KR20140093699A - 부정 어플리케이션 검지 시스템 및 방법 - Google Patents

부정 어플리케이션 검지 시스템 및 방법 Download PDF

Info

Publication number
KR20140093699A
KR20140093699A KR1020147014840A KR20147014840A KR20140093699A KR 20140093699 A KR20140093699 A KR 20140093699A KR 1020147014840 A KR1020147014840 A KR 1020147014840A KR 20147014840 A KR20147014840 A KR 20147014840A KR 20140093699 A KR20140093699 A KR 20140093699A
Authority
KR
South Korea
Prior art keywords
application
information
detection
feature value
processing unit
Prior art date
Application number
KR1020147014840A
Other languages
English (en)
Inventor
마토아키 야마무라
마사타 니시다
Original Assignee
가부시키가이샤 세큐아브레인
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 가부시키가이샤 세큐아브레인 filed Critical 가부시키가이샤 세큐아브레인
Publication of KR20140093699A publication Critical patent/KR20140093699A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/128Anti-malware arrangements, e.g. protection against SMS fraud or mobile malware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/30Security of mobile devices; Security of mobile applications
    • H04W12/37Managing security policies for mobile devices or for controlling mobile applications

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Stored Programmes (AREA)
  • Storage Device Security (AREA)
  • Information Transfer Between Computers (AREA)

Abstract

단말 장치상에서의 어플리케이션의 부정 동작성을 저부하로 검지함과 아울러, 검지 정밀도를 높이는 기술을 제공하는 것을 목적으로 한다. 특히 단말 장치상에서 삭제된 어플리케이션에 대해서도 검지할 수 있는 기술을 제공한다.
단말 장치에서 어플리케이션의 인스톨 상태가 변화된 것을 검출하여 상기 인스톨된 어플리케이션 정보를, 부정 검지 서버장치에 통지하여 기록함과 아울러, 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 부정 검지 서버장치에 통지한다. 특징값과, 상기 어플리케이션의 부정 동작성을 관련지어서 어플리케이션 데이터 베이스에 등록하고, 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 상기 단말 장치에 송신한다. 부정 검지 정보 수신시에는 단말 장치상에서 소정의 대응처리를 한다.

