KR101710928B1 - 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템 - Google Patents

모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템 Download PDF

Info

Publication number
KR101710928B1
KR101710928B1 KR1020150125825A KR20150125825A KR101710928B1 KR 101710928 B1 KR101710928 B1 KR 101710928B1 KR 1020150125825 A KR1020150125825 A KR 1020150125825A KR 20150125825 A KR20150125825 A KR 20150125825A KR 101710928 B1 KR101710928 B1 KR 101710928B1
Authority
KR
South Korea
Prior art keywords
file
monitoring
malicious code
suspicious
mobile terminal
Prior art date
Application number
KR1020150125825A
Other languages
English (en)
Inventor
이상준
김봉준
김운수
임신혁
이정환
송상근
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020150125825A priority Critical patent/KR101710928B1/ko
Application granted granted Critical
Publication of KR101710928B1 publication Critical patent/KR101710928B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems

Abstract

모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은, 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하는 단계; 상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성된 감시 목록 테이블을 모바일 단말기의 OS(Operation System) 플랫폼에 등록하는 단계; 상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시하는 단계; 상기 더미 파일이 저장된 폴더 및 상기 악성 코드의 공격이 의심되는 폴더의 파일들의 파일 입출력 이벤트의 발생을 감시하는 단계; 및 상기 파일 입출력 이벤트가 발생하거나 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 처리하는 단계를 포함한다. 이에 따라, 새로운 악성코드를 효과적으로 방어할 수 있고, 이에 따라 사용자에게 보다 안전한 모바일 단말기의 사용 환경을 제공할 수 있다.

