KR101386605B1 - Method for detecting malicious code by permission management - Google Patents

Method for detecting malicious code by permission management Download PDF

Info

Publication number
KR101386605B1
KR101386605B1 KR1020120117836A KR20120117836A KR101386605B1 KR 101386605 B1 KR101386605 B1 KR 101386605B1 KR 1020120117836 A KR1020120117836 A KR 1020120117836A KR 20120117836 A KR20120117836 A KR 20120117836A KR 101386605 B1 KR101386605 B1 KR 101386605B1
Authority
KR
South Korea
Prior art keywords
malicious code
android
application
signature
version
Prior art date
Application number
KR1020120117836A
Other languages
Korean (ko)
Inventor
곽진
김준섭
장유종
정수영
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020120117836A priority Critical patent/KR101386605B1/en
Application granted granted Critical
Publication of KR101386605B1 publication Critical patent/KR101386605B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities

Abstract

The present invention relates to a method for detecting a malicious code through permission management. The method consists of a malicious code analysis step through permission management and an Android antivirus application operation step. The malicious code analysis step through permission management includes: collecting a package name, a version code, a version name and permission from a collected AndroidManifest.xml file of an application; analyzing a malicious code in a dex file that is an executable file; creating malicious code detection signatures when the malicious code is analyzed; and classifying the malicious code detection signatures into signatures based on permission, such as SMS, Wi-Fi, and location information, according to specific behaviors of the malicious code. The Android antivirus application operation step includes: confirming the package name, the version code, and the version name; confirming permission; and detecting the malicious code using the signatures classified on the basis of permission. Thus, analysis costs can be reduced when detecting and blocking Android malicious codes. [Reference numerals] (1) Google play; (2) Black market; (3) Collecting server; (4) Malicious code analysis server; (5) Update server; (6) Andriod terminal; (AA) Collect applications; (BB) Transmit the applications; (CC) Transmit signatures; (DD) Update an antivirus program

Description

권한정보 관리를 통한 악성코드 탐지방법{METHOD FOR DETECTING MALICIOUS CODE BY PERMISSION MANAGEMENT}Malicious code detection method through rights information management {METHOD FOR DETECTING MALICIOUS CODE BY PERMISSION MANAGEMENT}

본 발명은 안드로이드 안티바이러스 어플리케이션에 관한 것으로, 더욱 상세하게는 악성 행위를 하기 위한 악성코드가 해당 목적에 따라 SMS, WIFI, CALL_PHONE 등의 악성 행위를 하기 위해서는 권한정보를 가지고 있어야 동작이 가능하다는 특징을 이용하여 악성코드를 효율적으로 탐지 및 치료하는 권한정보 관리를 통한 악성코드 탐지방법에 관한 것이다.
The present invention relates to an Android anti-virus application, and more particularly, the malicious code for performing malicious actions is required to have permission information in order to perform malicious actions such as SMS, WIFI, and CALL_PHONE according to the corresponding purpose. The present invention relates to a malicious code detection method through authority information management for efficiently detecting and treating malicious codes.

최근 국내·외 스마트폰 시장이 급성장함에 따라 스마트폰을 목표로 하는 악성 프로그램 또한 급격하게 증가하고 있다. 2009년 이후 모바일 악성코드의 숫자가 급격하게 증가하였으며, 2006년을 기준으로 스마트폰 기반의 악성코드는 약 500%가량 증가하였다. 이처럼 급격하게 증가하고 있는 스마트폰 악성코드는 직접적으로 금전적인 피해를 입히거나 스마트폰에 담겨 있는 개인정보를 유출함으로써 큰 피해를 발생시키고 있다.Recently, as the domestic and overseas smartphone market is rapidly growing, malicious programs targeting smartphones are also rapidly increasing. Since 2009, the number of mobile malware has increased dramatically. As of 2006, smartphone-based malware has increased by about 500%. This rapidly increasing number of smartphone malware is causing serious damage by directly causing financial damage or leaking personal information contained in smartphones.

