KR101895876B1 - 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체 - Google Patents

애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체 Download PDF

Info

Publication number
KR101895876B1
KR101895876B1 KR1020160173585A KR20160173585A KR101895876B1 KR 101895876 B1 KR101895876 B1 KR 101895876B1 KR 1020160173585 A KR1020160173585 A KR 1020160173585A KR 20160173585 A KR20160173585 A KR 20160173585A KR 101895876 B1 KR101895876 B1 KR 101895876B1
Authority
KR
South Korea
Prior art keywords
application
malicious
downloaded
server
hash value
Prior art date
Application number
KR1020160173585A
Other languages
English (en)
Other versions
KR20180054390A (ko
Inventor
정수환
응웬부렁
강성은
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20180054390A publication Critical patent/KR20180054390A/ko
Application granted granted Critical
Publication of KR101895876B1 publication Critical patent/KR101895876B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Abstract

본 발명은 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체를 개시한다. 본 발명의 일 측면에 따른 적어도 하나의 애플리케이션을 디바이스가 다운로드 받아 실행할 수 있도록 마련되는 복수 개의 플랫폼에 연결되어 상기 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템은, 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하여, 상기 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보 및 상기 패키지 네임 정보를 전송하는 디바이스; 및 상기 디바이스로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼에서 제 1 애플리케이션을 다운로드 받고, 상기 URL 주소 정보를 참조하여 상기 디바이스가 애플리케이션을 다운로드한 플랫폼에서 상기 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받아 서로 비교하여 상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 서버;를 포함한다.

