公开(公告)号：KR100115993B1

公开(公告)日：1997-06-05

申请号：KR1019940026533

申请日：1994-10-17

Applicant: 한국전자통신연구원 ,  주식회사 케이티

Inventor： 김진오 ,  손은영 ,  차영욱 ,  정태수

IPC: H04L12/28

公开(公告)号：KR100734852B1

公开(公告)日：2007-07-03

申请号：KR1020050116586

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/24 ,  H04L12/26

CPC classification number: H04B7/2606 ,  H04W16/26 ,  H04W40/22 ,  H04W48/08 ,  H04W76/10

Abstract: 플로우-사각형 또는 플로우-시계를 이용한 네트워크 상태 표시 장치 및 그 방법이 개시된다. 네트워크 상태 표시 장치는 수집된 트래픽 정보를 참조하여, 소정의 기준 포트와 기준 시간에 따라 발생한 트래픽의 특성에 따른 점유 비율을 계산하여 저장하는 트래픽 특성 추출부, 계산 결과를 참조하여, 점유비율 좌표평면상에, 현재 네트워크에서 잘 알려진 포트, 그렇지 않은 포트, 매크로-플로우 및 마이크로-플로우의 트래픽 특성에 따른 점유 비율을 이용하여 표시되는 사각형과 정상상태 참조모델을 함께 표시하여 현재 네트워크의 이상상태 여부를 나타내는 트래픽 상태 표시부 및 점유비율 좌표평면 상에 그려지는 정상상태 참조모델과 현재 네트워크 상태의 사각형의 위치 또는 형태를 비교하여 네트워크의 이상 상태 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하며, 트래픽의 이상 특징만을 표현할 수 있는 간단한 데이터 즉, 연결시간에 따른 포트 구간별 플로우 비율, 옥텟 비율 또는 패킷 비율을 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있다.

公开(公告)号：KR100651755B1

公开(公告)日：2006-12-01

申请号：KR1020050116589

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/26

Abstract: A network traffic state display device using traffic-spectrum and a method thereof are provided to decide on an abnormal state which deteriorates the performance of a network by using flow occupancy ratios for each traffic characteristic, and to detect abnormal traffic or harmful traffic that causes the abnormal state, then to automate such a process by a program, thereby quickly coping with the abnormal state without intervention of a manager. A traffic characteristic extractor(110) calculates occupancy ratios of micro-flows and macro-flows which have overall flows as a population, according to each traffic characteristic by referring to traffic characteristic traffic information of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios in spectrum type, and provides the displayed ratios as a network-spectrum, a port-spectrum, a host-spectrum, and a protocol-spectrum. A traffic abnormality decider(130) decides whether an abnormal state of a network occurs by referring to the spectra, and if the abnormal state occurs, the decider(130) detects a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state to report the detected results.

Abstract translation: 提供使用业务频谱的网络业务状态显示设备及其方法，以通过使用每个业务特性的流量占用率来判定恶化网络性能的异常状态，并且检测导致该业务的异常业务或有害业务 异常状态，然后通过程序使这个过程自动化，从而在没有管理者干预的情况下快速应对异常状态。 业务量特征提取器（110）通过参考协议的业务量特征业务量信息，发送/接收主机地址，端口，根据每个业务量特征来计算总体上作为总体流量的微流和宏流的占用率 网络地址由外部流量信息收集器收集，并存储计算出的值。 业务状态显示（120）以频谱类型显示所计算和存储的占用率，并将所显示的比率提供为网络频谱，端口频谱，主机频谱和协议频谱。 业务异常判定器（130）通过参考频谱来判定是否出现网络的异常状态，并且如果发生异常状态，则判定器（130）检测异常状态的类型和异常业务或有害业务， 异常状态来报告检测结果。

公开(公告)号：KR100651749B1

公开(公告)日：2006-12-01

申请号：KR1020050084659

申请日：2005-09-12

Applicant: 한국전자통신연구원

Inventor： 방효찬 ,  김현주 ,  김건량 ,  김진오 ,  이수형 ,  장범환 ,  김동영 ,  손선경 ,  나중찬 ,  장종수

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/28

Abstract: A method for detecting unknown malicious traffic and a device therefor are provided to analyze and visually express relation between a lot of event information generated by malicious traffic such as a worm virus, thus emergence of the worm virus is exactly detected while spread status is intuitively and easily perceived. Analysis target data is periodically collected from traffic flow data received from equipment installed in a network, asset information and vulnerability information of the network, and alarm data which detects intrusion through the network(10). Alarm data for detection of substantially threatening intrusion is extracted according to association between system vulnerability information within the vulnerability information and an address within the asset information and destination port information and a destination address included within the alarm data(20). Traffic abnormality status is extracted by sensing the current state of traffic generation of an infected system, the current state of file transmission traffic flows and directivity of traffic flows, and the current state of access to the destination address of the alarm data extracted as being substantially threatened(30,40).

Abstract translation: 提供了一种检测未知恶意流量的方法及其装置，用于分析和直观地表达恶意流量（如蠕虫病毒）产生的大量事件信息之间的关系，从而在传播状态直观的情况下准确检测到蠕虫病毒的出现， 容易感知。 分析目标数据周期性地从安装在网络中的设备接收到的交通流数据，网络的资产信息和漏洞信息以及通过网络（10）检测入侵的警报数据中收集。 根据漏洞信息内的系统漏洞信息与资产信息和目的地端口信息内的地址以及报警数据（20）内包括的目的地地址之间的关联，提取用于检测实质性威胁入侵的报警数据。 通过感测受感染系统的流量生成的当前状态，文件传输业务流的当前状态和业务流的方向性以及当前提取的报警数据的目的地地址的当前状态，提取业务异常状态 威胁（30,40）。

公开(公告)号：KR1020060028601A

公开(公告)日：2006-03-30

申请号：KR1020040077621

申请日：2004-09-25

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  이수형 ,  김진오 ,  장범환 ,  나중찬 ,  장종수

IPC: H04L1/20

CPC classification number: H04L41/5032 ,  H04L41/142 ,  H04L41/145 ,  H04L43/16 ,  H04L63/1425

Abstract: 본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 하며 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
네트워크 트래픽 분석, 이상 징후 감지, 상대적 비율, 모비율

公开(公告)号：KR1020050048019A

公开(公告)日：2005-05-24

申请号：KR1020030081833

申请日：2003-11-18

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  장범환 ,  김진오 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/26

CPC classification number: H04L63/1408

Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.

公开(公告)号：KR100479328B1

公开(公告)日：2005-03-31

申请号：KR1020020083634

申请日：2002-12-24

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  김익균 ,  박상길 ,  김기영 ,  장종수 ,  손승원

IPC: G06F15/00

Abstract: 본 발명은 슬라이딩 윈도우 캐쉬 구조에 관한 것으로, 특히 네트워크 공격상황에 대한 침입 탐지 이벤트가 저장된 캐쉬 구조에 있어서, 네트워크 공격상황이 수행되는 시간 간격(Tw)을 슬라이딩 시간 간격의 타임 슬롯(Ts)으로 나눈 Tw/Ts개의 윈도우 크기의 카운터를 가지며 카운터에 각 타임 슬롯(Ts)에서 발생된 네트워크 공격상황에 대한 침입 탐지 이벤트 횟수가 기록된 캐쉬 엔트리와, 캐쉬 엔트리의 첫 번째 카운터에 해당하는 타임 슬롯 정보가 기록된 타임 스탬프를 구비한다. 그러므로, 본 발명은 슬라이딩 윈도우 기법을 이용하여 연속된 시간상에서 임의의 시간 간격내에 발생된 네트워크 침입 탐지 이벤트 횟수를 캐쉬 엔트리에 기록할 수 있으며 캐쉬 테이블의 네트워크 공격상황별 정보를 갖는 키 데이터와 엔트리에 기록된 이벤트 횟수를 분석하여 네트워크 공격 상황을 쉽게 분석할 수 있다.

公开(公告)号：KR100233256B1

公开(公告)日：1999-12-01

申请号：KR1019970048152

申请日：1997-09-23

Applicant: 한국전자통신연구원 ,  주식회사 케이티

Inventor： 김진오 ,  이종협 ,  박찬 ,  최희숙 ,  김협종

IPC: H04L12/28

Abstract: 1. 청구 범위에 기재된 발명이 속한 기술분야
본 발명은 비동기 전송 모드 인터넷 프로토콜 루팅 서버 장치에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은 목적지 호스트가 속한 주소군에 관계없이 임의의 호스트로 부터 요구된 목적지의 IP 주소에 대한 ATM 주소를 해결함으로써 송신지와 목적지간의 단일 ATM 가상 채널 연결 설정을 지원할 수 있는 비동기 전송 모드 인터넷 프로토콜(IP) 루팅 서버 장치를 제공하고자 함.
3. 발명의 해결방법의 요지
본 발명은, ATM망에서 라우터를 기존 인터넷망의 루팅 방법과 달리, 루팅 서버를 이용하여 라우터의 중간 개입없이 착신지까지 직접 ATM 가상 채널 연결을 설정하여 줌으로써 ATM 망에서 효과적인 비연결형 서비스 지원 능력을 지원한다.
4. 발명의 중요한 용도
본 발명은 인터넷 서비스망에 이용됨.

公开(公告)号：KR1019970004513A

公开(公告)日：1997-01-29

申请号：KR1019950015079

申请日：1995-06-08

Applicant: 한국전자통신연구원 ,  주식회사 케이티

Inventor： 김진오 ,  손은영 ,  차영욱 ,  정태수

IPC: H04L12/28 ,  H04L12/433 ,  H04L29/02

Abstract: 본 발명은 링의 구조적 특성으로 인한 트래픽 흐름을 분석하여 보다 효율적인 망자원의 활용과 신뢰성 있는 서비스를 제공하기 위한 링구조를 갖는 ATM 액세스망에서의 대역폭 제어 및 호 수락 제어 방법에 관한 것으로, 호가 서비스를 요청하게 되면 해당 QoS를 갖는 가상링에서 가장 적게 사용되는 세그먼트를 찾아내는 제1단계; 상기 찾아낸 세그먼트에서 해당 가상링이 점유하고 있는 대역폭을 다중화 함수(m(x,y))에 이용하여 순방향/역방향에 대한 대역폭을 산출하는 제2단계; 순방향 대역폭이 '0'인지 판단하여 '0'이 아니면 순방향 세그먼트에 대한 테스트를 수행하고 '0'이면 역방향 대역폭에 대하여 '0'인지 판단하여 '0'이 아니면 역방향 세그먼트에 대한 테스트를 수행하는 제3단계; 상기 세그먼트 테스트중 하나라도 실패하게 되면 호가 거부되고 모두 성공하게 되면 세그먼트 테스트에서 수행되었던 모든 세그먼트와 가상링에 대해 대역폭을 조정하고 가상경로 식별자와 가상채널 식별자를 호에 할당하여 호가 수락하는 제4단계를 포함하는 것을 특징으로 하여 적절한 대역폭 제어의 가상경로 및 가상링의 운용으로 매우 효과적인 자원 관리를 가능하게한다.

公开(公告)号：KR1019960016254A

公开(公告)日：1996-05-22

申请号：KR1019940026533

申请日：1994-10-17

Applicant: 한국전자통신연구원 ,  주식회사 케이티

Inventor： 김진오 ,  손은영 ,  차영욱 ,  정태수

IPC: H04L12/28

Abstract: 본 발명은 이중 링구조를 갖는 ATM 액세스망에서 세그먼트에 위한 호/연결 수락 제어 방법에 관한 것으로, 사용자 또는 망으로부터 호 설정 메시지가 들어와 호 연결 요구가 있으면 먼저 전방향 세그먼트 테스트(forward segment test)를 수행하여 호/연결이 통과하는 세그먼트의 대역폭이 충분한가를 확인하는 제1단계와, 상기 제1단계에서 대역폭이 충분하지 않으면 거절 메시지를 발생하여 요청된 호/연결은 블럭킹되고, 충분한 대역폭이 존재하면 호/연결이 양방향성인가를 확인하여 양방향성이면 역방향 세그먼트 데스트(backward segment test)를 수행하는 제2단계와, 상기 제2단계에서, 호/연결이 양방향성이 아니거나 역방향 세그먼트 테스트에 성공하면 해당 가상경로의 대역폭을 확장하고 가상경로식별자/가상채널식별자를 할당하는 제3단계를 포함하는 것을 특징으로 하여 전송대기 이중링으로 구성된 ATM 액세스망의 특성에 맞게 효율적인 자원관리와 호/연결 수락제어를 가능하게 하고, 노드와 링크의 고장시에도 쉽게 대처할 수 있는 효과가 있다.