公开(公告)号：KR100960111B1

公开(公告)日：2010-05-27

申请号：KR1020080074727

申请日：2008-07-30

Applicant: 한국전자통신연구원

Inventor： 정치윤 ,  장범환 ,  손선경 ,  김건량 ,  김종현 ,  유종호 ,  나중찬 ,  조현숙

IPC: H04L12/22

CPC classification number: H04L67/22 ,  H04L63/0281 ,  H04L63/1441 ,  H04L67/2857

Abstract: 본 발명은 클라이언트에 별도의 에이전트 프로그램을 설치하지 않고도 익명의 서버를 경유하는 접속자의 실제 네트워크 정보와 위치를 파악할 수 있으며, 악의적인 접속자에 의해 웹 공격이 발생하였을 경우 웹 서버에 피해가 발생하지 않도록 하는 리버스 캐싱 프록시를 이용한 웹 기반의 역추적 시스템, 및 방법에 관한 것이다. 이를 위해, 본 발명은 웹 서버에 접근하는 클라이언트에서 전송하는 HTTP 패킷의 헤더를 분석하여 클라이언트가 익명의 서버를 이용하였는지의 여부를 판단하는 리버스 캐싱 프록시 서버, 및 리버스 캐싱 프록시 서버로부터 익명의 서버에 대한 이용 여부가 통보되면 HTTP 패킷에 대한 응답 페이지를 생성하되, 응답 페이지에는 추적 코드를 부가하고, 추적 코드가 부가된 응답 페이지를 리버스 캐싱 프록시 서버를 통해 클라이언트로 제공하는 웹 추적 서버를 포함하며, 추적 코드는 클라이언트가 응답 페이지를 수신할 때, 클라이언트의 웹 브라우저에서 자동 실행되어 클라이언트의 네트워크 정보를 웹 추적 서버로 제공한다.
역추적, 프록시 서버, 응답 페이지, 추적코드, 리버스 캐싱

公开(公告)号：KR1020100040186A

公开(公告)日：2010-04-19

申请号：KR1020080099298

申请日：2008-10-09

Applicant: 한국전자통신연구원

Inventor： 김건량 ,  김종현 ,  유종호 ,  장범환 ,  손선경 ,  정치윤 ,  나중찬 ,  조현숙

IPC: G06Q50/10 ,  H04L12/18

CPC classification number: G06Q50/10 ,  H04L12/1886

Abstract: PURPOSE: A tracking system which cooperates between domains is provided to share tracking information with other domains, thereby designing information or a system structure required for cooperation between domains. CONSTITUTION: According to the location of an attacker, a tracking unit(260) performs tracking on one domain between a first management domain(200) and a third management domain(230). Based on the detection of network traffic by the attacker, an attack analyzing unit(290) decides whether the attack is located in a first management domain or not. If the location of the attacker is the first management domain, a message processing unit(240) provides a message detailing the tracking results of the first management domain to a second management domain.

Abstract translation: 目的：提供域之间协作的跟踪系统，以便与其他域共享跟踪信息，从而设计域间协作所需的信息或系统结构。 构成：根据攻击者的位置，跟踪单元（260）在第一管理域（200）和第三管理域（230）之间的一个域上执行跟踪。 基于攻击者对网络流量的检测，攻击分析单元（290）决定攻击是否位于第一管理域内。 如果攻击者的位置是第一管理域，则消息处理单元（240）向第二管理域提供详细描述第一管理域的跟踪结果的消息。

公开(公告)号：KR1020100013176A

公开(公告)日：2010-02-09

申请号：KR1020080074726

申请日：2008-07-30

Applicant: 한국전자통신연구원

Inventor： 정치윤 ,  장범환 ,  손선경 ,  김건량 ,  김종현 ,  유종호 ,  나중찬 ,  조현숙

IPC: H04L12/24 ,  G08C19/00 ,  G01S5/02

CPC classification number: H04L63/1416 ,  H04L63/1441

Abstract: PURPOSE: A GIS based network information monitoring system is provided to easily recognize a network attack root and type by indicating the start of an attack location, target position, and a passing through position with the line join of the GIS based geographic information. CONSTITUTION: The geographic information process module(120) creates geographic information in response to location information. A network information processing module(110) maps network information in the geographic information. The network information processing module indicates mapping information. The network information processing module interlinks the attack location of a packet, a passing through position, and a target position with the line. According to the attack pattern and critical point of the packet, the network information processing module varies the width and color of the line to a predetermined width and color.

