公开(公告)号：WO2015030363A1

公开(公告)日：2015-03-05

申请号：PCT/KR2014/006318

申请日：2014-07-14

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  한유정 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/20 ,  H04L63/0263 ,  H04L63/1416

Abstract: 본 발명은 침입탐지시스템에서 사용하는 침입탐지규칙의 유사도를 점검하여, 침입탐지규칙간의 포함관계를 파악하고, 포함관계를 파악한 결과를 토대로 침입탐지 유사도를 측정하는 장치 및 그 방법에 관한 것이다. 침입탐지규칙 간의 유사도 측정 장치는 복수개의 탐지규칙을 일정한 형태로 변형하는 정규화부, 변형된 복수개의 탐지규칙 중 제1 탐지규칙과 제2 탐지규칙을 각각 탐지규칙 헤더와 탐지규칙 옵션으로 구분하는 구분부, 제1 탐지규칙의 탐지규칙 헤더와 제2 탐지규칙의 탐지규칙 헤더의 포함관계를 판단하고, 제1 탐지규칙의 탐지규칙 옵션과 제2 탐지규칙의 탐지규칙 옵션의 포함관계를 판단하는 관계 연산부 및 탐지규칙 헤더의 포함관계와 탐지규칙 옵션의 포함관계를 토대로 탐지규칙 간의 유사도를 측정하는 유사도 측정부를 포함한다.

Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则与基于所识别的包含关系的结果来测量入侵检测相似性之间的相似性来识别入侵检测规则之间的包含关系的装置，以及方法 为此。 用于测量入侵检测规则之间的相似性的装置包括：归一化单元，用于将多个检测规则变换为均匀类型; 分割单元，用于将所述多个变换检测规则中的第一检测规则和第二检测规则分别划分为检测规则报头和检测规则选项; 关系计算单元，用于确定第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系，以及确定第一检测规则的检测规则选项与检测规则选项之间的包含关系 的第二检测规则; 以及相似度测量单元，用于基于检测规则标题的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。

公开(公告)号：KR1020120130626A

公开(公告)日：2012-12-03

申请号：KR1020110048713

申请日：2011-05-23

Applicant: 한국전자통신연구원

Inventor： 김원호 ,  윤영태 ,  김동수 ,  정윤정 ,  한유정 ,  이철원

IPC: G06F21/22

CPC classification number: G06F21/53 ,  G06F9/45533 ,  G06F11/0712 ,  G06F21/577

Abstract: PURPOSE: A malicious code detecting device based on a document and a method thereof are provided to find a special action generated in only special version OS, a document editor or a special version or a special file execution mode through an action analysis, thereby detecting an unknown malicious code. CONSTITUTION: A virtual machine unit(130) includes virtual machines in which different operating systems or different document editors is installed. A virtual machine executing unit(120) selects the virtual machines in which a document editor corresponding to a document file is installed. The virtual machine executing unit delivers the document file to the selected virtual machines. A result analyzing unit(140) collects action analysis results according to execution of the document file from the selected virtual machines. The result analyzing unit compares the action analysis results and detects an action analysis result which an operation state is different. A malicious code identifying unit(160) identifies a malicious code inserted into the document file by using the action analysis results. [Reference numerals] (110) Extension identifying unit; (120) Virtual machine executing unit; (130) Virtual machine unit; (140) Result analyzing unit; (150) Malignant code identifying unit; (160) Analysis result storing unit

Abstract translation: 目的：提供一种基于文档及其方法的恶意代码检测设备，通过动作分析来查找专门的版本OS，文档编辑器或特殊文件执行模式中产生的特殊动作，从而检测 未知的恶意代码。 构成：虚拟机单元（130）包括虚拟机，其中安装有不同的操作系统或不同的文档编辑器。 虚拟机执行单元（120）选择其中安装了与文档文件对应的文档编辑器的虚拟机。 虚拟机执行单元将文档文件传送到所选择的虚拟机。 结果分析单元（140）根据来自所选择的虚拟机的文档文件的执行来收集动作分析结果。 结果分析单元比较动作分析结果并检测操作状态不同的动作分析结果。 恶意代码识别单元（160）通过使用动作分析结果识别插入到文档文件中的恶意代码。 （附图标记）（110）扩展识别单元; （120）虚拟机执行单元; （130）虚拟机单元; （140）结果分析单位; （150）恶意代码识别单位; （160）分析结果存储单元