Description

애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체{SYSTEM AND METHOD FOR DETECTING MALICIOUS OF APPLICATION, RECORDING MEDIUM FOR PERFORMING THE METHOD}
본 발명은 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체에 관한 것으로, 더욱 상세하게는 구글 플레이 스토어와 같은 애플리케이션 스토어에서 다운로드 받은 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체에 관한 것이다.
안드로이드를 겨냥하는 악의적인 목적의 애플리케이션이 점차적으로 증가함에 따라 구글 플레이 스토어에 올려진 애플리케이션을 검사할 필요성이 점차 증가하고 있다. 애플리케이션을 검사하기 위한 기존의 백신 애플리케이션들은 안드로이드 장치에 설치된 백신 애플리케이션에 저장된 데이터베이스(DB)에 의해서 애플리케이션에 대한 분석이 실시되고 있다. 따라서, 백신 애플리케이션이 설치된 장치의 성능에 많은 의존을 하고 있고, 백신 애플리케이션에 실시간 기능을 사용하면 사용자의 장치에 과도한 작업으로 인해 발열 현상이 발생하는 문제점이 발생한다.
한국등록특허 제10-1284013호(2013.07.03 공고)
본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 애플리케이션 스토어에서 다운로드 받은 애플리케이션에서 APK 파일의 패키지 네임 정보만 추출하여 서버로 전송하고, 서버가 크롤링(crawling) 및 안티바이러스 스캔(antivirus scan)을 이용하여 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체를 제공하는데 그 목적이 있다.
본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시 예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.
상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 적어도 하나의 애플리케이션을 디바이스가 다운로드 받아 실행할 수 있도록 마련되는 복수 개의 플랫폼에 연결되어 상기 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템에 있어서, 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하여, 상기 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보 및 상기 패키지 네임 정보를 전송하는 디바이스; 및 상기 디바이스로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼에서 제 1 애플리케이션을 다운로드 받고, 상기 URL 주소 정보를 참조하여 상기 디바이스가 애플리케이션을 다운로드한 플랫폼에서 상기 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받아 서로 비교하여 상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 서버;를 포함한다.
상기 서버는, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일을 크롤링 기법을 통해 해쉬값을 비교하여 상기 제 2 애플리케이션의 악성 유무를 판단할 수 있다.
상기 서버는, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하지 않으면, 상기 제 2 애플리케이션을 안티바이러스 스캔 기법을 통해 악성 유무를 판단할 수 있다.
상기 서버는, 상기 제 2 애플리케이션을 정적 분석 및 동적 분석을 통해 악성 유무를 판단할 수 있다.
상기 서버는, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하면, 상기 제 2 애플리케이션은 악성이 존재하지 않는 애플리케이션으로 판단하여, 그 판단 결과 메시지를 상기 디바이스로 전송할 수 있다.
상기 디바이스는, 상기 다운로드 받은 애플리케이션을 app installed identify service app activity로 전환하여 애플리케이션의 실행을 막고, 상기 서버로부터 상기 제 2 애플리케이션이 악성이 아닌 것으로 판단된 판단 결과 메시지를 수신하는 경우, 상기 다운로드 받은 애플리케이션을 실행할 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 적어도 하나의 애플리케이션을 디바이스가 다운로드 받아 실행할 수 있도록 마련되는 복수 개의 플랫폼에 연결되어 상기 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템에서의 애플리케이션 악성 판단 방법은, 디바이스가, 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하는 단계; 상기 디바이스가, 상기 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보 및 상기 패키지 네임 정보를 전송하는 단계; 서버가, 상기 디바이스로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼에서 제 1 애플리케이션을 다운로드 받고, 상기 URL 주소 정보를 참조하여 상기 디바이스가 애플리케이션을 다운로드한 플랫폼에서 상기 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받는 단계; 및 상기 서버가, 상기 제 1 애플리케이션 및 상기 제 2 애플리케이션을 서로 비교하여 상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계;를 포함한다.