Description

부정 어플리케이션 검지 시스템 및 방법{UNAUTHORIZED APPLICATION DETECTION SYSTEM AND METHOD}
본 발명은 단말 장치에 인스톨한 어플리케이션의 부정 동작성을 검지하는 시스템 및 방법에 관한 것으로, 부정 검지 서버장치와 조합한 검지 기술에 관한 것이다.
최근, 스마트 폰으로 대표되는 휴대형 단말 장치의 고성능화가 진행되어, 컴퓨터와 마찬가지로 다양한 어플리케이션이 인스톨되고 있다. 한편, 휴대형 단말 장치에서 동작하는 어플리케이션이 부정한 동작을 실행하는 컴퓨터 바이러스나, 멀웨어(malware)의 존재가 문제가 되고 있어, 부정 동작하는 어플리케이션의 검지가 중요한 과제이다.
컴퓨터 등에서 동작하는 컴퓨터 바이러스의 검지 소프트웨어에서는 바이러스 검출 소프트를 컴퓨터상에서 동작시켜서, 부정한 어플리케이션이 인스톨되어 있지 않은지, 의심스러운 움직임이 인정되지 않는지를 검출하는 방법이 일반적이다.
그러나 휴대형 단말 장치에서는 하드웨어 자원에 한계가 있기 때문에, 컴퓨터 등과는 다른 수법이 제안되어 왔다.
예를 들어 특허문헌 1에는 다운로드 전에 사용자 휴대전화에서 컨텐츠 서버로 접속하고, 컨텐츠 서버에서 바이러스 체크 서버로 컨텐츠를 보내서 바이러스를 체크하는 기술이 개시되어 있다.
특허문헌 2에는 감시 장치에 의해 네트워크에 접속된 단말 장치의 소프트웨어 상태를 감시하는 시스템이 개시되어 있다. 본 시스템의 감시 장치는 취약성의 원인이 되는 파일이나 멀웨어 감염시에 생성되는 파일의 특징정보 등을 포함해서 정의된 소프트웨어의 특징정보를 저장하는 제 1DB를 가지며, 또한 단말 장치는 스스로 가지는 파일의 특징정보를 순차 취득하여 보유하는 제 2DB를 가진다. 감시 장치는 네트워크를 통해 검증 요구와 함께, 상기 제 1DB에 저장된 특징정보를 단말 장치에 송신한다. 단말 장치에서는 제 2DB를 검색하여 상기 특징정보에 관련된 파일의 유무를 검증하고, 검증 결과를 감시 장치에 송신한다. 감시 장치에서는 수신한 검증 결과에 기초하여, 단말 장치의 취약성 또는 멀웨어 감염상황을 판단하고 액세스를 제어하여 피해 확대를 방지한다.
특허문헌 3은 메일 서버에서 클라이언트 단말로 송신된 메일과 동일한 메일을 보존하는 메일 보존부를 마련하고, 바이러스 정의 파일이 최신화된 후에, 메일 보존부에 보존되어 있는 메일에 잠재해 있는 바이러스를 검지하는 기술을 개시하고 있다.
특허문헌 4에는 한번 바이러스 체크를 실시한 파일에 대하여, 그 때 사용한 바이러스 체크 수단 및 바이러스 정의 파일의 정보를 첨부하고, 다음번 바이러스 체크시에 동일한 바이러스 체크 수단 및 바이러스 정의 파일을 사용하고 있는지를 판단하여, 바이러스 체크 실행이 필요한지 여부를 결정하는 기술이 개시되어 있다.
일본국 공개특허공보 2002-197006호 일본국 공개특허공보 2006-40196호 일본국 공개특허공보 2007-018182호 일본국 공개특허공보 2007-200102호
상기 특허문헌 1에 기재된 기술에서는 다운로드시에 바이러스 체크 서버에서 바이러스를 체크하기 때문에 다운로드까지 시간이 걸리는 문제와, 체크시에 발견되지 않는 바이러스로부터 휴대전화를 보호할 수 없다는 문제가 있다.
특허문헌 2에 기재된 기술에서는 감시 장치로부터 강력하게 단말 장치를 감시할 수 있는 반면, 감시 장치에서 보낸 특징정보에 일치하는지 여부를 단말 장치측에서 검색하는 구성이기 때문에, 매우 많은 수의 어플리케이션이 유통되는 현재상황에서 모든 특징정보를 단말 장치에 보내는 것은 현실적이지 않다.
특허문헌 3의 기술은 항상 최신 바이러스 정의 파일로 바이러스를 체크할 수 있다는 점에서 뛰어나지만, 대용량의 메일이나, 어플리케이션을 모두 보존해 두는 것은 대용량의 기억영역을 필요로 하기 때문에 효율적인 방법이라고는 할 수 없다.
특허문헌 4의 기술은 성능이 약한 컴퓨터상에서 고속으로 바이러스를 체크할 수 있다는 점에서 우위성을 가지지만, 불특정 사용자가 사용하는 단말 장치를 대상으로 하기 위한 기술이나, 단말 장치상에서 삭제한 후에도 어플리케이션의 부정 동작성을 검지하기 위한 기술은 제공하고 있지 않다.
본 발명은 상기 종래기술이 가진 문제점을 감안하여, 단말 장치상의 어플리케이션의 부정 동작성을 저부하로 검지함과 아울러, 검지 정밀도를 높이는 기술을 제공하는 것을 목적으로 한다. 특히 단말 장치상에서 삭제된 어플리케이션에 대해서도 검지할 수 있는 기술을 제공한다.
상기 과제를 해결하기 위해, 본 발명은 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치; 및 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치;로 구성되는 부정 어플리케이션 검지 시스템을 제공한다.
단말 장치에는 어플리케이션의 인스톨 상태가 변화된 것을 검출하는 인스톨 상태 검출 처리부; 인스톨 상태가 변화되었을 때, 인스톨된 어플리케이션 정보를 부정 검지 서버장치에 통지하는 인스톨 통지 처리부; 상기 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산하는 특징값 계산 처리부; 어플리케이션 정보와 그 특징값을 부정 검지 서버장치에 통지하는 특징값 송신 처리부; 부정 검지 서버장치로부터 적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 수신하는 부정 검지 정보 수신 처리부; 및 부정 검지 정보 수신시에, 단말 장치상에서 소정의 대응처리를 하는 부정시 대응처리부;를 구비한다.
