公开(公告)号：US20120159623A1

公开(公告)日：2012-06-21

申请号：US13325981

申请日：2011-12-14

申请人： Yang-Seo CHOI

发明人： Yang-Seo CHOI

IPC分类号： G06F21/20 ,  G06F15/16

CPC分类号： H04L63/1458 ,  H04L61/1511 ,  H04L63/1425 ,  H04L2463/142 ,  H04L2463/144

摘要： A method for monitoring and processing domain name system (DNS) query traffic includes: monitoring DNS query traffic in each time slot during a monitoring period comprised of n number of time slots; extracting traffic information during the monitoring period by using the DNS query traffic monitored in said each time slot; and analyzing the extracted traffic information to detect a DNS traffic flooding attack.

摘要翻译： 一种用于监视和处理域名系统（DNS）查询流量的方法包括：在由n个时隙组成的监视期间内监视每个时隙中的DNS查询流量; 通过使用在所述每个时隙中监视的DNS查询流量在监视期间提取交通信息; 并分析所提取的流量信息以检测DNS流量洪泛攻击。

公开(公告)号：US20110016523A1

公开(公告)日：2011-01-20

申请号：US12633121

申请日：2009-12-08

申请人： Jintae Oh ,  YouRi Lee ,  Yang-Seo Choi ,  Jong Soo Jang

发明人： Jintae Oh ,  YouRi Lee ,  Yang-Seo Choi ,  Jong Soo Jang

IPC分类号： G06F11/30 ,  G06F15/16

CPC分类号： H04L63/1458

摘要： An apparatus for detecting a distributed denial of service (DDoS) attack includes: a monitoring unit for monitoring multiple GET requests and responses transmitted and received depending on a session establishment between a client and a server; and an attack detection unit for analyzing the monitored multiple GET requests and responses between the client and the server to detect a traffic of the DDoS attack against the server.

摘要翻译： 一种用于检测分布式拒绝服务（DDoS）攻击的装置，包括：监视单元，用于根据客户端和服务器之间的会话建立来监视多个GET请求和响应发送和接收; 以及攻击检测单元，用于分析所监视的多个GET请求和客户端与服务器之间的响应，以检测针对服务器的DDoS攻击的流量。

公开(公告)号：US20080291912A1

公开(公告)日：2008-11-27

申请号：US12044410

申请日：2008-03-07

申请人： Yang-Seo CHOI ,  Ik-Kyun Kim ,  Dae-Won Kim ,  Jin-Tae Oh ,  Jong-Soo Jang

发明人： Yang-Seo CHOI ,  Ik-Kyun Kim ,  Dae-Won Kim ,  Jin-Tae Oh ,  Jong-Soo Jang

IPC分类号： H04L12/56

CPC分类号： H04L69/22

摘要： The present invention relates to a file detecting system and a method thereof. The file detecting system uses a signature of a file header and collects a network packet including a file to be detected among packets transmitted/received through a network. Subsequently, after the network protocol header is eliminated from the collected network packet, the file is reassembled and recovered. The recovered file is verified, and the verified file is transmitted to various file analysis systems.

摘要翻译： 文件检测系统及其方法技术领域本发明涉及文件检测系统及其方法。 文件检测系统使用文件头的签名，并且通过网络收发包含要检测的文件的网络分组，所述网络分组包括发送/接收的分组。 随后，在从收集的网络分组中消除网络协议报头之后，重新组合并恢复该文件。 验证恢复的文件，并将验证的文件传输到各种文件分析系统。

公开(公告)号：US20080083034A1

公开(公告)日：2008-04-03

申请号：US11757701

申请日：2007-06-04

申请人： Dae Won KIM ,  Yang Seo CHOI ,  Ik Kyun KIM ,  Jin Tae OH ,  Jong Soo JANG

发明人： Dae Won KIM ,  Yang Seo CHOI ,  Ik Kyun KIM ,  Jin Tae OH ,  Jong Soo JANG

IPC分类号： G08B23/00

CPC分类号： H04L63/1433 ,  G06F21/552

摘要： Provided is an attack classification method for computer network security. In the attack classification method, attacks are classified depending on vulnerability abused by an attack, attack propagation skills, and attack intentions. The classification results are arranged in the order of the vulnerability abused by an attack, the attack propagation skills, and the attack intentions. The arranged classification results are output. Accordingly, it is possible to easily detect an attack flow where an attack A propagates in the propagation skill C using the vulnerability B and the attack skill F is used for the attack target E to achieve the attack purpose D.

