-
公开(公告)号:KR1020070050727A
公开(公告)日:2007-05-16
申请号:KR1020050108290
申请日:2005-11-12
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/101 , H04L69/16 , H04L69/161
Abstract: A method of blocking network attacks using information included in a packet, and an apparatus thereof are provided. The method includes: receiving a packet containing information on the packet including at least information on a source from which the packet is sent, and information on a destination to which the packet is sent; and extracting the information on the packet included in the packet, comparing the information with a predetermined access control condition, and blocking or passing the packet. By doing so, a packet being transferred with a routing header capable of bypassing a security device as in an Internet Protocol version 6 (IPv6) network can be appropriately blocked or passed. Accordingly, security problems caused by the routing header can be overcome, and as a result, usage of the routing header can be promoted. Also, since a routing header can be used for transmitting a packet along a desired path, the routing header can be widely used without security problems, and can ease network security concerns relating to IPv6 networks that are expected to come into increasingly wide use.
-
公开(公告)号:KR100576726B1
公开(公告)日:2006-05-03
申请号:KR1020030097762
申请日:2003-12-26
Applicant: 한국전자통신연구원
IPC: H04L12/26 , H04L12/801 , H04L12/22
Abstract: 비교값 테이블을 이용한 조건 비교 장치 및 방법이 개시된다. 테이블 작성부는 패킷을 구성하는 항목의 값을 순서에 따라 정렬하고, 정렬된 항목의 값인 비교기준값에 대해 제1기준 및 제2기준에 의해 조건을 분류하여 상기 제1기준 및 제2기준에 각각 대응하는 제1리스트 및 제2리스트를 생성한 후 비교기준값에 대한 제1리스트 및 제2리스트가 기재된 비교값 테이블을 작성한다. 검색부는 비교값 테이블의 비교기준값 중에서 수신된 패킷을 구성하는 필드의 값보다 크거나 같은 값 중에서 최소값을 검색하거나 상기 비교값 테이블의 비교기준값 중에서 수신된 패킷을 구성하는 필드의 값보다 작거나 같은 값 중 최대값을 검색한다. 비교부는 검색된 최소값이 수신된 패킷의 필드값과 다르면 제1리스트를 결과값으로 돌려주고, 수시된 패킷의 필드값과 동일하면 제2리스트를 결과값으로 돌려준다. 본 발명에 따르면, 미리 규칙을 조사하여 최적화된 자료 구조인 비교값 테이블을 사용하여 규칙을 저장하므로 실제 패킷이 도착했을 때 검색 시간을 단축시킬 수 있다.
네트워크, 조건 비교, 침입탐지, 패킷 필터링-
公开(公告)号:KR1020050066471A
公开(公告)日:2005-06-30
申请号:KR1020030097762
申请日:2003-12-26
Applicant: 한국전자통신연구원
IPC: H04L12/26 , H04L12/801 , H04L12/22
CPC classification number: H04L43/16 , H04L63/1425
Abstract: 비교값 테이블을 이용한 조건 비교 장치 및 방법이 개시된다. 테이블 작성부는 패킷을 구성하는 항목의 값을 순서에 따라 정렬하고, 정렬된 항목의 값인 비교기준값에 대해 제1기준 및 제2기준에 의해 조건을 분류하여 상기 제1기준 및 제2기준에 각각 대응하는 제1리스트 및 제2리스트를 생성한 후 비교기준값에 대한 제1리스트 및 제2리스트가 기재된 비교값 테이블을 작성한다. 검색부는 비교값 테이블의 비교기준값 중에서 수신된 패킷을 구성하는 필드의 값보다 크거나 같은 값 중에서 최소값을 검색한다. 비교부는 검색된 최소값이 수신된 패킷의 필드값과 다르면 제1리스트를 결과값으로 돌려주고, 수시된 패킷의 필드값과 동일하면 제2리스트를 결과값으로 돌려준다. 본 발명에 따르면, 미리 규칙을 조사하여 최적화된 자료 구조인 비교값 테이블을 사용하여 규칙을 저장하므로 실제 패킷이 도착했을 때 검색 시간을 단축시킬 수 있다.
