-
51.发明公开네트워크 모니터링 시스템 및 방법, 네트워크 모니터링을 위한 보안이벤트 수집 장치 및 서비스 이상상황 탐지 장치 无效提供网络监控的方法和系统,安全事件收集装置和服务异常检测装置网络监控
公开(公告)号:KR1020120038882A
公开(公告)日:2012-04-24
申请号:KR1020110030873
申请日:2011-04-04
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L43/026 , H04L43/04
Abstract: PURPOSE: A network monitoring system, security event collecting apparatus, and service error state detecting apparatus are provided to detect the soundness of a network service by using the feature of a transport layer port number. CONSTITUTION: A traffic information creation apparatus(10) creates traffic information. A security event collecting apparatus(100) collects the traffic information. The security event collecting apparatus extracts service information. A service error state detecting apparatus(200) detects the occurrence frequency of a transport layer and the port number of the transport layer from the extracted service information. The service error state detecting apparatus displays a service error state.
Abstract translation: 目的:提供一种网络监控系统,安全事件收集装置和服务错误状态检测装置,通过使用传输层端口号的特征来检测网络服务的健全性。 构成:交通信息生成装置(10)创建交通信息。 安全事件收集装置(100)收集交通信息。 安全事件收集装置提取服务信息。 服务错误状态检测装置(200)根据所提取的服务信息检测传输层的发生频率和传输层的端口号。 服务错误状态检测装置显示服务错误状态。
-
公开(公告)号:KR1020110040152A
公开(公告)日:2011-04-20
申请号:KR1020090097313
申请日:2009-10-13
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1408 , H04L2463/146
Abstract: PURPOSE: A method for reversely tracking an attacker packet and a system therefore are provided to sense the attacker packet by using a hash function and a bloom filter. CONSTITUTION: A first router(100) receives a hash information list of an attacker packet from a server(300) which reversely track an attack path of the attacker packet in a network. A hash value is extracted by applying a hash function to a reception packet. It is determined whether the information corresponding to the extracted hash value exists in the hash information list. The reception packet is determined to the attacker packet according to the information corresponding to the extracted hash value. The determination result is transmitted to the server.
Abstract translation: 目的:提供一种用于反向跟踪攻击者数据包和系统的方法,以通过使用散列函数和绽放过滤器来感知攻击者数据包。 构成:第一路由器(100)从服务器(300)接收攻击者包的哈希信息列表,该服务器反向跟踪网络中的攻击者包的攻击路径。 通过将哈希函数应用于接收分组来提取散列值。 确定在哈希信息列表中是否存在与提取的散列值相对应的信息。 接收包根据与提取的散列值对应的信息确定给攻击者包。 确定结果被发送到服务器。
-
公开(公告)号:KR1020110011935A
公开(公告)日:2011-02-09
申请号:KR1020090069418
申请日:2009-07-29
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1425
Abstract: PURPOSE: A network attach sensing device based on visual data analysis and a method thereof are provided to convert traffic information into an image and sense various attacks on a network using the formed image through a visual data analysis technique. CONSTITUTION: A traffic image generator(100) generates a traffic image through IP additional information. By comparing the traffic image with a previously inputted traffic image, a network attack detector(200) detects a network attack. A network attack analyzer(300) detects network attack information and pattern information of the network attack information. A network attack detection result expression unit(400) expresses the network attack information and the pattern information of the network attack.
