公开(公告)号：KR101889500B1

公开(公告)日：2018-09-20

申请号：KR1020140027202

申请日：2014-03-07

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  한민호 ,  김정태 ,  김종현

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1441 ,  H04L63/1416 ,  H04L63/1425

Abstract: 본발명은인터넷및 내부네트워크에서사이버해킹공격이발생하였을경우네트워크의새로운장비의추가나표준프로토콜의수정없이여러사이트를경유하는사이버해킹공격에대한공격근원지를추적하기위하여네트워크플로우데이터를이용해네트워크의연결체인을역추적하는방법및 시스템을제공하는데 있다.

公开(公告)号：KR1020170096780A

公开(公告)日：2017-08-25

申请号：KR1020160018460

申请日：2016-02-17

Applicant: 한국전자통신연구원

Inventor： 김종현 ,  김익균 ,  이주영 ,  최선오 ,  최양서

IPC: H04L29/06 ,  H04L12/24

CPC classification number: H04L63/0435 ,  H04L63/0272 ,  H04L63/045 ,  H04L63/061 ,  H04L63/0823 ,  H04L63/0869 ,  H04L63/1425 ,  H04L63/166

Abstract: 본발명은침해사고정보연동시스템및 방법에관한것이다. 본발명에따른연동시스템은, 서로다른네트워크도메인에서침해사고의세션정보를수집하는클라이언트시스템과연결되어클라이언트시스템에의해수집된침해사고정보를관제시스템으로전달하고, 클라이언트시스템의요청에따라침해사고정보에대한분석정보를요청하여상기클라이언트시스템으로제공하는하나이상의연동클라이언트, 및침해사고정보를분석하는관제시스템과연결되어하나이상의연동클라이언트로부터제공된서로다른네트워크도메인의침해사고정보를관제시스템으로전달하고, 관제시스템으로부터의침해사고분석정보를저장하며상기연동클라이언트의요청에따라저장된침해사고분석정보를연동클라이언트와공유하는연동서버를포함한다.

Abstract translation: 本发明涉及一种侵权事故信息联锁系统和方法。 根据本发明的联锁系统中，每个传输事件的信息是由与客户端计算机的连接收集收集入射在其它网络域的会话信息，客户端计算机向控制系统，事故侵权在客户端系统的请求 一个转移或多个互锁客户端，并且所述事件信息，分析控制系统和连接到所述一个或多个联锁客户控制系统的一个其它网络域的另一事件信息，从中提供请求提供给用于信息的客户端计算机的信息的分析 和存储来自所述控制系统的事件分析信息和包含与事件的分析和根据所述互锁客户端的请求存储在所述客户机连接的信息共享的服务器。

公开(公告)号：KR1020170095570A

公开(公告)日：2017-08-23

申请号：KR1020160017135

申请日：2016-02-15

Applicant: 한국전자통신연구원

Inventor： 이주영 ,  김익균 ,  김종현 ,  최선오 ,  최양서

IPC: H04L29/06 ,  H04L9/32 ,  H04L12/26

CPC classification number: G06F11/1448 ,  G06F17/30094 ,  G06F2201/82 ,  H04L67/10

Abstract: 본발명의실시예에따른일정단위의원본데이터로부터하나의데이터블록을생성하고하나의데이터블록을미리정한단위로분할하는데이터분할부; 상기하나의데이터블록단위로데이터무결성검증정보를생성하는데이터무결성검증정보생성부; 및상기하나의데이터블록단위로중복제거대상데이터에대한중복제거를수행하는데이터중복제거인코딩부를포함할수 있다.

Abstract translation: 数据分割，以产生一个数据块是从根据本发明的一个实施例的单元将源数据分成数据块单元的指定的一个提前; 数据完整性验证信息生成单元，用于以一个数据块为单位生成数据完整性验证信息; 以及数据去重复编码单元，用于以一个数据块为单位执行要去重的数据的去重复。

公开(公告)号：KR1020150105039A

公开(公告)日：2015-09-16

申请号：KR1020140027202

申请日：2014-03-07

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  한민호 ,  김정태 ,  김종현

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1441 ,  H04L63/1416 ,  H04L63/1425

Abstract: 본 발명은 인터넷 및 내부 네트워크에서 사이버 해킹 공격이 발생하였을 경우 네트워크의 새로운 장비의 추가나 표준 프로토콜의 수정없이 여러 사이트를 경유하는 사이버 해킹 공격에 대한 공격 근원지를 추적하기 위하여 네트워크 플로우 데이터를 이용해 네트워크의 연결 체인을 역추적하는 방법 및 시스템을 제공하는 데 있다.

