KR102242000B1 - 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 - Google Patents

악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 Download PDF

Info

Publication number
KR102242000B1
KR102242000B1 KR1020190127738A KR20190127738A KR102242000B1 KR 102242000 B1 KR102242000 B1 KR 102242000B1 KR 1020190127738 A KR1020190127738 A KR 1020190127738A KR 20190127738 A KR20190127738 A KR 20190127738A KR 102242000 B1 KR102242000 B1 KR 102242000B1
Authority
KR
South Korea
Prior art keywords
information
call
behavior
malicious
extracting
Prior art date
Application number
KR1020190127738A
Other languages
English (en)
Other versions
KR102242000B9 (ko
KR20210024399A (ko
Inventor
정수환
단티엔북
윤재현
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Publication of KR20210024399A publication Critical patent/KR20210024399A/ko
Application granted granted Critical
Publication of KR102242000B1 publication Critical patent/KR102242000B1/ko
Publication of KR102242000B9 publication Critical patent/KR102242000B9/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

행위 특성 추출 방법에 있어서, 호출 스택 정보에 따라 호출 벡터 정보를 생성하는 단계; 서로 다른 호출 벡터 정보를 비교하여 상기 호출 벡터 정보를 악성 코드 집합으로 분류하는 단계; 호출 일치 정보 및 호출 유사 정보에 따라 악성 코드의 유사성 점수를 계산하는 단계; 및 상기 유사성 점수에 따라 행위 특성 정보를 추출하는 단계를 포함하는, 행위 특성 추출 방법을 제공한다.