Description

모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템{METHOD FOR PROTECTING MALIGNANT CODE IN MOBILE PLATFORM, RECORDING MEDIUM AND DEVICE FOR PERFORMING THE SYSTEM}
본 발명은 모바일 단말기의 OS(Operation System) 플랫폼(platform)에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템에 관한 것으로서, 더욱 상세하게는 더미 파일 이벤트 감시와 프로세스의 상태 감시를 이용하여 랜섬웨어(ransomware) 방지를 위해 IDS(Intrusion Detection System)를 설계하고 구현한 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템에 관한 것이다.
국내 안드로이드(android) OS(Operation System; 운영체제)의 모바일 디바이스 시장 점유율은 약 80 %에 해당한다. 현재, 모바일 단말기의 악성 코드의 감염을 방지하는 방법으로써, 모바일 백신 어플리케이션이 주로 사용 되고 있다.
이러한 모바일 백신 어플리케이션의 경우에는, 일반적으로 악성 코드의 해시코드를 대조하여 악성 코드를 검출하는 방법을 주로 사용하고 있다. 하지만, 새로운 악성 코드의 검출은 종래의 기술로는 찾기가 어렵다.
이와 관련하여, 한국등록특허 제10-0673200호(선행기술문헌, 특허문헌 1)에서는 모바일 단말기에 악성 코드 감염여부를 휴대폰 내부의 파일 이벤트 메시지를 이용하여 감시하고, 그에 대한 처리를 외부 백신으로 처리하는 방법을 개시하고 있으나, 백신 엔진이 처리하기 전까지 소요되는 시간에 감염을 지연시킬 수 없고, 외부 백신에 등록되지 않은 새로운 악성 코드의 경우에는 해결할 수 없는 단점이 존재한다.
또한, 한국등록특허 제10-1377462호(선행기술문헌, 특허문헌 2)에서는 CPU 및 메모리 상태를 이용한 디도스(DDos) 공격 차단 정책의 자동화된 제어 방법 및 장치를 개시하고 있으나, 서비스를 제공하는 호스트의 디도스 공격에 한정된다는 문제점이 있다.
이에 따라, 모바일 단말기의 악성 코드는 계속적으로 발전하고 있으며, 등록되지 않은 악성 코드의 경우에 기본적으로 검출할 수 있는 새로운 감지 방법이 요구된다.
KR 10-0673200 B1 KR 10-1377462 B1 KR 10-0704721 B1 KR 10-1042859 B1 US 7114184 B1
이에, 본 발명의 기술적 과제는 이러한 점에서 착안된 것으로 본 발명의 목적은 모바일 단말기에 침입하는 새로운 악성 코드에 대해서도 실시간으로 감시하여 처리할 수 있는 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법을 제공하는 것이다.
본 발명의 다른 목적은 상기 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법을 수행하기 위한 컴퓨터 프로그램이 기록된 기록 매체를 제공하는 것이다.
본 발명의 또 다른 목적은 상기 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법을 수행하기 위한 시스템을 제공하는 것이다.
상기한 본 발명의 목적을 실현하기 위한 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은, 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하는 단계; 상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성된 감시 목록 테이블을 모바일 단말기의 OS(Operation System) 플랫폼에 등록하는 단계; 상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시하는 단계; 상기 더미 파일이 저장된 폴더 및 상기 악성 코드의 공격이 의심되는 폴더의 파일들의 파일 입출력 이벤트의 발생을 감시하는 단계; 및 상기 파일 입출력 이벤트가 발생하거나 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 처리하는 단계를 포함한다.
본 발명의 실시예에서, 상기 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하는 단계는, 텍스트 파일, 그림 파일 및 악성 코드의 공격이 의심되는 파일 중 적어도 하나의 확장자를 갖는 적어도 하나의 더미 파일을 생성하는 단계; 및 상기 적어도 하나의 더미 파일을 두 곳 이상의 폴더들에 저장하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시하는 단계는, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 단계; 상기 프로세스의 CPU 사용률을 감시하는 단계; 및 상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 여부를 확인하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 프로세스의 CPU 사용률을 감시하는 단계는, 상기 프로세스의 현재 CPU 사용률과 과거 CPU 사용률의 차이를 비교하는 단계; 및 상기 CPU 사용률의 차이가 일정 범위를 초과하면, 상기 프로세스를 의심 프로세스로 판단하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 파일 입출력 이벤트가 발생하는 경우, 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 검사하는 단계를 수행하는 단계를 더 포함할 수 있다.
본 발명의 실시예에서, 상기 의심 프로세스를 처리하는 단계는, 상기 의심 프로세스를 중지하는 단계; 사용자에게 상기 의심 프로세스에 대해 통보하는 단계; 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계; 및 상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계 중 적어도 하나의 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계는, 상기 의심 프로세스를 종료하는 단계; 상기 의심 프로세스를 중지를 해제하는 단계; 및 상기 의심 프로세스를 실행시키는 파일을 제거하는 단계를 포함할 수 있다.
본 발명의 실시예에서, 상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계는, 상기 의심 프로세스를 허용하는 단계; 상기 의심 프로세스를 차단하는 단계; 및 상기 의심 프로세스의 처리를 유보하는 단계 중 적어도 하나의 단계를 포함할 수 있다.
상기한 본 발명의 다른 목적을 실현하기 위한 일 실시예에 따른 컴퓨터로 판독 가능한 저장 매체에는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법을 수행하기 위한 컴퓨터 프로그램이 기록되어 있다.
상기한 본 발명의 또 다른 목적을 실현하기 위한 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템은, 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하고, 프로세스의 실시간 감시를 실행시키는 실행부; 상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성된 감시 목록 테이블을 생성하는 실시간 감시부; 상기 실시간 감시부의 호출에 의해, 파일을 입출력 할 때 발생하는 고유의 신호를 감시하는 파일 감시부; 상기 실시간 감시부의 호출에 의해, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시하는 프로세스 감시부; 및 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 중지하는 프로세스 제어부를 포함한다.
