-
公开(公告)号:KR101078288B1
公开(公告)日:2011-10-31
申请号:KR1020090077732
申请日:2009-08-21
Applicant: 한국전자통신연구원
CPC classification number: G06Q10/10
Abstract: 본발명은디지털포렌식에서대상컴퓨터의저장매체에내장된링크정보를분석하여해당원본파일까지증거로수집함으로써증거의정확성과효율성을높이는기술에관한것이다. 이를위하여, 운영체제및 어플리케이션소프트웨어에의하여생성되는링크정보를식별및 분석하여원본파일의존재여부를파악한다. 이를통하여조사대상컴퓨터뿐만아니라원격컴퓨터에존재하는원본파일을수집함으로써증거자료의유효성을높일수 있다.
-
公开(公告)号:KR1020090065306A
公开(公告)日:2009-06-22
申请号:KR1020070132796
申请日:2007-12-17
Applicant: 한국전자통신연구원
IPC: G06F21/00
CPC classification number: H04L63/1416 , H04L41/0604 , H04L41/0631
Abstract: A signature pattern matching method, a system for the same and a computer readable medium storing a signature pattern are provided to reduce the amount of memory use by minimizing a memory access time based on the usage of a bloom filter. The sub string of a traffic packet is extracted(S100), and a hash value is obtained by applying a hash function to the extracted sub string(S110). A pre-filtering that checks membership is performed(S120), and a bloom filter which is supposed to be compared with a currently-obtained harsh value is queried(S130). It is checked over whether or not a pattern matched with the queried bloom filter exists(S140), and it is checked over whether or not a signature completion filed is included to the sub string of the matched signature pattern(S150).
Abstract translation: 提供签名模式匹配方法,用于其的系统和存储签名模式的计算机可读介质,以通过基于布隆过滤器的使用最小化存储器访问时间来减少存储器使用量。 提取业务分组的子串(S100),并通过对所提取的子串应用散列函数来获得散列值(S110)。 执行检查成员资格的预过滤(S120),并且查询应该与当前获得的苛刻值进行比较的大写过滤器(S130)。 检查是否存在与查询的布隆过滤器匹配的模式(S140),并且检查签名完成归档是否包括在匹配签名模式的子串中(S150)。
-
-
公开(公告)号:KR101403305B1
公开(公告)日:2014-06-05
申请号:KR1020120092498
申请日:2012-08-23
Applicant: 한국전자통신연구원
CPC classification number: G06F11/1435 , G06F11/1417 , G06F17/30117
Abstract: 백업부트레코드 정보를 이용한 파티션 복구 방법이 개시된다. 본 발명에 따른 백업부트레코드 정보를 이용한 파티션 복구 방법은, 디스크 또는 증거 이미지에서 미할당 영역을 분류하는 단계, 상기 미할당 영역에서 백업부트레코드의 위치를 검색하는 단계, 검색된 섹터들 중에서 검출하고자 하는 파일시스템의 백업부트레코드인지 분석하는 단계, 상기 분석결과 상기 백업부트레코드가 검출하고자 하는 파일시스템의 백업부트레코드인 경우, 상기 백업부트레코드가 유효한 파티션의 부트레코드인지를 판단하는 단계 및 상기 백업부트레코드가 유효한 파티션의 부트레코드인 경우, 상기 백업부트레코드를 이용하여 삭제된 파티션의 파일시스템을 파싱하고 삭제된 디렉토리 또는 파일을 복구하는 단계를 포함한다.
-
公开(公告)号:KR100960117B1
公开(公告)日:2010-05-28
申请号:KR1020070132796
申请日:2007-12-17
Applicant: 한국전자통신연구원
IPC: G06F21/00
Abstract: 본 발명은 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이 기록된 기록매체에 관한 것이다. 본 발명은 연속된 문자열이 아니라 중간에 '*'와 같은 와일드 카드를 가지는 시그니처와 유입데이터 패킷을 비교하고 시그니처 패턴 매칭여부를 알 수 있도록 유입데이터 패킷을 서브스트링 단위로 토큰화하고 프리-필터링 및 블룸필터링를 수행한다. 따라서, 시그니처 패턴 매칭시 소요되는 시간이 감소하며 다양한 문자열을 가지는 시그니처 패턴 매칭도 가능한 효과가 있다.
해슁, 패턴 매칭, 시그니처, 블룸 필터-
公开(公告)号:KR1020210041482A
公开(公告)日:2021-04-15
申请号:KR1020200104145
申请日:2020-08-19
Applicant: 한국전자통신연구원
Abstract: USB 포렌식데이터획득장치및 방법이개시된다. 본발명의일실시예에따른 USB 포렌식데이터획득방법은 USB 포렌식데이터획득장치의 USB 포렌식데이터획득방법에있어서, USB 메모리로부터 USB 컨트롤러정보를추출하는단계; 상기 USB 컨트롤러정보를이용하여상기 USB 메모리의숨겨진영역을확인하는단계; 상기 USB 컨트롤러정보에상응하는고유커맨드를이용하여상기숨겨진영역에접근하기위한접근제어정보를수집하고, 상기접근제어정보를식별하는단계; 상기접근제어정보로부터식별된정보를이용하여상기숨겨진영역을개방하는단계및 상기숨겨진영역에저장된데이터를획득하는단계및 상기획득한데이터를이미징하는단계를포함한다.
