As mobile technology has developed, smartphone technology has also grown rapidly. Among various smartphones, the android-based phone is the most used smartphone in the world. However, malicious behav-iors targeting android phones have rapidly increased in recent years. One of these malicious behaviors is dis-tribution of applications including malicious codes. Another malicious behavior is routing disruption attacks on the Mobile Ad hoc Network (MANET). In this thesis, we have studied security enhancement of the an-droid application and routing protocol with the goal of reducing the impacts from these behaviors. This study mainly focuses on detecting malicious android application based on machine learning methods. First, an efficient static analysis method is proposed for detection of malicious android applica-tions. Because of the absence of any application inspection system, anyone can freely upload applications developed for the android market, and the number of android applications is increasing rapidly. Unfortu-nately, this open accessibility draws the attention of malicious application developers as well, and there are already many malicious applications. To detect malicious applications, previous approaches have used dynamic and static analysis. Dynamic analysis has a high detection rate, but uses lots of resources and takes a long time. On the other hand, detection using static analysis is quick, and uses a relatively small amount of resources. Thus, a large number of applications on android market could be analyzed by the static analysis. To improve the detection rate of static methods, several researchers have included machine learning in their analyses, with unsatisfactory results. In this study, we propose to use Application Programming Interface (API) functions as features in machine learning to reduce the false negative rate and false positive rate; and to enable a cost sensitive method for minimizing the false negative rate. This is important, because malicious code can be widely spread when a falsely classified malicious application is downloaded. Experimental results show that almost all malicious applications are detected by proposed static analysis, and that the API-function-based method is more efficient than previous method. Secondly, a cluster analysis-based efficient anomaly detection method for detecting unknown mali-cious android applications. If an unknown malicious application is registered on the current android market, it cannot be detected by misuse detection which uses both normal and attack data for training. Misuse detec-tion is best for known forms of attacks, but bad for new forms of attacks. That is, this method cannot detect unknown malicious applications. To handle this problem, several researches are using anomaly detection as a machine learning method. Unlike misuse detection, the anomaly detection method is good for unknown at-tacks because only normal data is used for training. However, the anomaly detection method has a low detection rate and high false positive rate when machine learning is used. This is because previous anomaly detection methods did not consider various characteristics of normal data. To resolve these weaknesses, we propose a cluster analysis-based efficient anomaly detection method. Before training data on machine learning process, normal data is clustered according to various characteristics. After this process, normal data in each cluster is trained, and testing is worked in all clusters when new data is tested. Using the proposed method, the real-time detection of malicious applications can be improved. Experimental results show that proposed method has good detection performance than previous anomaly methods, and that real-time detection is improved than the one-class SVM. Finally, we focus on detecting routing disruption attack for securing mobile network. In recent years, the MANET is getting more important and is being utilized in various fields. However, routing-disruption attacks have become a serious problem for MANET. In various routing-disruption attack detection