맞춤기술찾기
이전대상기술
해싱결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법
- 기술번호 : KST2015084925
- 담당센터 : 대전기술혁신센터
- 전화번호 : 042-610-2279
| 요약 | 본 발명은 해싱결과값의 비트-벡터를 이용한 공격시그니처 분류에 기반한 시그니처 클러스터링 방법에 관한 것으로, 데이터를 자동으로 분류하고 작업을 수행하므로, 해싱(Hashing) 및 컨텐츠관리 그리고 클러스터링을 통한 유사성 또는 포함성을 판단하여 시그니처를 생성하고, 생성된 시그니처를 통해 유입되는 패킷에 대한 분석을 수행하여, 작업 수행에 따른 소요시간이 크게 감소되고 하드웨어로의 구현이 용이하므로, 하드웨어를 이용한 빠른 패턴매칭이 가능하고, 실시간 처리가 가능한 효과가 있다. 해싱, Hashing, 비트벡터, Bit vector, 시그니처, Signature, 클러스터링, Clustering |
|---|---|
| Int. CL | H04L 12/26 (2006.01) H04L 12/22 (2006.01) |
| CPC | H04L 63/1416(2013.01) H04L 63/1416(2013.01) H04L 63/1416(2013.01) |
| 출원번호/일자 | 1020080131727 (2008.12.22) |
| 출원인 | 한국전자통신연구원 |
| 등록번호/일자 | 10-1079815-0000 (2011.10.28) |
| 공개번호/일자 | 10-2010-0073136 (2010.07.01) 문서열기 |
| 공고번호/일자 | (20111103) 문서열기 |
| 국제출원번호/일자 | |
| 국제공개번호/일자 | |
| 우선권정보 | |
| 법적상태 | 소멸 |
| 심사진행상태 | 수리 |
| 심판사항 | |
| 구분 | 신규 |
| 원출원번호/일자 | |
| 관련 출원번호 | |
| 심사청구여부/일자 | Y (2009.03.27) |
| 심사청구항수 | 10 |
출원인
| 번호 | 이름 | 국적 | 주소 |
|---|---|---|---|
| 1 | 한국전자통신연구원 | 대한민국 | 대전광역시 유성구 |
발명자
| 번호 | 이름 | 국적 | 주소 |
|---|---|---|---|
| 1 | 박상길 | 대한민국 | 대전 유성구 |
| 2 | 문화신 | 대한민국 | 대전 유성구 |
| 3 | 이성원 | 대한민국 | 대전광역시 서구 |
| 4 | 오진태 | 대한민국 | 대전 유성구 |
| 5 | 장종수 | 대한민국 | 대전 유성구 |
| 6 | 조현숙 | 대한민국 | 대전광역시 유성구 |
대리인
| 번호 | 이름 | 국적 | 주소 |
|---|---|---|---|
| 1 | 박병창 | 대한민국 | 서울특별시 강남구 테헤란로*길 *, 동주빌딩 *층 팍스국제특허법률사무소 (역삼동) |
최종권리자
| 번호 | 이름 | 국적 | 주소 |
|---|---|---|---|
| 1 | 한국전자통신연구원 | 대한민국 | 대전광역시 유성구 |
| 번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
|---|---|---|---|---|
| 1 | [특허출원]특허출원서 [Patent Application] Patent Application |
2008.12.22 | 수리 (Accepted) | 1-1-2008-0881083-22 |
| 2 | 청구범위 제출유예 안내서 Notification for Deferment of Submission of Claims |
2009.01.06 | 발송처리완료 (Completion of Transmission) | 1-5-2009-0000842-23 |
| 3 | [명세서등 보정]보정서 [Amendment to Description, etc.] Amendment |
2009.03.06 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0139244-62 |
| 4 | [심사청구]심사청구(우선심사신청)서 [Request for Examination] Request for Examination (Request for Preferential Examination) |
2009.03.27 | 수리 (Accepted) | 1-1-2009-0186712-19 |
| 5 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
| 6 | 선행기술조사의뢰서 Request for Prior Art Search |
2010.07.08 | 수리 (Accepted) | 9-1-9999-9999999-89 |
| 7 | 선행기술조사보고서 Report of Prior Art Search |
2010.08.16 | 수리 (Accepted) | 9-1-2010-0050954-28 |
