公开(公告)号：KR100564768B1

公开(公告)日：2006-03-27

申请号：KR1020040087047

申请日：2004-10-29

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  신승원 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/741

CPC classification number: H04L45/00 ,  H04L45/54 ,  H04L45/62

Abstract: 순차룩업에 의한 패킷헤더 룩업장치 및 방법이 개시된다. 헤더분석부는 네트워크를 통해 수신된 패킷으로부터 헤더를 분리하고, 분리된 헤더에 존재하는 필드중에서 값이 설정되어 있는 분석대상필드와 하나 이상의 헤더조합룰에 포함되어 있는 필드에 대한 룩업순서를 출력한다. 단위룩업부는 헤더분석부로부터 입력받은 룩업순서를 기초로 헤더분석부로부터 입력받은 각각의 분석대상필드에 대해 헤더조합룰과의 매치여부를 룩업하여 매치신호와 매치주소를 출력한다. 룰조합메모리는 분석대상필드에 해당하는 엔트리를 사용하는 헤더조합룰에 대한 식별정보를 저장하며, 단위룩업부로부터 입력된 매치주소에 대응하는 저장장소로부터 식별정보를 독출하여 출력한다. 순서조합메모리는 패킷헤더를 구성하는 필드들에 대해 정해진 룩업순서정보 및 각각의 헤더조합룰에서 참고하여야 하는 필드의 룩업결과에 대한 정보인 순서조합정보가 저장되며, 분석대상필드에 포함되어 있는 엔트리에 대해 부여된 순서정보를 입력주소로 하여 헤더조합룰에서 참고하여야 하는 순서조합정보를 독출하여 출력한다. 룰조합부는 단위룩업부로부터 입력된 매치신호와 룰조합메모리 및 순서조합메모리로부터 독출한 데이터를 기초로 매치결과를 생성한다. 본 발명에 따르면, 하드웨어의 손실은 최소화하면서도 고속의 침입 탐지가 가능하며, 다양한 새로운 공격에 대해 신속하게 탐지 룰을 업데이트 할 수 있다.

公开(公告)号：KR100611741B1

公开(公告)日：2006-08-11

申请号：KR1020040083752

申请日：2004-10-19

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  오진태 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/22

CPC classification number: H04L63/1416 ,  H04L63/12 ,  H04L69/22

Abstract: 본 발명은 알려지지 않은 네트워크 침입 패킷들을 변칙 행위 기반 탐지 기법을 통해 탐지함과 동시에 그 패킷들의 공통 부분 정보를 토대로 새로운 시그너처를 생성한 후 시그너처 기반 탐지 시스템에 적용시켜 주는 네트워크 침입 탐지 및 방지 시스템 및 그 방법에 관한 것이다. 이와 같은 본 발명은 변칙 행위 기반 탐지 장치(200)를 통해 의심가는 패킷들이 탐지되면 이를 수집하여 이들의 공통 정보를 찾아내고, 이후 그 공통점을 토대로 신규 시그너처를 생성함과 동시에 시그너처 기반 탐지 장치(100)에 적용 가능한지의 여부를 검증한 후 시그너처 기반 탐지 장치(100)에 등록하는 신규 시그너처 생성 및 검증 장치(300)로 구성되어 있다. 본 발명에 따르면 알려지지 않은 새로운 웜(Worm) 및 DDOS 네트워크 공격 등을 신속하게 차단시켜 줌으로써 네트워크 상의 심각한 피해를 사전에 막아주는 뛰어난 효과가 있다.
네트워크 침입 탐지 시스템, 시그너처(Signature) 기반 탐지, 변칙 행위(Anomaly Behavior) 기반 탐지, 신규 시그너처 생성 및 검증,

Abstract translation: 网络入侵检测和预防系统本发明涉 该系统包括：基于签名的检测设备; 基于异常行为的检测装置; 以及设置在基于签名的检测设备和基于异常行为的检测设备之间的新签名创建和验证设备，其中，如果基于异常行为的检测设备检测到网络攻击可疑分组，则新签名创建和验证设备收集并搜索 检测到可疑分组以获得公共信息，然后基于搜索到的公共信息创建新签名，同时验证创建的新签名是否适用于基于签名的检测设备，然后将创建的新签名 如果确定所创建的新签名是适用的，则对基于签名的检测设备进行签名。

