KR101375813B1 - Active security sensing device and method for intrusion detection and audit of digital substation - Google Patents

Active security sensing device and method for intrusion detection and audit of digital substation Download PDF

Info

Publication number
KR101375813B1
KR101375813B1 KR1020120101340A KR20120101340A KR101375813B1 KR 101375813 B1 KR101375813 B1 KR 101375813B1 KR 1020120101340 A KR1020120101340 A KR 1020120101340A KR 20120101340 A KR20120101340 A KR 20120101340A KR 101375813 B1 KR101375813 B1 KR 101375813B1
Authority
KR
South Korea
Prior art keywords
nsm
abnormal
intelligent electronic
detection
traffic
Prior art date
Application number
KR1020120101340A
Other languages
Korean (ko)
Inventor
임용훈
주성호
김충효
최문석
백종목
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020120101340A priority Critical patent/KR101375813B1/en
Application granted granted Critical
Publication of KR101375813B1 publication Critical patent/KR101375813B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/024Standardisation; Integration using relational databases for representation of network management data, e.g. managing via structured query language [SQL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

The present invention relates to an active security sensing device for real-time security check and abnormality detection in a digital substation. The present invention provides an active security sensing device and a method therefor for real-time security check and abnormality detection in a digital substation which include: a station level intrusion detection unit for detecting station level network abnormal activities which are used in communication between HMI system and smart electronic device, and between inside and outside of a digital substation and deriving abnormal traffic; a bay level intrusion detection unit for detecting bay level network abnormal activities which are used in communication between smart electronic devices and deriving status information and first network system management (NSM) object data of the smart electronic devices; and an abnormality determination unit for finally determining the abnormality based on the correlation analysis among the abnormal traffic, status information of the smart electronic devices and first NSM object data. [Reference numerals] (110) Station level; (111) Active type security sensor; (113) HMI system; (115) Gateway; (120) Bay level; (130) SCADA system

Description

디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법{ACTIVE SECURITY SENSING DEVICE AND METHOD FOR INTRUSION DETECTION AND AUDIT OF DIGITAL SUBSTATION}ACTIVE SECURITY SENSING DEVICE AND METHOD FOR INTRUSION DETECTION AND AUDIT OF DIGITAL SUBSTATION}

본 발명은 디지털변전소에서 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치에 관한 것이고, 보다 상세하게는 IEC 61850 오픈 프로토콜 기반의 단말장치(IED, HMI 등) 및 통신 네트워크로 구성된 디지털 변전소에서 통신 건전성, 단말장치 건전성 및 침입탐지 이벤트에 기초하여 실시간 보안 감사와 이상 징후를 탐지하기 위한 능동형 보안 센싱 장치 및 방법에 관한 것이다.The present invention relates to an active security sensing device for real-time security audit and anomaly detection in a digital substation, and more particularly, communication in a digital substation consisting of a terminal device (IED, HMI, etc.) and a communication network based on the IEC 61850 open protocol. An active security sensing device and method for detecting real-time security audits and abnormal signs based on health, terminal device health, and intrusion detection events.

지능형 전력망은 전력수송을 담당하는 전력시스템과 제어 및 감시(모니터링)를 위한 정보시스템으로 구성된다. 디지털 변전소 등 지능형 전력시스템의 운영은 표준화된 통신프로토콜과 네트워크, 지능형 전자 장비(IED; Intelligent Electronic Devices), 데이터베이스를 포함하는 정보시스템에 의존하게 되었다. 하지만 정보시스템이 기존 폐쇄적(Proprietary)인 형태에서 표준화된 공개(Open) 형식으로 바뀜에 따라 사이버 공격에 더욱 취약해지고, 내부자의 실수로 인한 악성코드가 유포사례(Stuxnet)가 발생하는 등 사회기반시설인 전력설비의 신뢰성 및 안정성을 확보하기 위한 보안대책이 절실히 요구되어 졌다. The intelligent grid consists of a power system that is in charge of power transportation and an information system for control and monitoring (monitoring). The operation of intelligent power systems, such as digital substations, has relied on information systems, including standardized communication protocols and networks, intelligent electronic devices (IEDs), and databases. However, as the information system is changed from the existing proprietary form to the standardized open format, it becomes more vulnerable to cyber attacks, and the malicious code caused by the insider's mistakes causes the distribution of social infrastructure. There is an urgent need for security measures to secure the reliability and stability of human power facilities.

이를 해소하기 위한 종래의 보안 감사 시스템 구성은 도 1에 도시된다. 도 1을 참조하면, 종래의 보안 감사 시스템(10)은 SCADA 네트워크를 통해 송신되는 패킷 또는 데이터의 보안감사 및 이상징후 탐지를 수행하는 보안 감사부(12) 및 이벤트 로그를 수집하여 데이터베이스에 저장된 이벤트 로그와의 연관 분석을 통해 이상징후를 판단하는 사후 보안 감사부(13)로 구성되어 있다. 여기서 보안 감사부(12)는 해킹과 같은 침입 또는 공격을 탐지하는 침입탐지 시스템(12a), 방화벽 등을 포함하는 침입차단 시스템(12b) 및 서버 보안 시스템(12c)으로 구성되고, 사후 보안 감사부(13)는 보안 이벤트 로그를 수집하는 이벤트로그 수집부(13a), 수집된 각종 이벤트 로그를 저장하는 데이터베이스(13c) 및 수집된 이벤트 로그와 데이터베이스에 저장된 이벤트 로그를 연관 분석하는 실시간 분석기(13b)로 구성된다. 하지만, 상기 종래의 보안 감사 시스템(10)을 IEC 61850 기반의 디지털 변전소에 적용하기엔 몇 가지 문제점이 존재한다. The conventional security audit system configuration for solving this is shown in FIG. Referring to FIG. 1, the conventional security audit system 10 collects an event log and a security audit unit 12 that performs security audit and abnormal symptom detection of a packet or data transmitted through a SCADA network and stores the event log in a database. It consists of a post-security audit unit 13 to determine the abnormal symptoms through the analysis of the association with the log. The security audit unit 12 is composed of an intrusion detection system 12a for detecting an intrusion or attack such as hacking, an intrusion blocking system 12b including a firewall, and a server security system 12c, and a post-security auditing unit. 13 is an event log collecting unit 13a for collecting security event logs, a database 13c for storing various collected event logs, and a real time analyzer 13b for associating and analyzing the collected event logs and event logs stored in the database. It consists of. However, there are some problems in applying the conventional security audit system 10 to IEC 61850 based digital substations.

첫 번째 문제점은, 침입 탐지 시스템(12a)은 네트워크상의 패킷 정보를 수집한 후, 공격 패턴 데이터베이스와의 비교를 통해 불법적인 침입을 탐지하기 때문에, 새로운 유형의 공격 예를 들어, 공격패턴 데이터베이스가 알려지지 않은 제로 데이 공격(Zero day Attack)과 같은 알려지지 않은 공격과, 사용자가 의도하지 않은 공격을 탐지하지 못한다는 점이다. The first problem is that since the intrusion detection system 12a collects packet information on the network and compares it with the attack pattern database to detect illegal intrusions, a new type of attack, for example, an attack pattern database is not known. Unknown attacks, such as zero day attacks, and unintended attacks by the user.

두 번째 문제점은, 방화벽과 같은 침입 차단 시스템(12b)은 사전 정의된 규칙에 따라 허용할 패킷과 거부할 패킷을 설정하고, 이를 이용하여 거부할 패킷에 대한 접속을 차단하는 시스템인데, 이는 외부망과 분리된 안전한 네트워크 구간 내에서 구역 간 연결 접속 지점에 놓인 방화벽은 허용된 패킷을 이용한 공격엔 취약하다는 점이다.The second problem is that an intrusion prevention system 12b such as a firewall sets a packet to allow and a packet to reject according to a predefined rule, and uses this to block access to a packet to be rejected. Firewalls placed at inter-zone connection points within a secure network segment separate from the network are vulnerable to attack using allowed packets.

그리고 도 2는 IEC 61850 서비스 모델을 도시하는데, 종래의 보안 감사 시스템은 지능형 전자 장비에서 데이터의 송수신에 사용되는 IEC 61850 서비스 모델인 SV/GOOSE(Sampled Values/Generic Object Oriented Substation Event) 명령어를 고려하지 않았기에, 기존의 감사 시스템으로는 이상징후 탐지가 불가능하다는 문제점이 존재한다. 2 illustrates an IEC 61850 service model, which does not consider a SV / GOOSE (Sampled Values / Generic Object Oriented Substation Event) command, which is an IEC 61850 service model used for transmitting and receiving data in intelligent electronic equipment. As a result, there is a problem in that an abnormal symptom cannot be detected by an existing audit system.

본 발명의 목적은 상기와 같은 종래의 문제점을 해결하기 위한 것으로, IEC 61850 오픈 프로토콜(open protocol) 기반의 단말장치(IED, HMI 등) 및 통신 네트워크로 구성된 디지털 변전소에서 통신 건전성 관리정보, 단말장치 건전성 관리정보 및 침입 탐지 시스템 관리정보에 기초하여 실시간 보안 감사와 이상 징후를 탐지하기 위한 능동형 보안 센싱 장치 및 방법을 제공하는 것이다.An object of the present invention is to solve the above problems, communication health management information, a terminal device in a digital substation consisting of IEC 61850 open protocol (open protocol) based terminal devices (IED, HMI, etc.) and a communication network It is to provide an active security sensing device and method for detecting real-time security audits and abnormal signs based on soundness management information and intrusion detection system management information.

또한, 본 발명의 다른 목적은 능동형 보안센서를 구성함에 있어서 지능형 전자 장비의 IEC 61850 오브젝트들로부터 상태정보 및 NSM 오브젝트 데이터를 추출하는 서비스 방법을 제공하는 것이다.Another object of the present invention is to provide a service method for extracting state information and NSM object data from IEC 61850 objects of intelligent electronic equipment in constructing an active security sensor.

