Nothing Special   »   [go: up one dir, main page]

WO2024210724A1 - System for detecting malicious mobile application - Google Patents

System for detecting malicious mobile application Download PDF

Info

Publication number
WO2024210724A1
WO2024210724A1 PCT/KR2024/095664 KR2024095664W WO2024210724A1 WO 2024210724 A1 WO2024210724 A1 WO 2024210724A1 KR 2024095664 W KR2024095664 W KR 2024095664W WO 2024210724 A1 WO2024210724 A1 WO 2024210724A1
Authority
WO
WIPO (PCT)
Prior art keywords
mobile terminal
malicious
status information
app
mobile
Prior art date
Application number
PCT/KR2024/095664
Other languages
French (fr)
Korean (ko)
Inventor
최대룡
손성준
Original Assignee
(주)Yh데이타베이스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from KR1020230045906A external-priority patent/KR20240150669A/en
Application filed by (주)Yh데이타베이스 filed Critical (주)Yh데이타베이스
Publication of WO2024210724A1 publication Critical patent/WO2024210724A1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/51Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W24/00Supervisory, monitoring or testing arrangements

Definitions

  • the present invention relates to anomaly detection technology, and more particularly to anomaly detection technology targeting mobile terminals.
  • Korean Patent Publication No. 10-1657667 discloses a malicious app classification device and a malicious app classification method.
  • the device and method detect and classify mobile malicious apps by applying a behavior-based profiling technique, generate a behavior profile that can identify one or more malicious operations of the app from data based on analysis of the app, and detect and classify malicious apps based on the behavior patterns of the app analyzed from the behavior profile.
  • the purpose of the present invention is to provide a technical solution that can detect whether an app installed on a mobile terminal is a malicious app or not without analyzing the behavioral pattern of the app.
  • a malicious mobile app detection system may include an abnormality detection unit that detects whether a mobile terminal is abnormal based on status information of the mobile terminal, and a malicious app determination unit that determines an application newly installed on the mobile terminal as a malicious application when an abnormality in the mobile terminal is detected.
  • Status information may include at least some of the following items: CPU usage, memory usage, battery usage, text message sent, phone call made, number of program execution errors, and data traffic usage.
  • the anomaly detection unit compares all items belonging to the recent status information of the mobile terminal with the average of corresponding items of the status information for a predetermined period in the past, and if the CPU usage rate, memory usage rate, and battery usage rate are higher than a predetermined first standard, and if at least one of the number of text messages sent, the number of phone calls made, the number of program execution errors, and the data traffic usage rate exceeds a second standard, it can detect that it is an abnormal pattern.
  • a method for detecting malicious mobile apps may include a step in which a malicious detection module running on a mobile terminal periodically transmits status information of the mobile terminal to a management server, a step in which the management server detects whether there is an abnormality in the mobile terminal based on the status information of the mobile terminal received from the malicious detection module and the status information of the mobile terminal for a predetermined period of time in the past, and a step in which, when an abnormality in the mobile terminal is detected, the malicious detection module checks for an application newly installed on the mobile terminal and determines the checked application as a malicious application.
  • the present invention creates an effect that enables detection of malicious apps installed on a mobile terminal based on status information of the mobile terminal.
  • FIG. 1 is a block diagram of a malicious mobile app detection system according to one embodiment.
  • Figure 2 is a block diagram showing a malicious mobile app detection flow according to one embodiment.
  • FIG. 1 is a block diagram of a malicious mobile app detection system according to one embodiment.
  • Status information of a mobile terminal is stored and managed in a status storage unit (100).
  • the mobile terminal may be, for example, a smartphone.
  • the status information of the mobile terminal may be information on the usage status of hardware resources and the usage status of software resources belonging to the mobile terminal.
  • the information providing unit (200), the information managing unit (300), the abnormality detecting unit (400), and the malicious app determining unit (500) are all functional components that can be implemented as program codes and can be executed by one or more processors to perform their roles.
  • the information providing unit (200) and the malicious app determining unit (500) may be configured in the mobile terminal (10), and the rest may be configured in the management server (20).
  • the malicious mobile app detection system may be implemented entirely in the mobile terminal (10). And at this time, as in Fig. 1, provision of status information from the mobile terminal (10) to the management server (20) is not required, so the information provision unit (200) is omitted.
  • the information providing unit (200) provides, i.e. transmits, status information of the mobile terminal (10) to the management server (20).
  • the information providing unit (200) periodically transmits status information to the management server (20), for example, transmits status information every hour.
  • the status information transmitted at this time includes at least some items among CPU usage rate, memory usage rate, battery usage rate, text message sent volume, phone call outgoing volume, number of program execution errors, and data traffic usage rate.
  • memory may only mean RAM (Random Access Memory).
  • the information management unit (300) stores the status information provided from the information providing unit (200) by item in the status storage unit (100). Therefore, past status information of the mobile terminal (10) is accumulated and managed in the status storage unit (100).
  • the abnormality detection unit (400) detects whether the mobile terminal (10) is abnormal based on the status information.
  • the abnormality detection unit (400) according to one aspect detects whether the status of the mobile terminal (10) shows a normal pattern or an abnormal pattern by comparing the status information provided from the information provision unit (200) with the status information stored in the status storage unit (100).
