公开(公告)号：KR100656351B1

公开(公告)日：2006-12-11

申请号：KR1020050084658

申请日：2005-09-12

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  방효찬 ,  김진오 ,  이수형 ,  김동영 ,  장범환 ,  손선경 ,  김건량 ,  나중찬 ,  장종수

IPC: G06F15/00

Abstract: A device and a method for analyzing risk management based on network vulnerability evaluation are provided to increase analysis performance by considering relation between alarm data and vulnerability information, analyze correlation with a current countermeasure policy in addition, and use only the actually needed alarm data. A preprocessor(300) discriminates an attack type of the alarm data generated in the network according to a source/destination IP(Internet Protocol), an attack name, and presence of a port number according to a service sort. A database processor(350) collects and stores the vulnerability information for network assets by using a vulnerability analyzer. A correlation analyzer(310) associates the alarm data according to the presence of the destination IP, the attack name, and the port number, and opening of the port with the presence of the stored vulnerability information for the asset. A countermeasure processor(330) generates or revokes an alarm depending on an association result, and generates the countermeasure policy corresponding to the alarm.

Abstract translation: 本发明提供一种基于网络脆弱性评估的风险管理分析装置和方法，通过考虑告警数据与脆弱性信息的关系，增加分析性能，并与当前的对策策略进行关联分析，仅使用实际需要的告警数据。 预处理器（300）根据服务类别根据源/目的地IP（互联网协议），攻击名称和端口号的存在来区分在网络中产生的警报数据的攻击类型。 数据库处理器（350）通过使用漏洞分析器收集和存储网络资产的漏洞信息。 相关性分析器（310）根据目的IP的存在，攻击名称和端口号以及端口的开放将警报数据与存在所存储的资产的漏洞信息相关联。 对策处理器（330）根据关联结果生成或撤消警报，生成与该警报对应的对策策略。

公开(公告)号：KR100651746B1

公开(公告)日：2006-12-01

申请号：KR1020050110358

申请日：2005-11-17

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/22

Abstract: A network state display device using traffic flow-radar and a method thereof are provided to intuitively display harmful traffic and abnormality which deteriorate the performance of a network by analyzing and extracting predetermined traffic characteristics, thus the current network state can be easily recognized. A traffic characteristic extractor(110) calculates flow occupancy ratios of each traffic characteristic by targeting on overall flows, micro-flows and macro-flows in reference to traffic information on each traffic characteristic of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios of the traffic characteristic flows as dots on a radar. A traffic abnormality decider(130) decides whether a network is abnormal by referring to the radar, and if an abnormal state occurs, the decider(130) detects and reports a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state.

Abstract translation: 提供一种使用交通流量雷达的网络状态显示装置及其方法，以通过分析和提取预定的交通特征来直观地显示损害网络性能的有害交通和异常，因此可以容易地识别当前网络状态。 交通特征提取器（110）通过针对关于协议的每个通信量特征的交通信息，发送/接收主机地址，端口和网络的整体流量，微流量和宏流量来计算每个通信量特性的流量占用率 由外部交通信息收集器收集的地址，并存储计算出的值。 交通状况显示（120）将计算并存储的交通特征流的占用率显示为雷达上的点。 业务异常判定器（130）通过参考雷达判定网络是否异常，并且如果发生异常状态，则判定器（130）检测并报告异常状态的类型和异常业务或导致异常的有害业务 州。

公开(公告)号：KR100628317B1

公开(公告)日：2006-09-27

申请号：KR1020040101086

申请日：2004-12-03

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  손선경 ,  방효찬 ,  이수형 ,  김동영 ,  장범환 ,  김건량 ,  김현주 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1416 ,  G06F21/552 ,  G06F21/85 ,  H04L63/1441

