-
公开(公告)号:KR102225460B1
公开(公告)日:2021-03-10
申请号:KR1020190128531A
申请日:2019-10-16
Applicant: 한국전자통신연구원
IPC: H04L29/06
CPC classification number: H04L63/1425 , G06F21/554 , H04L63/1441
Abstract: 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치가 개시된다. 본 발명에 따른 위협 탐지 방법은 복수의 센서들로부터 수집된 대량의 데이터를 가공하여 객체 관계 모델에 상응하게 데이터를 재구성하는 단계; 객체 관계 모델, 대량의 데이터에서 파싱된(PARSING) 로그 정보 및 외부 탐지 정보 중 적어도 하나를 기반으로 위협 헌팅(THREAT HUNTING) 분석 대상을 식별하는 단계; 위협 헌팅 룰(THREAT HUNTING RULE)을 기반으로 위협 헌팅 분석 대상에 관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를 수행하는 단계; 및 탐지된 APT에 대해서 위협수준을 포함하는 위협 헌팅 탐지 데이터를 생성하고, 적어도 하나의 외부 탐지 시스템으로 위협 헌팅 탐지 데이터를 공유하는 단계를 포함한다.
-
公开(公告)号:KR102254220B1
公开(公告)日:2021-05-24
申请号:KR1020190128530
申请日:2019-10-16
Applicant: 한국전자통신연구원
Abstract: 익명화된네트워크트래픽기반의사이버위협정보공유방법및 이를이용한시스템이개시된다. 본발명에따른사이버위협정보공유방법은공유클라이언트가, 개인정보익명화정책을기반으로네트워크트래픽의개인정보를익명화하는단계; 공유서버가, 상기공유클라이언트로부터수신된익명화데이터를기반으로신규탐지규칙을생성하는단계; 및상기공유클라이언트가, 상기공유서버로부터상기신규탐지규칙을공유받아기정의된탐지규칙을업데이트하는단계를포함한다.
-
公开(公告)号:KR102225460B1
公开(公告)日:2021-03-10
申请号:KR1020190128531
申请日:2019-10-16
Applicant: 한국전자통신연구원
IPC: H04L29/06
Abstract: 다중센서데이터를이용한위협헌팅기반의위협탐지방법및 이를이용한장치가개시된다. 본발명에따른위협탐지방법은복수의센서들로부터수집된대량의데이터를가공하여객체관계모델에상응하게데이터를재구성하는단계; 객체관계모델, 대량의데이터에서파싱된(PARSING) 로그정보및 외부탐지정보중 적어도하나를기반으로위협헌팅(THREAT HUNTING) 분석대상을식별하는단계; 위협헌팅룰(THREAT HUNTING RULE)을기반으로위협헌팅분석대상에관련된 APT(ADVANCED PERSISTENT THREAT) 탐지를수행하는단계; 및탐지된 APT에대해서위협수준을포함하는위협헌팅탐지데이터를생성하고, 적어도하나의외부탐지시스템으로위협헌팅탐지데이터를공유하는단계를포함한다.
-
公开(公告)号:KR100791412B1
公开(公告)日:2008-01-07
申请号:KR1020060023064
申请日:2006-03-13
Applicant: 한국전자통신연구원
IPC: G06F11/00
CPC classification number: G06Q10/107
Abstract: 본 발명은 실시간 사이버위협정보 전송 시스템 및 방법에 관한 것으로서, 대규모의 클라이언트 지원을 위하여 서버의 과부하를 최소화 할 수 있도록 설계되어, 사이버위협 또는 사이버공격에 대하여 대응방안을 포함한 중요 보안정보를 SMS 메시지, 이메일 메시지, 팝업 메시지를 포함한 다수의 전송방법을 통해 사용자에게 실시간으로 전달하여 사용자가 사이버위협에 효과적이고 능동적으로 신속하게 대응할 수 있도록 함으로써, 중요시스템 및 서비스에 대한 사이버위협 피해를 최소화 할 수 있다.