Description

악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체{BEHAVIORAL OF MALWARE CHARACTERISTICS EXTRACTION DEVICE, METHOD, AND PROGRAM FOR PERFORMING THE SAME}
본 발명은 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체에 관한 것으로, 보다 상세하게는, 어플리케이션이 수행하는 동작으로부터 악성 코드의 행위 특성을 추출하는 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체에 관한 것이다.
모바일 장치에서 주로 사용되는 안드로이드 운영체제는 우수한 확장성에 따라 모바일 장치의 운영체제 중에서 가장 보편화된 운영체제 중의 하나로 손꼽히고 있다. 이에 따라, 안드로이드 어플리케이션의 종류 및 그 수가 급격히 증가하고 있으며, 이와 관련하여, 모바일 환경에서 유저의 개인 정보를 요구하는 경우가 증가하고 있다.
이에 따라, 안드로이드 어플리케이션을 통해 유저의 개인 정보를 훔쳐보거나, 유저의 모바일 장치를 사용하기 어렵게 만드는 등의 악의적인 행위를 수행하는 악성 코드가 등장하고 있다.
또한, 악성 코드는 악성 코드에 의해 수행되는 악성 행위가 분석되지 않도록 다양한 탐지 우회 방안을 마련하기도 한다.
한편, 이러한 악성 코드의 탐지 우회를 정적 분석 또는 동적 분석을 통해 무력화하고, 악성 코드를 분석하는 방안이 개발되고 있으나, 대부분의 악성 코드 탐지 우회 기술은 특정 악성 코드에 대한 탐지 우회를 다른 모바일 장치의 환경에서 활용할 수 없는 문제점이 존재한다.
본 발명이 해결하고자 하는 기술적 과제는 어플리케이션이 수행하는 동작을 수집하고, 이로부터 악성 코드의 행위 특성을 추출하는 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체를 제공하는 것이다.
본 발명의 일측면은, 어플리케이션에 의해 실행되는 악성 코드의 행위를 판단하는 행위 특성 추출 장치에 의해 실시되는 행위 특성 추출 방법에 있어서, 사전에 수집되는 호출 스택 정보에 따라 악성 코드의 악성 행위를 나타내는 호출 벡터 정보를 생성하는 단계; 서로 다른 복수 개의 호출 벡터 정보를 비교하여 호출 일치 정보를 생성하고, 상기 호출 일치 정보를 구비하는 상기 호출 벡터 정보를 악성 코드 집합으로 분류하는 단계; 상기 악성 코드 집합으로 분류된 호출 벡터 정보의 호출 일치 정보 및 호출 유사 정보에 따라 악성 코드의 유사성 점수를 계산하는 단계; 및 상기 유사성 점수가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 벡터 정보를 행위 특성 정보로 추출하는 단계를 포함할 수 있다.
또한, 상기 행위 특성 정보로 추출하는 단계는, 서로 다른 호출 일치 정보에 따라 생성되는 행위 특성 정보로부터 행위 특성 데이터베이스를 생성하는 단계를 더 포함할 수 있다.
또한, 상기 행위 특성 데이터베이스는, 복수의 행위 특성 정보와 서로 다른 환경에서 실행되는 악성 코드의 악성 행위를 각각 비교하여 상기 행위 특성 정보와 일치하는 악성 행위를 추출할 수 있다.
또한, 상기 호출 벡터 정보는, 상기 어플리케이션이 실행되는 운영체제에 구비되는 호출 함수 정보를 포함할 수 있다.
또한, 상기 호출 함수 정보는, 호출 함수에 대한 주체 정보, 객체 정보, 매개변수 값 및 반환 값 중 적어도 하나의 정보를 포함할 수 있다.
또한, 상기 호출 유사 정보는, 상기 호출 일치 정보에서 나타나는 적어도 하나 이상의 호출 함수 정보에 따른 길이 정보 및 상기 호출 함수 정보 중 적어도 하나 이상의 정보에 대한 단계를 나타내는 점수 정보를 포함할 수 있다.
본 발명의 다른 일측면은, 제1항 내지 제6항 중 어느 하나의 항에 따른 행위 특성 추출 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체일 수 있다.
