KR102099506B1 - 악성 앱 탐지 애플리케이션 진단 장치 및 방법 - Google Patents

악성 앱 탐지 애플리케이션 진단 장치 및 방법 Download PDF

Info

Publication number
KR102099506B1
KR102099506B1 KR1020180076255A KR20180076255A KR102099506B1 KR 102099506 B1 KR102099506 B1 KR 102099506B1 KR 1020180076255 A KR1020180076255 A KR 1020180076255A KR 20180076255 A KR20180076255 A KR 20180076255A KR 102099506 B1 KR102099506 B1 KR 102099506B1
Authority
KR
South Korea
Prior art keywords
dynamic analysis
analysis algorithm
event
malicious app
detection application
Prior art date
Application number
KR1020180076255A
Other languages
English (en)
Other versions
KR20200003455A (ko
Inventor
호준원
Original Assignee
서울여자대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 서울여자대학교 산학협력단 filed Critical 서울여자대학교 산학협력단
Priority to KR1020180076255A priority Critical patent/KR102099506B1/ko
Publication of KR20200003455A publication Critical patent/KR20200003455A/ko
Application granted granted Critical
Publication of KR102099506B1 publication Critical patent/KR102099506B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 악성 앱 탐지 애플리케이션 진단 장치에 관한 것이다. 본 발명의 일 실시 예에 따른 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치에 있어서, 상기 악성 앱 탐지 애플리케이션이 실행하는 이벤트에 관한 정보를 수집하는 이벤트 스캐닝부 및 상기 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 제어부를 포함한다.