한편, 부정 검지 서버장치에는 단말 장치의 인스톨 통지 처리부로부터 인스톨된 어플리케이션 정보를 수신하는 인스톨 통지 수신 처리부; 단말 장치의 특징값 송신 처리부로부터 특징값을 수신하는 특징값 수신 처리부; 등록한 어플리케이션의 부정 동작성을 장치 내에서 검출, 또는 외부에서 취득하여 검지하는 부정 검지 처리부; 특징값과 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 부정 검지결과 기록 처리부; 및 적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 단말 장치에 송신하는 부정 검지 정보 송신 처리부;를 구비한다.
상기의 부정 검지 서버장치에 있어서, 통지된 어플리케이션 정보에 대하여 어플리케이션 데이터 베이스에 등록되었는지 여부를 검색하는 어플리케이션 정보 검색 처리부; 단말 장치를 향해, 등록 여부의 검색 결과를 통지하는 등록상태 통지 처리부;를 구비하고, 단말 장치의 특징값 송신 처리부가, 부정 검지 서버장치에 있어서 상기 어플리케이션 정보가 등록되었는지 여부에 따라, 어플리케이션 정보와 그 특징값을 부정 검지 서버장치에 통지하는 구성이어도 된다.
상기의 부정 검지 서버장치에 있어서, 부정 검지결과 기록부가, 단말 장치로부터의 인스톨 통지를 계기로 해서, 단말 장치마다 어플리케이션의 인스톨 상태를 상기의 어플리케이션 데이터 베이스에 기록하고, 부정 검지 처리부에 있어서 상기 어플리케이션의 부정 동작성이 검지되었을 때에, 이미 단말 장치상에서 상기 어플리케이션이 삭제된 후에도, 부정 검지 정보 송신 처리부가 부정 검지 정보를 송신하는 구성이어도 된다.
상기의 어플리케이션 데이터 베이스가, 단말별 인스톨 상태를 기록한 단말별 어플 데이터 베이스와, 상기의 특징값과 상기의 부정 동작성 정보를 관련지어서 기록한 부정 동작성 데이터 베이스로 분할되어 구성되어도 된다.
상기의 부정 검지 서버장치에, 입력된 임의의 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산하는 특징값 계산 처리부를 구비함과 아울러, 부정 검지 처리부에 있어서 상기 어플리케이션의 부정 동작성을 검지하고, 부정 검지결과 기록부가, 특징값과 부정 동작성 정보를 관련지어서 어플리케이션 데이터 베이스에 등록할 수도 있다.
본 발명은 상기 부정 어플리케이션 검지 시스템에서 이용되는 단말 장치만으로 제공될 수도 있다. 또한 부정 검지 서버장치만으로 제공될 수도 있다.
또한 본 발명은 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치와, 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치를 이용해서 단말 장치에 인스톨된 부정 어플리케이션을 검지하는 방법을 제공할 수도 있다. 본 방법은 다음 스텝으로 이루어진다.
단말 장치의 어플리케이션 인스톨 상태가 변화되었음을 검출하는 인스톨 상태 검출 스텝
인스톨 상태가 변화되었을 때에, 인스톨된 어플리케이션 정보를 부정 검지 서버장치에 통지하는 인스톨 통지 스텝
어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 부정 검지 서버장치에 통지하는 특징값 송신 스텝
특징값과, 상기 어플리케이션의 부정 동작성을 관련지어서 어플리케이션 데이터 베이스에 등록하는 부정 검지결과 기록 스텝
적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 단말 장치에 송신하는 부정 검지 정보 송신 스텝
부정 검지 정보 수신시에, 단말 장치상에서 소정의 대응처리를 하는 부정시 대응처리 스텝
을 가지는 것을 특징으로 한다.
상기 인스톨 통지 스텝에 이어,
부정 검지 서버장치에 있어서, 단말 장치로부터 통지된 어플리케이션 정보에 대하여 어플리케이션 데이터 베이스에 등록되었는지 여부를 검색하는 어플리케이션 정보 검색 스텝
단말 장치를 향해, 등록 여부의 검색 결과를 통지하는 등록상태 통지 스텝
을 더 가지며, 특징값 송신 스텝에서는 등록되어 있지 않았던 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 상기 부정 검지 서버장치에 통지하도록 해도 된다.
상기의 부정 검지 서버장치에 있어서, 단말 장치로부터의 인스톨 통지를 계기로 해서, 단말 장치마다 어플리케이션의 인스톨 상태를 상기의 어플리케이션 데이터 베이스에 기록하고, 상기 어플리케이션의 부정 동작성이 검지되었을 때에, 이미 단말 장치상에서 상기 어플리케이션이 삭제된 후에도 단말 장치에 부정 검지 정보를 송신하는 구성이어도 된다.
상기의 부정 검지 서버장치에 있어서, 입력된 임의의 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산함과 아울러, 상기 어플리케이션의 부정 동작성을 검지하고, 특징값과 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 구성이어도 된다.
본 발명은 이상의 구성을 취함으로써 다음과 같은 효과를 발휘한다.
즉, 단말 장치에서는 어플리케이션의 인스톨 상태가 변화되었을 때만, 특징값 계산 등의 간단한 처리를 하면 충분하므로, 단말 장치에 있어서 부하를 최소한으로 할 수 있다. 특히, 단말 장치에서 중요한 전력 절감에도 기여한다.
어플리케이션의 부정 동작성 검지는 부정 검지 서버장치에서 집중적으로 실행하므로 항상 최신의 시그너처 파일(signature file)을 이용할 수 있을 뿐 아니라, 처리 능력이 높은 서버장치에서 부정 검지를 실행함으로써 검지 정밀도의 향상, 고속 검지를 실현할 수 있다.
단말 장치의 어플리케이션 인스톨 상태를 부정 검지 서버장치에 기록해 둠으로써, 최신 시그너처 파일로 그 어플리케이션의 부정 동작성이 확인되었을 때에는, 설사 어플리케이션이 삭제된 후라도 단말 장치에 통지하여 필요한 대책을 실행할 수 있다.
도 1은 본 발명의 부정 어플리케이션 검지 시스템의 전체도이다.
도 2는 본 발명의 부정 어플리케이션 검지방법의 플로우 차트이다.
도 3은 어플리케이션이 미등록된 경우의 시퀀스 도면이다.