| 8 | 의견제출통지서 Notification of reason for refusal |
2010.10.26 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0481342-87 |
| 9 | [지정기간연장]기간연장(단축, 경과구제)신청서 [Designated Period Extension] Application of Period Extension(Reduction, Progress relief) |
2010.12.27 | 수리 (Accepted) | 1-1-2010-0863891-33 |
| 10 | [명세서등 보정]보정서 [Amendment to Description, etc.] Amendment |
2011.01.26 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2011-0065206-27 |
| 11 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 [Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation) |
2011.01.26 | 수리 (Accepted) | 1-1-2011-0065205-82 |
| 12 | 등록결정서 Decision to grant |
2011.07.27 | 발송처리완료 (Completion of Transmission) | 9-5-2011-0415604-08 |
| 13 | 출원인정보변경(경정)신고서 Notification of change of applicant's information |
2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
| 번호 | 청구항 |
|---|---|
| 1 |
1 보안시스템이, 유입되는 패킷으로부터 시그니처 후보로 유력한 유력메시지를 추출하는 단계; 상기 유력메시지가 첫번째 메시지인 경우, 상기 유력메시지를 오버랩핑 해싱하고, 그 해쉬값을 이용하여 비트벡터테이블을 갱신하여 상기 유력메시지를 등록하는 단계; 상기 유력메시지가 첫번째 메시지가 아닌 경우, 상기 유력메시지를 컨시큐티브 해싱(Consecutive hashing)하고, 그 해쉬값을 상기 비트벡터테이블로부터 검색하는 단계; 및 상기 검색결과, 상기 비트벡터테이블에 상기 해쉬값이 존재하는 않는 경우 상기 등록단계를 수행하고, 상기 해쉬값이 존재하는 경우, 처리결과를 출력하는 단계를 포함하는 시그니처 후보 관리방법 |
| 2 |
2 시그니처 컨텐츠가 유입된 생성시간을 기준으로 경과시간이 기 설정된 기준시간 이상인 경우, 보안시스템이, 유입된 데이터를 리셋하는 단계; 상기 경과시간이 기 설정된 클러스터링 시간보다 큰 경우, 발생빈도 및 유사도에 기반하여 상기 시그니처 컨텐츠에 대한 시그니처 후보를 생성하는 단계; 및 상기 시그니처 후보와 기 등록된 시그니처의 유사성 분석을 통해, 상기 시그니처 후보를 새로운 시그니처로써 시그니처 풀(SP)에 등록하는 단계를 포함하는 시그니처 클러스터링 방법 |
| 3 |
3 제 2 항에 있어서, 상기 데이터 리셋 시, 상기 경과시간이, 시그니처 풀 리셋시간, 시그니처 후보 노드 리셋시간 및 시그니처 노드 최대수 중 적어도 하나에 대한 기준시간보다 큰 경우, 상기 시그니처 풀 또는 상기 시그니처 후보 노드를 리셋하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 4 |
4 제 2 항에 있어서, 상기 후보생성단계는, 상기 시그니처 컨텐츠에서, 시그니처 그룹(SG)의 리스트에 대한 발생빈도수(Hit_count)가 빈도한계값(Hitcount_th)보다 큰 노드를 추출하여 별도의 리스트를 형성하고, 상기 리스트에 존재하는 노드의 수가 소정 수 이상인 경우, 상기 각 노드 상호 간의 유사성 테이블을 형성하며, 상기 유사성 테이블에서, 유사성 값이 유사성한계값(resemble_th)보다 큰 노드들에 대하여 하나의 링크드리스트 형태의 그룹을 형성하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 5 |
5 제 4 항에 있어서, 상기 후보생성단계는, 상기 그룹 내에 속한 노드에 대해 2개의 노드간에 동일 문자열을 추출하는 LCSeq(Longest Common Subsequence)를 수행하여, 공통적으로 발생하는 시퀀스를 기준으로 생성된 문자열 집합을, 상기 시그니처 후보로 생성하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 6 |