본 발명의 실시예에서, 상기 프로세스 감시부는, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 라이선스 확인부; 상기 프로세스의 CPU 사용률을 감시하는 CPU 사용률 감시부; 및 상기 프로세스의 IO 사용률을 감시하는 IO 사용률 감시부를 포함할 수 있다.
본 발명의 실시예에서, 상기 파일 감시부는, 파일 입출력 이벤트를 확인하는 이벤트 리스너를 포함할 수 있다.
본 발명의 실시예에서, 상기 파일 입출력 이벤트는, FILE_OPEN, FILE_DELETE, FILE_CREATE, FILE_READ 메시지 중에 적어도 하나를 포함할 수 있다.
본 발명의 실시예에서, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템은, 사용자에게 상기 의심 프로세스에 대해 통보하는 결과 통보부를 더 포함할 수 있다.
본 발명의 실시예에서, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템은, 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 악성 코드 처리부를 더 포함할 수 있다.
본 발명의 실시예에서, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템은, 상기 의심 프로세스의 정보를 데이터베이스에 저장하는 데이터베이스 기록부를 더 포함할 수 있다.
이와 같은 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법에 따르면, 모바일 단말기에 침입하는 악성 코드의 감염여부를 파악하기 위해, 프로세스 검사와 동시에 더미파일을 생성하고 탐지에 이용함으로써 실시간으로 감시하여 침입한 악성 코드를 중지시키고 처리할 수 있다.
또한, 더미파일과 프로세스를 중복 검사하는 방법에 있어 악성 코드의 감염속도가 다를 경우 악성 코드를 발견하지 못하는 점을 해결하여 정확도를 높였으며, 등록되지 않은 새로운 랜섬웨어 및 다른 악성코드 또한 효과적으로 방어할 수 있다. 이에 따라, 사용자에게 보다 안전한 모바일 단말기의 사용 환경을 제공할 수 있다.
도 1은 본 발명의 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다.
도 2는 본 발명에 따른 프로세스 감시부의 블록도이다.
도 3은 본 발명에 따른 파일 감시부의 블록도이다.
도 4는 본 발명의 다른 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다.
도 5는 본 발명의 또 다른 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다.
도 6은 본 발명의 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법의 흐름도이다.
도 7은 도 6의 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법의 상세한 흐름도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다. 도 2는 본 발명에 따른 프로세스 감시부의 블록도이다. 도 3은 본 발명에 따른 파일 감시부의 블록도이다.
본 발명에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(10, 이하 시스템)은 모바일 단말기의 운영체제(Operation System, 이하 OS) 플랫폼에서 악성 코드 공격에 대해 효과적으로 방어하기 위해 설계 및 구현된 침입방지 시스템(Intrusion Detection System; 이하 IDS)이다. 특히, 더미 파일 이벤트 감시와 프로세스의 상태 감시를 이용하여, 기존의 악성 코드뿐만 아니라 타 백신 프로그램에 정식 등록되어 있지 않은 새로운 악성 코드(예를 들어, 랜섬웨어)를 중지시키고 처리하기 위한 것이다.
도 1을 참조하면, 본 발명에 따른 시스템(10)은 모바일 단말기의 OS 플랫폼 상에 형성되며, 실행부(100), 실시간 감시부(200), 프로세스 감시부(300), 파일 감시부(400) 및 프로세스 제어부(500)를 포함한다. 상기 시스템(10)은 처리부(700)를 더 포함할 수 있다.
상기 모바일 단말기는 스마트 폰, 태블릿 컴퓨터, 넷북, 피디에이(PDA), 피엠피(PMP) 등 무선통신이 가능한 다양한 형태의 모바일(mobile) 컴퓨터를 모두 포함할 수 있다. 상기 OS는 안드로이드 OS, iOS, 윈도우 모바일 OS, 바다 OS, 심비안 OS, 블랙베리 OS 등 모바일 컴퓨터에 탑재할 수 있는 OS를 모두 포함할 수 있다.
아래에서는 상기 시스템(10)의 각 구성에 대해 간단히 설명하고, 본 발명에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법의 구체적인 내용은 도 6 이하를 참조하여 자세히 설명한다.
상기 실행부(100)는 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하고, 초기화한다. 이를 위해, 더미 파일을 생성하고, 상기 모바일 단말기의 OS 플랫폼에 저장하는 더미 파일 생성부(100)를 포함할 수 있다.
상기 더미 파일은 TXT, DOCX 등의 텍스트 파일과 JPG, PNG 등의 그림 파일 및 공격이 의심되는 파일의 확장자를 갖는 파일 중 적어도 하나로 구성될 수 있으며, 다수의 더미 파일이 모바일 단말기의 OS 플랫폼의 두 곳 이상의 폴더에 저장될 수 있다.
또한, 상기 실행부(100)는 프로세스의 실시간 감시를 실행시키는 역할을 한다. 즉, 상기 실행부(100)는 상기 실시간 감시부(200)를 실행시킬 수 있다.
상기 실시간 감시부(200)는 감시 목록 테이블(210)을 생성하여 상기 모바일 단말기의 OS 플랫폼에 저장한다. 상기 감시 목록 테이블(210)은 상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성될 수 있다.
또한, 상기 실시간 감시부(200)는 상기 프로세스 감시부(300) 및 파일 감시부(400)를 호출할 수 있다.
상기 프로세스 감시부(300)는, 상기 실시간 감시부(200)의 호출에 의해, 검사 대상 프로세스의 의심 여부를 실시간으로 감시한다. 상기 프로세스 감시부(300)는 검증된 프로그램에서 발생된 프로세스인지의 여부와 사용량을 감시하는 역할을 하며, 상기 프로세스 제어부(500)를 호출한다
도 2를 참조하면, 상기 프로세스 감시부(300)는, 3 단계의 감시를 위하여 라이선스 확인부(310), CPU 사용률 감시부(320) 및 IO 사용률 감시부(330)을 포함한다.
상기 라이선스 확인부(310)는 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하고, 상기 CPU 사용률 감시부(320)는 상기 프로세스의 CPU 사용률을 감시하고, 상기 IO 사용률 감시부(330)는 상기 프로세스의 IO 사용률을 감시한다.
구체적으로, 상기 라이선스 확인부(310)는 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있지 않은 경우, 감시 중인 프로세스를 의심 프로세스로 판단할 수 있다.
상기 CPU 사용률 감시부(320)는 상기 프로세스의 현재 CPU 사용률과 과거 CPU 사용률의 차이를 비교하고, 상기 CPU 사용률의 차이가 일정 범위를 초과하면, 감시 중인 프로세스를 의심 프로세스로 판단할 수 있다.
또한, 상기 IO 사용률 감시부(330)는 상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 확인하고, IO 사용률이 상기 임계값을 초과하는 경우 감시 중인 프로세스를 의심 프로세스로 판단할 수 있다.
예를 들어, 랜섬웨어 등의 악성 코드는 파일 입출력 이벤트가 계속적으로 발생하기 때문에, 라이선스 및 CPU/IO 사용률을 감시하면 본 발명의 목적한 바를 이룰 수 있다.