전 세계 스마트폰 운영체제 점유율의 52.5%를 차지하고 있는 안드로이드는 2010년에 발견된 악성코드가 0.5%에 불과하였으나, 2011년에는 발견된 악성코드가 46.7%로 1년 사이 엄청나게 증가하였다. 현재, 안드로이드의 악성코드 발견 수 또한 급격하게 증가하고 있다. 이처럼 안드로이드 운영체제의 악성코드를 탐지하고 차단하기 위해 많은 안드로이드 안티바이러스 어플리케이션이 출시되고 있지만, 이러한 안티바이러스 어플리케이션들은 전체 시그니처를 분석하여 탐지하기 때문에 높은 분석 비용이 소요된다.
Android, which accounts for 52.5% of the global smartphone operating system market share, found only 0.5% of malicious code in 2010, but in 2011, the amount of malicious code found increased to 46.7%, a huge increase over the year. Currently, the number of malware detections on Android is also increasing rapidly. Many Android antivirus applications are released to detect and block malware of the Android operating system. However, these antivirus applications are expensive because they analyze and detect the entire signature.

대한민국 공개특허공보 제10-2011-0084693호(2011.07.26.)Republic of Korea Patent Publication No. 10-2011-0084693 (2011.07.26.)

따라서, 본 발명은 상기한 종래 기술의 문제점을 해결하기 위해 이루어진 것으로서, 본 발명의 목적은 권한정보 관리를 통한 악성코드 분석 단계와, 안드로이드 안티바이러스 어플리케이션 동작 단계로 구성되며, 권한정보 관리를 통한 악성코드 분석 단계에서는, 수집한 어플리케이션의 AndroidManifest 파일에서 패키지명, 버전코드, 버전이름, 권한정보를 수집하고 실행파일인 dex 파일에서 악성코드를 분석하는데 악성코드를 분석하게 되면 악성코드 탐지 시그니처를 생성하고 악성코드의 특정 행위에 따라 SMS, WIFI, 위치정보 등의 권한정보에 따른 각각의 시그니처로 분류하고, 안드로이드 안티바이러스 어플리케이션 동작 단계에서는, 패키지명, 버전코드, 버전이름을 확인하고 권한정보를 확인하여 그에 따라 분류된 시그니처를 비교하여 악성코드를 탐지할 수 있는 권한정보 관리를 통한 악성코드 탐지방법을 제공하는데 있다.
Therefore, the present invention has been made to solve the above problems of the prior art, the object of the present invention consists of a malicious code analysis step through the rights information management, Android anti-virus application operation step, malicious through the rights information management In the code analysis step, the package name, version code, version name, and authority information are collected from the collected application's AndroidManifest file, and the malware is analyzed in the dex file, which is an executable file. According to the specific behavior of the malware, it is classified into each signature according to the authority information such as SMS, WIFI, location information, etc.In the operation stage of the Android antivirus application, the package name, version code, version name is checked and the authority information is By comparing the classified signatures accordingly, It can avoid malware is to provide a method of detection by the authority information management.

상기와 같은 목적을 달성하기 위한 본 발명의 권한정보 관리를 통한 악성코드 탐지방법은, 악성코드를 분석하여 악성코드 탐지 시그니처를 생성하고, 특정 행위의 권한정보에 따른 각각의 시그니처로 분류하는 권한정보 관리를 통한 악성코드 분석 단계; 및 탐지 및 차단하고자 하는 어플리케이션의 권한정보를 확인하여 그에 따라 분류된 시그니처를 비교하여 안드로이드 안티바이러스를 탐지 및 차단하여 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션을 제공하는 안드로이드 안티바이러스 어플리케이션 동작 단계를 포함하는 것을 특징으로 한다.In order to achieve the above object, the malicious code detection method through the authority information management of the present invention analyzes the malicious code, generates a malware detection signature, and classifies the authority information into respective signatures according to the authority information of a specific action. Malware analysis through management; And checking the permission information of the application to be detected and blocked, comparing the classified signatures accordingly, and detecting and blocking the Android antivirus to provide an Android antivirus application through the rights information management. It is characterized by.

상기 권한정보 관리를 통한 악성코드 분석 단계는, 수집한 어플리케이션의 Android Manifest 파일에서 패키지명, 버전코드, 버전이름, 권한정보와 실행파일인 dex 파일을 수집하는 단계; 및 상기 dex 파일에서 악성코드 분석에 따라 악성코드를 분석하게 되면, 그에 따른 상기 악성코드 탐지 시그니처를 생성하여 해당 특정 행위의 권한정보에 따른 각각의 시그니처로 분류하는 단계를 포함한다.The malicious code analysis step of managing the rights information may include collecting a package name, a version code, a version name, rights information, and an executable file dex file from the Android Manifest file of the collected application; And analyzing the malicious code according to the malware analysis in the dex file, generating the malware detection signature according to the malware, and classifying the signature into respective signatures according to authority information of the specific action.

