公开(公告)号：KR1020090045992A

公开(公告)日：2009-05-11

申请号：KR1020070111879

申请日：2007-11-05

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  김영호 ,  백광호 ,  김기영

IPC: H04L12/22 ,  H04L9/00

CPC classification number: H04L63/0227 ,  G06F21/6263 ,  G06F2221/2101 ,  H04L63/10 ,  H04L63/1466

Abstract: 개인 휴대 단말기에서 접근 상황분석을 통한 중요정보 외부유출 차단 시스템 및 방법이 개시되어 있다. 중요정보 외부유출 차단 시스템은 개인정보 유출방지 정책 정보를 입력받아 복수의 개인 정보 유출 방지 규칙들로 분해하여 각 모듈로 전송하는 개인 정보 관리기; 규칙 1에 해당하는 패킷을 감지하면, 접근 상황정보분석을 통해 상황 정보를 전송하는 상황 분석기; 상황 정보를 수신받아, 패킷 분석을 통해 외부로 전송되는 패킷을 감시하여, 규칙 2에 해당하는 패킷을 감지하면, 필터링 정보를 전송하는 패킷 분석기; 및 필터링 정보를 수신받아 규칙3에 해당하는 패킷에 대한 통과/차단을 결정하는 개인 정보 유출 방지기를 포함한다. 따라서, 단말기는 개인 정보 유출 방지 규칙들에 따라 접근 상황정보분석 및 패킷 분석 기능을 통해 파일과 프로세스의 중요정보의 외부유출을 차단할 수 있다.
상황분석, 동적패킷분석, 개인정보유출방지, 접근제어, 네트워크 보안

公开(公告)号：KR100785790B1

公开(公告)日：2007-12-13

申请号：KR1020060081840

申请日：2006-08-28

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  임재덕 ,  김환국 ,  류승호 ,  김영호 ,  김기영

IPC: H04L12/26 ,  H04L12/22

CPC classification number: H04L63/1416 ,  H04L61/2592

Abstract: An intrusion detection supporting device for tunneled packets under IPv4(Internet Protocol version 4)/IPv6 mixed environment and a method therefor are provided to perform intrusion detection for tunneled packets under tunneling environment to an IPv4 network from an IPv6 network and IPv6 tunneling in the IPv4 network, thus intrusion detection for the tunneled packets is available. A decider(110) decides whether received packets are tunneled. If so, a packet converter(120) converts the packets into packet types before being tunneled, and outputs the converted packets to an intrusion detection system, depending on in which part of IPv4 and IPv6 networks the converted packets are included. An alarm collector(140) collects intrusion alarms for the converted packets. A packet manager(130) generates alarm/correspondent information of the received packets based on the intrusion alarms and conversion information on the received packets.

Abstract translation: 提供IPv4（Internet Protocol Version 4）/ IPv6混合环境下的隧道包入侵检测支持设备及其方法，以便在隧道环境下对IPv6网络中的IPv4网络和IPv4中的IPv6隧道进行入侵检测 网络，因此隧道报文的入侵检测可用。 决定器（110）决定接收的分组是否被隧道传送。 如果是这样，则分组转换器（120）在被隧道化之前将分组转换成分组类型，并且根据IPv4和IPv6网络中包含转换的分组的哪一部分将转换的分组输出到入侵检测系统。 报警收集器（140）收集转换的数据包的入侵报警。 分组管理器（130）基于接收到的分组的入侵报警和转换信息，生成接收到的分组的报警/通信信息。

公开(公告)号：KR100759819B1

公开(公告)日：2007-09-18

申请号：KR1020060047542

申请日：2006-05-26

Applicant: 한국전자통신연구원

Inventor： 류승호 ,  정보흥 ,  김영호 ,  임재덕 ,  김환국 ,  김기영 ,  장종수

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L63/1416 ,  H04L61/6059 ,  H04L69/22

