公开(公告)号：KR100670783B1

公开(公告)日：2007-01-17

申请号：KR1020040098637

申请日：2004-11-29

Applicant: 한국전자통신연구원

Inventor： 류승호 ,  정보흥 ,  김정녀 ,  장종수 ,  손승원

IPC: H04L12/28

Abstract: 본 발명은 필드 레벨을 이용한 패킷 분류 방법 및 장치에 관한 것으로, (a) 포함 관계가 성립하는 주소 정보에 패킷 분류 규칙을 통하여 포함 관계를 추출하고 단계별로 세부 번호를 부여하여 필드 레벨을 생성하는 필드 레벨 생성단계; (b) 상기 (a)단계에서 생성된 필드 레벨 각각에 대한 패킷 분류 규칙의 마스크와 패킷 분류 규칙의 필드 레벨을 저장하고, 상기 필드 레벨 생성부에서 생성된 필드 레벨이 상기 주소 정보와 매칭되도록 TCAM에 저장하는 필드 레벨 저장 제어단계; 및 (c) 외부로부터 패킷이 도착하였을 경우 상기 패킷이 주소 정보를 상기 TCAM으로 송신하고 상기 TCAM 룩업으로 획득한 필드 레벨을 수신하고 상기 필드 레벨 저장제어부에 저장된 각각의 주소 정보에 대한 패킷 분류 규칙의 마스크와 패킷 분류 규칙의 필드 레벨을 로딩하여 연산 과정을 수행함으로써 포함관계가 성립되는지 여부를 판단하는 비교 판단단계;로 구성된다. 따라서, 포함관계가 발생하는 주소로 이루어진 규칙들을 놓치지 않고 모두 찾을 수 있다.

公开(公告)号：KR100651748B1

公开(公告)日：2006-12-01

申请号：KR1020050074850

申请日：2005-08-16

Applicant: 한국전자통신연구원

Inventor： 류승호 ,  김기영 ,  정보흥 ,  임재덕 ,  김영호 ,  한민호

IPC: H04L12/28 ,  H04L12/24

Abstract: An address collision detecting apparatus and a method thereof are provided to detect an attack which interferes with address generation, and to detect an address collision attacker by deriving the attacker, thereby blocking address collision and detecting a collision attacker. A receiver(310) receives a collision message indicating that packets and IP(Internet Protocol) addresses are already used. An address manager(320) perceives an IP address and an intrinsic ID address for physically discriminating terminals based on the packets, and accumulates the number of times of the collision message is received, according to each intrinsic ID and IP address to manage the accumulated results. If the number of the IP addresses, corresponding to each intrinsic ID address, exceeds a predetermined number, if the number of times of the collision message reception, accumulated according to each IP, exceeds the number of preset times, or if the number of times of the collision message reception, accumulated according to each intrinsic ID address, exceeds the number of preset times, a collision detector(330) generates an alarm.

Abstract translation: 提供了一种地址冲突检测装置及其方法，用于检测干扰地址生成的攻击，并通过派生攻击者来检测地址冲突攻击者，从而阻止地址冲突并检测冲突攻击者。 接收器（310）接收指示分组和IP（互联网协议）地址已被使用的冲突消息。 地址管理器（320）根据分组感知用于物理鉴别终端的IP地址和固有ID地址，并根据每个固有ID和IP地址累计接收到冲突消息的次数，以管理累积结果 。 如果对应于每个固有ID地址的IP地址的数量超过预定数量，则如果根据每个IP累积的冲突消息接收的次数超过预设次数，或者如果次数 根据每个固有ID地址累积的碰撞消息接收超过预设次数，碰撞检测器（330）产生警报。

公开(公告)号：KR100609700B1

公开(公告)日：2006-08-08

申请号：KR1020040056415

申请日：2004-07-20

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  류승호 ,  김정녀 ,  장종수

IPC: H04L12/22

CPC classification number: H04L63/1408 ,  G06F21/55

Abstract: 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 침입 탐지 장치 및 그 방법이 개시된다. 적어도 하나 이상의 침입 탐지 규칙들의 검사 조건들을 검사 항목별로 재배열하고, 동일한 검사 항목내의 동일한 검사 조건들을 그룹화한 후 침입 탐지 규칙들의 검사 항목 및 검사 순서를 만족하는 검사 조건들의 연결 구조로 이루어진 그룹 규칙을 생성하고, 그룹 규칙의 연결 구조에서 검사 시작 위치에 존재하는 검사 조건들로 이루어진 공통 규칙을 생성한다. 그리고, 공통 규칙을 기초로 패킷 침입 탐지를 수행하고, 그룹 규칙을 기초로 패킷 침입 탐지를 수행한다. 이로써, 간략화 및 그룹화된 패킷 침입 탐지 규칙들을 이용하여 침입 탐지 과정의 부화를 감소할 수 있다.
침입 탐지 규칙, 그룹 규칙, 공통 규칙

公开(公告)号：KR1020050045500A

公开(公告)日：2005-05-17

申请号：KR1020030079581

申请日：2003-11-11

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  류승호 ,  김정녀 ,  손승원 ,  박치항

IPC: G06F15/00

CPC classification number: H04L63/0263 ,  G06F21/55 ,  H04L63/1416 ,  H04L63/1441

Abstract: 1. 청구범위에 기재된 발명이 속하는 기술분야
본 발명은, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 변경 방법 에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 커널 내에서 침입탐지 과정에 이용되는 침입탐지규칙의 복사본을 동적으로 관리하여, 사용자(User) 영역으로부터의 침입탐지규칙 변경 요청에 따라 먼저 상기 복사본에 대하여 변경 작업을 수행한 후, 현재 적용중인 침입탐지규칙과 교체(포인터 교환)함으로써, 침입탐지규칙의 변경시에도 침입탐지 과정의 연속성을 보장하기 위한, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 변경 방법을 제공하는데 그 목적이 있음.
3. 발명의 해결 방법의 요지
본 발명은, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 관리 방법에 있어서, 커널 영역에서 침입탐지규칙의 복사본을 생성하는 제 1 단계; 사용자 영역으로부터의 침입탐지규칙의 변경 요청에 따라 상기 침입탐지규칙의 복사본을 변경하는 제 2 단계; 및 상기 침입탐지규칙을 가리키는 포인터의 값과 상기 변경된 침입탐지규칙의 복사본을 가리키는 포인터의 값을 서로 교환하여 현재 적용중인 침입탐지규칙을 변경하는 제 3 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 침입탐지시스템 등에 이용됨.