KR20120076100A - A malware detection system in open mobile platform - Google Patents

A malware detection system in open mobile platform Download PDF

Info

Publication number
KR20120076100A
KR20120076100A KR1020100138100A KR20100138100A KR20120076100A KR 20120076100 A KR20120076100 A KR 20120076100A KR 1020100138100 A KR1020100138100 A KR 1020100138100A KR 20100138100 A KR20100138100 A KR 20100138100A KR 20120076100 A KR20120076100 A KR 20120076100A
Authority
KR
South Korea
Prior art keywords
malicious code
malware
mobile terminal
signature
content
Prior art date
Application number
KR1020100138100A
Other languages
Korean (ko)
Other versions
KR101266935B1 (en
Inventor
최의인
조정희
장효경
박성도
장복만
안효식
송인준
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020100138100A priority Critical patent/KR101266935B1/en
Publication of KR20120076100A publication Critical patent/KR20120076100A/en
Application granted granted Critical
Publication of KR101266935B1 publication Critical patent/KR101266935B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F1/00Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
    • G06F1/26Power supply means, e.g. regulation thereof
    • G06F1/32Means for saving power
    • G06F1/3203Power management, i.e. event-based initiation of a power-saving mode
    • G06F1/3206Monitoring of events, devices or parameters that trigger a change in power modality
    • G06F1/3209Monitoring remote activity, e.g. over telephone lines or network connections
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/0703Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation
    • G06F11/0706Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment
    • G06F11/0745Error or fault processing not based on redundancy, i.e. by taking additional measures to deal with the error or fault not making use of redundancy in operation, in hardware, or in data representation the processing taking place on a specific hardware platform or in a specific software environment in an input/output transactions management context

Abstract

PURPOSE: The malware detection system of open type mobile platform environment is provided to supply safe contents against malware in mobile environment by previously inspecting contents to be downloaded at server. CONSTITUTION: A constraint policy part(41) receives and stores constraint policies for malware detection. A malware analyzing part(42) compares/analyzes contents with malware. A state monitoring part(43) monitors the state of a mobile terminal and detects the state change of the mobile terminal. A malware analyzing part registers the signature of the malware. If the registered signature is detected from the contents, the malware analyzing part verifies the detection of the malware corresponding to the signature.

Description

개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템 { A malware detection system in open mobile platform }A malware detection system in open mobile platform}

본 발명은 이동단말이 콘텐츠 서버로부터 다운로드하려는 콘텐츠를 수신하여 악성코드를 검사하고 검사한 콘텐츠를 이동단말로 전송하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 관한 것이다.The present invention relates to a malware detection system of an open mobile platform environment in which a mobile terminal receives a content to download from a content server, inspects a malicious code, and transmits the inspected content to the mobile terminal.

특히, 본 발명은 개방형 모바일 플랫폼을 이용하는 스마트폰 등의 이동단말에서 악성코드 유입의 취약점을 분석하고 모바일 악성코드의 침입에 대해 자체적으로 보안체계를 갖추어 허가되지 않은 악의적인 바이러스, 웜 공격과 같은 허가되지 않은 사용자 및 애플리케이션 접근을 효과적으로 제어하여 악성코드의 피해를 미리 방지 할 수 있는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 관한 것이다.
In particular, the present invention analyzes the vulnerability of malicious code inflow in mobile terminals such as smartphones using an open mobile platform, and has its own security system for intrusion of mobile malicious code, such as unauthorized malicious viruses and worm attacks. The present invention relates to a malware detection system of an open mobile platform environment that can effectively prevent unauthorized user and application access to prevent malicious code damage.

전 세계 이동통신 기술의 발전으로 인해 모바일 디바이스는 초고속 대용량 데이터를 다운로드 받을 수 있는 서비스는 물론, 음성중심의 기능에서 데이터 중심의 인터넷 브라우증(Browsing), 모바일 뱅킹(Mobile Banking), 그리고 다양한 멀티미디어 컨텐츠(Multimedia Contents)를 처리할 수 있는 스마트폰으로 발전하였다. 이러한 모바일 기기의 변화 및 사용자들의 다양한 요구에 의하여 출현한 스마트폰은 다양한 인터페이스 및 기능이 하나의 모바일 기기에서 제공됨으로 인하여 모바일 컨버젼스가 우리의 실생활에 실현되게 되었다.Due to the development of mobile communication technology around the world, mobile devices can download high-speed and large-capacity data, as well as data-driven Internet browsing, mobile banking, and various multimedia contents. It has evolved into a smartphone that can handle (Multimedia Contents). Smartphones emerged by the change of mobile devices and various demands of users have made mobile convergence possible in our real life because various interfaces and functions are provided in one mobile device.

모바일 기술의 발전 및 네트워크 고도화의 비약적인 발전은 스마트폰의 보급을 확산시켰으며, 이로 인한 스마트폰 경쟁에 따라 개방형 모바일 플랫폼이 증가하였으며, 앱스토어(App Store)와 같은 애플리케이션 마켓 플레이스의 활성화가 활발히 이루어지고 있다. 이렇듯 개방형 모바일 환경에서는 표준화된 개발환경이 모든 개발자에게 공개되어 있으며 사용자 누구나 애플리케이션의 제작 및 배포가 가능함으로써 질적/양적인 모바일 애플리케이션의 활성화가 이루어지고 있다.The rapid development of mobile technology and network advancement has led to the spread of smartphones, which has led to the increase of open mobile platforms due to the competition of smartphones, and the active activation of application market places such as the App Store. ought. In this open mobile environment, a standardized development environment is open to all developers, and the application of anyone can create and distribute applications, thereby activating qualitative and quantitative mobile applications.

하지만 개방화된 모바일 플랫폼 환경의 등장으로 인해 스마트폰과 같은 모바일 단말은 악성코드의 제작을 용이하게 하며, 제작된 모바일 악성코드는 개방형 모바일 플랫폼을 이용하는 스마트폰 사용자에게 과금 및 정보유출과 같은 피해가 점차 증가하고 있다. 이에 개방형 모바일 플랫폼 환경의 스마트폰 사용자들에 대한 정보보호 및 악성코드의 피해를 미리 예방할 수 있는 악성코드 탐지의 연구가 중요해 질 것이다.
However, due to the emergence of an open mobile platform environment, mobile terminals such as smartphones facilitate the production of malware, and the produced mobile malware gradually damages such as billing and information leakage to smartphone users using the open mobile platform. It is increasing. Therefore, it will be important to study the malware detection that can prevent the damage of information and malware in advance for smartphone users in the open mobile platform environment.