상기 안드로이드 안티바이러스 어플리케이션 동작 단계는, 검사하고자 하는 파일이 안드로이드 어플리케이션인지 아닌지를 판별하는 단계; 안드로이드 어플리케이션인 경우 기존에 수집된 패키지명, 버전코드, 버전이름을 확인하는 단계; 기존에 수집된 권한정보와 검사하고자 하는 안드로이드 어플리케이션의 권한정보를 비교하는 단계; 권한정보가 확인되면 해당 권한정보에 따른 시그니처들을 각각 비교하여 악성코드를 탐지하는 단계; 및 각 시그니처에서 악성코드가 탐지되면, 탐지한 결과를 안드로이드 단말로 통보하여 악성코드를 차단하는 단계를 포함한다.The Android antivirus application operation step may include determining whether a file to be examined is an Android application or not; Checking the package name, version code, version name collected in the case of an Android application; Comparing the authority information collected with the authority information of the Android application to be examined; Detecting the malicious code by comparing signatures according to the authority information when the authority information is confirmed; And when the malicious code is detected in each signature, and notifying the detection result to the Android terminal comprises the step of blocking the malicious code.

이때, 상기 안드로이드 어플리케이션이 아니거나, 상기 권한정보가 확인되지 않으면, 전체 시그니처를 비교하여 악성코드를 탐지한다.
At this time, if the Android application or the authorization information is not confirmed, the entire signature is compared to detect malicious code.

상술한 바와 같이, 본 발명에 의한 권한정보 관리를 통한 악성코드 탐지방법에 따르면, 기존의 안드로이드 안티바이러스 어플리케이션들은 악성코드를 탐지 및 차단하기 위해서 전체 시그니처를 비교하여 탐지 및 차단하기 때문에 분석 비용이 높지만, 본 발명의 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션은 악성코드를 탐지 및 차단하기 위해서 권한정보에 따라 분류된 악성코드 시그니처들과 각각 비교하여 탐지 및 차단하기 때문에 분석 비용 및 분석 시간을 감소시킬 수 있는 장점이 있다.
As described above, according to the malicious code detection method through the rights information management according to the present invention, the existing Android anti-virus applications compared to the entire signature to detect and block the malicious code because the analysis cost is high, but In addition, the Android anti-virus application through the authorization information management of the present invention can reduce the analysis cost and analysis time because it detects and blocks each of the malware signatures classified according to the authorization information in order to detect and block malicious codes. There is an advantage.

도 1은 본 발명의 일 실시예에 의한 안드로이드 안티바이러스 수집 및 분석 구성도이다.
도 2는 본 발명의 일 실시예에 의한 권한정보 관리를 통한 악성코드 분석 흐름도이다.
도 3은 본 발명의 일 실시예에 의한 안드로이드 안티바이러스 어플리케이션 동작 절차도이다.1 is a block diagram of the Android anti-virus collection and analysis according to an embodiment of the present invention.
2 is a flowchart for analyzing malware through authority information management according to an embodiment of the present invention.
3 is a flowchart illustrating an operation of an android antivirus application according to an embodiment of the present invention.

이하, 본 발명의 권한정보 관리를 통한 악성코드 탐지방법에 대하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
Hereinafter, a method for detecting malicious code through authority information management of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 의한 안드로이드 안티바이러스 수집 및 분석 구성도이다.1 is a block diagram of the Android anti-virus collection and analysis according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 시스템은, 구글 플레이(1)나 블랙 마켓(2)에서 어플리케이션을 수집하는 수집서버(3)와, Referring to Figure 1, the system of the present invention, the collection server (3) for collecting the application in the Google Play (1) or Black Market (2),

수집한 어플리케이션에서 악성코드를 분석하게 되면 악성코드 탐지 시그니처를 생성하여 해당 특정 행위에 따라 SMS, WIFI, 위치정보 등의 권한정보에 따른 각각의 시그니처로 분류하는 악성코드 분석서버(4)와, When the malware is analyzed in the collected application, the malware analysis server 4 generates a malware detection signature and classifies the signature into respective signatures according to authority information such as SMS, WIFI, and location information according to a specific action;

안드로이드 안티바이러스 어플리케이션을 설치하고 있는 안드로이드 단말(6)에 대해 안티바이러스 정보를 업데이트하는 업데이트 서버(5)를 포함한다.
It includes an update server (5) for updating the antivirus information for the Android terminal (6) that is installing the Android anti-virus application.

