公开(公告)号：KR100651755B1

公开(公告)日：2006-12-01

申请号：KR1020050116589

申请日：2005-12-01

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/26

Abstract: A network traffic state display device using traffic-spectrum and a method thereof are provided to decide on an abnormal state which deteriorates the performance of a network by using flow occupancy ratios for each traffic characteristic, and to detect abnormal traffic or harmful traffic that causes the abnormal state, then to automate such a process by a program, thereby quickly coping with the abnormal state without intervention of a manager. A traffic characteristic extractor(110) calculates occupancy ratios of micro-flows and macro-flows which have overall flows as a population, according to each traffic characteristic by referring to traffic characteristic traffic information of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios in spectrum type, and provides the displayed ratios as a network-spectrum, a port-spectrum, a host-spectrum, and a protocol-spectrum. A traffic abnormality decider(130) decides whether an abnormal state of a network occurs by referring to the spectra, and if the abnormal state occurs, the decider(130) detects a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state to report the detected results.

Abstract translation: 提供使用业务频谱的网络业务状态显示设备及其方法，以通过使用每个业务特性的流量占用率来判定恶化网络性能的异常状态，并且检测导致该业务的异常业务或有害业务 异常状态，然后通过程序使这个过程自动化，从而在没有管理者干预的情况下快速应对异常状态。 业务量特征提取器（110）通过参考协议的业务量特征业务量信息，发送/接收主机地址，端口，根据每个业务量特征来计算总体上作为总体流量的微流和宏流的占用率 网络地址由外部流量信息收集器收集，并存储计算出的值。 业务状态显示（120）以频谱类型显示所计算和存储的占用率，并将所显示的比率提供为网络频谱，端口频谱，主机频谱和协议频谱。 业务异常判定器（130）通过参考频谱来判定是否出现网络的异常状态，并且如果发生异常状态，则判定器（130）检测异常状态的类型和异常业务或有害业务， 异常状态来报告检测结果。

公开(公告)号：KR100651749B1

公开(公告)日：2006-12-01

申请号：KR1020050084659

申请日：2005-09-12

Applicant: 한국전자통신연구원

Inventor： 방효찬 ,  김현주 ,  김건량 ,  김진오 ,  이수형 ,  장범환 ,  김동영 ,  손선경 ,  나중찬 ,  장종수

IPC: H04L12/22 ,  H04L12/24 ,  H04L12/28

Abstract: A method for detecting unknown malicious traffic and a device therefor are provided to analyze and visually express relation between a lot of event information generated by malicious traffic such as a worm virus, thus emergence of the worm virus is exactly detected while spread status is intuitively and easily perceived. Analysis target data is periodically collected from traffic flow data received from equipment installed in a network, asset information and vulnerability information of the network, and alarm data which detects intrusion through the network(10). Alarm data for detection of substantially threatening intrusion is extracted according to association between system vulnerability information within the vulnerability information and an address within the asset information and destination port information and a destination address included within the alarm data(20). Traffic abnormality status is extracted by sensing the current state of traffic generation of an infected system, the current state of file transmission traffic flows and directivity of traffic flows, and the current state of access to the destination address of the alarm data extracted as being substantially threatened(30,40).

Abstract translation: 提供了一种检测未知恶意流量的方法及其装置，用于分析和直观地表达恶意流量（如蠕虫病毒）产生的大量事件信息之间的关系，从而在传播状态直观的情况下准确检测到蠕虫病毒的出现， 容易感知。 分析目标数据周期性地从安装在网络中的设备接收到的交通流数据，网络的资产信息和漏洞信息以及通过网络（10）检测入侵的警报数据中收集。 根据漏洞信息内的系统漏洞信息与资产信息和目的地端口信息内的地址以及报警数据（20）内包括的目的地地址之间的关联，提取用于检测实质性威胁入侵的报警数据。 通过感测受感染系统的流量生成的当前状态，文件传输业务流的当前状态和业务流的方向性以及当前提取的报警数据的目的地地址的当前状态，提取业务异常状态 威胁（30,40）。

