公开(公告)号：KR1020100073135A

公开(公告)日：2010-07-01

申请号：KR1020080131726

申请日：2008-12-22

Applicant: 한국전자통신연구원

Inventor： 이성원 ,  문화신 ,  오진태 ,  장종수 ,  조현숙 ,  박상길

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1408 ,  H04L43/18 ,  H04L63/1441

Abstract: PURPOSE: A network intrusion detection method and apparatus using application protocol inference are provided to prevent the waste of resources and time by creating a protocol model without previous examination for target services. CONSTITUTION: A keyword extracting unit(140) extracts characters as keywords from a packet. A protocol extracting unit extracts a usage case of protocol using the keywords extracted by the keyword extracting unit. A model generating unit(160) creates a protocol model on the basis of stored PTA(Prefix Tree Acceptor). An intrusion detecting unit(170) executes network intrusion detection using the new protocol model.

Abstract translation: 目的：提供一种使用应用协议推理的网络入侵检测方法和装置，通过创建协议模型来避免资源浪费和时间，而不需要对目标服务进行先前的检查。 构成：关键词提取单元（140）从分组中提取字符作为关键字。 协议提取单元使用由关键字提取单元提取的关键词提取协议的使用情况。 模型生成单元（160）基于存储的PTA（前缀树接收器）创建协议模型。 入侵检测单元（170）使用新协议模型执行网络入侵检测。

公开(公告)号：KR100960117B1

公开(公告)日：2010-05-28

申请号：KR1020070132796

申请日：2007-12-17

Applicant: 한국전자통신연구원

Inventor： 이성원 ,  문화신 ,  박상길 ,  오진태 ,  장종수 ,  신영찬

IPC: G06F21/00

Abstract: 본 발명은 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이 기록된 기록매체에 관한 것이다. 본 발명은 연속된 문자열이 아니라 중간에 '*'와 같은 와일드 카드를 가지는 시그니처와 유입데이터 패킷을 비교하고 시그니처 패턴 매칭여부를 알 수 있도록 유입데이터 패킷을 서브스트링 단위로 토큰화하고 프리-필터링 및 블룸필터링를 수행한다. 따라서, 시그니처 패턴 매칭시 소요되는 시간이 감소하며 다양한 문자열을 가지는 시그니처 패턴 매칭도 가능한 효과가 있다.
해슁, 패턴 매칭, 시그니처, 블룸 필터

公开(公告)号：KR1020090065317A

公开(公告)日：2009-06-22

申请号：KR1020070132808

申请日：2007-12-17

Applicant: 한국전자통신연구원

Inventor： 박상길 ,  이성원 ,  문화신 ,  오진태 ,  장종수

IPC: H04L9/06 ,  H04L9/28

CPC classification number: H04L9/002

Abstract: A method for generating a signature string is provided to compare a contraction data of a newly generated signature with an existing contraction data by using similarity and inclusion property as a reference factor. A data is flowed(S100). The flowed packet is separated into token having a predetermined size(S110). Signature content is completed by the separated tokens(S120). A contraction data is generated by applying a Rabin fingerprint to the signature content(S130). An inclusion state of the generated contraction data is confirmed(S140). The number of hits of a tree stored in a node of the existing signature content is increased according to the confirmed result(S150). A similar state is confirmed(S160). The signature content is added to the existing tree as a new node. The number of hits of a final position of the existing tree node is increased(S170). A new tree is generated(S180).

Abstract translation: 提供一种用于生成签名串的方法，通过使用相似性和包含性作为参考因子来比较新产生的签名的收缩数据与现有收缩数据。 流过数据（S100）。 流分组被分成具有预定大小的令牌（S110）。 签名内容由分离的令牌完成（S120）。 通过将Rabin指纹应用于签名内容来生成收缩数据（S130）。 确认生成的收缩数据的包含状态（S140）。 根据确认结果，增加存储在现有签名内容的节点中的树的命中数（S150）。 确认了类似的状态（S160）。 签名内容作为新节点添加到现有树中。 现有树节点的最终位置的命中数增加（S170）。 生成一个新树（S180）。

