-
公开(公告)号:KR100961179B1
公开(公告)日:2010-06-09
申请号:KR1020080051716
申请日:2008-06-02
Applicant: 한국전자통신연구원
CPC classification number: G06K9/00
Abstract: 본 발명은 디지털 포렌식 방법 및 장치에 관한 것이다.
본 발명에 따른 디지털 포렌식 장치는 대상 저장 매체에 저장된 페이지파일을 추출하는 페이지파일 추출부, 상기 추출된 페이지파일에 저장된 페이지의 특징을 추출하는 저장 페이지 특징 추출부, 상기 추출된 페이지의 특징을 미리 결정된 적어도 하나의 분류 기준과 비교하고 상기 비교 결과에 따라 상기 페이지를 분류하는 페이지 분류부, 상기 분류된 페이지에 상응하여 디지털 포렌식을 수행하는 디지털 포렌식 수행부를 포함할 수 있다.
본 발명에 의하면 페이지 파일의 정보만을 이용하여 디지털 포렌식을 수행할 수 있다.
디지털 포렌식, 페이지파일(pagefile), 섹션, PE-
公开(公告)号:KR1020090001609A
公开(公告)日:2009-01-09
申请号:KR1020070043081
申请日:2007-05-03
Applicant: 한국전자통신연구원
CPC classification number: G06F21/56 , G06F21/552 , G06F21/577
Abstract: A cyber threat forecast system for forecasting a frequency, possibility, and period of cyber threat, and a method thereof are provided to offer a forecast result to a user by forecasting a frequency, possibility, and a period of cyber threat through time series analysis method and Delphi analysis method considering various variables. An information collecting/processing module(10) collects and processes intrusion detection event information, network traffic statistics information, and cyber threat information of an Internet bulleting board, and specialist opinion information for cyber threat occurrence. A forecasting engine subsystem(120) forecasts a frequency, possibility, and a period for the cyber threat by selecting time series analysis method and Delphi analysis method according to the processed information. A result display GUI(Graphic User Interface) and managing module(110) displays a forecasting result of the forecasting engine subsystem in a screen, and changes and manages setting of the forecasting engine subsystem and an information collecting/processing module.
Abstract translation: 提供一种用于预测网络威胁的频率,可能性和时间的网络威胁预测系统及其方法,以通过时间序列分析方法预测网络威胁的频率,可能性和时间来向用户提供预测结果 和Delphi分析方法考虑各种变量。 信息收集/处理模块(10)收集和处理互联网投影板的入侵检测事件信息,网络流量统计信息和网络威胁信息,以及网络威胁发生的专家意见信息。 预测引擎子系统(120)通过根据处理的信息选择时间序列分析方法和Delphi分析方法来预测网络威胁的频率,可能性和时间。 结果显示GUI(图形用户界面)和管理模块(110)在屏幕中显示预测引擎子系统的预测结果,并且改变和管理预测引擎子系统和信息收集/处理模块的设置。
-
公开(公告)号:KR100482016B1
公开(公告)日:2005-04-14
申请号:KR1020020083750
申请日:2002-12-24
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: 본 발명은 트랩도어 탐지 시스템 및 방법에 관한 것으로, 컴퓨터 시스템 자원을 실시간 또는 비실시간으로 모니터링하는 실시간 시스템 모니터링 모듈 및 비실시간 시스템 모니터링 모듈, 모니터링된 정보를 토대로 검증된 프로세스 데이터 베이스 및 알려진 트랩도어 데이터 베이스를 이용해 컴퓨터 시스템에서 실행 중인 프로세스 중 트랩도어라고 의심이 가는 프로세스를 필터링하는 프로세스 필터링 모듈, 필터링된 프로세스를 대상으로 실시간 시스템 모니터링 모듈을 이용하여 실시간 모니터링 정보를 재구성하는 프로세스 프로파일 모듈, 프로세스 프로파일링 정보를 토대로 트랩도어 탐지정책 데이터 베이스를 이용하여 알려지지 않은 트랩도어를 탐지하는 트랩도어 탐지 모듈 및 트랩도어라고 판정된 프로그램을 컴퓨터 시스템에서 제거하는 트랩도어 제거 모듈을 포함한다. 따라서, 사용자 시스템에게 악성 행위에 해당하는 트랩도어를 효율적으로 탐지 및 제거함으로써 사용자 시스템을 보호할 수 있는 효과가 있다.
-
公开(公告)号:KR1020030050085A
公开(公告)日:2003-06-25
申请号:KR1020010080475
申请日:2001-12-18
Applicant: 한국전자통신연구원
IPC: G06F15/16
Abstract: PURPOSE: A method for detecting a pernicious java applet in a proxy server is provided to prevent a damage caused by a pernicious java applet and to monitor the pernicious java applet without increasing a load of a proxy server. CONSTITUTION: A signature verification is executed with respect to a class file entered in a proxy server(20). A hashing of the class file is executed(22). If a method to be substituted exists(24), the method is substituted(26). In the case that a code for a monitoring is inserted into the substituted method, a monitoring package is inserted in accordance with a set security policy(30). A monitoring code insertion unit discriminates a pernicious code by morning a code transfer or the amount of resources. A new code, which is inserted monitoring code, is signed again(28), and the new code is transmitted to a client(40).
Abstract translation: 目的:提供一种用于检测代理服务器中的恶意Java小应用程序的方法,以防止恶意Java小程序造成的损坏,并监视恶意Java小应用程序,而不增加代理服务器的负载。 构成:对代理服务器(20)中输入的类文件执行签名验证。 执行类文件的散列(22)。 如果存在替代方法(24),则替换方法(26)。 在将替代代码插入替代方法的情况下,根据设定的安全策略(30)插入监视包。 监控代码插入单元通过早上识别代码转移或资源量的恶意代码。 插入监控代码的新代码再次被签名(28),新的代码被传送给客户端(40)。
-
公开(公告)号:KR101492442B1
公开(公告)日:2015-02-24
申请号:KR1020140002912
申请日:2014-01-09
Applicant: 한국전자통신연구원
CPC classification number: H04L63/0272 , H04L63/0428 , H04L63/14
Abstract: 해커가 자신의 접속 위치를 위장하고 행위 은닉을 위한 목적으로 VPN(Virtual Private Network) 서버를 경유지로 이용하여 공격하고자 정상 패킷으로 위장한 것에 대한 증거 확보를 수행하는 패킷 분석 장치 및 방법과 VPN 서버가 개시된다. 본 발명에 따른 패킷 분석 장치는 MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.
Abstract translation: 用于分析数据包的装置和方法以及VPN服务器,其将用作伪装成正常分组的黑客的证据证实为通过使用虚拟专用网(VPN)服务器来伪装他的虚拟专用网(VPN)服务器来执行攻击 或她的访问位置和行为。 根据本发明的用于分析分组的装置分析由基于MPPE的PPTP VPN服务器收集的分组,并且包括:分组分类单元,将从主机提供和收集的分组分类为加密的VPN分组和纯文本分组; 第一比较和分析单元对加密的VPN分组进行解密,以将隐藏在加密的VPN分组之后的隐藏IP数据报的内容与目标之间的明文IP数据报的内容进行比较,以由平原中包含的主机发送加密的VPN分组 文本包 以及第二比较和分析单元,比较隐藏IP数据报和明文IP数据报的长度。
-
Patent Agency Ranking
公开(公告)号:KR101414061B1
公开(公告)日:2014-07-04
申请号:KR1020130101205
申请日:2013-08-26
Applicant: 한국전자통신연구원
CPC classification number: H04L63/20 , H04L63/0263 , H04L63/1416
Abstract: The present invention relates to an apparatus and a method for grasping inclusion relation between intrusion detection rules, by checking similarity of the intrusion detection rules used in an intrusion detection system, and measuring intrusion detection similarity on the basis of the result of grasping the inclusion relation. The apparatus for measuring the similarity between the intrusion detection rules includes a normalization part for deforming a plurality of intrusion detection rules into a constant type; a classification part for classifying a first detection rule and a second detection rule among the deformed detection rules into a detection rule header and a detection rule option respectively; a relation calculation part for judging inclusion relation between the detection rule header of the first detection rule and the detection rule header of the second detection rule, and judging the detection rule option of the first detection rule and the detection rule option of the second detection rule; and a similarity measurement part for measuring similarity between detection rules on the basis of the inclusion relation of the detection rule header and the inclusion relation of the detection rule option.
Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则的相似性以及基于抓取包含关系的结果来测量入侵检测相似度来掌握入侵检测规则之间的包含关系的装置和方法 。 用于测量入侵检测规则之间的相似度的装置包括用于将多个入侵检测规则变形为常数类型的归一化部分; 分类部,用于将变形检测规则中的第一检测规则和第二检测规则分别分类为检测规则标题和检测规则选项; 关系计算部,判断第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系,并且判断第一检测规则的检测规则选项和第二检测规则的检测规则选项 ; 以及相似度测量部分,用于基于检测规则报头的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。
-
公开(公告)号:KR101391781B1
公开(公告)日:2014-05-07
申请号:KR1020120086328
申请日:2012-08-07
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1441 , H04L2463/144
Abstract: 웹트랜잭션밀집도기반 HTTP 봇넷탐지장치가개시된다. 본발명에따른웹 트랜잭션밀집도기반 HTTP 봇넷탐지장치는, 트래픽수집센서가수집한 HTTP 요청패킷에서메타데이터를추출하는수집관리부, 상기메타데이터를분석하여웹 트랜잭션을추출하고, 상기추출된웹 트랜잭션을접근빈도에따라정렬하여그레이리스트를생성하는웹 트랜잭션분류부및 화이트리스트와상기블랙리스트를기반으로상기그레이리스트를필터링하는필터링부를포함한다.
-
公开(公告)号:KR101373051B1
公开(公告)日:2014-03-11
申请号:KR1020120073477
申请日:2012-07-05
Applicant: 한국전자통신연구원
CPC classification number: H04L63/10 , G06F21/36 , G06F21/556 , G06F21/74 , G06F2221/2133 , H04L63/1408
Abstract: 통신차단 제어 장치 및 그 방법이 개시된다. 본 발명에 따른 통신차단 제어 장치는 단말로부터 통신차단 요청 또는 통신차단 해제 요청을 수신하는 통신 제어부 및 통신 제어부에서 수신한 요청에 따라 단말의 상태를 통신차단 상태로 등록하거나, 통신차단 상태를 해제하는 상태 제어부를 포함하고, 통신 제어부는 통신차단 해제 요청을 수신하는 경우, 통신차단 해제 요청을 토대로 단말의 사용자의 인지 반응에 대응하는 캡차를 생성하고, 캡차에 대응하는 캡차 응답을 단말로부터 수신하여, 캡차 응답과 캡차에 해당하는 캡차 리스트를 비교한 결과를 토대로 네트워크를 통한 단말의 외부 통신이 가능하도록 제어하는 것을 특징으로 한다.
-
公开(公告)号:KR1020040056999A
公开(公告)日:2004-07-01
申请号:KR1020020083750
申请日:2002-12-24
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: PURPOSE: A trap door detection system and a method for the same are provided to detect and eliminate a known and an unknown trap door so that it protects internal systems and resources from the trap door. CONSTITUTION: The system comprises a real time system monitoring module(200), a non-real time system monitoring module(250), a process filtering module(300), a process profile module(400), a trap door detection module(500), and a trap door elimination module(700). The real time system monitoring module(200), and the non-real time system monitoring module(250) monitor a computer system resource. The process filtering module(300) filters a process, which is doubted as a trap door, among processes in execution. The process profile module(400) reconfigures the real time monitoring data by using the real time system monitoring module. The trap door detection module(500) detects an unknown trap door by using a trap door detection policy management database. The trap door elimination module(700) eliminates a program, determined as a trap door, from a computer system.
Abstract translation: 目的:提供一种陷阱门检测系统及其方法,用于检测和消除已知和未知的陷阱门,从而保护内部系统和资源免受陷阱门的影响。 构成:系统包括实时系统监控模块(200),非实时系统监控模块(250),过程过滤模块(300),过程模型模块(400),陷阱门检测模块(500) )和捕集门消除模块(700)。 实时系统监控模块(200)和非实时系统监控模块(250)监视计算机系统资源。 过程过滤模块(300)在执行过程中过滤一个被认为是陷阱门的进程。 过程简档模块(400)通过使用实时系统监控模块重新配置实时监控数据。 捕集器门检测模块(500)通过使用捕集器门检测策略管理数据库来检测未知的捕获门。 捕集门消除模块(700)从计算机系统中消除了被确定为陷阱门的程序。
-
公开(公告)号:KR100398044B1
公开(公告)日:2003-09-19
申请号:KR1020010080475
申请日:2001-12-18
Applicant: 한국전자통신연구원
IPC: G06F15/16
Abstract: PURPOSE: A method for detecting a pernicious java applet in a proxy server is provided to prevent a damage caused by a pernicious java applet and to monitor the pernicious java applet without increasing a load of a proxy server. CONSTITUTION: A signature verification is executed with respect to a class file entered in a proxy server(20). A hashing of the class file is executed(22). If a method to be substituted exists(24), the method is substituted(26). In the case that a code for a monitoring is inserted into the substituted method, a monitoring package is inserted in accordance with a set security policy(30). A monitoring code insertion unit discriminates a pernicious code by morning a code transfer or the amount of resources. A new code, which is inserted monitoring code, is signed again(28), and the new code is transmitted to a client(40).
Abstract translation: 目的:提供一种用于在代理服务器中检测有害java小程序的方法,以防止由有害java小程序造成的损害并监视有害Java小程序而不增加代理服务器的负载。 组成:对代理服务器(20)中输入的类文件执行签名验证。 类文件的散列被执行(22)。 如果存在要被替换的方法(24),则该方法被替换(26)。 在用于监视的代码插入替换方法的情况下,根据设置的安全策略插入监视包(30)。 监视代码插入单元在早上通过代码转移或资源量来区分有害代码。 插入监视代码的新代码再次被签名(28),并且新代码被发送到客户端(40)。
-
-
-
-
-
-
-
-
-
Search Results
44
records
(took 0.026 seconds)