상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는, 상기 서버가, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일을 크롤링 기법을 통해 해쉬값을 비교하여 상기 제 2 애플리케이션의 악성 유무를 판단할 수 있다.
상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는, 상기 서버가, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하지 않으면, 상기 제 2 애플리케이션을 안티바이러스 스캔 기법을 통해 악성 유무를 판단할 수 있다.
상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는, 상기 서버가, 상기 제 2 애플리케이션을 정적 분석 및 동적 분석을 통해 악성 유무를 판단할 수 있다.
상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는, 상기 서버가, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하면, 상기 제 2 애플리케이션은 악성이 존재하지 않는 애플리케이션으로 판단하여, 그 판단 결과 메시지를 상기 디바이스로 전송할 수 있다.
상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 기록 매체는, 애플리케이션 악성 판단 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체일 수 있다.
본 발명의 일 측면에 따르면, 애플리케이션을 다운로드 받은 디바이스는 자체적으로 악성 유무를 검사하지 않고, 다운로드 받은 애플리케이션의 APK 파일 내부에서 패키지 네임 정보만을 추출하여 서버 측으로 전송하고, 서버 측으로부터 애플리케이션의 악성 유무 판단 결과를 수신하여 그에 따라 애플리케이션을 삭제하거나 실행하기 때문에, 디바이스는 애플리케이션의 악성 유무를 판단하기 위한 백신을 직접적으로 실행하지 않아도 되므로, 디바이스의 배터리 발열을 현저하게 감소시킬 수 있는 효과가 있다.
또한, 디바이스는 서버에 APK 파일 자체를 전송하지 않고 APK 내부에 포함된 패키지 네임 정보만을 전송하기 때문에 사용자 측면에서는 데이터의 사용량을 최소로 할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시 예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시 예에 따른 애플리케이션 악성 판단 시스템의 개략적인 구성도,
도 2는 본 발명의 일 실시 예에 따른 디바이스의 개략적인 구성도,
도 3은 본 발명의 일 실시 예에 따른 서버의 개략적인 구성도,
도 4는 본 발명의 일 실시 예에 따른 애플리케이션 악성 판단 시스템에서의 애플리케이션 악성 판단 방법의 전체 흐름도,
도 5는 본 발명의 일 실시 예에 따른 서버에서의 애플리케이션 악성 판단 방법의 흐름도이다.
상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시 예를 상세히 설명하기로 한다.
명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
도 1은 본 발명의 일 실시 예에 따른 애플리케이션 악성 판단 시스템의 개략적인 구성도이다.
본 실시 예에 따르면, 애플리케이션을 다운로드 받을 수 있는 플랫폼은 복수 개가 존재할 수 있다. 상기 플랫폼에는 정상적인 애플리케이션이 존재할 수도 있지만, 정상적이지 않은 애플리케이션이 존재할 수도 있다. 상기 정상적이지 않은 애플리케이션은 변조된 애플리케이션으로, 본 실시 예에서는 악성 애플리케이션이라 칭하기로 한다. 악성 애플리케이션은 해커 등에 의해 악성 코드가 심어진 변조된 애플리케이션일 수 있다.
도 1을 참조하면, 본 실시 예에 따른 애플리케이션 악성 판단 시스템은 디바이스(100) 및 서버(200)를 포함한다.
디바이스(100)는 복수 개의 플랫폼(300)에서 적어도 하나의 애플리케이션을 다운로드 받을 수 있다. 이때, 애플리케이션은 안드로이드에서 실행 가능한 안드로이드 애플리케이션일 수 있다. 디바이스(100)는 플랫폼과 무선 및/또는 유선 네트워크를 통해 연결될 수 있다. 디바이스(100)는 다운로드 받은 애플리케이션을 app installed identify service app activity로 전환하여 애플리케이션의 즉각적인 실행을 막을 수 있다. 디바이스(100)는 복수 개의 플랫폼(300) 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출한다.
디바이스(100)는 다운로드 받은 애플리케이션에서 추출한 APK 파일 내부에 포함된 패키지 네임 정보 및 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보를 서버(200)로 전송할 수 있다.
