-
公开(公告)号:KR1020110009813A
公开(公告)日:2011-01-31
申请号:KR1020090067208
申请日:2009-07-23
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
CPC classification number: H04L63/1408 , H04L45/7453 , H04L2463/146
Abstract: PURPOSE: A system and a method for detecting and tracking an attack of an all-IP network environment are provided to reversely track attach origin site information when a DDoS(Distribute Denial of Service) attack occurs in an all-IP network environment. CONSTITUTION: A manager data unit manages a router. The manager data unit stores and manages various information for reversely tracking attack traffic. A router managing unit manages information of a router managed by a manager system. An attack packet managing unit performs management for reversely tracking attack traffic. A protocol processing unit transceives traffic.
Abstract translation: 目的:提供一种用于检测和跟踪全IP网络环境攻击的系统和方法,用于在全IP网络环境中发生DDoS(分布式拒绝服务)攻击时反向跟踪附加原始站点信息。 规定:经理数据单元管理路由器。 管理器数据单元存储和管理用于反向跟踪攻击流量的各种信息。 路由器管理单元管理由管理器系统管理的路由器的信息。 攻击包管理单元执行用于反向跟踪攻击流量的管理。 协议处理单元收发流量。
-
公开(公告)号:KR1020110043373A
公开(公告)日:2011-04-27
申请号:KR1020090100463
申请日:2009-10-21
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
CPC classification number: H04L63/1458 , H04L63/14 , H04L63/0281 , H04L63/1416 , H04L65/1006
Abstract: PURPOSE: A SIP protocol service denial attack detection using a hidden markov model, a blocking system and method thereof are provided to instantly block the SIP service denial attack. CONSTITUTION: An attack detection and judgment module(116) receives a probability obtained per each model through a SIP normal modeling unit(124). The attack detection and judgment module presently judges whether the behavior is anomaly or not. The attack detection and judgment module compares the received probability value with a critical value obtained from a normal behavior modeling. If the probability value has a lower figure, the attack detection and judgment module determines the current behavior as an invasion. A user information storing unit(121) stores and manages IP, MA information or e-mail information of a user.
Abstract translation: 目的:提供使用隐马尔可夫模型的SIP协议服务拒绝攻击检测,阻塞系统及其方法,以立即阻止SIP服务拒绝攻击。 构成:攻击检测和判断模块(116)通过SIP正常建模单元(124)接收每个模型获得的概率。 攻击检测和判断模块现在判断该行为是否是异常的。 攻击检测和判断模块将接收到的概率值与从正常行为建模获得的临界值进行比较。 如果概率值具有较低的数字,则攻击检测和判断模块将当前行为确定为入侵。 用户信息存储单元(121)存储和管理用户的IP,MA信息或电子邮件信息。
-
公开(公告)号:KR1020110043371A
公开(公告)日:2011-04-27
申请号:KR1020090100461
申请日:2009-10-21
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
CPC classification number: H04L63/1416 , H04L63/0227 , H04L63/0281 , H04L63/0428 , H04L63/083 , H04L65/1006
Abstract: PURPOSE: An attack detecting method using a safe sip protocol and system thereof are provided to supply a protocol which a reinforced authentication and security about a SIP packet. CONSTITUTION: An SIP analysis module(252) checks a session status through an IP former model. If the checked session state is a negotiation state, the SIP analyzed module checks the state through encoding/decoding algorithm(258). The SIP analysis module updates a backlist to a blacklist storing unit or outputs a packet. The encoding/decoding algorithm operates with a SIP formal model unit and the SIP analysis module. The encoding/decoding algorithm encodes or decodes a communication packet corresponding to various password algorithms.
Abstract translation: 目的:提供一种使用安全SIP协议及其系统的攻击检测方法,以提供对SIP分组进行加强认证和安全性的协议。 构成:SIP分析模块(252)通过IP前端模型检查会话状态。 如果所检查的会话状态是协商状态,则SIP分析模块通过编码/解码算法(258)检查状态。 SIP分析模块将黑名单更新到黑名单存储单元或输出分组。 编码/解码算法使用SIP形式模型单元和SIP分析模块进行操作。 编码/解码算法对与各种密码算法相对应的通信包进行编码或解码。
-
Patent Agency Ranking
公开(公告)号:KR101089269B1
公开(公告)日:2011-12-02
申请号:KR1020090100461
申请日:2009-10-21
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
Abstract: 본 발명은 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격탐지방법 및 시스템에 관한 것으로, 복수의 클라이언트가 유무선통신망을 통해 에스아이피(SIP:Session Initiation Protocol) 프로토콜 파이어월(Firewall)을 구비한 프락시(Proxy)서버와 연결된 상태에서 보안 기능을 제공하는 에스아이피 프로토콜 기반 공격탐지시스템에 있어서, SIP 파이어월(24)은 입력되는 통신패킷을 필터링하는 SIP 패킷필터링모듈(242), 필터링된 통신패킷의 IP 혹은 MAC을 인증하기 위한 IP/MAC 인증모듈(244), 상기 IP/MAC 인증모듈(244)에 의해 인증된 통신패킷의 세션을 분류하기 위한 세션분류모듈(246), 상기 세션분류모듈(246)을 통과한 통신패킷을 추출하여 SIP 키를 확인하고 세션키를 생성하는 SIP 키 확인 및 생성모듈(254), 장치 전반을 제어하는 중앙제어부(240), 상기 세션� ��류모듈(246)을 통과한 통신패킷을 분류하여 분석하여 SIP 상태 테이블(264)에 저장하고 SIP 세션을 생성하고 SIP 포멀모델부(256)를 통해 세션상태를 체크하여 협상상태인 경우 암호화/복호화 알고리듬(258)을 통해 상태를 체크하며 블랙리스트 저장부(266)에 블랙리스트로 갱신시키거나 혹은 패킷을 출력하는 SIP 분석모듈(252), 다양한 포멀(formal)모델을 구비하여 상기 SIP 분석모듈(252)과 연동하여 동작하는 SIP 포멀모델부(256), 상기 SIP 분석모듈(252)과 함께 동작하며 다양한 형태의 공격에 대응하여 통신패킷을 암호화하거나 복호화하는 암호화/복호화 알고리듬(258)을 포함하여 이루어진 것을 특징으로 한다.
에스아이피, 세션키, 암호화, 복호화-
公开(公告)号:KR101060612B1
公开(公告)日:2011-08-31
申请号:KR1020090067205
申请日:2009-07-23
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
Abstract: 본 발명은 감사자료 기반의 웹 공격 이벤트 추출 시스템에 관한 것으로, 웹IDS를 통해 웹 로그를 분석하여 공격을 탐지하는 웹 공격 이벤트 추출시스템에 있어서, 웹 로그, 방화벽 로그, 시스템 로그 정보를 수집하여 통합로그정보를 생성하는 통합로그 생성 및 생성된 통합로그정보를 정규화하는 통합로그 수집 및 정규화모듈과, 정규화된 통합로그정보를 분석하는 다중 웹 세션분석모듈과, 정규화된 통합로그정보의 상관관계를 분석하는 상관분석모듈과, 상기 다중 웹 세션 분석모듈과 상관분석모듈로부터 분석된 데이터를 토대로 웹 공격이벤트를 탐지 및 추출하는 웹 공격탐지 및 추출모듈을 포함하여 이루어진 것을 특징으로 한다.
통합로그, 정규화, 가중치, 웹공격 이벤트, 추출, 탐지-
公开(公告)号:KR1020110009811A
公开(公告)日:2011-01-31
申请号:KR1020090067205
申请日:2009-07-23
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
CPC classification number: H04L63/1425 , H04L43/16 , H04L63/02 , H04L63/1416
Abstract: PURPOSE: A web attack event extracting system based on monitoring data and a method thereof are provided to analyze an alert message generated from an IDS(Intruduction Detection System) and a firewall based on a web log. CONSTITUTION: An integrated log collecting and normalizing module(20) generates integrated log information. The integrated log collecting and normalizing module normalize the generated integrated log information. A multiple web session analysis module(30) analyzes the normalized integrated log information. A correlation analysis module(40) analyzes correlation of the normalized integrated log information. A web attack detecting and extracting module(50) detects and extracts a web attack event based on data analyzed from the correlation analysis module and the multiple web session analysis module.
Abstract translation: 目的:提供基于监控数据的Web攻击事件提取系统及其方法,以分析从IDS(Intruduction Detection System)和基于Web日志的防火墙生成的警报消息。 构成:集成的日志收集和归一化模块(20)生成集成的日志信息。 集成的日志收集和归一化模块对生成的集成日志信息进行规范化。 多个网络会话分析模块(30)分析归一化的集成日志信息。 相关分析模块(40)分析归一化的综合日志信息的相关性。 Web攻击检测和提取模块(50)基于从相关分析模块和多个web会话分析模块分析的数据来检测和提取web攻击事件。
-
公开(公告)号:KR101095878B1
公开(公告)日:2011-12-21
申请号:KR1020090100463
申请日:2009-10-21
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
CPC classification number: H04L63/1458 , H04L63/14
Abstract: 본 발명은 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템에 관한 것으로, 유무선통신망을 통해 연결된 하나 이상의 클라이언트 및 프락시 서버를 포함하는 은닉마르코프모델을 이용한 SIP 프로토콜 서비스 거부 공격 탐지 및 차단 시스템에 있어서, 장치 전반을 제어하는 중앙제어부(110), 입력되는 SIP 통신패킷을 파싱하되, SIP 파싱 과정에서 공격으로 판정되면, 공격자에 대한 IP와 Mac 정보를 세션 및 블랙리스트 테이블 중 블랙리스트에 등록하는 SIP 파싱모듈(112), 세션 및 블랙리스트 테이블(129)과 연계하여 세션 및 블랙리스트를 체크하는 블랙리스트 체크모듈(114), 상기 SIP 파싱모듈(112)를 통해 파싱된 데이터를 HMM의 입력 시퀀스로 변환하기 위한 데이터 가공과정을 수행하는 전처리모듈(122), Baum-Welch 알고리즘(128)을 이용하여 SIP 프로토콜을 모델링하는 학습모듈로서의 SIP 노멀 모델링부(124), 은닉마르코프 기반 SIP 정상 모델과 전처리 과정에서 생성된 시퀀스를 입력하여 각 정상 행위에서 현재 행위가 생성되었을 확률을 forward-backward procedure 알고리즘(126) 이용하여 구하고, 상기 SIP 노멀 모델링부(124)를 통해 각 모델별로 구해진 확률을 전달받아 비정상 행위인지 판정하고, 정상행위 모델링으로부터 구해진 임계값(threshold)과 비교하여 더 낮은 수치를 가질 경우 침입으로 판정하는 공격탐지 및 판정모듈(116), 사용자의 IP나 MAC 정보, 이메일 정보등을 저장 및 관리하는 사용자 정보저장부(121), 및 세션 및 블랙리스트를 저장 및 관리하는 세션 및 블랙리스트 테이블(129),을 포함하여 이루어진 것을 특징으로 한다.
은닉마르코프모델, 에스아이피, 전처리모듈, 공격탐지 및 차단-
公开(公告)号:KR101060615B1
公开(公告)日:2011-08-31
申请号:KR1020090067208
申请日:2009-07-23
Applicant: 충남대학교산학협력단 , 한신대학교 산학협력단
Abstract: 본 발명은 올아이피네트워크 환경의 공격 탐지 및 추적 방법에 관한 것으로, 복수개의 소스 및 목적지 단말기, 싱크홀라우터(시스템)를 포함한 복수개의 라우터(router)(시스템), 매니저(서버컴퓨터시스템)(이하, 매니저 시스템이라 함)가 서로 유무선 통신망으로 연결된 올아이피네트워크 환경의 공격 탐지 및 추적 시스템을 이용한 올아이피네트워크 환경의 공격 탐지 및 추적 방법에 있어서, 매니저 시스템, 라우터간에 정보 설정을 초기화하는 제 1단계와, 매니저 시스템에서 각각 라우터로 싱크홀 라우터 결정사항을 통보하는 제 2단계와, 피해시스템으로부터 공격 발생에 관한 통보를 받을 경우 매니저 시스템은 공격 패킷의 해쉬 정보를 각 라우터에 전송하여 공격리스트에 등록/업데이트 하도록 하는 제3 단계와, 일반 사용자에 의해 공격패킷이 발생하여 전송될 경우 라우터에서는 자신의 공격 리스트에 기록된 값과 일치하는 해쉬 값을 갖고 있는지 판단하는 제4단계를 포함하여 이루어진 것을 특징으로 한다.
싱크홀 라우터, 매니저 시스템, 블룸 필터, 공격 패킷, 역추적
-
-
-
-
-
-
-
Search Results
8
records
(took 0.023 seconds)
