-
公开(公告)号:KR1020110060534A
公开(公告)日:2011-06-08
申请号:KR1020090117143
申请日:2009-11-30
Applicant: 한국전자통신연구원
CPC classification number: H04L67/14 , H04L63/0227
Abstract: PURPOSE: A session management method is provided to secure wire-speed in session tracking and managing even on a Giga network having higher complexity. CONSTITUTION: A management unit(500) constitutes the entry of a single packet and a plurality of fraction packets in a session table(300) and a fragment table(400). The session table comprises an entry composed for the status information of a packet for session connection and session close and a single packet which is not fragmented. The fragment table comprises entries composed for the status information of 1 to N fragment packets.
Abstract translation: 目的:提供会话管理方法,即使在具有较高复杂度的Giga网络上,也可以保证会话跟踪和管理中的线速。 构成:管理单元(500)构成会话表(300)和片段表(400)中的单个分组和多个分数分组的输入。 会话表包括用于会话连接和会话关闭的分组的状态信息和不分段的单个分组的条目。 片段表包括1〜N个片段分组的状态信息。
-
公开(公告)号:KR1020110057628A
公开(公告)日:2011-06-01
申请号:KR1020090114103
申请日:2009-11-24
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1408
Abstract: PURPOSE: A correlation analysis apparatus and method thereof based on malicious file informaiton on network are provided to recognize a malicious code path and scenario based on file informaiton that is collected on network. CONSTITUTION: A scenario definition table(104) is composed on the malicious code propagation path of one or more scenarios. A correlation definition table(106) is composed of a correlation condition based on traffic characteristic. A post decision process unit produces the malicious probability value about each concern file through comparison between the traffic information table and the scenario definition table.
Abstract translation: 目的:提供一种基于网络恶意档案信息的相关分析设备及方法,以识别网络上收集的文件信息的恶意代码路径和场景。 构成:场景定义表(104)由一个或多个场景的恶意代码传播路径组成。 相关定义表(106)由基于业务特性的相关条件组成。 后期决策处理单元通过流量信息表和场景定义表之间的比较,产生关于每个关注文件的恶意概率值。
-
公开(公告)号:KR100979200B1
公开(公告)日:2010-08-31
申请号:KR1020080074726
申请日:2008-07-30
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/1441
Abstract: 본 발명은 보안정보, 및 네트워크 구성정보를 GIS(Grographic Information System) 기반의 지리정보와 매핑하여 표시함으로써 정확한 위치에 네트워크 정보를 표현 가능하며, 네트워크 관리자가 별도의 작업을 통해 지도상에 네트워크 장치, 및 상황을 표시할 필요가 없도록 하는 GIS 기반의 네트워크 정보 표시장치에 관한 것이다. 이를 위해 본 발명은, 외부 네트워크 장치로부터 네트워크 정보를 수신하며, GIS 기반의 지리정보를 구비하고, 위치정보에 응답하여 위치정보에 해당하는 지리정보를 생성하는 지리정보 처리모듈, 및 위치정보에 대응되는 지리정보에 네트워크 정보를 매핑하여 표현하며, 보안 문제를 유발하는 패킷의 공격 위치, 경유지, 및 목표위치를 라인으로 연결하고, 패킷의 공격 유형과 위험 수준에 따라 라인의 폭과 색상을 미리 정해진 폭과 색상으로 가변하여 네트워크 정보를 직관적으로 표현하는 네트워크 정보 처리모듈을 포함한다.
GIS, 네트워크 정보, 보안 이벤트, 트래픽, 지리정보-
公开(公告)号:KR1020090113745A
公开(公告)日:2009-11-02
申请号:KR1020080100299
申请日:2008-10-13
Applicant: 한국전자통신연구원
Abstract: PURPOSE: A network attack location searching method and system using a spy-bot agent is provided to detect and trace the attacker over wide place by obtaining the packet information of the packet which accesses the each host from a remote place. CONSTITUTION: A back tracking server(300) detects one or more dangerous host through host scanning. A spy-bot management server(200) transmits the spy-bot agents(100) to the detected dangerous host. The spy-bot management server obtains packet information of the packet which accesses the each dangerous host through spy-bot agents. The back tracking server references the obtained packet information and reversely traces the starting point of the hacking code.