Abstract: An apparatus and a method for inspecting the extension header of an IPv6(Internet Protocol version6) packet are provided to enable a user to perform inspection for a packet as the user wants by enabling rule technique for inspecting the extension header of the IPv6 packet and apply the rule technique to invasion detection, invasion interception, and a fire wall. An apparatus for inspecting the extension header of an IPv6(Internet Protocol version6) packet(110) comprises the followings: a rule representing unit(10) which represents an inspection rule including at least one inspection condition for the extension header; and an inspection unit(12) which inspects the extension header of the IPv6(Internet Protocol version6) packet according to the inspection rule. The inspection rule is represented by a tag including an extension header type identifier, a comparing item identifier of the extension header, and a comparing expression for inspecting the comparing item.

Abstract translation: 提供了一种用于检查IPv6（因特网协议版本6）分组的扩展报头的装置和方法，以使用户能够通过启用规则技术来检查IPv6分组的扩展报头并应用 入侵检测，入侵拦截和防火墙的规则技术。 一种用于检查IPv6（因特网协议版本6）分组（110）的扩展报头的装置包括以下：表示单元（10）的规则，其表示检查规则，其包括用于扩展报头的至少一个检查条件; 以及根据检查规则检查IPv6（因特网协议版本6）分组的扩展报头的检查单元（12）。 检查规则由包括扩展头类型标识符，扩展头的比较项标识符和用于检查比较项的比较表达式的标签表示。

公开(公告)号：KR1020070024957A

公开(公告)日：2007-03-08

申请号：KR1020050080628

申请日：2005-08-31

Applicant: 한국전자통신연구원

Inventor： 류승호 ,  김기영 ,  정보흥 ,  한민호 ,  임재덕 ,  김영호

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/70

Abstract: An apparatus and a method for intercepting packets are provided to carry out packet processing, such as packet interception, under an IPv6 network environment just as a network manager intended, even though the address of a node within an internal network, a state of the node or an address prefix is changed. An apparatus for intercepting packets comprises a network address management part(210), a host address management part(220), a receiving part(230), an updating part(240), and a packet processing part(250). The network address management part(210) intercepts and manages the packets supplied to an internal network from an external network. The host address management part(220) intercepts or manages packets in transmitting packets to a host from an external network. The receiving part(230), in case a network address is changed into the IP address of a host in an internal network or a network prefix is changed, receives an IP address change notification or a network prefix change notification. The updating part(240) updates the network address management part(210) and the host address management part(220) when the receiving part(230) receives the IP address change notification or the network prefix change notification. In transmitting packets to an internal network from an external network, the packet processing part(250) intercepts packets if the validity of the network prefix expired. However, in case the network prefix is valid, the packet processing part(250) transmits packets on the basis of the updated network address management part(210).

Abstract translation: 提供一种用于截取分组的装置和方法，用于在IPv6网络环境下像网络管理者一样进行分组处理，例如分组拦截，即使内部网络中的节点的地址，节点的状态 或更改地址前缀。 拦截分组的装置包括网络地址管理部分（210），主机地址管理部分（220），接收部分（230），更新部分（240）和分组处理部分（250）。 网络地址管理部分（210）拦截并管理从外部网络提供给内部网络的分组。 主机地址管理部分（220）拦截或管理从外部网络向主机发送分组的分组。 在网络地址改变为内部网络中的主机的IP地址或网络前缀的情况下，接收部分（230）被改变，接收IP地址改变通知或网络前缀改变通知。 当接收部分（230）接收到IP地址改变通知或网络前缀改变通知时，更新部分（240）更新网络地址管理部分（210）和主机地址管理部分（220）。 在从外部网络向内部网络发送分组时，如果网络前缀的有效性已过期，则分组处理部分（250）拦截分组。 然而，在网络前缀有效的情况下，分组处理部（250）基于更新后的网络地址管理部（210）发送分组。