사이버위협, 웜ㆍ바이러스, 해킹, 실시간 알리미 시스템, SMS 메시지 전송, 팝업 메시지 전송, 이메일 메시지 전송-
5.发明授权
公开(公告)号:KR100748246B1
公开(公告)日:2007-08-10
申请号:KR1020060028232
申请日:2006-03-29
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: A multi-step integrated security management system using an intrusion detection log collection engine and a traffic statistics generation engine, and a method thereof are provided to reduce a false detection rate by relating/analyzing an intrusion detection log collected in the intrusion detection log collection engine and traffic quantity generated from the traffic statistics generation engine. Each monitoring agent(100) is installed to each agency using the independent network, and comprises the intrusion detection log collection engine(101) collecting the intrusion detection log and the traffic statistics generation engine(102) collecting traffic statistics. Each management server(200,300) separately or mutually analyzes the intrusion detection log and the traffic statistics received from each monitoring agent. The intrusion detection log collection engine includes an external interface accessing an IDS(Intrusion Detection System) to collect the intrusion detection engine, a format converter, a log contractor, and a transmitter. The traffic statistics generation engine includes a network interface, a packet analyzer, a traffic information manager, a statistics information generator, and the transmitter.
Abstract translation: 提供了使用入侵检测日志收集引擎和流量统计生成引擎的多步骤集成安全管理系统及其方法,以通过关联/分析在入侵检测日志收集引擎中收集的入侵检测日志来减少误检率 以及来自流量统计生成引擎的流量。 每个监控代理(100)使用独立网络安装到每个代理,并且包括收集入侵检测日志的入侵检测日志收集引擎(101)和收集流量统计的流量统计生成引擎(102)。 每个管理服务器(200,300)分别或相互分析从每个监视代理接收到的入侵检测日志和流量统计。 入侵检测日志收集引擎包括访问IDS(入侵检测系统)以收集入侵检测引擎的外部接口,格式转换器,日志承包商和发送器。 流量统计生成引擎包括网络接口,分组分析器,交通信息管理器,统计信息生成器和发送器。
-
Patent Agency Ranking
公开(公告)号:KR101505845B1
公开(公告)日:2015-03-26
申请号:KR1020140012641
申请日:2014-02-04
Applicant: 한국전자통신연구원
IPC: H04L12/70
CPC classification number: H04L67/146 , H04L63/14
Abstract: 본 발명의 실시예에 따른 패킷 처리 장치는 복수의 HTTP 패킷으로 구성된 패킷 그룹을 복수의 세션 파일로 분류하여, 분배하는 세션 처리부, 복수의 세션 파일에 기초하여 분배된 각각의 세션 파일에서 개별적으로 메타 데이터를 생성 및 콘텐츠를 추출하는 병렬 처리부 및 병렬 처리부에서 생성된 메타 데이터 또는 추출된 콘텐츠를 저장하는 저장부를 포함한다.
Abstract translation: 根据本发明实施例的分组处理装置包括:会话处理单元,将配置有多个HTTP分组的分组组分类成多个会话文件,并分发多个会话文件; 并行处理单元,分别从基于所述多个会话文件分发的每个会话文件生成元数据,并提取内容; 以及存储由并行处理单元生成的元数据或提取的内容的存储单元。
-
公开(公告)号:KR101492442B1
公开(公告)日:2015-02-24
申请号:KR1020140002912
申请日:2014-01-09
Applicant: 한국전자통신연구원
CPC classification number: H04L63/0272 , H04L63/0428 , H04L63/14
Abstract: 해커가 자신의 접속 위치를 위장하고 행위 은닉을 위한 목적으로 VPN(Virtual Private Network) 서버를 경유지로 이용하여 공격하고자 정상 패킷으로 위장한 것에 대한 증거 확보를 수행하는 패킷 분석 장치 및 방법과 VPN 서버가 개시된다. 본 발명에 따른 패킷 분석 장치는 MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.
