KR101345867B1 - 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법 - Google Patents

클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법 Download PDF

Info

Publication number
KR101345867B1
KR101345867B1 KR1020130032766A KR20130032766A KR101345867B1 KR 101345867 B1 KR101345867 B1 KR 101345867B1 KR 1020130032766 A KR1020130032766 A KR 1020130032766A KR 20130032766 A KR20130032766 A KR 20130032766A KR 101345867 B1 KR101345867 B1 KR 101345867B1
Authority
KR
South Korea
Prior art keywords
file
malicious
module
cloud storage
signature
Prior art date
Application number
KR1020130032766A
Other languages
English (en)
Inventor
민승욱
유성민
정우탁
류재철
Original Assignee
충남대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 충남대학교산학협력단 filed Critical 충남대학교산학협력단
Priority to KR1020130032766A priority Critical patent/KR101345867B1/ko
Application granted granted Critical
Publication of KR101345867B1 publication Critical patent/KR101345867B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/563Static detection by source code analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/78Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • G06F8/61Installation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명은 사용자가 클라우드 서버에 자신의 파일을 업로드하고 다양한 기기를 통해 자신의 계정으로 접속하여 관련 서비스를 이용 시, 클로스 플랫폼 형태의 악성코드에 감염된 악성파일을 탐지할 수 있는 시스템 및 방법에 관한 것으로, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템은 모바일의 앱 설치 이벤트를 감지하고, 외장메모리의 파일 변조 내역을 감지하여 의심 파일을 외부로 전송하는 이벤트모니터링 모듈 및 상기 이벤트모니터링 모듈에서 수신된 의심파일의 소스코드를 분석하여, 악성파일 여부를 판단하는 악성파일 탐지모듈을 포함하는 것을 기술적 특징으로 한다.

