公开(公告)号：KR100564768B1

公开(公告)日：2006-03-27

申请号：KR1020040087047

申请日：2004-10-29

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  신승원 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/741

CPC classification number: H04L45/00 ,  H04L45/54 ,  H04L45/62

Abstract: 순차룩업에 의한 패킷헤더 룩업장치 및 방법이 개시된다. 헤더분석부는 네트워크를 통해 수신된 패킷으로부터 헤더를 분리하고, 분리된 헤더에 존재하는 필드중에서 값이 설정되어 있는 분석대상필드와 하나 이상의 헤더조합룰에 포함되어 있는 필드에 대한 룩업순서를 출력한다. 단위룩업부는 헤더분석부로부터 입력받은 룩업순서를 기초로 헤더분석부로부터 입력받은 각각의 분석대상필드에 대해 헤더조합룰과의 매치여부를 룩업하여 매치신호와 매치주소를 출력한다. 룰조합메모리는 분석대상필드에 해당하는 엔트리를 사용하는 헤더조합룰에 대한 식별정보를 저장하며, 단위룩업부로부터 입력된 매치주소에 대응하는 저장장소로부터 식별정보를 독출하여 출력한다. 순서조합메모리는 패킷헤더를 구성하는 필드들에 대해 정해진 룩업순서정보 및 각각의 헤더조합룰에서 참고하여야 하는 필드의 룩업결과에 대한 정보인 순서조합정보가 저장되며, 분석대상필드에 포함되어 있는 엔트리에 대해 부여된 순서정보를 입력주소로 하여 헤더조합룰에서 참고하여야 하는 순서조합정보를 독출하여 출력한다. 룰조합부는 단위룩업부로부터 입력된 매치신호와 룰조합메모리 및 순서조합메모리로부터 독출한 데이터를 기초로 매치결과를 생성한다. 본 발명에 따르면, 하드웨어의 손실은 최소화하면서도 고속의 침입 탐지가 가능하며, 다양한 새로운 공격에 대해 신속하게 탐지 룰을 업데이트 할 수 있다.

公开(公告)号：KR100561628B1

公开(公告)日：2006-03-20

申请号：KR1020030081833

申请日：2003-11-18

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  장범환 ,  김진오 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/26

CPC classification number: H04L63/1408

Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석

公开(公告)号：KR1020060012779A

公开(公告)日：2006-02-09

申请号：KR1020040061419

申请日：2004-08-04

Applicant: 한국전자통신연구원 ,  경북대학교 산학협력단

Inventor： 오승희 ,  남택용 ,  김기조 ,  이준호 ,  임경식 ,  손승원

IPC: H04L12/28

CPC classification number: H04L67/2823 ,  H04L69/22

Abstract: 액티브 노드, 액티브 노드를 이용한 컨텐츠 전송 시스템 및 그 방법이 개시된다. 컨텐츠 서버로부터 단말기로 전송할 컨텐츠를 수신하면, 단말기의 자원 정보를 파악하고, 컨텐츠 서버로부터 전송된 컨텐츠를 파악된 단말기의 자원 정보를 기초로 단말기에 적합한 형태로 변환하고, 컨텐츠의 헤더에 포함된 정보를 변환된 컨텐츠에 대한 정보로 변환한 후 컨텐츠를 단말기로 전송한다. 이로써, 컨텐츠 서버의 컨텐츠 변환에 따른 부하를 감소시킬 수 있다.
액티브 노드, 컨텐츠 변환, 단말기의 자원 정보

公开(公告)号：KR100550009B1

公开(公告)日：2006-02-08

申请号：KR1020030080080

申请日：2003-11-13

Applicant: 한국전자통신연구원

Inventor： 지정훈 ,  나재훈 ,  남택용 ,  손승원

IPC: H04L29/06 ,  H04W8/26

CPC classification number: H04W40/02 ,  H04L45/00 ,  H04L67/303 ,  H04L69/329 ,  H04W8/02 ,  H04W8/26 ,  H04W36/0016

Abstract: A network apparatus and packet routing method for ubiquitous computing are provided. In the network apparatus, a movement detection unit detects movement from a first network to a second network, and a movement address setting unit generates care-of-address (CoA) information corresponding to prefix information of the second network. A movement registration unit registers a movement address by transmitting a binding update message containing the generated CoA and home address (HoA) mapping information, to a home agent. A resource setting unit registers information on current terminal apparatuses among network terminal apparatuses on the second network. A packet distribution unit distributes the received packet to a current terminal apparatus corresponding to the application characteristic of the packet received from the home agent based on the information on the current terminal apparatuses.