서버(200)는 애플리케이션의 악성 유무를 판단할 수 있다. 서버(200)는, 디바이스(100)로부터 패키지 네임 정보 및 애플리케이션을 다운로드 받은 플랫폼의 URL 주소를 수신하고, 이에 따라 다수 개의 플랫폼에서 애플리케이션을 다운로드 받아 악성 유무를 판단할 수 있다. 즉, 서버(200)는 디바이스(100)로부터 전송된 패키지 네임 정보에 따라 복수 개의 플랫폼(300) 중 어느 하나의 플랫폼에서 애플리케이션(이하, 제 1 애플리케이션)을 다운로드 받고, URL 주소 정보를 참조하여 디바이스(100)가 애플리케이션을 다운로드한 플랫폼에서 패키지 네임 정보에 해당하는 애플리케이션(이하, 제 2 애플리케이션)을 다운로드 받을 수 있다. 이때, 서버(200)는 제 1 애플리케이션과 제 2 애플리케이션을 서로 비교하여 디바이스(100)가 다운로드한 애플리케이션 즉, 제 2 애플리케이션의 악성 유무를 판단할 수 있다.
서버(200)는, 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링(crawling)을 통해 해쉬값을 비교하여 제 2 애플리케이션의 악성 유무를 판단할 수 있다. 크롤링은 컴퓨터에 분산 저장되어 있는 문서를 수집하여 검색 대상의 색인으로 포함시키는 기술이다. 본 실시 예에 따르면, 크롤링을 통해 애플리케이션의 해쉬값을 추출하고 이를 비교할 수 있다.
크롤링은 공지된 기술이므로 자세한 설명은 생략하기로 한다. 해쉬값이란 파일이 가지고 있는 특정값이다. 파일은 단 한 개의 문자열에서 변조가 발생하더라도 해쉬값은 틀려지게 되므로, 이러한 해쉬값의 비교를 통해 변조가 발생한 파일을 찾아낼 수 있다. 즉, 서버(200)는 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링을 통해 해쉬값을 비교하여, 그 결과 해쉬값이 일치하지 않으면, 파일이 변조된 것으로 판단하여, 제 2 애플리케이션은 악성인 것으로 판단할 수 있다. 하지만, 파일이 변조된 경우는 해커에 의해 악성 코드가 심어진 경우도 있을 수 있지만, 파일의 업데이트 등으로 인해 파일이 변조되었을 수도 있다. 따라서, 서버(200)는 해쉬값이 일치하지 않으면, 제 2 애플리케이션을 안티바이러스 스캔(antivirus scan)을 통해 악성 유무를 판단할 수 있다. 안티바이러스 스캔은 정적 분석(static analysis)과 동적 분석(dynamic analysis)을 포함할 수 있다. 정적 분석(static analysis)은 샘플을 실행하지 않고 분석하는 것이고, 동적 분석(dynamic analysis)은 샘플을 실행하면서 분석하는 것일 수 있다. 예컨대, 정적 분석은, 코드 분석이라고도 불리우며, 코드를 역 어셈블하거나 역 분석한 후 해당 코드 실행 시 어떤 행위가 일어날지를 추측하여 악성 여부를 판단하는 것이다. 또한, 동적 분석은, 알려지지 않은 신종 악성코드나 악성 행위 진단에 매우 효율적인 방법으로 다양한 악성 행위를 데이터베이스에 등록한 후, 등록된 악성 행위와 동일한 행위 여부를 에뮬레이터를 통해 검사하는 것이다. 한편, 안티바이러스 스캔은 종래의 백신을 통해 악성 유무를 판단하는 것일 수 있다.
서버(200)는 디바이스(100)로 악성 유무 판단 결과를 전송할 수 있으며, 디바이스(100)는 서버(200)로부터 수신한 악성 유무 판단 결과에 따라 다운로드 받은 애플리케이션을 실행하거나 또는 삭제할 수 있다. 즉, 디바이스(100)는 서버(200)로부터 다운로드 받은 애플리케이션이 악성이라고 판단된 정보를 포함하는 판단 결과 메시지를 수신하는 경우, 다운로드 받은 애플리케이션을 삭제할 수 있다. 디바이스(100)는 서버(200)로부터 다운로드 받은 애플리케이션이 정상이라고 판단된 정보를 포함하는 결과 메시지를 수신하는 경우, 다운로드 받은 애플리케이션을 실행할 수 있다.
도 2는 본 발명의 일 실시 예에 따른 디바이스의 개략적인 구성도이다.
도 2를 참조하면, 본 실시 예에 따른 디바이스(100)는, 애플리케이션 다운로드부(210), 패키지 네임 정보 추출부(230) 및 송수신부(250)를 포함할 수 있다.
애플리케이션 다운로드부(210)는 복수 개의 플랫폼(300)에서 적어도 하나의 애플리케이션을 다운로드 받을 수 있다.
패키지 네임 정보 추출부(230)는 다운로드 받은 애플리케이션에서 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출할 수 있다.
송수신부(250)는 다운로드 받은 애플리케이션에서 추출한 APK 파일 내부에 포함된 패키지 네임 정보 및 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보를 서버로 전송할 수 있다. 또한, 송수신부(250)는 서버로부터 악성 판단 결과 메시지를 수신할 수 있다.
도 3은 본 발명의 일 실시 예에 따른 서버의 개략적인 구성도이다.
도 3을 참조하면, 본 실시 예에 따른 서버(200)는, 애플리케이션 다운로드부(310), 악성유무 판단부 및 송수신부(350)를 포함할 수 있다.
애플리케이션 다운로드부(310)는 디바이스로부터 전송된 패키지 네임 정보에 따라 복수 개의 플랫폼(300) 중 어느 하나의 플랫폼에서 애플리케이션(이하, 제 1 애플리케이션)을 다운로드 받고, URL 주소 정보를 참조하여 디바이스가 애플리케이션을 다운로드한 플랫폼에서 패키지 네임 정보에 해당하는 애플리케이션(이하, 제 2 애플리케이션)을 다운로드 받을 수 있다.
악성유무 판단부는 애플리케이션의 악성 유무를 판단할 수 있다. 악성유무 판단부는, 제 1 애플리케이션과 제 2 애플리케이션을 서로 비교하여 디바이스가 다운로드한 애플리케이션 즉, 제 2 애플리케이션의 악성 유무를 판단할 수 있다. 악성유무 판단부는, 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링(crawling)을 통해 해쉬값을 비교하여 제 2 애플리케이션의 악성 유무를 판단할 수 있다. 크롤링은 컴퓨터에 분산 저장되어 있는 문서를 수집하여 검색 대상의 색인으로 포함시키는 기술이다. 본 실시 예에 따르면, 크롤링을 통해 애플리케이션의 해쉬값을 추출하고 이를 비교할 수 있다.