Abstract: 본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지

公开(公告)号：KR102111723B1

公开(公告)日：2020-05-15

申请号：KR1020160009966

申请日：2016-01-27

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  전부선 ,  최병철 ,  허영준

IPC: H04L29/08 ,  H04L29/06

公开(公告)号：KR102017742B1

公开(公告)日：2019-10-14

申请号：KR1020160116223

申请日：2016-09-09

Applicant: 한국전자통신연구원

Inventor： 이성현 ,  나중찬 ,  손선경 ,  전부선 ,  강동호 ,  김병구 ,  진승헌 ,  최병철 ,  허영준

IPC: H04L29/06 ,  H04L29/08 ,  H04L29/10

公开(公告)号：KR101953552B1

公开(公告)日：2019-03-04

申请号：KR1020160103133

申请日：2016-08-12

Applicant: 한국전자통신연구원

Inventor： 전부선 ,  강동호 ,  김병구 ,  나중찬 ,  손선경 ,  이성현 ,  최병철 ,  허영준

IPC: H04L1/18 ,  H04L1/00 ,  H04L12/66 ,  H04L29/08 ,  H04L29/06

公开(公告)号：KR101761737B1

公开(公告)日：2017-07-26

申请号：KR1020140060364

申请日：2014-05-20

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  김병구 ,  강동호 ,  나중찬

IPC: H04L12/26 ,  H04L29/06 ,  G06F17/30

CPC classification number: H04L63/1425 ,  H04L63/1458 ,  H04L69/22

Abstract: 본발명은제어시스템의플로우분석을통해제어시스템의이상행위를탐지하는시스템및 방법을제공하는것으로서, 제어네트워크의플로우정보를수집하고수집된플로우정보에따라플로우를분류하고플로우그룹을생성한다. 그리고생성된플로우그룹내의플로우를상호분석하여제어시스템의이상행위를탐지한다. 즉, 제어네트워크내부시스템들을기능별로그룹화하고동일한기능을수행하는그룹내 시스템의상황을관리함으로써제어시스템의이상행위를신속하게탐지할수 있도록한다.

Abstract translation: 本发明提供了一种系统和方法，用于通过控制系统的流量分析来检测控制系统的异常行为，收集控制网络的流量信息，根据收集的流量信息对流量进行分类，并生成流量组。 然后，分析所产生的流量组中的流量，以检测控制系统的异常行为。 也就是说，通过按功能对控制网络内部系统进行分组并管理在执行相同功能的组中系统的状况，可以快速地检测控制系统的异常行为。

公开(公告)号：KR1020150133507A

公开(公告)日：2015-11-30

申请号：KR1020140060364

申请日：2014-05-20

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  김병구 ,  강동호 ,  나중찬

IPC: H04L12/26 ,  H04L29/06 ,  G06F17/30

CPC classification number: H04L63/1425 ,  H04L63/1458 ,  H04L69/22 ,  G06F17/30 ,  G06F17/30598 ,  H04L29/06 ,  H04L43/00

Abstract: 본발명은제어시스템의플로우분석을통해제어시스템의이상행위를탐지하는시스템및 방법을제공하는것으로서, 제어네트워크의플로우정보를수집하고수집된플로우정보에따라플로우를분류하고플로우그룹을생성한다. 그리고생성된플로우그룹내의플로우를상호분석하여제어시스템의이상행위를탐지한다. 즉, 제어네트워크내부시스템들을기능별로그룹화하고동일한기능을수행하는그룹내 시스템의상황을관리함으로써제어시스템의이상행위를신속하게탐지할수 있도록한다.

Abstract translation: 本发明涉及通过流量分析来检测控制系统的异常行为的系统和方法。 流量分析收集控制网络的流量信息，分析收集的流量信息，根据收集的流量信息对流量进行分类，生成流量组，并通过相互分析生成的流量组中的流量来检测控制系统的异常行为。 因此，本发明通过功能对控制网络中的系统进行分组，以及对执行相同功能的组中的系统的管理情况，实现对控制系统的异常行为的快速检测。

公开(公告)号：KR101554340B1

公开(公告)日：2015-09-21

申请号：KR1020080116357

申请日：2008-11-21

Applicant: 한국전자통신연구원

Inventor： 유종호 ,  김종현 ,  장범환 ,  손선경 ,  김건량 ,  정치윤 ,  나중찬

IPC: H04L9/32 ,  H04W4/12

Abstract: 본발명은, 사용자단말기가웹 서버에로그인할 때, 자신의 IP 정보를웹 서버에노출하도록함으로써, 신뢰할수 없는네트워크에대해서도웹 서버가사용자단말기를인증하고안전한암호통신용세션키교환을수행할수 있도록하는패스워드기반인증방법에대한것이다.

公开(公告)号：KR1020130039175A

公开(公告)日：2013-04-19

申请号：KR1020110103671

申请日：2011-10-11

Applicant: 한국전자통신연구원

Inventor： 손선경

IPC: H04L12/26 ,  H04L12/22 ,  G06F21/00

CPC classification number: G08B31/00

Abstract: PURPOSE: A device for detecting the threat of an insider and a method thereof are provided to extract the patterns of insiders from the stored information and analyze time-space association compared to other insider patterns. CONSTITUTION: An information collecting unit(101) collects information related to insiders. The information collecting unit converts the format of the collected information into a normalized format. A knowledge base(102) stores information converted by the information collecting unit. A pattern extracting unit(103) generates a pattern by insider from the information stored in the knowledge base. An association analysis unit(104) detects a suspicious insider by comparing the patterns generated by the pattern extracting unit. [Reference numerals] (101) Information collecting unit; (102) Knowledge base; (103) Pattern extracting unit; (104) Association analysis unit;

Abstract translation: 目的：提供一种用于检测内部威胁的设备及其方法，以从存储的信息中提取内部人员的模式，并与其他内部人员模式相比较，分析时空关联。 规定：信息收集单元（101）收集与内部人员有关的信息。 信息收集单元将所收集的信息的格式转换为归一化格式。 知识库（102）存储由信息收集单元转换的信息。 图案提取单元（103）从知识库中存储的信息内部生成图案。 关联分析单元（104）通过比较由模式提取单元生成的模式来检测可疑内部人员。 （附图标记）（101）信息收集单元; （102）知识库; （103）模式提取单元; （104）协会分析单位;