KR102177203B1 - 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체 - Google Patents

악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체 Download PDF

Info

Publication number
KR102177203B1
KR102177203B1 KR1020200110214A KR20200110214A KR102177203B1 KR 102177203 B1 KR102177203 B1 KR 102177203B1 KR 1020200110214 A KR1020200110214 A KR 1020200110214A KR 20200110214 A KR20200110214 A KR 20200110214A KR 102177203 B1 KR102177203 B1 KR 102177203B1
Authority
KR
South Korea
Prior art keywords
malicious code
api
electronic device
code
suspicious
Prior art date
Application number
KR1020200110214A
Other languages
English (en)
Inventor
최원천
Original Assignee
주식회사 엠티커뮤니케이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 엠티커뮤니케이션 filed Critical 주식회사 엠티커뮤니케이션
Priority to KR1020200110214A priority Critical patent/KR102177203B1/ko
Application granted granted Critical
Publication of KR102177203B1 publication Critical patent/KR102177203B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06TIMAGE DATA PROCESSING OR GENERATION, IN GENERAL
    • G06T3/00Geometric image transformation in the plane of the image
    • G06T3/40Scaling the whole image or part thereof

Abstract

다양한 실시예들에 따라서, 악성 코드를 탐지하는 방법은, 악성 의심 코드를 수집하는 동작, 상기 악성 의심 코드의 메타 데이터를 이용하여 상기 악성 의심 코드에 대한 스코어(score)를 계산하는 동작, 상기 스코어가 제1 값 이하인 경우, 상기 악성 의심 코드를 정상 코드로 판단하는 동작, 상기 스코어가 상기 제1 값보다 큰 제2 값을 초과하는 경우, 상기 악성 의심 코드를 악성 코드로 판단하는 동작, 및 상기 스코어가 상기 제1 값을 초과하고, 상기 제2 값 이하인 경우, 상기 악성 의심 코드의 상기 메타 데이터를 그레이 스케일(gray scale)의 영상 데이터로 변환하고, 유사 이미지 검색을 위한 인공 지능 모델 및 상기 영상 데이터를 이용하여 상기 악성 의심 코드가 악성 코드인지 여부를 판단하는 동작을 포함할 수 있다. 그 밖의 다양한 실시예가 가능하다.