-
公开(公告)号:KR100912541B1
公开(公告)日:2009-08-18
申请号:KR1020070029347
申请日:2007-03-26
Applicant: 한국전자통신연구원
Abstract: 본 발명은, 인터넷 프로토콜 버전 4/인터넷프로토콜 버전 6 혼합망에서의 침입탐지규칙 통합 관리를 위한 것으로서, IPv4/IPv6 침입탐지시스템과 독립적으로 칩입탐지규칙 통합 관리 장치를 구현하며, 상기 칩입탐지규칙 통합 관리 장치에서 외부로부터 수신된 침입탐지규칙에 포함된 인터넷 프로토콜 버전 4 주소 및 인터넷 프로토콜 버전 6 주소 간의 연관성을 분석하고, 분석된 결과를 이용하여 상기 수신된 침입탐지규칙을 자동 변환한 후 상기 변환된 침입탐지규칙을 해당 데이터베이스에 저장하고, 상기 변환된 침입탐지규칙 및 연관성 정보를 해당 침입탐지시스템으로 전달함으로써, 효과적으로 침입탐지규칙을 통합 관리할 수 있다.
IPv4/IPv6 혼합망, 침입탐지시스템(IDS), 침입탐지규칙, 연관성 분석, 자동 변환.-
公开(公告)号:KR100818307B1
公开(公告)日:2008-04-01
申请号:KR1020060121834
申请日:2006-12-04
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L63/0263 , H04L69/16 , H04L69/163
Abstract: An apparatus and a method for detecting IPv6 attack packets are provided to detect and cope with the attack of IPv6 packets by judging the attack possibility of IPv6 packets and tunneling packets and intercepting or deleting packets having some possibility of making an attack. An apparatus for detecting IPv6 attack packets comprises a control part(400), a preprocessing part(100), an attack judgment part(200) and a packet processing part(300) and a traffic information storage part(500). The control part establishes attack judgment rules and attack packet processing rules, and controls the operations of the attack judgment part and the packet processing part by using the traffic information of attack packet stored at the traffic information storage part. The preprocessing part decodes IPv6 packets and tunneling packets and classifies the decoded packets according to payload and header structures. Using the classified packet information, the attack judgment part judges the attack possibility of each packet according to the established attack judgment rules, and detects an attack by using the vulnerability of IPv6 protocol. Based on a judgment result from the attack judgment part and the attack packet processing rules, the packet processing part intercepts, deletes or forwards packets or creates intrusion detection information.
Abstract translation: 提供一种检测IPv6攻击报文的装置和方法,通过判断IPv6报文的攻击可能性和隧道报文,拦截或删除具有一定攻击可能性的报文,来检测和处理IPv6报文的攻击。 一种用于检测IPv6攻击分组的装置,包括控制部分(400),预处理部分(100),攻击判断部分(200)和分组处理部分(300)和交通信息存储部分(500)。 控制部分通过使用存储在交通信息存储部分的攻击包的交通信息来建立攻击判断规则和攻击包处理规则,并且控制攻击判断部分和包处理部分的操作。 预处理部分解码IPv6报文和隧道报文,根据有效载荷和报头结构对解码后的报文进行分类。 使用分类的分组信息,攻击判断部分根据已建立的攻击判断规则判断每个分组的攻击可能性,并通过使用IPv6协议的漏洞来检测攻击。 根据攻击判断部分的判断结果和攻击包处理规则,包处理部分截取,删除或转发数据包或创建入侵检测信息。
-
Patent Agency Ranking
公开(公告)号:KR100651743B1
公开(公告)日:2006-12-01
申请号:KR1020050101350
申请日:2005-10-26
Applicant: 한국전자통신연구원
IPC: G11C15/00
Abstract: A method and an apparatus for generating and searching TCAM entry are provided to execute full-matching search and range search, using a single TCAM entry by configuring the single TCAM entry to be combined with a full-matching value by replacing a range with a specific bit. According to a method for generating a TCAM(Ternary Content Addressable Memory) entry(100) consisting of upper m bits for range search and lower n bits for full-matching search, it is judged whether an entry to be added is a range search entry(102) or a full-matching search entry(104). If the added entry is for range search, a new range item is added; the bit index corresponding to the added range item is set as the value of the upper m bits, which is defined by a range table(110), and the lower n bits are set as 'don't care bit'(x); and a new TCAM entry consisting of (m+n) bits is added to a TCAM table. If the entry is for full-matching search, the upper m bits are set as '0' and the lower n bits are set as the value of the added entry.