Abstract translation: 目的：提供基于GIS的网络信息监控系统，通过基于GIS的地理信息的线连接指示攻击位置，目标位置和通过位置的开始，轻松识别网络攻击根和类型。 构成：地理信息处理模块（120）根据位置信息创建地理信息。 网络信息处理模块（110）将地理信息中的网络信息进行映射。 网络信息处理模块指示映射信息。 网络信息处理模块通过线路将数据包的攻击位置，通过位置和目标位置相互联系。 根据分组的攻击模式和关键点，网络信息处理模块将线宽和颜色变化为预定的宽度和颜色。

公开(公告)号：KR100925176B1

公开(公告)日：2009-11-05

申请号：KR1020070096537

申请日：2007-09-21

Applicant: 한국전자통신연구원

Inventor： 손선경 ,  장범환 ,  정치윤 ,  김건량 ,  김종현 ,  유종호 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/26

CPC classification number: H04L41/28 ,  H04L63/1416

Abstract: 보안 이벤트에 포함된 특성 데이터를 지리 정보와 연계하여 근원지와 목적지의 실제 지리적 위치를 글로브상에 표시함과 더불어 프로토콜별 보안 이벤트의 흐름을 함께 표시하여 네트워크 보안 상황을 직관적으로 인식할 수 있도록 한 지리 정보를 이용한 네트워크 상태 표시장치와 방법을 제시한다. 제시된 본 발명의 장치는 외부로부터의 보안 이벤트를 수집하는 보안 이벤트 수집부; 수집된 보안 이벤트의 특성 데이터내의 근원지 IP주소 및 목적지 IP주소를 지리 정보 데이터베이스에 근거하여 그에 상응하는 지리 정보로 변환하는 IP주소 변환부; 및 특성 데이터 및 IP주소 변환부로부터의 지리 정보에 근거하여 근원지와 목적지간의 프로토콜별 보안 이벤트의 흐름을 글로브 형상을 포함하는 3차원 화면으로 표시하는 네트워크 상태 표시부를 포함한다. 이러한 본 발명에 의하면, 근원지 및 목적지의 실제 위치를 글로브위에 표시함으로써 보안 이벤트가 발생한 곳을 즉각적으로 정확하게 파악하게 된다. 프로토콜 원을 사용하여 다수의 프로토콜 및 각 프로토콜의 포트별로 발생한 보안 이벤트의 개수를 글로브와 함께 하나의 화면에 시각화함으로써 관리자가 현재의 네트워크 상태를 쉽게 파악할 수 있게 한다.

公开(公告)号：KR1020090065668A

公开(公告)日：2009-06-23

申请号：KR1020070133083

申请日：2007-12-18

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  정치윤 ,  손선경 ,  김건량 ,  김종현 ,  유종호 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/26

CPC classification number: H04L63/1416 ,  H04L29/12783 ,  H04L61/35 ,  H04L63/1441

Abstract: An IP address division display device and a method thereof for using the significant attributes of a security event are provided to determine a security state and recognize an abnormal and harmful traffic on a real time basis by displaying the combination result of the significant attributes of the security event. An event property grouper(10) assembles the characteristic information of the collected security event and produces the grouped event. A division display unit(20) divides an IP(Internet Protocol) address of the grouped event based on the addressing architecture and indicates the IP(Internet Protocol) address by the coordinate form. The characteristic information of the security event comprises a source internet protocol address, a destination IP address, a destination port and a source port.