악성 유무 판단부(330)는, 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링을 통해 해쉬값을 비교하여, 그 결과 해쉬값이 일치하지 않으면, 파일이 변조된 것으로 판단하여, 제 2 애플리케이션은 악성인 것으로 판단할 수 있다. 하지만, 파일이 변조된 경우는 해커에 의해 악성 코드가 심어진 경우도 있을 수 있지만, 파일의 업데이트 등으로 인해 파일이 변조되었을 수도 있다. 따라서, 서버(200)는 해쉬값이 일치하지 않으면, 제 2 애플리케이션을 안티바이러스 스캔(antivirus scan)을 통해 악성 유무를 판단할 수 있다.
송수신부(350) 디바이스로부터 패키지 네임 정보 및 애플리케이션을 다운로드 받은 플랫폼의 URL 주소를 수신할 수 있다. 또한, 송수신부(350)는 디바이스로 악성 판단 결과 메시지를 송신할 수 있다.
이하, 상술한 애플리케이션 악성 판단 시스템에서의 애플리케이션 악성 판단 방법에 대해 설명하기로 한다.
도 4는 본 발명의 일 실시 예에 따른 애플리케이션 악성 판단 시스템에서의 애플리케이션 악성 판단 방법의 전체 흐름도이다.
도 4에 도시된 바와 같이, 디바이스(100)는 복수 개의 플랫폼(300) 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받는다. 이때, 디바이스(100)가 애플리케이션을 다운로드 받은 플랫폼을 제 1 플랫폼이라고 칭하기로 한다.
디바이스(100)는, 제 1 플랫폼으로부터 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출한다(410, 412). 패키지 네임 정보는, 디바이스(100)가 다운로드 받은 애플리케이션의 APK 파일 내부에서 추출할 수 있다.
디바이스(100)는, 제 1 플랫폼의 URL 주소 정보 및 패키지 네임 정보를 서버(200)로 전송한다(414).
서버(200)는, 디바이스(100)로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼(300) 중 어느 하나의 플랫폼에서 애플리케이션을 다운로드 받는다(416). 이때, 서버(200)가 디바이스(100)로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼(300) 중 애플리케이션을 다운로드 받은 플랫폼을 제 2 플랫폼이라고 칭하기로 한다. 또한, 서버(200)가 제 2 플랫폼으로부터 다운로드 받은 애플리케이션을 제 1 애플리케이션이라고 칭하기로 한다. 서버(200)는, 제 1 플랫폼의 URL 주소 정보를 참조하여 패키지 네임 정보에 해당하는 애플리케이션을 다운로드 받는다. 이때, 서버(200)가 제 1 플랫폼으로부터 다운로드 받은 애플리케이션을 제 2 애플리케이션이라고 칭하기로 한다.
서버(200)는, 제 1 애플리케이션 및 제 2 애플리케이션을 서로 비교하여, 디바이스(100)가 다운로드한 애플리케이션 즉, 제 2 애플리케이션의 악성 유무를 판단할 수 있다(418). 보다 자세하게 서버(200)는, 제 1 애플리케이션 및 제 2 애플리케이션의 APK 파일을 크롤링을 통해 해쉬값을 비교하여 제 2 애플리케이션의 악성 유무를 판단할 수 있다. 크롤링은 컴퓨터에 분산 저장되어 있는 문서를 수집하여 검색 대상의 색인으로 포함시키는 기술이다. 본 실시 예에 따르면, 크롤링을 통해 애플리케이션의 해쉬값을 추출하고 이를 비교할 수 있다. 크롤링은 공지된 기술이므로 자세한 설명은 생략하기로 한다. 해쉬값이란 파일이 가지고 있는 특정값이다. 파일은 단 한 개의 문자열에서 변조가 발생하더라도 해쉬값은 틀려지게 되므로, 이러한 해쉬값의 비교를 통해 변조가 발생한 파일을 찾아낼 수 있다.
서버(200)는, 제 2 애플리케이션의 악성 유무를 판단하여 그 결과 메시지를 디바이스(100)로 전송할 수 있다(420). 결과 메시지에는 애플리케이션의 악성 또는 정상 여부를 판단한 결과 정보가 포함될 수 있다.
서버(200)에서의 악성 유무 판단과 관련한 보다 자세한 설명은 도 5를 통해 후술하기로 한다.
디바이스(100)는, 서버(200)로부터 다운로드 받은 애플리케이션이 악성이라고 판단된 정보를 포함하는 메시지를 수신하는 경우, 다운로드 받은 애플리케이션을 삭제할 수 있다. 디바이스(100)는, 서버(200)로부터 다운로드 받은 애플리케이션이 정상이라고 판단된 정보를 포함하는 메시지를 수신하는 경우, 다운로드 받은 애플리케이션을 실행할 수 있다.
도 5는 본 발명의 일 실시 예에 따른 서버에서의 애플리케이션 악성 판단 방법의 흐름도이다.
도 5에 도시된 바와 같이, 서버(200)는, 디바이스(100)로부터 제 1 플랫폼의 URL 주소 정보 및 패키지 네임 정보를 수신한다(510). 패키지 네임 정보는, 디바이스(100)가 다운로드 받은 애플리케이션의 APK 파일 내부에서 추출할 수 있다.
서버(200)는, 디바이스(100)로부터 전송된 패키지 네임 정보를 참조하여 제 2 플랫폼으로부터 제 1 애플리케이션을 다운로드 받을 수 있다(512). 서버(200)는, 제 1 플랫폼의 URL 주소 정보를 참조하여 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받을 수 있다(514).
