-
1.发明申请
公开(公告)号:WO2011004977A2
公开(公告)日:2011-01-13
申请号:PCT/KR2010/004026
申请日:2010-06-22
CPC classification number: G06F21/577 , G06F21/552 , G06F2221/0775 , G06F2221/2129 , G06F2221/2145 , G06F2221/2151 , H04L63/1416
Abstract: 본 발명은 사이버위협 계층 구조상 하위 사이버위협을 예측하고 이를 이용하여 상위 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 방법에 관한 것이다. 본 발명의 일 실시예에 따른 사이버위협 예측 엔진 시스템은, 복수의 사이버위협 예측 항목 및 이에 연관된 예측 스케쥴 및 예측 모형 정보, 예측 항목 계층 구조 정보, 사이버위협 시계열 데이터, 사이버위협 표본 데이터를 포함하는 예측 정보를 저장하는 예측 정보 DB와, 상기 예측 정보 DB에 저장된 상기 예측 정보를 이용하여 계층 구조를 갖는 상기 복수의 사이버위협 예측 항목들에 대한 위협도를 예측하는 예측 엔진 코어 서브시스템과, 사용자 또는 외부 시스템으로부터 상기 예측 엔진 코어 서브시스템에 대한 제어 명령을 수신하여 상기 예측 엔진 코어 서브시스템에 전달하는 예측 엔진 제어 인터페이스를 포함한다.
Abstract translation: 本发明涉及一种网络威胁预测引擎系统和方法,用于预测网络威胁等级中更低的网络威胁并使用预测的更低的网络威胁来预测更高的网络威胁。 网络威胁根据本发明的一个实施例的发动机系统中,预测的预测包括多个网络威胁预测项和其相关联的预测的时间表,和预测模型的信息,预测项层次结构信息,所述网络威胁的时间序列数据,网络威胁样本数据 预测引擎核心子系统,用于通过使用存储在预测信息DB中的预测信息来预测对具有分层结构的多个网络威胁预测项目的威胁程度; 以及预测引擎控制接口,用于从系统接收用于预测引擎核心子系统的控制命令,并将控制命令传递给预测引擎核心子系统。
-
2.发明授权
公开(公告)号:KR101039717B1
公开(公告)日:2011-06-09
申请号:KR1020090061602
申请日:2009-07-07
Applicant: 한국전자통신연구원
CPC classification number: G06F21/577 , G06F21/552 , G06F2221/0775 , G06F2221/2129 , G06F2221/2145 , G06F2221/2151 , H04L63/1416
Abstract: 본 발명은 사이버위협 계층 구조상 하위 사이버위협을 예측하고 이를 이용하여 상위 사이버위협을 예측하기 위한 사이버위협 예측 엔진 시스템 및 방법에 관한 것이다.
본 발명의 일 실시예에 따른 사이버위협 예측 엔진 시스템은, 복수의 사이버위협 예측 항목 및 이에 연관된 예측 스케쥴 및 예측 모형 정보, 예측 항목 계층 구조 정보, 사이버위협 시계열 데이터, 사이버위협 표본 데이터를 포함하는 예측 정보를 저장하는 예측 정보 DB와, 상기 예측 정보 DB에 저장된 상기 예측 정보를 이용하여 계층 구조를 갖는 상기 복수의 사이버위협 예측 항목들에 대한 위협도를 예측하는 예측 엔진 코어 서브시스템과, 사용자 또는 외부 시스템으로부터 상기 예측 엔진 코어 서브시스템에 대한 제어 명령을 수신하여 상기 예측 엔진 코어 서브시스템에 전달하는 예측 엔진 제어 인터페이스를 포함한다.