6 제 5 항에 있어서, 상기 등록단계는, 상기 시그니처 후보와 기 등록된 시그니처의 유사성을 분석하여, 상기 시그니처 후보와 상기 기 등록된 시그니처간의 유사성이 기 설정된 유사도 이상이면, 상기 기 등록된 시그니처와 현재의 상기 시그니처 후보 간의 동일 문자열을 추출하는 LCSeq(Longest Common Subsequence)의 수행 결과를 상기 기 등록된 시그니처가 위치하는 상기 시그니처 풀(SP)에 등록하고, 상기 시그니처 후보와 상기 기 등록된 시그니처 간의 유사성이 상기 유사도 미만이면, 새로운 시그니처로써 상기 시그니처 풀(SP)에 등록하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 7 |
7 제 6 항에 있어서, 상기 등록단계는, 상기 시그니처 후보에 대하여 3-그램 오버랩핑 해싱(Overlapping 3-gram hashing)을 수행하고, 생성된 해쉬값을 시그니처 비트-벡터 테이블에 업데이트하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 8 |
8 제 2 항에 있어서, 상기 경과시간이 상기 클러스터링 시간보다 작은 경우, 시그니처를 관리하는 시그니처 풀(SP)의 상태에 대응하여, 상기 시그니처 풀(SP)이 비어 있지 않은 경우, 현재 유입되는 시그니처 컨텐츠에 대해 3-그램 컨시큐티브 해싱(Consecutive 3-gram hashing)을 수행하고, 그 해쉬값을 이용하여 기 등록된 시그니처와 패턴매칭을 수행하여 상기 시그니처 컨텐츠가 기존의 시그니처 풀(SP)에 존재하는지 여부를 확인하는 단계를 더 포함하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 9 |
9 제 8 항에 있어서, 상기 시그니처 컨텐츠가 기존의 시그니처 풀(SP)에 존재하는지 여부를 확인하는 단계는, 상기 시그니처 컨텐츠의 마지막까지 3-그램 컨시큐티브 해싱(Consecutive 3-gram hashing)을 수행한 결과, 전체결과테이블에 적어도 하나의 엔트리가 존재하는 경우, 존재하는 모든 엔트리와 현재 유입된 상기 시그니처 컨텐츠와 패턴매칭을 수행하여, 상기 시그니처 컨텐츠가 상기 엔트리와 일치하면, 상기 시그니처 컨텐츠에 대한 시그니처가 이미 생성되었음을 나타내는 플래그(FLAG) 값을 설정하고, 5-튜플(tuple)을 포함한 시그니처를 생성하여, 상기 시그니처를 이용하는 프로세스로 전송하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 10 |
10 제 9 항에 있어서, 상기 시그니처 컨텐츠의 마지막까지 3-그램 컨시큐티브 해싱(Consecutive 3-gram hashing)을 수행한 결과, 현재결과테이블에 적어도 하나의 엔트리가 존재하지 않는 경우 및 상기 전체결과테이블에 적어도 하나의 엔트리가 존재하지 않는 경우 중 어느 하나의 경우, 상기 시그니처 컨텐츠가 상기 시그니처 풀(SP)의 시그니처와 일치하지 않는 것으로 판단하여 시그니처 후보 관리를 수행하는 것을 특징으로 하는 시그니처 클러스터링 방법 |
| 지정국 정보가 없습니다 |
|---|
| 패밀리정보가 없습니다 |
|---|
| 순번 | 연구부처 | 주관기관 | 연구사업 | 연구과제 |
|---|---|---|---|---|
| 1 | 지식경제부 | 한국전자통신연구원 | IT성장동력기술개발 | Network 위협의 Zero-Day Attack 대응을 위한 실시간 공격 Signature 생성 및 관리 기술개발 |
- 본 등록정보는 참고용으로 법적증빙자료로 사용할 수 없습니다.
- 데이터 이관에 따른 소요기간(1일)으로 인하여 등록원부와 일부 차이가 발생할 수 있으며, 일부 정보(부기, 상세 주소 등)를 제공하지 않고 있습니다.
- 법적증빙자료로 활용하시거나 더 자세한 정보를 보시려면 등록원부를 발급받아 사용하시기 바랍니다.
| 특허 등록번호 | 10-1079815-0000 |
|---|
권리란
| 표시번호 | 사항 |
|---|---|
| 1 |
출원 연월일 : 20081222 출원 번호 : 1020080131727 공고 연월일 : 20111103 공고 번호 : 특허결정(심결)연월일 : 20110727 청구범위의 항수 : 10 유별 : H04L 12/26 발명의 명칭 : 해싱결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법 존속기간(예정)만료일 : 20171029 |
특허권자란
| 순위번호 | 사항 |
|---|---|
| 1 |
(권리자) 한국전자통신연구원 대전광역시 유성구... |
등록료란
| 제 1 - 3 년분 | 금 액 | 217,500 원 | 2011년 10월 31일 | 납입 |
| 제 4 년분 | 금 액 | 182,000 원 | 2014년 09월 26일 | 납입 |
| 제 5 년분 | 금 액 | 182,000 원 | 2015년 09월 25일 | 납입 |
| 제 6 년분 | 금 액 | 182,000 원 | 2016년 09월 27일 | 납입 |
- 본 '원본보기 서비스'는 참고용이므로, 일부 오류 및 누락이 발생할 수 있습니다.