  • the items of the status information used for detecting the abnormal pattern include CPU usage rate, memory usage rate, and battery usage rate, and at least some of the number of text messages sent, the number of phone calls made, the number of program execution errors, and the data traffic usage rate may be further included.
  • the abnormality detection unit (400) compares each item of the status information (A) provided from the information provision unit (200) with the average of the corresponding items of the status information (B) stored in the status storage unit (100) for a predetermined period of time in the past. At this time, the predetermined period of time in the past can be set as one day or one month, etc.
  • the abnormality detection unit (400) detects that the status pattern of the mobile terminal (10) is an abnormal pattern if the CPU usage rate, memory usage rate, and battery usage rate of the status information (A) all surge to a first reference value or higher (for example, N% or higher compared to the average value of the corresponding item), and the text message transmission volume, phone call transmission volume, number of program execution errors, or data traffic usage rate is a second reference value or higher (for example, M% or higher compared to the average value of the corresponding item).
  • N and M are natural numbers, and N can be appropriately set to 60, M to 300, and the like.
  • the malicious app determination unit (500) determines that the application (app) recently installed on the mobile terminal (10) is a malicious application (malicious app). In other words, the newly installed app at the time when the abnormal pattern is displayed is determined to be a malicious app. More specifically, the malicious app determination unit (500) can determine an app installed within a predetermined time period from the time when the abnormal pattern is displayed as a malicious app.
  • the malicious mobile app detection system detects malicious apps by determining whether malicious apps are installed on a mobile terminal (10).
  • Typical symptoms of malicious app installation include: 1) the smartphone operating on its own; 2) the battery draining faster than usual; 3) text messages sent and phone calls made that were never sent; 4) smartphone operation errors and file damage. By considering these symptoms, the system determines signs of malicious app installation and detects malicious apps.
  • FIG. 2 is a block diagram showing a malicious mobile app detection flow according to one embodiment.
  • the malicious detection module (11) of the mobile terminal (10) may be configured to include the above-described information providing unit (200) and malicious app determining unit (500), and may be a mobile application (malicious detection app) that can be downloaded from an app store.
  • the malicious detection module (11) periodically collects status information of the mobile terminal (10) and transmits it to the management server (20) (1). As shown in FIG. 2, the mobile terminal (10) may transmit status information to the management server (20) every hour.
  • the status information includes at least some of CPU usage, memory usage, battery usage, text message transmission volume, phone call transmission volume, number of program execution errors, and data traffic usage.
  • the management server (20) receives status information from the mobile terminal (10) and stores the received status information in the status storage unit (100) by item (2). That is, the management server (20) periodically collects, stores, and manages the status information of the mobile terminal (10). In addition, the management server (20) detects whether there is an abnormal pattern in the mobile terminal (10) based on the status information of the mobile terminal (10). This will be described in detail.
  • the management server (20) compares the received status information with the status information for a predetermined period of time (such as one day or one month) stored in the status storage unit (100) by item, and compares the value of each received item with the average value of each item for a predetermined period of time in the past to determine whether it is greater or lesser (3). If any one received item is greater than the average of the items, the management server (20) performs step 4.
  • the management server (20) detects whether the mobile terminal (10) has an abnormal pattern by checking whether the CPU usage rate, the memory usage rate, and the battery usage rate are each equal to or greater than a preset first criterion, and whether the number of text messages sent, the number of phone calls made, the number of program execution errors, or the number of data traffic usage rates are equal to or greater than a preset second criterion (4).
  • the CPU usage rate, the memory usage rate, and the battery usage rate surge by 60% or more compared to the previous usage, and the number of text messages or phone calls sent is greater than the previous criterion
  • the number of program execution errors is greater than the previous criterion
  • the number of data traffic usage rates is greater than the previous criterion
  • at least one of the first criterion and the second criterion may be set identically regardless of the item, or may be set differently for each item.
  • the management server (20) transmits the result of whether or not an abnormal pattern is detected in the mobile terminal (10) to the mobile terminal (10) after step 3 or step 4 (5). If all the received items are not greater than the average value in step 3, the result of notifying the non-detection of the abnormal pattern is transmitted to the mobile terminal (10), and if step 4 is performed, the result of notifying the detection or non-detection of the abnormal pattern is transmitted to the mobile terminal (10) according to the check result. Accordingly, the malicious detection module (11) of the mobile terminal (10) receives the detection result from the management server (20) (6).
  • the malicious detection module (11) checks the app history recently installed on the mobile terminal (10) when an abnormal pattern is detected through the received detection results and determines the confirmed recently installed app as a malicious app (7 & 8). As illustrated in Fig. 2, the malicious detection module (11) checks the app installation history by querying the app installation list through the operating system (e.g., Android system) of the mobile terminal (10) and determines an app installed at a time when an abnormal pattern is shown as a malicious app. Furthermore, the malicious detection module (11) outputs the malicious app determination result. For example, the malicious detection module (11) outputs information on an app determined to be a malicious app on the screen so that the user can check it and take action accordingly.
  • the malicious detection module (11) outputs information on an app determined to be a malicious app on the screen so that the user can check it and take action accordingly.

