公开(公告)号：KR102235566B1

公开(公告)日：2021-04-05

申请号：KR1020190039620A

申请日：2019-04-04

Applicant: 한국전자통신연구원

Inventor： 김지수 ,  신충용 ,  김종규 ,  배병철

IPC: G06Q20/40 ,  G06Q20/38 ,  G06Q30/06 ,  H04L9/06

CPC classification number: G06Q20/4016 ,  G06Q20/382 ,  G06Q30/0607 ,  G06Q30/0609 ,  H04L9/06

Abstract: 블록체인 기반 이상행위 탐지 장치 및 방법이 개시된다. 본 발명의 일실시예에 따른 블록체인 기반 이상행위 탐지 방법은 블록체인 기반 이상행위 탐지 장치의 블록체인 기반 이상행위 탐지 방법에 있어서, 블록체인 상의 인증 노드가, 사전에 합의된 인증 방법을 이용하여 인증 요청 노드의 인증을 처리하는 단계; 상기 인증 노드가, 상기 인증 요청 노드에 대한 입력 정보를 생성하고, 상기 블록체인 상의 적어도 하나 이상의 참여 노드에게 상기 입력 정보를 전송하는 단계; 상기 참여 노드가, 상기 입력 정보을 이용하여 상기 인증 요청 노드의 이상행위를 판단하는 단계 및 상기 인증 노드가, 상기 참여 노드가 상기 인증 요청 노드의 이상행위를 판단한 결과에 기반하여 이상행위를 최종 판단하는 단계를 포함한다.

公开(公告)号：WO2015030363A1

公开(公告)日：2015-03-05

申请号：PCT/KR2014/006318

申请日：2014-07-14

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  한유정 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/20 ,  H04L63/0263 ,  H04L63/1416

Abstract: 본 발명은 침입탐지시스템에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 관한 것이다. 침입탐지규칙 간의 유사도 측정 장치는 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부, 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부, 제1 탐지규칙의 탐지규칙 헤더와 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 제1 탐지규칙의 탐지규칙 옵션과 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부를 포함한다.

Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则与基于所识别的包含关系的结果来测量入侵检测相似性之间的相似性来识别入侵检测规则之间的包含关系的装置，以及方法 为此。 用于测量入侵检测规则之间的相似性的装置包括：归一化单元，用于将多个检测规则变换为均匀类型; 分割单元，用于将所述多个变换检测规则中的第一检测规则和第二检测规则分别划分为检测规则报头和检测规则选项; 关系计算单元，用于确定第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系，以及确定第一检测规则的检测规则选项与检测规则选项之间的包含关系 的第二检测规则; 以及相似度测量单元，用于基于检测规则标题的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。

公开(公告)号：KR102235566B1

公开(公告)日：2021-04-05

申请号：KR1020190039620

申请日：2019-04-04

Applicant: 한국전자통신연구원

Inventor： 김지수 ,  신충용 ,  김종규 ,  배병철

IPC: G06Q20/40 ,  G06Q30/06 ,  G06Q20/38 ,  H04L9/06

Abstract: 블록체인기반이상행위탐지장치및 방법이개시된다. 본발명의일실시예에따른블록체인기반이상행위탐지방법은블록체인기반이상행위탐지장치의블록체인기반이상행위탐지방법에있어서, 블록체인상의인증노드가, 사전에합의된인증방법을이용하여인증요청노드의인증을처리하는단계; 상기인증노드가, 상기인증요청노드에대한입력정보를생성하고, 상기블록체인상의적어도하나이상의참여노드에게상기입력정보를전송하는단계; 상기참여노드가, 상기입력정보을이용하여상기인증요청노드의이상행위를판단하는단계및 상기인증노드가, 상기참여노드가상기인증요청노드의이상행위를판단한결과에기반하여이상행위를최종판단하는단계를포함한다.

公开(公告)号：KR1020140070205A

公开(公告)日：2014-06-10

申请号：KR1020120138419

申请日：2012-11-30

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  강정민 ,  배병철

IPC: G06F21/00 ,  G06F15/17 ,  G06F17/18

CPC classification number: H04L63/0263 ,  H04L63/0227 ,  H04L63/1433 ,  H04L63/1466

Abstract: An apparatus and a method for overhauling a firewall policy are disclosed. The apparatus for overhauling a firewall policy according to the present invention includes an intrusion prevention rule acquirement unit for acquiring intrusion prevention rules from a target firewall policy; an anomaly rule detection unit for detecting anomaly rules from relations between the intrusion prevention rules; and a screen display unit for displaying an anomaly rule graph on a screen using the detection results.

