公开(公告)号：KR1020140027616A

公开(公告)日：2014-03-07

申请号：KR1020120086328

申请日：2012-08-07

Applicant: 한국전자통신연구원

Inventor： 김성진 ,  이종문 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70 ,  H04L29/06

CPC classification number: H04L63/1441 ,  H04L2463/144

Abstract: A device and a method for detecting an HTTP botnet based on the density of web transaction is disclosed. The device for detecting an HTTP botnet based on the density of web transaction according to the present invention includes a collection management part for extracting metadata from an HTTP request packet collected by a traffic collection sensor; a web transaction classification part for creating a gray list by extracting web transaction by analyzing the metadata and arranging the extracted web transaction according to the access frequency; and a filtering part for filtering the gray list based on a white list and a black list. [Reference numerals] (100) Collection management part; (200) Web transaction classification part; (300) Filtering part; (400) Black list management part; (500) White list generating machine

Abstract translation: 公开了一种基于网络交易密度来检测HTTP僵尸网络的设备和方法。 根据本发明的用于基于Web事务的密度检测HTTP僵尸网络的设备包括：收集管理部分，用于从由交通收集传感器收集的HTTP请求包中提取元数据; Web事务分类部分，用于通过分析元数据并根据访问频率安排提取的Web事务来提取Web事务来创建灰色列表; 以及用于基于白名单和黑名单对灰色列表进行过滤的过滤部分。 （附图标记）（100）收集管理部; （200）Web事务分类部分; （300）过滤部件; （400）黑名单管理部分; （500）白名单生成机

公开(公告)号：KR1020140022975A

公开(公告)日：2014-02-26

申请号：KR1020120075630

申请日：2012-07-11

Applicant: 한국전자통신연구원

Inventor： 김덕진 ,  한병진 ,  이철우 ,  이만희 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/0861 ,  G06F2221/2133

Abstract: A traffic control device based on CAPTCHA and a method thereof are provided. A traffic control device according to the present invention includes: a traffic monitoring unit for monitoring packets which are transmitted and received between an internal network and an external network; a CAPTCHA verification unit for transmitting a CAPTCHA request message corresponding to packet information to a client computer in the internal network, receiving a CAPTCHA response message corresponding to the CAPTCHA request message and verifying the CAPTCHA response message when the packet information corresponding to the packet does not exist in an access control list; a list management unit for detecting a control policy corresponding to the packet information from the access control list when the packet information exists in the access control list; and a traffic control unit for controlling traffic between the internal network and the external network based on a verified result of the CAPTCHA response message or the control policy. [Reference numerals] (110) Traffic control unit; (120) Traffic monitoring unit; (130) List management unit; (140) CAPTCHA verification unit; (20) External network; (250) Application; (AA) Client computer; (BB) CAPTCHA agent; (S301,S302) Packet transmission; (S303,S305) Packet information transmission; (S306) CAPTCHA request message; (S307) CAPTCHA response message; (S308,S309) Verified result transmission; (S310) Traffic allowance or cut-off; (S311) Update

Abstract translation: 提供了基于CAPTCHA的交通控制装置及其方法。 根据本发明的交通控制装置包括：交通监控单元，用于监视在内部网络和外部网络之间发送和接收的分组; CAPTCHA验证单元，用于向内部网络中的客户端计算机发送对应于分组信息的CAPTCHA请求消息，接收到与CAPTCHA请求消息相对应的CAPTCHA响应消息，并且当与分组对应的分组信息不对应时，验证CAPTCHA响应消息 存在于访问控制列表中; 列表管理单元，用于当访问控制列表中存在分组信息时，从访问控制列表中检测与分组信息相对应的控制策略; 以及流量控制单元，其基于所述CAPTCHA响应消息或所述控制策略的验证结果来控制所述内部网络和所述外部网络之间的流量。 （附图标记）（110）交通控制单元; （120）交通监控单位; （130）名单管理单位; （140）人机验证单位; （20）外部网络; （250）申请; （AA）客户端计算机; （BB）CAPTCHA代理; （S301，S302）分组传输; （S303，S305）分组信息传输; （S306）CAPTCHA请求消息; （S307）CAPTCHA响应消息; （S308，S309）验证结果传输; （S310）交通津贴或停车; （S311）更新

公开(公告)号：KR1020140011515A

公开(公告)日：2014-01-29

申请号：KR1020120067734

申请日：2012-06-25

Applicant: 한국전자통신연구원

Inventor： 이철우 ,  김덕진 ,  한병진 ,  이만희 ,  배병철 ,  박상우 ,  윤이중

IPC: H04L12/26 ,  H04L12/70 ,  H04L12/22

CPC classification number: G06F21/51 ,  G06F2221/2119

Abstract: The present invention relates to a referrer verifying apparatus and a method thereof to control a web traffic of malicious codes. The referrer verifying method comprises the steps of: checking whether a referrer exists in an HTTP packet; extracting URL from a referral web page corresponding to the referrer when the referrer exists in the HTTP packet; verifying the referrer based on a URL matched with a referrer verification request from a server, and the extracted URL; and performing a capture verification procedure by a user on the basis of the referrer verification result. [Reference numerals] (100) Server; (200) Referrer verifying device

Abstract translation: 本发明涉及一种引导者验证装置及其控制恶意代码的网络流量的方法。 引用者验证方法包括以下步骤：检查HTTP分组中是否存在引用者; 当HTTP包中存在引荐来源时，从引用网页对应的推荐网页提取URL; 基于与来自服务器的引荐来源验证请求匹配的URL以及所提取的URL来验证引荐来源; 并且基于引用者验证结果执行用户的捕获验证过程。 （附图标记）（100）服务器; （200）推荐人验证装置

公开(公告)号：KR1020040056998A

公开(公告)日：2004-07-01

申请号：KR1020020083749

申请日：2002-12-24

Applicant: 한국전자통신연구원

Inventor： 오형근 ,  배병철 ,  김은영 ,  박중길

IPC: G06F15/00

Abstract: PURPOSE: A bad execution code detecting system and method is provided to calculate a risk degree by making a behavior analysis based on a security policy and to detect a bad execution code based on the calculated risk degree. CONSTITUTION: The system comprises a bad execution code management database(700), a system resource monitoring module, a security policy module(600), a bad execution code detection module(500), an update module(900), and an alarm module. The bad execution code management database(700) stores already known bad execution codes. The system resource monitoring module monitors a file system, a process and a network. The security policy module(600) establishes the first security policy for basically preventing a behavior on a specific file or directory by using the system resource monitoring module, and the second security policy for calculating a risk degree for each process and sensing a bad behavior. The bad execution code detection module(500) performs the first bad execution code detection via the database(700) and the second bad execution code detection via the security policy module(600). The update module(900) transmits new bad execution code data and important security policy data to the detection module(500) and the database(700).

Abstract translation: 目的：提供一种不良的执行代码检测系统和方法，通过基于安全策略进行行为分析，并根据计算出的风险程度检测不良执行代码来计算风险程度。 构成：系统包括不良执行代码管理数据库（700），系统资源监视模块，安全策略模块（600），不良执行代码检测模块（500），更新模块（900）和报警模块 。 坏执行代码管理数据库（700）存储已知的不良执行代码。 系统资源监控模块监视文件系统，进程和网络。 安全策略模块（600）通过使用系统资源监控模块和第二安全策略来建立用于基本上防止特定文件或目录上的行为的第一安全策略，以及用于计算每个进程的风险度并感测不良行为的第二安全策略。 不良执行代码检测模块（500）经由数据库（700）执行第一不良执行代码检测，经由安全策略模块（600）执行第二不良执行代码检测。 更新模块（900）将新的不良执行代码数据和重要的安全策略数据发送到检测模块（500）和数据库（700）。

公开(公告)号：KR101537996B1

公开(公告)日：2015-07-23

申请号：KR1020130096273

申请日：2013-08-14

Applicant: 한국전자통신연구원

Inventor： 이정희 ,  이성렬 ,  김덕진 ,  최영한 ,  배병철 ,  오형근 ,  손기욱 ,  박경수 ,  이융 ,  이지형 ,  문상우

IPC: G06F9/50 ,  G06F9/38

Abstract: 본발명은트래픽상황에따른 CPU와 GPU간의로드밸런스를가지는침입탐지장치및 방법에관한것으로, 다수의수신큐로부터유입되는패킷들을수신받아, 동일한플로우에속한패킷들을하나의작업큐에저장하는패킷포착부; 상기패킷포착부에저장된상기패킷들의개수를파악하여상기패킷들의문자열검사작업을상기 CPU 또는상기 GPU에분배하는문자열검토작업분배부; 상기 CPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 CPU 문자열검토부; 및상기 GPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 GPU 문자열검토부;를포함한다.

公开(公告)号：KR101415850B1

公开(公告)日：2014-07-09

申请号：KR1020120138419

申请日：2012-11-30

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  강정민 ,  배병철

IPC: G06F21/00 ,  G06F15/17 ,  G06F17/18

CPC classification number: H04L63/0263 ,  H04L63/0227 ,  H04L63/1433 ,  H04L63/1466

Abstract: 방화벽 정책 점검 장치 및 방법이 개시된다. 본 발명에 따른 방화벽 정책 점검 장치는 대상 방화벽 정책 내에서 침입차단규칙들을 획득하는 침입차단규칙 획득부; 상기 침입차단규칙들 간 관계에서 이상규칙을 탐지하는 이상규칙 탐지부; 및 상기 탐지 결과를 이용하여 이상규칙 그래프를 화면에 표시하는 화면 표시부를 포함한다.

