公开(公告)号：KR101294278B1

公开(公告)日：2013-08-07

申请号：KR1020090076832

申请日：2009-08-19

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  정치윤 ,  조아라 ,  나중찬 ,  조현숙

IPC: H04L9/32 ,  H04L12/22

CPC classification number: H04L63/123 ,  G06F21/552 ,  G06F2221/0737 ,  G06F2221/2111 ,  H04L63/1416 ,  H04L63/1483

Abstract: 본 발명은 서명코드를 이용한 웹 사용자 추적 장치 및 방법에 대하여 개시한다. 본 발명의 일면에 따른 서명코드를 이용한 웹 사용자 추적 장치는, 웹페이지를 요청하는 적어도 하나의 접속단말; 상기 요청에 따라 상기 각 접속단말에 서명코드를 포함하는 웹페이지를 제공하는 웹 서버; 및 상기 서명코드의 실행에 따라 상기 각 접속단말로부터 추출된 접속정보를 수신 및 분석하는 모니터링 서버를 포함하는 것을 특징으로 한다.
웹 추적, 서명코드, 서명자바코드, 자바 웹스타트, 추적코드, 프락시

公开(公告)号：KR100979200B1

公开(公告)日：2010-08-31

申请号：KR1020080074726

申请日：2008-07-30

Applicant: 한국전자통신연구원

Inventor： 정치윤 ,  장범환 ,  손선경 ,  김건량 ,  김종현 ,  유종호 ,  나중찬 ,  조현숙

IPC: H04L12/24 ,  G08C19/00 ,  G01S5/02

CPC classification number: H04L63/1416 ,  H04L63/1441

Abstract: 본 발명은 보안정보, 및 네트워크 구성정보를 GIS(Grographic Information System) 기반의 지리정보와 매핑하여 표시함으로써 정확한 위치에 네트워크 정보를 표현 가능하며, 네트워크 관리자가 별도의 작업을 통해 지도상에 네트워크 장치, 및 상황을 표시할 필요가 없도록 하는 GIS 기반의 네트워크 정보 표시장치에 관한 것이다. 이를 위해 본 발명은, 외부 네트워크 장치로부터 네트워크 정보를 수신하며, GIS 기반의 지리정보를 구비하고, 위치정보에 응답하여 위치정보에 해당하는 지리정보를 생성하는 지리정보 처리모듈, 및 위치정보에 대응되는 지리정보에 네트워크 정보를 매핑하여 표현하며, 보안 문제를 유발하는 패킷의 공격 위치, 경유지, 및 목표위치를 라인으로 연결하고, 패킷의 공격 유형과 위험 수준에 따라 라인의 폭과 색상을 미리 정해진 폭과 색상으로 가변하여 네트워크 정보를 직관적으로 표현하는 네트워크 정보 처리모듈을 포함한다.
GIS, 네트워크 정보, 보안 이벤트, 트래픽, 지리정보

公开(公告)号：KR1020090113745A

公开(公告)日：2009-11-02

申请号：KR1020080100299

申请日：2008-10-13

Applicant: 한국전자통신연구원

Inventor： 김종현 ,  나중찬 ,  유종호 ,  김건량 ,  장범환 ,  손선경 ,  정치윤 ,  조현숙

IPC: G06F21/00 ,  G06F15/00

Abstract: PURPOSE: A network attack location searching method and system using a spy-bot agent is provided to detect and trace the attacker over wide place by obtaining the packet information of the packet which accesses the each host from a remote place. CONSTITUTION: A back tracking server(300) detects one or more dangerous host through host scanning. A spy-bot management server(200) transmits the spy-bot agents(100) to the detected dangerous host. The spy-bot management server obtains packet information of the packet which accesses the each dangerous host through spy-bot agents. The back tracking server references the obtained packet information and reversely traces the starting point of the hacking code.

Abstract translation: 目的：提供使用间谍机构代理的网络攻击位置搜索方法和系统，通过从远程地点获取每个主机访问的数据包的数据包信息，在广泛的位置检测和跟踪攻击者。 构成：后跟踪服务器（300）通过主机扫描来检测一个或多个危险的主机。 间谍机器人管理服务器（200）将间谍机构代理（100）发送到检测到的危险主机。 间谍机器人管理服务器通过间谍机构代理获取访问每个危险主机的数据包的数据包信息。 后跟踪服务器引用获取的数据包信息，并反向跟踪黑客代码的起点。

公开(公告)号：KR100856924B1

公开(公告)日：2008-09-05

申请号：KR1020070022971

申请日：2007-03-08

Applicant: 한국전자통신연구원

Inventor： 손선경 ,  정치윤 ,  장범환 ,  이수형 ,  방효찬 ,  김건량 ,  김현주 ,  박원주 ,  유종호 ,  김종현 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/26

CPC classification number: H04L41/22 ,  H04L43/045 ,  H04L63/1408

Abstract: An apparatus and a method for displaying a network state are provided to determine an abnormal state which deteriorates the performance of a network by using information about distinct dispersion, entropy, and clustering as a result of a combination of important properties in a traffic event, and detect a harmful traffic or an abnormal traffic. A method for displaying a network state comprises the following steps of: grouping traffics according to a protocol(S100); selecting and combining three of a resource address, a resource port, a destination address, and a destination port, and calculating distinct dispersion and entropy for a remaining element(S200); displaying the calculated distinct dispersion and entropy on a security radar that an angle of a circle is divided into N and a radius of the circle is divided into M(S300); and detecting the abnormality of a network by referring to a displayed radar state and detecting and reporting a harmful traffic or an abnormal traffic which causes an abnormal state(S400).

Abstract translation: 提供一种用于显示网络状态的装置和方法，用于通过使用关于交通事件中的重要属性的组合的结果，通过使用关于不同色散，熵和聚类的信息来确定恶化网络性能的异常状态，以及 检测到有害的流量或异常流量。 一种用于显示网络状态的方法包括以下步骤：根据协议对流量进行分组（S100）; 选择和组合资源地址，资源端口，目的地地址和目的地端口中的三个，并为剩余元素计算不同的色散和熵（S200）; 在安全雷达上显示计算出的不同色散和熵，将圆的角度分为N和圆的半径分为M（S300）; 以及通过参照所显示的雷达状态来检测和检测网络的异常，并检测并报告导致异常状态的有害通信或异常业务（S400）。

公开(公告)号：KR100786392B1

公开(公告)日：2007-12-17

申请号：KR1020060096570

申请日：2006-09-29

Applicant: 한국전자통신연구원

Inventor： 김건량 ,  정치윤 ,  손선경 ,  김현주 ,  김동영 ,  장범환 ,  김종현 ,  이수형 ,  방효찬 ,  박원주 ,  유종호 ,  나중찬 ,  장종수

IPC: G06F17/00 ,  G06F15/16

CPC classification number: G06F17/30283 ,  G06F17/30401 ,  G06F17/30539 ,  G06Q50/26

Abstract: A method for deciding a policy enforcement target of a policy client in a policy-based management framework is provided to rightly and efficiently decide an applicable object resource in case of executing a policy provided from a policy server. A method for deciding a policy enforcement target of a policy client in a policy-based management framework includes the following steps: a step that the policy client confirms capability set of policy information base received from policy serer(101); a step to confirm role-combination of the policy information base received from a policy server(103); a step to search resource satisfying the confirmed capability set and role-combination(105,106); and a step to apply and execute policy received on the searched resource(107).

Abstract translation: 提供了一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法，以在执行从策略服务器提供的策略的情况下正确有效地确定适用的对象资源。 一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法包括以下步骤：策略客户端确认从策略策略器（101）接收的策略信息库的功能集合的步骤; 确认从策略服务器（103）接收的策略信息库的角色组合的步骤; 搜索满足确认能力集和角色组合的资源的一个步骤（105,106）; 以及在搜索到的资源（107）上应用和执行收到的策略的步骤。

公开(公告)号：KR100628296B1

公开(公告)日：2006-09-27

申请号：KR1020030093100

申请日：2003-12-18

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  이수형 ,  김동영 ,  장범환 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/24