Description

클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법{Malignant file detecting system and the method for cloud storage}
본 발명은 클라우드 스토리지에서의 악성파일 탐지 기술에 관한 것으로, 더 상세하게는 사용자가 클라우드 서버에 자신의 파일을 업로드하고 다양한 기기를 통해 자신의 계정으로 접속하여 관련 서비스를 이용 시, 클로스 플랫폼 형태의 악성코드에 감염된 악성파일을 탐지할 수 있는 시스템 및 방법에 관한 것이다.
일반적으로 클라우드 컴퓨팅(Cloud Computing)이란 [도 5]에 도시된 바와 같이, 인터넷 상의 서버를 통해 데이터를 저장, 네트워크, 콘텐츠 사용 등 IT 관련 서비스를 한 번에 사용할 수 있는 컴퓨팅 환경을 의미한다.
이러한 클라우드 컴퓨팅은 기존 컴퓨팅 시스템을 대체할 수 있는 개념으로, 비용 절감의 효과와 효율성의 증대로 널리 사용되고 있다. 그 중 일반 사용자들에게 널리 알려진 개념으로는 클라우드 스토리지가 존재한다.
클라우드 스토리지는 사용자가 클라우드 서버에 자신의 파일을 업로드하고, 다양한 기기를 통해 자신의 계정으로 로그인하여 업로드된 파일을 이용할 수 있는 서비스이며, 대표적인 클라우드 스토리지 서비스로는 국외의 'Dropbox'와 'Google Drive'가 존재하며, 국내에도 이와 유사한 스토리지 서비스인 ㈜NHN의 'N-드라이브', 다음의 '다음 클라우드', SKT의 'T bag', KT의 'uCloud', LG U+의 'U+ box' 등이 존재한다. 이들은 모두 개인 계정을 통해 서비스에 접속하며, 서비스 접속 후 파일을 자유롭게 업로드 혹은 다운로드를 할 수 있게 된다.
하지만 이런 편리성을 가지는 클라우드 스토리지 서비스는 구조적인 문제로 인해 악성코드 감염 가능성이 존재한다. 초기에 클라우드 컴퓨팅 아이디어가 제시되었던 시기에는 클라우드 서버의 구성 시 가장 중요한 개념으로 '가상화'를 언급했다.
가상화는 컴퓨터의 리소스의 물적인 특징을 추상화 하여, 사용자에게는 논리적인 리소스를 제공하고 이를 통해 다양한 기술적/관리적 이점들을 제공하는 기술을 의미한다. 하지만 현재 서비스되고 있는 대다수의 클라우드 스토리지 시스템의 경우 완벽한 형태의 가상화 서비스를 제공하고 있지 않고, 대다수의 서비스가 [도 6]과 같은 형태로 동작하여 악성코드 감염 가능성이 존재하게 된다.
또한, 현재 서비스되고 있는 대다수의 클라우드 스토리지의 경우, 각 기기(스마트 기기, 일반 PC 등)마다 로컬상의 공유폴더를 생성하게 된다. 이 공유폴더에 파일의 변동이 생기거나 혹은 클라우드 스토리지 서비스를 제공하는 서버에 파일의 변동이 생기면 이를 업데이트 하는 방식이다. 이러한 방식을 택하는 경우 대한민국 등록특허 공보 제10-1157374호(2012. 06. 12)에 기재가 된 바와 같이, 악성코드가 업로드되는 경우에도 일반파일과 같은 방식으로 분류되어 배포가 가능하게 된다. 이러한 구조를 통해 [도 7]에 도시된 바와 같이, 악성코드가 확산될 수 있다.
즉, 모바일 단말기(7)를 이용하여 PC 환경(혹은 모바일 환경)에서 동작 가능한 취약점을 내포한 PDF, JPG 파일을 클라우드 스토리지에 업로드 시, 업로드 된 파일은 클라우드 서버를 거쳐 동일한 계정으로 접속이 인가된 다양한 스마트 기기(5)에 해당 파일을 푸쉬(Push)하여 업데이트를 시킨다.
이 과정에서 크게 두 가지 문제가 발생하는데, 첫 번째는 클라우드 서버 자체를 대상으로 악성코드 감염이 가능한 점과 두 번째로 사용자의 동일 계정으로 접속된 다양한 기기를 대상으로 악성코드 감염이 가능한 문제점이다.
클라우드 서버가 악성코드에 감염된 경우에는 클라우드 스토리지의 정상적인 서비스가 불가능해지게 되며, 사용자의 타 기기에 감염되는 경우 사용자 정보의 유출과 같은 문제점이 발생하게 되어 이러한 클라우드 스토리지 서비스에서의 크로스 플랫폼 형태의 악성코드 감염에 대비할 필요성이 있다.
대한민국 등록특허 공보 10-1157374B1, 2012. 06. 22, 5쪽 내지 6쪽.
