KR101211835B1 - 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치 - Google Patents

이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치 Download PDF

Info

Publication number
KR101211835B1
KR101211835B1 KR1020100091733A KR20100091733A KR101211835B1 KR 101211835 B1 KR101211835 B1 KR 101211835B1 KR 1020100091733 A KR1020100091733 A KR 1020100091733A KR 20100091733 A KR20100091733 A KR 20100091733A KR 101211835 B1 KR101211835 B1 KR 101211835B1
Authority
KR
South Korea
Prior art keywords
terminal
image
malicious program
malicious
server
Prior art date
Application number
KR1020100091733A
Other languages
English (en)
Other versions
KR20120029734A (ko
Inventor
임을규
김혜선
Original Assignee
한양대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한양대학교 산학협력단 filed Critical 한양대학교 산학협력단
Priority to KR1020100091733A priority Critical patent/KR101211835B1/ko
Publication of KR20120029734A publication Critical patent/KR20120029734A/ko
Application granted granted Critical
Publication of KR101211835B1 publication Critical patent/KR101211835B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치가 제공된다. 이동 통신 기기에서 생성된 이미지가 서버로 전송되면, 서버는 이미지 내에서 악성 프로그램을 탐색한다. 서버는 이동 통 기기에게 악성 프로그램을 제거할 수 있는 이미지를 제공한다. 이동 통신 기기는 홈 네트워크를 통해 연동되는 다른 장치를 경유하여 서버와 데이터 송수신을 할 수 있다. 이러한 홈 네트워크를 통한 연동은 전술된 절차가 보다 안정적이고 효율적으로 실행될 수 있게 한다.

