公开(公告)号：KR101110308B1

公开(公告)日：2012-02-15

申请号：KR1020080131717

申请日：2008-12-22

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F11/28 ,  G06F9/06 ,  G06F21/56 ,  G06F17/30

Abstract: 본 발명은 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법에 관한 것이다. 본 발명에 따른 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법은, 대상파일의 파일 헤더를 분석하여, 실행압축 여부를 판단하고, 대상 파일이 실행압축된 경우, 압축방법을 헤더 분석과 압축방법의 시그니처를 이용한 분석 방법을 이용하여 압축방법을 검출한다. 실행압축에 사용된 압축방법을 악성코드 압축용 압축방법 데이터베이스와 비교하여, 대상파일의 악성코드 여부를 판단한다. 따라서, 실행 압축된 악성코드의 경우에도 압축해제 없이 악성코드 여부를 판단할 수 있다.
멜웨어, 악성코드, 악성코드탐지, 압축방법검출, 실행압축, PE 헤더

公开(公告)号：KR1020110070289A

公开(公告)日：2011-06-24

申请号：KR1020090127050

申请日：2009-12-18

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  김대원 ,  오진태 ,  장종수 ,  나중찬 ,  조현숙

IPC: H04L12/22

CPC classification number: H04L63/1466 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/1416

Abstract: PURPOSE: A web load attack blocking device using URI contents discrimination and an attack blocking method are provided to discriminate a malicious user with the use of the same URI contents in a short time. CONSTITUTION: A packet parser module(10) extracts the information of a client from a inflow payload packet. A hash generation module(20) applies a hash function to the extracted information of the packet parser module. A DDoS(Distributed Denial of Service) detection and protection module(30) receive the hash values of the hash generation module and the extracted information. The DDoS detection and protection module detects the load attack of a web server. In case of the message of a malicious user, the DDoS detection and protection module secludes a packet.

Abstract translation: 目的：提供使用URI内容辨别和攻击阻止方法的网页加载攻击阻止装置，以便在短时间内使用相同的URI内容来区分恶意用户。 构成：分组解析器模块（10）从流入有效载荷分组中提取客户端的信息。 散列生成模块（20）将哈希函数应用于所提取的分组解析器模块的信息。 DDoS（分布式拒绝服务）检测和保护模块（30）接收散列生成模块的散列值和提取的信息。 DDoS检测和保护模块检测Web服务器的负载攻击。 在恶意用户的消息的情况下，DDoS检测和保护模块会隐藏数据包。

公开(公告)号：KR1020100066908A

公开(公告)日：2010-06-18

申请号：KR1020080125415

申请日：2008-12-10

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F21/00 ,  G06F15/00 ,  G06F9/44 ,  H04L12/24

CPC classification number: H04L63/145 ,  G06F21/564 ,  G06F9/448 ,  G06F9/4494 ,  G06F15/00 ,  G06F21/00 ,  H04L41/5093 ,  H04L41/5096

Abstract: PURPOSE: A windows executable file extraction method and a device using the same are provided to analyze an execution file from a packet before inflowing into packet to a host, thereby extracting a various, a worm, or Trojan horse at an early stage. CONSTITUTION: A session matching module(50) collects input packer having payload according to a reference packet. The session matching module performs a session matching based on 5-tuple information of the reference packet. A patter matching module(60) searches MZ pattern, PE00 pattern, and MZ-PE00 pattern about packer of the session matching module. A PE(Portable Executable) processing module(70) completes a PE file combination or deletes packets which is not a PE file.

Abstract translation: 目的：提供一种Windows可执行文件提取方法和使用该方法的设备，以便在分组到主机之前分析来自分组的执行文件，从而在早期阶段提取各种，蠕虫或特洛伊木马。 构成：会话匹配模块（50）根据参考分组收集具有有效载荷的输入封隔器。 会话匹配模块基于参考分组的5元组信息执行会话匹配。 图案匹配模块（60）搜索关于会话匹配模块的封隔器的MZ模式，PE00模式和MZ-PE00模式。 PE（便携式执行）处理模块（70）完成PE文件组合或删除不是PE文件的数据包。

