KR20080074271A - Apparatus and method for detecting malware in mobile hand-held devices - Google Patents
Apparatus and method for detecting malware in mobile hand-held devices Download PDFInfo
- Publication number
- KR20080074271A KR20080074271A KR1020070013060A KR20070013060A KR20080074271A KR 20080074271 A KR20080074271 A KR 20080074271A KR 1020070013060 A KR1020070013060 A KR 1020070013060A KR 20070013060 A KR20070013060 A KR 20070013060A KR 20080074271 A KR20080074271 A KR 20080074271A
- Authority
- KR
- South Korea
- Prior art keywords
- malicious code
- information
- mobile terminal
- detection
- suspected
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/564—Static detection by virus signature recognition
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Description
도 1은 본 발명의 바람직한 실시예에 따른 휴대단말 악성코드 처리 시스템의 개요도,1 is a schematic diagram of a mobile terminal malware processing system according to a preferred embodiment of the present invention;
도 2 및 도 3은 본 발명의 제1 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,2 and 3 are block diagrams of a malicious code processing apparatus and a central processing center according to a first embodiment of the present invention;
도 4 및 도 5는 본 발명의 제2 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,4 and 5 are block diagrams of a malicious code processing apparatus and a central processing center according to a second embodiment of the present invention;
도 6 및 도 7은 본 발명의 제3 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,6 and 7 are block diagrams of a malicious code processing apparatus and a central processing center according to a third embodiment of the present invention;
도 8 및 도 9는 본 발명의 제4 실시예에 따른 악성코드 처리장치 및 중앙처리센터의 블록도,8 and 9 are block diagrams of a malicious code processing apparatus and a central processing center according to a fourth embodiment of the present invention;
도 10은 악성코드 데이터베이스의 일 실시예,10 illustrates an embodiment of a malware database.
도 11은 본 발명의 일 실시예에 따른 악성코드 처리방법을 도시한 플로차트,11 is a flowchart illustrating a malicious code processing method according to an embodiment of the present invention;
도 12는 본 발명의 다른 실시예에 따른 악성코드 처리방법을 도시한 플로차트이다.12 is a flowchart illustrating a malicious code processing method according to another embodiment of the present invention.
<도면의 주요부분에 대한 부호의 설명><Description of the symbols for the main parts of the drawings>
10: 휴대단말 악성코드 처리장치 20: 중앙처리센터10: mobile device malware processing device 20: central processing center
12, 32: 제1 검출부 14, 46: 제2 검출부12, 32:
16, 36: 검출처리부 24, 44: 데이터베이스 16, 36:
본 발명은 스마트폰, PDA(personal digital assistant), WiBro 단말 등의 각종 휴대단말에 관한 것으로, 특히 휴대단말에서 바이러스, 웜, 스파이웨어, 스팸, 해킹툴 등의 각종 악성코드(malware)를 검출하여 처리하는 휴대단말 악성코드 처리장치 및 그 처리 방법에 관한 것이다.The present invention relates to various mobile terminals such as smart phones, personal digital assistants (PDAs), WiBro terminals, and the like, and specifically detects various malware such as viruses, worms, spyware, spam, hacking tools, etc. The present invention relates to a mobile terminal malware processing apparatus for processing and a processing method thereof.
최근 스마트폰, PDA, WiBro 단말 등이 보편화되면서 휴대단말은 현대인의 생활에서 빼놓을 수 없는 중요한 도구가 되고 있다. 많은 사람들이 휴대단말을 이용하여 서로 안부를 묻고 정보를 교환하며 음성 및 데이터 통신을 통하여 업무상 중요한 정보를 교환하기도 한다.Recently, as smartphones, PDAs, WiBro terminals, and the like become more common, portable terminals have become an indispensable tool in modern life. Many people use mobile terminals to talk about each other, exchange information, and exchange business-critical information through voice and data communications.
한편, 휴대단말의 하드웨어가 고급화되고 휴대단말에서 수행되는 응용프로그램이 다양해지고 복잡해져 감에 따라 기존 컴퓨터를 공격하던 악성코드가 휴대단말에도 심각한 폐해를 일으킬 가능성이 높아지고 있다. 특히, WiBro 등 무선 휴대 인터넷 서비스가 확산되는 추세에 따라 기존 컴퓨터용 응용 프로그램의 취약점을 공격하는 악성코드에 더하여 블루투스(Bluetooth), MMS(Multimedia Messaging System) 등 휴대단말용 응용 프로그램 및 서비스의 취약점을 공격하는 모바일 악성 코드(mobile malware)가 등장하고 있다. 이러한 각종 악성코드들은 휴대단말의 오동작을 유도하고 데이터를 삭제하거나 사용자 개인정보를 유출하는 등 심각한 피해를 입힐 수 있다. 따라서 각종 악성코드로부터 휴대단말을 효과적으로 보호하기 위한 대책이 요구된다.On the other hand, as the hardware of the mobile terminal is advanced and the applications executed in the mobile terminal are diversified and complicated, the malicious code that attacks the existing computer is likely to cause serious damage to the mobile terminal. In particular, with the proliferation of wireless mobile Internet services such as WiBro, in addition to malicious code that attacks vulnerabilities of existing computer applications, the vulnerability of mobile applications and services such as Bluetooth and MMS (Multimedia Messaging System) Attacking mobile malware is emerging. These various malicious codes can cause serious damage such as inducing malfunction of the mobile terminal, deleting data or leaking user's personal information. Therefore, a countermeasure for effectively protecting a mobile terminal from various malicious codes is required.
종래의 악성코드 검출 기술로는 시그니처 기반(signature-based) 검출 방식이 대표적이다. 이 방식은 인터넷 환경에서 실행되는 안티 바이러스(anti-virus) 소프트웨어에서 널리 사용되고 있다. 보다 구체적으로 시그니처 기반 검출방식은 알려진 악성코드 중 일부 패턴들(이하 '시그니처' 라고 한다)을 데이터베이스에 저장하고, 입력되는 정보와 데이터베이스에 저장된 악성코드 시그니처 데이터를 일일이 비교하여 일치하는 시그니처가 존재하는지 검사함으로써 악성코드를 검출한다. A signature-based detection scheme is typical of conventional malware detection techniques. This approach is widely used in anti-virus software running in the Internet environment. More specifically, the signature-based detection method stores some patterns of known malware (hereinafter referred to as 'signatures') in a database, compares the input information with the malware signature data stored in the database, and checks whether there is a matching signature. By detecting malicious code.
그러나 전술한 시그니처 기반 검출방식은 다음과 같이 심각한 문제점을 가지고 있다. 첫째, 알려진 악성코드의 개수가 늘어남에 따라 필연적으로 시그니처 데이터베이스의 크기가 급속히 늘어나게 되며, 이로 인해 CPU 오버헤드, 메모리 오버헤드 및 배터리 소모 급증이라는 문제를 야기 시킨다. 특히 배터리 자원이 극히 제한된 휴대단말에 시그니처 기반 검출방식을 그대로 적용할 경우 단말의 성능을 심각하게 저하시키게 된다. 둘째, 악성코드의 확산 시점과 시그니처 데이터베이스의 갱신 시점 사이의 시차로 인해 악성코드의 실시간 검출 및 치료가 불가능하다는 문제점이 있다.However, the signature-based detection method described above has serious problems as follows. First, as the number of known malicious codes increases, the size of the signature database inevitably increases rapidly, which causes problems such as CPU overhead, memory overhead, and battery consumption surge. In particular, if the signature-based detection method is applied to a mobile terminal with extremely limited battery resources, the performance of the terminal is seriously degraded. Second, there is a problem in that real-time detection and treatment of the malicious code is impossible due to the time difference between the spreading time of the malicious code and the updating time of the signature database.
이러한 문제점을 해결하기 위하여 미국공개특허 2003-0162575호는 전술한 시그니처 기반 검출 방식을 휴대단말 환경에 맞게 개량한 발명을 제안하고 있다. 이 발명은 대용량의 시그니처 데이터베이스 및 악성코드 검출수단을 휴대단말과 별개의 정보처리장치에 탑재하는 것을 요지로 한다. 휴대단말은 악성코드 검출 수단을 전혀 탑재하지 않고 별도의 정보처리장치로부터 검출결과를 수신한다. 이에 따라 휴대단말은 입력되는 모든 데이터를 전술한 정보처리장치에 전송하고 검출결과를 수신하여 악성코드 감염 여부를 판단한다. In order to solve this problem, US Patent Publication No. 2003-0162575 proposes an invention in which the signature-based detection method described above is improved to be suitable for a mobile terminal environment. The present invention aims to mount a large-capacity signature database and malicious code detection means in an information processing apparatus separate from the mobile terminal. The portable terminal receives the detection result from a separate information processing apparatus without any malicious code detection means. Accordingly, the portable terminal transmits all the input data to the above-described information processing apparatus and receives the detection result to determine whether the malicious code is infected.
그러나 전술한 발명에 따르면 휴대단말로 입력되는 모든 데이터를 별도의 정보처리장치로 전송해야 하므로 과도한 통신 오버헤드가 발생한다는 문제점이 발생한다. 과도한 통신 오버헤드는 결국 데이터 전송비용의 증가와 배터리 소모량의 급증으로 이어지게 되므로 역시 휴대단말 환경에 적용하기에는 매우 비효율적이다.However, according to the above-described invention, since all data input to the mobile terminal must be transmitted to a separate information processing apparatus, there is a problem that excessive communication overhead occurs. Excessive communication overhead eventually leads to an increase in data transmission costs and a surge in battery consumption, which is also very inefficient for the mobile terminal environment.