Description

이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치{METHOD AND APPARATUS FOR DETECTING MALWARE ON MOBILE COMMUNICATION DEVICE}
아래의 실시예들은 이동 통신 기기 내의 악성 프로그램을 탐지 및 제거하기 위한 방법 및 장치에 관한 것이다.
정보 통신 기술의 발달에 따라, 휴대폰(Mobile Phone), 스마트 폰(Smart Phone) 및 PDA(Personal Digital Assistant)와 같은 이동 통신 기기가 일상 생활에서 널리 사용된다.
이동 통신 기기의 사용자는 자신의 홈 네트워크 내에서 이동 통신 기기를 연동시킬 수 있다. 이러한 연동에 의해, 이동 통신 기기는 홈 네트워크 내의 다른 장치와 대규모의 데이터를 빠른 속도로 송수신하는 등 다양한 용도로 활용될 수 있다.
이동 통신 기기의 사용자 및 사용 분야가 증가함에 따라, 이동 통신 장치를 대상으로 하는 악성 프로그램(Malware 또는 Malicious Code)이 생겨나고 있다. 악성 프로그램은 컴퓨터 바이러스(Virus), 웜(Worm), 트로이 목마(Trojan Horse) 및 광고 프로그램 등 악의적인 목적을 위해 작성된 실행 가능한 코드를 통칭한다.
이동 통신 기기의 특성 상, 이동 통신 기기는 사용자와 관련된 중요 정보를 저장할 수 있으며, 상시 구동될 필요가 있다.
따라서, 악성 프로그램에 의해 이동 통신 기기 내의 정보가 누출되거나 또는 이동 통신 기기가 고장나는 것을 방지하기 위해, 이동 통신 기기 내의 악성 프로그램을 탐지할 수 있는 메커니즘((Mechanism)이 요구된다.
개인용 컴퓨터(Personal Computer) 등 범용 컴퓨터는 백신(Vaccine) 프로그램 또는 안티-바이러스(Anti-Virus) 프로그램을 실행하여 컴퓨터 내의 악성 프로그램을 탐지 및 제거하고, 감염된 프로그램을 복구한다.
기존의 백신 프로그램은 계산 능력 및 메모리 등 자원이 풍부한 범용 컴퓨터에서 사용되는 것을 전제로 작성되었다.
또한, 백신 프로그램이 악성 프로그램을 탐지하기 위해서는 알려진 다양한 악성 프로그램에 대한 데이터가 필요하며, 이러한 데이터를 모두 저장하기 위해서는 상당한 양의 저장 공간(Storage)이 필요하다.
그러나, 일반적으로 이동 통신 기기는 개인용 컴퓨터에 비해 계산 능력(Computational Power)이 떨어지며, 제한된 메모리(Memory)를 갖는다. 따라서, 이동 통신 기기가 범용 컴퓨터처럼 백신 프로그램을 실행하기 위한 빠른 계산 속도 및 풍부한 저장 공간을 제공하는 것은 어렵다.
또한, 일반적으로 이동 통신 기기는 배터리(Battery)를 사용하여 구동되므로, 제한된 전력(Power)만을 사용할 수 있다. 따라서, 이동 통신 기기가 많은 전력이 소모하는 백신 프로그램을 실행하여 악성 프로그램을 지속적으로 탐지하는 것은 어렵다.
따라서, 범용 컴퓨터에서 사용되는, 백신 프로그램을 구동하여 악성 프로그램을 탐지하는 매커니즘은 이동 통신 기기에 적용되기에 적합하지 않다.
본 발명의 일 실시예는, 단말로부터 전송 받은 이미지 내의 악성 프로그램을 탐지하는 장치 및 서비스 방법을 제공할 수 있다.
본 발명의 일 실시예는, 악성 프로그램에 감염되지 않은 새로운 이미지를 설치함으로써 악성 프로그램을 제거하는 장치 및 단말을 제공할 수 있다.
본 발명의 일 측에 따르면, 단말의 악성 프로그램 제거 방법에 있어서, 상기 단말에서 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 생성하는 단계, 상기 제1 이미지를 전송하는 단계, 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 수신하는 단계 및 상기 제2 이미지를 설치하는 단계를 포함하는, 단말의 악성 프로그램 제거 방법이 제공된다.
상기 제1 이미지는 상기 단말의 메모리를 덤프한 내용을 포함할 수 있다.
단말의 악성 프로그램 제거 방법은 상기 제1 이미지에 필터링 규칙을 적용함으로써 상기 제1 이미지에서 특정 부분을 제거하는 단계를 더 포함할 수 있고, 상기 특정 부분은 악성 프로그램에 의해 영향을 받지 않는 부분 및 상기 단말의 사용자의 개인 정보와 관련된 부분 중 하나 이상을 포함할 수 있다.
단말의 악성 프로그램 제거 방법은 상기 제1 이미지를 압축하는 단계를 더 포함할 수 있다.
단말의 악성 프로그램 제거 방법은 상기 단말의 운영체제 상의 변화를 감지하는 단계를 더 포함할 수 있고, 상기 제1 이미지를 생성하는 단계는 상기 변화가 감지된 경우 수행될 수 있다.
본 발명의 다른 일측에 따르면, 단말의 악성 프로그램을 제거하는 서비스 제공 방법에 있어서, 상기 단말에서 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 수신하는 단계, 상기 제1 이미지 내에서 상기 악성 프로그램을 탐지하는 단계, 상기 제1 이미지 내에서 상기 악성 프로그램이 탐지된 경우 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 전송하는 단계 및를 포함하는, 악성 프로그램 제거 서비스 제공 방법이 제공된다.
악성 프로그램 제거 서비스 제공 방법은 복수 개의 제3 이미지들을 관리하는 데이터베이스를 유지하는 단계 및 상기 복수 개의 제3 이미지들 중에서 상기 단말에 대응하는 상기 제2 이미지를 선택하는 단계를 더 포함할 수 있다.
상기 탐지는 시그내쳐 탐지 방법 또는 행동 탐지 방법에 기반할 수 있다.
악성 프로그램 제거 서비스 제공 방법은 상기 탐지의 결과에 대한 정보를 상기 단말의 사용자에게 제공하는 단계를 더 포함할 수 있다.
악성 프로그램 제거 서비스 제공 방법은 상기 제1 이미지의 압축을 해제하는 단계를 더 포함할 수 있다.
