KR102011725B1 - 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 - Google Patents
악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 Download PDFInfo
- Publication number
- KR102011725B1 KR102011725B1 KR1020170182896A KR20170182896A KR102011725B1 KR 102011725 B1 KR102011725 B1 KR 102011725B1 KR 1020170182896 A KR1020170182896 A KR 1020170182896A KR 20170182896 A KR20170182896 A KR 20170182896A KR 102011725 B1 KR102011725 B1 KR 102011725B1
- Authority
- KR
- South Korea
- Prior art keywords
- information
- class
- code
- library
- white list
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/35—Clustering; Classification
Abstract
본 발명에 따른 악성코드 검출을 위한 화이트리스트 구축 방법은, 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하고, 컴파일된 써드파티 라이브러리의 클래스 및 메소드에 대하여, 변경되기 어려운 정보들에 대한 특징정보를 추출하여 화이트리스트를 생성함으로써, 악성코드 분석 대상이 되는 소스코드의 양을 감소시킬 수 있다.
Description
본 발명은 악성코드 검출을 위한 화이트리스트 구축 방법, 이를 수행하기 위한 기록매체 및 장치에 관한 것으로서, 더욱 상세하게는 신뢰성 있는 애플리케이션 코드들을 이용하여 악성코드 검출을 위한 화이트리스트를 구축하는 악성코드 검출을 위한 화이트리스트 구축 방법, 이를 수행하기 위한 기록매체 및 장치에 관한 것이다.
안드로이드 플랫폼을 사용하는 스마트폰 사용자의 수가 증가하면서, 안드로이드 플랫폼을 대상으로 하는 악성 코드 또한 급속하게 증가하고 있다. 이에 따라, 악성 코드를 탐지하기 위한 기술 개발이 활발히 이루어지고 있다.
종래의 악성 코드 탐지 기술은 크게 정적 분석 방법과 동적 분석 방법으로 분류된다. 정적 분석 방법은 프로그램 코드를 실행시키기 않고 죽은 코드를 분석하는 방법으로, 일반적으로 실행 파일을 분석하여 프로그램의 구조와 동작을 분석하는 것이 특징이다. 그리고, 동적 분석 방법은 다양한 분석 환경에서 악성 코드가 있는 프로그램을 실행하여 프로세스 및 시스템의 상태 변화를 분석하는 방법이다.
하지만, 종래의 악성 코드 탐지 기술은 분석 대상 애플리케이션의 코드 크기가 클 경우 정확한 분석이 어려울 뿐 아니라 분석 과정에 상당한 시간이 소비된다는 문제점이 있다. 더욱이, 최근 출시되는 애플리케이션의 경우 다양한 기능들을 가진 써드파티(3rd-party) 라이브러리를 대부분 사용하는 경향이 있다. 이러한 써드파티 라이브러리를 사용하는 경우 패키지 이름이나 클래스 이름을 쉽게 위조할 수 있어 악성 코드의 이름을 지정할 때 악성코드를 사용할 수 있다는 문제점이 있다. 이에 따라, 써드파티 라이브러리로 구성된 애플리케이션의 악성 코드를 효율적으로 검출할 수 있는 새로운 기술이 요구되고 있는 실정이다.
본 발명의 일측면은 안드로이드 애플리케이션 분석 시 미리 구축된 화이트리스트와의 비교를 통해 분석하지 않아도 코드들을 사전에 제거함으로써, 분석 시간을 단축시키면서도 분석 효율은 향상시킬 수 있는 악성코드 검출을 위한 화이트리스트 구축 방법, 이를 수행하기 위한 기록매체 및 장치를 제공한다.
본 발명의 기술적 과제는 이상에서 언급한 기술적 과제로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 악성코드 검출을 위한 화이트리스트 구축 방법은, 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하는 단계 및 컴파일된 써드파티 라이브러리의 클래스 및 메소드에 대하여, 연산 코드의 해시값, 메소드 프로토타입의 인수 개수, 클래스 접근 제어자, 메소드가 포함된 클래스의 깊이정보 중 적어도 하나를 포함하는 특징정보를 추출하여 화이트리스트를 생성하는 단계를 포함한다.
상기 안드로이드 가상 머신에서 실행되는 파일 형식은, 안드로이드 달빅 가상 머신에서 동작하는 파일 형식인 DEX인 것을 특징으로 할 수 있다.
상기 특징정보를 추출하는 것은, 상기 컴파일된 상기 써드파티 라이브러리에 대한 바이트코드에서 피연산자를 제거하여 상기 연산 코드를 추출하고, 상기 연산 코드를 미리 정해진 해시함수를 이용하여 해시값으로 변환하는 것을 특징으로 할 수 있다.
상기 특징정보를 추출하는 것은, 상기 컴파일된 상기 써드파티 라이브러리의 메소드의 이름, 반환값의 유형 및 인수를 정의하는 메소드 프로토타입을 분석하여 상기 메소드 프로토타입의 인수 개수를 산출하는 것을 특징으로 할 수 있다.
상기 특징정보를 추출하는 것은, 상기 기준 애플리케이션의 생성 시 설정되는 상기 컴파일된 상기 써드파티 라이브러리의 클래스 접근 레벨 및 클래스 멤버의 특성을 정의하는 상기 클래스 접근 제어자를 검색하는 것을 특징으로 할 수 있다.
상기 특징정보를 추출하는 것은, 상기 기준 애플리케이션의 생성 시 설정되는 클래스별 계층정보를 기초로 상기 컴파일된 상기 써드파티 라이브러리의 클래스 계층에 대한 상기 깊이정보를 추출하는 것을 특징으로 할 수 있다.
상기 화이트리스트를 생성하는 것은, 상기 깊이정보 및 상기 메소드 접근 제어자를 클래스 정보 테이블로 설정하고, 상기 연산 코드의 해시값 및 메소드 프로토타입의 인수 개수를 메소드 정보 테이블로 설정하는 것을 특징으로 할 수 있다.
상기 화이트리스트를 생성하는 것은, 악성코드 분석을 위한 검사 대상 애플리케이션을 클래스 정보 테이블 및 상기 메소드 정보 테이블과 비교하는 과정에서 어느 하나의 코드정보가 일치하는 것으로 탐지되면, 상기 코드정보의 라이브러리 버전 및 라이브러리 출시일을 포함하는 추가정보를 제공하는 라이브러리 정보 테이블 및 패키지 정보 테이블을 더 설정하는 것을 특징으로 할 수 있다.
검사 대상 애플리케이션의 라이브러리를 상기 화이트리스트에 포함된 특징정보와 비교하는 단계 및 상기 검사 대상 애플리케이션을 구성하는 복수의 코드정보 중 상기 특징정보와 일치하는 코드정보를 제외한 나머지 코드정보들에 대한 악성코드 분석을 수행하는 단계를 더 포함할 수 있다.
