公开(公告)号：KR101110308B1

公开(公告)日：2012-02-15

申请号：KR1020080131717

申请日：2008-12-22

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F11/28 ,  G06F9/06 ,  G06F21/56 ,  G06F17/30

Abstract: 본 발명은 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법에 관한 것이다. 본 발명에 따른 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법은, 대상파일의 파일 헤더를 분석하여, 실행압축 여부를 판단하고, 대상 파일이 실행압축된 경우, 압축방법을 헤더 분석과 압축방법의 시그니처를 이용한 분석 방법을 이용하여 압축방법을 검출한다. 실행압축에 사용된 압축방법을 악성코드 압축용 압축방법 데이터베이스와 비교하여, 대상파일의 악성코드 여부를 판단한다. 따라서, 실행 압축된 악성코드의 경우에도 압축해제 없이 악성코드 여부를 판단할 수 있다.
멜웨어, 악성코드, 악성코드탐지, 압축방법검출, 실행압축, PE 헤더

公开(公告)号：KR1020110070289A

公开(公告)日：2011-06-24

申请号：KR1020090127050

申请日：2009-12-18

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  김대원 ,  오진태 ,  장종수 ,  나중찬 ,  조현숙

IPC: H04L12/22

CPC classification number: H04L63/1466 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/1416

Abstract: PURPOSE: A web load attack blocking device using URI contents discrimination and an attack blocking method are provided to discriminate a malicious user with the use of the same URI contents in a short time. CONSTITUTION: A packet parser module(10) extracts the information of a client from a inflow payload packet. A hash generation module(20) applies a hash function to the extracted information of the packet parser module. A DDoS(Distributed Denial of Service) detection and protection module(30) receive the hash values of the hash generation module and the extracted information. The DDoS detection and protection module detects the load attack of a web server. In case of the message of a malicious user, the DDoS detection and protection module secludes a packet.

Abstract translation: 目的：提供使用URI内容辨别和攻击阻止方法的网页加载攻击阻止装置，以便在短时间内使用相同的URI内容来区分恶意用户。 构成：分组解析器模块（10）从流入有效载荷分组中提取客户端的信息。 散列生成模块（20）将哈希函数应用于所提取的分组解析器模块的信息。 DDoS（分布式拒绝服务）检测和保护模块（30）接收散列生成模块的散列值和提取的信息。 DDoS检测和保护模块检测Web服务器的负载攻击。 在恶意用户的消息的情况下，DDoS检测和保护模块会隐藏数据包。

公开(公告)号：KR1020100066908A

公开(公告)日：2010-06-18

申请号：KR1020080125415

申请日：2008-12-10

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F21/00 ,  G06F15/00 ,  G06F9/44 ,  H04L12/24

CPC classification number: H04L63/145 ,  G06F21/564 ,  G06F9/448 ,  G06F9/4494 ,  G06F15/00 ,  G06F21/00 ,  H04L41/5093 ,  H04L41/5096

Abstract: PURPOSE: A windows executable file extraction method and a device using the same are provided to analyze an execution file from a packet before inflowing into packet to a host, thereby extracting a various, a worm, or Trojan horse at an early stage. CONSTITUTION: A session matching module(50) collects input packer having payload according to a reference packet. The session matching module performs a session matching based on 5-tuple information of the reference packet. A patter matching module(60) searches MZ pattern, PE00 pattern, and MZ-PE00 pattern about packer of the session matching module. A PE(Portable Executable) processing module(70) completes a PE file combination or deletes packets which is not a PE file.

Abstract translation: 目的：提供一种Windows可执行文件提取方法和使用该方法的设备，以便在分组到主机之前分析来自分组的执行文件，从而在早期阶段提取各种，蠕虫或特洛伊木马。 构成：会话匹配模块（50）根据参考分组收集具有有效载荷的输入封隔器。 会话匹配模块基于参考分组的5元组信息执行会话匹配。 图案匹配模块（60）搜索关于会话匹配模块的封隔器的MZ模式，PE00模式和MZ-PE00模式。 PE（便携式执行）处理模块（70）完成PE文件组合或删除不是PE文件的数据包。

公开(公告)号：KR100942798B1

公开(公告)日：2010-02-18

申请号：KR1020070122412

申请日：2007-11-29

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수

IPC: G06F11/00

Abstract: 본 발명은 악성코드 탐지장치 및 방법에 관한 것으로서, 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하고, 각 계층의 필드영역에 대한 바이트 분포를 측정하는 실행파일 분석기 및 상기 실행파일 분석기를 통해 각 계층별로 분류된 필드영역의 바이트 분포에 기초하여 적어도 하나의 악성코드를 탐지하는 악성코드 분류기를 포함한다. 본 발명에 따르면, 실행파일을 여러 개의 필드영역으로 계층화하고, 이들 각 계층에 대해 클러스터링 분석 기법을 적용하여 검사할 실행파일의 바이트 분포 유사도를 측정함으로써, 악성코드를 검출하게 됨에 따라 기존에 알려진 악성코드뿐만 아니라, 새로운 형태의 알려지지 않은 악성코드들에 대해서도 대응할 수 있는 이점이 있다.
악성코드, 실행파일, 클러스터링 중심값, 바이트 분포