摘要翻译： 提供了一种计算机网络安全的攻击分类方法。 在攻击分类方法中，攻击根据攻击被攻击的漏洞，攻击传播技能和攻击意图所分类。 分类结果按照攻击的漏洞攻击，攻击传播技能和攻击意图的排列顺序排列。 输出排列的分类结果。 因此，可以容易地检测攻击A在传播技巧C中使用漏洞B传播的攻击流，并且攻击技能F用于攻击目标E以实现攻击目的D.

公开(公告)号：US08543807B2

公开(公告)日：2013-09-24

申请号：US12643100

申请日：2009-12-21

申请人： Jintae Oh ,  YouRi Lee ,  Yang-Seo Choi ,  Jong Soo Jang

发明人： Jintae Oh ,  YouRi Lee ,  Yang-Seo Choi ,  Jong Soo Jang

IPC分类号： H04L29/06

CPC分类号： H04L63/1458 ,  H04L63/168 ,  H04L2463/141

摘要： A method and apparatus for protecting an application layer in a computer network system. The method includes creating a session between a client and a data provider in response to a session connection request from the client, and determining the client as an application layer attacking client when the client generates a session termination request before the data provider transmits to the client a response packet to a data request from the client under the created session.

摘要翻译： 一种用于保护计算机网络系统中的应用层的方法和装置。 该方法包括响应于来自客户端的会话连接请求，在客户机和数据提供者之间创建会话，并且在数据提供者向客户端发送客户端之前，当客户机生成会话终止请求时，将客户端确定为攻击客户端的应用层 来自客户端在创建的会话下的数据请求的响应数据包。

公开(公告)号：US08095973B2

公开(公告)日：2012-01-10

申请号：US11926132

申请日：2007-10-29

申请人： Ik Kyun Kim ,  Yang Seo Choi ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

发明人： Ik Kyun Kim ,  Yang Seo Choi ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

IPC分类号： G06F9/00 ,  G06F15/16 ,  G06F17/00 ,  G06F11/00 ,  G06F12/14 ,  G06F12/16 ,  G08B23/00

CPC分类号： H04L63/1408

摘要： There are provided a network attack detection apparatus and method capable of determining even unknown network attack, the apparatus connected between two networks or connected by port mirroring of an Ethernet switch to real-time monitor all packets flowing through the networks. The apparatus decodes a payload portion of an inputted network packet into a machine code instruction, determines whether an executable code is included in the decoded machine code by analyzing relationship between instructions, and determines whether the packet is harmful based on statistics with respect to a possibility that an executable code exists in a service and a certain transaction of the service when the executable code is included.

摘要翻译： 提供了能够确定甚至未知网络攻击的网络攻击检测装置和方法，连接在两个网络之间的装置或通过以太网交换机的端口镜像连接的实时监视通过网络流动的所有分组的网络攻击检测装置和方法。 该装置将输入的网络分组的有效载荷部分解码为机器码指令，通过分析指令之间的关系来确定解码的机器码中是否包括可执行代码，并且基于关于可能性的统计来确定分组是否有害 当包括可执行代码时，可执行代码存在于服务和服务的某个事务中。

公开(公告)号：US20090133125A1

公开(公告)日：2009-05-21

申请号：US12209249

申请日：2008-09-12

申请人： Yang Seo Choi ,  Ik Kyun Kim ,  Byoung Koo Kim ,  Seung Yong Yoon ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

发明人： Yang Seo Choi ,  Ik Kyun Kim ,  Byoung Koo Kim ,  Seung Yong Yoon ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

IPC分类号： G06F21/00

CPC分类号： G06F21/562 ,  G06F21/56

摘要： The present invention relates to an apparatus and method for detecting malware. The malware detection apparatus and method of the present invention determines whether a file is malware or not by analyzing the header of an executable file. Since the malware detection apparatus and method can quickly detect presence of malware, it can shorten detection time considerably. The malware detection apparatus and method can also detect even unknown malware as well as known malware to thereby estimate and determine presence of malware. Therefore, it is possible to cope with malware in advance, protect a system with a program, and increase security level remarkably.

