公开(公告)号：KR101688635B1

公开(公告)日：2016-12-21

申请号：KR1020150093992

申请日：2015-07-01

Applicant: 한국전자통신연구원

Inventor： 이지형 ,  이성렬 ,  이정희 ,  이융 ,  박경수

IPC: H04L12/863

CPC classification number: H04L49/901 ,  H04L49/9042 ,  H04L69/22

Abstract: 플로우기반트래픽저장및 검색장치와방법이개시된다. 본발명의일실시예에따른플로우기반트래픽저장장치는트래픽에상응하는패킷들을수신하고, 상기패킷들을큐를이용하여임시로저장하는패킷저장부; 상기패킷들각각의정보및 해쉬(Hash) 함수를이용하여상기패킷들각각을정렬하여플로우들을생성하고, 저장하는플로우생성부; 및상기플로우들각각에상응하는메타데이터및 인덱스데이터를생성하고, 저장하는메타데이터생성부를포함한다.

Abstract translation: 一种基于流量存储数据流量的装置和方法。 用于以流为基础存储数据业务的装置包括分组存储单元，流生成单元和元数据生成单元。 分组存储单元接收与数据业务相对应的分组，并且使用队列临时存储分组。 流生成单元通过使用关于每个分组的信息作为输入的散列函数对分组进行分组来生成流并存储流。 元数据生成单元生成与每个流对应的元数据和索引数据，并存储元数据和索引数据。

公开(公告)号：KR101666177B1

公开(公告)日：2016-10-14

申请号：KR1020150044016

申请日：2015-03-30

Applicant: 한국전자통신연구원

Inventor： 최창호 ,  강병훈 ,  이성렬 ,  강정민

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L63/1425 ,  G06F21/00 ,  G06N5/025 ,  G06N99/005 ,  H04L61/1511

Abstract: 집합적으로사용되는악성도메인들을클러스터로묶어탐지하고분석하는악성도메인클러스터탐지장치및 방법을제시한다. 제시된장치는네트워크를통해 DNS 트래픽을수집하고이를데이터베이스에저장하는 DNS 데이터수집부, 및 DNS 데이터를근거로도메인클러스터를생성하고도메인클러스터에서정상클러스터및 악성클러스터의특징을학습하고학습결과를근거로도메인클러스터에대한악성여부를탐지하는악성도메인클러스터탐지부를포함한다.

公开(公告)号：KR1020160116415A

公开(公告)日：2016-10-10

申请号：KR1020150044016

申请日：2015-03-30

Applicant: 한국전자통신연구원

Inventor： 최창호 ,  강병훈 ,  이성렬 ,  강정민

IPC: H04L29/06 ,  H04L12/26

CPC classification number: H04L63/1425 ,  G06F21/00 ,  G06N5/025 ,  G06N99/005 ,  H04L61/1511

Abstract: 집합적으로사용되는악성도메인들을클러스터로묶어탐지하고분석하는악성도메인클러스터탐지장치및 방법을제시한다. 제시된장치는네트워크를통해 DNS 트래픽을수집하고이를데이터베이스에저장하는 DNS 데이터수집부, 및 DNS 데이터를근거로도메인클러스터를생성하고도메인클러스터에서정상클러스터및 악성클러스터의특징을학습하고학습결과를근거로도메인클러스터에대한악성여부를탐지하는악성도메인클러스터탐지부를포함한다.

Abstract translation: 我们提出了一种恶意域集群检测方法和方法，它们使用集群共同检测和分析恶意域。 提出的装置是基于丰富DNS数据收集和生成的域簇的DNS数据的基础上，并学习该域集群中的正常的群集和恶性簇的用于存储所收集的DNS流量通过网络的特点，并且学习结果，该数据库 以及用于检测针对域集群的恶意性的恶意域集群检测单元。

公开(公告)号：KR101537996B1

公开(公告)日：2015-07-23

申请号：KR1020130096273

申请日：2013-08-14

Applicant: 한국전자통신연구원

Inventor： 이정희 ,  이성렬 ,  김덕진 ,  최영한 ,  배병철 ,  오형근 ,  손기욱 ,  박경수 ,  이융 ,  이지형 ,  문상우

IPC: G06F9/50 ,  G06F9/38

Abstract: 본발명은트래픽상황에따른 CPU와 GPU간의로드밸런스를가지는침입탐지장치및 방법에관한것으로, 다수의수신큐로부터유입되는패킷들을수신받아, 동일한플로우에속한패킷들을하나의작업큐에저장하는패킷포착부; 상기패킷포착부에저장된상기패킷들의개수를파악하여상기패킷들의문자열검사작업을상기 CPU 또는상기 GPU에분배하는문자열검토작업분배부; 상기 CPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 CPU 문자열검토부; 및상기 GPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 GPU 문자열검토부;를포함한다.

