公开(公告)号：KR1020170088083A

公开(公告)日：2017-08-01

申请号：KR1020160007975

申请日：2016-01-22

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  강동호 ,  김병구 ,  나중찬 ,  손선경 ,  전부선 ,  최병철

IPC: H04L1/00

Abstract: 데이터신뢰성향상을위한단방향전송장치및 그방법이개시된다. 본발명에따른단방향전송장치는안전영역에위치한송신호스트로부터수신된전송데이터의전송에러를정정하고, 상기전송에러정정된전송데이터를부호화하는단방향송신부, 그리고부호화된상기전송데이터의전송에러를정정하고, 상기전송데이터를복호화하여, 비안전영역에위치한수신호스트로복호화된상기전송데이터를전송하는단방향수신부를포함한다.

Abstract translation: 公开了一种用于改善数据可靠性的单向传输设备及其方法。 根据本发明的单向传输设备包括：单向传输单元，用于校正从位于安全区域中的传输主机接收的传输数据的传输错误，并对经传输错误校正的传输数据进行编码; 以及单向接收器，用于解码传输数据并将解码的传输数据传输到位于非安全区域中的接收主机。

公开(公告)号：KR1020160112750A

公开(公告)日：2016-09-28

申请号：KR1020150039004

申请日：2015-03-20

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  허영준

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L63/02 ,  H04L43/028 ,  H04L43/18

Abstract: 본발명의실시예에따른패킷감시방법은서버및 제어장치사이에서송수신되는통신패킷을수신하는단계, 수신된통신패킷보다이전에수신된통신패킷들의제어정보를포함하는이력테이블및 수신된통신패킷의제어정보를기반으로수신된통신패킷의비정상여부를판별하는단계, 및판별결과에따라보안동작을수행하는단계를포함한다.

Abstract translation: 根据本发明的实施例，一种包装监视方法包括：接收在服务器和控制装置之间发送和接收的通信包的步骤; 基于包含比接收到的通信分组更早接收到的通信分组的控制信息的历史表和接收到的通信分组的控制信息，判定接收到的通信分组是否异常的步骤; 以及根据确定结果执行安全操作的步骤。

公开(公告)号：KR1020150110065A

公开(公告)日：2015-10-02

申请号：KR1020140033870

申请日：2014-03-24

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  허영준 ,  강동호 ,  손선경 ,  나중찬

IPC: H04L12/26 ,  H04L12/22

CPC classification number: H04L63/1408

Abstract: 본발명의일 실시예에따른제어센터와적어도하나의지역제어네트워크를포함하는제어시스템의인트라넷보호시스템은, 상기제어센터에포함되는악성코드탐지장치; 및상기제어센터와상기지역제어네트워크의연결지점에위치하는실행파일모니터링에이전트를포함하고, 상기실행파일모니터링에이전트는상기지역제어네트워크내부또는상기제어센터와상기지역제어네트워크사이에서교환되는패킷으로부터실행파일정보를생성하여상기악성코드탐지장치로전송하고, 상기악성코드탐지장치는상기수신된실행파일정보에기초하여해당실행파일의악성코드감염여부를판단할수 있다.

Abstract translation: 根据本发明的实施例的具有至少一个本地控制网络和控制中心的控制系统的内部网保护系统包括包括控制中心的恶性代码; 以及位于本地控制网络和控制中心的连接点的执行文件监视代理。 执行文件监视代理从本地控制网络与控制中心或本地控制网络内部交换的数据包生成执行文件信息，并将其发送到恶意代码。 恶性代码检测装置可以基于接收到的执行文件信息来确定对应的执行文件的恶性代码的感染位置。

公开(公告)号：KR1020150081889A

公开(公告)日：2015-07-15

申请号：KR1020140001838

申请日：2014-01-07

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  나중찬 ,  강동호 ,  김병구

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L29/06551 ,  H04L43/00

Abstract: 본발명의일 실시예에따른제어네트워크침해사고탐지장치는제어네트워크를통해제어설비들과연결되는제어네트워크침해사고탐지장치에있어서, 상기제어네트워크를통해수집되는패킷을파싱하여플로우정보를추출하는플로우정보추출부, 상기플로우정보를이용하여플로우테이블을생성하는플로우정보관리부, 상기플로우테이블에저장된플로우정보를분석하여플로우패턴정보를생성하는플로우패턴정보생성부, 상기네트워크를통해상기제어설비들로부터설정정보를수집하는설정정보수집부, 및상기플로우정보관리부로부터전달되는상기플로우정보및 상기플로우패턴정보생성부로부터전달되는상기플로우패턴정보및 상기설정정보수집부로부터전달되는상기설정정보를이용하여상기플로우정보에대응되는플로우가정상인지여부를판단하는판단부를포함한다.

