公开(公告)号：KR100734852B1

公开(公告)日：2007-07-03

申请号：KR1020050116586

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/24 ,  H04L12/26

CPC classification number: H04B7/2606 ,  H04W16/26 ,  H04W40/22 ,  H04W48/08 ,  H04W76/10

Abstract: 플로우-사각형 또는 플로우-시계를 이용한 네트워크 상태 표시 장치 및 그 방법이 개시된다. 네트워크 상태 표시 장치는 수집된 트래픽 정보를 참조하여, 소정의 기준 포트와 기준 시간에 따라 발생한 트래픽의 특성에 따른 점유 비율을 계산하여 저장하는 트래픽 특성 추출부, 계산 결과를 참조하여, 점유비율 좌표평면상에, 현재 네트워크에서 잘 알려진 포트, 그렇지 않은 포트, 매크로-플로우 및 마이크로-플로우의 트래픽 특성에 따른 점유 비율을 이용하여 표시되는 사각형과 정상상태 참조모델을 함께 표시하여 현재 네트워크의 이상상태 여부를 나타내는 트래픽 상태 표시부 및 점유비율 좌표평면 상에 그려지는 정상상태 참조모델과 현재 네트워크 상태의 사각형의 위치 또는 형태를 비교하여 네트워크의 이상 상태 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하며, 트래픽의 이상 특징만을 표현할 수 있는 간단한 데이터 즉, 연결시간에 따른 포트 구간별 플로우 비율, 옥텟 비율 또는 패킷 비율을 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있다.

公开(公告)号：KR100734826B1

公开(公告)日：2007-07-03

申请号：KR1020030095386

申请日：2003-12-23

Applicant: 한국전자통신연구원

Inventor： 김동영 ,  나중찬 ,  손승원 ,  박치항

IPC: G06F15/16

Abstract: 공유 파일을 이용한 비동기적 데이터 전달 방법 및 그 시스템이 개시된다. 적어도 하나 이상의 시스템에 전달하고자 하는 데이터를 공유 파일에 기록하고, 각각의 시스템으로 전달되는 공유 파일에 관한 정보를 포함하는 공유 정보 파일을 각각의 시스템별로 생성하고 관리하며 공유 정보 파일을 기초로 각각의 시스템으로 데이터 전달이 완료된 공유 파일을 파악하고 삭제한다. 이로써, 시스템간에 데이터를 비동기적으로 전달할 수 있다.

公开(公告)号：KR100651755B1

公开(公告)日：2006-12-01

申请号：KR1020050116589

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/26

Abstract: A network traffic state display device using traffic-spectrum and a method thereof are provided to decide on an abnormal state which deteriorates the performance of a network by using flow occupancy ratios for each traffic characteristic, and to detect abnormal traffic or harmful traffic that causes the abnormal state, then to automate such a process by a program, thereby quickly coping with the abnormal state without intervention of a manager. A traffic characteristic extractor(110) calculates occupancy ratios of micro-flows and macro-flows which have overall flows as a population, according to each traffic characteristic by referring to traffic characteristic traffic information of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios in spectrum type, and provides the displayed ratios as a network-spectrum, a port-spectrum, a host-spectrum, and a protocol-spectrum. A traffic abnormality decider(130) decides whether an abnormal state of a network occurs by referring to the spectra, and if the abnormal state occurs, the decider(130) detects a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state to report the detected results.

Abstract translation: 提供使用业务频谱的网络业务状态显示设备及其方法，以通过使用每个业务特性的流量占用率来判定恶化网络性能的异常状态，并且检测导致该业务的异常业务或有害业务 异常状态，然后通过程序使这个过程自动化，从而在没有管理者干预的情况下快速应对异常状态。 业务量特征提取器（110）通过参考协议的业务量特征业务量信息，发送/接收主机地址，端口，根据每个业务量特征来计算总体上作为总体流量的微流和宏流的占用率 网络地址由外部流量信息收集器收集，并存储计算出的值。 业务状态显示（120）以频谱类型显示所计算和存储的占用率，并将所显示的比率提供为网络频谱，端口频谱，主机频谱和协议频谱。 业务异常判定器（130）通过参考频谱来判定是否出现网络的异常状态，并且如果发生异常状态，则判定器（130）检测异常状态的类型和异常业务或有害业务， 异常状态来报告检测结果。