상기한 목적을 달성하기 위한 본 발명에 따른 디지털 변전소 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치는 HMI 시스템과 지능형 전자 장비 간의 통신과 디지털 변전소 내부 및 외부 간의 통신에 사용되는 스테이션 레벨의 네트워크 이상행위를 탐지하여, 비정상 트래픽을 도출하는 스테이션 레벨 침입 탐지부; 상기 지능형 전자 장비 간의 통신에 사용되는 베이 레벨의 네트워크 이상행위를 탐지하여 상기 지능형 전자 장비의 상태정보 및 제 1 NSM(Network System Management) 오브젝트 데이터를 도출하는 베이 레벨 침입 탐지부; 및 상기 비정상 트래픽, 상기 지능형 전자 장비의 상태정보 및 상기 제 1 NSM 오브젝트 데이터 간의 상호 연관 분석에 기초하여 이상징후를 최종 판단하는 이상징후 판단부를 포함하는 것을 특징으로 한다.Active security sensing device for real-time security audit and abnormal symptoms detection of the digital substation according to the present invention for achieving the above object is a station-level network used for communication between the HMI system and intelligent electronic equipment and communication between inside and outside the digital substation A station level intrusion detection unit for detecting abnormal behavior and deriving abnormal traffic; A bay level intrusion detection unit for detecting a network abnormal behavior at a bay level used for communication between the intelligent electronic devices to derive state information of the intelligent electronic device and first network system management (NSM) object data; And an abnormal symptom determination unit configured to finally determine an abnormal symptom based on the correlation analysis between the abnormal traffic, the state information of the intelligent electronic device, and the first NSM object data.

여기서, 베이 레벨 침입 탐지부는, 상기 지능형 전자 장비로부터 상태정보를 수집하는 단말장치 상태정보 수집부; 및 단말장치 건전성 관리정보를 포함하는 제 1 NSM 오브젝트 데이터를 추출하는 제 1 NSM 오브젝트 탐지부를 포함하는 것을 특징으로 한다.Here, the bay level intrusion detection unit, the terminal device state information collection unit for collecting state information from the intelligent electronic equipment; And a first NSM object detector extracting first NSM object data including terminal device health management information.

여기서, 스테이션 레벨 침입 탐지부는, 상기 디지털 변전소의 내부 및 외부의 네트워크와 상기 HMI 시스템 및 상기 지능형 전자장비로부터 네트워크 트래픽 특성 및 상태정보를 수집하고 모니터링하는 네트워크 패킷 수집부; 통신 건전성 관리정보 및 침입 탐지 시스템(IDS) 관리정보를 포함하는 제 2 NSM 오브젝트 데이터를 추출하고 모니터링하는 제 2 NSM 오브젝트 탐지부; 상기 네트워크 트래픽 특성과 상기 제 2 NSM 오브젝트 데이터의 트래픽 패턴을 자체적으로 학습 및 탐지하고, 상기 탐지된 트래픽 패턴을 학습 트래픽 패턴 데이터베이스에 저장하는 트래픽 패턴 학습부; 및 상기 트래픽 데이터를 이상징후 의심 관측 상태별로 분류하여 비정상 트래픽을 도출하는 비정상 트래픽 판단부를 포함하는 것을 특징으로 한다.Here, the station level intrusion detection unit, a network packet collection unit for collecting and monitoring network traffic characteristics and status information from the internal and external networks of the digital substation, the HMI system and the intelligent electronic equipment; A second NSM object detection unit configured to extract and monitor second NSM object data including communication health management information and intrusion detection system (IDS) management information; A traffic pattern learner which learns and detects the network traffic characteristic and the traffic pattern of the second NSM object data by itself and stores the detected traffic pattern in a learning traffic pattern database; And an abnormal traffic determination unit classifying the traffic data by suspected abnormal symptoms and deriving abnormal traffic.

여기서, 학습 트래픽 패턴 데이터베이스에 기록된 트래픽 패턴과 상기 탐지된 트래픽 패턴을 비교하여, 상기 탐지된 트래픽 패턴이 정상인지를 판별하는 픽 위너(pick winner) 알고리즘이 상기 학습 트래픽 패턴 데이터베이스의 구축에 사용되는 것을 특징으로 한다. Here, a pick winner algorithm for comparing the detected traffic pattern with the traffic pattern recorded in the learning traffic pattern database and determining whether the detected traffic pattern is normal is used for constructing the learning traffic pattern database. It is characterized by.

여기서, 상기 통신 건전성 관리정보는 단말장치 간에 허용된 최대 세션 연결 수, 동시에 사용되고 있는 단말 연결 수와 최대 연결 초과 수, 네트워크에서 부적절한 시간동기화 탐지, 변형/기형 프로토콜 메시지 탐지, 및 다중 시스템에 가해지는 계획된 공격 탐지를 위한 향상 지원 중 적어도 하나를 포함하는 것을 특징으로 한다.In this case, the communication health management information is applied to the maximum number of session connections allowed between terminal devices, the number of terminal connections and the maximum connection exceeded at the same time, inappropriate time synchronization detection in the network, modification / deformation protocol message detection, and multiple systems. And at least one of the enhancement support for the planned attack detection.

여기서, 상기 단말장치 건전성 관리정보는 인가된 사용자 리스트를 기반으로 비인가된 사용자의 연결 또는 데이터 전송 탐지, 단말장치 응용프로그램에 유효하지 않은 데이터, 유효하지 않은 데이터 요청, 유효하지 않은 제어명령어 탐지 등이 저장된 감사로그, 단말의 CPU 및 메모리 리소스 상태(Sudden increase 감지), 단말 장치의 정지와 재시작, 응용프로그램의 정지와 재시작, 최소 및 최대 유휴(idle) 시간 초과, 및 특정 시간 동안의 실제 유휴 시간 중 적어도 하나를 포함하는 것을 특징으로 한다.In this case, the terminal device health management information may include connection or data transmission detection of an unauthorized user, invalid data request, invalid data request, invalid control command detection, etc. based on an authorized user list. Stored audit logs, terminal CPU and memory resource status (Sudden increase detection), stopping and restarting of terminal devices, stopping and restarting applications, minimum and maximum idle timeouts, and actual idle time for a specific time It characterized in that it comprises at least one.

여기서, 상기 트래픽 패턴 학습부 및 상기 비정상 트래픽 판단부에서 이상 징후에 대한 의심 관측이 수행되는 것을 특징으로 한다.In this case, the traffic pattern learning unit and the abnormal traffic determination unit may perform suspicious observation of abnormal signs.

여기서, 상기 지능형 전자 장비로부터 상태정보와 제 1 NSM 오브젝트 데이터를 그리고 상기 HMI 시스템과 상기 지능형 전자 장비로부터 제 2 NSM 오브젝트 데이터를 추출할 때, 상기 지능형 전자 장비로부터 추출하고자 하는 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터에 대응하는 지능형 전자 장비 내에 포함된 지능형 전자 장비 오브젝트들을, 추상 통신 서비스 인터페이스(ACSI: Abstract Communication Service Interface)에 포함된 DataSet 기능을 이용하여 데이터 그룹으로 묶고, 상기 추상 통신 서비스 인터페이스의 GetDataSetValue 기능을 이용하여 상기 데이터 그룹을 상기 능동형 보안 센싱 장치로 전송하여 추출이 이루어지는 것을 특징으로 한다.Here, when extracting state information and first NSM object data from the intelligent electronic device and second NSM object data from the HMI system and the intelligent electronic device, the first NSM object data to be extracted from the intelligent electronic device and The intelligent electronic equipment objects included in the intelligent electronic equipment corresponding to the second NSM object data are grouped into a data group using a DataSet function included in an Abstract Communication Service Interface (ACSI), and the abstract communication service interface. Extracting is performed by transmitting the data group to the active security sensing device using the GetDataSetValue function.

여기서, HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상기 상태정보, 상기 제 1 NSM 오브젝트 데이터 및 상기 제 2 NSM 오브젝트 데이터를 갱신할 때, 추상 통신 서비스 인터페이스에 포함된 Report 기능을 이용하는 것을 특징으로 한다.Here, when updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, it uses a Report function included in the abstract communication service interface do.

여기서, HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상기 상태정보, 상기 제 1 NSM 오브젝트 데이터 및 상기 제 2 NSM 오브젝트 데이터를 갱신할 때, 지능형 전자 장비로부터 EEHealth 데이터 오브젝트를 수신하여 해당되는 자료를 갱신하는 것을 특징으로 한다.Herein, when updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and the intelligent electronic device, the EEHealth data object is received from the intelligent electronic device and the corresponding data is received. It is characterized by updating.

본 발명에 따른 디지털 변전소 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법은 HMI 시스템과 지능형 전자 장비 간의 통신과 디지털 변전소 내부 및 외부 간의 통신에 사용되는 스테이션 레벨의 네트워크 이상행위를 탐지하여, 비정상 트래픽을 도출하는 단계; 상기 지능형 전자 장비 간의 통신에 사용되는 베이 레벨의 네트워크 이상행위를 탐지하여 상기 지능형 전자 장비의 상태정보 및 제 1 NSM 오브젝트 데이터를 도출하는 단계; 및 상기 비정상 트래픽, 상기 지능형 전자 장비의 상태정보 및 상기 제 1 NSM 오브젝트 데이터 간의 상호 연관 분석에 기초하여 이상징후를 최종 판단하는 단계를 포함하는 것을 특징으로 한다. The active security sensing method for real-time security audit and abnormal sign detection of digital substation according to the present invention detects anomalous behavior at a station level used for communication between HMI system and intelligent electronic equipment and communication between inside and outside of digital substation. Deriving traffic; Deriving state information and first NSM object data of the intelligent electronic device by detecting a network abnormal behavior at a bay level used for communication between the intelligent electronic devices; And finally determining an abnormal symptom based on the correlation analysis between the abnormal traffic, the state information of the intelligent electronic device, and the first NSM object data.

여기서, 상기 지능형 전자 장비의 상태정보 및 제 1 NSM 오브젝트 데이터를 도출하는 단계는, 상기 지능형 전자 장비로부터 상태정보를 수집하는 단계; 및 단말장치 건전성 관리정보를 포함하는 제 1 NSM 오브젝트 데이터를 추출하는 단계를 포함하는 것을 특징으로 한다.The deriving the state information of the intelligent electronic device and the first NSM object data may include collecting state information from the intelligent electronic device; And extracting first NSM object data including terminal device health management information.