한편, 일본공개특허 2003-216447호는 휴대단말의 CPU 및 메모리 용량이 시그니처 데이터베이스를 저장하기에는 충분하지 않다는 점에 착안하여 서버로부터 시그니처 데이터베이스 중 일부의 특정 시그니처 데이터만을 다운로드 받아 휴대단말에서 악성코드를 검출하는 구성을 제안하고 있다. 예를 들어 전체 시그니처 데이터베이스에 1만개의 시그니처 데이터가 저장되어 있다고 가정하면 이 중 최근에 발견된 1천개의 시그니처 데이터만을 선택적으로 다운로드 받아 휴대단말에서 악성코드를 검출하도록 하는 것이다.On the other hand, Japanese Laid-Open Patent Publication No. 2003-216447 pays attention to the fact that the CPU and memory capacity of the mobile terminal are not sufficient to store the signature database, so that only specific signature data of a part of the signature database is downloaded from the server to detect malicious code in the mobile terminal. We suggest constitution to make. For example, assuming that 10,000 signature data is stored in the entire signature database, only 1,000 signature data recently found are selectively downloaded to detect malware in the mobile terminal.
그러나 전술한 발명의 경우 일부의 시그니처 데이터만을 이용하여 패턴매칭을 수행하게 되므로 악성코드의 검출 성능이 저하되는 문제점을 가진다. However, in the above-described invention, since pattern matching is performed using only some signature data, the detection performance of the malicious code is deteriorated.
본 발명은 상술한 바와 같은 종래기술의 문제점을 해결하기 위해 안출된 것 으로서, 악성코드 검출 성능을 저하시키지 않으면서 CPU, 메모리 및 통신 오버헤드를 최소화하여 배터리 소모를 대폭 절감하는 휴대단말용 초경량 악성코드 처리장치 및 그 처리 방법을 제공하는 것을 목적으로 한다.The present invention has been made to solve the problems of the prior art as described above, ultra-light malicious for the mobile terminal to significantly reduce the battery consumption by minimizing the CPU, memory and communication overhead without degrading malware detection performance An object of the present invention is to provide a code processing apparatus and a processing method thereof.
전술한 목적을 달성하기 위하여 본 발명은 휴대단말에 탑재되는 악성코드 처리장치와 중앙처리센터 간의 상호협력을 통한 악성코드 검출 시스템을 구성하는 것을 특징으로 한다. 특히 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 확인하는 2차 검출 과정을 포함하는 2단계의 검출과정을 구현하는 휴대단말 악성코드 처리 시스템을 제안한다. 이때, 제2 검출 과정을 휴대단말에 탑재되는 악성코드 처리장치에서 수행할지 또는 중앙처리센터에서 수행할지에 따라 본 발명에 따른 휴대단말 악성코드 처리 시스템을 다양한 실시예로 구현할 수 있다.In order to achieve the above object, the present invention is characterized by configuring a malicious code detection system through mutual cooperation between the malicious code processing apparatus mounted on a mobile terminal and the central processing center. In particular, a primary detection process that detects information (including programs or data) suspected of malicious code to harm a mobile terminal, and a second detection that confirms that the information suspected of the first detected malicious code is actually malicious code. We propose a mobile terminal malware processing system that implements a two-step detection process that includes a process. In this case, the mobile terminal malware processing system according to the present invention may be implemented in various embodiments depending on whether the second detection process is performed in the malware processing apparatus mounted in the mobile terminal or the central processing center.
보다 구체적으로 본 발명의 일 양상(제1 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 휴대단말과 유무선망으로 연결된 중앙처리센터로부터 악성코드 검증에 필요한 정보를 수신하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해 달성된다.More specifically, according to an aspect (first embodiment) of the present invention, the above-described object is a first method for detecting information suspected of malicious code that may cause damage to a mobile terminal by analyzing information input to the mobile terminal. And a second detector configured to receive information necessary for verifying malware from a central processing center connected to a mobile terminal and a wired / wireless network and verify whether information detected as suspected malicious code is actually malicious code. It is achieved by the terminal malware processing device.
이때, 제1 검출부는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코 드로 의심되는 정보를 검출하는 것이 바람직하며, 제2 검출부는 시그니처 기반 검출기술을 적용하여 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 것이 특히 바람직하다.In this case, the first detection unit preferably detects information suspected to be malicious code by applying a computer immune system-based detection technology, and the second detection unit applies signature-based detection technology to detect information suspected of malicious code as the actual malicious code. It is particularly desirable to verify whether it is.
한편 본 발명의 다른 양상에 따르면 전술한 목적은 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및 휴대단말로부터 악성코드로 의심되는 정보를 수신하고, 데이터베이스를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 판단하기 위한 악성코드 검증에 필요한 정보를 추출하여 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.Meanwhile, according to another aspect of the present invention, the above object is a central processing center connected to a mobile terminal and a wired or wireless network, receiving information suspected of malicious code from a database and a mobile terminal for storing information necessary for verifying malicious code, and the database By the central processing center comprising a processing unit for extracting the information necessary for the verification of the malicious code to determine whether the received information suspected malicious code corresponds to the actual malicious code to the mobile terminal; Is achieved.
여기서 악성코드 검증에 필요한 정보는 시그니처 기반 검출기술에 이용되며 악성코드의 패턴을 나타내는 시그니처 데이터인 것이 바람직하다.In this case, the information required for malicious code verification is used for signature-based detection technology, and preferably, signature data representing a pattern of malicious code.
한편 본 발명의 일 양상(제2 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해 달성된다.On the other hand, according to an aspect (second embodiment) of the present invention, the above object is the first detection unit for detecting information suspected of malicious code that may cause harm to the mobile terminal by analyzing the information input to the mobile terminal and The detection processing unit transmits the information suspected of the detected malicious code to the central processing center connected to the mobile terminal and the wired / wireless network, and receives the result of verifying whether the information suspected of the malicious code transmitted from the central processing center is the actual malicious code. It is achieved by a mobile terminal malware processing device comprising a.
한편 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 및 데이터베이스를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the central processing center connected to the mobile terminal and wired and wireless network, suspected malicious code received from the mobile terminal with reference to the database and database for storing information necessary for malicious code verification It is achieved by the central processing center, characterized in that it comprises a second detection unit for verifying whether the information is actually malicious code.
한편 본 발명의 또 다른 양상(제3 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하여 제2 검출부로 전달하는 검출처리부 및 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부를 포함하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해서 달성된다.On the other hand, according to another aspect (third embodiment) of the present invention, the above-described object is the first detection unit for detecting information suspected of malicious code that may cause harm to the mobile terminal by analyzing the information input to the mobile terminal The second detection unit transmits information suspected of the detected malicious code to the central processing center connected to the mobile terminal and the wired / wireless network, and receives information necessary for verifying the malicious code corresponding to the information suspected of the detected malicious code from the central processing center. And a second detection unit which verifies whether the information suspected of the detected malicious code is an actual malicious code by using a detection processor for transmitting the information and necessary information for verifying the received malicious code. Is achieved by
이 때, 검출처리부는 제2 검출부에 탑재된 검출엔진의 버전정보를 중앙처리센터로 전송하고, 버전정보에 기초하여 검출엔진의 업데이트가 필요하다고 판단되는 경우 중앙처리센터로부터 최신 버전의 검출엔진 프로그램을 수신하여 제2 검출부에 탑재된 검출엔진을 업데이트하는 것이 바람직하다.At this time, the detection processor transmits the version information of the detection engine mounted on the second detection unit to the central processing center, and when it is determined that the update of the detection engine is necessary based on the version information, the detection engine program of the latest version from the central processing center. It is preferable to update the detection engine mounted on the second detection unit by receiving.
한편 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보와, 검출엔진의 최신 버전정보 및 최신 버전 검출엔진 프로그램을 저장하는 데이터베이스 및 휴대단말로부터 악성코드로 의심되는 정보를 수신하고 데이터베이스를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 검증하기 위해 필 요한 정보를 추출하여 휴대단말로 전송하며, 휴대단말로부터 휴대단말에 탑재된 검출엔진의 버전정보를 수신하고 데이터베이스를 참조하여 검출엔진의 업데이트가 필요한지 판단하고 업데이트가 필요한 경우 최신 버전 검출엔진 프로그램을 휴대단말로 전송하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해 달성된다.According to another aspect of the present invention, the above object is a database for storing information necessary for malicious code verification, latest version information of a detection engine, and a latest version detection engine program in a central processing center connected to a mobile terminal and a wired or wireless network. And receiving information suspected of malicious code from the mobile terminal and extracting necessary information to verify whether the received suspected malicious code corresponds to the actual malicious code by referring to a database and transmitting the information to the mobile terminal. Receiving the version information of the detection engine mounted on the portable terminal from the terminal, and referring to the database to determine whether the update of the detection engine is necessary, and if the update is necessary to include a processing unit for transmitting the latest version detection engine program to the mobile terminal Achieved by a central processing center.