상기 특징정보와 비교하는 것은, 상기 검사 대상 애플리케이션의 라이브러리를 구성하는 어느 하나의 코드정보의 깊이정보 및 접근 제어자를 상기 화이트리스트에 저장된 복수의 상기 깊이정보 및 상기 클래스 접근 제어자와 비교하여 일치하는지를 확인하고, 일치하는 클래스가 존재하면 상기 어느 하나의 코드정보의 연산코드의 해시값, 메소드 프로토타입의 인수 개수를 상기 화이트리스트에 저장된 복수의 상기 연산 코드의 해시값 및 상기 메소드 프로토타입의 인수 개수와 비교하여 일치하는지를 확인하여 일치하는 메소드가 발견되는 경우, 상기 어느 하나의 코드정보를 상기 특징정보와 일치하는 코드정보인 것으로 판단하는 것을 특징으로 할 수 있다.
또한, 본 발명에 따른 악성코드 검출을 위한 화이트리스트 구축 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체일 수 있다.
또한, 본 발명의 일 실시예에 따른 악성코드 검출 장치는, 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하고, 컴파일된 써드파티 라이브러리의 클래스 및 메소드에 대하여, 연산 코드의 해시값, 메소드 프로토타입의 인수 개수, 클래스 접근 제어자, 메소드가 포함된 클래스의 깊이정보 중 적어도 하나를 포함하는 특징정보를 추출하여 화이트리스트를 생성하는 화이트리스트 생성부 및 검사 대상 애플리케이션의 라이브러리를 상기 화이트리스트에 포함된 특징정보와 비교하고, 상기 검사 대상 애플리케이션을 구성하는 복수의 코드정보 중 상기 특징정보와 일치하는 코드정보를 제외한 나머지 코드정보들에 대한 악성코드 분석을 수행하는 악성코드 검출부를 포함한다.
상기 화이트리스트는, 라이브러리 정보 테이블, 패키지 정보 테이블, 클래스 정보 테이블 및 메소드 정보 테이블이 계층 구조를 형성하는 것을 특징으로 하고, 상기 화이트리스트 생성부는, 상기 깊이정보 및 상기 메소드 접근 제어자를 상기 클래스 정보 테이블로 설정하고, 상기 연산 코드의 해시값 및 메소드 프로토타입의 인수 개수를 상기 메소드 정보 테이블로 설정하고, 상기 기준 애플리케이션의 이름, 업로드 날짜, 써드파티 라이브러리 버전, 패키지명 및 클래스명에 대한 추가정보를 이용하여 상기 라이브러리 정보 테이블 및 상기 패키지 정보 테이블을 설정할 수 있다.
상술한 본 발명의 일측면에 따르면, 기준 애플리케이션의 특징정보에 따라 미리 구축되는 화이트리스트를 이용하여, 분석 대상이 되는 안드로이드 애플리케이션의 코드 양을 크게 줄여 안드로이드 애플리케이션 분석 시 분석시간이 감소하고 분석 정확도가 향상될 수 있다.
도 1은 본 발명에 따른 악성코드 검출 장치의 개략적인 구성이 도시된 블록도이다.
도 2는 안드로이드 컴파일 프로세스의 구체적인 일 예가 도시된 도면이다.
도 3은 자바 패키지 구조의 일 예가 도시된 도면이다.
도 4는 자바 언어에서의 메소드 접근제어자와 프로토타입의 일 예가 도시된 도면이다.
도 5는 동일한 라이브러리를 적용한 애플리케이션의 바이트코드의 일 예가 도시된 도면이다.
도 6은 화이트리스트 데이터베이스의 스키마가 도시된 도면이다.
도 7은 악성코드 검출부에서 검사 대상 애플리케이션에서 제외시킬 코드를 탐지하는 알고리즘의 일 예가 도시된 도면이다.
도 8은 도 1의 악성코드 검출 장치의 성능 테스트 결과를 나타내는 그래프이다.
도 9는 본 발명의 일 실시예에 따른 악성코드 검출을 위한 화이트리스트 구축 방법의 개략적인 흐름이 도시된 도면이다.
도 2는 안드로이드 컴파일 프로세스의 구체적인 일 예가 도시된 도면이다.
도 3은 자바 패키지 구조의 일 예가 도시된 도면이다.
도 4는 자바 언어에서의 메소드 접근제어자와 프로토타입의 일 예가 도시된 도면이다.
도 5는 동일한 라이브러리를 적용한 애플리케이션의 바이트코드의 일 예가 도시된 도면이다.
도 6은 화이트리스트 데이터베이스의 스키마가 도시된 도면이다.
도 7은 악성코드 검출부에서 검사 대상 애플리케이션에서 제외시킬 코드를 탐지하는 알고리즘의 일 예가 도시된 도면이다.
도 8은 도 1의 악성코드 검출 장치의 성능 테스트 결과를 나타내는 그래프이다.
도 9는 본 발명의 일 실시예에 따른 악성코드 검출을 위한 화이트리스트 구축 방법의 개략적인 흐름이 도시된 도면이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 악성코드 검출을 위한 화이트리스트 구축 및 화이트리스트를 이용한 악성코드 검출 장치(이하, 악성코드 검출 장치, 100)의 개략적인 구성이 도시된 도면이다.
본 발명에 따른 악성코드 검출 장치(1000)는 네트워크에 접속하여 다른 장치들과 통신이 가능하며, 사용자의 요청을 입력받아 특정 작업을 처리하여 결과를 출력할 수 있는 컴퓨터 장치일 수 있다. 하지만, 악성코드 검출 장치(1000)는 이에 한정되는 것은 아니며 스마트폰, 태블릿 PC, 노트북, 웨어러블 장치 등과 같이 이하에서 설명되는 기능들을 수행할 수 있는 다른 전자장치들을 포함할 수 있다. 또한, 본 발명에 따른 악성코드 검출 장치(1000)는 물리적으로 구현되지 않은 응용 프로그램의 형태일 수도 있으며, 이러한 경우 응용프로그램(애플리케이션)의 형태로 다른 장치의 기록매체에 설치되어 동작될 수 있다. 예를 들어, 악성코드 검출 장치(1000)는 달빅 가상 머신(Dalvik Virtual Machine)의 형태로 컴퓨터 장치에 구현될 수 있다.
구체적으로, 본 발명의 일 실시예에 따른 악성코드 검출 장치(1000)는 통신부(100), 입력부(200), 출력부(300), 데이터베이스부(400) 및 제어부(500)를 포함한다.
이때, 악성코드 검출 장치(1000)가 컴퓨터 장치인 경우, 각각의 구성요소는 물리적인 모듈로 구현될 수 있다. 반면, 악성코드 검출 장치(1000)가 달빅 가상 머신의 형태로 구현되는 경우, 각각의 구성요소는 후술하는 기능들을 수행할 수 있도록 소프트웨어적으로 구현될 수 있다. 이하, 각각의 구성요소에 대하여 상세히 설명하기로 한다.