CPC classification number: H04L63/1408 ,  H04L63/1441

Abstract: 네트워크 공격상황 분석방법이 개시된다. 네트워크 침입탐지 경보를 소정의 네트워크 공격상황으로 분류하고 타임슬롯 기반의 카운팅 알고리즘을 이용하여 각각의 네트워크 공격상황의 발생빈도를 카운팅한 후, 발생빈도, 네트워크 침입탐지 경보의 발생빈도에 대한 각각의 네트워크 공격상황의 발생빈도의 비율 또는 발생빈도와 비율의 AND/OR 조합을 기초로 네트워크 공격상황을 분석한다. 이로써, 네트워크의 규모나 침입탐지 경보의 발생량에 비교적 영향을 받지 않고 네트워크 공격 상황을 실시간으로 정확하게 탐지할 수 있다.
네트워크 침입탐지 경보, 네트워크 공격상황, 타임슬롯, 카운팅 알고리즘

公开(公告)号：KR100609707B1

公开(公告)日：2006-08-09

申请号：KR1020040091574

申请日：2004-11-10

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  김현주 ,  장범환 ,  김진오 ,  나중찬 ,  장종수

IPC: G06F15/00

Abstract: 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 를 포함하는 것을 특징으로 하며, 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주며, 또한 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있게 된다.
네트워크 보안, 시각화, 상호 연관성 분석, 트래픽 처리, 보안 이벤트

公开(公告)号：KR100561628B1

公开(公告)日：2006-03-20

申请号：KR1020030081833

申请日：2003-11-18

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  장범환 ,  김진오 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/26

CPC classification number: H04L63/1408

Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석

公开(公告)号：KR101219538B1

公开(公告)日：2013-01-08

申请号：KR1020090069418

申请日：2009-07-29

Applicant: 한국전자통신연구원

Inventor： 정치윤 ,  장범환 ,  손선경 ,  유종호 ,  김건량 ,  김종현 ,  나중찬 ,  조현숙

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1425

Abstract: 본발명은비주얼데이터분석기반의네트워크공격탐지장치및 그방법에관한것으로, 대량의트래픽데이터를실시간으로처리할 수있고, 트래픽이미지를생성할때 트래픽의볼륨, 국가정보, ISP 정보, 사용되는포트정보등의다양한정보들을삽입하여기존의트래픽볼륨기반의네트워크공격탐지기법들이탐지하지못했던공격들을탐지할수 있다. 또한, 본발명은비주얼데이터분석기법을사용하여네트워크트래픽을분석함으로써분석된결과가이미지패턴으로나타나기때문에공격의탐지결과를보고네트워크공격여부를직관적으로인지하고, 네트워크공격탐지정보와네트워크공격에대한이미지패턴과원본데이터등을표현하는사용자인터페이스를제공하기때문에네트워크관리자측면에서탐지된공격을신속하게검증할수 있다.

公开(公告)号：KR1020120113116A

公开(公告)日：2012-10-12

申请号：KR1020110030848

申请日：2011-04-04

Applicant: 한국전자통신연구원

Inventor： 정치윤 ,  장범환

IPC: G06K7/10 ,  G06K9/18

CPC classification number: G06K7/1408 ,  G06F17/30725 ,  G06F21/31

Abstract: PURPOSE: A service providing method of a barcode terminal is provided to restrict a user accessing a service by determining service access privileges through additional and location information of the barcode terminal. CONSTITUTION: Terminal information of a barcode terminal scanning a barcode is extracted(S104). Service access privileges are determined by using the terminal information(S108). A service is provided according to the determination result(S112). The barcode terminal includes a barcode information decoding unit scanning the barcode and a service connecting unit providing the service according to barcode information. [Reference numerals] (20) Terminal; (30) Determination server; (S102) Decoding bar code information; (S104) Extracting terminal information; (S106) Transmitting terminal information; (S108) Determining service access privileges; (S110) Transmitting determined results; (S112) Providing a service according to the determined results

Abstract translation: 目的：提供条形码终端的服务提供方法，通过条形码终端的附加和位置信息来确定服务访问特权来限制用户访问服务。 摘要：提取条形码终端扫描条形码的终端信息（S104）。 通过使用终端信息确定服务访问特权（S108）。 根据确定结果提供服务（S112）。 条形码终端包括扫描条形码的条形码信息解码单元和根据条形码信息提供服务的服务连接单元。 （附图标记）（20）端子; （30）确定服务器; （S102）解码条形码信息; （S104）提取终端信息; （S106）发送终端信息; （S108）确定服务访问权限; （S110）发送确定结果; （S112）根据确定的结果提供服务