도 4는 어플리케이션이 등록된 경우의 시퀀스 도면이다.
도 5는 어플리케이션을 단말측에서 삭제했을 때의 시퀀스 도면이다.
도 6은 검지 결과가 갱신되었을 때의 시퀀스 도면이다.
이하, 본 발명의 실시형태를 도면을 이용해서 설명한다. 본 발명은 이하의 실시예에 한정되지 않으며 청구항에 기재된 범위에서 적절히 실시할 수 있다.
도 1은 본 발명의 부정 어플리케이션 검지 시스템의 전체도이다. 본 시스템은 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치(이하, 단말이라고 함)(1)와, 각 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치(이하, 서버라고 함)(2)로 구성된다.
단말(1)과 서버(2)는 인터넷이나 LAN, 휴대전화망 등의 네트워크(3)로 접속된다.
단말(1)은 공지의 스마트폰, 휴대전화, 태블릿 PC 등 휴대형 단말 장치를 주로 상정했지만, 컴퓨터 등이어도 된다. 이러한 기기들에는 주지와 같이 네트워크와의 접속수단, CPU, 메모리, 액정화면 등의 표시수단, 키보드?터치패널 등의 입력 수단 등이 구비되어 있다.
또한 서버(2)도 일반적인 컴퓨터, 서버 기기로 구성하는 것이 간편하며, 이러한 것들도 마찬가지로 CPU, 메모리, 하드디스크 등의 외부기억수단, 표시수단, 입력수단이 구비되어 있다.
단말(1)에서는 CPU와 메모리의 협동에 의해 다음 처리 수단이 마련된다.
먼저, 인스톨 상태 검출부(10)는 단말(1)상에서 어플리케이션의 인스톨 상태가 변화된 것을 검출하고, 인스톨 통지부(11)는 인스톨 상태가 변화되었을 때, 네트워크(3)를 통해 인스톨된 어플리케이션 정보를 서버(2)측에 통지한다.
특징값 계산 처리부(12)에서는 인스톨된 어플리케이션 파일, 또는 그 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산한다. 본 실시예에서는 특징값으로서 해쉬값 등을 이용할 수 있다.
계산된 특징값은 특징값 송신부(13)로부터 네트워크(3)를 통해 서버(2)측에 통지된다.
또한, 서버(2)에서 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 수신하는 부정 검지 정보 수신부(14)와, 그 부정 검지 정보 수신시에 단말 장치상에서 소정의 대응처리를 하는 부정시 대응부(15)를 구비하고 있다.
한편, 서버(2)에는 CPU와 메모리의 협동에 의해 다음 처리 수단이 마련된다.
즉, 인스톨 통지 수신부(20)에서는 단말의 인스톨 통지부(11)로부터 인스톨된 어플리케이션 정보를 수신한다. 어플리케이션 정보 검색부(21)는 통지된 상기 어플리케이션 정보에 대하여 어플리케이션 데이터 베이스에 등록되었는지 여부를 검색한다. 등록상태 통지부(22)로부터 단말(1)을 향해, 등록 여부의 검색 결과를 통지한다.
특징값 수신부(23)는 단말(1)의 특징값 송신부(13)로부터 특징값을 수신한다. 또한, 등록한 어플리케이션의 부정 동작성을 장치 내에서 검출, 또는 외부로부터 취득하여 검지하는 부정 검지부(24)와, 특징값과 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스(28)에 등록하는 부정 검지결과 기록부(25)와, 부정 검지 정보를 단말(1)에 송신하는 부정 검지 정보 송신부(26)를 구비한다.
또, 다른 실시예로서 서버(2)에 특징값 계산부(27)를 구비해도 된다.
도 2는 본 발명의 부정 어플리케이션 검지방법의 플로우 차트이다. 이 플로우 차트를 이용해서 본 발명의 구체적인 실시예를 설명한다.
부정 어플리케이션의 검지는, 먼저 단말(1)측에서 어플리케이션의 인스톨 상태를 검출한 것을 계기로 동작이 시작된다. (인스톨 상태 검출 스텝: S1)
인스톨 상태란, 어플리케이션의 인스톨, 삭제, 버전의 갱신, 베타판에서 정규판으로의 변경 등, 단말에 있어서 어플리케이션의 다양한 상태를 가리킨다. 인스톨 상태 검출부(10)의 처리는 상시 백그라운드에서 동작시켜도 되지만, 처리 부하를 경감하기 위해 인스톨 상태 변경시에 발생하는 이벤트를 계기로 해서 인스톨 상태를 검출하는 것이 바람직하다.
어플리케이션이 인스톨되었을 경우 등, 인스톨 상태가 검출되면, 인스톨 통지부(11)로부터 인스톨 통지 수신부(20)에 대하여 인스톨 통지(S2)가 실행된다.
본 발명은 서버(2)측에서 어플리케이션 정보가 등록되어 있는지 여부에 관계없이 특징값을 송신해도 되지만, 단말 장치에서의 처리, 통신량의 경감을 꾀하기 위해, 서버(2)에서의 어플리케이션 정보 등록 상태를 사전에 검색하는 것이 바람직하다.
그를 위해, 서버(2)상에서는 어플리케이션 정보 검색부(21)가, 통지된 어플리케이션에 관한 정보가 등록되었는지 아닌지, 어플리케이션 데이터 베이스(28)를 검색한다. (어플리케이션 정보 검색 스텝: S3)
그리고 등록상태 통지부(22)에서, 단말(1)을 향해 등록 상태를 통지(S4)한다. 단말(1)측에서는 등록상태에 따라 처리가 다르다.
즉, 서버(2)상에 등록되어 있는지(S5)에 따라, 등록되어 있지 않은 어플리케이션에 관해서는 미리 특징값 계산부(12)에서 계산한 특징값을 서버에 송신(S6)하고, 등록된 어플리케이션에 관해서는 송신하지 않는다.
이처럼 미등록된 특징값이 있었을 때만 특징값 송신부(13)에서 특징값 수신부(23)로 특징값을 송신함으로써 처리의 고속화, 통신량 경감에 기여한다.
특징값이 보내진 어플리케이션에 대해서는 어플리케이션 정보와 함께, 어플리케이션 데이터 베이스(28)에 기록된다.
이 때, 부정 검지부(24)에 의해 부정 동작성에 관한 정보가 얻어졌을 경우에는 부정 검지결과 기록부(25)가 특징값과 함께 어플리케이션 데이터 베이스(28)에 기록한다. (부정 검지결과 기록 스텝: S8)
