[go: up one dir, main page]

KR20130005609A - System for collecting and analyzing mobile malware automatically - Google Patents

System for collecting and analyzing mobile malware automatically Download PDF

Info

Publication number
KR20130005609A
KR20130005609A KR1020110067105A KR20110067105A KR20130005609A KR 20130005609 A KR20130005609 A KR 20130005609A KR 1020110067105 A KR1020110067105 A KR 1020110067105A KR 20110067105 A KR20110067105 A KR 20110067105A KR 20130005609 A KR20130005609 A KR 20130005609A
Authority
KR
South Korea
Prior art keywords
code
malicious
information
mobile
malicious suspicious
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020110067105A
Other languages
Korean (ko)
Other versions
KR101270497B1 (en
Inventor
허수만
정가람
전수홍
이건
Original Assignee
(주) 세인트 시큐리티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 세인트 시큐리티 filed Critical (주) 세인트 시큐리티
Priority to KR1020110067105A priority Critical patent/KR101270497B1/en
Publication of KR20130005609A publication Critical patent/KR20130005609A/en
Application granted granted Critical
Publication of KR101270497B1 publication Critical patent/KR101270497B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/40Data acquisition and logging
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/561Virus type analysis
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M1/00Substation equipment, e.g. for use by subscribers
    • H04M1/72Mobile telephones; Cordless telephones, i.e. devices for establishing wireless links to base stations without route selection
    • H04M1/724User interfaces specially adapted for cordless or mobile telephones
    • H04M1/72403User interfaces specially adapted for cordless or mobile telephones with means for local support of applications that increase the functionality

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Telephonic Communication Services (AREA)

Abstract

본 발명은 모바일 악성코드 자동 수집 및 분석 시스템에 관한 것으로, 모바일 단말에 탑재되어 모바일 악성코드를 자동으로 탐지하는 모바일 악성코드 자동 수집 및 분석 시스템에 있어서, 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하는 수집 모듈; 상기 수집 모듈에 의해 수집된 모바일 악성 의심코드로부터 코드 정보 및 행위 정보를 추출하는 분석 모듈; 및 상기 분석 모듈에 의해 추출된 코드 정보 및 행위 정보로부터 상기 모바일 악성 의심코드가 악성코드인지 여부를 판단하여 모바일 악성코드를 탐지하는 탐지 모듈을 포함하여 구성된다.The present invention relates to a mobile malicious code automatic collection and analysis system, and more particularly, to a mobile malicious code automatic collection and analysis system mounted on a mobile terminal for automatically detecting mobile malicious code, A collection module; An analysis module for extracting code information and behavior information from the mobile malicious suspicious code collected by the collection module; And a detection module for detecting a mobile malicious code by determining whether the mobile malicious suspicious code is a malicious code based on the code information and action information extracted by the analysis module.

Description

모바일 악성코드 자동 수집 및 분석 시스템{SYSTEM FOR COLLECTING AND ANALYZING MOBILE MALWARE AUTOMATICALLY}TECHNICAL FIELD [0001] The present invention relates to a mobile malicious code automatic collection and analysis system,

본 발명은 모바일 악성코드 자동 수집 및 분석 시스템에 관한 것으로, 보다 상세하게는 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하고 이를 정적 및 동적으로 분석한 후 분석 결과로부터 악성여부를 판별함으로써 모바일 악성코드를 자동으로 수집하고 분석할 수 있도록 하는 기술에 관한 것이다.The present invention relates to a mobile malicious code automatic collection and analysis system, and more particularly, to a mobile malicious code collecting and analyzing system which collects mobile malicious suspicious codes through network traffic analysis, statistically and dynamically analyzes them, To be automatically collected and analyzed.

PC와 같이 운영체제(OS)를 탑재하여 이메일과 웹서핑은 물론 문서작업도 가능한 스마트폰의 사용자가 늘어나면서 스마트폰 OS에서 동작하는 모바일 악성코드가 더욱 많이 제작되고 그 피해 또한 커지고 있는 실정이다.The number of users of smartphones equipped with an operating system (OS) such as a PC increases the number of mobile malicious code that runs on a smartphone OS, and the damage is also increasing.

모바일 악성코드의 확산과 피해를 예방하기 위해 국내 및 해외의 백신서비스 제공업체들이 스마트폰 기반 백신·보안 프로그램들을 제공하고 있으며, 이러한 기존의 백신·보안 프로그램들은 주로 패턴 매칭 방식에 의해 악성코드를 탐지한다. In order to prevent the spread and harm of mobile malicious code, domestic and overseas vaccine service providers provide smartphone-based vaccine and security programs. Such existing vaccine and security programs mainly detect malicious code by pattern matching method do.