본 발명의 또 다른 일측면은, 사전에 수집되는 호출 스택 정보에 따라 어플리케이션에 의해 실행되는 악성 코드의 악성 행위를 나타내는 호출 벡터 정보를 생성하고, 서로 다른 복수 개의 호출 벡터 정보를 비교하여 호출 일치 정보를 생성하고, 상기 호출 일치 정보를 구비하는 상기 호출 벡터 정보를 악성 코드 집합으로 분류하는 분류부; 상기 악성 코드 집합으로 분류된 호출 벡터 정보의 호출 일치 정보 및 호출 유사 정보에 따라 악성 코드의 유사성 점수를 계산하는 판단부; 및 상기 유사성 점수가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 벡터 정보를 행위 특성 정보로 추출하는 추출부를 포함할 수 있다.
또한, 상기 추출부는, 서로 다른 호출 일치 정보에 따라 생성되는 행위 특성 정보로부터 행위 특성 데이터베이스를 생성할 수 있다.
또한, 상기 행위 특성 데이터베이스는, 복수의 행위 특성 정보와 서로 다른 환경에서 실행되는 악성 코드의 악성 행위를 각각 비교하여 상기 행위 특성 정보와 일치하는 악성 행위를 추출할 수 있다.
상술한 본 발명의 일측면에 따르면, 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체를 제공함으로써, 어플리케이션이 수행하는 동작을 수집하고, 이로부터 악성 코드의 행위 특성을 추출할 수 있다.
도1은 본 발명의 일 실시예에 따른 행위 특성 추출 장치를 포함하는 행위 특성 추출 시스템의 개략도이다.
도2는 본 발명의 일 실시예에 따른 행위 특성 추출 장치의 제어블록도이다.
도3은 도2의 분류부에서 악성 코드 집합을 생성하는 방법을 나타내는 개략도이다.
도4는 도2의 판단부에서 유사성 점수를 계산하는 방법을 나타내는 개략도이다.
도5는 도2의 추출부에서 행위 특성 정보를 추출하는 방법을 나타내는 개략도이다.
도6은 본 발명의 일 실시예에 따른 행위 특성 추출 방법을 나타내는 순서도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도1은 본 발명의 일 실시예에 따른 행위 특성 추출 장치를 포함하는 행위 특성 추출 시스템의 개략도이다.
행위 특성 추출 시스템(1)은 어플리케이션(100)의 동적 분석을 통해 실시될 수 있다.
여기에서, 어플리케이션(100)의 동적 분석은 어플리케이션(100)이 실행하는 명령을 검출하고, 어플리케이션(100)의 실행에 따라 검출된 명령을 분석하는 방식일 수 있다.
이때, 어플리케이션(100)이 실행하는 명령은 어플리케이션(100)에 구비되는 명령어에 따라 실행되는 함수로 이해할 수 있으며, 이러한 함수는 어플리케이션(100)이 설치되는 운영체제에 포함될 수 있다.
한편, 행위 특성 추출 장치(200)는 어플리케이션(100)에 대한 동적 분석에 따라 악성 코드로부터 실행되는 악성 행위에 따른 행위 특성 정보를 추출할 수 있다. 행위 특성 정보를 추출하는 방법은 이하에서 상세히 설명하도록 한다.
이에 따라, 행위 특성 추출 장치(200)는 서로 다른 악성 행위로부터 추출되는 행위 특성 정보를 저장할 수 있으며, 행위 특성 추출 장치(200)는 서로 다른 복수의 행위 특성 정보로부터 행위 특성 데이터베이스(201)를 생성할 수 있다.
한편, 행위 특성 추출 장치(200)는 서로 다른 어플리케이션(100)으로부터 실행되는 명령을 행위 특성 데이터베이스(201)에 따라 분석할 수 있으며, 행위 특성 추출 장치(200)는 행위 특성 데이터베이스(201)에 저장된 행위 특성 정보와 일치하는 어플리케이션(100)의 명령을 악성 행위로 판단할 수 있다.
여기에서, 서로 다른 어플리케이션(100)은 어플리케이션(100)의 목적 또는 어플리케이션(100)에 포함되는 명령어의 형태 등에 따라 다른 것으로 판단되는 복수의 어플리케이션을 포함할 수 있으며, 서로 다른 어플리케이션(100)은 어플리케이션(100)이 실행되는 API(Application Programming Interface), 하드웨어 등의 실행 환경에 따라 다른 것으로 판단되는 복수의 어플리케이션을 포함할 수도 있다.
한편, 어플리케이션(100)은 하드웨어에 설치되는 운영체제 상에서 실행되는 것으로 이해할 수 있으며, 운영체제는 어플리케이션(100)의 목적을 수행할 수 있도록 명령어 또는 함수를 포함할 수 있다.
도2는 본 발명의 일 실시예에 따른 행위 특성 추출 장치의 제어블록도이다.
행위 특성 추출 장치(200)는 분류부(210), 판단부(220) 및 추출부(230)를 포함할 수 있다.