한편, 본 발명의 일 양상(제4 실시예)에 따르면 전술한 목적은, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 제1 검출부 및 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하는 검출처리부 및 수신된 검증결과에 따라 전송된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 저장하는 저장부를 포함하며, 검출처리부는 중앙처리센터와 통신하기 전에 검출된 악성코드로 의심되는 정보가 저장부에 저장되어 있는지 확인하여 만약 저장된 경우 검출된 악성코드로 의심되는 정보는 실제 악성코드가 아닌 것으로 판단하는 것을 특징으로 하는 휴대단말 악성코드 처리장치에 의해서 달성된다.On the other hand, according to an aspect (fourth embodiment) of the present invention, the above-described object is a first detection unit for detecting information suspected of malicious code that may harm the mobile terminal by analyzing the information input to the mobile terminal And detecting information suspected of the detected malicious code to a central processing center connected with a mobile terminal and a wired or wireless network, and receiving a result of verifying whether the information suspected of the malicious code transmitted from the central processing center is an actual malicious code. It includes a processing unit and a storage unit for storing information verified as not the actual malicious code of the information suspected of the transmitted malicious code according to the received verification result, the detection processing unit suspected of the detected malicious code before communicating with the central processing center Check if the information is stored in the storage, and if it is stored, the suspected detected malware is not the actual malware. It is achieved by the mobile terminal malware processing device, characterized in that judged as.
한편, 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말과 유무선망으로 연결된 중앙처리센터에 있어서, 악성코드 검증에 필요한 정보를 저장하는 데이터베이스 데이터베이스를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하는 제2 검출부 및 휴대단말로부터 악성코드 로 의심되는 정보를 수신하여 제2 검출부로 전달하고 제2 검출부의 검증결과를 휴대단말로 전송하는 것을 특징으로 하는 처리부를 포함하는 것을 특징으로 하는 중앙처리센터에 의해서 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the central processing center connected to the mobile terminal and wired and wireless networks, suspected malicious code received from the mobile terminal with reference to a database database that stores information necessary for malicious code verification A processing unit characterized in that it receives information suspected of malicious code from the second detection unit and the mobile terminal for verifying whether the information is actually malicious code and transmits the information to the second detection unit and transmits the verification result of the second detection unit to the mobile terminal. It is achieved by a central processing center comprising a.
한편, 본 발명의 일 양상에 따르면 전술한 목적은, 휴대단말의 악성코드 처리방법에 있어서, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하는 단계 및 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법에 의해 달성된다.On the other hand, according to an aspect of the present invention, the above object, in the method of processing a malicious code of a mobile terminal, by analyzing information input to the mobile terminal to suspect information that may be harmful to the mobile terminal 1 Step of detecting difference Transmitting information suspected as detected malicious code to central processing center connected with mobile terminal and wired / wireless network Receiving information necessary for verification of malicious code corresponding to detected information suspected as malicious code from central processing center And secondly verifying whether the detected suspected malicious code is the actual malicious code by using the information necessary for verifying the received malicious code.
또 한편, 본 발명의 다른 양상에 따르면 전술한 목적은, 휴대단말의 악성코드 처리방법에 있어서, 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하는 단계 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하는 단계 및 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한 결과를 수신하는 단계를 포함하는 것을 특징으로 하는 악성코드 처리방법에 의해 달성된다.On the other hand, according to another aspect of the present invention, the above object, in the method of processing a malicious code of a mobile terminal, by analyzing the information input to the mobile terminal to suspect information that is suspected of malicious code that may harm the mobile terminal The first step of detecting and transmitting the information suspected of the detected malicious code to the central processing center connected with the mobile terminal and wired and wireless network, and the second whether the information suspected of the malicious code transmitted from the central processing center is the actual malicious code. It is achieved by a malicious code processing method comprising the step of receiving a verified result.
이하에서는 첨부한 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설 명한다. 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 또한, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.Hereinafter, with reference to the accompanying drawings will be described in detail a preferred embodiment of the present invention. In the following description of the present invention, if it is determined that detailed descriptions of related well-known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. In addition, terms to be described below are terms defined in consideration of functions in the present invention, which may vary according to intention or custom of a user or an operator. Therefore, the definition should be made based on the contents throughout the specification.
도 1은 본 발명의 바람직한 실시예에 따른 휴대단말 악성코드 처리 시스템의 개요도이다.1 is a schematic diagram of a mobile terminal malware processing system according to a preferred embodiment of the present invention.
도 1을 참조하면, 휴대단말에 탑재되는 악성코드 처리장치(10)와 중앙처리센터(20)간의 상호협력을 통해 효율적으로 악성코드를 검출하는 것을 특징으로 하는 본 발명에 따른 휴대단말 악성코드 처리 시스템이 도시된다. Referring to Figure 1, the mobile terminal malicious code processing according to the invention, characterized in that the effective detection of the malicious code through the cooperation between the malicious
여기서 휴대단말은 스마트폰, PDA(personal digital assistant), WiBro 단말 등의 다양한 휴대 단말 기기들을 포함하며, 악성코드 처리장치(10)는 이러한 휴대단말에 탑재되는 소프트웨어 또는 하드웨어의 형태로 구현할 수 있다. 중앙처리센터(20)는 다양한 휴대단말들이 복수의 기지국(base station)을 통해 통합 관리되는 적어도 하나의 중앙 서버를 의미한다.The portable terminal may include various portable terminal devices such as a smart phone, a personal digital assistant (PDA), a WiBro terminal, and the
도시된 바와 같이, 디지털 멀티미디어 방송, 블루투스, 무선 휴대 인터넷 서비스(WiBro), USB, 전자메일, 멀티미디어 메시지 서비스 등의 다양한 서비스를 통해 휴대단말에는 계속적으로 디지털 데이터가 입력된다. 입력되는 정보로부터 악성 코드를 효과적으로 검출하기 위하여 본 발명에서는 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 저렴하게 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 정확하게 확인하는 2차 검출 과정을 포함하여 2단계의 검출과정을 가진 휴대단말 악성코드 처리 시스템을 제공한다. As shown, digital data is continuously input to the mobile terminal through various services such as digital multimedia broadcasting, Bluetooth, wireless mobile Internet service (WiBro), USB, e-mail, and multimedia message service. In order to effectively detect malicious code from the inputted information, the present invention provides a first detection process for inexpensively detecting information (including a program or data) suspected of causing malicious code to harm a mobile terminal, and a first detected malicious code. It provides a mobile terminal malware processing system having a two-step detection process, including a second detection process to accurately determine whether the suspected information is actually malicious code.
또한 휴대단말에 탑재되는 악성코드 처리장치(10)와 중앙처리센터(20) 간에 역할 분담을 통해 휴대단말의 부하를 줄인 초경량 악성코드 처리 시스템을 구현할 수 있다. 특히 제2 검출 과정을 휴대단말에 탑재되는 악성코드 처리장치(10)에서 수행할지 또는 중앙처리센터(20)에서 수행할지에 따라 본 발명에 따른 휴대단말 악성코드 처리 시스템은 후술하는 바와 같이 다양한 실시예들로 구현할 수 있다.In addition, it is possible to implement an ultra-light malware processing system that reduces the load of the mobile terminal by sharing the role between the malicious
예를 들어 본 발명에 따른 제1 실시예는 악성코드 처리장치(10)가 제1 검출 과정 및 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템으로서 도 2 및 도 3에 도시된다.For example, the first embodiment according to the present invention is illustrated in FIGS. 2 and 3 as a mobile terminal malware processing system when the malicious
본 발명에 따른 제2 실시예는 악성코드 처리장치(10)가 제1 검출과정을, 중앙처리센터(20)가 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템으로 도 4 및 도 5에 도시된다.The second embodiment according to the present invention is a mobile terminal malware processing system when the malicious
본 발명에 따른 제3 실시예는 전술한 제1 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템으로 도 6 및 도 7에 도시된다.The third embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the first embodiment described above, and is shown in FIGS. 6 and 7.
본 발명에 따른 제4 실시예는 전술한 제2 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템으로 도 8 및 도 9에 도시된다.The fourth embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described second embodiment is shown in Figs. 8 and 9.
그러나 이러한 실시예들은 설명의 편의를 위하여 본 발명의 일 실시예를 예시한 것에 불과한 것으로 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. However, these embodiments are merely illustrative of one embodiment of the present invention for convenience of description and those skilled in the art to which the present invention pertains modified without departing from the essential characteristics of the present invention. It will be appreciated that it may be implemented in a form.