그러나, 패턴 매칭 방식에 의한 패턴기반 악성코드 탐지 방법에 의하면, 신종 악성코드의 탐지가 불가능하고, 유사 변종 악성코드에 대해서도 탐지가 불가능하며, 패턴 증가 속도가 악성코드의 증가 속도나 양을 따라 잡을 수 없다는 한계가 있다.However, according to the pattern-based malicious code detection method using the pattern matching method, it is impossible to detect a new malicious code, and it is impossible to detect a malicious code of a similar variant. Also, There is a limit that can not be.

따라서 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하고 이를 정적 및 동적으로 분석한 후 분석 결과로부터 악성여부를 판별함으로써 모바일 악성코드를 자동으로 수집하고 분석할 수 있도록 하는 모바일 악성코드 자동 수집 및 분석 시스템을 제공하기 위한 것이다. SUMMARY OF THE INVENTION Accordingly, the present invention has been made to solve the above-mentioned problems occurring in the prior art, and it is an object of the present invention to provide a mobile terminal which can collect malicious suspicious codes by analyzing network traffic, statistically and dynamically analyzing the malicious malicious codes, And to provide a mobile malicious code automatic collection and analysis system capable of collecting and analyzing malicious codes.

상기한 목적을 달성하기 위한 본 발명에 의한 모바일 악성코드 자동 수집 및 분석 시스템은, 모바일 단말에 탑재되어 모바일 악성코드를 자동으로 탐지하는 모바일 악성코드 자동 수집 및 분석 시스템에 있어서, 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하는 수집 모듈; 상기 수집 모듈에 의해 수집된 모바일 악성 의심코드로부터 코드 정보 및 행위 정보를 추출하는 분석 모듈; 및 상기 분석 모듈에 의해 추출된 코드 정보 및 행위 정보로부터 상기 모바일 악성 의심코드가 악성코드인지 여부를 판단하여 모바일 악성코드를 탐지하는 탐지 모듈을 포함한다. According to an aspect of the present invention, there is provided an automatic system for collecting and analyzing mobile malicious code, which is installed in a mobile terminal and automatically detects mobile malicious code, A collection module for collecting mobile malicious suspicious code; An analysis module for extracting code information and behavior information from the mobile malicious suspicious code collected by the collection module; And a detection module for detecting a mobile malicious code by determining whether the mobile malicious suspicious code is malicious code based on the code information and action information extracted by the analysis module.

본 발명에 의하면, 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하고 이를 정적 및 동적으로 분석한 후 분석 결과로부터 악성여부를 판별함으로써 모바일 악성코드를 자동으로 수집하고 분석할 수 있다. According to the present invention, mobile malicious code can be collected and analyzed automatically and statistically and dynamically by collecting mobile malicious code through network traffic analysis, and then determining maliciousness from the analysis results.

따라서, 본 발명에 의하면, 종래의 패턴기반 악성코드 탐지 기술과는 달리 신종 악성코드나 유사 변종 악성코드도 탐지할 수 있게 된다.Therefore, according to the present invention, unlike conventional pattern-based malicious code detection techniques, new malicious codes or similar malicious codes can be detected.

도 1은 본 발명의 일 실시예에 의한 모바일 악성코드 자동 수집 및 분석 시스템의 구성도,
도 2는 도 1에 도시된 수집 모듈의 상세 구성도,
도 3은 도 1에 도시된 분석 모듈의 상세 구성도,
도 4는 도 1에 도시된 탐지 모듈의 상세 구성도, 그리고
도 5는 도 1에 도시된 탐지 모듈에 의해 모바일 악성 의심코드의 악성코드 여부를 탐지하는 과정의 흐름도이다.1 is a block diagram of a system for automatically collecting and analyzing mobile malicious codes according to an exemplary embodiment of the present invention;
2 is a detailed block diagram of the acquisition module shown in FIG. 1,
FIG. 3 is a detailed configuration diagram of the analysis module shown in FIG. 1,
4 is a detailed configuration diagram of the detection module shown in FIG. 1, and FIG.
5 is a flowchart illustrating a process of detecting malicious code of a mobile malicious suspicious code by the detection module shown in FIG.

이하, 첨부된 도면을 참조하여 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명을 용이하게 실시할 수 있도록 바람직한 실시예를 상세히 설명한다. 다만, 본 발명의 바람직한 실시예를 상세하게 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략한다. 또한, 유사한 기능 및 작용을 하는 부분에 대해서는 도면 전체에 걸쳐 동일한 부호를 사용한다.Hereinafter, preferred embodiments of the present invention will be described in detail with reference to the accompanying drawings, in order that those skilled in the art can easily carry out the present invention. In the following detailed description of the preferred embodiments of the present invention, a detailed description of known functions and configurations incorporated herein will be omitted when it may make the subject matter of the present invention rather unclear. In the drawings, like reference numerals are used throughout the drawings.