公开(公告)号：KR100651749B1

公开(公告)日：2006-12-01

申请号：KR1020050084659

申请日：2005-09-12

Applicant: 한국전자통신연구원

Inventor： 방효찬 ,  김현주 ,  김건량 ,  김진오 ,  이수형 ,  장범환 ,  김동영 ,  손선경 ,  나중찬 ,  장종수

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/28

Abstract: A method for detecting unknown malicious traffic and a device therefor are provided to analyze and visually express relation between a lot of event information generated by malicious traffic such as a worm virus, thus emergence of the worm virus is exactly detected while spread status is intuitively and easily perceived. Analysis target data is periodically collected from traffic flow data received from equipment installed in a network, asset information and vulnerability information of the network, and alarm data which detects intrusion through the network(10). Alarm data for detection of substantially threatening intrusion is extracted according to association between system vulnerability information within the vulnerability information and an address within the asset information and destination port information and a destination address included within the alarm data(20). Traffic abnormality status is extracted by sensing the current state of traffic generation of an infected system, the current state of file transmission traffic flows and directivity of traffic flows, and the current state of access to the destination address of the alarm data extracted as being substantially threatened(30,40).

Abstract translation: 提供了一种检测未知恶意流量的方法及其装置，用于分析和直观地表达恶意流量（如蠕虫病毒）产生的大量事件信息之间的关系，从而在传播状态直观的情况下准确检测到蠕虫病毒的出现， 容易感知。 分析目标数据周期性地从安装在网络中的设备接收到的交通流数据，网络的资产信息和漏洞信息以及通过网络（10）检测入侵的警报数据中收集。 根据漏洞信息内的系统漏洞信息与资产信息和目的地端口信息内的地址以及报警数据（20）内包括的目的地地址之间的关联，提取用于检测实质性威胁入侵的报警数据。 通过感测受感染系统的流量生成的当前状态，文件传输业务流的当前状态和业务流的方向性以及当前提取的报警数据的目的地地址的当前状态，提取业务异常状态 威胁（30,40）。

公开(公告)号：KR1020060028601A

公开(公告)日：2006-03-30

申请号：KR1020040077621

申请日：2004-09-25

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  이수형 ,  김진오 ,  장범환 ,  나중찬 ,  장종수

IPC: H04L1/20

CPC classification number: H04L41/5032 ,  H04L41/142 ,  H04L41/145 ,  H04L43/16 ,  H04L63/1425

Abstract: 본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 하며 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
네트워크 트래픽 분석, 이상 징후 감지, 상대적 비율, 모비율

公开(公告)号：KR1020050048019A

公开(公告)日：2005-05-24

申请号：KR1020030081833

申请日：2003-11-18

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  장범환 ,  김진오 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/26

CPC classification number: H04L63/1408

Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.

公开(公告)号：KR1020030025384A

公开(公告)日：2003-03-29

申请号：KR1020010058236

申请日：2001-09-20

Applicant: 한국전자통신연구원

Inventor： 김영수 ,  나중찬 ,  손승원

IPC: H04L9/00

CPC classification number: H04L63/045 ,  H04L63/0823

Abstract: PURPOSE: A method for transmitting a safe and an active packet between the active nodes in an active network is provided to transmit and process the packet in the network at the end terminal nodes as well as at the middle nodes. CONSTITUTION: A method for transmitting a safe and active packet between the active nodes in an active network includes the steps of: broadcasting(403) with creating the information to be transmitted by a first active node as the active packet by utilizing a symmetric key encryption method; requesting(407) a key for the decryption of the symmetric key encryption method with the first active node by the second active node to receive the active packet broadcasted; transmitting the key for the decryption of the symmetric key encryption method by the first active node in response to the key request received from the second node; and implementing the information including the active packet by decrypting the broadcasted active packet by the second active node receiving the key for the decryption of the symmetric key encryption method.

Abstract translation: 目的：提供一种在活动网络中的活动节点之间传输安全活动分组的方法，用于在终端节点以及中间节点处的网络中传输和处理分组。 构成：用于在活动网络中的活动节点之间传输安全活跃分组的方法包括以下步骤：通过利用对称密钥加密来创建要由第一主动节点发送的信息作为活动分组的广播（403） 方法; 向所述第二主动节点请求（407）用于利用所述第一主动节点解密所述对称密钥加密方法的密钥，以接收广播的活动分组; 响应于从第二节点接收的密钥请求，发送由第一主动节点解密对称密钥加密方法的密钥; 并且通过第二主动节点接收用于对称密钥加密方法的解密的密钥解密广播的活动分组来实现包括活动分组的信息。