公开(公告)号：KR100875931B1

公开(公告)日：2008-12-26

申请号：KR1020070052931

申请日：2007-05-30

Applicant: 한국전자통신연구원

Inventor： 박상길 ,  오진태 ,  남택용

IPC: H04L12/22 ,  H04L12/781 ,  H04L12/56 ,  H04L29/06

Abstract: A unified security apparatus for supporting IP packets and a method thereof are provided to enable permission/filtering to be applied to an IPv4 packet and an IPv6 packet by physically using a single chipset when a dual stack scheme and a permission/filtering rule are applied. A unified security apparatus for supporting IP packets includes a packet classifier(210), a key generator(220), a lookup engine(230), and an intrusion response unit(240). The packet classifier classifies an IPv4 packet and an IPv6 packet based on version information in header information of an input IP packet. The key generator generates header information corresponding to the IPv4 packet or the IPv6 packet classified by the packet classifier and generates a discrimination key corresponding to the IPv4 packet or the IPv6 packet based on the generated header information. The lookup engine includes two banks(231,232). Different bits are assigned to the two banks. An IPv4 security policy and an IPv6 security policy are recorded in the lookup engine. In this way, both an IPv4 packet and an IPv6 packet can be searched in the current embodiment by physically using a single lookup engine. The intrusion response unit includes a packet filtering unit(241) and a bandwidth controller(242). The packet filtering unit decides a lookup key, which is a key value corresponding to the security policy established in the first bank or the second bank, and if the lookup key matches the discrimination key generated according to the IPv4 packet or the IPv6 packet by the key generator, the packet filtering unit discards or transmits the packet according to the security policy. The bandwidth controller decides a lookup key, which is a key value corresponding to the security policy established in the first bank or the second bank, and if the lookup key matches the discrimination key, the bandwidth controller controls a bandwidth according to the security policy.

Abstract translation: 提供了一种用于支持IP分组的统一安全装置及其方法，以在应用双栈方案和许可/过滤规则时，通过物理上使用单个芯片组来允许对IPv4分组和IPv6分组应用允许/过滤。 用于支持IP分组的统一安全装置包括分组分类器（210），密钥生成器（220），查找引擎（230）和入侵响应单元（240）。 分组分类器基于输入IP分组的头部信息中的版本信息对IPv4分组和IPv6分组进行分类。 密钥生成器生成对应于由分组分类器分类的IPv4分组或IPv6分组的报头信息，并基于生成的报头信息生成与IPv4分组或IPv6分组对应的鉴别密钥。 查找引擎包括两个银行（231,232）。 不同的位分配给两个银行。 在查找引擎中记录IPv4安全策略和IPv6安全策略。 这样，在当前实施例中可以通过物理上使用单个查找引擎来搜索IPv4分组和IPv6分组。 入侵响应单元包括分组过滤单元（241）和带宽控制器（242）。 分组过滤单元决定作为与在第一组或第二组中建立的安全策略对应的密钥值的查找密钥，并且如果查找密钥与根据IPv4分组或IPv6分组所生成的鉴别密钥匹配 密钥生成器，分组过滤单元根据安全策略丢弃或发送分组。 带宽控制器决定查找关键字，该查找关键字是与在第一库或第二库中建立的安全策略对应的关键值，并且如果查找关键字与鉴别关键字匹配，则带宽控制器根据安全策略控制带宽。