본 발명에 따른 제1 실시예는 악성코드 처리장치(10)가 제1 검출 과정 및 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템이다.The first embodiment according to the present invention is a mobile terminal malware processing system when the malicious
도 2는 본 발명의 제1 실시예에 따른 악성코드 처리장치의 블록도를 도시한다. 도 2를 참조하면, 본 발명에 따른 악성코드 처리장치(10A)는 제1 검출부(12) 및 제2 검출부(14)를 구비한다. 2 is a block diagram of a malicious code processing apparatus according to a first embodiment of the present invention. Referring to FIG. 2, the malicious code processing apparatus 10A according to the present invention includes a
제1 검출부(12)는 휴대단말로 입력되는 모든 정보를 검사 및 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 "의심되는" 정보를 검출하는 1차 검출 기능을 수행한다. 즉, 제1 검출부(12)는 전술한 종래의 시그니처 기반 검출 방식과 비교할 때 검출 정확도는 떨어지나 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있도록 구성하는 것이 특징이다. The
본 발명의 일 실시예로서 제1 검출부(12)는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코드로 의심되는 정보를 검출하도록 구현될 수 있다. 즉, 미리 저장된 휴대단말 내 상주 프로그램에 대한 특징 정보를 참조하여 휴대단말로 입력되는 정보 중 상주 프로그램과 상이한 특징을 갖는 정보를 악성코드로 의심되는 정보로서 검출하는 것이다. As an embodiment of the present invention, the
제2 검출부(14)는 휴대단말과 유무선망으로 연결된 중앙처리센터(20A)로부터 악성코드 검증에 필요한 정보를 수신하여 상기 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증하고 검증결과를 출력한다. 휴대단말은 2차 검증 결과 악성코드로 확인된 경우 사용자에게 경고 메시지를 디스플레이하거나 또는 악성코드로 확인된 입력정보가 유입되는 소스(source)에 대한 접근을 차단하거나 또는 확인된 악성코드를 치료하기 위한 응용 프로그램을 구동하는 등 악성코드로부터 휴대단말을 보호하기 위한 다양한 어플리케이션을 수행할 수 있다. The
특히 본 발명에 따른 악성코드 처리장치(10A)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 2차 검증 결과를 사용자에게 디스플레이할 수 있다. 나아가 1차 검출 결과를 디스플레이하고 사용자로부터 2차 검출을 계속할지 여부를 확인받아 2차 검출의 진행여부를 결정할 수도 있고, 2차 검출 결과를 디스플레이하는 등 사용자 인터페이스로서 다양하게 응용될 수 있다.In particular, the malicious code processing apparatus 10A according to the present invention may further include a display unit (not shown). The display unit may display the first detection result and / or the second verification result to the user. In addition, it is possible to determine whether to proceed with the secondary detection by displaying the primary detection result and confirming whether or not to continue the secondary detection from the user, and can be variously applied as a user interface such as displaying the secondary detection result.
한편, 본 발명의 일 실시예로서 제2 검출부(14)는 보다 정확한 검증을 위하여 시그니처 기반 검출기술을 적용하여 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하도록 구현될 수 있다. 즉, 악성코드 검증에 필요한 정보로서 악성코드의 패턴을 나타내는 시그니처 데이터를 중앙처리센터(20A)로부터 수신하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 정확하게 검증하는 것이다. On the other hand, as an embodiment of the present invention, the
이와 같이 제2검출부(14)는 종래의 대용량 시그니처 데이터베이스를 이용하 는 대신 확인에 필요한 일부 시그니처만을 중앙처리센터(20A)로부터 다운로드 받아서 이용함으로써 휴대단말의 메모리 사용을 최소화 할 수 있으며 CPU 오버헤드도 대폭 줄일 수 있다.As such, the
보다 구체적으로 컴퓨터 면역시스템 기반의 검출기술은 생체 면역시스템의 바이러스 면역 체계를 퍼스널 컴퓨터와 같은 컴퓨팅 디바이스에 응용한 기술로서, 기본적인 개념은 참고문헌(An Immune System for Cyberspace by Jeffrey O. Kephart et al. in IEEE, 1997, pp. 879-884.)에 소개되어 있다. 간략히 개념을 살펴보면, 인체의 자기(self)/비자기(non-self) 구분 기작을 응용한 방식으로서 안전한 파일들로 상주파일(self)을 구성하고 상주 파일에 대하여는 민감하지 않지만 상주 파일이 아닌 비자기 파일(non-self)에 대하여 민감하게 반응하는 특징(features)들을 생성하여 이를 면역 데이터베이스로 활용하는 방식이다.More specifically, the computer immune system-based detection technology is a technique in which the viral immune system of the biological immune system is applied to a computing device such as a personal computer, and the basic concept is described in An Immune System for Cyberspace by Jeffrey O. Kephart et al. in IEEE, 1997, pp. 879-884. In brief, the concept is a method of applying the self / non-self distinction mechanism of the human body to construct a resident file with safe files and is not sensitive to the resident file but is not a non-resident file. This is a method of generating features that react sensitively to non-self and using it as an immune database.
컴퓨터 면역시스템 기반의 검출기술은 비교적 적은 용량의 상주 파일의 특징 정보만을 필요로 함으로써 대용량의 악성코드 시그니처 데이터베이스를 저장할 필요가 없어 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있다. 또한, 상주 코드를 침입 코드로 오인하는 경우가 발생되지 않고 알려지지 않은 신종 악성 코드나 변종 악성 코드가 침입 하더라도 데이터베이스를 갱신할 필요 없이 실시간으로 이들을 침입 코드로 검출할 수 있다는 장점이 있다. 그러나 악성코드에 감염되지 않은 입력 데이터를 비자기 파일로 판단하여 악성코드로 검출할 가능성이 있어서 시그니처 기반 검출기술에 비해 검출 정확도가 떨어지는 단점을 가진다. Computer immune system-based detection technology requires only a small amount of resident file feature information, eliminating the need to store a large malware signature database, significantly reducing CPU, memory, and battery overhead. In addition, there is no case in which the resident code is mistaken as an intrusion code, and even if an unknown new or modified malicious code is invaded, it can be detected as an intrusion code in real time without having to update the database. However, it is possible to detect input data that is not infected with malicious code as non-magnetic file and detect it as malicious code. Therefore, the detection accuracy is lower than that of signature-based detection technology.
이러한 문제점을 해결하기 위하여 본 발명에 따른 휴대단말 악성코드 처리 시스템은 2단계의 검출 과정을 수행하도록 하는 것을 특징으로 한다. 즉, 1차 검출부(12)에서 적은 용량의 특징 정보를 이용한 컴퓨터 면역시스템 기반의 검출기술을 이용하여 알려지지 않은 신종 또는 변종 바이러스를 포함하여 악성코드일 가능성이 있는 모든 입력 정보들을 실시간으로 1차 검출하고, 검출된 악성코드로 의심되는 정보들이 실제로 악성코드인지를 확인하기 위하여 제2 검출부(14)에서 시그니처 기반 검출기술을 이용하여 실제 악성코드의 시그니처들과 비교함으로써 보다 정확한 2차 검증을 수행하게 한다. In order to solve this problem, the mobile terminal malware processing system according to the present invention is characterized by performing a two-step detection process. That is, the
이로써 컴퓨터 면역시스템 검출 기술의 단점을 보완하여 오검출 확률을 최소화하면서 동시에, CPU, 메모리 및 배터리 오버헤드를 대폭 절감하고 알려지지 않은 신종 악성코드나 변종 악성 코드까지도 실시간으로 검출할 수 있는 컴퓨터 면역시스템의 장점을 살려 효율적인 휴대단말 악성코드 처리시스템을 구현할 수 있다.This minimizes the probability of false positives by compensating for the weaknesses of computer immune system detection technology, while significantly reducing CPU, memory and battery overhead, and real-time detection of unknown new or modified malware in real time. Taking advantage of the advantages, it is possible to implement an efficient mobile terminal malware processing system.
전술한 1차 검출을 위한 컴퓨터 면역시스템 기반 검출기술이나 2차 검출을 위한 시그니처 기반 검출기술은 본 발명에 따른 악성코드 처리 시스템을 구현하기 위한 일 실시예에 불과할 뿐이며, 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있다. 예를 들면, 2차 검출의 위한 시그니처 기반 검출기술의 경우, 입력되는 코드를 가상머신(virtual machine)에서 실행하도록 하고 그 실행을 감시하여 악성코드 여부를 판단하는 기술을 이용할 수 있다. 물론 이는 후술하는 제2 검출부가 중앙처리센터 정도의 충분한 리소스를 보유하고 있는 경우에 적용할 수 있을 것이다. 이와 같이 제2 검출부는 종래에 알려진 또는 앞으로 발견될 다양한 악성코드 검출방법을 사용하여 구현할 수 있다.The above-described computer immune system-based detection technology for primary detection or signature-based detection technology for secondary detection are only one embodiment for implementing the malware processing system according to the present invention, and various detection technologies are applied. The mobile terminal malware system according to the present invention can be implemented. For example, in the case of signature-based detection technology for secondary detection, a technology for determining whether or not malicious code is executed by executing an input code in a virtual machine and monitoring the execution thereof may be used. Of course, this may be applied to the case where the second detection unit described later has sufficient resources as the central processing center. As such, the second detection unit may be implemented using various malicious code detection methods known or found in the related art.
한편, 본 발명은 제1 검출부를 가볍게 하여 이동 단말에 두고 상대적으로 무거운 제2 검출부를 보다 간략화하여 이동 단말에 두거나 또는 아예 무거운 제2 검출부를 중앙처리센터에 두도록 함으로써 이동 단말이나 통신 부하를 줄이고 효과적인 악성코드 검출을 수행하는 것을 특징으로 한다. 따라서, 발명의 핵심 사상을 벗어나지 않는 한, 시스템 설계자의 고려사항에 따라 제1 검출부 또는 제2 검출부는 하나의 검출기술에 한정되지 않고 둘 이상의 검출 기술을 적용하여 구현할 수도 있으며, 또한 제1 검출부 및 제2 검출부 외에 별도의 제3 검출부를 두도록 하는 등 다양한 응용이 가능하다. On the other hand, the present invention is to reduce the mobile terminal or communication load by lightening the first detection unit in the mobile terminal and to simplify the relatively heavy second detection unit in the mobile terminal or to place the heavy second detection unit in the central processing center. Characterized in that the malicious code detection. Accordingly, the first detection unit or the second detection unit may be implemented by applying two or more detection techniques, and the first detection unit and the second detection unit according to the system designer's consideration, without departing from the core idea of the invention. Various applications are possible, such as having a separate third detector in addition to the second detector.
