-
-
-
公开(公告)号:KR101775514B1
公开(公告)日:2017-09-06
申请号:KR1020110117300
申请日:2011-11-11
Applicant: 한국전자통신연구원
Abstract: 기존의트래픽볼륨기반의탐지방식, 또는시그널링기반탐지방식으로는정상트래픽과공격트래픽을구분하기어려울뿐만아니라, 트래픽의볼륨만으로이동통신네트워크의 RAN(Radio Access Network) 상태를측정하기어려우며, 공격발생시그 대응또한매우어렵다. 이에본 발명의실시예에서는, 이동통신네트워크에서기존의트래픽볼륨기반이상/공격탐지기술과시그널링기반탐지기술로탐지할수 없는 RAN에대한네트워크공격(예를들어, DoS, DDoS 등)을정확하게탐지하고대응하여안정적인이통통신네트워크서비스를제공할수 있는네트워크공격탐지및 대응기술을제공하고자한다.
Abstract translation: 基于该检测方法,或信令基于检测方法euroneun不仅难以区分正常流量现有的交通量,攻击流量时,难以仅通过交通量来测量所述移动通信网络状态的RAN(无线电接入网络),攻击发生时, 答复也很困难。 在本发明中,在RAN中的网络攻击不能与基于体积的传统交通更高/攻击检测技术来检测和在移动通信网络中的信令基于检测技术(例如,DOS,DDoS攻击等)的实施例中,准确地检测 相应地提供了网络攻击检测和响应技术,可以提供稳定的伊通通信网络服务。
-
公开(公告)号:KR1020160099159A
公开(公告)日:2016-08-22
申请号:KR1020150020976
申请日:2015-02-11
Applicant: 한국전자통신연구원
IPC: H04L29/06
CPC classification number: H04L63/1425 , H04L63/1416
Abstract: 본발명은사용자장치에서발생하는시스템호출들각각이속하는분류에관한분류정보를저장하는분류정보스토리지, 각각이정상코드가실행될때 발생하는시스템호출들에기초하여생성된하나이상의정상호출모델들및 각각이악성코드가실행될때 발생하는시스템호출들에기초하여생성된하나이상의악성호출모델들에관한정보를저장하는모델정보스토리지, 사용자장치에서실행된어플리케이션에의해발생한시스템호출들을포함하는탐지대상호출패턴의데이터를제공받는데이터수신기, 분류정보를참조하여탐지대상호출패턴에포함되는시스템호출들에관한특성을추출하는어플리케이션특성추출기, 및정상호출모델들및 악성호출모델들중 적어도하나와추출된특성을비교하여어플리케이션의실행코드가악성인지여부를탐지하는코드탐지기를포함하는전자시스템을제공한다. 본발명에따르면, 이미알려진악성코드뿐만아니라, 변종악성코드또는알려지지않은악성코드가탐지될수 있다.
Abstract translation: 根据本发明,提供了一种用于检测恶意代码的电子系统,该系统包括:分类信息存储,其存储关于在用户设备上生成的每个系统呼叫的类别的分类信息; 模型信息存储器,其存储关于基于在执行正常代码时生成的相应系统调用产生的一个或多个正常呼叫模型的信息;以及基于在执行恶意代码时生成的相应系统呼叫生成的一个或多个恶意呼叫模型; 数据接收器,其接收包括由在所述用户设备上执行的应用所生成的系统呼叫的检测对象呼叫模式的数据; 应用特征提取器,其通过参照分类信息来提取检测对象呼叫模式中包含的系统呼叫的特征; 以及代码检测器,通过将所提取的特征与正常呼叫模型和恶意呼叫模型中的至少一个进行比较来检测应用的执行代码是否是恶意的。 根据本发明,不仅可以检测到已知的恶意代码,还可以检测到变种的恶意代码或未知的恶意代码。
-
公开(公告)号:KR101575282B1
公开(公告)日:2015-12-09
申请号:KR1020110124760
申请日:2011-11-28
Applicant: 한국전자통신연구원
IPC: G06F21/00
CPC classification number: H04L63/0407 , G06F21/6245 , G06F21/6254 , G06F21/6263 , H04L63/1441
Abstract: 본발명은보안관리도메인들간에익명식별자기반의보안정보를공유하기위한에이전트장치및 방법에관한것이고, 보다상세하게는보안정보공유를원하는보안관리도메인들이신뢰할수 있는도메인에존재하는보안분석대행에이전트장치를통해개인정보를추출할수 없는해쉬식별자를사용하여보안정보를공유하게함으로써, 공유되는보안정보에포함된개인정보를효과적으로보호할수 있도록하는보안관리도메인들간에익명식별자기반의보안정보를공유하기위한에이전트장치및 방법에관한것이다.
-
Patent Agency Ranking
-
公开(公告)号:KR1020140006408A
公开(公告)日:2014-01-16
申请号:KR1020120073225
申请日:2012-07-05
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L43/062 , H04L41/145 , H04L43/08 , H04L63/1425
Abstract: Disclosed are an apparatus for quantifying the abnormality of an abnormal host and a method thereof. The apparatus for quantifying abnormality according to the present invention comprises: an analysis component extractor for extracting analysis components in a DNS traffic; a node classifier for modeling the analysis components according to a classification rule and classifying terminal nodes within a network based on the modeling result; a basic probability extractor for checking a relative distribution corresponding to the terminal node classification result and extracting a basic probability value based on the check result; a counter for classifying malicious zombie nodes by using the basic probability value, extracting domain information among traffics from the malicious zombie nodes to a DNS server, and counting the number of domain occurrences based on the extracted domain information; and a quantifying part for extracting a quantified value of the malicious domains based on the number of domain occurrences and quantifying the abnormal value of the abnormal host based on the quantified value. [Reference numerals] (110) Analysis component extractor; (120) Node classifier; (130) Basic probability extractor; (140) Counter; (150) Quantifying part
Abstract translation: 公开了一种用于量化异常主机的异常的装置及其方法。 根据本发明的用于量化异常的装置包括:用于提取DNS业务中的分析组件的分析部件提取器; 一种用于根据分类规则建模分析组件并基于建模结果对网络内的终端节点进行分类的节点分类器; 基本概率提取器,用于检查对应于终端节点分类结果的相对分布,并且基于检查结果提取基本概率值; 通过使用基本概率值对恶意僵尸节点进行分类的计数器,从恶意僵尸节点到DNS服务器的流量中提取域信息,并根据提取的域信息对域数发生次数进行计数; 以及量化部,其基于域发生次数提取恶意域的量化值,并根据量化值量化异常主机的异常值。 (附图标记)(110)分析部件提取器; (120)节点分类器; (130)基本概率提取器; (140)柜台; (150)量化部分
-
公开(公告)号:KR1020130052077A
公开(公告)日:2013-05-22
申请号:KR1020110117300
申请日:2011-11-11
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/1458 , H04L63/20
Abstract: PURPOSE: A network attack detecting and responding device and a method thereof are provided to accurately detect a network attack for a RAN(Radio Access Network) which is not able to be detected with a signal based detecting method. CONSTITUTION: A resource usage amount gathering unit(100) collects resource usage information provided through a network. A resource usage amount analysis unit(102) analyzes and classifies attributions and resources collected through the usage amount collecting unit. An attack detecting unit(104) detects a traffic attack by comparing a profile in each port and resource usage information analyzed through the resource usage analysis unit. An attack responding unit(106) generates a security policy for user information detected from the attack detecting unit. The attack response unit transmits the generated security policy to each security device. [Reference numerals] (1) Network; (100) Resource usage amount gathering unit; (102) Resource usage amount analysis unit; (104) Attack detecting unit; (106) Attack responding unit
Abstract translation: 目的:提供一种网络攻击检测和响应设备及其方法,以准确检测无法使用基于信号的检测方法检测的RAN(无线接入网络)的网络攻击。 构成:资源使用量收集单元(100)收集通过网络提供的资源使用信息。 资源使用量分析单元(102)分析并分类通过使用量收集单元收集的属性和资源。 攻击检测单元(104)通过比较每个端口中的简档和通过资源使用分析单元分析的资源使用信息来检测流量攻击。 攻击响应单元(106)生成从攻击检测单元检测到的用户信息的安全策略。 攻击响应单元将生成的安全策略传送到每个安全设备。 (附图标记)(1)网络; (100)资源使用量收集单位; (102)资源使用量分析单位; (104)攻击检测单元; (106)攻击响应单元
-
公开(公告)号:KR100979200B1
公开(公告)日:2010-08-31
申请号:KR1020080074726
申请日:2008-07-30
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/1441
Abstract: 본 발명은 보안정보, 및 네트워크 구성정보를 GIS(Grographic Information System) 기반의 지리정보와 매핑하여 표시함으로써 정확한 위치에 네트워크 정보를 표현 가능하며, 네트워크 관리자가 별도의 작업을 통해 지도상에 네트워크 장치, 및 상황을 표시할 필요가 없도록 하는 GIS 기반의 네트워크 정보 표시장치에 관한 것이다. 이를 위해 본 발명은, 외부 네트워크 장치로부터 네트워크 정보를 수신하며, GIS 기반의 지리정보를 구비하고, 위치정보에 응답하여 위치정보에 해당하는 지리정보를 생성하는 지리정보 처리모듈, 및 위치정보에 대응되는 지리정보에 네트워크 정보를 매핑하여 표현하며, 보안 문제를 유발하는 패킷의 공격 위치, 경유지, 및 목표위치를 라인으로 연결하고, 패킷의 공격 유형과 위험 수준에 따라 라인의 폭과 색상을 미리 정해진 폭과 색상으로 가변하여 네트워크 정보를 직관적으로 표현하는 네트워크 정보 처리모듈을 포함한다.
GIS, 네트워크 정보, 보안 이벤트, 트래픽, 지리정보-
公开(公告)号:KR1020090113745A
公开(公告)日:2009-11-02
申请号:KR1020080100299
申请日:2008-10-13
Applicant: 한국전자통신연구원
Abstract: PURPOSE: A network attack location searching method and system using a spy-bot agent is provided to detect and trace the attacker over wide place by obtaining the packet information of the packet which accesses the each host from a remote place. CONSTITUTION: A back tracking server(300) detects one or more dangerous host through host scanning. A spy-bot management server(200) transmits the spy-bot agents(100) to the detected dangerous host. The spy-bot management server obtains packet information of the packet which accesses the each dangerous host through spy-bot agents. The back tracking server references the obtained packet information and reversely traces the starting point of the hacking code.
Abstract translation: 目的:提供使用间谍机构代理的网络攻击位置搜索方法和系统,通过从远程地点获取每个主机访问的数据包的数据包信息,在广泛的位置检测和跟踪攻击者。 构成:后跟踪服务器(300)通过主机扫描来检测一个或多个危险的主机。 间谍机器人管理服务器(200)将间谍机构代理(100)发送到检测到的危险主机。 间谍机器人管理服务器通过间谍机构代理获取访问每个危险主机的数据包的数据包信息。 后跟踪服务器引用获取的数据包信息,并反向跟踪黑客代码的起点。
-
-
-
-
-
-
-
-
-
Search Results
72
records
(took 0.03 seconds)