- 정확한 서류를 확인하시려면 해당 웹사이트에서 조회하시기 바랍니다. (특허로 바로가기: http://www.patent.go.kr)
- 해당 서비스는 점검으로 인해 매주 일요일 00:00 ~ 02:00까지 이용이 중단됩니다.
| 번호 | 서류명 | 접수/발송일자 | 처리상태 | 접수/발송번호 |
|---|---|---|---|---|
| 1 | [특허출원]특허출원서 | 2008.12.22 | 수리 (Accepted) | 1-1-2008-0881083-22 |
| 2 | 청구범위 제출유예 안내서 | 2009.01.06 | 발송처리완료 (Completion of Transmission) | 1-5-2009-0000842-23 |
| 3 | [명세서등 보정]보정서 | 2009.03.06 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2009-0139244-62 |
| 4 | [심사청구]심사청구(우선심사신청)서 | 2009.03.27 | 수리 (Accepted) | 1-1-2009-0186712-19 |
| 5 | 출원인정보변경(경정)신고서 | 2009.08.04 | 수리 (Accepted) | 4-1-2009-5150899-36 |
| 6 | 선행기술조사의뢰서 | 2010.07.08 | 수리 (Accepted) | 9-1-9999-9999999-89 |
| 7 | 선행기술조사보고서 | 2010.08.16 | 수리 (Accepted) | 9-1-2010-0050954-28 |
| 8 | 의견제출통지서 | 2010.10.26 | 발송처리완료 (Completion of Transmission) | 9-5-2010-0481342-87 |
| 9 | [지정기간연장]기간연장(단축, 경과구제)신청서 | 2010.12.27 | 수리 (Accepted) | 1-1-2010-0863891-33 |
| 10 | [명세서등 보정]보정서 | 2011.01.26 | 보정승인간주 (Regarded as an acceptance of amendment) | 1-1-2011-0065206-27 |
| 11 | [거절이유 등 통지에 따른 의견]의견(답변, 소명)서 | 2011.01.26 | 수리 (Accepted) | 1-1-2011-0065205-82 |
| 12 | 등록결정서 | 2011.07.27 | 발송처리완료 (Completion of Transmission) | 9-5-2011-0415604-08 |
| 13 | 출원인정보변경(경정)신고서 | 2015.02.02 | 수리 (Accepted) | 4-1-2015-0006137-44 |
| 기술정보가 없습니다 |
|---|
| 과제고유번호 | 1415086503 |
|---|---|
| 세부과제번호 | A1100-0802-0040 |
| 연구과제명 | Network위협의Zero-DayAttack대응을위한실시간공격Signature생성및관리기술개발 |
| 성과구분 | 출원 |
| 부처명 | 지식경제부 |
| 연구관리전문기관명 | 정보통신연구진흥원 |
| 연구주관기관명 | 한국전자통신연구원 |
| 성과제출연도 | 2008 |
| 연구기간 | 200603~200902 |
| 기여율 | 1 |
| 연구개발단계명 | 개발연구 |
| 6T분류명 | IT(정보기술) |
특허성과
| [1020080131727] | 해싱결과값의 비트-벡터를 이용한 공격 시그니처 분류에 기반한 시그니처 클러스터링 방법 | 새창보기 |
|---|---|---|
| [1020080131726] | 어플리케이션 프로토콜인식을 이용한 네트워크 침입탐지 방법 및 장치 | 새창보기 |
| [1020080131725] | 시그니처 자동생성 시스템을 위한 문자열 포함성 결정장치 및 방법 | 새창보기 |
| [1020080131722] | 다중 관측윈도우들에서의 실패한 세션 분포 측정장치 및 그방법 | 새창보기 |
| [1020080131721] | 다중 관측윈도우 상에서의 네트워크 플로우 측정장치 및 그방법 | 새창보기 |
| [1020080131717] | 실행압축 특성을 이용한 악성코드 탐지장치 및 그 방법 | 새창보기 |
| [1020080131714] | 익스플로잇 코드를 탐지하는 네트워크 보안시스템 및 방법 | 새창보기 |
| [1020080127416] | PE 파일의 실행압축 여부 판단방법 및 그 판단 프로그램이 기록된 기록매체 | 새창보기 |
| [1020080125415] | 윈도우 실행파일 추출방법, 및 장치 | 새창보기 |
| [1020080124848] | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | 새창보기 |
| [1020070049869] | 네트워크 공격 시그너처 생성 방법 및 장치 | 새창보기 |
| [1020070033322] | 하드웨어 기반 인터넷 프로토콜 버전 6 세션 관리 장치 및방법 | 새창보기 |
