요약 | 본 발명은 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치에 관한 것이다. 본 발명은 하드웨어 상에서 유입데이터의 이상탐지가 가능하도록 유입데이터를 패킷단위로 파싱하고 트래픽 특성을 추출한 후에 상기 트래픽 특성관련 데이터를 헤쉬함수를 통해 테이블로 정리한다. 또한 테이블에 정리된 트래픽 특성들이 임계치 이상인지 또는 이하인지 여부에 따라 유입데이터의 비정상 여부를 탐지한 후 그 결과를 하드웨어 기반의 패턴탐지 엔진이나 소프트웨어 기반의 보안엔진과 공유함으로서 유해패킷 탐지의 정밀도를 높일 수 있다. 이상탐지, 오용탐지, 패킷 파싱, 트래픽 특성 |
---|---|
Int. CL | H04L 12/26 (2006.01) |
CPC | H04L 63/1425(2013.01) H04L 63/1425(2013.01) H04L 63/1425(2013.01) |
출원번호/일자 | 1020070132804 (2007.12.17) |
출원인 | 한국전자통신연구원 |
등록번호/일자 | 10-0960119-0000 (2010.05.19) |
공개번호/일자 | 10-2009-0065313 (2009.06.22) 문서열기 |
공고번호/일자 | (20100527) 문서열기 |
국제출원번호/일자 | |
국제공개번호/일자 | |
우선권정보 | |
법적상태 | 소멸 |
심사진행상태 | 수리 |
심판사항 | |
구분 | 신규 |
원출원번호/일자 | |
관련 출원번호 | |
심사청구여부/일자 | Y (2007.12.17) |
심사청구항수 | 12 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 한국전자통신연구원 | 대한민국 | 대전광역시 유성구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 윤승용 | 대한민국 | 대전 서구 |
2 | 김병구 | 대한민국 | 대전 유성구 |
3 | 문화신 | 대한민국 | 대전 유성구 |
4 | 이성원 | 대한민국 | 서울 성동구 |
5 | 오진태 | 대한민국 | 대전 유성구 |
6 | 장종수 | 대한민국 | 대전 유성구 |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 박병창 | 대한민국 | 서울특별시 강남구 테헤란로*길 *, 동주빌딩 *층 팍스국제특허법률사무소 (역삼동) |
번호 | 이름 | 국적 | 주소 |
---|---|---|---|
1 | 주식회사 유아이넷 | 경기도 성남시 분당구 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 [Patent Application] Patent Application |
2007.12.17 | 수리 (Accepted) | 1-1-2007-0907713-53 |
2 | 선행기술조사의뢰서 Request for Prior Art Search |
2008.10.07 | 수리 (Accepted) | 9-1-9999-9999999-89 |
3 | 선행기술조사보고서 Report of Prior Art Search |
2008.11.11 | 수리 (Accepted) | 9-1-2008-0069691-01 |
4 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
5 | 의견제출통지서 Notification of reason for refusal |
2009.09.28 | 발송처리완료 (Completion of Transmission) | 9-5-2009-0399911-85 |
6 | [명세서등 보정]보정서 [Amendment to Description, etc.] Amendment |
2009.11.26 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0729422-10 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 [Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation) |
2009.11.26 | 수리 (Accepted) | 1-1-2009-0729411-18 |
8 | 등록결정서 Decision to grant |
2010.03.08 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0099717-99 |
9 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
번호 | 청구항 |
---|---|
1 |