한편, 상기 파일 감시부(400)는, 상기 실시간 감시부(200)의 호출에 의해, 파일을 입출력 할 때 발생하는 고유의 신호를 감시한다. 본 발명에 따른 시스템(10)은 악성 코드 검출의 정확도를 높이기 위해, 상기 프로세스 감시부(300)에서 프로세스 감시 이외에 더미 파일 감시 또한 동시에 진행한다.
구체적으로, 상기 파일 감시부(400)는, 상기 더미 파일이 저장된 폴더 및 상기 악성 코드의 공격이 의심되는 폴더의 파일들의 파일 입출력 이벤트의 발생을 감시한다.
도 3을 참조하면, 상기 파일 감시부(400)는, 파일 입출력에 대한 이벤트를 확인하는 이벤트 리스너(410)를 포함한다. 상기 이벤트 리스너(410)는 파일을 입출력(430) 할 때 발생하는 파일 입출력 이벤트(420)의 유무를 확인할 수 있다.
악성 코드는 빠르게 사용자의 단말기를 잠식하는 악성 코드도 있지만 천천히 잠식하는 악성 코드 또한 존재하기 때문에, 이를 검증하기 위한 효과적인 방법으로서 본 발명은 파일 감시를 동시에 사용한다.
상기 파일 입출력 이벤트의 메시지는 FILE_OPEN, FILE_DELETE, FILE_CREATE, FILE_READ 메시지 중에 적어도 어느 하나를 포함할 수 있다. 상기 파일 입출력 이벤트가 발생한 경우에, 해당 프로세스가 적합한 프로세스인지를 확인하기 위해 상기 프로세스 감시부(300)로 통지하여 해당 프로세스의 감시를 수행한다.
상기 프로세스 감시부(300)는 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 앞서 설명한 프로세스 감시와 마찬가지로 검증된 프로그램에서 발생된 프로세스인지의 여부와 사용량을 감시하여 의심 프로세스인지 여부를 판단한다.
상기 프로세스 제어부(500)는 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 중지하고, 상기 처리부(700)는 사용자의 의사에 따라 그 결과를 처리한다.
본 발명에 따른 시스템(10)은 파일 입출력 이벤트 감시 외에도 프로세스의 CPU 및 IO 사용률을 병행 감시함으로써 악성 코드 감시의 정확성을 향상시킬 수 있다. 또한, 본 발명은 안드로이드 플랫폼 내부에서 프로세스 감시 정보를 활용하여 해당 랜섬웨어를 중지하거나 상기의 파일을 삭제할 수 있다.
도 4는 본 발명의 다른 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다.
도 4를 참조하면, 본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(30)은 파일 감시부(400) 및 프로세스 제어부(500)가 실시간 감시부(200)와 별도로 형성된 점을 제외하고, 도 1의 시스템(10)과 실질적으로 동일하다. 따라서, 도 1의 시스템(10)과 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략한다.
본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(30)은 상기 실시간 감시부(200)가 상기 프로세스 감시부(300) 및 파일 감시부(400)를 호출하여, 검사 대상 프로세스의 의심 여부 및 파일 입출력 이벤트의 발생을 실시간으로 감시한다.
상기 파일 감시부(400)에서 상기 파일 입출력 이벤트 발생을 감지한 경우, 상기 프로세스 감시부(300)로 통지하여 해당 프로세스의 감시를 수행한다. 상기 프로세스 감시부(300)는 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 검증된 프로그램에서 발생된 프로세스인지의 여부와 CPU 및 IO 사용량을 감시하여 의심 프로세스인지 여부를 판단한다.
본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(30)은 실시간 감시부(200)와 상기 파일 감시부(400) 및 상기 프로세스 제어부(500)가 별도의 모듈로 형성된다. 그러나, 이에 한정되지 않고, 상기 시스템(30)의 구성들은 모듈은 통합 모듈로 형성되거나, 하나 이상의 모듈로 이루어 질 수 있다.
도 5는 본 발명의 다른 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템의 블록도이다.
도 5를 참조하면, 본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(50)은 처리부(700)의 구성을 제외하고, 도 1의 시스템(10)과 실질적으로 동일하다. 따라서, 도 1의 시스템(10)과 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략한다.
본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템(50)에서 처리부(700)는 결과 통보부(710), 악성 코드 처리부(730) 및 데이터베이스 기록부(750) 중 적어도 하나의 구성을 포함하거나 전부를 포함할 수 있다.
상기 프로세스 제어부(500)는 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 중지하고, 상기 처리부(700)에 통지한다.
상기 결과 통보부(710)는 모바일 단말기를 통해 사용자에게 상기 의심 프로세스에 대해 통보한다. 의심 프로세스를 통보 받은 사용자는 모바일 단말기의 인터페이스를 통해 해당 프로세스의 처리에 대해 입력할 수 있다.
상기 악성 코드 처리부(730)는 상기 사용자의 의사에 기반해 상기 의심 프로세스를 처리한다. 예를 들어, 상기 악성 코드 처리부(730)는 상기 의심 프로세스를 종료하고, 상기 프로세스 제어부(500)에서 중지한 프로세스의 중지를 해제할 수 있다. 또한, 상기 의심 프로세스를 실행시키는 파일을 제거하여 악성 코드의 침입을 방지할 수 있다.
상기 데이터베이스 기록부(750)는 상기 의심 프로세스의 로그 파일을 데이터베이스에 저장하여 관리한다. 예를 들어, 상기 데이터베이스 기록부(750)는 상기 의심 프로세스에 대하여 허용하거나, 차단하거나, 처리를 유보하는 등의 처리가 가능하다.
도 6은 본 발명의 일 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법의 흐름도이다. 도 7은 도 6의 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법의 상세한 흐름도이다.
본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은, 도 1, 도 4 및 도 5의 시스템(10, 30, 50)과 실질적으로 동일한 구성에서 진행될 수 있다. 따라서, 도 1, 도 4 및 도 5의 시스템(10, 30, 50)과 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략한다.
본 발명에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은 모바일 단말기의 OS 플랫폼에서 수행될 수 있다.
도 6을 참조하면, 본 실시예에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은, 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성한다(단계 S100). 상기 생성된 더미 파일은 모바일 단말기의 OS 플랫폼에 저장된다.
상기 더미 파일은 TXT, DOCX 등의 텍스트 파일과 JPG, PNG 등의 그림 파일 및 공격이 의심되는 파일의 확장자를 갖는 파일 중 적어도 하나로 구성될 수 있으며, 다수의 더미 파일이 두 곳 이상의 폴더에 저장될 수 있다.
이에 따라, 상기 악성 코드의 감시 및 감염 지연을 위한 더미 파일을 생성하는 단계(단계 S100)는, 텍스트 파일, 그림 파일 및 악성 코드의 공격이 의심되는 파일 중 적어도 하나의 확장자를 갖는 적어도 하나의 더미 파일을 생성하는 단계 및 상기 적어도 하나의 더미 파일을 두 곳 이상의 폴더들에 저장하는 단계를 포함할 수 있다.
상기 더미 파일이 생성되면, 감시 목록 테이블을 생성하여 상기 모바일 단말기의 OS 플랫폼에 등록, 즉 저장한다(단계 S200). 상기 감시 목록 테이블은 상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성될 수 있다.
