-
-
公开(公告)号:KR1020150058613A
公开(公告)日:2015-05-29
申请号:KR1020130140034
申请日:2013-11-18
Applicant: 한국전자통신연구원
CPC classification number: G06K9/00469 , G06K9/344 , G06K9/723 , G06K2209/01
Abstract: 대상웹사이트화면에대해지속적으로이미지샷과 OCR(Optical Character Recognition) 방법을통해문자열을추출하는방식과키워드비교를통해홈페이지위변조행위를판단할수 있는홈페이지위변조탐지장치및 방법을제시한다. 제시된장치는접근한홈페이지의전체화면에대한홈페이지이미지샷을생성하는홈페이지이미지샷생성모듈, 홈페이지이미지샷에서 OCR기법을이용하여문자열을추출하는문자열추출모듈, 추출한문자열에대하여홈페이지위변조판단을위한문자열을근거로정상문자열인지아니면변조문자열인지를비교하는문자열비교모듈, 문자열비교모듈의비교결과를근거로해당홈페이지에대한위변조판단을행하는홈페이지변조판단모듈, 및홈페이지변조판단모듈의판단결과를근거로홈페이지이미지샷에서추출한문자열을학습하여정상문자열또는변조문자열로분류하는문자열학습모듈을포함한다.
Abstract translation: 本发明提供一种用于检测主页的伪造和伪造的装置和方法。 根据本发明的实施例,可以通过在网站的屏幕上的连续图像拍摄,通过光学字符识别(OCR)提取字符串以及关键字的比较来检测主页的伪造和伪造。 该装置包括:主页图像拍摄生成模块,其生成访问的主页的整个屏幕的主页图像拍摄; 字符串提取模块,通过使用OCR从主页图像提取字符串; 字符串比较模块,其将提取的字符串与用于确定主页的伪造和伪造的参考字符串进行比较,以确定提取的字符串是正常还是伪造; 网站伪造确定模块,其基于字符串比较模块的比较结果来确定主页的伪造和伪造; 以及字符串学习模块,其基于主页伪造确定模块的确定结果学习从主页图像拍摄中提取的字符串,并将字符串排序成正常字符串或伪造的字符串。
-
公开(公告)号:KR101521803B1
公开(公告)日:2015-05-21
申请号:KR1020130105325
申请日:2013-09-03
Applicant: 한국전자통신연구원
CPC classification number: G06F21/577 , G06F2221/034 , H04L63/00 , H04W4/00
Abstract: 본발명은모바일애플리케이션의보안성검증을위한이벤트발현장치및 그방법에관한것으로, 테스터대상애플리케이션으로부터추출되는애플리케이션정보를토대로상기테스터대상애플리케이션을테스트하는테스터애플리케이션을제작하는테스터애플리케이션제작부; 상기추출된애플리케이션정보에포함된이벤트를발현시켜상기테스트대상애플리케이션을실행시키고, 상기테스트대상애플리케이션이실행될때 스마트기기의화면에출력되는사용자뷰 객체를추출하는테스터애플리케이션실행부; 및상기추출된사용자뷰 객체를토대로터치이벤트를생성하여화면전환을수행하는테스터애플리케이션데몬실행부;를포함하는것을특징으로한다.
-
公开(公告)号:KR101436874B1
公开(公告)日:2014-09-11
申请号:KR1020130124662
申请日:2013-10-18
Applicant: 한국전자통신연구원
CPC classification number: G06F21/554 , H04L63/1408
Abstract: Provided are an apparatus and a method for improving a detection performance of an intrusion detection system which promote the optimization of detection rules by enhancing right detection rate of intrusion detection rules in the intrusion detection system. The provided apparatus comprises a deformation detection data generating part for changing original detection data detected based on current detection rules into deformation detection data according to deformation detection data rules; a deformation detection data classifying part for classifying the deformation detection data according to each attack type, classifying the deformation detection data for each attack type according to each current detection rule, and classifying the deformation detection data for each detection rule according to each of right detection/wrong detection; a deformation keyword tree generation part for generating a right detection deformation keyword tree and a wrong detection deformation keyword tree based on a result from the deformation detection data classifying part; a right detection path identifying part for comparing the right detection keyword tree with the wrong detection keyword tree to generate a right detection node, and identifying a right detection path connecting a reference node to the right detection node in the right detection deformation keyword tree; and a right detection pattern generating part for generating a right detection pattern based on the identified right detection path.
Abstract translation: 提供了一种用于提高入侵检测系统的检测性能的装置和方法,其通过增加入侵检测系统中的入侵检测规则的正确检测率来促进检测规则的优化。 所提供的装置包括变形检测数据生成部件,用于根据变形检测数据规则将基于当前检测规则检测到的原始检测数据变换为变形检测数据; 变形检测数据分类部,根据各种攻击类型对变形检测数据进行分类,根据各电流检测规则对各种攻击类型的变形检测数据进行分类,根据每个检测规则对每个检测规则进行变形检测数据的分类; /检测错误 变形关键词树生成部,其基于来自变形检测数据分类部的结果生成右侧检测变形关键字树和错误的检测变形关键字树; 用于将右检测关键词树与错误检测关键字树进行比较以生成右检测节点的右检测路径识别部分,以及将参考节点连接到右检测变形关键词树中的右检测节点的右检测路径; 以及右检测图案生成部,其基于所识别的右检测路径来生成正确的检测图案。
-
公开(公告)号:KR1020140006472A
公开(公告)日:2014-01-16
申请号:KR1020120073477
申请日:2012-07-05
Applicant: 한국전자통신연구원
CPC classification number: H04L63/10 , G06F21/36 , G06F21/556 , G06F21/74 , G06F2221/2133 , H04L63/1408
Abstract: Disclosed are an apparatus for controlling communication blocking and a method thereof. The apparatus for controlling communication blocking according to the present invention comprises: a communication controller for receiving a communication blocking request or a communication blocking release request from a terminal; and a state controller for registering the terminal in a communication blocking state or releasing the communication blocking state according to the request received from the communication controller. The communication controller, if receiving the communication blocking request, generates a CAPTCHA corresponding to a response from a terminal's user based on the communication blocking release request; receives a response corresponding to the CAPTCHA from the terminal; and controls the terminal to perform communication with the outside via a network based on a result compared from the CAPTCHA response with a CAPTCHA list. [Reference numerals] (10) Communication blocking controlling apparatus; (100) State controller; (200) Communication controller; (AA) Internet
Abstract translation: 公开了一种用于控制通信阻塞的装置及其方法。 根据本发明的用于控制通信阻塞的装置包括:通信控制器,用于从终端接收通信阻塞请求或通信阻塞释放请求; 以及状态控制器,用于根据从通信控制器接收到的请求,将终端注册为通信阻塞状态或释放通信阻塞状态。 通信控制器,如果接收到通信阻塞请求,则基于通信阻塞释放请求生成与来自终端的用户的响应相对应的CAPTCHA; 从终端接收对应于CAPTCHA的响应; 并且基于与CAPTCHA响应与CAPTCHA列表比较的结果,控制终端经由网络执行与外部的通信。 (附图标记)(10)通信阻断控制装置; (100)国家控制人; (200)通讯控制器; (AA)互联网
-
Patent Agency Ranking16.发明授权
公开(公告)号:KR100926115B1
公开(公告)日:2009-11-11
申请号:KR1020070132763
申请日:2007-12-17
Applicant: 한국전자통신연구원
IPC: G06F11/00
CPC classification number: G06F11/3612 , G06F21/53
Abstract: 본 발명은 특정 이벤트가 발생하거나 특정 프로그램 수행 조건이 만족하는 경우에만 악성 행위를 실행하도록 작성된 윈도우용 악성 코드를 탐지하기 위한 프로그램 자동 분석 장치에 관한 것이다.
본 발명에 따른 프로그램 자동 분석 장치는 분석 대상 프로그램의 명령어를 분석하고 상기 명령어의 적어도 한번 이상의 강제 수행을 통해 프로그램 수행 정보를 생성하는 자동 분석 엔진과, 상기 자동 분석 엔진에 의해 생성된 프로그램 수행 정보를 저장하는 수행 정보 DB와, 상기 수행 정보 DB에 저장된 수행 정보에 기반하여 상기 분석 대상 프로그램의 수행 흐름을 분석하는 수행 흐름 분석부와, 상기 수행 흐름 분석부에 의해 분석된 수행 흐름 정보에 기초하여 사용자에게 수행 결과를 제공하는 수행 결과 제공부를 포함한다.
백도어, 트로이 목마, 봇, IRC 봇, 윈도우, 악성코드, 행위 분석, 디버거-
公开(公告)号:KR1020080047250A
公开(公告)日:2008-05-28
申请号:KR1020070071865
申请日:2007-07-18
Applicant: 한국전자통신연구원
CPC classification number: H04L63/0236 , H04L63/1458
Abstract: A DDoS attack coping method using a deterministic pushback method is provided to check the IP address of an attack source edge router when a DDoS attach occurs, and filter DDoS attack packets in the attack source edge router, thereby filtering the attack packets flowing into a network in an attack source. A DDoS(Distributed Denial of Service) attack coping method using a deterministic pushback method comprises the following steps of: marking its own IP(Internet Protocol) address to all packets outbound to the other network system from the edge router of a specific network system for checking the IP address of a source edge router for a DDoS attack packet in a damaged system(S100); recombining IP addresses by using the detected DDoS attack packets and acquiring the IP address information of an attack source edge router in the damaged system detecting a DDoS attack(S200); allowing the attack source edge router to receive the deterministic pushback message, check message information, and filter the attack packets the if the damaged system transmits a deterministic pushback message to the attack source edge router(S300).
Abstract translation: 提供了使用确定性推回方法的DDoS攻击应对方法,用于在发生DDoS攻击时检查攻击源边缘路由器的IP地址,并对攻击源边缘路由器中的DDoS攻击报文进行过滤,从而过滤流入网络的攻击报文 在攻击源。 使用确定性推回方法的DDoS(分布式拒绝服务)攻击应对方法包括以下步骤:从特定网络系统的边缘路由器向其他网络系统出站的所有分组标记其自己的IP(因特网协议)地址, 检查损坏系统中DDoS攻击报文的源边缘路由器的IP地址(S100); 通过使用检测到的DDoS攻击包重新获取IP地址,并获取检测DDoS攻击的损坏系统中的攻击源边缘路由器的IP地址信息(S200); 允许攻击源边缘路由器接收确定性回传消息,检查消息信息,并且如果损坏的系统向攻击源边缘路由器发送确定性推回消息,则过滤攻击包(S300)。
-
公开(公告)号:KR1020080044145A
公开(公告)日:2008-05-20
申请号:KR1020070059535
申请日:2007-06-18
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A system and a method for detecting web application attacks by using a web log correlation analysis are provided to detect unknown attacks according as determining whether an access to a specific web page is normal or not, and to reduce false positive rate. A system for detecting web application attacks includes a web log preprocessor(110), a web log database(120), a web log correlation unit(130), and a correlation analysis information database(133). The web log preprocessor converts log information stored at a web log into formatted web log, constructs the formatted web log in a formatted log and stores the formatted web log at the web log database. The formatted web log stored at the web log database is transferred to a web log correlation unit. The web log correlation unit, including a connection state analysis unit(131) and a similarity measurement unit(132), calls the formatted web log, analyzes the formatted web log, and detects an intrusion with respect to a client request by using the analysis result. The connection state analysis unit manages site topology information, namely detects an abnormal access to a site by maintaining information on a state of connection between web pages. The connection state analysis unit determines an abnormal access or not by using a status code of the formatted web log in the formatted log table. Then, the connection state analysis unit stores a query string of a user to the correlation analysis information database in case of determining that an access to the web site is abnormal. The similarity measurement unit checks whether there exists string similar to query string of an attacker at the correlation analysis information database by calculating similarity of the query string of the attacker on the basis of the Ratcliff pattern matching algorithm.
Abstract translation: 提供了一种通过使用Web日志关联分析来检测Web应用程序攻击的系统和方法,用于根据对特定网页的访问是否正常以及是否减少假阳性率来检测未知攻击。 一种用于检测web应用攻击的系统,包括Web日志预处理器(110),Web日志数据库(120),Web日志相关单元(130)和相关分析信息数据库(133)。 Web日志预处理器将存储在Web日志中的日志信息转换为格式化的Web日志,在格式化的日志中构建格式化的Web日志,并将格式化的Web日志存储在Web日志数据库中。 存储在Web日志数据库中的格式化的Web日志被传送到Web日志相关单元。 包括连接状态分析单元(131)和相似度测量单元(132)的Web日志相关单元调用格式化的Web日志,分析格式化的Web日志,并通过使用分析来检测关于客户端请求的入侵 结果。 连接状态分析单元管理站点拓扑信息,即通过维护关于网页之间的连接状态的信息来检测对站点的异常访问。 连接状态分析单元通过在格式化的日志表中使用格式化的Web日志的状态码来确定异常访问。 然后,在确定对网站的访问异常的情况下,连接状态分析单元将用户的查询字符串存储到相关分析信息数据库。 相似性测量单元通过基于Ratcliff模式匹配算法计算攻击者的查询字符串的相似度来检查在相关分析信息数据库中是否存在与攻击者的查询字符串相似的字符串。
-
19.发明公开ActiveX Control 취약점 검사 및 검증방법과 ActiveX Control 식별 장치 및 방법 有权在ActiveX控件中发现和提供易受攻击的方法和装置以及识别ACTIVEX控制的方法
公开(公告)号:KR1020070092403A
公开(公告)日:2007-09-13
申请号:KR1020060022484
申请日:2006-03-10
Applicant: 한국전자통신연구원
CPC classification number: G06F9/44 , G06F9/44589
Abstract: A method for checking/providing vulnerability of ActiveX control, and a device and the method for identifying the same are provided to check/prove the vulnerability of the ActiveX control, which is installed by a predetermined website or installed with a predetermined program, from identification to reverse engineering. A main module stores all registry information under an HKEY_CLASSES_ROOT CLSID registry, and identifies COM having a difference by comparing stored registry information with the registry information before/after installation of the predetermined program. A test module checks over whether the COM having the difference provides an IDispathc or IDispathcEx interface. The test module continuously performs a task by executing again the other test module if the test module is abnormally terminated while performing an interface checking task.
Abstract translation: 提供了一种用于检查/提供ActiveX控件的漏洞的方法,以及一种设备及其识别方法,用于检查/证明由预定网站安装或安装有预定程序的ActiveX控件的漏洞,以识别 逆向工程。 主要模块将所有注册表信息存储在HKEY_CLASSES_ROOT CLSID注册表下,并通过将安装了预定程序之前/之后的注册表信息与注册表信息进行比较来识别具有差异的COM。 测试模块检查具有差异的COM是否提供了IDispathc或IDispathcEx接口。 如果测试模块在执行接口检查任务时异常终止,则测试模块会连续执行其他测试模块的任务。
-
公开(公告)号:KR1019990039094A
公开(公告)日:1999-06-05
申请号:KR1019970059056
申请日:1997-11-10
Applicant: 한국전자통신연구원
IPC: H04L29/06
Abstract: 본 발명은 인터넷 프로토콜을 사용하는 네트워크에서 발신측 및 착신측의 통신 방법에 관한 것이다.
TCP/IPv4 프로토콜을 이용한 인터넷의 발달로 사용자들은 음성 및 비음성 등의 다양한 멀티미디어 정보 획득과 유통에 상당한 편익을 누리고 있는 반면에 정보의 역기능 현상이 많이 나타나고 있다. 이러한 문제점을 해결하기 위해 종래의 TCP/IPv4 프로토콜을 이용하는 응용 서비스별로 각각의 보호 모듈을 따로 사용하고 있다. 이렇게 기존의 방법을 사용하면 개별 응용 서비스별로 안전하게 정보를 교환할 수 있지만, TCP/IPv4 프로토콜을 이용하는 응용 서비스는 매우 다양하며, 다양한 응용 서비스별로 보호 모듈을 따로 사용하는 것은 비효율적이며 낭비적인 요소가 상당히 많다.
본 발명에서는 상기 문제점을 해결하기 위하여 TCP/IPv4 프로토콜을 이용하는 인터넷 혹은 네트워크 사용자들이 사용하는 응용 서비스를 공통된 한가지 방법으로 모두 만족시켜 정보를 안전하게 교환할 수 있도록 안전한 IP 헤더를 새로이 고안하여 사용자 인증, 전송 데이터의 기밀성 유지 그리고 전송 데이터의 무결성 점검 기능을 제공할 수 있다.
-
-
-
-
-
-
-
-
-
Search Results
63
records
(took 0.021 seconds)