Abstract translation: 提供一种用于使用安全事件的重要属性的IP地址分割显示装置及其方法，以通过显示安全性的重要属性的组合结果来确定安全状态并实时识别异常和有害的业务 事件。 事件属性分组器（10）组装所收集的安全事件的特征信息并产生分组的事件。 划分显示单元（20）基于寻址架构划分分组事件的IP（因特网协议）地址，并通过坐标表示IP（因特网协议）地址。 安全事件的特征信息包括源互联网协议地址，目的IP地址，目的端口和源端口。

公开(公告)号：KR100885293B1

公开(公告)日：2009-02-23

申请号：KR1020060121829

申请日：2006-12-04

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  정치윤 ,  손선경 ,  이수형 ,  방효찬 ,  김건량 ,  김현주 ,  박원주 ,  유종호 ,  김종현 ,  나중찬 ,  장종수 ,  손승원

IPC: G06F15/00 ,  H04L9/00

CPC classification number: H04L41/28 ,  H04L41/0631 ,  H04L41/22 ,  H04L63/1425 ,  H04L63/20

Abstract: 본 발명은 현재 상기 네트워크의 보안 상황을 실시간으로 용이하게 판단할 수 있게 해주는 네트워크 보안 상황 표시 장치 및 그 방법에 관한 것으로서, 네트워크 보안 장치들로부터 원시 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 상기 보안 이벤트 수집부에 의하여 수집된 원시 보안 이벤트 정보를 분석하여 보안 이벤트에 해당하는 특성 데이터를 추출하는 보안 이벤트 분석부 및 상기 보안 이벤트 분석부에서 추출된 보안 이벤트 특성 데이터들 사이의 상관관계를 디스플레이할 수 있도록, 상기 추출된 보안 이벤트의 아이피 주소 정보를 아이피 주소 맵상으로 매핑하고, 상기 추출된 보안 이벤트의 근원지 포트, 목적지 포트 및 프로토콜 정보를 프로토콜 큐브 상에 매핑하여 3차원 화면으로 시각화하는 3D 시각화 표시부를 포함하여 구성된다.
네트워크, 보안 이벤트, 3D 시각화, 특성 데이터

公开(公告)号：KR1020090001293A

公开(公告)日：2009-01-08

申请号：KR1020070065556

申请日：2007-06-29

Applicant: 한국전자통신연구원

Inventor： 김건량 ,  김종현 ,  손선경 ,  유종호 ,  장범환 ,  정치윤 ,  나중찬 ,  장종수 ,  손승원

IPC: G06F17/00 ,  G06F15/16

CPC classification number: G06F17/00

Abstract: A policy management method for generating policy data efficiently in a policy-based management framework and a device thereof are provided to reduce troublesomeness for repeatedly converting the policy data into the same type as PIB(Policy Information Base) when a policy server transfers the transfer data to a policy client. A policy repository(300) stores the same policy data as the PIB to be transmitted to a linked policy client. A policy managing module(110) converts the generated policy data into the same form as the PIB and stores the converted policy data in the policy storage. The policy managing module comprises an event receiver(120) receiving a policy application event from a policy manager, a policy generator(130) generating the policy data corresponding to the policy application event, and a policy converter(140) converting the policy data into the same type as the PIB and storing the converted policy data to the policy repository.

Abstract translation: 提供了一种用于在基于策略的管理框架及其装置中有效地生成策略数据的策略管理方法，以减少在策略服务器传送传输数据时将策略数据重复转换为与PIB（策略信息库）相同类型的麻烦 给政策客户。 策略库（300）存储与要发送到链接的策略客户端的PIB相同的策略数据。 策略管理模块（110）将生成的策略数据转换成与PIB相同的形式，并将转换的策略数据存储在策略存储器中。 策略管理模块包括从策略管理器接收策略应用事件的事件接收器（120），生成与策略应用事件相对应的策略数据的策略生成器（130），以及将策略数据转换为 与PIB相同的类型，并将转换的策略数据存储到策略库。

公开(公告)号：KR1020080050919A

公开(公告)日：2008-06-10

申请号：KR1020060121829

申请日：2006-12-04

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  정치윤 ,  손선경 ,  이수형 ,  방효찬 ,  김건량 ,  김현주 ,  박원주 ,  유종호 ,  김종현 ,  나중찬 ,  장종수 ,  손승원

IPC: G06F15/00 ,  H04L9/00

CPC classification number: H04L41/28 ,  H04L41/0631 ,  H04L41/22 ,  H04L63/1425 ,  H04L63/20

Abstract: An apparatus and a method for displaying a network security state are provided to enable a network security manager to recognize easily the current network security state by visualizing important attributes of the security events three dimensionally. An apparatus for displaying a network security state includes a security event collector(110), a security event analysis unit(120) and a 3D visualization unit(130). The security event collector collects raw data on security events from network security devices. The security event analysis unit analyzes the raw data on the security events collected by the security event collector, and extracts feature data in correspondence with the specific security event. The 3D visualization unit outputs three dimensionally correlation of the security event feature data, extracted by the security event analysis unit, to a display unit.