한편, 클라우딩 컴퓨팅은 다양한 응용 프로그램들을 수용하여 잘 관리되면서 높은 확장성을 갖는 추상화된 컴퓨팅 인프라의 집합을 의미한다. 이 개념은 유틸리티 컴퓨팅이나 서비스로서의 소프트웨어(SaaS : Software as a Service), 그리고 그리드 컴퓨팅 개념들이 혼합된 개념이다. 즉, 하드웨어적인 또는 소프트웨어적인 컴퓨팅 자원을 사용한 만큼 비용을 지불한다는 의미에서 사용자 측면에서는 유틸리티 컴퓨팅이나 SaaS와 유사하다. 분산된 여러 컴퓨팅 자원을 취합하여 하나의 컴퓨팅 자원처럼 사용할 수 있도록 제공한다는 자원 제공자 측면에서는 그리드 컴퓨팅의 개념과 같다.Cloud computing, meanwhile, refers to a set of abstracted computing infrastructures that are highly scalable and well-managed to accommodate various applications. This concept is a mixture of utility computing, software as a service (SaaS), and grid computing concepts. In other words, it is similar to utility computing or SaaS in terms of users in that it pays for using hardware or software computing resources. It is like the concept of grid computing in terms of a resource provider that aggregates distributed computing resources so that they can be used as a single computing resource.

그러므로 서로 다른 물리적인 위치에 존재하는 컴퓨터들의 리소스를 가상화 기술로 통합하여 제공하는 기술이라고 정의한다. 즉, 개인용 컴퓨터나 기업의 서버에 개별적으로 저장하여 두었던 프로그램이나 문서를 인터넷으로 접속할 수 있는 대형 컴퓨터에 저장하고, 개인 PC는 물론이고 모바일 등 다양한 단말기로 웹 브라우저 등 필요한 애플리케이션을 구동하여 원하는 작업을 수행할 수 있는 이용자 중심의 컴퓨터 환경을 의미한다. Therefore, it is defined as a technology that integrates and provides resources of computers existing in different physical locations into virtualization technology. In other words, programs or documents that have been stored separately on a personal computer or a corporate server can be stored on a large computer that can be connected to the Internet. It means a user-oriented computer environment that can be performed.

또한, 알려진 악성코드에 대한 탐지방법은 패턴매칭에 의한 방식으로 탐지한다. 먼저 악성코드가 확산되면 이들에 대한 정보를 수집 및 분석하여 시그니처를 생성한 뒤, 의심되는 파일과 비교하여 탐지하는 방식이다. 실행압축 되지 않은 파일 상태에서는 매우 효율적인 탐지방법이고, 현재 대부분의 안티바이러스 제품군에서 채택되고 있는 방식이다. 이러한 방식은 침입탐지 범위에서 오용 행위 탐지와 마찬가지로 패턴이 있는 경우에 정확한 탐지가 가능하지만, 알려지지 않은 패턴에 대해서는 탐지가 불가능하다. 따라서 신규로 발생하는 악성코드나 변종을 탐지하지 못하는 한계가 있다.In addition, the detection method for known malicious code is detected by a pattern matching method. First, when malicious code spreads, it collects and analyzes information about them, generates signatures, and detects them by comparing them with suspicious files. It is a very efficient detection method in the uncompressed file state and is currently adopted by most antivirus products. This method, like the detection of misuse behavior in the scope of intrusion detection, can be detected precisely when there is a pattern, but it is impossible to detect an unknown pattern. Therefore, there is a limit that can not detect newly occurring malware or variants.

알려지지 않은 악성코드에 대한 탐지에는 바이너리에 대한 패턴이 아닌 어셈블리 수준 및 API 호출의 순서를 이용한 탐지 방법을 사용한다. Wisconsin 대학의 SAFE(Static Analyzer For Executable)는 변조 바이러스를 어셈블리 수준에서 탐지하기 위한 방법을 제시하고 있다. SAFE에서 사용된 방법은 바이너리에서 어셈블리 코드를 추출하고, 추출한 코드에서 변조 부분을 주석자(annotator)에 의해 우회된 코드를 추상화한 후, 악성코드에서 보이는 패턴이 있는지 비교하여 탐지하는 방식이다. 이 방식은 바이러스 검출을 어렵게 하는 nop 코드 삽입, 데이터 수정, 제어흐름 수정, 데이터와 제어흐름 수정, 포인터 별명 사용 등의 단순한 병조 방식을 이용한 우회 기법에 대한 탐지는 가능하지만 실행압축에 의해 변조된 방식은 탐지가 불가능하다. New Mexico 대학에서 진행하는 SAVE(Static Analyzer of Vicious Executables)는 알려진 바이러스의 API 순서와 PE 실행파일에서 추출한 API 순서 간의 유사성을 측정하는 방식으로 바이러스를 탐지한다. 유사성을 측정하기 위해 코사인(cosine) 방식, 확장된 자카드(extended jacard)방식, 피어슨 상관관계(Pearson's correlation) 방식을 혼용하여 사용한다. 유사도 비교 시, 세 가지 방식에 대해 모두 계산한 뒤에 임계치를 부여하여 임계치를 최과한 경우 바이러스로 탐지하게 된다. SAVE는 PE 파일의 실행압축을 해제한 뒤에 유사성을 이용하여 변조된 바이러스에 대한 탐지방법을 제시한다. 그러나 실행압축에 대한 알고리즘을 모두 보유하고 있지 않을 경우에는 특정 바이러스에 대한 탐지만 가능하다. 그리고 유사도 비교 방식 중 피어슨 상관관계 방식과 코사인 방식은 정확히 일치하지 않더라도 일정한 간격으로 패턴이 반복될 경우에 높은 유사도 수치로 계산되어 바이러스가 아닌 경우에도 바이러스로 탐지될 수 있다. For detection of unknown malware, the detection method uses the assembly level and the order of API calls, not the pattern for binary. Static Analyzer For Executable (SAFE) at Wisconsin University offers a way to detect tampering viruses at the assembly level. The method used in SAFE extracts assembly code from binary, abstracts the code that has been circumvented by annotators in the modulated part of the extracted code, and compares and detects patterns seen in malicious code. This method detects bypass techniques using simple combinations such as nop code insertion, data modification, control flow modification, data and control flow modification, and the use of pointer aliases, which makes virus detection difficult, but modulated by execution compression. Cannot be detected. Static Analyzer of Vicious Executables (SAVE) at the University of New Mexico detects viruses by measuring the similarity between known virus API sequences and those extracted from PE executables. Cosine, extended jacard, and Pearson's correlation methods are used in combination to measure similarity. When comparing the similarities, all three methods are calculated and given a threshold, which is detected as a virus when the threshold is exceeded. SAVE uncompresses the PE file and suggests a method for detecting viruses that have been modified using similarities. However, if you do not have all the algorithms for execution compression, you can only detect specific viruses. Also, even though the Pearson correlation method and the cosine method are not exactly identical among the similarity comparison methods, when the pattern is repeated at regular intervals, it is calculated as a high similarity value and can be detected as a virus even if it is not a virus.