본 발명은 상기와 같은 종래의 문제점을 해결하기 위하여 제안된 것으로, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템의 목적은, 모바일 기기로부터 감지된 의심파일을 분석하여, 악성파일 여부를 탐지하여, 크로스플랫폼 형태의 악성코드가 클라우드 서버에 업로드 되는 것을 방지할 수 있는 시스템을 제공하는데 있다.
다른 목적은, 이벤트모니터링 모듈을 포함하여, 앱 설치 이벤트를 감지하고, 외장메모리 내부의 파일 변동 내역을 검사하여 의심파일을 감지하는데 있다.
또 다른 목적은, 악성파일 삭제모듈을 더 포함하여, 악성파일 정보를 사용자에게 제공하고, 악성파일을 자동 삭제 또는 삭제여부를 확인하는데 있다.
또 다른 목적은, 악성파일 탐지모듈을 포함하여, 의심파일의 소스코드 분석으로 악성파일 여부를 확인하고, 악성파일의 시그니처를 생성하는데 있다.
또 다른 목적은, 시그니처 데이터베이스를 더 포함하여, PC 환경에 존재하는 악성코드를 시그니처로 관리하고, 새로운 악성파일 시그니처를 업데이트하는데 있다.
또 다른 목적은, 시그니처 검사모듈을 더 포함하여, 모바일 기기에서 클라우드 서버에 파일을 업로드 시, 시그니처 기반으로 악성파일 여부를 검사하는데 있다.
본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법의 목적은, 모바일 기기의 앱 설치 시, 외장메모리에서 의심파일이 감지되면 악성파일인지 여부를 판단할 수 있는 방법을 제공하는데 있다.
다른 목적은, 외장메모리의 파일 변동 내역을 검사하여, 실행파일이 존재하는 경우, 다른 곳으로 이동시키는데 있다.
또 다른 목적은, 의심파일의 소스코드 분석으로 악성파일인지 여부를 판단하고, 악성파일의 시그니처를 생성 후, 업데이트하는데 있다.
또 다른 목적은, 모바일 기기에서 클라우스 서버에 파일 업로드를 시도하면 시그니처를 기반으로 악성파일인지 여부를 확인하는데 있다.
본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템은 모바일의 앱 설치 이벤트를 감지하고, 외장메모리의 파일 변조 내역을 감지하여 의심 파일을 외부로 전송하는 이벤트모니터링 모듈 및 상기 이벤트모니터링 모듈에서 수신된 의심파일의 소스코드를 분석하여, 악성파일 여부를 판단하는 악성파일 탐지모듈을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템에 있어서, 이벤트모니터링 모듈은 앱 설치 이벤트를 감지하고 외장메모리에 접근하는지 여부를 검사하는 이벤트 감지모듈 및 외장메모리 내부의 파일 변조 내역을 검사하여, 실행파일로 존재하는 의심파일을 다른 위치로 이동시키는 파일변조 감지모듈을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템에 있어서, 이벤트모니터링 모듈은 상기 파일변조 감지모듈과 연결되어, 악성파일 정보를 제공 후, 자동 삭제하거나 삭제여부를 확인하는 악성파일 삭제모듈을 더 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템에 있어서, 악성파일 탐지모듈은 상기 이벤트모니터링 모듈에서 전송된 의심파일을 수신하는 의심파일 수신모듈 및 상기 의심파일의 소스코드 분석으로 악성파일 여부를 판단하고, 악성파일로 판별 시, 시그니처를 생성하는 정적파일 분석모듈을 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템은 정적파일 분석모듈과 연결되어, 상기 정적파일 분석모듈에서 생성된 시그니처를 업데이트 저장하는 시그니처 데이터베이스를 더 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템은 이벤트모니터링 모듈이 내장된 모바일 기기에서 클라우드 서버에 파일을 업로드 시, 시그니처 기반으로 악성코드 여부를 판단하는 시그니처 검사모듈을 더 포함하는 것을 특징으로 한다.