이하에서는 다만 설명의 편의를 위하여 컴퓨터 면역시스템 기반 검출기술과 시그니처 기반 검출기술을 예로 들어 본 발명을 설명함을 밝혀둔다.Hereinafter, for convenience of explanation, the present invention will be described by taking a computer immune system-based detection technique and a signature-based detection technique as an example.
한편 도 3은 본 발명의 제1 실시예에 따른 중앙처리센터의 블록도이다.3 is a block diagram of a central processing center according to the first embodiment of the present invention.
도 3을 참조하면, 휴대단말과 유무선망으로 연결된 중앙처리센터(20A)는 데이터베이스(24) 및 처리부(22)를 구비한다. Referring to FIG. 3, the central processing center 20A connected to a mobile terminal and a wired or wireless network includes a
데이터베이스(24)는 악성코드 검증에 필요한 정보를 저장한다. 예를 들면, 제2 검출부(14)가 시그니처 기반 검출기술을 이용하는 경우 악성코드의 패턴을 나타내는 시그니처 데이터가 악성코드 검증에 필요한 정보로서 데이터베이스(24)에 저장된다. 데이터베이스(24)의 상세한 구성은 후술한다.The
처리부(22)는 휴대단말의 악성코드 처리장치(10A)로부터 1차 검출된 악성코드로 의심되는 정보를 수신하고, 데이터베이스(24)를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 판단하기 위한 악성코드 검증 에 필요한 정보를 추출하여 휴대단말로 전송한다. 악성코드 검증에 필요한 정보는 전술한 시그니처 데이터가 될 수 있다.The
이와 같이 악성코드 검출수단은 휴대단말에 두지만, 악성코드 검증에 필요한 정보를 저장한 대용량 데이터베이스(24)를 휴대단말에 저장하지 않고 중앙처리센터(20A)에 저장함으로써 휴대단말의 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있다. As described above, the malware detection means is placed in the mobile terminal, but the CPU, memory and the mobile terminal are stored in the central processing center 20A without storing the
한편 본 발명에 따른 제2 실시예는 악성코드 처리장치(10)가 제1 검출과정을, 중앙처리센터(20)가 제2 검출 과정을 수행하는 경우의 휴대단말 악성코드 처리 시스템이다.On the other hand, the second embodiment according to the present invention is a mobile terminal malware processing system when the malicious
도 4는 본 발명의 제2 실시예에 따른 악성코드 처리장치의 블록도이다.4 is a block diagram of a malicious code processing apparatus according to a second embodiment of the present invention.
도 4를 참조하면, 본 발명에 따른 악성코드 처리장치(10B)는 제1 검출부(32)와 검출처리부(36)를 구비한다. 제1 검출부(32)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출한다. 도 2에서 상술한 바와 같이 제1 검출부(32)는 컴퓨터 면역시스템 기반의 검출기술을 적용하여 악성코드로 의심되는 정보를 1차 검출하도록 구현될 수 있다. 제1 검출부(32)는 도 2에서 상술한 구성과 동일하므로 설명을 생략한다.4, the malicious code processing apparatus 10B according to the present invention includes a
검출처리부(36)는 제1 검출부(32)에서 1차 검출된 악성코드로 의심되는 정보를 전달받아 휴대단말과 유무선망으로 연결된 중앙처리센터(20B)에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한 결과를 수신하여 출력한다. 휴대단말은2차 검증 결과 악성코드로 확인된 경우 사용자에게 경고 메시지를 디스플레이하거나 또는 악성코드로 확인된 입력정보가 유입되는 소스(source)에 대한 접근을 차단하거나 또는 확인된 악성코드를 치료하기 위한 응용 프로그램을 구동하는 등 악성코드로부터 휴대단말을 보호하기 위한 다양한 어플리케이션을 수행할 수 있다. ) The
특히 본 발명에 따른 악성코드 처리장치(10B)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 검출처리부(36)가 중앙처리센터(20B)로부터 수신한 2차 검증 결과를 사용자에게 디스플레이할 수 있다. In particular, the malicious code processing apparatus 10B according to the present invention may further include a display unit (not shown). Through the display unit, the primary detection result and / or the
도 5는 본 발명의 제2 실시예에 따른 중앙처리센터의 블록도이다.5 is a block diagram of a central processing center according to a second embodiment of the present invention.
도 5를 참조하면, 중앙처리센터(20B)는 데이터베이스(44)와 제2 검출부(42)를 구비한다.Referring to FIG. 5, the central processing center 20B includes a
데이터베이스(44)는 악성코드 검증에 필요한 정보를 저장한다. 예를 들면, 제2 검출부(14)가 시그니처 기반 검출기술을 이용하는 경우 악성코드의 패턴을 나타내는 시그니처 데이터가 악성코드 검증에 필요한 정보로서 데이터베이스(44)에 저장된다. The
제2 검출부(36)는 데이터베이스에 저장된 시그니처 데이터를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하며 검증결과를 악성코드 처리장치(10B)로 전송한다. 이때, 제2 검출부는 시그니처 기반 검출기술을 적용하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증할 수 있다. The
전술한 제2 실시예에 따른 휴대단말 악성코드 처리 시스템에 따르면, 악성코드 처리장치(10B)에서 악성코드로 의심되는 정보를 1차로 검출하고 이 정보를 중앙처리센터(20B)로 전송하여 실제 악성코드인지를 2차 검증하도록 구성되어 있다. 따라서 휴대단말에 탑재된 악성코드 처리장치(10A)가 중앙처리센터(20A)로부터 2차 검증에 필요한 시그니처 데이터를 수신하여 2차 검증을 실시하는 제1 실시예에 비하여 더욱더 CPU, 메모리 및 배터리 오버헤드를 줄일 수 있고 통신 오버헤드도 감소하는 효과가 있다.According to the mobile terminal malicious code processing system according to the above-described second embodiment, the malicious code processing apparatus 10B primarily detects information suspected to be malicious code and transmits the information to the central processing center 20B to actually perform malicious information. It is configured to perform secondary verification of code. Therefore, compared to the first embodiment in which the malicious code processing apparatus 10A mounted in the mobile terminal receives the signature data necessary for the second verification from the central processing center 20A and performs the second verification, the CPU, memory, and battery overload are more severe. The head can be reduced and the communication overhead is also reduced.
한편 본 발명에 따른 제3 실시예는 전술한 제1 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템이다.On the other hand, the third embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described first embodiment.
도 6은 본 발명의 제3 실시예에 따른 악성코드 처리장치의 블록도이다.6 is a block diagram of a malicious code processing apparatus according to a third embodiment of the present invention.
도 6을 참조하면, 본 발명에 따른 악성코드 처리장치(10C)는 제1 검출부(12), 제2 검출부(14), 검출처리부(16)를 포함하여 구성되며, 저장부(18)를 더 구비할 수 있다.Referring to FIG. 6, the malicious code processing apparatus 10C according to the present invention includes a
제1 검출부(12)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출하는 1차 검출 기능을 수행한다. 제1 검출부(12)는 종래의 시그니처 기반 검출 방식과 비교할 때 검출 정확도는 떨어지나 CPU, 메모리 및 배터리 오버헤드를 대폭 절감할 수 있도록 구성하는 것을 특징으로 한다. The
검출처리부(16)는 중앙처리센터(20C)와의 협력을 통해 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 확인함으로써 제1 검출부(12)의 정상 입력정보를 악성코드로 잘못 판정하는 오검출 가능성을 제거하는 것을 목적으로 한다. 이를 위해 검출처리부(16)는 제1 검출부(12)에서 1차 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송하고, 중앙처리센터로부터 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 수신하여 제2 검출부(14)로 전달한다. The
이 때 휴대단말과 중앙처리센터 간 통신은 감염이 의심되는 정보가 검출되었을 경우에만 이루어지므로 휴대단말로 입력되는 정보 중 극히 일부 정보만이 중앙처리센터로 전송된다. 따라서 휴대단말로 입력되는 모든 데이터를 전부 전송하는 종래기술로 언급된 미국공개특허 2003-0162575호에 비해 통신 오버헤드를 대폭 줄이는 것이 가능하다.At this time, the communication between the mobile terminal and the central processing center is performed only when information suspected of infection is detected, so only a part of the information input to the portable terminal is transmitted to the central processing center. Therefore, it is possible to drastically reduce the communication overhead compared to US Patent Publication No. 2003-0162575, which is referred to as the prior art which transmits all data input to the portable terminal.