통신부(100)는 네트워크로 연결되어 외부 장치와 악성코드 검출 장치(1000)를 유무선 통신망으로 연결시킬 수 있다. 통신부(100)는 외부 장치와 통신하여 화이트리스트 구축을 위한 기준 애플리케이션 또는 악성코드 분석을 위한 검사 대상 애플리케이션을 수신할 수 있다. 또한, 악성코드 검출 장치(1000)가 달빅 가상 머신의 형태인 경우, 통신부(100)는 달빅 가상 머신이 구현된 컴퓨터 장치로부터 기준 애플리케이션 또는 검사 대상 애플리케이션을 수신할 수 있다.
입력부(200)는 사용자의 조작에 의해 악성코드 검출 장치(1000)가 동작되도록 사용자로부터 입력되는 입력신호를 감지할 수 있다. 입력부(200)는 키보드, 마우스, 조이스틱, 터치스크린, 마이크 등을 포함할 수 있다.
출력부(300)는 악성코드 검출 장치(1000)에 의해 처리된 결과들을 화상 또는 음성으로 출력할 수 있다. 출력부(330)는 디스플레이 모듈, 스피커 등을 포함할 수 있다.
데이터베이스부(400)는 악성코드 검출 장치(1000)로 입력되는 데이터와, 후술하는 제어부(500)에 의해 생성된 화이트리스트를 저장할 수 있다. 즉, 데이터베이스부(400)는 통신부(100)를 통해 수신되는 기준 애플리케이션 및 검사 대상 애플리케이션과, 제어부(500)에 의해 생성된 화이트리스트 및 이와 관련된 메타데이터들을 저장할 수 있다. 또한, 데이터베이스부(400)는 본 발명에 따른 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 이용하여 악성코드를 탐지하는 방법이 구현된 소프트웨어(응용프로그램)이 설치될 수 있다.
제어부(500)는 악성코드 검출 장치(1000)의 전반적인 동작을 제어할 수 있다. 특히, 제어부(500)는 통신부(100)를 통해 수신된 기준 애플리케이션을 이용하여 화이트리스트를 구축하고, 구축된 화이트리스트를 이용하여 악성코드 분석 대상으로 설정되는 검사 대상 애플리케이션의 악성코드를 검출하는 과정 및 결과를 출력부(300)를 통해 출력되도록 제어할 수 있다. 이를 위해, 제어부(500)는 화이트리스트 생성부(510) 및 악성코드 검출부(520)를 포함한다.
화이트리스트 생성부(510)는 검사 대상 애플리케이션의 악성코드 분석 시 애플리케이션을 구성하는 코드들 중 검사 대상에서 제외시킬 코드를 결정하기 위한 화이트리스트를 생성할 수 있다. 즉, 화이트리스트는 종래에 안전한 것으로 알려진 기준 애플리케이션들의 특징들을 목록화한 데이터일 수 있다. 화이트리스트 생성부(510)는 화이트리스트를 구축하기 위한 각 단계를 수행하는 전처리부(511), 특징정보 추출부(512) 및 목록 생성부(513)를 포함한다.
전처리부(511)는 기준 애플리케이션을 분석하기 위하여 애플리케이션의 확장자를 통일시키는 전처리 과정을 수행할 수 있다. 상술한 바와 같이, 기준 애플리케이션은 종래에 안전한 것으로 알려진 애플리케이션으로, 본 발명에 따른 화이트리스트를 구성하는 애플리케이션의 파일 확장자는 JAR(Java Archive), AAR(Android Archive), APK(Android Application Package) 및 DEX(Dalvik Executable)를 포함할 수 있다. 이들 중에서, 전처리부(511)는 화이트리스트의 효율적인 구축을 위해, JAR, AAR 및 APK 형태로 생성된 애플리케이션의 라이브러리들을 안드로이드 실행 가능한 파일 형태인 DEX파일 형태로 컴파일 할 수 있다. 이와 관련하여, 도 2를 함께 참조하여 설명하기로 한다.
도 2는 안드로이드 컴파일 프로세스의 구체적인 일 예가 도시된 도면이다.
JAR은 텍스트, 이미지 등과 같이 여러 자바 클래스 파일(a.class, b.class), 관련 메타데이터 및 리소스들을 하나의 파일로 통합하여 배포하는 패키지 파일 형식이다. 자바 클래스 파일(a.class, b.class)은 자바 컴파일러(Javac)를 통해 자바 언어로 작성된 소스 코드(Java Source Code)를 컴파일하는 파일이다. JAR은 자바 가상 머신(Java Virtual Machine, JVM)을 대상으로 하기 때문에, 전처리부(511)는 안드로이드 소프트웨어 개발 키트(Software Development Kit, SDK)에 포함된 dx 도구를 이용하여 자바 바이트코드(bytecode)를 DEX 바이트코드로 변환할 수 있다.
AAR은 안드로이드 애플리케이션을 개발할 때 사용되는 Android Manifest, JAR 및 리소스 파일(resources)들을 통합하는 패키지 파일 형식이다. 전처리부(511)는 AAR에서 추출한 JAR을 상술한 dx 도구를 사용하여 DEX 바이트코드로 변환할 수 있다.
APK는 안드로이드 응용 프로그램 패키지 파일의 확장자로, 안드로이드의 소프트웨어와 미들웨어 배포에 사용되는 패키지 파일 형식이다. APK는 구조적으로 AAR과 동일하나, JAR이 포함된 AAR과는 다르게 자바 컴파일러와 dx로 컴파일된 DEX를 이미 포함하고 있다. 즉, 전처리부(511)는 APK 파일을 압축 해제하여 DEX 파일을 추출할 수 있다.
DEX 파일은 안드로이드 가상 머신인 달빅(Dalvik)이 인식할 수 있도록 클래스(class) 파일이 바이트 코드로 변환된 파일이며, 달빅 명령어로 구성되어 있다. DEX 파일을 달빅 가상 머신(Dalvik Virtual Machine, DVM)의 바이트 코드로 디컴파일하여 클래스 파일을 추출 할 경우, 안드로이드 애플리케이션의 smali 코드 및 java 코드를 추출할 수 있다. 여기서 달빅 가상 머신은 달빅 바이트 코드를 실행할 수 있는 주체를 의미한다.
이와 같이, 전처리부(511)는 서로 다른 파일 확장자를 가진 기준 애플리케이션을 용이하게 비교할 수 있도록 하기 위한 전처리 과정의 일환으로 기준 애플리케이션의 확장자를 악성코드 검출 장치(1000), 즉 안드로이드 달빅 가상 머신(Android Dalvik Virtual Machine)상에서 동작되는 확장자인 DEX 파일로 변환시키는 컴파일 과정을 수행할 수 있다.
특징정보 추출부(512)는 컴파일된 DEX 바이트코드를 분석하여 적어도 하나의 특징정보를 추출할 수 있다.
