-
公开(公告)号:KR100832539B1
公开(公告)日:2008-05-27
申请号:KR1020060123197
申请日:2006-12-06
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1425 , H04L63/0263
Abstract: A multi-pattern search method using a pattern board which doesn't support a multi-pattern and an apparatus for the same are provided to implement multi-pattern searching through a pattern board supporting only single-pattern searching by configuring a bitmap table for search rules and creating a pattern index table containing the input pattern information of each pattern board. A multi-pattern search apparatus comprises a search rule setup part(410), an information storage part(420), and a multi-pattern judgement part(430). The search rule setup part creates a bitmap table, which contains rule indexes, pattern information, and bitmap information, and a pattern index table, which contains the input pattern and pattern index information of each pattern board corresponding to each of the patterns of the bitmap table. The information storage part stores the bitmap table and the pattern index table. Using the pattern boards, the multi-pattern judgement part extracts one or more patterns from an input stream, confirms a search rule associated with the extracted patterns through the pattern index table, and judges the existence of a multi-pattern in the input stream through the bitmap table.
Abstract translation: 提供了使用不支持多模式的图案板的多图案搜索方法及其装置,以通过配置用于搜索的位图表来仅支持单样式搜索的图案板来实现多图案搜索 规则并创建包含每个模板的输入模式信息的模式索引表。 多图案搜索装置包括搜索规则设置部分(410),信息存储部分(420)和多模式判断部分(430)。 搜索规则设置部分创建包含规则索引,模式信息和位图信息的位图表,以及模式索引表,其包含与位图的每个模式对应的每个模板的输入模式和模式索引信息 表。 信息存储部存储位图表和图案索引表。 使用图案板,多图案判断部分从输入流中提取一个或多个图案,通过图案索引表确认与提取的图案相关联的搜索规则,并通过输入流中的多个图案的存在来判断 位图表。
-
公开(公告)号:KR1020080050194A
公开(公告)日:2008-06-05
申请号:KR1020070029347
申请日:2007-03-26
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L41/22 , H04L61/6086
Abstract: An apparatus and a method for integratedly managing invasion detection rules in an IPv4 and IPv6 combined network are provided to easily re-use an already developed IPv4 and IPv6 intrusion detection system by using a framework of an invasion detection rule integrated management. A GUI(Graphic User Interface)(110) receives an intrusion detection rule from the exterior. A correlation analyzer(120) analyzes the correlation between an IPv4 and an IPv6 included in the received intrusion detection rule, and automatically converts the received intrusion detection rule by using the analyzed results. A storage unit(150) stores the correlation information between the converted intrusion detection rule and the IPv4 and the IPv6 in a corresponding database. An IPv4 intrusion detection rule manager(130) manages an intrusion detection rule of an IPv4 and transfers the intrusion detection rule of the IPv4 and the previously stored correlation information to an IPv4-based IDS(Intrusion Detection System)(20). An IPv6 intrusion detection rule manager(140) manages an intrusion detection rule of the IPv6, and transfers the intrusion detection rule of the IPv6 and the previously stored correlation information to an IPv6-based IDS(10).