公开(公告)号：KR1020090065313A

公开(公告)日：2009-06-22

申请号：KR1020070132804

申请日：2007-12-17

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  문화신 ,  이성원 ,  오진태 ,  장종수

IPC: H04L12/26

CPC classification number: H04L63/1425 ,  H04L43/026 ,  H04L43/16

Abstract: An abnormal traffic detecting method based on hardware and a detecting device with an abnormal traffic detecting engine based on hardware are provided to help performance of a high performance abnormal traffic detecting function guaranteeing real time detection of line speed in a gigabit network environment, thereby enhancing security of an invasion detecting apparatus. A field for traffic measurement is extracted by extracting an IP(Internet Protocol) packet from inflow traffic(S120). A flow based traffic characteristic of the inflow traffic is measured based on the extracted field(S130). It is detected whether the IP packet is abnormal by comparing the measured characteristic with a threshold value according to each characteristic(S140). The detection result is transmitted to a software base security engine.

Abstract translation: 提供了基于硬件的异常流量检测方法和基于硬件的异常流量检测引擎的检测设备，以帮助执行高性能异常流量检测功能，保证在千兆网络环境中实时检测线路速度，从而提高安全性 的入侵检测装置。 通过从流入流量提取IP（因特网协议）分组来提取用于流量测量的字段（S120）。 基于提取的场测量流入业务的基于流的业务特性（S130）。 通过根据每个特性将测量特性与阈值进行比较来检测IP分组是否异常（S140）。 检测结果被发送到软件基础安全引擎。

公开(公告)号：KR100833488B1

公开(公告)日：2008-05-29

申请号：KR1020050113476

申请日：2005-11-25

Applicant: 한국전자통신연구원

Inventor： 백광호 ,  김병구 ,  오진태 ,  장종수 ,  손승원

IPC: H04L9/32 ,  H04L12/22 ,  H04L9/28

CPC classification number: H04L63/1416

Abstract: 본 발명은 침해 규칙 저장 방법 및 장치에 관한 것으로, 침해 규칙이 기 저장되어 있는 침해 탐지 시스템에 새로운 침해 규칙을 저장하는 방법에 있어서, 새로운 침해 규칙이 복수개의 부분 침해 규칙들로 분할되도록 할 수 있는 분할 조합들을 생성하는 단계, 생성된 분할 조합들 각각에 대하여 침해 탐지 시스템에 기 저장된 침해 규칙들과의 해쉬 값 충돌 횟수를 계산하는 단계, 새로운 침해 규칙을 계산된 해쉬 값 충돌 횟수가 가장 적은 분할 조합으로 분할하는 단계 및 분할된 새로운 침해 규칙을 침해 탐지 시스템의 해당하는 위치에 저장하는 단계로 구성되어, 침해 규칙이 차지하는 저장부의 크기를 작게 만들고 패턴 매칭을 수행하여 침해 탐지 시스템의 성능 향상을 도모할 수 있다.

公开(公告)号：KR1020070096067A

公开(公告)日：2007-10-02

申请号：KR1020050113476

申请日：2005-11-25

Applicant: 한국전자통신연구원

Inventor： 백광호 ,  김병구 ,  오진태 ,  장종수 ,  손승원

IPC: H04L9/32 ,  H04L12/22 ,  H04L9/28

CPC classification number: H04L63/1416

Abstract: A method and an apparatus for storing an intrusion rule are provided to minimize the collision of hash values by using a hash function based on hardware in a real time intrusion detecting system. A method for storing an intrusion rule includes the steps of: generating division combinations to divide a new intrusion rule into a plurality of partial intrusion rules(S610); calculating the frequency of collisions of hash values with the pre-stored intrusion rules in an intrusion detecting system for each generated division combination(S620); dividing the new intrusion rule into the division combinations of the least frequency of collisions of hash values(S640); and storing the divided new intrusion rule in a corresponding location of the intrusion detecting system(S660).

