computer immune system based detection technology. 제10항에 있어서, 상기 제1 검출부는 The method of claim 10, wherein the first detection unit 미리 저장된 휴대단말 내 상주 프로그램에 대한 특징 정보를 참조하여 상기 휴대단말로 입력되는 정보 중 상기 상주 프로그램과 상이한 특징을 갖는 정보를 상기 악성코드로 의심되는 정보로서 검출하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The mobile terminal malicious code, characterized by detecting information having a different characteristic from the resident program as suspected malicious code among information inputted to the mobile terminal with reference to characteristic information on the resident program in the mobile terminal previously stored. Processing unit. 제9항에 있어서, The method of claim 9, 상기 제1 검출부의 검출 결과 및/또는 상기 검출처리부에서 수신한 검증 결과를 디스플레이하는 표시부를 더 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a display unit for displaying the detection result of the first detection unit and / or the verification result received by the detection processing unit. 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서,In the central processing center connected to a mobile terminal and wired or wireless network, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및Databases that store information needed to verify malware, and 상기 데이터베이스를 참조하여 상기 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 중앙처리센터.And a second detection unit which verifies whether the information suspected of the malicious code received from the mobile terminal is an actual malicious code by referring to the database. 제13항에 있어서, 상기 제2 검출부는The method of claim 13, wherein the second detection unit 시그니처 기반 검출기술을 적용하여 상기 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것을 특징으로 하는 중앙처리센터.The central processing center, characterized in that by applying the signature-based detection technology to verify whether the information suspected of malicious code received from the mobile terminal is the actual malicious code. 제13항에 있어서, 상기 제2 검출부는The method of claim 13, wherein the second detection unit 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 이용하여 상기 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것을 특징으로 하는 중앙처리센터.And a central processing center for verifying whether information suspected of malicious code received from the mobile terminal is actually malicious code by using signature data representing a pattern of malicious code as information required for malicious code verification. 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 A first detection unit analyzing information input to the mobile terminal to detect information suspected of malicious code that may damage the mobile terminal 상기 검출된 악성코드로 의심되는 정보를 상기 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 상기 중앙처리센터로부터 상기 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하여 상기 제2 검출부로 전달하는 검출처리부 및The information suspected as the detected malicious code is transmitted to a central processing center connected with the mobile terminal and a wired / wireless network, and information necessary for verifying a malicious code corresponding to the information suspected as the detected malicious code is received from the central processing center. A detection processor transferring the second detection unit to the second detection unit; 상기 검출처리부로부터 전달받은 악성코드 검증에 필요한 정보를 이용하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a second detection unit which verifies whether the information suspected of the detected malicious code is an actual malicious code by using information necessary for verifying the malicious code received from the detection processing unit. 제16항에 있어서, 상기 검출처리부는The method of claim 16, wherein the detection processing unit 상기 제2 검출부에 탑재된 검출엔진의 버전정보를 상기 중앙처리센터로 전송하고, 상기 버전정보에 기초하여 상기 검출엔진의 업데이트가 필요하다고 판단되는 경우 상기 중앙처리센터로부터 최신 버전의 검출엔진 프로그램을 수신하여 상기 제2 검출부에 탑재된 검출엔진을 업데이트하는 것을 특징으로 하는 휴대단말 악성코드 처리장치. When the version information of the detection engine mounted on the second detection unit is transmitted to the central processing center, and it is determined that an update of the detection engine is necessary based on the version information, the latest version of the detection engine program is transmitted from the central processing center. And receiving and updating a detection engine mounted on the second detection unit. 제16항에 있어서,The method of claim 16, 상기 검출된 악성코드로 의심되는 정보와, 이에 대응하는 상기 수신된 악성코드 검증에 필요한 정보를 저장하는 저장부를 더 포함하며,Further comprising a storage unit for storing the information suspected of the detected malicious code, and the information required for verifying the received malicious code, 상기 검출처리부는 상기 중앙처리센터와 통신하기 전에 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보가 상기 저장부에 미리 저장되어 있는지 확인하고 저장된 경우 상기 저장부에 저장된 악성코드 검증에 필요한 정보를 상기 제2 검출부로 전달하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The detection processing unit checks whether the information necessary for the malicious code verification corresponding to the suspected malicious code is previously stored in the storage unit before communicating with the central processing center, and if necessary, the detection processing unit is required to verify the malicious code stored in the storage unit. The mobile terminal malicious code processing device, characterized in that to transmit information to the second detection unit. 제16항에 있어서,The method of claim 16, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit transmits all or a part of information suspected of the detected malicious code to the central processing center. 제16항에 있어서,The method of claim 16, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 압축하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit compresses all or a part of information suspected of the detected malicious code and transmits it to the central processing center. 