| 1 |
1
랜섬웨어 감지 방법에 있어서,애플리케이션을 획득하는 단계; 상기 애플리케이션으로부터 코드 및 리소스 데이터를 획득하는 단계; 상기 코드 및 리소스 데이터에 기초하여 상기 애플리케이션이 요청하는 권한, 상기 코드 및 리소스 데이터에 포함된 문자열을 분석하는 단계;상기 분석 결과에 기초하여 상기 애플리케이션이 랜섬웨어를 포함하는지 여부를 판단하는 단계; 및상기 판단 결과에 기초하여 상기 애플리케이션의 적어도 일부를 랜섬웨어 데이터베이스에 저장하는 단계;를 포함하는, 방법
|
| 2 |
2
제1항에 있어서, 상기 분석 결과에 기초하여 상기 애플리케이션이 랜섬웨어를 포함하는지 여부를 판단하는 단계는, 상기 분석 결과를 정규화된 데이터로 변환하는 단계; 및상기 정규화된 데이터를 시그니쳐 데이터베이스에 저장하는 단계;를 포함하며, 상기 정규화된 데이터로 변환하는 단계는,상기 분석 결과가 랜섬웨어 판단에 필요한 데이터인지 판단하고, 판단 결과에 기초하여 소정의 데이터를 검색, 추가 또는 삭제하고, 상기 분석 결과에 기초하여 소정의 데이터 리스트를 생성하고, 상기 애플리케이션의 설치 경로를 분석하는 것인, 방법
|
| 3 |
3
제2항에 있어서,상기 시그니쳐 데이터베이스에 저장하는 단계는, 상기 애플리케이션의 정보 및 상기 애플리케이션이 실행되는 환경 정보를 함께 저장하는 것인, 방법
|
| 4 |
4
제3항에 있어서, 상기 애플리케이션의 정보는 상기 애플리케이션의 버전 정보 및 상기 애플리케이션의 업데이트 정보 중 적어도 하나를 포함하고, 상기 환경 정보는 상기 애플리케이션이 실행되는 디바이스의 기기 정보, OS 정보 및 플랫폼 정보 중 적어도 하나를 포함하는 것인, 방법
|
| 5 |
5
제2항에 있어서,상기 시그니쳐 데이터베이스 및 상기 랜섬웨어 데이터베이스는 주기적으로 업데이트 또는 동기화되며, 외부 서버에 저장되고,상기 외부 서버는 적어도 하나의 다른 디바이스들과 연결되는 것인, 방법
|
| 6 |
6
제2항에 있어서,상기 판단 결과에 기초하여 상기 애플리케이션의 적어도 일부를 랜섬웨어 데이터베이스에 저장하는 단계는, 상기 애플리케이션의 시스템 구조를 분석하여 랜섬웨어가 저장된 경로를 판단하고, 상기 판단된 경로에 따라 상기 애플리케이션에 포함된 랜섬웨어를 검출하고, 검출된 랜섬웨어를 저장하는 것인, 방법
|
| 7 |
7
제1항에 있어서,상기 코드 및 리소스 데이터에 기초하여 상기 애플리케이션이 요청하는 권한, 상기 코드 및 리소스 데이터에 포함된 문자열을 분석하는 단계는, 상기 코드 및 리소스 데이터에 포함된 텍스트 데이터를 수집하는 단계; 상기 수집한 텍스트 데이터를 유형별로 분류하는 단계; 상기 분류된 텍스트 데이터를 문자열로 변환하는 단계; 및상기 변환된 문자열과 상기 랜섬웨어 데이터베이스를 비교하는 단계;를 포함하는 방법
|
| 8 |
8
제7항에 있어서,상기 분석 결과에 기초하여 상기 애플리케이션이 랜섬웨어를 포함하는지 여부를 판단하는 단계는, 상기 비교 결과에 기초하여, 의심 문자열이 상기 코드 및 리소스 데이터에 포함되어 있는 경우 상기 애플리케이션을 랜섬웨어로 판단하는 것인, 방법
|
| 9 |
9
제1항에 있어서,상기 코드 및 리소스 데이터에 기초하여 상기 애플리케이션이 요청하는 권한, 상기 코드 및 리소스 데이터에 포함된 문자열을 분석하는 단계는, 상기 코드 및 리소스 데이터로부터, 상기 애플리케이션이 요청하는 권한에 관한 정보를 획득하는 단계; 및상기 애플리케이션이 요청하는 권한에 관한 정보와 상기 랜섬웨어 데이터베이스 내의 권한 리스트와 비교하는 단계;를 포함하는 방법
|
| 10 |
10
제9항에 있어서,상기 분석 결과에 기초하여 상기 애플리케이션이 랜섬웨어를 포함하는지 여부를 판단하는 단계는, 상기 비교 결과에 기초하여, 의심 권한 요청이 상기 코드 및 리소스 데이터에 포함되어 있는 경우 상기 애플리케이션이 랜섬웨어로 판단하는 것인, 방법
|
| 11 |
11
제9항에 있어서, 상기 코드 및 리소스 데이터로부터, 상기 애플리케이션이 요청하는 권한에 관한 정보를 획득하는 단계는,상기 코드 및 리소스 데이터 내에 포함된 하나 이상의 함수 또는 명령어를 소정의 기준에 따라 적어도 하나의 카테고리로 분류하고, 상기 적어도 하나의 카테고리에 기초하여 상기 애플리케이션이 요청하는 권한에 관한 정보를 획득하는 것인, 방법
|
| 12 |
12
제9항에 있어서, 상기 코드 및 리소스 데이터로부터, 상기 애플리케이션이 요청하는 권한에 관한 정보를 획득하는 단계는,상기 코드 및 리소스 데이터 내에 포함된 하나 이상의 함수에 기초하여 수행되는 태스크에 기초하여 상기 애플리케이션이 요청하는 권한에 관한 정보를 획득하는 것인, 방법
|
| 13 |
13
제1항에 있어서,상기 애플리케이션으로부터 코드 및 리소스 데이터를 획득하는 단계는, 상기 획득한 애플리케이션을 디컴파일함으로써, 상기 코드 및 리소스 데이터를 획득하는 것이고, 상기 코드 및 리소스 데이터는 XML 파일, 매니페스트 파일, 자바 파일, 드로어블(Drawable) 파일 및 밉맵(Mipmap) 파일 중 적어도 하나를 포함하는 것인 방법
|
| 14 |
14
제1항에 있어서, 상기 방법은, 상기 애플리케이션이 랜섬웨어로 판단되면, 이에 대한 판단 결과를 출력하는 단계; 및사용자 입력에 기초하여 상기 애플리케이션을 삭제하거나, 상기 애플리케이션이 랜섬웨어가 아닌 것으로 결정하는 단계;를 더 포함하는 방법
|
| 15 |
15
적어도 하나의 메모리; 및상기 메모리에 전기적으로 연결된 적어도 하나의 프로세서;를 포함하고, 상기 적어도 하나의 프로세서는, 애플리케이션을 획득하고, 상기 애플리케이션으로부터 코드 및 리소스 데이터를 획득하고, 상기 코드 및 리소스 데이터에 기초하여 상기 애플리케이션이 요청하는 권한, 상기 코드 및 리소스 데이터에 포함된 문자열을 분석하고, 상기 분석 결과에 기초하여 상기 애플리케이션이 랜섬웨어를 포함하는지 여부를 판단하고, 상기 판단 결과에 기초하여, 상기 애플리케이션의 적어도 일부를 랜섬웨어 데이터베이스에 저장하도록 구성된 랜섬웨어 감지 장치
|
