公开(公告)号：KR100656369B1

公开(公告)日：2007-02-28

申请号：KR1020050116587

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/24 ,  H04L12/26

Abstract: An apparatus for displaying a network state by using a flow-n-rectangular and a method thereof are provided to determine an abnormal state of the network which degrades its performance and to detect harmful or abnormal traffic causing the abnormal state of the network by using simple data which can show abnormal features of the traffic like flow rates of each port section in accordance with connected time, octet rates, or packet rates. An apparatus for displaying a network state by using a flow-n-rectangular comprises a traffic feature extractor(110), a traffic state displayer(120) and a traffic abnormality checker(130). The traffic feature extractor(110) calculates an occupation rate in accordance with traffic features generated according to a certain reference port and time by referring to traffic information collected by an external traffic information collector, and stores the calculated result. The traffic state displayer(120) expresses an abnormal state of the current network through one and more regular tetragons displayed by using the occupation rate in accordance with traffic features of a port under a reference port, a port over the reference port, a flow over a reference time, and a flow under the reference time on an occupation rate coordinate plane by referring to the calculated result stored in the traffic feature extractor(110). The traffic abnormality checker(130) determines an abnormal state of the network according to the position or size of a regular tetragon drawn on the occupation rate coordinate plane, detects and reports the type of an abnormal state and harmful or abnormal traffic if the abnormal state occurs.

Abstract translation: 提供了一种通过使用流式矩形显示网络状态的设备及其方法，以确定网络的异常状态，从而降低其性能，并通过使用简单的方法来检测引起网络异常状态的有害或异常业务量 根据连接时间，八位字节速率或分组速率，可以显示诸如每个端口部分的流量的流量的异常特征的数据。 本发明公开了一种利用流量矩形显示网络状态的装置，包括：流量特征提取器，流量状态显示器和流量异常检查器。 交通特征提取器（110）通过参考由外部交通信息收集器收集的交通信息来根据根据特定参考端口和时间生成的交通特征来计算占用率，并存储计算结果。 业务状态显示器（120）通过根据参考端口下的端口，参考端口上的端口，参考端口上的端口的流量特征使用占用率显示的一个或多个正常四边形表示当前网络的异常状态 参考时间和在参考时间下的流量，通过参考存储在交通特征提取器（110）中的计算结果，在占用率坐标平面上进行。 业务异常检查器（130）根据在占用率坐标平面上绘制的正常四边形的位置或大小来确定网络的异常状态，如果异常状态检测并报告异常状态的类型和有害或异常业务 发生。

公开(公告)号：KR100656352B1

公开(公告)日：2006-12-11

申请号：KR1020050087024

申请日：2005-09-16

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  장범환 ,  김진오 ,  방효찬 ,  김건량 ,  손선경 ,  김동영 ,  김현주 ,  나중찬 ,  장종수

IPC: G06F15/00

Abstract: A method for displaying event information related to network security is provided to enable a user to visually analyze change of a quantity and connectivity of events of a specific attribute among the events related to the network security, and intuitively recognize a current security situation. The network-related events generated in a managed domain of the network are collected(110). Information including a generation quantity of each application port, the connectivity between a source and destination address, a source and destination address, and an event type to be expressed as a graphic is extracted from the collected event(151,161). The extracted information is displayed as the graphic according to the source and destination address, and interconnectivity among the event types(152,162). An abnormal security state of the managed domain is determined according to a pattern of the displayed graph(170).

Abstract translation: 提供了一种显示与网络安全相关的事件信息的方法，使用户能够直观地分析与网络安全相关的事件中特定属性事件的数量和连通性的变化，直观地识别当前的安全状况。 收集在网络的受管理域中生成的与网络有关的事件（110）。 从所收集的事件（151,161）中提取包括每个应用端口的产生量，源和目的地地址之间的连通性，源和目的地地址以及将被表达为图形的事件类型的信息。 提取的信息根据源地址和目的地址以及事件类型之间的互连性显示为图形（152,162）。 根据所显示的图形的模式来确定管理域的异常安全状态（170）。

公开(公告)号：KR100651754B1

公开(公告)日：2006-12-01

申请号：KR1020050116588

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/863 ,  H04L12/24 ,  H04L12/22 ,  H04L12/939

公开(公告)号：KR1020060062298A

公开(公告)日：2006-06-12

申请号：KR1020040101086

申请日：2004-12-03

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  손선경 ,  방효찬 ,  이수형 ,  김동영 ,  장범환 ,  김건량 ,  김현주 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1416 ,  G06F21/552 ,  G06F21/85 ,  H04L63/1441

Abstract: 본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지

公开(公告)号：KR102153992B1

公开(公告)日：2020-09-09

申请号：KR1020180071694

申请日：2018-06-21

Applicant: 한국전자통신연구원

Inventor： 이종훈 ,  김영수 ,  김익균 ,  김정태 ,  김종현 ,  김현주 ,  박종근 ,  이상민 ,  최선오

IPC: G06F21/55 ,  G06F21/57 ,  G06N3/08 ,  H04L29/06

公开(公告)号：KR102017756B1

公开(公告)日：2019-09-03

申请号：KR1020140003781

申请日：2014-01-13

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  김익균

IPC: G06F21/50 ,  G06F17/00

公开(公告)号：KR1020160099159A

公开(公告)日：2016-08-22

申请号：KR1020150020976

申请日：2015-02-11

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  김익균 ,  김종현

IPC: H04L29/06

CPC classification number: H04L63/1425 ,  H04L63/1416

Abstract: 본발명은사용자장치에서발생하는시스템호출들각각이속하는분류에관한분류정보를저장하는분류정보스토리지, 각각이정상코드가실행될때 발생하는시스템호출들에기초하여생성된하나이상의정상호출모델들및 각각이악성코드가실행될때 발생하는시스템호출들에기초하여생성된하나이상의악성호출모델들에관한정보를저장하는모델정보스토리지, 사용자장치에서실행된어플리케이션에의해발생한시스템호출들을포함하는탐지대상호출패턴의데이터를제공받는데이터수신기, 분류정보를참조하여탐지대상호출패턴에포함되는시스템호출들에관한특성을추출하는어플리케이션특성추출기, 및정상호출모델들및 악성호출모델들중 적어도하나와추출된특성을비교하여어플리케이션의실행코드가악성인지여부를탐지하는코드탐지기를포함하는전자시스템을제공한다. 본발명에따르면, 이미알려진악성코드뿐만아니라, 변종악성코드또는알려지지않은악성코드가탐지될수 있다.

