| 1 |
1
모바일 앱을 수집하는 수집부와, 상기 수집된 모바일 앱에서 기본 정보를 추출하고, 추출된 모바일 앱의 기본 정보를 분석하여 상기 모바일 앱의 호출 흐름 그래프를 생성하는 정적 분석부와, 상기 수집된 모바일 앱을 실행하여 상기 정적 분석부에 의해 생성된 상기 모바일 앱의 호출 흐름 그래프를 동적 행위 기반의 호출 흐름 그래프로 확장하고, 상기 확장된 호출 흐름 그래프와 악성 행위를 수행하는 흐름 그래프와 유사도를 판단하는 동적 분석부와, 상기 정적 분석부에 의해 생성된 모바일 앱의 기본 정보, 호출 흐름 그래프 및 상기 동적 분석부에 의해 생성된 동적 행위 기반의 호출 흐름 그래프, 유사도를 분석하여 상기 수집된 모바일 앱이 악성인지를 판단하는 악성 앱 판단부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 2 |
2
제1 항에 있어서, 상기 정적 분석부 및 동적 분석부는상호간에 정보를 교환하면서 병렬적으로 동작함을 특징으로 하는 악성 앱 감지 장치
|
| 3 |
3
제1 항에 있어서, 상기 악성 앱 판단부의 판단 결과에 따라, 악성으로 판단된 모바일 앱으로부터 악성 행위 기반 부분 그래프 시그니처 이미지와 전체 그래프 시그니처 이미지를 생성하는 이미지 시그니처 생성부와, 상기 이미지 시그니처 생성부에 의해 생성된 악성 행위 기반의 부분 그래프 시그너처 이미지 및 전체 그래프 시그니처 이미지를 분리 저장하는 시그니처 저장부를 더 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 4 |
4
제1 항에 있어서, 상기 정적 분석부는상기 수집된 모바일 앱의 기본 정보를 추출하는 앱 정보 추출부와, 상기 추출된 기본 정보 중에서 실행 파일을 이용하여 호출 흐름 그래프를 생성하는 모바일 앱 호출 흐름 그래프 생성부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 5 |
5
제4 항에 있어서, 상기 모바일 앱의 기본 정보는 상기 수집된 모바일 앱의 실행 파일, 자원 정보, 메타데이터 정보 및 퍼미션 정보 중 적어도 하나를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 6 |
6
제4 항에 있어서, 상기 모바일 앱 호출 흐름 그래프 생성부는상기 모바일 앱의 실행 파일을 디컴파일링 또는 디스어셈블링한 후, 소스 코드 또는 어셈블링된 코드를 추출하는 소스 코드 추출부와, 상기 소스 코드 추출부에 의해 추출된 소스 코드 또는 어셈블링된 코드에서 메소드를 검색하여 그에 상응하는 코드를 추출하는 메소드 검색부와, 상기 소스 코드 추출부 및 메소드 검색부에 의해 추출된 소스 코드를 기반으로 함수 호출을 분석하여 호출 흐름 그래프를 생성하는 호출 흐름 그래프 생성부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 7 |
7
제6 항에 있어서, 상기 모바일 앱 호출 흐름 그래프 생성부는상기 추출된 호출 흐름 그래프에서 식별자 등을 제거하여 정규화 및 추상화하는 정규화부를 더 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 8 |
8
제1 항에 있어서, 상기 동적 분석부는 상기 수집된 모바일 앱을 가상화된 환경 또는 실제 모바일 단말 환경에서 실행하여, 상기 정적 분석부와 상호 정보 교환을 통하여 모바일 앱의 호출 흐름 그래프를 실제로 호출되는 과정을 분석하여 동적으로 행위 기반의 호출 흐름 그래프로 확장하는 모바일 앱 행위 그래프 동적 생성부와,미리 저장된 의미적 분할 규칙 집합을 참조하여 전체 행위 그래프에서 의미 기반의 부분 행위 기반 그래프를 추출하는 부분 그래프 분할부와, 상기 부분 행위 기반 그래프와 사전에 생성된 악성 행위 기반으로 만들어진 부분 그래프 시그니처 이미지와 유사도를 비교하는 이미지 시그니처 비교부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 9 |
9