公开(公告)号：KR102053120B1

公开(公告)日：2019-12-06

申请号：KR1020130072073

申请日：2013-06-24

Applicant: 한국전자통신연구원

Inventor： 이준경 ,  박상길 ,  강동원 ,  이왕봉 ,  김상완

IPC: H04L12/851 ,  H04L12/801

公开(公告)号：KR101907422B1

公开(公告)日：2018-10-12

申请号：KR1020120013962

申请日：2012-02-10

Applicant: 한국전자통신연구원

Inventor： 이왕봉 ,  강동원 ,  김상완 ,  박상길 ,  윤상식 ,  이준경 ,  박종대

IPC: G06F9/44 ,  G06F15/16

CPC classification number: G06F8/36 ,  G06F8/447

Abstract: 네트워크애플리케이션통합개발장치, 그통합개발방법및 그것을이용하는서버가개시된다. 본발명의실시예에따른네트워크애플리케이션통합개발장치는, 사용자에의해제작된애플리케이션을저장하는애플리케이션저장부; 애플리케이션에대한입력정보, 출력정보, 입력및 출력사이의연결정보를포함하는속성정보를관리하는애플리케이션속성관리부; 애플리케이션저장부에저장된애플리케이션에대하여애플리케이션속성관리부에저장된속성정보에기초하여컴파일하며, 그에대응하는목적코드를생성하는목적코드생성부; 및목적코드생성부에의해생성된목적코드를하드웨어에탑재하는코드로딩부를포함하는것을특징으로한다.

公开(公告)号：KR1020130093832A

公开(公告)日：2013-08-23

申请号：KR1020120006974

申请日：2012-01-20

Applicant: 한국전자통신연구원

Inventor： 박상길 ,  이준경 ,  강동원 ,  윤상식 ,  김상완 ,  이왕봉 ,  박종대

IPC: H04L29/10 ,  H04L12/70

CPC classification number: H04L47/20 ,  H04L47/22 ,  H04L47/2441 ,  H04L47/32

Abstract: PURPOSE: A traffic treatment method using multiple network interface cards and a network device are provided to use a multiple network interface card to classify fast traffic and perform traffic engineering about a specific application, effectively providing a network service at low costs. CONSTITUTION: A policy server (12) provides policies to each general servers (10a-10n) via policy related interface. A first network interface card classifies and filters traffic. A secondary network card inspects and processes the traffic classified by the first network interface card. Processors (104a-104n) divide and apply a network policy to the first network interface card and the secondary network card. Memories (106a-106n) store the network policy. [Reference numerals] (104a,104n) Processor; (106a,106n) Memory; (12) Policy server

Abstract translation: 目的：提供使用多个网络接口卡和网络设备的流量处理方法，使用多个网络接口卡对快速流量进行分类，对特定应用进行流量工程，有效提供低成本的网络服务。 规定：策略服务器（12）通过策略相关界面向每个通用服务器（10a-10n）提供策略。 第一个网络接口卡对流量进行分类和过滤。 二级网卡检查和处理由第一个网络接口卡分类的流量。 处理器（104a-104n）将网络策略划分并应用于第一网络接口卡和辅助网卡。 存储器（106a-106n）存储网络策略。 （附图标记）（104a，104n）处理器; （106a，106n）存储器; （12）策略服务器

公开(公告)号：KR101292887B1

公开(公告)日：2013-08-02

申请号：KR1020090128018

申请日：2009-12-21

Applicant: 한국전자통신연구원

Inventor： 강동원 ,  이준경 ,  김상완 ,  박상길 ,  윤상식

IPC: H04L12/26 ,  H04L1/00

CPC classification number: H04L43/026 ,  H04L43/0823

Abstract: IP 패킷 동일성 검사 등으로써, 라우터 패킷 스트림을 모니터링하여 특정 트래픽 패킷들을 추출 및 탐지하는 기술에 관한 것으로서, 구체적으로는 라우터에 입력되는 패킷 스트림을 리딩하는 패킷 스트림 리딩부와 상기 리딩된 패킷 스트림의 비정상 여부를 판단하는 비정상 트래픽 검출부를 포함하는 라우터의 패킷 스트림 모니터링 장치와 방법을 개시한다.
라우터, 비정상 패킷, 모니터링, IP 패킷, 동일성