이와 같이 구성된 시스템을 이용한 본 발명의 권한정보 관리를 통한 악성코드 탐지방법은 크게, 권한정보 관리를 통한 악성코드 분석 단계와, 안드로이드 안티바이러스 어플리케이션 동작 단계로 진행된다. 권한정보 관리를 통한 악성코드 분석 단계에서는 악성코드를 분석하여 악성코드 탐지 시그니처를 생성하고, 특정 행위의 권한정보에 따른 각각의 시그니처로 분류하며, 안드로이드 안티바이러스 어플리케이션 동작 단계에서는 탐지 및 차단하고자 하는 어플리케이션의 권한정보를 확인하여 그에 따라 분류된 시그니처를 비교하여 안드로이드 안티바이러스를 탐지 및 차단하여 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션을 제공한다.Malware detection method through the rights information management of the present invention using the system configured as described above is largely proceeds to the malware analysis step through the rights information management, Android anti-virus application operation step. In the malicious code analysis phase through the rights information management, malicious codes are analyzed to generate malware detection signatures, classified into signatures based on the privilege information of a specific action, and the application to be detected and blocked in the Android antivirus application operation phase. It checks the authority information of and compares the classified signatures accordingly, and detects and blocks Android antivirus and provides Android antivirus application through authority information management.

이와 같이, 본 발명에서는 기존의 안드로이드 어플리케이션과는 달리 권한정보 관리를 통한 안드로이드 안티바이러스를 이용하여 안드로이드 악성코드를 탐지 및 차단하므로 안드로이드 단말(6)의 한정된 자원에 대한 분석 비용을 감소시킬 수 있다.
As described above, in the present invention, unlike the existing Android application, it is possible to reduce the analysis cost for the limited resource of the Android terminal 6 by detecting and blocking the Android malware using the Android antivirus through the rights information management.

그러면, 여기서 상기와 같이 구성된 시스템을 이용한 권한정보 관리를 통한 악성코드 탐지방법에 대해 설명하기로 한다.
Then, the malicious code detection method through the authority information management using the system configured as described above will be described.

도 2는 본 발명의 일 실시예에 의한 권한정보 관리를 통한 악성코드 분석 흐름도이다.2 is a flowchart for analyzing malware through authority information management according to an embodiment of the present invention.

도 2를 참조하면, 악성코드 분석서버(4)에서는 수집한 어플리케이션을 분석하게 되는데, 안드로이드 어플리케이션인 apk 파일에는 일반적으로 권한 명시를 위한 AndroidManifest.xml 파일과 실제적인 실행 파일인 dex 파일, 그 외의 리소스 파일 등으로 구성되어 있다. 그 중 AndroidManifest.xml 파일 안에는 패키지명, 버전코드, 버전이름, Android SDK 최소 버전, 어플리케이션 라벨, 권한정보 등이 들어 있다. 이에 따라 악성코드 분석서버(4)에서는 수집된 어플리케이션의 AndroidManifest.xml 파일에서 패키지명, 버전코드, 버전이름, 권한정보를 수집하고, 실행 파일인 dex 파일에서 악성코드를 분석하는데 악성코드를 분석하게 되면 그에 따른 악성코드 탐지 시그니처를 생성한다. 그리고 생성된 악성코드 탐지 시그니처들은 해당 특정 행위에 따라 SMS, WIFI, 위치정보, 웹 URL 연결 등의 권한정보에 따른 각각의 시그니처로 분류한다.
Referring to FIG. 2, the malware analysis server 4 analyzes the collected application. The apk file, which is an Android application, generally includes an AndroidManifest.xml file for specifying permissions and a dex file, which is an actual executable file, and other resources. It consists of a file. Among them, AndroidManifest.xml file contains package name, version code, version name, Android SDK minimum version, application label, and authorization information. Accordingly, the malware analysis server 4 collects the package name, version code, version name, and authority information from the collected application's AndroidManifest.xml file, and analyzes the malware in analyzing the malware in the dex file, which is an executable file. If so, it generates a malware detection signature accordingly. The generated malware detection signatures are classified into signatures based on the authority information such as SMS, WIFI, location information, and web URL connection according to the specific action.

