公开(公告)号：KR1020060062298A

公开(公告)日：2006-06-12

申请号：KR1020040101086

申请日：2004-12-03

Applicant: 한국전자통신연구원

Inventor： 김진오 ,  손선경 ,  방효찬 ,  이수형 ,  김동영 ,  장범환 ,  김건량 ,  김현주 ,  나중찬 ,  장종수 ,  손승원

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/1416 ,  G06F21/552 ,  G06F21/85 ,  H04L63/1441

Abstract: 본 발명에 의한 네트워크 공격상황 탐지 장치는 접속하고 있는 네트워크의 경보를 수신한 후 소정의 경보 데이터로 가공하여 출력하는 경보수신부; 상기 가공된 경보 데이터의 속성 및 발생 빈도를 기초로 상기 네트워크의 공격상황을 분석하는 경보처리부; 상기 네트워크의 상황을 분석할 수 있는 기본 데이터를 유지하며 상기 경보처리부에 제공하는 메모리부; 및 외부 장치로 상기 분석 결과를 송신하고 상기 공격상황의 판단시 기초가 되는 소정의 임계치를 수신한 후 상기 경보처리부로 출력하여 상기 메모리부에 저장하도록 하는 인터페이스부;를 포함하는 것을 특징으로 하며, 네트워크의 경보를 처리하기 위한 해쉬 엔진과 탐지 엔진을 네트워크 공격 상황으로 분류한 데이터 집합과 동일한 수로 병렬 구성함으로써, 네트워크의 공격 상황을 방대한 양의 침입 탐지 경보로부터 실시간으로 탐지해낼 수 있다.
네트워크 공격상황 분석, 침입탐지 경보 연관성 분석, 고성능 공격상황 탐지

公开(公告)号：KR100439185B1

公开(公告)日：2004-07-05

申请号：KR1020010086925

申请日：2001-12-28

Applicant: 한국전자통신연구원

Inventor： 손선경 ,  김영수 ,  한민호 ,  이상수 ,  김동주 ,  김동영 ,  나중찬 ,  손승원

IPC: H04L12/851

Abstract: PURPOSE: A mixed active network model and a packet processing method in an active network model are provided to classify packets into an 'Aflow' packet, a 'non-Aflow' packet, and a 'sigAflow' packet according to the continuity of a packet delivery cycle, so as to actively load resources necessary for performing active packets on an active node. CONSTITUTION: If an optional packet is received to a packet classifier(S200), the packet classifier decides whether a protocol field of a header of the packet is set as active(S202). If not, the packet classifier regards the received packet as a general IP(Internet Protocol) packet(S204), and if set as active, the packet classifier regards the received packet as an active packet(S206). The active packet is provided to a flow classifier(S208). The flow classifier decides whether the packet matches with a demux key field(S210). If so, the flow classifier classifies the packet as an 'Aflow' packet(S212). If the packet does not match with the demux key field, a performance environment block detects a type field of the active packet header(S214). If a detected type value is '0'(S216), the performance environment block classifies the packet as a 'sigAflow' packet(S218). And if the detected type value is '2'(S220), the performance environment block classifies the packet as a 'non-Aflow' packet(S222).

Abstract translation: 目的：提供主动网络模型中的混合主动网络模型和分组处理方法，以根据分组的连续性将分组分类为'Aflow'分组，'非Aflow'分组和'sigAflow'分组 交付周期，从而主动加载在主动节点上执行活动分组所需的资源。 构成：如果可选分组被接收到分组分类器（S200），则分组分类器判定分组的标题的协议字段是否被设置为有效（S202）。 如果不是，则分组分类器将接收到的分组视为普通IP（互联网协议）分组（S204），并且如果设置为激活，则分组分类器将接收到的分组视为活动分组（S206）。 活动分组被提供给流分类器（S208）。 流分类器决定分组是否与解复用密钥字段匹配（S210）。 如果是，则流分类器将分组分类为“Aflow”分组（S212）。 如果分组与解复用密钥字段不匹配，则性能环境块检测活动分组报头的类型字段（S214）。 如果检测到的类型值是'0'（S216），则性能环境块将该分组分类为'sigAflow'分组（S218）。 如果检测到的类型值是'2'（S220），则性能环境块将该分组分类为“非Aflow”分组（S222）。