公开(公告)号：KR100942798B1

公开(公告)日：2010-02-18

申请号：KR1020070122412

申请日：2007-11-29

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수

IPC: G06F11/00

Abstract: 본 발명은 악성코드 탐지장치 및 방법에 관한 것으로서, 실행파일을 분석하여 상기 실행파일의 각 필드영역 별로 계층을 분류하고, 각 계층의 필드영역에 대한 바이트 분포를 측정하는 실행파일 분석기 및 상기 실행파일 분석기를 통해 각 계층별로 분류된 필드영역의 바이트 분포에 기초하여 적어도 하나의 악성코드를 탐지하는 악성코드 분류기를 포함한다. 본 발명에 따르면, 실행파일을 여러 개의 필드영역으로 계층화하고, 이들 각 계층에 대해 클러스터링 분석 기법을 적용하여 검사할 실행파일의 바이트 분포 유사도를 측정함으로써, 악성코드를 검출하게 됨에 따라 기존에 알려진 악성코드뿐만 아니라, 새로운 형태의 알려지지 않은 악성코드들에 대해서도 대응할 수 있는 이점이 있다.
악성코드, 실행파일, 클러스터링 중심값, 바이트 분포

公开(公告)号：KR1020090065313A

公开(公告)日：2009-06-22

申请号：KR1020070132804

申请日：2007-12-17

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  문화신 ,  이성원 ,  오진태 ,  장종수

IPC: H04L12/26

CPC classification number: H04L63/1425 ,  H04L43/026 ,  H04L43/16

Abstract: An abnormal traffic detecting method based on hardware and a detecting device with an abnormal traffic detecting engine based on hardware are provided to help performance of a high performance abnormal traffic detecting function guaranteeing real time detection of line speed in a gigabit network environment, thereby enhancing security of an invasion detecting apparatus. A field for traffic measurement is extracted by extracting an IP(Internet Protocol) packet from inflow traffic(S120). A flow based traffic characteristic of the inflow traffic is measured based on the extracted field(S130). It is detected whether the IP packet is abnormal by comparing the measured characteristic with a threshold value according to each characteristic(S140). The detection result is transmitted to a software base security engine.

Abstract translation: 提供了基于硬件的异常流量检测方法和基于硬件的异常流量检测引擎的检测设备，以帮助执行高性能异常流量检测功能，保证在千兆网络环境中实时检测线路速度，从而提高安全性 的入侵检测装置。 通过从流入流量提取IP（因特网协议）分组来提取用于流量测量的字段（S120）。 基于提取的场测量流入业务的基于流的业务特性（S130）。 通过根据每个特性将测量特性与阈值进行比较来检测IP分组是否异常（S140）。 检测结果被发送到软件基础安全引擎。

公开(公告)号：KR1020080050197A

公开(公告)日：2008-06-05

申请号：KR1020070033322

申请日：2007-04-04

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  오진태

IPC: H04L12/24

Abstract: An apparatus and a method for managing a hardware-based IPv6 session are provided to accurately block or detect an abnormal or attacking packet by inspecting packets by using state information of a session. A packet parser(110) parses an inputted packet, and extracts fields(5-tuple information) necessary for the session management. A hash generator(120) generates a hash address pointing a session entry to which an input packet belongs by performing two-step hash calculation by using information required for session management extracted from the input packet. A session manager(130) generates and deletes a session entry, and searches a corresponding session from pre-set session entries by using the generated hash address. If the corresponding session exists, a session state information generator(140) generates state information about the corresponding session by using information included in a session entry with respect to the corresponding session. A state-based packet inspector(150) inspects packets in real time by using the generated state information and the information about the input packet.

Abstract translation: 提供了一种用于管理基于硬件的IPv6会话的装置和方法，以通过使用会话的状态信息来检查分组来准确地阻止或检测异常或攻击分组。 分组解析器（110）解析输入的分组，并且提取会话管理所需的字段（5元组信息）。 散列生成器（120）通过使用从输入分组提取的会话管理所需的信息，通过执行两步哈希计算来生成指向输入分组所属的会话表项的哈希地址。 会话管理器（130）生成并删除会话条目，并且通过使用所生成的散列地址来搜索来自预设会话条目的对应会话。 如果相应的会话存在，会话状态信息生成器（140）通过使用关于相应会话的会话条目中包含的信息来生成关于对应会话的状态信息。 基于状态的分组检查器（150）通过使用生成的状态信息和关于输入分组的信息来实时检查分组。