사이버위협, 계층 구조, 예측 엔진-
公开(公告)号:KR100974888B1
公开(公告)日:2010-08-11
申请号:KR1020070120935
申请日:2007-11-26
Applicant: 한국전자통신연구원
IPC: H04L12/26
CPC classification number: H04L63/1425 , H04L43/045
Abstract: 본 발명은 비정상 트래픽을 탐지하기 위한 장치 및 방법에 관한 것으로, 특히 네트워크 트래픽의 엔트로피에 기반하여 비정상 트래픽을 탐지하는 비정상 트래픽 탐지 장치 및 방법에 관한 것이다. 본 발명에 따른 비정상 트래픽 탐지 장치는 네트워크 트래픽으로부터 엔트로피를 추출하는 엔트로피 추출 모듈; 상기 엔트로피를 이용하여 엔트로피 그래프를 생성하는 시각화 모듈; 상기 엔트로피 그래프에 기반하여 각각의 네트워크 공격에 대한 그래프 모델을 갱신하는 그래프 모델 학습 모듈; 및 상기 엔트로피 그래프 및 상기 각각의 네트워크 공격에 대한 그래프 모델에 기반하여 비정상 트래픽을 탐지하고 탐지 결과를 사용자에게 출력하는 비정상 트래픽 탐지 모듈로 구성된다. 본 발명은 단순한 통계가 아닌 네트워크 엔트로피에 기반하여 비정상 트래픽을 탐지함으로써, 비정상 트래픽 탐지 장치의 오경보율을 감소시킬 수 있다.
엔트로피, 시각화, 비정상 트래픽-
公开(公告)号:KR1020090001609A
公开(公告)日:2009-01-09
申请号:KR1020070043081
申请日:2007-05-03
Applicant: 한국전자통신연구원
CPC classification number: G06F21/56 , G06F21/552 , G06F21/577
Abstract: A cyber threat forecast system for forecasting a frequency, possibility, and period of cyber threat, and a method thereof are provided to offer a forecast result to a user by forecasting a frequency, possibility, and a period of cyber threat through time series analysis method and Delphi analysis method considering various variables. An information collecting/processing module(10) collects and processes intrusion detection event information, network traffic statistics information, and cyber threat information of an Internet bulleting board, and specialist opinion information for cyber threat occurrence. A forecasting engine subsystem(120) forecasts a frequency, possibility, and a period for the cyber threat by selecting time series analysis method and Delphi analysis method according to the processed information. A result display GUI(Graphic User Interface) and managing module(110) displays a forecasting result of the forecasting engine subsystem in a screen, and changes and manages setting of the forecasting engine subsystem and an information collecting/processing module.
Abstract translation: 提供一种用于预测网络威胁的频率,可能性和时间的网络威胁预测系统及其方法,以通过时间序列分析方法预测网络威胁的频率,可能性和时间来向用户提供预测结果 和Delphi分析方法考虑各种变量。 信息收集/处理模块(10)收集和处理互联网投影板的入侵检测事件信息,网络流量统计信息和网络威胁信息,以及网络威胁发生的专家意见信息。 预测引擎子系统(120)通过根据处理的信息选择时间序列分析方法和Delphi分析方法来预测网络威胁的频率,可能性和时间。 结果显示GUI(图形用户界面)和管理模块(110)在屏幕中显示预测引擎子系统的预测结果,并且改变和管理预测引擎子系统和信息收集/处理模块的设置。
-
5.发明授权
公开(公告)号:KR100748246B1
公开(公告)日:2007-08-10
申请号:KR1020060028232
申请日:2006-03-29
Applicant: 한국전자통신연구원
IPC: G06F15/00
Abstract: A multi-step integrated security management system using an intrusion detection log collection engine and a traffic statistics generation engine, and a method thereof are provided to reduce a false detection rate by relating/analyzing an intrusion detection log collected in the intrusion detection log collection engine and traffic quantity generated from the traffic statistics generation engine. Each monitoring agent(100) is installed to each agency using the independent network, and comprises the intrusion detection log collection engine(101) collecting the intrusion detection log and the traffic statistics generation engine(102) collecting traffic statistics. Each management server(200,300) separately or mutually analyzes the intrusion detection log and the traffic statistics received from each monitoring agent. The intrusion detection log collection engine includes an external interface accessing an IDS(Intrusion Detection System) to collect the intrusion detection engine, a format converter, a log contractor, and a transmitter. The traffic statistics generation engine includes a network interface, a packet analyzer, a traffic information manager, a statistics information generator, and the transmitter.