여기서, 상기 비정상 트래픽을 도출하는 단계는, 상기 디지털 변전소의 내부 및 외부의 네트워크와 상기 HMI 시스템 및 상기 지능형 전자장비로부터 네트워크 트래픽 특성 및 상태정보를 수집하고 모니터링하는 단계; 통신 건전성 관리정보 및 침입 탐지 시스템(IDS) 관리정보를 포함하는 제 2 NSM 오브젝트 데이터를 추출하고 모니터링하는 단계; 상기 네트워크 트래픽 특성과 상기 제 2 NSM 오브젝트 데이터의 트래픽 패턴을 자체적으로 학습 및 탐지하고, 상기 탐지된 트래픽 패턴을 학습 트래픽 패턴 데이터베이스에 저장하는 트래픽 패턴의 학습 및 탐지 단계; 및 상기 트래픽 데이터를 이상징후 의심 관측 상태별로 분류하여 비정상 트래픽을 도출하는 단계를 포함하는 것을 특징으로 한다.The deriving of abnormal traffic may include collecting and monitoring network traffic characteristics and status information from internal and external networks of the digital substation, the HMI system, and the intelligent electronic equipment; Extracting and monitoring second NSM object data including communication health management information and intrusion detection system (IDS) management information; Learning and detecting the traffic patterns and the traffic patterns of the second NSM object data by itself and learning and detecting the traffic patterns in a learning traffic pattern database; And classifying the traffic data by suspected abnormal symptoms and deriving abnormal traffic.

여기서, 학습 트래픽 패턴 데이터베이스에 기록된 트래픽 패턴과 상기 탐지된 트래픽 패턴을 비교하여, 상기 탐지된 트래픽 패턴이 정상인지를 판별하는 픽 위너 알고리즘이 상기 학습 트래픽 패턴 데이터베이스의 구축에 사용되는 것을 특징으로 한다.Here, a pick winner algorithm for comparing whether the detected traffic pattern is normal by comparing the traffic pattern recorded in the learning traffic pattern database with the detected traffic pattern is used to construct the learning traffic pattern database. .

여기서, 상기 통신 건전성 관리정보는 단말장치 간에 허용된 최대 세션 연결 수, 동시에 사용되고 있는 단말 연결 수와 최대 연결 초과 수, 네트워크에서 부적절한 시간동기화 탐지, 변형/기형 프로토콜 메시지 탐지, 및 다중 시스템에 가해지는 계획된 공격 탐지를 위한 향상 지원 중 적어도 하나를 포함하는 것을 특징으로 한다.In this case, the communication health management information is applied to the maximum number of session connections allowed between terminal devices, the number of terminal connections and the maximum connection exceeded at the same time, inappropriate time synchronization detection in the network, modification / deformation protocol message detection, and multiple systems. And at least one of the enhancement support for the planned attack detection.

여기서, 상기 단말장치 건전성 관리정보는 인가된 사용자 리스트를 기반으로 비인가된 사용자의 연결 또는 데이터 전송 탐지, 단말장치 응용프로그램에 유효하지 않은 데이터, 유효하지 않은 데이터 요청, 유효하지 않은 제어명령어 탐지 등이 저장된 감사로그, 단말의 CPU 및 메모리 리소스 상태(Sudden increase 감지), 단말 장치의 정지와 재시작, 응용프로그램의 정지와 재시작, 최소 및 최대 유휴(idle) 시간 초과, 및 특정 시간 동안의 실제 유휴 시간 중 적어도 하나를 포함하는 것을 특징으로 한다.In this case, the terminal device health management information may include connection or data transmission detection of an unauthorized user, invalid data request, invalid data request, invalid control command detection, etc. based on an authorized user list. Stored audit logs, terminal CPU and memory resource status (Sudden increase detection), stopping and restarting of terminal devices, stopping and restarting applications, minimum and maximum idle timeouts, and actual idle time for a specific time It characterized in that it comprises at least one.

여기서, 상기 이상징후를 최종 판단하는 단계와 상기 트래픽 패턴의 학습 및 탐지 단계는 이상 징후에 대한 의심 관측 단계를 포함하는 것을 특징으로 한다.Here, the final determination of the abnormal symptoms and the learning and detection of the traffic patterns may include suspicious observation of abnormal symptoms.

여기서, 상기 지능형 전자 장비로부터 상태정보와 제 1 NSM 오브젝트 데이터를 그리고 상기 HMI 시스템과 상기 지능형 전자 장비로부터 제 2 NSM 오브젝트 데이터를 추출할 때, 상기 지능형 전자 장비로부터 추출하고자 하는 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터에 대응하는 지능형 전자 장비 내에 포함된 지능형 전자 장비 오브젝트들을, 추상 통신 서비스 인터페이스에 포함된 DataSet 기능을 이용하여 데이터 그룹으로 묶는 단계; 및 상기 추상 통신 서비스 인터페이스의 GetDataSetValue 기능을 이용하여 상기 데이터 그룹을 상기 능동형 보안 센싱 장치로 전송하는 단계를 통해 추출이 이루어지는 것을 특징으로 한다.Here, when extracting state information and first NSM object data from the intelligent electronic device and second NSM object data from the HMI system and the intelligent electronic device, the first NSM object data to be extracted from the intelligent electronic device and Grouping the intelligent electronic equipment objects included in the intelligent electronic equipment corresponding to the second NSM object data into a data group by using a DataSet function included in the abstract communication service interface; And transmitting the data group to the active security sensing device using the GetDataSetValue function of the abstract communication service interface.

여기서, HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상태정보, 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터를 갱신할 때, 추상 통신 서비스 인터페이스에 포함된 Report 기능을 이용하는 것을 특징으로 한다.Here, when updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, it characterized in that the Report function included in the abstract communication service interface.

여기서, HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상태정보, 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터를 갱신할 때, 지능형 전자 장비로부터 EEHealth 데이터 오브젝트를 수신하여 해당되는 자료를 갱신하는 것을 특징으로 한다.Here, when updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and the intelligent electronic equipment, receiving the EEHealth data object from the intelligent electronic equipment and updating the corresponding data. It features.

본 발명의 능동형 보안 센싱 장치 및 방법은 TCP/IP 프로토콜을 통한 네트워크의 이상징후뿐만 아니라, IEC 61850 기반의 디지털 변전소에서 사용되는 GOOSE 명령어를 통한 네트워크의 이상징후 또한 감지할 수 있다는 장점을 갖는다. 또한, 본 발명의 2중으로 수행되는 이상징후 판단 방법에 따라, 보다 정확한 이상징후 탐지가 가능하다는 장점을 갖는다.The active security sensing apparatus and method of the present invention has the advantage that it can detect not only the abnormal symptoms of the network through the TCP / IP protocol, but also the abnormal symptoms of the network through the GOOSE command used in the IEC 61850 based digital substation. In addition, according to the abnormal symptom determination method performed in a double of the present invention, it is possible to more accurately detect the abnormal symptoms.

도 1은 종래의 보안 감사 시스템의 구성을 개략적으로 도시하는 도면이다.
도 2는 IEC 61850 서비스 모델을 도시하는 도면이다.
도 3은 종래 기술에 따른 능동형 보안 센싱 장치의 비정상 트래픽 판단부에서 이루어지는 비정상 트래픽 과정을 도시하는 도면이다.
도 4는 능동형 보안 센싱 장치가 포함된 디지털 변전소의 구조를 개략적으로 도시하는 도면이다.
도 5는 본 발명의 일 실시예에 따른 능동형 보안 센싱 장치의 구성을 도시하고, 상기 능동형 보안 센싱 장치의 각 구성의 동작 과정을 도시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 능동형 보안 센싱 장치의 비정상 트래픽 판단부에서 이루어지는 비정상 트래픽 판단 과정을 도시하는 도면이다.
도 7은 본 발명의 일 실시예에 따라 단말장치로부터 상태 정보와 NSM 오브젝트 데이터를 추출하는 방법을 도시하는 도면이다.
도 8은 본 발명의 다른 실시예에 따라 단말장치로부터 상태 정보와 NSM 오브젝트 데이터를 추출하는 방법을 도시하는 도면이다.1 is a diagram schematically showing the configuration of a conventional security audit system.
2 is a diagram illustrating an IEC 61850 service model.
3 is a diagram illustrating an abnormal traffic process performed by an abnormal traffic determination unit of an active security sensing device according to the prior art.
4 is a diagram schematically illustrating a structure of a digital substation including an active security sensing device.
5 is a diagram illustrating a configuration of an active security sensing device according to an embodiment of the present invention, and a diagram illustrating an operation process of each component of the active security sensing device.
6 is a diagram illustrating an abnormal traffic determination process performed by an abnormal traffic determination unit of an active security sensing device according to an embodiment of the present invention.
7 is a diagram illustrating a method of extracting state information and NSM object data from a terminal device according to an embodiment of the present invention.
8 is a diagram illustrating a method of extracting state information and NSM object data from a terminal device according to another embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하, 본 발명의 실시예에 따른 디지털변전소 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법에 대하여 설명하도록 한다. Hereinafter, an active security sensing apparatus and method for real time security audit and abnormal symptom detection of a digital substation according to an embodiment of the present invention will be described.

도 4는 능동형 보안 센싱 장치가 포함된 디지털 변전소의 구조를 개략적으로 도시하는 도면이다.4 is a diagram schematically illustrating a structure of a digital substation including an active security sensing device.

도 4를 참조하면, 디지털 변전소(100)는 크게 스테이션 레벨(110)과 베이 레벨(120)로 구성된다. 먼저 스테이션 레벨(110)은 변전소 내부와 외부 간의 통신, 예를 들어, 변전소 내부와 외부 SCADA 시스템(130) 간의 통신, 그리고 HMI 시스템(113)과 지능형 전자 장비(IED, 123) 간의 통신에 사용되는 부분으로서, 능동형 보안 센서(111), HMI 시스템(113) 및 외부망을 이용하여 SCADA 시스템(130)과의 연계에 사용되는 게이트웨이(115)를 포함한다. 능동형 보안 센서(111)에 대한 설명은 아래에서 도 5를 참조로 상세히 이루어질 예정이므로, 여기서의 상세한 설명은 생략한다. Referring to FIG. 4, the digital substation 100 is largely composed of a station level 110 and a bay level 120. First, the station level 110 is used for communication between the substation inside and outside, for example, communication between the substation inside and the external SCADA system 130 and between the HMI system 113 and the intelligent electronic equipment (IED, 123). In part, it includes an active security sensor 111, an HMI system 113, and a gateway 115 used for linkage with the SCADA system 130 using an external network. Since the description of the active security sensor 111 will be made in detail with reference to FIG. 5 below, a detailed description thereof will be omitted.