公开(公告)号：KR100687746B1

公开(公告)日：2007-02-27

申请号：KR1020050069079

申请日：2005-07-28

Applicant: 한국전자통신연구원

Inventor： 임재덕 ,  정보흥 ,  한민호 ,  류승호 ,  김영호 ,  김기영

IPC: H04L12/28 ,  H04L29/06

Abstract: 본 발명은 주소 충돌 방지 장치 및 방법에 관한 것으로, N개의 고정적인 주소를 할당하는 주소 관리 서버에서 주소 충돌을 방지하기 위한 장치에서, 프로미스큐오스 모드를 이용하여 수신한 패킷의 헤더를 기초로 패킷이 네이버 요청(NS) 메세지를 포함한 경우 상기 패킷을 수신하는 수신부; 수신된 네이버 요청(NS) 메세지 내에 포함된 사용하고자 하는 주소와 N 개의 고정적인 주소가 일치하는지 여부를 판단하는 유일성 판단부; N개의 고정적인 주소 중 아직 할당되지 않은 주소와 사용하고자 하는 주소가 일치하는 경우, 사용하고자 하는 주소가 중복됨을 표시하는 네이버 선언(NA) 메세지를 전송하는 충돌알림부;를 포함한다. 이로써 비상태기반 주소 자동 할당 기법을 통해 다양한 이동 단말과 가전등의 네트워크 연결시 충돌을 방지 한다.
주소 충돌 방지, 주소 자동할당

公开(公告)号：KR100656403B1

公开(公告)日：2006-12-11

申请号：KR1020050113849

申请日：2005-11-26

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  류승호 ,  임재덕 ,  김영호 ,  김기영

IPC: H04L12/22

Abstract: An intrusion detecting method in a network system is provided to perform pattern matching by re-assembling a fragmented packet, currently arriving, with continuous fragmented packets which has previously arrived and stored in a packet buffer, thereby predicting a size of a search buffer necessary for pattern reassembling and according enabling an administrator to easily manage the search buffer. An intrusion detecting method in a network system comprises the following steps of: merging a payload part of a fragmented packet, which currently arrives, with contents stored in a packet buffer and storing the merged contents in a search buffer(220); initializing the packet buffer if the fragmented packet, currently arriving, is the last fragmented pack(250); copying a part, set as a cut-off area, to the packet buffer and updating the contents of the packet buffer if the fragmented packet, which currently arrives, is not the last fragmented pack(240); and performing a predetermined pattern matching algorithm on the contents stored in the search buffer and searching whether a malicious code has intruded or not(260).

Abstract translation: 提供了一种网络系统中的入侵检测方法，用于通过将当前到达的碎片分组重新组装成先前到达并存储在分组缓冲器中的连续碎片分组来执行模式匹配，从而预测 模式重新组合，并使管理员能够轻松管理搜索缓冲区。 网络系统中的入侵检测方法包括以下步骤：将当前到达的分段分组的有效载荷部分与存储在分组缓冲区中的内容合并，并将合并的内容存储在搜索缓冲区中（220）; 如果当前到达的分段分组是最后的分段包（250），则初始化分组缓冲器; 如果当前到达的分段数据包不是最后一个分段数据包（240），则将设置为截止区域的部分复制到分组缓冲器并更新分组缓冲器的内容; 以及对存储在搜索缓冲器中的内容执行预定的模式匹配算法，并搜索恶意代码是否已经侵入（260）。