상기 감시 목록 테이블이 등록되면(단계 S200), 프로세스 감시(단계 S300) 및 파일 감시(단계 S400)를 동시에 수행한다. 이에 따라, 해당 프로세스가 의심 프로세스인지 여부를 실시간으로 판단한다. 상기 프로세스 감시(단계 S300) 및 상기 파일 감시(단계 S400) 단계는 도 7을 참조하여 자세히 설명한다.
도 7을 참조하면, 상기 프로세스를 감시하는 단계(단계 S300)는, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 단계(단계 S320), 상기 프로세스의 CPU 사용률을 감시하는 단계(단계 S340) 및 상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 여부를 확인하는 단계(단계 S360)를 포함할 수 있다.
단계 S320에서, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있지 않은 경우, 단계 S340에서, CPU 사용률이 일정 범위를 초과하는 경우, 단계 S360에서, IO 사용률이 일정 범위를 초과하는 경우, 감시 중인 프로세스를 의심 프로세스(비정상)로 판단할 수 있다(단계 S380).
구체적으로, 단계 S320에서, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 여부를 판단하기 위해, 검증된 라이선스가 등록된 테이블을 이용할 수 있다.
단계 S340에서, CPU 사용률 감시는, 상기 프로세스의 현재 CPU 사용률과 과거 CPU 사용률의 차이를 비교하는 단계 및 상기 CPU 사용률의 차이가 일정 범위를 초과하는지 여부를 판단할 수 있다. 상기 CPU 사용률의 차이가 일정 범위를 초과하는 경우, 상기 프로세스를 의심 프로세스로 판단한다(단계 S380).
또한, 단계 S360에서, 상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 확인하고, IO 사용률이 상기 임계값을 초과하는 경우 감시 중인 프로세스를 의심 프로세스로 판단할 수 있다(단계 S380).
예를 들어, 랜섬웨어 등의 악성 코드는 파일 입출력 이벤트가 계속적으로 발생하기 때문에, 라이선스 및 CPU/IO 사용률을 감시하면 본 발명의 목적한 바를 이룰 수 있다.
상기 프로세스 감시(단계 S300)와 동시에, 상기 파일 감시(단계 S400)를 수행한다.
상기 파일 감시(단계 S400) 파일을 입출력 할 때 발생하는 고유의 신호를 감시한다. 본 발명에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은 악성 코드 검출의 정확도를 높이기 위해, 프로세스 감시 이외에 더미 파일 감시 또한 동시에 진행한다.
구체적으로, 상기 더미 파일이 저장된 폴더 및 상기 악성 코드의 공격이 의심되는 폴더의 파일들의 파일 입출력 이벤트의 발생을 감시한다(단계 S310). 이를 위해, 파일 입출력에 대한 이벤트를 확인하는 이벤트 리스너를 이용할 수 있다.
빠르게 사용자의 단말기를 잠식하는 악성 코드도 있지만 천천히 잠식하는 악성 코드 또한 존재하기 때문에, 이를 검증하기 위한 효과적인 방법으로서 본 발명은 파일 감시를 동시에 사용한다.
상기 파일 입출력 이벤트의 메시지는 FILE_OPEN, FILE_DELETE, FILE_CREATE, FILE_READ 메시지 중에 적어도 어느 하나를 포함할 수 있다. 상기 파일 입출력 이벤트가 발생한 경우에, 해당 프로세스가 적합한 프로세스인지를 확인하기 위해 해당 프로세스의 감시를 수행한다.
다시 말해, 상기 파일 입출력 이벤트가 발생하는 경우(단계 S330), 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 검사하는 단계를 수행하는 단계(단계 S300)를 수행한다.
이에 따라, 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 단계(단계 S320), 상기 프로세스의 CPU 사용률을 감시하는 단계(단계 S340) 및 상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 여부를 확인하는 단계(단계 S360)를 수행할 수 있다.
상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 처리한다(단계 S500).
상기 의심 프로세스를 처리하는 단계(단계 S500)는, 상기 파일 입출력 이벤트의 메시지가 발생한 프로세스를 중지하는 단계(S520)와 중지한 상태에서 사용자에게 의심 프로세스가 검출되었다고 통지 하는 단계(S540), 사용자에게 해당 관련 파일 삭제를 권유하는 메시지를 송신하는 단계(S560)를 거쳐 파일을 처리할 수 있다.
또한, 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계 및 상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계 중 적어도 하나 또는 모두를 수행할 수 있다.
상기 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계는, 상기 의심 프로세스를 종료하는 단계, 상기 의심 프로세스를 중지를 해제하는 단계 및 상기 의심 프로세스를 실행시키는 파일을 제거하는 단계를 포함할 수 있다.
상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계는, 상기 의심 프로세스를 허용하는 단계, 상기 의심 프로세스를 차단하는 단계 및 상기 의심 프로세스에 대하여 처리를 유보하는 단계 중 적어도 하나의 단계 중 적어도 하나 또는 모두를 수행할 수 있다.
본 발명은 더미파일과 프로세스를 중복 검사하는 방법을 사용하여 랜섬웨어의 검사 정확도를 높였으며, 랜섬웨어 뿐만 아니라 등록되지 않은 악성 코드 또한 효과적으로 방지할 수 있다. 따라서, 사용자에게 보다 안전한 모바일 단말기의 사용 환경을 제공할 수 있다.
이와 같은, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
본 발명은 보안 면에서 모바일 디바이스 내부에 설치하기 때문에 기본적인 보안 능력이 향상되어 랜섬웨어를 효과적으로 방지 할 수 있다. 국내 안드로이드 OS의 스마트폰 시장 점유율은 약 80 %에 해당한다. 즉, 본 발명의 베이스가 되는 안드로이드 OS의 시장 점유율이 압도적으로 높기 때문에, 국내시장 규모에서 유리하다.
한편, apk파일을 통한 악성 코드 유포가 안드로이드 이슈로 떠오르는 지금, Anlab의 v3, Estsoft의 알약 등과 함께 기존 PC 시장을 주 고객으로 삼던 보안업체들이 스마트폰 시장으로 고개를 돌리고 있다. 아직 스마트폰을 대상으로 하는 백신 시장이 크지 않은 만큼 그 어떤 시장보다 중요한 블루오션이 될 가능성이 크다.
컴퓨터보다 모바일 단말기를 사용하는 시간이 더 많아지는 시대인 지금, 이에 대한 보안 이슈 또한 중요해지고 있다. 본 발명은 파일을 변경하여 프로그램 접근에 대한 권한을 막거나 암호화 한 뒤에 이를 통해 몸값을 요구하는 랜섬웨어를 안드로이드 플랫폼에서 해결한다.
본 발명은 안드로이드 플랫폼에서 개발되며 모바일 단말기 자체에서 기본적인 악성 코드 및 랜섬웨어로부터 방어가 가능하다. 뿐만 아니라, 기존의 알려지지 않은 새로운 악성 코드 또한 방어가 가능하다. 본 발명을 사용한다면 안드로이드 OS를 탑재한 모바일 단말기를 제조하는 회사에서는 고객들에게 보다 안전한 서비스 및 제품을 제공할 수 있다.
10, 30, 50: 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템
100: 실행부
110: 더미 파일 생성부
200: 실시간 감시부
210: 감시 목록 테이블
300: 프로세스 감시부
310: 라이선스 확인부
320: CPU 사용률 감시부
330: IO 사용률 감시부
400: 파일 감시부
410: 이벤트 리스너
500: 프로세스 제어부
700: 처리부
710: 결과 통보부
730: 악성 코드 처리부
750: 데이터베이스 기록부