Abstract translation: 根据本发明的一个实施例，一种用于检测通过控制网络入侵连接到控制设备的控制网络的设备，包括：流信息提取单元，解析经由控制网络收集的数据包以提取流信息; 流信息管理单元，通过使用流信息生成流表; 流程图信息生成单元，分析存储在流表中的流信息，生成流图案信息; 设置信息收集单元，经由网络从控制设备收集设置信息; 以及确定单元，通过使用从流信息管理单元发送的流信息，从流图案信息生成单元发送的流图案信息和从设置信息收集发送的设置信息来确定与流信息相对应的流是否正常 单元。

公开(公告)号：KR1020140146342A

公开(公告)日：2014-12-26

申请号：KR1020130068861

申请日：2013-06-17

Applicant: 한국전자통신연구원

Inventor： 강동호 ,  김병구 ,  나중찬 ,  조현숙

IPC: H04L12/26 ,  H04L12/12

CPC classification number: H04L63/10 ,  H04L43/04

Abstract: The present invention discloses an access controlling apparatus in a network and a method thereof. In detail, the present invention discloses an access controlling apparatus in a supervisory control and data acquisition (SCADA) network and a method thereof. The access controlling apparatus disclosed in the present invention comprises a packet collector collecting a packet from the SCADA network, a packet analyzer analyzing a communication pattern of the packet to generate a pattern rule, and an access controller controlling an access on the basis of the pattern rule.

Abstract translation: 本发明公开了一种网络中的访问控制装置及其方法。 详细地说，本发明公开了一种监控和数据采集（SCADA）网络中的访问控制装置及其方法。 本发明公开的访问控制装置包括收集来自SCADA网络的分组的分组收集器，分析分组的通信模式以生成模式规则的分组分析器，以及基于模式控制访问的访问控制器 规则。

公开(公告)号：KR1020140122044A

公开(公告)日：2014-10-17

申请号：KR1020130038599

申请日：2013-04-09

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  최양서 ,  김익균

IPC: G06F21/50 ,  H04L12/22

CPC classification number: H04L63/1408 ,  H04L63/1458 ,  H04L63/1466 ,  H04L67/02

Abstract: 본 발명에서는 가상화 환경에서 슬로우 리드 도스 공격 탐지에 있어, HTTP 접속에서 요구되는 TCP 연결 설정 과정에서 TCP SYN 패킷이 갖는 윈도우 크기와 해당 세션에서 전달되는 HTTP GET 요청 메시지가 갖는 윈도우 크기의 상관관계 및 특성을 고려하여, 정상적인 사용자와 악의적인 사용자의 HTTP GET 요청 메시지를 구분하고 대응함으로써 보다 신속하게 슬로우 리드 도스 형태의 공격을 탐지할 수 있도록 하여, 슬로우 리드 도스 공격과 같은 웹 부하 공격으로부터 웹 서버를 보호하고 정상적인 사용자에게는 원활한 서비스를 제공할 수 있도록 한다.

Abstract translation: 本发明提供了一种在虚拟化环境中检测慢速读取DoS攻击的方法，其中考虑到TCP SYN的窗口大小的相关性和特征，对正常用户和恶意用户的HTTP GET请求消息进行分类以对其进行响应 在建立HTTP连接所需的TCP连接的过程中的数据包以及在相关会话中传输的HTTP GET请求消息的窗口大小，以更快速地检测慢速读取DoS攻击，从而保护Web服务器免受Web服务器过载攻击 例如缓慢读取DoS攻击，并为普通用户提供顺畅的服务。

公开(公告)号：KR1020100073126A

公开(公告)日：2010-07-01

申请号：KR1020080131717

申请日：2008-12-22

Applicant: 한국전자통신연구원

Inventor： 윤승용 ,  김병구 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수 ,  조현숙

IPC: G06F11/28 ,  G06F9/06 ,  G06F21/56 ,  G06F17/30

CPC classification number: G06F11/28 ,  G06F9/06 ,  G06F17/30091 ,  G06F21/56 ,  G06F21/561 ,  G06F2221/033

Abstract: PURPOSE: A malicious code detecting device using execution compression and a method are provided to determine malicious code without execution compression of execution-compressed target file. CONSTITUTION: A PE(Portable Executable) file determination unit(210) inspects PE signature within a file header of inspection target file. A compression method detector(220) detects execution compression possibility and compression method in section header of the file header. A first malicious code determining unit(230) includes the first list storing compression method. The compression method is not used for the malicious code. The first malicious code determining unit determines a malicious code of the file according to existence of the compression method within the first list.

Abstract translation: 目的：提供使用执行压缩和方法的恶意代码检测设备，以确定恶意代码，而不执行压缩的目标文件。 构成：PE（便携式可执行文件）文件确定单元（210）检查检查目标文件的文件头中的PE签名。 压缩方法检测器（220）检测文件头部分标题中的执行压缩可能性和压缩方法。 第一恶意代码确定单元（230）包括第一列表存储压缩方法。 恶意代码不使用压缩方法。 第一恶意代码确定单元根据第一列表内的压缩方法的存在来确定文件的恶意代码。

公开(公告)号：KR100960120B1

公开(公告)日：2010-05-27

申请号：KR1020070132806

申请日：2007-12-17

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  오진태 ,  장종수 ,  손승원

IPC: H04L12/26

CPC classification number: H04L63/0263 ,  G06F17/30985 ,  H04L63/1408

Abstract: 본 발명은 시그니처 스트링 저장 메모리 최적화방법과 그 메모리 구조 및 시그니처 스트링 패턴 매칭방법에 관한 것이다. 본 발명은 시그니처를 서브스트링 단위로 토큰화하고 토큰화된 서브스트링을 내부메모리 블록과 외부메모리 블록에 저장함으로서 메모리 저장패턴을 최적화하고, 유입데이터와 시그니처 패턴 매칭이 효과적으로 이루어지도록 하는 효과가 있다.
시그니처 스트링, 토큰, 패턴 매칭

公开(公告)号：KR1020090055669A

公开(公告)日：2009-06-03

申请号：KR1020070122412

申请日：2007-11-29

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  윤승용 ,  최양서 ,  김대원 ,  김익균 ,  오진태 ,  장종수

IPC: G06F11/00

Abstract: A malware malicious software device for detecting and a method thereof including the execution file analyzer classifying layer and a malware malicious software classification machine detecting one or more malware malicious software are provided to measure the degree of byte distribution similarity of the execution file layer. An execution file analyzer(10) classifies a class according to the filed section of the execution file by analyzing the execution file. The execution file analyzer measures the byte distribution toward the field area of each layer. The malware malicious software classification unit(20) detects one or more malware malicious software based on the byte distribution of the field area.

Abstract translation: 提供用于检测的恶意软件恶意软件设备及其方法，包括执行文件分析器分类层和检测一个或多个恶意软件恶意软件的恶意软件分类机，以测量执行文件层的字节分布相似度。 执行文件分析器（10）通过分析执行文件来分类根据执行文件的归档部分的类。 执行文件分析器测量朝向每层的场区域的字节分布。 恶意软件分类单元（20）根据字段区域的字节分布检测一个或多个恶意软件恶意软件。

公开(公告)号：KR1020090052596A

公开(公告)日：2009-05-26

申请号：KR1020070119190

申请日：2007-11-21

Applicant: 한국전자통신연구원

Inventor： 최양서 ,  김익균 ,  김병구 ,  윤승용 ,  김대원 ,  오진태 ,  장종수

IPC: G06F11/30 ,  G06F11/08 ,  G06F11/00

CPC classification number: G06F21/562 ,  G06F21/56

Abstract: 본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일