덧붙여, 명세서 전체에서, 어떤 부분이 다른 부분과 '연결'되어 있다고 할 때, 이는 '직접적으로 연결'되어 있는 경우뿐만 아니라, 그 중간에 다른 소자를 사이에 두고 '간접적으로 연결'되어 있는 경우도 포함한다. 또한, 어떤 구성요소를 '포함'한다는 것은, 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있다는 것을 의미한다.In addition, in the entire specification, when a part is referred to as being 'connected' to another part, it may be referred to as 'indirectly connected' not only with 'directly connected' . Also, to "include" an element means that it may include other elements, rather than excluding other elements, unless specifically stated otherwise.

또한, '모듈'이란 용어는 특정한 기능이나 동작을 수행하는 하나의 단위를 의미하며, 이는 하드웨어 또는 소프트웨어 또는 하드웨어와 소프트웨어의 결합으로 구현될 수 있다.Also, the term " module " refers to a unit that performs a particular function or operation, which may be implemented in hardware or software, or a combination of hardware and software.

또한, '악성코드'란 용어는 컴퓨터에 악영향을 끼칠 수 있는 모든 소프트웨어의 총칭하는 것이며, 여기서 '컴퓨터'는 프로그램을 이용하여 어떤 결과를 도출하기 위해, 디지털 데이터 형태의 정보를 받아들여 다루는 장치를 의미한다. 또한, '스마트폰'은 컴퓨터 기능이 내장된 휴대폰을 지칭한다.
Also, the term 'malicious code' is a generic term for all software that can adversely affect a computer, where 'computer' is a device that accepts information in the form of digital data, it means. Also, 'smartphone' refers to a mobile phone with a built-in computer function.

도 1은 본 발명의 일 실시예에 의한 모바일 악성코드 자동 수집 및 분석 시스템의 구성도이다.1 is a block diagram of a mobile malicious code automatic collection and analysis system according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일 실시예에 의한 모바일 악성코드 자동 수집 및 분석 시스템(100)은, 네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하는 수집 모듈(110), 수집 모듈(110)에 의해 수집된 모바일 악성 의심코드로부터 코드 정보 및 행위 정보를 추출하는 분석 모듈(120), 및 분석 모듈(120)에 의해 추출된 모바일 악성 의심코드의 코드 정보와 행위 정보로부터 모바일 악성 의심코드의 악성 여부를 판별하여 악성코드를 탐지하는 탐지 모듈(130)을 포함한다. Referring to FIG. 1, a mobile malicious code automatic collection and analysis system 100 according to an exemplary embodiment of the present invention includes a collection module 110 for collecting malicious suspicious codes through network traffic analysis, a collection module 110, An analysis module 120 for extracting code information and behavior information from the mobile malicious suspicious code collected by the analyzing module 120 and a malicious suspicious code of the malicious suspicious code from the code information and behavior information of the malicious suspicious code extracted by the analysis module 120, And a detection module 130 for detecting a malicious code.

또한, 모바일 악성코드 자동 수집 및 분석 시스템(100)은 수집 모듈(110)에 의해 추출된 모바일 악성 의심코드 정보, 탐지 모듈(130)에 의해 탐지된 악성코드 탐지 결과 및 기타 모바일 악성코드 자동 수집 및 분석 시스템(100)의 동작에 필요한 정보를 저장하는 데이터베이스(140)를 더 포함할 수 있다.
In addition, the mobile malicious code automatic collection and analysis system 100 can automatically collect malicious suspicious code information extracted by the collection module 110, malicious code detection results detected by the detection module 130, And a database 140 for storing information necessary for the operation of the analysis system 100.

이하, 도 2 내지 도 5를 참조하여 모바일 악성코드 자동 수집 및 분석 시스템(100)을 구성하는 각 구성요소에 대해 보다 상세히 설명한다.
Hereinafter, each component constituting the mobile malicious code automatic collection and analysis system 100 will be described in more detail with reference to FIGS. 2 to 5. FIG.

도 2는 도 1에 도시된 수집 모듈의 상세 구성도이다.2 is a detailed configuration diagram of the acquisition module shown in FIG.

도 2를 참조하면, 수집 모듈(110)은 네트워크 트래픽을 모니터링하고 네트워크 트래픽을 분석하여 이로부터 모바일 악성 의심코드를 추출하는 것으로, 네트워크 트래픽 수집부(111), 악성 의심코드 추출부(112), 악성 의심코드 다운로드부(113), 악성 의심코드 정보 추출부(114) 및 저장부(115)를 포함하여 구성될 수 있다.2, the collecting module 110 monitors network traffic, analyzes network traffic, and extracts mobile malicious suspicious codes from the network traffic. The collecting module 110 includes a network traffic collecting unit 111, a malicious suspicious code extracting unit 112, A malicious suspicious code downloading section 113, a malicious suspicious code information extracting section 114, and a storage section 115.

