-
公开(公告)号:KR1020140057948A
公开(公告)日:2014-05-14
申请号:KR1020120124342
申请日:2012-11-05
Applicant: 한국전자통신연구원
Inventor: 윤승용
CPC classification number: H04L63/1458 , H04L63/101 , H04L63/1416 , H04L67/02
Abstract: The present invention relates to an apparatus and a method for coping with an application layer distributed denial-of-service attack. The apparatus for coping with the application layer distributed denial-of-service attack comprises a packet acquiring part for acquiring a first packet directed from a client to a server after setting an HTTP session connection, if processing an HTTP packet is performed; a packet distinguishing part for distinguishing whether the first packet acquired in the packet acquiring part includes a preset request method; and an attack detection part for considering the session connection as an abnormal data transmission behavior and detecting the session connection as the distributed denial-of-service attack, if the first packet does not include the preset request method. Therefore, the apparatus and the method of the present invention are a solution to a problem of a traditional statistical scheme via a simple and clear algorithm; reduce the detection error rate almost to 0%; drastically reduce calculation processes needed for the detection to solve a performance problem; easily protect against even a new HTTP application layer based denial-of-service attack without other special modification; reduce application costs; and can be implemented by using a hardware logic using an FPGA as well as a software.
Abstract translation: 本发明涉及一种用于应对分布式拒绝服务攻击的应用层的装置和方法。 用于处理应用层分布式拒绝服务攻击的装置包括:分组获取部分,用于在设置HTTP会话连接之后获取从客户端指向服务器的第一分组,如果执行了HTTP分组的处理; 分组识别部分,用于区分在分组获取部分中获取的第一分组是否包括预设请求方法; 以及如果第一分组不包括预设请求方法,则考虑会话连接作为异常数据传输行为并检测会话连接作为分布式拒绝服务攻击的攻击检测部分。 因此,本发明的装置和方法是通过简单且清晰的算法解决传统统计方案的问题; 检测误差率几乎降至0%; 大大减少检测所需的计算过程,以解决性能问题; 轻松防止即使是基于新的基于HTTP应用层的拒绝服务攻击而无需其他特殊修改; 降低应用成本; 并且可以通过使用使用FPGA的硬件逻辑以及软件来实现。
-
公开(公告)号:KR1020140011241A
公开(公告)日:2014-01-28
申请号:KR1020130022215
申请日:2013-02-28
Applicant: 한국전자통신연구원
IPC: G06K19/067 , G06K19/07 , H04B1/40
CPC classification number: H04B1/3816 , G06F21/72 , H04B5/0025 , H04W12/06 , H04W12/08
Abstract: A universal subscriber identification module card and a method using the same are disclosed. The universal subscriber identification module card according to the present invention comprises; a USIM chip for user identification of a mobile terminal; a pad makes the USIM chip be inserted into the mobile terminal and be electrically connected to the mobile terminal; and a chip for security which performs a security function in the mobile terminal and use two power terminals provided from the mobile terminal with the USIM chip in common. The USIM chip and the chip for security use different interface and independently perform a user identification function and a security function, therefore the USIM chip and the chip for security are effectively used in the mobile terminal. [Reference numerals] (100) Universal subscriber identification module card; (110) USIM chip; (120) Chip for security
Abstract translation: 公开了通用用户识别模块卡及其使用方法。 根据本发明的通用用户识别模块卡包括: USIM芯片,用于移动终端的用户识别; 垫片将USIM芯片插入移动终端并与移动终端电连接; 以及用于在移动终端中执行安全功能的安全芯片,并且使用从移动终端提供的两个电源终端与USIM芯片相同。 USIM芯片和安全芯片使用不同的接口,独立执行用户识别功能和安全功能,因此USIM芯片和芯片的安全性被有效地用于移动终端。 (附图标记)(100)通用用户识别模块卡; (110)USIM芯片; (120)安全芯片
-
公开(公告)号:KR1020130017333A
公开(公告)日:2013-02-20
申请号:KR1020110079705
申请日:2011-08-10
Applicant: 한국전자통신연구원
Inventor: 윤승용
CPC classification number: H04L63/1458 , G06F21/554 , H04L63/0254
Abstract: PURPOSE: An application layer based slow DDoS(Distributed Denial of Service) attack determination system and a method thereof are provided to effectively detect an application layer based slow layer 7 DDoS attack. CONSTITUTION: A packet collecting unit(110) collects packets in a network. A packet analysis unit(120) extracts one or more header fields from the collected packet. A DDoS attack determining unit(130) determines a DDoS attack from the packet using a session table and a flow table. One or more header fields include protocol information, source IP(Internet Protocol) information, source port information, destination IP information, destination port information, TCP(Transmission Control Protocol) flags information, a sequence number, or window size information. [Reference numerals] (110) Packet collecting unit; (120) Packet parsing unit
Abstract translation: 目的:提供基于应用层的慢DDoS(分布式拒绝服务)攻击确定系统及其方法,以有效地检测基于应用层的慢层7 DDoS攻击。 构成:分组收集单元(110)在网络中收集分组。 分组分析单元(120)从收集的分组提取一个或多个报头字段。 DDoS攻击确定单元(130)使用会话表和流表来确定来自分组的DDoS攻击。 一个或多个报头字段包括协议信息,源IP(因特网协议)信息,源端口信息,目的IP信息,目的端口信息,TCP(传输控制协议)标志信息,序列号或窗口尺寸信息。 (附图标记)(110)分组收集单元; (120)分组解析单元
-
Patent Agency Ranking
公开(公告)号:KR101209214B1
公开(公告)日:2012-12-06
申请号:KR1020080124848
申请日:2008-12-09
Applicant: 한국전자통신연구원
Abstract: 본발명은세션상태추적을통한서비스거부공격방어장치및 방법에관한것으로서, 본서비스거부공격방어장치는, 클라이언트와서버간의패킷전송에따라변경되는세션의상태를추적하여특정상태의세션의수가미리설정된임계치를초과하면, DoS(Denial-of-Service)/DDoS(Distributed Denial-of-service) 공격으로판단하는공격탐지엔진과, 공격탐지엔진에서 DoS/DDoS 공격을탐지하면, 클라이언트로부터새로운패킷의입력시새로운패킷에대응되는세션이이미존재하는지여부에따라패킷의드롭여부를결정하여 DoS/DDoS 공격에대응하는대응엔진을포함한다. 이에의해, 기가급네트워크환경에서선로속도를보장하면서실시간으로세션상태를추적하여 DoS/DDoS 공격발생을신속하게탐지하고, 세션상태에따라패킷을처리하여효과적으로 DoS/DDoS 공격에대응할수 있다.
-
公开(公告)号:KR101003097B1
公开(公告)日:2010-12-21
申请号:KR1020070133772
申请日:2007-12-18
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , G06F21/566
Abstract: 본 발명은 폴리몰픽 쉘코드 탐지방법에 관한 것이다. 본 발명은 유입 데이터로부터 폴리몰픽 쉘코드의 복호화 루틴을 탐지한다. 본 발명은 복호화 루틴이 암호화된 코드의 주소를 엑세스하기 위해 현재 실행 코드 주소를 스택에 저장하고 그 값을 레지스터 테이블에서 이동시키는 과정과 실제 메모리 연산에 사용되는지 여부를 추적한다. 본 발명은 최종적으로 에뮬레이션을 수행하고 그 탐지 정확도를 높인다. 따라서, 본 발명은 폴리몰픽 쉘코드 탐지에 소요되는 시간과 오버헤드를 감소시키고 탐지 정확성을 증가시킨다.
폴리몰픽 쉘코드, 스택, 레지스터-
公开(公告)号:KR100960119B1
公开(公告)日:2010-05-27
申请号:KR1020070132804
申请日:2007-12-17
Applicant: 한국전자통신연구원
IPC: H04L12/26
Abstract: 본 발명은 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치에 관한 것이다. 본 발명은 하드웨어 상에서 유입데이터의 이상탐지가 가능하도록 유입데이터를 패킷단위로 파싱하고 트래픽 특성을 추출한 후에 상기 트래픽 특성관련 데이터를 헤쉬함수를 통해 테이블로 정리한다. 또한 테이블에 정리된 트래픽 특성들이 임계치 이상인지 또는 이하인지 여부에 따라 유입데이터의 비정상 여부를 탐지한 후 그 결과를 하드웨어 기반의 패턴탐지 엔진이나 소프트웨어 기반의 보안엔진과 공유함으로서 유해패킷 탐지의 정밀도를 높일 수 있다.
이상탐지, 오용탐지, 패킷 파싱, 트래픽 특성-
公开(公告)号:KR100942795B1
公开(公告)日:2010-02-18
申请号:KR1020070119190
申请日:2007-11-21
Applicant: 한국전자통신연구원
CPC classification number: G06F21/562 , G06F21/56
Abstract: 본 발명은 악성프로그램 탐지 장치 및 그 방법에 관한 것으로, 실행 가능한 파일의 헤더를 분석하여 해당 파일의 악성프로그램 여부를 판단함으로써, 악성프로그램의 빠른 탐지가 가능하고, 알려지지 않은 악성프로그램에 대해서도 악성프로그램 여부를 예측 및 판단할 수 있어, 악성프로그램으로부터 시스템을 보호하고 보안성을 향상시키는 효과가 있다.
악성프로그램, 악성코드, malware, malicious software, virus, 바이러스, 탐지, PE파일-
公开(公告)号:KR100834570B1
公开(公告)日:2008-06-02
申请号:KR1020060057011
申请日:2006-06-23
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L63/0227 , H04L63/0254 , H04L67/14
Abstract: 본 발명은 상태정보를 보다 효율적으로 생성할 수 있는 세션 테이블 처리 방법을 통하여 실시간으로 상태 기반 패킷 검사를 행할 수 있는 방법 및 이를 위한 장치에 관한 것으로서, 이를 위한 상태 기반 패킷 검사장치는 외부 네트워크로부터 입력되는 패킷의 세션 데이터를 저장하는 세션 테이블, 상기 수신된 패킷으로부터 추출되는 파라미터를 해시하여 상기 패킷에 대응하는 상기 세션 테이블의 해시 포인터를 생성하는 해시키 생성기, 수신된 패킷에 대응하는 세션에 대한 상기 세션 테이블을 검색하는데 사용되는 세션 인식 모듈, 상기 세션 테이블에 세션을 추가하고, 삭제하며, 변경하는 것을 포함하는 상기 세션 테이블을 유지하는데 사용되는 세션 관리 모듈, 및, 수신된 패킷의 방향성에 대한 정보와, 상기 세션 테이블에 저장된 상기 패킷에 대한 엔트리의 헤더정보로부터 상기 패킷에 대응하는 상태 정보를 생성한 다음, 이에 기초하여 상기 수신된 패킷을 검사하도록 동작되는 패킷 검사 모듈을 포함하여 구성된다.
실시간 상태 기반 패킷 검사, 세션 테이블 관리
-
-
-
-
-
-
-
Search Results
68
records
(took 0.028 seconds)