서버(200)는 제 1 애플리케이션 및 제 2 애플리케이션의 APK 파일을 크롤링을 이용해 해쉬값을 비교하여 제 1 애플리케이션의 악성 유무를 판단할 수 있다(516). 크롤링은 컴퓨터에 분산 저장되어 있는 문서를 수집하여 검색 대상의 색인으로 포함시키는 기술이다. 본 실시 예에 따르면, 크롤링을 통해 애플리케이션의 해쉬값을 추출하고 이를 비교할 수 있다. 크롤링은 공지된 기술이므로 자세한 설명은 생략하기로 한다. 해쉬값이란 파일이 가지고 있는 특정값이다. 파일은 단 한 개의 문자열에서 변조가 발생하더라도 해쉬값은 틀려지게 되므로, 이러한 해쉬값의 비교를 통해 변조가 발생한 파일을 찾아낼 수 있다.
즉, 서버(200)는 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링을 통해 해쉬값을 비교하여, 그 결과 해쉬값이 일치하지 않으면, 파일이 변조된 것으로 판단하여, 1차적으로 제 2 애플리케이션은 악성인 것으로 판단할 수 있다. 하지만, 파일이 변조된 경우는 해커에 의해 악성 코드가 심어진 경우도 있을 수 있지만, 파일의 업데이트 등으로 인해 파일이 변조되었을 수도 있다. 따라서, 서버(200)는 해쉬값이 일치하지 않으면, 제 2 애플리케이션을 안티바이러스 스캔을 통해 악성 유무를 판단할 수 있다(518). 정적 분석(static analysis)은 샘플을 실행하지 않고 분석하는 것이고, 동적 분석(dynamic analysis)은 샘플을 실행하면서 분석하는 것일 수 있다. 예컨대, 정적 분석은, 코드 분석이라고도 불리우며, 코드를 역 어셈블하거나 역 분석한 후 해당 코드 실행 시 어떤 행위가 일어날지를 추측하여 악성 여부를 판단하는 것이다. 또한, 동적 분석은, 알려지지 않은 신종 악성코드나 악성 행위 진단에 매우 효율적인 방법으로 다양한 악성 행위를 데이터베이스에 등록한 후, 등록된 악성 행위와 동일한 행위 여부를 에뮬레이터를 통해 검사하는 것이다. 한편, 안티바이러스 스캔은 종래의 백신을 통해 악성 유무를 판단하는 것일 수 있다. 반면, 서버(200)는, 제 1 애플리케이션과 제 2 애플리케이션의 APK 파일을 크롤링을 통해 해쉬값을 비교하여, 그 결과 해쉬값이 일치하는 경우, 디바이스(100)로 제 2 애플리케이션이 정상임을 알리는 메시지를 전송할 수 있다(520).
서버(200)는, 안티바이러스 스캔 결과, 제 2 애플리케이션이 악성인 것으로 판단되는 경우, 디바이스(100)로 제 2 애플리케이션이 악성임을 알리는 메시지를 전송할 수 있다(522). 이때, 디바이스(100)는 서버(200)로부터 제 2 애플리케이션이 악성임을 알리는 메시지를 수신하는 경우, 제 1 플랫폼으로부터 다운로드 받은 애플리케이션을 삭제할 수 있다. 반면, 서버(200)는, 안티바이러스 스캔 결과, 제 2 애플리케이션이 정상인 것으로 판단되는 경우, 디바이스(100)로 제 2 애플리케이션이 정상임을 알리는 메시지를 전송할 수 있다(524). 이때, 디바이스(100)는 서버(200)로부터 제 2 애플리케이션이 정상임을 알리는 메시지를 수신하는 경우, 제 1 플랫폼으로부터 다운로드 받은 애플리케이션을 실행할 수 있다.
상술한 바에 따르면, 본 발명은 애플리케이션을 다운로드 받은 디바이스는 자체적으로 악성 유무를 검사하지 않고, 다운로드 받은 애플리케이션의 APK 파일 내부에서 패키지 네임 정보만을 추출하여 서버 측으로 전송하고, 서버 측으로부터 애플리케이션의 악성 유무 판단 결과를 수신하여 그에 따라 애플리케이션을 삭제하거나 실행하기 때문에, 디바이스는 애플리케이션의 악성 유무를 판단하기 위한 백신을 직접적으로 실행하지 않아도 되므로, 디바이스의 배터리 발열을 현저하게 감소시킬 수 있는 효과가 있다.
또한, 디바이스는 서버에 APK 파일 자체를 전송하지 않고 APK 내부에 포함된 패키지 네임 정보만을 전송하기 때문에 사용자 측면에서는 데이터의 사용량을 최소로 할 수 있다.
또한, 디바이스는 다운로드 받은 애플리케이션을 app installed identify service app activity로 전환하여 애플리케이션의 즉각적인 실행을 막고, 분석이 완료되면 그 결과에 따라 다운로드 받은 애플리케이션을 실행하거나 삭제하므로, 다운로드 받은 애플리케이션이 악성 애플리케이션일 경우, 정보(예컨대, 디바이스에 저장된 사용자의 개인 정보 등)가 유출되는 것을 방지할 수 있다.
본 발명의 실시예에 따른 방법들은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는, 본 발명을 위한 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시 예에서 설명된 특징들은 단일 실시 예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시 예에서 설명된 다양한 특징들은 개별적으로 다양한 실시 예에서 구현되거나, 적절히 결합되어 구현될 수 있다.
도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시 예에서 다양한 시스템 구성요소의 구분은 모든 실시 예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.
이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시 예 및 첨부된 도면에 의해 한정되는 것은 아니다.
100 : 디바이스
200 : 서버
210, 310 : 애플리케이션 다운로드부
230 : 패키지 네임 정보 추출부
330 : 악성 유무 판단부
250, 350 : 송수신부
300 : 다수 개의 플랫폼