네트워크 트래픽 수집부(111)는 모바일 악성코드 자동 수집 및 분석 시스템(100)이 탑재된 하드웨어의 네트워크 인터페이스 장치(미도시)로부터 네트워크 트래픽을 수집한다.The network traffic collecting unit 111 collects network traffic from a network interface device (not shown) of the hardware on which the mobile malicious code automatic collection and analysis system 100 is mounted.

악성 의심코드 추출부(112)는 네트워크 트래픽 수집부(111)에 의해 수집된 네트워크 트래픽에 대해 패킷 재조합 기술을 사용하여 모바일 악성 의심코드를 추출하고 추출된 모바일 악성 의심코드를 저장한다. 여기서, 패킷 재조합 기술은 수집된 네트워크 트래픽에서 하나의 실행코드에 해당하는 일련의 패킷들을 재조합하여 모바일 악성 의심코드를 추출하는 것을 의미한다. 또한, 모바일 악성 의심코드라 함은 모바일 악성코드에 해당하는 것으로 의심되는 실행코드를 의미한다.The malicious suspicious code extracting unit 112 extracts the malicious malicious code using the packet recombination technique and stores the extracted malicious malicious code in the network traffic collected by the network traffic collecting unit 111. Here, the packet recombination technique refers to extracting a mobile malicious suspicious code by recombining a series of packets corresponding to one execution code in the collected network traffic. Also, the mobile malicious suspicious code means an execution code suspected to correspond to a mobile malicious code.

악성 의심코드 다운로드부(113)는 악성 의심코드 추출부(112)에 의한 모바일 악성 의심코드 추출 실패시에 모바일 악성 의심코드 다운로드 URL에 직접 접속하여 모바일 악성 의심코드를 다운로드 하여 저장하는 것으로, 필요에 따라 선택적으로 구비될 수 있다.The malicious suspicious code downloading unit 113 accesses the mobile malicious suspicious code download URL directly when the malicious suspicious code extracting unit 112 fails to extract the malicious suspicious code, downloads and stores the malicious suspicious code, And may be optionally provided.

악성 의심코드 정보 추출부(114)는 악성 의심코드 추출부(112)에 의해 추출되어 저장되거나 악성 의심코드 다운로드부(113)에 의해 다운로드되어 저장된 모바일 악성 의심코드로부터 모바일 악성 의심코드 정보를 추출한다. 이때, 추출되는 모바일 악성 의심코드 정보는 MD5(Message-Digest algorithm 5), SHA1 및 파일 크기 정보를 포함할 수 있다.The malicious suspicious code information extracting unit 114 extracts the mobile malicious suspicious code information from the mobile malicious suspicious code extracted and stored by the malicious suspicious code extracting unit 112 or downloaded and stored by the malicious suspicious code downloading unit 113 . At this time, the extracted malicious suspicious code information may include MD5 (message-digest algorithm 5), SHA1, and file size information.

저장부(115)는 악성 의심코드 정보 추출부(114)에 의해 추출된 모바일 악성 의심코드 정보를 데이터베이스(140)에 저장한다.
The storage unit 115 stores the mobile malicious suspicious code information extracted by the malicious suspicious code information extracting unit 114 in the database 140.

도 3은 도 1에 도시된 분석 모듈의 상세 구성도이다.3 is a detailed configuration diagram of the analysis module shown in FIG.

도 3을 참조하면, 분석 모듈(120)은 수집 모듈(110)에 의해 수집된 모바일 악성 의심코드에 대한 정적 분석 및 동적 분석을 수행하여 코드 정보 및 행위 정보를 추출하는 것으로, 정적 분석기(121) 및 동적 분석기(122)를 포함하여 구성될 수 있다.Referring to FIG. 3, the analysis module 120 extracts code information and action information by performing static analysis and dynamic analysis on the mobile malicious suspicious code collected by the collection module 110, And a dynamic analyzer 122.

정적 분석기(121)는 모바일 악성 의심코드에 대한 정적 분석을 수행하여 모바일 악성 의심코드의 코드 정보를 추출한다. 여기서, 코드 정보란 모바일 악성 의심코드를 실행하지 않고 코드 자체로부터 추출할 수 있는 정보를 의미하는 것으로, 예를 들어, 해시(Hash) 정보, 코드 크기 정보, 파일 헤더 정보, 코드 내에 포함되어 있는 식별 가능한 문자열 정보 및 동작 플랫폼 정보 등을 포함할 수 있다.The static analyzer 121 performs a static analysis on the mobile malicious suspicious code to extract the code information of the mobile malicious suspicious code. Here, the code information means information that can be extracted from the code itself without executing the mobile malicious suspicious code. For example, the code information may include information such as hash information, code size information, file header information, Possible string information and operating platform information, and the like.