Description

악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체{METHOD AND COMPUTER READABLE RECORDING MEDIUM FOR DETECTING MALWARE}
본 발명의 다양한 실시예는, 특정 파일에 대한 악성 코드를 탐지하는 방법 및 악성 코드 탐지 방법이 저장된 컴퓨터 판독 가능한 저장 매체에 관한 것이다.
악성 코드는 컴퓨터 바이러스, 트로이 목마, 스파이웨어(spyware), 웜(worm), 백도어(backdoor), 루트킷(rootkit), 랜섬웨어 등의 다양한 형태로 사용자에게 해를 끼치는 모든 코드(code)를 총칭한다.
악성 코드를 탐지하고 차단하는 다양한 기술들이 개발되고 있지만 악성 코드도 이와 함께 진화하고 있기 때문에 종래의 악성 코드 탐지기술로 신규의 악성 코드를 탐지하는 데에는 한계를 가진다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 창작된 것으로서, 본 발명의 다양한 실시예에 따른 악성 코드 탐지 방법은, 악성 의심 코드의 메타 데이터를 이용하여 악성 의심 코드에 대한 스코어를 계산하고, 스코어에 따라 악성 코드인지 여부를 정밀하게 탐지하는 장치 및 방법을 제공할 수 있다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
다양한 실시예들에 따라서, 악성 코드를 탐지하는 방법은, 악성 의심 코드를 수집하는 동작, 상기 악성 의심 코드의 메타 데이터를 이용하여 상기 악성 의심 코드에 대한 스코어(score)를 계산하는 동작, 상기 스코어가 제 1 값 이하인 경우, 상기 악성 의심 코드를 정상 코드로 판단하는 동작, 상기 스코어가 상기 제 1 값보다 큰 제 2 값을 초과하는 경우, 상기 악성 의심 코드를 악성 코드로 판단하는 동작, 및 상기 스코어가 상기 제 1 값을 초과하고, 상기 제 2 값 이하인 경우, 상기 악성 의심 코드의 상기 메타 데이터를 그레이 스케일(gray scale)의 영상 데이터로 변환하고, 유사 이미지 검색을 위한 인공 지능 모델 및 상기 영상 데이터를 이용하여 상기 악성 의심 코드가 악성 코드인지 여부를 판단하는 동작을 포함할 수 있다.
상기 악성 의심 코드에 대한 상기 스코어를 계산하는 동작은, 상기 악성 의심 코드의 상기 메타 데이터에 대한 정적 분석 및 프로파일링 분석을 수행하여 상기 악성 의심 코드에 대한 상기 스코어를 계산하는 동작을 포함할 수 있다.
상기 악성 의심 코드가 상기 악성 코드인지 여부를 판단하는 동작은, 상기 그레이 스케일로 변환된 상기 영상 데이터를 상기 인공 지능 모델에 적용함으로써, 상기 그레이 스케일로 변환된 상기 영상 데이터와 미리 설정된 유사도 이상을 갖는 영상 데이터를 검색하는 동작, 및 상기 검색된 영상 데이터 중에서 과반수에 해당하는 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단하는 동작을 포함할 수 있다.
상기 악성 의심 코드가 상기 악성 코드인지 여부를 판단하는 동작은, 상기 그레이 스케일로 변환된 상기 영상 데이터를 상기 인공 지능 모델에 적용함으로써, 상기 그레이 스케일로 변환된 상기 영상 데이터와 가장 높은 유사도를 갖는 영상 데이터를 검색하는 동작, 및 상기 검색된 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단하는 동작을 포함할 수 있다.
상기 악성 의심 코드를 상기 악성 코드로 판단한 경우, 상기 악성 의심 코드를 포함하는 파일을 삭제하고 상기 악성 의심 코드를 다운로드하기 위하여 접속한 특정 링크를 차단하는 동작을 더 포함할 수 있다.
상기 인공 지능 모델은 미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 하여 훈련되고, 및 상기 인공 지능 모델은 컨볼루션 신경망(CNN: Convolution Neural Network) 알고리즘을 사용할 수 있다.
또한 본 발명의 일 실시예는 전술한 방법을 컴퓨터상에서 수행하기 위한 프로그램을 기록한 컴퓨터 판독 가능한 기록 매체를 제안한다.
본 발명의 다양한 실시예에 따라, 1차적으로 스코어에 기반하여 악성 의심 코드를 악성 코드인지 또는 정상 코드인지를 탐지할 뿐만 아니라 악성 코드와 정상 코드 사이에서 구분하기 어려운 코드에 대하여 영상 데이터 변환을 수행하고, 변환된 영상 데이터 및 이미지 검색 인공 지능 모델을 이용하여 더욱 면밀하게 악성 의심 코드에 대한 분석을 수행할 수 있는 방법을 제공할 수 있다.
본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 특정한 바람직한 실시예들의 상기에서 설명한 바와 같은 또한 다른 측면들과, 특징들 및 이득들은 첨부 도면들과 함께 처리되는 하기의 설명으로부터 보다 명백하게 될 것이다.
도 1은 본 발명의 다양한 실시예에 따른 전자 장치 및 네트워크의 블록도를 도시한다.
도 2는 다양한 실시예에 따른 전자 장치의 블록도이다.
도 3은 다양한 실시예에 따른 프로그램 모듈의 블록도이다.
도 4는 다양한 실시예들에 따른, 전자 장치가 악성 코드를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 5는 다양한 실시예들에 따른, 전자 장치가 악성 의심 코드의 메타 데이터를 그레이 스케일 영상 데이터로 변환한 실시예를 나타내는 도면이다.
도 6은 다양한 실시예들에 따른, 전자 장치가 미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 하여 인공 지능 모델을 훈련하고, 훈련된 인공 지능 모델을 이용하여 악성 의심 코드를 분석하는 실시예를 나타내는 도면이다.
도 7은 다양한 실시예들에 따른, 전자 장치가 API 체인을 생성하는 과정을 설명하기 위한 예시도이다.
도 8은 다양한 실시예들에 따른, 전자 장치가 API 체인을 1:1 비교하는 방법을 나타낸 예시도이다.
상기 도면들을 통해, 유사 참조 번호들은 동일한 혹은 유사한 엘리먼트들과, 특징들 및 구조들을 도시하기 위해 사용된다는 것에 유의해야만 한다.
이하, 본 문서의 다양한 실시예들이 첨부된 도면을 참조하여 기재된다. 실시예 및 이에 사용된 용어들은 본 문서에 기재된 기술을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 해당 실시예의 다양한 변경, 균등물, 및/또는 대체물을 포함하는 것으로 이해되어야 한다. 도면의 설명과 관련하여, 유사한 구성요소에 대해서는 유사한 참조 부호가 사용될 수 있다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함할 수 있다. 본 문서에서, "A 또는 B" 또는 "A 및/또는 B 중 적어도 하나" 등의 표현은 함께 나열된 항목들의 모든 가능한 조합을 포함할 수 있다. "제1," "제2," "첫째," 또는 "둘째,"등의 표현들은 해당 구성요소들을, 순서 또는 중요도에 상관없이 수식할 수 있고, 한 구성요소를 다른 구성요소와 구분하기 위해 사용될 뿐 해당 구성요소들을 한정하지 않는다. 어떤(예: 제1) 구성요소가 다른(예: 제2) 구성요소에 "(기능적으로 또는 통신적으로) 연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 상기 어떤 구성요소가 상기 다른 구성요소에 직접적으로 연결되거나, 다른 구성요소(예: 제3 구성요소)를 통하여 연결될 수 있다.
본 문서에서, "~하도록 구성된(또는 설정된)(configured to)"은 상황에 따라, 예를 들면, 하드웨어적 또는 소프트웨어적으로 "~에 적합한," "~하는 능력을 가지는," "~하도록 변경된," "~하도록 만들어진," "~를 할 수 있는," 또는 "~하도록 설계된"과 상호 호환적으로(interchangeably) 사용될 수 있다. 어떤 상황에서는, "~하도록 구성된 장치"라는 표현은, 그 장치가 다른 장치 또는 부품들과 함께 "~할 수 있는" 것을 의미할 수 있다. 예를 들면, 문구 "A, B, 및 C를 수행하도록 구성된(또는 설정된) 프로세서"는 해당 동작을 수행하기 위한 전용 프로세서(예: 임베디드 프로세서), 또는 메모리 장치에 저장된 하나 이상의 소프트웨어 프로그램들을 실행함으로써, 해당 동작들을 수행할 수 있는 범용 프로세서(예: CPU 또는 application processor)를 의미할 수 있다.
본 문서의 다양한 실시예들에 따른 전자 장치는, 예를 들면, 스마트폰, 태블릿 PC, 이동 전화기, 영상 전화기, 전자책 리더기, 데스크탑 PC, 랩탑 PC, 넷북 컴퓨터, 워크스테이션, 서버, PDA, PMP(portable multimedia player), MP3 플레이어, 의료기기, 카메라, 또는 웨어러블 장치 중 적어도 하나를 포함할 수 있다. 웨어러블 장치는 액세서리형(예: 시계, 반지, 팔찌, 발찌, 목걸이, 안경, 콘택트 렌즈, 또는 머리 착용형 장치(head-mounted-device(HMD)), 직물 또는 의류 일체형(예: 전자 의복), 신체 부착형(예: 스킨 패드 또는 문신), 또는 생체 이식형 회로 중 적어도 하나를 포함할 수 있다. 어떤 실시예들에서, 전자 장치는, 예를 들면, 텔레비전, DVD(digital video disk) 플레이어, 오디오, 냉장고, 에어컨, 청소기, 오븐, 전자레인지, 세탁기, 공기 청정기, 셋톱 박스, 홈 오토매이션 컨트롤 패널, 보안 컨트롤 패널, 미디어 박스(예: 삼성 HomeSyncTM, 애플TVTM, 또는 구글 TVTM), 게임 콘솔(예: XboxTM, PlayStationTM), 전자 사전, 전자 키, 캠코더, 또는 전자 액자 중 적어도 하나를 포함할 수 있다.
다른 실시예에서, 전자 장치는, 각종 의료기기(예: 각종 휴대용 의료측정기기(혈당 측정기, 심박 측정기, 혈압 측정기, 또는 체온 측정기 등), MRA(magnetic resonance angiography), MRI(magnetic resonance imaging), CT(computed tomography), 촬영기, 또는 초음파기 등), 네비게이션 장치, 위성 항법 시스템(GNSS(global navigation satellite system)), EDR(event data recorder), FDR(flight data recorder), 자동차 인포테인먼트 장치, 선박용 전자 장비(예: 선박용 항법 장치, 자이로 콤파스 등), 항공 전자기기(avionics), 보안 기기, 차량용 헤드 유닛(head unit), 산업용 또는 가정용 로봇, 드론(drone), 금융 기관의 ATM, 상점의 POS(point of sales), 또는 사물 인터넷 장치 (예: 전구, 각종 센서, 스프링클러 장치, 화재 경보기, 온도조절기, 가로등, 토스터, 운동기구, 온수탱크, 히터, 보일러 등) 중 적어도 하나를 포함할 수 있다. 어떤 실시예에 따르면, 전자 장치는 가구, 건물/구조물 또는 자동차의 일부, 전자 보드(electronic board), 전자 사인 수신 장치(electronic signature receiving device), 프로젝터, 또는 각종 계측 기기(예: 수도, 전기, 가스, 또는 전파 계측 기기 등) 중 적어도 하나를 포함할 수 있다. 다양한 실시예에서, 전자 장치는 플렉서블하거나, 또는 전술한 다양한 장치들 중 둘 이상의 조합일 수 있다. 본 문서의 실시예에 따른 전자 장치는 전술한 기기들에 한정되지 않는다. 본 문서에서, 사용자라는 용어는 전자 장치를 사용하는 사람 또는 전자 장치를 사용하는 장치(예: 인공 지능 전자 장치)를 지칭할 수 있다.
도 1을 참조하여, 다양한 실시예에서의, 네트워크 환경(100) 내의 전자 장치(101)가 기재된다. 전자 장치(101)는 버스(110), 프로세서(120), 메모리(130), 입출력 인터페이스(150), 디스플레이(160), 및 통신 인터페이스(170)를 포함할 수 있다. 어떤 실시예에서는, 전자 장치(101)는, 구성요소들 중 적어도 하나를 생략하거나 다른 구성요소를 추가적으로 구비할 수 있다. 버스(110)는 구성요소들(110-170)을 서로 연결하고, 구성요소들 간의 통신(예: 제어 메시지 또는 데이터)을 전달하는 회로를 포함할 수 있다. 프로세서(120)는, 중앙처리장치, 어플리케이션 프로세서, 또는 커뮤니케이션 프로세서(communication processor(CP)) 중 하나 또는 그 이상을 포함할 수 있다. 프로세서(120)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소들의 제어 및/또는 통신에 관한 연산이나 데이터 처리를 실행할 수 있다.
메모리(130)는, 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다. 메모리(130)는, 예를 들면, 전자 장치(101)의 적어도 하나의 다른 구성요소에 관계된 명령 또는 데이터를 저장할 수 있다. 한 실시예에 따르면, 메모리(130)는 소프트웨어 및/또는 프로그램(140)을 저장할 수 있다. 프로그램(140)은, 예를 들면, 커널(141), 미들웨어(143), 어플리케이션 프로그래밍 인터페이스(API)(145), 및/또는 어플리케이션 프로그램(또는 "어플리케이션")(147) 등을 포함할 수 있다. 커널(141), 미들웨어(143), 또는 API(145)의 적어도 일부는, 운영 시스템으로 지칭될 수 있다. 커널(141)은, 예를 들면, 다른 프로그램들(예: 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147))에 구현된 동작 또는 기능을 실행하는 데 사용되는 시스템 리소스들(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)을 제어 또는 관리할 수 있다. 또한, 커널(141)은 미들웨어(143), API(145), 또는 어플리케이션 프로그램(147)에서 전자 장치(101)의 개별 구성요소에 접근함으로써, 시스템 리소스들을 제어 또는 관리할 수 있는 인터페이스를 제공할 수 있다.
미들웨어(143)는, 예를 들면, API(145) 또는 어플리케이션 프로그램(147)이 커널(141)과 통신하여 데이터를 주고받을 수 있도록 중개 역할을 수행할 수 있다. 또한, 미들웨어(143)는 어플리케이션 프로그램(147)으로부터 수신된 하나 이상의 작업 요청들을 우선 순위에 따라 처리할 수 있다. 예를 들면, 미들웨어(143)는 어플리케이션 프로그램(147) 중 적어도 하나에 전자 장치(101)의 시스템 리소스(예: 버스(110), 프로세서(120), 또는 메모리(130) 등)를 사용할 수 있는 우선 순위를 부여하고, 상기 하나 이상의 작업 요청들을 처리할 수 있다. API(145)는 어플리케이션(147)이 커널(141) 또는 미들웨어(143)에서 제공되는 기능을 제어하기 위한 인터페이스로, 예를 들면, 파일 제어, 창 제어, 영상 처리, 또는 문자 제어 등을 위한 적어도 하나의 인터페이스 또는 함수(예: 명령어)를 포함할 수 있다. 입출력 인터페이스(150)는, 예를 들면, 사용자 또는 다른 외부 기기로부터 입력된 명령 또는 데이터를 전자 장치(101)의 다른 구성요소(들)에 전달하거나, 또는 전자 장치(101)의 다른 구성요소(들)로부터 수신된 명령 또는 데이터를 사용자 또는 다른 외부 기기로 출력할 수 있다.
