$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

안드로이드 모바일 정상 및 악성 앱 시스템 콜 이벤트 패턴 분석을 통한 유사도 추출 기법
Normal and Malicious Application Pattern Analysis using System Call Event on Android Mobile Devices for Similarity Extraction 원문보기

Journal of Internet Computing and Services = 인터넷정보학회논문지, v.14 no.6, 2013년, pp.125 - 139  

함유정 (School of Computer Engineering, Hanshin University) ,  이형우 (School of Computer Engineering, Hanshin University)

초록
AI-Helper 아이콘AI-Helper

안드로이드 기반 오픈 마켓개방성으로 인해 일반적인 정상 어플리케이션 뿐만아니라 공격자에 의해 개발된 악성 어플리케이션의 배포 역시 점차 증가하고 있는 추세이다. 악성 어플리케이션들의 확산으로 인한 피해를 줄이기 위해서는 상용 모바일 단말을 대상으로 보다 정확한 방법으로 정상 앱과 악성 앱을 판별할 수 있는 메커니즘이 개발되어야 한다. 이에 본 논문에서는 안드로이드 플랫폼 기반 모바일 단말을 대상으로 정상 앱과 악성 앱으로 부터 이벤트 패턴을 분석하기 위해 안드로이드 오픈 마켓에서 가장 사용자 이용도가 높은 게임 앱을 대상으로 정상 이벤트 패턴을 분석하였고, Android MalGenome Project에서 배포하고 있는 1,260개의 악성 샘플들 중에서 게임 앱 형태에 해당하는 악성 앱과 유사 악성 앱 등을 대상으로 악성 이벤트 패턴을 분석하였다. 이와 같이 안드로이드 기반 모바일 단말에서 정상 앱과 악성 앱을 대상으로 리눅스 기반 시스템 콜 추출 도구인 Strace를 이용해 정상 앱과 악성 앱의 이벤트를 추출하는 실험을 수행하였다. 정상 앱 및 악성 앱이 각각 실행되었을 때 발생하는 이벤트를 수집하여 각각의 이벤트 집합에 대한 연관성 분석 과정을 수행하였다. 이러한 과정을 통해 정상 앱과 악성 앱 각각에 대한 이벤트 발생 특징 및 패턴과 분포도를 분석하여 이벤트 유사도를 추출할 수 있었으며 최종적으로는 임의의 앱에 대한 악성 여부를 판별하는 메커니즘을 제시하였다.

Abstract AI-Helper 아이콘AI-Helper

Distribution of malicious applications developed by attackers is increasing along with general normal applications due to the openness of the Android-based open market. Mechanism that allows more accurate ways to distinguish normal apps and malicious apps for common mobile devices should be develope...

주제어

#안드로이드   #정상 및 악성 어플리케이션   #시스템 콜 이벤트   #패턴 분석   #유사도 분석  

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • 구체적으로 본 논문에서는 안드로이드 플랫폼 기반 모바일 단말을 대상으로 정상 앱과 악성 앱으로부터 이벤트 패턴을 분석하기 위해 안드로이드 오픈 마켓에서 사용자 이용도가 가장 높은 게임 앱을 대상으로 정상 이벤트 패턴을 분석하였다. 뿐만 아니라 안드로이드 공식 마켓인 구글 플레이 스토어에서 게임 카테고리에 포함된 게임 앱인 경우 정상 앱으로 위장한 악성 앱의 형태가 가장 많이 나타나기 때문에 우선 게임 카테고리 내 상위 80개의 정상 게임 앱을 대상으로 정상 시스템 콜 이벤트 특성을 분석하였다.
  • 따라서 본 논문에서는 안드로이드 기반 모바일 단말에서 사용되는 정상 및 악성 앱으로부터 발생하는 시스템 콜 이벤트를 수집하여 각각의 특성을 분석하는 과정을 수행하였다. 이를 통해 정상 앱과 악성 앱 실행시 발생하는 이벤트 특성을 파악할 수 있으며 이를 통해 정상 및 악성 앱의 유사도를 측정할 수 있다.
  • 본 논문에서는 안드로이드 기반 상용 모바일 단말 환경에서 구글 플레이 스토어 내 게임 카테고리에서 인기 있는 상위 80개의 정상 게임 어플리케이션과 Android MalGenome Project에서 배포받은 1260개의 악성 샘플들을 대상으로 각각 분류하여 정상 및 악성 앱의 특징 및 이벤트를 분석하고 이벤트를 기반으로 해서 악성 앱을 효율적으로 판별하기 위한 기법을 제시하였다. 우선 최신 안드로이드 단말 위협 및 악성 앱의 공격 형태를 분석 하였다.
  • Update Attack 방식에 포함되는 악성은 AnserverBot, BaseBridge, DroidKungFu Update, Plankton 네 가지로 되어있으며 각 187개, 122개, 1개, 11개의 apk 파일이 포함되어있다. 본 연구에서는 각 악성에 포함된 apk 파일 중 2개를 대상으로 악성 어플리케이션의 이벤트를 분석하였다.
  • Drive-by Download 방식에 포함되는 악성은 GGTraker, JiFake, Spitmo, Zitmo 네 가지로 되어있으며 각 1개의 apk 파일이 포함되어있다. 본 연구에서는 각 악성에 포함된 apk 파일을 대상으로 악성 어플리케이션의 이벤트를 분석하였다.
  • 또한 안드로이드 커널에서 시스템 콜 이벤트를 수집할 수 있는 Strace 모듈을 이용하여 정상 및 악성 앱에서 각각 발생하는 시스템 콜 이벤트 특성과 이를 비교 분석하였다. 이를 토대로 본 논문에서는 안드로이드 기반 상용 모바일 단말 내 정상 앱과 악성 앱에서 발생한 이벤트에 대한 유사도 분석 알고리즘을 이용하여 악성 앱을 판별할 수 있는 알고리즘을 제시하였다.
  • 결국 이러한 문제점을 해결하기 위해서는 안드로이드 기반 스마트워크 단말에서 실시간으로 구동되는 과정에서 실시간으로 발생하는 내부 시스템 콜 이벤트를 대상으로 정상과 악성 여부를 판별하는 과정이 필요하다는 것을 알 수 있다. 이에 본 논문에서는 실제 모바일 단말을 대상으로 앱 실행시 발생하는 시스템 콜 이벤트 패턴을 수집 및 분석하여 임의의 앱에 대한 악성 여부를 판별하는 방법을 제시하고자 한다.
  • 하지만 상용 모바일 단말을 대상으로보다 정확한 방법으로 정상 앱과 악성 앱을 판별할 수 있는 메커니즘이 개발되어야 한다. 이에 본 논문에서는 우선 안드로이드 기반 모바일 단말의 최신 보안 취약점을 통해 공격 형태를 분석하고 안드로이드 기반 이벤트 분석 도구인 Strace를 통해서 정상 앱과 악성 앱의 이벤트를 추출한 후에 이를 분석하여 정상 앱과 악성 앱의 특징 및 이벤트 패턴의 연관성을 분석하는 방법을 제시하고자 한다. 제시한 방법을 토대로 본 연구에서는 안드로이드 기반 정상 앱과 악성 앱에 대한 판별 기법을 제시하고자 한다.
  • 이에 본 논문에서는 우선 안드로이드 기반 모바일 단말의 최신 보안 취약점을 통해 공격 형태를 분석하고 안드로이드 기반 이벤트 분석 도구인 Strace를 통해서 정상 앱과 악성 앱의 이벤트를 추출한 후에 이를 분석하여 정상 앱과 악성 앱의 특징 및 이벤트 패턴의 연관성을 분석하는 방법을 제시하고자 한다. 제시한 방법을 토대로 본 연구에서는 안드로이드 기반 정상 앱과 악성 앱에 대한 판별 기법을 제시하고자 한다.
  • 이 Standalone은 크게 네 가지 그룹으로 분류할 수 있다. 첫 번째는 어플리케이션 스스로 스파이웨어 앱으로 간주되는 그룹으로, 피해자의 스마트폰에 설치되는 것을 목적으로 한다. 두 번째 그룹은 합법적인 정상 앱인 것처럼 보이지만 사용자 몰래 SMS를 보내거나 사용자의 신원을 보증하는 정보 등을 가로챔으로써 악성 동작을 수행하는 가짜 어플리케이션을 포함하고 있다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
안드로이드 플랫폼을 대상으로 보안 위협이 증가하는 이유는 무엇인가? 안드로이드 플랫폼을 대상으로 한 보안 위협이 증가하고 있는 이유는 안드로이드 플랫폼이 개방성, 휴대성, 저성능 및 접근성의 기능을 제공하기 때문에 최근 공격 유형이 발생하고 있다. 결국 안드로이드 플랫폼의 보안 취약성으로 인해 다양한 형태의 공격이 발생하고 있으며 이를 해결하기 위해서는 사용자 중심의 능동적인 취약성 진단 과정과 개인정보에 대한 외부 유출 방지를 위한 보안성 강화 방안이 제시되어야 한다.
Repacking은 어떤 방식인가? 먼저 Repacking은 앱을 재포장하는 방법으로써, 악성 개발자가 안드로이드 공식 마켓 등에 등록한 앱을 다운받아 apk 또는 .jar 파일을 재수정해서 악성코드를 삽입한 다음 재배포하는 방식으로 정상 앱처럼 위장해서 사용자들의 개인정보 및 금융정보를 유출하는 사례가 빈번히 발생하고 있다.
악성코드를 검출하기 위한 모바일 백신 프로그램들에는 무엇이 있고 어떤 기능을 가지는가? 이와 같은 악성코드를 검출하기 위해 모바일 백신 프로그램들이 개발되고 있다. AhnLab에서 개발된 ‘V3 Mobile’ 백신과 이스트소프트 알약은 악성 앱에 대한 스미싱 공격을 탐지 및 차단하는 기능을 제공한다. 또한 Kaspersky Mobile Security는 악성 코드 및 바이러스 차단 기능, 실시간 검사 및 예약 검사 기능을 제공하며 통화 및 SMS 서비스에 대한 필터링 기능을 제공한다.
질의응답 정보가 도움이 되었나요?

참고문헌 (10)

  1. Woogryul Jeon, Jeeyeon Kim, Youngsook Lee, Dongho Won, "Analysis of Threats and Countermeasures on Mobile Smartphone," Journal of The Korea Society of Computer and Information, Vol. 16, No. 2, pp.153-163, 2011. 

    원문보기 상세보기 crossref

  2. W. Enck, M. Ongtang, P. McDaniel, "Understanding android security," IEEE Security & Privacy Magazine, Vol. 7, No. 1, pp. 50-57, 2009. 

    상세보기 crossref

  3. A. Shabtai, Y. Fledel, U. Kanonov, Y. Elovici, S. Dolev, "Google Android: A State-of-the-art Review of Security Mechanisms," Technical Report, Cornell University, 2009. 

  4. Hyung-Woo Lee, "Android based Mobile Device Rooting Attack Detection and Malicious Application Event Monitoring," Review of Korean Society for Internet Information, Vol. 13, No. 1, pp.30-38, 2012. 

  5. Jae-woo Park, Sung-tae Moon, Gi-Wook Son, In-Kyoung Kim, Kyoung-Soo Han, Eul-Gyu Im, Il-Gon Kim, "An Automatic Malware Classification System using String List and APIs," Journal of Security Engineering, Vol.8, No.5, pp.611-626, 2011. 

  6. More than 50 Android apps found infected with rootkit malware, http://www.guardian.co.uk/technology/ blog/2011/mar/02/android-market-apps-malware. 

  7. A. Shabtai, U. Kanonov, Y. Elovici, C. Glezer, Y. Weiss, "Andromaly: a behavioral malware detection framework for android devices," Journal of Intelligent Information Systems, Vol. 38, No. 1, pp. 161-190, 2012. 

    상세보기 crossref

  8. Y. Zhong, H. Yamaki, H. Takakura, "A Malware Classification method Based on Similarity of Function Structure," 12th International Symposium of Applications and the Internet(SAINT), pp.256-261, 2012. 

  9. Yajin Zhou, Xuxian Jiang, "Dissecting Android Malware: Characterization and Evolution", 2012. 

  10. L.Tenenboim-Chekina, O. Barad, A. Shabtai, D. Mimran, L.Rokach, B. Shapira, Y. Elovici, "Detecting Application Update Attack on Mobile Devices through Network Features", 2013. 

저자의 다른 논문 :

LOADING...

관련 콘텐츠

오픈액세스(OA) 유형

BRONZE

출판사/학술단체 등이 한시적으로 특별한 프로모션 또는 일정기간 경과 후 접근을 허용하여, 출판사/학술단체 등의 사이트에서 이용 가능한 논문

이 논문과 함께 이용한 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로