-
公开(公告)号:KR1020080050919A
公开(公告)日:2008-06-10
申请号:KR1020060121829
申请日:2006-12-04
Applicant: 한국전자통신연구원
CPC classification number: H04L41/28 , H04L41/0631 , H04L41/22 , H04L63/1425 , H04L63/20
Abstract: An apparatus and a method for displaying a network security state are provided to enable a network security manager to recognize easily the current network security state by visualizing important attributes of the security events three dimensionally. An apparatus for displaying a network security state includes a security event collector(110), a security event analysis unit(120) and a 3D visualization unit(130). The security event collector collects raw data on security events from network security devices. The security event analysis unit analyzes the raw data on the security events collected by the security event collector, and extracts feature data in correspondence with the specific security event. The 3D visualization unit outputs three dimensionally correlation of the security event feature data, extracted by the security event analysis unit, to a display unit.
Abstract translation: 提供一种用于显示网络安全状态的装置和方法,以使得网络安全管理者能够通过三维地可视化安全事件的重要属性来容易地识别当前的网络安全状态。 用于显示网络安全状态的装置包括安全事件收集器(110),安全事件分析单元(120)和3D可视化单元(130)。 安全事件收集器收集来自网络安全设备的安全事件的原始数据。 安全事件分析单元分析由安全事件收集器收集的安全事件的原始数据,并根据特定安全事件提取特征数据。 3D可视化单元将由安全事件分析单元提取的安全事件特征数据的三维相关输出到显示单元。
-
公开(公告)号:KR100832536B1
公开(公告)日:2008-05-27
申请号:KR1020060108893
申请日:2006-11-06
Applicant: 한국전자통신연구원
Abstract: 본 발명은, 대규모 네트워크에서 발생되는 공격에 따른 보안 관리 방법 및 장치에 관한 것으로서, 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하여 상기 수집된 트래픽 정보들에서 특성 정보를 추출하고, 추출된 특성 정보를 통해 실시간으로 각 공격 유형을 탐지하여 탐지된 각 공격 유형별로 계층 구조를 갖는 다중 해쉬 테이블에 저장된 트래픽 통계 정보를 이용하여 공격 상황을 분석 및 인지함으로써 현재 보안 상황을 실시간으로 보다 정확하게 파악할 수 있으며, 이에 따라 공격 유형 간의 정보 중복을 완전히 배제시킬 수 있고, 탐지 오판율을 줄일 수 있는 효과가 있다.
대규모 네트워크, 공격 유형 탐지, 공격 상황 인지, 트래픽 정보, 트래픽 수신기, 트래픽 분류기, 트래픽 분석기, 해쉬 테이블, 해쉬 키, 해쉬엔트리.-
公开(公告)号:KR100772177B1
公开(公告)日:2007-11-01
申请号:KR1020060112962
申请日:2006-11-15
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416
Abstract: A method and a device for generating an intrusion detection event for testing a security function are provided to simply test the security function of products and systems related to security without real hacking or generation and intrusion of attack packets by generating the intrusion detection events for various situations. A method for generating an intrusion detection event for testing a security function is composed of steps for setting a basic information list for generating the intrusion detection event(S100); setting a basic template of the intrusion detection event(S110); selecting specific basic information in the set basic information list(S120); generating a virtual intrusion detection event by inserting the chosen basic information into the basic template(S130); and transmitting the generated virtual intrusion detection event to a security system to be tested(S140).
Abstract translation: 提供了一种用于生成用于测试安全功能的入侵检测事件的方法和设备,以简单地测试与安全相关的产品和系统的安全功能,而无需真正的黑客入侵或攻击包的生成和入侵,并通过生成针对各种情况的入侵检测事件 。 用于生成用于测试安全功能的入侵检测事件的方法包括用于设置用于生成入侵检测事件的基本信息列表的步骤(S100); 设置入侵检测事件的基本模板(S110); 在设定的基本信息列表中选择特定的基本信息(S120); 通过将所选择的基本信息插入到基本模板中来生成虚拟入侵检测事件(S130); 以及将生成的虚拟入侵检测事件发送到要测试的安全系统(S140)。
-
公开(公告)号:KR100656351B1
公开(公告)日:2006-12-11
申请号:KR1020050084658
申请日:2005-09-12
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: A device and a method for analyzing risk management based on network vulnerability evaluation are provided to increase analysis performance by considering relation between alarm data and vulnerability information, analyze correlation with a current countermeasure policy in addition, and use only the actually needed alarm data. A preprocessor(300) discriminates an attack type of the alarm data generated in the network according to a source/destination IP(Internet Protocol), an attack name, and presence of a port number according to a service sort. A database processor(350) collects and stores the vulnerability information for network assets by using a vulnerability analyzer. A correlation analyzer(310) associates the alarm data according to the presence of the destination IP, the attack name, and the port number, and opening of the port with the presence of the stored vulnerability information for the asset. A countermeasure processor(330) generates or revokes an alarm depending on an association result, and generates the countermeasure policy corresponding to the alarm.
Abstract translation: 本发明提供一种基于网络脆弱性评估的风险管理分析装置和方法,通过考虑告警数据与脆弱性信息的关系,增加分析性能,并与当前的对策策略进行关联分析,仅使用实际需要的告警数据。 预处理器(300)根据服务类别根据源/目的地IP(互联网协议),攻击名称和端口号的存在来区分在网络中产生的警报数据的攻击类型。 数据库处理器(350)通过使用漏洞分析器收集和存储网络资产的漏洞信息。 相关性分析器(310)根据目的IP的存在,攻击名称和端口号以及端口的开放将警报数据与存在所存储的资产的漏洞信息相关联。 对策处理器(330)根据关联结果生成或撤消警报,生成与该警报对应的对策策略。
-
公开(公告)号:KR100651746B1
公开(公告)日:2006-12-01
申请号:KR1020050110358
申请日:2005-11-17
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: A network state display device using traffic flow-radar and a method thereof are provided to intuitively display harmful traffic and abnormality which deteriorate the performance of a network by analyzing and extracting predetermined traffic characteristics, thus the current network state can be easily recognized. A traffic characteristic extractor(110) calculates flow occupancy ratios of each traffic characteristic by targeting on overall flows, micro-flows and macro-flows in reference to traffic information on each traffic characteristic of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios of the traffic characteristic flows as dots on a radar. A traffic abnormality decider(130) decides whether a network is abnormal by referring to the radar, and if an abnormal state occurs, the decider(130) detects and reports a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state.
Abstract translation: 提供一种使用交通流量雷达的网络状态显示装置及其方法,以通过分析和提取预定的交通特征来直观地显示损害网络性能的有害交通和异常,因此可以容易地识别当前网络状态。 交通特征提取器(110)通过针对关于协议的每个通信量特征的交通信息,发送/接收主机地址,端口和网络的整体流量,微流量和宏流量来计算每个通信量特性的流量占用率 由外部交通信息收集器收集的地址,并存储计算出的值。 交通状况显示(120)将计算并存储的交通特征流的占用率显示为雷达上的点。 业务异常判定器(130)通过参考雷达判定网络是否异常,并且如果发生异常状态,则判定器(130)检测并报告异常状态的类型和异常业务或导致异常的有害业务 州。
-
Patent Agency Ranking
公开(公告)号:KR100628317B1
公开(公告)日:2006-09-27
申请号:KR1020040101086
申请日:2004-12-03
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , G06F21/552 , G06F21/85 , H04L63/1441
Abstract: 본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지-
公开(公告)号:KR100523483B1
公开(公告)日:2005-10-24
申请号:KR1020020065176
申请日:2002-10-24
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 본 발명은 네트워크의 유해트래픽 탐지 및 대응 시스템 및 방법에 관한 것으로서, 그 시스템은 능동 네트워크 보안 프레임 워크에서, 보안노드시스템으로 유입되는 트래픽의 변동을 감시하여 변동이 감지되면 보안관리 시스템으로 송신하는 트래픽모니터링부; 이로부터 유해트래픽 추적 여부를 결정하고, 보안노드시스템으로 전송하는 유해트래픽추적관리부; 및 기준치 초과 트래픽 성분을 갖는 IP 주소를 검출하고 IP 주소가 위치하는 보안노드시스템 상에서 IP 주소에서 송신되는 기준치 초과 트래픽을 검출 및 차단하고 그 결과를 보안관리 시스템으로 전달하는 유해트래픽추적부를 포함함을 특징으로 한다. 본 발명에 의하면, 대역폭 소모형 분산 서비스 거부 공격과 같은 유해 트래픽을 조기에 탐지하고, 그 근원지를 추적하여 원천봉쇄하는 할 수 있다.
-
公开(公告)号:KR100466214B1
公开(公告)日:2005-01-14
申请号:KR1020010082497
申请日:2001-12-21
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: PURPOSE: A method for setting security ranks reflecting variable security condition and a recorded medium therefor are provided to analyze and process detected invasion data and system management data, and to measure a current network situation with a security rank, then to operate a state transferring model, thereby establishing and performing strategies in consideration of flexible network situations. CONSTITUTION: If invasion or attach detection data are received through a network, an analyzer analyzes invasion or attach risks, importance of an attacked target, traffic amount and traffic frequency of the invasion data, and seriousness of the invasion data based on a preset analysis standard. The system sets security ranks based on a preset security rank table by analyzed results. The system decides whether to maintain the set security ranks according to variable security conditions, and re-controls the security ranks.
Abstract translation: 目的:提供一种设置反映可变安全条件的安全等级的方法及其记录介质,用于分析和处理检测到的入侵数据和系统管理数据,并以安全等级测量当前网络状况,然后运行状态转移模型 从而在考虑到灵活的网络状况的情况下建立并执行策略。 构成:如果通过网络接收到入侵或附着检测数据,分析仪根据预设的分析标准分析入侵或附着风险,攻击目标的重要性,入侵数据的流量和流量频率以及入侵数据的严重性 。 系统根据预设的安全等级表,通过分析结果设置安全等级。 系统根据可变安全条件决定是否维持设定的安全级别,并重新控制安全级别。
-
公开(公告)号:KR100439177B1
公开(公告)日:2004-07-05
申请号:KR1020020002465
申请日:2002-01-16
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/0263 , H04L63/20
Abstract: A network security policy is represented, stored and edited by using a rule object, a condition object, an action object, and their associations. The condition object is a one-packet-condition object, a repeated-packet-condition object or a linear-packet-condition object. The action object is an alert-action object, a packet-drop-action object, a packet-admission-action object, a session-drop-action object, a session-admission-action object, a session-logging-action object, a traceback-action object or an ICMP-unreachable-message-sending-action object.
Abstract translation: 网络安全策略通过使用规则对象,条件对象,动作对象及其关联来表示,存储和编辑。 条件对象是单数据包条件对象,重复数据包条件对象或线性数据包条件对象。 动作对象是警报动作对象,数据包丢弃动作对象,数据包允许动作对象,会话放置动作对象,会话允许动作对象,会话记录动作对象, 追踪动作对象或ICMP不可达消息发送动作对象。
-
-
-
-
-
-
-
-
-
Search Results
142
records
(took 0.039 seconds)