| [1020070025033] | 실행 가능한 코드 탐지 방법 및 장치 | 새창보기 |
| [1020060115960] | 공격 패킷 시그너처 후보 추출 장치 및 방법 | 새창보기 |
| [1020060105179] | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 | 새창보기 |
| [1020060096425] | 컴퓨터 및 네트워크 보안을 위한 공격 분류 방법 및 이를수행하는 프로그램을 기록한 기록 매체 | 새창보기 |
중요키워드
| [KST2014045329][한국전자통신연구원] | 세션 모니터링 기반의 비정상 호스트 탐지 장치 및 방법 | 새창보기 |
|---|---|---|
| [KST2014045715][한국전자통신연구원] | 전역 네트워크 보안상황 제어 장치 및 방법 | 새창보기 |
| [KST2014045494][한국전자통신연구원] | 광대역 음성 코덱을 사용하는 인터넷 프로토콜 기반 음성 전화 단말의 품질 측정 장치 및 방법 | 새창보기 |
| [KST2014045782][한국전자통신연구원] | 합법적 감청 장치 및 방법 | 새창보기 |
| [KST2014062754][한국전자통신연구원] | 이용자 기반 실시간 통계 처리 기술 | 새창보기 |
| [KST2014067232][한국전자통신연구원] | EDDS 기술 2013 | 새창보기 |
| [KST2014045130][한국전자통신연구원] | 보안 프로세서의 오류 주입 부채널 분석 시험 장치 | 새창보기 |
| [KST2014066652][한국전자통신연구원] | 모바일 HD-VoIP 클라이언트 핵심기술 | 새창보기 |
| [KST2014062751][한국전자통신연구원] | 클린 인터넷과 공정접속 환경 제공을 위한 실시간 트래픽 통합제어 플랫폼 하드웨어 | 새창보기 |
| [KST2014066333][한국전자통신연구원] | 항공관제용 비행자료처리시스템 | 새창보기 |
| [KST2014066653][한국전자통신연구원] | 망 은닉 기법을 이용한 VPN 기술 | 새창보기 |
| [KST2014013015][한국전자통신연구원] | 가용 대역폭 예측 장치 및 방법 | 새창보기 |
| [KST2014066370][한국전자통신연구원] | 웹 트래픽 모니터링, 분석 및 제어 시스템 기술 (WebMAC) | 새창보기 |
| [KST2015069253][한국전자통신연구원] | 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 | 새창보기 |
| [KST2014000746][한국전자통신연구원] | 가용 대역폭 예측 장치 및 방법 | 새창보기 |
| [KST2014045708][한국전자통신연구원] | 장애 진단 방법 및 장치 | 새창보기 |
| [KST2014045792][한국전자통신연구원] | IP 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 | 새창보기 |
| [KST2014062824][한국전자통신연구원] | 시나리오 기반 게임 서버부하테스트 SW | 새창보기 |
| [KST2015020848][한국전자통신연구원] | 네트워크의 공평대역제어 기능과 트래픽 운용뷰를 제공하는 시스템 기술 | 새창보기 |
| [KST2015062803][한국전자통신연구원] | 네트워크 장치의 시험 장치 및 방법 | 새창보기 |
| [KST2015069850][한국전자통신연구원] | 신호 탐지 장치 및 방법 | 새창보기 |
| [KST2014000745][한국전자통신연구원] | 멀티미디어 스트리밍을 위한 종단간 가용 대역폭 측정 장치및 방법 | 새창보기 |
| [KST2014032050][한국전자통신연구원] | 플로우별 통계정보를 이용한 분산 서비스 거부 공격(DDOS) 탐지 및 트래픽 경감 방법 및 그 시스템 | 새창보기 |
| [KST2014045478][한국전자통신연구원] | 가상 네트워크 N에서 네트워크 단위의 통신 방법 | 새창보기 |
| [KST2014045613][한국전자통신연구원] | 분산서비스거부 공격 탐지장치 및 방법 | 새창보기 |
| [KST2014028314][한국전자통신연구원] | 차량-IT용 공통컴포넌트 Repository 및 저작도구 기술 Ver 1.0 | 새창보기 |
| [KST2014031716][한국전자통신연구원] | 전력 관리 장치 및 그 방법, 전력 제어 시스템 | 새창보기 |
| [KST2014032104][한국전자통신연구원] | SEED 암호화에서 차분 전력 분석 공격을 방어하기 위한 마스킹 방법 | 새창보기 |
| [KST2014045520][한국전자통신연구원] | 네트워크 시스템 및 이를 위한 사용자 기기, 호 처리 장치 및 네트워크 브리지 | 새창보기 |
| [KST2014050844][한국전자통신연구원] | SCARF 3.0 부채널 안전성 검증 시스템 3.0 | 새창보기 |
| 심판사항 정보가 없습니다 |
|---|