동적 분석기(122)는 모바일 악성 의심코드에 대한 동적 분석을 수행하여 모바일 악성 의심코드의 행위 정보를 추출한다. 구체적으로, 동적 분석기(122)는 모바일 악성 의심코드를 모바일 단말 또는 모바일 단말 환경과 동일하게 구성된 에뮬레이터나 가상화 환경에서 직접 실행하고, 모바일 악성 의심코드가 실행된 후에 단말에 발생하는 모든 변화, 즉 행위 정보를 추출하고 기록한다. 행위 정보는 단말의 OS 환경에 따라 상이하나, 통상적으로 프로세스, 파일, 메모리 및 네트워크 정보를 포함할 수 있다.
The dynamic analyzer 122 performs dynamic analysis on the mobile malicious suspicious code to extract the malicious suspicious code action information. Specifically, the dynamic analyzer 122 directly executes the mobile malicious suspicious code in an emulator or a virtual environment configured the same as the mobile terminal or the mobile terminal environment, and detects all the changes occurring in the mobile terminal after the malicious suspicious code is executed, that is, Extract and record information. The action information is different depending on the OS environment of the terminal, but may typically include processes, files, memory, and network information.

도 4는 도 1에 도시된 탐지 모듈의 상세 구성도이다.4 is a detailed configuration diagram of the detection module shown in FIG.

도 4를 참조하면, 탐지 모듈(130)은 분석 모듈(120)에 의해 추출된 정적 분석정보(즉, 코드 정보)와 동적 분석정보(즉, 행위 정보)를 취합하고 판독하여 모바일 악성 의심코드의 악성 여부를 판별하여 악성코드를 탐지하고 그 결과를 저장하는 것으로, 분석 정보 판독부(131), 악성코드 판단부(132) 및 탐지결과 저장부(133)를 포함하여 구성될 수 있다. 4, the detection module 130 collects and analyzes static analysis information (i.e., code information) and dynamic analysis information (i.e., behavior information) extracted by the analysis module 120 to generate a mobile malicious suspicious code The malicious code detection unit 131, the malicious code determination unit 132, and the detection result storage unit 133. The malicious code detection unit 131 detects the malicious code,

분석 정보 판독부(131)는 분석 모듈(120)에 의해 추출된 정적 분석정보와 동적 분석정보를 판독한다.The analysis information reading unit 131 reads the static analysis information and the dynamic analysis information extracted by the analysis module 120.

악성코드 판단부(132)는 일단 정적 분석정보로부터 모바일 악성 의심코드가 알려진 악성코드인지 여부를 판단하고, 알려진 악성코드가 아닌 경우 동적 분석정보로부터 악성코드인지 여부를 판단한다. The malicious code determining unit 132 determines whether the mobile malicious suspicious code is a known malicious code from the static analysis information and determines whether the malicious code is a known malicious code or not from the dynamic analysis information.

탐지결과 저장부(133)는 악성코드 판단부(132)에 의해 모바일 악성 의심코드가 악성코드로 판별된 경우 탐지 결과를 데이터베이스(140)에 저장한다.
The detection result storage unit 133 stores the detection result in the database 140 when the malicious code determining unit 132 determines that the mobile malicious suspicious code is a malicious code.

도 5는 도 1에 도시된 탐지 모듈에 의해 모바일 악성 의심코드의 악성코드 여부를 탐지하는 과정의 흐름도이다.5 is a flowchart illustrating a process of detecting malicious code of a mobile malicious suspicious code by the detection module shown in FIG.

우선, 탐지 모듈(130)은 정적 분석정보를 판독하여(S51) 모바일 악성 의심코드가 알려진 악성코드인지 여부를 판단한다(S52). First, the detection module 130 reads the static analysis information (S51) and determines whether the mobile malicious suspicious code is a known malicious code (S52).

판단 결과, 모바일 악성 의심코드가 알려진 악성코드에 해당하는 경우 탐지 결과를 저장한다(S55). If the mobile malicious suspicious code corresponds to a known malicious code, the detection result is stored (S55).

반면, 알려진 악성코드에 해당하지 않는 경우에는 동적 분석정보를 판독하여(S53) 모바일 악성 의심코드가 악성코드인지 여부를 판단하고(S54) 악성코드로 판단될 경우 탐지 결과를 저장한다(S55).
On the other hand, if it is not a known malicious code, the dynamic analysis information is read (S53), and it is determined whether the mobile malicious suspicious code is a malicious code (S54).

본 발명은 전술한 실시예 및 첨부된 도면에 의해 한정되는 것이 아니다. 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어, 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 본 발명에 따른 구성요소를 치환, 변형 및 변경할 수 있다는 것이 명백할 것이다.The present invention is not limited to the above-described embodiments and the accompanying drawings. It will be apparent to those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims.

100: 모바일 악성코드 자동 수집 및 분석 시스템
110: 수집 모듈
111: 네트워크 트래픽 수집부
112: 악성 의심코드 추출부
113: 악성 의심코드 다운로드부
114: 악성 의심코드 정보 추출부
115: 저장부
120: 분석 모듈
121: 정적 분석기
122: 동적 분석기
130: 탐지 모듈
131: 분석 정보 판독부
132: 악성코드 판단부
133: 탐지결과 저장부
140: 데이터베이스100: Mobile malicious code automatic collection and analysis system
110: collection module
111: Network traffic collecting unit
112: malicious suspicious code extracting unit
113: malicious suspicious code download section
114: malicious suspicious code information extracting unit
115:
120: Analysis module
121: Static Analyzer
122: Dynamic Analyzer
130: Detection module
131: Analysis information reading section
132: Malicious Code Judgment Unit
133: Detection result storage unit
140: Database

Claims (10)

모바일 단말에 탑재되어 모바일 악성코드를 자동으로 탐지하는 모바일 악성코드 자동 수집 및 분석 시스템에 있어서,
네트워크 트래픽 분석을 통해 모바일 악성 의심코드를 수집하는 수집 모듈;
상기 수집 모듈에 의해 수집된 모바일 악성 의심코드로부터 코드 정보 및 행위 정보를 추출하는 분석 모듈; 및
상기 분석 모듈에 의해 추출된 코드 정보 및 행위 정보로부터 상기 모바일 악성 의심코드가 악성코드인지 여부를 판단하여 모바일 악성코드를 탐지하는 탐지 모듈을 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
A mobile malicious code automatic collection and analysis system mounted on a mobile terminal for automatically detecting mobile malicious code, the system comprising:
A collection module for collecting malicious suspicious codes through network traffic analysis;
An analysis module for extracting code information and behavior information from the mobile malicious suspicious code collected by the collection module; And
And a detection module for detecting a mobile malicious code by determining whether the mobile malicious suspicious code is a malicious code based on code information and action information extracted by the analysis module.
제 1 항에 있어서, 상기 수집 모듈은,
상기 모바일 악성코드 자동 수집 및 분석 시스템이 탑재된 하드웨어의 네트워크 인터페이스 장치로부터 네트워크 트래픽을 수집하는 네트워크 트래픽 수집부;
상기 네트워크 트래픽 수집부에 의해 수집된 네트워크 트래픽으로부터 모바일 악성 의심코드를 추출하여 저장하는 악성 의심코드 추출부;
상기 악성 의심코드 추출부에 의해 추출된 모바일 악성 의심코드로부터 모바일 악성 의심코드 정보를 추출하는 악성 의심코드 정보 추출부; 및
상기 악성 의심코드 정보 추출부에 의해 추출된 모바일 악성 의심코드 정보를 데이터베이스에 저장하는 저장부를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
The apparatus of claim 1,
A network traffic collecting unit for collecting network traffic from a network interface device of a hardware equipped with the mobile malicious code automatic collection and analysis system;
A malicious suspicious code extracting unit for extracting and storing a malicious suspicious code from the network traffic collected by the network traffic collecting unit;
A malicious suspicious code information extracting unit for extracting malicious suspicious code information from the malicious suspicious code extracted by the malicious suspicious code extracting unit; And
And a storage unit for storing the mobile malicious suspicious code information extracted by the malicious suspicious code information extracting unit in a database.
제 2 항에 있어서,
상기 악성 의심코드 추출부는 상기 수집된 네트워크 트래픽에 대해 패킷 재조합 기술을 적용하여 모바일 악성 의심코드를 추출하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
3. The method of claim 2,
Wherein the malicious suspicious code extracting unit extracts a mobile malicious code by applying a packet recombination technique to the collected network traffic.
제 2 항에 있어서,
상기 모바일 악성 의심코드 정보는 MD5(Message-Digest algorithm 5), SHA1 및 파일 크기 정보를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
3. The method of claim 2,
Wherein the mobile malicious suspicious code information includes message-digest algorithm (MD5), SHA1, and file size information.
제 2 항에 있어서, 상기 수집 모듈은,
상기 악성 의심코드 추출부에 의한 모바일 악성 의심코드 추출 실패시에 모바일 악성 의심코드 다운로드 URL에 직접 접속하여 모바일 악성 의심코드를 다운로드하는 악성 의심코드 다운로드부를 더 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
3. The apparatus of claim 2,
And a malicious suspicious code downloading unit for directly accessing the malicious suspicious code download URL and downloading the malicious suspicious code when the malicious suspicious code extracting unit fails to extract the malicious suspicious code by the malicious suspicious code extracting unit. And analysis system.
제 1 항에 있어서, 상기 분석 모듈은,
상기 모바일 악성 의심코드에 대한 정적 분석을 수행하여 상기 모바일 악성 의심코드의 코드 정보를 추출하는 정적 분석기; 및
상기 모바일 악성 의심코드에 대한 동적 분석을 수행하여 상기 모바일 악성 의심코드의 행위 정보를 추출하는 동적 분석기를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
The apparatus of claim 1,
A static analyzer for performing a static analysis on the mobile malicious suspicious code and extracting code information of the mobile malicious suspicious code; And
And a dynamic analyzer for performing dynamic analysis on the mobile malicious suspicious code and extracting behavior information of the mobile malicious suspicious code.
제 6 항에 있어서,
상기 코드 정보는 해시(Hash) 정보, 코드 크기 정보, 파일 헤더 정보, 코드 내에 포함된 식별 가능한 문자열 정보 및 동작 플랫폼 정보를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
The method according to claim 6,
Wherein the code information includes hash information, code size information, file header information, identifiable string information included in the code, and operating platform information.
제 6 항에 있어서,
상기 동적 분석기는 상기 모바일 악성 의심코드를 모바일 단말 또는 모바일 단말 환경과 동일하게 구성된 에뮬레이터나 가상화 환경에서 직접 실행하고, 상기 모바일 악성 의심코드가 실행된 후에 발생하는 모든 변화를 추출하여 기록하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
The method according to claim 6,
The dynamic analyzer directly executes the mobile malicious suspicious code in an emulator or a virtual environment configured in the same manner as the mobile terminal or the mobile terminal environment and extracts and records all the changes that occur after the execution of the mobile malicious suspicious code. Mobile malware automatic collection and analysis system.
제 6 항에 있어서,
상기 행위 정보는 프로세스, 파일, 메모리 및 네트워크 정보를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.
The method according to claim 6,
Wherein the action information comprises a process, a file, a memory, and network information.
제 1 항에 있어서, 상기 탐지 모듈은,
상기 분석 모듈에 의해 추출된 코드 정보 및 행위 정보를 판독하는 분석 정보 판독부;
상기 코드 정보로부터 상기 모바일 악성 의심코드가 알려진 악성코드인지 여부를 판단하고, 알려진 악성코드가 아닌 경우 상기 행위 정보로부터 상기 모바일 악성 의심코드가 악성코드인지 여부를 판단하는 악성코드 판단부; 및
상기 악성코드 판단부에 의해 상기 모바일 악성 의심코드가 악성코드로 판단된 경우 탐지 결과를 데이터베이스에 저장하는 탐지결과 저장부를 포함하는 것을 특징으로 하는 모바일 악성코드 자동 수집 및 분석 시스템.The apparatus of claim 1,
An analysis information reading unit for reading the code information and the behavior information extracted by the analysis module;
A malicious code determining unit for determining whether the mobile malicious suspicious code is a known malicious code from the code information and determining whether the mobile malicious suspicious code is a malicious code from the behavior information if the malicious code is not a known malicious code; And
And a detection result storage unit for storing the detection result in a database when the malicious code determination unit determines that the malicious code is a malicious code.
KR1020110067105A 2011-07-07 2011-07-07 System for collecting and analyzing mobile malware automatically Active KR101270497B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110067105A KR101270497B1 (en) 2011-07-07 2011-07-07 System for collecting and analyzing mobile malware automatically

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110067105A KR101270497B1 (en) 2011-07-07 2011-07-07 System for collecting and analyzing mobile malware automatically

Publications (2)

Publication Number Publication Date
KR20130005609A true KR20130005609A (en) 2013-01-16
KR101270497B1 KR101270497B1 (en) 2013-06-04

Family

ID=47836849

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110067105A Active KR101270497B1 (en) 2011-07-07 2011-07-07 System for collecting and analyzing mobile malware automatically

Country Status (1)

Country Link
KR (1) KR101270497B1 (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20150059882A (en) * 2013-11-25 2015-06-03 주식회사 케이티 System and method for analyzing malicious application of smart-phone and service system and service method for blocking malicious application of smart-phone
KR101530531B1 (en) * 2013-07-01 2015-06-22 주식회사 잉카인터넷 Malicious Module Handling System and Method
CN110868421A (en) * 2019-11-19 2020-03-06 泰康保险集团股份有限公司 Malicious code identification method, device, equipment and storage medium
CN112434297A (en) * 2020-12-29 2021-03-02 成都立鑫新技术科技有限公司 Method for detecting mobile phone security in public place

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101043299B1 (en) * 2009-07-21 2011-06-22 (주) 세인트 시큐리티 METHOD, SYSTEM AND COMPUTER READABLE STORAGE MEDIUM