Claims (14)

  1. OS 플랫폼을 포함하는 모바일 단말기에서의 악성코드 방지 방법에 있어서,
    악성 코드의 감시 및 감염 지연을 위해 공격이 의심되는 파일의 확장자를 갖는 더미 파일을 복수 개 생성하고, 상기 악성 코드의 감염 전에 상기 OS 플랫폼의 공격이 의심되는 복수 개의 폴더에 상기 더미 파일을 미리 저장하는 단계;
    상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성된 감시 목록 테이블을 모바일 단말기의 OS(Operation System) 플랫폼에 등록하는 단계;
    상기 더미 파일이 저장된 폴더 및 상기 악성 코드의 공격이 의심되는 폴더의 파일들의 파일 입출력 이벤트의 발생을 감시하는 단계;
    상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시함과 동시에 더미 파일을 감시하며, 상기 파일을 입출력 할 때 발생한 프로세스에 대해 검증된 프로그램에서 발생된 프로세스인지 여부와 CPU 및 IO 사용량을 감시하여 의심 프로세스인지 여부를 판단하는 단계; 및
    상기 파일 입출력 이벤트가 발생하거나 상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 처리하는 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  2. 제1항에 있어서, 상기 더미 파일을 미리 저장하는 단계는,
    텍스트 파일, 그림 파일 및 악성 코드의 공격이 의심되는 파일 중 적어도 하나의 확장자를 갖는 적어도 하나의 더미 파일을 생성하는 단계; 및
    상기 적어도 하나의 더미 파일을 두 곳 이상의 폴더들에 저장하는 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  3. 제1항에 있어서, 상기 검증된 프로그램에서 발생된 프로세스인지 여부와 CPU 및 IO 사용량을 감시하여 의심 프로세스인지 여부를 판단하는 단계는,
    상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 단계;
    상기 프로세스의 CPU 사용률을 감시하는 단계; 및
    상기 프로세스의 IO 사용률이 설정된 임계값을 초과하는지 여부를 확인하는 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  4. 제3항에 있어서, 상기 프로세스의 CPU 사용률을 감시하는 단계는,
    상기 프로세스의 현재 CPU 사용률과 과거 CPU 사용률의 차이를 비교하는 단계; 및
    상기 CPU 사용률의 차이가 일정 범위를 초과하면, 상기 프로세스를 의심 프로세스로 판단하는 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  5. 제1항에 있어서,
    상기 파일 입출력 이벤트가 발생하는 경우, 상기 파일 입출력 이벤트가 발생한 프로세스에 대해, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 검사하는 단계를 수행하는 단계를 더 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  6. 제1항에 있어서, 상기 의심 프로세스를 처리하는 단계는,
    상기 의심 프로세스를 중지하는 단계;
    사용자에게 상기 의심 프로세스에 대해 통보하는 단계;
    사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계; 및
    상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계 중 적어도 하나의 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  7. 제6항에 있어서, 상기 사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 단계는,
    상기 의심 프로세스를 종료하는 단계;
    상기 의심 프로세스를 중지를 해제하는 단계; 및
    상기 의심 프로세스를 실행시키는 파일을 제거하는 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  8. 제6항에 있어서, 상기 의심 프로세스의 정보를 데이터베이스에 저장하는 단계는,
    상기 의심 프로세스를 허용하는 단계;
    상기 의심 프로세스를 차단하는 단계; 및
    상기 의심 프로세스의 처리를 유보하는 단계 중 적어도 하나의 단계를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법.
  9. 제1항 내지 제8항 중 어느 하나의 항에 따른 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
  10. 악성 코드의 감시 및 감염 지연을 위해 공격이 의심되는 파일의 확장자를 갖는 더미 파일을 복수 개 생성하고, 상기 악성 코드의 감염 전에 OS 플랫폼의 공격이 의심되는 복수 개의 폴더에 상기 더미 파일을 저장하고, 프로세스의 실시간 감시를 실행시키는 실행부;
    상기 더미 파일이 저장된 폴더, 악성 코드의 공격이 의심되는 폴더 및 검사 대상 프로세스로 구성된 감시 목록 테이블을 생성하는 실시간 감시부;
    상기 실시간 감시부의 호출에 의해, 파일을 입출력 할 때 발생하는 고유의 신호를 감시하고, 파일 입출력 이벤트를 확인하는 파일 감시부;
    상기 실시간 감시부의 호출에 의해, 상기 검사 대상 프로세스의 의심 여부를 실시간으로 감시함과 동시에 더미 파일을 감시하며, 상기 파일을 입출력 할 때 발생한 프로세스에 대해 검증된 프로그램에서 발생된 프로세스인지 여부와 CPU 및 IO 사용량을 감시하여 의심 프로세스인지 여부를 판단하는 프로세스 감시부; 및
    상기 검사 대상 프로세스가 의심 프로세스로 판단되는 경우, 상기 의심 프로세스를 중지하는 프로세스 제어부를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템.
  11. 제10항에 있어서, 상기 프로세스 감시부는,
    상기 프로세스가 상기 모바일 단말기에서 검증된 라이선스를 가지고 있는지 확인하는 라이선스 확인부;
    상기 프로세스의 CPU 사용률을 감시하는 CPU 사용률 감시부; 및
    상기 프로세스의 IO 사용률을 감시하는 IO 사용률 감시부를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템.
  12. 제10항에 있어서, 상기 파일 감시부는,
    파일 입출력 이벤트를 확인하는 이벤트 리스너를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템.
  13. 제10항에 있어서, 상기 파일 입출력 이벤트는,
    FILE_OPEN, FILE_DELETE, FILE_CREATE, FILE_READ 메시지 중에 적어도 하나를 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템.
  14. 제10항에 있어서,
    사용자에게 상기 의심 프로세스에 대해 통보하는 결과 통보부;
    사용자의 의사에 기반해 상기 의심 프로세스를 처리하는 악성 코드 처리부; 및
    상기 의심 프로세스의 정보를 데이터베이스에 저장하는 데이터베이스 기록부 중 적어도 하나를 더 포함하는, 모바일 단말기의 OS 플랫폼에서의 악성 코드 방지 시스템.
KR1020150125825A 2015-09-04 2015-09-04 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템 KR101710928B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020150125825A KR101710928B1 (ko) 2015-09-04 2015-09-04 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020150125825A KR101710928B1 (ko) 2015-09-04 2015-09-04 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Publications (1)

