公开(公告)号：KR100615080B1

公开(公告)日：2006-08-25

申请号：KR1020050123724

申请日：2005-12-15

Applicant: 주식회사 정보보호기술 ,  전남대학교산학협력단

Inventor： 이성권 ,  노봉남 ,  김용민 ,  김동국 ,  김민수 ,  박준형 ,  정일안 ,  노상균 ,  문길종

IPC: H04L12/22 ,  H04L12/26 ,  H04L9/28

Abstract: 본 발명은 선정된 탐지척도를 이용하여 규칙기반의 탐지패턴을 자동으로 생성할 수 있도록 TCP(Transmission Control Protocol) 세션기반 분류모델에 의한 악성 봇과 웜의 탐지패턴 자동생성 방법에 관한 것으로서, 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 단계; 앞 단계에서의 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성한 후 탐지규칙으로 정형화(탐지패턴 자동 생성)하는 학습단계; 그리고 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 구성한 것을 특징으로 한다.
봇과 웜 탐지, TCP 세션 기반 탐지, 악성봇과 웜 탐지, 탐지패턴 자동 생성, 패킷 헤더영역 탐지, 의사결정나무, 분류 알고리즘, 탐지규칙, 침입탐지, 침입패턴

Abstract translation: 本发明涉及由（传输控制协议）TCP基于会话的分类模型自动生成的恶意机器人和蠕虫自动生成的检测图案的检测图案的方法基于规则，使用所选择的检测尺，网络数据 从会话的协议头中提取和处理基于TCP会话的统计信息; 后基于通过使用决策树算法通过前一步骤的处理获得的检测数据的度量产生一个树模型形式化规则来检测（自动检测图案生成），该学习阶段; 并且，在每个网络会话结束时，将信息与检测规则进行比较，如果匹配，则发出警报，并且通过检查相应规则来构建对攻击的特征进行分类的实验和分析步骤。

公开(公告)号：KR1020070097684A

公开(公告)日：2007-10-05

申请号：KR1020060027924

申请日：2006-03-28

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  이형효 ,  이영록 ,  박희만 ,  김인수 ,  최향창 ,  이승용 ,  임현숙 ,  김미영 ,  박용준

IPC: G06F15/16

Abstract: A JINI based secure event service structure is provided to make a reliable ubiquitous environment by using an SPKI/SDSI certificate and extending a Java space of the JINI to separate between an event producer and an event consumer, support connection/disconnection of a mobile device, and perform contents-based search. An SSCM(SPKI/SDSI Certificate Manager)(22) verifies a certificate path for verifying that the event producer/consumer(10,30) have rights for performing a predetermined operation for a JINI secure event service system, and return values obtained through a certificate chain discovery algorithm to an LRC(Listener Registration Controller)(21) and an ERC(Event Registration Controller)(24). The LRC registers an event listener when the event consumer requests reading of the event, and checks whether the event consumer searching the event is a legal user, requests examination of the right by transmitting an event type/certificate package received from the event consumer to the SSCM, and determines registration of the event consumer based on the return values. The ERC registers, manages, and authenticates the event producer. A Java space-based event service directly transfers an event object issued from the event producer to the event consumer and searches the event which is not received during disconnection of the event consumer.

Abstract translation: 提供基于JINI的安全事件服务结构，通过使用SPKI / SDSI证书和扩展JINI的Java空间来分散事件生成器和事件消费者之间，支持移动设备的连接/断开，从而构成可靠的无处不在的环境， 并执行基于内容的搜索。 SSCM（SPKI / SDSI证书管理器）（22）验证用于验证事件生成者/消费者（10,30）具有为JINI安全事件服务系统执行预定操作的权限的证书路径，并且返回通过 证书链发现算法到LRC（监听器注册控制器）（21）和ERC（事件注册控制器）（24）。 当事件消费者请求读取事件时，LRC注册事件监听器，并检查事件消费者是否搜索事件是否合法的用户，通过将从事件消费者接收到的事件类型/证书包发送到 SSCM，并根据返回值确定事件消费者的注册。 ERC注册，管理和验证事件生成器。 基于Java空间的事件服务直接将从事件生成器发出的事件对象传送到事件消费者，并搜索事件消费者断开连接期间未收到的事件。

