公开(公告)号：KR100602920B1

公开(公告)日：2006-07-24

申请号：KR1020050123700

申请日：2005-12-15

Applicant: 주식회사 정보보호기술 ,  전남대학교산학협력단

Inventor： 이성권 ,  노봉남 ,  김용민 ,  김동국 ,  박준형 ,  노상균 ,  문길종

IPC: G06F15/00

Abstract: 본 발명은 인터넷상의 각종 봇(Bot)과 웜(Worm) 바이러스들을 효율적으로 탐지하기 위한 탐지척도선정방법에 관한 것으로 더욱 상세하게는 규칙기반 프로파일링에 의한 네트워크 레벨에서의 오용행위 탐지기법을 적용하여 봇과 웜바이러스를 탐지하기 위한 방법에 관한 것으로서 패킷 데이터의 헤더부분을 탐색하는 단계; 상기 헤더정보에서 척도를 선정하는 단계; 상기 분리된 세션에서 공격과 정상행위 분포 사이의 거리를 계산하는 단계; 상기 계산 결과에서 PDD(Probability Distribution Distance)가 임계값 보다 큰 탐지척도만을 선정하는 단계; 상기 선정된 탐지척도의 속성을 정의하는 단계; 상기 속성중 웜 또는 봇으로 판단되는 속성을 추출하는 단계;에 의해 이루어진다.
봇, 웜, 악성봇, 탐지패턴

Abstract translation: 通过由各种博特（BOT）的应用在网络级的滥用行为的检测技术，本发明和蜗杆（WORM）更具体地，以规则为基础分析涉及用于病毒的互联网上的有效检测检测尺的选择方法 一种用于检测bot和蠕虫病毒的方法，该方法包括：搜索分组数据的报头部分; 从标题信息中选择一个比例; 计算分离的会话中攻击与正常活动分布之间的距离; 从计算结果中仅选择具有大于阈值的PDD（概率分布距离）的检测测量; 定义所选检测度量的属性; 并提取被确定为蠕虫或机器人的属性的属性。

公开(公告)号：KR100615080B1

公开(公告)日：2006-08-25

申请号：KR1020050123724

申请日：2005-12-15

Applicant: 주식회사 정보보호기술 ,  전남대학교산학협력단

Inventor： 이성권 ,  노봉남 ,  김용민 ,  김동국 ,  김민수 ,  박준형 ,  정일안 ,  노상균 ,  문길종

IPC: H04L12/22 ,  H04L12/26 ,  H04L9/28

Abstract: 본 발명은 선정된 탐지척도를 이용하여 규칙기반의 탐지패턴을 자동으로 생성할 수 있도록 TCP(Transmission Control Protocol) 세션기반 분류모델에 의한 악성 봇과 웜의 탐지패턴 자동생성 방법에 관한 것으로서, 네트워크 데이터의 프로토콜 헤더로부터 TCP 세션 기반 통계적 정보를 추출하고 가공하는 단계; 앞 단계에서의 데이터 가공을 통해 얻은 탐지척도에 기반하여 의사결정나무 알고리즘을 이용해서 나무 모형을 생성한 후 탐지규칙으로 정형화(탐지패턴 자동 생성)하는 학습단계; 그리고 각 네트워크의 세션이 끝날 때 정보를 탐지규칙과 비교하여 매칭되면 알람을 울리고 이에 해당되는 규칙을 살펴봄으로 공격의 특징을 분류하는 실험 및 분석 단계를 구성한 것을 특징으로 한다.
봇과 웜 탐지, TCP 세션 기반 탐지, 악성봇과 웜 탐지, 탐지패턴 자동 생성, 패킷 헤더영역 탐지, 의사결정나무, 분류 알고리즘, 탐지규칙, 침입탐지, 침입패턴

Abstract translation: 本发明涉及由（传输控制协议）TCP基于会话的分类模型自动生成的恶意机器人和蠕虫自动生成的检测图案的检测图案的方法基于规则，使用所选择的检测尺，网络数据 从会话的协议头中提取和处理基于TCP会话的统计信息; 后基于通过使用决策树算法通过前一步骤的处理获得的检测数据的度量产生一个树模型形式化规则来检测（自动检测图案生成），该学习阶段; 并且，在每个网络会话结束时，将信息与检测规则进行比较，如果匹配，则发出警报，并且通过检查相应规则来构建对攻击的特征进行分类的实验和分析步骤。

公开(公告)号：KR100877911B1

公开(公告)日：2009-01-12

申请号：KR1020080010034

申请日：2008-01-31

Applicant: 전남대학교산학협력단

Inventor： 노봉남 ,  김동국 ,  김용민 ,  노상균 ,  문길종

IPC: G06F15/16 ,  G06F15/00

Abstract: A method for detecting a P2P(Peer to Peer)-based bot-net by using a network traffic transfer model is provided to detect a bot-net quickly and correctly by generating and matching a detection model with a suspicious traffic in the P2P network. A traffic flow group is generated by collecting and clustering network connection flow on the network. Information, which represents that a state of the traffic flow group is changed, is collected and a multi-frequency matrix is formed and trained based on the collected information. A multi-state transfer probability model is obtained by generating a probability matrix for all attacks of the bot-net and the probability matrix for normality through a learning process. The probability model is matched with the model for the state transfer information, which is collected from the traffic of the network in real time. It is detected whether the malicious bot-net is found by comparing a model matching result value with a preset threshold.

Abstract translation: 提供一种通过使用网络流量传输模型来检测基于P2P（对等）的bot网络的方法，通过生成并匹配检测模型与P2P网络中的可疑流量来快速正确地检测僵尸网络。 通过网络上的网络连接流的收集和聚类来生成流量组。 表示交通流组的状态被改变的信息被收集，并且基于所收集的信息形成和训练多频矩阵。 通过在学习过程中生成用于bot网络的所有攻击的概率矩阵和用于正常性的概率矩阵，获得多状态转移概率模型。 概率模型与状态转移信息模型匹配，该模型是从网络流量实时收集的。 通过将模型匹配结果值与预设阈值进行比较来检测是否发现恶意bot网络。