또 다른 실시예로 HMI 시스템이나 상위 SCADA시스템에 연결하기 위한 게이트웨이(115)는 다수의 지능형 전자 장비(IED, 123)와 폴링(polling) 형태를 취하고 있어서, IP 주소가 고정적이고 그 수도 적어 한 패킷 씩(packet by packet) 흐름을 판단하는 것이 아닌, 전체 커넥션 패킷들을 하나의 세트로 정의하여 하나의 흐름으로 정의함으로써 빠른 시간 내에 네트워크의 이상 유무를 판단할 수 있는 장점이 있다. 스테이션 레벨과 베이 레벨의 네트워크 건전성을 특정하는 요소에 따라, 그리고 이상탐지 방법에 따라 학습 트래픽 패턴 데이터베이스를 각각 구성하거나 동일한 데이터베이스를 공유할 수 있으며, 또한 공격패턴 매칭을 이용한 침입탐지 방법을 병행하여 사용할 수 있다. In another embodiment, the gateway 115 for connecting to the HMI system or the upper SCADA system takes the form of polling with a plurality of intelligent electronic devices (IED, 123), so that a packet having a fixed IP address and a small number is provided. Rather than determining the packet by packet flow, it is possible to determine whether there is an abnormality of the network in a short time by defining all the connection packets as one set and defining one flow. Depending on the factors that specify the station level and bay level network health, and the anomaly detection method, each learning traffic pattern database can be configured or the same database can be shared, and intrusion detection method using attack pattern matching can be used in parallel. Can be.

베이 레벨(120)은 지능형 전자 장비(IED, 123) 간의 통신에 사용되는 부분으로서, 능동형 보안 센서(111)와, NSM 오브젝트 데이터를 포함하는 지능형 전자 장비(IED, 123)로 구성된다. 여기서 NSM 오브젝트 데이터는 아래의 설명에서 단말장치 건전성 관리 정보를 포함하는 제 1 NSM 오브젝트 데이터와, 통신 건전성 및 침입 탐지 관리 정보를 포함하는 제 2 NSM 오브젝트 데이터로 구분되어 설명되고, 이들 관리 정보들은 변전소 내부와 외부 간의 통신, 그리고 HMI 시스템(113)과 지능형 전자 장비(IED, 123) 간의 통신에서 이상 징후 및 보안 감사에 사용된다.Bay level 120 is a portion used for communication between the intelligent electronic equipment (IED, 123), and consists of an active security sensor 111, and intelligent electronic equipment (IED, 123) including NSM object data. Herein, the NSM object data is described by being divided into first NSM object data including terminal device health management information and second NSM object data including communication health and intrusion detection management information in the following description, and these management information are substations. Anomalies and security audits are used in communication between internal and external and communication between HMI system 113 and intelligent electronic equipment (IED, 123).

또한, 상기 2개의 레벨에 있어서 스테이션 레벨(110)에선 TCP/IP 프로토콜을 이용하여 통신이 이루어지고, 베이 레벨(120)에선 GOOSE 명령어를 사용하여 통신이 이루어진다.In addition, at the two levels, communication is performed using the TCP / IP protocol at the station level 110, and communication is performed at the bay level 120 using the GOOSE command.

도 5는 본 발명의 일 실시예에 따른 능동형 보안 센싱 장치(111)를 도시한다. 여기서, 능동형 보안 센싱 장치(111)는 스테이션 레벨 침입 탐지부(210), 베이 레벨 침입 탐지부(220), 감사 기록부(230) 및 이상 징후 판단부(240)를 포함한다.5 shows an active security sensing device 111 in accordance with one embodiment of the present invention. Here, the active security sensing device 111 includes a station level intrusion detection unit 210, a bay level intrusion detection unit 220, an audit recorder 230, and an abnormal indication determination unit 240.

도 5에서, 능동형 보안 센싱 장치(111)는 스테이션 레벨 침입 탐지부(210)와 베이 레벨 침입 탐지부(220)가 함께 구성되는 것으로 도시되고 있으나, 다른 실시예에서 이들 스테이션 레벨 침입 탐지부(210)와 베이 레벨 침입 탐지부(220)가 각각 분리되어, 스테이션 레벨의 침입 탐지를 수행하는 능동형 보안 센싱 장치와 베이 레벨 침입 탐지를 수행하는 능동형 보안 센싱 장치로 분리되어 구성될 수 있다는 것이 이해되어야 한다.In FIG. 5, the active security sensing device 111 is illustrated as being configured with a station level intrusion detector 210 and a bay level intrusion detector 220, but in another embodiment, these station level intrusion detectors 210. ) And bay level intrusion detection unit 220 may be separated into active security sensing devices that perform station level intrusion detection and active security sensing devices that perform bay level intrusion detection, respectively. .

스테이션 레벨 침입 탐지부(210)는 TCP/IP 프로토콜을 통해 HMI 시스템과 지능형 전자 장비(IED) 간의 통신 및 디지털 변전소 내·외부 간의 통신에 사용되는 스테이션 레벨의 네트워크 이상행위를 탐지하여, 비정상 트래픽을 도출하는 기능을 한다. 스테이션 레벨 침입 탐지부(210)는 네트워크 패킷 수집부(211), 제 2 NSM 오브젝트 탐지부(213), 트래픽 패턴 학습부(215), 학습 트래픽 패턴 데이터베이스(217) 및 비정상 트래픽 판단부(219)를 포함한다. 이 스테이션 레벨 침입 탐지부(210)가 동작되는 알고리즘은 아래와 같다.The station level intrusion detection unit 210 detects anomalous traffic at the station level, which is used for communication between the HMI system and intelligent electronic equipment (IED) and communication inside and outside the digital substation, through the TCP / IP protocol. Function to derive The station level intrusion detection unit 210 is a network packet collector 211, a second NSM object detector 213, a traffic pattern learner 215, a learning traffic pattern database 217, and an abnormal traffic determiner 219. It includes. The algorithm for operating the station level intrusion detection unit 210 is as follows.

먼저 네트워크 패킷 수집부(211)에서 변전소 내부 및 외부의 네트워크와 HMI 시스템(응용 서버) 및 지능형 전자장비(IED)로부터 네트워크 트래픽 특성을 수집하고 모니터링한다. 이 전달되는 패킷 또는 데이터는 네트워크 IP, 포트, 패킷 크기 등을 포함하나, 이에 제한되지 않는다.First, the network packet collection unit 211 collects and monitors network traffic characteristics from networks inside and outside the substation, HMI systems (application servers), and intelligent electronic equipment (IED). This forwarded packet or data includes, but is not limited to, network IP, port, packet size, and the like.

그 후, 제 2 NSM 오브젝트 탐지부(213)에서 제 2 NSM 오브젝트 데이터를 추출하고 모니터링한다. 여기서 제 2 NSM 오브젝트 데이터는 통신 건전성 관리정보와 침입 탐지 시스템 관리정보를 포함한다. 여기서, 통신 건전성 관리정보는 IEC 60870-5-104, IEC 60870-6, IEC 61850 프로토콜을 이용한 디지털 변전소에서 실시의 한 예로서 단말장치 간에 허용된 최대 세션 연결 수, 동시에 사용되고 있는 단말 연결 수와 최대 연결 초과 수, 네트워크에서 부적절한 시간동기화 탐지, 변형/기형 프로토콜 메시지 탐지 및 다중 시스템에 가해지는 계획된 공격 탐지를 위한 향상 지원 중 적어도 하나를 포함한다.Thereafter, the second NSM object detection unit 213 extracts and monitors the second NSM object data. Here, the second NSM object data includes communication health management information and intrusion detection system management information. Here, the communication health management information is an example of the implementation in the digital substation using the IEC 60870-5-104, IEC 60870-6, IEC 61850 protocol, the maximum number of session connections allowed between terminal devices, the number of terminal connections being used simultaneously and the maximum At least one of: over-connections, inadequate time synchronization detection in the network, modification / deformation protocol message detection, and enhanced support for detection of planned attacks against multiple systems.

위에 서술된 네트워크 패킷의 수집 및 모니터링과 제 2 NSM 오브젝트 데이터의 수집 및 모니터링이 이루어진 후 트래픽 패턴 학습부(215)에서, 앞서 서술된 통신 건전성 관리정보를 기초로 네트워크의 트래픽 특성과 제 2 NSM 오브젝트 데이터의 트래픽 패턴에 대해 자체적으로 학습 및 탐지가 이루어진다. 그 후, 학습 및 탐지가 이루어진 트래픽 패턴을 학습 트래픽 패턴 데이터베이스(217)에 저장하고 비정상 트래픽 판단부(219)에 전달한다.After the collection and monitoring of the network packet described above and the collection and monitoring of the second NSM object data are performed, in the traffic pattern learning unit 215, the traffic characteristics of the network and the second NSM object based on the aforementioned communication health management information. Self-learning and detection of data traffic patterns. Thereafter, the traffic pattern that has been learned and detected is stored in the learning traffic pattern database 217 and transferred to the abnormal traffic determination unit 219.

여기서, 학습 트래픽 패턴 데이터베이스(217)를 구축하는데 픽 위너 알고리즘이 사용될 수 있다. 이러한 픽 위너 알고리즘은 NSM 오브젝트들과, 네트워크 IP, 포트, 패킷 크기 등을 포함하는 정보들로부터 네트워크의 건전성을 특정하기 위해, 데이터베이스를 먼저 스캐닝한 후, 알려진 패턴에 따라 정상여부의 판별을 수행하는 알고리즘이다. 이러한 픽 위너 알고리즘은 정상 또는 비정상 행위 각각에 대해 학습해야 하는 다른 탐지방법과는 달리 다중 패턴 학습이 가능하여 별도의 정상상태 데이터를 따로 만들 필요가 없으므로 효율성이 뛰어나다는 장점이 있다. 또한, 픽 위너 알고리즘의 다른 장점은 오탐율(False positive rate)에 대하여 선험적인 기대치로 임계값을 정할 수 있어 빠른 이상징후 탐지에 적합하다는 점이다. Here, the Pick Winner algorithm may be used to build the learning traffic pattern database 217. The pick winner algorithm first scans a database and then determines whether it is normal according to a known pattern in order to specify the health of the network from NSM objects and information including network IP, port, packet size, and the like. Algorithm. Unlike other detection methods that need to learn about normal or abnormal behaviors, the pick-winner algorithm is capable of multi-pattern learning, so it is not necessary to create separate steady-state data. In addition, another advantage of the Pick Winner algorithm is that the threshold can be set as a priori expectation for false positive rate, which is suitable for fast anomaly detection.

