-
公开(公告)号:KR1020070060865A
公开(公告)日:2007-06-13
申请号:KR1020050120990
申请日:2005-12-09
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L12/5602
Abstract: A method for storing a pattern matching policy and an alarm control method are provided to apply more traffic patterns to a limited hardware memory by efficiently using the memory in a hardware-based high performance pattern matching engine. A contents structure matched with the header structure of stored traffic is generated in the header structure, where the header structure is a policy to be newly applied for a pattern matching device(S210). It is checked whether contents of the stored traffic are the same as contents of an original traffic previously stored in the pattern matching device(S212). When the contents are the same, the same contents index as that of the contents of the original traffic is given to contents of the stored traffic(S214,S216). It is checked whether the number of contents structures belonging to a header structure of the original traffic is 1, and if the number of contents structures is 1, header index of the stored traffic is given as a header index of the original traffic(S218,S220,S222).
Abstract translation: 提供了一种用于存储模式匹配策略和报警控制方法的方法,用于通过在基于硬件的高性能模式匹配引擎中有效地使用存储器来将更多流量模式应用于有限硬件存储器。 在头部结构中生成与存储的流量的头部结构相匹配的内容结构,其中头部结构是对图案匹配装置新应用的策略(S210)。 检查所存储的流量的内容是否与先前存储在模式匹配装置中的原始流量的内容相同(S212)。 当内容相同时,将与原始流量的内容相同的内容索引赋予存储的流量的内容(S214,S216)。 检查属于原始业务的报头结构的内容结构的数量是否为1,并且如果内容结构的数量为1,则将存储的业务的报头索引作为原始业务的报头索引给出(S218, S220,S222)。
-
公开(公告)号:KR1020070058311A
公开(公告)日:2007-06-08
申请号:KR1020060108362
申请日:2006-11-03
Applicant: 한국전자통신연구원
CPC classification number: H04L63/0263 , H04L63/0236
Abstract: An intrusion blocking policy enforcement apparatus in a router hardware platform and a method thereof are provided to decide whether it is time for newly arranging and enforcing plural intrusion blocking policies, stored in a policy DB, according to priority, therefore fast priority processing and policy enforcement are available. A policy DB(120) stores at least more than one intrusion blocking policy together with related information. A policy server(110) adds or deletes the intrusion blocking policies to or from the policy DB(120). A time controller(130) determines whether to enforce the intrusion blocking policies according to priority by referring to the related information. An intrusion blocking unit(140) blocks intrusion by enforcing the intrusion blocking policies corresponding to determination results of the time controller(130), to data processed by a router hardware platform.
Abstract translation: 提供路由器硬件平台中的入侵阻断策略执行装置及其方法,以根据优先级决定是否需要重新安排和执行存储在策略DB中的多个入侵阻塞策略,从而实现快速优先级处理和策略执行 可用。 策略DB(120)至少存储多个入侵阻止策略以及相关信息。 策略服务器(110)向策略DB(120)添加或删除入侵阻止策略。 时间控制器(130)通过参考相关信息来确定是否根据优先级强制实施入侵阻塞策略。 入侵阻断单元(140)通过对与时间控制器(130)的确定结果相对应的入侵阻止策略执行由路由器硬件平台处理的数据来阻止入侵。
-
公开(公告)号:KR100656369B1
公开(公告)日:2007-02-28
申请号:KR1020050116587
申请日:2005-12-01
Applicant: 한국전자통신연구원
Abstract: An apparatus for displaying a network state by using a flow-n-rectangular and a method thereof are provided to determine an abnormal state of the network which degrades its performance and to detect harmful or abnormal traffic causing the abnormal state of the network by using simple data which can show abnormal features of the traffic like flow rates of each port section in accordance with connected time, octet rates, or packet rates. An apparatus for displaying a network state by using a flow-n-rectangular comprises a traffic feature extractor(110), a traffic state displayer(120) and a traffic abnormality checker(130). The traffic feature extractor(110) calculates an occupation rate in accordance with traffic features generated according to a certain reference port and time by referring to traffic information collected by an external traffic information collector, and stores the calculated result. The traffic state displayer(120) expresses an abnormal state of the current network through one and more regular tetragons displayed by using the occupation rate in accordance with traffic features of a port under a reference port, a port over the reference port, a flow over a reference time, and a flow under the reference time on an occupation rate coordinate plane by referring to the calculated result stored in the traffic feature extractor(110). The traffic abnormality checker(130) determines an abnormal state of the network according to the position or size of a regular tetragon drawn on the occupation rate coordinate plane, detects and reports the type of an abnormal state and harmful or abnormal traffic if the abnormal state occurs.
