-
公开(公告)号:KR1020150123074A
公开(公告)日:2015-11-03
申请号:KR1020140049503
申请日:2014-04-24
Applicant: 한국전자통신연구원
CPC classification number: G06F8/70 , G06F9/545 , G06F17/30557 , G06F17/30598
Abstract: 본발명의일 실시예에따른모듈화장치는 DDS 미들웨어에서기능모듈을모듈화하는모듈화장치에있어서, 응용프로그램과의인터페이스를제공하는 DCPS 모듈, 및기능모듈을생성하고, 생성되는기능모듈을기능별로분류하여저장하고, 상기 DCPS 모듈의요청에대응되는기능모듈을상기 DCPS 모듈에제공하는라이브러리모듈을포함한다.
Abstract translation: 根据本发明的一个实施例的模块化装置模块化DDS中间件中的功能模块。 模块化装置包括DCPS模块,其提供与应用程序的接口和产生功能模块的库模块,根据功能对功能模块进行分类,存储分类功能模块,并提供对应于功能模块的请求的功能模块 DCPS模块到DCPS模块。
-
公开(公告)号:KR1020120048742A
公开(公告)日:2012-05-16
申请号:KR1020100109306
申请日:2010-11-04
Applicant: 한국전자통신연구원
IPC: G06F15/16 , G06F15/177 , H04L29/06
CPC classification number: G06F9/545
Abstract: PURPOSE: A DDS structure and a node for configuring the same are provided to simplify a discovery function of an RTPS by implementing a message reception function through a socket of a kernel. CONSTITUTION: A kernel module includes a first RTPS(Real-Time Publish-Subscribe)layer. A DDS(Data Distribution Service) application(501) is composed of a DCPS(Data-Centric Publish-Subscribe) layer(402) and a second RTPS layer. The second RTPS includes an RTPS socket which connects first and second RTPS layers and receives first RTPS layer in a socket type.
Abstract translation: 目的:提供DDS结构和用于配置其的节点,以通过内核的套接字实现消息接收功能来简化RTPS的发现功能。 规定:内核模块包含第一个RTPS(实时发布 - 订阅)层。 DDS(数据分发服务)应用程序(501)由DCPS(以数据为中心的发布订阅)层(402)和第二RTPS层组成。 第二RTPS包括连接第一和第二RTPS层并且以套接字类型接收第一RTPS层的RTPS套接字。
-
公开(公告)号:KR1020080040257A
公开(公告)日:2008-05-08
申请号:KR1020060107959
申请日:2006-11-02
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A method and a device for detecting an unknown worm and virus early in a network level are provided to manage the unknown worm and virus in an early stage by collecting traffic information from nodes of various sub networks, and analyzing a traffic increase rate of each NE(Network Element)/application port of each node and connection property between source and target addresses. A traffic information collector(210) collects traffic data from each NE. A statistics processor(220) outputs statistics data by analyzing the collected traffic information by each NE/application port. An analyzer(230) analyzes a traffic increase/decrease rate of the application port by using the statistics data. A port controller(240) blocks the traffic of the application port of which the traffic increase/decrease rate is higher than a threshold depending on an analysis result. A storing part(250) stores/provides the data processed in the traffic information collector, the statistics processor and the analyzer. The analyzer determines an abnormal state from the traffic increase/decrease rate and analyzes connection between source and target addresses of the traffic of the application port determined as the abnormal state.
Abstract translation: 提供了一种在网络级早期检测未知蠕虫和病毒的方法和装置,用于通过从各个子网络的节点收集流量信息,在早期阶段对未知蠕虫病毒进行管理,分析每个网元的流量增长率 (网元)/每个节点的应用端口和源地址和目标地址之间的连接属性。 交通信息收集器(210)从每个NE收集交通数据。 统计处理器(220)通过分析每个NE /应用端口收集的交通信息来输出统计数据。 分析器(230)通过使用统计数据分析应用端口的流量增加/减少率。 根据分析结果,端口控制器(240)阻止业务增加/减少率高于阈值的应用端口的流量。 存储部(250)存储/提供处理在交通信息采集器,统计处理器和分析器中的数据。 分析器根据流量增减速率确定异常状态,分析应用端口流量的源地址和目标地址之间的连接,确定为异常状态。
-
公开(公告)号:KR100826884B1
公开(公告)日:2008-05-06
申请号:KR1020060117566
申请日:2006-11-27
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1441 , H04L63/20
Abstract: A network state display device using a security cube and a method therefor are provided to analyze a network attack or abnormal and harmful traffic which deteriorates the performance of a network, and to display the analyzed results, therefore a user can intuitively recognize the current network state as coping with the traffic or the attack in real time. A traffic characteristic extractor(110) extracts information on a source address, a source port, a destination address, and a destination port from network traffic, selects two pieces of the information to classify the traffic, and calculates intrinsic dispersion degree values of the rest two pieces of the information for each classification. A network state display(120) displays a 2-dimensional security cube expressed with the extracted intrinsic dispersion degree values for the classified traffic. A traffic abnormality decider(130) decides whether the traffic is abnormal by referring to the security cube.
Abstract translation: 提供一种使用安全立方体的网络状态显示装置及其方法,用于分析恶化网络性能的网络攻击或异常有害流量,并显示分析结果,因此用户可以直观地识别当前网络状态 作为应对流量或实时攻击。 流量特征提取器(110)从网络流量提取关于源地址,源端口,目的地地址和目的地端口的信息,选择两条信息以对流量进行分类,并计算其余的固有分散度值 每个分类的两条信息。 网络状态显示器(120)显示用所分类的业务量提取的固有分散度值表示的二维安全立方体。 交通异常判定器(130)通过参照安全立方来决定交通是否异常。
-
公开(公告)号:KR100734852B1
公开(公告)日:2007-07-03
申请号:KR1020050116586
申请日:2005-12-01
Applicant: 한국전자통신연구원
CPC classification number: H04B7/2606 , H04W16/26 , H04W40/22 , H04W48/08 , H04W76/10
Abstract: 플로우-사각형 또는 플로우-시계를 이용한 네트워크 상태 표시 장치 및 그 방법이 개시된다. 네트워크 상태 표시 장치는 수집된 트래픽 정보를 참조하여, 소정의 기준 포트와 기준 시간에 따라 발생한 트래픽의 특성에 따른 점유 비율을 계산하여 저장하는 트래픽 특성 추출부, 계산 결과를 참조하여, 점유비율 좌표평면상에, 현재 네트워크에서 잘 알려진 포트, 그렇지 않은 포트, 매크로-플로우 및 마이크로-플로우의 트래픽 특성에 따른 점유 비율을 이용하여 표시되는 사각형과 정상상태 참조모델을 함께 표시하여 현재 네트워크의 이상상태 여부를 나타내는 트래픽 상태 표시부 및 점유비율 좌표평면 상에 그려지는 정상상태 참조모델과 현재 네트워크 상태의 사각형의 위치 또는 형태를 비교하여 네트워크의 이상 상태 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하며, 트래픽의 이상 특징만을 표현할 수 있는 간단한 데이터 즉, 연결시간에 따른 포트 구간별 플로우 비율, 옥텟 비율 또는 패킷 비율을 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있다.
-
Patent Agency Ranking
公开(公告)号:KR100651755B1
公开(公告)日:2006-12-01
申请号:KR1020050116589
申请日:2005-12-01
Applicant: 한국전자통신연구원
Abstract: A network traffic state display device using traffic-spectrum and a method thereof are provided to decide on an abnormal state which deteriorates the performance of a network by using flow occupancy ratios for each traffic characteristic, and to detect abnormal traffic or harmful traffic that causes the abnormal state, then to automate such a process by a program, thereby quickly coping with the abnormal state without intervention of a manager. A traffic characteristic extractor(110) calculates occupancy ratios of micro-flows and macro-flows which have overall flows as a population, according to each traffic characteristic by referring to traffic characteristic traffic information of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios in spectrum type, and provides the displayed ratios as a network-spectrum, a port-spectrum, a host-spectrum, and a protocol-spectrum. A traffic abnormality decider(130) decides whether an abnormal state of a network occurs by referring to the spectra, and if the abnormal state occurs, the decider(130) detects a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state to report the detected results.
