1 |
1
스마트폰용 응용프로그램의 악성행위를 탐지하는 방법에 있어서,악성행위 존재 여부를 판단하고자 하는 응용프로그램이 호출하는 하나 이상의 API를 순차적으로 목록화한 API사용정보를 생성하는 단계; 및상기 API사용정보를 분석하고 미리 설정된 악성행동 패턴과 비교하여 악성행위 존재 여부를 판단하는 단계를 포함하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
2 |
2
제 1항에 있어서,상기 API의 종류 및 호출순서와 함께, 각 API의 호출횟수 또는 API간 호출 시간간격 중 적어도 어느 하나를 더 이용하여 상기 악성행위 존재 여부를 판단하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
3 |
3
제 1항에 있어서,상기 악성행동 패턴은, 개인 정보 유출, 과금 유도, 장애 발생 유도, 통신사 공격, 원격 제어 공격 중 적어도 어느 하나에 따른 패턴을 포함하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
4 |
4
제 3항에 있어서,상기 개인 정보 유출에 따른 악성행동 패턴은, 개인정보 열람 API 이후 네트워크 전송 API가 호출되는 경우 또는 주소록 열람 API 이후 문자메시지 전송 API가 호출되는 경우인 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
5 |
5
제 3항에 있어서,상기 과금 유도에 따른 악성행동 패턴은 미리 등록된 성인 또는 유료 서비스에 따른 전화번호로의 전화걸기 API가 호출되는 경우인 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
6 |
6
제 3항에 있어서,상기 장애 발생 유도에 따른 악성행동 패턴은, 프로세스 생성 API, 구성 파일에 대한 강제 쓰기 API 또는 임시 파일 생성 API 중 적어도 어느 하나가 미리 설정된 횟수 이상 호출되는 경우인 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
7 |
7
제 3항에 있어서,상기 통신사 공격에 따른 악성행동 패턴은, 전화걸기 API와, 전화 끊기 API가 미리 설정된 횟수 이상 반복되는 경우인 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
8 |
8
제 3항에 있어서,상기 원격 제어 공격에 따른 악성행동 패턴은, 포트 바인딩 API, 문자메시지 수신 리스너 등록 API 및 특정 포트로의 네트워크 연결 API가 순차적으로 호출되는 경우인 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
9 |
9
제 1항에 있어서,통신망을 통해 결합된 요청 단말로부터 상기 응용프로그램에 대한 악성행위 판단을 요청받는 단계를 선행하여 포함하되,상기 판단에 따른 상기 응용프로그램의 악성행위 정보를 상기 요청 단말로 전송하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
10 |
10
제 9항에 있어서,상기 요청 단말로부터 상기 응용프로그램의 시그니처 정보를 수신하는 단계; 및미리 보유하고 있는 블랙리스트 또는 화이트리스트로 분류되는 프로그램들 중 수신된 상기 시그니처 정보와 동일한 시그니처를 갖는 것을 검색하는 단계를 선행하여 더 포함하되, 상기 검색이 실패된 경우에만 상기 API를 이용한 분석을 수행하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
11 |
11
제 1항에 있어서,상기 응용프로그램의 소스코드를 분석하여 상기 API를 추출 및 목록화하거나, 상기 응용프로그램을 에뮬레이터에서 실행하여 상기 API를 추출 및 목록화하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성행위 탐지 방법
|
12 |
12
제 1항 내지 제 11항 중 어느 한 항의 방법을 수행하기 위한 명령어들의 조합이 유형적으로 구현되어 있으며 디지털 정보 처리 장치에 의해 판독 가능한 프로그램이 기록된 기록 매체
|
13 |
13
스마트폰용 응용프로그램의 악성행위를 탐지하는 분석서비스 서버에 있어서,각 악성 행동에 따른 패턴API정보를 저장하는 데이터베이스부;입력된 응용프로그램이 호출하는 하나 이상의 API를 순차적으로 목록화한 API사용정보를 생성하는 API사용정보 생성부; 및상기 API사용정보와 상기 데이터베이스부에 저장된 패턴API정보를 비교 분석하여 악성행위 존재 여부를 판단하는 악성행위 분석부를 포함하는 스마트폰 응용프로그램의 악성 행위를 탐지하는 분석서비스 서버
|
14 |
14
제 13항에 있어서,상기 악성행위 분석부는 상기 응용프로그램이 은닉되거나 시작 프로그램으로 등록되는지를 검사하는 검사부를 포함하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성 행위를 탐지하는 분석서비스 서버
|
15 |
15
제 13항에 있어서,악성행위 분석부는 상기 API의 종류 및 호출순서와 함께, 각 API의 호출횟수 또는 API간 호출 시간간격 중 적어도 어느 하나를 더 이용하여 상기 악성행위 존재 여부를 판단하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성 행위를 탐지하는 분석서비스 서버
|
16 |
16
제 13항에 있어서,패턴API정보는, 개인 정보 유출, 과금 유도, 장애 발생 유도, 통신사 공격, 원격 제어 공격 중 적어도 어느 하나에 따른 API 패턴을 포함하는 것을 특징으로 하는 스마트폰 응용프로그램의 악성 행위를 탐지하는 분석서비스 서버
|