公开(公告)号：KR1020100073126A

公开(公告)日：2010-07-01

申请号：KR1020080131717

申请日：2008-12-22

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F11/28 ,  G06F9/06 ,  G06F21/56 ,  G06F17/30

CPC classification number: G06F11/28 ,  G06F9/06 ,  G06F17/30091 ,  G06F21/56 ,  G06F21/561 ,  G06F2221/033

Abstract: PURPOSE: A malicious code detecting device using execution compression and a method are provided to determine malicious code without execution compression of execution-compressed target file. CONSTITUTION: A PE(Portable Executable) file determination unit(210) inspects PE signature within a file header of inspection target file. A compression method detector(220) detects execution compression possibility and compression method in section header of the file header. A first malicious code determining unit(230) includes the first list storing compression method. The compression method is not used for the malicious code. The first malicious code determining unit determines a malicious code of the file according to existence of the compression method within the first list.

Abstract translation: 目的：提供使用执行压缩和方法的恶意代码检测设备，以确定恶意代码，而不执行压缩的目标文件。 构成：PE（便携式可执行文件）文件确定单元（210）检查检查目标文件的文件头中的PE签名。 压缩方法检测器（220）检测文件头部分标题中的执行压缩可能性和压缩方法。 第一恶意代码确定单元（230）包括第一列表存储压缩方法。 恶意代码不使用压缩方法。 第一恶意代码确定单元根据第一列表内的压缩方法的存在来确定文件的恶意代码。

公开(公告)号：KR100922579B1

公开(公告)日：2009-10-21

申请号：KR1020070037488

申请日：2007-04-17

Applicant: 한국전자통신연구원

Inventor： 김익균 ,  최양서 ,  김대원 ,  오진태 ,  장종수

IPC: H04L9/00 ,  H04L12/22

CPC classification number: H04L63/1408

Abstract: 본 발명은 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여, 알려지지 않은 네트워크 공격이라도 신속하고 정확하게 판정할 수 있는 네트워크 공격 탐지 장치 및 방법에 관한 것으로서, 본 발명은 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩한 후, 디코딩된 기계어 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하고, 이후 실행 가능한 코드가 포함된 경우, 해당 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하도록 구현된다.
공격 탐지 시스템(IDS), 공격 방지 시스템(IPS), 실행 코드

公开(公告)号：KR100900963B1

公开(公告)日：2009-06-08

申请号：KR1020070109015

申请日：2007-10-29

Applicant: 한국전자통신연구원

Inventor： 김선욱 ,  김대원 ,  김영우 ,  박경 ,  김성운

IPC: H04L29/06 ,  H04L12/28

Abstract: 본 발명은 네트워크 프로토콜 패킷 전송을 위한 하드웨어 장치 및 그 방법에 관한 것으로, 운영체제상의 네트워크 프로토콜 스택에 의한 데이터 전송을 소프트웨어적으로 처리하는 종래의 방식과 달리, TOE(TCP Offload Engine) 내부 등에 실장된 전용 하드웨어 장치 및 송신 전용 프로세서에서 구동하는 펌웨어를 통해 하드웨어적으로 처리함으로써, 시스템 내에서 다수의 네트워크 응용 프로그램의 수행 증가로 생성되는 패킷 전송 요청 처리로 인한 시스템의 부하를 감소시키기 위한, 네트워크 프로토콜 패킷 전송을 위한 하드웨어 장치 및 그 방법을 제공하고자 한다.
이를 위하여, 본 발명은 호스트 프로세서로부터의 소켓 리소스 제어 명령, TCP 연결/해제 명령을 저장하기 위한 소켓 리소스 제어 및 TCP 연결/해제 명령 저장 수단; 각 소켓에 상응하는 네트워크 프로토콜 기반의 메시지 전송 명령을 저장하기 위한 메시지 전송 명령 저장 수단; 소켓 정보 및 패킷 전송 정보를 저장하기 위한 소켓 정보 및 패킷 전송 정보 저장 수단; 및 상기 메시지 전송 명령 저장 수단에 저장되어 있는 메시지 전송 명령을 분석하여 필요한 전송 자원을 확인하고, 전송하고자 하는 메시지를 네트워크 패킷 형태로 구성한 후 전송할 데이터를 읽어오고 헤더를 생성하며, 상기 소켓 정보 및 패킷 전송 정보 저장 수단에 소켓 정보 및 패킷 전송 정보를 저장하기 위한 송신 프로세서를 포함한다.
전송제어프로토콜(TCP), TOE(TCP Offload Engine), 송신전용 프로세서, 네트워크 패킷 전송, 전송 펌웨어

公开(公告)号：KR1020090055669A

公开(公告)日：2009-06-03

申请号：KR1020070122412

申请日：2007-11-29

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수

IPC: G06F11/00

Abstract: A malware malicious software device for detecting and a method thereof including the execution file analyzer classifying layer and a malware malicious software classification machine detecting one or more malware malicious software are provided to measure the degree of byte distribution similarity of the execution file layer. An execution file analyzer(10) classifies a class according to the filed section of the execution file by analyzing the execution file. The execution file analyzer measures the byte distribution toward the field area of each layer. The malware malicious software classification unit(20) detects one or more malware malicious software based on the byte distribution of the field area.