도 3은 본 발명의 일 실시예에 의한 안드로이드 안티바이러스 어플리케이션 동작 절차도이다.3 is a flowchart illustrating an operation of an android antivirus application according to an embodiment of the present invention.

도 3을 참조하면, 안티바이러스 어플리케이션을 실행하여(S1) 안티바이러스 탐지 및 차단을 실행하게 되는데, 먼저 검사하고자 하는 파일이 어플리케이션인지 아닌지를 판별한다(S2). 만약 안드로이드 어플리케이션 파일이 아닌 경우 전체 시그니처를 비교하여(S3) 악성코드를 탐지한다(S4).Referring to FIG. 3, an antivirus application is executed (S1) to execute an antivirus detection and blocking. First, it is determined whether a file to be scanned is an application (S2). If the Android application file is not compared to the entire signature (S3) to detect malware (S4).

안드로이드 어플리케이션인 경우에는 기존에 수집된 패키지명, 버전코드, 버전이름이 변경되었는지를 확인한다(S5).In the case of the Android application, check whether the collected package name, version code, and version name have been changed (S5).

그리고 기존에 수집된 권한정보와 검사하고자 하는 안드로이드 어플리케이션의 권한정보를 비교한다(S6). 만약 안드로이드 어플리케이션의 권한정보가 없을 시에는 전체 시그니처를 비교하여 악성코드를 탐지한다(S7 → S3).And compares the authority information collected and the authority information of the Android application to check (S6). If there is no authorization information of the Android application, the malware is detected by comparing the entire signature (S7 → S3).

권한정보가 확인되면 해당 권한정보에 따른 시그니처들(SMS 시그니처, WIFI 시그니처, 위치정보 시그니처, 웹 URL 연결 시그니처 등)을 각각 비교하여 악성코드를 탐지한다(S8).When the authorization information is confirmed, malicious codes are detected by comparing signatures (SMS signature, WIFI signature, location information signature, web URL connection signature, etc.) according to the authorization information (S8).

전체 시그니처, SMS 시그니처, WIFI 시그니처, 위치정보 시그니처, 웹 URL 연결 시그니처 등에서 악성코드가 탐지되지 않으면, 다시 검사할 다른 파일을 찾아 해당 파일이 어플리케이션인지 아닌지를 검사하게 된다(S9 → S2).If malware is not detected in the entire signature, SMS signature, WIFI signature, location information signature, web URL connection signature, etc., another file to be scanned is searched again to check whether the file is an application or not (S9 → S2).

전체 시그니처, SMS 시그니처, WIFI 시그니처, 위치정보 시그니처, 웹 URL 연결 시그니처 등에서 악성코드가 탐지되면 탐지 결과를 안드로이드 단말(6)로 통보한다(S10).When malware is detected in the entire signature, SMS signature, WIFI signature, location information signature, web URL connection signature, etc., the detection result is notified to the Android terminal 6 (S10).

그리고 나서 검사할 다른 파일이 있다면 해당 파일이 어플리케이션인지 아닌지를 검사하는 단계 S2로 진행한다. 만약, 검사할 다른 파일이 없다면 탐지한 결과를 안드로이드 단말(6)로 통보하고, 안티바이러스 업데이트를 수행한다(S10).
Then, if there is another file to be checked, the process proceeds to step S2 of checking whether the file is an application or not. If there is no other file to be scanned, the detected result is notified to the Android terminal 6 and an antivirus update is performed (S10).

본 발명은 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션을 이용하게 되면 안드로이드 악성코드를 탐지 및 차단할 때 분석 비용을 감소시킬 수 있는 효과를 갖는다.
The present invention has the effect of reducing the analysis cost when using the Android anti-virus application through the rights information management to detect and block Android malware.

이상에서 몇 가지 실시예를 들어 본 발명을 더욱 상세하게 설명하였으나, 본 발명은 반드시 이러한 실시예로 국한되는 것이 아니고 본 발명의 기술사상을 벗어나지 않는 범위 내에서 다양하게 변형실시될 수 있다.
While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, but, on the contrary, is intended to cover various modifications and equivalent arrangements included within the spirit and scope of the invention.