한편, 악성코드를 탐지하는 접근 방법은 정적 분석(static analysis)과 동적 분석(dynamic analysis)로 구분된다.On the other hand, the approach for detecting malware is divided into static analysis and dynamic analysis.

정적 분석(static analysis)이란 프로그램을 실행하지 않고 이 프로그램의 동적인 실행의 특성을 확인하기 위하여 프로그램의 코드를 검사하는 것이다. 이 기법은 다양한 분석과 코드의 최적화를 위해 컴파일러 개발자들에 의해 널리 사용되었고, 프로그램의 이해와 소프트웨어 시스템의 역공학을 위해 사용된다.Static analysis is the examination of a program's code to determine the nature of its dynamic execution without running the program. This technique has been widely used by compiler developers for various analysis and code optimization, and is used for program understanding and reverse engineering of software systems.

정적 분석의 결과는 프로그램에서 사용하는 중요 문자열, 삽입된 DLL(Dynamic Link Library), 함수 호출, 제어문 등을 식별할 수 있다. 그렇지만 제어문은 단지 변수를 어떻게 처리할 것인지에 관한 명령이며, 함수 호출에 있어서 입출력 변수들은 확인하는데 어려움이 많기 때문에 프로그램을 실행하지 않은 상태에서 그 동작을 정확히 알기는 어렵다. The results of static analysis can identify important strings used in the program, embedded dynamic link libraries (DLLs), function calls, and control statements. However, the control statement is just a command of how to handle the variable, and the input and output variables in the function call are difficult to check, so it is difficult to know exactly the operation without executing the program.

정적 분석은 프로그램의 특정한 실행 조건에 제한되지 않고, 프로그램의 모든 실행에 대해 분석할 수 있다는 점에서 철저한 분석이 가능하다. 그리고 악성코드의 위험성을 실행하기 전에 검토하여 판단할 수 있으며, 실행에 있어서 과부하가 없다는 장점이 있다. Static analysis is not limited to specific execution conditions of a program, and can be thoroughly analyzed in that it can be analyzed for all executions of a program. And before running the risk of malicious code can be reviewed and judged, there is an advantage that there is no overload in execution.

반면, 동적 분석(dynamic analysis)은 주로 악성 행위를 발견하기 위하여 프로그램의 실행을 감시하고, 추적하는 것이 주목적이다. 동적 분석은 정적 분석에 비해 다음의 이점을 가진다.Dynamic analysis, on the other hand, primarily aims to monitor and track the execution of a program to detect malicious behavior. Dynamic analysis has the following advantages over static analysis.

첫째, 동적 분석은 PE(portable executable) 파일의 변경에 영향을 받지 않는다. 백신을 우회하기 위해 기본적으로 사용되는 NOP(no-operation) 삽입, 데이터 변경, 제어흐름 변경, 데이터와 제어흐름 변경, 포인터 별명의 사용과 수십여 가지의 실행압축을 사용한 방법은 정적 분석을 어렵게 하는 요인이 되고 있다. 특히 실행압축에 의한 변경은 해당 실행압축을 해제하는 알고리즘을 가지고 있지 않은 이상 정적 분석이 불가능하다는 문제가 있다. First, dynamic analysis is not affected by changes in portable executable (PE) files. The use of no-operation (NOP) insertions, data changes, control flow changes, data and control flow changes, the use of pointer aliases and dozens of execution compressions, which are used primarily to bypass vaccines, can make static analysis difficult. It is a factor. In particular, changes made by execution compression have a problem in that static analysis is impossible unless an algorithm for releasing the execution compression is provided.

둘째, 동적 분석은 자원별 접근형태를 정확히 확인할 수 있다. 정적 분석은 API 호출정보를 토대로 자원에 대한 접근 정보를 반복 추적해야 하는 부담이 있고, 문자열에 대해 암호화를 사용할 경우에는 별도의 복호화 프로그램을 사용해야 하는 등, 정확한 정보 획득에 어려움이 많다.
Second, dynamic analysis can accurately identify resource-specific approaches. Static analysis has a burden of repeatedly tracking access information about resources based on API call information, and when encryption is used for strings, it is difficult to obtain accurate information, such as using a separate decryption program.

스마트폰 등과 같은 이동단말은 통상의 PC 등 컴퓨터 단말에 비하여 프로세서나 메모리 등의 처리 성능 면에서 상당히 낮은 성능을 가지고 있다. 대신, 무선망의 확충에 따라 이동단말도 어디에서도 네트워크에 연결될 수 있다.Mobile terminals, such as smartphones, have considerably lower performance in terms of processing performance, such as processors and memory, than computer terminals, such as ordinary PCs. Instead, with the expansion of wireless networks, mobile terminals can be connected to the network from anywhere.

따라서 앞서 본 바와 같은 클라우드 컴퓨팅 환경으로 이동단말에 악성코드 탐지를 지원할 수 있을 것이다. 특히, 악성코드 탐지는 정적 분석 및 동적 분석을 모두 지원해야 할 것이다.
Therefore, the cloud computing environment as described above will be able to support malware detection in mobile terminals. In particular, malware detection should support both static and dynamic analysis.

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 이동단말이 콘텐츠 서버로부터 다운로드하려는 콘텐츠를 수신하여 악성코드를 검사하고 검사한 콘텐츠를 이동단말로 전송하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템을 제공하는 것이다.An object of the present invention is to solve the problems described above, the mobile terminal receives the content to download from the content server to detect the malicious code and to detect the malware in the open mobile platform environment for transmitting the detected content to the mobile terminal To provide a system.

또한, 본 발명의 목적은 이동단말의 프로세스 및 메모리 등의 상태를 모니터링하여, 실행중인 프로세스의 이상 여부를 검출하여 실행중인 상태에서 발생되는 악성코드를 감지하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템을 제공하는 것이다.
In addition, an object of the present invention is to monitor the status of the process and memory of the mobile terminal, to detect the abnormality of the running process to detect the malicious code generated in the running state malware detection system of the open mobile platform environment To provide.

상기 목적을 달성하기 위해 본 발명은 콘텐츠 서버와 네트워크로 연결되고, 이동단말과 무선망으로 연결되어, 상기 이동단말이 상기 콘텐츠 서버로부터 다운로드하려는 콘텐츠를 수신하여 악성코드를 검사하고 검사한 콘텐츠를 상기 이동단말로 전송하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 관한 것으로서, 악성코드 탐지를 위한 제약정책을 수신하여 저장하는 제약정책 수단; 상기 콘텐츠를 악성코드와 비교분석하여 검사하는 악성코드 분석부; 및, 상기 이동단말의 상태를 모니터링하고, 상기 상태의 변화를 탐지하는 상태 모니터부를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention is connected to a content server and a network, and is connected to a mobile terminal and a wireless network. A malware detection system of an open mobile platform environment for transmitting to a mobile terminal, comprising: a constraint policy means for receiving and storing a constraint policy for detecting a malware; A malicious code analysis unit for comparing and inspecting the content with malicious code; And a state monitor unit for monitoring a state of the mobile terminal and detecting a change in the state.

