1 |
1
악성 어플리케이션 탐지 장치가, 제1 어플리케이션의 소스 코드를 추출하는 단계;상기 악성 어플리케이션 탐지 장치가, 상기 소스 코드를 전처리하는 단계;상기 악성 어플리케이션 탐지 장치가, 상기 전처리된 소스 코드로부터 제1 메서드(Method) 기반의 해시값을 추출하되, 상기 제1 메서드 기반의 해시값은 각 메서드에 대응되는 소스코드의 해시값인 것인, 단계;상기 악성 어플리케이션 탐지 장치가, 상기 제1 메서드 기반의 해시값과 기존에 악성으로 판단된 제2 어플리케이션에서 사용된 악성 코드로부터 추출된 제2 메서드 기반의 해시값을 비교하여 유사도를 연산하는 단계;상기 악성 어플리케이션 탐지 장치가, 상기 유사도를 이용하여 상기 제1 어플리케이션의 악성 여부를 판단하는 단계; 및상기 악성 어플리케이션 탐지 장치가, 상기 판단의 결과 악성으로 판단된 경우, 상기 제1 어플리케이션과 상기 제2 어플리케이션 사이에 메서드 이름은 동일하나 해시값이 다른 메서드를 선정하고, 상기 선정된 메서드 및 상기 선정된 메서드의 해시값을 보관하는 단계를 포함하되,상기 악성 코드는 메서드의 사용 빈도를 기준으로 기 정의된 카테고리로 분류되고,상기 유사도를 연산하는 단계는,상기 제1 메서드 기반의 해시값과 각각의 카테고리에 대응되는 상기 제2 메서드 기반의 해시값을 비교하여, 기 정의된 카테고리 별로 유사도를 연산하는 단계를 포함하고,상기 악성 어플리케이션 탐지 장치가, 상기 판단의 결과 악성으로 판단된 경우, 상기 기 정의된 카테고리 별로 연산된 유사도를 각각의 카테고리 별로 시각화하여 제공하는 단계를 더 포함하는,악성 어플리케이션 탐지 방법
|
2 |
2
제1항에 있어서,상기 소스 코드를 추출하는 단계는,상기 제1 어플리케이션을 디컴파일 또는 디어셈블 하여 소스 코드를 추출하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
3 |
3
제1항에 있어서,상기 소스 코드를 전처리하는 단계는,상기 제1 어플리케이션의 소스 코드의 Package 선언, Import 구문을 제거하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
4 |
4
제1항에 있어서,상기 제1 메서드 기반의 해시값을 추출하는 단계는,상기 제1 어플리케이션의 소스 코드를 JSON을 이용하여 트리 형태로 변환하고, 메서드의 해시값을 추출하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
5 |
5
제1항에 있어서,상기 제1 메서드 기반의 해시값과 기존에 악성으로 판단된 제2 어플리케이션에서 사용된 악성 코드로부터 추출된 제2 메서드 기반의 해시값을 비교하여 유사도를 연산하는 단계는,상기 제1 어플리케이션의 메서드 이름과 상기 제2 어플리케이션의 메서드 이름을 비교하는 단계; 및상기 비교의 결과, 이름이 동일한 메서드끼리 해시값이 유사한 정도를 상기 유사도로 연산하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
6 |
6
제1항에 있어서,상기 악성 여부를 판단하는 단계는,상기 유사도를 기 설정된 임계값과 비교하여 악성 여부를 판단하는 단계를 포함하는,악성 어플리케이션 탐지 방법
|
7 |
7
네트워크 인터페이스;하나 이상의 프로세서;상기 프로세서에 의하여 수행되는 컴퓨터 프로그램을 로드하는 메모리; 및제1 어플리케이션을 저장하는 스토리지를 포함하되,상기 컴퓨터 프로그램은,상기 제1 어플리케이션의 소스 코드를 추출하는 오퍼레이션;상기 소스 코드를 전처리하는 오퍼레이션;상기 전처리된 소스 코드로부터 제1 메서드(Method) 기반의 해시값을 추출하되, 상기 제1 메서드 기반의 해시값은 각 메서드에 대응되는 소스코드의 해시값인 것인, 오퍼레이션;상기 제1 메서드 기반의 해시값과 기존에 악성으로 판단된 제2 어플리케이션에서 사용된 악성 코드로부터 추출된 제2 메서드 기반의 해시값을 비교하여 유사도를 연산하는 오퍼레이션;상기 유사도를 이용하여 상기 제1 어플리케이션의 악성 여부를 판단하는 오퍼레이션; 및상기 판단의 결과 악성으로 판단된 경우, 상기 제1 어플리케이션과 상기 제2 어플리케이션 사이에 메서드 이름은 동일하나 해시값이 다른 메서드를 선정하고, 상기 선정된 메서드 및 상기 선정된 메서드의 해시값을 보관하는 오퍼레이션을 포함하되,상기 악성 코드는 메서드의 사용 빈도를 기준으로 기 정의된 카테고리로 분류되고,상기 유사도를 연산하는 오퍼레이션은,상기 제1 메서드 기반의 해시값과 각각의 카테고리에 대응되는 상기 제2 메서드 기반의 해시값을 비교하여, 기 정의된 카테고리 별로 유사도를 연산하는 오퍼레이션을 포함하고,상기 판단의 결과 악성으로 판단된 경우, 상기 기 정의된 카테고리 별로 연산된 유사도를 각각의 카테고리 별로 시각화하여 제공하는 오퍼레이션을 더 포함하는,악성 어플리케이션 탐지 장치
|