Description

악성 앱 탐지 애플리케이션 진단 장치 및 방법{METHOD AND APPARATUS FOR DIAGNOSING MALICIOUS APP DETECTED APPLICATION}
본 발명은 악성 앱 탐지 애플리케이션 진단 장치에 관한 것이다.
정적 분석 기법은 앱의 코드 만을 분석하여 해당 앱의 악성여부를 판단한다. 반면에 앱이 난독화되어 있는 경우에 정적 분석 기법이 앱의 코드를 분석하여 정확한 판단을 내리기가 어려운 점이 있다.
그렇기 때문에 난독화된 앱의 악성 여부를 판단하기 위해서는 실제로 난독화된 앱을 실행시켜 악성 행위를 하는지 여부를 보아야 한다. 이러한 행위 기반 분석이 동적 분석 기법이며, 악성 앱 탐지를 위해서 필수적인 요소로 되어 가고 있다.
그러나 동적 분석 기법이 잘 동작하기 위해서는 악성 앱이 동적 분석을 회피하지 않도록 하는게 중요하다. 동적 분석에서 일반적인 악성 앱들은 자신들의 악성 행위를 감추지 않고 드러내기 때문에 탐지가 되지만, 지능적인 악성 앱들은 동적 분석이 진행되는 것을 알고 동적 분석을 회피하는 행위를 할 수 있다.
이와 같이 종래 기술은 지능형 악성 앱에 대한 동적 분석의 보안성 여부를 판단하지 못하는 문제가 있다.
따라서, 본 발명에서는 종래 기술이 해결하지 못하는 지능형 악성 앱에 대한 동적 분석의 보안성 여부 판단한다.
본 발명은 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하기 위한 것이다.
본 발명의 일 측면에 따르면, 악성 앱 탐지 애플리케이션 진단 장치는 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치에 있어서, 상기 악성 앱 탐지 애플리케이션이 실행하는 이벤트에 관한 정보를 수집하는 스캐닝부; 및 상기 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 제어부;를 포함할 수 있다.
또한, 상기 스캐닝부는, 상기 악성 앱 탐지 애플리케이션이 실행하는 제 k 이벤트(k는 자연수)에 관한 정보를 수집할 수 있다.
또한, 상기 악성 앱 탐지 애플리케이션이 실행하는 제 k 이벤트는, 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트이거나 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트일 수 있다.
또한, 상기 제어부는, 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트일 확률이, 사용자 단말에서 동적 분석 알고리즘이 수행되지 않는다는 가설하에서, 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성보다 작거나 같으면 사용자 단말에서 동적 분석 알고리즘이 수행되지 않는다는 가설의 가능성이 높다고 결정할 수 있다.
또한, 상기 제어부는, 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트일 확률이, 사용자 단말에서 동적 분석 알고리즘이 수행될 때 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성보다 크거나 같으면 사용자 단말에서 동적 분석 알고리즘 수행될 가능성이 높다고 결정할 수 있다.
상기 제어부는, 상기 스캐닝부를 통해 수집된 전체 이벤트 중 m개의 이벤트(m은 자연수)를 선택하고, 상기 선택된 m개의 이벤트 중 동적 분석 알고리즘을 통해 선택될 확률이 기 설정된 확률보다 높은 이벤트의 수를 산출할 수 있다.
상기 제어부는, 상기 산출된 이벤트의 수가 기 결정된 제 1 임계값보다 작거나 같으면, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성이 없는 것으로 결정하고, 상기 산출된 이벤트의 수가 기 결정된 제 2 임계값보다 크거나 같으면 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피가능성이 있는 것으로 결정할 수 있다.
또한, 상기 제어부는, 상기 산출된 이벤트의 수가 상기 제 1 임계값보다 크고 상기 제 2 임계값보다 작으면, 상기 스캐닝부에서 구분된 전체 이벤트 중 또 다른 이벤트를 더 선택하여 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 대한 회피가능성의 여부를 결정할 수 있다.
본 발명의 다른 측면에 의하면, 악성 앱 탐지 애플리케이션 진단 방법은 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치가, 상기 악성 앱 탐지 애플리케이션이 실행하는 이벤트에 관한 정보를 수집하는 단계; 및 상기 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 단계;를 포함할 수 있다.
또한, 스마트 디바이스와 결합되어 악성 앱 탐지 애플리케이션 진단 방법에 따른 악성 앱 탐지 애플리케이션 진단 방법을 실행시키기 위하여 매체에 저장된 애플리케이션일 수 있다.