여기서 부정 검지부(24)는 공지의 바이러스, 멀웨어 등의 검출방법을 임의로 이용할 수 있으며, 부정 검지방법에 관한 설명은 생략한다. 부정 검지부(24) 자체가 어플리케이션의 부정 동작성을 검지해도 되고, 별도로 마련된 부정한 어플리케이션의 정보 데이터 베이스로부터 정보를 취득하는 구성이어도 된다.
부정 검지부(24)에 의한 검지는 일정한 주기로 실시해도 되고, 새로운 어플리케이션이 등록될 때마다 해도 되며, 그 때마다 최신의 시그너처 파일로 갱신한다.
상기 부정 동작성에 관한 정보는 부정 동작성이 인정된 경우에 한정되지 않으며, 부정이 인정되지 않는 정보를 포함해도 된다. 또한 충분히 확인할 수 없을 경우, 불완전 정보로서 기록해도 된다.
또한, 부정 검지부(24)에 의한 검지가 곧바로 실행되지 않을 경우에는, 특징값을 수신한 직후에는 일단 부정 동작성 미검지로 등록하고, 나중에 검지가 이루어졌을 때에 어플리케이션 데이터 베이스(28)를 갱신하는 구성이어도 된다.
부정 검지 결과에 기초하여, 부정 검지 정보 송신부(26)는 부정 검지 정보 수신부(14)를 향해 상기 어플리케이션에 부정 동작성이 인정되는지를 송신한다. 부정 동작성이 인정되었을 경우에만 송신해도 되고, 부정 동작성의 유무를 송신해도 된다. (부정 검지 정보 송신 스텝: S9)
부정 검지 정보 수신부(14)가 어플리케이션의 부정 동작성을 수신했을 경우, 부정시 대응부(15)가 부정시 대응처리(S10)를 실행한다.
부정시 대응처리로는, 사용자에게 상기 어플리케이션의 삭제를 재촉하는 화면표시나, 자동적인 삭제처리 등을 들 수 있다.
또한 부정 동작성이 인정되지 않았을 경우에도 어플리케이션이 안전하다는 내용을 표시하는 등의 대응처리를 해도 된다.
본 발명의 구성은 이상과 같지만, 더욱 상세한 처리방법을 시퀀스 도면을 이용해서 설명한다. 본 실시예에서는 단말 장치로서 Android(등록상표)를 사용한 스마트폰 등의 단말을 이용하고, 어플리케이션의 패키지 구조도 동(同) OS에 따른 예로서 설명한다.
도 3은 서버(2)에서 어플리케이션이 미등록된 경우의 시퀀스 도면이다.
사용자(30)가 어플을 인스톨(S30)하면, 단말(1)은 apk(안드로이드 어플리케이션 패키지)의 정보가 어플리케이션 데이터 베이스(28)에 존재하는지 문의한다. 어플리케이션이 미등록인 경우 No라고 통지한다. 이것은 본 발명의 인스톨 통지 스텝(S2)에서부터 등록상태 통지 스텝(S4)에 해당한다.
apk 정보가 등록되어 있지 않으므로, 특징값 송신부(13)는 apk 정보를 서버(2)에 송신한다. 여기서 apk 정보로는 apk에 포함되는 파일의 해쉬값, 예를 들면 해쉬 함수로서 SHA1을 이용한 해쉬값을 이용할 수 있다. 그 밖에, 파일명이나 버전 등을 포함할 수도 있다.
해쉬 함수를 이용한 특징값의 계산방법은 공지이며, 특징값 계산부(12)에 의해 송신전 어느 타이밍에 적절히 실행된다.
본 실시예에서는 apk 정보의 업로드(S31)와 함께, apk에 포함되는 부품요소(dna로 표기)에 관한 특징값을 송신(S32)한다. dna는 apk 내에 복수개 포함되어 있기 때문에, 검사 대상으로 하는 dna의 수만큼 송신이 반복된다. dna에 관한 특징값으로는 dna의 이름(name), 종류(dna_type), 해쉬값(filehash), 해쉬의 종류(hash_type)를 송신한다.
검사 대상으로는 부정 동작성에 끼치는 영향이 강한 dna를 미리 정의해 두고, 필요 최소한의 dna만 검사하는 것이 단말 장치의 부하 경감 관점에서 바람직하다.
본 처리는 본 발명의 특징값 송신 스텝(S6) 및 부정 검지결과 기록 스텝(s7)에 해당한다.
다음으로, 단말 인스톨 정보의 추가(S33) 처리를 실행한다. 즉, 단말의 식별 번호(device id)와 apk의 해쉬값을 어플리케이션 데이터 베이스(28)에 등록한다. 본 처리는 이 시점에서 해도 되고, 상기 인스톨 통지 스텝(S2)과 동시에 해도 된다.
본 발명에서는 어플리케이션 데이터 베이스(28)에 단말별 어플리케이션의 인스톨 상태를 저장하는 것을 하나의 특징으로 하고 있다. 이로 인해, 서버(2)측에서 각 단말(1)의 어플리케이션 인스톨 이력을 관리하고, 나중에 부정 동작성이 확인되었을 경우에 그 이력에 따라서 단말에 필요한 정보를 제공할 수 있다. 이 점에 대해서는 후술한다.
또한 본 실시예에서는 어플리케이션 데이터 베이스를 하나의 데이터 베이스로 설명하고 있지만, 단말별 인스톨 상태를 기록한 단말별 어플 데이터 베이스와, 특징값과 부정 동작성 정보를 관련지어서 기록한 부정 동작성 데이터 베이스를 분할해서 구성해도 된다.
이 경우, 부정 동작성 데이터 베이스의 관리 주체를 보안전문회사에 위임하고, 단말별 어플 데이터 베이스만 회사나 학교 등의 조직에서 관리할 수도 있다.
마지막으로, 본 실시예에서는 단말(1)측으로부터 apk가 부정한지 여부를 조회(S34)하고, 그것에 대하여 부정 검지 정보 송신부(26)가 회답(S35)한다. 이것은 부정 검지 정보 송신 스텝(S9)에 해당한다.
부정 어플일 경우에는 경고 표시를 하고, 언인스톨을 재촉하는 화면을 사용자(30)에게 표시하는 처리를 한다. 이것은 부정시 대응처리(S10)에 해당한다.
다음으로, 도 4는 어플리케이션이 등록된 경우의 시퀀스 도면이다.
도 3의 경우와 마찬가지로, apk 정보가 서버상에 존재하는지를 조회했을 때, 어플리케이션 데이터 베이스(28)에 apk 정보가 기록되어 있는 경우에는 Yes를 통지한다. 상기와 같이, apk 정보가 등록되어 있을 경우에는 dna에 관한 정보가 연관되어 등록되어 있기 때문에 이 일람을 요구(S40)한다.
등록상태 통지부(22)로부터는 어플리케이션 데이터 베이스(28)에 기록된 dna의 특징값 일람을 제공한다(S41). 상기에서 저장한 특징값 중 예를 들어 filehash, hash_type, dna_type를 제공한다.