Claims (12)

  1. 적어도 하나의 애플리케이션을 디바이스가 다운로드 받아 실행할 수 있도록 마련되는 복수 개의 플랫폼에 연결되어 상기 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템에 있어서,
    상기 복수 개의 플랫폼 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하여, 상기 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보 및 상기 패키지 네임 정보를 전송하는 디바이스; 및
    상기 디바이스로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼에서 제 1 애플리케이션을 다운로드 받고, 상기 URL 주소 정보를 참조하여 상기 디바이스가 애플리케이션을 다운로드한 플랫폼에서 상기 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받아 서로 비교하여 상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 서버;를 포함하고,
    상기 디바이스는,
    상기 디바이스에서 다운로드 받은 애플리케이션을 app installed identify service app activity로 전환하여 상기 애플리케이션의 실행을 방지하고, 상기 서버에서 판단한 상기 제 2 애플리케이션의 악성 유무 판단 결과를 수신하여 상기 디바이스가 다운로드 받은 애플리케이션의 삭제 또는 실행을 선택적으로 수행하는 애플리케이션 악성 판단 시스템.
  2. 제 1 항에 있어서,
    상기 서버는,
    상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일을 크롤링 기법을 통해 해쉬값을 비교하여 상기 제 2 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템.
  3. 제 2 항에 있어서,
    상기 서버는,
    상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하지 않으면, 상기 제 2 애플리케이션을 안티바이러스 스캔 기법을 통해 악성 유무를 판단하는 애플리케이션 악성 판단 시스템.
  4. 제 3 항에 있어서,
    상기 서버는,
    상기 제 2 애플리케이션을 코드를 역 어셈블하거나 역 분석한 후 상기 코드 실행시 발생하는 결과를 예측하는 정적 분석 및 기등록된 악성 행위와 동일한 행위의 여부를 에뮬레이터를 통해 검사하는 동적 분석 중 하나의 분석을 통해 악성 유무를 판단하는 애플리케이션 악성 판단 시스템.
  5. 제 2 항에 있어서,
    상기 서버는,
    상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하면, 상기 제 2 애플리케이션은 악성이 존재하지 않는 애플리케이션으로 판단하여, 그 판단 결과 메시지를 상기 디바이스로 전송하는 애플리케이션 악성 판단 시스템.
  6. 제 1 항에 있어서,
    상기 디바이스는,
    상기 다운로드 받은 애플리케이션의 실행을 방지한 뒤, 상기 서버로부터 상기 제 2 애플리케이션이 악성이 아닌 것으로 판단된 판단 결과 메시지를 수신하는 경우, 상기 다운로드 받은 애플리케이션을 실행하는 애플리케이션 악성 판단 시스템.
  7. 적어도 하나의 애플리케이션을 디바이스가 다운로드 받아 실행할 수 있도록 마련되는 복수 개의 플랫폼에 연결되어 상기 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 시스템에서의 애플리케이션 악성 판단 방법에 있어서,
    디바이스가, 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼으로부터 애플리케이션을 다운로드 받고, 상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하는 단계;
    상기 디바이스가, 상기 애플리케이션을 다운로드 받은 플랫폼의 URL 주소 정보 및 상기 패키지 네임 정보를 전송하는 단계;
    서버가, 상기 디바이스로부터 전송된 패키지 네임 정보에 따라 상기 복수 개의 플랫폼 중 어느 하나의 플랫폼에서 제 1 애플리케이션을 다운로드 받고, 상기 URL 주소 정보를 참조하여 상기 디바이스가 애플리케이션을 다운로드한 플랫폼에서 상기 패키지 네임 정보에 해당하는 제 2 애플리케이션을 다운로드 받는 단계; 및
    상기 서버가, 상기 제 1 애플리케이션 및 상기 제 2 애플리케이션을 서로 비교하여 상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계;를 포함하고,
    상기 다운로드 받은 애플리케이션에서 APK 파일 내부에 포함된 패키지 네임 정보를 추출하는 단계는,
    상기 디바이스에서 다운로드 받은 애플리케이션을 app installed identify service app activity로 전환하여 상기 애플리케이션의 실행을 방지하고,
    상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계는,
    상기 서버에서 판단한 상기 제 2 애플리케이션의 악성 유무 판단 결과를 수신하여 상기 디바이스에서 다운로드 받은 애플리케이션의 삭제 또는 실행을 선택적으로 수행하는 애플리케이션 악성 판단 방법.
  8. 제 7 항에 있어서,
    상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는,
    상기 서버가, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일을 크롤링 기법을 통해 해쉬값을 비교하여 상기 제 2 애플리케이션의 악성 유무를 판단하는 애플리케이션 악성 판단 방법.
  9. 제 8 항에 있어서,
    상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는,
    상기 서버가, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하지 않으면, 상기 제 2 애플리케이션을 안티바이러스 스캔 기법을 통해 악성 유무를 판단하는 애플리케이션 악성 판단 방법.
  10. 제 9 항에 있어서,
    상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는,
    상기 서버가, 상기 제 2 애플리케이션을 코드를 역 어셈블하거나 역 분석한 후 상기 코드 실행시 발생하는 결과를 예측하는 정적 분석 및 기등록된 악성 행위와 동일한 행위의 여부를 에뮬레이터를 통해 검사하는 동적 분석 중 하나의 분석을 통해 악성 유무를 판단하는 애플리케이션 악성 판단 방법.
  11. 제 8 항에 있어서,
    상기 디바이스가 다운로드한 애플리케이션의 악성 유무를 판단하는 단계에서는,
    상기 서버가, 상기 해쉬값의 비교 결과, 상기 제 1 애플리케이션과 상기 제 2 애플리케이션의 APK 파일의 해쉬값이 일치하면, 상기 제 2 애플리케이션은 악성이 존재하지 않는 애플리케이션으로 판단하여, 그 판단 결과 메시지를 상기 디바이스로 전송하는 애플리케이션 악성 판단 방법.
  12. 제 7 항 내지 제 11 항 중 어느 한 항에 따른 애플리케이션 악성 판단 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록 매체.
KR1020160173585A 2016-11-14 2016-12-19 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체 KR101895876B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20160150801 2016-11-14
KR1020160150801 2016-11-14