公开(公告)号：KR1020050022941A

公开(公告)日：2005-03-09

申请号：KR1020030059562

申请日：2003-08-27

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  안개일 ,  김기영 ,  장종수

IPC: H04L12/22

CPC classification number: H04L63/1416 ,  H04L63/0209

Abstract: PURPOSE: A system and a method for controlling alert traffic in a network are provided to enable a central management system to effectively manage alert traffic while effectively transmitting main alert information in close cooperation with lower security systems which transmit the alert traffic. CONSTITUTION: Plural lower security systems(200) control an amount of alert information to be transmitted, based on an alert information transmission control policy, determine alert priorities, and transmit the alert information in the order of the highest importance. A central management system(100) receives the transmitted alert information while periodically monitoring an amount of alert traffic transmitted from the lower security systems(200), and sends the alert information transmission control policy which considers a processing capacity and availability of the lower security systems(200) to the lower security systems(200).

Abstract translation: 目的：提供一种用于控制网络中的警报流量的系统和方法，以使得中央管理系统能够有效地管理警报流量，同时与传送警报流量的较低安全系统密切配合地传送主要警报信息。 构成：基于警报信息传输控制策略，多个较低安全系统（200）控制要发送的警报信息量，确定警报优先级，并以最高重要性的顺序发送警报信息。 中央管理系统（100）接收所发送的警报信息，同时周期性地监视从较低安全系统（200）发送的报警量的数量，并发送考虑了较低安全系统（200）的处理能力和可用性的警报信息传输控制策略 （200）连接到较低级的安全系统（200）。

公开(公告)号：KR1020060034581A

公开(公告)日：2006-04-24

申请号：KR1020040083752

申请日：2004-10-19

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  오진태 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/22

CPC classification number: H04L63/1416 ,  H04L63/12 ,  H04L69/22

Abstract: The present invention relates to a network intrusion detection and prevention system. The system includes: a signature based detecting device; an anomaly behavior based detecting device; and a new signature creating and verifying device disposed between the signature based detecting device and the anomaly behavior based detecting device, wherein if the anomaly behavior based detecting device detects network-attack-suspicious packets, the new signature creating and verifying device collects and searches the detected suspicious packets for common information, and then creates a new signature on the basis of the searched common information and at the same time, verifies whether or not the created new signature is applicable to the signature based detecting device, and then registers the created new signature to the signature based detecting device if it is determined that the created new signature is applicable.

公开(公告)号：KR100622670B1

公开(公告)日：2006-09-19

申请号：KR1020040102489

申请日：2004-12-07

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  신승원 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/22

CPC classification number: H04L63/1408

Abstract: 본 발명은 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법에 관한 것으로, 웜(Worm)등의 네트워크 공격으로 의심되는 패킷들로부터 공통된 패턴을 실시간으로 찾아내어 공격을 효과적으로 차단하는 실시간 공격 패턴 검출 시스템 및 그 방법에 대한 것이다. 본 발명은 입력되는 모든 패킷에서 의심스러운 공격 패킷을 분류하는 의심패킷 검출기와, 상기 의심패킷 검출기로부터 입력 패킷을 입력받아 한 클록 지연된 데이터를 출력하는 제1 데이터 지연장치와, 상기 제1 데이터 지연장치로부터 출력되는 신호를 입력받아 한 클록 지연된 데이터를 출력하는 제2 데이터 지연장치와, 상기 의심패킷 검출기로부터 출력되는 입력 데이터와 상기 제1 데이터 지연장치로부터 출력되는 데이터와 상기 제2 데이터 지연장치로부터 출력되는 데이터를 입력받아 해쉬 키를 발생시키는 해쉬 키 발생기와, 상기 해쉬 키 발생기로부터 발생된 해쉬 키에 의한 룩업 결과를 저장하는 해쉬 테이블과, 상기 해쉬 테이블의 룩업 결과를 검증하는 룩업결과 검증기로 구성되는 것을 특징으로 한다.
네트워크, 웜, 공격 패턴, 시그너쳐

Abstract translation: 对于已知网络攻击是和涉及的方法中，所述蜗杆（WORM），例如通过在从被怀疑是实时的，实时的攻击模式来有效地阻止攻击数据包的通用模式的网络攻击，本发明实时攻击模式检测系统 检测系统及其方法。 本发明的第一数据延迟装置和所述第一数据延迟单元，并输出一个可疑和可疑分组检测器进行分类攻击数据包，一个时钟通过接收从所述可疑分组检测器输入分组中的每个分组被输入延迟的数据 权利要求用于输出时钟延迟数据接收来自第二数据延迟单元和从所述检测器输出，从所述延迟装置输出的第一数据的数据，并从数据延迟装置中的第二输出可疑分组输入数据输出的信号 以及用于验证哈希表的查找结果的查找结果验证器。哈希表生成器包括用于生成哈希键的哈希键生成器， 和被表征。