디스플레이(160)는, 예를 들면, 액정 디스플레이(LCD), 발광 다이오드(LED) 디스플레이, 유기 발광 다이오드(OLED) 디스플레이, 또는 마이크로 전자기계 시스템 (MEMS) 디스플레이, 또는 전자종이(electronic paper) 디스플레이를 포함할 수 있다. 디스플레이(160)는, 예를 들면, 사용자에게 각종 콘텐츠(예: 텍스트, 이미지, 비디오, 아이콘, 및/또는 심볼 등)을 표시할 수 있다. 디스플레이(160)는, 터치 스크린을 포함할 수 있으며, 예를 들면, 전자 펜 또는 사용자의 신체의 일부를 이용한 터치, 제스쳐, 근접, 또는 호버링 입력을 수신할 수 있다. 통신 인터페이스(170)는, 예를 들면, 전자 장치(101)와 외부 장치(예: 제1 외부 전자 장치(102), 제2 외부 전자 장치(104), 또는 서버(106)) 간의 통신을 설정할 수 있다. 예를 들면, 통신 인터페이스(170)는 무선 통신 또는 유선 통신을 통해서 네트워크(162)에 연결되어 외부 장치(예: 제2 외부 전자 장치(104) 또는 서버(106))와 통신할 수 있다.
무선 통신은, 예를 들면, LTE, LTE-A(LTE Advance), CDMA(code division multiple access), WCDMA(wideband CDMA), UMTS(universal mobile telecommunications system), WiBro(Wireless Broadband), 또는 GSM(Global System for Mobile Communications) 등 중 적어도 하나를 사용하는 셀룰러 통신을 포함할 수 있다. 한 실시예에 따르면, 무선 통신은, 예를 들면, WiFi(wireless fidelity), 블루투스, 블루투스 저전력(BLE), 지그비(Zigbee), NFC(near field communication), 자력 시큐어 트랜스미션(Magnetic Secure Transmission), 라디오 프리퀀시(RF), 또는 보디 에어리어 네트워크(BAN) 중 적어도 하나를 포함할 수 있다. 한실시예에 따르면, 무선 통신은 GNSS를 포함할 수 있다. GNSS는, 예를 들면, GPS(Global Positioning System), Glonass(Global Navigation Satellite System), Beidou Navigation Satellite System(이하 "Beidou") 또는 Galileo, the European global satellite-based navigation system일 수 있다. 이하, 본 문서에서는, "GPS"는 "GNSS"와 상호 호환적으로 사용될 수 있다. 유선 통신은, 예를 들면, USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232), 전력선 통신, 또는 POTS(plain old telephone service) 등 중 적어도 하나를 포함할 수 있다. 네트워크(162)는 텔레커뮤니케이션 네트워크, 예를 들면, 컴퓨터 네트워크(예: LAN 또는 WAN), 인터넷, 또는 텔레폰 네트워크 중 적어도 하나를 포함할 수 있다.
제1 및 제2 외부 전자 장치(102, 104) 각각은 전자 장치(101)와 동일한 또는 다른 종류의 장치일 수 있다. 다양한 실시예에 따르면, 전자 장치(101)에서 실행되는 동작들의 전부 또는 일부는 다른 하나 또는 복수의 전자 장치(예: 전자 장치(102,104), 또는 서버(106)에서 실행될 수 있다. 한 실시예에 따르면, 전자 장치(101)가 어떤 기능이나 서비스를 자동으로 또는 요청에 의하여 수행해야 할 경우에, 전자 장치(101)는 기능 또는 서비스를 자체적으로 실행시키는 대신에 또는 추가적으로, 그와 연관된 적어도 일부 기능을 다른 장치(예: 전자 장치(102, 104), 또는 서버(106))에게 요청할 수 있다. 다른 전자 장치(예: 전자 장치(102, 104), 또는 서버(106))는 요청된 기능 또는 추가 기능을 실행하고, 그 결과를 전자 장치(101)로 전달할 수 있다. 전자 장치(101)는 수신된 결과를 그대로 또는 추가적으로 처리하여 요청된 기능이나 서비스를 제공할 수 있다. 이를 위하여, 예를 들면, 클라우드 컴퓨팅, 분산 컴퓨팅, 또는 클라이언트-서버 컴퓨팅 기술이 이용될 수 있다.
도 2는 다양한 실시예에 따른 전자 장치(201)의 블록도이다. 전자 장치(201)는, 예를 들면, 도 1에 도시된 전자 장치(101)의 전체 또는 일부를 포함할 수 있다. 전자 장치(201)는 하나 이상의 프로세서(예: AP)(210), 통신 모듈(220), (가입자 식별 모듈(224), 메모리(230), 센서 모듈(240), 입력 장치(250), 디스플레이(260), 인터페이스(270), 오디오 모듈(280), 카메라 모듈(291), 전력 관리 모듈(295), 배터리(296), 인디케이터(297), 및 모터(298) 를 포함할 수 있다. 프로세서(210)는, 예를 들면, 운영 체제 또는 응용 프로그램을 구동하여 프로세서(210)에 연결된 다수의 하드웨어 또는 소프트웨어 구성요소들을 제어할 수 있고, 각종 데이터 처리 및 연산을 수행할 수 있다. 프로세서(210)는, 예를 들면, SoC(system on chip) 로 구현될 수 있다. 한 실시예에 따르면, 프로세서(210)는 GPU(graphic processing unit) 및/또는 이미지 신호 프로세서를 더 포함할 수 있다. 프로세서(210)는 도 2에 도시된 구성요소들 중 적어도 일부(예: 셀룰러 모듈(221))를 포함할 수도 있다. 프로세서(210) 는 다른 구성요소들(예: 비휘발성 메모리) 중 적어도 하나로부터 수신된 명령 또는 데이터를 휘발성 메모리에 로드)하여 처리하고, 결과 데이터를 비휘발성 메모리에 저장할 수 있다.
통신 모듈(220)(예: 통신 인터페이스(170))와 동일 또는 유사한 구성을 가질 수 있다. 통신 모듈(220)은, 예를 들면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227), NFC 모듈(228) 및 RF 모듈(229)를 포함할 수 있다. 셀룰러 모듈(221)은, 예를 들면, 통신망을 통해서 음성 통화, 영상 통화, 문자 서비스, 또는 인터넷 서비스 등을 제공할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 가입자 식별 모듈(예: SIM 카드)(224)을 이용하여 통신 네트워크 내에서 전자 장치(201)의 구별 및 인증을 수행할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 프로세서(210)가 제공할 수 있는 기능 중 적어도 일부 기능을 수행할 수 있다. 한 실시예에 따르면, 셀룰러 모듈(221)은 커뮤니케이션 프로세서(CP)를 포함할 수 있다. 어떤 실시예에 따르면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227) 또는 NFC 모듈(228) 중 적어도 일부(예: 두 개 이상)는 하나의 integrated chip(IC) 또는 IC 패키지 내에 포함될 수 있다. RF 모듈(229)은, 예를 들면, 통신 신호(예: RF 신호)를 송수신할 수 있다. RF 모듈(229)은, 예를 들면, 트랜시버, PAM(power amp module), 주파수 필터, LNA(low noise amplifier), 또는 안테나 등을 포함할 수 있다. 다른 실시예에 따르면, 셀룰러 모듈(221), WiFi 모듈(223), 블루투스 모듈(225), GNSS 모듈(227) 또는 NFC 모듈(228) 중 적어도 하나는 별개의 RF 모듈을 통하여 RF 신호를 송수신할 수 있다. 가입자 식별 모듈(224)은, 예를 들면, 가입자 식별 모듈을 포함하는 카드 또는 임베디드 SIM을 포함할 수 있으며, 고유한 식별 정보(예: ICCID(integrated circuit card identifier)) 또는 가입자 정보(예: IMSI(international mobile subscriber identity))를 포함할 수 있다.
메모리(230)(예: 메모리(130))는, 예를 들면, 내장 메모리(232) 또는 외장 메모리(234)를 포함할 수 있다. 내장 메모리(232)는, 예를 들면, 휘발성 메모리(예: DRAM, SRAM, 또는 SDRAM 등), 비휘발성 메모리(예: OTPROM(one time programmable ROM), PROM, EPROM, EEPROM, mask ROM, flash ROM, 플래시 메모리, 하드 드라이브, 또는 솔리드 스테이트 드라이브 (SSD) 중 적어도 하나를 포함할 수 있다. 외장 메모리(234)는 플래시 드라이브(flash drive), 예를 들면, CF(compact flash), SD(secure digital), Micro-SD, Mini-SD, xD(extreme digital), MMC(multi-media card) 또는 메모리 스틱 등을 포함할 수 있다. 외장 메모리(234)는 다양한 인터페이스를 통하여 전자 장치(201)와 기능적으로 또는 물리적으로 연결될 수 있다.
센서 모듈(240)은, 예를 들면, 물리량을 계측하거나 전자 장치(201)의 작동 상태를 감지하여, 계측 또는 감지된 정보를 전기 신호로 변환할 수 있다. 센서 모듈(240)은, 예를 들면, 제스처 센서(240A), 자이로 센서(240B), 기압 센서(240C), 마그네틱 센서(240D), 가속도 센서(240E), 그립 센서(240F), 근접 센서(240G), 컬러(color) 센서(240H)(예: RGB(red, green, blue) 센서), 생체 센서(240I), 온/습도 센서(240J), 조도 센서(240K), 또는 UV(ultra violet) 센서(240M) 중의 적어도 하나를 포함할 수 있다. 추가적으로 또는 대체적으로, 센서 모듈(240)은, 예를 들면, 후각(e-nose) 센서, 일렉트로마이오그라피(EMG) 센서, 일렉트로엔씨팔로그램(EEG) 센서, 일렉트로카디오그램(ECG) 센서, IR(infrared) 센서, 홍채 센서 및/또는 지문 센서를 포함할 수 있다. 센서 모듈(240)은 그 안에 속한 적어도 하나 이상의 센서들을 제어하기 위한 제어 회로를 더 포함할 수 있다. 어떤 실시예에서는, 전자 장치(201)는 프로세서(210)의 일부로서 또는 별도로, 센서 모듈(240)을 제어하도록 구성된 프로세서를 더 포함하여, 프로세서(210)가 슬립(sleep) 상태에 있는 동안, 센서 모듈(240)을 제어할 수 있다.
입력 장치(250)는, 예를 들면, 터치 패널(252), (디지털) 펜 센서(254), 키(256), 또는 초음파 입력 장치(258)를 포함할 수 있다. 터치 패널(252)은, 예를 들면, 정전식, 감압식, 적외선 방식, 또는 초음파 방식 중 적어도 하나의 방식을 사용할 수 있다. 또한, 터치 패널(252)은 제어 회로를 더 포함할 수도 있다. 터치 패널(252)은 택타일 레이어(tactile layer)를 더 포함하여, 사용자에게 촉각 반응을 제공할 수 있다. (디지털) 펜 센서(254)는, 예를 들면, 터치 패널의 일부이거나, 별도의 인식용 쉬트를 포함할 수 있다. 키(256)는, 예를 들면, 하드웨어 버튼, 광학식 키, 또는 키패드를 포함할 수 있다. 초음파 입력 장치(258)는 마이크(예: 마이크(288))를 통해, 입력 도구에서 발생된 초음파를 감지하여, 상기 감지된 초음파에 대응하는 데이터를 확인할 수 있다.
디스플레이(260)(예: 디스플레이(160))는 패널(262), 홀로그램 장치(264), 프로젝터(266), 및/또는 이들을 제어하기 위한 제어 회로를 포함할 수 있다. 패널(262)은, 예를 들면, 유연하게, 투명하게, 또는 착용할 수 있게 구현될 수 있다. 패널(262)은 터치 패널(252)과 하나 이상의 모듈로 구성될 수 있다. 한 실시예에 따르면, 패널(262)은 사용자의 터치에 대한 압력의 세기를 측정할 수 있는 압력 센서(또는 포스 센서)를 포함할 수 있다. 상기 압력 센서는 터치 패널(252)과 일체형으로 구현되거나, 또는 터치 패널(252)과는 별도의 하나 이상의 센서로 구현될 수 있다. 홀로그램 장치(264)는 빛의 간섭을 이용하여 입체 영상을 허공에 보여줄 수 있다. 프로젝터(266)는 스크린에 빛을 투사하여 영상을 표시할 수 있다. 스크린은, 예를 들면, 전자 장치(201)의 내부 또는 외부에 위치할 수 있다. 인터페이스(270)는, 예를 들면, HDMI(272), USB(274), 광 인터페이스(optical interface)(276), 또는 D-sub(D-subminiature)(278)를 포함할 수 있다. 인터페이스(270)는, 예를 들면, 도 1에 도시된 통신 인터페이스(170)에 포함될 수 있다. 추가적으로 또는 대체적으로, 인터페이스(270)는, 예를 들면, MHL(mobile high-definition link) 인터페이스, SD카드/MMC(multi-media card) 인터페이스, 또는 IrDA(infrared data association) 규격 인터페이스를 포함할 수 있다.
오디오 모듈(280)은, 예를 들면, 소리와 전기 신호를 쌍방향으로 변환시킬 수 있다. 오디오 모듈(280)의 적어도 일부 구성요소는, 예를 들면, 도 1 에 도시된 입출력 인터페이스(145)에 포함될 수 있다. 오디오 모듈(280)은, 예를 들면, 스피커(282), 리시버(284), 이어폰(286), 또는 마이크(288) 등을 통해 입력 또는 출력되는 소리 정보를 처리할 수 있다. 카메라 모듈(291)은, 예를 들면, 정지 영상 및 동영상을 촬영할 수 있는 장치로서, 한 실시예에 따르면, 하나 이상의 이미지 센서(예: 전면 센서 또는 후면 센서), 렌즈, 이미지 시그널 프로세서(ISP), 또는 플래시(예: LED 또는 xenon lamp 등)를 포함할 수 있다. 전력 관리 모듈(295)은, 예를 들면, 전자 장치(201)의 전력을 관리할 수 있다. 한 실시예에 따르면, 전력 관리 모듈(295)은 PMIC(power management integrated circuit), 충전 IC, 또는 배터리 또는 연료 게이지를 포함할 수 있다. PMIC는, 유선 및/또는 무선 충전 방식을 가질 수 있다. 무선 충전 방식은, 예를 들면, 자기공명 방식, 자기유도 방식 또는 전자기파 방식 등을 포함하며, 무선 충전을 위한 부가적인 회로, 예를 들면, 코일 루프, 공진 회로, 또는 정류기 등을 더 포함할 수 있다. 배터리 게이지는, 예를 들면, 배터리(296)의 잔량, 충전 중 전압, 전류, 또는 온도를 측정할 수 있다. 배터리(296)는, 예를 들면, 충전식 전지 및/또는 태양 전지를 포함할 수 있다.
인디케이터(297)는 전자 장치(201) 또는 그 일부(예: 프로세서(210))의 특정 상태, 예를 들면, 부팅 상태, 메시지 상태 또는 충전 상태 등을 표시할 수 있다. 모터(298)는 전기적 신호를 기계적 진동으로 변환할 수 있고, 진동, 또는 햅틱 효과 등을 발생시킬 수 있다. 전자 장치(201)는, 예를 들면, DMB(digital multimedia broadcasting), DVB(digital video broadcasting), 또는 미디어플로(mediaFloTM) 등의 규격에 따른 미디어 데이터를 처리할 수 있는 모바일 TV 지원 장치(예: GPU)를 포함할 수 있다. 본 문서에서 기술된 구성요소들 각각은 하나 또는 그 이상의 부품(component)으로 구성될 수 있으며, 해당 구성요소의 명칭은 전자 장치의 종류에 따라서 달라질 수 있다. 다양한 실시예에서, 전자 장치(예: 전자 장치(201))는 일부 구성요소가 생략되거나, 추가적인 구성요소를 더 포함하거나, 또는, 구성요소들 중 일부가 결합되어 하나의 개체로 구성되되, 결합 이전의 해당 구성요소들의 기능을 동일하게 수행할 수 있다.