公开(公告)号：KR102170160B1

公开(公告)日：2020-10-28

申请号：KR1020170076658

申请日：2017-06-16

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  나중찬 ,  손선경 ,  전부선 ,  허영준 ,  강동호 ,  김용균 ,  나재훈 ,  이성현 ,  최병철

IPC: H04L29/06

公开(公告)号：KR102112587B1

公开(公告)日：2020-05-19

申请号：KR1020150039004

申请日：2015-03-20

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  허영준

IPC: H04L29/06 ,  H04L12/26

公开(公告)号：KR101977731B1

公开(公告)日：2019-05-14

申请号：KR1020130034526

申请日：2013-03-29

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  강동호 ,  김병구 ,  나중찬 ,  김익균

IPC: H04L12/22 ,  H04L12/26

公开(公告)号：KR1020170088083A

公开(公告)日：2017-08-01

申请号：KR1020160007975

申请日：2016-01-22

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  강동호 ,  김병구 ,  나중찬 ,  손선경 ,  전부선 ,  최병철

IPC: H04L1/00

Abstract: 데이터신뢰성향상을위한단방향전송장치및 그방법이개시된다. 본발명에따른단방향전송장치는안전영역에위치한송신호스트로부터수신된전송데이터의전송에러를정정하고, 상기전송에러정정된전송데이터를부호화하는단방향송신부, 그리고부호화된상기전송데이터의전송에러를정정하고, 상기전송데이터를복호화하여, 비안전영역에위치한수신호스트로복호화된상기전송데이터를전송하는단방향수신부를포함한다.

Abstract translation: 公开了一种用于改善数据可靠性的单向传输设备及其方法。 根据本发明的单向传输设备包括：单向传输单元，用于校正从位于安全区域中的传输主机接收的传输数据的传输错误，并对经传输错误校正的传输数据进行编码; 以及单向接收器，用于解码传输数据并将解码的传输数据传输到位于非安全区域中的接收主机。

公开(公告)号：KR1020160112750A

公开(公告)日：2016-09-28

申请号：KR1020150039004

申请日：2015-03-20

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  강동호 ,  나중찬 ,  손선경 ,  허영준

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L63/02 ,  H04L43/028 ,  H04L43/18

Abstract: 본발명의실시예에따른패킷감시방법은서버및 제어장치사이에서송수신되는통신패킷을수신하는단계, 수신된통신패킷보다이전에수신된통신패킷들의제어정보를포함하는이력테이블및 수신된통신패킷의제어정보를기반으로수신된통신패킷의비정상여부를판별하는단계, 및판별결과에따라보안동작을수행하는단계를포함한다.

Abstract translation: 根据本发明的实施例，一种包装监视方法包括：接收在服务器和控制装置之间发送和接收的通信包的步骤; 基于包含比接收到的通信分组更早接收到的通信分组的控制信息的历史表和接收到的通信分组的控制信息，判定接收到的通信分组是否异常的步骤; 以及根据确定结果执行安全操作的步骤。

公开(公告)号：KR1020150110065A

公开(公告)日：2015-10-02

申请号：KR1020140033870

申请日：2014-03-24

Applicant: 한국전자통신연구원

Inventor： 김병구 ,  허영준 ,  강동호 ,  손선경 ,  나중찬

IPC: H04L12/26 ,  H04L12/22

CPC classification number: H04L63/1408

Abstract: 본발명의일 실시예에따른제어센터와적어도하나의지역제어네트워크를포함하는제어시스템의인트라넷보호시스템은, 상기제어센터에포함되는악성코드탐지장치; 및상기제어센터와상기지역제어네트워크의연결지점에위치하는실행파일모니터링에이전트를포함하고, 상기실행파일모니터링에이전트는상기지역제어네트워크내부또는상기제어센터와상기지역제어네트워크사이에서교환되는패킷으로부터실행파일정보를생성하여상기악성코드탐지장치로전송하고, 상기악성코드탐지장치는상기수신된실행파일정보에기초하여해당실행파일의악성코드감염여부를판단할수 있다.

Abstract translation: 根据本发明的实施例的具有至少一个本地控制网络和控制中心的控制系统的内部网保护系统包括包括控制中心的恶性代码; 以及位于本地控制网络和控制中心的连接点的执行文件监视代理。 执行文件监视代理从本地控制网络与控制中心或本地控制网络内部交换的数据包生成执行文件信息，并将其发送到恶意代码。 恶性代码检测装置可以基于接收到的执行文件信息来确定对应的执行文件的恶性代码的感染位置。

公开(公告)号：KR1020150081889A

公开(公告)日：2015-07-15

申请号：KR1020140001838

申请日：2014-01-07

Applicant: 한국전자통신연구원

Inventor： 허영준 ,  손선경 ,  나중찬 ,  강동호 ,  김병구

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L29/06551 ,  H04L43/00

Abstract: 본발명의일 실시예에따른제어네트워크침해사고탐지장치는제어네트워크를통해제어설비들과연결되는제어네트워크침해사고탐지장치에있어서, 상기제어네트워크를통해수집되는패킷을파싱하여플로우정보를추출하는플로우정보추출부, 상기플로우정보를이용하여플로우테이블을생성하는플로우정보관리부, 상기플로우테이블에저장된플로우정보를분석하여플로우패턴정보를생성하는플로우패턴정보생성부, 상기네트워크를통해상기제어설비들로부터설정정보를수집하는설정정보수집부, 및상기플로우정보관리부로부터전달되는상기플로우정보및 상기플로우패턴정보생성부로부터전달되는상기플로우패턴정보및 상기설정정보수집부로부터전달되는상기설정정보를이용하여상기플로우정보에대응되는플로우가정상인지여부를판단하는판단부를포함한다.

Abstract translation: 根据本发明的一个实施例，一种用于检测通过控制网络入侵连接到控制设备的控制网络的设备，包括：流信息提取单元，解析经由控制网络收集的数据包以提取流信息; 流信息管理单元，通过使用流信息生成流表; 流程图信息生成单元，分析存储在流表中的流信息，生成流图案信息; 设置信息收集单元，经由网络从控制设备收集设置信息; 以及确定单元，通过使用从流信息管理单元发送的流信息，从流图案信息生成单元发送的流图案信息和从设置信息收集发送的设置信息来确定与流信息相对应的流是否正常 单元。

公开(公告)号：KR1020150021281A

公开(公告)日：2015-03-02

申请号：KR1020130098442

申请日：2013-08-20

Applicant: 한국전자통신연구원

Inventor： 손선경

IPC: H04L12/26 ,  H04L12/22

CPC classification number: H04L63/1416 ,  H04L43/04

Abstract: 본 발명은 동적 이상징후 탐지 시스템에 관한 것으로, 네트워크 트래픽을 실시간으로 수집하고, 수집한 네트워크 트래픽으로부터 이상징후 탐지를 위한 분석 알고리즘의 수행에 필요한 특징 인자를 추출하는 트래픽 수집 모듈; 및 기 결정된 기본 분석 알고리즘 및 하나 이상의 보조 분석 알고리즘을 사용하여 상기 트래픽 수집 모듈에 의해 수집된 네트워크 트래픽을 분석하여 이상징후를 탐지하고, 각 분석 알고리즘별 탐지 결과의 신뢰도를 계산하며, 탐지 결과의 신뢰도가 가장 높은 분석 알고리즘을 다음 분석 주기의 기본 분석 알고리즘으로 채택하는 이상징후 탐지 모듈을 포함하여 구성된다.

Abstract translation: 本发明涉及一种动态异常事件检测系统，包括：业务采集模块，用于实时收集网络流量，提取操作分析算法所需的关键参数，从收集的网络流量中检测异常事件; 以及异常事件检测模块，用于通过使用预定的基本分析算法和一个或多个辅助算法分析由交通收集模块收集的网络流量来检测异常事件，并计算每个分析算法的检测结果的可靠性，以选择其中的分析算法 作为下一个分析周期的基本分析算法，可靠性是最高的。