Abstract translation: 提供用于检测的恶意软件恶意软件设备及其方法，包括执行文件分析器分类层和检测一个或多个恶意软件恶意软件的恶意软件分类机，以测量执行文件层的字节分布相似度。 执行文件分析器（10）通过分析执行文件来分类根据执行文件的归档部分的类。 执行文件分析器测量朝向每层的场区域的字节分布。 恶意软件分类单元（20）根据字段区域的字节分布检测一个或多个恶意软件恶意软件。

公开(公告)号：KR1020090052596A

公开(公告)日：2009-05-26

申请号：KR1020070119190

申请日：2007-11-21

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  김병구 ,  윤승용 ,  김대원 ,  오진태 ,  장종수

IPC: G06F11/30 ,  G06F11/08 ,  G06F11/00

CPC classification number: G06F21/562 ,  G06F21/56

Abstract: 본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일

公开(公告)号：KR100850361B1

公开(公告)日：2008-08-04

申请号：KR1020070025033

申请日：2007-03-14

Applicant: 한국전자통신연구원

Inventor： 김대원 ,  최양서 ,  김익균 ,  오진태 ,  장종수

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L43/18 ,  H04L63/1408 ,  H04L63/145

Abstract: An executable code detection method and a device thereof are provided to enable a CPU(Central Processing Unit) to decide whether an executable code exists and to verify data related to signature generation or an extracted signature, thereby enabling reliable signature to be extracted. Network data is inputted(S100). The inputted network data is reversely assembled to make instructions(S200). It is compared whether the made instructions are identical with instruction patterns complying with calling mechanism of a function(S300). It is decided whether an executable code exists in the network data according to the compared results(S400). Before reversely assembling the inputted network data, the network data is processed to enable the reverse assembling process.

Abstract translation: 提供了一种可执行代码检测方法及其装置，以使CPU（中央处理单元）能够确定是否存在可执行代码，并且验证与签名生成相关的数据或提取的签名，从而能够提取可靠的签名。 输入网络数据（S100）。 输入的网络数据被反向组装以进行指令（S200）。 比较所作出的指令是否与符合功能的调用机制的指令模式相同（S300）。 根据比较结果确定网络数据中是否存在可执行代码（S400）。 在反向组合输入的网络数据之前，处理网络数据以实现反向组装过程。

公开(公告)号：KR1020080051046A

公开(公告)日：2008-06-10

申请号：KR1020070109015

申请日：2007-10-29

Applicant: 한국전자통신연구원

Inventor： 김선욱 ,  김대원 ,  김영우 ,  박경 ,  김성운

IPC: H04L29/06 ,  H04L12/28

CPC classification number: H04L69/161 ,  H04L69/12 ,  H04L69/28

Abstract: A method and a hardware device for transmitting a network protocol packet are provided to decrease a load on a system by performing a data transmission using a firmware and dedicated hardware implemented in a TOE(TCP Offload engine). A socket resource control/TCP connection/release command storage unit(103) stores a socket resource control command and a TCP(Transfer Control Protocol) connection/release command from a host processor. A message transmission command storage unit(104) stores a message transmission command based on a network protocol corresponding to the respective sockets. A socket information/packet information storage unit(110) stores socket information and packet transmission information. A transmission processor(101) analyzes the message transmission command stored in the message transmission command storage unit, determines required transmission resources, and configures the message to be transmitted according to a network packet format. The transmission processor reads the data to be transmitted, generates a header, and stores the socket information and packet transmission information.

Abstract translation: 提供了用于发送网络协议分组的方法和硬件设备，以通过使用在TOE（TCP卸载引擎）中实现的固件和专用硬件执行数据传输来减少系统上的负载。 套接字资源控制/ TCP连接/释放命令存储单元（103）从主处理器存储套接字资源控制命令和TCP（传输控制协议）连接/释放命令。 消息传输命令存储单元（104）存储基于与各个插座对应的网络协议的消息发送命令。 套接字信息/分组信息存储单元（110）存储套接字信息和分组发送信息。 发送处理器（101）分析存储在消息发送命令存储单元中的消息发送命令，确定所需的发送资源，并根据网络分组格式配置要发送的消息。 发送处理器读取要发送的数据，生成报头，并存储套接字信息和分组发送信息。

公开(公告)号：KR102259927B1

公开(公告)日：2021-06-03

申请号：KR1020180047370

申请日：2018-04-24

Applicant: 한국전자통신연구원

Inventor： 이연희 ,  김현재 ,  이호성 ,  김대원 ,  강현중 ,  권순현 ,  유웅식 ,  김내수 ,  김선진 ,  김영민 ,  안후영 ,  표철식

IPC: G06Q10/10 ,  G06N20/00 ,  G06F9/22

公开(公告)号：KR102164919B1

公开(公告)日：2020-10-13

申请号：KR1020140022695

申请日：2014-02-26

Applicant: 한국전자통신연구원

Inventor： 오수철 ,  김선욱 ,  김대원 ,  조정현 ,  문종배 ,  김성운 ,  김학영

IPC: G06F15/16

公开(公告)号：KR101972997B1

公开(公告)日：2019-04-29

申请号：KR1020150087394

申请日：2015-06-19

Applicant: 한국전자통신연구원

Inventor： 김대원 ,  김선욱 ,  김성운 ,  문종배 ,  오병택 ,  오수철 ,  조정현 ,  김학영 ,  오명훈 ,  최지혁

IPC: G06F9/50 ,  G06F9/44 ,  G06F15/16