본 발명의 일 실시 예에 의하면, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단할 수 있다.
도 1은 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 시스템의 블록도이다.
도 2는 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 장치의 세부적인 블록도이다.
도 3은 본 발명의 실시 예에 따른 악성 앱 탐지 애플리케이션 진단 방법에 대한 흐름도이다.
도 4는 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 방법의 구체적인 실시 예이다.
이하, 본 발명의 실시 예를 첨부된 도면들을 참조하여 더욱 상세하게 설명한다. 본 발명의 실시 예는 여러 가지 형태로 변형할 수 있으며, 본 발명의 범위가 아래의 실시 예들로 한정되는 것으로 해석되어서는 안 된다. 본 실시 예는 당업계에서 평균적인 지식을 가진 자에게 본 발명을 더욱 완전하게 설명하기 위해 제공되는 것이다. 따라서 도면에서의 요소의 형상은 보다 명확한 설명을 강조하기 위해 과장되었다.
한편, 본 명세서 전체에서 사용되는 '~부', '~기', '~블록', '~모듈' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미할 수 있다. 예를 들어 소프트웨어, FPGA 또는 ASIC과 같은 하드웨어 구성요소를 의미할 수 있다. 그렇지만 '~부', '~기', '~블록', '~모듈' 등이 소프트웨어 또는 하드웨어에 한정되는 의미는 아니다. '~부', '~기', '~블록', '~모듈'은 어드레싱할 수 있는 저장 매체에 있도록 구성될 수도 있고 하나 또는 그 이상의 프로세서들을 재생시키도록 구성될 수도 있다.
따라서, 일 예로서 '~부', '~기', '~블록', '~모듈'은 소프트웨어 구성요소들, 객체지향 소프트웨어 구성요소들, 클래스 구성요소들 및 태스크 구성요소들과 같은 구성요소들과, 프로세스들, 함수들, 속성들, 프로시저들, 서브루틴들, 프로그램 코드의 세그먼트들, 드라이버들, 펌웨어, 마이크로 코드, 회로, 데이터, 데이터 베이스, 데이터 구조들, 테이블들, 어레이들 및 변수들을 포함한다. 구성요소들과 '~부', '~기', '~블록', '~모듈'들 안에서 제공되는 기능은 더 작은 수의 구성요소들 및 '~부', '~기', '~블록', '~모듈'들로 결합되거나 추가적인 구성요소들과 '~ 부', '~기', '~블록', '~모듈'들로 더 분리될 수 있다.
이하, 본 명세서에 첨부된 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.
도 1은 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 시스템의 블록도이다.
도 1을 참조하면, 악성 앱 탐지 애플리케이션 진단 시스템(1)은 애플리케이션(10), 악성 앱 탐지 애플리케이션(20) 및 악성 앱 탐지 애플리케이션 진단 장치(30)를 포함한다.
여기서, 애플리케이션(10)은 일반 사용자가 이용하는 단말기(예를 들면, 스마트폰, 태블릿 PC 등)에 설치된 응용 프로그램이다. 애플리케이션(10)은 이동통신망이나 인터넷 망을 통해 다운 받은 사용자에게 서비스를 제공하는 응용 프로그램이다.
상기 악성 앱 탐지 애플리케이션(20)은 사용자 단말에서 동적 분석 알고리즘에 기반하여 애플리케이션(10)에 실행 코드에 포함되는 악성 코드, 변종 악성 코드 및 알려지지 않은 악성 코드에 대한 진단을 한다. 그리고 본 발명에서 악성 앱 탐지 애플리케이션이 실행하는 이벤트와 관련하여, 악성 앱 탐지 애플리케이션이 실행하는 제 k 이벤트에 관한 정보가 스캐닝부(31)에서 수집된다. 여기서, k는 자연수이다.
상기 악성 앱 탐지 애플리케이션 진단 장치(30)는 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션(20)의 악성 앱에 의한 회피 가능성을 진단한다.
정리하면, 사용자 단말에 애플리케이션(10)이 있고, 사용자 단말에 설치된 애플리케이션(10)을 동적 분석 알고리즘을 기초로 악성 앱을 탐지하는 애플리케이션(20)이 있고, 동적 분석 알고리즘을 기초로 악성 앱을 탐지하는 애플리케이션(20)의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치(30)가 있는 것이다.
도 2는 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 장치의 세부적인 블록도이다.
도 2를 참조하면 악성 앱 탐지 애플리케이션 진단 장치(30)는 스캐닝부(31) 및 제어부(32)를 포함한다.
상기 스캐닝부(31)는 악성 앱 탐지 애플리케이션이 실행하는 이벤트에 관한 정보를 수집한다. 여기서, 스캐닝부(31)를 통해 수집되는 이벤트는 UI(User Interface)와 같은 다양한 이벤트들을 포함한다. 예를 들면, 사용자가 잠금화면을 푸는 이벤트, 날씨 애플리케이션을 선택하는 이벤트 및 사용자 단말의 물리 버튼을 선택하여 사용자 단말의 볼륨을 키우는 이벤트 등 다양한 이벤트일 수 있다.
본 발명의 일 실시 예에 따르면, 악성 앱 탐지 애플리케이션이 실행하는 이벤트는 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트이거나 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트로 구분되어 수집된다. 다시 말하면, 스캐닝부(31)를 통해 수집되는 이벤트들은 크게 두가지 이벤트로 구분된다.
예를 들면, 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트는 주로 사용자로부터 입력 받는 사용자 인터페이스와 연관된 이벤트이거나 시스템에 의해 발생되는 이벤트이고, 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트는 주로 랜덤하게 선택된 이벤트들이다.
상기 제어부(32)는 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단한다. 또한, 제어부(32)는 난독화하여 정적 분석을 회피할 수 있다.
제어부(32)가 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션에서 악성 앱이 동적 분석을 회피할 가능성을 진단하는 방법에 대한 자세한 설명은 후술하기로 한다.
도 3은 본 발명의 실시 예에 따른 악성 앱 탐지 애플리케이션 진단 방법에 대한 흐름도이다.
도 3을 참조하면, 악성 앱 탐지 애플리케이션 진단 방법은 아래와 같다.
본 발명의 일 실시 예에 따르면, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션에서 악성 앱이 동적 분석을 회피할 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치(30)는 수집하는 단계(S10) 및 진단하는 단계(S20)를 포함한다.
상기 수집하는 단계(S10)는 악성 앱 탐지 애플리케이션이 실행하는 이벤트에 관한 정보를 수집하고, 상기 진단하는 단계(S20)는 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션에서 악성 앱이 동적 분석을 회피할 가능성을 진단한다.
이와 같이 악성 앱 탐지 애플리케이션 진단 방법은 진단하는 단계(S20)를 통해 수집하는 단계(S10)에서 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단한다.
도 4는 본 발명의 실시 예에 따른, 악성 앱 탐지 애플리케이션 진단 방법의 구체적인 실시 예이다.
도 4를 참조하여, 악성 앱 탐지 애플리케이션 진단 방법을 설명하면 아래와 같다.
먼저, 사용자 단말에서 동적 분석 알고리즘이 수행되지 않는다는 가설(H0)과 이에 대립되는 사용자 단말에서 동적 분석 알고리즘이 수행되고 있다는 대립가설(H1)을 설정하고, 스캐닝부(31)에서 수집된 이벤트 중 k번째 실행되는 이벤트를
Figure 112018064588644-pat00001
, 상기 이벤트 중 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트를
Figure 112018064588644-pat00002
, 상기 이벤트 중 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트를
Figure 112018064588644-pat00003
라 한다.
그리고,
Figure 112018064588644-pat00004
는 Bernoulli(베르누이) 확률 변수로 다음과 같이 정의한다.
Figure 112018064588644-pat00005
여기서,
Figure 112018064588644-pat00006
는 하나의 샘플로 보며 각각의 이벤트(
Figure 112018064588644-pat00007
)들은 독립적으로 발생하기 때문에
Figure 112018064588644-pat00008
가 독립적으로 동일하게 분포되어 있다고 가정한다.
Bernoulli(베르누이) 확률 분포에 따른 성공확률
Figure 112018064588644-pat00009
는 다음과 같이 정의한다.
Figure 112018064588644-pat00010
여기서,
Figure 112018064588644-pat00011
는 수집된 이벤트 중에서 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트일 확률을 말한다.
Figure 112018064588644-pat00012
본 발명에서
Figure 112018064588644-pat00013
는 사용자 단말에서 동적 분석 알고리즘이 수행되지 않을 때, 스캐닝부(31)에서 수집된 이벤트 중 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성을 말하고,
Figure 112018064588644-pat00014
는 사용자 단말에서 동적 분석 알고리즘이 수행될 때, 스캐닝부(31)에서 수집된 이벤트 중 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성을 말한다.
