公开(公告)号：KR101547999B1

公开(公告)日：2015-08-27

申请号：KR1020140116005

申请日：2014-09-02

Applicant: 한국전자통신연구원

Inventor： 이석원 ,  김근용 ,  이택규 ,  최명렬 ,  홍순좌 ,  지성택

IPC: H04L12/26 ,  H04L12/22

CPC classification number: H04L63/1416 ,  G06F17/30106 ,  G06F17/30887 ,  H04L43/00 ,  H04L43/06

Abstract: 홈페이지로부터 악성코드를 유포하는데 사용되는 악성링크를 자동으로 신속하게 수집하고 악성링크의 실시간 변화상태를 추적하는 장치 및 방법을 제시한다. 제시된 장치는 점검 사이트와 관련하여 공개된 위협정보를 수집하여 점검 사이트별로 악성링크 존재 유무를 식별하는 위협정보 수집부, 점검 사이트의 점검 우선순위를 판단하고 악성링크의 수집 및 분석 수행을 위해 점검 사이트의 할당 및 관리를 수행하는 우선순위 관리부, 점검 사이트로부터 악성링크 URL을 수집하는 악성링크 수집부, 수집된 악성링크 URL을 근거로 호출 상관관계를 분석하고 패턴 매칭을 수행하여 악성링크를 분석하는 악성링크 분석부, 및 분석된 악성링크의 실시간 변화상태를 추적하는 악성링크 추적부를 포함한다.

Abstract translation: 公开了一种用于自动且快速地收集用于从主页传播恶意代码的恶意链接以及跟踪恶意链接的实时改变阶段的装置和方法。 根据本发明，该装置包括：威胁信息收集单元，用于收集与所述检查站点相关的所公开的威胁信息，以及由所述检查站点识别所述恶意链路的存在; 确定检查点优先级的优先管理单位，分配和管理检验点，收集和分析恶意链接; 恶意链路收集单元，用于从检查站点收集恶意链接的URL; 恶意链接分析单元，用于根据所收集的恶意链路的URL分析调用相关性，并执行模式匹配来分析恶意链路; 以及用于跟踪分析的恶意链路的实时改变阶段的恶意链路跟踪单元。

公开(公告)号：KR101183975B1

公开(公告)日：2012-09-19

申请号：KR1020100027201

申请日：2010-03-26

Applicant: 한국전자통신연구원

Inventor： 양승제 ,  최명렬 ,  이승용 ,  조남덕 ,  장태주 ,  이철원

IPC: G01R31/3163 ,  G01R31/316

CPC classification number: G01R31/2805 ,  G01R31/2808 ,  G01R31/2815 ,  G01R31/318572

Abstract: 본 발명은 단자 식별 장치 및 그를 이용한 단자 식별 방법에 관한 것이다. 본 발명은 단자 식별 장치에 있어서, 식별하고자하는 후보 단자들의 풀업 전압 및 풀다운 전압을 측정하는 측정부; 상기 측정부에 의해 측정된 상기 후보 단자들의 풀업 전압 및 풀다운 전압과 상기 후보 단자들의 풀업 전압과 풀다운 전압 간의 차를 상호 비교하여, 상기 후보 단자들의 종류를 식별하는 식별부; 및 상기 식별부에 의한 상기 후보 단자들의 식별 결과를 출력하는 출력부를 포함한다. 본 발명에 따르면, 후보 단자들의 풀업 전압 및 풀다운 전압과 상기 후보 단자들의 풀업 전압과 풀다운 전압 간의 차를 상호 비교하여, 상기 후보 단자들의 종류를 식별할 수 있다. 또한, 후보 단자들을 임의로 선정한 후, 임의로 선정된 후보 단자들에 각 기능에 따른 명령어를 입력하여 명령에 따른 동작 수행 여부를 판단함으로써 상기 후보 단자들을 식별할 수 있다.