公开(公告)号：KR1020060007581A

公开(公告)日：2006-01-26

申请号：KR1020040056415

申请日：2004-07-20

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  류승호 ,  김정녀 ,  장종수

IPC: H04L12/22

CPC classification number: H04L63/1408 ,  G06F21/55

Abstract: 패킷 침입 탐지 규칙 간략화 장치 및 그 방법과 침입 탐지 장치 및 그 방법이 개시된다. 적어도 하나 이상의 침입 탐지 규칙들의 검사 조건들을 검사 항목별로 재배열하고, 동일한 검사 항목내의 동일한 검사 조건들을 그룹화한 후 침입 탐지 규칙들의 검사 항목 및 검사 순서를 만족하는 검사 조건들의 연결 구조로 이루어진 그룹 규칙을 생성하고, 그룹 규칙의 연결 구조에서 검사 시작 위치에 존재하는 검사 조건들로 이루어진 공통 규칙을 생성한다. 그리고, 공통 규칙을 기초로 패킷 침입 탐지를 수행하고, 그룹 규칙을 기초로 패킷 침입 탐지를 수행한다. 이로써, 간략화 및 그룹화된 패킷 침입 탐지 규칙들을 이용하여 침입 탐지 과정의 부화를 감소할 수 있다.
침입 탐지 규칙, 그룹 규칙, 공통 규칙

公开(公告)号：KR100544674B1

公开(公告)日：2006-01-23

申请号：KR1020030079581

申请日：2003-11-11

Applicant: 한국전자통신연구원

Inventor： 정보흥 ,  류승호 ,  김정녀 ,  손승원 ,  박치항

IPC: G06F15/00

CPC classification number: H04L63/0263 ,  G06F21/55 ,  H04L63/1416 ,  H04L63/1441

Abstract: 1. 청구범위에 기재된 발명이 속하는 기술분야
본 발명은, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 변경 방법 에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 커널 내에서 침입탐지 과정에 이용되는 침입탐지규칙의 복사본을 동적으로 관리하여, 사용자(User) 영역으로부터의 침입탐지규칙 변경 요청에 따라 먼저 상기 복사본에 대하여 변경 작업을 수행한 후, 현재 적용중인 침입탐지규칙과 교체(포인터 교환)함으로써, 침입탐지규칙의 변경시에도 침입탐지 과정의 연속성을 보장하기 위한, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 변경 방법을 제공하는데 그 목적이 있음.
3. 발명의 해결 방법의 요지
본 발명은, 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적 관리 방법에 있어서, 커널 영역에서 침입탐지규칙의 복사본을 생성하는 제 1 단계; 사용자 영역으로부터의 침입탐지규칙의 변경 요청에 따라 상기 침입탐지규칙의 복사본을 변경하는 제 2 단계; 및 상기 침입탐지규칙을 가리키는 포인터의 값과 상기 변경된 침입탐지규칙의 복사본을 가리키는 포인터의 값을 서로 교환하여 현재 적용중인 침입탐지규칙을 변경하는 제 3 단계를 포함함.
4. 발명의 중요한 용도
본 발명은 침입탐지시스템 등에 이용됨.
침입탐지시스템, 커널 기반, 침입탐지규칙 동적 변경, 전역변수, 복사본

公开(公告)号：KR1020040055511A

公开(公告)日：2004-06-26

申请号：KR1020020082204

申请日：2002-12-21

Applicant: 한국전자통신연구원

Inventor： 고종국 ,  정보흥 ,  조수형 ,  류승호 ,  김정녀

IPC: G06F15/00

Abstract: PURPOSE: A method for managing a security attribute of system resources is provided to quickly obtain/set security information and efficiently use a security information file in order to manage the security information of a kernel level. CONSTITUTION: At the initialization of a system, the contents of a security information file are loaded to a preset area on a memory. The security information is stored by being indexed to the memory connection list(S304). In case that a security information obtaining request is present in the kernel level, the corresponding security information is accessed by searching the memory connection list(S306).

Abstract translation: 目的：提供一种用于管理系统资源的安全属性的方法，以快速获取/设置安全信息，并有效地使用安全信息文件，以便管理内核级别的安全信息。 规定：在系统初始化时，将安全信息文件的内容加载到内存中的预设区域。 通过索引到存储器连接列表来存储安全信息（S304）。 在核心级别中存在安全信息获取请求的情况下，通过搜索存储器连接列表来访问对应的安全信息（S306）。