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Quality & Reliability (AREA)
  • Telephone Function (AREA)

Abstract

Disclosed is a system for detecting a malicious mobile application. The system comprises: an abnormality detection unit for detecting whether a mobile terminal is abnormal on the basis of status information about the mobile terminal; and a malicious application determination unit for determining that an application newly installed on the mobile terminal is a malicious application when an abnormality in the mobile terminal is detected.

Description

악성 모바일 앱 탐지 시스템Malicious Mobile App Detection System
본 발명은 이상 탐지 기술에 관한 것으로, 특히 모바일 단말을 대상으로 하는 이상 탐지 기술에 관한 것이다.The present invention relates to anomaly detection technology, and more particularly to anomaly detection technology targeting mobile terminals.
대한민국 등록특허공보 제10-1657667호에는 악성 앱 분류 장치 및 악성 앱 분류 방법에 대해 개시되어 있다. 이 장치 및 방법은 행위 기반의 프로파일링 기법을 적용하여 모바일 악성 앱을 탐지하고 분류하는 것으로, 앱의 분석에 기초한 데이터로부터 앱의 하나 이상의 악성 행위(operation)를 식별할 수 있는 행위 프로파일을 생성하며, 행위 프로파일로부터 분석되는 앱의 행위 패턴에 따라 악성 앱을 탐지하여 분류한다.Korean Patent Publication No. 10-1657667 discloses a malicious app classification device and a malicious app classification method. The device and method detect and classify mobile malicious apps by applying a behavior-based profiling technique, generate a behavior profile that can identify one or more malicious operations of the app from data based on analysis of the app, and detect and classify malicious apps based on the behavior patterns of the app analyzed from the behavior profile.
본 발명은 앱의 행위 패턴을 분석하지 않고도 모바일 단말에 설치된 앱이 악성 앱인지 아닌지를 탐지할 수 있게 하는 기술적 방안을 제공함을 목적으로 한다.The purpose of the present invention is to provide a technical solution that can detect whether an app installed on a mobile terminal is a malicious app or not without analyzing the behavioral pattern of the app.
일 양상에 따른 악성 모바일 앱 탐지 시스템은 모바일 단말의 상태 정보에 기반하여 모바일 단말의 이상 여부를 감지하는 이상 감지부, 및 모바일 단말의 이상이 감지되면 모바일 단말에 신규 설치된 애플리케이션을 악성 애플리케이션으로 판단하는 악성앱 판단부를 포함할 수 있다.A malicious mobile app detection system according to an aspect of the invention may include an abnormality detection unit that detects whether a mobile terminal is abnormal based on status information of the mobile terminal, and a malicious app determination unit that determines an application newly installed on the mobile terminal as a malicious application when an abnormality in the mobile terminal is detected.
상태 정보는 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 적어도 일부 항목을 포함할 수 있다.Status information may include at least some of the following items: CPU usage, memory usage, battery usage, text message sent, phone call made, number of program execution errors, and data traffic usage.
이상 감지부는 모바일 단말의 최근 상태 정보에 속하는 모든 항목들을 각각 과거 소정 기간 동안의 상태 정보의 해당 항목 평균과 비교하여 높을 경우 CPU 사용률과 메모리 사용률 및 배터리 사용량이 소정의 제 1 기준치를 초과하며 문자 발송량과 전화 발신량과 프로그램 실행 오류 건수 및 데이터 트래픽 사용량 중에서 적어도 하나가 제 2 기준치를 초과하면 이상 패턴인 것으로 감지할 수 있다.The anomaly detection unit compares all items belonging to the recent status information of the mobile terminal with the average of corresponding items of the status information for a predetermined period in the past, and if the CPU usage rate, memory usage rate, and battery usage rate are higher than a predetermined first standard, and if at least one of the number of text messages sent, the number of phone calls made, the number of program execution errors, and the data traffic usage rate exceeds a second standard, it can detect that it is an abnormal pattern.
한편, 일 양상에 따른 악성 모바일 앱 탐지 방법은 모바일 단말에서 실행되는 악성 탐지 모듈이 주기적으로 모바일 단말의 상태 정보를 관리 서버로 전송하는 단계, 관리 서버가 악성 탐지 모듈로부터 수신된 모바일 단말의 상태 정보와 과거 소정 기간 동안의 모바일 단말의 상태 정보에 기반하여 모바일 단말의 이상 여부를 감지하는 단계, 및 모바일 단말의 이상이 감지되면 악성 탐지 모듈이 모바일 단말에 신규 설치된 애플리케이션을 확인하며 그 확인된 애플리케이션을 악성 애플리케이션으로 판단하는 단계를 포함할 수 있다.Meanwhile, a method for detecting malicious mobile apps according to an aspect of the present invention may include a step in which a malicious detection module running on a mobile terminal periodically transmits status information of the mobile terminal to a management server, a step in which the management server detects whether there is an abnormality in the mobile terminal based on the status information of the mobile terminal received from the malicious detection module and the status information of the mobile terminal for a predetermined period of time in the past, and a step in which, when an abnormality in the mobile terminal is detected, the malicious detection module checks for an application newly installed on the mobile terminal and determines the checked application as a malicious application.
본 발명은 모바일 단말의 상태 정보에 기반해 모바일 단말에 설치된 악성 앱을 탐지할 수 있게 하는 효과를 창출한다.The present invention creates an effect that enables detection of malicious apps installed on a mobile terminal based on status information of the mobile terminal.
도 1은 일 실시예에 따른 악성 모바일 앱 탐지 시스템 블록도이다.FIG. 1 is a block diagram of a malicious mobile app detection system according to one embodiment.
도 2는 일 실시예에 따른 악성 모바일 앱 탐지 흐름을 나타낸 블록도이다.Figure 2 is a block diagram showing a malicious mobile app detection flow according to one embodiment.