公开(公告)号：KR100707941B1

公开(公告)日：2007-04-13

申请号：KR1020060021680

申请日：2006-03-08

Applicant: 전남대학교산학협력단 ,  박종서 ,  김동성 ,  박기진 ,  킨미미아웅

Inventor： 노봉남 ,  박종서 ,  김동성 ,  박기진 ,  킨미미아웅

IPC: G06F15/00 ,  G06F15/16

Abstract: 본 발명은 서비스거부(DoS) 공격하에서 클러스터 시스템의 생존성 증대 방법에 관한 것이다.
이를 위한 본 발명은, 서비스거부(DoS) 공격하에서 가용성을 유지할 수 있는 레벨을 지키기 위하여 증상기반 판단엔진을 통해 상태천이를 이루게 되는 세미 마르코프모델로 건강 스테이지(20), 복구 스테이지(30), 실패 스테이지(40)를 구분하여; 상기 증상기반 판단엔진과 이용자의 정책에 따라 내부에서 이를 대처하기 위해 건강 상태(H), 감염 상태(I), 재활 상태(Rj), 재구성 상태(Rc) 및 실패 상태(F)로의 상태 변화가 수행되게 한 것을 그 특징으로 한다.
서비스거부 공격, DoS (Denial of Service), 클러스터시스템, 생존성, 건강스테이지, 복구스테이지, 실패스테이지, 클러스터 복구 시스템

Abstract translation: 本发明涉及在拒绝服务（DoS）攻击下提高集群系统的生存性的方法。

公开(公告)号：KR100882348B1

公开(公告)日：2009-02-13

申请号：KR1020060123871

申请日：2006-12-07

Applicant: 한국전자통신연구원 ,  전남대학교산학협력단

Inventor： 김동욱 ,  김강호 ,  안백송 ,  정성인 ,  김명준 ,  노봉남 ,  김정순 ,  김민수 ,  정종민

IPC: G06F21/00 ,  G06F9/00 ,  G06F9/06 ,  G06F9/44

CPC classification number: G06F21/6218

Abstract: 본 발명은 보안 정책의 복잡성을 개선시켜 전문지식이 없는 사용자가 보안 정책을 쉽게 설정할 수 있도록 하는 보안 운영 체제에서의 보안 정책 설정 방법 및 장치에 관한 것으로, 객체의 타입 수 및 규칙의 수를 현저하게 감소시켜 보안 정책의 복잡성을 제거하고, 그 결과 전문 지식이 없는 사용자라도 쉽게 원하는 보안 정책을 설정하거나 조정할 수 있도록 하기 위하여, 주체, 객체, 그리고 주체가 객체에 가질 수 있는 권한을 설정하는 형태로 구성되는 보안 정책 템플릿을 정의하고, 상기 정의된 보안 정책 템플릿을 SELinux에 적용 가능한 TE 보안 정책으로 변화하여 SELinux에서 보안 정책으로 적용될 수 있도록 한 것이다.
보안 정책, 보안 운영 체제, SELinux, TE(Type Enforcement)

公开(公告)号：KR100833973B1

公开(公告)日：2008-05-30

申请号：KR1020060076547

申请日：2006-08-14

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  김정순 ,  김민수 ,  김동근 ,  이재서 ,  조주봉 ,  정종민 ,  최민호 ,  박호준 ,  신삼신

IPC: G06F15/00

Abstract: 본 발명은 보안운영체제를 위한 접근통제 시스템에 관한 것으로, 특히 알려진 접근통제 모델들을 표현할 수 있는 메타 시스템에 관한 것이다. 사용자인 주체는 정의된 보안개체를 할당받아 접근통제를 수행한다. 주체보안개체집합과 객체보안개체집합이 주체와 객체에 각각 부여되며, 권한관계는 주체보안개체집합과 객체보안개체집합 간에 설정된다. 본 시스템에서, 주체의 객체에 대한 접근권한은 부여된 보안개체집합, 설정된 권한관계, 객체에 할당된 연산에 근거하여 결정된다.
보안운영체제, 접근통제, 시스템, 보안개체, 보안개체집합, 권한관계, 연산

公开(公告)号：KR100706338B1

公开(公告)日：2007-04-13

申请号：KR1020060018763

申请日：2006-02-27

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  김정순 ,  김민수 ,  김동근 ,  이재서 ,  조주봉 ,  정종민 ,  최민호 ,  박호준 ,  신삼신

IPC: G06F15/00 ,  G06Q30/06 ,  G06F21/20

Abstract: 본 발명은 운영체제나 애플리케이션에서 다양한 접근통제 정책을 제공할 수 있도록 가상접근통제시스템을 이용한 가상접근통제 보안시스템 및 보안방법에 관한 것이다.
이를 위한 본 발명의 가상접근통제 보안시스템은, 주체가 접근하고자 하는 객체에 대해 수행하고자 하는 행위의 허가 여부를 요청하고, 상기 요청에 대한 허가 결과에 따라 객체에 대해 행위를 집행하는 정책요청 및 집행모듈; 설정된 접근권한 정보를 이용하여 상기 요청에 대한 접근 허가 여부를 결정하는 정책결정모듈과 MAC, DAC, RBAC 등과 같은 다양한 접근통제정책들을 정책결정모듈로 구현하여 동적으로 운영체제에 적용시킬 수 있는 가상접근통제 시스템모듈; 객체로의 접근이 허가되지 않는 행위에 대한 주체의 요청에 대한 정보를 기록하고, 객체로의 접근이 허가된 주체에 대해 이상행위분석을 통하여 이상행위 여부를 판단하고 이상행위를 수행하는 주체가 상기 객체에 대해 접근하는 것을 제어하는 정책제어모듈을 포함한다.
본 발명에 의해, 가상 접근통제시스템을 이용한 새로운 접근통제 보안구조가 제공됨에 따라 다양한 접근통제 정책들을 쉽게 운영체제에 적용할 수 있으며, 구조가 단순하여 설계 및 구현이 용이할 뿐만 아니라, 새로운 접근통제 모델을 쉽게 적용할 수 있다.
보안, 접근통제, 정책요청 및 집행, 정책결정, 정책제어, 주체, 객체, 행위, 가상접근통제시스템, 가상접근통제 보안시스템, 보안방법

Abstract translation: 本发明涉及一种使用虚拟访问控制系统在操作系统或应用程序中提供各种访问控制策略的虚拟访问控制安全系统和安全方法。

公开(公告)号：KR100686399B1

公开(公告)日：2007-02-26

申请号：KR1020060021669

申请日：2006-03-08

Applicant: 전남대학교산학협력단 ,  박종서 ,  김동성 ,  카자 모함메드 사자드

Inventor： 박종서 ,  김동성 ,  카자모함메드사자드 ,  노봉남

IPC: G06F15/00 ,  H04L12/26 ,  G06F11/00

Abstract: A lightweight intrusion detection method through correlation based hybrid feature selection in a computer is provided to remarkably reduce a training and testing time while keeping a stable feature detection result, a low false detection rate, and a high detection rate. Preprocessed checking data from checking data is classified into a training dataset and a testing dataset. The training dataset is classified again into a feature selection dataset processing through a hybrid feature selection process based on correlation resulted as a set of selected features, a model building dataset used for constructing an intrusion detection model using the selected feature, and a verification dataset. The intrusion detection model is verified by the verification dataset and is tested by the testing dataset. The correlation based hybrid feature selection process is sent to the modeling dataset having the reduced feature and the verification dataset having the reduced feature through an adder. The modeling dataset and the verification dataset are sent to a classification model through machine learning and verification.

Abstract translation: 通过计算机中基于相关性的混合特征选择，提供了一种轻量级的入侵检测方法，在保持稳定的特征检测结果，低错误检测率和高检测率的同时，显着减少训练和测试时间。 从检查数据中预处理检查数据被分类为训练数据集和测试数据集。 通过基于作为一组选定特征产生的相关性的混合特征选择过程，将训练数据集再次分类为特征选择数据集处理，用于使用所选特征构建入侵检测模型的模型构建数据集和验证数据集。 入侵检测模型由验证数据集验证并由测试数据集进行测试。 基于相关的混合特征选择过程通过加法器被发送到具有减小的特征的建模数据集和具有减小的特征的验证数据集。 通过机器学习和验证将建模数据集和验证数据集发送到分类模型。

公开(公告)号：KR100877911B1

公开(公告)日：2009-01-12

申请号：KR1020080010034

申请日：2008-01-31

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  김동국 ,  김용민 ,  노상균 ,  문길종

IPC: G06F15/16 ,  G06F15/00

Abstract: A method for detecting a P2P(Peer to Peer)-based bot-net by using a network traffic transfer model is provided to detect a bot-net quickly and correctly by generating and matching a detection model with a suspicious traffic in the P2P network. A traffic flow group is generated by collecting and clustering network connection flow on the network. Information, which represents that a state of the traffic flow group is changed, is collected and a multi-frequency matrix is formed and trained based on the collected information. A multi-state transfer probability model is obtained by generating a probability matrix for all attacks of the bot-net and the probability matrix for normality through a learning process. The probability model is matched with the model for the state transfer information, which is collected from the traffic of the network in real time. It is detected whether the malicious bot-net is found by comparing a model matching result value with a preset threshold.

Abstract translation: 提供一种通过使用网络流量传输模型来检测基于P2P（对等）的bot网络的方法，通过生成并匹配检测模型与P2P网络中的可疑流量来快速正确地检测僵尸网络。 通过网络上的网络连接流的收集和聚类来生成流量组。 表示交通流组的状态被改变的信息被收集，并且基于所收集的信息形成和训练多频矩阵。 通过在学习过程中生成用于bot网络的所有攻击的概率矩阵和用于正常性的概率矩阵，获得多状态转移概率模型。 概率模型与状态转移信息模型匹配，该模型是从网络流量实时收集的。 通过将模型匹配结果值与预设阈值进行比较来检测是否发现恶意bot网络。

公开(公告)号：KR1020080015176A

公开(公告)日：2008-02-19

申请号：KR1020060076547

申请日：2006-08-14

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  김정순 ,  김민수 ,  김동근 ,  이재서 ,  조주봉 ,  정종민 ,  최민호 ,  박호준 ,  신삼신

IPC: G06F15/00

Abstract: A meta access control model is provided to simplify management of a security policy and to provide flexibility in implementing a specific security policy of a user or a company. A meta access control model comprises a subject(11), an object(12), a subject security entity set(13), an object security entity set(14), a right relation(15), and a grant relation(17). The subject(11) and the object(12) are allocated to set security entities. The subject security entity set(13) and the object security entity set(14) are defined as sets of subjects and objects, respectively. The right relation(15) is established between the subject security entity set(13) and the object security entity set(14). The grant relation(17) makes the subject(11) and the object(12) affiliated to the subject security entity set(13) and the object security entity set(14), respectively. The right of an access to the subject(11) or the object(12) is determined on the basis of a granted security entity set and a set right relation.

Abstract translation: 提供元访问控制模型以简化安全策略的管理，并提供实现用户或公司的特定安全策略的灵活性。 元访问控制模型包括对象（11），对象（12），主题安全实体集合（13），对象安全实体集合（14），权利关系（15）和授权关系（17） 。 主题（11）和对象（12）被分配以设置安全实体。 主体安全实体集（13）和对象安全实体集（14）分别被定义为主体和对象的集合。 在主体安全实体集合（13）和对象安全实体集合（14）之间建立正确关系（15）。 授权关系（17）使主体（11）和对象（12）分别附属于主体安全实体集合（13）和对象安全实体集合（14）。 根据授予的安全实体集和设定权关系确定对主体（11）或对象（12）的访问权。

公开(公告)号：KR100657353B1

公开(公告)日：2006-12-14

申请号：KR1020050067968

申请日：2005-07-26

Applicant: (주)안랩시큐브레인 ,  전남대학교산학협력단

Inventor： 김정순 ,  김민수 ,  노봉남 ,  이병철 ,  김동근 ,  이재서 ,  조주봉 ,  임종혁 ,  정종민 ,  최민호 ,  이승용

IPC: G06F15/00

Abstract: A security system capable of accepting diverse access control policies, and a method and a recording medium thereof are provided to easily manage and verify the policies for access control, and enable a manager to easily modify design to apply diverse security models. A security manager(30) determines access permission to an object(70) of a subject(10) by using access right information preset to the object accessed from the subject and action performed to the object from the subject. A security agent(20) requests the access permission to the object of the subject by offering subject, object, and action information to the security manager according to a request from the subject. A security control mediation module(50) finally determines the access permission to the object of the subject by checking the abnormal action through statistical analysis for the subject requesting the access permission. The security agency includes a message maker(21) forms the subject, object, and action information into a message.

Abstract translation: 提供一种能够接受多种访问控制策略的安全系统及其方法和记录介质，以便于管理和验证访问控制策略，并使管理员能够容易地修改设计以应用各种安全模型。 安全管理器（30）通过使用预设给从对象访问的对象的访问权信息和从对象对对象执行的动作来确定对对象（10）的对象（70）的访问许可。 安全代理（20）根据来自主体的请求向安全管理器提供主体，对象和动作信息，向主体的对象请求访问许可。 安全控制中介模块（50）通过针对请求访问权限的主体的统计分析来检查异常行为，最终确定对主体的对象的访问许可。 安全机构包括一个消息制作者（21）将消息中的主题，对象和动作信息组成一个消息。