公开(公告)号：KR1020020096617A

公开(公告)日：2002-12-31

申请号：KR1020010035307

申请日：2001-06-21

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  김영수 ,  이주영 ,  김주한 ,  나중찬 ,  손승원

IPC: G06Q50/10

Abstract: PURPOSE: A system structure of an XML(eXtensible Markup Language) security platform for a safe XML electronic document exchange and a method for processing a security being performed in the platform are provided to integrate a Java Crypto API with an information protection function based on PKI(Public Key Infrastructure) as one platform for supporting an electronic signature encryption function with respect to various electronic documents, a domestic standard algorithm, and a cryptograph algorithm. CONSTITUTION: An XML information protection process sub system comprises an XML electronic signature module for performing an electronic signature creating or verifying function of an XML format with respect to various electronic documents including an XML electronic document being exchanged in an electronic commercial transaction, and an XML encryption module for coding or decoding various electronic documents into an XML format. A Java encryption module performs platform-independent code processing function using a library based on the Java and supplies a code processing function by responding to a request of the XML electronic signature module and the XML encryption module. An XML transmitting/receiving module is provided for transmitting/receiving a signed and coded document to other system through a communication network. An information protection function based on a PKI is supplied. The library based on the Java uses 'Java Crypto' library in accordance with the SUN JCA(Java Cryptography Architecture)/JCE(Java Cryptography Extension) structure.

Abstract translation: 目的：提供用于安全的XML电子文档交换的XML（可扩展标记语言）安全平台的系统结构和用于处理在平台中执行的安全性的方法，以将Java Crypto API与基于PKI的信息保护功能相集成 （公钥基础设施）作为支持各种电子文档的电子签名加密功能的一个平台，国内标准算法和密码算法。 构成：XML信息保护处理子系统包括一个XML电子签名模块，用于执行关于包括在电子商业交易中交换的XML电子文档的各种电子文档的XML格式的功能的电子签名，以及XML 加密模块，用于将各种电子文档编码或解码为XML格式。 Java加密模块使用基于Java的库执行与平台无关的代码处理功能，并通过响应XML电子签名模块和XML加密模块的请求来提供代码处理功能。 提供了一种XML发送/接收模块，用于通过通信网络将签名和编码的文档发送/接收到其他系统。 提供了基于PKI的信息保护功能。 基于Java的库根据SUN JCA（Java Cryptography Architecture）/ JCE（Java Cryptography Extension）结构使用'Java Crypto'库。

公开(公告)号：KR100309561B1

公开(公告)日：2001-12-17

申请号：KR1019980051092

申请日：1998-11-26

Applicant: 한국전자통신연구원

Inventor： 나중찬 ,  김명준

IPC: H04L9/32

Abstract: 본 발명은 웹과 정보제공자를 보완적으로 통합하면서 보안 서비스를 제공함으로써 웹 브라우저에서 원하는 정보를 정보이용자에게 안전하게 송수신할 수 있는 웹과 정보제공자를 연동하는 통로에서의 보안장치와 방법 및 그 기록매체를 제공하는 데 그 목적이 있다.
위와 같은 목적을 달성하기 위한 본 발명은, 사용자의 로그인 요구 여부를 판단하는 1단계와; 사용자의 로그인 요구시에 데몬(daemon)을 이용하는 정보이용자 클라이언트 데몬과 보안서버가 상호 작용하여 인증절차를 수행하고, 사용자의 로그인 요구가 없을 경우 정보제공 서비스 요구 여부를 판단하는 제2단계와; 정보제공 서비스 요구시에 요구문을 분석하여 서비스 번호를 구하여 서비스 번호에 해당되는 함수를 호출하며 정보제공자와 송수신되는 데이터에 대해 암호화 및 복호화하고, 정보제공 서비스 요구가 없을 경우 사용자의 로그아웃 요구 여부를 판단하는 제3단계 및; 사용자의 로그아웃 요구 여부시에 정보이용자 클라이언트 데몬에게 로그아웃 신호를 송신하여 복제된 프로세스를 종료하고, 사용자의 로그아웃 요구가 없을 경우 사용자의 로그인 요구 여부를 재확인하는 제4단계를 포함한다.

公开(公告)号：KR102157084B1

公开(公告)日：2020-09-17

申请号：KR1020140003783

申请日：2014-01-13

Applicant: 한국전자통신연구원

Inventor： 이상우 ,  이병길 ,  나중찬

IPC: G08G1/09 ,  G08G1/00 ,  G08G1/097