전술한, 그리고 추가적인 본 발명의 양상들은 첨부된 도면을 참조하여 설명되는 바람직한 실시예들을 통하여 더욱 명백해질 것이다. 이하에서는 본 발명을 이러한 실시예를 통해 통상의 기술자가 용이하게 이해하고 재현할 수 있도록 상세히 설명하기로 한다.The above-described and additional aspects of the present invention will become more apparent through the preferred embodiments described with reference to the attached drawings. Hereinafter, the present invention will be described in detail through these embodiments so that those skilled in the art can easily understand and reproduce the present invention.
도 1은 일 실시예에 따른 악성 모바일 앱 탐지 시스템 블록도이다. 상태 저장부(100)에는 모바일 단말의 상태 정보가 저장되어 관리된다. 여기서 모바일 단말은 스마트폰을 예로 들 수 있다. 그리고 모바일 단말의 상태 정보는 모바일 단말에 속한 하드웨어 자원의 사용 상태 및 소프트웨어 자원의 사용 상태에 대한 정보일 수 있다. 정보 제공부(200)와 정보 관리부(300)와 이상 감지부(400) 및 악성앱 판단부(500)는 모두 프로그램 코드로 구현 가능한 기능적 구성들로서, 하나 이상의 프로세서에 의해 실행되어 해당 역할을 수행할 수 있다. 도 1에 도시된 바와 같이, 정보 제공부(200)와 악성앱 판단부(500)는 모바일 단말(10)에 구성되고 나머지는 관리 서버(20)에 구성될 수 있다. 아니면 도 1에 도시된 바와 달리, 악성 모바일 앱 탐지 시스템은 모바일 단말(10)에 모두 구현될 수도 있다. 그리고 이때는 당연히 도 1에서와 같이 모바일 단말(10)로부터 관리 서버(20)로의 상태 정보 제공은 요구되지 않으므로 정보 제공부(200)는 생략된다.FIG. 1 is a block diagram of a malicious mobile app detection system according to one embodiment. Status information of a mobile terminal is stored and managed in a status storage unit (100). Here, the mobile terminal may be, for example, a smartphone. And the status information of the mobile terminal may be information on the usage status of hardware resources and the usage status of software resources belonging to the mobile terminal. The information providing unit (200), the information managing unit (300), the abnormality detecting unit (400), and the malicious app determining unit (500) are all functional components that can be implemented as program codes and can be executed by one or more processors to perform their roles. As illustrated in FIG. 1, the information providing unit (200) and the malicious app determining unit (500) may be configured in the mobile terminal (10), and the rest may be configured in the management server (20). Alternatively, unlike illustrated in FIG. 1, the malicious mobile app detection system may be implemented entirely in the mobile terminal (10). And at this time, as in Fig. 1, provision of status information from the mobile terminal (10) to the management server (20) is not required, so the information provision unit (200) is omitted.
정보 제공부(200)는 모바일 단말(10)의 상태 정보를 관리 서버(20)로 제공, 즉 전송한다. 정보 제공부(200)는 주기적으로 상태 정보를 관리 서버(20)로 전송하는데, 예를 들어 1시간 단위로 상태 정보를 전송한다. 이때 전송되는 상태 정보에는 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 적어도 일부 항목이 포함된다. 여기서 메모리는 RAM(Random Access Memory)만을 의미할 수 있다. 정보 관리부(300)는 정보 제공부(200)로부터 제공된 상태 정보를 항목별로 상태 저장부(100)에 저장한다. 따라서, 상태 저장부(100)에는 모바일 단말(10)의 과거 상태 정보가 누적되어 관리된다.The information providing unit (200) provides, i.e. transmits, status information of the mobile terminal (10) to the management server (20). The information providing unit (200) periodically transmits status information to the management server (20), for example, transmits status information every hour. The status information transmitted at this time includes at least some items among CPU usage rate, memory usage rate, battery usage rate, text message sent volume, phone call outgoing volume, number of program execution errors, and data traffic usage rate. Here, memory may only mean RAM (Random Access Memory). The information management unit (300) stores the status information provided from the information providing unit (200) by item in the status storage unit (100). Therefore, past status information of the mobile terminal (10) is accumulated and managed in the status storage unit (100).
이상 감지부(400)는 상태 정보에 기반해 모바일 단말(10)의 이상 여부를 감지한다. 일 양상에 따른 이상 감지부(400)는 정보 제공부(200)로부터 상태 정보가 제공되면 상태 저장부(100)에 저장된 상태 정보와 비교하여 모바일 단말(10)의 상태가 정상 패턴을 보이는지 아니면 이상 패턴을 보이는지를 감지한다. 이때, 이상 패턴 감지를 위해 이용되는 상태 정보의 항목들에는 CPU 사용률과 메모리 사용률 및 배터리 사용량이 포함되며, 문자 발송량과 전화 발신량과 프로그램 실행 오류 건수 및 데이터 트래픽 사용량 중에서 적어도 일부가 더 포함될 수 있다.The abnormality detection unit (400) detects whether the mobile terminal (10) is abnormal based on the status information. The abnormality detection unit (400) according to one aspect detects whether the status of the mobile terminal (10) shows a normal pattern or an abnormal pattern by comparing the status information provided from the information provision unit (200) with the status information stored in the status storage unit (100). At this time, the items of the status information used for detecting the abnormal pattern include CPU usage rate, memory usage rate, and battery usage rate, and at least some of the number of text messages sent, the number of phone calls made, the number of program execution errors, and the data traffic usage rate may be further included.