公开(公告)号：KR101505845B1

公开(公告)日：2015-03-26

申请号：KR1020140012641

申请日：2014-02-04

Applicant: 한국전자통신연구원

Inventor： 한유정 ,  남동수 ,  오형근 ,  손기욱

IPC: H04L12/70

CPC classification number: H04L67/146 ,  H04L63/14

Abstract: 본 발명의 실시예에 따른 패킷 처리 장치는 복수의 HTTP 패킷으로 구성된 패킷 그룹을 복수의 세션 파일로 분류하여, 분배하는 세션 처리부, 복수의 세션 파일에 기초하여 분배된 각각의 세션 파일에서 개별적으로 메타 데이터를 생성 및 콘텐츠를 추출하는 병렬 처리부 및 병렬 처리부에서 생성된 메타 데이터 또는 추출된 콘텐츠를 저장하는 저장부를 포함한다.

Abstract translation: 根据本发明实施例的分组处理装置包括：会话处理单元，将配置有多个HTTP分组的分组组分类成多个会话文件，并分发多个会话文件; 并行处理单元，分别从基于所述多个会话文件分发的每个会话文件生成元数据，并提取内容; 以及存储由并行处理单元生成的元数据或提取的内容的存储单元。

公开(公告)号：KR101122650B1

公开(公告)日：2012-03-09

申请号：KR1020100039335

申请日：2010-04-28

Applicant: 한국전자통신연구원

Inventor： 김요식 ,  노상균 ,  정윤정 ,  김동수 ,  김원호 ,  한유정 ,  윤영태 ,  손기욱 ,  이철원

IPC: G06F21/56 ,  H04L12/22

CPC classification number: G06F21/566

Abstract: 본발명은정상프로세스에위장삽입된악성코드를탐지하기위한장치, 시스템및 방법에관한것이다. 본발명에따른악성코드탐지장치는, 컴퓨터시스템상에서실행중인프로세스로부터생성된쓰레드정보를추출하여상기쓰레드에연관된코드를식별하고상기식별된코드의악성여부를추정하여상기악성으로추정된코드를추출하는악성코드탐지모듈과, 상기추출된코드를가상환경에서실행하여행위를분석한결과에기반하여상기코드를악성코드로최종판단하고상기코드의실행을강제종료하는악성코드강제종료모듈을포함한다.

公开(公告)号：KR101109669B1

公开(公告)日：2012-02-08

申请号：KR1020100039332

申请日：2010-04-28

Applicant: 한국전자통신연구원

Inventor： 노상균 ,  윤영태 ,  김동수 ,  김요식 ,  정윤정 ,  김원호 ,  한유정 ,  이철원

IPC: H04L9/32 ,  G06F21/56

CPC classification number: H04L63/1458 ,  G06F21/44 ,  H04L67/146

Abstract: 본 발명은 악성봇(bot)에 의해 감염되어 악성행위를 수행하는 좀비(zombie) 호스트를 식별 및 차단하기 위한 방법 및 이를 수행하는 가상 서버와, 이러한 가상 서버에 기반하여 획득된 좀비 정보를 분석함으로써 좀비의 규모 및 분포를 파악하기 위한 방법 및 이를 수행하는 싱크홀 서버에 관한 것이다.
본 발명에 따른 가상 서버는 호스트로부터 수신된 웹서버 접속요청 메시지가 쿠키를 포함하지 않은 경우에 자동접속방지(CAPTCHA) 테스트를 이용하여 상기 호스트를 인증하고 상기 인증된 호스트에 쿠키를 제공하는 인증처리모듈; 상기 웹서버 접속요청 메시지가 쿠키를 포함한 경우에 상기 웹서버 접속요청 메시지로부터 쿠키값을 추출하고 상기 추출된 쿠키값을 검증하는 쿠키값검증모듈; 상기 쿠키값의 검증에 성공할 경우 상기 호스트가 상기 웹서버로 접속할 수 있도록 유도하는 웹페이지 접속유도모듈; 및 상기 쿠키값의 검증에 실패한 경우 상기 호스트의 접속을 차단하고 상기 차단 회수가 임계값을 초과하는 경우에 상기 호스트를 좀비로 식별하는 좀비식별모듈을 포함한다.