본 발명의 또 다른 일측에 따르면, 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 생성하고, 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 설치하는 제어부 및 상기 제1 이미지를 전송하고, 상기 제2 이미지를 수신하는 송수신부를 포함하는 단말이 제공된다.
상기 제1 이미지는 상기 단말의 메모리를 덤프한 내용을 포함할 수 있다.
상기 제어부는 상기 제1 이미지에 필터링 규칙을 적용함으로써 상기 제1 이미지에서 특정 부분을 제거할 수 있고, 상기 특정 부분은 악성 프로그램에 의해 영향을 받지 않는 부분 및 상기 단말의 사용자의 개인 정보와 관련된 부분 중 하나 이상을 포함할 수 있다.
상기 제어부는 상기 제1 이미지를 압축할 수 있다.
상기 제어부는 상기 단말의 운영체제 상의 변화를 감지하고, 상기 변화가 감지된 경우 상기 제1 이미지를 생성할 수있다.
본 발명의 또 다른 일측에 따르면, 단말의 악성 프로그램을 제거하는 서버에 있어서, 상기 단말에서 싱행중인 프로그램들의 정보를 포함하는 제1 이미지를 수신하고, 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 전송하는 송수신부 및 상기 제1 이미지 내에서 상기 악성 프로그램을 탐지하는 제어부를 포함하고, 상기 제2 이미지는 상기 제1 이미지 내에서 상기 악성 프로그램이 탐지된 경우 전송되는, 악성 프로그램 제거 서버가 제공된다..
악성 프로그램 제거 서버는 복수 개의 제3 이미지들을 관리하는 데이터베이스를 더 포함할 수 있고, 상기 제어부는 상기 복수 개의 제3 단말 이미지들 중에서 상기 단말에 대응하는 이미지를 상기 제2 이미지로서 선택할 수 있다.
상기 제어부는 시그내쳐 탐지 방법 또는 행동 탐지 방법에 기반하여 상기 탐지를 수행할 수 있다.
상기 제어부는 상기 탐지의 결과에 대한 정보를 생성할 수 있고, 상기 송수신부는 상기 정보를 상기 단말의 사용자에게 제공할 수 있다.
상기 제어부는 상기 제1 이미지의 압축을 해제할 수 있다.
단말로부터 전송 받은 이미지 내의 악성 프로그램을 탐지하는 장치 및 서비스 방법이 제공된다.
악성 프로그램에 감염되지 않은 새로운 이미지를 설치함으로써 악성 프로그램을 제거하는 장치 및 단말이 제공된다.
도 1은 본 발명의 일 실시예에 따른 악성 프로그램 제거 시스템을 도시한다.
도 2는 본 발명의 일 실시예에 따른 악성 프로그램 제거 방법의 신호 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 제1 단말의 구조도이다.
도 4는 본 발명의 일 실시예에 따른 서버의 구조도이다.
이하에서, 본 발명의 일 실시예를, 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 본 발명이 실시예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.
도 1은 본 발명의 일 실시예에 따른 악성 프로그램 제거 시스템을 도시한다.
악성 프로그램 제거 시스템(100)은 제1 단말(110), 제2 단말(120) 및 서버(130)를 포함한다.
제1 단말(110), 제2 단말(120) 및 서버(130)는 네트워크로 연결된다.
제1 단말(110)은 악성 프로그램에 감염될 가능성이 있는 단말이다.
일반적으로, 제1 단말(110)은 이동 통신 단말(예컨대, 휴대폰, 스마트 폰 또는 PDA)이며, 상대적으로 제한된 가용 자원(예컨대, 계산 능력, 메모리 또는 전원)을 갖는다.
제1 단말(110)은 단말 이미지를 생성한다.
단말 이미지는 제1 단말(110)의 시스템의 구성 요소 중 악성 프로그램에 의해 영향을 받는 부분(예컨대, 주 메모리(Main Memory) 또는 저장 메모리(Storage Memory))에 대한 정보를 포함한다.
상기 정보는 제1 단말(110)의 주 메모리에서 실행중인 프로그램들의 정보를 포함할 수 있다. 예컨대, 상기 단말 이미지는 제1 단말(110)의 메모리를 덤프(Dump)한 것을 포함할 수 있다. 상기 메모리는 제1 단말(110)에서 실행중인 프로그램들에 의해 사용되는 주 메모리 또는 저장 메모리를 포함할 수 있다. 또한, 상기 단말 이미지는 제1 단말(110)에서 실행중인 프로그램들의 레지스트리(Registry) 또는 파일(File)을 포함할 수 있다.
제1 단말(110)은 독립적인 운영체제(또는, 시스템 소프트웨어)를 탑재할 수 있다. 탑재된 운영체제에 의해 제1 단말(110)은 복수 개의 프로그램을 실행할 수 있다. 제1 단말(110) 내에서 실행중인 프로그램들은 모두 주 메모리에 상주하면서 동작한다.
일반적으로, 악성 프로그램은 백그라운드(Background)로 실행된다. 그러나, 백그라운드로 실행되는 악성 프로그램이라도 주 메모리에서 상주해 있으므로, 주 메모리를 검색함으로써 이러한 악성 프로그램의 존재가 검출될 수 있다.
따라서, 제1 단말(110)에서 실행중인 프로그램들에 대한 정보를 포함하는 단말 이미지가 다른 악성 프로그램 탐지 장치(예컨대, 서버(130))에게 제공되면, 상기 악성 프로그램 탐지 장치는 전송된 단말 이미지를 분석하여 제1 단말(110) 내에 악성 프로그램이 존재하는지 여부를 알 수 있다.
제2 단말(120)은 제1 단말(110) 및 서버(130) 간의 중계 역할을 하며, 사용자에게 편의를 제공하기 위한 단말이다.
일반적으로, 제2 단말(120)은 개인용 컴퓨터이다.
제1 단말(110) 및 서버(130) 간에서 송수신되는 데이터(예컨대, 전술된 단말 이미지)는 제1 단말(110) 및 서버(130) 간에 직접적으로 송수신될 수 있고, 제2 단말(120)을 경유해서 송수신될 수도 있다.