1 하드웨어 기반 비정상 트래픽 탐지방법에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하여 트래픽 측정을 위한 필드를 추출하는 과정; 상기 추출된 필드를 바탕으로 유입트래픽의 플로우 기반 트래픽 특성을 측정하는 과정; 상기 유입트래픽에 대한 4-Tuple 정보가 저장된 4-Tuple 테이블, 세션 정보가 저장된 세션 테이블, 상기 측정하고자 하는 트래픽 특성값들에 관한 정보가 저장된 플로우 테이블을 생성하는 과정; 및 상기 측정된 특성을 각 특성별 임계치와 비교하여 상기 IP 패킷의 비정상여부를 탐지하여 소프트웨어 기반 보안엔진으로 전달하는 과정을 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
2 |
2 제 1 항에 있어서, 상기 필드 추출과정은 전송에 적합하도록 단편화된 IP 패킷을 병합하는 과정; 상기 병합된 IP 패킷에서 플로우 기반 트래픽 측정에 필요한 5-Tuple 정보와 TCP 플래그 정보를 추출하는 과정으로 이루어지는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
3 |
3 제 1 항에 있어서, 상기 트래픽 특성 측정과정은 주소분산값, 세션연결 성공률, SYN Count, Stealth Scan Count, BPS, PPS 중 적어도 하나를 포함하는 트래픽 특성을 측정하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
4 |
4 삭제 |
5 |
5 제 1 항에 있어서, 상기 트래픽 특성 측정과정은 트래픽 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하는 적어도 2개의 헤쉬함수를 이용하여 상기 테이블을 생성하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
6 |
6 제 5 항에 있어서, 상기 IP 패킷의 4-Tuple 정보, 세션 정보, 트래픽 특성값들에 관한 정보는 상기 입력값에 대한 제1 헤쉬값을 행 주소값으로 하고, 상기 입력값에 대한 제2 헤쉬값을 열 주소값으로 하는 헤쉬테이블에 저장되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
7 |
7 제 1 항에 있어서, 상기 하드웨어 기반 비정상 트래픽 탐지방법은 상기 트래픽 특성이 상기 임계치와 비교하여 비정상으로 탐지된 IP 패킷의 경우 시그니처 패턴 매칭을 통해 오용탐지를 수행하는 과정을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
8 |
8 제 1 항에 있어서, 상기 하드웨어 기반 비정상 트래픽 탐지방법은 상기 비정상 트래픽 탐지 알고리즘이 탐재된 하드웨어의 망환경에 따라 상기 트래픽 특성과 비교할 임계치를 조정하는 과정을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지방법 |
9 |
9 하드웨어 기반 비정상 트래픽 탐지엔진에 관한 것으로, 유입트래픽에서 IP 패킷을 추출하는 IP 패킷 추출부; 상기 추출된 IP 패킷의 플로우를 기반으로 한 트래픽 특성 테이블과 유입트래픽에 대한 4-Tuple 정보가 저장된 4-Tuple 테이블, 세션 정보가 저장된 세션 테이블, 상기 측정하고자 하는 트래픽 특성값들에 관한 정보가 저장된 플로우 테이블을 생성하고 관리하는 테이블 매니저; 및 상기 IP 패킷에서 트래픽 측정을 위한 필드를 추출하고, 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하여 상기 트래픽 특성 테이블을 호출하고, 호출된 값과 임계치를 비교하여 상기 IP 패킷이 비정상 트래픽인지 탐지하는 비정상 트래픽 탐지기를 포함하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 |
10 |
10 제 9 항에 있어서, 상기 비정상 트래픽 탐지기는 전송에 적합하도록 단편화된 IP 패킷이 상기 IP 패킷 추출부에서 추출되면 병합하는 IP 패킷 병합부; 상기 IP 패킷 병합부에서 병합된 IP 패킷을 파싱하여 트래픽 특성 측정에 적합한 필드를 추출하는 패킷 파싱부; 상기 패킷 파싱부에서 추출된 필드값을 바탕으로 상기 테이블 매니저에 저장된 플로우 기반 트래픽 특성을 호출하여 상기 IP 패킷의 트래픽 특성을 측정하는 플로우 기반 트래픽 측정부; 상기 호출된 트래픽 특성을 임계값과 비교하여 비정상여부를 탐지하는 비정상 탐지부로 구성되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 |
11 |
11 삭제 |
12 |
12 제 9 항에 있어서, 상기 트래픽 매니저는 트래픽 측정하고자 하는 IP 패킷의 플로우 단위에 따라 서로 다른 필드값을 입력값으로 하는 적어도 2개의 헤쉬함수를 이용하여 상기 테이블을 생성하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 |
13 |