Abstract translation: 提供一种用于存储入侵规则的方法和装置，以通过使用基于实时入侵检测系统中的硬件的散列函数来最小化散列值的冲突。 一种用于存储入侵规则的方法，包括以下步骤：产生分割组合以将新的入侵规则划分成多个部分入侵规则（S610）; 在每个生成的分割组合的入侵检测系统中计算哈希值与预先存储的入侵规则的冲突频率（S620）; 将新的入侵规则划分为哈希值的最小冲突频率的分割组合（S640）; 并将分割的新入侵规则存储在入侵检测系统的对应位置（S660）。

公开(公告)号：KR100599938B1

公开(公告)日：2006-07-13

申请号：KR1020040062415

申请日：2004-08-09

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  오진태 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/22

Abstract: 본 발명은 해쉬 테이블 주소 분산 장치 및 방법, 이를 이용한 패턴매칭 장치에 관한 것으로, 침해 규칙을 구성하는 문자열 각각의 바이트를 소정의 비트수만큼 확장하여 각각의 바이트에 대하여 문자열내의 순서 -1만큼 좌측 또는 우측으로 쉬프팅하고, 상기 문자열내 순서 -1만큼의 쉬프팅된 최상위 비트들을 문자열내 순서 -1만큼의 최하위 비트에 제공하여 각 바이트에 대하여 스펙트럼을 분산시킨 후, 스펙트럼 분산된 모든 바이트에 대하여 소정의 해쉬함수를 적용함으로써 빠른 패턴매칭을 수행하게 한다.
침입 탐지, 침해 규칙, 고속 패턴 매칭, 해쉬 테이블

Abstract translation: 分发哈希表地址的设备和方法以及使用其的模式匹配设备技术领域本发明涉及用于分发哈希表地址 向右移动，并且字符串中序列-1的移位的最高有效位被提供给字符串中序列-1的最低有效位以分散每个字节的频谱，然后预定的散列 执行快速模式匹配的功能。

公开(公告)号：KR100558658B1

公开(公告)日：2006-03-14

申请号：KR1020030068718

申请日：2003-10-02

Applicant: 한국전자통신연구원

Inventor： 강구홍 ,  김익균 ,  김병구 ,  이종국 ,  김기영 ,  장종수

IPC: H04L9/00

CPC classification number: H04L63/1416 ,  H04L63/0245

Abstract: 본 발명은 보호 네트워크와 외부 네트워크 사이에 연결되며, 보호 네트워크와 외부 네트워크 간의 침입 여부를 탐지하여 차단하는 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법에 관한 것이다.
본 발명에서는, 보호 및 외부 네트워크간에 상호 송수신하는 패킷을 모니터링하여 다양한 통계치 자료를 수집하며, 패킷 차단 규칙에 따른 패킷 필터링과 센싱 규칙에 따른 패킷 센싱을 수행하는 제1 네트워크 프로세서부와, 공격 시그너쳐를 기준으로 패킷의 페이로드(payload)를 조사하여 보호 또는 외부 네트워크로의 침입 여부를 검출하는 제2 네트워크 프로세서부를 포함한다.
또한, 본 발명은 검출한 침입 차단을 기가비트 이더넷 포트를 수용하여 실시간 처리함으로써, 네트워크 침입에 대한 빠른 대응을 할 수 있고, 기가비트급의 대용량 트래픽을 안정적으로 처리할 수 있다. 그리고, 트래픽을 미터링하는 규칙에서부터 필터링 규칙 및 센싱 규칙에 이르기까지 침입 여부를 검출 및 차단하는데 필요한 각종 기준들을 관리자를 통해 실시간으로 업데이트할 수 있도록 하며, 이를 통한 사용의 편리성 및 경제적 이점을 누릴 수 있도록 한다.
침입 탐지/차단, 네트워크 프로세서, 공격 시그너쳐, 어기어사, APP500

公开(公告)号：KR100545679B1

公开(公告)日：2006-01-24

申请号：KR1020020082209

申请日：2002-12-21

Applicant: 한국전자통신연구원

Inventor： 김익균 ,  김진오 ,  강구홍 ,  김병구 ,  장종수

IPC: H04L12/28

Abstract: 본 발명은 ATM 망을 이용한 메트로 이더넷 서비스를 위한 망 2 계층 연동 장치와 그 방법에 관한 것으로, 다양한 대역폭 할당을 요구하는 MTU 기반의 메트로 이더넷 서비스를 ATM 망의 전달 트래픽 형태로 효율적으로 변환하며, ATM 트래픽 특성을 최대한 활용하여 효율적으로 음성 정보와 같은 시간 제약적인 데이터를 전달 할 수 있고, 네트워크 상에 부가적인 3 계층 세그먼트 구축 없이 ATM 망에 접속함으로써 메트로 이더넷 서비스 이용자는 ATM 망의 존재를 알 필요 없이 ATM 특성을 활용하는 이점이 있다.
메트로 이더넷, ATM, 망 2 계층, MTU(Multi-Tenant Unit), 라우터