이 중, 등록되어 있지 않은 특징값이 있었을 경우, 특징값 송신부(13)로부터 부족분의 dna에 관한 특징값을 송신(S42)하고, 서버(2)에서는 어플리케이션 데이터 베이스(28)에 기록한다.
이후의 처리는 도 3과 같으므로 설명은 생략한다.
도 5는 어플리케이션을 단말측에서 삭제했을 때의 시퀀스 도면이다. 사용자가 어플을 언인스톨(S50)했을 때, 인스톨 상태 검출부(10)가 이것을 검출하고, 인스톨 통지부(11)로부터 인스톨 정보의 갱신처리(S51)를 실행한다. 인스톨 정보로는 단말의 식별번호(device id), 어플의 해쉬값(hash)에 더해, 언인스톨된 내용의 정보(uninstall)가 포함된다.
서버(2)에서는 어플리케이션 데이터 베이스(28)가 갱신된다.
이처럼 본 발명에서는 단말상에서 어플리케이션이 삭제된 후에도, 과거에 인스톨되었다가 그 후에 언인스톨되었다는 내용의 정보가 서버(2)에 기록되어 있다. 부정한 동작을 하는 어플리케이션은 삭제되었을 경우에도 OS나 다른 어플리케이션의 변조에 의해 부정한 동작을 계속하는 경우가 많기 때문에, 삭제된 어플리케이션의 정보라도 중요하다.
이 인스톨 이력을 이용한 예로서, 도 6에 검지 결과가 갱신되었을 때의 시퀀스 도면을 도시한다.
먼저 본 시스템의 관리자(60)가, 최신 시그너처에 의해 부정 동작성이 확인된 새로운 부정 어플을 어플리케이션 데이터 베이스(28)에 등록(S60)한다. 혹은 본 발명의 부정 검지 스텝(S7)에서, 어플리케이션의 부정 동작성이 검지되어 어플리케이션 데이터 베이스(28)에 등록한 경우여도 좋다.
이때, 부정 검지 정보 송신부(26)는 어플리케이션 데이터 베이스의 상기 인스톨 이력을 조회하고, 인스톨된 기록이 있는 단말(1)에 대하여 부정 검지 정보를 송신한다. 단말(1)에서는 상기와 마찬가지로 부정시 대응부(15)에 의해 처리된다.
부정 검지 정보 송신부(26)는 현재의 인스톨 상태에 따라서 통지하는 부정 검지 정보를 변화시켜도 된다. 예를 들면, 언인스톨 후에도 부정 동작성을 나타내는 어플리케이션의 경우에는 부정 검지 정보를 송신하는 한편, 언인스톨하면 문제가 없는 어플리케이션의 경우에는 부정 검지 정보를 송신하지 않을 수도 있다.
또한 각 단말의 어플리케이션을 모두 기록하고 있으므로, 어플리케이션의 조합에 의해 부정 검지 정보를 변화시켜도 된다. 예를 들면, 어플 A와 어플 B가 인스톨되어 있을 경우에만 부정 동작성을 나타낼 경우에는 양 어플이 인스톨된 단말(1)에만 부정 검지 정보를 송신하는 구성이어도 된다.
도시한 시퀀스 도면의 처리는 이상에서 설명한 대로이다. 마지막으로, 각 처리 스텝에서의 실시예를 몇 가지 예로 든다.
먼저, 특징값 송신 스텝(S6)에서, 처음으로 서버(2)에 어플리케이션 정보를 등록할 경우에는 특징값뿐만 아니라 어플리케이션 자체를 서버(2)에 업로드할 수도 있다. 서버(2)는 이 업로드된 어플리케이션을 대상으로 부정 검지 처리(S7)를 실행할 수 있다.
단말(1)로부터 어플리케이션 자체를 송신하지 않고, 그 입수처의 URL 등을 서버(2)에 통지하여, 서버(2)가 상기 URL에서 다운로드해서 취득하는 구성이어도 된다.
도 3에서 apk가 부정한지 아닌지를 문의하는 처리(S34)는 도면에 개시된 계기 외에, 단말(1) 기동시나, 어플리케이션의 언인스톨시, 스마트폰? 휴대전화단말에서 통신권(通信圈) 외에서 통신권 내로 들어갔을 때 등, 소정 계기로 반복해서 실행하는 것도 검지 정밀도 향상의 점에서 바람직하다.
본 발명에 따른 특징값은 상기의 해쉬값에 한정되지 않는다.
먼저 해쉬 함수로는 상기 SHA1에 한정되지 않으며, 해쉬의 종류는 SHA1, SHA256, MD5 등 임의의 함수를 이용할 수 있다. 본 시스템용으로 정의한 해쉬 함수여도 되고, 해쉬를 취하는 대상에 따라서 종류를 변화시켜도 된다.
해쉬값을 계산하는 대상으로는 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일이다.
바람직한 예로는 android의 apk 패키지에 포함되는 dex 파일(프로그램 코드), manifest(어플 구성의 XML 파일로, 패키지명 등이 포함됨), CERT(서명파일), elf(Linux(등록상표)의 실행 코드)를 들 수 있다.
apk에 다른 apk가 내포되어 있을 경우에는 내포되어 있는 apk의 해쉬값을 이용해도 된다.
상기에서 파일 자체의 해쉬값에 한정하지 않고, 파일에 포함되는 일부분의 해쉬값을 계산해도 된다. 즉, 상기 dex 파일 내의 각 클래스 코드의 해쉬값을 이용해도 된다. 이 경우, dex 파일로부터 1개의 해쉬값을 취하는 것이 아니라, dex 파일에 포함되는 각 클래스 코드에 대하여 각각의 해쉬값을 계산하게 된다.
특징값으로는 해쉬값에 한정하지 않고, 어플리케이션 파일이나 그 패키지를 구성하는 요소 파일에 기초한 메타데이터(metadata)나, 문자열을 이용해도 된다.
예를 들면, dex 파일 내의 클래스명 일람을 특징값으로 하고, 그 부분 일치를 취하는 구성이어도 된다.
상기 실시예에서는 단말(1)측에만 특징값 계산부(12)를 마련했지만, 본 발명에서는 서버(2)에도 특징값 계산부(27)를 구비할 수 있다. 예를 들면, 서버(2)에서 단말(1)에서의 인스톨 유무에 관계없이 어플리케이션의 부정 동작성을 검지하여 데이터 베이스에 기록해 둘 경우에는 어플리케이션의 다운로드, 특징값의 계산, 부정 검지를 단독으로 실행하고 어플리케이션 데이터 베이스(28)에 축적한다.
1 단말 장치
10 인스톨 상태 검출부
11 인스톨 통지부
12 특징값 계산부
13 특징값 송신부
14 부정 검지 정보 수신부
15 부정시 대응부
2 부정 검지 서버
20 인스톨 통지 수신부
21 어플리케이션 정보 검색부
22 등록상태 통지부
23 특징값 수신부
24 부정 검지부
25 부정 검지결과 기록부
26 부정 검지 정보 송신부
27 특징값 계산부
28 어플리케이션 데이터 베이스
3 네트워크