公开(公告)号：KR101369727B1

公开(公告)日：2014-03-06

申请号：KR1020120075630

申请日：2012-07-11

Applicant: 한국전자통신연구원

Inventor： 김덕진 ,  한병진 ,  이철우 ,  이만희 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/0861 ,  G06F2221/2133

Abstract: 캡차를 기반으로 하는 트래픽 제어 장치 및 그 방법이 개시된다. 본 발명에 따른 트래픽 제어 장치는 내부망과 외부망 사이에서 송수신되는 패킷을 모니터링하는 트래픽 모니터링부, 패킷에 해당하는 패킷 정보가 접근 제어 리스트에 존재하지 않는 경우, 패킷 정보에 해당하는 캡차 요청 메시지를 내부망의 클라이언트 컴퓨터로 전송하고, 캡차 요청 메시지에 대응하는 캡차 응답 메시지를 전달받아, 캡차 응답 메시지를 검증하는 캡차 검증부, 패킷 정보가 접근 제어 리스트에 존재하는 경우, 접근 제어 리스트에서 패킷 정보에 해당하는 통제 정책을 검출하는 리스트 관리부, 및 캡차 응답 메시지를 검증한 결과 또는 통제 정책을 토대로 내부망과 외부망 사이의 트래픽을 제어하는 트래픽 제어부를 포함한다.

公开(公告)号：KR101280910B1

公开(公告)日：2013-07-02

申请号：KR1020110135926

申请日：2011-12-15

Applicant: 한국전자통신연구원

Inventor： 최영한 ,  김덕진 ,  이성렬 ,  이만희 ,  배병철 ,  박상우 ,  윤이중

IPC: H04L12/26 ,  H04L12/22 ,  H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/1416

Abstract: 본 발명은 네트워크 프로세서를 이용하여, 네트워크 침입을 탐지하는 장치 및 침입탐지 방법에 대한 발명이다. 더욱 상세하게는, 제1 네트워크 프로세서를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하고, 상기 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기에 전송하는 제1 침입탐지기, 및 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 제2 침입탐지기를 포함하는 침입탐지장치를 통하여, 네트워크 환경에서 고속 패킷에 대한 침입탐지를 처리할 수 있게 된다.

公开(公告)号：KR100475311B1

公开(公告)日：2005-03-10

申请号：KR1020020083749

申请日：2002-12-24

Applicant: 한국전자통신연구원

Inventor： 오형근 ,  배병철 ,  김은영 ,  박중길

IPC: G06F15/00

Abstract: 본 발명은 위험도 점수를 이용한 악성실행코드 탐지 장치 및 그 방법에 관한 것으로, 네트워크를 통해 다운로드된 악성실행코드를 탐지하는 악성실행코드 탐지 장치는, 이미 알려진 악성실행코드를 저장하는 악성실행코드 데이터 베이스, 특정 파일이나 디렉토리에 대한 행위를 원천적으로 방지하기 위한 1차 보안 정책 및 각 프로세스에 대한 위험도 점수를 누적하여 악성행위를 감지하기 위한 2차 보안 정책을 수행하는 보안 정책부, 파일 시스템, 프로세스 및 네트워크를 모니터링하는 시스템 자원 감시 모듈, 악성실행코드 데이터 베이스를 통한 1차 탐지 및 상기 보안 정책부를 통한 2차 탐지를 수행하는 악성실행코드 탐지 모듈, 새로운 악성실행코드 정보 또는 중요한 보안 정책을 상기 악성실행코드 탐지 모듈 및 악성실행코드 데이터 베이스에 전� ��하는 업데이트 모듈 및 악성실행코드 탐지 모듈에서 탐지된 보안 정책 위배에 대한 처리를 실행금지, 무시 및 강제종료로 구분하여 제공하는 악성실행코드 경고 모듈을 포함한다.

公开(公告)号：KR101414061B1

公开(公告)日：2014-07-04

申请号：KR1020130101205

申请日：2013-08-26

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  한유정 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/20 ,  H04L63/0263 ,  H04L63/1416

Abstract: The present invention relates to an apparatus and a method for grasping inclusion relation between intrusion detection rules, by checking similarity of the intrusion detection rules used in an intrusion detection system, and measuring intrusion detection similarity on the basis of the result of grasping the inclusion relation. The apparatus for measuring the similarity between the intrusion detection rules includes a normalization part for deforming a plurality of intrusion detection rules into a constant type; a classification part for classifying a first detection rule and a second detection rule among the deformed detection rules into a detection rule header and a detection rule option respectively; a relation calculation part for judging inclusion relation between the detection rule header of the first detection rule and the detection rule header of the second detection rule, and judging the detection rule option of the first detection rule and the detection rule option of the second detection rule; and a similarity measurement part for measuring similarity between detection rules on the basis of the inclusion relation of the detection rule header and the inclusion relation of the detection rule option.

Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则的相似性以及基于抓取包含关系的结果来测量入侵检测相似度来掌握入侵检测规则之间的包含关系的装置和方法 。 用于测量入侵检测规则之间的相似度的装置包括用于将多个入侵检测规则变形为常数类型的归一化部分; 分类部，用于将变形检测规则中的第一检测规则和第二检测规则分别分类为检测规则标题和检测规则选项; 关系计算部，判断第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系，并且判断第一检测规则的检测规则选项和第二检测规则的检测规则选项 ; 以及相似度测量部分，用于基于检测规则报头的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。