Abstract translation: 提供了一种通过使用流式矩形显示网络状态的设备及其方法,以确定网络的异常状态,从而降低其性能,并通过使用简单的方法来检测引起网络异常状态的有害或异常业务量 根据连接时间,八位字节速率或分组速率,可以显示诸如每个端口部分的流量的流量的异常特征的数据。 本发明公开了一种利用流量矩形显示网络状态的装置,包括:流量特征提取器,流量状态显示器和流量异常检查器。 交通特征提取器(110)通过参考由外部交通信息收集器收集的交通信息来根据根据特定参考端口和时间生成的交通特征来计算占用率,并存储计算结果。 业务状态显示器(120)通过根据参考端口下的端口,参考端口上的端口,参考端口上的端口的流量特征使用占用率显示的一个或多个正常四边形表示当前网络的异常状态 参考时间和在参考时间下的流量,通过参考存储在交通特征提取器(110)中的计算结果,在占用率坐标平面上进行。 业务异常检查器(130)根据在占用率坐标平面上绘制的正常四边形的位置或大小来确定网络的异常状态,如果异常状态检测并报告异常状态的类型和有害或异常业务 发生。
-
公开(公告)号:KR100656352B1
公开(公告)日:2006-12-11
申请号:KR1020050087024
申请日:2005-09-16
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: A method for displaying event information related to network security is provided to enable a user to visually analyze change of a quantity and connectivity of events of a specific attribute among the events related to the network security, and intuitively recognize a current security situation. The network-related events generated in a managed domain of the network are collected(110). Information including a generation quantity of each application port, the connectivity between a source and destination address, a source and destination address, and an event type to be expressed as a graphic is extracted from the collected event(151,161). The extracted information is displayed as the graphic according to the source and destination address, and interconnectivity among the event types(152,162). An abnormal security state of the managed domain is determined according to a pattern of the displayed graph(170).
Abstract translation: 提供了一种显示与网络安全相关的事件信息的方法,使用户能够直观地分析与网络安全相关的事件中特定属性事件的数量和连通性的变化,直观地识别当前的安全状况。 收集在网络的受管理域中生成的与网络有关的事件(110)。 从所收集的事件(151,161)中提取包括每个应用端口的产生量,源和目的地地址之间的连通性,源和目的地地址以及将被表达为图形的事件类型的信息。 提取的信息根据源地址和目的地址以及事件类型之间的互连性显示为图形(152,162)。 根据所显示的图形的模式来确定管理域的异常安全状态(170)。
-
-
Patent Agency Ranking
公开(公告)号:KR100640004B1
公开(公告)日:2006-11-01
申请号:KR1020050085591
申请日:2005-09-14
Applicant: 한국전자통신연구원
Abstract: An apparatus and a method for managing a session state are provided to detect an attack or an abnormal packet by using packet information and state information of a session. A session index unit(210) generates or manages an index including 5-tuple information of a session to which an input packet belongs. A detailed information management unit(220) extracts state information of a session for coping with an attack detection from the input packet, and generates and manages its entry when the index is generated. A summary information management unit(230) generates and manages an entry having state information of a session including connection and termination state information of the session to which the input packet belongs and directional information of the input packet. A searching unit(240) searches whether an index of a session to which an input TCP(Transmission Control Protocol) packet belongs exists in the session index unit(210), and if no index exists, the searching unit(240) searches the summary information management unit(220).
Abstract translation: 提供了一种用于管理会话状态的设备和方法,以通过使用分组信息和会话的状态信息来检测攻击或异常分组。 会话索引单元(210)生成或管理包括输入分组所属的会话的5元组信息的索引。 详细信息管理单元(220)从输入分组中提取用于应对攻击检测的会话的状态信息,并且当产生索引时生成并管理其条目。 摘要信息管理单元(230)生成并管理具有包括输入分组所属的会话的连接和终止状态信息以及输入分组的方向信息的会话的状态信息的条目。 搜索单元(240)搜索会话索引单元(210)中是否存在输入TCP(传输控制协议)分组所属的会话的索引,并且如果不存在索引,则搜索单元(240) 信息管理单元(220)。
-
公开(公告)号:KR100622670B1
公开(公告)日:2006-09-19
申请号:KR1020040102489
申请日:2004-12-07
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1408
Abstract: 본 발명은 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법에 관한 것으로, 웜(Worm)등의 네트워크 공격으로 의심되는 패킷들로부터 공통된 패턴을 실시간으로 찾아내어 공격을 효과적으로 차단하는 실시간 공격 패턴 검출 시스템 및 그 방법에 대한 것이다. 본 발명은 입력되는 모든 패킷에서 의심스러운 공격 패킷을 분류하는 의심패킷 검출기와, 상기 의심패킷 검출기로부터 입력 패킷을 입력받아 한 클록 지연된 데이터를 출력하는 제1 데이터 지연장치와, 상기 제1 데이터 지연장치로부터 출력되는 신호를 입력받아 한 클록 지연된 데이터를 출력하는 제2 데이터 지연장치와, 상기 의심패킷 검출기로부터 출력되는 입력 데이터와 상기 제1 데이터 지연장치로부터 출력되는 데이터와 상기 제2 데이터 지연장치로부터 출력되는 데이터를 입력받아 해쉬 키를 발생시키는 해쉬 키 발생기와, 상기 해쉬 키 발생기로부터 발생된 해쉬 키에 의한 룩업 결과를 저장하는 해쉬 테이블과, 상기 해쉬 테이블의 룩업 결과를 검증하는 룩업결과 검증기로 구성되는 것을 특징으로 한다.
네트워크, 웜, 공격 패턴, 시그너쳐Abstract translation: 对于已知网络攻击是和涉及的方法中,所述蜗杆(WORM),例如通过在从被怀疑是实时的,实时的攻击模式来有效地阻止攻击数据包的通用模式的网络攻击,本发明实时攻击模式检测系统 检测系统及其方法。 本发明的第一数据延迟装置和所述第一数据延迟单元,并输出一个可疑和可疑分组检测器进行分类攻击数据包,一个时钟通过接收从所述可疑分组检测器输入分组中的每个分组被输入延迟的数据 权利要求用于输出时钟延迟数据接收来自第二数据延迟单元和从所述检测器输出,从所述延迟装置输出的第一数据的数据,并从数据延迟装置中的第二输出可疑分组输入数据输出的信号 以及用于验证哈希表的查找结果的查找结果验证器。哈希表生成器包括用于生成哈希键的哈希键生成器, 和被表征。
-
公开(公告)号:KR100617316B1
公开(公告)日:2006-08-30
申请号:KR1020040095910
申请日:2004-11-22
Applicant: 한국전자통신연구원
Abstract: 본 발명은 IXDP2400에서의 IPSec 엔진 구현 방법에 관한 것으로, IXDP2400에서의 IPSec 엔진 구현 장치에 있어서, 전송받은 패킷 정보를 이용하여 패킷의 IP 헤더의 목적지 주소가 자신인 인바운드 패킷과 자신이 아닌 아웃바운드 패킷으로 분류하고, 상기 인바운드 패킷과 아웃바운드 패킷에 대한 IPSec 처리가 필요한지 여부를 판단하며, 상기 인바운드 패킷과 아웃바운드 패킷 중에서 IPSec 처리가 수행된 패킷과 상기 아웃바운드 패킷중에서 IPSec 처리가 필요하지 않은 패킷에 대한 패킷 포워딩을 수행하는 라우터 마이크로블록; 