1 |
1
기존 악성 앱에 대한 제1 행위 분석 결과와 제2 행위 분석 결과의 차이에 기초하여, 분석 대상 앱의 행위 분석을 실제 환경에서 수행할지를 결정하는 결정 규칙을 생성하되, 상기 제1 행위 분석 결과는 가상 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과이고 상기 제2 행위 분석 결과는 실제 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과인 것인, 규칙 생성부; 및상기 분석 대상 앱이 상기 생성된 결정 규칙에 만족하는 경우 상기 실제 환경에서 상기 분석 대상 앱의 행위 분석을 수행하도록 제어하는 행위 분석 제어부를 포함하고,상기 결정 규칙은,상기 제1 행위 분석 결과와 제2 행위 분석 결과의 차이를 통해 분석된 분석 회피형 악성 앱의 특징에 대해 정의된 조건을 포함하고, 상기 분석 대상 앱이 상기 조건을 포함하는 경우 상기 분석 대상 앱이 상기 실제 환경에서 행위 분석이 수행되는 것으로 결정되는 규칙이고,상기 분석 회피형 악성 앱은,상기 가상 환경에서는 상기 행위 분석을 회피하는 것을 특징으로 하는,악성 앱 탐지 장치
|
2 |
2
제1 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 API(application programming interface)에 관한 정보를 포함하되,상기 규칙 생성부는,API 호출 횟수의 차이에 기초하여 상기 적어도 하나의 API 중에서 의심 API를 선정하고, 상기 의심 API에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하는 것을 특징으로 하는,악성 앱 탐지 장치
|
3 |
3
제2 항에 있어서,상기 의심 API는 API 호출 순서의 차이에 더 기초하여 선정되는 것을 특징으로 하는,악성 앱 탐지 장치
|
4 |
4
제2 항에 있어서,상기 의심 API는 API 호출 인자의 차이에 더 기초하여 결정되는 것을 특징으로 하는,악성 앱 탐지 장치
|
5 |
5
제1 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 시스템 콜(system call)에 관한 정보를 포함하되,상기 규칙 생성부는,시스템 콜 호출 횟수의 차이에 기초하여 상기 적어도 하나의 시스템 콜 중에서 의심 시스템 콜을 선정하고, 상기 의심 시스템 콜에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하는 것을 특징으로 하는,악성 앱 탐지 장치
|
6 |
6
제5 항에 있어서,상기 결정 규칙은 상기 의심 시스템 콜의 출현 정도에 따라 산정된 의심 지수에 기초하여 정의된 조건을 포함하되,상기 의심 지수는,네트워크 행위에 관한 제1 의심 시스템 콜의 출현 정도에 따라 산정된 제1 의심 지수와 다른 행위에 관한 제2 의심 시스템 콜의 출현 정도에 따라 산정된 제2 의심 지수의 가중치 합으로 결정되고,상기 제1 의심 지수에 상기 제2 의심 지수보다 더 높은 가중치가 부여되는 것을 특징으로 하는,악성 앱 탐지 장치
|
7 |
7
제1 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 함수에 관한 정보를 포함하되,상기 규칙 생성부는,함수의 호출 횟수의 차이에 기초하여 상기 적어도 하나의 함수 중에서 의심 함수를 선정하고, 상기 의심 함수에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하며,상기 행위 분석 제어부는,정적 분석을 통해 상기 분석 대상 앱의 소스 코드에 포함된 함수를 추출하는 함수 추출부; 및상기 추출된 함수가 상기 의심 함수에 기초하여 정의된 조건을 만족한다는 판정에 응답하여, 상기 분석 대상 앱의 행위 분석을 실제 환경에서 수행하도록 제어하는 규칙 기반 제어부를 포함하는 것을 특징으로 하는,악성 앱 탐지 장치
