-
公开(公告)号:KR100560166B1
公开(公告)日:2006-03-13
申请号:KR1020010076442
申请日:2001-12-05
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 본 발명에 따른 실시간 버퍼 오버플로우 해킹 탐지 방법은, 미리 결정된 프로그램 목록에 속하는 프로그램으로부터 시스템 콜이 발생되면, 발생된 시스템의 콜의 발생 위치를 추출하고, 추출된 시스템 콜 발생 위치와 시스템 콜 자체를 이용한 기 결정된 해킹으로 판단될 수 있는 시스템 콜과 비교 분석하여 발생된 시스템 콜이 해킹으로 판단될 수 있는 시스템 콜에 포함되는 경우 해킹으로 판단하여 해당 프로그램을 정지시키고 관리자에게 경보를 보내는 것이다. 따라서, 버퍼 오버플로우 취약점을 가지고 있는 프로그램을 사용하더라도 해킹 시도를 실시간으로 탐지하여 방어할 수 있으며, 알려지지 않은 응용 프로그램에 대한 해킹 역시 스택 영역에서 수행되는 경우 탐지할 수 있어 버퍼 오버플로우 해킹 시도를 효과적으로 방지할 수 있는 것이다.또한, 시스템 해킹시 가장 널리 사용되고 있는 버퍼 오버플로우 해킹을 방지함으로써, 보다 안전하고 높은 수준의 시스템 보안 강도를 유지할 수 있는 것이다.
오버플로우, 버퍼, 실시간, 해킹, 탐지, 시스템콜,컴파일러, 클래스-
公开(公告)号:KR1020040042490A
公开(公告)日:2004-05-20
申请号:KR1020020070799
申请日:2002-11-14
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: PURPOSE: A system and a method for preventing a bypass of the firewall censorship on the network are provided to safely secure an internal network from the censorship bypass hacking by equipping with an intrusion blocking system to check an internal network user using a peekabooty program and block the user from the connection to a web site. CONSTITUTION: A hacking information providing system(30) provides a list file of a network IP(Internet Protocol) address registered to a firewall censorship bypass program that intrudes into the system on the network by bypassing the firewall censorship for a set network security policy. A plurality of client systems(10) connects to the web site servers providing a web service on the network. An intrusion blocking system(40) updates the network security policy with a filtered IP by filtering the IP address of the client system connected to the internal network with a network IP address list file provided from the hacking information providing server. The intrusion blocking system blocks or approves the connection of the client systems and the web site server by using the updated policy.
Abstract translation: 目的:提供一种用于防止网络上防火墙审查的旁路的系统和方法,以通过装备入侵阻止系统来安全地保护内部网络免受检查旁路黑客攻击,以使用偷窥程序和块来检查内部网络用户 用户从连接到网站。 规定:黑客信息提供系统(30)提供注册到防火墙审查旁路程序的网络IP(因特网协议)地址的列表文件,该程序通过绕过设定的网络安全策略的防火墙审查来进入网络中的系统。 多个客户端系统(10)连接到在网络上提供web服务的网站服务器。 通过使用从黑客信息提供服务器提供的网络IP地址列表文件过滤连接到内部网络的客户端系统的IP地址,入侵阻断系统(40)通过过滤的IP来更新网络安全策略。 入侵阻塞系统通过使用更新的策略阻止或批准客户端系统和网站服务器的连接。
-
-
公开(公告)号:KR1020140122044A
公开(公告)日:2014-10-17
申请号:KR1020130038599
申请日:2013-04-09
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1408 , H04L63/1458 , H04L63/1466 , H04L67/02
Abstract: 본 발명에서는 가상화 환경에서 슬로우 리드 도스 공격 탐지에 있어, HTTP 접속에서 요구되는 TCP 연결 설정 과정에서 TCP SYN 패킷이 갖는 윈도우 크기와 해당 세션에서 전달되는 HTTP GET 요청 메시지가 갖는 윈도우 크기의 상관관계 및 특성을 고려하여, 정상적인 사용자와 악의적인 사용자의 HTTP GET 요청 메시지를 구분하고 대응함으로써 보다 신속하게 슬로우 리드 도스 형태의 공격을 탐지할 수 있도록 하여, 슬로우 리드 도스 공격과 같은 웹 부하 공격으로부터 웹 서버를 보호하고 정상적인 사용자에게는 원활한 서비스를 제공할 수 있도록 한다.
Abstract translation: 本发明提供了一种在虚拟化环境中检测慢速读取DoS攻击的方法,其中考虑到TCP SYN的窗口大小的相关性和特征,对正常用户和恶意用户的HTTP GET请求消息进行分类以对其进行响应 在建立HTTP连接所需的TCP连接的过程中的数据包以及在相关会话中传输的HTTP GET请求消息的窗口大小,以更快速地检测慢速读取DoS攻击,从而保护Web服务器免受Web服务器过载攻击 例如缓慢读取DoS攻击,并为普通用户提供顺畅的服务。
-
公开(公告)号:KR101231801B1
公开(公告)日:2013-02-08
申请号:KR1020090086063
申请日:2009-09-11
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 응용 계층(application layer)에 대한 외부 해커(hacker)들의 공격, 예컨대 분산 서비스 거부(Distribute Denial of Service, DDoS) 공격을 탐지하고 대응하기 위해서, 종래에는 전송률 제한(rate limit) 등의 기술을 이용하고 있다. 이러한 기술들은, 완화된 공격 패킷(packet)이 그대로 서버에 전달되어 서버의 부하가 발생하는 부정 오류(false negative) 현상과, 정상적으로 서비스 요청한 사용자의 패킷이 차단되는 긍정 오류(false positive) 발생 위험을 동시에 지닌다는 문제가 있다. 이에 본 발명에서는, 웹 등의 응용 계층의 서비스를 방해하는 분산 서비스 거부 공격 및 패킷을 정확히 탐지하고 방어할 수 있는 응용 계층 보호 기술을 제안하고자 한다.
