公开(公告)号：KR1020170089579A

公开(公告)日：2017-08-04

申请号：KR1020160009966

申请日：2016-01-27

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  전부선 ,  최병철 ,  허영준

IPC: H04L29/08 ,  H04L29/06

Abstract: 본발명은단방향파일전송시스템및 방법에관한것이다. 본발명에따른시스템은, 오픈된비안전영역의제2 네트워크내 FTP 클라이언트로부터폐쇄된안전영역의제1 네트워크내 FTP 서버에저장된파일데이터의다운로드요청이있는경우, FTP 클라이언트로서동작하며제1 네트워크의 FTP 서버에저장된파일데이터를다운로드하여전달하는제1 서버및 상기제1 서버로부터전달되는파일데이터를파일데이터베이스에저장하고, FTP 서버로서동작하며상기파일데이터베이스에저장된파일데이터를상기제2 네트워크내 FTP 클라이언트로전송하는제2 서버를포함한다.

Abstract translation: 本发明涉及一种单向文件传输系统和方法。 当在打开的非安全区的第二网络中存在用于从封闭安全区的第一网络中的FTP服务器中存储的文件数据的请求时，根据本发明的系统作为FTP客户端运行， 第一服务器，用于下载和传输存储在第一网络的FTP服务器中的文件数据;以及第二服务器，用于将从第一服务器传输的文件数据存储在文件数据库中， 到FTP客户端。

公开(公告)号：KR101711022B1

公开(公告)日：2017-02-28

申请号：KR1020140001838

申请日：2014-01-07

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  나중찬 ,  강동호 ,  김병구

IPC: H04L12/26 ,  H04L29/06

Abstract: 본발명의일 실시예에따른제어네트워크침해사고탐지장치는제어네트워크를통해제어설비들과연결되는제어네트워크침해사고탐지장치에있어서, 상기제어네트워크를통해수집되는패킷을파싱하여플로우정보를추출하는플로우정보추출부, 상기플로우정보를이용하여플로우테이블을생성하는플로우정보관리부, 상기플로우테이블에저장된플로우정보를분석하여플로우패턴정보를생성하는플로우패턴정보생성부, 상기네트워크를통해상기제어설비들로부터설정정보를수집하는설정정보수집부, 및상기플로우정보관리부로부터전달되는상기플로우정보및 상기플로우패턴정보생성부로부터전달되는상기플로우패턴정보및 상기설정정보수집부로부터전달되는상기설정정보를이용하여상기플로우정보에대응되는플로우가정상인지여부를판단하는판단부를포함한다.

公开(公告)号：KR1020160002058A

公开(公告)日：2016-01-07

申请号：KR1020140080790

申请日：2014-06-30

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  허영준

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/1425 ,  H04L12/40 ,  H04L41/142 ,  H04L43/026 ,  H04L67/12 ,  H04L69/16 ,  H04L69/329 ,  H04L2012/40228

Abstract: 본발명은모드버스통신패턴학습에기반한비정상트래픽탐지장치및 방법에관한것으로서, 본발명에따른모드버스통신패턴학습에기반한비정상트래픽탐지장치는 Modbus/TCP 프로토콜상의비정상트래픽을조기에탐지하고대응할수 있는것을특징으로한다. 본발명에따르면, 모드버스통신패턴학습에기반한여러다양한형태의비정상트래픽을탐지할수 있다. 즉, 제어시스템의안전한운영을방해할수 있는비정상트래픽을조기에탐지함으로써, 제어시스템간의통신서비스를안정적으로제공할수 있다. 특히 Modbus/TCP 프로토콜상의효과적인비정상트래픽을조기에탐지할수 있어서, 제어시스템인트라넷내의보안위협에대한신속한발견및 대응으로서비스의신뢰성을높일수 있고가용성을확보할수 있는이점이있다.

Abstract translation: 本发明涉及一种用于基于Modbus通信模式学习检测异常业务的装置和方法，其可以在早期阶段检测Modbus和传输控制协议（TCP）上的异常业务并且可以对其进行响应。 根据本发明，可以检测基于Modbus通信模式学习的各种形式的异常业务。 也就是说，可以在早期阶段检测到可能干扰控制系统的安全操作的异常业务，从而在控制系统之间稳定地提供通信服务。 特别地，可以在早期阶段检测到Modbus / TCP上的有效的异常流量，从而由于对控制系统的内联网中的安全威胁的及时检测和响应而提高了服务的可靠性，并且确保了可用性 。

公开(公告)号：KR1020150000986A

公开(公告)日：2015-01-06

申请号：KR1020130073470

申请日：2013-06-26

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김병구 ,  김익균

IPC: G06F21/53 ,  G06F9/44

CPC classification number: G06F17/30233 ,  G06F17/30194 ,  G06F21/606 ,  G06F21/53 ,  G06F9/45504

Abstract: 본 발명은 가상화 환경에서 실행 파일을 재구성하는 장치 및 그 방법에 관한 것이다. 가상화 환경에서 실행 파일을 재구성하는 장치는 가상 환경에서 가상 스위치를 통해 송수신되는 패킷들을 수집하는 단계, 패킷들 중 실행 파일이 포함된 실행 파일 패킷을 추출하는 단계, 실행 파일 패킷의 세션에 속하는 세션 패킷들을 순차적으로 수집하는 단계 및 세션 패킷들 각각의 응용 프로토콜을 확인한 결과를 토대로 실행 파일을 재구성하는 단계를 포함한다.

Abstract translation: 本发明涉及一种在虚拟环境中重构可执行文件的装置和方法。 用于重建虚拟环境中的可执行文件的装置包括以下步骤：收集通过虚拟环境中的虚拟交换机发送和接收的分组; 提取包含包中的可执行文件的可执行文件包; 依次收集属于可执行文件包会话的会话数据包; 以及根据确认各个会话分组的应用协议的结果来重建可执行文件。

公开(公告)号：KR1020140117753A

公开(公告)日：2014-10-08

申请号：KR1020130032212

申请日：2013-03-26

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  손선경 ,  허영준 ,  나중찬 ,  김익균

IPC: H04L12/22 ,  H04L12/26

CPC classification number: G05B15/02 ,  H04L63/0263 ,  H04L63/1408 ,  H04L63/1425 ,  H04L63/1441 ,  H04L63/20 ,  H04L2012/40228

Abstract: The present invention relates to an abnormal traffic detection method on a control system protocol. The disclosed abnormal traffic detection method comprises the steps of testing whether session information exists in a management table if a received packet is a MODBUS request message; adding a new entry in the management table if the session information does not exist in the management table; testing whether a transaction ID within a corresponding table entry is the same as a transaction ID of the received MODBUS request message, if the session information exists in the management table; testing whether data of the received MODBUS request message is the same as data within a table entry, if the transaction ID of the table entry is not the same as that of the MODBUS request message; detecting the received data as an abnormal traffic if the transaction ID or the data of the data entry is the same as that of the MODBUS request message; and updating the table entry with packet information of the MODBUS request message if the data of the table entry is not the same as that of the MODBUS request message. Therefore, the present invention can detect and handle the abnormal traffic that disturbs a normal service connection or causes an error on the control system protocol, at an early stage, thereby providing a stable connection system between control systems which can rapidly detect and handle the abnormal traffic caused by a system and a network error as well as an intentional behavior of an invader.

Abstract translation: 本发明涉及一种控制系统协议的异常流量检测方法。 所公开的异常业务检测方法包括以下步骤：如果接收的分组是MODBUS请求消息，则测试会话信息是否存在于管理表中; 如果管理表中不存在会话信息，则在管理表中添加新条目; 如果会话信息存在于管理表中，则测试对应的表项中的事务ID是否与所接收的MODBUS请求消息的事务ID相同; 如果表项的事务ID与MODBUS请求消息的事务ID不相同，则测试接收的MODBUS请求消息的数据是否与表条目中的数据相同; 如果事务ID或数据输入的数据与MODBUS请求消息的数据相同，则检测接收到的数据为异常流量; 以及如果所述表项的数据与所述MODBUS请求消息的数据不相同，则更新具有所述MODBUS请求消息的分组信息的所述表条目。 因此，本发明可以早期检测和处理干扰正常业务连接或引起控制系统协议错误的异常业务，从而在控制系统之间提供稳定的连接系统，可以快速检测和处理异常 由系统造成的流量和网络错误以及入侵者的有意行为。

公开(公告)号：KR101442020B1

公开(公告)日：2014-09-24

申请号：KR1020100109324

申请日：2010-11-04

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구

IPC: H04L12/22 ,  H04L12/26 ,  H04L29/06

CPC classification number: H04L63/0254 ,  H04L63/1458 ,  H04L63/166

Abstract: 송신 제어 프로토콜(Transmission Control Protocol; TCP) 플러딩 공격 방어 방법 및 장치가 개시된다. 본 발명에 따른 TCP 플러딩 공격 방어 방법은, 클라이언트와 서버의 중간 단에서 수신되는 패킷의 종류를 확인하는 단계; 상기 패킷의 방향성을 결정하는 단계; 상기 패킷의 종류 및 방향성에 따라 복수의 세션 상태들을 정의하는 단계; 상기 세션 상태들 각각을 플로우별로 추적하여 송신 제어 프로토콜플러딩 공격을 탐지하는 단계; 및 상기 송신 제어 프로토콜 플러딩 공격의 종류에 따라 상기 송신 제어 프로토콜 플러딩 공격에 대응하는 단계를 포함한다.

公开(公告)号：KR101404108B1

公开(公告)日：2014-06-10

申请号：KR1020080125415

申请日：2008-12-10

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F21/00 ,  G06F15/00 ,  G06F9/44 ,  H04L12/24

CPC classification number: H04L63/145 ,  G06F21/564

Abstract: 본 발명은 하드웨어 기반의 세션 추적 및 패턴 매칭 기술을 이용하여 다량의 네트워크 패킷들 중 윈도우 실행파일과 관련된 패턴을 검색, 해당 세션에 속한 모든 패킷들을 추출하는 윈도우 실행파일 추출방법, 및 장치에 관한 것이다. 본 발명은 MZ 패턴을 구비하는 기준패킷의 세션에 따라 페이로드를 갖는 입력 패킷을 수집하는 단계, 수집된 입력 패킷에 대한 PE 패턴 매칭을 수행하는 단계, 및 PE 패턴 매칭을 만족하는 적어도 하나의 입력 패킷을 토대로 PE 파일을 형성하는 단계를 포함한다.
MZ 패턴, PE 패턴, PE 파일, 세션

公开(公告)号：KR1020130068190A

公开(公告)日：2013-06-26

申请号：KR1020110134816

申请日：2011-12-14

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  김익균

IPC: G06F21/00 ,  G06F15/16

CPC classification number: H04N21/84 ,  G06Q50/10

Abstract: PURPOSE: A reliable content security management method is provided to guarantee a lifetime and safe content routing for distribution content, thereby safely supplying a CDS(Contents Delivery Service) in smart network environment. CONSTITUTION: When a user requests content, a content providing system transmits generated metadata of the content to a content management system, the content management system registers the metadata(S16). The content management system transmits a registration result to the content providing system(S18). The content providing system transmits the content and the metadata to a smart gateway and stores the same in a smart node(S24). When the content providing system performs a redirection to the smart gateway, the smart gateway transmits a content request to the smart node(S40). [Reference numerals] (10) User terminal; (20) Content providing system; (30) Content managing system; (40) Smart gateway; (50) Smart node; (S10) Request content; (S12) Generate metadata; (S14) Transmit the metadata; (S16) Register or update the metadata; (S18) Transmit a processing result; (S20, S22) Transmit the content and the metadata; (S24) Store the content and the metadata; (S26) Transmit event information; (S28) Transmit routing event information; (S30, S32, S34) Transmit and control a content storing result; (S36) Request redirection; (S38, S40) Request the content; (S42) Transmit a content downloading event; (S44) Check whether a normal request is or not; (S46, S48, S50) Transmit and control a confirming result; (S52) Download the content

Abstract translation: 目的：提供可靠的内容安全管理方法，以保证分发内容的生命周期和安全内容路由，从而在智能网络环境中安全提供CDS（内容传送服务）。 构成：当用户请求内容时，内容提供系统将内容的生成元数据发送到内容管理系统，内容管理系统登记元数据（S16）。 内容管理系统向内容提供系统发送注册结果（S18）。 内容提供系统将内容和元数据发送到智能网关，并将其存储在智能节点中（S24）。 当内容提供系统执行重定向到智能网关时，智能网关向智能节点发送内容请求（S40）。 （附图标记）（10）用户终端; （20）内容提供系统; （30）内容管理系统; （40）智能网关; （50）智能节点; （S10）请求内容; （S12）生成元数据; （S14）发送元数据; （S16）注册或更新元数据; （S18）发送处理结果; （S20，S22）发送内容和元数据; （S24）存储内容和元数据; （S26）发送事件信息; （S28）发送路由事件信息; （S30，S32，S34）发送和控制内容存储结果; （S36）请求重定向; （S38，S40）请求内容; （S42）发送内容下载事件; （S44）检查是否有正常请求; （S46，S48，S50）发送和控制确认结果; （S52）下载内容

公开(公告)号：KR101219796B1

公开(公告)日：2013-01-09

申请号：KR1020090095173

申请日：2009-10-07

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  오진태 ,  장종수 ,  나중찬 ,  조현숙

IPC: H04L12/22 ,  G06F21/55

Abstract: 본 발명은 세션 추적, 플로우 별 트래픽 측정, 화이트 리스트 및 블랙 리스트 기법 등을 적용한 하드웨어 기반의 고성능 DDoS 방어 장치 및 그 방법에 관한 것이다. 본 발명의 분산 서비스 거부 방어 장치는, 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블; 플로우 별 트래픽 측정 정보가 저장된 플로우 테이블; 유입트래픽에서 패킷을 추출하는 패킷 추출부; 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하고, 추출된 필드 및 세션 테이블 중 어느 하나를 이용하여 패킷이 비정상 패킷인지를 탐지하는 탐지부; 및 탐지부에서 패킷이 비정상 패킷으로 탐지되면, 탐지된 패킷을 차단하는 대응부를 구비한다.

公开(公告)号：KR1020120066465A

公开(公告)日：2012-06-22

申请号：KR1020100127820

申请日：2010-12-14

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용

IPC: H04L12/22

CPC classification number: G06F21/552 ,  H04L63/0227 ,  H04L63/1458 ,  H04L63/166

Abstract: PURPOSE: A method for blocking a denial-of-service attack is provided to block only malicious user's operation about an UDP flooding by classifying and detecting the sort of the UDP flooding. CONSTITUTION: A client creates an UDP packet against a denial-of-service attack about a server(S111). The client performs fragmentation about the created UDP packet. Through the fragmentation the client creates a plurality of packet parts corresponding to the UDP packet(S112). The client transmits the packet parts to the server(S113).

Abstract translation: 目的：提供阻止拒绝服务攻击的方法，通过分类和检测UDP洪泛的排序来阻止恶意用户对UDP洪泛的操作。 规定：客户端针对服务器的拒绝服务攻击创建UDP数据包（S111）。 客户端对创建的UDP数据包执行分片。 通过分片，客户端创建对应于UDP分组的多个分组部分（S112）。 客户端将分组部分发送到服务器（S113）。