公开(公告)号：KR1020110119915A

公开(公告)日：2011-11-03

申请号：KR1020100039332

申请日：2010-04-28

Applicant: 한국전자통신연구원

Inventor： 노상균 ,  윤영태 ,  김동수 ,  김요식 ,  정윤정 ,  김원호 ,  한유정 ,  이철원

IPC: H04L9/32 ,  G06F21/56

CPC classification number: H04L63/1458 ,  G06F21/44 ,  H04L67/146

Abstract: PURPOSE: A virtual server and method for zombie discrimination and a sinkhole server and method for managing zombie information in an integrated way based on the virtual server are provided to utilize the virtual server, thereby discriminating zombie hosts which are abnormally connected to a web server. CONSTITUTION: An authentication process module(220) certifies a host using an automatic access prevention test. The authentication process module supplies a cookie to the certified host. A cookie value verification module(240) verifies a detected cookie value by extracting the cookie value from a web server access request message. A web page access induction module(250) induces access to a web server of the host in a case of cookie value verification success. A zombie discrimination module(260) blocks the access of the host in a case of cookie value verification failure. The zombie discrimination module identifies the host as a zombie when the number of blockings exceeds a critical value.

Abstract translation: 目的：提供用于僵尸鉴别的虚拟服务器和方法，以及基于虚拟服务器的集成方式来管理僵尸信息的宿窝服务器和方法，以利用虚拟服务器，从而区分异常连接到web服务器的僵尸主机。 构成：认证处理模块（220）使用自动访问防止测试来证明主机。 认证过程模块向认证主机提供Cookie。 cookie值验证模块（240）通过从Web服务器访问请求消息提取cookie值来验证检测到的cookie值。 在cookie值验证成功的情况下，网页访问感应模块（250）可以访问主机的Web服务器。 在cookie值验证失败的情况下，僵尸识别模块（260）阻止主机的访问。 僵尸识别模块在阻塞次数超过临界值时将主机识别为僵尸。

公开(公告)号：KR101262228B1

公开(公告)日：2013-05-15

申请号：KR1020110048713

申请日：2011-05-23

Applicant: 한국전자통신연구원

Inventor： 김원호 ,  윤영태 ,  김동수 ,  정윤정 ,  한유정 ,  이철원

IPC: G06F21/22

Abstract: 문서기반악성코드탐지장치는가상머신을통해운영체제의버전, 문서편집기의버전또는파일실행방식에따라결정되는서로다른실행조건들로문서파일을실행하고, 행위분석프로그램을이용하여실행조건들에각각대응되는행위분석결과들을수집하며, 행위분석결과들을비교하여작동상태가상이한행위분석결과를검출한후, 검출된행위분석결과로부터문서파일이악성코드가삽입된악성문서파일인지를판단하여문서파일이악성문서파일이면, 검출된행위분석결과에대응되는실행조건을악성코드의실행조건으로검출한다.

公开(公告)号：KR1020110119918A

公开(公告)日：2011-11-03

申请号：KR1020100039335

申请日：2010-04-28

Applicant: 한국전자통신연구원

Inventor： 김요식 ,  노상균 ,  정윤정 ,  김동수 ,  김원호 ,  한유정 ,  윤영태 ,  손기욱 ,  이철원

IPC: G06F21/56 ,  H04L12/22

CPC classification number: G06F21/566

Abstract: PURPOSE: A malignant code in which is hided in a normal process detection apparatus using virtual environment, system, and method thereof are provided to effectively counteract malignant codes by detecting the changed code of the detected malignant code. CONSTITUTION: A malignant code detection module(210) distinguishes codes in which are related to thread by extracting information about the thread in which is created from a process. The malignant code detection module extracts the distinguished malignant code by distinguishing the malignant code. A malignant code termination module(220) terminates the execution of the code and determines the malignant code based on an analysis result. The analysis result is created by analyzing the extracted code in virtual environment.

Abstract translation: 目的：提供使用虚拟环境，系统及其方法的正常过程检测装置中隐藏的恶性代码，以通过检测检测到的恶性代码的改变的代码来有效地抵消恶性代码。 构成：恶性代码检测模块（210）通过提取关于从进程创建的线程的信息来区分与线程相关的代码。 恶性代码检测模块通过区分恶性代码来提取恶性代码。 恶性代码终止模块（220）终止代码的执行并基于分析结果确定恶性代码。 分析结果是通过分析虚拟环境中提取的代码来创建的。