Publications (2)

Publication Number Publication Date
KR20180054390A KR20180054390A (ko) 2018-05-24
KR101895876B1 true KR101895876B1 (ko) 2018-09-06

Family

ID=62299123

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160173585A KR101895876B1 (ko) 2016-11-14 2016-12-19 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체

Country Status (1)

Country Link
KR (1) KR101895876B1 (ko)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110362729A (zh) * 2019-07-03 2019-10-22 杭州安恒信息技术股份有限公司 基于搜索引擎的未上架风险app检索方法
CN111708567B (zh) * 2020-05-06 2023-05-23 北京五八信息技术有限公司 一种应用程序的处理方法和装置

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101284013B1 (ko) 2011-12-30 2013-07-26 (주)이지서티 클라이언트 프로그램 기반 스마트폰 악성 어플 탐지 시스템 및 방법
KR20130134790A (ko) * 2012-05-31 2013-12-10 네이버비즈니스플랫폼 주식회사 어플리케이션 무결성 정보 저장 방법 및 시스템, 어플리케이션 무결성 검사 방법 및 시스템
KR20160090566A (ko) * 2015-01-22 2016-08-01 국민대학교산학협력단 유효마켓 데이터를 이용한 apk 악성코드 검사 장치 및 방법

Also Published As

Publication number Publication date
KR20180054390A (ko) 2018-05-24

Similar Documents

Publication Publication Date Title
US9740853B2 (en) Configuring a sandbox environment for malware testing
KR101296716B1 (ko) 피디에프 문서형 악성코드 탐지 시스템 및 방법
EP3002702B1 (en) Identifying an evasive malicious object based on a behavior delta
EP3706025B1 (en) Detecting a malicious file infection via sandboxing
EP3471008B1 (en) De-obfuscating scripted language for network intrusion detection using a regular expression signature
JP5694473B2 (ja) 危険度計算を通じたリパッケージアプリケーションの分析システム及び分析方法
KR101295644B1 (ko) 스마트폰 앱 검증 시스템 및 그 방법
CN103390130B (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
KR20150044490A (ko) 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법
KR20160125960A (ko) 바이러스 처리 방법, 장치, 시스템 및 기기, 및 컴퓨터 저장 매체
CN112084497A (zh) 嵌入式Linux系统恶意程序检测方法及装置
CN105095759A (zh) 文件的检测方法及装置
CN110071924B (zh) 基于终端的大数据分析方法及系统
KR20130134790A (ko) 어플리케이션 무결성 정보 저장 방법 및 시스템, 어플리케이션 무결성 검사 방법 및 시스템
JP2017142744A (ja) 情報処理装置、ウィルス検出方法及びプログラム
KR101895876B1 (ko) 애플리케이션 악성 판단 시스템 및 방법, 이를 수행하기 위한 기록 매체
KR20170096451A (ko) 악성앱 동적 행위 분석 방법 및 장치
CN105791250B (zh) 应用程序检测方法及装置
KR101284013B1 (ko) 클라이언트 프로그램 기반 스마트폰 악성 어플 탐지 시스템 및 방법
Feichtner et al. Obfuscation-resilient code recognition in Android apps
KR101270497B1 (ko) 모바일 악성코드 자동 수집 및 분석 시스템
KR102415494B1 (ko) 에뮬레이션 기반의 임베디드 기기 취약점 점검 및 검증 방법
KR102292844B1 (ko) 악성코드 탐지 장치 및 방법
CN110502900A (zh) 一种检测方法、终端、服务器及计算机存储介质
CN107229865B (zh) 一种解析Webshell入侵原因的方法及装置

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right