Abstract translation: 根据本发明，提供了一种用于检测恶意代码的电子系统，该系统包括：分类信息存储，其存储关于在用户设备上生成的每个系统呼叫的类别的分类信息; 模型信息存储器，其存储关于基于在执行正常代码时生成的相应系统调用产生的一个或多个正常呼叫模型的信息;以及基于在执行恶意代码时生成的相应系统呼叫生成的一个或多个恶意呼叫模型; 数据接收器，其接收包括由在所述用户设备上执行的应用所生成的系统呼叫的检测对象呼叫模式的数据; 应用特征提取器，其通过参照分类信息来提取检测对象呼叫模式中包含的系统呼叫的特征; 以及代码检测器，通过将所提取的特征与正常呼叫模型和恶意呼叫模型中的至少一个进行比较来检测应用的执行代码是否是恶意的。 根据本发明，不仅可以检测到已知的恶意代码，还可以检测到变种的恶意代码或未知的恶意代码。

公开(公告)号：KR100856924B1

公开(公告)日：2008-09-05

申请号：KR1020070022971

申请日：2007-03-08

Applicant: 한국전자통신연구원

Inventor： 손선경 ,  정치윤 ,  장범환 ,  이수형 ,  방효찬 ,  김건량 ,  김현주 ,  박원주 ,  유종호 ,  김종현 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/26

CPC classification number: H04L41/22 ,  H04L43/045 ,  H04L63/1408

Abstract: An apparatus and a method for displaying a network state are provided to determine an abnormal state which deteriorates the performance of a network by using information about distinct dispersion, entropy, and clustering as a result of a combination of important properties in a traffic event, and detect a harmful traffic or an abnormal traffic. A method for displaying a network state comprises the following steps of: grouping traffics according to a protocol(S100); selecting and combining three of a resource address, a resource port, a destination address, and a destination port, and calculating distinct dispersion and entropy for a remaining element(S200); displaying the calculated distinct dispersion and entropy on a security radar that an angle of a circle is divided into N and a radius of the circle is divided into M(S300); and detecting the abnormality of a network by referring to a displayed radar state and detecting and reporting a harmful traffic or an abnormal traffic which causes an abnormal state(S400).

Abstract translation: 提供一种用于显示网络状态的装置和方法，用于通过使用关于交通事件中的重要属性的组合的结果，通过使用关于不同色散，熵和聚类的信息来确定恶化网络性能的异常状态，以及 检测到有害的流量或异常流量。 一种用于显示网络状态的方法包括以下步骤：根据协议对流量进行分组（S100）; 选择和组合资源地址，资源端口，目的地地址和目的地端口中的三个，并为剩余元素计算不同的色散和熵（S200）; 在安全雷达上显示计算出的不同色散和熵，将圆的角度分为N和圆的半径分为M（S300）; 以及通过参照所显示的雷达状态来检测和检测网络的异常，并检测并报告导致异常状态的有害通信或异常业务（S400）。

公开(公告)号：KR100786392B1

公开(公告)日：2007-12-17

申请号：KR1020060096570

申请日：2006-09-29

Applicant: 한국전자통신연구원

Inventor： 김건량 ,  정치윤 ,  손선경 ,  김현주 ,  김동영 ,  장범환 ,  김종현 ,  이수형 ,  방효찬 ,  박원주 ,  유종호 ,  나중찬 ,  장종수

IPC: G06F17/00 ,  G06F15/16

CPC classification number: G06F17/30283 ,  G06F17/30401 ,  G06F17/30539 ,  G06Q50/26

Abstract: A method for deciding a policy enforcement target of a policy client in a policy-based management framework is provided to rightly and efficiently decide an applicable object resource in case of executing a policy provided from a policy server. A method for deciding a policy enforcement target of a policy client in a policy-based management framework includes the following steps: a step that the policy client confirms capability set of policy information base received from policy serer(101); a step to confirm role-combination of the policy information base received from a policy server(103); a step to search resource satisfying the confirmed capability set and role-combination(105,106); and a step to apply and execute policy received on the searched resource(107).

Abstract translation: 提供了一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法，以在执行从策略服务器提供的策略的情况下正确有效地确定适用的对象资源。 一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法包括以下步骤：策略客户端确认从策略策略器（101）接收的策略信息库的功能集合的步骤; 确认从策略服务器（103）接收的策略信息库的角色组合的步骤; 搜索满足确认能力集和角色组合的资源的一个步骤（105,106）; 以及在搜索到的资源（107）上应用和执行收到的策略的步骤。

公开(公告)号：KR100609707B1

公开(公告)日：2006-08-09

申请号：KR1020040091574

申请日：2004-11-10

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  김현주 ,  장범환 ,  김진오 ,  나중찬 ,  장종수

IPC: G06F15/00

Abstract: 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 를 포함하는 것을 특징으로 하며, 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주며, 또한 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있게 된다.
네트워크 보안, 시각화, 상호 연관성 분석, 트래픽 처리, 보안 이벤트