公开(公告)号：KR101492442B1

公开(公告)日：2015-02-24

申请号：KR1020140002912

申请日：2014-01-09

Applicant: 한국전자통신연구원

Inventor： 한유정 ,  문정환 ,  남동수 ,  오형근 ,  손기욱

IPC: H04L12/26 ,  H04L12/70

CPC classification number: H04L63/0272 ,  H04L63/0428 ,  H04L63/14

Abstract: 해커가 자신의 접속 위치를 위장하고 행위 은닉을 위한 목적으로 VPN(Virtual Private Network) 서버를 경유지로 이용하여 공격하고자 정상 패킷으로 위장한 것에 대한 증거 확보를 수행하는 패킷 분석 장치 및 방법과 VPN 서버가 개시된다. 본 발명에 따른 패킷 분석 장치는 MPPE 기반 PPTP VPN(Virtual Private Network) 서버에 수집된 패킷을 분석하는 장치에 있어서, 호스트로부터 제공되어 수집된 패킷을 대상으로 암호화된 VPN(Virtual Private Network) 패킷 및 평문 패킷으로 분류하는 패킷 분류부, 상기 암호화된 VPN 패킷을 복호화함으로써 상기 암호화된 VPN 패킷에 은닉된 은닉 IP 데이터그램과, 상기 평문 패킷에 포함된 상기 호스트가 상기 암호화된 VPN 패킷을 전달하고자 하는 목표 대상 간의 평문 IP 데이터그램의 내용을 비교하는 제 1 비교 분석부 및 상기 은닉 IP 데이터그램과 상기 평문 IP 데이터그램의 길이를 비교하는 제 2 비교 분석부를 포함한다.

Abstract translation: 用于分析数据包的装置和方法以及VPN服务器，其将用作伪装成正常分组的黑客的证据证实为通过使用虚拟专用网（VPN）服务器来伪装他的虚拟专用网（VPN）服务器来执行攻击 或她的访问位置和行为。 根据本发明的用于分析分组的装置分析由基于MPPE的PPTP VPN服务器收集的分组，并且包括：分组分类单元，将从主机提供和收集的分组分类为加密的VPN分组和纯文本分组; 第一比较和分析单元对加密的VPN分组进行解密，以将隐藏在加密的VPN分组之后的隐藏IP数据报的内容与目标之间的明文IP数据报的内容进行比较，以由平原中包含的主机发送加密的VPN分组 文本包 以及第二比较和分析单元，比较隐藏IP数据报和明文IP数据报的长度。

公开(公告)号：KR101414061B1

公开(公告)日：2014-07-04

申请号：KR1020130101205

申请日：2013-08-26

Applicant: 한국전자통신연구원

Inventor： 이재승 ,  한유정 ,  배병철 ,  오형근 ,  손기욱

IPC: H04L12/22 ,  H04L12/26

CPC classification number: H04L63/20 ,  H04L63/0263 ,  H04L63/1416

Abstract: The present invention relates to an apparatus and a method for grasping inclusion relation between intrusion detection rules, by checking similarity of the intrusion detection rules used in an intrusion detection system, and measuring intrusion detection similarity on the basis of the result of grasping the inclusion relation. The apparatus for measuring the similarity between the intrusion detection rules includes a normalization part for deforming a plurality of intrusion detection rules into a constant type; a classification part for classifying a first detection rule and a second detection rule among the deformed detection rules into a detection rule header and a detection rule option respectively; a relation calculation part for judging inclusion relation between the detection rule header of the first detection rule and the detection rule header of the second detection rule, and judging the detection rule option of the first detection rule and the detection rule option of the second detection rule; and a similarity measurement part for measuring similarity between detection rules on the basis of the inclusion relation of the detection rule header and the inclusion relation of the detection rule option.

Abstract translation: 本发明涉及一种用于通过检查入侵检测系统中使用的入侵检测规则的相似性以及基于抓取包含关系的结果来测量入侵检测相似度来掌握入侵检测规则之间的包含关系的装置和方法 。 用于测量入侵检测规则之间的相似度的装置包括用于将多个入侵检测规则变形为常数类型的归一化部分; 分类部，用于将变形检测规则中的第一检测规则和第二检测规则分别分类为检测规则标题和检测规则选项; 关系计算部，判断第一检测规则的检测规则标题与第二检测规则的检测规则标题之间的包含关系，并且判断第一检测规则的检测规则选项和第二检测规则的检测规则选项 ; 以及相似度测量部分，用于基于检测规则报头的包含关系和检测规则选项的包含关系来测量检测规则之间的相似性。