본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법은 (a) 모바일 기기의 이벤트모니터링 모듈을 이용하여, 앱 설치에 따른 이벤트를 감지하는 단계, (b) 이벤트모니터링 모듈을 이용하여, 외장메모리의 의심파일을 감지하는 단계 및 (c) 악성파일 탐지모듈을 이용하여, 의심파일의 소스코드를 분석하여, 악성파일인지 여부를 판단하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법에 있어서, (a) 단계는 (a-1) 앱 설치 시, 외장메모리의 접근을 감지하는 단계 및 (a-2) 설치 파일 내부에 실행파일이 존재하는지 여부를 검사하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법에 있어서, (b) 단계는 (b-1) 파일변조 감지모듈을 이용하여, 외장메모리의 파일 변동 내역을 검사하는 단계 및 (b-2) 파일 변동 내역에 실행파일이 있는 경우, 다른 위치로 이동시키고, 의심파일을 상기 악성파일 탐지모듈에 전송하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법에 있어서, (c) 단계는 (c-1) 정적파일 분석모듈을 이용하여, 의심파일의 소스 코드를 분석하는 단계, (c-2) 소스 코드 분석 결과에 따라 악성파일인지 여부를 판단하는 단계 및(c-3) 악성파일의 시그니처를 생성하고, 생성된 시그니처를 시그니처 데이터베이스에 전달하여 업데이트하는 단계를 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법은 (c) 단계 이후에 (d) 악성파일 정보를 상기 스마트기기에 제공하고, 자동 삭제하거나 삭제여부를 확인하는 단계를 더 포함하는 것을 특징으로 한다.
또한, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법은 (d) 단계 이후에 (e) 모바일 기기에 저장된 파일을 클라우드 서버에 전송하는 단계 및 (f) 시그니처 검사모듈을 이용하여, 전송파일의 악성파일 여부를 판단하는 단계를 수행하고, (g) 상기 (f) 단계에서 악성파일로 판단될 경우, 상기 모바일 기기에 악성파일 정보를 제공하고 삭제하는 단계를 수행하고, (h) 상기 (f) 단계에서 악성파일이 아닌 것으로 판단될 경우, 상기 클라우드 서버에 전송파일을 업로드하는 단계를 수행하는 것을 특징으로 한다.
이상에서 설명한 바와 같이, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템은 모바일 기기로부터 감지된 의심파일을 분석하여, 악성파일 여부를 탐지함으로써, 크로스플랫폼 형태의 악성코드가 클라우드 서버에 업로드 되는 것을 방지할 수 있으며, 나아가 악성코드가 모바일 기기를 비롯한 서버 및 개인PC로 감염 확산되는 것을 방지하여, 클라우드 스토리지 서비스를 안정적으로 제공할 수 있는 효과가 있다.
또한, 모바일 앱 설치 이벤트를 감지하고, 외장메모리 접근 및 외장메모리 내부의 파일 변동 내역을 검사하여 의심파일을 감지할 수 있는 효과가 있다.
또한, 악성파일에 관한 정보를 사용자에게 제공하고, 악성파일을 자동 삭제 또는 삭제여부를 확인하여, 모바일 기기의 악성파일을 신속하게 제거할 수 있는 효과가 있다.
또한, 의심파일의 소스코드 분석으로 악성파일 여부를 정확하게 확인하고, 악성파일의 시그니처를 생성하여, 관리할 수 있는 효과가 있다.
또한, PC 환경에 존재하는 악성코드를 시그니처로 관리하고, 새로운 악성파일 시그니처를 업데이트하여, 모바일 기기에서 클라우드 서버에 파일을 업로드 시, 시그니처 기반의 악성코드 판별이 가능하도록 하는 효과가 있다.
본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법은, 모바일 기기의 앱 설치 시, 외장메모리에서 의심파일이 감지되면 악성파일인지 여부를 판단할 수 있는 방법을 제공하여, 모바일 기기의 악성코드 감염을 방지하고, 크로스플랫폼 형태의 악성파일 확산을 방지할 수 있는 효과가 있다.
또한, 외장메모리의 파일 변동 내역을 검사하여, 실행파일이 존재하는 경우, 다른 곳으로 이동시켜, 외장메모리 내부의 악성코드 실행을 방지할 수 있는 효과가 있다.
또한, 의심파일의 소스코드 분석으로 악성파일인지 여부를 판단하고, 악성파일의 시그니처를 생성 후, 업데이트하여, 악성코드 정보를 체계적으로 관리할 수 있는 효과가 있다.
또한, 모바일 기기에서 클라우스 서버에 파일 업로드를 시도하면 시그니처를 기반으로 악성파일인지 여부를 확인하여, 악성파일이 클라우드 서버에 업로드되는 것을 방지할 수 있는 효과가 있다.
도 1은 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템의 전체 구성을 나타내는 구성도.