본 발명의 다양한 실시예에서, 전자 장치(201)(또는, 전자 장치(101))는, 전면, 후면 및 상기 전면과 상기 후면 사이의 공간을 둘러싸는 측면을 포함하는 하우징을 포함할 수도 있다. 터치스크린 디스플레이(예: 디스플레이(260))는, 상기 하우징 안에 배치되며, 상기 전면을 통하여 노출될 수 있다. 마이크(288)는, 상기 하우징 안에 배치되며, 상기 하우징의 부분을 통하여 노출될 수 있다. 적어도 하나의 스피커(282)는, 상기 하우징 안에 배치되며, 상기 하우징의 다른 부분을 통하여 노출될 수 있다. 하드웨어 버튼(예: 키(256))는, 상기 하우징의 또 다른 부분에 배치되거나 또는 상기 터치스크린 디스플레이 상에 표시하도록 설정될 수 있다. 무선 통신 회로(예: 통신 모듈(220))은, 상기 하우징 안에 위치할 수 있다. 상기 프로세서(210)(또는, 프로세서(120))는, 상기 하우징 안에 위치하며, 상기 터치스크린 디스플레이, 상기 마이크(288), 상기 스피커(282) 및 상기 무선 통신 회로에 전기적으로 연결될 수 있다. 상기 메모리(230)(또는, 메모리(130))는, 상기 하우징 안에 위치하며, 상기 프로세서(210)에 전기적으로 연결될 수 있다.
본 발명의 다양한 실시예에서, 상기 메모리(230)는, 텍스트 입력을 수신하기 위한 제1 사용자 인터페이스를 포함하는 제1 어플리케이션 프로그램을 저장하도록 설정되고, 상기 메모리(230)는, 실행 시에, 상기 프로세서(210)가, 제1 동작과 제2 동작을 수행하도록 야기하는 인스트럭션들을 저장하고, 상기 제1 동작은, 상기 제1 사용자 인터페이스가 상기 터치스크린 디스플레이 상에 표시되지 않는 도중에, 상기 버튼을 통하여 제1 타입의 사용자 입력을 수신하고, 상기 제1 타입의 사용자 입력을 수신한 이후에, 상기 마이크(288)를 통하여 제1 사용자 발화를 수신하고, 자동 스피치 인식(ASR: automatic speech recognition) 및 지능 시스템(intelligence system)을 포함하는 외부 서버로 상기 제1 사용자 발화에 대한 제1 데이터를 제공하고, 상기 제1 데이터를 제공한 이후에, 상기 외부 서버로부터 상기 제1 사용자 발화에 응답하여 상기 지능 시스템에 의하여 생성되는 태스크를 수행하도록 하는 적어도 하나의 명령을 수신하고, 상기 제2 동작은, 상기 터치스크린 디스플레이 상에 상기 제1 사용자 인터페이스가 표시되는 도중에 상기 버튼을 통하여 상기 제1 사용자 입력을 수신하고, 상기 제1 타입의 사용자 입력을 수신한 이후에, 상기 마이크(288)를 통하여 제2 사용자 발화를 수신하고, 상기 외부 서버로 상기 제2 사용자 발화에 대한 제2 데이터를 제공하고, 상기 제2 데이터를 제공한 이후에, 상기 서버로부터, 상기 제2 사용자 발화로부터 상기 자동 스피치 인식에 의하여 생성된 텍스트에 대한 데이터를 수신하지만, 상기 지능 시스템에 의하여 생성되는 명령은 수신하지 않고, 상기 제1 사용자 인터페이스에 상기 텍스트를 입력할 수 있다.
본 발명의 다양한 실시예에서, 상기 버튼은, 상기 하우징의 상기 측면에 위치하는 물리적인 키를 포함할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 타입의 사용자 입력은, 상기 버튼에 대한 1회 누름, 상기 버튼에 대한 2회 누름, 상기 버튼에 대한 3회 누름, 상기 버튼에 대한 1회 누른 이후에 누름 유지, 또는 상기 버튼에 대한 2회 누름 및 누름 유지 중 하나일 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서가 상기 제1 사용자 인터페이스를 가상 키보드와 함께 표시하도록 더 야기할 수 있다. 상기 버튼은, 상기 가상 키보드의 일부가 아닐 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 외부 서버로부터, 상기 제1 동작 내에서의 상기 제1 사용자 발화로부터 ASR에 의하여 생성되는 텍스트에 대한 데이터를 수신하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 어플리케이션 프로그램은, 노트 어플리케이션 프로그램, 이메일 어플리케이션 프로그램, 웹 브라우저 어플리케이션 프로그램 또는 달력 어플리케이션 프로그램 중 적어도 하나를 포함할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 어플리케이션 프로그램은, 메시지 어플리케이션을 포함하고, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 텍스트를 입력한 이후에 선택된 시간 기간이 초과하면, 상기 무선 통신 회로를 통하여 자동으로 입력된 텍스트를 송신하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 제3 동작을 수행하도록 더 야기하고, 상기 제3 동작은, 상기 터치스크린 디스플레이 상에 상기 제1 사용자 인터페이스를 표시하는 도중에, 상기 버튼을 통하여 제2 타입의 사용자 입력을 수신하고, 상기 제2 타입의 사용자 입력을 수신한 이후에, 상기 마이크를 통하여 제3 사용자 발화를 수신하고, 상기 외부 서버로 상기 제3 사용자 발화에 대한 제3 데이터를 제공하고, 상기 제3 데이터를 제공한 이후에, 상기 제3 사용자 발화에 응답하여 상기 지능 시스템에 의하여 생성된 태스크를 수행하기 위한 적어도 하나의 명령을 상기 외부 서버로부터 수신할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 제4 동작을 수행하도록 더 야기하고, 상기 제4 동작은, 상기 터치스크린 디스플레이 상에 상기 제1 사용자 인터페이스가 표시되지 않는 도중에, 상기 버튼을 통하여 상기 제2 타입의 사용자 입력을 수신하고, 상기 제2 타입의 사용자 입력을 수신한 이후에, 상기 마이크(288)를 통하여 제4 사용자 발화를 수신하고, 상기 제4 사용자 발화에 대한 제4 데이터를 상기 외부 서버로 제공하고, 상기 제4 데이터를 제공한 이후에, 상기 제4 사용자 발화에 응답하여, 상기 지능 시스템에 의하여 생성된 태스크를 수행하기 위한 적어도 하나의 명령을 상기 외부 서버로부터 수신하고, 상기 마이크를 통하여 제5 사용자 발화를 수신하고, 상기 외부 서버로, 상기 제5 사용자 발화에 대한 제5 데이터를 제공하고, 및 상기 제5 데이터를 제공한 이후에, 상기 제5 사용자 발화에 응답하여 상기 지능 시스템에 의하여 생성된 태스크를 수행하기 위한 적어도 하나의 명령을 상기 외부 서버로부터 수신할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 타입의 사용자 입력 및 상기 제2 타입의 사용자 입력은 서로 다르며, 상기 버튼에 대한 1회 누름, 상기 버튼에 대한 2회 누름, 상기 버튼에 대한 3회 누름, 상기 버튼에 대한 1회 누른 이후에 누름 유지, 또는 상기 버튼에 대한 2회 누름 및 누름 유지 중 하나로부터 선택될 수 있다.
본 발명의 다양한 실시예에서, 상기 메모리(230)는, 텍스트 입력을 수신하기 위한 제2 사용자 인터페이스를 포함하는 제2 어플리케이션 프로그램을 저장하도록 더 설정되며, 상기 인스트럭션들은, 실행 시에, 상기 프로세서(210)가, 제3 동작을 수행하도록 더 야기하고, 상기 제3 동작은, 상기 제2 사용자 인터페이스를 표시하는 도중에 상기 버튼을 통하여 상기 제1 타입의 사용자 입력을 수신하고, 상기 제1 타입의 사용자 입력이 수신된 이후에, 상기 마이크를 통하여 제3 사용자 발화를 수신하고, 상기 외부 서버로, 상기 제3 사용자 발화에 대한 제3 데이터를 제공하고, 상기 제3 데이터를 제공한 이후에, 상기 외부 서버로부터, 상기 제3 사용자 발화로부터 ASR에 의하여 생성된 텍스트에 대한 데이터를 수신하면서, 상기 지능 시스템에 의하여 생성되는 명령은 수신하지 않고, 상기 제2 사용자 인터페이스에 상기 텍스트를 입력하고, 및 상기 텍스트를 입력하고, 선택된 시간 기간이 초과하면, 상기 무선 통신 회로를 통하여 상기 입력된 텍스트를 자동으로 송신할 수 있다.
본 발명의 다양한 실시예에서, 상기 메모리(230)는, 텍스트 입력을 수신하기 위한 제1 사용자 인터페이스를 포함하는 제1 어플리케이션 프로그램을 저장하도록 설정되고, 상기 메모리(230)는, 실행 시에, 상기 프로세서(210)가, 제1 동작과 제2 동작을 수행하도록 야기하는 인스트럭션들을 저장하고, 상기 제1 동작은, 상기 버튼을 통하여 제1 타입의 사용자 입력을 수신하고, 상기 제1 타입의 사용자 입력을 수신한 이후에, 상기 마이크(288)를 통하여 제1 사용자 발화를 수신하고, 자동 스피치 인식(ASR: automatic speech recognition) 및 지능 시스템(intelligence system)을 포함하는 외부 서버로, 상기 제1 사용자 발화에 대한 제1 데이터를 제공하고, 및 상기 제1 데이터를 제공한 이후에, 상기 제1 사용자 발화에 응답하여 상기 지능 시스템에 의하여 생성된 태스크를 수행하기 위한 적어도 하나의 명령을 상기 외부 서버로부터 수신하고, 상기 제2 동작은, 상기 버튼을 통하여 제2 타입의 사용자 입력을 수신하고, 상기 제2 타입의 사용자 입력을 수신한 이후에, 상기 마이크(288)를 통하여 제2 사용자 발화를 수신하고, 상기 외부 서버로 상기 제2 사용자 발화에 대한 제2 데이터를 제공하고, 상기 제2 데이터를 제공한 이후에, 상기 서버로부터, 상기 제2 사용자 발화로부터 ASR에 의하여 생성된 텍스트에 대한 데이터를 수신하면서, 상기 지능 시스템에 의하여 생성되는 명령은 수신하지 않으며, 상기 제1 사용자 인터페이스에 상기 텍스트를 입력할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가 상기 제1 사용자 인터페이스를 가상 키보드와 함께 표시하도록 더 야기할 수 있으며, 상기 버튼은, 상기 가상 키보드의 일부가 아닐 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 외부 서버로부터 상기 제1 동작 내에서 상기 제1 사용자 발화로부터 상기 ASR에 의하여 생성되는 텍스트에 대한 데이터를 수신하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 어플리케이션 프로그램은, 노트 어플리케이션 프로그램, 이메일 어플리케이션 프로그램, 웹 브라우저 어플리케이션 프로그램 또는 달력 어플리케이션 프로그램 중 적어도 하나를 포함할 수 있다.
본 발명의 다양한 실시예에서, 상기 제1 어플리케이션 프로그램은, 메시지 어플리케이션을 포함하고, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 텍스트를 입력한 이후에 선택된 시간 기간이 초과하면, 상기 무선 통신 회로를 통하여 자동으로 입력된 텍스트를 송신하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가 상기 제1 사용자 인터페이스의 상기 디스플레이 상에 표시와 독립적으로 상기 제1 동작을 수행하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 전자 장치가 잠금 상태에 있거나 또는 상기 터치스크린 디스플레이가 턴 오프(turn-off)된 것 중 적어도 하나인 경우에, 상기 제2 동작을 수행하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 인스트럭션들은, 상기 프로세서(210)가, 상기 터치스크린 디스플레이 상에 상기 제1 사용자 인터페이스를 표시하는 도중에, 상기 제2 동작을 수행하도록 더 야기할 수 있다.
본 발명의 다양한 실시예에서, 상기 메모리(230)는, 실행 시에, 상기 프로세서(210)가, 상기 마이크(288)를 통하여 사용자 발화를 수신하고, 자동 스피치 인식(automatic speech recognition: ASR) 또는 자연어 이해(natural language understanding: NLU) 중 적어도 하나를 수행하는 외부 서버로, 상기 사용자 발화에 대한 데이터와 함께, 상기 사용자 발화에 대한 데이터에 대하여 상기 ASR을 수행하여 획득된 텍스트에 대하여 상기 자연어 이해를 수행할지 여부와 연관된 정보를 송신하고, 상기 정보가 상기 자연어 이해를 수행하지 않을 것을 나타내면, 상기 외부 서버로부터 상기 사용자 발화에 대한 데이터에 대한 상기 텍스트를 수신하고, 상기 정보가 상기 자연어 이해를 수행할 것을 나타내면, 상기 외부 서버로부터 상기 텍스트에 대한 상기 자연어 이해 수행 결과 획득된 명령을 수신하도록 야기하는 인스트럭션을 저장할 수 있다.
도 3은 다양한 실시예에 따른 프로그램 모듈의 블록도이다. 한 실시예에 따르면, 프로그램 모듈(310)(예: 프로그램(140))은 전자 장치(예: 전자 장치(101))에 관련된 자원을 제어하는 운영 체제 및/또는 운영 체제 상에서 구동되는 다양한 어플리케이션(예: 어플리케이션 프로그램(147))을 포함할 수 있다. 운영 체제는, 예를 들면, AndroidTM, iOSTM, WindowsTM, SymbianTM, TizenTM, 또는 BadaTM를 포함할 수 있다. 도 3을 참조하면, 프로그램 모듈(310)은 커널(320)(예: 커널(141)), 미들웨어(330)(예: 미들웨어(143)), (API(360)(예: API(145)), 및/또는 어플리케이션(370)(예: 어플리케이션 프로그램(147))을 포함할 수 있다. 프로그램 모듈(310)의 적어도 일부는 전자 장치 상에 프리로드 되거나, 외부 전자 장치(예: 전자 장치(102, 104), 서버(106) 등)로부터 다운로드 가능하다.
커널(320)은, 예를 들면, 시스템 리소스 매니저(321) 및/또는 디바이스 드라이버(323)를 포함할 수 있다. 시스템 리소스 매니저(321)는 시스템 리소스의 제어, 할당, 또는 회수를 수행할 수 있다. 한 실시예에 따르면, 시스템 리소스 매니저(321)는 프로세스 관리부, 메모리 관리부, 또는 파일 시스템 관리부를 포함할 수 있다. 디바이스 드라이버(323)는, 예를 들면, 디스플레이 드라이버, 카메라 드라이버, 블루투스 드라이버, 공유 메모리 드라이버, USB 드라이버, 키패드 드라이버, WiFi 드라이버, 오디오 드라이버, 또는 IPC(inter-process communication) 드라이버를 포함할 수 있다. 미들웨어(330)는, 예를 들면, 어플리케이션(370)이 공통적으로 필요로 하는 기능을 제공하거나, 어플리케이션(370)이 전자 장치 내부의 제한된 시스템 자원을 사용할 수 있도록 API(360)를 통해 다양한 기능들을 어플리케이션(370)으로 제공할 수 있다. 한 실시예에 따르면, 미들웨어(330) 는 런타임 라이브러리(335), 어플리케이션 매니저(341), 윈도우 매니저(342), 멀티미디어 매니저(343), 리소스 매니저(344), 파워 매니저(345), 데이터베이스 매니저(346), 패키지 매니저(347), 커넥티비티 매니저(348), 노티피케이션 매니저(349), 로케이션 매니저(350), 그래픽 매니저(351), 또는 시큐리티 매니저(352) 중 적어도 하나를 포함할 수 있다.