또한 검출처리부(16)는 중앙처리센터(20C)와의 통신 오버헤드를 줄이기 위하여 1차 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 전송하거나, 1차 검출된 악성코드로 의심되는 정보의 전부 또는 일부를 압축하여 전송하거나, 1차 검출된 악성코드로 의심되는 정보로부터 특징을 분석, 추출하여 전송하거나, 또는 추출된 특징을 압축하여 전송하도록 구현할 수 있다.In addition, the
제2 검출부(14)는 전달받은 악성코드 검증에 필요한 정보를 이용하여 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증하고 검증결과를 출력한다. The
한편, 검출처리부(16)는 제2 검출부(14)에 탑재된 검출엔진의 버전정보를 중 앙처리센터(20C)로 전송하고, 버전정보에 기초하여 검출엔진의 업데이트가 필요하다고 판단되는 경우 중앙처리센터로부터 최신 버전의 검출엔진 프로그램을 수신하여 제2 검출부에 탑재된 검출엔진을 업데이트할 수 있다. 즉, 검출처리부(16)는 중앙처리센터(20C)에 2차 검출에 필요한 시그니처 데이터와 최신버전 검출엔진 프로그램을 요청하고 수신하는 역할을 담당한다.On the other hand, the
나아가, 본 발명에 따른 악성코드 처리장치(10C)는 저장부(18)를 더 포함할 수 있으며, 저장부(18)에는 제1 검출부(12)를 통해 1차 검출되었던 악성코드로 의심되는 정보와 이에 대응하는 악성코드 검증에 필요한 정보를 저장한다. 이에 따라 검출처리부(16)는 중앙처리센터로 검증에 필요한 정보를 요청하기 전에 먼저 1차 검출된 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보가 저장부(18)에 미리 저장되어 있는지 확인할 수 있다. Furthermore, the malicious code processing apparatus 10C according to the present invention may further include a storage unit 18, and the storage unit 18 may include information suspected to be firstly detected malicious code through the
만약 악성코드 검증에 필요한 정보가 저장되어 있다면, 검출처리부(16)는 저장된 악성코드 검증에 필요한 정보를 제2 검출부(14)로 전달한다. 이에 따라 한번 검출된 악성코드로 의심되는 정보는 중앙처리센터(20C)와의 통신 없이 바로 로컬 저장부(18)에 저장된 정보를 이용함으로써 통신 오버헤드를 줄일 수 있다.If the information necessary to verify the malicious code is stored, the
특히 본 발명에 따른 악성코드 처리장치(10C)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 2차 검증 결과를 사용자에게 디스플레이할 수 있다.In particular, the malicious code processing apparatus 10C according to the present invention may further include a display unit (not shown). The display unit may display the first detection result and / or the second verification result to the user.
한편 도 7은 본 발명의 제3 실시예에 따른 중앙처리센터의 블록도이다.7 is a block diagram of a central processing center according to a third embodiment of the present invention.
도 7을 참조하면, 본 발명에 따른 중앙처리센터(20C)는 데이터베이스(24), 처리부(22)를 포함하여 구성되며, 데이터베이스 갱신부(26)를 더 구비할 수 있다.Referring to FIG. 7, the central processing center 20C according to the present invention may include a
데이터베이스(24)는 악성코드 검증에 필요한 정보와, 검출엔진의 최신 버전정보 및 최신 버전 검출엔진 프로그램을 저장한다. 데이터베이스(24)의 데이터 구성의 일 예가 도 10에 도시되어 있다. 도 10을 참조하면, 데이터베이스(24)에는 입력정보와 이에 대응하는 악성코드 검증에 필요한 정보(예를 들면 시그니처 데이터)가 저장되며, 해당 악성코드를 검출할 수 있는 검출엔진의 버전 정보와 검출엔진 프로그램이 더 포함될 수 있다.The
처리부(22)는 휴대단말로부터 악성코드로 의심되는 정보를 수신하고 데이터베이스(24)를 참조하여 수신된 악성코드로 의심되는 정보가 실제 악성코드에 해당하는지 여부를 검증하기 위해 필요한 정보를 추출하여 휴대단말의 악성코드 처리장치(10C)로 전송한다. 검증에 필요한 정보는 시그니처 기반 검출기술을 이용하는 경우 악성코드 패턴을 나타내는 시그니처 데이터일 수 있다.The
또한, 처리부(22)는 휴대단말로부터 휴대단말에 탑재된 검출엔진의 버전정보를 수신하고 데이터베이스(24)를 참조하여 검출엔진의 업데이트가 필요한지 판단하고 업데이트가 필요한 경우 최신 버전 검출엔진 프로그램을 휴대단말로 전송한다.In addition, the
데이터베이스 갱신부(26)는 데이터베이스(24)로부터 해당 악성코드로 의심되는 정보에 대응하는 악성코드 검증에 필요한 정보를 찾을 수 없는 경우, 예를 들면 신종 바이러스나 변종 바이러스로 데이터베이스(24)에 등록되지 않은 경우, 해당 악성코드를 검출하기 위한 새로운 시그니처 데이터나 검출엔진 프로그램을 생성하여 데이터베이스(24)를 업데이트 할 수 있다. If the
또한, 데이터베이스 갱신부(26)는 악성코드에 대한 최신 버전의 검출엔진 프로그램이 개발된 경우 그 버전정보와 함께 최신버전 검출엔진 프로그램을 생성하여 데이터베이스를 업데이트 할 수 있다.In addition, the
이때 등록되지 않은 악성코드로 의심되는 정보가 수신된 경우에 검증에 필요한 정보로서 시그니처 데이터를 신규로 생성하는 분석 모듈(도시하지 않음)을 데이터베이스 갱신부(26)와 별도로 구성할 수도 있다. 이 경우 분석 모듈(도시하지 않음)은 시그니처 데이터뿐만 아니라 2차 검출엔진 프로그램을 신규로 생성할 수 있다.In this case, when information suspected of unregistered malicious code is received, an analysis module (not shown) for newly generating signature data as information necessary for verification may be separately configured from the
전술한 실시예에서 1차 검출을 위해 컴퓨터 면역시스템 기반 검출기술을, 2차 검출을 위해 시그니처 기반 검출기술을 적용할 수 있으나, 그밖에 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있음은 물론이다. In the above-described embodiment, a computer immune system-based detection technique may be applied for the primary detection and a signature-based detection technique may be applied for the secondary detection. In addition, various types of detection techniques may be applied to the mobile terminal malware according to the present invention. Of course, the system can be implemented.
한편 본 발명에 따른 제4 실시예는 전술한 제2 실시예를 확장한 경우의 휴대단말 악성코드 처리 시스템이다. 즉, 중앙처리센터(20D)가 2차 검출 기능을 수행하고 그 결과를 휴대단말의 악성코드 처리장치(10D)로 전송하는 것을 특징으로 한다. 특히, 2차 검출 결과 입력 정보가 정상적인 정보로 판정되면, 해당 입력정보에 대응하는 악성코드로 의심되는 정보를 휴대단말의 저장부에 별도로 저장해 둠으로써 차후에 유사한 입력 정보가 입력되면 2차 검출을 수행하지 않고 바로 정상입력으로 판단하도록 하는 기능을 부가하여 구성할 수 있다.On the other hand, the fourth embodiment according to the present invention is a mobile terminal malware processing system in the case of extending the above-described second embodiment. That is, the central processing center 20D performs the secondary detection function and transmits the result to the malicious code processing apparatus 10D of the portable terminal. In particular, if the input information is determined to be normal information as a result of the secondary detection, information suspected to be malicious code corresponding to the input information is stored separately in the storage unit of the mobile terminal, and when similar input information is subsequently input, secondary detection is performed. It can be configured by adding a function to determine the normal input immediately.
보다 구체적으로 도 8은 본 발명의 제4 실시예에 따른 악성코드 처리장치의 블록도이다.More specifically, Figure 8 is a block diagram of a malicious code processing apparatus according to a fourth embodiment of the present invention.
도 8을 참조하면, 본 발명에 따른 악성코드 처리장치(10D)는 제1 검출부(32), 검출처리부(36)를 포함하여 구성하며 저장부(38)를 더 구비할 수 있다.Referring to FIG. 8, the malicious code processing apparatus 10D according to the present invention may include a
제1 검출부는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 검출한다.The first detection unit analyzes the information input to the mobile terminal to detect information suspected of malicious code that may harm the mobile terminal.
검출처리부(36)는 1차 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터(20D)에 전송하고, 중앙처리센터로부터 전송된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 검증한 결과를 수신하여 출력한다.The
또한, 저장부(38)는 중앙처리센터(20D)로부터 수신된 검증결과에 따라 전송된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 저장한다.In addition, the storage unit 38 stores information verified as not the actual malicious code among the information suspected to be malicious codes transmitted according to the verification result received from the central processing center 20D.
검출처리부(36)는 1차 검출된 악성코드로 의심되는 정보를 중앙처리센터(20D)로 보내 2차 검출을 수행하기 전에 먼저 저장부(38)에 해당 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보가 저장되어 있는지 확인한다. 만약 저장된 경우 2차 검출을 수행하지 않고 바로 해당 1차 검출된 악성코드로 의심되는 정보는 실제 악성코드가 아닌 것으로 판단할 수 있어 통신 오버헤드를 절감할 수 있다.The
특히 본 발명에 따른 악성코드 처리장치(10D)는 표시부(도시하지 않음)를 더 포함할 수 있다. 표시부를 통해 1차 검출 결과 및/또는 검출처리부(36)가 중앙처리센터(20D)로부터 수신한 2차 검증 결과를 사용자에게 디스플레이할 수 있다.In particular, the malicious code processing apparatus 10D according to the present invention may further include a display unit (not shown). Through the display unit, the primary detection result and / or the
한편 도 9는 본 발명의 제4 실시예에 따른 중앙처리센터의 블록도이다.9 is a block diagram of a central processing center according to a fourth embodiment of the present invention.
도 9를 참조하면, 본 발명에 따른 중앙처리센터(20D)는 데이터베이스(44), 처리부(42), 및 제2 검출부(46)를 포함하여 구성된다.Referring to FIG. 9, the central processing center 20D according to the present invention includes a
데이터베이스(44)는 악성코드 검증에 필요한 정보를 저장한다.The
제2 검출부(42)는 데이터베이스(44)를 참조하여 휴대단말로부터 수신된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 2차 검증한다.The
처리부(42)는 휴대단말로부터 악성코드로 의심되는 정보를 수신하여 제2 검출부로 전달하고 제2 검출부의 검증결과를 휴대단말로 전송한다. 이때, 처리부(42)는 2차 검증결과에 따라 휴대단말로부터 수신된 악성코드로 의심되는 정보 중 실제 악성코드가 아닌 것으로 검증된 정보를 추출하여 휴대단말로 전송하여 해당 정보를 악성코드 처리장치(10D)의 저장부(38)에 저장할 수 있도록 한다. The
나아가 처리부(42)는 휴대단말의 악성코드 처리장치(10D)가 특정 입력 정보를 정상 정보로 인식하지 못할 경우, 악성코드 처리장치(10D) 내의 저장부(38)를 업데이트 하도록 필요한 정보를 휴대단말의 악성코드 처리장치(10D)로 전송할 수도 있다.Further, when the malicious code processing apparatus 10D of the portable terminal does not recognize the specific input information as normal information, the
한편 전술한 실시예에서 1차 검출을 위해 컴퓨터 면역시스템 기반 검출기술을, 2차 검출을 위해 시그니처 기반 검출기술을 적용할 수 있으나, 그밖에 다양한 형태의 검출기술들을 응용하여 본 발명에 따른 휴대단말 악성코드 시스템을 구현할 수 있음은 물론이다. Meanwhile, in the above-described embodiment, computer immune system-based detection technology may be applied for primary detection and signature-based detection technology may be applied for secondary detection. However, various types of detection techniques may be applied to the mobile terminal malicious according to the present invention. Of course, you can implement a code system.
이하에서는 상술한 본 발명에 따른 휴대단말 악성코드 처리 시스템의 구성에 기초하여 본 발명에 따른 휴대단말 악성코드 처리 방법을 설명한다.Hereinafter, the mobile terminal malicious code processing method according to the present invention will be described based on the configuration of the mobile terminal malicious code processing system according to the present invention described above.
도 11은 본 발명의 일 실시예에 따른 악성코드 처리방법을 도시한 플로차트로서 제3 실시예의 시스템 구성을 기초로 설명한 예이다.11 is a flowchart illustrating a malicious code processing method according to an embodiment of the present invention and is an example described based on the system configuration of the third embodiment.
도 11을 참조하면, 휴대단말에 탑재된 악성코드 처리장치(10C)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출한다(S100). Referring to FIG. 11, the malicious code processing apparatus 10C mounted on the portable terminal analyzes the information input to the portable terminal and primarily detects suspected malicious code that may cause damage to the portable terminal (S100). ).
이때 악성코드 처리장치(10C)는 저장부(18)에 저장된 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보가 이전에 악성코드가 아니라는 2차 검증결과를 받은 적이 있는지 확인하고 만약 그렇다고 확인되면 악성코드가 아닌 정상 입력정보라는 검출결과를 출력한다(S180).At this time, the malicious code processing apparatus 10C checks whether or not the information suspected as the first detected malicious code has previously received the second verification result that the malicious code is not the malicious code by using the data stored in the storage unit 18 and confirms that it is the case. When the detection result of the normal input information rather than malicious code (S180).
또한 악성코드 처리장치(10C)의 저장부(18)에 저장된 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터가 있는지 확인(S110)한다. 만약 시그니처 데이터가 이미 존재하는 경우 더 이상 중앙처리센터(20)와 통신할 필요 없이 저장된 시그니처 데이터를 이용하여 2차 검증을 수행한다(S160). 반면 저장된 시그니처 데이터가 존재하지 않는 경우 중앙처리센터(20C)로 1차 검출된 악성코드로 의심되는 정보와 검출엔진의 버전정보를 전송한다(S120). In addition, by using the data stored in the storage unit 18 of the malicious code processing apparatus 10C, it is checked whether there is signature data corresponding to the information suspected of the primary detected malicious code (S110). If the signature data already exists, the second verification is performed using the stored signature data without having to communicate with the central processing center 20 (S160). On the other hand, if there is no stored signature data, the central processing center 20C transmits information suspected as the first detected malicious code and version information of the detection engine (S120).
중앙처리센터(20C)는 수신된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터를 데이터베이스(44)로부터 추출(S130)하여 악성코드 처리장치(10C)로 전송한다(S150). 이때, 검출엔진의 버전정보를 이용하여 데이터베이스(44)에 저장된 최신버전 검출엔진 프로그램이 있는 것으로 확인된 경우 해당 최신 버전 검출엔진 프로그램도 함께 전송한다(S150). 한편, 신종 또는 변종 바이러스의 경우와 같이 수신된 악성코드로 의심되는 정보에 대응하는 시그니처 데이터가 존재하지 않는 경우 새로운 시그니처 데이터를 생성하여 데이터베이스(44)를 업데이트할 수도 있다(S140).The central processing center 20C extracts signature data corresponding to the suspected malicious code information from the database 44 (S130) and transmits the signature data to the malware processing apparatus 10C (S150). At this time, when it is determined that there is a latest version detection engine program stored in the
악성코드 처리장치(10C)는 수신된 시그니처 정보를 이용하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부에 대한 2차 검증을 수행한다(S160). 검증결과 악성코드가 아닌 정상입력임이 확인되면 해당 정보를 악성코드 처리장치(10C) 내부의 저장부(38)에 저장하여 차후에 동일 또는 유사한 1차 검출된 악성코드로 의심되는 정보에 대하여 활용한다(S170). 검증결과를 출력하고 필요한 조치를 취한다(S180).The malicious code processing apparatus 10C performs second verification on whether the information suspected as the first detected malicious code is the actual malicious code by using the received signature information (S160). As a result of the verification, when it is confirmed that the input is not a malicious code, the corresponding information is stored in the storage unit 38 inside the malware processing apparatus 10C and used for information suspected of being the same or similar primary detected malware later ( S170). Output the verification result and take the necessary measures (S180).
한편 도 12는 본 발명의 다른 실시예에 따른 악성코드 처리방법을 도시한 플로차트로서 제4 실시예의 시스템 구성을 기초로 설명한 예이다.12 is a flowchart illustrating a malicious code processing method according to another embodiment of the present invention and is an example described based on the system configuration of the fourth embodiment.
도 12를 참조하면, 대부분의 절차가 도 11에 도시된 예와 유사함을 알 수 있다. 다만 추출된 시그니처 데이터를 이용하여 1차 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 확인하는 제2 검증 과정을 휴대단말에 탑재된 악성코드 처리장치(10C) 대신에 중앙처리센터(20D)에서 수행하는 점에 차이가 있다(S240). Referring to FIG. 12, it can be seen that most procedures are similar to the example shown in FIG. 11. However, the central processing center 20D instead of the malicious code processing apparatus 10C mounted on the mobile terminal performs a second verification process that uses the extracted signature data to confirm whether the first suspected malicious code is the actual malicious code. There is a difference in performing at (S240).
본 실시예에 따른 악성코드 처리방법을 간략히 정리하면 다음과 같다.A brief summary of the malicious code processing method according to the present embodiment is as follows.
악성코드 처리장치(10D)는 휴대단말로 입력되는 정보를 분석하여 휴대단말에 해를 입힐 우려가 있는 악성코드로 의심되는 정보를 1차 검출하고(S200), 검출된 악성코드로 의심되는 정보를 휴대단말과 유무선망으로 연결된 중앙처리센터에 전송한다(S220). 중앙처리센터(20D)는 검출된 악성코드로 의심되는 정보가 실제 악성코드인지 여부를 데이터베이스를 이용하여 2차 검증한다(S240). 악성코드 처리장치(10D)는 중앙처리센터로부터 전송된 2차 검증한 결과를 수신하여(S250) 검출결과를 출력한다(S270).The malicious code processing apparatus 10D analyzes the information input to the mobile terminal and primarily detects suspected malicious code that may damage the portable terminal (S200), and detects suspected information as the detected malicious code. The mobile terminal transmits to the central processing center connected to the wired or wireless network (S220). The central processing center 20D secondly verifies whether the information suspected of the detected malicious code is an actual malicious code using a database (S240). The malicious code processing apparatus 10D receives the secondary verification result transmitted from the central processing center (S250) and outputs the detection result (S270).
전술한 바와 같이 본 발명에 따르면, 악성코드 검출 성능을 저하시키지 않으면서 CPU, 메모리 및 통신 오버헤드를 최소화하여 배터리 소모를 대폭 절감하는 휴대단말용 초경량 악성코드 처리장치 및 그 처리 방법이 제공된다.As described above, according to the present invention, there is provided an ultralight malware processing apparatus and a processing method thereof for minimizing battery consumption by minimizing CPU, memory and communication overhead without degrading malicious code detection performance.
즉, 본 발명은 휴대단말에 탑재되는 악성코드 처리장치와 중앙처리센터 간의 상호협력을 통한 악성코드 검출 시스템을 구성하는 것을 특징으로 한다. 특히 휴대단말에 해를 끼칠 악성코드로 의심되는 정보(프로그램 또는 데이터를 포함)를 저렴하게 검출하는 1차 검출 과정과, 1차 검출된 악성코드로 의심되는 정보가 실제로 악성코드인지를 정확하게 확인하는 2차 검출 과정을 포함하는 2단계의 검출과정을 구현한 휴대단말 악성코드 처리 시스템이 제공된다. That is, the present invention is characterized by configuring a malicious code detection system through mutual cooperation between the malicious code processing apparatus mounted on the mobile terminal and the central processing center. In particular, a primary detection process that inexpensively detects information (including programs or data) suspected of causing malicious code to harm the mobile terminal, and accurately confirms whether the information suspected of the first detected malicious code is actually malicious code. Provided is a mobile terminal malware processing system implementing a two-step detection process including a second detection process.