Claims (11)

  1. 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치와, 상기 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치로 구성되는 부정 어플리케이션 검지 시스템으로서,
    상기 단말 장치에는,
    어플리케이션의 인스톨 상태가 변화된 것을 검출하는 인스톨 상태 검출 처리부;
    인스톨 상태가 변화되었을 때에, 상기 인스톨된 어플리케이션 정보를 상기 부정 검지 서버장치에 통지하는 인스톨 통지 처리부;
    상기 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산하는 특징값 계산 처리부;
    상기 어플리케이션 정보와 그 특징값을 상기 부정 검지 서버장치에 통지하는 특징값 송신 처리부;
    상기 부정 검지 서버장치로부터 적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 수신하는 부정 검지 정보 수신 처리부; 및
    상기 부정 검지 정보 수신시에 상기 단말 장치상에서 소정의 대응처리를 하는 부정시 대응처리부;를 구비함과 아울러,
    상기 부정 검지 서버장치에는,
    단말 장치의 상기 인스톨 통지 처리부로부터 인스톨된 어플리케이션 정보를 수신하는 인스톨 통지 수신 처리부;
    단말 장치의 상기 특징값 송신 처리부로부터 상기 특징값을 수신하는 특징값 수신 처리부;
    등록한 어플리케이션의 부정 동작성을 장치 내에서 검출, 또는 외부에서 취득하여 검지하는 부정 검지 처리부;
    상기 특징값과 상기 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 부정 검지결과 기록 처리부; 및
    적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 상기 단말 장치에 송신하는 부정 검지 정보 송신 처리부;를 구비한 것을 특징으로 하는 부정 어플리케이션 검지 시스템.
  2. 제1항에 있어서,
    상기 부정 검지 서버장치에,
    통지된 상기 어플리케이션 정보에 대하여 어플리케이션 데이터 베이스에 등록되었는지 여부를 검색하는 어플리케이션 정보 검색 처리부; 및
    상기 단말 장치를 향해, 등록 여부의 상기 검색 결과를 통지하는 등록상태 통지 처리부;를 구비하고,
    상기 단말 장치의 특징값 송신 처리부가,
    상기 부정 검지 서버장치에 있어서 상기 어플리케이션 정보가 등록되었는지 여부에 따라, 상기 어플리케이션 정보와 그 특징값을 상기 부정 검지 서버장치에 통지하는 것을 특징으로 하는 부정 어플리케이션 검지 시스템.
  3. 제1항 또는 제2항에 있어서,
    상기 부정 검지 서버장치에 있어서,
    상기 부정 검지결과 기록부가, 상기 단말 장치로부터의 인스톨 통지를 계기로 해서, 단말 장치마다 어플리케이션의 인스톨 상태를 상기 어플리케이션 데이터 베이스에 기록하고,
    상기 부정 검지 처리부에서 상기 어플리케이션의 부정 동작성이 검지되었을 때에,
    이미 단말 장치상에서 상기 어플리케이션이 삭제된 후라도 상기 부정 검지 정보 송신 처리부가 부정 검지 정보를 송신하는 것을 특징으로 하는 부정 어플리케이션 검지 시스템.
  4. 제1항 내지 제3항 중 어느 한 항에 있어서,
    상기 어플리케이션 데이터 베이스가,
    단말별 인스톨 상태를 기록한 단말별 어플 데이터 베이스와,
    상기 특징값과 상기 부정 동작성의 정보를 관련지어서 기록한 부정 동작성 데이터 베이스로 분할되어 구성되는 것을 특징으로 하는 부정 어플리케이션 검지 시스템.
  5. 제1항 내지 제4항 중 어느 한 항에 있어서,
    상기 부정 검지 서버장치에,
    입력된 임의의 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산하는 특징값 계산 처리부를 구비함과 아울러,
    상기 부정 검지 처리부에서 상기 어플리케이션의 부정 동작성을 검지하고,
    상기 부정 검지결과 기록부가, 상기 특징값과 상기 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 것을 특징으로 하는 부정 어플리케이션 검지 시스템.
  6. 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치와, 상기 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치로 구성되는 부정 어플리케이션 검지 시스템에서 이용되는 단말 장치로서,
    어플리케이션의 인스톨 상태가 변화된 것을 검출하는 인스톨 상태 검출 처리부;
    인스톨 상태가 변화되었을 때에, 상기 인스톨된 어플리케이션 정보를 상기 부정 검지 서버장치에 통지하는 인스톨 통지 처리부;
    상기 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산하는 특징값 계산 처리부;
    상기 어플리케이션 정보와 그 특징값을 상기 부정 검지 서버장치에 통지하는 특징값 송신 처리부;
    상기 부정 검지 서버장치로부터 적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 수신하는 부정 검지 정보 수신 처리부; 및
    상기 부정 검지 정보 수신시에 상기 단말 장치상에서 소정의 대응 처리를 하는 부정시 대응 처리부;를 구비한 것을 특징으로 하는 단말 장치.
  7. 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치와, 상기 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치로 구성되는 부정 어플리케이션 검지 시스템에서 이용되는 부정 검지 서버장치로서,
    상기 단말 장치의 인스톨 통지 처리부로부터 인스톨된 어플리케이션 정보를 수신하는 인스톨 통지 수신 처리부;
    단말 장치의 상기 특징값 송신 처리부로부터 상기 특징값을 수신하는 특징값 수신 처리부;
    등록한 어플리케이션의 부정 동작성을 장치 내에서 검출, 또는 외부에서 취득하여 검지하는 부정 검지 처리부;
    상기 특징값과 상기 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 부정 검지결과 기록 처리부; 및
    적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 상기 단말 장치에 송신하는 부정 검지 정보 송신 처리부;를 구비한 것을 특징으로 하는 부정 검지 서버장치.
  8. 사용자가 적절히 어플리케이션을 인스톨할 수 있는 단말 장치와, 상기 단말 장치에 인스톨된 어플리케이션의 부정 동작성을 검지하는 부정 검지 서버장치를 이용해서 단말 장치에 인스톨된 부정 어플리케이션을 검지하는 방법으로서,
    단말 장치의 어플리케이션 인스톨 상태가 변화된 것을 검출하는 인스톨 상태 검출 스텝;
    인스톨 상태가 변화되었을 때에, 상기 인스톨된 어플리케이션 정보를 상기 부정 검지 서버장치에 통지하는 인스톨 통지 스텝;
    어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 상기 부정 검지 서버장치에 통지하는 특징값 송신 스텝;
    상기 특징값과, 상기 어플리케이션의 부정 동작성을 관련지어서 어플리케이션 데이터 베이스에 등록하는 부정 검지 결과 기록 스텝;
    적어도 상기 어플리케이션의 부정 동작성이 검지되었을 경우에 부정 검지 정보를 상기 단말 장치에 송신하는 부정 검지 정보 송신 스텝; 및
    상기 부정 검지 정보 수신시에 상기 단말 장치상에서 소정의 대응처리를 하는 부정시 대응처리 스텝;을 가지는 것을 특징으로 하는 부정 어플리케이션 검지방법.
  9. 제8항에 있어서,
    상기 인스톨 통지 스텝에 이어,
    부정 검지 서버장치에 있어서, 상기 단말 장치로부터 통지된 어플리케이션 정보에 대하여 어플리케이션 데이터 베이스에 등록되었는지 여부를 검색하는 어플리케이션 정보 검색 스텝,
    상기 단말 장치를 향해, 등록 여부의 상기 검색 결과를 통지하는 등록상태 통지 스텝을 더 가지며,
    상기 특징값 송신 스텝에서는 등록되어 있지 않았던 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 상기 부정 검지 서버장치에 통지하도록 한 것을 특징으로 하는 부정 어플리케이션 검지방법.
  10. 제8항 또는 제9항에 있어서,
    상기 부정 검지 서버장치에 있어서, 상기 단말 장치로부터의 인스톨 통지를 계기로 해서, 단말 장치별로 어플리케이션의 인스톨 상태를 상기 어플리케이션 데이터 베이스에 기록하고,
    상기 어플리케이션의 부정 동작성이 검지되었을 때에, 이미 단말 장치상에서 상기 어플리케이션이 삭제된 후라도 상기 단말 장치에 부정 검지 정보를 송신하는 것을 특징으로 하는 부정 어플리케이션 검지방법.
  11. 제8항 내지 제10항 중 어느 한 항에 있어서,
    상기 부정 검지 서버장치에 있어서, 입력된 임의의 어플리케이션 파일, 또는 상기 어플리케이션의 패키지를 구성하는 요소 파일에 기초한 소정의 특징값을 계산함과 아울러, 상기 어플리케이션의 부정 동작성을 검지하고, 상기 특징값과 상기 부정 동작성의 정보를 관련지어서 어플리케이션 데이터 베이스에 등록하는 것을 특징으로 하는 부정 어플리케이션 검지방법.
KR1020147014840A 2011-11-10 2012-11-09 부정 어플리케이션 검지 시스템 및 방법 KR20140093699A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JPJP-P-2011-246193 2011-11-10
JP2011246193 2011-11-10
PCT/JP2012/079084 WO2013069758A1 (ja) 2011-11-10 2012-11-09 不正アプリケーション検知システム及び、方法

Publications (1)

Publication Number Publication Date
KR20140093699A true KR20140093699A (ko) 2014-07-28

Family

ID=48290126

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020147014840A KR20140093699A (ko) 2011-11-10 2012-11-09 부정 어플리케이션 검지 시스템 및 방법

Country Status (8)

Country Link
US (1) US9071639B2 (ko)
EP (1) EP2779015A4 (ko)
JP (1) JP6030566B2 (ko)
KR (1) KR20140093699A (ko)
CN (1) CN103917981A (ko)
HK (1) HK1199519A1 (ko)
SG (1) SG11201402078XA (ko)
WO (1) WO2013069758A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2013142948A1 (en) * 2012-03-30 2013-10-03 Irdeto Canada Corporation Method and system for preventing and detecting security threats
EP3136277B1 (en) * 2014-04-25 2020-04-08 Hitachi Systems, Ltd. Illicit activity sensing network system and illicit activity sensing method
CN106203104A (zh) * 2016-06-27 2016-12-07 北京金山安全软件有限公司 一种恶意代码查杀方法、装置及设备
US10715533B2 (en) * 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US10628585B2 (en) 2017-01-23 2020-04-21 Microsoft Technology Licensing, Llc Ransomware resilient databases
US10367833B2 (en) 2017-03-07 2019-07-30 International Business Machines Corporation Detection of forbidden software through analysis of GUI components
US10628591B2 (en) * 2017-11-20 2020-04-21 Forcepoint Llc Method for fast and efficient discovery of data assets
US11295026B2 (en) 2018-11-20 2022-04-05 Forcepoint, LLC Scan, detect, and alert when a user takes a photo of a computer monitor with a mobile phone
CN114553514A (zh) * 2022-02-16 2022-05-27 中国建设银行股份有限公司 移动应用的静态注入风险检测方法及装置

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002197006A (ja) 2000-12-25 2002-07-12 Nec Corp 携帯電話用ウィルスチェックシステムおよび方法
JP2006040196A (ja) * 2004-07-30 2006-02-09 Hitachi Information & Control Systems Inc ソフトウェア監視システムおよび監視方法
JP2007018182A (ja) 2005-07-06 2007-01-25 Mitsubishi Electric Corp ウイルス検査装置及びウイルス検査システム
JP2007200102A (ja) 2006-01-27 2007-08-09 Nec Corp 不正コードおよび不正データのチェックシステム、プログラムおよび方法
US8713680B2 (en) * 2007-07-10 2014-04-29 Samsung Electronics Co., Ltd. Method and apparatus for modeling computer program behaviour for behavioural detection of malicious program
US8732825B2 (en) * 2008-05-28 2014-05-20 Symantec Corporation Intelligent hashes for centralized malware detection
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8347386B2 (en) * 2008-10-21 2013-01-01 Lookout, Inc. System and method for server-coupled malware prevention
GB2471716A (en) * 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
US8549641B2 (en) * 2009-09-03 2013-10-01 Palo Alto Research Center Incorporated Pattern-based application classification
JP2011210058A (ja) * 2010-03-30 2011-10-20 Fujitsu Ltd 情報処理装置およびコンピュータプログラム
US9239800B2 (en) * 2011-07-27 2016-01-19 Seven Networks, Llc Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network

Also Published As

Publication number Publication date
JPWO2013069758A1 (ja) 2015-04-02
HK1199519A1 (en) 2015-07-03
US20140298468A1 (en) 2014-10-02
CN103917981A (zh) 2014-07-09
EP2779015A1 (en) 2014-09-17
SG11201402078XA (en) 2014-09-26
JP6030566B2 (ja) 2016-11-24
WO2013069758A1 (ja) 2013-05-16
US9071639B2 (en) 2015-06-30
EP2779015A4 (en) 2015-09-16

Similar Documents

Publication Publication Date Title
US11687653B2 (en) Methods and apparatus for identifying and removing malicious applications
JP6030566B2 (ja) 不正アプリケーション検知システム及び、方法
KR101161493B1 (ko) 안드로이드 단말 플랫폼에서의 악성 코드와 위험 파일의 진단 방법
US8726387B2 (en) Detecting a trojan horse
US9015829B2 (en) Preventing and responding to disabling of malware protection software
US7870394B2 (en) Method and system to scan firmware for malware
CN103390130B (zh) 基于云安全的恶意程序查杀的方法、装置和服务器
EP2790122B1 (en) System and method for correcting antivirus records to minimize false malware detections
US8578174B2 (en) Event log authentication using secure components
US9607156B2 (en) System and method for patching a device through exploitation
CN104392176A (zh) 移动终端及其设备管理器权限的拦截方法
CN104517054A (zh) 一种检测恶意apk的方法、装置、客户端和服务器
US9747449B2 (en) Method and device for preventing application in an operating system from being uninstalled
CN104268476A (zh) 一种运行应用程序的方法
WO2014082599A1 (zh) 用于恶意程序查杀的扫描设备、云端管理设备及方法和系统
US9740865B2 (en) System and method for configuring antivirus scans
CN105791221B (zh) 规则下发方法及装置
CN112528286A (zh) 终端设备安全检测方法、关联设备以及计算机程序产品
CN113836542B (zh) 可信白名单匹配方法、系统和装置

Legal Events

Date Code Title Description
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid