特許ウォッチ

公開番号2025015467
公報種別公開特許公報(A)
公開日2025-01-30
出願番号2024113539
出願日2024-07-16
発明の名称シグネチャベースの悪性アプリケーション検出方法および装置(SIGNATURE-BASED MALICIOUS APPLICATION DETECTION METHOD AND DEVICE)
出願人スティーリアンインコーポレイテッド
代理人個人,個人,個人,個人,個人,個人,個人,個人,個人,個人
主分類G06F 21/56 20130101AFI20250123BHJP(計算;計数)
要約【課題】シグネチャベースの悪性アプリケーション検出装置及び検出方法を提供する。
【解決手段】シグネチャベースの悪性アプリケーション検出方法は、機械学習に基づいて悪性アプリケーションであるか否かを判断する段階と、悪性アプリケーション情報をサーバーデータベースにアップデートする段階と、OS市場から削除されたアプリケーション情報を収集する段階と、削除されたアプリケーション情報をサーバーデータベースにアップデートする段階と、削除されたアプリケーションがマーケットに再アップロードされた場合、機械学習によって悪性か否かを再び判断する段階と、当該アプリケーションが悪性でないと判断された場合、サーバーデータベースから削除する段階と、を含む。
【選択図】図11
特許請求の範囲【請求項１】
ユーザー端末に格納されたアプリケーションのAPI、権限情報、コードシグネチャ情報、およびハッシュ情報のうち少なくとも１つを入力情報として入力し、コード分析情報を出力情報として出力するコード分析モデルを含む前処理モジュール；
前記コード分析情報を入力情報とし、前記アプリケーションが悪性か否かを判断したアプリケーション悪性情報を出力情報とする人工ニューラルネットワークモジュール；および
前記アプリケーション悪性情報によって前記アプリケーションが悪性であると判断された場合、前記アプリケーション悪性情報をサーバーデータベースにアップデートするアップデートモジュール；および
アプリストアで公開されたアプリケーションと削除されたアプリケーションに関する情報を収集するマーケットクローリングモジュール；を含み、
前記アップデートモジュールは、前記削除されたアプリケーション情報をサーバーデータベースにアップデートし、前記削除されたアプリケーションを悪性アプリケーションに分類し、
前記マーケットクローリングモジュールによって前記削除されたアプリケーションが前記アプリストアに再アップロードされたものと判断された場合、脅威判断モジュールを通じて前記アプリケーションが悪性か否かを再び判断し、前記アプリケーションが悪性でないと判断された場合、前記サーバーデータベースから前記アプリケーションを削除することを特徴とする、
シグネチャベースの悪性アプリケーション検出装置。
続きを表示（約 1,300 文字）【請求項２】
前記前処理モジュールは
前記アプリケーションの使用時間情報、スクリーンタイム情報、バッテリー消費量情報、データ使用量情報、およびインタラクションパターン情報のうち少なくとも１つを入力情報として入力し、ユーザー分析情報を出力情報として出力するユーザー分析モデル；をさらに含むことを特徴とする、
請求項１に記載のシグネチャベースの悪性アプリケーション検出装置。
【請求項３】
前記前処理モジュールは
前記アプリケーションの証明書有効期間情報、証明書発行国情報、注釈言語情報、および証明書管理情報のうち少なくとも１つを入力情報として入力し、開発者分析情報を出力情報として出力する開発者分析モデル；をさらに含むことを特徴とする、
請求項１に記載のシグネチャベースの悪性アプリケーション検出装置。
【請求項４】
前記コード分析モデルは
ランダムフォレストアルゴリズムを活用して前記アプリケーションを分析することを特徴とする、
請求項１に記載のシグネチャベースの悪性アプリケーション検出装置。
【請求項５】
前記ユーザー分析モデルは
DBSCANアルゴリズムを活用して前記アプリケーションを分析することを特徴とする、
請求項２に記載のシグネチャベースの悪性アプリケーション検出装置。
【請求項６】
前記開発者分析モデルは
勾配ブースティングアルゴリズムを活用して前記アプリケーションを分析することを特徴とする、
請求項３に記載のシグネチャベースの悪性アプリケーション検出装置。
【請求項７】
アプリケーションのAPI、権限情報、コードシグネチャ情報、およびハッシュ情報のうち少なくとも１つを入力情報として入力し、コード分析情報を出力情報として出力する段階；
前記コード分析情報を入力情報として入力し、人工ニューラルネットワークモジュールによって前記アプリケーションが悪性か否かを判断したアプリケーション悪性情報を出力情報として出力する段階；
前記出力情報によって前記アプリケーションが悪性であると判断される場合、アップデートモジュールによって前記悪性アプリケーション情報をサーバーデータベースにアップデートする段階；および
マーケットクローリングモジュールによってアプリストアで公開されたアプリケーションと削除されたアプリケーションに関する情報を収集し、前記アップデートモジュールによって前記削除されたアプリケーションに関する情報を前記サーバーデータベースにアップデートし、前記削除されたアプリケーションを悪性アプリケーションに分類する段階；および
前記マーケットクローリングモジュールによって前記削除されたアプリケーションが前記アプリストアに再アップロードされたものと判断された場合、脅威判断モジュールを通じて前記アプリケーションが悪性か否かを再び判断し、前記アプリケーションが悪性でないと判断された場合、前記サーバーデータベースから前記アプリケーションを削除する段階；を含むことを特徴とする、
シグネチャベースの悪性アプリケーション検出方法。

発明の詳細な説明【技術分野】
【０００１】
開示された発明は、シグネチャベースの悪性アプリケーション検出方法および装置に関するものである。より詳細には、開示された発明は、機械学習ベースの脅威検出モジュールおよびマーケットクローリングモジュールを活用することにより、既存の検証方法によって検出されない悪性アプリケーションをより効果的に検出することができる技術に関する発明である。
続きを表示（約 1,000 文字）【背景技術】
【０００２】
近年、スマートフォンの普及率が徐々に高まるにつれて、ユーザーの個人情報や金融情報を奪取しようとする悪性アプリケーションが盛んになっている。
【０００３】
悪性アプリケーションは、ユーザーが知らない間にスマートフォンにさまざまな権限を要求し、ユーザーの同意なしに個人情報を収集したり、悪性コードを実行したりする可能性がある。
【０００４】
これにより、フィッシング、スパム、スパイウェアなどの被害が増加している傾向である。
【０００５】
このような悪性アプリケーションを検出するための技術が日々進化しているが、新しいタイプの悪性アプリケーションが生産される頻度が高くなり、悪性アプリケーションが様々な技法を用いて検出を避けているため、悪性アプリケーションを完全に効果的に検出することは事実上難しいのが実情である。
【０００６】
例えば、最近の悪性アプリケーションは、信頼できる有名なアプリケーションのパッケージ名またはアプリケーションの名称、ロゴなどを模倣したり、悪性アプリケーションのコードを難読化やパッキングしたりして検出を避ける方法を使用している。
【０００７】
したがって、既存のシグネチャベースの悪性アプリケーション検出方式の場合、予め定義されたパターンに一致する悪性アプリケーションの悪性コードを検出するので、新しいタイプの悪性アプリケーションが見つかるたびに新しいシグネチャを追加しなければならないという問題点がある。
【０００８】
したがって、既存のシグネチャベースの悪性アプリケーション検出方式は、悪性アプリケーションの発見時点からシグネチャパターンを追加するまでにかなりの時間がかかるため、悪性アプリケーションにリアルタイムで対応するのが難しいという限界がある。
【０００９】
また、悪性アプリケーションと判断され、アプリストアから削除されたアプリケーションの場合、既にユーザーのスマートフォンにインストールされている場合にはアプリストアでの削除が反映されないため、インストール後の事後管理が難しいという問題点がある。
【発明の概要】
【発明が解決しようとする課題】
【００１０】
したがって、一実施形態によるシグネチャベースの悪性アプリケーション検出方法および装置は、前記説明した問題点を解決するために創作された発明である。
（【００１１】以降は省略されています）

関連特許