또, 본 발명은 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 있어서, 상기 악성코드 분석부는 악성코드의 시그너쳐를 등록하고, 등록된 시그너쳐가 상기 콘텐츠에서 검출되면 상기 시그너쳐에 해당하는 악성코드가 검출된 것으로 판단하는 것을 특징으로 한다.In addition, the present invention is a malicious code detection system of an open mobile platform environment, the malware analysis unit registers the signature of the malicious code, and if the registered signature is detected in the content, the malicious code corresponding to the signature is detected It is characterized by judging.

또, 본 발명은 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 있어서, 상기 제약정책은 악성코드와 상기 악성코드의 처리 모드를 포함하되, 상기 처리 모드는 차단, 허용, 탐지, 및, 설치 중 적어도 하나를 포함하고, 상기 악성코드 분석부는 악성코드가 검출되면, 상기 악성코드의 제약정책의 처리 모드에 따라 처리하는 것을 특징으로 한다.In addition, the present invention is a malicious code detection system of an open mobile platform environment, wherein the restriction policy includes a malicious code and the processing mode of the malicious code, the processing mode is at least one of blocking, allowing, detecting, and installation Includes, the malicious code analysis unit is characterized in that processing according to the processing mode of the restriction policy of the malicious code, the malicious code is detected.

또, 본 발명은 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 있어서, 상기 상태 모니터부는 상기 이동단말에서 작동되는 프로세스 상태 및, 상기 이동단말의 메모리 상태를 상기 이동단말로부터 수신하여, 상기 이동단말의 프로세스 및 메모리를 감시하는 것을 특징으로 한다.In another aspect, the present invention provides a malicious code detection system of an open mobile platform environment, wherein the status monitor receives a process state that is operated in the mobile terminal and a memory state of the mobile terminal from the mobile terminal to process the mobile terminal. And monitoring the memory.

또, 본 발명은 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 있어서, 상기 상태 모니터부는 프로세스 상태 또는 메모리 상태의 변화가 정상 기준에 충족하지 않으면, 상기 이동단말에서 실행중인 프로세스에 대한 시그너쳐를 추출하여, 상기 악성코드 분석부에게 악성코드의 시그너쳐로 등록시키는 것을 특징으로 한다.
In addition, in the malware detection system of an open mobile platform environment, the state monitor unit extracts a signature for a process running in the mobile terminal if a change in process state or memory state does not meet a normal criterion. The malware analysis unit is characterized in that the registration as a signature of the malicious code.

상술한 바와 같이, 본 발명에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 의하면, 다운 받으려는 콘텐츠의 안전성을 서버에서 사전에 검사하여 제공함으로써, 개방되었지만 제한된 프로세싱 성능을 가진 모바일 환경에서도 악성코드로부터 안전한 콘텐츠를 제공할 수 있는 효과가 얻어진다.As described above, according to the malware detection system of the open mobile platform environment according to the present invention, by checking the security of the content to be downloaded from the server in advance to provide a safe, it is safe from malware even in a mobile environment with an open but limited processing performance An effect capable of providing the content is obtained.

또한, 본 발명에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 의하면, 이동단말의 프로세스를 모니터링하여 악성코드를 검출하여 등록시킴으로써, 차후 발생될 수 있는 악성코드를 예방할 수 있는 효과가 얻어진다.
In addition, according to the malware detection system of the open mobile platform environment according to the present invention, by detecting the process of the mobile terminal to detect and register the malicious code, it is possible to prevent the malicious code that can be generated later.

도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따라 콘텐츠를 다운로드 받는 과정을 도시한 도면이다.
도 3은 본 발명의 일실시예에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템의 구성 및 상호작용을 도시한 도면이다.
도 4는 본 발명의 일실시예에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템의 구성에 대한 블록도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
10 : 이동단말 21 : 이동 통신망
22 : 네트워크 30 : 콘텐츠 서버
40 : 악성코드 탐지 시스템/서버 41 : 제약정책 수단
42 : 악성코드 분석부 43 : 상태 모니터부
50 : 데이터베이스 51 : 악성코드 지식DB
52 : 로그DB 60 : 클라우드1 is a diagram showing an example of the overall system configuration for implementing the present invention.
2 is a diagram illustrating a process of downloading content according to an embodiment of the present invention.
3 is a diagram showing the configuration and interaction of the malware detection system of the open mobile platform environment according to an embodiment of the present invention.
Figure 4 is a block diagram of the configuration of a malicious code detection system of an open mobile platform environment according to an embodiment of the present invention.
Description of the Related Art [0002]
10: mobile terminal 21: mobile communication network
22: network 30: content server
40: malware detection system / server 41: constraint policy measures
42: malware analysis unit 43: status monitor
50: Database 51: Malware Knowledge DB
52: log DB 60: cloud

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
In addition, in describing this invention, the same code | symbol is attached | subjected and the repeated description is abbreviate | omitted.

먼저, 본 발명을 실시하기 위한 전체 시스템 구성의 예들을 도 1을 참조하여 설명한다.First, examples of the overall system configuration for implementing the present invention will be described with reference to FIG.

도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템은 이동단말(10), 콘텐츠 서버(30), 및, 악성코드 탐지 서버(40)로 구성된다. 추가적으로, 데이터를 저장하기 위한 데이터베이스(50)를 더 포함하여 구성될 수 있다. 또한, 다수의 악성코드 탐지 서버(40)로 구성되어 클라우드(60)를 구성할 수 있다.As shown in FIG. 1, the entire system for implementing the present invention includes a mobile terminal 10, a content server 30, and a malicious code detection server 40. In addition, it may be configured to further include a database (50) for storing data. In addition, the cloud 60 may be configured by a plurality of malware detection servers 40.

이동단말(10)은 컴퓨팅 기능을 가진 이동통신 단말로서, 스마트폰 등이다. 상기 이동단말(10)은 콘텐츠 서버(30)로부터 콘텐츠를 다운로드하여, 콘텐츠를 실행시킨다.The mobile terminal 10 is a mobile communication terminal having a computing function, such as a smartphone. The mobile terminal 10 downloads the content from the content server 30 and executes the content.