상술한 바와 같이, 최근 출시되는 애플리케이션의 경우 다양한 기능들을 가진 써드파티(3rd-party) 라이브러리를 대부분 사용하는 경향이 있다. 이러한 써드파티 라이브러리를 사용하는 경우 패키지명이나 클래스명을 쉽게 위조할 수 있어 악성 코드의 이름을 지정할 때 악성코드를 사용할 수 있다는 문제점이 있다. 또한, 패키지명 또는 클래스명을 화이트리스트 목록으로 구축한 후 이를 비교하여 써드파티 라이브러리를 식별하는 종래 기술에 따르면 패키지명 또는 클래스명의 난독화(obfuscation) 시 판별이 매우 어렵고, 써드파티 라이브러리 이름을 이용하여 악성코드를 제작하는 경우 이를 오탐하게 된다는 문제점이 있다.
따라서, 본 발명에 따른 특징정보 추출부(512)는 난독화 기법으로 변경하기 어려운 특징들을 추출하여 화이트리스트를 구축할 수 있다. 구체적으로, 특징정보 추출부(512)는 클래스의 깊이정보, 접근 제어자(access flag), 메소드 프로토타입의 인수 개수 및 연산 코드의 해시값을 특징정보로 추출할 수 있다.
먼저, 특징정보 추출부(512)는 클래스의 깊이정보를 특징정보로 추출할 수 있다. 이와 관련하여, 도 3을 함께 참조하여 설명하기로 한다.
도 3은 자바 패키지 구조의 일 예가 도시된 도면이다. 구체적으로, 도 3a는 난독화 전의 클래스의 구조가 도시된 도면이고, 도 3b는 난독화 후의 클래스명의 구조가 도시된 도면이다.
자바는 자바 패키지의 클래스를 효율적으로 관리하기 위해 도시된 바와 같이 계층적 패키지 구조를 사용한다. 예를 들어, support 클래스는 v4 클래스 및 v7 클래스의 상위클래스이고, view.class로 명명된 클래스는 네 번째 하위클래스에 위치하고 있다. 계층적 패키지 구조는 클래스명의 충돌을 사전에 방지하고 프로그래머가 패키지별로 접근 권한을 상이하게 설정할 수 있다는 장점이 있다. 그러나, 이러한 계층적 패키지 구조를 유지해야 하는 자바의 특성 때문에, 클래스 난독화 기법 적용 시 도 3b에 도시된 바와 같이 패키지 구조는 그대로 유지한 채 클래스 파일명에 대해서만 난독화 기법을 적용 하거나, 패키지 전체의 이름에 대한 파일명 난독화를 적용하는 Proguard등의 도구를 사용하고 있다. 이때, 해당 자바 패키지에 난독화 기법이 적용되어 view.class의 이름이 aa.class로 변경되더라도, 도 3b에 도시된 바와 같이 패키지의 구조 자체는 유지될 수 있다. 즉, 특징정보 추출부(512)는 변경이 어려운 클래스 정보의 계층 구조를 나타내는 깊이정보를 특징정보로 추출할 수 있다.
다음으로, 특징정보 추출부(512)는 접근 제어자를 특징정보로 추출할 수 있다. 이와 관련하여, 표 1을 함께 참조하여 설명하기로 한다.
표 1은 접근 제어자의 일 예가 표시된 도표이다.
안드로이드 애플리케이션은 공개(public), 비공개(private), 최종(final) 및 동기화(synchronized) 등과 같이 클래스의 멤버 특성 및 접근 레벨을 정의하는 접근 제어자(access flag)를 설정할 수 있다. 즉, 접근 제어자는 DEX 파일 내부에 비트 필드(bit-field)로 설정되어 있으며, 클래스와 클래스 멤버의 접근 제한 및 전체적인 속성을 나타내는 정보로 정의될 수 있다. 예를 들어, 특정 클래스의 접근 제어자가 0X201로 설정된 경우, 해당 클래스의 ACC_PUBLIC과 ACC_INTERFACE 속성은 표 1에 도시된 바와 같이 각각 0X4와 0X200의 값을 가질 수 있다. 이러한 접근 제어자의 정보는 변경되기 어렵기 때문에, 특징정보 추출부(512)는 접근 제어자를 화이트리스트를 구축하기 위한 특징정보로 추출할 수 있다. 이러한 접근 제어자는 클래스에 대한 접근 제어자와 메소드에 대한 접근 제어자를 포함할 수 있다.
또한, 특징정보 추출부(512)는 메소드 프로토타입의 인수 개수를 특징정보로 추출할 수 있다. 이와 관련하여, 도 4를 함께 참조하여 설명하기로 한다.
도 4는 자바 언어에서의 메소드 접근제어자와 프로토타입의 일 예가 도시된 도면이다.
도 2를 함께 참조하면, 메소드 프로토타입(method prototype)은 DEX에서 proto_ids로 정의되며, 메소드의 이름, 반환 유형(return type) 및 인수(argument)를 정의하는 정보이다. 도 4에 도시된 실시예에서 인수는 a1, a2, a3이고, 따라서 인수의 개수는 3개이다. 도시되지 않은 다른 실시예로, getString () 메소드의 헤더의 바이트코드가 [38 00 94 05 DA 28 00 00]인 경우, 처음의 두 바이트인 [38 00]은 클래스의 인덱스를 의미하고, 다음의 두 바이트인 [94 05]는 메소드의 프로토타입 인덱스를 의미한다. 이때, 메소드 프로토타입의 인수 개수는 프로토타입 정보, 즉 프로토타입 인덱스를 기초로 산출될 수 있다. 이러한 메소드 프로토타입은 클래스 이름 난독화 기법이 적용되는 경우 변질되기 쉽지만 인수의 개수는 변경되지 않으므로, 특징정보 추출부(512)는 메소드 프로토타입의 인수 개수를 특징정보로 추출할 수 있다. 즉, 특징정보 추출부(512)는 써드파티 라이브러리가 DEX로 컴파일된 바이트코드로부터 메소드 프로토타입의 인수 개수를 산출할 수 있다.
마지막으로, 특징정보 추출부(512)는 연산 코드의 해시값을 특징정보로 추출할 수 있다. 이와 관련하여, 도 5를 함께 참조하여 설명하기로 한다.
도 5는 동일한 라이브러리를 적용한 애플리케이션의 바이트코드의 일 예가 도시된 도면이다.
써드파티 라이브러리는 일반적으로 웹 저장소로 배포 시 달빅 가상 머신(DVM)에서 실행될 때까지 바이트코드가 최적화 되지 않는다. 하지만, 코드에서 참조하는 스트링 객체의 주소값과 호출하려는 메소드(함수)의 메모리 주소값 등은 매 컴파일 시마다 다르게 나타날 수 있다. 도 6은 동일한 소스코드를 가지며, 동일한 써드파티 라이브러리가 적용된 애플리케이션 A와 A'의 바이트코드가 도시되어 있다. 도 5의 (a) 와 도 5의 (b)는 동일한 라이브러리의 메소드를 호출하고 있지만 애플리케이션의 미묘한 차이로 참조하는 주소값이 바뀐 것(D1, D2)을 확인할 수 있다.