公开(公告)号：KR1020110107976A

公开(公告)日：2011-10-05

申请号：KR1020100027201

申请日：2010-03-26

Applicant: 한국전자통신연구원

Inventor： 양승제 ,  최명렬 ,  이승용 ,  조남덕 ,  장태주 ,  이철원

IPC: G01R31/3163 ,  G01R31/316

CPC classification number: G01R31/2805 ,  G01R31/2808 ,  G01R31/2815 ,  G01R31/318572

Abstract: 본 발명은 단자 식별 장치 및 그를 이용한 단자 식별 방법에 관한 것이다. 본 발명은 단자 식별 장치에 있어서, 식별하고자하는 후보 단자들의 풀업 전압 및 풀다운 전압을 측정하는 측정부; 상기 측정부에 의해 측정된 상기 후보 단자들의 풀업 전압 및 풀다운 전압과 상기 후보 단자들의 풀업 전압과 풀다운 전압 간의 차를 상호 비교하여, 상기 후보 단자들의 종류를 식별하는 식별부; 및 상기 식별부에 의한 상기 후보 단자들의 식별 결과를 출력하는 출력부를 포함한다. 본 발명에 따르면, 후보 단자들의 풀업 전압 및 풀다운 전압과 상기 후보 단자들의 풀업 전압과 풀다운 전압 간의 차를 상호 비교하여, 상기 후보 단자들의 종류를 식별할 수 있다. 또한, 후보 단자들을 임의로 선정한 후, 임의로 선정된 후보 단자들에 각 기능에 따른 명령어를 입력하여 명령에 따른 동작 수행 여부를 판단함으로써 상기 후보 단자들을 식별할 수 있다.

公开(公告)号：KR101775515B1

公开(公告)日：2017-09-06

申请号：KR1020160080979

申请日：2016-06-28

Applicant: 한국전자통신연구원

Inventor： 최대식 ,  조응준 ,  이상호 ,  이성재 ,  최명렬 ,  조상우

IPC: G06F21/57 ,  H04W12/00 ,  H04L29/06

CPC classification number: G06F21/577 ,  H04L63/105 ,  H04L63/20 ,  H04W12/00

Abstract: 보안점검장치및 방법이개시된다. 본발명에따른보안점검장치는, 이동성을지원하는사용자단말기의사용환경정보를추출하는사용환경정보추출부, 추출된상기사용환경정보에상응하는보안레벨을기반으로, 상기사용자단말기의보안점검을수행하는보안점검수행부, 상기보안점검의수행결과, 상기보안레벨에위배되는보안점검항목인위배항목이존재하는지여부를판단하는위배항목탐지부, 그리고상기위배항목이존재하는경우, 상기보안레벨에상응하도록상기보안점검항목을수정하는보안점검항목수정부를포함하며, 상기보안점검수행부는, 상기보안점검항목이수정된후, 상기사용자단말기의보안재점검을수행한다.

Abstract translation: 公开了一种安全检查装置和方法。 安全检查装置在根据本发明，基于相应的安全级别，以使用提取支持移动环境信息提取器，提取出的环境信息，用户终端的安全检查的用户终端的环境信息的， 违反检测单元，用于确定作为执行安全检查的结果是否存在作为违反安全级别的安全检查项目的违反项目，并且当违反项目存在时， 并且安全检查执行单元在安全检查项目被验证之后执行用户终端的安全重新检查。

公开(公告)号：KR101488271B1

公开(公告)日：2015-02-02

申请号：KR1020130144682

申请日：2013-11-26

Applicant: 한국전자통신연구원

Inventor： 이택규 ,  김근용 ,  이석원 ,  최명렬 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/24

CPC classification number: H04L63/1425 ,  H04L63/0236 ,  H04L63/1408 ,  H04L63/1441

Abstract: 침입 탐지시스템(IDS)의 정탐(True Positive) 효율성을 높이기 위한 것으로, 오용탐지(Misuses detection) 기법을 사용하여 침입행위 자료(Rule base, Knowledge Based)를 기반으로 알려진 침입 행위를 탐지하는 IDS 오탐 검출 장치 및 방법이 개시된다. 본 발명에 따른 IDS 오탐 검출 장치는, IDS 탐지규칙에 대응하는 패킷을 헤더와 페이로드로 분류함으로써 상기 페이로드를 추출하는 페이로드 추출부, 관리자로부터 수신한 패킷 분석 결과를 기반으로 오탐 패킷의 페이로드를 추출함으로써 오탐 페이로드를 식별하기 위한 오탐 페이로드 정보를 생성하는 오탐 페이로드 정보 생성부 및 오탐 페이로드 정보를 기반으로 상기 페이로드 추출부에서 추출된 페이로드가 오탐 페이로드에 해당하는지 판단한 결과를 상기 관리자에게 전송하는 오탐 페이로드 판단부를 포함한다.

Abstract translation: 为了提高入侵检测系统（IDS）的真正的正效率，通过使用假阳性检测技术，基于入侵行为数据（基于规则或知识）检测已知入侵行为的IDS假阳性检测的装置和设备是 披露。 根据本发明的用于IDS假阳性检测的装置包括：有效载荷提取单元，将与IDS检测规则相对应的分组分类为报头和有效载荷以提取有效载荷;假正负载信息生成单元，提取有效载荷 基于从管理器接收到的分组分析结果产生假阳性分组，以产生用于识别假正有效载荷的假正有效载荷信息;以及假正负载确定单元，通过基于假正负载信息确定获得的结果， 从有效载荷提取单元提取的有效载荷对应于假正负载。 将所选和调度的内容分配给中间节点。

公开(公告)号：KR100963256B1

公开(公告)日：2010-06-17

申请号：KR1020080041659

申请日：2008-05-06

Applicant: 한국전자통신연구원

Inventor： 최명렬 ,  김요식 ,  박상서

IPC: G06F12/00 ,  G06F9/06

Abstract: 본 발명은 휘발성 메모리에 저장된 데이터를 추출하기 위한 장치 및 방법에 관한 것으로서, 특히 컴퓨터에 장착된 휘발성 메모리로부터 추출한 데이터의 무결성을 보장하기 위한 메모리 데이터 추출 장치 및 방법에 관한 것이다. 본 발명에 따른 메모리 데이터 추출 장치는 메모리에 저장된 데이터를 추출하는 메모리 데이터 추출 모듈; 및 상기 메모리 데이터 추출 모듈을 상기 메모리의 커널 영역에 로딩하고, 상기 로딩된 메모리 데이터 추출 모듈의 우선순위를 상기 메모리에 로딩되어 있는 커널 프로세서들의 우선순위보다 높게 설정하는 모듈 로더로 구성된다. 본 발명은 메모리 데이터를 추출하는 프로세스를 커널 영역에 로딩하고, 로딩된 프로세스의 우선순위를 다른 커널 프로세스의 우선순위보다 높게 설정함으로써, 메모리 데이터 추출 중에 태스크 스위칭이 발생하는 것을 방지할 수 있다. 이에 따라, 본 발명은 비휘발성 메모리로부터 추출한 데이터의 무결성을 보장할 수 있다.
디지털 포렌식, 휘발성 메모리, 무결성, 커널 프로세스, 멀티 태스킹

公开(公告)号：KR1020170141940A

公开(公告)日：2017-12-27

申请号：KR1020160074993

申请日：2016-06-16

Applicant: 한국전자통신연구원

Inventor： 이성재 ,  조응준 ,  이상호 ,  최대식 ,  최명렬 ,  조상우

IPC: G06F17/30

Abstract: 이동형저장매체의사용이력식별장치및 방법이개시된다. 본발명의일실시예에따른이동형저장매체의사용이력식별장치는이동저장매체의사용이력에관련된이벤트정보를분석하는이벤트정보분석부; 상기이벤트정보의분석결과에기반하여레지스트리정보를분석하는레지스트리정보분석부; 상기레지스트리정보의분석결과에기반하여상기사용이력에관련된파일들을분석하는파일실행분석부및 상기이벤트정보, 상기레지스트리정보및 상기파일들의분석결과들중 어느하나이상에기반하여상기사용이력을식별하는사용이력식별부를포함한다.