1 : 구글 플레이
2 : 블랙 마켓
3 : 수집서버
4 : 악성코드 분석서버
5 : 업데이트 서버
6 : 안드로이드 단말1: Google Play
2: black market
3: collection server
4: malware analysis server
5: update server
6: Android terminal

Claims (4)

악성코드를 분석하여 악성코드 탐지 시그니처를 생성하고, 특정 행위의 권한정보에 따른 각각의 시그니처로 분류하는 권한정보 관리를 통한 악성코드 분석 단계; 및
탐지 및 차단하고자 하는 어플리케이션의 권한정보를 확인하여 그에 따라 분류된 시그니처를 비교하여 안드로이드 안티바이러스를 탐지 및 차단하여 권한정보 관리를 통한 안드로이드 안티바이러스 어플리케이션을 제공하는 안드로이드 안티바이러스 어플리케이션 동작 단계를 포함하며,
상기 안드로이드 안티바이러스 어플리케이션 동작 단계는,
검사하고자 하는 파일이 안드로이드 어플리케이션인지 아닌지를 판별하는 단계;
안드로이드 어플리케이션인 경우 기존에 수집된 패키지명, 버전코드, 버전이름을 확인하는 단계;
기존에 수집된 권한정보와 검사하고자 하는 안드로이드 어플리케이션의 권한정보를 비교하는 단계;
권한정보가 확인되면 해당 권한정보에 따른 시그니처들을 각각 비교하여 악성코드를 탐지하는 단계; 및
각 시그니처에서 악성코드가 탐지되면, 탐지한 결과를 안드로이드 단말로 통보하여 악성코드를 차단하는 단계를 포함하는 권한정보 관리를 통한 악성코드 탐지방법.
A malicious code analysis step of generating a malicious code detection signature by analyzing the malicious code and managing the privilege information to classify each signature according to the authority information of a specific action; And
Android anti-virus application operation step of providing the Android anti-virus application through the rights information management by detecting and blocking the Android anti-virus by checking the authority information of the application to detect and block and compare the classified signature accordingly,
The Android antivirus application operation step,
Determining whether the file to be checked is an Android application or not;
Checking the package name, version code, version name collected in the case of an Android application;
Comparing the authority information collected with the authority information of the Android application to be examined;
Detecting the malicious code by comparing signatures according to the authority information when the authority information is confirmed; And
When malicious code is detected in each signature, the malicious code detection method comprising the step of notifying the detected result to the Android terminal to block the malicious code.
제1항에 있어서,
상기 권한정보 관리를 통한 악성코드 분석 단계는,
수집한 어플리케이션의 Android Manifest 파일에서 패키지명, 버전코드, 버전이름, 권한정보와 실행파일인 dex 파일을 수집하는 단계; 및
상기 dex 파일에서 악성코드 분석에 따라 악성코드를 분석하게 되면, 그에 따른 상기 악성코드 탐지 시그니처를 생성하여 해당 특정 행위의 권한정보에 따른 각각의 시그니처로 분류하는 단계를 포함하는 권한정보 관리를 통한 악성코드 탐지방법.
The method of claim 1,
Malware analysis step through the rights information management,
Collecting a dex file, which is a package name, a version code, a version name, authorization information, and an executable file, from the collected Android Manifest file of the application; And
When the malicious code is analyzed according to the malicious code analysis in the dex file, the malicious code detection signature is generated and classified into the respective signatures according to the authority information of the specific action. Code detection method.
삭제delete 제1항에 있어서,
상기 안드로이드 어플리케이션이 아니거나, 상기 권한정보가 확인되지 않으면, 전체 시그니처를 비교하여 악성코드를 탐지하는 권한정보 관리를 통한 악성코드 탐지방법.The method of claim 1,
If it is not the Android application, or if the authorization information is not confirmed, malicious code detection method through the authority information management to detect the malicious code by comparing the entire signature.
KR1020120117836A 2012-10-23 2012-10-23 Method for detecting malicious code by permission management KR101386605B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120117836A KR101386605B1 (en) 2012-10-23 2012-10-23 Method for detecting malicious code by permission management