이러한 문제점을 해결하기 위한 방법으로, 종래에는 baksmali도구를 사용하여 바이트코드들을 Smali코드로 변환하는 방법이 개시되어 있다. 종래 기술에 따른 방법을 이용하여 바이트코드를 Smali코드로 변환하게 되면, 참조하고 있는 스트링의 주소가 나타나는 것이 아닌 스트링 정보가 코드상에 나타나고, 호출하려는 함수의 주소가 나타나는 것이 아닌 호출하려는 함수정보가 코드상에 나타나게 된다. 하지만, 종래 기술에 따르면 매번 수행하는 디컴파일 연산의 오버헤드가 크고, 디컴파일 시 사용하는 레지스터 정보가 매번 변경될 수 있다는 단점이 있다.
따라서, 특징정보 추출부(512)는 DEX 바이트코드에서 피연산자를 제거하여 연산 코드(OPCode)를 추출하고, 추출된 연산 코드만을 이용할 수 있다. 이에 따르면, 디컴파일 연산을 생략할 수 있어 종래 기술보다 연산 속도가 향상될 수 있으며, 더욱 정확한 비교가 가능하다. 특징정보 추출부(512)는 안드로이드 달빅 바이트코드의 특수 규칙에 따라 DEX 바이트코드에서 연산 코드를 추출하여 화이트리스트에 저장할 수 있다. 이와 관련하여, 표 2 및 표 3을 함께 참조하여 설명하기로 한다.
표 2 및 표 3은 데이터베이스부(400)에 미리 저장된 안드로이드 달빅 바이트코드의 특수 규칙을 도표화한 일 예이다. 구체적으로, 표 2는 연산 코드에 따른 형식 값 및 구문(syntax)을 나타내는 도표이고, 표 3은 달빅에서 실행 가능한 명령어들의 형식을 나타내는 도표이다.
표 2의 첫번째 열인 연산 코드 및 형식(OPCode & Format)은 표 3의 두 번째 열의 ID에 해당된다. 또한, 표 2의 두 번째 열에서 smali 언어로 변환된 연산 코드의 일 예가 도표화 되어 있다.
따라서, 특징정보 추출부(512)는 데이터베이스부(400)에 미리 저장된 안드로이드 달빅 바이트코드의 특수 규칙을 검색하여 달빅 실행 가능 명령어들의 규칙을 확인할 수 있다. 구체적으로, 특징정보 추출부(512)는 표 2의 첫 번째 열의 형식 값을 표 3의 두 번째 열의 ID 값과 매핑하여 달빅 실행 명령어 형식을 획득할 수 있다. 이때, 표 3의 각 행에 도시된 바와 같이, 데이터베이스부(400)에는 연산 코드뿐 아니라 피연산자의 정보 및 명령어의 크기를 나타내는 정보들이 함께 저장될 수 있다. 특징정보 추출부(512)는 표 3에 나타난 바와 같이 ID의 첫 번째 자리에 2바이트를 곱하여 각 명령어의 크기를 산출할 수 있다.
이때, 특징정보 추출부(512)는 화이트리스트의 효율적인 구축을 위해 연산 코드를 미리 정해진 해시(hash)함수를 이용하여 해시값을 변환시킬 수 있다. 이는, 하나의 메소드로부터 추출될 수 있는 연산 코드의 개수에는 제한이 없으므로, 화이트리스트에 불필요하게 많은 연산 코드가 저장되는 것을 방지하기 위하여 특징정보 추출부(512)는 연산 코드를 해시값으로 변환시킬 수 있다. 여기서, 미리 정해진 해시함수는 128비트 암호화 해시 함수인 MD5(Message-Digest algorithm 5)일 수 있으나, 사용 환경 및 사용자의 설정에 따라 다양한 해시함수를 이용하여 연산 코드를 해시값으로 변환시킬 수 있음은 물론이다.
예를 들어, 도 5의 (a)에서 5번째 줄 바이트코드인 [71 10 67 40 05 00]은 최소 끝 형식(little-endian format)이므로, 최대 끝 형식(big-endian format)인 [10 71 40 67 00 05]로 표시될 수 있다. 이때, 연산 코드는 항상 첫 번째 단어의 하위 8비트에 위치하므로, 특징정보 추출부(512)는 최대 끝 형식으로 표시된 [71]을 연산 코드로 추출할 수 있다. 연산 코드 [71]은 표 2의 첫 번째 열에서 6e와 72사이에 위치하며, 특징정보 추출부(512)는 첫 번째 열에서 35c를, 두 번째 열에서 invoke-static을 각각 획득할 수 있다. 최종적으로, 특징정보 추출부(512)는 데이터베이스부(400)에 저장된 표 3에 대한 달빅에서 실행 가능한 명령어들의 형식을 기초로, 35c를 ID로 매핑함으로써 첫 번째 열과 해당 구문으로부터 [A|G|op BBBBF|E|D|C]를 획득할 수 있다. 따라서, 특징정보 추출부(512)는 추출된 연산 코드들의 집합을 표 2 및 표 3을 기초로 MD5 암호화 해시함수를 통해 고유한 해시값으로 변환시킬 수 있다.
이와 같은 방법으로, 특징정보 추출부(512)는 하나의 기준 애플리케이션에 대하여 클래스의 깊이정보, 접근 제어자, 메소드 프로토타입의 인수 개수 및 연산 코드의 해시값을 특징정보로 추출할 수 있다. 특징정보 추출부(512)는 수신된 모든 기준 애플리케이션 각각에 대한 특징정보를 추출할 수 있다. 이 과정에서, 특징정보 추출부(512)는 DEX로부터 애플리케이션 이름, 업로드 날짜, 써드파티 라이브러리 버전, 패키지명 및 클래스명에 대한 추가정보를 추출할 수 있다. 추가정보는 추후 탐지된 코드가 소속된 클래스와 써드파티 라이브러리를 확인하는 과정에서 사용될 수 있다.
목록 생성부(513)는 특징정보 추출부(512)에 의해 추출된 특징정보들을 이용하여 화이트리스트를 생성할 수 있다. 이와 관련하여, 도 6을 함께 참조하여 설명하기로 한다.
도 6은 화이트리스트 데이터베이스의 스키마가 도시된 도면이다.
도시된 바와 같이, 목록 생성부(513)는 라이브러리 정보 테이블(LibraryInfo), 패키지 정보 테이블(PackageInfo), 클래스 정보 테이블(ClassInfo) 및 메소드 정보 테이블(MethodInfo)로 구성된 화이트리스트 목록을 구축할 수 있다. 도시된 네 개의 테이블은 자바의 패키지 구조와 동일하게 라이브러리 정보 테이블(LibraryInfo), 패키지 정보 테이블(PackageInfo), 클래스 정보 테이블(ClassInfo), 메소드 정보 테이블(MethodInfo) 순서로 계층을 형성하여 구조화 될 수 있다.