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101530531B1 (en) * 2013-07-01 2015-06-22 주식회사 잉카인터넷 Malicious Module Handling System and Method
KR20150059882A (en) * 2013-11-25 2015-06-03 주식회사 케이티 System and method for analyzing malicious application of smart-phone and service system and service method for blocking malicious application of smart-phone
CN110868421A (en) * 2019-11-19 2020-03-06 泰康保险集团股份有限公司 Malicious code identification method, device, equipment and storage medium
CN112434297A (en) * 2020-12-29 2021-03-02 成都立鑫新技术科技有限公司 Method for detecting mobile phone security in public place
CN112434297B (en) * 2020-12-29 2024-02-20 成都立鑫新技术科技有限公司 Method for detecting safety of mobile phone in public place

Also Published As

Publication number Publication date
KR101270497B1 (en) 2013-06-04

Similar Documents

Publication Publication Date Title
US9537897B2 (en) Method and apparatus for providing analysis service based on behavior in mobile network environment
KR101295644B1 (en) System and method for verifying smart phone application
KR100938672B1 (en) Apparatus and method for detecting dynamic link library inserted by malicious code
KR20150044490A (en) A detecting device for android malignant application and a detecting method therefor
KR101043299B1 (en) METHOD, SYSTEM AND COMPUTER READABLE STORAGE MEDIUM
CN103927485A (en) Android application program risk assessment method based on dynamic monitoring
WO2013139215A1 (en) Method and device for identifying virus apk
Eder et al. Ananas-a framework for analyzing android applications
CN104715196A (en) Static analysis method and system of smart phone application program
KR101628837B1 (en) Malicious application or website detecting method and system
JP6711000B2 (en) Information processing apparatus, virus detection method, and program
US20110219454A1 (en) Methods of identifying activex control distribution site, detecting security vulnerability in activex control and immunizing the same
CN106156611A (en) The dynamic analysing method of smart mobile phone application program and system
CN103746992A (en) Reverse-based intrusion detection system and reverse-based intrusion detection method
CN105095759A (en) File detection method and device
CN103793649A (en) Method and device for cloud-based safety scanning of files
CN103902900A (en) External extraction type detecting device and method for mobile terminal malicious code
KR101270497B1 (en) System for collecting and analyzing mobile malware automatically
Seo et al. Analysis on maliciousness for mobile applications
CN105320886A (en) Method for detecting malware in mobile terminal and mobile terminal
Dai et al. DroidLogger: Reveal suspicious behavior of Android applications via instrumentation
JP6169497B2 (en) Connection destination information determination device, connection destination information determination method, and program
CN110502900A (en) A detection method, terminal, server and computer storage medium
KR101725399B1 (en) Apparatus and method for detection and execution prevention for malicious script based on host level
CN116821904A (en) Mobile malicious program monitoring system based on big data

Legal Events

Date Code Title Description
A201 Request for examination
PA0109 Patent application

Patent event code: PA01091R01D

Comment text: Patent Application

Patent event date: 20110707

PA0201 Request for examination
E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

Comment text: Notification of reason for refusal

Patent event date: 20121128

Patent event code: PE09021S01D

PG1501 Laying open of application
E701 Decision to grant or registration of patent right
PE0701 Decision of registration

Patent event code: PE07011S01D

Comment text: Decision to Grant Registration

Patent event date: 20130508

GRNT Written decision to grant
PR0701 Registration of establishment

Comment text: Registration of Establishment

Patent event date: 20130528

Patent event code: PR07011E01D

PR1002 Payment of registration fee

Payment date: 20130529

End annual number: 3

Start annual number: 1

PG1601 Publication of registration
FPAY Annual fee payment

Payment date: 20160527

Year of fee payment: 4

PR1001 Payment of annual fee

Payment date: 20160527

Start annual number: 4

End annual number: 4

FPAY Annual fee payment

Payment date: 20170316

Year of fee payment: 5

PR1001 Payment of annual fee

Payment date: 20170316

Start annual number: 5

End annual number: 5

FPAY Annual fee payment

Payment date: 20190425

Year of fee payment: 7

PR1001 Payment of annual fee

Payment date: 20190425

Start annual number: 7

End annual number: 7

PR1001 Payment of annual fee

Payment date: 20200325

Start annual number: 8

End annual number: 8

PR1001 Payment of annual fee

Payment date: 20210325

Start annual number: 9

End annual number: 9

PR1001 Payment of annual fee

Payment date: 20220315

Start annual number: 10

End annual number: 10

PR1001 Payment of annual fee

Payment date: 20230315

Start annual number: 11

End annual number: 11

PR1001 Payment of annual fee

Payment date: 20240315

Start annual number: 12

End annual number: 12