公开(公告)号：KR100656348B1

公开(公告)日：2006-12-11

申请号：KR1020050049680

申请日：2005-06-10

Applicant: 한국전자통신연구원

Inventor： 박상길 ,  오진태 ,  김기영

IPC: H04L12/42 ,  H04L12/433 ,  H04L12/28

Abstract: 본 발명은 토큰 버켓을 이용한 대역폭 제어 방법 및 대역폭 제어 장치에 관한 것으로, 네트워크 환경에서 다량의 대역폭을 사용하는 의심스러운 트래픽 및 대역폭고갈 공격에 대응하는 토큰 버켓을 이용한 재구성 가능한 대역폭 제어 장치 및 그 방법에 관한 것이다. 이를 위하여 본 발명은 기본 대역폭 및 추가 제어 대역폭 각각의 크기에 대응하는 초기 토큰수가 할당된 노멀 버켓 및 버스트 버켓으로 구성된 더블 토큰 버켓 스택에서 대역폭 제어를 수행하며, 노멀 버켓 및 버스트 버켓의 토큰을 순차적으로 사용하는 더블 토큰 버켓 스택의 토큰 수에서 입력 패킷의 크기에 해당하는 토큰 수를 감하고, 더블 토큰 버켓 스택 내에 남아 있는 토큰 수가 음수인 경우 상기 패킷을 폐기하며 더블 토큰 버켓 스택 내에 남아 있는 토큰 수가 상기 버스트 버켓 내의 초기토큰수보다 큰 경우 패킷을 전송하고 더블 토큰 버켓 스택 내에 남아 있는 토큰 수가 상기 버스트 버켓 내의 초기토큰수보다 작은 경우 패킷을 전송과 함께 사용자에게 경보 메세지를 전송하는 것을 특징으로 한다.
토큰 버켓, 대역폭 제어,

公开(公告)号：KR100439174B1

公开(公告)日：2004-07-05

申请号：KR1020010081570

申请日：2001-12-20

Applicant: 한국전자통신연구원

Inventor： 박상길 ,  장종수 ,  류걸우

IPC: H04L12/22

Abstract: PURPOSE: A method for delivering a policy of a Ladon-SGS(Security Gateway System) and managing a database for alarms is provided to reflect countermeasures on the database for alarms according to types of generated terrors, and to update the countermeasures in a cache interworking with an analyzer of the Ladon-SGS, thereby rapidly processing a monitoring system as well as being applied to detecting or breaking polices. CONSTITUTION: A policy and system manager of an optional Ladon-SGS receives packet data from a Ladon-CPCS through a network(301), to discriminate the packet data with reference to breaking information(302). If the packet data are included in the breaking information, the policy and system manager provides the packet data to a breaker through a message queue(303), and the breaker breaks the packet data(304). If the packet data are not included in the breaking information, the policy and system manager abbreviates the packet data to an event and provides the event to an analyzer through the message queue(305). The analyzer stores the event in a cache(306), and analyzes the event by using an analysis function according to types(307). The analyzer reads a pattern class to check whether a 'start' state exists(308). If so, the analyzer inserts the pattern class in a stack class(309), and if not, the analyzer decides whether a state is a 'final' state(310). If so, the analyzer copes with an invasion according to a defined invasion pattern(311), and if not, the analyzer checks whether a certain time stamp passes(312). If so, the analyzer deletes the pattern class(313), and if not, the analyzer checks whether all patterns included in a corresponding thread are inspected(314). If so, the step 307 is returned, and if not, the step 308 is returned.

Abstract translation: 目的：提供一种传递Ladon-SGS（安全网关系统）策略并管理警报数据库的方法，以根据所产生的恐怖类型反映警报数据库的对策，并更新缓存交互工作中的对策 通过Ladon-SGS分析仪，从而快速处理监测系统，并将其应用于检测或破坏政策。 构成：可选Ladon-SGS的策略和系统管理器通过网络（301）从Ladon-CPCS接收分组数据，以参考分解信息（302）来区分分组数据。 如果分组数据被包括在中断信息中，则策略和系统管理器通过消息队列将分组数据提供给断路器（303），并且断路器中断分组数据（304）。 如果分组数据未包括在中断信息中，则策略和系统管理器将分组数据缩写为事件，并通过消息队列将该事件提供给分析器（305）。 分析器将事件存储在缓存（306）中，并且通过使用根据类型的分析函数来分析事件（307）。 分析器读取模式类以检查是否存在“开始”状态（308）。 如果是，则分析器将模式类插入到堆栈类（309）中，否则，分析器判定状态是否是“最终”状态（310）。 如果是这样，则分析仪根据定义的入侵模式（311）应对入侵，如果不是，则分析仪检查是否通过了某个时间戳（312）。 如果是，则分析器删除模式类（313），如果不是，则分析器检查是否检查了包括在相应线程中的所有模式（314）。 如果是，则返回步骤307，否则返回步骤308。