런타임 라이브러리(335)는, 예를 들면, 어플리케이션(370)이 실행되는 동안에 프로그래밍 언어를 통해 새로운 기능을 추가하기 위해 컴파일러가 사용하는 라이브러리 모듈을 포함할 수 있다. 런타임 라이브러리(335)는 입출력 관리, 메모리 관리, 또는 산술 함수 처리를 수행할 수 있다. 어플리케이션 매니저(341)는, 예를 들면, 어플리케이션(370)의 생명 주기를 관리할 수 있다. 윈도우 매니저(342)는 화면에서 사용되는 GUI 자원을 관리할 수 있다. 멀티미디어 매니저(343)는 미디어 파일들의 재생에 필요한 포맷을 파악하고, 해당 포맷에 맞는 코덱을 이용하여 미디어 파일의 인코딩 또는 디코딩을 수행할 수 있다. 리소스 매니저(344)는 어플리케이션(370)의 소스 코드 또는 메모리의 공간을 관리할 수 있다. 파워 매니저(345)는, 예를 들면, 배터리의 용량 또는 전원을 관리하고, 전자 장치의 동작에 필요한 전력 정보를 제공할 수 있다. 한 실시예에 따르면, 파워 매니저(345)는 바이오스(BIOS: basic input/output system)와 연동할 수 있다. 데이터베이스 매니저(346)는, 예를 들면, 어플리케이션(370)에서 사용될 데이터베이스를 생성, 검색, 또는 변경할 수 있다. 패키지 매니저(347)는 패키지 파일의 형태로 배포되는 어플리케이션의 설치 또는 갱신을 관리할 수 있다.
커넥티비티 매니저(348)는, 예를 들면, 무선 연결을 관리할 수 있다. 노티피케이션 매니저(349)는, 예를 들면, 도착 메시지, 약속, 근접성 알림 등의 이벤트를 사용자에게 제공할 수 있다. 로케이션 매니저(350)는, 예를 들면, 전자 장치의 위치 정보를 관리할 수 있다.
그래픽 매니저(351)는, 예를 들면, 사용자에게 제공될 그래픽 효과 또는 이와 관련된 사용자 인터페이스를 관리할 수 있다. 보안 매니저(352)는, 예를 들면, 시스템 보안 또는 사용자 인증을 제공할 수 있다. 한 실시예에 따르면, 미들웨어(330)는 전자 장치의 음성 또는 영상 통화 기능을 관리하기 위한 통화(telephony) 매니저 또는 전술된 구성요소들의 기능들의 조합을 형성할 수 있는 하는 미들웨어 모듈을 포함할 수 있다. 한 실시예에 따르면, 미들웨어(330)는 운영 체제의 종류 별로 특화된 모듈을 제공할 수 있다. 미들웨어(330)는 동적으로 기존의 구성요소를 일부 삭제하거나 새로운 구성요소들을 추가할 수 있다.
API(360)는, 예를 들면, API 프로그래밍 함수들의 집합으로, 운영 체제에 따라 다른 구성으로 제공될 수 있다. 예를 들면, 안드로이드 또는 iOS의 경우, 플랫폼 별로 하나의 API 셋을 제공할 수 있으며, 타이젠의 경우, 플랫폼 별로 두 개 이상의 API 셋을 제공할 수 있다.
어플리케이션(370)은, 예를 들면, 홈(371), 다이얼러(372), SMS/MMS(373), IM(instant message)(374), 브라우저(375), 카메라(376), 알람(377), 컨택트(378), 음성 다이얼(379), 이메일(380), 달력(381), 미디어 플레이어(382), 앨범(383), 와치(384), 헬스 케어(예: 운동량 또는 혈당 등을 측정), 또는 환경 정보(예: 기압, 습도, 또는 온도 정보) 제공 어플리케이션을 포함할 수 있다. 한 실시예에 따르면, 어플리케이션(370)은 전자 장치와 외부 전자 장치 사이의 정보 교환을 지원할 수 있는 정보 교환 어플리케이션을 포함할 수 있다. 정보 교환 어플리케이션은, 예를 들면, 외부 전자 장치에 특정 정보를 전달하기 위한 노티피케이션 릴레이 어플리케이션, 또는 외부 전자 장치를 관리하기 위한 장치 관리 어플리케이션을 포함할 수 있다. 예를 들면, 알림 전달 어플리케이션은 전자 장치의 다른 어플리케이션에서 발생된 알림 정보를 외부 전자 장치로 전달하거나, 또는 외부 전자 장치로부터 알림 정보를 수신하여 사용자에게 제공할 수 있다.
장치 관리 어플리케이션은, 예를 들면, 전자 장치와 통신하는 외부 전자 장치의 기능(예: 외부 전자 장치 자체(또는, 일부 구성 부품)의 턴-온/턴-오프 또는 디스플레이의 밝기(또는, 해상도) 조절), 또는 외부 전자 장치에서 동작하는 어플리케이션을 설치, 삭제, 또는 갱신할 수 있다. 한 실시예에 따르면, 어플리케이션(370)은 외부 전자 장치의 속성에 따라 지정된 어플리케이션(예: 모바일 의료 기기의 건강 관리 어플리케이션)을 포함할 수 있다. 한 실시예에 따르면, 어플리케이션(370)은 외부 전자 장치로부터 수신된 어플리케이션을 포함할 수 있다. 프로그램 모듈(310)의 적어도 일부는 소프트웨어, 펌웨어, 하드웨어(예: 프로세서(210)), 또는 이들 중 적어도 둘 이상의 조합으로 구현(예: 실행)될 수 있으며, 하나 이상의 기능을 수행하기 위한 모듈, 프로그램, 루틴, 명령어 세트 또는 프로세스를 포함할 수 있다.
도 4는 다양한 실시예들에 따른, 전자 장치(예: 도 1의 전자 장치(101))가 악성 코드를 탐지하는 방법을 설명하기 위한 흐름도이다.
도 5는 다양한 실시예들에 따른, 전자 장치(101)가 악성 의심 코드의 메타 데이터를 그레이 스케일 영상 데이터로 변환한 실시예를 나타내는 도면이다.
도 6은 다양한 실시예들에 따른, 전자 장치(101)가 미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 하여 인공 지능 모델을 훈련하고, 훈련된 인공 지능 모델을 이용하여 악성 의심 코드를 분석하는 실시예를 나타내는 도면이다.
401 동작에서, 다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 악성 의심 코드를 수집할 수 있다.
일 실시예에 따르면, 전자 장치(101)는 네트워크 트래픽 분석을 통해 악성 의심 코드(및/또는 악성 의심 코드에 대한 정보)를 수집할 수 있다. 예를 들어, 전자 장치(101)는 통신 인터페이스(예: 도 1의 통신 인터페이스(170))로부터 네트워크 트래픽을 수집할 수 있고, 수집된 네트워크 트래픽에 대해 패킷 재조합 기술을 사용하여 악성 의심 코드를 추출할 수 있다. 여기서 패킷 재조합 기술은 수집된 네트워크 트래픽에서 하나의 실행 코드에 해당하는 일련의 패킷들을 재조합하여 악성 의심 코드를 추출하는 것을 의미한다. 또한, 악성 의심 코드는 악성 코드에 해당하는 것으로 의심되는 실행 코드를 의미한다.
일 실시예에 따르면, 전자 장치(101)는 사용자가 특정 파일을 외부로부터 다운로드할 시에 상기 특정 파일에 악성 의심 코드가 포함되어 있는지 확인할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 미리 설정된 주기(period)로 및/또는 사용자로부터 악성 의심 코드 탐지 요청을 수신할 시에 전자 장치(101)에 저장된 모든 파일에 대하여 악성 의심 코드가 포함되어 있는지 확인할 수 있다.
403 동작에서, 다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 악성 의심 코드의 메타 데이터를 이용하여 악성 의심 코드에 대한 스코어(score)를 계산할 수 있다. 악성 의심 코드에 대한 스코어는 악성 코드와 악성 의심 코드 사이의 유사도를 나타낼 수 있다.
일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드로부터 메타 데이터를 추출할 수 있다. 퍼스널 컴퓨팅(personal computing)의 경우, 악성 의심 코드의 메타 데이터는 Strings, DLL & API call, Byte-n-grams, Opcode-n-grams, PE headers fields, Network and Host activities, Image properties, Hardware features를 포함할 수 있고, 모바일 컴퓨터(mobile computing)의 경우, 악성 의심 코드의 메타 데이터는 Permissions and Intents, Strings, System calls, image properties, Network and Host activities를 포함할 수 있다.
일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드의 메타 데이터에 대한 정적 분석 및 프로파일링 분석을 수행하여 악성 의심 코드에 대한 스코어를 계산할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드의 문자열, 명령어, 또는 바이트 정보 중 적어도 하나에 기반하여 메타 데이터에 대한 정적 분석을 수행할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 API 호출 시퀀스 정보에 기반하여 메타 데이터에 대한 프로파일링 분석을 수행할 수 있다. 전자 장치(101)는 악성 의심 코드의 메타 데이터를 정적 분석 및 프로파일링 분석을 수행한 결과, 미리 등록된 악성 코드의 메타 데이터와의 유사도가 높을수록 악성 의심 코드에 대하여 높은 스코어(예: 80점)를 산출할 수 있다. 전자 장치(101)는 악성 의심 코드의 메타 데이터를 정적 분석 및 프로파일링 분석을 수행한 결과, 미리 등록된 악성 코드의 메타 데이터와의 유사도가 낮을수록 악성 의심 코드에 대하여 낮은 스코어(예: 10점)를 산출할 수 있다. 전자 장치(101)는 스코어 계산 시 정적 분석 결과 및 프로파일링 분석 결과에 각각 가중치(w1, w2)를 다르게 적용하여 최종 스코어를 산출할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 API 호출 시퀀스 정보에 기반하여 메타 데이터에 대한 프로파일링 분석을 수행할 수 있다. 전자 장치(101)는 악성 의심 코드에 대한 스코어를 계산한 결과를 메모리(예: 도 1의 메모리(130))에 저장할 수 있다.
405 동작에서, 다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 계산된 스코어가 제1 값 이하인 경우, 악성 의심 코드를 정상 코드로 판단할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드가 정상 코드로 판단된 사실을 사용자에게 제공할 수 있다.
407 동작에서, 다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 계산된 스코어가 제1 값보다 큰 제2 값을 초과하는 경우, 악성 의심 코드를 악성 코드로 판단할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드가 악성 코드로 판단된 사실을 사용자에게 제공할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드를 악성 코드로 판단한 경우, 악성 의심 코드를 포함하는 파일을 삭제하고 악성 의심 코드를 다운로드하기 위하여 접속한 특정 링크(예: 홈페이지 주소 또는 앱 다운로드 링크)를 차단할 수 있다.
409 동작에서, 다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 계산된 스코어가 제1 값을 초과하고, 제2 값 이하인 경우, 악성 의심 코드의 메타 데이터를 그레이 스케일(gray scale)의 영상 데이터(510)로 변환하고, 변환된 영상 데이터(510) 및 유사 이미지 검색을 위한 인공 지능 모델을 이용하여 악성 의심 코드가 악성 코드인지 여부를 판단할 수 있다. 전자 장치(101)는 악성 의심 코드에 대한 스코어가 제1 값 내지 제2 값 사이에 해당하여, 악성 의심 코드가 정상 코드인지 또는 악성 코드인지를 명확히 판단하기 어려울 경우, 더욱 정확한 분석을 위하여 본 동작을 수행할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드의 메타 데이터를 영상 단위로 비교하기 위하여, 그레이 스케일 영상으로 변환할 수 있다. 예를 들어, 도 5를 참조하면, 전자 장치(101)는 악성 의심 코드의 메타 데이터를 8 비트(bit)씩 처리하여, 각 화소의 밝기 값을 256 단계로 나타내는 그레이 스케일 영상으로 변환할 수 있다.
다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 그레이 스케일로 변환된 영상 데이터(510)를 유사 이미지 검색을 위한 인공 지능 모델에 적용함으로써, 악성 의심 코드의 메타 데이터의 영상 데이터와 미리 설정된 유사도 이상을 갖는 영상 데이터를 검색할 수 있고, 검색된 영상 데이터 중에서 과반수에 해당하는 영상 데이터의 코드의 종류를 악성 의심 코드에 해당하는 코드로 판단할 수 있다. 예를 들어, 전자 장치(101)는 악성 의심 코드의 영상 데이터를 인공 지능 모델에 적용함으로써, 미리 등록된 정상 코드의 메타 데이터의 영상 데이터 및 미리 등록된 악성 코드의 메타 데이터의 영상 데이터 중에서 미리 설정된 유사도 이상을 갖는 영상 데이터를 검색할 수 있다. 이 경우, 전자 장치(101)는 검색된 영상 데이터 중에서 과반수를 차지하는 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단할 수 있다. 예를 들어, 미리 설정된 유사도 이상을 갖는 악성 코드의 영상 데이터가 5개 검색되고, 정상 코드의 영상 데이터가 3개 검색된 경우, 전자 장치(101)는 악성 의심 코드를 악성 코드로 판단할 수 있다.
다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 그레이 스케일로 변환된 영상 데이터(510)를 유사 이미지 검색을 위한 인공 지능 모델에 적용함으로써, 악성 의심 코드의 메타 데이터의 영상 데이터와 가장 높은 유사도를 갖는 영상 데이터를 검색할 수 있고, 검색된 영상 데이터의 코드의 종류를 악성 의심 코드에 해당하는 코드로 판단할 수 있다. 예를 들어, 전자 장치(101)는 악성 의심 코드의 영상 데이터를 인공 지능 모델에 적용함으로써, 악성 의심 코드의 메타 데이터의 영상 데이터와 가장 높은 유사도를 갖는 영상 데이터를 검색할 수 있고, 검색된 영상 데이터의 코드의 종류가 정상 코드인 경우, 전자 장치(101)는 악성 의심 코드를 정상 코드로 판단할 수 있다. 인공 지능 모델은 미리 등록된 악성 코드 및 미리 등록된 정상 코드를 학습 데이터로 하여 훈련될 수 있고, 영상 인식에서 우수한 성능을 가지는 인셉션 모듈(inception module) 기반 컨벌루션 신경망(Convolutional Neural Networks, CNN), 심층 신경망(Deep Neural Network, DNN), 재귀 신경망(Recurrent Neural Network, RNN), 제한 볼츠만 머신(restricted Boltzmann machine), 심층 신뢰 신경망(Deep Belief Network, DBN), 심층 Q-네트워크(Deep Q-Network) 등과 같이 다양한 딥 러닝 기법이 적용된 신경망 알고리즘을 사용할 수 있다. 예를 들어, 전자 장치(101)는 미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 하여 인공 지능 모델을 훈련할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 의심 코드를 악성 코드로 판단한 경우, 악성 의심 코드를 포함하는 파일을 삭제하고 악성 의심 코드를 다운로드하기 위하여 접속한 특정 링크(예: 홈페이지 주소 또는 앱 다운로드 링크)를 차단할 수 있다.
다양한 실시예들에 따르면, 전자 장치(101)(예: 도 1의 프로세서(120))는 악성 의심 코드를 악성 코드로 판단하는 경우, 악성 코드에 식별 태그를 입력할 수 있다. 일 실시예에 따르면, 전자 장치(101)는 악성 코드에 대하여 행위 분석 및 스트링 분석을 수행할 수 있고, 행위 분석 및 스트링 분석 결과를 식별 태그로서 입력할 수 있다. 예를 들어, 전자 장치(101)는, 악성 코드와 관련되는 파일, 프로세스, 레지스트리, 네트워크, C&C, 유포지에 대한 행위 분석 결과 및 스트링 분석 결과를 악성 코드의 식별 코드로서 입력할 수 있다.
