公开(公告)号：KR1020170081386A

公开(公告)日：2017-07-12

申请号：KR1020160000353

申请日：2016-01-04

Applicant: 한국전자통신연구원

Inventor： 문대성 ,  김익균 ,  최양서

IPC: G06F21/56 ,  G06F15/18

CPC classification number: G06F21/55 ,  G06F21/552 ,  G06F2221/034 ,  G06N99/005

Abstract: 다중특징벡터를이용하는행위기반악성코드탐지장치및 방법이개시된다. 악성코드학습방법은악성코드가포함된훈련대상프로세스가실행되는과정에서특성인자정보를수집하는단계; 상기수집된특성인자정보를이용하여악성코드판단을위한특징벡터를생성하는단계; 상기생성된특징벡터를기계학습알고리즘을이용하여학습하는단계; 및상기학습된특징벡터를저장하는단계를포함할수 있다.

Abstract translation: 公开了使用多个特征向量的基于行为的恶意软件检测设备和方法。 该恶意代码学习方法包括：在执行包括恶意代码的训练目标进程的过程中，收集特征参数信息; 使用收集的特征参数信息生成用于恶意代码确定的特征向量; 使用机器学习算法学习生成的特征向量; 并存储学习的特征向量。

公开(公告)号：KR1020170054215A

公开(公告)日：2017-05-17

申请号：KR1020160052154

申请日：2016-04-28

Applicant: 한국전자통신연구원

Inventor： 김정태 ,  강구홍 ,  김익균

IPC: H04L29/06 ,  H04L12/26

Abstract: 본발명은사이버해킹공격에대한추적방법에관한것으로, 보다상세하게는네트워크플로우(NetFlow) 데이터를이용하여연결의핑거프린트를생성하고근원지를역추적하는방법에관한것이다. 본발명에따른넷플로우기반연결핑거프린트생성및 경유지역추적방법은피해지및 연결체인상의마지막연결인타겟연결에해당되는공격지의아이피패킷속성정보를포함하는역추적요청을수신하는단계와, 아이피패킷속성정보를바탕으로관련연결에대한핑거프린트를생성하고, 넷플로우콜렉터로관련정보를요청하는단계와, 핑거프린트생성시에만들어진타겟연결에대한경유지연결을검출하여, 선별된대상연결이타겟연결과동일한연결체인상에존재하는지여부를확인하는단계및 타겟연결과동일한연결체인상에존재하는것으로확인된대상연결에대하여공격자호스트를기준으로한 연결순서를결정하는단계를포함하는것을특징으로한다.

Abstract translation: 本发明涉及一种跟踪方法，用于一网络黑客攻击，在更具体地涉及产生连接的一个指纹的方法和追溯到使用网络流量（的NetFlow）数据源。 按照本发明，指纹生成，并经由本地跟踪方法净基于流的连接不受影响并连接到接收包含攻击手指IP分组属性相对应的信息来连接到所述链，IP目标的回溯请求的最后一个环节 基于所述分组属性信息，生成指纹的相关连接，通过检测中转连接到在请求额外信息，以净流量集电极，指纹生成的步骤的时间取得的目标连接，并且所选择的目的地的连接目标 相对于一个目标连接确定步骤，以确定在相同的连接链与连接和目标连接的存在是否在相同的连接链，其特征在于它包括确定基于攻击者主机上的连接顺序的一个步骤 的。

公开(公告)号：KR101677696B1

公开(公告)日：2016-11-18

申请号：KR1020100127579

申请日：2010-12-14

Applicant: 한국전자통신연구원

Inventor： 김익균 ,  신경선 ,  엄낙웅 ,  정희범

IPC: H04N19/573 ,  H04N19/533 ,  H04N19/56 ,  H04N19/61 ,  H04N19/59

CPC classification number: H04N19/557 ,  H04N19/53 ,  H04N19/533 ,  H04N19/56 ,  H04N19/61

Abstract: 움직임탐색시효율적인움직임벡터추출방법및 그장치가개시된다. 원영상에서탐색개시위치를결정하여나선형움직임탐색을수행하는단계및 P 픽처탐색시서브샘플링영상에서의탐색수행여부를판정하는단계를포함하는움직임벡터추출방법은서브샘플링영상을이용하면서나선형움직임탐색, 확장탬플릿의복수병용이라는방안을조합한새로운계층나선형움직임탐색방법인서브샘플링탐색에의한다수의움직임벡터후보검출에의해탐색정도(accuracy)를개선할수 있는효과가있다.