Abstract translation: 提供通过配置单TCAM条目来执行全匹配搜索和范围搜索,使用单个TCAM条目的方法,以及用于产生和搜索TCAM条目的装置与全匹配值被组合由具有特定取代的范围 位。 根据用于产生TCAM(三态内容可寻址存储器)条目(100),包括用于范围搜索高m位和用于全匹配搜索较低n位的方法,它被判断为加到的条目是否是一个范围搜索条目 (102)或全匹配搜索条目(104)。 如果添加的条目用于范围搜索,则添加新的范围条目; 将对应于所添加的范围项目的比特索引设置为由范围表(110)定义的高m位的值,并且将低n位设置为“不关心比特”(x);并且, 并且将由(m + n)个比特组成的新的TCAM条目添加到TCAM表中。 如果条目用于完全匹配搜索,则高位m位设置为'0',低位n位设置为添加条目的值。
-
公开(公告)号:KR1020060059524A
公开(公告)日:2006-06-02
申请号:KR1020040098637
申请日:2004-11-29
Applicant: 한국전자통신연구원
IPC: H04L12/28
CPC classification number: H04L47/2441 , H04L45/48 , H04L45/745
Abstract: 본 발명은 필드 레벨을 이용한 패킷 분류 방법 및 장치에 관한 것으로, (a) 포함 관계가 성립하는 주소 정보에 패킷 분류 규칙을 통하여 포함 관계를 추출하고 단계별로 세부 번호를 부여하여 필드 레벨을 생성하는 필드 레벨 생성단계; (b) 상기 (a)단계에서 생성된 필드 레벨 각각에 대한 패킷 분류 규칙의 마스크와 패킷 분류 규칙의 필드 레벨을 저장하고, 상기 필드 레벨 생성부에서 생성된 필드 레벨이 상기 주소 정보와 매칭되도록 TCAM에 저장하는 필드 레벨 저장 제어단계; 및 (c) 외부로부터 패킷이 도착하였을 경우 상기 패킷이 주소 정보를 상기 TCAM으로 송신하고 상기 TCAM 룩업으로 획득한 필드 레벨을 수신하고 상기 필드 레벨 저장제어부에 저장된 각각의 주소 정보에 대한 패킷 분류 규칙의 마스크와 패킷 분류 규칙의 필드 레벨을 로딩하여 연산 과정을 수행함으로써 포함관계가 성립되는지 여부를 판단하는 비교 판단단계;로 구성된다. 따라서, 포함관계가 발생하는 주소로 이루어진 규칙들을 놓치지 않고 모두 찾을 수 있다.
-
公开(公告)号:KR100785790B1
公开(公告)日:2007-12-13
申请号:KR1020060081840
申请日:2006-08-28
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L61/2592
Abstract: An intrusion detection supporting device for tunneled packets under IPv4(Internet Protocol version 4)/IPv6 mixed environment and a method therefor are provided to perform intrusion detection for tunneled packets under tunneling environment to an IPv4 network from an IPv6 network and IPv6 tunneling in the IPv4 network, thus intrusion detection for the tunneled packets is available. A decider(110) decides whether received packets are tunneled. If so, a packet converter(120) converts the packets into packet types before being tunneled, and outputs the converted packets to an intrusion detection system, depending on in which part of IPv4 and IPv6 networks the converted packets are included. An alarm collector(140) collects intrusion alarms for the converted packets. A packet manager(130) generates alarm/correspondent information of the received packets based on the intrusion alarms and conversion information on the received packets.
Abstract translation: 提供IPv4(Internet Protocol Version 4)/ IPv6混合环境下的隧道包入侵检测支持设备及其方法,以便在隧道环境下对IPv6网络中的IPv4网络和IPv4中的IPv6隧道进行入侵检测 网络,因此隧道报文的入侵检测可用。 决定器(110)决定接收的分组是否被隧道传送。 如果是这样,则分组转换器(120)在被隧道化之前将分组转换成分组类型,并且根据IPv4和IPv6网络中包含转换的分组的哪一部分将转换的分组输出到入侵检测系统。 报警收集器(140)收集转换的数据包的入侵报警。 分组管理器(130)基于接收到的分组的入侵报警和转换信息,生成接收到的分组的报警/通信信息。
-
公开(公告)号:KR100759819B1
公开(公告)日:2007-09-18
申请号:KR1020060047542
申请日:2006-05-26
Applicant: 한국전자통신연구원
CPC classification number: H04L63/1416 , H04L61/6059 , H04L69/22
Abstract: An apparatus and a method for inspecting the extension header of an IPv6(Internet Protocol version6) packet are provided to enable a user to perform inspection for a packet as the user wants by enabling rule technique for inspecting the extension header of the IPv6 packet and apply the rule technique to invasion detection, invasion interception, and a fire wall. An apparatus for inspecting the extension header of an IPv6(Internet Protocol version6) packet(110) comprises the followings: a rule representing unit(10) which represents an inspection rule including at least one inspection condition for the extension header; and an inspection unit(12) which inspects the extension header of the IPv6(Internet Protocol version6) packet according to the inspection rule. The inspection rule is represented by a tag including an extension header type identifier, a comparing item identifier of the extension header, and a comparing expression for inspecting the comparing item.
Abstract translation: 提供了一种用于检查IPv6(因特网协议版本6)分组的扩展报头的装置和方法,以使用户能够通过启用规则技术来检查IPv6分组的扩展报头并应用 入侵检测,入侵拦截和防火墙的规则技术。 一种用于检查IPv6(因特网协议版本6)分组(110)的扩展报头的装置包括以下:表示单元(10)的规则,其表示检查规则,其包括用于扩展报头的至少一个检查条件; 以及根据检查规则检查IPv6(因特网协议版本6)分组的扩展报头的检查单元(12)。 检查规则由包括扩展头类型标识符,扩展头的比较项标识符和用于检查比较项的比较表达式的标签表示。
-
公开(公告)号:KR1020070024957A
公开(公告)日:2007-03-08
申请号:KR1020050080628
申请日:2005-08-31
Applicant: 한국전자통신연구원
Abstract: An apparatus and a method for intercepting packets are provided to carry out packet processing, such as packet interception, under an IPv6 network environment just as a network manager intended, even though the address of a node within an internal network, a state of the node or an address prefix is changed. An apparatus for intercepting packets comprises a network address management part(210), a host address management part(220), a receiving part(230), an updating part(240), and a packet processing part(250). The network address management part(210) intercepts and manages the packets supplied to an internal network from an external network. The host address management part(220) intercepts or manages packets in transmitting packets to a host from an external network. The receiving part(230), in case a network address is changed into the IP address of a host in an internal network or a network prefix is changed, receives an IP address change notification or a network prefix change notification. The updating part(240) updates the network address management part(210) and the host address management part(220) when the receiving part(230) receives the IP address change notification or the network prefix change notification. In transmitting packets to an internal network from an external network, the packet processing part(250) intercepts packets if the validity of the network prefix expired. However, in case the network prefix is valid, the packet processing part(250) transmits packets on the basis of the updated network address management part(210).
Abstract translation: 提供一种用于截取分组的装置和方法,用于在IPv6网络环境下像网络管理者一样进行分组处理,例如分组拦截,即使内部网络中的节点的地址,节点的状态 或更改地址前缀。 拦截分组的装置包括网络地址管理部分(210),主机地址管理部分(220),接收部分(230),更新部分(240)和分组处理部分(250)。 网络地址管理部分(210)拦截并管理从外部网络提供给内部网络的分组。 主机地址管理部分(220)拦截或管理从外部网络向主机发送分组的分组。 在网络地址改变为内部网络中的主机的IP地址或网络前缀的情况下,接收部分(230)被改变,接收IP地址改变通知或网络前缀改变通知。 当接收部分(230)接收到IP地址改变通知或网络前缀改变通知时,更新部分(240)更新网络地址管理部分(210)和主机地址管理部分(220)。 在从外部网络向内部网络发送分组时,如果网络前缀的有效性已过期,则分组处理部分(250)拦截分组。 然而,在网络前缀有效的情况下,分组处理部(250)基于更新后的网络地址管理部(210)发送分组。
-
-
-
-
-
-
-
-
-
Search Results
24
records
(took 0.018 seconds)