Abstract translation: 目的:提供一种基于视觉数据分析的网络附着感测装置及其方法,用于通过视觉数据分析技术将交通信息转换为图像,并使用形成的图像感知网络上的各种攻击。 构成:流量图像生成器(100)通过IP附加信息生成流量图像。 通过将流量图像与先前输入的流量图像进行比较,网络攻击检测器(200)检测网络攻击。 网络攻击分析器(300)检测网络攻击信息和网络攻击信息的模式信息。 网络攻击检测结果表达单元(400)表示网络攻击信息和网络攻击的模式信息。
-
公开(公告)号:KR101003104B1
公开(公告)日:2010-12-21
申请号:KR1020080131716
申请日:2008-12-22
Applicant: 한국전자통신연구원
CPC classification number: H04W12/12 , H04L63/1416
Abstract: 본 발명은 무선 네트워크에서 보안 상황 감시 장치에 관한 것으로, 본 발명에 따른 무선 네트워크에서 보안 상황 감시 장치는 하나 이상의 RF 신호 정보를 수집하는 RF 신호 수집부, 트래픽 정보, 경보 정보 중 하나 이상을 포함하는 보안 이벤트 정보를 수집하는 보안 이벤트 수집부, 수집된 RF 신호 정보와 보안 이벤트 정보의 연관성을 분석하여 매핑하는 보안 이벤트 정보 매핑부 및 매핑된 보안 이벤트 정보를 표시하는 보안 이벤트 정보 표시부를 포함한다. 이에 의해, RF 신호 감시를 통해 획득된 RF 신호 정보와, 무선 네트워크 장비에서 발생되는 트래픽 정보, 경보 정보를 포함하는 보안 이벤트 정보를 매핑하여 정보 시각화 기법을 사용하여 효과적으로 표현함으로써 네트워크 관리자가 현재 무선 네트워크의 보안 상황을 직관적으로 인지할 수 있는 장점이 있다.
RF 신호, 보안, 매핑, 표시-
公开(公告)号:KR1020100076856A
公开(公告)日:2010-07-06
申请号:KR1020090032429
申请日:2009-04-14
Applicant: 한국전자통신연구원
Abstract: PURPOSE: An apparatus and a method for extracting user information using client-based script are provided to collect the IP(Internet Protocol) addresses of an attacking host and a proxy server used by the attacking host can be collected by using a script that sets a direct connection between a monitoring server and the attacking host. CONSTITUTION: A web client issues a request for a first webpage to a web server(S101). Then, the web server may transmit the first webpage to the web client along with a script for detecting the IP address of the web client(S103). The script is automatically executed in a web browser of the web client along with the first webpage without a requirement of an additional Java applet, an ActiveX program or an ActiveX plug-in. Once the script is executed in the web browser of the web client, a user identifier for the web client may be created by combining a time-shift value and a random value. Thereafter, the script issues a request for the right and method to access to a monitoring server to the monitoring server(S105). Then, the monitoring server responds to the request(S107), and the script sets a socket communication between the web client and the monitoring server(S109). The socket communication is used for various purposes such as querying a database, issuing a request for TCP(Transmission Control Protocol) communication or issuing a request for FTP(File Transfer Protocol) connection. The script transmits user information, including the user identifier of the web client and information regarding a webpage having the script loaded therein, to the monitoring server. In addition, the script issues a request for a second webpage to the monitoring server(S111). If the web client attempts to access the web server via an anonymous proxy server, the second web page is transmitted to the monitoring server via the anonymous proxy server, and thus, the monitoring server is able to collect the IP address of the anonymous proxy server.