公开(公告)号：KR1020150091713A

公开(公告)日：2015-08-12

申请号：KR1020140012271

申请日：2014-02-03

Applicant: 한국전자통신연구원

Inventor： 김종현 ,  김익균

IPC: G06F21/55 ,  G06F21/56

CPC classification number: H04L63/1416 ,  G06F21/552 ,  G06F21/561 ,  H04L2463/142

Abstract: 본 발명은 네트워크 환경에서 이벤트 정보를 수집하는 정보 처리부; 상기 이벤트 정보로부터 정상 인자와 공격특성 인자를 추출하는 인자 추출부; 상기 공격특성 인자의 상기 정상 인자와의 연관성을 분석한 후, 상기 연관성 분석 결과를 DNA 구조로 나타낸 공격특성 DNA를 생성하는 DNA 생성부; 및 상기 이벤트 정보, 상기 공격특성 DNA가 저장된 저장부;를 포함하는 것을 특징으로 하는 공격특성 DNA 생성 장치를 제공한다. 따라서 본 발명은 수집된 사이버 공격특성 인자를 사이버 공격특성 DNA 들과 비교하여, 현재 진행 중인 공격 유형이 직관적으로 인식될 수 있도록 하는 효과가 있다.

Abstract translation: 本发明提供一种用于生成攻击特征DNA的装置，包括：信息处理单元，收集网络环境中的事件信息; 元素提取单元，从事件信息提取正常元素和攻击特征元素; 分析攻击特征元素与正常元素的相关性的DNA生成单元，然后利用DNA结构生成表达相关分析结果的攻击特征DNA; 以及存储单元，存储事件信息和攻击特征DNA。 因此，本发明将收集的网络攻击特征元素与网络攻击特征DNA进行比较，从而具有直观地识别当前执行的攻击类型的效果。

公开(公告)号：KR1020150084123A

公开(公告)日：2015-07-22

申请号：KR1020140003781

申请日：2014-01-13

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  김익균

IPC: G06F21/50 ,  G06F17/00

CPC classification number: G06F21/566

Abstract: 본발명은이상행위탐지장치및 방법에관한것으로, 시스템상에서프로세스가실행되는동안상기프로세스로부터수집한데이터에근거하여시스템자원별로발생한행위를분석하는행위분석부, 상기시스템자원별행위를기반으로생성된좌표상에각 시스템자원별행위분석결과를모델링하여상기시스템의자원들에대응하는프로세스행위모델을생성하는행위모델링부, 상기시스템자원별행위를기반으로생성된좌표상에구현된프로세스행위모델의형태에따라해당프로세스의의심행위를판별하는의심행위판별부, 및상기의심행위판별부의판별결과에따라의심행위가발생한프로세스를이상행위프로세스로탐지하는프로세스탐지부를포함한다.

Abstract translation: 本发明涉及一种用于检测异常行为的设备和方法，其包括：行为分析单元，其基于在所述过程在所述系统上运行时从所述过程收集的数据分析在每个系统资源中发生的行为; 行为建模单元，对系统资源行为上的每个系统资源的行为分析结果进行建模，并创建与系统资源相对应的过程行为模型; 可疑行为判断单元，其根据在基于系统资源的行为生成的坐标上实现的过程行为模型的形状来确定可疑行为; 以及处理检测单元，其根据可疑行为判断单元提交的检测结果，通过使用异常行为处理来检测具有可疑行为的处理。

公开(公告)号：KR1020150060351A

公开(公告)日：2015-06-03

申请号：KR1020130144690

申请日：2013-11-26

Applicant: 한국전자통신연구원

Inventor： 한민호 ,  김정태 ,  김익균 ,  조현숙

IPC: G06F21/50 ,  G06F11/30

CPC classification number: H04L63/1416 ,  H04L63/1466 ,  H04L63/164

Abstract: TCP Connection 상의비 연결성을가지는사이버표적공격에서 C&C 서버의배후에존재하는공격자, 즉, 공격근원지를추적하는공격근원지추적장치및 방법이개시된다. 본발명에따른공격근원지추적장치는, 서버를경유하여발생한, 시스템을향한공격을탐지하여상기서버에대한정보를추출하는서버정보추출부, 상기서버에대한정보를기반으로상기서버에추적에이전트를설치하는추적에이전트설치부및 추적에이전트에의하여획득된상기서버의네트워크정보를분석함으로써상기시스템을향한공격의근원지를색출하는추적부를포함한다.

Abstract translation: 公开了一种攻击源站点跟踪设备和用于跟踪C＆C服务器（即攻击源站点）后面的攻击者在TCP连接上具有非连接的网络目标攻击的方法。 根据本发明的攻击源站点跟踪设备包括：服务器信息提取单元，其经由服务器检测对系统的攻击，并提取服务器上的信息; 跟踪代理安装单元，其基于服务器上的信息在服务器上安装跟踪代理; 以及跟踪单元，通过分析由跟踪代理获得的服务器的网络信息，将攻击源站点向系统进行搜索。

公开(公告)号：KR1020150000986A

公开(公告)日：2015-01-06

申请号：KR1020130073470

申请日：2013-06-26

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김병구 ,  김익균

IPC: G06F21/53 ,  G06F9/44

CPC classification number: G06F17/30233 ,  G06F17/30194 ,  G06F21/606 ,  G06F21/53 ,  G06F9/45504

Abstract: 본 발명은 가상화 환경에서 실행 파일을 재구성하는 장치 및 그 방법에 관한 것이다. 가상화 환경에서 실행 파일을 재구성하는 장치는 가상 환경에서 가상 스위치를 통해 송수신되는 패킷들을 수집하는 단계, 패킷들 중 실행 파일이 포함된 실행 파일 패킷을 추출하는 단계, 실행 파일 패킷의 세션에 속하는 세션 패킷들을 순차적으로 수집하는 단계 및 세션 패킷들 각각의 응용 프로토콜을 확인한 결과를 토대로 실행 파일을 재구성하는 단계를 포함한다.

Abstract translation: 本发明涉及一种在虚拟环境中重构可执行文件的装置和方法。 用于重建虚拟环境中的可执行文件的装置包括以下步骤：收集通过虚拟环境中的虚拟交换机发送和接收的分组; 提取包含包中的可执行文件的可执行文件包; 依次收集属于可执行文件包会话的会话数据包; 以及根据确认各个会话分组的应用协议的结果来重建可执行文件。

公开(公告)号：KR1020140117753A

公开(公告)日：2014-10-08

申请号：KR1020130032212

申请日：2013-03-26

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  손선경 ,  허영준 ,  나중찬 ,  김익균

IPC: H04L12/22 ,  H04L12/26

CPC classification number: G05B15/02 ,  H04L63/0263 ,  H04L63/1408 ,  H04L63/1425 ,  H04L63/1441 ,  H04L63/20 ,  H04L2012/40228

Abstract: The present invention relates to an abnormal traffic detection method on a control system protocol. The disclosed abnormal traffic detection method comprises the steps of testing whether session information exists in a management table if a received packet is a MODBUS request message; adding a new entry in the management table if the session information does not exist in the management table; testing whether a transaction ID within a corresponding table entry is the same as a transaction ID of the received MODBUS request message, if the session information exists in the management table; testing whether data of the received MODBUS request message is the same as data within a table entry, if the transaction ID of the table entry is not the same as that of the MODBUS request message; detecting the received data as an abnormal traffic if the transaction ID or the data of the data entry is the same as that of the MODBUS request message; and updating the table entry with packet information of the MODBUS request message if the data of the table entry is not the same as that of the MODBUS request message. Therefore, the present invention can detect and handle the abnormal traffic that disturbs a normal service connection or causes an error on the control system protocol, at an early stage, thereby providing a stable connection system between control systems which can rapidly detect and handle the abnormal traffic caused by a system and a network error as well as an intentional behavior of an invader.

Abstract translation: 本发明涉及一种控制系统协议的异常流量检测方法。 所公开的异常业务检测方法包括以下步骤：如果接收的分组是MODBUS请求消息，则测试会话信息是否存在于管理表中; 如果管理表中不存在会话信息，则在管理表中添加新条目; 如果会话信息存在于管理表中，则测试对应的表项中的事务ID是否与所接收的MODBUS请求消息的事务ID相同; 如果表项的事务ID与MODBUS请求消息的事务ID不相同，则测试接收的MODBUS请求消息的数据是否与表条目中的数据相同; 如果事务ID或数据输入的数据与MODBUS请求消息的数据相同，则检测接收到的数据为异常流量; 以及如果所述表项的数据与所述MODBUS请求消息的数据不相同，则更新具有所述MODBUS请求消息的分组信息的所述表条目。 因此，本发明可以早期检测和处理干扰正常业务连接或引起控制系统协议错误的异常业务，从而在控制系统之间提供稳定的连接系统，可以快速检测和处理异常 由系统造成的流量和网络错误以及入侵者的有意行为。

公开(公告)号：KR1020140072231A

公开(公告)日：2014-06-13

申请号：KR1020120134287

申请日：2012-11-26

Applicant: 한국전자통신연구원

Inventor： 조승현 ,  김현미 ,  박성모 ,  김익균 ,  신경선 ,  변경진

IPC: H04N19/50 ,  H04N19/176 ,  H04N19/119 ,  H04N19/147 ,  H04N19/103 ,  H04N19/159

CPC classification number: H04N19/00569 ,  H04N19/103 ,  H04N19/119 ,  H04N19/147 ,  H04N19/176 ,  H04N19/50 ,  H04N19/96 ,  H04N19/159

Abstract: The present invention provides a method of determining a fast prediction mode of a video encoder capable of selectively terminating or omitting a splitting or pruning process based on a probability distribution of rate-distortion values to remove unnecessary calculation of the encoder, so that the encoder is enabled to determine the prediction at high speeds. The present invention includes: a method which can adaptively change termination and omission determination references of the splitting and pruning processes according to characteristics of an input video. When the method provided by the present invention is used, it is possible to set the reliability of termination and omission determination of the splitting and pruning processes, so that the trade-off between the decreased calculation quantity of the encoder and the deterioration of a video quality can be controlled.

Abstract translation: 本发明提供了一种确定视频编码器的快速预测模式的方法，该视频编码器能够基于速率失真值的概率分布选择性地终止或省略分割或修剪过程，以消除编码器的不必要的计算，从而编码器 能够在高速度下确定预测。 本发明包括：根据输入视频的特征，可以自适应地改变分割和修剪过程的终止和省略确定参考的方法。 当使用本发明提供的方法时，可以设定分割和修剪过程的终止和省略确定的可靠性，使得编码器的计算量减少与视频的劣化之间的折衷 质量可以控制。

公开(公告)号：KR101404108B1

公开(公告)日：2014-06-10

申请号：KR1020080125415

申请日：2008-12-10

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F21/00 ,  G06F15/00 ,  G06F9/44 ,  H04L12/24

CPC classification number: H04L63/145 ,  G06F21/564

Abstract: 본 발명은 하드웨어 기반의 세션 추적 및 패턴 매칭 기술을 이용하여 다량의 네트워크 패킷들 중 윈도우 실행파일과 관련된 패턴을 검색, 해당 세션에 속한 모든 패킷들을 추출하는 윈도우 실행파일 추출방법, 및 장치에 관한 것이다. 본 발명은 MZ 패턴을 구비하는 기준패킷의 세션에 따라 페이로드를 갖는 입력 패킷을 수집하는 단계, 수집된 입력 패킷에 대한 PE 패턴 매칭을 수행하는 단계, 및 PE 패턴 매칭을 만족하는 적어도 하나의 입력 패킷을 토대로 PE 파일을 형성하는 단계를 포함한다.
MZ 패턴, PE 패턴, PE 파일, 세션