Abstract translation: 目的:提供使用间谍机构代理的网络攻击位置搜索方法和系统,通过从远程地点获取每个主机访问的数据包的数据包信息,在广泛的位置检测和跟踪攻击者。 构成:后跟踪服务器(300)通过主机扫描来检测一个或多个危险的主机。 间谍机器人管理服务器(200)将间谍机构代理(100)发送到检测到的危险主机。 间谍机器人管理服务器通过间谍机构代理获取访问每个危险主机的数据包的数据包信息。 后跟踪服务器引用获取的数据包信息,并反向跟踪黑客代码的起点。
-
公开(公告)号:KR100856924B1
公开(公告)日:2008-09-05
申请号:KR1020070022971
申请日:2007-03-08
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L41/22 , H04L43/045 , H04L63/1408
Abstract: An apparatus and a method for displaying a network state are provided to determine an abnormal state which deteriorates the performance of a network by using information about distinct dispersion, entropy, and clustering as a result of a combination of important properties in a traffic event, and detect a harmful traffic or an abnormal traffic. A method for displaying a network state comprises the following steps of: grouping traffics according to a protocol(S100); selecting and combining three of a resource address, a resource port, a destination address, and a destination port, and calculating distinct dispersion and entropy for a remaining element(S200); displaying the calculated distinct dispersion and entropy on a security radar that an angle of a circle is divided into N and a radius of the circle is divided into M(S300); and detecting the abnormality of a network by referring to a displayed radar state and detecting and reporting a harmful traffic or an abnormal traffic which causes an abnormal state(S400).
Abstract translation: 提供一种用于显示网络状态的装置和方法,用于通过使用关于交通事件中的重要属性的组合的结果,通过使用关于不同色散,熵和聚类的信息来确定恶化网络性能的异常状态,以及 检测到有害的流量或异常流量。 一种用于显示网络状态的方法包括以下步骤:根据协议对流量进行分组(S100); 选择和组合资源地址,资源端口,目的地地址和目的地端口中的三个,并为剩余元素计算不同的色散和熵(S200); 在安全雷达上显示计算出的不同色散和熵,将圆的角度分为N和圆的半径分为M(S300); 以及通过参照所显示的雷达状态来检测和检测网络的异常,并检测并报告导致异常状态的有害通信或异常业务(S400)。
-
Patent Agency Ranking
公开(公告)号:KR100786392B1
公开(公告)日:2007-12-17
申请号:KR1020060096570
申请日:2006-09-29
Applicant: 한국전자통신연구원
CPC classification number: G06F17/30283 , G06F17/30401 , G06F17/30539 , G06Q50/26
Abstract: A method for deciding a policy enforcement target of a policy client in a policy-based management framework is provided to rightly and efficiently decide an applicable object resource in case of executing a policy provided from a policy server. A method for deciding a policy enforcement target of a policy client in a policy-based management framework includes the following steps: a step that the policy client confirms capability set of policy information base received from policy serer(101); a step to confirm role-combination of the policy information base received from a policy server(103); a step to search resource satisfying the confirmed capability set and role-combination(105,106); and a step to apply and execute policy received on the searched resource(107).
Abstract translation: 提供了一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法,以在执行从策略服务器提供的策略的情况下正确有效地确定适用的对象资源。 一种用于在基于策略的管理框架中决定策略客户端的策略执行目标的方法包括以下步骤:策略客户端确认从策略策略器(101)接收的策略信息库的功能集合的步骤; 确认从策略服务器(103)接收的策略信息库的角色组合的步骤; 搜索满足确认能力集和角色组合的资源的一个步骤(105,106); 以及在搜索到的资源(107)上应用和执行收到的策略的步骤。
-
公开(公告)号:KR100628296B1
公开(公告)日:2006-09-27
申请号:KR1020030093100
申请日:2003-12-18
Applicant: 한국전자통신연구원
IPC: H04L12/24
CPC classification number: H04L63/1408 , H04L63/1441
Abstract: 네트워크 공격상황 분석방법이 개시된다. 네트워크 침입탐지 경보를 소정의 네트워크 공격상황으로 분류하고 타임슬롯 기반의 카운팅 알고리즘을 이용하여 각각의 네트워크 공격상황의 발생빈도를 카운팅한 후, 발생빈도, 네트워크 침입탐지 경보의 발생빈도에 대한 각각의 네트워크 공격상황의 발생빈도의 비율 또는 발생빈도와 비율의 AND/OR 조합을 기초로 네트워크 공격상황을 분석한다. 이로써, 네트워크의 규모나 침입탐지 경보의 발생량에 비교적 영향을 받지 않고 네트워크 공격 상황을 실시간으로 정확하게 탐지할 수 있다.
