公开(公告)号：KR100651746B1

公开(公告)日：2006-12-01

申请号：KR1020050110358

申请日：2005-11-17

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  나중찬 ,  김건량 ,  김동영 ,  김진오 ,  김현주 ,  방효찬 ,  이수형 ,  손선경 ,  장종수 ,  손승원

IPC: H04L12/22

Abstract: A network state display device using traffic flow-radar and a method thereof are provided to intuitively display harmful traffic and abnormality which deteriorate the performance of a network by analyzing and extracting predetermined traffic characteristics, thus the current network state can be easily recognized. A traffic characteristic extractor(110) calculates flow occupancy ratios of each traffic characteristic by targeting on overall flows, micro-flows and macro-flows in reference to traffic information on each traffic characteristic of protocols, transmitting/receiving host addresses, ports, and network addresses collected by an external traffic information collector, and stores the calculated values. A traffic state display(120) displays the calculated and stored occupancy ratios of the traffic characteristic flows as dots on a radar. A traffic abnormality decider(130) decides whether a network is abnormal by referring to the radar, and if an abnormal state occurs, the decider(130) detects and reports a type of the abnormal state and abnormal traffic or harmful traffic which causes the abnormal state.

Abstract translation: 提供一种使用交通流量雷达的网络状态显示装置及其方法，以通过分析和提取预定的交通特征来直观地显示损害网络性能的有害交通和异常，因此可以容易地识别当前网络状态。 交通特征提取器（110）通过针对关于协议的每个通信量特征的交通信息，发送/接收主机地址，端口和网络的整体流量，微流量和宏流量来计算每个通信量特性的流量占用率 由外部交通信息收集器收集的地址，并存储计算出的值。 交通状况显示（120）将计算并存储的交通特征流的占用率显示为雷达上的点。 业务异常判定器（130）通过参考雷达判定网络是否异常，并且如果发生异常状态，则判定器（130）检测并报告异常状态的类型和异常业务或导致异常的有害业务 州。

公开(公告)号：KR100628317B1

公开(公告)日：2006-09-27

申请号：KR1020040101086

申请日：2004-12-03

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  손선경 ,  방효찬 ,  이수형 ,  김동영 ,  장범환 ,  김건량 ,  김현주 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1416 ,  G06F21/552 ,  G06F21/85 ,  H04L63/1441

Abstract: 본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지

公开(公告)号：KR100617310B1

公开(公告)日：2006-08-30

申请号：KR1020040077621

申请日：2004-09-25

Applicant: 한국전자통신연구원

Inventor： 김현주 ,  이수형 ,  김진오 ,  장범환 ,  나중찬 ,  장종수

IPC: H04L1/20

CPC classification number: H04L41/5032 ,  H04L41/142 ,  H04L41/145 ,  H04L43/16 ,  H04L63/1425

Abstract: 본 발명에 의한 네트워크 이상 징후 감지 장치는 네트워크 이상 징후 감지 장치는 네트워크상의 적어도 하나 이상의 트래픽 수집 지점에서 수집된 트래픽을 가공하는 전처리부; 상기 트래픽의 특성에 따라 정상 상태의 트래픽을 모델링하는 프로파일러; 상기 트래픽을 기초로 적어도 하나 이상의 임계치를 생성하여 출력하는 분석모델부; 및 상기 네트워크상의 전체 트래픽중에서 상기 트래픽의 상대적 비율과 상기 임계치를 비교하여 상기 네트워크의 이상여부를 판단하는 분석부;를 포함하는 것을 특징으로 하며 전체 트래픽에 대한 상대적인 비율을 이용한 분석 방법과 볼륨에 기반한 분석 방법을 혼합하여 사용함으로써 비율이 제공하는 트래픽 양의 상대성과 볼륨이 제공하는 절대성의 특성을 모두 고려하여 이상 상태를 판단함으로써 보다 신뢰성 있는 판단을 제공할 수 있다.
네트워크 트래픽 분석, 이상 징후 감지, 상대적 비율, 모비율

公开(公告)号：KR100582555B1

公开(公告)日：2006-05-23

申请号：KR1020040091573

申请日：2004-11-10

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  이수형 ,  김진오 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/24

CPC classification number: H04L41/22 ,  H04L41/06 ,  H04L43/0817

Abstract: 본 발명에 의한 네트워크 트래픽 이상 상태 검출/표시 장치 및 그 방법은 네트워크 트래픽의 정보를 저장하는 트래픽 정보 저장부; 상기 정보를 기초로 소정의 임계시간동안에 발생한 네트워크 트래픽 동향을 적어도 하나 이상의 점 데이터를 좌표값으로 하여 연결한 그래프 형태로 직교좌표계에 표현하는 트래픽 상태 표시부; 및 상기 그래프의 모양을 기초로 상기 네트워크 트래픽의 이상여부를 점검하는 트래픽 이상 판단부;를 포함하는 것을 특징으로 하며, 트래픽 기초 정보만을 이용하여 고속으로 트래픽의 이상 상태를 직관적으로 표시할 수 있으며, 각 시점별 트래픽의 이상 트래픽 여부를 판단함에 있어서 관리자의 개입 없이도 이상 트래픽을 감지할 수 있다.