다양한 실시예들에 따라서, 악성 코드를 탐지하는 방법은, 악성 의심 코드를 수집하는 동작, 상기 악성 의심 코드의 메타 데이터를 이용하여 상기 악성 의심 코드에 대한 스코어(score)를 계산하는 동작, 상기 스코어가 제1 값 이하인 경우, 상기 악성 의심 코드를 정상 코드로 판단하는 동작, 상기 스코어가 상기 제1 값보다 큰 제2 값을 초과하는 경우, 상기 악성 의심 코드를 악성 코드로 판단하는 동작, 및 상기 스코어가 상기 제1 값을 초과하고, 상기 제2 값 이하인 경우, 상기 악성 의심 코드의 상기 메타 데이터를 그레이 스케일(gray scale)의 영상 데이터(510)로 변환하고, 유사 이미지 검색을 위한 인공 지능 모델 및 상기 영상 데이터를 이용하여 상기 악성 의심 코드가 악성 코드인지 여부를 판단하는 동작을 포함할 수 있다.
다양한 실시예들에 따라서, 상기 악성 의심 코드에 대한 상기 스코어를 계산하는 동작은, 상기 악성 의심 코드의 상기 메타 데이터에 대한 정적 분석 및 프로파일링 분석을 수행하여 상기 악성 의심 코드에 대한 상기 스코어를 계산하는 동작을 포함할 수 있다.
다양한 실시예들에 따라서, 상기 악성 의심 코드가 상기 악성 코드인지 여부를 판단하는 동작은, 상기 그레이 스케일로 변환된 상기 영상 데이터를 상기 인공 지능 모델에 적용함으로써, 상기 그레이 스케일로 변환된 상기 영상 데이터와 미리 설정된 유사도 이상을 갖는 영상 데이터를 검색하는 동작, 및 상기 검색된 영상 데이터 중에서 과반수에 해당하는 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단하는 동작을 포함할 수 있다.
다양한 실시예들에 따라서, 상기 악성 의심 코드가 상기 악성 코드인지 여부를 판단하는 동작은, 상기 그레이 스케일로 변환된 상기 영상 데이터를 상기 인공 지능 모델에 적용함으로써, 상기 그레이 스케일로 변환된 상기 영상 데이터와 가장 높은 유사도를 갖는 영상 데이터를 검색하는 동작, 및 상기 검색된 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단하는 동작을 포함할 수 있다.
다양한 실시예들에 따라서, 악성 코드를 탐지하는 방법은, 상기 악성 의심 코드를 상기 악성 코드로 판단한 경우, 상기 악성 의심 코드를 포함하는 파일을 삭제하고 상기 악성 의심 코드를 다운로드하기 위하여 접속한 특정 링크를 차단하는 동작을 더 포함할 수 있다.
다양한 실시예들에 따라서, 상기 인공 지능 모델은 미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 하여 훈련되고, 및 상기 인공 지능 모델은 컨볼루션 신경망(CNN: Convolution Neural Network) 알고리즘을 사용할 수 있다.
도 7은 다양한 실시예들에 따른, 전자 장치가 API 체인을 생성하는 과정을 설명하기 위한 예시도이다.
도 7을 참조하면, 전자 장치(101)(및/또는 프로세서(120))는, 악성 코드에서 추출된 API들을 호출 순서에 따라 연결하여 초기 API 체인을 생성할 수 있다. 예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 도 7에서와 같이 API a, API c, API f, API m, API c, API u, API j, API p, API p, API k의 호출 순서로 API들을 연결하여 초기 API 체인을 생성할 수 있다.
다음으로, 전자 장치(101)(및/또는 프로세서(120))는, 초기 API 체인에 포함된 API들 중 적어도 하나를 대표 API로 치환하여 중간 API 체인을 생성할 수 있다. 여기서, 대표 API는 초기 API에 포함된 API들 중 기능적으로 동일하거나 유사한 기능을 수행하는 API들을 대표하는 API로서, 미리 선정될 수 있다.
예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 특정 가상 머신 환경에서, 정상적인 코드들과 악성 코드들을 이용하여 호출되는 API들을 추출하고, 추출된 API들의 인자(parameter)와 반환 값(return value)가 동일한 API들을 그룹핑하여 복수의 그룹들을 생성할 수 있다. 여기서 인자와 반환값이 동일한 API들은 특정 가상 머신 환경에서 서로 동일한 인자와 반환 값을 가지고 있어 동일한 기능을 수행할 가능성이 높을 수 있다. 전자 장치(101)(및/또는 프로세서(120))는, 복수의 그룹들 각각에서 API들 중 하나를 선정함으로써, 그룹들 각각에 대한 대표 API를 미리 선정할 수 있다. 예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 그룹들 각각에 포함된 API들 중에서 개수가 가장 많은 API를 대표 API로 선정할 수 있다.
도 7를 참조하면, 전자 장치(101)(및/또는 프로세서(120))는, 초기 API 체인에 포함된 API m을 대표 API인 API f로 치환할 수 있고, 초기 API 체인에 포함된 API p를 대표 API인 API j로 치환할 수 있다. 초기 API 체인에 포함된 API들 중 나머지 API들은 대표 API가 선정되어 있지 않은 것으로 가정할 수 있다.
다음으로, 전자 장치(101)(및/또는 프로세서(120))는, 중간 API 체인에서 시간적으로 연속적으로 호출되는 API들을 제1 가중치를 갖는 하나의 API로 치환함으로써 API 체인을 생성할 수 있다. 예를 들어, 중간 API 체인에 포함된 API f가 2번 연속되는 경우, 연속되는횟수(2번)과 상응하는 제1 가중치를 갖는 하나의 API f로 2개의 API f를 치환할 수 있고, 중간 API 체인에 포함된 API j가 3번 연속되는 경우, 연속되는 횟수(3번)과 상응하는 제1 가중치를 갖는 하나의 API j로 3개의 API j를 치환할 수 있다.
한편, 도 7에서는 악성 코드에서 추출된 API들을 대상으로 API 체인을 생성하는 과정을 설명하였으나, 테스트 코드에서 추출된 API들을 대상으로도 동일한 방식으로 API 체인을 생성할 수 있다.
도 8은 다양한 실시예들에 따른, 전자 장치가 API 체인을 1:1 비교하는 방법을 나타낸 예시도이다.
도 8을 참조하여, 제1 API 체인과 제2 API 체인을 상호 1:1 비교하는 방법을 설명하며, 제1 API 체인은 테스트 코드로부터 생성된 API 체인이고, 제2 API 체인은 악성 코드들 중 하나로부터 생성된 API 체인일 수 있다.
전자 장치(101)(및/또는 프로세서(120))는, 제1 API 체인에 포함된 API들과 제2 API 체인에 포함된 API들을 호출 순서에 따라 1:1 대응시켜 대응관계가 있는 적어도 하나의 대응 체인을 생성할 수 있다.
예를 들어, 제1 API 체인에서 첫번째 API인 API a가 제2 API 체인에서의 API a와 대응하고, 제1 API 체인의 두번째 API인 API c가 제2 API 체인에서의 API c와 대응하고, 제1 API 체인에서 마지막 API인 API k가 제2 API 체인에서의 API k와 대응할 수 있다. 따라서, 전자 장치(101)(및/또는 프로세서(120))는, API a, API c, API k의 순서를 갖는 제1 대응 체인을 생성할 수 있다.
또한, 제1 API 체인에서 첫번째 API인 API a가 제2 API 체인에서의 API a와 대응하고, 제1 API 체인의 네번째 API인 API c가 제2 API 체인에서의 API c와 대응하고, 제1 API 체인에서 마지막 API인 API k가 제2 API 체인에서의 API k와 대응하는 경우에도, API a, API c, API k의 순서를 갖는 제1 대응 체인이 생성될 수 있다.
그 밖에도, 제1 API 체인에서 첫번째 API인 API a가 제2 API 체인에서의 API a와 대응하고, 제1 API 체인의 다섯번째 API 내지 일곱번째 API인 API u, API j, API k가 제2 API 체인에서의 API u, API j, API k와 대응할 수 있다. 따라서, 전자 장치(101)(및/또는 프로세서(120))는, API a, API u, API j, API k의 순서를 갖는 제2 대응 체인을 생성할 수 있다.
이처럼, 전자 장치(101)(및/또는 프로세서(120))는 비교되는 2개의 API 체인들(제1 API 체인, 제2 API 체인)에 포함된 API들을 1:1 비교하여 호출 순서의 선후 관계가 동일한 API들을 연결한 대응 체인들(제1 대응 체인, 제2 대응 체인)을 생성할 수 있다.
전자 장치(101)(및/또는 프로세서(120))는, 생성된 대응 체인이 2개 이상인 경우, 가장 길이가 긴 대응 체인을 대표 대응 체인으로 선정할 수 있다. 예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 제1 대응 체인과 제2 대응 체인 중에서 길이가 더 긴 제2 대응 체인을 대표 대응 체인으로 선정할 수 있다.
대표 대응 체인이 선정되면, 전자 장치(101)(및/또는 프로세서(120))는, 대표 대응 체인을 이용하여, 2개의 API 체인들(제1 API 체인, 제2 API 체인)의 패턴 유사도를 최종적으로 결정할 수 있다.
예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 대표 대응 체인에 포함된 API들의 인자, 대표 대응 체인의 길이, 제1 가중치 등을 이용하여 패턴 유사도를 다음의 수학식 1과 같이 산출할 수 있다.
Figure 112020091719474-pat00001
수학식 1에서, l은 대표 대응 체인의 길이이고, k는 대표 대응 체인에 포함된 API들 중에서 연속적으로 호출된 API에 할당된 제1 가중치 또는 2개 이상의 제1 가중치들의 합(k, 도 7의 설명을 참조)이고, p는 제1 API 체인에 따른 API의 인자(parameter)와 제2 API 체인에 따른 API의 인자가 서로 동일하면, 1이고, 다르면 0을 나타내는 값일 수 있다. 예를 들어, p는 제2 대응 체인에 포함된 API a가 제1 API 체인에 따른 테스트 코드를 통해 실행되었을 때 사용된 인자와 API a가 제2 API 체인에 따른 악성 코드를 통해 실행되었을 때 사용된 인자가 서로 동일하면 1이고 다르면 0일 수 있다.
또한, q는 제1 API 체인에 따른 API를 통해 실행되는 프로세스 이름과 제2 API 체인에 따른 API를 통해 실행되는 프로세스 이름이 서로 동일하면 1이고, 다르면 0을 나타내는 값일 수 있다. 예를 들어, q는 제2 대응 체인에 포함된 API a가 테스트 코드를 통해 실행되었을 때 실행되는 프로세스 이름과 API a가 악성 코드를 통해 실행되었을 때 실행되는 프로세스 이름이 서로 동일하면 1이고 다르면 0일 수 있다. a1은 인자(parameter)에 대한 가중치를 지시하는 제2 가중치이고, a2는 프로세스에 대한 가중치를 지시하는 제3 가중치일 수 있다. a1과 a2의 합은 1과 동일할 수 있다.
수학식 1에서 i는 대표 대응 체인에 포함된 API들 각각에 대응하는 변수일 수 있다. 즉, 수학식 1에서, p, q는 대표 대응 체인에 포함된 API들 각각에 대하여 개별적으로 산출될 수 있고, 대표 대응 체인의 길이(l), 제1 가중치(k), 제2 가중치(a1), 제3 가중치(a2)는 대표 대응 체인에 포함된 API들 모두에 대해 공통적으로 적용될 수 있다.
전자 장치(101)(및/또는 프로세서(120))는, 패턴 유사도가 미리 설정된 임계값 이상인 경우, 테스트 코드가 악성 코드인 것으로 결정할 수 있다. 여기서 임계값은 전자 장치(101)(및/또는 프로세서(120))의 하드웨어 자원(source), 통신 대역폭(communication bandwidth) 등에 기초하여 결정될 수 있다.
또한 본 발명의 다양한 실시예는 아래와 같은 특징을 포함할 수도 있다.
전자 장치(101)(및/또는 프로세서(120))는 전술한 동작 중 일부를 딥러닝 네트워크의 일종인 LSTM(Long Short-Term Memory) 네트워크를 사용할 수 있다. LSTM 네트워크는 일련의 순차 데이터를 장기간 저장하면서 입력 데이터의 관찰 구간을 조절할 수 있어 호출 순서에 따른 API 체인의 패턴을 학습하기에 적합할 수 있다.
예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, 악성 코드들을 수집하고, 가상 머신 환경에서 악성 코드들에 의해 호출되는 API들을 추출하고, 추출된 API들을 호출 순서에 따라 연결하여 악성 코드들 각각에 대응하는 API 체인들을 생성할 수 있다.
다음으로, 전자 장치(101)(및/또는 프로세서(120))는 생성된 API 체인들을 LSTM 네트워크에 입력하여 API 체인들을 학습할 수 있다. LSTM 네트워크는 복수의 LSTM 셀들(cells)을 가지고, 각 LSTM 셀들은 입력 계층, 학습 계층, 및 출력 계층을 포함할 수 있다. 예를 들어, 전자 장치(101)(및/또는 프로세서(120))는, API 체인들 각각을 미리 설정된 길이를 갖는 입력 벡터들로 분할하고, 분할된 입력 벡터들에 악성 코드를 레이블링(labeling)하여 LSTM 네트워크를 학습시킬 수 있다.
구체적인 LSTM 네트워크의 세부 구조는 Sepp Hocheriter and Jurgen Schmidhuber, "Long short-term memory", Neural Computation, Vol. 9, No. 8, pp. 1735-1780, Aug. 1997.를 참조할 수 있다.
다음으로, 전자 장치(101)(및/또는 프로세서(120))는, 학습된 LSTM 네트워크에 테스트 코드로부터 생성된 API 체인을 입력하고, LSTM 네트워크의 출력값에 기초하여 테스크 코드가 악성 코드인지 여부를 결정할 수 있다.
본 문서에서 사용된 용어 "모듈"은 하드웨어, 소프트웨어 또는 펌웨어로 구성된 유닛을 포함하며, 예를 들면, 로직, 논리 블록, 부품, 또는 회로 등의 용어와 상호 호환적으로 사용될 수 있다. "모듈"은, 일체로 구성된 부품 또는 하나 또는 그 이상의 기능을 수행하는 최소 단위 또는 그 일부가 될 수 있다. "모듈"은 기계적으로 또는 전자적으로 구현될 수 있으며, 예를 들면, 어떤 동작들을 수행하는, 알려졌거나 앞으로 개발될, ASIC(application-specific integrated circuit) 칩, FPGAs(field-programmable gate arrays), 또는 프로그램 가능 논리 장치를 포함할 수 있다. 다양한 실시예에 따른 장치(예: 모듈들 또는 그 기능들) 또는 방법(예: 동작들)의 적어도 일부는 프로그램 모듈의 형태로 컴퓨터로 판독 가능한 저장 매체(예: 메모리(130))에 저장된 명령어로 구현될 수 있다. 상기 명령어가 프로세서(예: 프로세서(120))에 의해 실행될 경우, 프로세서가 상기 명령어에 해당하는 기능을 수행할 수 있다. 컴퓨터로 판독 가능한 기록 매체는, 하드디스크, 플로피디스크, 마그네틱 매체(예: 자기테이프), 광기록 매체(예: CD-ROM, DVD, 자기-광 매체 (예: 플롭티컬 디스크), 내장 메모리 등을 포함할 수 있다. 명령어는 컴파일러에 의해 만들어지는 코드 또는 인터프리터에 의해 실행될 수 있는 코드를 포함할 수 있다. 다양한 실시예에 따른 모듈 또는 프로그램 모듈은 전술한 구성요소들 중 적어도 하나 이상을 포함하거나, 일부가 생략되거나, 또는 다른 구성요소를 더 포함할 수 있다. 다양한 실시예에 따른, 모듈, 프로그램 모듈 또는 다른 구성요소에 의해 수행되는 동작들은 순차적, 병렬적, 반복적 또는 휴리스틱하게 실행되거나, 적어도 일부 동작이 다른 순서로 실행되거나, 생략되거나, 또는 다른 동작이 추가될 수 있다.
그리고 본 문서에 개시된 실시예는 개시된, 기술 내용의 설명 및 이해를 위해 제시된 것이며, 본 개시의 범위를 한정하는 것은 아니다. 따라서, 본 개시의 범위는, 본 개시의 기술적 사상에 근거한 모든 변경 또는 다양한 다른 실시예를 포함하는 것으로 해석되어야 한다.

Claims (5)

  1. 악성 코드를 탐지하는 방법에 있어서,
    미리 등록된 정상 코드 및 미리 등록된 악성 코드를 학습 데이터로 설정하여 컨볼루션 신경망(CNN: Convolution Neural Network) 알고리즘 기반의 인공 지능 모델을 학습(learning)시키도록 제어하는 동작;
    악성 의심 코드를 수집하는 동작;
    상기 악성 의심 코드의 메타 데이터에 대한 정적 분석을 수행하여, 상기 미리 등록된 악성 코드의 메타 데이터와 상기 악성 의심 코드의 메타 데이터 사이의 제1 유사도를 산출하는 동작;
    상기 악성 의심 코드의 메타 데이터에 대한 프로파일링 분석을 수행하여, 상기 미리 등록된 악성 코드의 메타 데이터와 상기 악성 의심 코드의 메타 데이터 사이의 제2 유사도를 산출하는 동작;
    상기 제1 유사도에 제1 가중치를 적용하고, 상기 제2 유사도에 상기 제1 가중치와 상이한 제2 가중치를 적용하여 최종 유사도를 산출하는 동작;
    상기 최종 유사도에 비례하는 상기 악성 의심 코드에 대한 스코어(score)를 설정하는 동작;
    상기 스코어가 제1 임계값 이하인 경우, 상기 악성 의심 코드를 정상 코드로 판단하는 동작;
    상기 스코어가 상기 제1 임계값보다 큰 제2 임계값을 초과하는 경우, 상기 악성 의심 코드를 악성 코드로 판단하는 동작;
    상기 스코어가 상기 제1 임계값을 초과하고, 상기 제2 임계값 이하인 경우, 상기 악성 의심 코드의 상기 메타 데이터를 그레이 스케일(gray scale)의 영상 데이터로 변환하는 동작;
    상기 그레이 스케일로 변환된 영상 데이터를 상기 인공 지능 모델에 적용함으로써, 상기 그레이 스케일로 변환된 상기 영상 데이터와 미리 설정된 제3 임계값 이상의 유사도를 갖는 영상 데이터들을 검색하는 동작;
    상기 검색된 영상 데이터들 중에서 과반수에 해당하는 영상 데이터의 코드의 종류를 상기 악성 의심 코드에 해당하는 코드로 판단하는 동작; 을 포함하는,
    악성 코드를 탐지하는 방법.
  2. 삭제
  3. 삭제
  4. 삭제
  5. 제 1 항에 있어서,
    상기 악성 코드를 탐지하는 방법은,
    상기 악성 의심 코드를 상기 악성 코드로 판단한 경우, 상기 악성 의심 코드를 포함하는 파일을 삭제하고 상기 악성 의심 코드를 다운로드하기 위하여 접속한 특정 링크를 차단하는 동작을 더 포함하는,
    악성 코드를 탐지하는 방법.
KR1020200110214A 2020-08-31 2020-08-31 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체 KR102177203B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200110214A KR102177203B1 (ko) 2020-08-31 2020-08-31 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200110214A KR102177203B1 (ko) 2020-08-31 2020-08-31 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체

Publications (1)

Publication Number Publication Date
KR102177203B1 true KR102177203B1 (ko) 2020-11-10

Family

ID=73548803

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200110214A KR102177203B1 (ko) 2020-08-31 2020-08-31 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체

Country Status (1)

Country Link
KR (1) KR102177203B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113553586A (zh) * 2021-06-16 2021-10-26 深信服科技股份有限公司 病毒检测方法、模型训练方法、装置、设备及存储介质
US11790085B2 (en) 2020-10-29 2023-10-17 Electronics And Telecommunications Research Institute Apparatus for detecting unknown malware using variable opcode sequence and method using the same

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160028724A (ko) * 2014-09-04 2016-03-14 한국전자통신연구원 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR102144914B1 (ko) * 2020-02-20 2020-08-14 주식회사 에프원시큐리티 인공지능 학습을 위한 pe 명령코드의 왜곡 없는 이미지를 생성하는 악성코드 탐지 방법 및 장치

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160028724A (ko) * 2014-09-04 2016-03-14 한국전자통신연구원 악성코드 특징 정보 기반의 유사 악성코드 검색 장치 및 방법
KR101880686B1 (ko) * 2018-02-28 2018-07-20 에스지에이솔루션즈 주식회사 Ai 딥러닝 기반의 악성코드 탐지 시스템
KR102144914B1 (ko) * 2020-02-20 2020-08-14 주식회사 에프원시큐리티 인공지능 학습을 위한 pe 명령코드의 왜곡 없는 이미지를 생성하는 악성코드 탐지 방법 및 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11790085B2 (en) 2020-10-29 2023-10-17 Electronics And Telecommunications Research Institute Apparatus for detecting unknown malware using variable opcode sequence and method using the same
CN113553586A (zh) * 2021-06-16 2021-10-26 深信服科技股份有限公司 病毒检测方法、模型训练方法、装置、设备及存储介质

Similar Documents

Publication Publication Date Title
EP3480816B1 (en) Method for voice recognition and electronic device for performing the same
KR102405793B1 (ko) 음성 신호 인식 방법 및 이를 제공하는 전자 장치
KR102316278B1 (ko) 지문 정보를 저장하기 위한 전자 장치 및 방법
KR102482850B1 (ko) 전자 장치 및 전자 장치의 필체 교정 기능 제공 방법
CN109427331B (zh) 语音识别方法及装置
KR102653450B1 (ko) 전자 장치의 입력 음성에 대한 응답 방법 및 그 전자 장치
EP3396562A1 (en) Content recognition apparatus and method for operating same
KR102588524B1 (ko) 전자 장치 및 그의 동작 방법
KR102358849B1 (ko) 스마트 워치에 대한 정보를 제공하는 전자 장치와 이의 동작 방법
US10806356B2 (en) Electronic device and method for measuring heart rate based on infrared rays sensor using the same
KR20180108155A (ko) 바람 소리가 조정된 신호를 출력하는 방법 및 전자 장치
KR102222711B1 (ko) 쇼핑몰 관련 웹사이트를 제공하는 전자 장치 및 그 동작 방법
KR20170046912A (ko) 정보 제공 방법 및 이를 지원하는 전자 장치
KR102177203B1 (ko) 악성 코드 탐지 방법 및 컴퓨터 판독 가능한 저장매체
KR20180101926A (ko) 전자 장치 및 전자 장치의 어플리케이션 제어 방법
KR20180089226A (ko) 생체 센서를 제어하는 방법 및 전자 장치
KR20180013156A (ko) 전자 장치 및 이를 이용하여 유사한 어플리케이션을 검출하는 방법
KR20180079898A (ko) 콘텐츠를 관리하기 위한 방법 및 그 전자 장치
KR20180013564A (ko) 카메라 모듈의 활성화를 제어하기 위한 전자 장치 및 방법
KR102526959B1 (ko) 전자 장치 및 그의 동작 방법
US20200058309A1 (en) Electronic device and communication connection method using voice thereof
US10210104B2 (en) Apparatus and method for providing handoff thereof
KR20170086806A (ko) 전자 장치 및 그의 터치 입력 인식 방법
KR102490673B1 (ko) 어플리케이션에 대한 부가 정보 제공 방법 및 이를 지원하는 전자 장치
US11191439B2 (en) Electronic device and method for capturing contents

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant