| 1 |
1
어플리케이션 설치확인부가 이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 단계;콜 시퀀스 추출부가 상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 단계; 및악성코드 확인부가 추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 단계;를 포함하되,상기 악성코드의 존재유무를 확인하는 단계는 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법
|
| 2 |
2
제1항에 있어서,상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 단계;를 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법
|
| 3 |
3
삭제
|
| 4 |
4
제1항에 있어서,상기 악성코드의 존재유무를 확인하는 단계는문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법
|
| 5 |
5
제1항에 있어서,상기 악성코드의 존재유무를 확인하는 단계는상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 과정;상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값을 상기 데이터베이스로부터 검색하는 과정;상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 과정;함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 과정; 및상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 과정;을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법
|
| 6 |
6
제5항에 있어서,상기 함수 호출 그래프를 비교하는 과정을 수행하기 전, 상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 과정; 및함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 과정;을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 방법
|
| 7 |
7
제1항 내지 제2항 및 제4항 내지 제6항 중 어느 한 항에 따른 방법을 컴퓨터로 실행하기 위한 프로그램이 기록된 컴퓨터 판독가능 기록매체
|
| 8 |
8
이동단말 내 신규 어플리케이션의 설치가 시도되고 있는지 여부를 확인하는 어플리케이션 설치확인부;상기 이동단말 내 신규 어플리케이션의 설치가 시도되고 있다고 판단하는 경우, 상기 신규 어플리케이션의 설치파일 내 코드로부터 함수에 대한 콜 시퀀스를 추출하는 콜 시퀀스 추출부; 및추출된 함수의 콜 시퀀스를 데이터베이스 내 기저장된 상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 코드로부터 추출된 함수의 콜 시퀀스를 상호 비교하여, 상기 신규 어플리케이션 내 악성코드의 존재유무를 확인하는 악성코드확인부;를 포함하되,상기 악성코드확인부는상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하고, 연산한 유사도값에 기초하여 상기 신규 어플리케이션 내 악성코드의 존재 여부를 판단하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템
|
| 9 |
9
제8항에 있어서,상기 추출된 함수의 콜 시퀀스 내 악성코드가 존재한다고 판단한 경우에는 상기 데이터베이스에 앞서 추출된 상기 함수의 콜 시퀀스를 저장하여 업데이트하는 갱신부;를 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템
|
| 10 |
10
삭제
|
| 11 |
11
제8항에 있어서,상기 악성코드확인부는문자열간의 거리 계산(Distance measure) 알고리즘에 기초하여 상기 신규 어플리케이션으로부터 추출된 함수의 콜 시퀀스와 상기 데이터베이스 내 기저장된 함수의 콜 시퀀스간에 유사도를 연산하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템
|
| 12 |
12
제8항에 있어서,상기 악성코드확인부는상기 신규 어플리케이션의 설치파일로부터 적어도 하나의 클래스를 추출하고, 추출된 적어도 하나의 클래스에 속하는 메소드로부터 함수 호출 그래프(Function Call Graph) 및 함수 호출 그래프 해시값(Function Call Graph Hash)을 추출하는 신규FCG추출모듈;상기 신규 어플리케이션과 동일한 어플리케이션의 설치파일 내 클래스에 속하는 메소드로부터 함수 호출 그래프 및 함수 호출 그래프 해시값을 상기 데이터베이스로부터 검색하는 DB검색모듈;상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 및 상기 데이터베이스 내 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프를 비교하는 제1 비교모듈;함수 호출 그래프의 비교 결과에 따라 유사도값을 선택한 후, 각 메소드별 유사도값에 대한 평균값을 연산하여 최종 유사도로 판단하는 유사도연산모듈; 및상기 최종 유사도가 기설정된 기준 유사도보다 적은 경우에는 상기 어플리케이션 내 악성코드가 존재한다고 판단하는 악성코드판단모듈;을 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템
|
| 13 |
13
제12항에 있어서,상기 악성코드확인부는상기 신규 어플리케이션으로부터 추출된 함수 호출 그래프 해시값과 상기 데이터베이스에 기저장된 어플리케이션으로부터 추출된 함수 호출 그래프 해시값을 비교하는 제2 비교모듈; 을 포함하고,상기 악성코드판단모듈이함수 호출 그래프 해시값의 비교결과가 동일한 경우에는 상기 신규 어플리케이션 내 악성코드가 존재한다고 판단하는 것을 더 포함하는 것을 특징으로 하는 이동단말의 어플리케이션 내 악성코드 탐지 시스템
|