서버(130)는 제1 단말(110)이 악성 프로그램에 감염되었는지 여부를 판단하고, 악성 프로그램에 감염되었을 경우 악성 프로그램을 제거하거나, 제1 단말(110)의 시스템을 복구하기 위한 서비스를 제공한다.
서버(130)는 제1 단말(110)에 의해 생성된 단말 이미지를 제공받고, 제공 받은 단말 이미지에서 악성 프로그램을 탐지한다.
악성 프로그램이 탐지된 경우, 서버(130)는 제1 단말(110)에게 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 복구 이미지를 제공한다.
복구 이미지는 제1 단말(110)에서 악성 프로그램을 제거하기 위해 필요한 프로그램(Program) 또는 스크립트(Script) 등을 포함할 수 있다.
복구 이미지는 제1 단말(110)에서 실행되는 프로그램들을 대체할 수 있는 내용(예컨대, 펌웨어, 파일, 코드 또는 덤프 이미지)을 포함할 수 있다.
복구 이미지는 제1 단말(110)을 악성 프로그램에 감염되기 이전의 상태로 되돌릴 수 있는 정보를 포함할 수 있다. 이 경우, 복구 이미지는 이전에 생성된 제1 단말(110)의 단말 이미지 중 악성 프로그램이 검색되지 않은 것을 포함할 수 있으며, 제1 단말(110)의 제조자 등으로부터 제공된 시스템 이미지 또는 업그레이드(Upgrade) 이미지를 포함할 수 있다.
복구 이미지가 제1 단말(110)에 설치됨으로써 제1 단말(110)에서 악성 프로그램이 제거된다.
제1 단말(110) 및 서버(130) 간의 네트워크는 이동 통신망 또는 인터넷일 수 있다.
제1 단말(110) 및 제2 단말(120) 간의 네트워크는 무선 랜(Wireless-LAN), 범용직렬버스(Universal Serial Bus; USB) 또는 블루투스(Bluetooth) 등의 유무선 네트워크일 수 있다. 제1 단말(110) 및 제2 단말(120)은 기타 다양한 홈 네트워크 구축 수단에 의해 연동될 수 있다.
제2 단말(120) 및 서버(130) 간의 네트워크는 인터넷일 수 있다.
일반적으로, 제1 단말(110) 및 서버(130) 간의 네트워크는 저속 또는 고비용이다. 반면, 제1 단말(110) 및 제2 단말(120) 간의 네트워크와 제2 단말(120) 및 서버(130) 간의 네트워크는 상대적으로 고속 또는 저비용이다.
제2 단말(120)이 제1 단말(110) 및 서버(130) 간에서 중계 역할을 하는 이유는 하기의 1) 내지 5) 중 하나 이상일 수 있다.
1) 일반적으로, 제2 단말(120)은 제1 단말(110)에 비해 풍부한 가용 자원을 갖기 때문에, 사용자에게 더 편리한 인터페이스(Interface)를 제공할 수 있다. 따라서, 사용자는 제2 단말(120)을 사용하여 사용자 및 제1 단말(110)의 등록 등 부가적인 작업을 용이하게 수행할 수 있다.
2) 제2 단말(120)은 제1 단말(110)의 저장 공간을 절약하기 위해 제1 단말(110) 및 서버(130) 간에 송수신될 데이터(예컨대, 단말 이미지 또는 복구 이미지)를 저장해 두고, 필요한 경우 제1 단말(110) 또는 서버(130)로 전송할 수 있다.
3) 제1 단말(110) 및 서버(130) 간의 네트워크는 일반적으로 고비용 또는 저속일 수 있으며, 불안정할 수 있다. 상대적으로 제1 단말(110) 및 제2 단말(120) 간의 네트워크(예컨대, 홈 네트워크)는 저비용 또는 고속일 수 있으며, 안정적일 수 있다. 따라서, 단말 이미지 및 복구 이미지와 같은 크고 중요한 데이터는 제1 단말(110) 및 제2 단말(120) 간의 네트워크를 통해 전송 및 설치되는 것이 유리할 수 있다.
4) 제1 단말(110)은 자체적으로 복구 이미지를 사용하여 악성 프로그램을 제거하기에 필요한 기능을 갖지 못할 수 있다. 예컨대, 복구 이미지가 제1 단말(110)의 운영체제를 포함하는 전체 시스템 이미지인 경우, 복구 이미지가 제2 단말(120)의 제어 하에 제1 단말(110)로 설치되는 것이 제1 단말(110)에 의해 독립적으로 설치되는 것보다 용이할 수 있다.
5) 제1 단말(110) 내에서 단말 이미지가 생성된 후, 악성 프로그램에 의해 생성된 단말 이미지의 내용이 변경되거나, 단말 이미지가 감염 또는 삭제될 수 있다. 단말 이미지를 제2 단말(120)에 저장함으로써 이러한 악성 프로그램으로 인한 위험을 방지할 수 있다.
도 2는 본 발명의 일 실시예에 따른 악성 프로그램 제거 방법의 신호 흐름도이다.
단계(S210)에서, 서버(130)에 사용자 및 제1 단말(110)이 등록된다.
사용자는 제1 단말(110) 또는 제2 단말(120)을 사용하여 사용자 또는 제1 단말을 서버(130)에 등록할 수 있다.
서버(130)는 상기 등록을 위한 홈페이지를 제공할 수 있다. 사용자는 제1 단말(110) 또는 제2 단말(120)의 웹 브라우저를 사용하여 상기 홈페이지에 접속할 수 있다.
상기 등록을 위해, 사용자는 사용자 또는 제1 단말(110)의 식별을 위해 필요한 정보(예컨대, 사용자의 이-메일(E-Mail) 주소, 제1 단말(110)의 전화 번호, 제1 단말(110)의 MAC(Media Access Control) 주소 또는 제1 단말(110)의 일련 번호(Serial Number) 등)를 제공할 수 있다.
단계(S212)에서, 이미지와 관련된 프로그램이 설치된다.
단말 이미지의 생성을 위한 프로그램이 제1 단말(110)에 설치될 수 있다.
단말 이미지 또는 복구 이미지의 송수신을 위한 프로그램이 제1 단말(110) 및 제2 단말(120) 중 하나 이상에 설치될 수 있다.
단계(S220)에서, 단말 이미지가 생성된다.
단말 이미지는 사용자가 단말 이미지 생성 명령을 전달할 때만 수동으로 생성될 수 있으며, 설정에 의해 자동으로 생성될 수 있다. 단말 이미지는 하루에 한 번 또는 일주일에 한 번 등과 같이 주기적으로 자동 생성될 수 있다. 단말 이미지는, 예컨대 제1 단말(110)에 새로운 파일이 다운로드(Download)되거나 새로운 프로그램이 설치되는 경우와 같이, 제1 단말(110)의 시스템 또는 운영체제 내에 변화가 발생한 것이 감지될 때 생성될 수 있다.
따라서, 단말 이미지의 생성을 위해, 제1 단말(110)의 시스템 또는 운영체제 내에 변화를 감지하는 단계가 추가될 수 있다(도시되지 않음).
단계(S222)에서, 단말 이미지에 필터링(Filtering) 규칙을 적용함으로써 제1 이미지에서 특정 부분이 제거하는 필터링이 수행된다.
단말 이미지는 제1 단말(110)의 사용자의 개인 정보를 포함할 수 있으며, 이러한 개인 정보가 서버(130)로 전송되는 것은 부적절한 경우가 있다. 따라서, 필터링 규칙은 이러한 사용자의 개인 정보를 필터링에 의해 제거될 특정 부분으로서 포함시킬 수 있다.
단말 내에는 악성 프로그램에 의해 영향을 받지 않는 부분(예컨대, 순수한 운영체제 또는 시스템 관련 파일)이 있을 수 있다. 이러한 악성 프로그램에 의해 영향을 받지 않는 부분이 서버(130)로 전송되는 것은 불필요한 경우가 있다. 따라서, 필터링 규칙은 이러한 악성 프로그램에 의해 영향을 받지 않는 부분을 필터링에 의해 제거될 특정 부분으로서 포함시킬 수 있다.
이전에는 악성 프로그램에 의해 영향을 받지 않았던 시스템 관련 파일을 감염 대상으로 하는 새로운 악성 프로그램이 생길 수 있다. 따라서, 필터링 규칙은 업데이트될 수 있으며, 업데이트는 주기적으로 수행될 수 있다. 이에 따라, 필터링 규칙을 업데이트하는 단계가 추가될 수 있다(도시되지 않음).
또한, 필터링은 단말 이미지의 크기를 줄일 수 있다.
단계(S224)에서, 단말 이미지가 압축된다.
단말 이미지의 압축은 단말 이미지의 전송 효율을 높일 수 있고, 단말 이미지가 전송 중 해킹(Hacking)되는 것을 방지할 수 있다.
단계(S230)에서, 생성된 단말 이미지가 서버(130)로 전송되며, 서버(130)는 단말 이미지를 수신한다.
단말 이미지는 제1 단말(110)로부터 제2 단말(120)을 경유하여 서버(130)로 전송될 수 있고, 제1 단말(110)로부터 직접 서버(130)로 전송될 수 있다.
단말 이미지가 제2 단말(120)을 경유하여 서버로 전송될 경우, 전술된 단말 이미지의 필터링 및 압축은 제2 단말(120)에서 수행될 수 있다(도시되지 않음).
단말 이미지는 사용자가 단말 이미지 전송 명령을 전달할 때만 수동으로 전송될 수 있으며, 설정에 의해 자동으로 전송될 수 있다.
단말 이미지가 전송되는 주기가 단말 이미지가 생성되는 주기보다 더 긴 경우, 제1 단말(110)(또는, 제2 단말(120)) 내에 하나 이상의 단말 이미지가 동시에 저장되어 있을 수 있다. 이러한 경우, 단말 이미지를 압축함으로써 하나 이상의 단말 이미지를 저장하는 경우에도 저장 용량의 부담이 감소시킬 수 있다.
단계(S240)에서, 전송된 단말 이미지가 데이터베이스에 저장된다.
데이터베이스는 전송된 단말 이미지를 사용자 별로 관리할 수 있으며, 단말 이미지가 저장된 날짜에 따라 복수 개의 단말 이미지들을 정렬할 수 있다.
단계(S242)에서, 전송된 단말 이미지의 압축이 해제된다.
단계(S250)에서, 전송된 단말 이미지 내에서 악성 프로그램이 탐지된다.
서버(130)는 각종 악성 프로그램에 대한 광범위한 정보를 저장한다. 서버(130)는 제1 단말(110)의 단말 이미지에 대해 상세한 조사를 수행하여, 단말 이미지 내에 악성 프로그램이 포함되어있는지 여부를 검사한다.
상기 탐지는 시그내쳐 탐지(Signature-Based Detection) 방법 또는 행동 탐지(Behavior Detection) 방법에 기반하여 수행될 수 있다.
시그내쳐 탐지 방법은 실행 코드(Executable Code) 내에서 알려진 악성 프로그램 패턴(Pattern)들을 탐색하는 방법이다. 즉, 서버(130)는 단말 이미지 내에서 알려진 악성 프로그램 패턴들을 탐색함으로써 단말 이미지 내에 악성 프로그램이 포함되어있는지 여부를 검사할 수 있다.
행동 탐지 방법은 위협으로 생각되는 방식으로 행동하는 파일 및 프로세스를 탐지하는 방법이다. 즉, 서버(130)는 단말 이미지를 분석햐여 위협으로 생각되는 방식으로 행동하는 파일 및 프로그램을 탐색함으로써 단말 이미지 내에 악성 프로그램이 포함되어있는지 여부를 검사할 수 있다.
단말 이미지 내에서 악성 프로그램이 검색된 경우, 상기 단말 이미지는 데이터베이스에서 제거된다. 단말 이미지 내에서 악성 프로그램이 검색되지 않은 경우, 상기 단말 이미지는 이후 복원을 위해 제1 단말(110)에게 제공될 필요가 있다. 따라서, 단말 이미지는 데이터베이스를 통해 관리된다.
단계(S252)에서, 상기 탐지의 결과에 대한 정보가 제1 단말(110)의 사용자에게 제공된다. 즉, 상기 탐지의 결과에 대한 정보를 포함하는 메시지가 제1 단말(110) 또는 제2 단말(120)로 전송되며, 사용자는 제1 단말(110) 또는 제2 단말(120)을 사용하여 탐지의 결과를 확인할 수 있다.
상기 메시지는 이-메일(E-Mail) 또는 문자 메시지(SMS 또는 MMS)일 수 있다.
상기 탐지의 결과, 단말 이미지 내에서 악성 프로그램이 검출되지 않았으면, 상기 탐지의 결과에 대한 정보를 사용자에게 제공함으로써 절차가 종료된다. 단말 이미지 내에서 악성 프로그램이 검출된 경우, 하기의 단계들이 계속 실행된다.
단계(S260)에서, 복구 이미지가 생성된다.
서버(130)는 데이터베이스를 통해 다양한 단말들을 위한 복구 이미지들을 유지 및 관리할 수 있다. 이러한 복구 이미지들을 단말 설치 이미지들로 명명한다. 따라서, 복수 개의 단말 설치 이미지들을 관리하는 데이터베이스를 유지하는 단계(도시되지 않음)가 추가될 수 있다.
단말의 제조사 등이 배포한 초기 시스템 이미지 또는 시스템 업그레이드 이미지가 단말 설치 이미지에 포함될 수 있다. 또한, 제1 단말로부터 이전에 전송된 단말 이미지 중 악성 프로그램이 검출되지 않은 것이 단말 설치 이미지에 포함될 수 있다.
서버(130)는 단말 설치 이미지들 중 제1 단말(110)에 대응하며, 제1 단말(110)의 복구에 가장 적합한 것(예컨대, 제1 단말(110)에 대응하는 단말 설치 이미지들 중 가장 최신의 것)을 선택할 수 있다. 이 경우 선택된 단말 설치 이미지가 복구 이미지이다.
단계(S270)에서, 복구 이미지가 제1 단말(110)로 전송된다.
복구 이미지는 서버(130)로부터 제1 단말(110)로 직접 전송될 수 있다.
복구 이미지는 서버(130)로부터 제2 단말(120)을 경유하여 제1 단말(110)로 전송될 수 있다. 복구 이미지는 이-메일에 첨부되어 서버(130)로부터 제2 단말(120)로 전송될 수 있다. 이러한 경우 사용자는 제2 단말(120)에 설치된 복구 이미지 설치 프로그램을 사용함으로써 복구 이미지를 제1 단말(110)로 전송하고, 제1 단말(110)을 악성 프로그램으로부터 복구할 수 있다.
단계(S280)에서, 복구 이미지가 설치되며, 이로서 악성 프로그램이 제거된다.
앞서 도 1을 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
도 3은 본 발명의 일 실시예에 따른 제1 단말(110)의 구조도이다.
제1 단말(110)은 제어부(310) 및 송수신부(320)를 포함한다.
제어부(310)는 단말 이미지를 생성하고, 복구 이미지를 설치한다. 제어부(310)는 제1 단말(110)의 운영체제 상의 변화를 감지하고, 변화가 감지된 경우 단말 이미지를 생성할 수 있다.
송수신부는(320)는 단말 이미지를 제2 단말(120) 또는 서버(130)로 전송하고, 제2 단말(120) 또는 서버(130)로부터 복구 이미지를 수신할 수 있다. 송수신부(320)는 악성 프로그램의 탐지 결과를 서버(130)로부터 수신할 수 있다.
제어부(310)는 단말 이미지에 필터링 규칙을 적용함으로써 단말 이미지에서 특정 부분을 제거할 수 상기 특정 부분은 악성 프로그램에 의해 영향을 받지 않는 부분 및 제1 단말(110)의 사용자의 개인 정보와 관련된 부분 중 하나 이상을 포함할 수 있다.
제어부(310)는 단말 이미지를 압축할 수 있다..
앞서 도 1 내지 도 2를 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 예컨대, 제어부(310)는 단말 이미지의 생성, 필터링, 압축에 관련된 작업들을 수행할 수 있으며, 이미지와 관련된 프로그램 및 복구 이미지의 설치에 관련된 작업들을 수행할 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
도 4는 본 발명의 일 실시예에 따른 서버(130)의 구조도이다.
서버(130)는 제어부(410) 및 송수신부(420)를 포함하며, 데이터베이스부(430)를 더 포함할 수 있다.
송수신부(420)는 단말 이미지를 제1 단말(110) 또는 제2 단말(120)으로부터 수신하며, 복구 이미지를 제1 단말(110) 또는 제2 단말(120)로 전송한다.
제어부(410)는 단말 이미지 내에서 악성 프로그램을 탐지한다. 제어부(410)는 시그내쳐 탐지 방법 또는 행동 탐지 방법에 기반하여 상기 탐지를 수행할 수 있다.
제어부(410)는 단말 이미지 내에서 악성 프로그램이 탐지된 경우, 복구 이미지가 전송되도록 송수신부(420)를 제어한다.
데이터베이스부(430)는 복수 개의 단말 설치 이미지들을 유지 및 관리한다. 제어부(410)는 단말 이미지를 데이터베이스부(430)에 저장할 수 있으며, 저장된 단말 이미지 중 특정한 것(예컨대, 악성 프로그램이 검출된 것)을 데이터베이스부(430)에서 제거할 수 있다.
제어부(410)는 복수 개의 단말 설치 이미지들 중 제1 단말(110)에 대응하는 이미지를 복구 이미지로서 선택할 수 있다.
제어부(410)는 상기 탐지의 결과에 대한 정보를 생성할 수 있고, 송수신부(420)는 상기 정보를 제1 단말(110) 또는 제2 단말(120)로 전송함으로써 사용자에게 제공할 수 있다.
제어부(410)는 단말 이미지의 압축을 해제할 수 있다.
앞서 도 1 내지 도 3을 참조하여 설명된 본 발명의 일 실시예에 따른 기술 적 내용들이 본 실시예에도 그대로 적용될 수 있다. 예컨대, 제어부(410)는 전술된 단말 이미지 저장 및 압축 해제에 관련된 작업을 수행할 수 있으며, 악성 프로그램 탐지 및 복구 이미지 생성에 관련된 작업을 수행할 수 있다. 또한, 데이터베이스부는 단말 이미지 및 복구 이미지를 저장, 관리 및 제공할 수 있다. 따라서 보다 상세한 설명은 이하 생략하기로 한다.
본 발명의 일 실시예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(Magnetic Media), CD-ROM, DVD와 같은 광기록 매체(Optical Media), 플롭티컬 디스크(Floptical Disk)와 같은 자기-광 매체(Magneto-Optical Media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 본 발명의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상과 같이 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 상기의 실시예에 한정되는 것은 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
그러므로, 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허청구범위뿐 아니라 이 특허청구범위와 균등한 것들에 의해 정해져야 한다.
110: 제1 단말
120: 제2 단말
130: 서버

Claims (20)

  1. 삭제
  2. 단말의 악성 프로그램 제거 방법에 있어서,
    상기 단말에서 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 생성하는 단계;
    상기 제1 이미지를 전송하는 단계;
    상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 수신하는 단계;
    상기 제2 이미지를 설치하는 단계
    를 포함하고, 상기 제1 이미지는 상기 단말의 메모리를 덤프한 내용을 포함하는, 단말의 악성 프로그램 제거 방법.
  3. 제2항에 있어서,
    상기 제1 이미지에 필터링 규칙을 적용함으로써 상기 제1 이미지에서 특정 부분을 제거하는 단계
    를 더 포함하고,
    상기 특정 부분은 상기 악성 프로그램에 의해 영향을 받지 않는 부분 및 상기 단말의 사용자의 개인 정보와 관련된 부분 중 하나 이상을 포함하는, 단말의 악성 프로그램 제거 방법.
  4. 제2항에 있어서,
    상기 제1 이미지를 압축하는 단계
    를 더 포함하는, 단말의 악성 프로그램 제거 방법.
  5. 제2항에 있어서,
    상기 단말의 운영체제 상의 변화를 감지하는 단계
    를 더 포함하고, 상기 제1 이미지를 생성하는 단계는 상기 변화가 감지된 경우 수행되는, 단말의 악성 프로그램 제거 방법.
  6. 삭제
  7. 단말의 악성 프로그램을 제거하는 서비스 제공 방법에 있어서,
    상기 단말에서 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 수신하는 단계;
    상기 제1 이미지 내에서 상기 악성 프로그램을 탐지하는 단계; 및
    상기 제1 이미지 내에서 상기 악성 프로그램이 탐지된 경우 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 전송하는 단계
    를 포함하고,
    상기 탐지는 시그내쳐 탐지 방법 또는 행동 탐지 방법에 기반한, 악성 프로그램 제거 서비스 제공 방법.
  8. 제7항에 있어서,
    복수 개의 제3 이미지들을 관리하는 데이터베이스를 유지하는 단계; 및
    상기 복수 개의 제3 이미지들 중에서 상기 단말에 대응하는 상기 제2 이미지를 선택하는 단계
    를 더 포함하는, 악성 프로그램 제거 서비스 제공 방법.
  9. 제7항에 있어서,
    상기 탐지의 결과에 대한 정보를 상기 단말의 사용자에게 제공하는 단계
    를 더 포함하는, 악성 프로그램 제거 서비스 제공 방법.
  10. 제7항에 있어서,
    상기 제1 이미지의 압축을 해제하는 단계를 더 포함하는, 악성 프로그램 제거 서비스 제공 방법.
  11. 삭제
  12. 실행중인 프로그램들의 정보를 포함하는 제1 이미지를 생성하고, 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 설치하는 제어부; 및
    상기 제1 이미지를 전송하고, 상기 제2 이미지를 수신하는 송수신부
    를 포함하고,
    상기 제1 이미지는 상기 단말의 메모리를 덤프한 내용을 포함하는, 단말.
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 단말의 악성 프로그램을 제거하는 서버에 있어서,
    상기 단말에서 싱행중인 프로그램들의 정보를 포함하는 제1 이미지를 수신하고, 상기 악성 프로그램을 제거하는데 필요한 정보를 포함하는 제2 이미지를 전송하는 송수신부; 및
    상기 제1 이미지 내에서 상기 악성 프로그램을 탐지하는 제어부
    를 포함하고,
    상기 제2 이미지는 상기 제1 이미지 내에서 상기 악성 프로그램이 탐지된 경우 전송되고,
    상기 제어부는 시그내쳐 탐지 방법 또는 행동 탐지 방법에 기반하여 상기 탐지를 수행하는, 악성 프로그램 제거 서버.
  19. 삭제
  20. 삭제
KR1020100091733A 2010-09-17 2010-09-17 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치 KR101211835B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100091733A KR101211835B1 (ko) 2010-09-17 2010-09-17 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100091733A KR101211835B1 (ko) 2010-09-17 2010-09-17 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20120029734A KR20120029734A (ko) 2012-03-27
KR101211835B1 true KR101211835B1 (ko) 2012-12-12

Family

ID=46134076

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100091733A KR101211835B1 (ko) 2010-09-17 2010-09-17 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101211835B1 (ko)

Also Published As

Publication number Publication date
KR20120029734A (ko) 2012-03-27

Similar Documents

Publication Publication Date Title
CN102663286B (zh) 一种病毒apk的识别方法及装置
JP5650240B2 (ja) オフデバイス・サービスを用いた実行コードのランタイム・プロビジョニングのための技術
CN107239295B (zh) 一种软件升级的方法及软件升级装置
CN102708320B (zh) 一种病毒apk的识别方法及装置
US8745746B1 (en) Systems and methods for addressing security vulnerabilities on computing devices
CN105786538B (zh) 基于安卓系统的软件升级方法和装置
TWI396076B (zh) 無線終端機、無線終端機之非揮發性記憶體及診斷資訊之故障安全保存方法
CN106066686A (zh) 一种信息处理方法及终端设备
CN105302587A (zh) 数据更新方法及装置
CN106095458A (zh) 一种应用程序中插件的管理方法和装置
US20120204266A1 (en) Method for providing an anti-malware service
CN101959193A (zh) 一种信息安全检测方法及移动终端
KR20150044490A (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR20110124342A (ko) 모델을 사용하여 실행가능 프로그램을 조사하는 방법 및 장치
JP2003216447A (ja) サーバ装置、移動通信端末、情報送信システム及び情報送信方法
CN105530130A (zh) 一种空中下载技术的升级方法及装置
CN111316230B (zh) 一种补丁包生成方法及设备
CN106713608B (zh) 应用的功能状态修改方法、装置及终端
EP2998902B1 (en) Method and apparatus for processing file
CN101414332A (zh) 防病毒装置和方法
CN104715199A (zh) 一种病毒apk的识别方法及装置
US8959640B2 (en) Controlling anti-virus software updates
CN109145598B (zh) 脚本文件的病毒检测方法、装置、终端及存储介质
KR101211835B1 (ko) 이동 통신 기기를 위한 악성 프로그램 탐지 방법 및 장치
JP2013092907A (ja) 制御プログラム、クライアント装置、制御システムの制御方法及びクライアント装置の制御方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20151012

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20161004

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee