-
公开(公告)号:KR1020060063610A
公开(公告)日:2006-06-12
申请号:KR1020050054370
申请日:2005-06-23
Applicant: 한국전자통신연구원
Abstract: 본 발명은 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치에 관한 것으로, (a) 현재 입력 패킷에 대한 일련정보를 추출하는 단계; (b) 상기 추출된 현재 입력 패킷에 대한 일련정보를 기준으로 적어도 한 개 이상의 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보가 기 저장되어 있는지 판단하는 단계; (c) 상기 현재 입력 패킷의 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보중 적어도 어느 하나가 기 저장되어 있다고 판단되는 경우에, 상기 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보를 로딩하는 단계; 및 (d) 상기 로딩된 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보와 상기 현재 입력 패킷을 재조합하여 기 저장되어 있는 공격패턴과 패턴 매칭을 수행하는 단계;로 구성된다. 따라서, 패킷 재조합을 이용하여 속도를 저하시키지 않으면서도 메모리 사용을 줄일 수 있는 패턴 매칭 방법 및 장치를 제공할 수 있다.
-
公开(公告)号:KR1020060063342A
公开(公告)日:2006-06-12
申请号:KR1020040102489
申请日:2004-12-07
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1408
Abstract: 본 발명은 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법에 관한 것으로, 웜(Worm)등의 네트워크 공격으로 의심되는 패킷들로부터 공통된 패턴을 실시간으로 찾아내어 공격을 효과적으로 차단하는 실시간 공격 패턴 검출 시스템 및 그 방법에 대한 것이다. 본 발명은 입력되는 모든 패킷에서 의심스러운 공격 패킷을 분류하는 의심패킷 검출기와, 상기 의심패킷 검출기로부터 입력 패킷을 입력받아 한 클록 지연된 데이터를 출력하는 제1 데이터 지연장치와, 상기 제1 데이터 지연장치로부터 출력되는 신호를 입력받아 한 클록 지연된 데이터를 출력하는 제2 데이터 지연장치와, 상기 의심패킷 검출기로부터 출력되는 입력 데이터와 상기 제1 데이터 지연장치로부터 출력되는 데이터와 상기 제2 데이터 지연장치로부터 출력되는 데이터를 입력받아 해쉬 키를 발생시키는 해쉬 키 발생기와, 상기 해쉬 키 발생기로부터 발생된 해쉬 키에 의한 룩업 결과를 저장하는 해쉬 테이블과, 상기 해쉬 테이블의 룩업 결과를 검증하는 룩업결과 검증기로 구성되는 것을 특징으로 한다.
네트워크, 웜, 공격 패턴, 시그너쳐-
公开(公告)号:KR1020060039984A
公开(公告)日:2006-05-10
申请号:KR1020040089142
申请日:2004-11-04
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1466 , H04L63/1408 , H04L63/20
Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치 및 그 방법에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은 활동중인 호스트의 위치 및 서비스 정보(호스트 정보)를 자동 학습하고 그 학습한 결과를 기반으로 하여 비정상적인 IP 주소를 사용하는 공격 호스트를 원천적으로 차단하는 네트워크 공격 차단 장치 및 그 방법을 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 비정상 IP 주소를 사용하는 네트워크 공격을 차단하는 장치에 있어서, 수신 패킷의 플로우 식별정보를 추출하기 위한 플로우 식별정보 추출 수단; 활동 호스트 정보를 저장하고 있는 활동 호스트 정보(AHI : Active Host Information) 저장 수단; 상기 플로우 식별정보 추출 수단에서 추출한 플로우 식별정보를 상기 활동 호스트 정보(AHI) 저장 수단에 등록하고 상기 활동 호스트 정보(AHI) 저장 수단에 등록된 정보를 검증하여 호스트 정보를 학습하기 위한 호스트 정보 학습 수단; 상기 수신 패킷의 IP 주소 및 포트 정보가 상기 활동 호스트 정보(AHI) 저장 수단에 존재하는지를 상기 플로우 식별정보를 이용하여 검사하여 비정상 IP 주소를 탐지하기 위한 비정상 IP 주소 탐지 수단; 상기 비정상 IP 주소 탐지 수단에서 탐지한 비정상 IP 주소를 갖는 공격 호스트에 대한 대응 여부를 결정하기 위한 공격 대응 결정 수단; 상기 공격 대응 결정 수단에서의 공격 대응 결정에 따라 공격 호스트에 대한 차단을 실행하기 위한 공격 차단 수단; 및 외부와 인터페이스하기 위한 인터페이싱 수단을 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 공격을 차단하는 보안 분야 등에 이용됨.
위조된 출발지 IP 주소, 비정상적인 목적지 IP 주소, 플로우 식별정보 추출, 정보 학습, 비정상 IP 주소 탐지, 공격 차단, 서비스 거부 공격, 웜 바이러스-
公开(公告)号:KR1020060013815A
公开(公告)日:2006-02-14
申请号:KR1020040062415
申请日:2004-08-09
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1408 , G06F7/74 , G06F17/30949
Abstract: 본 발명은 해쉬 테이블 주소 분산 장치 및 방법, 이를 이용한 패턴매칭 장치에 관한 것으로, 침해 규칙을 구성하는 문자열 각각의 바이트를 소정의 비트수만큼 확장하여 각각의 바이트에 대하여 문자열내의 순서 -1만큼 좌측 또는 우측으로 쉬프팅하고, 상기 문자열내 순서 -1만큼의 쉬프팅된 최상위 비트들을 문자열내 순서 -1만큼의 최하위 비트에 제공하여 각 바이트에 대하여 스펙트럼을 분산시킨 후, 스펙트럼 분산된 모든 바이트에 대하여 소정의 해쉬함수를 적용함으로써 빠른 패턴매칭을 수행하게 한다.
침입 탐지, 침해 규칙, 고속 패턴 매칭, 해쉬 테이블-
公开(公告)号:KR100537905B1
公开(公告)日:2005-12-20
申请号:KR1020040026639
申请日:2004-04-19
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: 본 발명에 의한 폭주형 집합 플로우에 대한 대역폭 제한 결정 장치 및 그 방법은 입력되는 적어도 하나 이상의 집합 플로우들의 대역폭을 집합 플로우의 특징을 나타내는 소정의 정보를 기초로 측정하는 대역폭측정부; 상기 입력되는 집합 플로우들의 비정상 정도에 따라 등급을 결정하는 등급결정부; 상기 측정된 대역폭과 비정상 등급에 기초하여 제한을 가할 대역폭의 양과 집합 플로우를 결정하는 대역폭제한결정부; 상기 대역폭제한결정부의 결정 결과를 입력받아 상기 입력되는 집합 플로우들 중에서 선택된 집합 플로우의 대역폭을 제한하거나 해제하여 출력하는 대역폭제한부; 및 상기 입력 집합 플로우들의 사용 대역폭과 비정상 등급 그리고 제한된 대역폭 양을 포함하는 상태정보를 저장하는 상태정보저장부;를 포함하는 것을 특징으로 하며, 망의 접속단에 설치되어, 정상 집합 플로우들에게는 영향을 주지 않으면서도, DoS 공격 및 Worm 스캔 공격에 사용되는 비정상 과다 트래픽에 해당하는 공격 집합 플로우들을 차단하는 효과가 있다.
-
Patent Agency Ranking
公开(公告)号:KR1020050066986A
公开(公告)日:2005-06-30
申请号:KR1020040087047
申请日:2004-10-29
Applicant: 한국전자통신연구원
IPC: H04L12/741
Abstract: 순차룩업에 의한 패킷헤더 룩업장치 및 방법이 개시된다. 헤더분석부는 네트워크를 통해 수신된 패킷으로부터 헤더를 분리하고, 분리된 헤더에 존재하는 필드중에서 값이 설정되어 있는 분석대상필드와 하나 이상의 헤더조합룰에 포함되어 있는 필드에 대한 룩업순서를 출력한다. 단위룩업부는 헤더분석부로부터 입력받은 룩업순서를 기초로 헤더분석부로부터 입력받은 각각의 분석대상필드에 대해 헤더조합룰과의 매치여부를 룩업하여 매치신호와 매치주소를 출력한다. 룰조합메모리는 분석대상필드에 해당하는 엔트리를 사용하는 헤더조합룰에 대한 식별정보를 저장하며, 단위룩업부로부터 입력된 매치주소에 대응하는 저장장소로부터 식별정보를 독출하여 출력한다. 순서조합메모리는 패킷헤더를 구성하는 필드들에 대해 정해진 룩업순서정보 및 각각의 헤더조합룰에서 참고하여야 하는 필드의 룩업결과에 대한 정보인 순서조합정보가 저장되며, 분석대상필드에 포함되어 있는 엔트리에 대해 부여된 순서정보를 입력주소로 하여 헤더조합룰에서 참고하여야 하는 순서조합정보를 독출하여 출력한다. 룰조합부는 단위룩업부로부터 입력된 매치신호와 룰조합메모리 및 순서조합메모리로부터 독출한 데이터를 기초로 매치결과를 생성한다. 본 발명에 따르면, 하드웨어의 손실은 최소화하면서도 고속의 침입 탐지가 가능하며, 다양한 새로운 공격에 대해 신속하게 탐지 룰을 업데이트 할 수 있다.
-
公开(公告)号:KR1020050057832A
公开(公告)日:2005-06-16
申请号:KR1020030090036
申请日:2003-12-11
Applicant: 한국전자통신연구원
CPC classification number: H04L43/0888 , H04L47/365
Abstract: 본 발명은 네트웍 트래픽 모니터링 등과 같이 트래픽 정보를 필요로 하는 분야에서 트래픽을 IP 계층에서 미터링할 때, 패킷들이 단편화되어 있어도 각 플로우에 해당하는 패킷 조각들을 모두 인식하여 보다 정확하게 플로우 별로 트래픽의 양을 측정할 수 있는 트래픽 미터링 방법 및 장치로서, 트래픽을 미터링할 때 입력되는 패킷이 단편화가 된 패킷이면 주소정보 및 ID정보를 기본 플로우 정보로 미터링이 되고, 단편화가 안 된 일반 IP 패킷 인 경우는 주소정보 및 포트정보를 기본 플로우 정보로 하여 미터링되도록 함으로써, 트래픽 양을 측정하는데 있어서 더 정확한 측정이 가능하다.
-
公开(公告)号:KR1020050032765A
公开(公告)日:2005-04-08
申请号:KR1020030068718
申请日:2003-10-02
Applicant: 한국전자통신연구원
IPC: H04L9/00
CPC classification number: H04L63/1416 , H04L63/0245
Abstract: A system for detecting/preventing in-line mode network intrusion and a method for the same are provided to rapidly respond to the network intrusion by processing the network intrusion and the invasion prevention in real time. A system for detecting/preventing in-line mode network intrusion includes a first network processor unit(221), a second network processor unit(231) and a personal computer(240). The first network processor unit(221) collects various statistical value data in response to the metering rule by monitoring the packet data unit(PDU) received from outside and selectively discards or passes the received PDU in response to the packet blocking rule and manufactures the copied PDU in response to the sensing rule. The second network processor unit(231) detects the protection and the intrusion state between the networks by using at least one invasion signature for the payload of the PDU received from the first network processor unit(221). And, the personal computer(240) generates or updates the packet prevention rule for preventing the intrusion detected from the second network processor unit(231) to supply the packet prevention rule to the first network processor unit(221).
Abstract translation: 提供用于检测/防止在线模式网络入侵的系统及其方法,以通过实时处理网络入侵和入侵防御来快速响应网络入侵。 用于检测/防止串联模式网络入侵的系统包括第一网络处理器单元(221),第二网络处理器单元(231)和个人计算机(240)。 第一网络处理器单元(221)通过监视从外部接收到的分组数据单元(PDU)来响应于计费规则来收集各种统计值数据,并且响应于分组阻塞规则选择性地丢弃或传递接收到的PDU,并且制造复制 PDU响应感测规则。 第二网络处理器单元(231)通过使用从第一网络处理器单元(221)接收的PDU的有效载荷的至少一个入侵签名来检测网络之间的保护和入侵状态。 并且,个人计算机(240)生成或更新用于防止从第二网络处理器单元(231)检测到的入侵的数据包防止规则,以将数据包防止规则提供给第一网络处理器单元(221)。
-
公开(公告)号:KR1020040055513A
公开(公告)日:2004-06-26
申请号:KR1020020082207
申请日:2002-12-21
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/205 , H04L63/1408 , H04L63/1441
Abstract: PURPOSE: An information model for a security policy of a policy-based network security system is provided to accept a detection policy, a cut-off policy, a sensing policy, an IP security policy and an alarm control policy by defining a policy information model. CONSTITUTION: A policy client system(120) analyzes packets accessing an internal network, detects an attack and transmits an alarm message to a policy server(110). The policy server(110) generates a systematical policy to cope with a possible attack through collective analysis by using traffic information, log information and alarm information received from multiple policy client systems(120). A policy storing unit(140) stores policies generated by the policy server(110). A policy determining module(112) transfers the policies of the policy storing unit(140) to the policy client system(120), and if a problem arises during performing a policy, the policy determining module(112) transfers it to a viewer(160). An alarm management module(114) stores alarm data transferred from the policy client system(120) in an alarm database(150) and transfers the alarm data and a result obtained by analyzing the alarm data to the viewer(160).
Abstract translation: 目的:提供基于策略的网络安全系统的安全策略的信息模型,通过定义策略信息模型来接受检测策略,截止策略,感知策略,IP安全策略和警报控制策略 。 规定:策略客户端系统(120)分析访问内部网络的分组,检测攻击并将警报消息发送到策略服务器(110)。 策略服务器(110)通过使用从多个策略客户端系统(120)接收到的交通信息,日志信息和报警信息,通过集体分析生成应对可能的攻击的系统策略。 策略存储单元(140)存储策略服务器(110)生成的策略。 策略确定模块(112)将策略存储单元(140)的策略传送到策略客户端系统(120),并且如果在执行策略期间出现问题,策略确定模块(112)将其传送给观众( 160)。 警报管理模块(114)将从策略客户机系统(120)传送的报警数据存储在报警数据库(150)中,并将报警数据和通过分析报警数据获得的结果传送给观察者(160)。
-
公开(公告)号:KR1020040044209A
公开(公告)日:2004-05-28
申请号:KR1020020071890
申请日:2002-11-19
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1458 , H04L47/50 , H04L47/6215 , H04L47/6255
Abstract: PURPOSE: A device for protecting normal traffic from DoS(Denial of Service) and DDoS(Distributed Denial of Service) attacks, and a device therefor are provided to maintain a load of a queue having a high priority, which is used by normal traffic, even when the traffic is increased owing to a DDoS attack, thereby minimizing loss of the normal traffic. CONSTITUTION: A queue(505) has a high priority. A queue(506) has a low priority. A queue information table(502) stores service queue information of a specific STT where a specific packet is included. A queue mapper(503) updates the queue information table(502) based on a load of the STT and a load of the queue(505). A packet classifier(504) retrieves a service queue of the STT if a packet is received, selectively transmits the packet to the queue(505) or the queue(506) according to retrieved results, and supplies information on the received packet to the queue mapper(503). A buffer(507) buffers outputs of the queues(505,506), and supplies the buffered outputs to a network(509) to be protected.
Abstract translation: 目的:提供一种用于保护来自DoS(拒绝服务)和DDoS(分布式拒绝服务)攻击的正常流量的设备及其设备,用于维护正常流量使用的具有高优先级的队列的负载, 即使由于DDoS攻击而导致流量增加,从而最大限度地减少了正常流量的损失。 构成:队列(505)具有高优先级。 队列(506)具有低优先级。 队列信息表(502)存储特定分组的特定STT的服务队列信息。 队列映射器(503)基于STT的负载和队列的负载(505)来更新队列信息表(502)。 如果接收到分组,则分组分类器(504)检索STT的服务队列,根据检索结果选择性地将分组发送到队列(505)或队列(506),并将接收到的分组的信息提供给队列 映射器(503)。 缓冲器(507)缓冲队列(505,506)的输出,并将缓冲的输出提供给要保护的网络(509)。
-
-
-
-
-
-
-
-
-
Search Results
160
records
(took 0.028 seconds)