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120117836A KR101386605B1 (en) 2012-10-23 2012-10-23 Method for detecting malicious code by permission management

Publications (1)

Publication Number Publication Date
KR101386605B1 true KR101386605B1 (en) 2014-04-21

Family

ID=50658036

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120117836A KR101386605B1 (en) 2012-10-23 2012-10-23 Method for detecting malicious code by permission management

Country Status (1)

Country Link
KR (1) KR101386605B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101573871B1 (en) 2014-04-25 2015-12-11 코드마인드(주) Device and method of analyzing information drain of application
KR20180058158A (en) * 2016-11-23 2018-05-31 숭실대학교산학협력단 Method for detecting rooting apps in google play store, recording medium, cloud server and system for performing the method
US10671728B2 (en) 2017-01-19 2020-06-02 Foundation Of Soongsil University-Industry Cooperation Mobile device for analyzing malicious code using a container platform, system for analyzing malicious code in a mobile device using the same, and method for analyzing malicious code using the same
US10671729B2 (en) 2017-11-22 2020-06-02 Foundation Of Soongsil University-Industry Cooperation Adaptive dynamic analysis method, adaptive dynamic analysis platform, and device equipped with the same

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110084693A (en) * 2010-01-18 2011-07-26 (주)쉬프트웍스 Method of examining malicious codes and dangerous files in android terminal platform

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110084693A (en) * 2010-01-18 2011-07-26 (주)쉬프트웍스 Method of examining malicious codes and dangerous files in android terminal platform

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
논문1(2011.04) *
논문1(2011.04)*

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101573871B1 (en) 2014-04-25 2015-12-11 코드마인드(주) Device and method of analyzing information drain of application
KR20180058158A (en) * 2016-11-23 2018-05-31 숭실대학교산학협력단 Method for detecting rooting apps in google play store, recording medium, cloud server and system for performing the method
US10671728B2 (en) 2017-01-19 2020-06-02 Foundation Of Soongsil University-Industry Cooperation Mobile device for analyzing malicious code using a container platform, system for analyzing malicious code in a mobile device using the same, and method for analyzing malicious code using the same
US10671729B2 (en) 2017-11-22 2020-06-02 Foundation Of Soongsil University-Industry Cooperation Adaptive dynamic analysis method, adaptive dynamic analysis platform, and device equipped with the same

Similar Documents

Publication Publication Date Title
Batyuk et al. Using static analysis for automatic assessment and mitigation of unwanted and malicious activities within Android applications
Wu et al. Droidmat: Android malware detection through manifest and api calls tracing
KR101739125B1 (en) Apparatus and method for analysing a permission of application for mobile device and detecting risk
Feng et al. Apposcopy: Semantics-based detection of android malware through static analysis
Grace et al. Riskranker: scalable and accurate zero-day android malware detection
KR101246623B1 (en) Apparatus and method for detecting malicious applications
Zhou et al. Hey, you, get off of my market: detecting malicious apps in official and alternative android markets.
US10181033B2 (en) Method and apparatus for malware detection
US10055585B2 (en) Hardware and software execution profiling
KR101720686B1 (en) Apparaus and method for detecting malcious application based on visualization similarity
Zhongyang et al. DroidAlarm: an all-sided static analysis tool for Android privilege-escalation malware
US20140215614A1 (en) System and method for a security assessment of an application uploaded to an appstore
KR20150044490A (en) A detecting device for android malignant application and a detecting method therefor
US20160044049A1 (en) Detection of pileup vulnerabilities in mobile operating systems
Schmeelk et al. Android malware static analysis techniques
KR101386605B1 (en) Method for detecting malicious code by permission management
Elish et al. A static assurance analysis of android applications
Sachdeva et al. Android malware classification based on mobile security framework
Soh et al. LibSift: Automated detection of third-party libraries in android applications
Ham et al. Linear SVM-based android malware detection
Cai et al. Inferring the detection logic and evaluating the effectiveness of android anti-virus apps
Cai et al. Droidcat: Unified dynamic detection of Android malware
Yu et al. DroidScreening: a practical framework for real‐world Android malware analysis
KR101324691B1 (en) System and method for detecting malicious mobile applications
Pouryousef et al. Let me join two worlds! analyzing the integration of web and native technologies in hybrid mobile apps

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170412

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180412

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190412

Year of fee payment: 6