제16항에 있어서,The method of claim 16, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보로부터 특징을 추출하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit extracts a feature from information suspected of the detected malicious code and transmits the feature to the central processing center. 제16항에 있어서,The method of claim 16, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보로부터 특징을 추출하고 상기 추출된 특징을 압축하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit extracts a feature from information suspected of the detected malicious code, compresses the extracted feature, and transmits the extracted feature to the central processing center. 제16항에 있어서, The method of claim 16, 상기 제1 검출부의 검출 결과 및/또는 상기 제2 검출부의 검증 결과를 디스플레이하는 표시부를 더 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a display unit for displaying the detection result of the first detection unit and / or the verification result of the second detection unit. 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서,In the central processing center connected to a mobile terminal and wired or wireless network, 악성코드 검증에 필요한 정보와, 검출엔진의 최신 버전정보 및 최신 버전 검출엔진 프로그램을 저장하는 데이터베이스 및Database that stores information necessary for malicious code verification, latest version information of detection engine and latest version detection engine program, and 상기 휴대단말로부터 악성코드로 의심되는 정보를 수신하고 상기 데이터베이스를 참조하여 상기 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 검증하기 위해 필요한 정보를 추출하여 상기 휴대단말로 전송하며, 상기 휴대단말로부터 상기 휴대단말에 탑재된 검출엔진의 버전정보를 수신하고 상기 데이터베이스를 참조하여 상기 검출엔진의 업데이트가 필요한지 판단하고 업데이트가 필요한 경우 상기 최신 버전 검출엔진 프로그램을 상기 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터.Receive information suspected of malicious code from the mobile terminal and extract the necessary information to verify whether the information suspected of the received malicious code corresponds to the actual malicious code by referring to the database and transmit the information to the mobile terminal. Receiving version information of the detection engine mounted in the mobile terminal from the mobile terminal, referring to the database to determine whether the detection engine needs to be updated, and transmitting the latest version detection engine program to the mobile terminal when the update is necessary. Central processing center comprising a processing unit. 제24항에 있어서, The method of claim 24, 상기 데이터베이스에서 상기 수신된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 찾을 수 없는 경우, 상기 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하기 위해 필요한 정보를 생성하여 상기 데이터베이스에 저장하는 데이터베이스 갱신부를 더 포함하는 것을 특징으로 하는 중앙처리센터.If the information necessary for the verification of the malicious code corresponding to the information suspected of the received malicious code is not found in the database, information necessary to verify whether the information suspected of the received malicious code is an actual malicious code is generated. Central processing center further comprises a database updating unit for storing in the database. 제24항에 있어서, 상기 데이터베이스 갱신부는 The method of claim 24, wherein the database update unit 상기 데이터베이스에 저장된 상기 검출엔진의 최신 버전정보와 상기 최신 버전 검출엔진 프로그램을 새로 생성하여 상기 데이터베이스에 저장하는 것을 특징으 로 하는 중앙처리센터.And generating the latest version information of the detection engine and the latest version detection engine program stored in the database and storing the latest version information in the database. 제24항에 있어서, 상기 악성코드 검증에 필요한 정보는The method of claim 24, wherein the information necessary for verifying the malicious code is 시그니처 기반 검출기술에서 사용되는 악성코드 패턴을 나타내는 시그니처 데이터인 것을 특징으로 하는 중앙처리센터.Central processing center, characterized in that the signature data representing the malware pattern used in signature-based detection technology. 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및A first detector for analyzing information input to the mobile terminal and detecting information suspected of malicious code that may damage the mobile terminal; 상기 검출된 악성코드로 의심되는 정보를 상기 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 상기 중앙처리센터로부터 상기 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부 및The information suspected as the detected malicious code is transmitted to a central processing center connected with the mobile terminal and a wired / wireless network, and the result of verifying whether the information suspected as the transmitted malicious code is from the central processing center is a real malicious code. A detection processor for receiving and 상기 수신된 검증결과에 따라 상기 전송된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 저장하는 저장부를 포함하며,And a storage unit for storing information verified as not the actual malicious code among the information suspected of the transmitted malicious code according to the received verification result, 상기 검출처리부는 상기 중앙처리센터와 통신하기 전에 상기 검출된 악성코드로 의심되는 정보가 상기 저장부에 저장되어 있는지 확인하여 만약 저장된 경우 상기 검출된 악성코드로 의심되는 정보는 실제 악성코드가 아닌 것으로 판단하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.The detection processing unit checks whether the information suspected of the detected malicious code is stored in the storage unit before communicating with the central processing center, and if it is stored, the information suspected of the detected malicious code is not an actual malicious code. Mobile terminal malware processing device, characterized in that judging. 제28항에 있어서,The method of claim 28, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보의 전부 또는 일부 를 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit transmits all or a part of information suspected of the detected malicious code to the central processing center. 