Abstract translation: 公开了一种用于可移动存储介质的使用历史识别设备和方法。 根据本发明实施例的便携式存储介质的使用历史识别设备包括：事件信息分析器，用于分析与移动存储介质的使用历史有关的事件信息; 注册信息分析器，用于基于事件信息的分析结果来分析注册信息; 基于注册表的文件执行分析部分和事件信息分析与使用历史有关的文件，任何一个或多个的注册表信息的分析结果和文件的基础上，确定使用历史的分析结果 和使用历史识别单元。

公开(公告)号：KR101662530B1

公开(公告)日：2016-10-05

申请号：KR1020150074619

申请日：2015-05-28

Applicant: 한국전자통신연구원

Inventor： 이남훈 ,  오은수 ,  최명렬 ,  서인석 ,  지성택

IPC: H04L29/06

Abstract: DDoS나대규모악성코드의유포시감염된호스트가 C&C 서버로접근하고지시를받는과정에서악성도메인명을이용하는것에착안하여접근을사전에탐지및 차단하고감염된호스트를식별하여악성코드를제거하여조직의피해를최소화하는호스트의악성도메인접근탐지와차단시스템및 그방법을제시한다. 제시된방법은실시간으로악성도메인을추적하는단계, 추적된악성도메인의정보를기관 DNS 및악성도메인질의권한위임부로배포하는단계, 배포되는악성도메인의정보를근거로악성도메인의정보를갱신하는단계, 및기관 DNS로부터위임받은악성도메인질의에대해응답하되갱신된악성도메인에대한악성도메인존 파일의정보를참고하여악성도메인에대한 IP를기관 DNS를통해기관호스트에전송하는단계를포함한다.

公开(公告)号：KR1020090067013A

公开(公告)日：2009-06-24

申请号：KR1020080041659

申请日：2008-05-06

Applicant: 한국전자통신연구원

Inventor： 최명렬 ,  김요식 ,  박상서

IPC: G06F12/00 ,  G06F9/06

Abstract: A memory data extractor and a method thereof using a module loader for setting up a priority of a memory data extraction module higher than that of kernel processor are provided to prevent the task switching while extracting memory data and secure the integrity of data extracted form a non-volatile memory. A memory data extraction module(120) extracts data stored in a memory(130). A module loader(110) loads the memory data extraction module in the kernel area of the memory. The module loader sets up the priority of the loaded memory data extraction module higher than the priority of the kernel processor loaded in the memory. The memory data extractor sets up a priority of a memory data extraction module higher than that of kernel processor.

Abstract translation: 提供了一种存储器数据提取器及其使用模块加载器来建立高于内核处理器的存储器数据提取模块的优先级的方法，以防止任务切换，同时提取存储器数据并确保从非提取存储器数据提取模块的完整性 非易失存储器 存储器数据提取模块（120）提取存储在存储器（130）中的数据。 模块加载器（110）将存储器数据提取模块加载到存储器的内核区域中。 模块加载器设置加载的存储器数据提取模块的优先级高于加载在存储器中的内核处理器的优先级。 存储器数据提取器设置比内核处理器更高的存储器数据提取模块的优先级。

公开(公告)号：KR100876637B1

公开(公告)日：2009-01-09

申请号：KR1020070019736

申请日：2007-02-27

Applicant: 한국전자통신연구원

Inventor： 최명렬 ,  윤이중 ,  박종욱

IPC: G06F15/00 ,  G06F17/00 ,  G06F21/00

Abstract: 본 발명은 Ｌｉｎｕｘ 운영체제에서 소프트웨어 공격 탐지 장치 및 방법에 관한 것으로 프로세스 실행 제어와 관련된 명령 또는 함수의 목적주소를 획득하고, 운영체제에서 제공하는 메모리 영역 정보로부터 프로세스의 제어가 옮겨갈 수 있는 실행코드 메모리 영역의 주소 리스트를 생성하여, 상기 획득된 목적주소가 상기 생성된 실행코드 메모리 영역의 주소 리스트에 포함되는지 확인하는 구성을 통해 소프트웨어에 대한 공격이 발생하는 경우에 나타나는 프로세스의 제어가 정상적인 실행코드 영역 대신에 미리 입력된 공격 코드가 저장된 영역으로 옮겨가는 비정상적인 상황을 감지하여 공격을 탐지함으로써 다양한 형태의 공격을 탐지할 수 있는 효과가 있다.
실행코드, 목적주소, Linux