콘텐츠 서버(30)는 통상의 서버로서, 이동단말(10)에 콘텐츠를 제공하는 서버이다. 콘텐츠는 텍스트, 문서, 이미지, 음악, 동영상 등뿐만 아니라, 응용 프로그램(또는 어플리케이션)도 포함한다. 또한, 메일, 쪽지, 메시지 등도 포함된다.The content server 30 is a normal server, and is a server for providing content to the mobile terminal 10. Content includes not only text, documents, images, music, video, etc. but also an application (or application). Also included are mails, messages, messages, and the like.

응용 프로그램은 이동단말(10)에 설치되어 실행될 수 있는 모바일 앱(App) 등이다. 응용 프로그램은 이동단말(10)에 설치되어 자체적으로 실행된다. 이에 반해, 이미지, 동영상 등은 이동단말(10)에 설치된 플레이어에 의해 실행된다. 그러나 문서 또는 메일 등은 자체 내용 중에 실행코드가 포함될 수 있다.The application is a mobile app that can be installed and run on the mobile terminal 10. The application is installed on the mobile terminal 10 and runs on its own. On the other hand, the image, video, and the like are executed by the player installed in the mobile terminal 10. However, the document or mail may include executable code in its contents.

이동단말(10)은 상기 콘텐츠 서버(30)에 필요한 콘텐츠를 요청하여, 요청된 콘텐츠를 다운로드 받을 수 있다.The mobile terminal 10 may request the necessary content from the content server 30 and download the requested content.

악성코드 탐지 서버(40)는 일종의 서버로서, 콘텐츠에 악성코드가 포함되었는지를 탐지한다. 악성코드 탐지 서버(40)는 콘텐츠 서버(30)로부터 콘텐츠를 수신하여, 수신된 콘텐츠에 대하여 악성코드를 탐지한다. 그리고 악성코드가 없는 안전한 콘텐츠를 이동단말(10)로 다운로드 시켜준다.Malware detection server 40 is a kind of server, it detects whether the malicious code is included in the content. The malware detection server 40 receives the content from the content server 30 and detects the malicious code with respect to the received content. And it downloads the safe content without malware to the mobile terminal (10).

한편, 악성코드 탐지 서버(또는 탐지 서버)(40)는 다수로 구성되어 하나의 클라우드 컴퓨팅 환경(60)을 제공한다. 따라서 이동단말(10)은 어느 곳에서도 악성코드 탐지 서비스를 제공받을 수 있다. 즉, 이동단말(10)은 클라우드 컴퓨팅 환경(60)에서의 임의의 하나의 서버로부터 악성코드 탐지 서비스를 제공받는다. 그러나 이하에서, 임의의 하나의 서버를 악성코드 탐지 서버(40)로 편의상 기재한다.On the other hand, the malware detection server (or detection server) 40 is composed of a number to provide a single cloud computing environment (60). Therefore, the mobile terminal 10 may be provided with a malware detection service anywhere. That is, the mobile terminal 10 is provided with a malware detection service from any one server in the cloud computing environment 60. However, hereinafter, any one server will be described as a malware detection server 40 for convenience.

이동단말(10)이 콘텐츠를 요청하면, 탐지 서버(40)가 콘텐츠를 검사하고 다운로드 시켜주는 과정이 도 2에서 보는 바와 같다.When the mobile terminal 10 requests the content, the process of detecting and downloading the content by the detection server 40 is shown in FIG. 2.

사용자가 이동단말(10)을 통해, 콘텐츠 서버(30)에 접속하여, 콘텐츠 서비스 요청을 하게 되면, 콘텐츠 서버(30)에서는 사용자에게 해당 콘텐츠를 다운로드 하기 전에 악성코드를 검사하여 안전한 콘텐츠를 다운로드 할 것인지 피드백을 보낸다.When the user accesses the content server 30 through the mobile terminal 10 and requests a content service, the content server 30 checks malicious code before downloading the corresponding content to the user to download safe content. Send feedback.

사용자는 이동단말(10)을 통해, 콘텐츠 서버(30)를 통해 안전한 콘텐츠를 다운로드 할 것인지 결정을 콘텐츠 서버(30)에 응답을 해준다. 콘텐츠 서버(30)에서는 사용자가 안전한 콘텐츠를 다운로드 하겠다고 응답을 하면, 탐지 서버(40)로 해당 콘텐츠를 보내어 콘텐츠의 악성코드를 사전에 검사하고 사용자는 안전한 콘텐츠를 다운로드 하게 된다.The user responds to the content server 30 via the mobile terminal 10 to determine whether to download safe content via the content server 30. When the content server 30 responds that the user downloads the safe content, the content server 30 sends the corresponding content to the detection server 40 to check the malicious code of the content in advance, and the user downloads the safe content.

데이터베이스(50)는 악성코드에 관한 시그너쳐, 처리모드 등의 정보를 저장하는 악성코드 지식DB(51), 및, 이동단말의 상태 등을 모니터링한 데이터를 저장하는 로그DB(52)로 이루어진다. 그러나 상기 데이터베이스(40)의 구성은 바람직한 일실시예일 뿐이며, 구체적인 장치를 개발하는데 있어서, 접근 및 검색의 용이성 및 효율성 등을 감안하여 데이터베이스 구축이론에 의하여 다른 구조로 구성될 수 있다.
The database 50 includes a malicious code knowledge DB 51 for storing information on signatures, processing modes, and the like, and a log DB 52 for monitoring data of the status of the mobile terminal. However, the configuration of the database 40 is only a preferred embodiment, and in the development of a specific device, it may be configured in a different structure by a database construction theory in view of the ease and efficiency of access and search.

종래 기술에 따르면, 기존의 한정된 메모리와 자원을 가지고 모바일 기기 내에서 악성코드를 탐지했다. 이에 반해, 이러한 중간 매개체인 클라우드(또는 탐지 서버)를 통해서, 악성코드 탐지하는 엔진을 클라우드에 적용함으로써, 한정된 모바일 기기의 자원으로부터 벗어나 보다 효율적으로 악성코드를 탐지할 수 있다. 또한 악성코드가 직접 모바일 기기로 다운로드 되지 않기 때문에 악성코드로 인한 사용자의 피해도 많이 감소한다.According to the prior art, malware has been detected in mobile devices with existing limited memory and resources. On the contrary, through the cloud (or detection server), which is an intermediate medium, by applying an engine for detecting malware to the cloud, it is possible to detect malware more efficiently from the resources of limited mobile devices. In addition, since the malicious code is not downloaded directly to the mobile device, the damage caused by the malicious code is greatly reduced.