Publication Number Publication Date
KR101710928B1 true KR101710928B1 (ko) 2017-03-13

Family

ID=58411909

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020150125825A KR101710928B1 (ko) 2015-09-04 2015-09-04 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Country Status (1)

Country Link
KR (1) KR101710928B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107426196A (zh) * 2017-06-30 2017-12-01 全球能源互联网研究院 一种识别web入侵的方法及系统
KR20180135348A (ko) 2017-06-12 2018-12-20 박영춘 화이트 리스트의 안전 패치 시스템 및 방법
KR20190020999A (ko) * 2017-08-22 2019-03-05 주식회사 하우리 악성프로그램 처리장치 및 처리방법
KR20190080446A (ko) * 2017-12-28 2019-07-08 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR20200088022A (ko) 2019-01-14 2020-07-22 (주) 이드라 파일 보안 장치 및 방법
WO2020189823A1 (ko) * 2019-03-20 2020-09-24 주식회사 하우리 리다이렉션 파일의 유효성 검증방식에 의한 악성프로그램 처리장치 및 처리방법
KR102263112B1 (ko) * 2020-09-15 2021-06-09 주식회사 후후앤컴퍼니 발신번호 가로채기 탐지를 위한 통신 단말 및 방법

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7114184B2 (en) 2001-03-30 2006-09-26 Computer Associates Think, Inc. System and method for restoring computer systems damaged by a malicious computer program
KR100673200B1 (ko) 2004-08-31 2007-01-22 에스케이 텔레콤주식회사 무선 단말기에서의 모바일 바이러스 감시 방법 및 그 시스템
KR100704721B1 (ko) 2004-09-10 2007-04-06 (주) 세이프아이 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라 보호되는 컴퓨터 보호 시스템과 실행가능한 파일이 보호되는 시스템
JP2007188437A (ja) * 2006-01-16 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
KR101042859B1 (ko) 2009-09-24 2011-06-20 주식회사 잉카인터넷 파일 바이러스 검출방법
KR20130074224A (ko) * 2011-12-26 2013-07-04 ㈜ 와이에이치 데이타베이스 악성코드의 행동 패턴 수집장치 및 방법
KR101377462B1 (ko) 2010-08-24 2014-03-25 한국전자통신연구원 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
KR20140127178A (ko) * 2013-04-24 2014-11-03 이상호 클라우드 멀티백신을 이용한 보안방법 및 그 장치
KR20150017925A (ko) * 2013-08-08 2015-02-23 에스지에이 주식회사 절대 경로 관리를 통한 악성 프로그램 검사 시스템