13 제 12 항에 있어서, 상기 IP 패킷의 4-Tuple 정보, 세션 정보, 트래픽 특성값에 관한 정보는 상기 입력값에 대한 제1 헤쉬값을 행 주소값으로 하고, 상기 입력값에 대한 제2 헤쉬값을 열 주소값으로 하는 헤쉬테이블에 저장되는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 |
14 |
14 제 9 항에 있어서, 상기 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치는 상기 비정상 트래픽 탐지기에서 비정상으로 탐지된 IP 패킷에 대해 시그니처 패턴 매칭을 수행하는 패턴매칭 엔진을 더 포함하는 것을 특징으로 하는 하드웨어 기반 비정상 트래픽 탐지엔진이 탑재된 탐지장치 |
지정국 정보가 없습니다 |
---|
패밀리정보가 없습니다 |
---|
순번 | 연구부처 | 주관기관 | 연구사업 | 연구과제 |
---|---|---|---|---|
1 | 정보통신부 | 한국전자통신연구원 | IT성장동력기술개발 | Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격Signature 생성 및 관리 기술개발 |
특허 등록번호 | 10-0960119-0000 |
---|
표시번호 | 사항 |
---|---|
1 |
출원 연월일 : 20071217 출원 번호 : 1020070132804 공고 연월일 : 20100527 공고 번호 : 특허결정(심결)연월일 : 20100308 청구범위의 항수 : 12 유별 : H04L 12/26 발명의 명칭 : 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치 존속기간(예정)만료일 : 20160520 |
순위번호 | 사항 |
---|---|
1 |
(권리자) 한국전자통신연구원 대전광역시 유성구... |
2 |
(권리자) 주식회사 유아이넷 경기도 성남시 분당구... |
2 |
(의무자) 한국전자통신연구원 대전광역시 유성구... |
제 1 - 3 년분 | 금 액 | 256,500 원 | 2010년 05월 20일 | 납입 |
제 4 년분 | 금 액 | 304,000 원 | 2013년 04월 24일 | 납입 |
제 5 년분 | 금 액 | 212,800 원 | 2014년 04월 30일 | 납입 |
제 6 년분 | 금 액 | 212,800 원 | 2015년 04월 27일 | 납입 |
번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
---|---|---|---|---|
1 | [특허출원]특허출원서 | 2007.12.17 | 수리 (Accepted) | 1-1-2007-0907713-53 |
2 | 선행기술조사의뢰서 | 2008.10.07 | 수리 (Accepted) | 9-1-9999-9999999-89 |
3 | 선행기술조사보고서 | 2008.11.11 | 수리 (Accepted) | 9-1-2008-0069691-01 |
4 | 출원인정보변경(경정)신고서 | 2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
5 | 의견제출통지서 | 2009.09.28 | 발송처리완료 (Completion of Transmission) | 9-5-2009-0399911-85 |
6 | [명세서등 보정]보정서 | 2009.11.26 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0729422-10 |
7 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 | 2009.11.26 | 수리 (Accepted) | 1-1-2009-0729411-18 |
8 | 등록결정서 | 2010.03.08 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0099717-99 |
9 | 출원인정보변경(경정)신고서 | 2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
기술정보가 없습니다 |
---|
과제고유번호 | 1415107437 |
---|---|
세부과제번호 | KI002151 |
연구과제명 | 분산서비스거부(DDoS) 공격 대응 기술 개발 |
성과구분 | 등록 |
부처명 | 지식경제부 |
연구관리전문기관명 | SECRET PROJECT |
연구주관기관명 | SECRET PROJECT |
성과제출연도 | 2010 |
연구기간 | 200903~201202 |
기여율 | 1 |
연구개발단계명 | 응용연구 |
6T분류명 | IT(정보기술) |
과제고유번호 | 1445006545 |
---|---|
세부과제번호 | 2006-S-042-02 |
연구과제명 | Network위협의Zero-DayAttack대응을위한실시간공격Signature생성및관리기술개발 |
성과구분 | 출원 |
부처명 | 지식경제부 |
연구관리전문기관명 | 정보통신연구진흥원 |
연구주관기관명 | 한국전자통신연구원 |
성과제출연도 | 2007 |
연구기간 | 200703~200802 |
기여율 | 1 |
연구개발단계명 | 개발연구 |
6T분류명 | IT(정보기술) |
[1020100133929] | 악성 파일 진단 장치 및 방법, 악성 파일 감시 장치 및 방법 | 새창보기 |
---|---|---|
[1020100130874] | 네트워크 공격 관리 방법 및 시스템, 네트워크 공격 관리를 위한 네트워크 서비스 제공 장치 | 새창보기 |
[1020100130306] | DNS 쿼리 트래픽 감시 및 처리 방법과 그 장치 | 새창보기 |
[1020100129356] | NAT IP탐지 및 호스트 개수 식별 방법 및 그 장치 | 새창보기 |
[1020100129067] | 대량 트래픽 환경에서의 디도스 공격 탐지 및 대응 방법 및 그 장치 | 새창보기 |
[1020100129062] | 워킹 시간 기반 디도스 공격 탐지 및 대응 방법 및 그 장치 | 새창보기 |
[1020100127821] | 서비스 거부 공격 차단 방법 | 새창보기 |
[1020100127820] | 서비스 거부 공격 차단 방법 | 새창보기 |
[1020100113826] | 세션 상태를 이용한 분산 서비스 공격 제어 장치 및 방법 | 새창보기 |
[1020100109324] | 송신 제어 프로토콜 플러딩 공격 방어 방법 및 장치 | 새창보기 |
[1020100082074] | CPU 및 메모리 상태를 이용한 DDoS 공격 차단 정책의 자동화된 제어 방법 및 장치 | 새창보기 |
[1020090062371] | 악성 파일 탐지 시스템, 악성 파일 탐지 장치 및 그 방법 | 새창보기 |
[1020070133772] | 폴리몰픽 쉘코드 탐지방법 | 새창보기 |
[1020070132808] | 문자열의 유사성과 포함성을 바탕으로 하는 시그니처스트링 생성방법 | 새창보기 |
[1020070132806] | 시그니처 스트링 저장 메모리 최적화방법과 그 메모리 구조및 시그니처 스트링 패턴 매칭방법 | 새창보기 |
[1020070132804] | 하드웨어 기반 비정상 트래픽 탐지방법 및 하드웨어 기반비정상 트래픽 탐지엔진이 탑재된 탐지장치 | 새창보기 |
[1020070132796] | 시그니처 패턴 매칭방법과 그 시스템 및 시그니처 패턴이기록된 기록매체 | 새창보기 |
[1020070132795] | 시그니처 최적화 장치 및 방법 | 새창보기 |
[1020070126821] | 시그니처 최적화 시스템 및 방법 | 새창보기 |
[1020070122412] | 악성코드 탐지장치 및 방법 | 새창보기 |
[1020070119190] | 악성프로그램 탐지장치 및 그 방법 | 새창보기 |
[1020070106113] | 네트워크 공격의 통합 시그니처 관리 및 분배 시스템 및방법 | 새창보기 |
[1020070049071] | 파일 탐색 시스템 및 방법 | 새창보기 |
[KST2016011979][한국전자통신연구원] | 무선랜 침입방지를 위한 채널 스케줄링 장치 및 방법(APPARATUS AND METHOD OF CHANNEL SCHEDULING FOR PREVENTING WIRELESS LAN INTRUSION) | 새창보기 |
---|---|---|
[KST2016007469][한국전자통신연구원] | 가상화 환경에서의 자원 관리 장치 및 방법(APPARATUS AND METHOD FOR MANAGING RESOURCE IN VIRTUALIZATION ENVIRONMENT) | 새창보기 |
[KST2016005217][한국전자통신연구원] | SDN 기반의 ARP 스푸핑 탐지장치 및 그 방법(SDN-based ARP Spoofing Detection apparatus and method therefor) | 새창보기 |
[KST2016005220][한국전자통신연구원] | 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법(Modbus Communication Pattern Learning Based Abnormal Traffic Detection Apparatus and Method) | 새창보기 |
[KST2016004615][한국전자통신연구원] | 오픈플로우 네트워크 시스템 및 플로우 테이블 관리방법(Openflow network system and method for managing flow table thereof) | 새창보기 |
[KST2019002106][한국전자통신연구원] | 다중 홉 네트워크에서 장치간 캐싱을 이용한 전송 방법 및 장치 | 새창보기 |