탐지 서버(40)에 탑재한 클라우드의 악성코드 엔진을 통해 사용자는 쉽고 편리하게 악성코드를 탐지할 수 있고, 악성코드 탐지 엔진은 엔진의 제공자로부터 실시간으로 업데이트가 가능하여, 기존에 알려진 악성코드 및 알려지지 않은 악성코드로부터 빠르게 대처할 수 있다. Through the malware engine of the cloud mounted on the detection server 40, the user can easily and conveniently detect the malware, and the malware detection engine can be updated in real time from the provider of the engine, and thus known malware and It can quickly cope with unknown malware.

모바일 기기(또는 이동단말)는 편리함과 더불어 쉽고 빠르게 업무를 처리 할 수 있는 것이 장점이다. 하지만 이러한 모바일 기기에 악성코드 탐지 기법을 적용하게 되면, 한정된 자원을 가지고 복잡한 연산을 해야 하기 때문에 모바일 기기의 성능저하, 메모리 용량 부족 등의 불편함이 있다. 따라서 악성코드 탐지 기법을 모바일 기기에 적용하는 것이 아니라, 클라우드에 적용하여 복잡한 연산을 클라우드에서 처리하고, 모바일 기기는 그 결과만 전송 받는 방법이다.
Mobile devices (or mobile terminals) have the advantage of being able to handle tasks quickly and easily. However, when the malware detection technique is applied to such a mobile device, since a complicated operation must be performed with limited resources, there is an inconvenience such as a decrease in the performance of the mobile device and insufficient memory capacity. Therefore, the malware detection technique is not applied to the mobile device, but is applied to the cloud to process complex operations in the cloud, and the mobile device receives only the result.

다음으로, 본 발명의 일실시예에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템의 구성을 도 3 및 도 4를 참조하여 보다 구체적으로 설명한다.Next, the configuration of a malware detection system of an open mobile platform environment according to an embodiment of the present invention will be described in more detail with reference to FIGS. 3 and 4.

즉, 도 3에서 보는 바와 같이, 상기 악성코드 탐지 시스템(40)은 크게 악성코드 검사모듈과 악성코드 지식DB로 구성할 수 있다. 악성코드 검사 모듈은 악성코드의 여부를 알기위한 악성코드 분석부(Analyzer)(42)를 통하여 코드 및 프로세스의 분석과정을 거치며, 분석의 결과는 제약정책 수단(Constraint Policy)(41)로 전송되게 된다. 제약정책 수단(Constraint Policy)(41)은 악성코드 침입여부 및 위험여부에 대한 보안 정책이 기술되어 있으며, 이 보안정책은 악성코드 지식 데이터베이스에 저장되어 있는 기존 악성코드 정보와의 비교를 통해 실행 여부를 판단한다.That is, as shown in Figure 3, the malicious code detection system 40 can be largely composed of a malicious code inspection module and malicious code knowledge DB. The malware inspection module goes through an analysis process of codes and processes through a malware analysis unit 42 to determine whether malicious code exists, and the results of the analysis are transmitted to the constraint policy 41. do. Constraint Policy 41 describes the security policy for malware intrusion and risk. The security policy is executed by comparing with existing malware information stored in the malware knowledge database. Judge.

상태 모니터부(Status Monitor)(43)는 서비스의 형태에 다른 상태 변화 및 현재 모바일 디바이스 및 프로세스의 상태를 데이터베이스에 기록하며, 이 로그 정보는 악성코드 지식 데이터베이스와 연동하여 차후 발생하는 프로세스, 메모리 등의 상태변화에 따른 정보로 활용한다.The status monitor 43 records the status change of the service and the status of the current mobile device and process in the database, and the log information is linked to the malware knowledge database to generate a process, memory, and the like. It is used as the information according to the change of state.

이를 통해, 악성코드 탐지 시스템(40)은 개방형 모바일 플랫폼 환경의 스마트폰 환경에서 사용자의 다양한 사용에 따라 악성코드탐지의 핵심적인 기능을 수행한다. 시스템(40)은 크게 악성코드 분석부(Analyzer)(42), 제약정책 수단(Constraint Policy)(41), 및, 상태 모니터부(Status Monitor)(43)로 나누어지며, 이를 위한 데이터베이스(50)로 구성되어 있다.Through this, the malware detection system 40 performs the core function of malware detection according to the various uses of the user in the smartphone environment of the open mobile platform environment. The system 40 is largely divided into a malware analyzer 42, a constraint policy 41, and a status monitor 43, and a database 50 for this purpose. Consists of

즉, 도 4에서 보는 바와 같이, 본 발명에 따른 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템(40)은 제약정책 수단(41), 악성코드 분석부(42), 및, 상태 모니터부(43)를 포함하여 구성된다.That is, as shown in Figure 4, the malicious code detection system 40 of the open mobile platform environment according to the present invention, the constraint policy means 41, the malware analysis unit 42, and the status monitor unit 43 It is configured to include.

제약정책 수단(41)은 사용자가 요청한 서비스의 악성코드 탐지를 위한 제약정책을 가지고 있는 수단으로서, 기존의 악성코드에 대한 처리방법 및 발견되지 않은 악성코드의 처리과정에 대한 제약정책을 가지고 있다. 사용자가 요청한 서비스에 대한 악성코드 발견시 차단, 탐지, 허용, 설치의 모드를 가지고 악성코드에 대한 처리를 담당한다.The constraint policy means 41 is a means having a constraint policy for detecting malware of a service requested by a user, and has a constraint policy on a method of processing existing malware and a process of not finding a malicious code. When malicious code is found for the service requested by the user, it handles malicious code with the mode of blocking, detecting, allowing and installing.

즉, 제약정책 수단(41)은 2가지 종류의 제약정책을 가지고 있다. 그 하나는 이미 확인된 악성코드에 대한 처리방법으로서, 주로 정적인 상태에서 악성코드의 처리에 관한 것이다. 특히, 악성코드의 시그너쳐 등을 대비하여, 프로세스(또는 응용 프로그램)에서 상기 시그너쳐를 검출함으로써, 악성코드를 검출한다.In other words, the constraint policy means 41 has two kinds of constraint policies. One is to deal with the malicious code that has already been identified. It mainly deals with the malware in a static state. In particular, malicious code is detected by detecting the signature in a process (or application) in preparation for signature of malicious code.

다른 하나는 발견되지 않은 악성코드에 대한 처리과정으로서, 주로 동적인 상태에서 악성코드가 실행되는 프로세스의 상태를 모니터링하여 검출되었을 때의 처리 정책들이다. 특히, 이동단말(10)에서 프로세스가 작동하는 상태나, 이동단말(10)의 메모리 상태 등의 변화를 탐지함으로써, 악성코드를 검출한다.The other is the processing of undetected malicious codes, which are the processing policies when detected by monitoring the status of the process in which the malicious code is executed in a dynamic state. In particular, malicious code is detected by detecting a change in a state in which a process operates in the mobile terminal 10 or a memory state of the mobile terminal 10.