목록 생성부(513)는 특징정보를 이용하여 클래스 정보 테이블(ClassInfo) 및 메소드 정보 테이블(MethodInfo)을 생성할 수 있다. 목록 생성부(513) 추출된 특징정보 중 기준 애플리케이션의 연산 코드의 해시값(MethodHash)들과 메소드에 대한 접근 제어자들과, 메소드 프로토타입의 인수 개수에 대한 정보들을 메소드 정보 테이블(MethodInfo)에 포함시킬 수 있다. 그리고, 목록 생성부(513)는 클래스의 깊이정보와, 클래스의 접근 제어자들에 대한 정보들을 클래스 정보 테이블(ClassInfo)에 포함시킬 수 있다. 메소드 정보 테이블(MethodInfo)과 클래스 정보 테이블(ClassInfo)은 검사 대상 애플리케이션에서 화이트리스트에 포함된 코드들을 검출하기 위한 목적으로 사용될 수 있다.
목록 생성부(513)는 추가정보를 이용하여 라이브러리 정보 테이블(LibraryInfo) 및 패키지 정보 테이블(PackageInfo)을 구축할 수 있다. 목록 생성부(513)는 써드파티 라이브러리에 대한 추가정보들(이름, 업데이트 일자, 버전 등)을 이용하여 라이브러리 정보 테이블(LibraryInfo)을 구축할 수 있다. 목록 생성부(513)는 패키지에에 대한 추가정보들(패키지명, 라이브러리 ID)을 이용하여 패키지 정보 테이블(PackageInfo)에 포함시킬 수 있다. 라이브러리 정보 테이블(LibraryInfo)과 패키지 정보 테이블(PackageInfo)은 화이트리스트와의 비교를 통해 검출된 코드의 추가적인 정보를 파악하기 위한 목적으로 사용될 수 있다.
악성코드 검출부(520)는 검사 대상 애플리케이션을 검사하여 악성코드가 존재하는지 여부를 분석할 수 있다. 이때, 악성코드 검출부(520)는 기준 애플리케이션을 기초로 구축된 화이트리스트와 검사 대상 애플리케이션을 비교하여 분석하지 않아도 되는 코드들을 미리 제거하여 분석 효율을 높일 수 있다. 즉, 악성코드 검출부(520)는 구축된 화이트리스트를 이용하여 검사 대상 애플리케이션의 어떠한 코드가 분석 대상에서 제외되어야 하는지를 판단할 수 있다. 이와 관련하여, 도 7을 함께 참조하여 설명하기로 한다.
도 7은 악성코드 검출부(520)에서 검사 대상에서 제외시킬 코드를 탐지하는 알고리즘의 일 예가 도시된 도면이다.
악성코드 검출부(520)는 검사 대상 애플리케이션의 탐지된 라이브러리를 출력부(300)를 통해 화상정보로 출력되도록 제어할 수 있다. 먼저, 악성코드 검출부(520)는 검사 대상 애플리케이션의 메소드에 대한 클래스 깊이정보와 클래스 접근 제어자를 화이트리스트의 클래스 정보 테이블과 비교하여 일치하는 클래스가 있는지를 확인할 수 있다. 악성코드 검출부(520)는 검사 대상 애플리케이션의 클래스 깊이정보와 클래스 접근 제어자가 클래스 정보 테이블에 저장된 값들 중 어느 하나와 일치하는 것으로 확인되면, 검사 대상 애플리케이션의 해당 클래스 ID를 저장할 수 있다. 악성코드 검출부(520)는 저장된 클래스 ID를 참조 키(Foreign Key, FK)로 활용할 수 있다.
계속해서, 악성코드 검출부(520)는 검사 대상 애플리케이션의 메소드에서 추출된 연산 코드의 해시값, 메소드 프로토타입의 인수 개수 및 메소드 접근 제어자를 메소드 정보 테이블과 비교하여 일치하는 메소드가 있는지를 확인할 수 있다. 악성코드 검출부(520)는 화이트리스트를 구성하는 메소드 정보 테이블의 어느 하나의 메소드와 일치하는 것으로 확인되면, 해당 메소드가 포함된 코드를 악성 코드 검사 대상에서 제외시키고, 검사 대상 애플리케이션의 해당 메소드를 메소드 목록(listMethod)에 저장할 수 있다. 메소드 목록은 메소드가 감지되었는지 여부를 확인하기 위하여 배열로 선언된 변수일 수 있다. 악성코드 검출부(520)는 검사 대상 애플리케이션의 모든 메소드에 대한 비교가 완료될 때까지 상술한 단계를 반복하여 수행할 수 있다.
이후, 악성코드 검출부(520)는 화이트리스트로 결정된 응용 프로그램 또는 라이브러리를 업로드하여 목록 생성부(513)에 의해 화이트리스트가 업데이트되도록 제어할 수 있다.
도 8은 본 발명에 따른 악성코드 검출 장치(1000)의 성능 테스트 결과를 나타내는 그래프이다.
성능 테스트를 위하여, 악성코드 검출 장치(1000)는 윈도우 10 및 MySql 5.6이 화이트리스트 데이터베이스 구축 환경에 사용되었다. 또한, 화이트리스트는 페이스북, 구글, 스퀘어, 트위터 및 Android Arsenal에서 배포된 2,900개의 라이브러리를 기초로 구축하였다.
본 발명에 따른 악성코드 검출 장치(1000)에 의해 구축된 화이트리스트의 타당성 및 성능을 평가하기 위하여, 써드파티 안드로이드 마켓인 APPSAPK의 26개의 잘 알려진 안드로이드용 애플리케이션을 비교하였다. 이는 안드로이드 공식 마켓인 플레이스토어를 통하는 것보다 써드파티 애플리케이션 마켓을 통해 악성 코드에 더 많이 감염되기 때문이다.
도시된 바와 같이, 26개의 안드로이드 애플리케이션에서 1,150,629개의 메소드 중 780,321개의 메소드가 발견되었다. 화이트리스트에 포함된 라이브러리는 평균 67%이며, 고품질의 월페이퍼를 제공하는 HD Wallpapers Plus Application의 경우에는 95.90%의 메소드가 화이트리스트에 포함된 메소드인 것으로 검색되었다. 즉, 본원 발명에 따른 악성코드 검출 장치(1000)에 의해 구축된 화이트리스트를 이용하는 경우, 써드파티 라이브러리의 약 67%를 악성 코드 검사 대상에서 제외시킴으로써 애플리케이션에서 악성 코드를 검출하는 소스 코드의 크기를 줄일 수 있다.
도 9는 본 발명의 일 실시예에 따른 악성코드 검출을 위한 화이트리스트 구축 방법의 개략적인 흐름이 도시된 순서도이다.