이에 따라 검출 정확도를 높이면서 휴대단말의 CPU, 메모리, 배터리 오버헤드를 절감하고 통신 오버헤드를 줄일 수 있다. 또한, 알려지지 않은 신종 악성코드 나 변종 악성 코드까지도 실시간으로 검출할 수 있다.As a result, the CPU, memory, and battery overhead of the mobile terminal can be reduced and communication overhead can be reduced while increasing the detection accuracy. In addition, it is possible to detect unknown new malicious code or variant malicious code in real time.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.
Claims (40)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070013060A KR100878895B1 (en) | 2007-02-08 | 2007-02-08 | Apparatus and method for detecting malware in mobile hand-held devices |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020070013060A KR100878895B1 (en) | 2007-02-08 | 2007-02-08 | Apparatus and method for detecting malware in mobile hand-held devices |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20080074271A true KR20080074271A (en) | 2008-08-13 |
KR100878895B1 KR100878895B1 (en) | 2009-01-15 |
Family
ID=39883630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020070013060A KR100878895B1 (en) | 2007-02-08 | 2007-02-08 | Apparatus and method for detecting malware in mobile hand-held devices |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100878895B1 (en) |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100968121B1 (en) * | 2008-09-01 | 2010-07-06 | 주식회사 안철수연구소 | Method for blocking malicious code through removable disk and apparatus thereof |
WO2010117155A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus for a mobile device |
WO2010117152A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
WO2010117154A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device |
WO2010117153A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus for a mobile device |
KR101046102B1 (en) * | 2008-10-24 | 2011-07-01 | 주식회사 케이티 | Malicious code processing method and device and system for same |
KR101047659B1 (en) * | 2009-10-12 | 2011-07-07 | 삼성에스디에스 주식회사 | Cloud-based mobile anti-malware systems, cloud centers and mobile devices |
WO2011046356A3 (en) * | 2009-10-12 | 2011-09-15 | 삼성에스디에스 주식회사 | Method for providing an anti-malware service |
KR101130088B1 (en) * | 2010-03-05 | 2012-03-28 | 주식회사 안철수연구소 | Malware detecting apparatus and its method, recording medium having computer program recorded |
KR101161493B1 (en) * | 2010-01-18 | 2012-06-29 | (주)쉬프트웍스 | Method of Examining Malicious Codes and Dangerous Files in Android Terminal Platform |
US8365287B2 (en) | 2010-06-18 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware system and operating method thereof |
WO2014010829A1 (en) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | Apparatus and method for diagnosing malicious code using caching |
WO2014010847A1 (en) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | Apparatus and method for diagnosing malicious applications |
US8661543B2 (en) | 2012-02-16 | 2014-02-25 | Electronics And Telecommunications Research Institute | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal |
WO2014035043A1 (en) * | 2012-09-03 | 2014-03-06 | 주식회사 안랩 | Apparatus and method for diagnosing malicious applications |
US8726362B2 (en) | 2011-03-16 | 2014-05-13 | Samsung Sds Co., Ltd. | SOC-based device for packet filtering and packet filtering method thereof |
US8973130B2 (en) | 2010-07-21 | 2015-03-03 | Samsung Sds Co., Ltd. | Device and method for providing SOC-based anti-malware service, and interface method |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20030087195A (en) * | 2002-05-07 | 2003-11-14 | 주식회사 세니온 | Mobile Communication Terminal And Computer Virus Detection And Cure Service Method In The Mobile Communication Terminal |
JP2004252642A (en) * | 2003-02-19 | 2004-09-09 | Matsushita Electric Ind Co Ltd | Method, device, server, and client of virus detection |
-
2007
- 2007-02-08 KR KR1020070013060A patent/KR100878895B1/en not_active IP Right Cessation
Cited By (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100968121B1 (en) * | 2008-09-01 | 2010-07-06 | 주식회사 안철수연구소 | Method for blocking malicious code through removable disk and apparatus thereof |
KR101046102B1 (en) * | 2008-10-24 | 2011-07-01 | 주식회사 케이티 | Malicious code processing method and device and system for same |
US8826414B2 (en) | 2009-04-09 | 2014-09-02 | Samsung Sds Co., Ltd. | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
WO2010117155A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus for a mobile device |
WO2010117152A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
WO2010117154A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device |
WO2010117153A2 (en) * | 2009-04-09 | 2010-10-14 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus for a mobile device |
WO2010117155A3 (en) * | 2009-04-09 | 2011-01-20 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus for a mobile device |
WO2010117152A3 (en) * | 2009-04-09 | 2011-01-20 | 삼성에스디에스 주식회사 | System-on-chip malicious code detection apparatus and application-specific integrated circuit for a mobile device |
WO2010117154A3 (en) * | 2009-04-09 | 2011-01-20 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus, and application-specific integrated circuit, for a mobile device |
WO2010117153A3 (en) * | 2009-04-09 | 2011-01-20 | 삼성에스디에스 주식회사 | System-on-a-chip malicious code detection apparatus for a mobile device |
KR101047659B1 (en) * | 2009-10-12 | 2011-07-07 | 삼성에스디에스 주식회사 | Cloud-based mobile anti-malware systems, cloud centers and mobile devices |
WO2011046356A3 (en) * | 2009-10-12 | 2011-09-15 | 삼성에스디에스 주식회사 | Method for providing an anti-malware service |
KR101161493B1 (en) * | 2010-01-18 | 2012-06-29 | (주)쉬프트웍스 | Method of Examining Malicious Codes and Dangerous Files in Android Terminal Platform |
KR101130088B1 (en) * | 2010-03-05 | 2012-03-28 | 주식회사 안철수연구소 | Malware detecting apparatus and its method, recording medium having computer program recorded |
US8365287B2 (en) | 2010-06-18 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware system and operating method thereof |
US8973130B2 (en) | 2010-07-21 | 2015-03-03 | Samsung Sds Co., Ltd. | Device and method for providing SOC-based anti-malware service, and interface method |
US8726362B2 (en) | 2011-03-16 | 2014-05-13 | Samsung Sds Co., Ltd. | SOC-based device for packet filtering and packet filtering method thereof |
US8661543B2 (en) | 2012-02-16 | 2014-02-25 | Electronics And Telecommunications Research Institute | Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal |
WO2014010829A1 (en) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | Apparatus and method for diagnosing malicious code using caching |
WO2014010847A1 (en) * | 2012-07-09 | 2014-01-16 | 주식회사 안랩 | Apparatus and method for diagnosing malicious applications |
WO2014035043A1 (en) * | 2012-09-03 | 2014-03-06 | 주식회사 안랩 | Apparatus and method for diagnosing malicious applications |
US9525706B2 (en) | 2012-09-03 | 2016-12-20 | Ahnlab, Inc. | Apparatus and method for diagnosing malicious applications |
Also Published As
Publication number | Publication date |
---|---|
KR100878895B1 (en) | 2009-01-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR100878895B1 (en) | Apparatus and method for detecting malware in mobile hand-held devices | |
US9223973B2 (en) | System and method for attack and malware prevention | |
KR101574652B1 (en) | Sytem and method for mobile incident analysis | |
US7650639B2 (en) | System and method for protecting a limited resource computer from malware | |
US9832211B2 (en) | Computing device to detect malware | |
EP2912596B1 (en) | Dynamic quarantining for malware detection | |
Zaidi et al. | A survey on security for smartphone device | |
US9183392B2 (en) | Anti-malware tool for mobile apparatus | |
KR20090024374A (en) | System and method of malware diagnosis mechanism based on immune database | |
KR101908944B1 (en) | Apparatus and method for analyzing malware in data analysis system | |
US8726377B2 (en) | Malware determination | |
KR100864867B1 (en) | The method and apparatus for detecting malicious file in mobile terminal | |
KR20090109154A (en) | Device, system and method for preventing malicious code | |
KR101715179B1 (en) | Cloud computing based mobile security system and method through user behavior event | |
US20130303118A1 (en) | Mobile device security | |
MX2008000513A (en) | Securing network services using network action control lists. | |
US11934515B2 (en) | Malware deterrence using computer environment indicators | |
US11886584B2 (en) | System and method for detecting potentially malicious changes in applications | |
CN112560018B (en) | Sample file detection method, device, terminal equipment and storage medium | |
EP4095727A1 (en) | System and method for detecting potentially malicious changes in applications | |
Zhao et al. | Development Analysis of Trusted Computing Technology of Smart Mobile Terminal | |
CN118035976A (en) | Detection method and related device for impersonation access certificate | |
CN117835240A (en) | Custom ROM identification method and device, electronic equipment and medium | |
CN117240514A (en) | Service processing request processing method and device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
AMND | Amendment | ||
E601 | Decision to refuse application | ||
AMND | Amendment | ||
J201 | Request for trial against refusal decision | ||
B701 | Decision to grant | ||
GRNT | Written decision to grant | ||
LAPS | Lapse due to unpaid annual fee |