즉, 제약정책 수단(41)은 악성코드 탐지를 위한 이러한 제약정책을 수신하여 저장한다. 상기 제약정책은 악성코드와 상기 악성코드의 처리 모드를 포함하되, 상기 처리 모드는 차단, 허용, 탐지, 및, 설치 중 적어도 하나를 포함한다.In other words, the constraint policy means 41 receives and stores this constraint policy for malware detection. The restriction policy includes a malicious code and a processing mode of the malicious code, wherein the processing mode includes at least one of blocking, allowing, detecting, and installing.

악성코드 분석부(42)는 사용자가 요청한 서비스로부터 데이터를 수집하여 악성코드에 대한 비교분석을 담당한다. 악성코드의 비교분석을 위해 이미 밝혀진 악성코드인가에 대한 판단을 위해 제약정책을 요청하며, 제약정책에 의해 판별된 악성코드인 경우 서비스 및 어플리케이션 실행에 대한 제약의 선처리를 담당한다.The malware analysis unit 42 collects data from the service requested by the user and is in charge of comparative analysis of the malware. For the comparative analysis of malicious code, request a restriction policy to determine whether the malicious code is already known, and in the case of malicious code determined by the restriction policy, it is in charge of pre-processing restrictions on service and application execution.

특히, 악성코드 분석부(42)는 상기 콘텐츠를 악성코드와 비교분석하여 검사한다. 특히, 악성코드 분석부(42)는 악성코드의 시그너쳐를 등록하고, 등록된 시그너쳐가 상기 콘텐츠에서 검출되면 상기 시그너쳐에 해당하는 악성코드가 검출된 것으로 판단한다. 또한, 악성코드 분석부(42)는 악성코드가 검출되면, 상기 악성코드의 제약정책의 처리 모드에 따라 처리한다.In particular, the malicious code analysis unit 42 compares and inspects the content with malicious code. In particular, the malicious code analysis unit 42 registers the signature of the malicious code, and if the registered signature is detected in the content, determines that the malicious code corresponding to the signature is detected. In addition, when a malicious code is detected, the malicious code analyzing unit 42 processes the malicious code according to a processing mode of the restriction policy of the malicious code.

상태 모니터부(43)는 상기 이동단말의 상태를 모니터링하고, 상기 상태의 변화를 탐지한다. 특히, 상태 모니터부(43)는 상기 이동단말에서 작동되는 프로세스 상태 및, 상기 이동단말의 메모리 상태를 상기 이동단말로부터 수신하여, 상기 이동단말의 프로세스 및 메모리를 감시한다.The state monitor 43 monitors the state of the mobile terminal and detects a change in the state. In particular, the state monitor 43 receives the process state operated in the mobile terminal and the memory state of the mobile terminal from the mobile terminal, and monitors the process and memory of the mobile terminal.

즉, 상태 모니터부(43)는 사용하고 있는 모바일 디바이스의 상태변화를 모니터링 하는 모듈로 프로세스, 메모리 등을 감시하는 기능을 수행한다. 발견되지 않은 미확인 악성코드로 인한 프로세스, 메모리 등의 이상을 감시하며 서비스 이용 및 디바이스의 프로세스 이상, 메모리 이상 등의 변화시 악성코드에 대한 처리를 수행하기위해 제약정책을 요청하는 기능을 수행한다.That is, the state monitor 43 is a module for monitoring the state change of the mobile device in use and performs a function of monitoring a process, a memory, and the like. It monitors the abnormality of process and memory due to undetected malicious code and performs the function of requesting restriction policy in order to handle the malicious code when the service use, device process or memory change occurs.

일례로서, 상태 모니터링부(43)는 프로세스 상태 또는 메모리 상태의 변화가 정상 기준에 충족하지 않으면, 상기 이동단말에서 실행중인 프로세스에 대한 시그너쳐를 추출하여, 상기 악성코드 분석부(42)에게 악성코드의 시그너쳐로 등록시킨다.As an example, if the change in the process state or the memory state does not meet the normal criteria, the state monitoring unit 43 extracts a signature for the process running in the mobile terminal and sends the malware to the malware analysis unit 42. Register with signature.

동적인 상태, 즉, 실행상태에서 악성코드로 활동하는 상태를 검출한다. 검출된 프로세스의 코드에 대해, 정적으로도 검출할 수 있도록, 그 프로세스(또는 악성코드)의 시그너쳐를 추출한다. 추출된 프로세스(또는 악성코드)의 시그너쳐를 악성코드로 등록시킴으로써 사전에 예방할 수 있다.Detect dynamic state, that is, acting as malicious code in execution state. The signature of the process (or malicious code) is extracted so that the code of the detected process can also be detected statically. The signature of the extracted process (or malicious code) can be prevented by registering it as malicious code.

특히, 상태 모니터링부(43)는 다수의 이동단말(10)에 대한 악성코드를 탐지하기 때문에, 적어나 하나의 이동단말에서 새로운 악성코드를 검출하면 다른 이동단말에도 적용함으로써, 악성코드의 확산을 방지할 수 있다.
In particular, since the status monitoring unit 43 detects malicious codes for a plurality of mobile terminals 10, if a new malicious code is detected at least one mobile terminal, the status monitoring unit 43 also applies to other mobile terminals, thereby spreading the malicious code. It can prevent.

이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.As mentioned above, although the invention made by this inventor was demonstrated concretely according to the Example, this invention is not limited to an Example and can be variously changed in the range which does not deviate from the summary.

본 발명은 이동단말이 콘텐츠 서버로부터 다운로드하려는 콘텐츠를 수신하여 악성코드를 검사하고 검사한 콘텐츠를 이동단말로 전송하는 개방형 모바일 플랫폼 환경에서의 악성코드 탐지 클라이드 컴퓨팅 서버를 개발하는 데 유용하다.
The present invention is useful for developing a malware detection clyde computing server in an open mobile platform environment in which a mobile terminal receives a content to download from a content server, inspects a malicious code, and transmits the inspected content to the mobile terminal.