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7114184B2 (en) 2001-03-30 2006-09-26 Computer Associates Think, Inc. System and method for restoring computer systems damaged by a malicious computer program
KR100673200B1 (ko) 2004-08-31 2007-01-22 에스케이 텔레콤주식회사 무선 단말기에서의 모바일 바이러스 감시 방법 및 그 시스템
KR100704721B1 (ko) 2004-09-10 2007-04-06 (주) 세이프아이 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라 보호되는 컴퓨터 보호 시스템과 실행가능한 파일이 보호되는 시스템
JP2007188437A (ja) * 2006-01-16 2007-07-26 Nippon Telegr & Teleph Corp <Ntt> 攻撃検知装置、攻撃検知方法および攻撃検知プログラム
KR101042859B1 (ko) 2009-09-24 2011-06-20 주식회사 잉카인터넷 파일 바이러스 검출방법
KR101377462B1 (ko) 2010-08-24 2014-03-25 한국전자통신연구원 CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치
KR20130074224A (ko) * 2011-12-26 2013-07-04 ㈜ 와이에이치 데이타베이스 악성코드의 행동 패턴 수집장치 및 방법
KR20140127178A (ko) * 2013-04-24 2014-11-03 이상호 클라우드 멀티백신을 이용한 보안방법 및 그 장치
KR20150017925A (ko) * 2013-08-08 2015-02-23 에스지에이 주식회사 절대 경로 관리를 통한 악성 프로그램 검사 시스템

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180135348A (ko) 2017-06-12 2018-12-20 박영춘 화이트 리스트의 안전 패치 시스템 및 방법
CN107426196A (zh) * 2017-06-30 2017-12-01 全球能源互联网研究院 一种识别web入侵的方法及系统
CN107426196B (zh) * 2017-06-30 2022-06-21 全球能源互联网研究院 一种识别web入侵的方法及系统
KR20190020999A (ko) * 2017-08-22 2019-03-05 주식회사 하우리 악성프로그램 처리장치 및 처리방법
KR102017016B1 (ko) * 2017-08-22 2019-09-06 주식회사 하우리 악성프로그램 처리장치 및 처리방법
KR20190080446A (ko) * 2017-12-28 2019-07-08 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR102000369B1 (ko) * 2017-12-28 2019-07-15 숭실대학교산학협력단 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
KR20200088022A (ko) 2019-01-14 2020-07-22 (주) 이드라 파일 보안 장치 및 방법
WO2020189823A1 (ko) * 2019-03-20 2020-09-24 주식회사 하우리 리다이렉션 파일의 유효성 검증방식에 의한 악성프로그램 처리장치 및 처리방법
KR102263112B1 (ko) * 2020-09-15 2021-06-09 주식회사 후후앤컴퍼니 발신번호 가로채기 탐지를 위한 통신 단말 및 방법

Similar Documents

Publication Publication Date Title
KR101710928B1 (ko) 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
US9852289B1 (en) Systems and methods for protecting files from malicious encryption attempts
JP6756933B2 (ja) 悪意のあるコンピューティングイベントを検出するためのシステム及び方法
CN108701188B (zh) 响应于检测潜在勒索软件以用于修改文件备份的系统和方法
US9838405B1 (en) Systems and methods for determining types of malware infections on computing devices
JP5326062B1 (ja) 非実行ファイル検査装置及び方法
US10284587B1 (en) Systems and methods for responding to electronic security incidents
US20190087572A1 (en) Ransomware attack monitoring
JP6247405B2 (ja) インストール前にモバイルデバイス上でマルウェアを検出するためのシステム及び方法
US10003606B2 (en) Systems and methods for detecting security threats
US9516056B2 (en) Detecting a malware process
US9721095B2 (en) Preventing re-patching by malware on a computer
US9338012B1 (en) Systems and methods for identifying code signing certificate misuse
US9385869B1 (en) Systems and methods for trusting digitally signed files in the absence of verifiable signature conditions
US10250588B1 (en) Systems and methods for determining reputations of digital certificate signers
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US9659182B1 (en) Systems and methods for protecting data files
WO2021046811A1 (zh) 一种攻击行为的判定方法、装置及计算机存储介质
US9942268B1 (en) Systems and methods for thwarting unauthorized attempts to disable security managers within runtime environments
JP5326063B1 (ja) デバッグイベントを用いた悪意のあるシェルコードの検知装置及び方法
US9785775B1 (en) Malware management
US10650142B1 (en) Systems and methods for detecting potentially malicious hardware-related anomalies
KR101614809B1 (ko) 엔드포인트 응용프로그램 실행 제어 시스템 및 그 제어 방법
TWI711939B (zh) 用於惡意程式碼檢測之系統及方法
Derhab et al. Leveraging adjusted user behavior in the detection and prevention of outgoing malicious SMSs in Android devices

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200217

Year of fee payment: 4