비정상 트래픽 판단부(219)에서, 비정상 트래픽 패턴 학습부(215)로부터 전달된 학습된 패킷을 이상징후 의심 관측 상태별로 분류한다. 여기서 트래픽 판단부(219)에서 수행되는 의심 관측 상태 분류 과정에 대한 설명은 아래에서 도 6를 참조로 이루어질 예정이므로, 여기서의 상세한 설명은 생략한다.The abnormal traffic determination unit 219 classifies the learned packets delivered from the abnormal traffic pattern learning unit 215 by the suspected abnormal symptoms. Since the description of the suspect observation state classification process performed by the traffic determination unit 219 will be made with reference to FIG. 6 below, a detailed description thereof will be omitted.

베이 레벨 침입 탐지부(220)는 IEC 61850의 GOOSE 명령어를 통한 지능형 전자 장비(IED) 간의 통신에 사용되는 베이 레벨의 네트워크 이상행위를 탐지하여 상기 지능형 전자 장비(IED)의 상태정보 및 제 1 NSM 오브젝트 데이터를 도출하는 부분이다. 베이 레벨 침입 탐지부(220)는 단말장치 상태정보 수집부(221)와 제 1 NSM 오브젝트 탐지부(223)를 포함한다. 베이 레벨 침입 수집부(220)에서 수행되는 알고리즘은 다음과 같다.The bay level intrusion detection unit 220 detects a bay level network abnormal behavior used for communication between the intelligent electronic equipments (IEDs) through the GOOSE command of IEC 61850, and detects the status information of the intelligent electronic equipments (IEDs) and the first NSM. Derived object data. The bay level intrusion detecting unit 220 includes a terminal device state information collecting unit 221 and a first NSM object detecting unit 223. The algorithm performed by the bay level intrusion collector 220 is as follows.

먼저, 단말장치 상태정보 수집부(221)에서 지능형 전자 장비(IED, 123)로부터 상태정보를 수집한다. 그리고, 제 1 NSM 오브젝트 탐지부(223)에서 제 1 NSM 오브젝트 데이터를 추출한다. 여기서, 제 1 NSM 오브젝트 데이터는 단말장치 건전성 관리정보를 포함하는 데이터이다. 여기서 단말장치 건전성 관리정보는 인가된 사용자 리스트를 기반으로 비인가된 사용자의 연결 또는 데이터 전송 탐지, 단말장치 응용프로그램에 유효하지 않은 데이터, 유효하지 않은 데이터 요청, 유효하지 않은 제어명령어 탐지 등이 저장된 감사로그, 단말의 CPU 및 메모리 리소스 상태(Sudden increase 감지), 단말의 정지와 재시작, 응용프로그램의 정지와 재시작, 최소/최대 유휴 시간 초과 및 특정 시간동안 실제 유휴 시간 중 적어도 하나를 포함한다.First, the terminal device state information collecting unit 221 collects the state information from the intelligent electronic equipment (IED, 123). The first NSM object detector 223 extracts the first NSM object data. Here, the first NSM object data is data including terminal device health management information. In this case, the terminal device health management information includes an audit for storing an unauthorized user's connection or data transmission, invalid data request, invalid data request, and invalid control command detection based on the authorized user list. At least one of the log, the CPU and memory resource status (Sudden increase detection) of the terminal, the stop and restart of the terminal, the stop and restart of the application, the minimum / maximum idle timeout and the actual idle time for a specific time.

그리고, 스테이션 레벨 침입 탐지부(210)의 네트워크 패킷 수집부(211) 및 제 2 NSM 오브젝트 탐지부(213), 그리고 베이 레벨 침입 탐지부(220)의 단말장치 상태정보 수집부(221) 및 제 1 NSM 오브젝트 탐지부(223)에서 발생한 이벤트들은 각각 로그 파일로 감사 기록부(230)에 저장된다.In addition, the network packet collection unit 211 and the second NSM object detector 213 of the station level intrusion detection unit 210 and the terminal device state information collection unit 221 and the second level of the bay level intrusion detection unit 220 are provided. 1 Events generated by the NSM object detector 223 are stored in the audit log 230 as log files.

마지막으로 이상징후 판단부(240)는 비정상 트래픽과, 상기 지능형 전자 장비(IED)의 상태정보 및 제 1 NSM 오브젝트 데이터 간의 상호 연관 분석에 기초하여 이상징후를 최종 판단하는 부분이다. 여기서 이상징후 판단부(240)는 이하에 상세히 서술될 의심 관측 단계의 수행을 통해 보다 정확하고 신뢰성 있는 결과를 초래할 수 있다.Finally, the abnormal symptom determination unit 240 is a part which finally determines the abnormal symptom based on the correlation analysis between the abnormal traffic, the state information of the intelligent electronic equipment (IED), and the first NSM object data. Here, the abnormal symptom determination unit 240 may result in a more accurate and reliable result through performing the suspicious observation step which will be described in detail below.

도 6은 도 5의 비정상 트래픽 판단부(219)에서 이루어지는 비정상 트래픽 판단 과정을 도시한다. 종래의 비정상 트래픽 판단 과정을 도시하는 도 3을 참조하면, 종래 기술은 데이터통신 건전성 관리정보, 단말장치 건전성 관리정보 그리고 침입 탐지 시스템 관리정보를 포함하는 NSM 오브젝트 관리정보의 비정상 트래픽 판단에 있어서 기존에 저장된 데이터베이스와의 단순 비교를 통해 이상 징후를 판단하였다. 하지만, 본 발명에 따른 NSM 오브젝트 관리정보의 비정상 트래픽 판단은 도면에 도시된 바와 같이, 판단의 수행 중간에 이상 징후에 대한 의심 관측(Abnormlities Space) 단계를 추가함으로써, 비정상 트래픽 판단을 2중으로 수행하여, 종래 기술보다 보다 정확하고 신뢰성 있는 결과를 초래할 수 있는 것을 특징으로 한다. 예를 들어, 비정상 데이터에 대해 이상징후 의심 관측 상태로 분류하는 단계는 별도의 데이터베이스와의 비교를 통해, DoS(Denial of Service, 서비스 거부 공격) 공격으로 인한 서비스 거부 감지와 버퍼 오버플로 DoS 등과 같은 이상징후에 대한 의심 관측 단계를 거쳐 관측된 네트워크 이상징후 의심상태와, 단말장치로부터 수집한 상태 및 NSM 데이터의 상호 연관관계를 시계열적으로 분석하고, 최종적으로 이상징후를 판단하여 보안 이벤트를 발생시킨다.FIG. 6 illustrates an abnormal traffic determination process performed by the abnormal traffic determining unit 219 of FIG. 5. Referring to FIG. 3, which illustrates a conventional abnormal traffic determination process, the related art is conventionally used to determine abnormal traffic of NSM object management information including data communication health management information, terminal device health management information, and intrusion detection system management information. Anomalies were judged by a simple comparison with the stored database. However, the abnormal traffic determination of the NSM object management information according to the present invention, as shown in the figure, by performing the abnormal observation (Abnormlities Space) step for the abnormal signs in the middle of performing the determination, by performing the abnormal traffic determination by double It is characterized in that it can result in more accurate and reliable results than the prior art. For example, categorizing abnormal data into suspicious symptom observation state may be compared with a separate database, such as denial of service detection due to Denial of Service (DoS) attack and buffer overflow DoS. Analyze the network abnormality suspect state observed through the suspicion of abnormal symptoms, the correlation between the state collected from the terminal equipment, and the NSM data in time series, and finally determine the abnormal symptoms to generate a security event. .

도 7 및 도 8은 본 발명의 또 하나의 목적인 능동형 보안센서가 지능형 전자 장비(IED, 123)로부터 상태정보와 NSM 오브젝트 데이터를 추출하는 방법에 대한 실시예들을 도시한다. 이러한 추출 방법은 IEC 61850 오브젝트와 추상 통신 서비스 인터페이스(ACSI; Abstract Communication Service Interface)을 활용하는 것을 특징으로 한다. 여기서, 추상 통신 서비스 인터페이스(ACSI)는 IEC 61850에 정의된 것으로서 데이터 오브젝트를 다루고, 이 오브젝트에 액세스하기 위한 추상적 서비스의 세트를 한정하는 기능, 그리고 오브젝트를 서술하기 위한 데이터 타입의 기본 세트를 한정하는 기능, 그리고 오브젝트의 행위를 한정하는 기능을 한다. IEC 61850 오브젝트와 NSM 오브젝트 데이터를 매핑시킨 결과는 표 1 내지 표 3으로 아래에 도시되어 있다. 표 1 내지 표 3에 있어서, 첫 번째 열은 NSM 오브젝트 데이터를 나타내고, 두 번째 열은 NSM 오브젝트 데이터가 지능형 전자 장비의 어떤 오브젝트로부터 추출되는 지를 나타내는 지능형 전자 장비의 출처 오브젝트를 나타내며, 마지막으로 세 번째 열은 각 NSM 오브젝트 데이터의 기능 및 설명을 나타낸다.7 and 8 illustrate embodiments of a method of extracting state information and NSM object data from an intelligent electronic device (IED) 123 by an active security sensor, which is another object of the present invention. This extraction method is characterized by utilizing an IEC 61850 object and an Abstract Communication Service Interface (ACSI). Here, the Abstract Communication Service Interface (ACSI) is defined in IEC 61850 that deals with data objects, the ability to define a set of abstract services for accessing these objects, and the basic set of data types for describing the objects. Functions and functions that limit the behavior of objects. The results of mapping IEC 61850 objects and NSM object data are shown below in Tables 1-3. In Tables 1 to 3, the first column represents NSM object data, the second column represents a source object of intelligent electronic equipment indicating which object of the intelligent electronic equipment is extracted from, and finally the third The columns show the function and description of each NSM object data.

이를 위한 실시예들을 도시하는 도 7 및 도 8에서, 점선 블록으로 도시된 좌측 부분은 능동형 보안 센서(71, 81)를 나타내고, 점선 블록으로 도시된 우측 부분은 지능형 전자 장비(73, 83)를 나타내며, 이들 도면은 하나의 NSM 오브젝트가 2개 이상의 IEC 61850 데이터 조합으로 구성될 경우의 데이터 흐름을 표시하였다.In Figures 7 and 8 illustrating embodiments for this, the left part shown with dashed blocks represents active security sensors 71, 81, and the right part shown with dashed blocks shows intelligent electronic equipment 73, 83. These figures show the data flow when one NSM object consists of two or more IEC 61850 data combinations.