본 발명의 일 실시 예에 따르면, 제어부(32)는 스캐닝부(31)에서 수집된 m개의 이벤트 중에서 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트일 확률(
Figure 112019132680778-pat00015
)이 사용자 단말에서 동적 분석 알고리즘이 수행 되지 않는다는 가설하에서(H0) 스캐닝부(31)에서 수집된 이벤트 중 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성(
Figure 112019132680778-pat00016
)보다 작거나 같으면 사용자 단말에서 동적 분석 알고리즘이 수행되지 않을 가능성이 높다고 결정한다.
본 발명의 일 실시 예에 따르면, 제어부(32)는 스캐닝부(31)에서 수집된 m개의 이벤트 중 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 일 확률(
Figure 112019132680778-pat00017
)이 사용자 단말에서 동적 분석 알고리즘이 수행된다는 가설하에서(H1) 스캐닝부(31)에서 수집된 이벤트 중에서 k번째 실행되는 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성(
Figure 112019132680778-pat00018
)보다 크거나 같으면 사용자 단말에서 동적 분석 알고리즘이 수행될 가능성이 높다고 결정한다.
이와 같은 과정은 k가 1부터 기 설정된 자연수에 이르기까지 반복하여 수행된다.
나아가, 본 발명에서
Figure 112018064588644-pat00019
는 m개의 샘플 중에서
Figure 112018064588644-pat00020
인 샘플의 수를 말한다. 여기서, m은 자연수이다.
본 발명의 일 실시 예에 따르면, 제어부(32)는 사용자 단말에서 동적 분석 알고리즘이 수행되고 있는지 여부를 결정하기 위해 전체 이벤트 중에서 임의의
Figure 112019132680778-pat00021
개의 이벤트를 선택하고(S21), 선택된 m개의 이벤트 중 동적 분석 알고리즘을 통해 선택될 확률이 기 설정된 확률보다 높은 이벤트의 수를 산출한다(S22).
그러고 나서, 산출된 이벤트의 수가 기 결정된 제 1 임계값(t0)보다 작거나 같으면(
Figure 112019132680778-pat00022
, S23), H0 가설이 채택되어서, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성이 없는 것으로 결정하고(S24), 산출된 이벤트의 수가 기 결정된 제 2 임계값(t1)보다 크거나 같으면(
Figure 112019132680778-pat00023
, S25), H1 가설이 채택되어서, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 대한 회피 가능성이 있는 것으로 결정한다(S26).
더해서, 산출된 이벤트의 수가 제 1 임계값(t0)보다 크고 제 2 임계값(t1)보다 작으면(
Figure 112018064588644-pat00024
, S27), 스캐닝부(31)에서 구분된 전체 이벤트 중 또 다른 이벤트를 더 선택하여 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 대한 회피 가능성 여부를 결정한다.
Figure 112018064588644-pat00025
여기서,
Figure 112018064588644-pat00026
은 위와 같이 정의하고,
Figure 112018064588644-pat00027
,
Figure 112018064588644-pat00028
,
Figure 112018064588644-pat00029
Figure 112018064588644-pat00030
는 설정 가능한 파라미터이다.
본 발명의 일 실시 예에 따르면, 스마트 디바이스와 결합되어 상기의 악성 앱 탐지 애플리케이션 진단 방법에 따른 악성 앱 탐지 애플리케이션 진단 방법을 실행시키기 위하여 매체에 저장될 수 있다.
이상의 상세한 설명은 본 발명을 예시하는 것이다. 또한 전술한 내용은 본 발명의 바람직한 실시 형태를 나타내어 설명하는 것이며, 본 발명은 다양한 다른 조합, 변경 및 환경에서 사용할 수 있다. 즉 본 명세서에 개시된 발명의 개념의 범위, 저술한 개시 내용과 균등한 범위 및/또는 당업계의 기술 또는 지식의 범위내에서 변경 또는 수정이 가능하다. 저술한 실시예는 본 발명의 기술적 사상을 구현하기 위한 최선의 상태를 설명하는 것이며, 본 발명의 구체적인 적용 분야 및 용도에서 요구되는 다양한 변경도 가능하다. 따라서 이상의 발명의 상세한 설명은 개시된 실시 상태로 본 발명을 제한하려는 의도가 아니다. 또한 첨부된 청구범위는 다른 실시 상태도 포함하는 것으로 해석되어야 한다.
10 : 애플리케이션
20 : 악성 앱 탐지 애플리케이션
30 : 악성 앱 탐지 애플리케이션 진단 장치
31 : 스캐닝부
32 : 제어부