摘要翻译： 本发明涉及一种用于检测恶意软件的装置和方法。 本发明的恶意软件检测装置和方法通过分析可执行文件的标题来确定文件是否是恶意软件。 由于恶意软件检测装置和方法可以快速检测恶意软件的存在，因此可以大大缩短检测时间。 恶意软件检测装置和方法还可以检测甚至未知的恶意软件以及已知的恶意软件，从而估计和确定恶意软件的存在。 因此，可以提前应对恶意软件，用程序保护系统，显着提高安全等级。

公开(公告)号：US20080134334A1

公开(公告)日：2008-06-05

申请号：US11926132

申请日：2007-10-29

申请人： Ik Kyun Kim ,  Yang Seo Choi ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

发明人： Ik Kyun Kim ,  Yang Seo Choi ,  Dae Won Kim ,  Jin Tae Oh ,  Jong Soo Jang

IPC分类号： G06F11/00

CPC分类号： H04L63/1408

摘要： There are provided a network attack detection apparatus and method capable of determining even unknown network attack, the apparatus connected between two networks or connected by port mirroring of an Ethernet switch to real-time monitor all packets flowing through the networks. The apparatus decodes a payload portion of an inputted network packet into a machine code instruction, determines whether an executable code is included in the decoded machine code by analyzing relationship between instructions, and determines whether the packet is harmful based on statistics with respect to a possibility that an executable code exists in a service and a certain transaction of the service when the executable code is included.

摘要翻译： 提供了能够确定甚至未知网络攻击的网络攻击检测装置和方法，连接在两个网络之间的装置或通过以太网交换机的端口镜像连接的实时监视通过网络流动的所有分组的网络攻击检测装置和方法。 该装置将输入的网络分组的有效载荷部分解码为机器码指令，通过分析指令之间的关系来确定解码的机器码中是否包括可执行代码，并且基于关于可能性的统计来确定分组是否有害 当包括可执行代码时，可执行代码存在于服务和服务的某个事务中。

公开(公告)号：US20120324573A1

公开(公告)日：2012-12-20

申请号：US13453968

申请日：2012-04-23

申请人： Dae Won KIM ,  Yang Seo Choi ,  Ik Kyun Kim

发明人： Dae Won KIM ,  Yang Seo Choi ,  Ik Kyun Kim

IPC分类号： G06F21/00 ,  G06F11/00

CPC分类号： H04L63/1458

摘要： Provided is an apparatus and method for determining whether or not a specific network session is under a denial-of-service (DoS) attack. The method includes detecting a packet transmitted in the session, initializing the number of attack-suspicion continuation packets, increasing the number of attack-suspicion continuation packets by a predetermined number, and determining that the session is under the DoS attack.

摘要翻译： 提供了一种用于确定特定网络会话是否处于拒绝服务（DoS）攻击的装置和方法。 该方法包括检测在会话中发送的分组，初始化攻击怀疑继续分组的数量，将攻击怀疑继续分组的数量增加预定数量，并确定该会话处于DoS攻击状态。

公开(公告)号：US20120167222A1

公开(公告)日：2012-06-28

申请号：US13335811

申请日：2011-12-22

申请人： Ik Kyun KIM ,  Yang-Seo CHOI ,  Byoung-Koo KIM ,  Seung Yong YOON ,  Youngjun HEO ,  Dae Won KIM ,  Il AHN CHEONG ,  Jintae OH ,  Jong Soo JANG

发明人： Ik Kyun KIM ,  Yang-Seo CHOI ,  Byoung-Koo KIM ,  Seung Yong YOON ,  Youngjun HEO ,  Dae Won KIM ,  Il AHN CHEONG ,  Jintae OH ,  Jong Soo JANG

IPC分类号： G06F21/00

CPC分类号： G06F21/563

摘要： An apparatus for diagnosing malicious files includes a information transferring unit configured to receive information regarding a malicious file distributed in a management network and an execution file generated by assembling packets collected from the management network; an anti-virus engine configured to determine whether or not the execution file is malicious to generate information regarding a new malicious file; and a management unit configured to transfer the information regarding the malicious file and the information regarding the new malicious file to a terminal device on the management network through the information transferring unit.

摘要翻译： 用于诊断恶意文件的装置包括：信息传送单元，被配置为接收关于分发在管理网络中的恶意文件的信息和通过组合从管理网络收集的分组而生成的执行文件; 配置为确定所述执行文件是否是恶意的以产生关于新的恶意文件的信息的反病毒引擎; 以及管理单元，被配置为通过信息传送单元将关于恶意文件的信息和关于新的恶意文件的信息传送到管理网络上的终端设备。