네트워크 침입탐지 경보, 네트워크 공격상황, 타임슬롯, 카운팅 알고리즘-
公开(公告)号:KR100609707B1
公开(公告)日:2006-08-09
申请号:KR1020040091574
申请日:2004-11-10
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 를 포함하는 것을 특징으로 하며, 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주며, 또한 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있게 된다.
네트워크 보안, 시각화, 상호 연관성 분석, 트래픽 처리, 보안 이벤트-
公开(公告)号:KR100561628B1
公开(公告)日:2006-03-20
申请号:KR1020030081833
申请日:2003-11-18
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L63/1408
Abstract: 1. 청구범위에 기재된 발명이 속한 기술분야
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법과 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체에 관한 것임.
2. 발명이 해결하려고 하는 기술적 과제
본 발명은, 네트워크상의 각 네트워크 장비로부터 수집한 트래픽 데이터를 네트워크 수준의 전체 트래픽 데이터로 통합하여 이상 트래픽 감지에 이용되는 특성 트래픽 데이터를 추출한 후 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 단시간내에 이상 트래픽을 감지하기 위한, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법 및 상기 방법을 실현시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록메체를 제공하는데 그 목적이 있음.
3. 발명의 해결방법의 요지
본 발명은, 통계적 분석을 이용한 네트워크 수준에서의 이상 트래픽 감지 방법에 있어서, 소정의 시간 간격으로 네트워크의 각 네트워크 장비로부터 트래픽 데이터를 수집하여 네트워크 수준의 전체 트래픽 데이터로 통합하는 제 1 단계; 상기 네트워크 수준의 전체 트래픽 데이터로부터 특성 트래픽 데이터를 추출하는 제 2 단계; 상기 추출한 특성 트래픽 데이터를 정상 상태의 통계적 모델인 특성 트래픽 데이터 프로파일과 비교하여 이상 트래픽 여부를 판단하는 제 3 단계; 및 상기 판 단결과, 이상 트래픽이 아니면 상기 추출한 트래픽 특성 데이터를 이용하여 상기 특성 트래픽 데이터 프로파일을 갱신(업데이트)하고, 이상 트래픽이면 현재 발생한 트래픽의 심각도를 분석하고 상기 분석결과와 이상 트래픽에 대한 정보를 모니터링하는 제 4 단계를 포함한다.
4. 발명의 중요한 용도
본 발명은 네트워크 보안 시스템 등에 이용됨.
이상 트래픽 감지, 특성 트래픽 데이터, 특성 트래픽 데이터 프로파일, 네트워크 수준, 통계적 분석-
公开(公告)号:KR100456635B1
公开(公告)日:2004-11-10
申请号:KR1020020070686
申请日:2002-11-14
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1458
Abstract: A system for defending against a distributed denial-of-service attack includes an intrusion detection system, an active security management system and an active security node. The intrusion detection system generates alert data if a denial-of-service attack is detected. The active security management system manages a domain, analyzes the alert data, generates and transmits a backtracking sensor in a case of the distributed denial-of-service attack, transmits mobile sensors to a host backtracked by the backtracking sensor to remove a master or an agent program within the host; and generates and transmits a backtracking sensor by using an IP address of a host that has transmitted a packet to the removed master or agent program. The active security node executes the transmitted backtracking sensor to backtrack an attacking host of the distributed denial-of-service attack and, if the backtracked host is determined as a real attacker, intercepts a traffic generated from the real attacker.
Abstract translation: 防范分布式拒绝服务攻击的系统包括入侵检测系统,主动安全管理系统和主动安全节点。 如果检测到拒绝服务攻击,入侵检测系统会生成警报数据。 主动安全管理系统管理域,分析警报数据,在发生分布式拒绝服务攻击的情况下生成并发送回溯传感器,将移动传感器发送给由回溯传感器回溯的主机以移除主或者 主机内的代理程序; 并且通过使用已经发送分组的主机的IP地址到去除的主或代理程序来生成并发送回溯传感器。 主动安全节点执行发送的回溯传感器以回溯分布式拒绝服务攻击的攻击主机,并且如果回溯主机被确定为真正的攻击者,则拦截真正的攻击者产生的通信量。
-
-
-
-
-
-
-
-
-
Search Results
163
records
(took 0.027 seconds)