Abstract translation: 本发明是提供一种用于通过使用网络流数据跟踪网络连接链的方法和系统来跟踪网络黑客攻击的攻击源，所述攻击源通过若干站点而不需要额外的新的网络设备或校正标准 网络黑客攻击发生在互联网和内部网络时的协议。 根据本发明，该方法包括以下步骤：搜索网络会话以产生其中相应的源地址被跟踪地址替换的指纹信息; 并且生成攻击连接链表，其中将相应网络会话的ID进一步添加到用于先前网络会话的ID。

公开(公告)号：KR1020110006565A

公开(公告)日：2011-01-20

申请号：KR1020090081900

申请日：2009-09-01

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  이유리 ,  최양서 ,  장종수

IPC: H04L12/12 ,  H04L12/26

CPC classification number: H04L63/1458 ,  H04L63/1416 ,  H04L63/168

Abstract: PURPOSE: A distributed denial of a service attack search apparatus and a method thereof are provided to monitor the plural GET requests of a client for the DDoS(Distributed Denial of Service) and the order of response packets of a server sequentially to judge the traffic, which transfers another GET request, as the traffic of the DDoS before the response completion of the server. CONSTITUTION: A DDos(Distributed Denial of Service) detection apparatus(200) includes a monitoring unit(202) and an attack detection unit(204). The monitoring unit monitors plural GET requests and responses. According to the session setting between a client(100) and a server(110), the plural GET requests and responses are transmitted and received. The DDoS detection unit analyzes the monitored GET requests and responses, and detects the traffic of DDoS for the server.

Abstract translation: 目的：提供一种分布式拒绝服务攻击搜索装置及其方法，用于依次监视客户端针对DDoS（分布式拒绝服务）的多个GET请求和服务器的响应分组顺序，以判断流量， 它将另一个GET请求作为DDoS的流量在服务器的响应完成之前传输。 构成：DDos（分布式拒绝服务）检测装置（200）包括监视单元（202）和攻击检测单元（204）。 监视单元监视多个GET请求和响应。 根据客户机（100）和服务器（110）之间的会话设置，发送和接收多个GET请求和响应。 DDoS检测单元分析监控的GET请求和响应，并检测服务器的DDoS流​​量。

公开(公告)号：KR101003097B1

公开(公告)日：2010-12-21

申请号：KR1020070133772

申请日：2007-12-18

Applicant: 한국전자통신연구원

Inventor： 김대원 ,  김익균 ,  최양서 ,  윤승용 ,  김병구 ,  오진태 ,  장종수

IPC: H04L12/22 ,  H04L9/00

CPC classification number: H04L63/1416 ,  G06F21/566

Abstract: 본 발명은 폴리몰픽 쉘코드 탐지방법에 관한 것이다. 본 발명은 유입 데이터로부터 폴리몰픽 쉘코드의 복호화 루틴을 탐지한다. 본 발명은 복호화 루틴이 암호화된 코드의 주소를 엑세스하기 위해 현재 실행 코드 주소를 스택에 저장하고 그 값을 레지스터 테이블에서 이동시키는 과정과 실제 메모리 연산에 사용되는지 여부를 추적한다. 본 발명은 최종적으로 에뮬레이션을 수행하고 그 탐지 정확도를 높인다. 따라서, 본 발명은 폴리몰픽 쉘코드 탐지에 소요되는 시간과 오버헤드를 감소시키고 탐지 정확성을 증가시킨다.
폴리몰픽 쉘코드, 스택, 레지스터

公开(公告)号：KR100942795B1

公开(公告)日：2010-02-18

申请号：KR1020070119190

申请日：2007-11-21

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  김병구 ,  윤승용 ,  김대원 ,  오진태 ,  장종수

IPC: G06F11/30 ,  G06F11/08 ,  G06F11/00

CPC classification number: G06F21/562 ,  G06F21/56

Abstract: 본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일

公开(公告)号：KR1020080082297A

公开(公告)日：2008-09-11

申请号：KR1020070022972

申请日：2007-03-08

Applicant: 한국전자통신연구원

Inventor： 김대원 ,  최양서 ,  김익균 ,  오진태 ,  장종수

IPC: G06F17/30 ,  G06F17/00

CPC classification number: G06F17/30864 ,  G06F17/2755 ,  G06F17/30666 ,  G06Q50/184

Abstract: A method and a device for filtering user search words to block illegally sharing copyrighted information are provided to block all search words included in a modifiable range for illegally sharing the copyrighted information while effectively blocking illegal sharing of the copyrighted information by blocking search of the copyrighted information. An input unit(10) receives a search word from a user, and a filtering pattern storage(20) stores each filtering pattern for the search words corresponding to copyrighted information. A filter(30) outputs a decision for blocking search of the received search word depending on a comparison result by removing special characters from the received search word and comparing the search word with the stored filtering patterns. A filtering pattern setting unit(40) sets the filtering pattern for the copyrighted information to the filtering pattern storage by receiving the copyrighted information. The filter determines that the received search word is identical with the filtering pattern when the number of graphemes of the search word is identical with the number of graphemes of the filtering pattern.

Abstract translation: 提供一种用于过滤用户搜索词以阻止非法共享版权信息的方法和装置，以阻止包含在可修改范围内的所有搜索词，以非法共享受版权保护的信息，同时通过阻止对版权信息的搜索而有效地阻止受版权保护的信息的非法共享 。 输入单元（10）从用户接收搜索词，并且过滤模式存储（20）存储与受版权保护的信息相对应的搜索词的每个过滤模式。 滤波器（30）通过从所接收的搜索词中移除特殊字符并且将搜索词与所存储的过滤模式进行比较，输出根据比较结果阻止对接收到的搜索词的搜索的决定。 过滤模式设置单元（40）通过接收受版权保护的信息将用于版权信息的过滤模式设置为过滤模式存储。 当搜索词的字形数与滤波图案的字形数相同时，滤波器确定接收到的搜索词与滤波图案相同。

公开(公告)号：KR1020080037909A

公开(公告)日：2008-05-02

申请号：KR1020060105179

申请日：2006-10-27

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  김대원 ,  오진태

IPC: G06F11/00

CPC classification number: H04L63/145

Abstract: A method and a device for detecting Internet worms based on the network by using vulnerability analysis and attack modeling are provided to efficiently detect and control the Internet worms determined as an attack packet before real attack by analyzing vulnerability of application programs and modeling the attacks. A vulnerability information storing part(150) stores vulnerability information, which is needed for detecting attack, of application programs. A risk determiner(120) determines whether the received packet is transmitted to a vulnerable application program. A packet contents extractor(140) extracts information needed for determining an attack packet from the packet transmitted to the vulnerable application program by using the vulnerability information. An attack determiner(170) determines the attack packet by comparing/analyzing the information extracted from the packet and the vulnerability information stored in the vulnerability storing part. A divided packet processor(130) integrates the information divided from the packet transmitted to the vulnerable application program or corrects order of the divided information before the information for the packet is output to the packet contents extractor.

Abstract translation: 提供了一种通过使用漏洞分析和攻击建模来检测基于网络的互联网蠕虫的方法和设备，以便通过分析应用程序的漏洞和攻击建模来有效地检测和控制在真实攻击之前被确定为攻击包的Internet蠕虫。 漏洞信息存储部分（150）存储应用程序的检测攻击所需的漏洞信息。 风险确定器（120）确定所接收的分组是否被传送到易受攻击的应用程序。 分组内容提取器（140）通过使用该漏洞信息从发送到易受攻击的应用程序的分组中提取确定攻击分组所需的信息。 攻击确定器（170）通过比较/分析从分组提取的信息和存储在漏洞存储部分中的漏洞信息来确定攻击包。 分割分组处理器（130）将从发送到脆弱应用程序的分组分割的信息整合，或者在分组信息被输出到分组内容提取器之前校正分割信息的顺序。

公开(公告)号：KR100744530B1

公开(公告)日：2007-08-01

申请号：KR1020030064573

申请日：2003-09-17

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  서동일 ,  김환국 ,  이상호

IPC: H04L12/28

CPC classification number: H04L63/1441 ,  H04L2463/146

Abstract: 연결 재설정기법을 이용한 연결 역추적 장치 및 그 방법이 개시된다. 패킷차단부는 시스템 공격감지신호를 수신하면, 시스템으로 전송되는 공격패킷 및 공격패킷에 대한 응신으로 시스템으로부터 출력되는 제1응답패킷을 차단한다. 응답패킷생성부는 공격패킷에 대한 응신으로 워터마크를 삽입한 제2응답패킷을 생성하여 공격패킷의 근원지 주소에 해당하는 시스템으로 전송한다. 경로 역추적부는 제2응답패킷의 전송경로상에 존재하는 시스템으로부터 제2응답패킷의 전송경로정보를 포함하는 탐지패킷을 수신하고, 수신한 탐지패킷을 기초로 제2응답패킷의 전송경로를 역추적하여 공격자시스템의 위치를 파악한다. 본 발명에 따르면, 공격자가 여러 시스템을 경유하여 특정 시스템을 공격하더라도 신속하고 정확하게 공격자 시스템의 실제 위치를 추적할 수 있으며, 공격받는 시스템의 피해를 최소화 할 수 있다.
공격 패킷, 응답 패킷, 워터마크, 역추적