公开(公告)号：KR100432420B1

公开(公告)日：2004-05-22

申请号：KR1020010081719

申请日：2001-12-20

Applicant: 한국전자통신연구원

Inventor： 강동호 ,  최병철 ,  서동일

IPC: G06F15/00

Abstract: PURPOSE: A system and a method for judging attack using the log monitoring on an IDS(Intrusion Detection System) are provided to adjust the load of a reverse tracking system and to enhance the reliability for the attack detection by monitoring and processing a log generated from the IDS, and tracking the actual intrusion after judging it by a defined attack type. CONSTITUTION: A monitoring part(31) extracts an IP(Internet Protocol), time, and a log type from the log record detected by the IDS(11). A rule processor(32) previously defines the attack types for analyzing the attack logs, analyzes and compares the updated log from the monitored log with the defined attack type, and judges the actual attack if the updated log is agreed with the defined attack type. A statistics processor(33) improves the reliability for the attack log by applying a critical value for the updated log that is judged as the actual attack by the rule processor(32), and judges the log having the attack trial of a higher frequency than the critical value as the attack.

Abstract translation: 目的：提供一种利用IDS（入侵检测系统）上的日志监视来判断攻击的系统和方法，用于调整反向跟踪系统的负载并通过监视和处理从日志生成的日志来提高攻击检测的可靠性 IDS，并在通过确定的攻击类型判断它之后跟踪实际的入侵。 构成：监视部分（31）从由IDS（11）检测到的日志记录中提取IP（互联网协议），时间和日志类型。 规则处理器（32）预先定义用于分析攻击日志的攻击类型，分析并比较来自监控日志的更新日志与定义的攻击类型，并且如果更新的日志与定义的攻击类型一致则判断实际攻击。 统计处理器（33）通过对被判定为规则处理器（32）的实际攻击的更新日志应用临界值来提高攻击日志的可靠性，并且判断具有高于 作为攻击的临界值。

公开(公告)号：KR100427449B1

公开(公告)日：2004-04-14

申请号：KR1020010079179

申请日：2001-12-14

Applicant: 한국전자통신연구원

Inventor： 최병철 ,  서동일 ,  손승원 ,  박치항

IPC: H04L12/22

CPC classification number: H04L63/0227 ,  G06F21/55 ,  H04L63/0263 ,  H04L63/1416

Abstract: An intrusion detection method by adaptive rule estimation in a network-based intrusion detection system (NDS) is disclosed. The method includes collecting a packet on a network and searching for an original rule most similar to the collected packet from a rule database in which a rule for intrusion detection is stored, and judging whether a hacker intrudes by estimating a changed position of the collected packet from the original rule. Accordingly, it is possible to prevent an indirect attack of a hacker using a packet whose number of bits is changed due to deletion/insertion of characters from/into the packet.

Abstract translation: 公开了基于网络的入侵检测系统（NDS）中的自适应规则估计的入侵检测方法。 该方法包括收集网络上的分组并且从其中存储入侵检测规则的规则数据库中搜索与收集到的分组最为相似的原始规则，并且通过估计收集到的分组的改变的位置来判断黑客是否入侵 从原来的规则。 因此，可以防止使用由于从分组中删除/插入字符而改变了比特数的分组的黑客的间接攻击。

公开(公告)号：KR1020030046581A

公开(公告)日：2003-06-18

申请号：KR1020010076442

申请日：2001-12-05

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  서동일 ,  손승원 ,  박치항

IPC: H04L12/22

CPC classification number: G06F21/566 ,  G06F9/544 ,  G06F21/50 ,  G06F21/57

Abstract: PURPOSE: A real time buffer overflow hacking detecting method is provided to detect and prevent a buffer overflow hacking attempt to a system by analyzing a system call generation position on a real time basis and detecting an unknown hacking form. CONSTITUTION: It is judged whether a system call paging has occurred(S401). If the system call paging has occurred, a system call generation address is extracted(S402). The extracted address is compared to a normal process memory region(S403). It is judged whether the system call paging has occurred in a stack region of a memory(S404). If the system call paging has occurred in the stack region of the memory, the system call paging is compared with a system call list(S405), to judge whether it is on the system call list(S406). If the system call paging has not occurred in the stack region of the memory, the system call is normally processed(S407). If the system call is on the system call list, a corresponding process is stopped and an alarm is provided to a system manager(S408).

Abstract translation: 目的：提供实时缓冲区溢出黑客检测方法，通过实时分析系统呼叫生成位置和检测未知的黑客攻击形式来检测和防止对系统的缓冲区溢出黑客攻击。 构成：判断是否发生了系统呼叫寻呼（S401）。 如果发生系统呼叫寻呼，则提取系统呼叫生成地址（S402）。 提取的地址与正常的处理存储器区域进行比较（S403）。 判断是否在存储器的堆栈区域中发生了系统呼叫寻呼（S404）。 如果在存储器的堆栈区域中发生了系统呼叫寻呼，则将系统呼叫寻呼与系统呼叫列表进行比较（S405），以判断其是否在系统呼叫列表上（S406）。 如果在存储器的堆栈区域没有发生系统呼叫寻呼，则通常对系统调用进行处理（S407）。 如果系统呼叫在系统呼叫列表上，则相应的进程停止并向系统管理器提供警报（S408）。

公开(公告)号：KR100238449B1

公开(公告)日：2000-01-15

申请号：KR1019970061581

申请日：1997-11-20

Applicant: 한국전자통신연구원

Inventor： 서동일 ,  강훈

IPC: H04L12/28

Abstract: 본 발명은 ATM 근거리 통신망(LAN) 시스템에서 통합지역관리접속(ILMI) 규격을 이용한 망관리 시스템(NMS) 운용 방법에 관한 것이다. 기존의 근거리 통신망 뿐만 아니라 ATM 기술을 사용하는 근거리통신망(ATM-LAN)을 관리 운용하기 위해서는 망관리시스템을 구성하여야 한다. 그러나, ATM-LAN을 관리 하기 위해서 기존의 이더넷 포트들을 모든 ATM 장치들에 설치 한다는 것은 매우 높은 망자원의 손실을 초래하게 된다. 즉, M1, M2 라는 연결점이 필요한 것이다. 그러나, 본 발명에서는 M1 을 이더넷 포트로 연결하는 대신에, L1을 통해서 연결되는 ILMI 프로토콜을 사용하여 ALAN-BS 장치가 단말장치를 제어할 수 있도록 하고 있다. 따라서, 본 발명에 의한 망관리 시스템은 M1 이더넷 포트를 사용하지 않아도 되므로, 기존의 망관리시스템에 비해서 망자원의 손실을 최소화 시킬 수 있는 것이다.

公开(公告)号：KR100175498B1

公开(公告)日：1999-04-01

申请号：KR1019960044798

申请日：1996-10-09

Applicant: 한국전자통신연구원

Inventor： 서동일

IPC: H04L29/12 ,  H04L12/28 ,  H04L12/751 ,  H04L12/70

Abstract: 본 발명의 ATM근거리통신망 시스템에서의 자동 주소등록방법에 관한 것으로서, 종래 기술에서 망관리자 또는 운용자가 일일이 수동으로 사용자 장치의 주소를 등록하여 번거로웠던 문제점을 해결하기 위해, 본 발명은 ATM기술을 사용하는 근거리통신망(LAN)으로의 사용자 접속요청을 실시간적으로 수신하는 단계와, 이 접속요청을 한 서로 다른 주소를 갖는 사용자의 장치가 자동 주소 등록 기능을 지원하는지를 확인 하는 단계와, 이 확인에 의해 상기 기능을 지원할 경우 이미 존재하는 주소를 정상 등록하여 시스템의 주소를 갱신한 후 운용자에게 보고하는 단계와, 그 자동 주소등록기능을 지원하지 않는 경우 운용자가 직접 접속 장치의 주소를 등록하여 시스템의 주소를 갱신한 후 운용자에게 보고하는 단계를 수행함으로써, 각 사용자들이 LAN에 접속 함과 동시에 자동적으로 각각의 사용자가 등록되어 인력자원을 감소시키는 효과가 있다.

公开(公告)号：KR1019980037189A

公开(公告)日：1998-08-05

申请号：KR1019960055905

申请日：1996-11-21

Applicant: 한국전자통신연구원

Inventor： 서동일 ,  강훈

IPC: H04L12/56

Abstract: 종래의 TCP/IP 프로토콜을 사용하는 근거리 통신망은 장치에 이상이 발생된 경우에 해당 장치의 운용자가 수동으로 파워(power)를 제어하거나 혹은 고장이 발생된 모듈을 리셋하는 등의 번거로움을 해결하기 위한 본 발명은 ATM 기술을 사용하여 통신을 수행하는 ALAN-BS 시스템의 망관리자에 의해 시스템을 초기화 시키므로써 ATM 근거리 통신망 장치를 무인 운용할 수 있으며, 원격지에서 특정 부분 혹은 전체적인 시스템을 초기화 할 수 있는 비동기 전송 모드(ATM) 근거리 통신망(LAN)에서 망 관리자에 의한 시스템 초기화 방법이 개시된다.