-
公开(公告)号:KR1020110020051A
公开(公告)日:2011-03-02
申请号:KR1020090077732
申请日:2009-08-21
Applicant: 한국전자통신연구원
CPC classification number: G06Q10/10
Abstract: PURPOSE: A collection evidence method and an apparatus thereof, capable of collecting a used file and an access file are provided to maximize the validity of the evidence collection by collecting the used file through the analysis of a link file. CONSTITUTION: An access module(200) accesses a storage medium of a target computer. A file system analysis module(300) analyzes a file system of the storage medium. A link analysis module(500) analyzes a link file through the file system analysis module. A raw file extracting module(600) extracts the original file by using path of the original file. A UI(User Interface) module(800) displays the content of the original file and link information.
Abstract translation: 目的:提供能够收集使用的文件和访问文件的收集证据方法及其装置,以通过分析链接文件收集使用的文件来最大化证据收集的有效性。 构成:访问模块(200)访问目标计算机的存储介质。 文件系统分析模块(300)分析存储介质的文件系统。 链接分析模块(500)通过文件系统分析模块分析链接文件。 原始文件提取模块(600)通过使用原始文件的路径提取原始文件。 UI(用户界面)模块(800)显示原始文件和链接信息的内容。
-
公开(公告)号:KR1020080050215A
公开(公告)日:2008-06-05
申请号:KR1020070049869
申请日:2007-05-22
Applicant: 한국전자통신연구원
Abstract: A method and an apparatus for generating a network attack signature are provided to improve reliability of a signature by separating a protocol header from packets or sessions, and minimize a whitelist, and a memory required for separation of the protocol header by using clustering. An apparatus for generating a network attack signature includes a sub-string extracting module(10) extracting sub-strings from input packets and dividing the sub-strings into an application header and application data to measure byte distribution of the extracted sub-strings, and a signature generating module(20) generating an attack signature from the sub-string showing frequency higher than a specific value by combining byte distribution at the application header with byte distribution at the application data.
Abstract translation: 提供了一种用于生成网络攻击签名的方法和装置,以通过将协议报头与分组或会话分离,并将白名单和使用聚类分离协议报头所需的存储器最小化来提高签名的可靠性。 用于生成网络攻击签名的装置包括:子串提取模块(10),从输入包中提取子串,并将子串划分为应用头和应用数据,以测量提取的子串的字节分布,以及 签名生成模块(20),通过将应用头上的字节分布与应用数据上的字节分布组合,从表示高于特定值的频率的子串生成攻击签名。
-
公开(公告)号:KR1020140026821A
公开(公告)日:2014-03-06
申请号:KR1020120092498
申请日:2012-08-23
Applicant: 한국전자통신연구원
CPC classification number: G06F11/1435 , G06F11/1417 , G06F17/30117
Abstract: Disclosed is a partition recovering method using backup boot record information comprising the steps of: classifying an unallocated area on a disk or a proof image; searching the position of a backup boot record in the unallocated area; analyzing whether a backup boot record of a file system to be searched exists among searched sectors; in case the backup boot record is the backup boot record of the file system to be searched, determining whether the backup boot record is a boot record of an effective partition; and, in case the backup boot record is the boot record of an effective partition, parsing a file system of a deleted partition using the backup boot record, and recovering deleted directories and files. [Reference numerals] (10) Disk; (20) Proof image; (30) Access part; (40) File system construction part; (50) Sector map construction part; (60) Backup boot record search part; (70) Partition certification part; (80) File system generation part; (90) User interface part
Abstract translation: 公开了一种使用备份引导记录信息的分区恢复方法,包括以下步骤:对盘上的未分配区域或证明图像进行分类; 在未分配区域中搜索备份启动记录的位置; 分析搜索到的扇区之间是否存在要搜索的文件系统的备份启动记录; 如果备份引导记录是要搜索的文件系统的备份引导记录,则确定备份引导记录是否是有效分区的引导记录; 并且,如果备份引导记录是有效分区的引导记录,则使用备份引导记录解析已删除分区的文件系统,并恢复已删除的目录和文件。 (附图标记)(10)盘; (20)证明图像; (30)访问部分; (40)文件系统构建部分; (50)部门图施工部分; (60)备份启动记录搜索部分; (70)分区认证部分; (80)文件系统生成部分; (90)用户界面部分
-
公开(公告)号:KR100860414B1
公开(公告)日:2008-09-26
申请号:KR1020070049869
申请日:2007-05-22
Applicant: 한국전자통신연구원
Abstract: 본 발명은 오탐지를 방지하기 위해 이용되는 화이트리스트(Whitelist)를 최소화하면서 신뢰도 높은 시그너처를 생성할 수 있는 네트워크 공격 시그너처 생성 방법 및 장치에 관한 것으로서, 어플리케이션 헤더와 어플리케이션 데이터로 분리하여 입력 패킷의 바이트 분포(byte distribution)를 측정하고, 상기 측정된 바이트 분포를 분석하여 공격 시그너처를 생성하는데 있어서, 상기 어플레이케이션 데이터측의 서브스트링으로 공격 시그너처를 생성하고, 어플리케이션 헤더의 서브스트링을 상기 시그너처의 보조정보로 이용하도록 구현된다.
시그너처, 공격 탐지, 화이트리스트, 헤더
-
-
-
-
-
-
-
-
-