Abstract translation: 提供了使用入侵检测日志收集引擎和流量统计生成引擎的多步骤集成安全管理系统及其方法,以通过关联/分析在入侵检测日志收集引擎中收集的入侵检测日志来减少误检率 以及来自流量统计生成引擎的流量。 每个监控代理(100)使用独立网络安装到每个代理,并且包括收集入侵检测日志的入侵检测日志收集引擎(101)和收集流量统计的流量统计生成引擎(102)。 每个管理服务器(200,300)分别或相互分析从每个监视代理接收到的入侵检测日志和流量统计。 入侵检测日志收集引擎包括访问IDS(入侵检测系统)以收集入侵检测引擎的外部接口,格式转换器,日志承包商和发送器。 流量统计生成引擎包括网络接口,分组分析器,交通信息管理器,统计信息生成器和发送器。
-
Patent Agency Ranking6.发明公开
公开(公告)号:KR1020110004016A
公开(公告)日:2011-01-13
申请号:KR1020090061602
申请日:2009-07-07
Applicant: 한국전자통신연구원
CPC classification number: G06F21/577 , G06F21/552 , G06F2221/0775 , G06F2221/2129 , G06F2221/2145 , G06F2221/2151 , H04L63/1416
Abstract: PURPOSE: An engine system for predicting a cyber threat for predicting the cyber threat and a method for predicting the cyber threat using the system are provided to predict threat level about a top level cyber threat based on level structure between various cyber threats, thereby preventing the cyber threat which will occur in the future. CONSTITUTION: A prediction information database(1400) stores cyber threat prediction items and prediction information. The prediction information includes a prediction schedule, prediction model information, prediction item level structure information, a cyber threat time-series data, and a cyber threat sample data. An prediction engine core subsystem(1200) uses the prediction information to predict the threat level about cyber threat prediction items having level structure. An prediction engine control interface(1100) receives a control command from a user or an external system to transfer to the prediction engine core sub system.
Abstract translation: 目的:提供一种用于预测网络威胁以预测网络威胁的引擎系统,并提供使用该系统预测网络威胁的方法,以根据各种网络威胁之间的级别结构预测关于顶级网络威胁的威胁级别,从而防止 将来会发生的网络威胁。 规定:预测信息数据库(1400)存储网络威胁预测项目和预测信息。 预测信息包括预测计划,预测模型信息,预测项目级结构信息,网络威胁时间序列数据和网络威胁采样数据。 预测引擎核心子系统(1200)使用预测信息来预测具有级别结构的网络威胁预测项目的威胁级别。 预测引擎控制接口(1100)从用户或外部系统接收控制命令以传送到预测引擎核心子系统。
-
公开(公告)号:KR1020090130990A
公开(公告)日:2009-12-28
申请号:KR1020080056736
申请日:2008-06-17
Applicant: 한국전자통신연구원
CPC classification number: G06F21/554 , G06F21/52
Abstract: PURPOSE: An abnormal action interception device of an application program and a method thereof are provided to perform detection and interception of an abnormal action based on an action profile, thereby reducing a misjudgment rate of abnormal action detection. CONSTITUTION: An action monitor(311) detects actions of ongoing application programs(320). An abnormal action detector(312) decides whether the detected actions of the application programs are abnormal. If so, an abnormal action interceptor(313) intercepts execution of the actions of the application programs. An action profile extractor(317) generates an action profile by simulation of the application programs of analysis or source files of the application programs.
Abstract translation: 目的:提供一种应用程序的异常动作拦截装置及其方法,以基于动作简档来执行异常动作的检测和截取,从而减少异常动作检测的误判率。 构成:动作监视器(311)检测正在进行的应用程序(320)的动作。 异常动作检测器(312)判断检测到的应用程序的动作是否异常。 如果是这样,异常动作拦截器(313)拦截执行应用程序的动作。 动作简档提取器(317)通过模拟应用程序的分析应用程序或源文件来生成动作简档。
-
公开(公告)号:KR1020090048955A
公开(公告)日:2009-05-15
申请号:KR1020070115084
申请日:2007-11-12
Applicant: 한국전자통신연구원
IPC: G06F15/00
CPC classification number: H04L63/1433 , G06F21/577
Abstract: 본 발명은 외부 네트워크로부터 관리 네트워크로 전송되는 트래픽 정보 및 침입 탐지 정보를 수집하는 보안 정보 수집부, 보안업체 네트워크로부터 전송되는 악성 코드 정보를 수집하는 악성 코드 정보 수집부, 보안 정보 수집부에 수집된 정보를 시계열 데이터로 변환하는 시계열 데이터 변환부, 보안 정보 수집부에 수집된 정보를 이용하여 관리 네트워크의 트래픽 분포를 파악하는 네트워크 트래픽 분석부 및 시계열 데이터 변환부 및 네트워크 트래픽 분석부에서 분석된 정보와 악성 코드 정보 수집부에서 수집된 정보를 이용하여 관리 네트워크의 보안 정보를 예측하는 보안 예측 엔진을 포함하는 네트워크 보안 위험도 예측 장치를 제공할 수 있다.