|
8 |
8
제7 항에 있어서,상기 함수 추출부는,가상 환경에서 수행된 상기 분석 대상 앱에 대한 제3 행위 분석의 결과로 상기 제3 행위 분석 동안 상기 분석 대상 앱에서 호출된 함수의 목록을 획득하고, 상기 획득된 함수의 목록을 이용하여 상기 소스 코드에 포함된 함수 중에서 상기 제3 행위 분석 동안 호출되지 않은 함수를 추출하는 것을 특징으로 하는,악성 앱 탐지 장치
|
9 |
9
제1 항에 있어서,상기 분석 대상 앱의 행의 분석 결과에 기초하여 상기 분석 대상 앱이 악성인지 여부를 판정하는 악성 판정부를 더 포함하되,상기 행위 분석 제어부는,상기 분석 대상 앱에 대한 제3 행위 분석을 가상 환경에서 수행하도록 제어하고, 상기 제3 행위 분석의 결과가 상기 생성된 결정 규칙을 만족한다는 판정에 응답하여, 상기 분석 대상 앱에 대한 제4 행위 분석을 실제 환경에서 추가로 수행하도록 제어하고,상기 악성 판정부는,상기 제4 행위 분석의 결과에 기초하여 상기 분석 대상 앱이 악성인지 여부를 판정하는 것을 특징으로 하는,악성 앱 탐지 장치
|
10 |
10
제1 항에 있어서,상기 제1 행위 분석 결과는 상기 기존 악성 앱의 가상 환경 탐지 API의 호출을 감지하는 과정 및 상기 호출의 감지에 응답하여 페이크 정보를 반환하는 과정을 통해 수행된 행위 분석 결과이되,상기 가상 환경 탐지 API는 가상 환경에서 실제 환경과 다르게 설정되는 정보를 요청하는 API이고,상기 페이크 정보는 상기 기존 악성 앱의 가상 환경 탐지를 방지하기 위해 실제 환경을 모사한 값을 갖도록 설정된 정보인 것을 특징으로 하는,악성 앱 탐지 장치
|
11 |
11
악성 앱 탐지 장치에 의해 수행되는 악성 앱 탐지 방법에 있어서,기존 악성 앱에 대한 제1 행위 분석 결과를 획득하되, 상기 제1 행위 분석 결과는 가상 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과인 것인, 단계;상기 기존 악성 앱에 대한 제2 행위 분석 결과를 획득하되, 상기 제2 행위 분석 결과는 실제 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과인 것인, 단계;상기 제1 행위 분석 결과와 상기 제2 행위 분석 결과의 차이에 기초하여, 분석 대상 앱의 행위 분석을 실제 환경에서 수행할지를 결정하는 결정 규칙을 생성하는 단계; 및상기 분석 대상 앱이 상기 생성된 결정 규칙에 만족하는 경우 상기 실제 환경에서 상기 분석 대상 앱에 대한 행위 분석을 수행하도록 제어하는 단계를 포함하고,상기 결정 규칙은,상기 제1 행위 분석 결과와 제2 행위 분석 결과의 차이를 통해 분석된 분석 회피형 악성 앱의 특징에 대해 정의된 조건을 포함하고, 상기 분석 대상 앱이 상기 조건을 포함하는 경우 상기 분석 대상 앱이 상기 실제 환경에서 행위 분석이 수행되는 것으로 결정되는 규칙이고,상기 분석 회피형 악성 앱은,상기 가상 환경에서는 상기 행위 분석을 회피하는 것을 특징으로 하는,악성 앱 탐지 방법
|
12 |
12
제11 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 API(application programming interface)에 관한 정보를 포함하되,상기 결정 규칙을 생성하는 단계는,API 호출 횟수의 차이에 기초하여 상기 적어도 하나의 API 중에서 의심 API를 선정하는 단계; 및상기 의심 API에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하는 단계를 포함하는 것을 특징으로 하는,악성 앱 탐지 방법
|
13 |
13
제11 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 시스템 콜(system call)에 관한 정보를 포함하되,상기 결정 규칙을 생성하는 단계는,시스템 콜 호출 횟수의 차이에 기초하여 상기 적어도 하나의 시스템 콜 중에서 의심 시스템 콜을 선정하는 단계; 및상기 의심 시스템 콜에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하는 단계를 포함하는 것을 특징으로 하는,악성 앱 탐지 방법
|
14 |
14
제13 항에 있어서,상기 결정 규칙은 상기 의심 시스템 콜의 출현 정도에 따라 산정된 의심 지수에 기초하여 정의된 조건을 포함하되,상기 의심 지수는,네트워크 행위에 관한 제1 의심 시스템 콜의 출현 정도에 따라 산정된 제1 의심 지수와 다른 행위에 관한 제2 의심 시스템 콜의 출현 정도에 따라 산정된 제2 의심 지수의 가중치 합으로 결정되고,상기 제1 의심 지수에 상기 제2 의심 지수보다 더 높은 가중치가 부여되는 것을 특징으로 하는,악성 앱 탐지 방법
|
15 |
15
제11 항에 있어서,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과 각각은 상기 기존 악성 앱에서 호출된 적어도 하나의 함수에 관한 정보를 포함하되,상기 결정 규칙을 생성하는 단계는,상기 제1 행위 분석 결과 및 상기 제2 행위 분석 결과의 차이에 기초하여 상기 적어도 하나의 함수 중에서 의심 함수를 선정하는 단계; 및상기 의심 함수에 기초하여 정의된 조건을 포함하는 결정 규칙을 생성하는 단계를 포함하고,상기 분석 대상 앱에 대한 행위 분석을 수행하도록 제어하는 단계는,정적 분석을 통해 상기 분석 대상 앱의 소스 코드에 포함된 함수를 추출하는 단계; 및상기 추출된 함수가 상기 의심 함수에 기초하여 정의된 조건을 만족한다는 판정에 응답하여, 상기 분석 대상 앱의 행위 분석을 실제 환경에서 수행하도록 제어하는 단계를 포함하는 것을 특징으로 하는,악성 앱 탐지 방법
|
16 |
16
제15 항에 있어서,상기 분석 대상 앱의 행위 분석을 실제 환경에서 수행하도록 제어하는 단계는,상기 분석 대상 앱에 대한 제3 행위 분석을 가상 환경에서 수행하도록 제어하고, 상기 제3 행위 분석의 결과로 상기 제3 행위 분석 동안 상기 분석 대상 앱에서 호출된 함수의 목록을 획득하는 단계;상기 획득된 함수의 목록을 이용하여, 상기 소스 코드에 포함된 함수 중에서 상기 제3 행위 분석 동안 호출되지 않은 적어도 하나의 함수를 추출하는 단계; 및상기 추출된 적어도 하나의 함수가 상기 의심 함수에 기초하여 정의된 조건을 만족한다는 판정에 응답하여, 상기 분석 대상 앱의 행위 분석을 실제 환경에 수행하도록 제어하는 단계를 포함하는 것을 특징으로 하는,악성 앱 탐지 방법
|
17 |
17
제11 항에 있어서,상기 분석 대상 앱의 행위 분석 결과에 기초하여 상기 분석 대상 앱이 악성인지 여부를 판정하는 단계를 더 포함하되,상기 분석 대상 앱에 대한 행위 분석을 수행하도록 제어하는 단계는,상기 분석 대상 앱에 대한 제3 행위 분석을 가상 환경에서 수행하도록 제어하는 단계; 및상기 제3 행위 분석의 결과가 상기 생성된 결정 규칙을 만족한다는 판정에 응답하여, 상기 분석 대상 앱에 대한 제4 행위 분석을 실제 환경에서 추가로 수행하도록 제어하는 단계를 포함하고,상기 분석 대상 앱이 악성인지 여부를 판정하는 단계는,상기 제4 행위 분석의 결과에 기초하여 상기 분석 대상 앱이 악성인지 여부를 판정하는 단계를 포함하는 것을 특징으로 하는,악성 앱 탐지 방법
|
18 |
18
제11 항에 있어서,상기 제1 행위 분석 결과는,상기 기존 악성 앱의 가상 환경 탐지 API의 호출을 감지하는 과정 및 상기 호출의 감지에 응답하여 기 설정된 페이크 정보를 반환하는 과정을 통해 수행된 행위 분석 결과이되,상기 가상 환경 탐지 API는 가상 환경에서 실제 환경과 다르게 설정되는 정보를 요청하는 API이고,상기 페이크 정보는 상기 기존 악성 앱의 가상 환경 탐지를 방지하기 위해 실제 환경을 모사한 값을 갖도록 설정된 정보인 것을 특징으로 하는,악성 앱 탐지 방법
|
19 |
19
프로세서에 의해 실행 가능한 컴퓨터 프로그램 명령어들을 포함하는 컴퓨터 판독 가능한 매체에 기록된 컴퓨터 시스템의 정보를 식별하기 위한 컴퓨터 프로그램으로서, 상기 컴퓨터 프로그램 명령어들이 컴퓨팅 디바이스의 프로세서에 의해 실행되는 경우에,기존 악성 앱에 대한 제1 행위 분석 결과를 획득하되, 상기 제1 행위 분석 결과는 가상 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과인 것인, 단계;상기 기존 악성 앱에 대한 제2 행위 분석 결과를 획득하되, 상기 제2 행위 분석 결과는 실제 환경에서 수행된 상기 기존 악성 앱에 대한 행위 분석 결과인 것인, 단계;상기 제1 행위 분석 결과와 상기 제2 행위 분석 결과의 차이에 기초하여, 분석 대상 앱의 행위 분석을 실제 환경에서 수행할지를 결정하는 결정 규칙을 생성하되, 상기 결정 규칙은, 상기 제1 행위 분석 결과와 제2 행위 분석 결과의 차이를 통해 분석된, 상기 가상 환경에서는 상기 행위 분석을 회피하는, 분석 회피형 악성 앱의 특징에 대해 정의된 조건을 포함하고, 상기 분석 대상 앱이 상기 조건을 포함하는 경우 상기 분석 대상 앱이 상기 실제 환경에서 행위 분석이 수행되는 것으로 결정되도록 상기 결정 규칙을 생성하는 단계; 및상기 분석 대상 앱이 상기 생성된 결정 규칙에 만족하는 경우 상기 실제 환경에서 상기 분석 대상 앱에 대한 행위 분석을 수행하도록 제어하는 단계가 수행되는,컴퓨터 프로그램
|
20 |
20
가상 환경에서 분석 대상 앱에 대한 행위 분석을 수행하는 제1 행위 분석 장치;실제 환경에서 상기 분석 대상 앱에 대한 행위 분석을 수행하는 제2 행위 분석 장치; 및상기 분석 대상 앱의 행위 분석을 실제 환경에서 수행할지를 결정하는 결정 규칙을 생성하고, 상기 분석 대상 앱이 상기 생성된 결정 규칙을 만족한다는 판정에 응답하여, 상기 분석 대상 앱의 행위 분석을 상기 제2 행위 분석 장치를 통해 상기 실제 환경에서 수행하도록 제어하는 행위 분석 제어 장치를 포함하되,상기 행위 분석 제어 장치는,가상 환경에서 수행된 기존 악성 앱에 대한 제1 행위 분석 결과와 실제 환경에서 수행된 상기 기존 악성 앱에 대한 제2 행위 분석 결과의 차이에 기초하여, 상기 결정 규칙을 생성하고,상기 결정 규칙은,상기 제1 행위 분석 결과와 제2 행위 분석 결과의 차이를 통해 분석된 분석 회피형 악성 앱의 특징에 대해 정의된 조건을 포함하고, 상기 분석 대상 앱이 상기 조건을 포함하는 경우 상기 분석 대상 앱이 상기 실제 환경에서 행위 분석이 수행되는 것으로 결정되는 규칙이고,상기 분석 회피형 악성 앱은,상기 가상 환경에서는 상기 행위 분석을 회피하는 것을 특징으로 하는,악성 앱 탐지 시스템
|