악성코드 검출 장치(1000)는 화이트리스트 구축을 위해 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하는 전처리과정을 수행할 수 있다(910). 써드파티 라이브러리는 JAR, AAR, APK 및 DEX 형식의 확장자로 구현되며, 악성코드 검출 장치(1000)는 기준 애플리케이션의 확장자를 DEX 파일 형식으로 컴파일할 수 있다.
악성코드 검출 장치(1000)는 컴파일된 써드파티 라이브러리를 분석하여, 연산 코드의 해시값, 메소드 프로토타입의 인수 개수, 클래스 접근 제어자, 메소드가 포함된 클래스의 깊이정보를 포함하는 특징정보를 추출할 수 있다(920). 특징정보는 난독화 기법이 적용되더라도 변경되기 어려운 특징들에 대한 정보이며, 특징정보를 추출하는 구체적인 과정은 상술하였으므로 반복되는 설명은 생략하기로 한다.
악성코드 검출 장치(1000)는 추출된 특징정보를 이용하여 화이트리스트를 구축할 수 있다(930). 화이트리스트는 라이브러리 정보 테이블, 패키지 정보 테이블, 클래스 정보 테이블 및 메소드 정보 테이블이 계층 구조를 형성하고 있으며, 클래스 정보 테이블 및 메소드 정보 테이블은 검사 대상 애플리케이션의 메소드들과 비교하기 위한 테이블이고, 라이브러리 정보 테이블 및 패키지 정보 테이블은 화이트리스트와 일치하는 것으로 탐지된 검사 대상 애플리케이션의 클래스 또는 라이브러리의 추가적인 정보를 제공하기 위한 테이블로 활용될 수 있다.
이후, 악성코드 검출 장치(1000)는 구축된 화이트리스트를 이용하여 검사 대상 애플리케이션을 구성하는 소스코드들 중에서 화이트리스트와 일치하는 메소드를 포함하는 일부 코드를 검사 대상에서 제외시킨 후 나머지 코드들에 대하여 악성코드 검사를 실시할 수 있다.
이와 같은, 악성코드 검출을 위한 화이트리스트 구축 방법을 제공하는 기술은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1000: 악성코드 검출 장치
100: 통신부
200: 입력부
300: 출력부
400: 데이터베이스부
500: 제어부
100: 통신부
200: 입력부
300: 출력부
400: 데이터베이스부
500: 제어부
Claims (13)
- 악성 코드 검출 장치에서 수행되는 악성코드 검출을 위한 화이트리스트 구축 방법에 있어서,
화이트리스트 구축을 위한 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하는 단계; 및
컴파일된 써드파티 라이브러리의 클래스 및 메소드에 대하여, 연산 코드의 해시값, 메소드 프로토타입의 인수 개수, 클래스 접근 제어자, 메소드가 포함된 클래스의 깊이정보 및 메소드 접근 제어자 중 적어도 하나를 포함하는 특징정보를 추출하여 화이트리스트를 생성하는 단계를 포함하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- ◈청구항 2은(는) 설정등록료 납부시 포기되었습니다.◈제1항에 있어서,
상기 안드로이드 가상 머신에서 실행되는 파일 형식은,
안드로이드 달빅 가상 머신에서 동작하는 파일 형식인 DEX인 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
상기 특징정보를 추출하는 것은,
상기 컴파일된 상기 써드파티 라이브러리인 바이트코드에서 피연산자를 제거하여 상기 연산 코드를 추출하고, 상기 연산 코드를 미리 정해진 해시함수를 이용하여 해시값으로 변환하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
상기 특징정보를 추출하는 것은,
상기 컴파일된 상기 써드파티 라이브러리의 메소드의 이름, 반환값의 유형 및 인수를 정의하는 메소드 프로토타입을 분석하여 상기 메소드 프로토타입의 인수 개수를 산출하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
상기 특징정보를 추출하는 것은,
상기 기준 애플리케이션의 생성 시 설정되는 상기 컴파일된 상기 써드파티 라이브러리의 클래스 접근 레벨 및 클래스 멤버의 특성을 정의하는 상기 클래스 접근 제어자를 검색하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
상기 특징정보를 추출하는 것은,
상기 기준 애플리케이션의 생성 시 설정되는 클래스별 계층정보를 기초로 상기 컴파일된 상기 써드파티 라이브러리의 클래스 계층에 대한 상기 깊이정보를 추출하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
상기 화이트리스트를 생성하는 것은,
상기 깊이정보 및 상기 메소드 접근 제어자를 클래스 정보 테이블로 설정하고, 상기 연산 코드의 해시값 및 메소드 프로토타입의 인수 개수를 메소드 정보 테이블로 설정하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제7항에 있어서,
상기 화이트리스트를 생성하는 것은,
악성코드 분석을 위한 검사 대상 애플리케이션을 클래스 정보 테이블 및 상기 메소드 정보 테이블과 비교하는 과정에서 어느 하나의 코드정보가 일치하는 것으로 탐지되면, 상기 코드정보의 라이브러리 버전 및 라이브러리 출시일을 포함하는 추가정보를 제공하는 라이브러리 정보 테이블 및 패키지 정보 테이블을 더 설정하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제1항에 있어서,
검사 대상 애플리케이션의 라이브러리를 상기 화이트리스트에 포함된 특징정보와 비교하는 단계; 및
상기 검사 대상 애플리케이션을 구성하는 복수의 코드정보 중 상기 특징정보와 일치하는 코드정보를 제외한 나머지 코드정보들에 대한 악성코드 분석을 수행하는 단계를 더 포함하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- 제9항에 있어서,
상기 특징정보와 비교하는 것은,
상기 검사 대상 애플리케이션의 라이브러리를 구성하는 어느 하나의 코드정보의 깊이정보 및 접근 제어자를 상기 화이트리스트에 저장된 복수의 상기 깊이정보 및 상기 클래스 접근 제어자와 비교하여 일치하는지를 확인하고, 일치하는 클래스가 존재하면 상기 어느 하나의 코드정보의 연산코드의 해시값, 메소드 프로토타입의 인수 개수 및 메소드 접근 제어자를 상기 화이트리스트에 저장된 복수의 상기 연산 코드의 해시값, 상기 메소드 프로토타입의 인수 개수 및 상기 메소드 접근 제어자와 비교하여 일치하는지를 확인하여 일치하는 메소드가 발견되는 경우, 상기 어느 하나의 코드정보를 상기 특징정보와 일치하는 코드정보인 것으로 판단하는 것을 특징으로 하는, 악성코드 검출을 위한 화이트리스트 구축 방법.