NSM ObjectNSM Object Extraction fromExtraction from DescriptionDescription EndLstEndLst LPHD.PhyHealth, NumPwrUp,
PwrUp, PwrDn (DO)LPHD.PhyHealth, NumPwrUp,
PwrUp, PwrDn (DO) List of end systems connected in network List of end systems connected in network ACLLstACLLst GSAL (LN)GSAL (LN) Monitoring security violation regarding authorization, access control, inactive associationMonitoring security violation regarding authorization, access control, inactive association EndDctEndDct LPHD.PwrUp, PwrDn (DO)LPHD.PwrUp, PwrDn (DO) Detection of connect or disconnect of an end deviceDetection of connect or disconnect of an end device NodSetNodset GenDataObjectClass service (SVC)GenDataObjectClass service (SVC) Writing values of data object in a LNWriting values of data object in a LN NodRsNodRs LLN0.LEDRs (DO)LLN0.LEDRs (DO) Reset all LED, true causes reset to occurReset all LED, true causes reset to occur PthLogPthLog Log service (SVC)Log service (SVC) Log of all path configuration changes Log of all path configuration changes NodLogNodlog Log service (SVC)Log service (SVC) Log of all equipment status changesLog of all equipment status changes TimSyncAlmTimSyncAlm LTMS (LN)LTMS (LN) Supervision of the time synchronizationSupervision of the time synchronization BufOvrfAlmBufOvrfAlm LPHD.OutOv, InOv (DO) LPHD.OutOv, InOv (DO) Output and input communications buffer overflowOutput and input communications buffer overflow

먼저, 도 7을 참조하면 위에 표 1에 서술된 것처럼, NSM 오브젝트 데이터의 EndLst(End device list)는 지능형 전자 장비(73)의 오브젝트 데이터에 포함된 LPHD(Physical Device Information, 물리 디바이스 정보) 논리 노드의 4개 데이터 오브젝트(PhyHealth, NumPwrUp, PwrUp, PwrDn)의 조합으로 구성된다. 효과적인 처리를 위하여 ACSI에 포함된 DataSet 클래스를 활용하여, 4개 데이터 오브젝트(PhyHealth, NumPwrUp, PwrUp, PwrDn)를 하나의 데이터 그룹으로 만들고, 능동형 보안센서(Active Security Agent)의 요청이 있을 시, DataSet클래스가 지원하는 GetDataSetValue서비스로 해당 데이터를 전송한다. 여기서, GetDataSetValue는 ACSI가 지원하는 프로토콜 중 하나로서, 데이터의 전송에 사용된다. 그런데, NSM EndLst는 디지털변전소 내에 있는 단말장치의 현황을 실시간으로 관리해야 하기 때문에 능동형 보안센서가 일정주기로 EndLst를 업데이트할 수 있지만, 대부분의 단말장치 리스트는 변경 없는 상태로 운영되어 불필요한 패킷의 송수신을 만들어 낼 수 있다. 이러한, 비효율적인 부분을 개선하기 위해서 ACSI에 포함된 Report 기능을 도입할 수 있다. 도 7의 점선 화살표로 도시된 것처럼, DataSet으로 구성된 데이터를 BRCB내 Event Monitor가 감시하여 지능형 전자 장치에 대한 데이터 변경이 있을 때에만, 지정된 데이터를 능동형 보안센서로 전송하여 EndLst를 업데이트 한다. 여기서 서술된 용어 BRCB는 IEC 61850에 포함된 방식으로서, 데이터를 감시 및 보고를 수행하는 기능을 한다.First, referring to FIG. 7, as described in Table 1 above, an End device list (EndLst) of NSM object data is an LPHD (Physical Device Information) logical node included in object data of the intelligent electronic device 73. It consists of a combination of four data objects (PhyHealth, NumPwrUp, PwrUp, PwrDn). For effective processing, the DataSet class included in ACSI is used to make four data objects (PhyHealth, NumPwrUp, PwrUp, PwrDn) into one data group, and upon request of an active security agent, the DataSet Send the data to the GetDataSetValue service supported by the class. Here, GetDataSetValue is one of the protocols supported by ACSI and is used for data transmission. By the way, NSM EndLst needs to manage the status of the terminal devices in the digital substation in real time, so the active security sensor can update EndLst at regular intervals, but most terminal device lists remain unchanged to send and receive unnecessary packets. I can make it. To improve this inefficient part, the Report function included in ACSI can be introduced. As shown by the dotted arrows in FIG. 7, the Event Monitor in the BRCB monitors the data composed of the DataSet and updates EndLst by transmitting the designated data to the active security sensor only when there is a data change for the intelligent electronic device. The term BRCB described here is a method included in IEC 61850 that functions to monitor and report on data.

NSM ObjectNSM Object Extraction fromExtraction from DescriptionDescription EndOIEndOI LNReference (SVC)LNReference (SVC) Object Reference (identifier) of the LNObject Reference (identifier) of the LN NetOILstNetoilst ITPC.EEHealth (DO)ITPC.EEHealth (DO) The state of the communication channelThe state of the communication channel EndOILstEndOILst LCCH.ChLiv (DO)LCCH.ChLiv (DO) Physical channel status; true if channel receives telegrams within a specified time intervalPhysical channel status; true if channel receives telegrams within a specified time interval AppDatSt, DataInvAlmAppDatSt, DataInvAlm Q (quality) (CDC)Q (quality) (CDC) Attribute Quality has validity informationAttribute Quality has validity information CntInvAlmCntInvAlm opRcvd, (t)opOk (CDC)opRcvd, (t) opOk (CDC) Attribute opRcvd, (t)opOk has the information of control command validity.Attribute opRcvd, (t) opOk has the information of control command validity. NetSt, NetAlmNetSt, NetAlm ITPC.LosSyn (DO)ITPC.LosSyn (DO) Loss of Synchronism (No communication is possible)Loss of Synchronism (No communication is possible) AppStAppst Common LN.Beh, Mod (DO)Common LN.Beh, Mod (DO) Application behavior and mode controlsApplication behavior and mode controls EndStEndst EEHealth (DO)EEHealth (DO) Reflecting the state of external equipmentReflecting the state of external equipment EndStrCntEndStrCnt GSAL.NumCntRs (DO)GSAL.NumCntRs (DO) Number of counter resetsNumber of counter resets EndLogEndLog Log service (SVC)Log service (SVC) Log of all significant events in end system (implementation-dependent)Log of all significant events in end system (implementation-dependent)

또한, 위에 표 2를 참조하면, NSM 오브젝트 데이터인 PwrOnAlm는 LPHD 논리 노드의 데이터 오브젝트(PwrUp)로 구성된다는 것을 알 수 있다. 따라서, NSM 오브젝트 데이터인 PwrOnAlm의 추출에 지능형 전자 장비의 PwrUp이 사용된다는 것을 알 수 있다.In addition, referring to Table 2 above, it can be seen that PwrOnAlm, which is NSM object data, is composed of a data object PwrUp of an LPHD logical node. Therefore, it can be seen that PwrUp of intelligent electronic equipment is used to extract PwrOnAlm, which is NSM object data.

또 다른 데이터 추출 방법에 따른 일 실시예는 도 8에 도시된다. NSM NetOILst(Network Object Identifier List)를 ITPC(Teleprotection communication interface)의 EEHealth 데이터 오브젝트를 수신하여, 해당되는 자료들을 업데이트할 수 있다.(하기 표 3 참조).  One embodiment according to another data extraction method is shown in FIG. 8. NSM NetOILst (Network Object Identifier List) can receive the EEHealth data object of the teleprotection communication interface (ITPC), it is possible to update the corresponding data (see Table 3 below).

NSM ObjectNSM Object Extraction fromExtraction from DescriptionDescription BufOvCnt, BufOvAlmBufOvCnt, BufOvAlm LPHD.OutOv & InOv (DO)LPHD.OutOv & InOv (DO) Output and input communications buffer overflowOutput and input communications buffer overflow PwrLosCnt, PwrLosAlmPwrLosCnt, PwrLosAlm LPHD.PwrSupAlm (DO)LPHD.PwrSupAlm (DO) External power supply alarmExternal power supply alarm PwrOnAlmPwrOnAlm LPHD.PwrUp (DO)LPHD.PwrUp (DO) Power-up detectionPower-up detection ComLosCntComLosCnt ITPC.LosSig (DO)ITPC.LosSig (DO) No signal alarm, indicate a channel problemNo signal alarm, indicate a channel problem Syntmms, SynAlmSyntmms, SynAlm LTMS (LN)LTMS (LN) Supervision of the time synchronizationSupervision of the time synchronization

도 8은 ITPC EEHealth가 ENS(Enumerated status)라는 CDC 형태의 데이터임을 표시하고, ACSI의 GetDataValue 서비스를 통하여 능동형 보안센서가 데이터를 수집하는 방법을 나타낸다. 물론, DataSet으로 구성된 도 7의 경우와 같이, ACSI의 Report기능을 활용하여 실시간 데이터를 수집할 수도 있다.FIG. 8 shows that ITPC EEHealth is data in the form of CDC called Enumerated Status (ENS), and shows how the active security sensor collects data through the GetDataValue service of ACSI. Of course, as in the case of Figure 7 composed of a DataSet, it is also possible to collect real-time data by using the Report function of the ACSI.

이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.As described above, an optimal embodiment has been disclosed in the drawings and specification. Although specific terms have been employed herein, they are used for purposes of illustration only and are not intended to limit the scope of the invention as defined in the claims or the claims. Therefore, those skilled in the art will understand that various modifications and equivalent other embodiments are possible from this. Accordingly, the true scope of the present invention should be determined by the technical idea of the appended claims.