Abstract translation: 提供使用业务频谱的网络业务状态显示设备及其方法,以通过使用每个业务特性的流量占用率来判定恶化网络性能的异常状态,并且检测导致该业务的异常业务或有害业务 异常状态,然后通过程序使这个过程自动化,从而在没有管理者干预的情况下快速应对异常状态。 业务量特征提取器(110)通过参考协议的业务量特征业务量信息,发送/接收主机地址,端口,根据每个业务量特征来计算总体上作为总体流量的微流和宏流的占用率 网络地址由外部流量信息收集器收集,并存储计算出的值。 业务状态显示(120)以频谱类型显示所计算和存储的占用率,并将所显示的比率提供为网络频谱,端口频谱,主机频谱和协议频谱。 业务异常判定器(130)通过参考频谱来判定是否出现网络的异常状态,并且如果发生异常状态,则判定器(130)检测异常状态的类型和异常业务或有害业务, 异常状态来报告检测结果。
-
公开(公告)号:KR100651749B1
公开(公告)日:2006-12-01
申请号:KR1020050084659
申请日:2005-09-12
Applicant: 한국전자통신연구원
Abstract: A method for detecting unknown malicious traffic and a device therefor are provided to analyze and visually express relation between a lot of event information generated by malicious traffic such as a worm virus, thus emergence of the worm virus is exactly detected while spread status is intuitively and easily perceived. Analysis target data is periodically collected from traffic flow data received from equipment installed in a network, asset information and vulnerability information of the network, and alarm data which detects intrusion through the network(10). Alarm data for detection of substantially threatening intrusion is extracted according to association between system vulnerability information within the vulnerability information and an address within the asset information and destination port information and a destination address included within the alarm data(20). Traffic abnormality status is extracted by sensing the current state of traffic generation of an infected system, the current state of file transmission traffic flows and directivity of traffic flows, and the current state of access to the destination address of the alarm data extracted as being substantially threatened(30,40).
Abstract translation: 提供了一种检测未知恶意流量的方法及其装置,用于分析和直观地表达恶意流量(如蠕虫病毒)产生的大量事件信息之间的关系,从而在传播状态直观的情况下准确检测到蠕虫病毒的出现, 容易感知。 分析目标数据周期性地从安装在网络中的设备接收到的交通流数据,网络的资产信息和漏洞信息以及通过网络(10)检测入侵的警报数据中收集。 根据漏洞信息内的系统漏洞信息与资产信息和目的地端口信息内的地址以及报警数据(20)内包括的目的地地址之间的关联,提取用于检测实质性威胁入侵的报警数据。 通过感测受感染系统的流量生成的当前状态,文件传输业务流的当前状态和业务流的方向性以及当前提取的报警数据的目的地地址的当前状态,提取业务异常状态 威胁(30,40)。
-
公开(公告)号:KR1020060028601A
公开(公告)日:2006-03-30
申请号:KR1020040077621
申请日:2004-09-25
Applicant: 한국전자통신연구원
IPC: H04L1/20
CPC classification number: H04L41/5032 , H04L41/142 , H04L41/145 , H04L43/16 , H04L63/1425
Abstract: 본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 하며 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
네트워크 트래픽 분석, 이상 징후 감지, 상대적 비율, 모비율-
公开(公告)号:KR1020050048019A
公开(公告)日:2005-05-24
申请号:KR1020030081833
申请日:2003-11-18
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L63/1408
Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.-
公开(公告)号:KR100439170B1
公开(公告)日:2004-07-05
申请号:KR1020010070766
申请日:2001-11-14
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: PURPOSE: A method of back-tracking an attacker by using log information of edge routers on the Internet is provided to record log information on all packets accessing to inside from edge routers of each network, thereby back-tracking the packets regardless of a changed IP address of the attacker. CONSTITUTION: When an attacker attacks an invasion host, an internal invasion detecting system senses the invasion(201). The system informs a managing server of an internal network of the invasion(202). The managing server inquires of all edge routers of the network to analyze an invasion-detected log corresponding to a trace of the attacker' packet(203), and decides whether the invasion trace is searched through an internal edge router(204). If so, the managing server requests a managing server of other network corresponding to the invasion trace to log-analyze self edge routers(205). If the invasion trace is not searched, the managing server decides that a hacker exists in the internal network(208).
Abstract translation: 目的:提供一种通过使用因特网上的边缘路由器的日志信息来追踪攻击者的方法,以记录从每个网络的边缘路由器接入内部的所有分组的日志信息,从而无论改变的IP如何都回溯分组 攻击者的地址。 构成:当攻击者攻击入侵主机时,内部入侵检测系统感知入侵(201)。 系统通知内部网络的管理服务器入侵(202)。 管理服务器询问网络的所有边缘路由器以分析与攻击者分组的踪迹对应的入侵检测日志(203),并且通过内部边缘路由器确定入侵踪迹是否被搜索(204)。 如果是,则管理服务器请求对应于入侵踪迹的其他网络的管理服务器对自身边缘路由器进行日志分析(205)。 如果没有搜索入侵踪迹,则管理服务器判定内部网络中存在黑客(208)。
-
-
-
-
-
-
-
-
-
Search Results
78
records
(took 0.026 seconds)