도 2는 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법의 전체 흐름을 나타내는 흐름도.
도 3은 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법에 있어서, S10 단계 내지 S20 단계의 상세 흐름을 나타내는 흐름도.
도 4는 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법에 있어서, S50 단계의 상세 흐름을 나타내는 흐름도.
도 5는 일반적인 클라우드 컴퓨팅의 개념을 나타내는 개념도.
도 6은 종래 클라우드 스토리지 시스템의 보안상 문제를 나타내는 도면.
도 7은 종래 클라우드 스토리지 구조의 취약점으로 발생되는 문제를 나타내는 도면.
이하, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법을 실시하기 위한 구체적인 내용을 설명하면 다음과 같다.
[도 1]은 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템의 구성을 나타내는 도면으로, 이벤트모니터링 모듈(10), 악성파일 탐지모듈(20), 시그니처 데이터베이스(30) 및 시그니처 검사모듈(40)을 포함한다.
상기 이벤트모니터링 모듈(10)은 모바일 기기(3)의 앱(어플리케이션, application) 설치 이벤트를 감지하고, 외장메모리의 파일 변조 내역을 감지하여 의심 파일을 외부로 전송하는 역할을 하며, 본 발명에 따른 상기 이벤트모니터링 모듈(10)은 이벤트 감지모듈(11), 파일변조 감지모듈(12) 및 악성파일 삭제모듈(13)을 포함한다.
상기 이벤트 감지모듈(11)은 앱 설치 이벤트를 감지하고 외장메모리에 접근하는지 여부를 검사하는 역할을 하며, 설치파일 내부에 실행파일이 존재하는지 여부를 검사하는 역할을 한다.
즉, 정상적인 앱의 경우, 사용자의 동의 없이 외장메모리(SD 카드)에 파일 복사를 시도하지 않으므로, 외장메모리 접근 여부를 검사하는 것이다.
상기 파일변조 감지모듈(12)은 외장메모리 내부에 존재하는 파일의 변동 내역을 검사하고, 파일 변동 내역에 파일 확장자를 확인하여, 실행파일(exe, sh등)이 존재하는 경우, 이를 의심파일로 감지하여, 다른 위치로 이동시키고, 상기 악성파일 탐지모듈로 전송하는 역할을 한다.
상기 악성파일 삭제모듈(13)은 상기 파일변조 감지모듈(12)과 연결되어, 악성파일 정보를 제공 후, 삭제여부를 확인하거나 악성파일로 확정된 경우, 자동 삭제 처리하는 역할을 한다.
상기 악성파일 탐지모듈(20)은 상기 이벤트모니터링 모듈(10)에서 수신된 의심파일의 소스코드를 분석하여, 악성파일 여부를 판단하는 역할을 하며, 본 발명에 따른 상기 악성파일 탐지모듈(20)은 의심파일 수신모듈(21)과 정적파일 분석모듈(22)을 포함한다.
상기 의심파일 수신모듈(21)은 상기 이벤트모니터링 모듈(10)에서 전송된 의심파일을 수신하며, 상기 정적파일 분석모듈(22)은 상기 의심파일의 소스코드 분석으로 악성파일 여부를 판단하고, 악성파일로 판별 시, 시그니처를 생성하는 역할을 한다.
상기 시그니처 데이터베이스(30)는 기존의 PC환경에 존재하는 악성코드 시그니처를 데이터베이스로 구성하고 있으며, 상기 정적파일 분석모듈(22)과 연결되어, 상기 정적파일 분석모듈(22)에서 생성된 시그니처를 업데이트 저장하는 역할을 한다.
상기 시그니처 검사모듈(40)은 상기 이벤트모니터링 모듈(10)이 내장된 모바일 기기(3)에서 클라우드 서버(50)에 업로드 파일을 전송 시, 상기 시그니처 데이터베이스(30)의 시그니처를 기반으로 악성코드 여부를 판단하는 역할을 한다.
즉, 본 발명에 따른 상기 시그니처 검사모듈(40)을 통해 상기 이벤트모니터링 모듈(10)에서 검지되지 않은 악성코드를 검증할 수 있으며, 이를 통해 크로스플랫폼 형태의 악성코드가 클라우드 서버(50)에 업로드되어 악성코드 감염이 확산되는 것을 최종적으로 방지할 수 있는 것이다.
이상에서 설명한 바와 같이, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템을 적용 시, 모바일 기기로부터 감지된 의심파일을 분석하여, 악성파일 여부를 탐지하여, 크로스플랫폼 형태의 악성코드가 클라우드 서버에 업로드 되는 것을 방지할 수 있는 효과가 있다.