100 : 디지털 변전소 110 : 스테이션 레벨
111 : 능동형 보안 센싱 장치 120 : 베이 레벨
210 : 스테이션 레벨 침입 탐지부
220 : 베이 레벨 침입 탐지부
230 : 감사 기록부 240 : 이상 징후 판단부100: digital substation 110: station level
111: active security sensing device 120: bay level
210: station level intrusion detection unit
220: bay level intrusion detection unit
230: audit log 240: abnormal signs determination unit

Claims (20)

HMI 시스템과 지능형 전자 장비 간의 통신과 디지털 변전소 내부 및 외부 간의 통신에 사용되는 스테이션 레벨의 네트워크 이상행위를 탐지하여, 비정상 트래픽을 도출하는 스테이션 레벨 침입 탐지부;
상기 지능형 전자 장비 간의 통신에 사용되는 베이 레벨의 네트워크 이상행위를 탐지하여 상기 지능형 전자 장비의 상태정보 및 제 1 NSM(Network System Management) 오브젝트 데이터를 도출하는 베이 레벨 침입 탐지부; 및
상기 비정상 트래픽, 상기 지능형 전자 장비의 상태정보 및 상기 제 1 NSM 오브젝트 데이터 간의 상호 연관 분석에 기초하여 이상징후를 최종 판단하는 이상징후 판단부를 포함하고,
상기 스테이션 레벨 침입 탐지부는,
상기 디지털 변전소의 내부 및 외부의 네트워크와 상기 HMI 시스템 및 상기 지능형 전자장비로부터 네트워크 트래픽 특성 및 상태정보를 수집하고 모니터링하는 네트워크 패킷 수집부;
통신 건전성 관리정보 및 침입 탐지 시스템(IDS) 관리정보를 포함하는 제 2 NSM 오브젝트 데이터를 추출하고 모니터링하는 제 2 NSM 오브젝트 탐지부;
상기 네트워크 트래픽 특성과 상기 제 2 NSM 오브젝트 데이터의 트래픽 패턴을 자체적으로 학습 및 탐지하고, 상기 탐지된 트래픽 패턴을 학습 트래픽 패턴 데이터베이스에 저장하는 트래픽 패턴 학습부; 및
상기 트래픽 데이터를 이상징후 의심 관측 상태별로 분류하여 비정상 트래픽을 도출하는 비정상 트래픽 판단부를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.A station level intrusion detection unit for detecting a network abnormal behavior of a station level used for communication between the HMI system and intelligent electronic equipment and communication between inside and outside the digital substation, to derive abnormal traffic;
A bay level intrusion detection unit for detecting a network abnormal behavior at a bay level used for communication between the intelligent electronic devices to derive state information of the intelligent electronic device and first network system management (NSM) object data; And
And an abnormal symptom determination unit configured to finally determine an abnormal symptom based on the correlation analysis between the abnormal traffic, the state information of the intelligent electronic equipment, and the first NSM object data.
The station level intrusion detection unit,
A network packet collecting unit for collecting and monitoring network traffic characteristics and status information from the internal and external networks of the digital substation, the HMI system, and the intelligent electronic equipment;
A second NSM object detection unit configured to extract and monitor second NSM object data including communication health management information and intrusion detection system (IDS) management information;
A traffic pattern learner which learns and detects the network traffic characteristic and the traffic pattern of the second NSM object data by itself and stores the detected traffic pattern in a learning traffic pattern database; And
And an abnormal traffic determination unit for classifying the traffic data by suspected abnormal symptoms and deriving abnormal traffic, and real-time security auditing and abnormal symptom detection of a digital substation. 제1항에 있어서,
상기 베이 레벨 침입 탐지부는,
상기 지능형 전자 장비로부터 상태정보를 수집하는 단말장치 상태정보 수집부; 및
단말장치 건전성 관리정보를 포함하는 제 1 NSM 오브젝트 데이터를 추출하는 제 1 NSM 오브젝트 탐지부를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.The method of claim 1,
The bay level intrusion detection unit,
A terminal device state information collecting unit collecting state information from the intelligent electronic device; And
Terminal device comprising a first NSM object detection unit for extracting the first NSM object data including health management information, active security sensing device for real-time security audit and abnormal symptoms detection of the digital substation. 삭제delete 제1항에 있어서,
학습 트래픽 패턴 데이터베이스에 기록된 트래픽 패턴과 상기 탐지된 트래픽 패턴을 비교하여, 상기 탐지된 트래픽 패턴이 정상인지를 판별하는 픽 위너(pick winner) 알고리즘이 상기 학습 트래픽 패턴 데이터베이스의 구축에 사용되는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.The method of claim 1,
A pick winner algorithm for comparing the detected traffic pattern with the traffic pattern recorded in the learning traffic pattern database and determining whether the detected traffic pattern is normal is used to construct the learning traffic pattern database. Active security sensing device for real-time security audit and abnormal symptoms detection of the digital substation. 제1항에 있어서,
상기 통신 건전성 관리정보는,
단말장치 간에 허용된 최대 세션 연결 수, 동시에 사용되고 있는 단말 연결 수와 최대 연결 초과 수, 네트워크에서 부적절한 시간동기화 탐지, 변형/기형 프로토콜 메시지 탐지, 및 다중 시스템에 가해지는 계획된 공격 탐지를 위한 향상 지원 중 적어도 하나를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.The method of claim 1,
The communication soundness management information,
Improvements for the maximum number of session connections allowed between terminal devices, the number of concurrently used terminal connections and the maximum number of connections exceeded, the detection of inappropriate time synchronization in the network, the detection of malformed / deformed protocol messages, and the detection of planned attacks against multiple systems. Active security sensing device for real-time security audit and abnormal symptoms detection of the digital substation, characterized in that it comprises at least one. 제2항에 있어서,
상기 단말장치 건전성 관리정보는,
인가된 사용자 리스트를 기반으로 비인가된 사용자의 연결 또는 데이터 전송 탐지, 단말장치 응용프로그램에 유효하지 않은 데이터, 유효하지 않은 데이터 요청, 유효하지 않은 제어명령어 탐지 등이 저장된 감사로그, 단말의 CPU 및 메모리 리소스 상태(Sudden increase 감지), 단말 장치의 정지와 재시작, 응용프로그램의 정지와 재시작, 최소 및 최대 유휴(idle) 시간 초과, 및 특정 시간 동안의 실제 유휴 시간 중 적어도 하나를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.3. The method of claim 2,
The terminal device health management information,
Audit log that stores connection or data transmission of unauthorized user based on authorized user list, invalid data, invalid data request, invalid control command detection, etc. in terminal device application, CPU and memory of terminal At least one of resource status (Sudden increase detection), stopping and restarting of the terminal device, stopping and restarting an application, minimum and maximum idle timeouts, and actual idle time for a specific time period. Active Sensing Device for Real-time Security Audit and Anomaly Detection of Digital Substation. 제1항에 있어서,
상기 트래픽 패턴 학습부 및 상기 비정상 트래픽 판단부에서 데이터베이스를 이용한 이상 징후에 대한 의심 관측이 수행되는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.The method of claim 1,
Active traffic sensing device for real-time security audit and abnormal symptoms detection of the digital substation, characterized in that the suspicious observation of abnormal signs using a database is performed in the traffic pattern learning unit and the abnormal traffic determination unit. 제1항에 있어서,
상기 지능형 전자 장비로부터 상태정보와 제 1 NSM 오브젝트 데이터를 그리고 상기 HMI 시스템과 상기 지능형 전자 장비로부터 제 2 NSM 오브젝트 데이터를 추출할 때,
상기 지능형 전자 장비로부터 추출하고자 하는 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터에 대응하는 지능형 전자 장비 내에 포함된 지능형 전자 장비 오브젝트들을, 추상 통신 서비스 인터페이스(ACSI: Abstract Communication Service Interface)에 포함된 DataSet 기능을 이용하여 데이터 그룹으로 묶고, 상기 추상 통신 서비스 인터페이스의 GetDataSetValue 기능을 이용하여 상기 데이터 그룹을 상기 능동형 보안 센싱 장치로 전송하여 추출이 이루어지는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.The method of claim 1,
When extracting state information and first NSM object data from the intelligent electronic equipment and second NSM object data from the HMI system and the intelligent electronic equipment,
DataSet included in an Abstract Communication Service Interface (ACSI) for intelligent electronic device objects included in the intelligent electronic device corresponding to the first NSM object data and the second NSM object data to be extracted from the intelligent electronic device. By using a function grouping the data group, and using the GetDataSetValue function of the abstract communication service interface to extract the data group to the active security sensing device, real-time security audit and abnormal symptoms detection of the digital substation Active Security Sensing Device. 제8항에 있어서,
HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상기 상태정보, 상기 제 1 NSM 오브젝트 데이터 및 상기 제 2 NSM 오브젝트 데이터를 갱신할 때, 추상 통신 서비스 인터페이스에 포함된 Report 기능을 이용하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.9. The method of claim 8,
When updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, characterized in that using the Report function included in the abstract communication service interface, Active security sensing device for real time security audit and anomaly detection of digital substation. 제8항에 있어서,
HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상기 상태정보, 상기 제 1 NSM 오브젝트 데이터 및 상기 제 2 NSM 오브젝트 데이터를 갱신할 때, 지능형 전자 장비로부터 EEHealth 데이터 오브젝트를 수신하여 해당되는 자료를 갱신하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치.9. The method of claim 8,
When updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, receiving the EEHealth data object from the intelligent electronic equipment to update the corresponding data Active security sensing device for real-time security audit and abnormal symptoms detection of the digital substation. HMI 시스템과 지능형 전자 장비 간의 통신과 디지털 변전소 내부 및 외부 간의 통신에 사용되는 스테이션 레벨의 네트워크 이상행위를 탐지하여, 비정상 트래픽을 도출하는 단계;
상기 지능형 전자 장비 간의 통신에 사용되는 베이 레벨의 네트워크 이상행위를 탐지하여 상기 지능형 전자 장비의 상태정보 및 제 1 NSM 오브젝트 데이터를 도출하는 단계; 및
상기 비정상 트래픽, 상기 지능형 전자 장비의 상태정보 및 상기 제 1 NSM 오브젝트 데이터 간의 상호 연관 분석에 기초하여 이상징후를 최종 판단하는 단계를 포함하고,
상기 비정상 트래픽을 도출하는 단계는,
상기 디지털 변전소의 내부 및 외부의 네트워크와 상기 HMI 시스템 및 상기 지능형 전자장비로부터 네트워크 트래픽 특성 및 상태정보를 수집하고 모니터링하는 단계;
통신 건전성 관리정보 및 침입 탐지 시스템(IDS) 관리정보를 포함하는 제 2 NSM 오브젝트 데이터를 추출하고 모니터링하는 단계;
상기 네트워크 트래픽 특성과 상기 제 2 NSM 오브젝트 데이터의 트래픽 패턴을 자체적으로 학습 및 탐지하고, 상기 탐지된 트래픽 패턴을 학습 트래픽 패턴 데이터베이스에 저장하는 트래픽 패턴의 학습 및 탐지 단계; 및
상기 트래픽 데이터를 이상징후 의심 관측 상태별로 분류하여 비정상 트래픽을 도출하는 단계를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.Detecting abnormal traffic at a station level used for communication between the HMI system and the intelligent electronic equipment and between the inside and the outside of the digital substation to derive abnormal traffic;
Deriving state information and first NSM object data of the intelligent electronic device by detecting a network abnormal behavior at a bay level used for communication between the intelligent electronic devices; And
And finally determining an abnormal symptom based on the correlation analysis between the abnormal traffic, the state information of the intelligent electronic equipment, and the first NSM object data.
Deriving the abnormal traffic,
Collecting and monitoring network traffic characteristics and status information from the internal and external networks of the digital substation, the HMI system, and the intelligent electronic equipment;
Extracting and monitoring second NSM object data including communication health management information and intrusion detection system (IDS) management information;
Learning and detecting the traffic patterns and the traffic patterns of the second NSM object data by itself and learning and detecting the traffic patterns in a learning traffic pattern database; And
And classifying the traffic data by suspected abnormal symptoms and deriving abnormal traffic. The active security sensing method for real-time security audit and abnormal symptom detection of a digital substation. 제11항에 있어서,
상기 지능형 전자 장비의 상태정보 및 제 1 NSM 오브젝트 데이터를 도출하는 단계는,
상기 지능형 전자 장비로부터 상태정보를 수집하는 단계; 및
단말장치 건전성 관리정보를 포함하는 제 1 NSM 오브젝트 데이터를 추출하는 단계를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.12. The method of claim 11,
Deriving the state information and the first NSM object data of the intelligent electronic device,
Collecting state information from the intelligent electronic device; And
And extracting first NSM object data including terminal device soundness management information. The active security sensing method for real-time security auditing and abnormal symptom detection of a digital substation. 삭제delete 제11항에 있어서,
학습 트래픽 패턴 데이터베이스에 기록된 트래픽 패턴과 상기 탐지된 트래픽 패턴을 비교하여, 상기 탐지된 트래픽 패턴이 정상인지를 판별하는 픽 위너 알고리즘이 상기 학습 트래픽 패턴 데이터베이스의 구축에 사용되는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.12. The method of claim 11,
Characterized in that a pick winner algorithm for comparing the detected traffic pattern with the traffic pattern recorded in the learning traffic pattern database and determining whether the detected traffic pattern is normal is used to construct the learning traffic pattern database. Active security sensing method for real-time security audit and abnormal symptom detection of substation. 제11항에 있어서,
상기 통신 건전성 관리정보는,
단말장치 간에 허용된 최대 세션 연결 수, 동시에 사용되고 있는 단말 연결 수와 최대 연결 초과 수, 네트워크에서 부적절한 시간동기화 탐지, 변형/기형 프로토콜 메시지 탐지, 및 다중 시스템에 가해지는 계획된 공격 탐지를 위한 향상 지원 중 적어도 하나를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.12. The method of claim 11,
The communication soundness management information,
Improvements for the maximum number of session connections allowed between terminal devices, the number of concurrently used terminal connections and the maximum number of connections exceeded, the detection of inappropriate time synchronization in the network, the detection of malformed / deformed protocol messages, and the detection of planned attacks against multiple systems. Active security sensing method for real-time security audit and abnormal symptoms detection of the digital substation, characterized in that it comprises at least one. 제12항에 있어서,
상기 단말장치 건전성 관리정보는,
인가된 사용자 리스트를 기반으로 비인가된 사용자의 연결 또는 데이터 전송 탐지, 단말장치 응용프로그램에 유효하지 않은 데이터, 유효하지 않은 데이터 요청, 유효하지 않은 제어명령어 탐지 등이 저장된 감사로그, 단말의 CPU 및 메모리 리소스 상태(Sudden increase 감지), 단말 장치의 정지와 재시작, 응용프로그램의 정지와 재시작, 최소 및 최대 유휴(idle) 시간 초과, 및 특정 시간 동안의 실제 유휴 시간 중 적어도 하나를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.The method of claim 12,
The terminal device health management information,
Audit log that stores connection or data transmission of unauthorized user based on authorized user list, invalid data, invalid data request, invalid control command detection, etc. in terminal device application, CPU and memory of terminal At least one of resource status (Sudden increase detection), stopping and restarting of the terminal device, stopping and restarting an application, minimum and maximum idle timeouts, and actual idle time for a specific time period. Active Security Sensing Method for Real-time Security Audit and Anomaly Detection of Digital Substation. 제11항에 있어서,
상기 이상징후를 최종 판단하는 단계와 상기 트래픽 패턴의 학습 및 탐지 단계는 데이터베이스를 이용한 이상 징후에 대한 의심 관측 단계를 포함하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.12. The method of claim 11,
The final determination of the abnormal symptoms and the learning and detection of the traffic patterns include suspicious observation of abnormal symptoms using a database. Active security for real-time security audit and abnormal symptom detection of a digital substation. Sensing method. 제11항에 있어서,
상기 지능형 전자 장비로부터 상태정보와 제 1 NSM 오브젝트 데이터를 그리고 상기 HMI 시스템과 상기 지능형 전자 장비로부터 제 2 NSM 오브젝트 데이터를 추출할 때,
상기 지능형 전자 장비로부터 추출하고자 하는 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터에 대응하는 지능형 전자 장비 내에 포함된 지능형 전자 장비 오브젝트들을, 추상 통신 서비스 인터페이스에 포함된 DataSet 기능을 이용하여 데이터 그룹으로 묶는 단계; 및
상기 추상 통신 서비스 인터페이스의 GetDataSetValue 기능을 이용하여 상기 데이터 그룹을 상기 능동형 보안 센싱 장치로 전송하는 단계를 통해 추출이 이루어지는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.12. The method of claim 11,
When extracting state information and first NSM object data from the intelligent electronic equipment and second NSM object data from the HMI system and the intelligent electronic equipment,
The intelligent electronic device objects included in the intelligent electronic device corresponding to the first NSM object data and the second NSM object data to be extracted from the intelligent electronic device are grouped into a data group using a DataSet function included in an abstract communication service interface. step; And
Extraction is performed by transmitting the data group to the active security sensing device by using the GetDataSetValue function of the abstract communication service interface. The active security sensing method for real-time security auditing and abnormal symptom detection of a digital substation. . 제18항에 있어서,
HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상태정보, 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터를 갱신할 때, 추상 통신 서비스 인터페이스에 포함된 Report 기능을 이용하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.19. The method of claim 18,
When updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, the Report function included in the abstract communication service interface, characterized in that Active security sensing method for real-time security audit and anomaly detection. 제18항에 있어서,
HMI 시스템과 지능형 전자 장비 중 적어도 하나로부터 추출된 상태정보, 제 1 NSM 오브젝트 데이터 및 제 2 NSM 오브젝트 데이터를 갱신할 때, 지능형 전자 장비로부터 EEHealth 데이터 오브젝트를 수신하여 해당되는 자료를 갱신하는 것을 특징으로 하는, 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 방법.