Claims (10)

  1. 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치에 있어서,
    상기 악성 앱 탐지 애플리케이션이 실행하는 제 k 이벤트(k는 자연수)에 관한 정보를 수집하는 스캐닝부; 및
    상기 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 제어부;를 포함하고,
    상기 제 k 이벤트는 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트 그룹 또는 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하며,
    상기 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트 그룹에 속하는 이벤트의 확률변수 값은 0으로 정의되고,
    상기 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하는 이벤트의 확률변수 값은 1로 정의되며,
    상기 제어부는,
    상기 스캐닝부를 통해 수집된 전체 이벤트 중 m개의 이벤트(m은 자연수)를 선택하고, 상기 선택된 m개의 이벤트 중 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하는 이벤트의 개수를 산출하고, 상기 산출된 이벤트의 수에 따라 악성 앱에 의한 회피 가능성이 있는지 여부를 결정하는 악성 앱 탐지 애플리케이션 진단 장치.
  2. 삭제
  3. 삭제
  4. 제 1 항에 있어서,
    상기 제어부는,
    상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속할 확률이, 사용자 단말에서 동적 분석 알고리즘이 수행되지 않을 때 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성보다 작거나 같으면 사용자 단말에서 동적 분석 알고리즘이 수행되지 않을 가능성이 높다고 결정하는 악성 앱 탐지 애플리케이션 진단 장치.
  5. 제 1 항에 있어서,
    상기 제어부는,
    상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속할 확률이, 사용자 단말에서 동적 분석 알고리즘이 수행될 때 상기 스캐닝부에서 수집된 이벤트 중 제 k 이벤트가 동적 분석 알고리즘을 통해 선택될 가능성보다 크거나 같으면 사용자 단말에서 동적 분석 알고리즘 수행될 가능성이 높다고 결정하는 악성 앱 탐지 애플리케이션 진단 장치.
  6. 삭제
  7. 제 1 항에 있어서,
    상기 제어부는,
    상기 산출된 이벤트의 수가 기 결정된 제 1 임계값보다 작거나 같으면, 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성이 없는 것으로 결정하고, 상기 산출된 이벤트의 수가 기 결정된 제 2 임계값보다 크거나 같으면 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피가능성이 있는 것으로 결정하는 악성 앱 탐지 애플리케이션 진단 장치.
  8. 제 7 항에 있어서,
    상기 제어부는,
    상기 산출된 이벤트의 수가 상기 제 1 임계값보다 크고 상기 제 2 임계값보다 작으면, 상기 스캐닝부에서 구분된 전체 이벤트 중 또 다른 이벤트를 더 선택하여 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 대한 회피가능성의 여부를 결정하는 악성 앱 탐지 애플리케이션 진단 장치.
  9. 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 악성 앱 탐지 애플리케이션 진단 장치가,
    상기 악성 앱 탐지 애플리케이션이 실행하는 제 k 이벤트(k는 자연수)에 관한 정보를 수집하는 단계; 및
    상기 수집된 이벤트에 관한 정보를 기초로 사용자 단말에서 동적 분석 알고리즘에 기반한 악성 앱 탐지 애플리케이션의 악성 앱에 의한 회피 가능성을 진단하는 단계;를 포함하고,
    상기 제 k 이벤트는 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트 그룹 또는 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하며,
    상기 동적 분석 알고리즘을 통해 선택될 가능성이 낮은 이벤트 그룹에 속하는 이벤트의 확률변수 값은 0으로 정의되고,
    상기 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하는 이벤트의 확률변수 값은 1로 정의되며,
    상기 진단하는 단계는:
    상기 수집하는 단계에서 정보가 수집된 전체 이벤트 중 m개의 이벤트(m은 자연수)를 선택하는 단계;
    상기 선택된 m개의 이벤트 중 동적 분석 알고리즘을 통해 선택될 가능성이 높은 이벤트 그룹에 속하는 이벤트의 개수를 산출하는 단계; 및
    상기 산출된 이벤트의 수에 따라 악성 앱에 의한 회피 가능성이 있는지 여부를 결정하는 단계;를 포함하는 악성 앱 탐지 애플리케이션 진단 방법.
  10. 스마트 디바이스와 결합되어 제 9 항에 따른 악성 앱 탐지 애플리케이션 진단 방법을 실행시키기 위하여 매체에 저장된 애플리케이션.
KR1020180076255A 2018-07-02 2018-07-02 악성 앱 탐지 애플리케이션 진단 장치 및 방법 KR102099506B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180076255A KR102099506B1 (ko) 2018-07-02 2018-07-02 악성 앱 탐지 애플리케이션 진단 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180076255A KR102099506B1 (ko) 2018-07-02 2018-07-02 악성 앱 탐지 애플리케이션 진단 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20200003455A KR20200003455A (ko) 2020-01-10
KR102099506B1 true KR102099506B1 (ko) 2020-04-09

Family

ID=69158627

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180076255A KR102099506B1 (ko) 2018-07-02 2018-07-02 악성 앱 탐지 애플리케이션 진단 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102099506B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101803890B1 (ko) 2017-01-18 2017-12-04 한국인터넷진흥원 분석 회피형 악성 앱 탐지 방법 및 장치
KR101856385B1 (ko) * 2016-12-09 2018-05-10 서울여자대학교 산학협력단 클라우드 동적분석 기반의 악성앱 탐지 방법 및 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9875357B2 (en) * 2015-02-06 2018-01-23 Qualcomm Incorporated Methods and systems for detecting fake user interactions with a mobile device for improved malware protection

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101856385B1 (ko) * 2016-12-09 2018-05-10 서울여자대학교 산학협력단 클라우드 동적분석 기반의 악성앱 탐지 방법 및 시스템
KR101803890B1 (ko) 2017-01-18 2017-12-04 한국인터넷진흥원 분석 회피형 악성 앱 탐지 방법 및 장치

Also Published As

Publication number Publication date
KR20200003455A (ko) 2020-01-10

Similar Documents

Publication Publication Date Title
US11184401B2 (en) AI-driven defensive cybersecurity strategy analysis and recommendation system
US10701091B1 (en) System and method for verifying a cyberthreat
EP3506139B1 (en) Malware detection in event loops
US11200491B2 (en) Artificial intelligence with cyber security
KR102017756B1 (ko) 이상행위 탐지 장치 및 방법
US20220201042A1 (en) Ai-driven defensive penetration test analysis and recommendation system
TWI528216B (zh) 隨選檢測惡意程式之方法、電子裝置、及使用者介面
CN108280348B (zh) 基于rgb图像映射的安卓恶意软件识别方法
US8661543B2 (en) Mobile terminal having security diagnosis functionality and method of making diagnosis on security of mobile terminal
CN102402479B (zh) 用于静态分析的中间表示结构
US11575688B2 (en) Method of malware characterization and prediction
CN110958246B (zh) 一种基于web服务器的动态智能防护方法及其应用
CN112565278A (zh) 一种捕获攻击的方法及蜜罐系统
KR20180060616A (ko) Rba기반 통합 취약점 진단 방법
KR102099506B1 (ko) 악성 앱 탐지 애플리케이션 진단 장치 및 방법
CN110691090B (zh) 网站检测方法、装置、设备及存储介质
CN109684826B (zh) 应用程序沙箱反逃逸方法和电子设备
CN114036314B (zh) 一种基于知识图谱的渗透路径识别方法及系统
JP6976194B2 (ja) 脆弱性判定システム、脆弱性判定方法及びコンピュータプログラム
Pavlenko et al. Application of clustering methods for analyzing the security of Android applications
CN106778276B (zh) 一种检测无实体文件恶意代码的方法及系统
US20210345527A1 (en) Data Center Liquid Conduction Cooling Apparatus And Method
CN112367336B (zh) webshell拦截检测方法、装置、设备及可读存储介质
CN113190836A (zh) 一种基于本地命令执行的web攻击行为检测方法及系统
CN111212029A (zh) 一种敏感数据监测与跟踪方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right