公开(公告)号：KR1020050064093A

公开(公告)日：2005-06-29

申请号：KR1020030095370

申请日：2003-12-23

Applicant: 한국전자통신연구원

Inventor： 박소희 ,  나재훈 ,  남택용 ,  손승원

IPC: H04L12/22 ,  H04L9/06 ,  H04L12/70

CPC classification number: H04L63/0428 ,  H04L63/08 ,  H04L63/20

Abstract: 패킷 보호 기능을 구비한 차세대 인터넷 시스템 및 패킷 보호 방법이 개시된다. 보안서비스확인부는 보안정책 데이터베이스와 보안연계 데이터베이스를 검색하여 인터넷을 통해 전송할 패킷에 보안서비스가 선택되어 있는지를 검사하고, 보안서비스가 선택된 경우 보안 연계 데이터베이스의 보안서비스의 종류 및 모드를 파악한다. AH서비스부는 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 AH 내에 삽입한다. ESP서비스부는 패킷에 대한 인캡슐레이션을 수행한 후 데이터의 길이를 블록 암호화 알고리즘에 적용할 수 있도록 패딩하고 패킷 암호화를 수행하며, 패킷 암호화가 완료된 후 패킷 수신지에서 인증 데이터를 계산한 후 원래의 값과 비교할 수 있도록 인증 데이터를 계산하고, 재전송 공격을 방지할 수 있도록 SN 값을 생성하여 ESP 헤더 내에 삽입한다. 본 발명에 따르면, 상위 응용 계층으로부터 발생된 메시지가 차세대 인터넷을 통해 전달될 수 있는 IPv6 패킷의 형태로 변형되는 과정에서 정보보호 서비스를 선택적으로 제공할 수 있다.

公开(公告)号：KR1020050054414A

公开(公告)日：2005-06-10

申请号：KR1020030087983

申请日：2003-12-05

Applicant: 한국전자통신연구원

Inventor： 김영호 ,  김정녀 ,  손승원 ,  박치항

IPC: H04L12/28

CPC classification number: H04L63/0227 ,  H04L47/10 ,  H04L63/1425

Abstract: 본 발명은 아이피 프래그먼트 패킷(IP Fragment packet)에 대한 동적 필터링 방법에 관한 것으로 특히, 비정상 트래픽을 가지고 있는 아이피 프래그먼트 패킷의 공격(attack)에 대비하여 공격에 이용될 수 있는 아이피 프래그먼트 패킷의 비정상 트래픽을 효과적으로 차단하고, 실시간으로 유입되는 다양한 아이피 프래그먼트 패킷에 따라 가변적으로 필터링 규칙을 변경하는 아이피 프래그먼트 패킷에 대한 동적 필터링(dynamic filtering) 방법에 관한 것이다.
본 발명이 제공하는 아이피 프래그먼트 패킷에 대한 동적 필터링(dynamic filtering) 방법은 (a)수신된 아이피 프래그먼트 패킷에 대한 기 설정된 필터링 규칙이 있는지 판별하는 단계; (b)기 설정된 규칙이 없으면 수신된 아이피 프래그먼트 패킷에 대한 새로운 필터링 규칙을 만들고, 기 설정된 규칙이 있으면 수신된 아이피 프래그먼트 패킷의 크기를 참조하여 아이피 프래그먼트 패킷의 트래픽 정보를 갱신하는 단계; (c)갱신된 트래픽 정보를 이용하여 이미 설정된 기준치 값과 비교하여 수신된 아이피 프래그먼트 패킷내에 비정상 트래픽이 있는 지 판별하는 단계; (d)상기 필터링 규칙 중에서 일정 시간 동안 비정상 트래픽을 발생하지 않는 필터링 규칙이 있는지 판별하는 단계를 포함하여 본 발명의 기술적 과제를 달성한다.