Abstract translation: 目的:提供一种使用基于客户端脚本提取用户信息的装置和方法,用于收集攻击主机的IP(因特网协议)地址,并且可以通过使用设置 监控服务器和攻击主机之间的直接连接。 规定:Web客户端向Web服务器发出第一网页的请求(S101)。 然后,Web服务器可以将第一网页与用于检测网络客户端的IP地址的脚本一起发送到web客户端(S103)。 该脚本与Web客户端的Web浏览器一起自动执行,而不需要附加的Java小程序,ActiveX程序或ActiveX插件。 一旦在web客户机的web浏览器中执行脚本,可以通过组合时移值和随机值来创建web客户端的用户标识符。 此后,脚本向监视服务器发出对监视服务器的权利和方法的请求(S105)。 然后,监视服务器对该请求进行响应(S107),脚本设置Web客户端与监视服务器之间的套接字通信(S109)。 套接字通信用于各种目的,例如查询数据库,发出TCP(传输控制协议)通信请求或发出FTP(文件传输协议)连接请求。 该脚本向监视服务器发送包括web客户端的用户标识符和关于其中加载有脚本的网页的信息的用户信息。 此外,脚本向监视服务器发出第二网页的请求(S111)。 如果Web客户端尝试通过匿名代理服务器访问Web服务器,则通过匿名代理服务器将第二网页发送到监控服务器,因此监控服务器能够收集匿名代理服务器的IP地址 。
-
Patent Agency Ranking
公开(公告)号:KR100922582B1
公开(公告)日:2009-10-21
申请号:KR1020070073059
申请日:2007-07-20
Applicant: 한국전자통신연구원
CPC classification number: H04L45/00 , H04L45/12 , H04L63/1416 , H04L63/1425 , H04L63/1441 , H04L2463/146
Abstract: 본 발명의 일실시 형태에 따른 중심점 분할(Centroid Decomposition) 기법을 이용하여 공격자를 역추적하는 시스템 및 방법에 관한 것으로, 침입탐지 시스템으로부터 침입경보의 로그 정보(log data)를 수집하는 로그정보입력모듈; 망 관리서버에서 수집한 네트워크 라우터의 연결정보에 대해 최단 경로 알고리즘을 적용하여 최단 경로 트리를 생성하고, 상기 최단 경로 트리의 리프노드를 제거하는 중심점 분할 기법(centroid decomposition technique)을 적용하여 센트로이드 노드(centroid node)를 검출하고, 상기 검출한 센트로이드 노드를 각 레벨의 노드로 하는 센트로이드 트리를 생성하는 센트로이드노드검출모듈; 및 상기 센트로이드 트리의 각 레벨의 노드에 대해 매칭되는 라우터의 로그 정보를 요청해서 상기 수집한 침입경보의 로그 정보와 센트로이드 트리의 각 레벨별로 순차적으로 비교하여 일치하는 공격자의 근원지에 연결된 라우터를 역추적하는 역추적처리모듈을 포함하여 구성됨으로써, 보안침해사고를 일으키는 공격자를 빠르게 찾아낼 수 있으며, 역추적 시스템의 부하를 줄이고, 위협 혹은 취약점이 노출되어 있는 경유 호스트를 쉽게 파악할 수 있으므로 공격에 대한 대응이 용이하다는 효과가 있다.
중심점 분할 기법, 침입 탐지, 로그 기반, 역추적-
公开(公告)号:KR100901696B1
公开(公告)日:2009-06-08
申请号:KR1020070067268
申请日:2007-07-04
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , G06Q10/06
Abstract: 본 발명은 네트워크상에서 존재하는 네트워크 장비들로부터 수신되는 보안 이벤트를 수집, 분석할 때 보안 이벤트의 컨텐츠에 기반하여 보안 이벤트를 효율적으로 샘플링하는 장치 및 방법에 관한 것으로, 본 발명은 네트워크 장비에서 발생된 보안 이벤트를 수집하여 보안 이벤트의 컨텐츠에 따라 유형별로 저장하는 보안 이벤트 축적 모듈; 상기 저장된 보안 이벤트를 분석하여 유형별 보안 이벤트의 분포를 계산하는 보안 이벤트 분석 모듈; 및 상기 계산된 유형별 보안 이벤트의 분포에 따라 상기 저장된 보안 이벤트를 샘플링하는 보안 이벤트 추출 모듈을 포함하여 구성함으로써, 보안 이벤트의 시각화 및 보안 이벤트 분석 장치의 속도를 향상시키고 정확도를 높일 수 있다.
보안 이벤트, 샘플링 비율, 포트 연관성 분석-
公开(公告)号:KR1020080040257A
公开(公告)日:2008-05-08
申请号:KR1020060107959
申请日:2006-11-02
Applicant: 한국전자통신연구원
IPC: G06F11/00
Abstract: A method and a device for detecting an unknown worm and virus early in a network level are provided to manage the unknown worm and virus in an early stage by collecting traffic information from nodes of various sub networks, and analyzing a traffic increase rate of each NE(Network Element)/application port of each node and connection property between source and target addresses. A traffic information collector(210) collects traffic data from each NE. A statistics processor(220) outputs statistics data by analyzing the collected traffic information by each NE/application port. An analyzer(230) analyzes a traffic increase/decrease rate of the application port by using the statistics data. A port controller(240) blocks the traffic of the application port of which the traffic increase/decrease rate is higher than a threshold depending on an analysis result. A storing part(250) stores/provides the data processed in the traffic information collector, the statistics processor and the analyzer. The analyzer determines an abnormal state from the traffic increase/decrease rate and analyzes connection between source and target addresses of the traffic of the application port determined as the abnormal state.
Abstract translation: 提供了一种在网络级早期检测未知蠕虫和病毒的方法和装置,用于通过从各个子网络的节点收集流量信息,在早期阶段对未知蠕虫病毒进行管理,分析每个网元的流量增长率 (网元)/每个节点的应用端口和源地址和目标地址之间的连接属性。 交通信息收集器(210)从每个NE收集交通数据。 统计处理器(220)通过分析每个NE /应用端口收集的交通信息来输出统计数据。 分析器(230)通过使用统计数据分析应用端口的流量增加/减少率。 根据分析结果,端口控制器(240)阻止业务增加/减少率高于阈值的应用端口的流量。 存储部(250)存储/提供处理在交通信息采集器,统计处理器和分析器中的数据。 分析器根据流量增减速率确定异常状态,分析应用端口流量的源地址和目标地址之间的连接,确定为异常状态。
-
公开(公告)号:KR100826884B1
公开(公告)日:2008-05-06
申请号:KR1020060117566
申请日:2006-11-27
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1441 , H04L63/20
Abstract: A network state display device using a security cube and a method therefor are provided to analyze a network attack or abnormal and harmful traffic which deteriorates the performance of a network, and to display the analyzed results, therefore a user can intuitively recognize the current network state as coping with the traffic or the attack in real time. A traffic characteristic extractor(110) extracts information on a source address, a source port, a destination address, and a destination port from network traffic, selects two pieces of the information to classify the traffic, and calculates intrinsic dispersion degree values of the rest two pieces of the information for each classification. A network state display(120) displays a 2-dimensional security cube expressed with the extracted intrinsic dispersion degree values for the classified traffic. A traffic abnormality decider(130) decides whether the traffic is abnormal by referring to the security cube.
Abstract translation: 提供一种使用安全立方体的网络状态显示装置及其方法,用于分析恶化网络性能的网络攻击或异常有害流量,并显示分析结果,因此用户可以直观地识别当前网络状态 作为应对流量或实时攻击。 流量特征提取器(110)从网络流量提取关于源地址,源端口,目的地地址和目的地端口的信息,选择两条信息以对流量进行分类,并计算其余的固有分散度值 每个分类的两条信息。 网络状态显示器(120)显示用所分类的业务量提取的固有分散度值表示的二维安全立方体。 交通异常判定器(130)通过参照安全立方来决定交通是否异常。
-
公开(公告)号:KR100734852B1
公开(公告)日:2007-07-03
申请号:KR1020050116586
申请日:2005-12-01
Applicant: 한국전자통신연구원
CPC classification number: H04B7/2606 , H04W16/26 , H04W40/22 , H04W48/08 , H04W76/10
Abstract: 플로우-사각형 또는 플로우-시계를 이용한 네트워크 상태 표시 장치 및 그 방법이 개시된다. 네트워크 상태 표시 장치는 수집된 트래픽 정보를 참조하여, 소정의 기준 포트와 기준 시간에 따라 발생한 트래픽의 특성에 따른 점유 비율을 계산하여 저장하는 트래픽 특성 추출부, 계산 결과를 참조하여, 점유비율 좌표평면상에, 현재 네트워크에서 잘 알려진 포트, 그렇지 않은 포트, 매크로-플로우 및 마이크로-플로우의 트래픽 특성에 따른 점유 비율을 이용하여 표시되는 사각형과 정상상태 참조모델을 함께 표시하여 현재 네트워크의 이상상태 여부를 나타내는 트래픽 상태 표시부 및 점유비율 좌표평면 상에 그려지는 정상상태 참조모델과 현재 네트워크 상태의 사각형의 위치 또는 형태를 비교하여 네트워크의 이상 상태 유형 및 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출하여 보고하는 트래픽 이상 판단부를 포함하며, 트래픽의 이상 특징만을 표현할 수 있는 간단한 데이터 즉, 연결시간에 따른 포트 구간별 플로우 비율, 옥텟 비율 또는 패킷 비율을 이용하여 네트워크의 성능을 저하시키는 이상 상태를 판별하고 이를 유발하는 유해 트래픽 또는 비정상 트래픽을 검출할 수 있다.
-
-
-
-
-
-
-
-
-
Search Results
82
records
(took 0.029 seconds)