분류부(210)는 어플리케이션(100)에 의해 실행되는 명령으로부터 수집되는 호출 스택 정보에 따라 어플리케이션에 의해 실행되는 악성 코드의 악성 행위를 나타내는 호출 벡터 정보를 생성할 수 있다.
여기에서, 호출 스택 정보는 어플리케이션(100)에 의해 실행되는 임의의 함수에 대한 기록을 나열하는 정보일 수 있다. 이에 따라, 호출 스택 정보는 다른 함수를 호출하는 함수를 나타내는 주체 함수 및 다른 함수에 의해 호출되는 함수를 나타내는 객체 함수 중 적어도 하나의 함수를 포함할 수 있다.
예를 들어, 호출 스택 정보는 자바(Java)에 마련된 GetStackTrace() 함수를 사용하여 수집되는 로그를 의미할 수 있다. 이러한 경우에, 호출 스택 정보는 어플리케이션(100)에서 실행된 함수의 명칭, 해당 함수를 포함하는 카테고리의 명칭 및 해당 카테고리에서 해당 함수가 위치하는 줄 수 등의 함수를 나타내는 정보를 포함할 수 있다.
호출 벡터 정보는 호출 스택 정보에 따라 호출을 시작하는 함수부터 최종적으로 호출되는 함수의 사이에서 호출되는 복수의 함수를 순서대로 나열하는 정보일 수 있다.
예를 들어, 호출 스택 정보에 따라 제1 함수가 실행되고, 독립적으로 제2 함수가 실행되어 제3 함수를 호출하고, 제3함수가 실행되어 제4함수를 호출하고, 독립적으로 제5함수가 실행된 것으로 기록된 경우에, 호출 벡터 정보는 제2 함수, 제3 함수 및 제4 함수를 포함할 수 있다.
한편, 분류부(210)는 어플리케이션(100)의 동작에 따라 호출 스택 정보가 누적되어, 복수 개의 서로 다른 호출 벡터 정보를 생성할 수 있다.
또한, 호출 벡터 정보는 호출 벡터 정보에 포함되는 함수의 세부 정보를 나타내는 호출 함수 정보를 더 포함할 수 있다.
이때, 호출 함수 정보는 어플리케이션(100) 또는 악성 코드가 실행되는 환경에 포함되는 함수를 나타내는 정보일 수도 있다.
이와 같은 호출 함수 정보는 호출 함수를 실행하는 주체를 나타내는 주체 정보, 호출 함수에 의해 호출되는 객체를 나타내는 객체 정보, 호출 함수에서 나타나는 매개변수 값 및 호출 함수가 실행되어 나타나는 반환 값을 포함할 수 있다.
분류부(210)는 복수 개의 서로 다른 호출 벡터 정보를 비교하여 호출 일치 정보를 생성할 수 있다.
여기에서, 호출 일치 정보는 서로 다른 호출 벡터 정보를 비교하여 일치하는 함수를 나타내는 정보일 수 있으며, 호출 일치 정보는 서로 다른 호출 벡터 정보에 따라 호출 벡터 정보에 포함되는 하나의 함수만이 일치할 수 있으며, 호출 벡터 정보에 포함되는 모든 함수가 일치할 수도 있다.
예를 들어, 서로 다른 호출 벡터 정보를 비교하는 것은 특정 호출 벡터 정보에 포함되는 하나의 함수에 대해 다른 호출 벡터 정보에 포함되는 모든 함수를 비교하고, 특정 호출 벡터 정보에서 비교가 완료된 함수의 다음 순서에 위치하는 함수와 다른 호출 벡터 정보에 포함되는 모든 함수를 비교할 수 있으며, 이러한 과정을 반복하여 일치하는 함수가 존재하는 경우에 점수를 카운트하는 방식으로 비교할 수 있다.
이와 같이, 호출 일치 정보는 서로 다른 호출 벡터 정보에 포함되는 함수 중 일치하는 적어도 하나 이상의 함수를 포함할 수 있다.
이에 따라, 분류부(210)는 호출 일치 정보를 포함하는 호출 벡터 정보를 악성 코드 집합으로 분류할 수 있다.
다시 말해서, 악성 코드 집합은 적어도 하나 이상의 일치하는 함수를 포함하는 서로 다른 호출 벡터 정보를 포함하는 것으로 이해할 수 있다.
판단부(220)는 악성 코드 집합으로 분류된 복수 개의 호출 벡터 정보에 각각 포함되는 호출 일치 정보 및 호출 유사 정보에 따라 유사성 점수를 계산할 수 있다.
이때, 호출 유사 정보는 호출 일치 정보에서 나타나는 적어도 하나 이상의 호출 함수 정보에 따른 길이 정보 및 호출 함수 정보에 포함되는 정보 중 적어도 하나 이상의 정보에 대한 단계를 나타내는 점수 정보를 포함할 수 있다.
예를 들어, 호출 유사 정보는 주체 정보를 1점, 매개변수 값을 2점, 반환 값을 3점으로 지정할 수 있으며, 이에 따라, 특정 호출 벡터 정보에 포함되는 호출 일치 정보에서 2개 함수의 주체 정보가 동일하게 나타나고, 1개 함수의 반환 값이 동일하게 나타나는 경우에, 해당 호출 일치 정보의 유사성 점수는 5점으로 지정될 수 있다.