제8 항에 있어서, 상기 모바일 앱 행위 그래프 동적 생성부는상기 수집된 모바일 앱의 기본 정보를 정적 분석부로부터 전달받아 실행 환경에 맞는 가상 환경을 구동하는 모바일 앱 실행부와, 상기 모바일 앱이 실행되면 동적으로 코드를 분석하는 동적 코드 분석부와,상기 동적 코드 분석부에 의해 분석된 결과에 따라, 동적 행위 그래프를 생성하되, 상기 정적 분석부로부터 수신한 호출 흐름 그래프를 확장하여 생성하는 동적 행위 그래프 생성부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 10 |
10
제9 항에 있어서, 상기 동적 행위 그래프 생성부는호출 흐름 그래프 외에 지정된 데이터 유형의 흐름을 포함하여 동적 행위 기반의 호출 흐름 그래프를 생성함을 특징으로 하는 악성 앱 감지 장치
|
| 11 |
11
제9 항에 있어서, 상기 부분 그래프 분할부는미리 저장된 의미적 분할 규칙을 참조하여 상기 생성된 동적 행위 기반의 호출 흐름 그래프로부터 모듈 단위의 부분 행위 그래프를 추출하는 의미 기반 부분 행위 그래프 추출부와, 상기 추출된 부분 행위 그래프에서 식별자를 제거하는 정규화부를 포함함을 특징으로 하는 악성 앱 감지 장치
|
| 12 |
12
제9 항에 있어서, 상기 부분 그래프 분할부는상기 생성된 동적 행위 기반의 호출 흐름 그래프를 의미론적으로 분리 가능한 범위에서 교집합 또는 합집합 단위로 분리함을 특징으로 하는 악성 앱 감지 장치
|
| 13 |
13
모바일 앱을 수집하는 단계와, 상기 수집된 모바일 앱에서 기본 정보를 추출하고, 추출된 모바일 앱의 기본 정보를 분석하여 상기 모바일 앱의 호출 흐름 그래프를 생성하는 단계와, 상기 수집된 모바일 앱을 실행하여 상기 생성된 상기 모바일 앱의 호출 흐름 그래프를 동적 행위 기반의 호출 흐름 그래프로 확장하고, 상기 확장된 호출 흐름 그래프와 악성 행위를 수행하는 흐름 그래프와 유사도를 판단하는 단계와, 상기 생성된 모바일 앱의 기본 정보, 호출 흐름 그래프, 동적 행위 기반의 호출 흐름 그래프 및 유사도를 분석하여 상기 수집된 모바일 앱이 악성인지를 판단하는 단계를 포함함을 특징으로 하는 악성 앱 감지 방법
|
| 14 |
14
제13 항에 있어서, 상기 생성하는 단계 및 상기 유사도를 판단하는 단계는상호 간에 정보를 교환하면서 병렬적으로 수행됨을 특징으로 하는 악성 앱 감지 방법
|
| 15 |
15
제13 항에 있어서, 상기 악성으로 판단된 모바일 앱으로부터 악성 행위 기반 부분 그래프 시그니처 이미지와 전체 그래프 시그니처 이미지를 생성하는 단계와, 상기 생성된 악성 행위 기반의 부분 그래프 시그너처 및 전체 그래프를 분리 저장하는 단계를 더 포함함을 특징으로 하는 악성 앱 감지 방법
|
| 16 |
16
제13 항에 있어서, 상기 생성하는 단계는상기 수집된 모바일 앱의 기본 정보를 추출하는 단계와,상기 모바일 앱의 실행 파일을 디컴파일링 또는 디스어셈블링한 후, 소스 코드 또는 어셈블링된 코드를 추출하는 단계와, 상기 추출된 소스 코드 또는 어셈블링된 코드에서 메소드를 검색하여 그에 상응하는 코드를 추출하는 단계와, 상기 추출된 소스 코드를 기반으로 함수 호출을 분석하여 호출 흐름 그래프를 생성하는 단계를 포함함을 특징으로 하는 악성 앱 감지 방법
|
| 17 |
17
제13 항에 있어서, 상기 생성하는 단계는상기 추출된 호출 흐름 그래프에서 식별자 등을 제거하여 정규화 및 추상화하는 단계를 포함함을 특징으로 하는 악성 앱 감지 방법
|
| 18 |
18
제13 항에 있어서, 상기 유사도를 판단하는 단계는 상기 수집된 모바일 앱의 기본 정보를 실행 환경에 맞는 가상 환경을 구동하는 단계와, 상기 모바일 앱이 실행되면 동적으로 코드를 분석하는 단계와,상기 분석된 결과에 따라, 동적 행위 그래프를 생성하되, 상기 호출 흐름 그래프를 확장하여 생성하는 단계와,미리 저장된 의미적 분할 규칙을 참조하여 상기 생성된 동적 행위 기반의 호출 흐름 그래프로부터 모듈 단위의 부분 행위 그래프를 추출하는 단계와, 상기 추출된 부분 행위 그래프에서 식별자를 제거하는 단계와,상기 부분 행위 기반 그래프와 기존의 악성 행위 기반으로 만들어진 부분 그래프 시그니처 이미지와 유사도를 비교하는 단계를 포함함을 특징으로 하는 악성 앱 감지 방법
|