나아가 악성코드가 모바일 기기를 비롯한 서버 및 개인PC로 감염 확산되는 것을 방지하여, 클라우드 스토리지 서비스를 안정적으로 제공할 수 있는 효과가 있다.
이러한 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 시스템의 악성파일 탐지 방법을 설명하면 다음과 같다.
[도 2]는 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법의 전체 흐름을 나타내는 도면으로, 모바일 기기의 상기 이벤트모니터링 모듈(10)을 이용하여, 앱 설치에 따른 이벤트를 감지하는 단계(S10)를 수행한다.
본 발명에 따른 상기 S10 단계는 [도 3]에 도시된 바와 같이, 외장메모리의 접근을 감지하는 단계(S11) 및 설치파일 내부에 실행파일 존재를 감지하는 하는 단계(S13)를 포함하는 것이 바람직하다.
다음으로 상기 이벤트모니터링 모듈(10)을 이용하여, 외장메모리의 의심파일을 감지하는 단계(S20)를 수행한다.
본 발명에 따른 상기 S20 단계는 [도 3]에 도시된 바와 같이, 상기 파일변조 감지모듈(12)을 이용하여, 외장메모리의 파일 변동 내역을 검사하는 단계(S21)를 수행하고, 상기 S21에서 파일 변동 내역에 실행파일이 있는 경우, 다른 위치로 이동시키고, 의심파일을 상기 악성파일 탐지모듈에 전송하는 단계(S23)를 수행한다.
다음으로, 상기 악성파일 탐지모듈(20)을 이용하여, 의심파일의 소스코드를 분석하는 단계(S25)를 수행한 후, 악성파일인지 여부를 판단하는 단계(S27)를 수행한다.
상기 S27단계에서 악성코드로 판별되지 않은 경우, 악성코드 미확인 정보를 상기 모바일 기기(3)에 제공하고, 상기 S27단계에서 악성코드로 판별될 경우, 악성파일의 시그니처를 생성하고, 생성된 시그니처를 시그니처 데이터베이스(30)에 전달하여 업데이트하는 단계(S29)를 수행한다.
다음으로, 상기 악성파일 탐지모듈(20)을 이용하여, 상기 악성파일 정보를 상기 모바일 기기에 제공하고, 자동 삭제하거나 삭제여부를 확인하는 단계(S30)를 수행한다.
이러한 본 발명에 따른 S10 단계 내지 S30 단계를 통해 모바일 기기(3)의 앱 설치에 따른 악성파일을 탐지하여, 삭제 처리할 수 있으며, 이를 통해 모바일 기기의 악성코드 감염을 방지할 수 있는 것이다.
다음으로, 모바일 기기에서 클라우드 서버(50)에 업로드 파일을 전송(S40)하면 시그니처 검사모듈(40)을 이용하여, 전송파일의 악성파일 여부를 판단하는 단계(S50)를 수행한다.
상기 S50 단계는 [도 4]에 도시된 바와 같이, 상기 시그니처 검사모듈(40)를 이용하여, 상기 시그니처 데이터베이스(30)에 저장된 악성코드를 검색하여, 일치하는지 여부를 확인(S51)하여, 악성파일인지 여부를 판단하는 단계(S53)를 수행한다.
상기 S53단계에서 악성파일로 판단될 경우, 상기 모바일 기기(3)에 악성파일 정보를 제공하고 삭제하는 단계(S55)를 수행하고, 상기 S53 단계에서 악성파일이 아닌 것으로 판단될 경우, 상기 클라우드 스토리지(50)에 전송파일을 업로드하는 단계(S60)를 수행한다.
이러한 S50 단계 내지 S60 단계를 통해 클라우드 서버에 파일을 업로드하기 전에 최종적으로 악성파일인지 여부를 확인할 수 있으며, 이를 통해 클라우드 서버의 악성코드 감염을 방지할 수 있는 것이다.
이상에서 설명한 바와 같이, 본 발명에 따른 클라우드 스토리지를 위한 악성파일 탐지 방법을 적용하면 모바일 기기 및 클라우드 서버가 크로스플랫폼 형태의 악성코드에 감염되는 것을 효과적으로 막을 수 있으며, 이를 통해 클라우드 스토리지를 통한 악성코드 확산을 방지할 수 있는 효과가 있다.
이상 본 발명의 실시예로 설명하였으나 본 발명의 기술적 사상이 상기 실시예로 한정되는 것은 아니며, 본 발명의 기술적 사상을 벗어나지 않는 범주에서 다양한 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법으로 구현할 수 있다.
3 : 모바일 기기
5 : 스마트 기기
10 : 이벤트모니터링 모듈
11 : 이벤트 감지모듈
12 : 파일변조 감지모듈
13 : 악성파일 삭제모듈
20 : 의심파일 탐지모듈
21 : 의심파일 수신모듈
22 : 정적파일 분석모듈
30 : 시그니처 데이터베이스
40 : 시그니처 검사모듈
50 : 클라우드 서버