보안 위험도, 악성 코드, 예측, 예보-
公开(公告)号:KR100655492B1
公开(公告)日:2006-12-08
申请号:KR1020050097170
申请日:2005-10-14
Applicant: 한국전자통신연구원
Abstract: A system and a method for checking vulnerability of a web server by using a search engine are provided to efficiently check vulnerability with reduction of a vulnerability checking time and system overhead by checking the vulnerability of the probable web server after examining the web server probably including the vulnerability with the search engine in advance. A user terminal comprises a web server examining module(101) receiving a URL(Uniform Resource Locator) of the probable web server examined by the search engine after requesting the search engine to examine files probably including the vulnerability in response to an inputted keyword including a packet having the known vulnerability, and a web server vulnerability checking module(102). The web server vulnerability checking module sends a vulnerability checking query to the probable web server by parsing the URL received from the web server examining module, and checks the vulnerability in the web server with a response to the query or a returned message. The search engine constructs the system for obtaining the URL of the web server and transmitting the obtained URL to the web server examining module.
Abstract translation: 提供了一种利用搜索引擎来检查web服务器的漏洞的系统和方法,用于在检查可能包括web服务器的web服务器之后检查可能的web服务器的漏洞,以减少漏洞检查时间和系统开销来有效地检查漏洞 提前与搜索引擎进行漏洞。 用户终端包括:网络服务器检查模块(101),用于响应于输入的关键字(包括关键字),请求搜索引擎检查可能包括漏洞的文件,接收搜索引擎检查的可能的网络服务器的URL(统一资源定位符) 具有已知漏洞的分组,以及web服务器漏洞检查模块(102)。 Web服务器漏洞检查模块通过解析从Web服务器检查模块接收到的URL,向可能的Web服务器发送漏洞检查查询,并通过对查询或返回消息的响应来检查Web服务器中的漏洞。 搜索引擎构建用于获取网络服务器的URL并将获得的URL发送到网络服务器检查模块的系统。
-
公开(公告)号:KR100951852B1
公开(公告)日:2010-04-12
申请号:KR1020080056736
申请日:2008-06-17
Applicant: 한국전자통신연구원
CPC classification number: G06F21/554 , G06F21/52
Abstract: 본 발명은 응용 프로그램의 비정상행위를 차단하기 위한 장치 및 방법에 관한 것으로서, 특히 각각의 응용 프로그램에 대한 행위 프로파일에 기반하여 비정상행위를 탐지 및 차단하는 응용 프로그램 비정상행위 차단 장치 및 방법에 관한 것이다. 본 발명에 따른 응용 프로그램 비정상행위 차단 장치는 실행중인 응용 프로그램의 행위를 탐지하는 행위 감시부; 상기 실행중인 응용 프로그램의 행위 프로파일에 기반하여 상기 탐지된 응용 프로그램의 행위가 비정상행위인지 여부를 판단하는 비정상행위 탐지부; 및 상기 비정상행위 탐지부에 의해 비정상행위로 판단된 상기 응용 프로그램 행위의 실행을 차단하는 비정상행위 차단부로 구성된다. 본 발명은 각각의 응용 프로그램에 대하여 응용 프로그램의 목적에 따라 가능한 행위를 행위 프로파일에 저장하고 행위 프로파일에 기반하여 비정상행위를 탐지 및 차단함으로써, 비정상행위 탐지의 오판율을 감소시킴과 동시에 사용자가 신뢰하는 프로그램의 권한을 이용한 공격에 대응할 수 없었던 종래의 보안 프로그램의 문제점을 해결할 수 있다.
행위 기반 악성코드 탐지, 바이러스, 비정상행위, 악성행위 탐지, API 후킹
-
-
-
-
-
-
-
-
-
Search Results
13
records
(took 0.019 seconds)