Abstract translation: 用于分析数据包的装置和方法以及VPN服务器,其将用作伪装成正常分组的黑客的证据证实为通过使用虚拟专用网(VPN)服务器来伪装他的虚拟专用网(VPN)服务器来执行攻击 或她的访问位置和行为。 根据本发明的用于分析分组的装置分析由基于MPPE的PPTP VPN服务器收集的分组,并且包括:分组分类单元,将从主机提供和收集的分组分类为加密的VPN分组和纯文本分组; 第一比较和分析单元对加密的VPN分组进行解密,以将隐藏在加密的VPN分组之后的隐藏IP数据报的内容与目标之间的明文IP数据报的内容进行比较,以由平原中包含的主机发送加密的VPN分组 文本包 以及第二比较和分析单元,比较隐藏IP数据报和明文IP数据报的长度。
-
公开(公告)号:KR101259910B1
公开(公告)日:2013-05-02
申请号:KR1020110119112
申请日:2011-11-15
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1483
Abstract: PURPOSE: An apparatus for detecting a modulated URL by HTTP header analysis and a method thereof are provided to remove a threat connected to a malicious site without the consent of a user by checking whether a corresponding URL is modulated or not before connecting the URL which is possibly modulated on a webpage of a connected website. CONSTITUTION: An apparatus for detecting modulated URL includes a control unit(10), a URL information collecting unit(40), a URL HTTP header analyzing unit(50), and a URL modulation checking unit(60). The control unit controls the operation of each unit of the apparatus for detecting the modulated URL. The URL information collecting unit collects URL information linked with a webpage selected by a user on a connected website if the user terminal executes a web browser and connects to the website of which URL is inputted by a user. The URL HTTP header analyzing unit analyzes HTTP header information from collected URL information if the URL information is collected by the URL information collecting unit. The URL modulation checking unit determines a corresponding URL if retransmission information from the corresponding URL to different URL does not exist in a HTTP header as a result of the HTTP header information analysis of the URL HTTP header analyzing unit. [Reference numerals] (10) Control unit; (20) Input unit; (30) Output unit; (40) URL information collecting unit; (50) URL HTTP header analyzing unit; (60) URL modulation checking unit
Abstract translation: 目的:提供一种用于通过HTTP头部分析检测调制的URL的方法及其方法,用于通过在连接URL之前检查对应的URL是否被调制来消除连接到恶意站点的威胁,而不是由用户同意 可能调制在连接网站的网页上。 构成:用于检测调制URL的装置包括控制单元(10),URL信息收集单元(40),URL HTTP头分析单元(50)和URL调制检查单元(60)。 控制单元控制用于检测调制URL的设备的每个单元的操作。 如果用户终端执行网络浏览器并且连接到用户输入的URL的网站,则URL信息收集单元收集与连接的网站上的用户所选择的网页链接的URL信息。 如果URL信息由URL信息收集单元收集,则URL HTTP头分析单元从收集的URL信息中分析HTTP头信息。 作为URL HTTP头分析单元的HTTP头信息分析的结果,URL调制检查单元确定对应的URL,如果来自不同URL的对应URL的重传信息不存在于HTTP报头中。 (附图标记)(10)控制单元; (20)输入单元; (30)输出单元; (40)URL信息收集单元; (50)URL HTTP头分析单元; (60)URL调制检查单元
-
公开(公告)号:KR100864867B1
公开(公告)日:2008-10-23
申请号:KR1020070125652
申请日:2007-12-05
Applicant: 한국전자통신연구원
IPC: H04B1/40
CPC classification number: G06F21/563 , G06F21/562
Abstract: An apparatus and a method for detecting a malicious file in a portable terminal are provided to detect the malicious file according to the attribute of a file used in a portable terminal, thereby dealing with an attack of an unknown new malicious code. A method for detecting a malicious file in a portable terminal comprises the following steps of: determining whether an inspection target file is an executable file format(310); determining whether plural execution files are bound to the inspection target file(312); determining whether the inspection target file uses an API(Application Program Interface) for generating a process(314); determining whether the inspection target file uses a call connection API(316); determining whether the inspection target file uses a text transmission API(318); determining whether the inspection target file uses a GUI(Graphic User Interface) generating API(320); determining the inspection target file as a normal file finally when it is determined that the inspection target file uses the GUI generating API(322); and determining the inspection target file as the malicious file finally when it is determined that the inspection target file does not use the GUI generating API(324).
Abstract translation: 提供了一种用于检测便携式终端中的恶意文件的装置和方法,用于根据便携式终端中使用的文件的属性来检测恶意文件,从而处理未知新的恶意代码的攻击。 一种用于在便携式终端中检测恶意文件的方法包括以下步骤:确定检查对象文件是否为可执行文件格式(310); 确定多个执行文件是否被绑定到检查目标文件(312); 确定所述检查目标文件是否使用API(应用程序接口)来生成过程(314); 确定检查目标文件是否使用呼叫连接API(316); 确定检查目标文件是否使用文本传输API(318); 确定检查目标文件是否使用GUI(图形用户界面)生成API(320); 当确定检查目标文件使用GUI生成API(322)时,最终将检查目标文件确定为正常文件; 以及当确定所述检查对象文件不使用所述GUI生成API时,最终将所述检查目标文件确定为恶意文件(324)。
-
公开(公告)号:KR1020070093214A
公开(公告)日:2007-09-18
申请号:KR1020060023064
申请日:2006-03-13
Applicant: 한국전자통신연구원
IPC: G06F11/00
CPC classification number: G06Q10/107
Abstract: A system and a method for transmitting cyber threat information in real time is provided to transmit the cyber threat information to a user through three methods(SMS(Short Message Service) message transmission, e-mail message transmission and pop-up message transmission), thereby preventing or minimizing damage caused by worm virus, hacking or the like by enabling a user to immediately coping with the worm virus, hacking or the like. A system for transmitting cyber threat information in real time comprises the followings: an administrator authentication and session management module(101) which authenticates an administrator terminal for managing security information including a response plan to the cyber threat or cyber attack, and assigns sessions; a bulletin managing module(102) which generates bulletins so that the administrator terminal can register, edit, delete a new bulletin and attach a file to the new bulletin, decides a real time cyber threat information transmission object and selects a transmission method from an SMS(Short Message Service), an e-mail and a pop-up; a user managing module(103) which can manage personal information and transmission history of a user and designate specific users as a group; a DB(Database) input/output module(104) for processing corresponding data in correspondence with a DB input/output request for the new bulletin, the transmission object and the transmission method; and transmission modules(105-107) for transmitting the new bulletins according to the selected transmission method if the new bulletin is registered.
Abstract translation: 提供实时传输网络威胁信息的系统和方法,通过三种方法(SMS(短消息业务)消息传输,电子邮件消息传输和弹出消息传输)向用户发送网络威胁信息, 从而通过使用户能够立即应对蠕虫病毒,黑客攻击等,从而防止或最小化由病毒,黑客等引起的损害。 一种实时传输网络威胁信息的系统包括:管理员认证和会话管理模块(101),用于认证用于管理安全信息的管理员终端,包括对网络威胁或网络攻击的响应计划,并分配会话; 公告管理模块(102),其生成公告,使得管理员终端可以注册,编辑,删除新公告并将文件附加到新公告,确定实时网络威胁信息传输对象,并从SMS中选择传输方法 (短消息服务),电子邮件和弹出窗口; 用户管理模块(103),其可以管理用户的个人信息和传输历史,并将特定用户指定为组; DB(数据库)输入/输出模块(104),用于处理与新公告的DB输入/输出请求对应的对应数据,传输对象和传输方法; 以及如果新公告被注册,则根据所选择的传输方法传输新公告的传输模块(105-107)。
-
-
-
-
-
-
-
-
-
Search Results
11
records
(took 0.019 seconds)