Claims (13)

  1. 모바일 기기의 앱 설치 이벤트를 감지하고, 외장메모리의 파일 변조 내역을 감지하여 의심 파일을 외부로 전송하는 이벤트모니터링 모듈 및
    상기 이벤트모니터링 모듈에서 수신된 의심파일의 소스코드를 분석하여, 악성파일 여부를 판단하는 악성파일 탐지모듈을 포함하며,
    상기 악성파일 탐지모듈은,
    상기 이벤트모니터링 모듈에서 전송된 의심파일을 수신하는 의심파일 수신모듈 및
    상기 의심파일의 소스코드 분석으로 악성파일 여부를 판단하고, 악성파일로 판별 시, 시그니처를 생성하는 정적파일 분석모듈을 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 시스템.
  2. 제1항에 있어서,
    상기 이벤트모니터링 모듈은,
    앱 설치 이벤트를 감지하고 외장메모리에 접근하는지 여부를 검사하는 이벤트 감지모듈 및
    외장메모리 내부의 파일 변동 내역을 검사하여, 파일 변동 내역 중에서 실행파일로 존재하는 의심파일을 다른 위치로 이동시키는 파일변조 감지모듈을 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 시스템.
  3. 제2항에 있어서,
    상기 이벤트모니터링 모듈은,
    상기 파일변조 감지모듈과 연결되어, 악성파일 정보를 제공 후, 자동 삭제하거나 삭제여부를 확인하는 악성파일 삭제모듈을 더 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 시스템.
  4. 삭제
  5. 제1항에 있어서,
    상기 정적파일 분석모듈과 연결되어, 상기 정적파일 분석모듈에서 생성된 시그니처를 업데이트 저장하는 시그니처 데이터베이스를 더 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 시스템.
  6. 제1항에 있어서,
    상기 이벤트모니터링 모듈이 내장된 모바일 기기에서 클라우드 서버에 파일을 전송 시, 시그니처 기반으로 악성코드 여부를 판단하는 시그니처 검사모듈을 더 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 시스템.
  7. (a) 모바일 기기의 이벤트모니터링 모듈을 이용하여, 앱 설치에 따른 이벤트를 감지하는 단계;
    (b) 이벤트모니터링 모듈을 이용하여, 외장메모리의 의심파일을 감지하는 단계 및
    (c) 악성파일 탐지모듈을 이용하여, 의심파일의 소스코드를 분석하여, 악성파일인지 여부를 판단하는 단계를 포함하며,
    상기 (a) 단계는,
    (a-1) 앱 설치 시, 외장메모리의 접근을 감지하는 단계 및
    (a-2) 설치 파일 내부에 실행파일이 존재하는지 여부를 검사하는 단계를 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
  8. 삭제
  9. 제7항에 있어서,
    상기 (b) 단계는,
    (b-1) 파일변조 감지모듈을 이용하여, 외장메모리의 파일 변동 내역을 검사하는 단계 및
    (b-2) 파일 변동 내역에 실행파일이 있는 경우, 다른 위치로 이동시키고, 의심파일을 상기 악성파일 탐지모듈에 전송하는 단계를 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
  10. 제7항에 있어서,
    상기 (c) 단계는,
    (c-1) 정적파일 분석모듈을 이용하여, 의심파일의 소스 코드를 분석하는 단계;
    (c-2) 소스 코드 분석 결과에 따라 악성파일인지 여부를 판단하는 단계 및
    (c-3) 악성파일의 시그니처를 생성하고, 생성된 시그니처를 시그니처 데이터베이스에 전달하여 업데이트하는 단계를 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
  11. 제7항에 있어서,
    상기 (c) 단계 이후에
    (d) 악성파일 정보를 상기 모바일 기기에 제공하고, 자동 삭제하거나 삭제여부를 확인하는 단계를 더 포함하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
  12. 제11항에 있어서,
    상기 (d) 단계 이후에
    (e) 모바일 기기에 저장된 파일을 클라우드 스토리지에 전송하는 단계 및
    (f) 시그니처 검사모듈을 이용하여, 전송파일의 악성파일 여부를 판단하는 단계를 수행하고,
    (g) 상기 (f) 단계에서 악성파일로 판단될 경우, 상기 모바일 기기에 악성파일 정보를 제공하고 삭제하는 단계를 수행하고,
    (h) 상기 (f) 단계에서 악성파일이 아닌 것으로 판단될 경우, 상기 클라우드 스토리지에 전송파일을 업로드하는 단계를 수행하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
  13. 제12항에 있어서,
    상기 (f) 단계는,
    시그니처 데이터베이스에 저장된 시그니처 정보로 기존에 발견된 악성코드인지 여부를 판단하는 것을 특징으로 하는 클라우드 스토리지를 위한 악성파일 탐지 방법.
KR1020130032766A 2013-03-27 2013-03-27 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법 KR101345867B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130032766A KR101345867B1 (ko) 2013-03-27 2013-03-27 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130032766A KR101345867B1 (ko) 2013-03-27 2013-03-27 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법