Abstract translation: 提供一种用于显示网络安全状态的装置和方法，以使得网络安全管理者能够通过三维地可视化安全事件的重要属性来容易地识别当前的网络安全状态。 用于显示网络安全状态的装置包括安全事件收集器（110），安全事件分析单元（120）和3D可视化单元（130）。 安全事件收集器收集来自网络安全设备的安全事件的原始数据。 安全事件分析单元分析由安全事件收集器收集的安全事件的原始数据，并根据特定安全事件提取特征数据。 3D可视化单元将由安全事件分析单元提取的安全事件特征数据的三维相关输出到显示单元。

公开(公告)号：KR100832536B1

公开(公告)日：2008-05-27

申请号：KR1020060108893

申请日：2006-11-06

Applicant: 한국전자통신연구원

Inventor： 방효찬 ,  김동영 ,  나중찬 ,  장범환 ,  김건량 ,  손선경 ,  김종현 ,  정치윤 ,  유종호 ,  이수형 ,  김현주 ,  박원주 ,  장종수

IPC: G06F15/00 ,  G06F17/00

Abstract: 본 발명은, 대규모 네트워크에서 발생되는 공격에 따른 보안 관리 방법 및 장치에 관한 것으로서, 대규모 네트워크 내에 산재되어 있는 다수의 라우터로부터 트래픽 정보를 실시간으로 수집하여 상기 수집된 트래픽 정보들에서 특성 정보를 추출하고, 추출된 특성 정보를 통해 실시간으로 각 공격 유형을 탐지하여 탐지된 각 공격 유형별로 계층 구조를 갖는 다중 해쉬 테이블에 저장된 트래픽 통계 정보를 이용하여 공격 상황을 분석 및 인지함으로써 현재 보안 상황을 실시간으로 보다 정확하게 파악할 수 있으며, 이에 따라 공격 유형 간의 정보 중복을 완전히 배제시킬 수 있고, 탐지 오판율을 줄일 수 있는 효과가 있다.
대규모 네트워크, 공격 유형 탐지, 공격 상황 인지, 트래픽 정보, 트래픽 수신기, 트래픽 분류기, 트래픽 분석기, 해쉬 테이블, 해쉬 키, 해쉬엔트리.

公开(公告)号：KR100772177B1

公开(公告)日：2007-11-01

申请号：KR1020060112962

申请日：2006-11-15

Applicant: 한국전자통신연구원

Inventor： 김동영 ,  김종현 ,  방효찬 ,  김현주 ,  장범환 ,  김건량 ,  이수형 ,  유종호 ,  박원주 ,  손선경 ,  정치윤 ,  나중찬 ,  장종수

IPC: H04L9/00 ,  H04L12/26

CPC classification number: H04L63/1416

Abstract: A method and a device for generating an intrusion detection event for testing a security function are provided to simply test the security function of products and systems related to security without real hacking or generation and intrusion of attack packets by generating the intrusion detection events for various situations. A method for generating an intrusion detection event for testing a security function is composed of steps for setting a basic information list for generating the intrusion detection event(S100); setting a basic template of the intrusion detection event(S110); selecting specific basic information in the set basic information list(S120); generating a virtual intrusion detection event by inserting the chosen basic information into the basic template(S130); and transmitting the generated virtual intrusion detection event to a security system to be tested(S140).

Abstract translation: 提供了一种用于生成用于测试安全功能的入侵检测事件的方法和设备，以简单地测试与安全相关的产品和系统的安全功能，而无需真正的黑客入侵或攻击包的生成和入侵，并通过生成针对各种情况的入侵检测事件 。 用于生成用于测试安全功能的入侵检测事件的方法包括用于设置用于生成入侵检测事件的基本信息列表的步骤（S100）; 设置入侵检测事件的基本模板（S110）; 在设定的基本信息列表中选择特定的基本信息（S120）; 通过将所选择的基本信息插入到基本模板中来生成虚拟入侵检测事件（S130）; 以及将生成的虚拟入侵检测事件发送到要测试的安全系统（S140）。