- ◈청구항 11은(는) 설정등록료 납부시 포기되었습니다.◈제1항 내지 제10항 중 어느 하나의 항에 따른 악성코드 검출을 위한 화이트리스트 구축 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
- 화이트리스트 구축을 위한 기준 애플리케이션을 구성하는 써드파티 라이브러리의 확장자를 안드로이드 가상 머신에서 실행되는 확장자로 컴파일하고, 컴파일된 써드파티 라이브러리의 클래스 및 메소드에 대하여, 연산 코드의 해시값, 메소드 프로토타입의 인수 개수, 클래스 접근 제어자, 메소드가 포함된 클래스의 깊이정보 및 메소드 접근 제어자 중 적어도 하나를 포함하는 특징정보를 추출하여 화이트리스트를 생성하는 화이트리스트 생성부; 및
검사 대상 애플리케이션의 라이브러리를 상기 화이트리스트에 포함된 특징정보와 비교하고, 상기 검사 대상 애플리케이션을 구성하는 복수의 코드정보 중 상기 특징정보와 일치하는 코드정보를 제외한 나머지 코드정보들에 대한 악성코드 분석을 수행하는 악성코드 검출부를 포함하는, 악성 코드 검출 장치.
- 제12항에 있어서,
상기 화이트리스트는, 라이브러리 정보 테이블, 패키지 정보 테이블, 클래스 정보 테이블 및 메소드 정보 테이블이 계층 구조를 형성하는 것을 특징으로 하고,
상기 화이트리스트 생성부는,
상기 깊이정보 및 상기 메소드 접근 제어자를 상기 클래스 정보 테이블로 설정하고, 상기 연산 코드의 해시값 및 메소드 프로토타입의 인수 개수를 상기 메소드 정보 테이블로 설정하고, 상기 기준 애플리케이션의 이름, 업로드 날짜, 써드파티 라이브러리 버전, 패키지명 및 클래스명에 대한 추가정보를 이용하여 상기 라이브러리 정보 테이블 및 상기 패키지 정보 테이블을 설정하는, 악성 코드 검출 장치.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170182896A KR102011725B1 (ko) | 2017-12-28 | 2017-12-28 | 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020170182896A KR102011725B1 (ko) | 2017-12-28 | 2017-12-28 | 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20190080445A KR20190080445A (ko) | 2019-07-08 |
| KR102011725B1 true KR102011725B1 (ko) | 2019-08-19 |
Family
ID=67256064
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020170182896A KR102011725B1 (ko) | 2017-12-28 | 2017-12-28 | 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102011725B1 (ko) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102246405B1 (ko) | 2019-07-25 | 2021-04-30 | 호서대학교 산학협력단 | Tf-idf 기반 벡터 변환 및 데이터 분석 장치 및 방법 |
| KR102345016B1 (ko) * | 2020-02-26 | 2021-12-29 | 아주대학교 산학협력단 | 랜섬웨어 감지 방법 및 장치 |
| CN113836528B (zh) * | 2020-06-08 | 2023-10-13 | 中国电信股份有限公司 | 安卓应用查壳方法和装置 |
| CN114489756A (zh) * | 2022-01-29 | 2022-05-13 | 建信金融科技有限责任公司 | 一种代码的质量评估方法、装置、设备及可读存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101541526B1 (ko) | 2012-06-07 | 2015-08-07 | 주식회사 케이티 | 변환 장치, 변환 방법 및 사용자 단말 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101246623B1 (ko) | 2012-09-03 | 2013-03-25 | 주식회사 안랩 | 악성 애플리케이션 진단 장치 및 방법 |
| KR20150044490A (ko) | 2013-10-16 | 2015-04-27 | (주)이스트소프트 | 안드로이드 악성 애플리케이션의 탐지장치 및 탐지방법 |
| KR101549896B1 (ko) * | 2013-11-15 | 2015-09-03 | (주)닥터소프트 | 단말 장치 및 단말 장치의 소프트웨어 관리 방법 |
| KR101617765B1 (ko) * | 2014-07-17 | 2016-05-09 | 주식회사 인프라웨어테크놀러지 | 안드로이드 어플리케이션 패키지의 자동 변환 방법 |
| KR101620931B1 (ko) * | 2014-09-04 | 2016-05-13 | 한국전자통신연구원 | 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법 |
-
2017
- 2017-12-28 KR KR1020170182896A patent/KR102011725B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101541526B1 (ko) | 2012-06-07 | 2015-08-07 | 주식회사 케이티 | 변환 장치, 변환 방법 및 사용자 단말 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20190080445A (ko) | 2019-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8850581B2 (en) | Identification of malware detection signature candidate code | |
| KR102011725B1 (ko) | 악성코드 검출을 위한 화이트리스트 구축 방법 및 이를 수행하기 위한 기록매체 및 장치 | |
| JP5992622B2 (ja) | 悪意あるアプリケーション診断装置及び方法 | |
| US9031922B2 (en) | Code regeneration determination from selected metadata fingerprints | |
| JP7131946B2 (ja) | アプリケーションの保安性を評価する方法およびシステム | |
| US20180260199A1 (en) | Method and apparatus for intermediate representation of applications | |
| US20090144702A1 (en) | System And Program Product for Determining Java Software Code Plagiarism and Infringement | |
| EP3147783B1 (en) | Automatic determination of compiler configuration | |
| US11048798B2 (en) | Method for detecting libraries in program binaries | |
| EP3262557A1 (en) | A method to identify known compilers functions, libraries and objects inside files and data items containing an executable code | |
| KR102006245B1 (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
| US9207920B2 (en) | Systems and methods for remote analysis of software applications | |
| TW201721497A (zh) | 用以檢測運作時期所產生碼中之惡意碼的系統及方法 | |
| CN113961919B (zh) | 恶意软件检测方法和装置 | |
| KR102006242B1 (ko) | 바이너리 파일에 기초하여 오픈소스 소프트웨어 패키지를 식별하는 방법 및 시스템 | |
| KR102073068B1 (ko) | 어플리케이션 클러스터링 방법 및 그 장치 | |
| WO2021175053A1 (zh) | 一种在虚拟机中执行功能模块的方法和装置 | |
| Socała et al. | Automatic profile generation for live Linux Memory analysis | |
| KR20200096766A (ko) | 오픈소스 소프트웨어의 라이선스를 검증하는 방법 및 시스템 | |
| EP3147781A1 (en) | Wrapper calls identification | |
| KR102314829B1 (ko) | 애플리케이션 내부의 데이터 유출 위험성 평가 방법, 이를 수행하기 위한 기록 매체 및 장치 | |
| CN114417347A (zh) | 应用程序的漏洞检测方法、装置、设备、存储介质和程序 | |
| KR102174475B1 (ko) | 머신러닝을 이용하여 애플리케이션의 난독화 또는 패킹 여부를 식별하는 시스템과, 그것을 포함하는 은폐된 멀웨어 탐지 분류 시스템 및 방법 | |
| CN114706586A (zh) | 代码编译、代码运行方法、装置、计算机设备及存储介质 | |
| KR101845155B1 (ko) | 어플리케이션 패키지를 제공하는 방법 및 시스템, 그리고 어플리케이션을 실행하는 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |