-
公开(公告)号:KR100745044B1
公开(公告)日:2007-08-01
申请号:KR1020060028234
申请日:2006-03-29
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: A device and a method for preventing access to a phishing site are provided to report the phishing site if a connected URL(Uniform Resource Locator) is found in a phishing site database, and similarity between the connected URL and URL information stored in the phishing site database is over a predetermined threshold. A transmitted URL connection executor(1) requests an actual URL of a connected site to a pcap(packet capture) information parser(2). The pcap information parser obtains and transmits the connected URL to the transmitted URL connection executor by analyzing pcap information. A transmitted URL connection determiner(3) determines the phishing site by receiving a result of an inquiry using the connected URL from a phishing site list manager(4) and a transmitted URL similarity checker(5). The phishing site list manager includes the phishing site database(6) and provides an inquiry result to the transmitted URL connection determiner. The transmitted URL similarity checker includes a normal site database(7) managing a normal site list and extracts/provides the similarity to the transmitted URL connection determiner by comparing the URL with normal site database.
Abstract translation: 如果在钓鱼网站数据库中找到连接的URL(统一资源定位符),并且所连接的URL与存储在钓鱼网站的URL信息之间的相似性,则提供防止访问钓鱼网站的设备和方法以报告钓鱼网站 数据库超过预定的阈值。 发送的URL连接执行器(1)向pcap(包捕获)信息解析器(2)请求连接站点的实际URL。 pcap信息解析器通过分析pcap信息来获取并发送所连接的URL到所发送的URL连接执行器。 被发送的URL连接确定器(3)通过使用来自网络钓鱼站点列表管理器(4)和发送的URL相似性检查器(5)的连接的URL接收查询的结果来确定钓鱼网站。 钓鱼网站列表管理器包括钓鱼网站数据库(6),并向发送的URL连接确定器提供查询结果。 所发送的URL相似性检查器包括管理正常站点列表的正常站点数据库(7),并且通过将该URL与正常站点数据库进行比较来提取/提供相似度给所发送的URL连接确定器。
-
公开(公告)号:KR1020150103903A
公开(公告)日:2015-09-14
申请号:KR1020140025542
申请日:2014-03-04
Applicant: 한국전자통신연구원
IPC: G06F21/56
CPC classification number: G06F21/554 , G06F21/566 , G06F21/56
Abstract: 본 발명은 악성 코드 샘플을 실행하기 전과 후의 시스템 상태를 토대로 악성 코드를 검출하는 장치 및 그 방법에 관한 것이다. 악성 코드 검출 장치는 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출하는 단계, 악성 코드 샘플에 대한 정적 분석 및 동적 분석을 수행하는 단계, 악성 코드 샘플을 실행 한 후, 샘플 실행 시스템의 상태를 추출하고, 추출한 결과와 악성 코드 샘플이 실행되기 전 샘플 실행 시스템의 상태를 추출한 결과를 비교하여 시스템의 변경 정보를 획득하는 단계 및 정적 분석 및 동적 분석을 수행한 결과에 해당하는 정적 분석 정보 및 동적 분석 정보, 시스템의 변경 정보를 이용하여 악성 코드 샘플의 악성 행위 여부를 검출하는 단계를 포함한다.
Abstract translation: 本发明涉及一种基于在执行恶意代码样本之前和之后的系统的状态来检测恶意代码的装置和方法。 该装置包括以下步骤:在执行恶意代码样本之前提取样本执行系统的状态; 执行与恶意代码示例相关的静态分析和动态分析; 在执行恶意代码样本之后提取样本执行系统的状态,并且与执行恶意代码之前和之后的抽样执行系统的状态的提取结果相比较获得系统的修改信息; 并通过使用静态分析信息和动态分析信息来检测恶意代码样本的恶意行为,这些静态分析信息和动态分析信息是执行静态分析和动态分析的结果,以及系统的修改信息。
-
Patent Agency Ranking
公开(公告)号:KR100961180B1
公开(公告)日:2010-06-09
申请号:KR1020080047387
申请日:2008-05-22
Applicant: 한국전자통신연구원
CPC classification number: G06F21/57
Abstract: 본 발명은 PC(Personal computer)의 보안 설정을 점검하는 장치 및 방법에 관한 것으로서, 특히 통제 정책 및 점검 결과에 따라 사용자 PC의 보안 설정을 변경할 수 있는 PC 보안 점검 장치 및 방법에 관한 것이다. 본 발명에 따른 PC 보안 점검 장치는 보안 점검 서버로부터 수신한 점검 정책에 기반하여 점검 대상 PC의 보안 설정을 점검하고, 점검 결과를 출력하는 점검 모듈; 및 상기 보안 점검 서버로부터 수신한 통제 정책 및 상기 점검 모듈로부터 수신한 점검 결과에 기반하여 상기 PC의 보안 설정 변경을 수행하는 통제 모듈로 구성된다. 본 발명은 네트워크 상의 각 PC에 설치된 보안 점검 에이젼트를 통하여 보안 점검을 수행하고 통제 정책에 따른 보안 설정 변경을 수행함으로써, 네트워크 상 각 PC들의 보안 설정을 일괄적으로 관리할 수 있다.
보안 점검, CVE, CVSS, 안전도, NAC, NAP-
公开(公告)号:KR1020060134334A
公开(公告)日:2006-12-28
申请号:KR1020050053935
申请日:2005-06-22
Applicant: 한국전자통신연구원
Abstract: A process classification/execution controlling device for strengthening DAC(Discretionary Access Control) and a method thereof are provided to prevent probable authority elevation by dividing program objects executable in a system into a CUS(Command, Utility, and Safety) group and a DVO(Discretionary, Vulnerable, and Outer) group, and making a process subject of a DVO group member execute a CUS group member program. An application end includes a program group management program(3) requesting program classification to the objects classified into the CUS group(1) and the DVO group(2). A kernel module(5) performs CUS/DVO group classification by responding to a received request, and controls execution of the program by linking with group information of the executable programs while storing a group of the processes executed in the system, information for an execution object repository(7), and consistency information to a kernel memory. The execution object repository classifies/stores the CUS and DVO group. A program classifier(51) classifies the execution object programs stored to the execution object repository into the CUS a DVO group.
Abstract translation: 提供了一种用于加强DAC(自由访问控制)的过程分类/执行控制装置及其方法,以通过将系统中可执行的程序对象分为CUS(命令,实用程序和安全)组和DVO( 自由选择,弱势群体和外部群体),并使DVO小组成员的进程主体执行CUS组成员程序。 应用程序结束包括对分类为CUS组(1)和DVO组(2)的对象请求程序分类的程序组管理程序(3)。 内核模块(5)通过响应接收的请求来执行CUS / DVO组分类,并且通过与存储在系统中执行的一组处理相关的可执行程序的组信息进行链接来控制程序的执行,用于执行的信息 对象库(7),以及与内核内存的一致性信息。 执行对象库分类/存储CUS和DVO组。 程序分类器(51)将存储在执行对象库中的执行对象程序分类到CUS DVO组。
-
-
-
公开(公告)号:KR1020080044145A
公开(公告)日:2008-05-20
申请号:KR1020070059535
申请日:2007-06-18
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A system and a method for detecting web application attacks by using a web log correlation analysis are provided to detect unknown attacks according as determining whether an access to a specific web page is normal or not, and to reduce false positive rate. A system for detecting web application attacks includes a web log preprocessor(110), a web log database(120), a web log correlation unit(130), and a correlation analysis information database(133). The web log preprocessor converts log information stored at a web log into formatted web log, constructs the formatted web log in a formatted log and stores the formatted web log at the web log database. The formatted web log stored at the web log database is transferred to a web log correlation unit. The web log correlation unit, including a connection state analysis unit(131) and a similarity measurement unit(132), calls the formatted web log, analyzes the formatted web log, and detects an intrusion with respect to a client request by using the analysis result. The connection state analysis unit manages site topology information, namely detects an abnormal access to a site by maintaining information on a state of connection between web pages. The connection state analysis unit determines an abnormal access or not by using a status code of the formatted web log in the formatted log table. Then, the connection state analysis unit stores a query string of a user to the correlation analysis information database in case of determining that an access to the web site is abnormal. The similarity measurement unit checks whether there exists string similar to query string of an attacker at the correlation analysis information database by calculating similarity of the query string of the attacker on the basis of the Ratcliff pattern matching algorithm.
Abstract translation: 提供了一种通过使用Web日志关联分析来检测Web应用程序攻击的系统和方法,用于根据对特定网页的访问是否正常以及是否减少假阳性率来检测未知攻击。 一种用于检测web应用攻击的系统,包括Web日志预处理器(110),Web日志数据库(120),Web日志相关单元(130)和相关分析信息数据库(133)。 Web日志预处理器将存储在Web日志中的日志信息转换为格式化的Web日志,在格式化的日志中构建格式化的Web日志,并将格式化的Web日志存储在Web日志数据库中。 存储在Web日志数据库中的格式化的Web日志被传送到Web日志相关单元。 包括连接状态分析单元(131)和相似度测量单元(132)的Web日志相关单元调用格式化的Web日志,分析格式化的Web日志,并通过使用分析来检测关于客户端请求的入侵 结果。 连接状态分析单元管理站点拓扑信息,即通过维护关于网页之间的连接状态的信息来检测对站点的异常访问。 连接状态分析单元通过在格式化的日志表中使用格式化的Web日志的状态码来确定异常访问。 然后,在确定对网站的访问异常的情况下,连接状态分析单元将用户的查询字符串存储到相关分析信息数据库。 相似性测量单元通过基于Ratcliff模式匹配算法计算攻击者的查询字符串的相似度来检查在相关分析信息数据库中是否存在与攻击者的查询字符串相似的字符串。
-
-
-
-
-
-
Search Results
27
records
(took 0.031 seconds)