DDoS, 해킹, 패킷-
Patent Agency Ranking
公开(公告)号:KR101196325B1
公开(公告)日:2012-11-01
申请号:KR1020090081900
申请日:2009-09-01
Applicant: 한국전자통신연구원
Abstract: 본 발명은 분산서비스거부 공격 탐지장치 및 방법에 관한 것이다. 즉, 본 발명에서는 HTTP 1.1 프로토콜 기반의 서버와 클라이언트로 이루어지는 네트워크상에서 분산서비스거부 공격을 탐지하는 방법에 있어서, HTTP 1.1 프로토콜을 적용하여 연결 유지 기능을 바탕으로 다수의 GET 요청을 허용하는 서버와 클라이언트로 구성되는 네트워크상 서버의 응용 계층에서 하나의 세션을 통해 반복적으로 GET 요청을 하는 분산서비스거부 공격에 대해 클라이언트의 다수의 GET 요청과 서버의 응답 패킷의 순서를 모니터링하여 서버의 응답완료 전에 또 다른 GET 요청을 전송하는 트래픽을 분산서비스거부 공격의 트래픽으로 판단하는 방식으로 보다 용이하게 분산서비스거부 공격을 탐지할 수 있도록 한다.
HTTP, DDoS, 분산서비스거부, 트래픽, GET-
公开(公告)号:KR1020100073126A
公开(公告)日:2010-07-01
申请号:KR1020080131717
申请日:2008-12-22
Applicant: 한국전자통신연구원
CPC classification number: G06F11/28 , G06F9/06 , G06F17/30091 , G06F21/56 , G06F21/561 , G06F2221/033
Abstract: PURPOSE: A malicious code detecting device using execution compression and a method are provided to determine malicious code without execution compression of execution-compressed target file. CONSTITUTION: A PE(Portable Executable) file determination unit(210) inspects PE signature within a file header of inspection target file. A compression method detector(220) detects execution compression possibility and compression method in section header of the file header. A first malicious code determining unit(230) includes the first list storing compression method. The compression method is not used for the malicious code. The first malicious code determining unit determines a malicious code of the file according to existence of the compression method within the first list.
Abstract translation: 目的:提供使用执行压缩和方法的恶意代码检测设备,以确定恶意代码,而不执行压缩的目标文件。 构成:PE(便携式可执行文件)文件确定单元(210)检查检查目标文件的文件头中的PE签名。 压缩方法检测器(220)检测文件头部分标题中的执行压缩可能性和压缩方法。 第一恶意代码确定单元(230)包括第一列表存储压缩方法。 恶意代码不使用压缩方法。 第一恶意代码确定单元根据第一列表内的压缩方法的存在来确定文件的恶意代码。
-
公开(公告)号:KR100922579B1
公开(公告)日:2009-10-21
申请号:KR1020070037488
申请日:2007-04-17
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1408
Abstract: 본 발명은 두 개의 네트워크 사이 혹은 이더넷 스위치의 포트 미러링을 통해 연결되어 네트워크를 통해 흐르는 모든 패킷을 실시간 모니터링하여, 알려지지 않은 네트워크 공격이라도 신속하고 정확하게 판정할 수 있는 네트워크 공격 탐지 장치 및 방법에 관한 것으로서, 본 발명은 인입되는 네트워크 패킷의 페이로드 부분을 기계어 인스트럭션 단위로 디코딩한 후, 디코딩된 기계어 코드에 대하여 명령어들 간의 연관성을 분석하여 실행 가능한 코드가 포함되어 있는 지를 판단하고, 이후 실행 가능한 코드가 포함된 경우, 해당 서비스 및 그 서비스의 특정 트랜젝션에서 실행가능 코드가 존재할 가능성에 대한 통계치를 바탕으로 유해 패킷인지를 판단하도록 구현된다.
공격 탐지 시스템(IDS), 공격 방지 시스템(IPS), 실행 코드-
公开(公告)号:KR1020090055669A
公开(公告)日:2009-06-03
申请号:KR1020070122412
申请日:2007-11-29
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A malware malicious software device for detecting and a method thereof including the execution file analyzer classifying layer and a malware malicious software classification machine detecting one or more malware malicious software are provided to measure the degree of byte distribution similarity of the execution file layer. An execution file analyzer(10) classifies a class according to the filed section of the execution file by analyzing the execution file. The execution file analyzer measures the byte distribution toward the field area of each layer. The malware malicious software classification unit(20) detects one or more malware malicious software based on the byte distribution of the field area.
Abstract translation: 提供用于检测的恶意软件恶意软件设备及其方法,包括执行文件分析器分类层和检测一个或多个恶意软件恶意软件的恶意软件分类机,以测量执行文件层的字节分布相似度。 执行文件分析器(10)通过分析执行文件来分类根据执行文件的归档部分的类。 执行文件分析器测量朝向每层的场区域的字节分布。 恶意软件分类单元(20)根据字段区域的字节分布检测一个或多个恶意软件恶意软件。
-
公开(公告)号:KR1020090052596A
公开(公告)日:2009-05-26
申请号:KR1020070119190
申请日:2007-11-21
Applicant: 한국전자통신연구원
CPC classification number: G06F21/562 , G06F21/56
Abstract: 본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일
-
-
-
-
-
-
-
-
-
Search Results
66
records
(took 0.038 seconds)