公开(公告)号：KR1020060046812A

公开(公告)日：2006-05-18

申请号：KR1020040091573

申请日：2004-11-10

Applicant: 한국전자통신연구원

Inventor： 장범환 ,  이수형 ,  김진오 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/24

CPC classification number: H04L41/22 ,  H04L41/06 ,  H04L43/0817

Abstract: 본 발명에 의한 네트워크 트래픽 이상 상태 검출/표시 장치 및 그 방법은 네트워크 트래픽의 정보를 저장하는 트래픽 정보 저장부; 상기 정보를 기초로 소정의 임계시간동안에 발생한 네트워크 트래픽 동향을 적어도 하나 이상의 점 데이터를 좌표값으로 하여 연결한 그래프 형태로 직교좌표계에 표현하는 트래픽 상태 표시부; 및 상기 그래프의 모양을 기초로 상기 네트워크 트래픽의 이상여부를 점검하는 트래픽 이상 판단부;를 포함하는 것을 특징으로 하며, 트래픽 기초 정보만을 이용하여 고속으로 트래픽의 이상 상태를 직관적으로 표시할 수 있으며, 각 시점별 트래픽의 이상 트래픽 여부를 판단함에 있어서 관리자의 개입 없이도 이상 트래픽을 감지할 수 있다.

公开(公告)号：KR1020060042788A

公开(公告)日：2006-05-15

申请号：KR1020040091574

申请日：2004-11-10

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  김현주 ,  장범환 ,  김진오 ,  나중찬 ,  장종수

IPC: G06F15/00

Abstract: 본 발명에 의한 네트워크 이벤트의 그래프 표현을 통한 보안 상황 분석 방법 및 그 장치는 네트워크 트래픽 정보와 보안 관련 이벤트 정보를 수집하는 단계; 상기 수집된 정보들로부터 보안관련 특성정보를 추출하는 단계; 상기 특성정보를 기초로 3차원 직각 좌표계에 상기 네트워크 트래픽 정보와 보안관련 이벤트정보들을 선으로 표현하는 단계; 및 상기 선의 조합에 따라 나타나는 패턴을 기초로 네트워크의 보안 이상 상태를 판정하는 단계;를 포함하는 것을 특징으로 를 포함하는 것을 특징으로 하며, 네트워크에서 발생하는 트래픽 데이터 및 보안 이벤트를 단순히 나열해서는 파악할 수 없는 네트워크 상의 보안 상황을 분석하고 정상 상태와 다른 이상 상황을 탐지할 수 있도록 해 주며, 또한 보안 장비로부터 발생하는 보안 이벤트에 적용할 경우 무수히 발생하는 보안 이벤트들 사이의 상호 연관 관계를 시각적으로 파악할 수 있게 해주며, 이를 통해 보안 이벤트의 통합을 통한 실제 보고 이벤트의 축약, 계속해서 발생하는 동일한 보안 이벤트(즉 공격)의 파악, 주로 감시해야 할 원천지 주소, 목적지 주소, 목적지 포트에 대한 정보를 획득할 수 있게 된다.
네트워크 보안, 시각화, 상호 연관성 분석, 트래픽 처리, 보안 이벤트

公开(公告)号：KR1020050061745A

公开(公告)日：2005-06-23

申请号：KR1020030093100

申请日：2003-12-18

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  이수형 ,  김동영 ,  장범환 ,  나중찬 ,  손승원 ,  박치항

IPC: H04L12/24

CPC classification number: H04L63/1408 ,  H04L63/1441

Abstract: 네트워크 공격상황 분석방법이 개시된다. 네트워크 침입탐지 경보를 소정의 네트워크 공격상황으로 분류하고 타임슬롯 기반의 카운팅 알고리즘을 이용하여 각각의 네트워크 공격상황의 발생빈도를 카운팅한 후, 발생빈도, 네트워크 침입탐지 경보의 발생빈도에 대한 각각의 네트워크 공격상황의 발생빈도의 비율 또는 발생빈도와 비율의 AND/OR 조합을 기초로 네트워크 공격상황을 분석한다. 이로써, 네트워크의 규모나 침입탐지 경보의 발생량에 비교적 영향을 받지 않고 네트워크 공격 상황을 실시간으로 정확하게 탐지할 수 있다.

公开(公告)号：KR100450770B1

公开(公告)日：2004-10-01

申请号：KR1020020067660

申请日：2002-11-02

Applicant: 한국전자통신연구원

Inventor： 이수형 ,  나중찬 ,  손승원 ,  김현주

IPC: H04L12/22

Abstract: PURPOSE: A system and method for tracking an attacker back and intercepting an attack in a security network is provided to trace the location of an attacker back in case that the attacker accesses a specific host via many hosts for the purpose of the stealing or change of important data. CONSTITUTION: A system and method for tracking an attacker back and intercepting an attack in a security network is comprised of a session logging part(240), a security management system(220), and a traffic interruption part(230). The session logging part(240) is installed and executed at each host(210-213). The security management system(220) executes an attacker tracking function at each domain. The traffic interruption part(230), having an interface for an external system, intercepts an attacker's traffic through the interface.

Abstract translation: 目的：提供一种系统和方法，用于在攻击者通过许多主机访问特定主机的情况下，追踪攻击者返回并拦截安全网络中的攻击以追踪攻击者的位置，以便窃取或更改 重要的数据。 用于在安全网络中跟踪攻击者并拦截攻击的系统和方法由会话记录部分（240），安全管理系统（220）和业务中断部分（230）组成。 会话记录部分（240）在每个主机（210-213）处被安装和执行。 安全管理系统（220）在每个域执行攻击者跟踪功能。 具有用于外部系统的接口的业务中断部分（230）通过接口拦截攻击者的业务。