公开(公告)号：KR1020050054081A

公开(公告)日：2005-06-10

申请号：KR1020030087371

申请日：2003-12-03

Applicant: 한국전자통신연구원

Inventor： 김주한 ,  문기영 ,  손승원 ,  박치항

IPC: G06F15/00

CPC classification number: H04L63/08 ,  H04L63/0823 ,  H04L63/10 ,  H04L63/12 ,  H04L2463/102

Abstract: 1. 청구범위에 기재된 발명이 속하는 기술분야
본 발명은, 보안 정보 통합 관리 시스템 및 그 방법에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 다양한 보안 정보들을 XML(Extensible Markup Language) 기반의 국제 표준에 따라 통합적으로 관리하여 보안 정보의 호환성 및 이동성을 높이기 위한, 보안 정보 통합 관리 시스템 및 그 방법을 제공하는데 그 목적이 있음.
3. 발명의 해결 방법의 요지
본 발명은, 보안 정보 통합 관리 시스템에 있어서, 외부의 보안 정보 통합 관리 클라이언트와 XML(Extensible Markup Language)을 기반으로 인터페이스하고, 사용자를 인증하며, 상기 보안 정보 통합 관리 클라이언트로부터의 요청을 해석한 후 요청의 종류에 따라 접근제어 수단 또는 인증 수단 또는 외부의 공개키 기반 구조 인증 서버로 처리를 요청하기 위한 XML 키 관리 수단; 상기 XML 키 관리 수단으로부터의 공유 보안 정보 처리 요청에 따라 사용자 인증 기능, 제한공유 데이터 저장 수단에 대한 접근 권한 정책 생성 기능, 접근 권한 정책에 따른 접근 권한 확인 기능, 접근이 허용된 사용자에게 공유 보안 정보 제공 기능, 보안 정보 위치 정보 제공 기능, 공유 보안 정보의 등록/삭제/갱신 기능, 공유 보안 정보에 대한 공유 설정/해제 기능, 및 XML 전자서명/검증/암호화/복호화/통신 보안 기능을 제공하기 위한 상기 접근제어 수단; 상기 XML 키 관리 수단으로부터의 비공유 보안 정보 처리 요청에 따라 사용자 인증 기능, 본인 인증 기능, 접근이 허용된 사용자(본인)에게 비공유 보안 정보 제공 기능, 보안 정보 위치 제공 기능, 비공유 보안 정보의 등록/수정/삭제 기능, 및 XML 전자서명/검증/암호화/복호화 통신 보안 기능을 제공하기 위한 상기 인증 수단; 상기 접근제어 수단의 제어에 따라 제한된 대상에게 공유되는 보안 정보를 저장하고 관리하기 위한 상기 제한공유 데이터 저장 수단; 및 상기 인증 수단의 제어에 따라 공유되어서는 안되는 보안 정보를 저장하고 관리하기 위한 비공유 데이터 저장 수단을 포함함.
4. 발명의 중요한 용도
본 발명은 전자상거래, 전자문서거래, 통신, 사이트 접속 및 문서 저장 등의 모든 온라인 분야 등에 이용됨.

公开(公告)号：KR1020040094985A

公开(公告)日：2004-11-12

申请号：KR1020030028571

申请日：2003-05-06

Applicant: 한국전자통신연구원

Inventor： 김명은 ,  오승희 ,  김광식 ,  남택용 ,  손승원

IPC: G06F15/00

Abstract: PURPOSE: A device and a method for securing/managing a network are provided to diversely manage security by distributing a security policy to a security equipment distributed/installed on a security framework, which is based on programmable network to execute a programmable packet, with use of the program packet. CONSTITUTION: A programmable policy manager(10) generates the abstract security policy to be applied to the security equipment by using a profile of the security equipment on the network and converts the generated security policy into a programmable security policy. A programmable policy processor(20) fills the programmable security policy to a payload part of an IP(Internet Protocol) packet. A programmable policy certifier(30) encrypts an IP packet. A programmable packet manager(40) converts the IP packet into the programmable packet, and monitors routing/scheduling/resources of the programmable packet.