Publications (1)

Publication Number Publication Date
KR101345867B1 true KR101345867B1 (ko) 2014-01-15

Family

ID=50144180

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130032766A KR101345867B1 (ko) 2013-03-27 2013-03-27 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법

Country Status (1)

Country Link
KR (1) KR101345867B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015125984A1 (ko) * 2014-02-18 2015-08-27 한양대학교에리카산학협력단 접근 관리 장치 및 관리 방법, 접근 관리 시스템
KR101673367B1 (ko) * 2015-07-22 2016-11-07 주식회사 엔에스에이치씨 경고 어플리케이션을 이용하여 메인 어플리케이션의 보안 위협 시도를 경고할 수 있는 모바일 단말기의 어플리케이션 보안 제공 방법
KR101748116B1 (ko) 2016-01-28 2017-07-24 주식회사 익스트러스 클라우드 모바일 환경에서의 스미싱 차단장치
CN107517226A (zh) * 2017-09-30 2017-12-26 北京奇虎科技有限公司 基于无线网络入侵的报警方法及装置

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968121B1 (ko) * 2008-09-01 2010-07-06 주식회사 안철수연구소 이동식 디스크를 통한 악성 프로그램 차단 방법 및 그 장치

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100968121B1 (ko) * 2008-09-01 2010-07-06 주식회사 안철수연구소 이동식 디스크를 통한 악성 프로그램 차단 방법 및 그 장치

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015125984A1 (ko) * 2014-02-18 2015-08-27 한양대학교에리카산학협력단 접근 관리 장치 및 관리 방법, 접근 관리 시스템
KR101673367B1 (ko) * 2015-07-22 2016-11-07 주식회사 엔에스에이치씨 경고 어플리케이션을 이용하여 메인 어플리케이션의 보안 위협 시도를 경고할 수 있는 모바일 단말기의 어플리케이션 보안 제공 방법
KR101748116B1 (ko) 2016-01-28 2017-07-24 주식회사 익스트러스 클라우드 모바일 환경에서의 스미싱 차단장치
CN107517226A (zh) * 2017-09-30 2017-12-26 北京奇虎科技有限公司 基于无线网络入侵的报警方法及装置
CN107517226B (zh) * 2017-09-30 2021-03-19 北京奇虎科技有限公司 基于无线网络入侵的报警方法及装置

Similar Documents

Publication Publication Date Title
US9223966B1 (en) Systems and methods for replicating computing system environments
US20190042744A1 (en) Ransomware attack onset detection
US20160364571A1 (en) Mechanism to augment ips/siem evidence information with process history snapshot and application window capture history
US10191917B2 (en) Virtual disk utility
US10853483B2 (en) Identification device, identification method, and identification program
US11706237B2 (en) Threat detection and security for edge devices
CN104769598B (zh) 用于检测非法应用程序的系统和方法
CN103793649A (zh) 通过云安全扫描文件的方法和装置
US11621974B2 (en) Managing supersedence of solutions for security issues among assets of an enterprise network
KR100968126B1 (ko) 웹쉘 탐지 시스템 및 웹쉘 탐지 방법
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
KR101345867B1 (ko) 클라우드 스토리지를 위한 악성파일 탐지 시스템 및 그 탐지 방법
KR20130134790A (ko) 어플리케이션 무결성 정보 저장 방법 및 시스템, 어플리케이션 무결성 검사 방법 및 시스템
US9954874B2 (en) Detection of mutated apps and usage thereof
US10970392B2 (en) Grouping application components for classification and malware detection
KR102318714B1 (ko) 바이너리 코드 클론 기반 소프트웨어 취약점 탐지를 위한 컴퓨터 프로그램
US20230015273A1 (en) Verification information revising device, verification information revising method, and verification information revising program
US8566942B2 (en) System, method, and computer program product for tracking the migration of objects to determine whether to perform a network based check
Kim et al. Detecting illegally-copied apps on android devices
Park et al. An enhanced security framework for reliable Android operating system
KR100977150B1 (ko) 웹 사이트 점검 방법 및 그 시스템
KR101642222B1 (ko) 안드로이드 운영체제에서의 스파이 애플리케이션 및 시스템 변조 탐지 방법
US11882123B2 (en) Kernel level application data protection
KR20100049514A (ko) 웹 사이트 점검 방법 및 그 시스템
KR20140112730A (ko) 모바일 보안 시스템

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20161125

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20171122

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20191202

Year of fee payment: 7