公开(公告)号：WO2013027970A1

公开(公告)日：2013-02-28

申请号：PCT/KR2012/006549

申请日：2012-08-17

Applicant: 고려대학교 산학협력단 ,  김휘강 ,  고폴린

Inventor： 김휘강 ,  고폴린

IPC: H04L12/26 ,  H04L12/22 ,  G05B23/02 ,  G06F21/20

CPC classification number: H04L63/1408 ,  H04L41/142 ,  H04L43/04 ,  H04L63/1441

Abstract: 네트워크의 이상증후를 탐지하는 장치, 방법 및 그 방법을 기록한 기록매체에 관한 기술이 개시된다. 본 발명에 따른 네트워크의 이상증후를 탐지하는 방법은, 정상 상태에서 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 자기 유사성에 대한 임계값을 설정하고, 네트워크에서 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하며, 측정된 실시간 자기 유사성 값과 미리 설정된 임계값를 비교하여 네트워크에 대한 이상 여부를 판단한다.

Abstract translation: 公开了一种网络中的基于异常入侵检测的装置和方法，其中记录有该方法的记录介质。 根据本发明的网络中的基于异常入侵检测的方法包括：通过从指示网络的业务状态的一个或多个属性信息预先测量自相似性来设置自相似度的临界值 正常状态 从网络中的一条或多条属性信息实时测量自相似度值; 以及通过将所测量的实时自相似度值与所设定的临界值进行比较来确定网络是否正常。

公开(公告)号：KR101281460B1

公开(公告)日：2013-07-03

申请号：KR1020110082787

申请日：2011-08-19

Applicant: 고려대학교 산학협력단

Inventor： 김휘강 ,  고폴린

IPC: H04L12/26 ,  H04L12/22 ,  H04L9/00 ,  G06F21/00

Abstract: 본 발명은 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법 및 그 방법을 기록한 기록매체에 관한 것으로, 본 발명에 따른 이상증후를 탐지하는 방법은, 정상 상태에서 네트워크 또는 시스템의 상태를 나타내는 보안 속성을 입력받고, 속성의 최근 발생 시기, 속성의 발생 빈도 및 속성의 발생 총량별로 보안 속성을 분류하고, 분류된 보안 속성에 따라 통계적 공정 관리도를 산출하며, 산출된 통계적 공정 관리도에 대한 임계 범위를 설정하고, 분류된 보안 속성에 따라 네트워크 또는 시스템의 보안 속성으로부터 실시간으로 통계적 공정 관리도를 산출하며, 실시간 통계적 공정 관리도가 임계 범위 내에 존재하는지 여부를 검사하여 네트워크 또는 시스템에 대한 이상 여부를 판단한다.

公开(公告)号：KR1020130020862A

公开(公告)日：2013-03-04

申请号：KR1020110082786

申请日：2011-08-19

Applicant: 고려대학교 산학협력단

Inventor： 김휘강 ,  고폴린

IPC: H04L12/26 ,  H04L12/22 ,  G05B23/02

CPC classification number: H04L63/1425 ,  H04L43/16

Abstract: PURPOSE: An apparatus and a method for detecting symptom data of a SCADA(Supervisory Control And Data Acquisition) network are provided to solve a problem for detecting an evasion attack or new type attacks. CONSTITUTION: A storage unit(10) measures self-similarity from one or more attribution information which indicates a traffic state of a network in a normal state. The storage unit stores a set threshold value. A measuring unit(20) measures the self-similarity in real time from one or more attribution information in the network. A determination unit(30) compares the measured real-time self-similarity value with the set threshold value. The determination unit determines an abnormal state of the network. [Reference numerals] (10) Storage unit; (20) Measuring unit; (23) Network; (25) Event log; (30) Determination unit

Abstract translation: 目的：提供一种用于检测SCADA（监控和数据采集）网络的症状数据的设备和方法，以解决检测逃避攻击或新型攻击的问题。 构成：存储单元（10）从一个或多个归属信息测量表示正常状态的网络的通信状况的自相似性。 存储单元存储设定的阈值。 测量单元（20）从网络中的一个或多个归属信息实时测量自相似性。 确定单元（30）将所测量的实时自相似度值与设定的阈值进行比较。 确定单元确定网络的异常状态。 （附图标记）（10）存储单元 （20）测量单元; （23）网络; （25）事件日志; （30）确定单位

公开(公告)号：KR101281456B1

公开(公告)日：2013-07-08

申请号：KR1020110082786

申请日：2011-08-19

Applicant: 고려대학교 산학협력단

Inventor： 김휘강 ,  고폴린

IPC: H04L12/26 ,  H04L12/22 ,  G05B23/02

Abstract: 본 발명은 자기 유사성을 이용한 네트워크의 이상증후를 탐지하는 장치, 방법 및 그 방법을 기록한 기록매체에 관한 것으로, 본 발명에 따른 네트워크의 이상증후를 탐지하는 방법은, 정상 상태에서 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 자기 유사성에 대한 임계값을 설정하고, 네트워크에서 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하며, 측정된 실시간 자기 유사성 값과 미리 설정된 임계값를 비교하여 네트워크에 대한 이상 여부를 판단한다.

公开(公告)号：KR1020130020265A

公开(公告)日：2013-02-27

申请号：KR1020110082787

申请日：2011-08-19

Applicant: 고려대학교 산학협력단

Inventor： 김휘강 ,  고폴린

IPC: H04L12/26 ,  H04L12/22 ,  H04L9/00 ,  G06F21/00

CPC classification number: H04L63/1425 ,  H04L43/16

Abstract: PURPOSE: An abnormal symptom detecting method using a process control chart is provided to solve inconvenience on management by directly providing information for the security state of a system or a network. CONSTITUTION: A detecting device calculates a static process control chart according to a classified security attribute(120). The detecting device sets a threshold range for the calculated static process control chart. The detecting device calculates a location in a real time process control chart from the security attribute of a system or a network(130). The detecting device inspects whether the location of the security attribute is existed within the threshold range(140). The detecting device determines abnormal symptom in the network or the system. [Reference numerals] (110) Receiving security attributes expressing the states of a network or a system under a normal state and classifying the security attributes which are input by the latest occurred time, frequency, and total occurred amount of the attributes; (120) Calculating a location in a real time static process control chart from the security attribute of the system or the network according to the classified security attribute; (130) Calculating a static process control chart according to the classified security attribute and setting a threshold range for the calculated static process control chart; (140) Inspecting whether the real time calculated location of the security attribute is existed within the threshold range and verifying the abnormality of the network or the system; (AA) Start; (BB) End

Abstract translation: 目的：提供使用过程控制图的异常症状检测方法，通过直接为系统或网络的安全状态提供信息来解决管理上的不便。 构成：检测装置根据分类的安全属性（120）计算静态过程控制图。 检测装置设定计算出的静态过程控制图的阈值范围。 检测装置从系统或网络的安全属性（130）计算实时处理控制图中的位置。 检测装置检查安全属性的位置是否存在于阈值范围内（140）。 检测装置确定网络或系统中的异常现象。 （附图标记）（110）接收表示正常状态下的网络或系统的状态的安全属性，并分类由最近发生的时间，频率和总发生的属性的总量发生的安全属性的分类; （120）根据分类安全属性从系统或网络的安全属性计算实时静态过程控制图中的位置; （130）根据分类的安全属性计算静态过程控制图，并为计算的静态过程控制图设置阈值范围; （140）检查安全属性的实时计算位置是否存在于阈值范围内，验证网络或系统的异常情况; （AA）开始; （BB）结束