公开(公告)号：KR101280910B1

公开(公告)日：2013-07-02

申请号：KR1020110135926

申请日：2011-12-15

Applicant: 한국전자통신연구원

Inventor： 최영한 ,  김덕진 ,  이성렬 ,  이만희 ,  배병철 ,  박상우 ,  윤이중

IPC: H04L12/26 ,  H04L12/22 ,  H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/1416

Abstract: 본 발명은 네트워크 프로세서를 이용하여, 네트워크 침입을 탐지하는 장치 및 침입탐지 방법에 대한 발명이다. 더욱 상세하게는, 제1 네트워크 프로세서를 이용하여, 침입탐지장치에 전송된 패킷의 패킷 헤더(packet header)에 포함된 정보 중, 레이어3(layer3)과 레이어4(layer4)의 프로토콜 필드에 대하여 침입탐지를 수행하고, 상기 침입이 탐지되지 않는 경우, 상기 패킷을 플로우(flow)에 따라 분류하여 제2 침입탐지기에 전송하는 제1 침입탐지기, 및 제2 네트워크 프로세서를 이용하여 상기 제1 침입탐지기에서 전송된 패킷의 패킷 페이로드(packet payload)에 대하여 심층 패킷 조사(Deep Packet Inspection: DPI)를 통한 침입탐지를 수행하는 제2 침입탐지기를 포함하는 침입탐지장치를 통하여, 네트워크 환경에서 고속 패킷에 대한 침입탐지를 처리할 수 있게 된다.

公开(公告)号：KR1020140049926A

公开(公告)日：2014-04-28

申请号：KR1020130096273

申请日：2013-08-14

Applicant: 한국전자통신연구원

Inventor： 이정희 ,  이성렬 ,  김덕진 ,  최영한 ,  배병철 ,  오형근 ,  손기욱 ,  박경수 ,  이융 ,  이지형 ,  문상우

IPC: G06F9/50 ,  G06F9/38

CPC classification number: G06F9/5083

Abstract: 본발명은트래픽상황에따른 CPU와 GPU간의로드밸런스를가지는침입탐지장치및 방법에관한것으로, 다수의수신큐로부터유입되는패킷들을수신받아, 동일한플로우에속한패킷들을하나의작업큐에저장하는패킷포착부; 상기패킷포착부에저장된상기패킷들의개수를파악하여상기패킷들의문자열검사작업을상기 CPU 또는상기 GPU에분배하는문자열검토작업분배부; 상기 CPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 CPU 문자열검토부; 및상기 GPU 내에서, 상기패킷들의문자열과탐지규칙에정의된문자열의비교검사를수행하는 GPU 문자열검토부;를포함한다.

Abstract translation: 本发明涉及一种响应于CPU和GPU之间的交通状况的负载平衡器的入侵检测装置和方法。 该装置包括：分组获取单元，用于接收从多个接收队列到达的分组，并将属于相同流的分组存储在单个任务队列中; 字符串检查任务分配单元，用于确定存储在分组获取单元中的分组的数量，并且将分组的字符串检查任务分配给CPU或GPU; CPU字符串检查单元，用于将分组的字符串与在CPU内部的检测规则中定义的字符串进行比较; 以及GPU字符串检查单元，用于将分组的字符串与GPU内的检测规则中定义的字符串进行比较。 （附图标记）（110，GG）分组获取单元; （120，HH）字符串检查任务分配单元; （130，II）CPU字符串检查单元; （140，JJ）附加规则评估单位; （150）CPU通信单元; （200）图形处理装置; （210）GPU字符串检查单元; （AA，BB）网络接口; （CC，DD，EE，FF）接收队列; （KK）中央处理装置