Abstract translation: 公开了一种用于大修防火墙策略的设备和方法。 根据本发明的用于检修防火墙策略的装置包括：入侵防御规则获取单元，用于从目标防火墙策略获取入侵防御规则; 异常规则检测单元，用于根据入侵防御规则之间的关系检测异常规则; 以及屏幕显示单元，用于使用检测结果在屏幕上显示异常规则图。

公开(公告)号：KR100482016B1

公开(公告)日：2005-04-14

申请号：KR1020020083750

申请日：2002-12-24

Applicant: 한국전자통신연구원

Inventor： 김은영 ,  배병철 ,  오형근 ,  박중길

IPC: G06F15/00

Abstract: 본 발명은 트랩도어 탐지 시스템 및 방법에 관한 것으로, 컴퓨터 시스템 자원을 실시간 또는 비실시간으로 모니터링하는 실시간 시스템 모니터링 모듈 및 비실시간 시스템 모니터링 모듈, 모니터링된 정보를 토대로 검증된 프로세스 데이터 베이스 및 알려진 트랩도어 데이터 베이스를 이용해 컴퓨터 시스템에서 실행 중인 프로세스 중 트랩도어라고 의심이 가는 프로세스를 필터링하는 프로세스 필터링 모듈, 필터링된 프로세스를 대상으로 실시간 시스템 모니터링 모듈을 이용하여 실시간 모니터링 정보를 재구성하는 프로세스 프로파일 모듈, 프로세스 프로파일링 정보를 토대로 트랩도어 탐지정책 데이터 베이스를 이용하여 알려지지 않은 트랩도어를 탐지하는 트랩도어 탐지 모듈 및 트랩도어라고 판정된 프로그램을 컴퓨터 시스템에서 제거하는 트랩도어 제거 모듈을 포함한다. 따라서, 사용자 시스템에게 악성 행위에 해당하는 트랩도어를 효율적으로 탐지 및 제거함으로써 사용자 시스템을 보호할 수 있는 효과가 있다.

公开(公告)号：KR1020030050085A

公开(公告)日：2003-06-25

申请号：KR1020010080475

申请日：2001-12-18

Applicant: 한국전자통신연구원

Inventor： 이승수 ,  오형근 ,  배병철 ,  고재영

IPC: G06F15/16

Abstract: PURPOSE: A method for detecting a pernicious java applet in a proxy server is provided to prevent a damage caused by a pernicious java applet and to monitor the pernicious java applet without increasing a load of a proxy server. CONSTITUTION: A signature verification is executed with respect to a class file entered in a proxy server(20). A hashing of the class file is executed(22). If a method to be substituted exists(24), the method is substituted(26). In the case that a code for a monitoring is inserted into the substituted method, a monitoring package is inserted in accordance with a set security policy(30). A monitoring code insertion unit discriminates a pernicious code by morning a code transfer or the amount of resources. A new code, which is inserted monitoring code, is signed again(28), and the new code is transmitted to a client(40).

Abstract translation: 目的：提供一种用于检测代理服务器中的恶意Java小应用程序的方法，以防止恶意Java小程序造成的损坏，并监视恶意Java小应用程序，而不增加代理服务器的负载。 构成：对代理服务器（20）中输入的类文件执行签名验证。 执行类文件的散列（22）。 如果存在替代方法（24），则替换方法（26）。 在将替代代码插入替代方法的情况下，根据设定的安全策略（30）插入监视包。 监控代码插入单元通过早上识别代码转移或资源量的恶意代码。 插入监控代码的新代码再次被签名（28），新的代码被传送给客户端（40）。

公开(公告)号：KR100388487B1

公开(公告)日：2003-06-25

申请号：KR1020010061541

申请日：2001-10-05

Applicant: 한국전자통신연구원

Inventor： 박정현 ,  김영진 ,  이윤주 ,  천경열 ,  배병철

IPC: H04L12/28

Abstract: PURPOSE: A method of assigning a dynamic IP address to an Internet service subscriber terminal visiting a 3-generation GPRS(General Packet Radio Service) network and a device thereof are provided to enable a dynamic IP address assignment within a home ISP network through self home ISP network accessing, thereby easily supporting mobility for a mobile ISP network subscriber and supporting a roaming service. CONSTITUTION: A GGSN(Gateway GPRS Support Node)(116) receiving a session generation request transmits an authentication request to an ISP authentication server(405)(S403). The GGSN(116) receiving an authentication message unicast-transmits an IP address request message to a DHCP relay(401)(S407). The DHCP relay(401) relay-transmits the request message to a DHCP server(403)(S411). The DHCP server(403) transmits an IP address supplying message to the DHCP relay(401)(S413). The DHCP relay(401) unicast-transmits the supplying message to the GGSN(116)(S415). The GGSN(116) unicast-transmits an IP address requesting message to the DHCP relay(401)(S417). The DHCP relay(401) relays the requesting message to the DHCP server(403)(S421). The DHCP server(403) transmits an answer message to the DHCP relay(401)(S423). The DHCP relay(401) unicast-transmits the answer message to the GGSN(116)(S425). A mobile ISP subscriber terminal is assigned with an IP address, and forms a session(S427).

Abstract translation: 目的：提供一种为访问第三代GPRS（通用分组无线业务）网络的因特网业务用户终端分配动态IP地址的方法及其设备，以通过自己的家庭在家庭ISP网络内启用动态IP地址分配 ISP网络接入，从而轻松支持移动ISP网络用户的移动性并支持漫游服务。 组成：接收会话产生请求的GGSN（网关GPRS支持节点）（116）向ISP认证服务器发送认证请求（405）（S403）。 接收认证消息的GGSN（116）单播 - 向DHCP中继（401）发送IP地址请求消息（S407）。 DHCP中继器（401）将请求消息中继传输到DHCP服务器（403）（S411）。 DHCP服务器（403）向DHCP中继（401）发送IP地址提供消息（S413）。 DHCP中继（401）将供应消息单播发送到GGSN（116）（S415）。 GGSN（116）单播地向DHCP中继（401）发送IP地址请求消息（S417）。 DHCP中继（401）将请求消息中继到DHCP服务器（403）（S421）。 DHCP服务器（403）向DHCP中继（401）发送答复消息（S423）。 DHCP中继（401）将答复消息单播发送到GGSN（116）（S425）。 移动ISP用户终端被分配IP地址，并形成会话（S427）。

公开(公告)号：KR1020030029268A

公开(公告)日：2003-04-14

申请号：KR1020010061541

申请日：2001-10-05

Applicant: 한국전자통신연구원

Inventor： 박정현 ,  김영진 ,  이윤주 ,  천경열 ,  배병철

IPC: H04L12/28

CPC classification number: H04L61/2015 ,  H04L61/2084 ,  H04W8/26 ,  H04W80/04

Abstract: PURPOSE: A method of assigning a dynamic IP address to an Internet service subscriber terminal visiting a 3-generation GPRS(General Packet Radio Service) network and a device thereof are provided to enable a dynamic IP address assignment within a home ISP network through self home ISP network accessing, thereby easily supporting mobility for a mobile ISP network subscriber and supporting a roaming service. CONSTITUTION: A GGSN(Gateway GPRS Support Node)(116) receiving a session generation request transmits an authentication request to an ISP authentication server(405)(S403). The GGSN(116) receiving an authentication message unicast-transmits an IP address request message to a DHCP relay(401)(S407). The DHCP relay(401) relay-transmits the request message to a DHCP server(403)(S411). The DHCP server(403) transmits an IP address supplying message to the DHCP relay(401)(S413). The DHCP relay(401) unicast-transmits the supplying message to the GGSN(116)(S415). The GGSN(116) unicast-transmits an IP address requesting message to the DHCP relay(401)(S417). The DHCP relay(401) relays the requesting message to the DHCP server(403)(S421). The DHCP server(403) transmits an answer message to the DHCP relay(401)(S423). The DHCP relay(401) unicast-transmits the answer message to the GGSN(116)(S425). A mobile ISP subscriber terminal is assigned with an IP address, and forms a session(S427).

Abstract translation: 目的：为访问3代GPRS（通用分组无线业务）网络及其设备的因特网服务用户终端分配动态IP地址的方法被提供，以便能够通过自家家庭在家庭ISP网络内进行动态IP地址分配 ISP网络访问，从而轻松支持移动ISP网络用户的移动性并支持漫游服务。 构成：接收会话生成请求的GGSN（网关GPRS支持节点）（116）向ISP认证服务器发送认证请求（S403）（S403）。 接收认证消息的GGSN（116）单播 - 向DHCP中继发送IP地址请求消息（401）（S407）。 DHCP中继（401）中继 - 向DHCP服务器发送请求消息（403）（S411）。 DHCP服务器（403）向DHCP中继（401）发送IP地址提供消息（S413）。 DHCP中继（401）单播，向GGSN（116）发送提供消息（S415）。 GGSN（116）单播向DHCP中继发送IP地址请求消息（401）（S417）。 DHCP中继（401）将请求消息中继到DHCP服务器（403）（S421）。 DHCP服务器（403）向DHCP中继（401）发送应答消息（S423）。 DHCP中继（401）单播，将答复消息发送给GGSN（116）（S425）。 移动ISP用户终端被分配IP地址，并且形成会话（S427）。

公开(公告)号：KR1020140049926A

公开(公告)日：2014-04-28

申请号：KR1020130096273

申请日：2013-08-14

Applicant: 한국전자통신연구원

Inventor： 이정희 ,  이성렬 ,  김덕진 ,  최영한 ,  배병철 ,  오형근 ,  손기욱 ,  박경수 ,  이융 ,  이지형 ,  문상우

IPC: G06F9/50 ,  G06F9/38

CPC classification number: G06F9/5083

Abstract: 본발명은트래픽상황에따른 CPU와 GPU간의로드밸런스를가지는침입탐지장치및 방법에관한것으로, 다수의수신큐로부터유입되는패킷들을수신받아, 동일한플로우에속한패킷들을하나의작업큐에저장하는패킷포착부; 상기패킷포착부에저장된상기패킷들의개수를파악하여상기패킷들의문자열검사작업을상기 CPU 또는상기 GPU에분배하는문자열검토작업분배부; 상기 CPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 CPU 문자열검토부; 및상기 GPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 GPU 문자열검토부;를포함한다.

Abstract translation: 本发明涉及一种响应于CPU和GPU之间的交通状况的负载平衡器的入侵检测装置和方法。 该装置包括：分组获取单元，用于接收从多个接收队列到达的分组，并将属于相同流的分组存储在单个任务队列中; 字符串检查任务分配单元，用于确定存储在分组获取单元中的分组的数量，并且将分组的字符串检查任务分配给CPU或GPU; CPU字符串检查单元，用于将分组的字符串与在CPU内部的检测规则中定义的字符串进行比较; 以及GPU字符串检查单元，用于将分组的字符串与GPU内的检测规则中定义的字符串进行比较。 （附图标记）（110，GG）分组获取单元; （120，HH）字符串检查任务分配单元; （130，II）CPU字符串检查单元; （140，JJ）附加规则评估单位; （150）CPU通信单元; （200）图形处理装置; （210）GPU字符串检查单元; （AA，BB）网络接口; （CC，DD，EE，FF）接收队列; （KK）中央处理装置

公开(公告)号：KR101378115B1

公开(公告)日：2014-03-27

申请号：KR1020120123019

申请日：2012-11-01

Applicant: 한국전자통신연구원

Inventor： 이성렬 ,  최영한 ,  이정희 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/1416

Abstract: The present invention provides a device and a method for detecting network intrusion which perform perl compatible regular expressions (PCRE)-based pattern matching for a payload of packet using a network processor having a deterministic finite automata (DFA) engine. For the purpose, a device for detecting network intrusion according to the present invention includes: a network processor core for receiving packets from a network and transmitting a payload of the received packets to the DFA engine; a detection rule converter for converting a predetermined PCRE-based detection rule into a detection rule which has a pattern to which an only PCRE rule corresponding to the DFA engine is applied for detecting attack packets; and the DFA engine for performing PCRE pattern matching for a payload of packets based on the detection rule converted by the detection rule converter. [Reference numerals] (100) Detection rule converter; (220) Network processor core; (240) DFA engine; (AA) Detection rule; (BB) Packet; (CC) Intrusion detection result

Abstract translation: 本发明提供了一种用于检测网络入侵的设备和方法，所述网络入侵使用具有确定性有限自动机（DFA）引擎的网络处理器，对分组的有效载荷执行基于perl兼容的正则表达式（PCRE）的模式匹配。 为此，根据本发明的用于检测网络入侵的设备包括：网络处理器核，用于从网络接收分组并向DFA引擎发送所接收的分组的有效载荷; 检测规则转换器，用于将预定的基于PCRE的检测规则转换为具有与DFA引擎相对应的唯一PCRE规则的模式的检测规则，用于检测攻击包; 以及用于基于由检测规则转换器转换的检测规则对分组的有效载荷执行PCRE模式匹配的DFA引擎。 （附图标记）（100）检测规则转换器; （220）网络处理器内核; （240）DFA引擎; （AA）检测规则 （BB）包; （CC）入侵检测结果