methods, transmission time-based methods can detect wormhole attacks efficiently. Attackers might fabricate a time stamp for a Route Request Packet (RREQ) or Route Reply Packet (RREP) to evade wormhole detection methods. To resolve this weakness, we propose a counterattack-detection scheme in transmission time-based wormhole detection methods. In this study, we show that it is possible for an attacker to find an effective counterattack against wormhole detection methods, so we provide a counterattack-detection scheme. In the first phase, our proposed method uses the transmission time per hop extracted from a RREQ. If the attackers fabricate the RREQ’s starting time to evade our proposed method, we can detect this counterattack using the RREQ’s transmission time in the second phase, because the fabricated starting time makes the transmission time shorter than the original transmission time. The simulation shows that our proposed method has high reliability for detecting both wormhole attacks and the attacker’s counterattack.

모바일 산업이 성장하면서 2013년 7월, 국내 스마트폰 가입자 수는 3600여 만 명을 넘어서게 되었다. 앞으로도 스마트폰, VoIP, IPTV, 4G등의 컨버젼스 기술이 확산됨에 따라서 모바일 산업은 더욱 성장될 것이라고 예상되고 있다. 하지만 모바일 산업이 성장함에 따라 이를 이용한 악성 행위들도 증가하고 있다. 대표적인 악성행위의 주체로는 지속적으로 증가하는 스마트폰 가입자를 겨냥한 악성 모바일 앱이 있다. 이런 악성 앱은 정상적인 앱으로 보이지만 악성코드가 심어져 있어서, 이를 다운로드 하여 실행하게 되면 스마트폰이 악성코드에 감염되게 된다. 공격자는 이를 이용한 모바일 공격을 통해 개인 및 기업의 손실을 유발시킨다. 이와 같은 악성 앱에 대해 세계적으로 유명한 보안업체인 F-Secure와 Symantec의 리포트에서는 악성코드의 대부분이 안드로이드 폰에서 발견되었다는 조사 결과를 발표하였다. 또한 대표적 백신업체인 Kaspersky Lab에서는 2012년에 안드로이드 폰의 악성코드가 급속도로 증가되었다고 발표하였다. 향후에도 안드로이드 폰에 대한 악성코드는 증가될 것이고, 이를 이용한 공격 또한 다양해 지리라 예상되고 있다. 또 다른 악성행위로는 모바일 기기를 이용하여 MANET(Mobile Adhoc Network)이 구성되었을 때, 이 네트워크의 취약성을 이용한 라우팅 변조 공격이 있다. MANET이란 기존의 고정된 기반 망의 도움 없이 이동 노드들 간에 자율적으로 구성되는 일시적인 네트워크로서, 빠르고 쉽게 구성할 수 있다. MANET은 라우터와 같은 고정된 인프라가 필요 없기 때문에, 재난 지역이나 전장에서 주로 사용되어 왔으나, 현대에서는 통신망 연계, 그룹통신, 스마트 폰의 WiFi Direct 기능 등 점차 여러 분야로 그 쓰임새가 늘어나고 있다. Beyond 4G의 핵심적인 통신 기술로 적용 예상되고 있으며, 이미 2010년 6월, B4G 표준연구를 위한 총괄그룹(General Aspects)이 결성되어 있는 상태이다. 하지만 네트워크 패킷 감시의 기능 부재 및 어떤 노드든지 네트워크에 참여할 수 있고, 라우팅에 직접 관여 할 수 있다는 취약성을 가지고 있어서, 이를 이용한 라우팅 변조 공격이 위협으로 대두되고 있다. 위와 같은 이유들로 인해, 안드로이드 폰의 보안성을 강화시키기 위한 악성 앱 검출 방법의 기술 향상 및 MANET의 취약성을 보완할 수 있는 기술의 필요성이 절실히 요구되고 있다. 본 연구에서는 이러한 문제점들을 해결하고자 세 가지 보안 관점에서 연구를 수행하였다. 첫째, Web상에서 악성 앱을 효율적으로 검출할 수 있는 정적 기법을 제안하였다. 기존의 안드로이드 마켓은 업로드 된 앱에 대한 검증 시스템이 없기 때문에 악성 앱 또한 업로드 될 수 있다. 이 같은 상황에서 이를 탐지하고자 악성 앱 검출 시스템에서 이용할 수 있는 정적 및 동적 방법이 제시되었다. 동적 분석의 경우, 가상 또는 실제로 앱을 실행하여 나타나는 행위를 기반으로 탐지하기 때문에 탐지율이 높지만, 시간이나 하드웨어 장비를 많이 사용한다는 단점이 있었다. 하지만 정적 분석의 경우, 파일 정보나 소스 코드를 이용하기 때문에 적은 자원소모를 나타내고, 따라서 백만 개의 앱이 존재하는 안드로이드 마켓 상에서 수행하기 적절하다는 의견이 있었다. 하지만 탐지율이 낮다는 문제점이 제기되었고, 본 연구에서는 기존 정적 분석 기법의 문제점을 찾아내어 API 함수를 기반으로 하는 정적 분석 기법을 제안하였다. 또한, 정상으로 판명된 악성 앱을 다운로드 할 경우, 악성코드가 확산될 위험성 증가하기 때문에 이를 최소할 수 있도록 Cost Sensitive Learning Method를 제안된 정적 분석 기법에 추가하였다. 실험 결과를 통해, 기존의 방법보다 탐지 에러가 낮고, 악성이 정상으로 분류되는 앱이 최소화 된 것을 확인할 수 있었다. 둘째, 신종이나 변종 악성코드를 보유한 악성 앱을 검출할 수 있는 새로운 Anomaly detection 기법을 제안하였다. 앞서 제시한 정적 분석 방법으로는 알려지지 않은 악성 앱을 탐지할 수 없다. 따라서 이런 앱들이 그대로 다운로드 될 경우, 악성코드가 확산될 위험성이 증가하게 되고, 이를 해결하기 위해 정상적인 데이터만을 이용하는 Anomaly detection 기법이 연구되어 왔다. 이 중에 One-class SVM 기법 방식은 다른 방법들에 비해 좋은 성능을 보이기 때문에 많이 사용되어 왔다. 하지만 새로운 유형의 데이터가 들어왔을 때, 이를 오분류하는 비율이 높기 때문에, 본 연구에서는 오탐율이 생기는 이유를 분석하고 이를 해결하고자 하였다. Anomaly detection의 탐지율을 향상시키기 위해 정상적인 데이터들도 다양한 특성을 가진다는 점을 인식하고 군집분석을 통해 이를 다양한 군집으로 나누었다. 이후, 각 군집 별로 One-class SVM 기법을 적용하여 Anomaly detection의 탐지율을 향상시킬 수 있는 기법을 제안하였다. 실험 결과를 통해, 제안된 Anomaly detection 기법의 탐지율이 높다는 것을 확인할 수 있고, 그 효과로 기계학습 시에 One-class SVM 기법보다 학습시간 및 탐지시간이 짧은 것도 확인할 수 있었다. 셋째, MANET의 취약성을 이용한 대표적인 공격 중 하나인 웜홀 공격에 대해서, 공격자의 대응방법을 예상한 탐지방법을 제안하였다. 기존 연구는 인프라가 없다는 MANET의 특성을 이용하여 전송시간의 차이를 이용한 탐지방법을 제안하였으나, 이를 공격자가 인지할 경우, 패킷의 출발시간을 조작하여 위의 탐지방법을 무력화 시킬 수 있다는 문제점이 있었다. 따라서 본 연구에서는 공격자가 위의 방법을 어떻게 인지하고 피할 수 있는지 예상하여, 이를 탐지할 수 있는 방법을 시도해 보고자 하였다. 만약 공격자가 패킷의 출발시간을 조작할 경우, 전송시간의 차이가 생기는데 이를 또 다른 차이로 인식하고 이를 이용하여 공격자의 대응방법까지 탐지할 수 있는 기법을 제시하였다. 실험 결과를 통해, 공격자의 대응방법이 가능하다는 사실을 확인할 수 있었고, 이 대응방법까지 탐지가 가능하다는 것도 확인할 수 있었다. 이 연구는 공격자의 대응방법을 예상하고 이 대응방법까지 탐지에 활용하였다는 점에서 새로운 시도라고 할 수 있다.