公开(公告)号：KR100456634B1

公开(公告)日：2004-11-10

申请号：KR1020020066900

申请日：2002-10-31

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  안개일 ,  김기영 ,  장종수

IPC: H04L12/22

CPC classification number: H04L63/1408

Abstract: An alert transmission apparatus for a policy-based intrusion detection and response has a central policy server (CPS) and an intrusion detection and response system (IDRS). In the CPS, a policy management tool generates security policy information and then stores the generated security policy information in a policy repository. A COPS-IDR server sends the information to the IDRS and an IDMEF-XML-type alert transmission message to a high-level module. An IDMEF-XML message parsing and translation module stores a parsed and translated IDMEF-XML-type alert transmission message in an alert DB or provides the message to an alert viewer. In the IDRS, a COPS-IDR client generates the IDMEF-XML-type alert transmission message and provides the message to the CPS. An intrusion detection module detects an intrusion. An intrusion response module responds to the intrusion. An IDMEF-XML message building module generates an IDMEF-XML alert message and provides the message to the COPS-IDR client.

Abstract translation: 基于策略的入侵检测和响应的警报传输设备具有中央策略服务器（CPS）和入侵检测和响应系统（IDRS）。 在CPS中，策略管理工具生成安全策略信息，然后将生成的安全策略信息存储在策略存储库中。 COPS-IDR服务器将信息发送给IDRS，并将IDMEF-XML类型的警报发送消息发送给高级模块。 IDMEF-XML消息解析和翻译模块将解析并翻译的IDMEF-XML类型警报传输消息存储在警报DB中或将该消息提供给警报查看器。 在IDRS中，COPS-IDR客户端生成IDMEF-XML类型的警报传输消息，并将消息提供给CPS。 入侵检测模块检测到入侵。 入侵响应模块响应入侵。 IDMEF-XML消息构建模块生成IDMEF-XML警报消息并将消息提供给COPS-IDR客户端。

公开(公告)号：KR102067425B1

公开(公告)日：2020-02-11

申请号：KR1020170131243

申请日：2017-10-11

Applicant: 한국전자통신연구원

Inventor： 김영세 ,  김대원 ,  문용혁 ,  윤승용 ,  한진희 ,  김정녀 ,  임재덕

IPC: H04L9/08 ,  H04L9/32 ,  H04L9/12

公开(公告)号：KR102000164B1

公开(公告)日：2019-07-16

申请号：KR1020160027546

申请日：2016-03-08

Applicant: 한국전자통신연구원

Inventor： 김영세 ,  김대원 ,  문용혁 ,  윤승용 ,  한진희 ,  임재덕 ,  김정녀 ,  전용성

IPC: H04L29/06 ,  H04L9/08 ,  H04L9/32

公开(公告)号：KR1020170104180A

公开(公告)日：2017-09-15

申请号：KR1020160026828

申请日：2016-03-07

Applicant: 한국전자통신연구원

Inventor： 한진희 ,  김대원 ,  김영세 ,  문용혁 ,  윤승용 ,  임재덕 ,  김정녀 ,  전용성

IPC: H04L29/06 ,  H04L9/14 ,  H04L29/08

CPC classification number: H04L63/0869 ,  H04L63/0853 ,  H04L63/205 ,  H04W12/06 ,  H04W84/18

Abstract: 본발명의일 실시예에따른전자장치는다른전자장치와의상호인증을위한하드웨어정보및 보안수준정보를포함하는인증메시지를생성하는메시지생성부, 상기인증메시지를상기다른전자장치로전송하고, 상기다른전자장치로부터상기다른전자장치의인증메시지를수신하는통신부, 상기다른전자장치의인증메시지에포함된상기다른전자장치의하드웨어정보및 보안수준정보에기초하여상기다른전자장치와의상호인증을위한인증알고리즘을선택하는인증알고리즘선택부, 및상기선택된인증알고리즘을이용하여상호인증프로세스를수행하는인증처리부를포함할수 있다.

Abstract translation: 根据本发明，用于产生包括硬件信息和安全信息进行相互验证与其它电子装置中的认证消息，并且发送所述认证消息传送到所述另一电子设备的消息发生器，所述的一个实施例的电子设备 通信单元，用于从所述其他电子设备接收到所述其它电子设备的认证信息，则包括在基于用于相互认证与所述其他电子设备中的其他电子设备认证的硬件信息和安全信息的其他电子装置的认证消息 选择的认证算法被配置为选择的算法，并且可以通过使用所选择的加密算法包含执行相互认证处理的认证处理的一部分。