Abstract translation: 目的：提供一种用于保护/管理网络的设备和方法，以通过将分发/安装在基于可编程网络的安全框架上的安全设备分发安全策略来安全地管理安全性，安全框架基于可编程网络来执行可编程分组 的程序包。 规定：可编程策略管理器（10）通过使用网络上的安全设备的配置文件生成要应用于安全设备的抽象安全策略，并将生成的安全策略转换为可编程安全策略。 可编程策略处理器（20）将可编程安全策略填充到IP（因特网协议）分组的有效载荷部分。 可编程策略验证者（30）加密IP分组。 可编程分组管理器（40）将IP分组转换成可编程分组，并监视可编程分组的路由/调度/资源。

公开(公告)号：KR100456635B1

公开(公告)日：2004-11-10

申请号：KR1020020070686

申请日：2002-11-14

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  나중찬 ,  손승원

IPC: H04L12/22

CPC classification number: H04L63/1458

Abstract: A system for defending against a distributed denial-of-service attack includes an intrusion detection system, an active security management system and an active security node. The intrusion detection system generates alert data if a denial-of-service attack is detected. The active security management system manages a domain, analyzes the alert data, generates and transmits a backtracking sensor in a case of the distributed denial-of-service attack, transmits mobile sensors to a host backtracked by the backtracking sensor to remove a master or an agent program within the host; and generates and transmits a backtracking sensor by using an IP address of a host that has transmitted a packet to the removed master or agent program. The active security node executes the transmitted backtracking sensor to backtrack an attacking host of the distributed denial-of-service attack and, if the backtracked host is determined as a real attacker, intercepts a traffic generated from the real attacker.

Abstract translation: 防范分布式拒绝服务攻击的系统包括入侵检测系统，主动安全管理系统和主动安全节点。 如果检测到拒绝服务攻击，入侵检测系统会生成警报数据。 主动安全管理系统管理域，分析警报数据，在发生分布式拒绝服务攻击的情况下生成并发送回溯传感器，将移动传感器发送给由回溯传感器回溯的主机以移除主或者 主机内的代理程序; 并且通过使用已经发送分组的主机的IP地址到去除的主或代理程序来生成并发送回溯传感器。 主动安全节点执行发送的回溯传感器以回溯分布式拒绝服务攻击的攻击主机，并且如果回溯主机被确定为真正的攻击者，则拦截真正的攻击者产生的通信量。

公开(公告)号：KR100450763B1

公开(公告)日：2004-10-01

申请号：KR1020020060519

申请日：2002-10-04

Applicant: 한국전자통신연구원

Inventor： 유희종 ,  김현곤 ,  손승원

IPC: H04L9/16

Abstract: PURPOSE: A communication system and a method for reusing a key using the same are provided to reduce unnecessary data traffic, and to enhance the reliability and the efficiency of the communication system by deciding the reuse of the key in a DSA(Diameter Security Association) setup process before transmitting a message. CONSTITUTION: A method for reusing a key using a communication system includes a process for deciding a reusing state of a key and a process for performing an encoding operation and a decoding operation. The process for deciding the reusing state of the key is performed by setting up DSA between the first node and the second node(311-318). The process for performing the encoding operation and the decoding operation is to encode and decode a diameter message between the first node and the second node by reusing the key if the reuse of the key is decided(319-325).

Abstract translation: 目的：提供一种通信系统和使用该通信系统的密钥重用方法，以减少不必要的数据通信量，并通过决定密钥在DSA（Diameter安全关联）中的重用来提高通信系统的可靠性和效率， 在发送消息之前设置过程。 组成：一种使用通信系统重新使用密钥的方法，包括确定密钥的重用状态的过程和执行编码操作和解码操作的过程。 通过在第一节点和第二节点之间建立DSA（311-318）来执行确定密钥的重用状态的过程。 执行编码操作和解码操作的过程是如果确定密钥的重用（319-325），则通过重新使用密钥来对第一节点和第二节点之间的直径消息进行编码和解码。