Abstract translation: 提供了一种综合管理IPv4和IPv6组合网络入侵检测规则的装置和方法,通过使用入侵检测规则集成管理框架,轻松重用已开发的IPv4和IPv6入侵检测系统。 GUI(图形用户界面)(110)从外部接收入侵检测规则。 相关分析器(120)分析接收到的入侵检测规则中包含的IPv4与IPv6之间的相关性,并通过使用分析结果自动转换接收到的入侵检测规则。 存储单元(150)在相应的数据库中存储转换的入侵检测规则与IPv4与IPv6之间的相关信息。 IPv4入侵检测规则管理器(130)管理IPv4的入侵检测规则,并将IPv4的入侵检测规则和先前存储的相关信息传送到基于IPv4的IDS(入侵检测系统)(20)。 IPv6入侵检测规则管理器(140)管理IPv6的入侵检测规则,并将IPv6的入侵检测规则和先前存储的相关信息传输到基于IPv6的IDS(10)。
-
公开(公告)号:KR1020070061017A
公开(公告)日:2007-06-13
申请号:KR1020060031486
申请日:2006-04-06
Applicant: 한국전자통신연구원
Abstract: A device and a method for blocking web application attacks are provided to manage the modified web application attacks in real-time by using an input value verification filter mode, and reduce hacking desire of an attacker by converting the web application attacks into a normal pattern. An input value verifier(240) determines the attack by verifying an input value included in the web service request data. An input value filter(250) edits to remove attack elements included in the web service request data determined as the attack. A data transferor(260) transfers the web service request data not determined as the attack and the edited web service request data. The input value verifier includes a URL(Uniform Resource Locator) input parameter verifier(242), a form/script variable filed verifier(244) detecting a form/script variable value used for a cross site script attack, an IDS(Intrusion Detection System) bypass code verifier(246), and an SQL(Structured Query Language) query verifier(248) detecting a character not permitted by SQL.
Abstract translation: 提供一种阻止Web应用程序攻击的设备和方法,通过使用输入值验证过滤器模式实时管理修改的Web应用程序攻击,并通过将Web应用程序攻击转换为正常模式来减少攻击者的黑客需求。 输入值验证器(240)通过验证web服务请求数据中包括的输入值来确定攻击。 输入值过滤器(250)编辑以去除被确定为攻击的web服务请求数据中包括的攻击元素。 数据传送器(260)传送未被确定为攻击的Web服务请求数据和编辑的Web服务请求数据。 输入值验证器包括URL(统一资源定位器)输入参数验证器(242),检测用于跨站点脚本攻击的表单/脚本变量值的表单/脚本变量归档验证器(244),IDS(入侵检测系统 )旁路代码验证器(246)和检测SQL不允许的字符的SQL(结构化查询语言)查询验证器(248)。
-
公开(公告)号:KR100609710B1
公开(公告)日:2006-08-08
申请号:KR1020040097474
申请日:2004-11-25
Applicant: 한국전자통신연구원
IPC: G06F15/16
CPC classification number: H04L41/145 , H04L41/142 , H04L63/1425 , H04L63/1433
Abstract: 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그 방법이 개시된다. 트래픽 수집부는 네트워크로부터 실시간 트래픽 정보를 수집하고, 시뮬레이터는 실시간 트래픽 정보를 기초로 정상적인 트래픽 환경의 패킷을 모델링한 정상 패킷 및 트래픽 폭주 공격 환경의 패킷을 모델링한 이상 패킷을 포함하는 가상 트래픽을 발생하는 가상 네트워크 토폴로지 환경에서 소정의 시나리오에 따라 시뮬레이션을 수행한다. 그리고 인터페이스부는 시뮬레이션 결과를 사용자에게 제공한다. 이로써, 관리 대상 네트워크의 이상 트래픽을 탐지, 분석하고 적절한 대응 정책을 세울 수 있다.
가상 네트워크 토폴로지, 가상 트래픽, 실시간 트래픽, 시뮬레이션-
公开(公告)号:KR1020060068510A
公开(公告)日:2006-06-21
申请号:KR1020040107223
申请日:2004-12-16
Applicant: 한국전자통신연구원
CPC classification number: H04L63/029 , H04L63/1416 , H04L69/16 , H04L69/167
Abstract: Provided are a system and method for coping with encrypted harmful traffic in hybrid IPv4/IPv6 networks. The system includes: an encryption key manager collecting encryption key information from a user terminal connected to the hybrid IPv4/IPv6 networks, and storing and managing the information in an encryption key database; an encryption traffic collector collecting encrypted traffic from traffic in the hybrid IPv4/IPv6 networks; an encryption key searcher searching for an encryption key used to decrypt the encrypted traffic from the encryption key database using a source IP address and a destination IP address of the encrypted traffic; a harmful traffic determiner decrypting the encrypted traffic using the encryption key and determining whether the decrypted traffic is harmful traffic; and an encryption traffic processor, if the decrypted traffic is determined to be harmful traffic, blocking the harmful traffic and, if the decrypted traffic is determined to be normal traffic, encrypting the normal traffic, and transferring the encrypted traffic to a user terminal corresponding to the destination IP address, thereby detecting and blocking an attack pattern using the encrypted harmful traffic in hybrid IPv4/IPv6 networks which cannot be detected by a conventional firewall system and more effectively protecting the networks.
-
Patent Agency Ranking
公开(公告)号:KR1020050028187A
公开(公告)日:2005-03-22
申请号:KR1020030064573
申请日:2003-09-17
Applicant: 한국전자통신연구원
IPC: H04L12/28
CPC classification number: H04L63/1441 , H04L2463/146
Abstract: A real-time connection traceback apparatus using a connection resetup technique and a method thereof are provided to swiftly and exactly trace the actual location of an attacker system even though an attacker attacks a specific system via many systems. A real-time connection traceback apparatus using a connection resetup technique consists of an attack detection part(200), a packet interruption part(210), a response packet creation part(220), a path traceback part(230), and a watermark detection part(240). The attack detection part(200) detects the attack of a system damaged by an external attacker, catches the attack path of the damaged system, extracts the source/destination IP addresses and port number of the attack path, and outputs an attack detection signal containing the extracted IP addresses and port number. The packet interruption part(210), receiving the attack detection signal, intercepts attack packets and response packets. The response packet creation part(220) creates a response packet as a response signal for an attack packet intercepted by the packet interruption part(210). The watermark detection part(240) detects whether a watermark is contained in a packet received from the external. The path traceback part(230), in response to the response packet created and transmitted from the response packet creation part(220), receives a detection packet from another traceback system.
Abstract translation: 提供使用连接重置技术的实时连接回溯装置及其方法,以便即使攻击者通过许多系统攻击特定系统来迅速且精确地跟踪攻击者系统的实际位置。 使用连接重置技术的实时连接追溯装置由攻击检测部分(200),分组中断部分(210),响应分组创建部分(220),路径回溯部分(230)和水印 检测部(240)。 攻击检测部(200)检测受到外部攻击者损坏的系统的攻击,捕获受损系统的攻击路径,提取攻击路径的源/目的IP地址和端口号,并输出攻击检测信号 提取的IP地址和端口号。 接收攻击检测信号的分组中断部分(210)拦截攻击报文和响应报文。 响应分组创建部分(220)创建响应分组作为由分组中断部分(210)截取的攻击分组的响应信号。 水印检测部(240)检测从外部接收的分组中是否包含水印。 路径追溯部(230)响应于从响应包创建部(220)创建并发送的响应包,从另一追溯系统接收检测包。
-
公开(公告)号:KR1020060058788A
公开(公告)日:2006-06-01
申请号:KR1020040097474
申请日:2004-11-25
Applicant: 한국전자통신연구원
IPC: G06F15/16
CPC classification number: H04L41/145 , H04L41/142 , H04L63/1425 , H04L63/1433
Abstract: 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그 방법이 개시된다. 트래픽 수집부는 네트워크로부터 실시간 트래픽 정보를 수집하고, 시뮬레이터는 실시간 트래픽 정보를 기초로 정상적인 트래픽 환경의 패킷을 모델링한 정상 패킷 및 트래픽 폭주 공격 환경의 패킷을 모델링한 이상 패킷을 포함하는 가상 트래픽을 발생하는 가상 네트워크 토폴로지 환경에서 소정의 시나리오에 따라 시뮬레이션을 수행한다. 그리고 인터페이스부는 시뮬레이션 결과를 사용자에게 제공한다. 이로써, 관리 대상 네트워크의 이상 트래픽을 탐지, 분석하고 적절한 대응 정책을 세울 수 있다.
가상 네트워크 토폴로지, 가상 트래픽, 실시간 트래픽, 시뮬레이션-
公开(公告)号:KR100564752B1
公开(公告)日:2006-03-27
申请号:KR1020030084976
申请日:2003-11-27
Applicant: 한국전자통신연구원
IPC: H04L12/22
Abstract: 역추적 관리 시스템 및 그 방법이 개시된다. 역추적 결과 확인부는 역추적 시스템의 역추적 진행 상황과 결과를 포함하는 역추적 정보를 요청하는 명령을 역추적 시스템 측에 구비된 소정의 역추적 관리 에이전트로 전송한다. 역추적 시스템 관리부는 역추적 시스템의 시작, 정지, 재시작을 포함하는 동작 제어 명령을 역추적 관리 에이전트로 전송한다. 로그 확인부는 역추적 시스템에서 수행하는 역추적과 관련된 각종 로그 기록을 요청하는 명령을 상기 역추적 관리 에이전트로 전송한다. 이로써, 원격지에서 다수의 역추적 시스템을 효율적으로 제어하고 관리할 수 있다
역추적 시스템 관리, 역추적 결과 확인, 로그 확인, 역추적 관리 에이전트-
公开(公告)号:KR1020050046924A
公开(公告)日:2005-05-19
申请号:KR1020030080541
申请日:2003-11-14
Applicant: 한국전자통신연구원
IPC: H04L12/22
CPC classification number: H04L63/1441 , H04L63/1416 , H04L2463/146
Abstract: 연결 기반 역추적 장치 및 방법이 개시된다. 패킷 식별부는 공격패킷에 대한 응신으로 출력되는 응답패킷을 식별한다. 표식 삽입부는 응답패킷에 공격자 시스템의 위치를 역추적하기 위한 소정의 표식을 삽입하여 전송한다. 시퀀스 관리부는 표식의 삽입으로 변경된 응답 패킷의 시퀀스 정보를 변경전의 시퀀스 정보와 함께 저장하고 응답패킷에 대한 응신으로 소정의 패킷을 수신하면 수신한 패킷의 시퀀스 정보를 저장된 시퀀스 정보를 기초로 변경하여 전송한다. 이로써, 공격자 시스템과 피해 시스템사이의 TCP 연결을 유지하고 공격자 시스템의 위치를 역추적할 수 있다.
-
公开(公告)号:KR100785790B1
公开(公告)日:2007-12-13
申请号:KR1020060081840
申请日:2006-08-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L61/2592
Abstract: An intrusion detection supporting device for tunneled packets under IPv4(Internet Protocol version 4)/IPv6 mixed environment and a method therefor are provided to perform intrusion detection for tunneled packets under tunneling environment to an IPv4 network from an IPv6 network and IPv6 tunneling in the IPv4 network, thus intrusion detection for the tunneled packets is available. A decider(110) decides whether received packets are tunneled. If so, a packet converter(120) converts the packets into packet types before being tunneled, and outputs the converted packets to an intrusion detection system, depending on in which part of IPv4 and IPv6 networks the converted packets are included. An alarm collector(140) collects intrusion alarms for the converted packets. A packet manager(130) generates alarm/correspondent information of the received packets based on the intrusion alarms and conversion information on the received packets.
Abstract translation: 提供IPv4(Internet Protocol Version 4)/ IPv6混合环境下的隧道包入侵检测支持设备及其方法,以便在隧道环境下对IPv6网络中的IPv4网络和IPv4中的IPv6隧道进行入侵检测 网络,因此隧道报文的入侵检测可用。 决定器(110)决定接收的分组是否被隧道传送。 如果是这样,则分组转换器(120)在被隧道化之前将分组转换成分组类型,并且根据IPv4和IPv6网络中包含转换的分组的哪一部分将转换的分组输出到入侵检测系统。 报警收集器(140)收集转换的数据包的入侵报警。 分组管理器(130)基于接收到的分组的入侵报警和转换信息,生成接收到的分组的报警/通信信息。
-
-
-
-
-
-
-
-
-
Search Results
17
records
(took 0.027 seconds)