Claims (5)

콘텐츠 서버와 네트워크로 연결되고, 이동단말과 무선망으로 연결되어, 상기 이동단말이 상기 콘텐츠 서버로부터 다운로드하려는 콘텐츠를 수신하여 악성코드를 검사하고 검사한 콘텐츠를 상기 이동단말로 전송하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템에 있어서,
악성코드 탐지를 위한 제약정책을 수신하여 저장하는 제약정책 수단;
상기 콘텐츠를 악성코드와 비교분석하여 검사하는 악성코드 분석부; 및,
상기 이동단말의 상태를 모니터링하고, 상기 상태의 변화를 탐지하는 상태 모니터부를 포함하는 것을 특징으로 하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템.
An open mobile platform environment connected to a content server and a network, connected to a mobile terminal and a wireless network, the mobile terminal receives content to be downloaded from the content server, checks malicious code, and transmits the checked content to the mobile terminal. In the malware detection system of,
Constraint policy means for receiving and storing a constraint policy for malware detection;
A malicious code analysis unit for comparing and inspecting the content with malicious code; And,
And a status monitor unit for monitoring a status of the mobile terminal and detecting a change in the status.
제1항에 있어서,
상기 악성코드 분석부는 악성코드의 시그너쳐를 등록하고, 등록된 시그너쳐가 상기 콘텐츠에서 검출되면 상기 시그너쳐에 해당하는 악성코드가 검출된 것으로 판단하는 것을 특징으로 하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템.
The method of claim 1,
The malicious code analysis unit registers the signature of the malicious code, and if the registered signature is detected in the content, determines that the malicious code corresponding to the signature is detected.
제2항에 있어서,
상기 제약정책은 악성코드와 상기 악성코드의 처리 모드를 포함하되, 상기 처리 모드는 차단, 허용, 탐지, 및, 설치 중 적어도 하나를 포함하고,
상기 악성코드 분석부는 악성코드가 검출되면, 상기 악성코드의 제약정책의 처리 모드에 따라 처리하는 것을 특징으로 하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템.
The method of claim 2,
The restriction policy includes a malicious code and a processing mode of the malicious code, wherein the processing mode includes at least one of blocking, allowing, detecting, and installing,
When the malicious code analysis unit detects a malicious code, the malware analysis system of the open mobile platform environment, characterized in that for processing according to the processing mode of the restriction policy of the malicious code.
제3항에 있어서,
상기 상태 모니터부는 상기 이동단말에서 작동되는 프로세스 상태 및, 상기 이동단말의 메모리 상태를 상기 이동단말로부터 수신하여, 상기 이동단말의 프로세스 및 메모리를 감시하는 것을 특징으로 하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템.
The method of claim 3,
The status monitor detects the malware of an open mobile platform environment by receiving a process status of the mobile terminal and a memory state of the mobile terminal from the mobile terminal and monitoring the process and memory of the mobile terminal. system.
제4항에 있어서,
상기 상태 모니터부는 프로세스 상태 또는 메모리 상태의 변화가 정상 기준에 충족하지 않으면, 상기 이동단말에서 실행중인 프로세스에 대한 시그너쳐를 추출하여, 상기 악성코드 분석부에게 악성코드의 시그너쳐로 등록시키는 것을 특징으로 하는 개방형 모바일 플랫폼 환경의 악성코드 탐지 시스템.

The method of claim 4, wherein
If the change in the process state or the memory state does not meet the normal criteria, the state monitor extracts a signature for a process running in the mobile terminal, and registers the signature as a signature of the malicious code with the malware analysis unit. Malware detection system in open mobile platform environment.

KR1020100138100A 2010-12-29 2010-12-29 A malware detection system in open mobile platform KR101266935B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100138100A KR101266935B1 (en) 2010-12-29 2010-12-29 A malware detection system in open mobile platform

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100138100A KR101266935B1 (en) 2010-12-29 2010-12-29 A malware detection system in open mobile platform

Publications (2)

Publication Number Publication Date
KR20120076100A true KR20120076100A (en) 2012-07-09
KR101266935B1 KR101266935B1 (en) 2013-05-28

Family

ID=46709876

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100138100A KR101266935B1 (en) 2010-12-29 2010-12-29 A malware detection system in open mobile platform

Country Status (1)

Country Link
KR (1) KR101266935B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410289B1 (en) * 2013-02-05 2014-06-20 주식회사 잉카인터넷 system and method for tracking remote access server of malicious code
KR101530530B1 (en) * 2013-11-04 2015-06-23 주식회사 잉카인터넷 Apparatus and Method for Detecting Malicious Process Execution in a Mobile Terminal

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101480903B1 (en) 2013-09-03 2015-01-13 한국전자통신연구원 Method for multiple checking a mobile malicious code

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410289B1 (en) * 2013-02-05 2014-06-20 주식회사 잉카인터넷 system and method for tracking remote access server of malicious code
WO2014123314A1 (en) * 2013-02-05 2014-08-14 (주)잉카인터넷 System and method for tracking remote access server accessed by mallicious code
KR101530530B1 (en) * 2013-11-04 2015-06-23 주식회사 잉카인터넷 Apparatus and Method for Detecting Malicious Process Execution in a Mobile Terminal

Also Published As

Publication number Publication date
KR101266935B1 (en) 2013-05-28

Similar Documents

Publication Publication Date Title
Polychronakis et al. Comprehensive shellcode detection using runtime heuristics
Bagheri et al. Practical, formal synthesis and automatic enforcement of security policies for android
Feng et al. Mobidroid: A performance-sensitive malware detection system on mobile platform
EP3323042B1 (en) System and method for identifying and preventing vulnerability exploitation using symbolic constraints
Qian et al. Vulhunter: toward discovering vulnerabilities in android applications
Zhang et al. Assessing attack surface with component-based package dependency
Xu et al. SoProtector: Safeguard privacy for native SO files in evolving mobile IoT applications
Bagheri et al. Automated dynamic enforcement of synthesized security policies in android
Faruki et al. Droidanalyst: Synergic app framework for static and dynamic app analysis
Chen et al. Automatic privacy leakage detection for massive android apps via a novel hybrid approach
Afonso et al. Lumus: Dynamically uncovering evasive Android applications
Wan et al. Practical and effective sandboxing for Linux containers
Meng et al. DroidEcho: an in-depth dissection of malicious behaviors in Android applications
KR101266935B1 (en) A malware detection system in open mobile platform
Grace et al. Behaviour analysis of inter-app communication using a lightweight monitoring app for malware detection
Lebbie et al. Comparative Analysis of Dynamic Malware Analysis Tools
KR101557455B1 (en) Application Code Analysis Apparatus and Method For Code Analysis Using The Same
Zhong et al. Privilege escalation detecting in android applications
Zhu et al. AdCapsule: Practical confinement of advertisements in android applications
Ashouri Practical dynamic taint tracking for exploiting input sanitization error in java applications
Caputo et al. Droids in disarray: Detecting frame confusion in hybrid android apps
Xiong et al. Static taint analysis method for intent injection vulnerability in android applications
Gu et al. Exploiting android system services through bypassing service helpers
CN115048630A (en) Integrity verification method and device of application program, storage medium and electronic equipment
Al-Saleh et al. On information flow for intrusion detection: What if accurate full-system dynamic information flow tracking was possible?

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170427

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180413

Year of fee payment: 6

LAPS Lapse due to unpaid annual fee