이상 감지부(400)에 대한 구체 실시예를 설명한다. 우선, 이상 감지부(400)는 정보 제공부(200)로부터 제공된 상태 정보(A)의 각각의 항목을 상태 저장부(100)에 저장된 상태 정보(B)의 과거 소정 기간 동안의 해당 항목 평균과 비교한다. 이때, 과거 소정 기간은 하루 또는 한 달 등으로 정해질 수 있다. 비교 결과 상태 정보(A)의 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 어느 하나가 해당 항목 평균값보다 높은 것으로 확인되면, 이상 감지부(400)는 상태 정보(A)의 CPU 사용률과 메모리 사용률 및 배터리 사용량이 모두 제 1 기준치 이상(예를 들어, 해당 항목 평균 대비 N% 이상)으로 급등하고, 문자 발송량 또는 전화 발신량 또는 프로그램 실행 오류 건수 또는 데이터 트래픽 사용량이 제 2 기준치 이상(예를 들어, 해당 항목 평균 대비 M% 이상)이면 모바일 단말(10)의 상태 패턴이 이상 패턴인 것으로 감지한다. 여기서, N과 M은 자연수로서 N은 60, M은 300 등과 같이 적절히 정해질 수 있다.A specific embodiment of the abnormality detection unit (400) is described. First, the abnormality detection unit (400) compares each item of the status information (A) provided from the information provision unit (200) with the average of the corresponding items of the status information (B) stored in the status storage unit (100) for a predetermined period of time in the past. At this time, the predetermined period of time in the past can be set as one day or one month, etc. If it is confirmed that any one of the CPU usage rate, memory usage rate, battery usage rate, text message transmission volume, phone call transmission volume, number of program execution errors, and data traffic usage rate of the status information (A) as a result of the comparison is higher than the average value of the corresponding item, the abnormality detection unit (400) detects that the status pattern of the mobile terminal (10) is an abnormal pattern if the CPU usage rate, memory usage rate, and battery usage rate of the status information (A) all surge to a first reference value or higher (for example, N% or higher compared to the average value of the corresponding item), and the text message transmission volume, phone call transmission volume, number of program execution errors, or data traffic usage rate is a second reference value or higher (for example, M% or higher compared to the average value of the corresponding item). Here, N and M are natural numbers, and N can be appropriately set to 60, M to 300, and the like.
이상 패턴이 감지되면, 악성앱 판단부(500)는 모바일 단말(10)에 최근 설치된 애플리케이션(앱)이 악성 애플리케이션(악성앱)인 것으로 판단한다. 즉, 이상 패턴을 보이는 시기에 신규 설치된 앱을 악성앱으로 판단하는 것이다. 보다 구체적으로, 악성앱 판단부(500)는 이상 패턴을 보이는 시점으로부터 과거 소정 시간 이내에 설치된 앱을 악성앱으로 판단할 수 있다.When an abnormal pattern is detected, the malicious app determination unit (500) determines that the application (app) recently installed on the mobile terminal (10) is a malicious application (malicious app). In other words, the newly installed app at the time when the abnormal pattern is displayed is determined to be a malicious app. More specifically, the malicious app determination unit (500) can determine an app installed within a predetermined time period from the time when the abnormal pattern is displayed as a malicious app.
이상에서와 같이, 악성 모바일 앱 탐지 시스템은 모바일 단말(10)에 악성앱이 설치되었는지 그 징후를 판단해 악성앱을 탐지한다. 악성앱 설치의 대표적인 증상에는 ⑴ 스마트폰이 스스로 작동 ⑵ 평소와 따르게 빨리 닳는 배터리 ⑶ 발송한 적 없는 문자 발송과 전화 발신 ⑷ 스마트폰의 작동 오류와 파일 손상이 있는데, 이러한 증상을 고려해 악성앱 설치 징후를 판단하여 악성앱을 탐지하는 것이다.As described above, the malicious mobile app detection system detects malicious apps by determining whether malicious apps are installed on a mobile terminal (10). Typical symptoms of malicious app installation include: 1) the smartphone operating on its own; 2) the battery draining faster than usual; 3) text messages sent and phone calls made that were never sent; 4) smartphone operation errors and file damage. By considering these symptoms, the system determines signs of malicious app installation and detects malicious apps.
도 2는 일 실시예에 따른 악성 모바일 앱 탐지 흐름을 나타낸 블록도이다. 모바일 단말(10)의 악성 탐지 모듈(11)은 상술한 정보 제공부(200)와 악성앱 판단부(500)를 포함하여 구성될 수 있는 것으로, 앱스토어로부터 다운로드 가능한 모바일 애플리케이션(악성 탐지 앱)일 수 있다. 이 같은 악성 탐지 모듈(11)은 모바일 단말(10)의 주기적으로 상태 정보를 수집하여 관리 서버(20)로 전송한다(①). 도 2에 도시된 바와 같이, 모바일 단말(10)은 1시간 단위로 상태 정보를 관리 서버(20)로 전송할 수 있다. 그리고 상태 정보에는 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 적어도 일부가 포함된다.FIG. 2 is a block diagram showing a malicious mobile app detection flow according to one embodiment. The malicious detection module (11) of the mobile terminal (10) may be configured to include the above-described information providing unit (200) and malicious app determining unit (500), and may be a mobile application (malicious detection app) that can be downloaded from an app store. The malicious detection module (11) periodically collects status information of the mobile terminal (10) and transmits it to the management server (20) (①). As shown in FIG. 2, the mobile terminal (10) may transmit status information to the management server (20) every hour. In addition, the status information includes at least some of CPU usage, memory usage, battery usage, text message transmission volume, phone call transmission volume, number of program execution errors, and data traffic usage.
관리 서버(20)는 모바일 단말(10)로부터 상태 정보를 수신하며, 수신된 상태 정보를 항목별로 상태 저장부(100)에 저장한다(②). 즉, 관리 서버(20)는 주기적으로 모바일 단말(10)의 상태 정보를 수집하여 저장 관리하는 것이다. 그리고 관리 서버(20)는 모바일 단말(10)의 상태 정보에 기반해 모바일 단말(10)의 이상 패턴 여부를 감지한다. 이에 대해 구체적으로 설명한다. 관리 서버(20)는 수신된 상태 정보와 상태 저장부(100)에 저장된 과거 소정 기간(하루 또는 한달 등) 동안의 상태 정보를 항목별로 비교하는데, 수신 항목별 값과 과거 소정 기간 동안의 항목별 평균값을 비교하여 큰지 아닌지 확인한다(③). 어느 하나의 수신 항목이라도 그 항목의 평균보다 클 경우, 관리 서버(20)는 단계 ④를 수행한다.The management server (20) receives status information from the mobile terminal (10) and stores the received status information in the status storage unit (100) by item (②). That is, the management server (20) periodically collects, stores, and manages the status information of the mobile terminal (10). In addition, the management server (20) detects whether there is an abnormal pattern in the mobile terminal (10) based on the status information of the mobile terminal (10). This will be described in detail. The management server (20) compares the received status information with the status information for a predetermined period of time (such as one day or one month) stored in the status storage unit (100) by item, and compares the value of each received item with the average value of each item for a predetermined period of time in the past to determine whether it is greater or lesser (③). If any one received item is greater than the average of the items, the management server (20) performs step ④.
일 실시예에 있어서, 관리 서버(20)는 CPU 사용률과 메모리 사용률 및 배터리 사용량이 각각 미리 설정된 제 1 기준치 이상이면서 문자 발송량 또는 전화 발신량 또는 프로그램 실행 오류 건수 또는 데이터 트래픽 사용량이 미리 설정된 제 2 기준치 이상인지 여부를 체크하여 모바일 단말(10)의 이상 패턴 여부를 감지한다(④). 예를 들어, CPU 사용률과 메모리 사용률 및 배터리 사용량이 기존 사용대비 60% 이상 급등하고 문자나 전화 발송량이 기존 발송량보다 많거나 프로그램 실행 오류 건수가 기존 오류 건수보다 많거나 데이터 트래픽 사용량이 기존 사용량보다 많으면 이상 패턴인 것으로 판단하며, 그렇지 않으면 정상 패턴인 것으로 판단하는 것이다. 참고로, 제 1 기준치와 제 2 기준치 중 적어도 하나는 항목과 무관하게 동일하게 설정될 수도 있고 항목별로 상이하게 설정될 수도 있다.In one embodiment, the management server (20) detects whether the mobile terminal (10) has an abnormal pattern by checking whether the CPU usage rate, the memory usage rate, and the battery usage rate are each equal to or greater than a preset first criterion, and whether the number of text messages sent, the number of phone calls made, the number of program execution errors, or the number of data traffic usage rates are equal to or greater than a preset second criterion (④). For example, if the CPU usage rate, the memory usage rate, and the battery usage rate surge by 60% or more compared to the previous usage, and the number of text messages or phone calls sent is greater than the previous criterion, the number of program execution errors is greater than the previous criterion, or the number of data traffic usage rates is greater than the previous criterion, it is determined to be an abnormal pattern, and otherwise it is determined to be a normal pattern. For reference, at least one of the first criterion and the second criterion may be set identically regardless of the item, or may be set differently for each item.
관리 서버(20)는 단계 ③ 또는 단계 ④ 이후에 모바일 단말(10)의 이상 패턴 감지 여부에 대한 결과를 모바일 단말(10)로 전송한다(⑤). 단계 ③에서 모든 수신 항목들이 평균값보다 크지 않으면 이상 패턴 미감지를 알리는 결과를 모바일 단말(10)로 전송하며, 단계 ④가 수행된 경우에는 그 체크 결과에 따라 이상 패턴 감지 또는 미감지를 알리는 결과를 모바일 단말(10)로 전송한다. 이에 모바일 단말(10)의 악성 탐지 모듈(11)은 관리 서버(20)로부터 감지 결과를 수신하게 된다(⑥).The management server (20) transmits the result of whether or not an abnormal pattern is detected in the mobile terminal (10) to the mobile terminal (10) after step ③ or step ④ (⑤). If all the received items are not greater than the average value in step ③, the result of notifying the non-detection of the abnormal pattern is transmitted to the mobile terminal (10), and if step ④ is performed, the result of notifying the detection or non-detection of the abnormal pattern is transmitted to the mobile terminal (10) according to the check result. Accordingly, the malicious detection module (11) of the mobile terminal (10) receives the detection result from the management server (20) (⑥).
악성 탐지 모듈(11)은 수신된 감지 결과를 통해 이상 패턴 감지가 확인된 경우, 최근에 모바일 단말(10)에 설치된 앱 기록을 확인하며 그 확인된 최근 설치 앱을 악성앱으로 판단한다(⑦ & ⑧). 도 2에 도시된 바와 같이, 악성 탐지 모듈(11)은 모바일 단말(10)의 운영체제(예를 들어, 안드로이드 시스템)를 통해 앱 설치 리스트를 조회하여 앱 설치 기록을 확인하며, 이상 패턴을 보이는 시기에 설치된 앱을 악성앱으로 판단할 수 있다. 나아가, 악성 탐지 모듈(11)은 악성앱 판단 결과를 출력한다. 예를 들어, 악성 탐지 모듈(11)은 악성앱으로 판단된 앱 정보를 화면 출력하여 사용자로 하여금 이를 확인하고 그에 따른 조치를 취할 수 있게 한다.The malicious detection module (11) checks the app history recently installed on the mobile terminal (10) when an abnormal pattern is detected through the received detection results and determines the confirmed recently installed app as a malicious app (⑦ & ⑧). As illustrated in Fig. 2, the malicious detection module (11) checks the app installation history by querying the app installation list through the operating system (e.g., Android system) of the mobile terminal (10) and determines an app installed at a time when an abnormal pattern is shown as a malicious app. Furthermore, the malicious detection module (11) outputs the malicious app determination result. For example, the malicious detection module (11) outputs information on an app determined to be a malicious app on the screen so that the user can check it and take action accordingly.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.The present invention has been described with reference to preferred embodiments thereof. Those skilled in the art will appreciate that the present invention may be implemented in modified forms without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is set forth in the claims, not in the foregoing description, and all differences within the scope equivalent thereto should be construed as being included in the present invention.

Claims (5)

  1. 모바일 단말의 상태 정보에 기반하여 모바일 단말의 이상 여부를 감지하는 이상 감지부; 및An abnormality detection unit that detects whether a mobile terminal is abnormal based on the status information of the mobile terminal; and
    모바일 단말의 이상이 감지되면 모바일 단말에 신규 설치된 애플리케이션을 악성 애플리케이션으로 판단하는 악성앱 판단부;A malicious app determination unit that determines a newly installed application on a mobile terminal as a malicious application when an abnormality in the mobile terminal is detected;
    를 포함하는 악성 모바일 앱 탐지 시스템.A malicious mobile app detection system comprising:
  2. 제 1 항에 있어서,In paragraph 1,
    상태 정보는 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 적어도 일부 항목을 포함하는 악성 모바일 앱 탐지 시스템.A malicious mobile app detection system where status information includes at least some of the following items: CPU usage, memory usage, battery usage, text message sent, phone call made, program execution error count, and data traffic usage.
  3. 제 2 항에 있어서,In the second paragraph,
    이상 감지부는 모바일 단말의 최근 상태 정보에 속하는 모든 항목들을 각각 과거 소정 기간 동안의 상태 정보의 해당 항목 평균과 비교하여 높을 경우 CPU 사용률과 메모리 사용률 및 배터리 사용량이 소정의 제 1 기준치를 초과하며 문자 발송량과 전화 발신량과 프로그램 실행 오류 건수 및 데이터 트래픽 사용량 중에서 적어도 하나가 제 2 기준치를 초과하면 이상 패턴인 것으로 감지하는 악성 모바일 앱 탐지 시스템.An anomaly detection unit compares all items belonging to the recent status information of a mobile terminal with the average of corresponding items of status information for a predetermined period in the past, and if the CPU usage rate, memory usage rate, and battery usage rate exceed a predetermined first standard and at least one of the number of text messages sent, the number of phone calls made, the number of program execution errors, and the data traffic usage rate exceeds a second standard, it detects that it is an abnormal pattern.
  4. 모바일 단말에서 실행되는 악성 탐지 모듈은 주기적으로 모바일 단말의 상태 정보를 관리 서버로 전송하는 단계;A malicious detection module running on a mobile terminal periodically transmits status information of the mobile terminal to a management server;
    관리 서버는 악성 탐지 모듈로부터 수신된 모바일 단말의 상태 정보와 과거 소정 기간 동안의 모바일 단말의 상태 정보에 기반하여 모바일 단말의 이상 여부를 감지하는 단계; 및The management server detects whether there is an abnormality in the mobile terminal based on the status information of the mobile terminal received from the malicious detection module and the status information of the mobile terminal for a predetermined period of time in the past; and
    악성 탐지 모듈은 관리 서버에서 모바일 단말의 이상이 감지되면 모바일 단말에 신규 설치된 애플리케이션을 확인하며, 그 확인된 애플리케이션을 악성 애플리케이션으로 판단하는 단계;The malicious detection module is a step for checking newly installed applications on a mobile terminal when an abnormality in the mobile terminal is detected by the management server, and determining the confirmed application as a malicious application;
    를 포함하는 악성 모바일 앱 탐지 방법.A method for detecting malicious mobile apps including:
  5. 제 4 항에 있어서,In paragraph 4,
    상태 정보는 CPU 사용률, 메모리 사용률, 배터리 사용량, 문자 발송량, 전화 발신량, 프로그램 실행 오류 건수, 데이터 트래픽 사용량 중에서 적어도 일부 항목을 포함하는 악성 모바일 앱 탐지 방법.A method for detecting malicious mobile apps, wherein status information includes at least some of the following items: CPU usage, memory usage, battery usage, text message sent, phone call made, number of program execution errors, and data traffic usage.
PCT/KR2024/095664 2023-04-07 2024-04-04 System for detecting malicious mobile application WO2024210724A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR10-2023-0045906 2023-04-07
KR1020230045906A KR20240150669A (en) 2023-04-07 Malicious app detection system

Publications (1)

Publication Number Publication Date
WO2024210724A1 true WO2024210724A1 (en) 2024-10-10

Family

ID=92972481

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2024/095664 WO2024210724A1 (en) 2023-04-07 2024-04-04 System for detecting malicious mobile application

Country Status (1)

Country Link
WO (1) WO2024210724A1 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100130498A (en) * 2009-06-03 2010-12-13 (주)노애드 Method and apparatus for managing of process
KR20150119519A (en) * 2014-04-15 2015-10-26 주식회사 익스트러스 Apparatus and Method for Controlling Permission for an Application Using Reputation Information
US20170250995A1 (en) * 2015-03-31 2017-08-31 Juniper Networks, Inc. Obtaining suspect objects based on detecting suspicious activity
US20190042746A1 (en) * 2018-06-28 2019-02-07 Intel Corporation Methods, systems and apparatus to detect polymorphic malware
KR101934378B1 (en) * 2016-07-14 2019-03-18 정문성 Computer system having the hazard protection, and method thereof

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100130498A (en) * 2009-06-03 2010-12-13 (주)노애드 Method and apparatus for managing of process
KR20150119519A (en) * 2014-04-15 2015-10-26 주식회사 익스트러스 Apparatus and Method for Controlling Permission for an Application Using Reputation Information
US20170250995A1 (en) * 2015-03-31 2017-08-31 Juniper Networks, Inc. Obtaining suspect objects based on detecting suspicious activity
KR101934378B1 (en) * 2016-07-14 2019-03-18 정문성 Computer system having the hazard protection, and method thereof
US20190042746A1 (en) * 2018-06-28 2019-02-07 Intel Corporation Methods, systems and apparatus to detect polymorphic malware

Similar Documents

Publication Publication Date Title
CN109117250B (en) Simulator identification method, simulator identification equipment and computer readable medium
CN110417778B (en) Access request processing method and device
CN110445688B (en) Interface service function monitoring method and system based on data collection
CN111178760B (en) Risk monitoring method, risk monitoring device, terminal equipment and computer readable storage medium
CN109145590B (en) Function hook detection method, detection equipment and computer readable medium
EP1638253A1 (en) Method of monitoring wireless network performance
CN109144665A (en) A kind of simulator recognition methods, identification equipment and computer-readable medium
CN110445650B (en) Detection alarm method, equipment and server
KR20090038683A (en) Web firewall with automatic checking function of web server vulnerability and vulnerability checking method for using the same
CN104572318A (en) Report information obtaining method, device, equipment and system
CN108280346A (en) A kind of application protecting, monitoring method, apparatus and system
CN112738094B (en) Expandable network security vulnerability monitoring method, system, terminal and storage medium
CN112799953A (en) Interface testing method and device, computer equipment and storage medium
CN108111328B (en) Exception handling method and device
WO2024210724A1 (en) System for detecting malicious mobile application
CN108509796B (en) Method for detecting risk and server
JP5780553B2 (en) Fault monitoring apparatus and fault monitoring method
CN107566596B (en) Incoming call intercepting method and device
CN112699369A (en) Method and device for detecting abnormal login through stack backtracking
CN117252640A (en) Fuse degradation method, rule engine system and electronic equipment
CN115037653B (en) Service flow monitoring method, device, electronic equipment and storage medium
KR20240150669A (en) Malicious app detection system
CN113835961B (en) Alarm information monitoring method, device, server and storage medium
CN113778800B (en) Error information processing method, device, system, equipment and storage medium
CN109271787A (en) A kind of operating system security active defense method and operating system