제28항에 있어서,The method of claim 28, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 압축하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit compresses all or a part of information suspected of the detected malicious code and transmits it to the central processing center. 제28항에 있어서,The method of claim 28, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보로부터 특징을 추출하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit extracts a feature from information suspected of the detected malicious code and transmits the feature to the central processing center. 제28항에 있어서,The method of claim 28, 상기 검출처리부는 상기 검출된 악성코드로 의심되는 정보로부터 특징을 추출하고 상기 추출된 특징을 압축하여 상기 중앙처리센터로 전송하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And the detection processing unit extracts a feature from information suspected of the detected malicious code and compresses the extracted feature to transmit the extracted feature to the central processing center. 제28항에 있어서, The method of claim 28, 상기 제1 검출부의 검출 결과 및/또는 상기 검출처리부에서 수신한 검증 결 과를 디스플레이하는 표시부를 더 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치.And a display unit for displaying the detection result of the first detection unit and / or the verification result received by the detection processing unit. 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서,In the central processing center connected to a mobile terminal and wired or wireless network, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스Database that stores information required for malware verification 상기 데이터베이스를 참조하여 상기 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부 및A second detection unit which verifies whether the information suspected of the malicious code received from the mobile terminal is an actual malicious code by referring to the database; 상기 휴대단말로부터 악성코드로 의심되는 정보를 수신하여 상기 제2 검출부로 전달하고 상기 제2 검출부의 검증결과를 상기 휴대단말로 전송하는 것을 특징으로 하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터.And a processing unit for receiving information suspected of a malicious code from the mobile terminal, transmitting the suspected malicious code to the second detection unit, and transmitting the verification result of the second detection unit to the mobile terminal. 제34항에 있어서,The method of claim 34, wherein 상기 처리부는 상기 검증결과에 따라 상기 휴대단말로부터 수신된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 추출하여 상기 휴대단말로 전송하는 것을 특징으로 하는 중앙처리센터.And the processing unit extracts the information verified as not the actual malicious code from the information suspected of the malicious code received from the portable terminal according to the verification result, and transmits the verified information to the portable terminal. 제34항에 있어서, The method of claim 34, wherein 상기 악성코드 검증에 필요한 정보는 악성코드의 패턴을 나타내는 시그니처 데이터인 것을 특징으로 하는 중앙처리센터.The information required for the malicious code verification is a central processing center, characterized in that the signature data representing the pattern of the malicious code. 휴대단말의 악성코드 처리방법에 있어서,In the malicious code processing method of the mobile terminal, 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계Firstly detecting information suspected of malicious code that may harm the mobile terminal by analyzing the information input to the mobile terminal 상기 검출된 악성코드로 의심되는 정보를 상기 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계Transmitting information suspected of the detected malicious code to a central processing center connected to the mobile terminal through a wired or wireless network; 상기 중앙처리센터로부터 상기 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하는 단계 및Receiving information necessary for verifying a malicious code corresponding to the information suspected of the detected malicious code from the central processing center; 상기 전달받은 악성코드 검증에 필요한 정보를 이용하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법.And a second step of verifying whether the information suspected as the detected malicious code is an actual malicious code by using the information necessary for verifying the received malicious code. 제37항에 기록된 방법을 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 정보저장매체.A computer-readable information storage medium having recorded thereon a program capable of executing the method described in claim 37 on a computer. 휴대단말의 악성코드 처리방법에 있어서,In the malicious code processing method of the mobile terminal, 휴대단말로 입력되는 정보를 분석하여 상기 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계Firstly detecting information suspected of malicious code that may harm the mobile terminal by analyzing the information input to the mobile terminal 상기 검출된 악성코드로 의심되는 정보를 상기 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계 및Transmitting information suspected of the detected malicious code to a central processing center connected to the mobile terminal through a wired or wireless network; and 상기 중앙처리센터로부터 상기 전송된 악성코드로 의심되는 정보가 실제 악 성코드인지 여부를 2차 검증한 결과를 수신하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법.And receiving a second verification result from the central processing center whether the information suspected of the transmitted malicious code is an actual malicious code. 제39항에 기록된 방법을 컴퓨터에서 실행시킬 수 있는 프로그램을 기록한 컴퓨터로 읽을 수 있는 정보저장매체.A computer-readable information storage medium having recorded thereon a program capable of executing the method described in claim 39 on a computer.
KR1020070013060A 2007-02-08 2007-02-08 Apparatus and method for detecting malware in mobile hand-held devices KR100878895B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070013060A KR100878895B1 (en) 2007-02-08 2007-02-08 Apparatus and method for detecting malware in mobile hand-held devices

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070013060A KR100878895B1 (en) 2007-02-08 2007-02-08 Apparatus and method for detecting malware in mobile hand-held devices

Publications (2)

Publication Number Publication Date
KR20080074271A true KR20080074271A (en) 2008-08-13
KR100878895B1 KR100878895B1 (en) 2009-01-15

Family

ID=39883630

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070013060A KR100878895B1 (en) 2007-02-08 2007-02-08 Apparatus and method for detecting malware in mobile hand-held devices

Country Status (1)

Country Link
KR (1) KR100878895B1 (en)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968121B1 (en) * 2008-09-01 2010-07-06 주식회사 안철수연구소 Method for blocking malicious code through removable disk and apparatus thereof
WO2010117155A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus for a mobile device
WO2010117152A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device
WO2010117154A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device
WO2010117153A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus for a mobile device
KR101046102B1 (en) * 2008-10-24 2011-07-01 주식회사 케이티 Malicious code processing method and device and system for same
KR101047659B1 (en) * 2009-10-12 2011-07-07 삼성에스디에스 주식회사 Cloud-based mobile anti-malware systems, cloud centers and mobile devices
WO2011046356A3 (en) * 2009-10-12 2011-09-15 삼성에스디에스 주식회사 Method for providing an anti-malware service
KR101130088B1 (en) * 2010-03-05 2012-03-28 주식회사 안철수연구소 Malware detecting apparatus and its method, recording medium having computer program recorded
KR101161493B1 (en) * 2010-01-18 2012-06-29 (주)쉬프트웍스 Method of Examining Malicious Codes and Dangerous Files in Android Terminal Platform
US8365287B2 (en) 2010-06-18 2013-01-29 Samsung Sds Co., Ltd. Anti-malware system and operating method thereof
WO2014010829A1 (en) * 2012-07-09 2014-01-16 주식회사 안랩 Apparatus and method for diagnosing malicious code using caching
WO2014010847A1 (en) * 2012-07-09 2014-01-16 주식회사 안랩 Apparatus and method for diagnosing malicious applications
US8661543B2 (en) 2012-02-16 2014-02-25 Electronics And Telecommunications Research Institute Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal
WO2014035043A1 (en) * 2012-09-03 2014-03-06 주식회사 안랩 Apparatus and method for diagnosing malicious applications
US8726362B2 (en) 2011-03-16 2014-05-13 Samsung Sds Co., Ltd. SOC-based device for packet filtering and packet filtering method thereof
US8973130B2 (en) 2010-07-21 2015-03-03 Samsung Sds Co., Ltd. Device and method for providing SOC-based anti-malware service, and interface method

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20030087195A (en) * 2002-05-07 2003-11-14 주식회사 세니온 Mobile Communication Terminal And Computer Virus Detection And Cure Service Method In The Mobile Communication Terminal
JP2004252642A (en) * 2003-02-19 2004-09-09 Matsushita Electric Ind Co Ltd Method, device, server, and client of virus detection