公开(公告)号：KR1020060063342A

公开(公告)日：2006-06-12

申请号：KR1020040102489

申请日：2004-12-07

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  신승원 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/22

CPC classification number: H04L63/1408

Abstract: 본 발명은 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법에 관한 것으로, 웜(Worm)등의 네트워크 공격으로 의심되는 패킷들로부터 공통된 패턴을 실시간으로 찾아내어 공격을 효과적으로 차단하는 실시간 공격 패턴 검출 시스템 및 그 방법에 대한 것이다. 본 발명은 입력되는 모든 패킷에서 의심스러운 공격 패킷을 분류하는 의심패킷 검출기와, 상기 의심패킷 검출기로부터 입력 패킷을 입력받아 한 클록 지연된 데이터를 출력하는 제1 데이터 지연장치와, 상기 제1 데이터 지연장치로부터 출력되는 신호를 입력받아 한 클록 지연된 데이터를 출력하는 제2 데이터 지연장치와, 상기 의심패킷 검출기로부터 출력되는 입력 데이터와 상기 제1 데이터 지연장치로부터 출력되는 데이터와 상기 제2 데이터 지연장치로부터 출력되는 데이터를 입력받아 해쉬 키를 발생시키는 해쉬 키 발생기와, 상기 해쉬 키 발생기로부터 발생된 해쉬 키에 의한 룩업 결과를 저장하는 해쉬 테이블과, 상기 해쉬 테이블의 룩업 결과를 검증하는 룩업결과 검증기로 구성되는 것을 특징으로 한다.
네트워크, 웜, 공격 패턴, 시그너쳐

公开(公告)号：KR1020050066986A

公开(公告)日：2005-06-30

申请号：KR1020040087047

申请日：2004-10-29

Applicant: 한국전자통신연구원

Inventor： 오진태 ,  신승원 ,  김기영 ,  장종수 ,  손승원

IPC: H04L12/741

CPC classification number: H04L45/00 ,  H04L45/54 ,  H04L45/62

Abstract: 순차룩업에 의한 패킷헤더 룩업장치 및 방법이 개시된다. 헤더분석부는 네트워크를 통해 수신된 패킷으로부터 헤더를 분리하고, 분리된 헤더에 존재하는 필드중에서 값이 설정되어 있는 분석대상필드와 하나 이상의 헤더조합룰에 포함되어 있는 필드에 대한 룩업순서를 출력한다. 단위룩업부는 헤더분석부로부터 입력받은 룩업순서를 기초로 헤더분석부로부터 입력받은 각각의 분석대상필드에 대해 헤더조합룰과의 매치여부를 룩업하여 매치신호와 매치주소를 출력한다. 룰조합메모리는 분석대상필드에 해당하는 엔트리를 사용하는 헤더조합룰에 대한 식별정보를 저장하며, 단위룩업부로부터 입력된 매치주소에 대응하는 저장장소로부터 식별정보를 독출하여 출력한다. 순서조합메모리는 패킷헤더를 구성하는 필드들에 대해 정해진 룩업순서정보 및 각각의 헤더조합룰에서 참고하여야 하는 필드의 룩업결과에 대한 정보인 순서조합정보가 저장되며, 분석대상필드에 포함되어 있는 엔트리에 대해 부여된 순서정보를 입력주소로 하여 헤더조합룰에서 참고하여야 하는 순서조합정보를 독출하여 출력한다. 룰조합부는 단위룩업부로부터 입력된 매치신호와 룰조합메모리 및 순서조합메모리로부터 독출한 데이터를 기초로 매치결과를 생성한다. 본 발명에 따르면, 하드웨어의 손실은 최소화하면서도 고속의 침입 탐지가 가능하며, 다양한 새로운 공격에 대해 신속하게 탐지 룰을 업데이트 할 수 있다.

公开(公告)号：KR100656354B1

公开(公告)日：2006-12-11

申请号：KR1020050098075

申请日：2005-10-18

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  오진태 ,  장종수 ,  손승원

IPC: G06F15/00 ,  G06F9/00

Abstract: A device and a method for storing pattern matching data, and a pattern matching performing method using the same are provided to offer a frequently accessible internal memory by setting a space for storing many patterns to an external memory and storing the data generating hash collision to the external memory. A divider(920) divides received raw data into a specific size of pieces. A hash operator(930) performs a hash operation for the divided pieces. A determiner(950) determines whether a hash operation value of each piece is collided with the hash operation value stored in the external memory(990) placed to the outside of the pattern matching data storing device. A controller(940) stores the hash operation value of the pieces generating not hash collision to the external memory and stores the hash operation value of the pieces generating the hash collision to the internal memory(960) of the faster access speed than the external memory.

Abstract translation: 提供了一种用于存储模式匹配数据的设备和方法以及使用该设备和模式匹配执行方法，以通过将用于存储许多模式的空间设置到外部存储器来提供频繁访问的内部存储器，并将产生散列冲突的数据存储到 外部存储器。 分频器（920）将接收到的原始数据分成特定大小的片段。 散列运算符（930）对分割的块执行散列运算。 确定器（950）确定每个块的散列运算值是否与存储在置于模式匹配数据存储设备外部的外部存储器（990）中的散列运算值冲突。 控制器（940）将产生非散列冲突的块的散列运算值存储到外部存储器，并将产生散列冲突的块的散列运算值存储到比外部存储器更快的存取速度的内部存储器（960） 。

公开(公告)号：KR1020060063591A

公开(公告)日：2006-06-12

申请号：KR1020050046162

申请日：2005-05-31

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  오진태 ,  김기영 ,  장종수 ,  손승원

IPC: G06F15/16

Abstract: 본 발명은 패턴 매칭을 위한 데이터 스트림 전처리 방법 및 그 장치에 관한 것으로, (a) 데이터 스트림을 수신하는 단계; (b) 기 저장되어 있는 필터링 정책을 로딩하는 단계; (c) 상기 (b)단계에서 로딩된 필터링 정책에 따라 상기 (a)단계에서 수신된 데이터 스트림에 대한 필터링을 수행하여 필터링 수행결과 정보를 생성하는 단계; (d) 상기 필터링 수행결과 정보를 통하여 상기 데이터 스트림을 패턴 매칭 수행하는 서치 엔진 장치로 송신할 것인지 여부를 판단하는 단계; 및 (e) 상기 (d)단계에서의 판단결과 송신할 것으로 판단된 경우에, 상기 데이터 스트림을 상기 서치 엔진 장치로 송신하는 단계;로 구성된다. 따라서, 정확하면서도 고성능을 가지는 패턴 매칭을 위한 데이터 스트림 전처리 방법 및 그 장치를 제공할 수 있다.

公开(公告)号：KR100502079B1

公开(公告)日：2005-07-25

申请号：KR1020030059562

申请日：2003-08-27

Applicant: 한국전자통신연구원

Inventor： 신승원 ,  안개일 ,  김기영 ,  장종수

IPC: H04L12/22

Abstract: 본 발명은 네트워크 상에서의 경보 정보 트래픽(alert traffic) 제어 기술에 관한 것으로, 경보 정보 전송 제어 정책을 바탕으로 전송하고자 하는 경보 정보의 양을 조절하며, 경보의 우선 순위를 결정하여 중요도가 높은 순으로 경보 정보를 네트워크를 통해 전송하는 다수의 하위 보안 시스템과, 다수의 하위 보안 시스템으로부터 경보 정보를 수신하고 수신되는 정보를 바탕으로 하위 보안 시스템이 전송하는 경보 트래픽의 정보량을 주기적으로 감시하며, 감시되는 경보 트래픽 정보량을 기반으로 하위 보안 시스템의 처리 능력과 가용성을 고려한 경보 정보 전송 제어 정책을 상기 하위 보안 시스템으로 전송하는 중앙 관리 시스템을 포함한다. 본 발명에 의하면, 중앙 관리 시스템에서 다수의 하위 보안 시스템에서 전송하는 경보 정보들을 조정할 수 있는 바, 기존의 경보 정보를 축약하거나 줄이기 위하여 하위 보안 시스템에서 수행되어 졌던 많은 기능들을 실제 경보 정보 과부하시 문제가 되는 중앙 관리 시스템의 입장에서 해결할 수 있기 때문에 보다 현실적인 경보 정보의 제어 및 조정이 가능하다는 효과가 있다.