또한, 유사성 점수는 함수에 포함되는 명령어에 따라 나타나는 함수의 길이 정보 등에 따라 점수가 가산되거나, 감산될 수 있다.
한편, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있음이 이해되어야 한다.
추출부(230)는 유사성 점수가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 일치 정보를 행위 특성 정보로 추출할 수 있다.
이때, 추출부(230)는 사전에 생성되는 검사용 어플리케이션부터 추출되는 검사용 호출 벡터 정보와 어플리케이션(100)으로부터 추출되는 호출 일치 정보를 비교하여, 검사용 호출 벡터 정보에서 어플리케이션(100)의 호출 일치 정보와 동일한 정보가 검색되지 않는 경우에, 어플리케이션(100)의 호출 일치 정보를 악성 코드의 악성 행위로써 추출할 수 있다.
이를 위해, 검사용 어플리케이션은 악성 코드가 포함되지 않도록 생성된 어플리케이션(100)으로 이해할 수 있다.
한편, 추출부(230)는 서로 다른 호출 일치 정보에 따라 추출되는 행위 특성 정보로부터 행위 특성 데이터베이스(201)를 생성할 수 있으며, 이에 따라, 행위 특성 데이터베이스(201)는 서로 다른 복수의 행위 특성 정보를 포함할 수 있다.
이러한 행위 특성 데이터베이스(201)는 행위 특성 데이터베이스(201)에 포함되는 복수의 행위 특성 정보와 서로 다른 환경에서 실행되는 어플리케이션(100)의 동작을 각각 비교하여 행위 특성 정보와 일치하는 어플리케이션(100)의 동작을 악성 코드의 악성 행위로써 추출할 수 있다.
이때, 어플리케이션(100)의 동작은 어플리케이션(100)의 실행에 따라 동작하는 악성 코드의 악성 행위로 이해할 수도 있다.
도3은 도2의 분류부에서 악성 코드 집합을 생성하는 방법을 나타내는 개략도이다.
분류부(210)는 어플리케이션(100)의 실행에 따라 검출되는 함수를 기록하여 호출 스택 정보(211)를 생성할 수 있다.
분류부(210)는 호출 스택 정보(211)에 의해 기록된 함수 중에서 호출을 시작하는 함수부터 최종적으로 호출되는 함수까지 연결되는 복수의 함수를 순서대로 나열하여 호출 벡터 정보(212)를 생성할 수 있다.
이에 따라, 호출 벡터 정보(212)는 다른 함수를 호출하는 함수를 나타내는 주체 함수 및 다른 함수에 의해 호출되는 함수를 나타내는 객체 함수 중 적어도 하나의 함수를 포함할 수 있다.
한편, 분류부(210)는 어플리케이션(100)에 의해 호출 스택 정보(211)가 누적되어, 서로 다른 복수 개의 호출 벡터 정보(212)를 생성할 수 있다.
이에 따라, 분류부(210)는 서로 다른 복수 개의 호출 벡터 정보(212)를 비교하여 각각의 호출 벡터 정보(212)에 동일한 함수가 포함되는 경우에, 해당 함수를 호출 일치 정보(213)로 추출할 수 있다.
이에, 호출 일치 정보(213)는 어플리케이션(100)에 의해 수행되는 하나의 함수를 포함할 수 있으며, 호출 일치 정보(213)는 어플리케이션(100)에 의해 수행되는 복수 개의 함수를 포함할 수도 있다.
또한, 호출 벡터 정보(212)에 포함되는 호출 일치 정보(213)는 다른 호출 벡터 정보(212)의 호출 일치 정보(213)와 모든 함수가 동일할 수 있으며, 다른 호출 벡터 정보(212)의 호출 일치 정보(213)의 일부 함수와 동일할 수도 있다.
분류부(210)는 일치하는 부분을 가지는 각각의 호출 일치 정보(213)를 포함하는 호출 벡터 정보(212)를 동일한 악성 코드 집합(214)으로 분류할 수 있다.
다시 말해서, 악성 코드 집합(214)에 포함되는 복수 개의 호출 벡터 정보(212) 중 임의의 호출 벡터 정보(212)의 호출 일치 정보(213)는 다른 임의의 호출 벡터 정보(212)의 호출 일치 정보(213)와 적어도 하나 이상의 함수가 일치할 수 있다.
도4는 도2의 판단부에서 유사성 점수를 계산하는 방법을 나타내는 개략도이다.
판단부(220)는 악성 코드 집합(214)에 포함되는 호출 벡터 정보(212)의 호출 일치 정보(213)에 대해 호출 유사 정보(221)에 따라 유사성 점수(222)를 계산할 수 있다.
이에 따라, 악성 코드 집합(214)에 포함되는 복수 개의 호출 벡터 정보(212)는 각각 다른 유사성 점수(222)로 나타날 수 있다.
도5는 도2의 추출부에서 행위 특성 정보를 추출하는 방법을 나타내는 개략도이다.
추출부(230)는 유사성 점수(222)가 특성 조건 정보(231)를 만족하는 경우에, 해당 유사성 점수(222)를 가지는 호출 일치 정보(213)를 행위 특성 정보(232)로 추출할 수 있다.
여기에서, 특성 조건 정보(231)는 유사성 점수(222)에 대해 사전에 설정되는 임계 값으로 나타날 수 있으며, 이러한 임계 값은 유사성 점수(222)를 계산하는 방식에 따라 하나의 수치적인 조건으로 표현하거나, 또는, 복수 개의 조건으로 나타날 수 있다.
추출부(230)는 사전에 생성되는 검사용 어플리케이션부터 추출되는 검사용 호출 벡터 정보와 어플리케이션(100)으로부터 추출되는 호출 일치 정보를 비교하여, 검사용 호출 벡터 정보에서 어플리케이션(100)의 호출 일치 정보와 동일한 정보가 검색되지 않는 경우에, 어플리케이션(100)의 호출 일치 정보를 악성 코드의 악성 행위로써 추출할 수 있다.
또한, 추출부(230)는 서로 다른 호출 일치 정보(213)에 따라 추출되는 복수 개의 행위 특성 정보(232)로부터 행위 특성 데이터베이스(201)를 생성할 수 있다.
도6은 본 발명의 일 실시예에 따른 행위 특성 추출 방법을 나타내는 순서도이다.
행위 특성 추출 방법은 호출 벡터 정보를 생성하는 단계(600), 악성 코드 집합으로 분류하는 단계(610), 유사성 점수를 계산하는 단계(620) 및 행위 특성 정보로 추출하는 단계(630)를 포함할 수 있다.
본 발명의 일 실시예에 따른 행위 특성 추출 방법은 도 1에 도시된 행위 특성 추출 장치(200)와 실질적으로 동일한 구성 상에서 진행되므로, 도 1의 행위 특성 추출 장치(200)와 동일한 구성요소에 대해 동일한 도면 부호를 부여하고, 반복되는 설명은 생략하기로 한다.
호출 벡터 정보를 생성하는 단계(600)는 사전에 수집되는 호출 스택 정보(211)에 따라 악성 코드의 악성 행위를 나타내는 호출 벡터 정보(212)를 생성할 수 있다.
한편, 호출 벡터 정보를 생성하는 단계(600)는 어플리케이션(100)에 의해 실행되는 임의의 함수에 대한 기록을 나열하여 호출 스택 정보를 생성하는 단계를 포함할 수도 있다.
악성 코드 집합으로 분류하는 단계(610)는 서로 다른 복수 개의 호출 벡터 정보(212)를 비교하여 호출 일치 정보(213)를 생성할 수 있다.
악성 코드 집합으로 분류하는 단계(610)는 호출 일치 정보(213)를 구비하는 호출 벡터 정보(212)를 악성 코드 집합(214)으로 분류할 수 있다.
유사성 점수를 계산하는 단계(620)는 악성 코드 집합(214)으로 분류된 호출 벡터 정보(212)의 호출 일치 정보(213) 및 호출 유사 정보(221)에 따라 악성 코드의 유사성 점수(222)를 계산할 수 있다.
행위 특성 정보로 추출하는 단계(630)는 유사성 점수(222)가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 일치 정보(213)를 행위 특성 정보(232)로 추출할 수 있다.
행위 특성 정보로 추출하는 단계(630)는 사전에 생성되는 검사용 어플리케이션부터 추출되는 검사용 호출 벡터 정보와 어플리케이션(100)으로부터 추출되는 호출 일치 정보(213)를 비교하여, 검사용 호출 벡터 정보에서 어플리케이션(100)의 호출 일치 정보(213)와 동일한 정보가 검색되지 않는 경우에, 어플리케이션(100)의 호출 일치 정보(213)를 악성 코드의 악성 행위로써 추출할 수 있다.
행위 특성 정보로 추출하는 단계(630)는 서로 다른 호출 일치 정보(213)에 따라 추출되는 행위 특성 정보(232)로부터 행위 특성 데이터베이스를 생성하는 단계를 더 포함할 수 있다.
한편, 행위 특성 추출 방법은 행위 특성 데이터베이스(201)에 포함되는 복수의 행위 특성 정보(232)와 서로 다른 환경에서 실행되는 어플리케이션(100)의 동작을 각각 비교하여 행위 특성 정보(232)와 일치하는 어플리케이션(100)의 동작을 악성 코드의 악성 행위로써 추출하는 단계를 더 포함할 수도 있다.
이와 같은, 행위 특성 추출 방법은 어플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1: 행위 특성 추출 시스템
200: 행위 특성 추출 장치