Cited By (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968121B1 (en) * 2008-09-01 2010-07-06 주식회사 안철수연구소 Method for blocking malicious code through removable disk and apparatus thereof
KR101046102B1 (en) * 2008-10-24 2011-07-01 주식회사 케이티 Malicious code processing method and device and system for same
US8826414B2 (en) 2009-04-09 2014-09-02 Samsung Sds Co., Ltd. System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device
WO2010117155A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus for a mobile device
WO2010117152A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device
WO2010117154A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device
WO2010117153A2 (en) * 2009-04-09 2010-10-14 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus for a mobile device
WO2010117155A3 (en) * 2009-04-09 2011-01-20 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus for a mobile device
WO2010117152A3 (en) * 2009-04-09 2011-01-20 삼성에스디에스 주식회사 System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device
WO2010117154A3 (en) * 2009-04-09 2011-01-20 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device
WO2010117153A3 (en) * 2009-04-09 2011-01-20 삼성에스디에스 주식회사 System-on-a-chip malicious code detection apparatus for a mobile device
KR101047659B1 (en) * 2009-10-12 2011-07-07 삼성에스디에스 주식회사 Cloud-based mobile anti-malware systems, cloud centers and mobile devices
WO2011046356A3 (en) * 2009-10-12 2011-09-15 삼성에스디에스 주식회사 Method for providing an anti-malware service
KR101161493B1 (en) * 2010-01-18 2012-06-29 (주)쉬프트웍스 Method of Examining Malicious Codes and Dangerous Files in Android Terminal Platform
KR101130088B1 (en) * 2010-03-05 2012-03-28 주식회사 안철수연구소 Malware detecting apparatus and its method, recording medium having computer program recorded
US8365287B2 (en) 2010-06-18 2013-01-29 Samsung Sds Co., Ltd. Anti-malware system and operating method thereof
US8973130B2 (en) 2010-07-21 2015-03-03 Samsung Sds Co., Ltd. Device and method for providing SOC-based anti-malware service, and interface method
US8726362B2 (en) 2011-03-16 2014-05-13 Samsung Sds Co., Ltd. SOC-based device for packet filtering and packet filtering method thereof
US8661543B2 (en) 2012-02-16 2014-02-25 Electronics And Telecommunications Research Institute Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal
WO2014010829A1 (en) * 2012-07-09 2014-01-16 주식회사 안랩 Apparatus and method for diagnosing malicious code using caching
WO2014010847A1 (en) * 2012-07-09 2014-01-16 주식회사 안랩 Apparatus and method for diagnosing malicious applications
WO2014035043A1 (en) * 2012-09-03 2014-03-06 주식회사 안랩 Apparatus and method for diagnosing malicious applications
US9525706B2 (en) 2012-09-03 2016-12-20 Ahnlab, Inc. Apparatus and method for diagnosing malicious applications

Also Published As

Publication number Publication date
KR100878895B1 (en) 2009-01-15

Similar Documents

Publication Publication Date Title
KR100878895B1 (en) Apparatus and method for detecting malware in mobile hand-held devices
US9223973B2 (en) System and method for attack and malware prevention
KR101574652B1 (en) Sytem and method for mobile incident analysis
US7650639B2 (en) System and method for protecting a limited resource computer from malware
US9832211B2 (en) Computing device to detect malware
EP2912596B1 (en) Dynamic quarantining for malware detection
Zaidi et al. A survey on security for smartphone device
US9183392B2 (en) Anti-malware tool for mobile apparatus
KR20090024374A (en) System and method of malware diagnosis mechanism based on immune database
KR101908944B1 (en) Apparatus and method for analyzing malware in data analysis system
US8726377B2 (en) Malware determination
KR100864867B1 (en) The method and apparatus for detecting malicious file in mobile terminal
KR20090109154A (en) Device, system and method for preventing malicious code
KR101715179B1 (en) Cloud computing based mobile security system and method through user behavior event
US20130303118A1 (en) Mobile device security
MX2008000513A (en) Securing network services using network action control lists.
US11934515B2 (en) Malware deterrence using computer environment indicators
US11886584B2 (en) System and method for detecting potentially malicious changes in applications
CN112560018B (en) Sample file detection method, device, terminal equipment and storage medium
EP4095727A1 (en) System and method for detecting potentially malicious changes in applications
Zhao et al. Development Analysis of Trusted Computing Technology of Smart Mobile Terminal
CN118035976A (en) Detection method and related device for impersonation access certificate
CN117835240A (en) Custom ROM identification method and device, electronic equipment and medium
CN117240514A (en) Service processing request processing method and device

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
AMND Amendment
E601 Decision to refuse application
AMND Amendment
J201 Request for trial against refusal decision
B701 Decision to grant
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee