-
公开(公告)号:WO2015030363A1
公开(公告)日:2015-03-05
申请号:PCT/KR2014/006318
申请日:2014-07-14
Applicant: 한국전자통신연구원
CPC classification number: H04L63/20 , H04L63/0263 , H04L63/1416
Abstract: 본 발명은 침입탐지시스템에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 관한 것이다. 침입탐지규칙 간의 유사도 측정 장치는 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부, 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부, 제1 탐지규칙의 탐지규칙 헤더와 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 제1 탐지규칙의 탐지규칙 옵션과 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부를 포함한다.
Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则与基于所识别的包含关系的结果来测量入侵检测相似性之间的相似性来识别入侵检测规则之间的包含关系的装置,以及方法 为此。 用于测量入侵检测规则之间的相似性的装置包括:归一化单元,用于将多个检测规则变换为均匀类型; 分割单元,用于将所述多个变换检测规则中的第一检测规则和第二检测规则分别划分为检测规则报头和检测规则选项; 关系计算单元,用于确定第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系,以及确定第一检测规则的检测规则选项与检测规则选项之间的包含关系 的第二检测规则; 以及相似度测量单元,用于基于检测规则标题的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。
-
2.发明申请
公开(公告)号:WO2011004977A2
公开(公告)日:2011-01-13
申请号:PCT/KR2010/004026
申请日:2010-06-22
CPC classification number: G06F21/577 , G06F21/552 , G06F2221/0775 , G06F2221/2129 , G06F2221/2145 , G06F2221/2151 , H04L63/1416
Abstract: 본 발명은 사이버위협 계층 구조상 하위 사이버위협을 예측하고 이를 이용하여 상위 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 방법에 관한 것이다. 본 발명의 일 실시예에 따른 사이버위협 예측 엔진 시스템은, 복수의 사이버위협 예측 항목 및 이에 연관된 예측 스케쥴 및 예측 모형 정보, 예측 항목 계층 구조 정보, 사이버위협 시계열 데이터, 사이버위협 표본 데이터를 포함하는 예측 정보를 저장하는 예측 정보 DB와, 상기 예측 정보 DB에 저장된 상기 예측 정보를 이용하여 계층 구조를 갖는 상기 복수의 사이버위협 예측 항목들에 대한 위협도를 예측하는 예측 엔진 코어 서브시스템과, 사용자 또는 외부 시스템으로부터 상기 예측 엔진 코어 서브시스템에 대한 제어 명령을 수신하여 상기 예측 엔진 코어 서브시스템에 전달하는 예측 엔진 제어 인터페이스를 포함한다.
Abstract translation: 本发明涉及一种网络威胁预测引擎系统和方法,用于预测网络威胁等级中更低的网络威胁并使用预测的更低的网络威胁来预测更高的网络威胁。 网络威胁根据本发明的一个实施例的发动机系统中,预测的预测包括多个网络威胁预测项和其相关联的预测的时间表,和预测模型的信息,预测项层次结构信息,所述网络威胁的时间序列数据,网络威胁样本数据 预测引擎核心子系统,用于通过使用存储在预测信息DB中的预测信息来预测对具有分层结构的多个网络威胁预测项目的威胁程度; 以及预测引擎控制接口,用于从系统接收用于预测引擎核心子系统的控制命令,并将控制命令传递给预测引擎核心子系统。
-
公开(公告)号:KR1020210041482A
公开(公告)日:2021-04-15
申请号:KR1020200104145
申请日:2020-08-19
Applicant: 한국전자통신연구원
Abstract: USB 포렌식데이터획득장치및 방법이개시된다. 본발명의일실시예에따른 USB 포렌식데이터획득방법은 USB 포렌식데이터획득장치의 USB 포렌식데이터획득방법에있어서, USB 메모리로부터 USB 컨트롤러정보를추출하는단계; 상기 USB 컨트롤러정보를이용하여상기 USB 메모리의숨겨진영역을확인하는단계; 상기 USB 컨트롤러정보에상응하는고유커맨드를이용하여상기숨겨진영역에접근하기위한접근제어정보를수집하고, 상기접근제어정보를식별하는단계; 상기접근제어정보로부터식별된정보를이용하여상기숨겨진영역을개방하는단계및 상기숨겨진영역에저장된데이터를획득하는단계및 상기획득한데이터를이미징하는단계를포함한다.
-
公开(公告)号:KR1020110119918A
公开(公告)日:2011-11-03
申请号:KR1020100039335
申请日:2010-04-28
Applicant: 한국전자통신연구원
CPC classification number: G06F21/566
Abstract: PURPOSE: A malignant code in which is hided in a normal process detection apparatus using virtual environment, system, and method thereof are provided to effectively counteract malignant codes by detecting the changed code of the detected malignant code. CONSTITUTION: A malignant code detection module(210) distinguishes codes in which are related to thread by extracting information about the thread in which is created from a process. The malignant code detection module extracts the distinguished malignant code by distinguishing the malignant code. A malignant code termination module(220) terminates the execution of the code and determines the malignant code based on an analysis result. The analysis result is created by analyzing the extracted code in virtual environment.
Abstract translation: 目的:提供使用虚拟环境,系统及其方法的正常过程检测装置中隐藏的恶性代码,以通过检测检测到的恶性代码的改变的代码来有效地抵消恶性代码。 构成:恶性代码检测模块(210)通过提取关于从进程创建的线程的信息来区分与线程相关的代码。 恶性代码检测模块通过区分恶性代码来提取恶性代码。 恶性代码终止模块(220)终止代码的执行并基于分析结果确定恶性代码。 分析结果是通过分析虚拟环境中提取的代码来创建的。
-
公开(公告)号:KR100974888B1
公开(公告)日:2010-08-11
申请号:KR1020070120935
申请日:2007-11-26
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L63/1425 , H04L43/045
Abstract: 본 발명은 비정상 트래픽을 탐지하기 위한 장치 및 방법에 관한 것으로, 특히 네트워크 트래픽의 엔트로피에 기반하여 비정상 트래픽을 탐지하는 비정상 트래픽 탐지 장치 및 방법에 관한 것이다. 본 발명에 따른 비정상 트래픽 탐지 장치는 네트워크 트래픽으로부터 엔트로피를 추출하는 엔트로피 추출 모듈; 상기 엔트로피를 이용하여 엔트로피 그래프를 생성하는 시각화 모듈; 상기 엔트로피 그래프에 기반하여 각각의 네트워크 공격에 대한 그래프 모델을 갱신하는 그래프 모델 학습 모듈; 및 상기 엔트로피 그래프 및 상기 각각의 네트워크 공격에 대한 그래프 모델에 기반하여 비정상 트래픽을 탐지하고 탐지 결과를 사용자에게 출력하는 비정상 트래픽 탐지 모듈로 구성된다. 본 발명은 단순한 통계가 아닌 네트워크 엔트로피에 기반하여 비정상 트래픽을 탐지함으로써, 비정상 트래픽 탐지 장치의 오경보율을 감소시킬 수 있다.
엔트로피, 시각화, 비정상 트래픽-
Patent Agency Ranking
公开(公告)号:KR100974886B1
公开(公告)日:2010-08-11
申请号:KR1020070127633
申请日:2007-12-10
Applicant: 한국전자통신연구원
CPC classification number: G06F21/568 , H04L51/00 , H04L63/145
Abstract: 본 발명은 파일에서 악성 코드를 안전하게 제거하거나, 안전하게 제거할 수 없는 경우에는 악성 코드가 존재할 가능성이 있음을 알리는 악성 코드 제거 방법 및 장치에 관한 것이다.
본 발명에 따른 악성 코드 제거 방법은, 파일의 종류를 파악하여 문서 파일인지 이미지 파일인지 판단하는 단계와, 상기 파일이 문서 파일인 경우에는 상기 문서 파일에 연관된 응용 프로그램을 이용하여 상기 문서 파일에 대한 열기 후 새로 저장 동작을 수행함으로써 악성 코드가 제거된 문서 파일을 획득하는 단계와, 상기 파일이 이미지 파일인 경우에는 상기 이미지 파일을 현재 파일 포맷과 상이한 포맷으로 변환하여 저장함으로써 악성 코드가 제거된 새로운 이미지 파일을 획득하는 단계를 포함한다.
악성 코드 제거, 첨부 파일-
公开(公告)号:KR1020090065277A
公开(公告)日:2009-06-22
申请号:KR1020070132763
申请日:2007-12-17
Applicant: 한국전자통신연구원
IPC: G06F11/00
CPC classification number: G06F11/3612 , G06F21/53
Abstract: An apparatus and a method for automatically analyzing a program for detecting malicious codes triggered under a certain event/context are provided to take a measure for a malicious behavior by reducing the time and human power required for malicious code analysis. An automatic analysis engine(110) analyzes the commands of an analyzed object program, and generates program execution information through compulsive execution of the commands at least one time. Based on the execution information stored at an execution information database(130), an execution flow analyzing unit(140) analyzes the execution flow of the analysis target program. An execution result provider(120) provides an execution result to a user.
Abstract translation: 提供一种用于自动分析用于检测在特定事件/上下文下触发的恶意代码的程序的装置和方法,以通过减少恶意代码分析所需的时间和人力来对恶意行为进行测量。 自动分析引擎(110)分析分析对象程序的命令,并通过至少一次强制执行命令来生成程序执行信息。 执行流程分析部根据存储在执行信息数据库(130)的执行信息,分析分析对象程序的执行流程。 执行结果提供者(120)向用户提供执行结果。
-
公开(公告)号:KR100628869B1
公开(公告)日:2006-09-27
申请号:KR1020050044241
申请日:2005-05-25
Applicant: 한국전자통신연구원
Abstract: 본 발명은 범용적으로 많이 쓰고 있는 마이크로소프트 제품군의 오피스 문서에 악성코드가 숨겨져 있는지를 탐지하는 방법에 관한 것으로서,
이를 위해서 본 발명은, (a)오피스 문서내 악성코드를 검사하는 검사 프로그램을 이용하여 문서를 열람 시 오피스 문서 확장명의 유무를 사전 검색하는 단계, (b)상기 오피스 문서 확장명을 가지는 오피스 문서에 대해 매크로 기능이 삽입되었는지의 여부를 판단하는 단계, (c)상기 (b)단계 판단 결과, 매크로 기능이 존재하면 상기 오피스 문서 내 실행코드의 유무검사/실행가능여부를 판단하는 단계, (d)상기 (c)단계 판단 결과, 상기 실행 코드가 실행가능한 코드일 경우 상기 오피스 문서 내 악성 코드가 숨겨져 있는지를 탐지하는 단계 및 (e)상기 (d)탐지 결과에 따라서 상기 오피스 문서의 실행여부를 판단하는 단계를 포함하여 구성함으로써,
본 발명을 통해서 모든 오피스계열의 문서를 열람 시 알려지지 않은 악성코드 유무의 탐지를 효과적으로 할 수 있으며, 사용자의 중간 개입이 필요치 않으며, 기존의 백신의 기능에 추가 기능으로 넣을 수 있는 효과가 있다.
악성코드, 매크로, 오피스문서, 보안-
公开(公告)号:KR1020060067117A
公开(公告)日:2006-06-19
申请号:KR1020050044241
申请日:2005-05-25
Applicant: 한국전자통신연구원
Abstract: 본 발명은 범용적으로 많이 쓰고 있는 마이크로소프트 제품군의 오피스 문서에 악성코드가 숨겨져 있는지를 탐지하는 방법에 관한 것으로서,
이를 위해서 본 발명은, (a)오피스 문서내 악성코드를 검사하는 검사 프로그램을 이용하여 문서를 열람 시 오피스 문서 확장명의 유무를 사전 검색하는 단계, (b)상기 오피스 문서 확장명을 가지는 오피스 문서에 대해 매크로 기능이 삽입되었는지의 여부를 판단하는 단계, (c)상기 (b)단계 판단 결과, 매크로 기능이 존재하면 상기 오피스 문서 내 실행코드의 유무검사/실행가능여부를 판단하는 단계, (d)상기 (c)단계 판단 결과, 상기 실행 코드가 실행가능한 코드일 경우 상기 오피스 문서 내 악성 코드가 숨겨져 있는지를 탐지하는 단계 및 (e)상기 (d)탐지 결과에 따라서 상기 오피스 문서의 실행여부를 판단하는 단계를 포함하여 구성함으로써,
본 발명을 통해서 모든 오피스계열의 문서를 열람 시 알려지지 않은 악성코드 유무의 탐지를 효과적으로 할 수 있으며, 사용자의 중간 개입이 필요치 않으며, 기존의 백신의 기능에 추가 기능으로 넣을 수 있는 효과가 있다.
악성코드, 매크로, 오피스문서, 보안Abstract translation: 本发明涉及一种用于检测恶意代码是否隐藏在常用Microsoft产品组的办公文档中的方法,
-
公开(公告)号:KR1019980047280A
公开(公告)日:1998-09-15
申请号:KR1019960065756
申请日:1996-12-14
Applicant: 한국전자통신연구원
IPC: H04N1/00
Abstract: 본 발명은 팩스 정보를 주고 받으려는 통신 당사자가 팩스 보호 모듈의 사용여부와 관계없이 서로 자유로이 팩스 통신이 가능하도록 발신측의 팩스 보호 모듈에서 암호문 혹은 평문을 선택하여 전송할 수 있도록 하는 방법과 발신측 팩스 보호 모듈에서 발신측의 팩스 보호 모듈에서 선택하여 전송한 암호문 혹은 평문을 자동으로 선택하여 수신할 수 있는 방법을 제시하여 사용자들은 보다 편리하게 통신하고자 하는 모든 사용자와 팩스 보호 모듈의 사용 여부와 관계없이 팩스 전문을 주고 받을 수 있는 팩스 통신에서의 정보 송수신 방법이 제시된다.
-
-
-
-
-
-
-
-
-
Search Results
63
records
(took 0.019 seconds)