公开(公告)号：KR101378115B1

公开(公告)日：2014-03-27

申请号：KR1020120123019

申请日：2012-11-01

Applicant: 한국전자통신연구원

Inventor： 이성렬 ,  최영한 ,  이정희 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/1416

Abstract: The present invention provides a device and a method for detecting network intrusion which perform perl compatible regular expressions (PCRE)-based pattern matching for a payload of packet using a network processor having a deterministic finite automata (DFA) engine. For the purpose, a device for detecting network intrusion according to the present invention includes: a network processor core for receiving packets from a network and transmitting a payload of the received packets to the DFA engine; a detection rule converter for converting a predetermined PCRE-based detection rule into a detection rule which has a pattern to which an only PCRE rule corresponding to the DFA engine is applied for detecting attack packets; and the DFA engine for performing PCRE pattern matching for a payload of packets based on the detection rule converted by the detection rule converter. [Reference numerals] (100) Detection rule converter; (220) Network processor core; (240) DFA engine; (AA) Detection rule; (BB) Packet; (CC) Intrusion detection result

Abstract translation: 本发明提供了一种用于检测网络入侵的设备和方法，所述网络入侵使用具有确定性有限自动机（DFA）引擎的网络处理器，对分组的有效载荷执行基于perl兼容的正则表达式（PCRE）的模式匹配。 为此，根据本发明的用于检测网络入侵的设备包括：网络处理器核，用于从网络接收分组并向DFA引擎发送所接收的分组的有效载荷; 检测规则转换器，用于将预定的基于PCRE的检测规则转换为具有与DFA引擎相对应的唯一PCRE规则的模式的检测规则，用于检测攻击包; 以及用于基于由检测规则转换器转换的检测规则对分组的有效载荷执行PCRE模式匹配的DFA引擎。 （附图标记）（100）检测规则转换器; （220）网络处理器内核; （240）DFA引擎; （AA）检测规则 （BB）包; （CC）入侵检测结果

公开(公告)号：KR1020130068631A

公开(公告)日：2013-06-26

申请号：KR1020110135926

申请日：2011-12-15

Applicant: 한국전자통신연구원

Inventor： 최영한 ,  김덕진 ,  이성렬 ,  이만희 ,  배병철 ,  박상우 ,  윤이중

IPC: H04L12/26 ,  H04L12/22 ,  H04L29/06

CPC classification number: H04L63/1458 ,  H04L63/0236 ,  H04L63/0245 ,  H04L63/1416

Abstract: PURPOSE: Network processor based two-step intrusion detection device and method for high-speed packet processing are provided to perform intrusion detection using a network processor by classifying a packet into a packet header and a packet payload. CONSTITUTION: A first intrusion detector(201) performs intrusion detection with respect to a protocol field of layer3 and layer4 in the information included in a packet header of a packet transmitted to an intrusion detection device. When the intrusion is not detected, the first intrusion detector classifies the packet according to a flow. The first intrusion detector transmits the classified flow to a second intrusion detector(202). The second intrusion detector performs intrusion detection through DIP(Deep Packet Inspection) with respect to a packet payload of the packet transmitted from the first intrusion detector using a second network processor. [Reference numerals] (201) First intrusion detector; (202) Second intrusion detector; (204) First network processor; (205) Packet header invasion condition; (206) Second network processor; (207) Payloader invasion condition

Abstract translation: 目的：提供基于网络处理器的两步入侵检测设备和高速分组处理方法，通过将分组分类为分组头和分组有效载荷，使用网络处理器执行入侵检测。 构成：第一入侵检测器（201）针对发送到入侵检测设备的分组的分组报头中包含的信息中的层3和层4的协议字段执行入侵检测。 当未检测到入侵时，第一个入侵检测器根据流程分类数据包。 第一入侵检测器将分类流传输到第二入侵检测器（202）。 第二入侵检测器通过使用第二网络处理器的从第一入侵检测器发送的分组的分组有效载荷通过DIP（深度分组检测）执行入侵检测。 （附图标记）（201）第一入侵检测器; （202）第二入侵检测器; （204）第一网络处理器; （205）分组报头入侵条件; （206）第二网络处理器; （207）有效载荷器入侵条件