[KST2014045782][한국전자통신연구원] | 합법적 감청 장치 및 방법 | 새창보기 |
[KST2019004067][한국전자통신연구원] | 제어망 모니터링을 위한 단방향 데이터 전송 방법 및 장치 | 새창보기 |
[KST2016013534][한국전자통신연구원] | 다중 서비스 클러스터에 대한 자원 할당 방법 및 그 장치(Resource Allocation Method for Multiple Service Cluster and Apparatus thereof) | 새창보기 |
[KST2017001345][한국전자통신연구원] | 무선 네트워크 오류 탐지 장치 및 장법(Apparatus and method for detecting an error in a large-scale wireless network) | 새창보기 |
[KST2016012463][한국전자통신연구원] | 비정상 행위 탐지 시스템 및 방법(System and Method for Anomaly Detection) | 새창보기 |
[KST2014062751][한국전자통신연구원] | 클린 인터넷과 공정접속 환경 제공을 위한 실시간 트래픽 통합제어 플랫폼 하드웨어 | 새창보기 |
[KST2014013015][한국전자통신연구원] | 가용 대역폭 예측 장치 및 방법 | 새창보기 |
[KST2014000746][한국전자통신연구원] | 가용 대역폭 예측 장치 및 방법 | 새창보기 |
[KST2016005211][한국전자통신연구원] | SDN 기반의 네트워크 모니터링 가상화 시스템 및 그 방법(SDN-based network monitoring virtualization system and method therefor) | 새창보기 |
[KST2015228871][한국전자통신연구원] | 네트워크 보안 상황 표시 장치 및 그 방법(APPARATUS FOR DISPLAYING NETWORK SECURITY AND METHOD THEREOF) | 새창보기 |
[KST2016015372][한국전자통신연구원] | 아웃라이어 검출기(OUTLIER DETECTION APPARATUS) | 새창보기 |
[KST2016011099][한국전자통신연구원] | SLA 기반의 클라우드 서비스 에이전트(SLA-BASED COULD SERVICE AGENT) | 새창보기 |
[KST2016013189][한국전자통신연구원] | 이동 통신 망의 프로토콜 제어 방법(Method of Controlling Protocol in Mobile Communication Network) | 새창보기 |
[KST2014045708][한국전자통신연구원] | 장애 진단 방법 및 장치 | 새창보기 |
[KST2014045792][한국전자통신연구원] | IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 | 새창보기 |
[KST2019001515][한국전자통신연구원] | 다중 모드 무선 통신 시스템에서 패킷 모드 자동 검출 방법, 상기 패킷 모드 자동 검출을 위한 시그널 필드 전송방법 및 상기 패킷 모드에 기반한 이득 제어 방법 | 새창보기 |
[KST2016015378][한국전자통신연구원] | 무선채널 감시 장치 및 방법(APPARATUS AND METHOD FOR MONITORING WIRELESS CHANNEL) | 새창보기 |
[KST2016017171][한국전자통신연구원] | 헬스케어 장치, 헬스케어 게이트웨이, 및 헬스케어 장치에 대한 검증 방법(HEALTHCARE DEVICE, HEALTHCARE GATEWAY, AND VERIFICATION METHOD FOR HEALTHCARE DEVICE) | 새창보기 |
[KST2014045478][한국전자통신연구원] | 가상 네트워크 N에서 네트워크 단위의 통신 방법 | 새창보기 |
[KST2016010762][한국전자통신연구원] | 연결성 확인 메시지를 생성하는 통신 장치 및 방법(COMMUNICATION APPARATUS AND METHOD OF GENERATING A CONTINUITY CHECK MESSAGE) | 새창보기 |
[KST2019001691][한국전자통신연구원] | TFO 쿠키 값을 이용하는 보안 방법 및 장치, 그리고 이를 이용한 통신 방법 및 장치 | 새창보기 |
[KST2016005121][한국전자통신연구원] | 트래픽 로드 분산장치 및 분산방법(Apparatus and Method for traffic load balance) | 새창보기 |
[KST2014031716][한국전자통신연구원] | 전력 관리 장치 및 그 방법, 전력 제어 시스템 | 새창보기 |
[KST2014032104][한국전자통신연구원] | SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 방법 | 새창보기 |
심판사항 정보가 없습니다 |
---|