Claims (10)

  1. 어플리케이션에 의해 실행되는 악성 코드의 행위를 판단하는 행위 특성 추출 장치에 의해 실시되는 행위 특성 추출 방법에 있어서,
    사전에 수집되는 호출 스택 정보에 따라 악성 코드의 악성 행위를 나타내는 호출 벡터 정보를 생성하는 단계;
    서로 다른 복수 개의 호출 벡터 정보를 비교하여 호출 일치 정보를 생성하고, 상기 호출 일치 정보를 구비하는 상기 호출 벡터 정보를 악성 코드 집합으로 분류하는 단계;
    상기 악성 코드 집합으로 분류된 호출 벡터 정보의 호출 일치 정보 및 호출 유사 정보에 따라 악성 코드의 유사성 점수를 계산하는 단계; 및
    상기 유사성 점수가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 일치 정보를 행위 특성 정보로 추출하는 단계를 포함하고,
    상기 호출 벡터 정보는, 상기 어플리케이션이 실행되는 운영체제에 구비되는 호출 함수 정보를 포함하며,
    상기 호출 함수 정보는, 호출 함수에 대한 주체 정보, 객체 정보, 매개변수 값 및 반환 값을 포함하고,
    상기 유사성 점수를 계산하는 단계는 상기 호출 일치 정보로부터 나타나는 하나 이상의 요소에 부여된 점수들을 합산하는 것이되, 상기 하나 이상의 요소에 부여된 점수는 상기 호출 유사 정보에 따라 상기 주체 정보, 매개변수 값 및 반환 값에 서로 다른 값의 점수가 부여되도록 설정되는, 행위 특성 추출 방법.
  2. 제1항에 있어서, 상기 행위 특성 정보로 추출하는 단계는,
    서로 다른 호출 일치 정보에 따라 생성되는 행위 특성 정보로부터 행위 특성 데이터베이스를 생성하는 단계를 더 포함하는, 행위 특성 추출 방법.
  3. 제2항에 있어서, 상기 행위 특성 데이터베이스는,
    상기 행위 특성 정보로 추출하는 단계에서 복수의 행위 특성 정보와 서로 다른 환경에서 실행되는 어플리케이션에 의한 악성 코드의 악성 행위를 각각 비교하여 상기 행위 특성 정보와 일치하는 악성 행위를 추출하도록 마련되는 것인, 행위 특성 추출 방법.
  4. 삭제
  5. 삭제
  6. 삭제
  7. 제1항 내지 제3항 중 어느 하나의 항에 따른 행위 특성 추출 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
  8. 사전에 수집되는 호출 스택 정보에 따라 어플리케이션에 의해 실행되는 악성 코드의 악성 행위를 나타내는 호출 벡터 정보를 생성하고, 서로 다른 복수 개의 호출 벡터 정보를 비교하여 호출 일치 정보를 생성하고, 상기 호출 일치 정보를 구비하는 상기 호출 벡터 정보를 악성 코드 집합으로 분류하는 분류부;
    상기 악성 코드 집합으로 분류된 호출 벡터 정보의 호출 일치 정보 및 호출 유사 정보에 따라 악성 코드의 유사성 점수를 계산하는 판단부; 및
    상기 유사성 점수가 사전에 설정되는 임계 값을 초과하는 경우, 해당 호출 일치 정보를 행위 특성 정보로 추출하는 추출부를 포함하고,
    상기 호출 벡터 정보는, 상기 어플리케이션이 실행되는 운영체제에 구비되는 호출 함수 정보를 포함하며,
    상기 호출 함수 정보는, 호출 함수에 대한 주체 정보, 객체 정보, 매개변수 값 및 반환 값을 포함하고,
    상기 판단부는, 상기 호출 일치 정보로부터 나타나는 하나 이상의 요소에 부여된 점수들을 합산하되, 상기 하나 이상의 요소에 부여된 점수는 상기 호출 유사 정보에 따라 상기 주체 정보, 매개변수 값 및 반환 값에 서로 다른 값의 점수가 부여되도록 설정되는, 행위 특성 추출 장치.
  9. 제8항에 있어서, 상기 추출부는,
    서로 다른 호출 일치 정보에 따라 생성되는 행위 특성 정보로부터 행위 특성 데이터베이스를 생성하는, 행위 특성 추출 장치.
  10. 제9항에 있어서, 상기 행위 특성 데이터베이스는,
    상기 추출부가 복수의 행위 특성 정보와 서로 다른 환경에서 실행되는 어플리케이션에 의한 악성 코드의 악성 행위를 각각 비교하여 상기 행위 특성 정보와 일치하는 악성 행위를 추출하도록 마련되는 것인, 행위 특성 추출 장치.

KR1020190127738A 2019-08-23 2019-10-15 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체 KR102242000B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020190103895 2019-08-23
KR20190103895 2019-08-23

Publications (3)

Publication Number Publication Date
KR20210024399A KR20210024399A (ko) 2021-03-05
KR102242000B1 true KR102242000B1 (ko) 2021-04-20
KR102242000B9 KR102242000B9 (ko) 2021-08-23

Family

ID=75164229

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190127738A KR102242000B1 (ko) 2019-08-23 2019-10-15 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체

Country Status (1)

Country Link
KR (1) KR102242000B1 (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101537088B1 (ko) 2014-09-02 2015-07-15 인포섹(주) Api 호출 흐름 기반의 악성코드 탐지 시스템 및 방법

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101444929B1 (ko) * 2012-12-04 2014-09-26 주식회사 안랩 비정상 경로 호출 감지 장치 및 비정상 경로 호출 감지 방법
KR101583133B1 (ko) * 2014-03-26 2016-01-07 단국대학교 산학협력단 스택 기반 소프트웨어 유사도 평가 방법 및 장치
KR20170108330A (ko) * 2016-03-17 2017-09-27 한국전자통신연구원 악성 코드 탐지 장치 및 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101537088B1 (ko) 2014-09-02 2015-07-15 인포섹(주) Api 호출 흐름 기반의 악성코드 탐지 시스템 및 방법

Also Published As

Publication number Publication date
KR102242000B9 (ko) 2021-08-23
KR20210024399A (ko) 2021-03-05

Similar Documents

Publication Publication Date Title
US10303874B2 (en) Malicious code detection method based on community structure analysis
US9621571B2 (en) Apparatus and method for searching for similar malicious code based on malicious code feature information
CN108734012B (zh) 恶意软件识别方法、装置及电子设备
CN111523117A (zh) 一种安卓恶意软件检测和恶意代码定位系统及方法
US11783034B2 (en) Apparatus and method for detecting malicious script
CN111753290B (zh) 软件类型的检测方法及相关设备
Sanz et al. Anomaly detection using string analysis for android malware detection
KR102302484B1 (ko) 특성 선택에 기반한 모바일 악성 코드 분류 방법, 이를 수행하기 위한 기록 매체 및 장치
JP2017004123A (ja) 判定装置、判定方法および判定プログラム
CN111651768B (zh) 计算机二进制程序的链接库函数名识别方法及装置
RU2587429C2 (ru) Система и способ оценки надежности правила категоризации
KR102000133B1 (ko) 수집된 이벤트 정보 기반 악성코드 탐지 장치 및 방법
CN113468524B (zh) 基于rasp的机器学习模型安全检测方法
CN112817877B (zh) 异常脚本检测方法、装置、计算机设备和存储介质
CN110990834B (zh) 一种android恶意软件的静态检测方法、系统及介质
KR101907681B1 (ko) 악성코드 검출을 위한 자동 규칙 생성방법, 장치, 시스템 및 이를 기록한 컴퓨터로 판독가능한 기록매체
KR102242000B1 (ko) 악성 코드의 행위 특성 추출 장치, 방법 및 이를 수행하기 위한 프로그램을 기록한 기록매체
CN113139185A (zh) 基于异质信息网络的恶意代码检测方法及系统
JP7235126B2 (ja) バックドア検査装置、バックドア検査方法、及びプログラム
CN110866256A (zh) 一种宏代码检测方法、装置、设备及存储介质
Vahedi et al. Cloud based malware detection through behavioral entropy
Xiao et al. A new Android malicious application detection method using feature importance score
CN108563950B (zh) 基于SVM的Android恶意软件检测方法
CN111190813B (zh) 基于自动化测试的安卓应用网络行为信息提取系统及方法
Nugraha et al. Malware Detection Using Decision Tree Algorithm Based on Memory Features Engineering

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
G170 Publication of correction