상기 라우터 마이크로블록에서 인바운드 패킷이고 IPSec 처리가 필요하다고 판단되는 경우에 상기 라우터 마이크로블록으로부터 패킷 정보를 전송받아 전송받은 패킷에 IPSec 처리를 수행하여 상기 라우터 마이크로블록으로 다시 전송하는 인바운드 IPSec 처리 마이크로블록; 및 상기 라우터 마이크로블록에서 아웃바운드 패킷이고 IPSec 처리가 필요하다고 판단되는 경우에 상기 라우터 마이크로블록으로부터 패킷 정보를 전송받아 전송받은 패킷에 IPSec 처리를 수행하여 상기 라우터 마이크로블록으로 다시 전송하는 아웃바운드 IPSec 처리 마이크로블록;으로 구성된다. 따라서, IPSec 처리가 필요한 패킷과 필요 없는 패킷을 따로 분리하여 처리함으로써 IPSec 처리가 필요하지 않은 일반 패킷의 처리 속도에는 거의 영향을 주지 않고 IPSec 엔진을 구현할 수 있다.
-
公开(公告)号:KR100590770B1
公开(公告)日:2006-06-15
申请号:KR1020030096892
申请日:2003-12-24
Applicant: 한국전자통신연구원
IPC: H04L12/28
CPC classification number: H04L41/0896 , H04L43/026
Abstract: 네트워크를 통해 단말기로 전송되는 트래픽을 동일한 목적지를 가지는 다수 개의 흐름(이하 "플로우(flow)"라 한다)으로 구분하고, 구분된 다수 개의 플로우들을 각 플로우의 대역폭을 기준으로 정렬하기 위한 방법 및 장치가 개시된다. 본 발명에 의한 방법은 플로우들을 수신하는 단계, 수신된 플로우의 대역폭이 속하는 대역폭 범위를 설정하고, 사전에 수신된 플로우들의 대역폭과 비교하여 비교 결과에 따라 정렬하는 대역폭 정렬 단계 및 수신된 플로우의 발생 빈도를 나타내는 활동도를 사전에 수신된 플로우들 중 대역폭 범위에 포함되는 대역폭을 가지는 플로우들의 활동도와 비교하여 비교 결과에 따라 정렬하는 활동도 정렬 단계를 포함한다. 본 발명에 의하여 대용량 데이터를 대역폭 및 활동도를 이용하여 신속하게 정렬하고, 공격 가능성이 높은 플로우만을 선택적으로 감시할 수 있다.
-
公开(公告)号:KR1020060063610A
公开(公告)日:2006-06-12
申请号:KR1020050054370
申请日:2005-06-23
Applicant: 한국전자통신연구원
Abstract: 본 발명은 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치에 관한 것으로, (a) 현재 입력 패킷에 대한 일련정보를 추출하는 단계; (b) 상기 추출된 현재 입력 패킷에 대한 일련정보를 기준으로 적어도 한 개 이상의 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보가 기 저장되어 있는지 판단하는 단계; (c) 상기 현재 입력 패킷의 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보중 적어도 어느 하나가 기 저장되어 있다고 판단되는 경우에, 상기 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보를 로딩하는 단계; 및 (d) 상기 로딩된 이전 패킷 및/또는 이후 패킷에 대한 패턴 매칭 결과정보와 상기 현재 입력 패킷을 재조합하여 기 저장되어 있는 공격패턴과 패턴 매칭을 수행하는 단계;로 구성된다. 따라서, 패킷 재조합을 이용하여 속도를 저하시키지 않으면서도 메모리 사용을 줄일 수 있는 패턴 매칭 방법 및 장치를 제공할 수 있다.
-
-
-
-
-
-
-
-
-
Search Results
334
records
(took 0.027 seconds)