19. The method of claim 18,
When updating the state information, the first NSM object data and the second NSM object data extracted from at least one of the HMI system and intelligent electronic equipment, receiving the EEHealth data object from the intelligent electronic equipment to update the corresponding data Active security sensing method for real-time security audit and abnormal symptom detection of digital substation.

KR1020120101340A 2012-09-13 2012-09-13 Active security sensing device and method for intrusion detection and audit of digital substation KR101375813B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020120101340A KR101375813B1 (en) 2012-09-13 2012-09-13 Active security sensing device and method for intrusion detection and audit of digital substation

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120101340A KR101375813B1 (en) 2012-09-13 2012-09-13 Active security sensing device and method for intrusion detection and audit of digital substation

Publications (1)

Publication Number Publication Date
KR101375813B1 true KR101375813B1 (en) 2014-03-20

Family

ID=50649045

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120101340A KR101375813B1 (en) 2012-09-13 2012-09-13 Active security sensing device and method for intrusion detection and audit of digital substation

Country Status (1)

Country Link
KR (1) KR101375813B1 (en)

Cited By (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107517205A (en) * 2017-08-14 2017-12-26 浙江大学 Intelligent substation exception flow of network detection model construction method based on probability
US10192418B1 (en) 2018-06-11 2019-01-29 Geoffrey M. Kern System and method for perimeter security
US10200409B2 (en) 2016-04-07 2019-02-05 Korea Electric Power Corporation Apparatus and method for security policy management
CN110113336A (en) * 2019-05-06 2019-08-09 四川英得赛克科技有限公司 A kind of exception of network traffic analysis and recognition methods for substation network environment
WO2019177264A1 (en) * 2018-03-14 2019-09-19 마인드서프 주식회사 Method for analyzing multilayer-based network traffic visualization
KR102145421B1 (en) 2019-03-11 2020-08-18 김춘래 Digital substation with smart gateway
KR20200108804A (en) 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR20200108803A (en) 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
CN112039207A (en) * 2020-09-03 2020-12-04 广东电网有限责任公司 Method for checking and accepting protection and measurement and control information of substation bay level
CN114301621A (en) * 2021-11-17 2022-04-08 北京智芯微电子科技有限公司 Intelligent substation and network communication safety control method and device thereof
CN114362368A (en) * 2021-12-31 2022-04-15 湖南大学 Method and system for monitoring abnormal network flow behaviors of intelligent substation
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system
CN116846060A (en) * 2023-03-08 2023-10-03 国网江苏省电力有限公司淮安供电分公司 Working condition safety learning system of IEC61850 intelligent substation

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
카달로그1(2003)
카달로그2(2010)
카달로그3(2007)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10200409B2 (en) 2016-04-07 2019-02-05 Korea Electric Power Corporation Apparatus and method for security policy management
CN107517205A (en) * 2017-08-14 2017-12-26 浙江大学 Intelligent substation exception flow of network detection model construction method based on probability
CN107517205B (en) * 2017-08-14 2020-06-30 浙江大学 Intelligent substation network abnormal flow detection model construction method based on probability
WO2019177264A1 (en) * 2018-03-14 2019-09-19 마인드서프 주식회사 Method for analyzing multilayer-based network traffic visualization
US10192418B1 (en) 2018-06-11 2019-01-29 Geoffrey M. Kern System and method for perimeter security
KR102145421B1 (en) 2019-03-11 2020-08-18 김춘래 Digital substation with smart gateway
CN110113336A (en) * 2019-05-06 2019-08-09 四川英得赛克科技有限公司 A kind of exception of network traffic analysis and recognition methods for substation network environment
KR20200108803A (en) 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR20200108804A (en) 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR102160537B1 (en) 2020-07-31 2020-09-28 김춘래 Digital substation with smart gateway
KR102160539B1 (en) 2020-07-31 2020-09-28 김춘래 Digital substation with smart gateway
CN112039207A (en) * 2020-09-03 2020-12-04 广东电网有限责任公司 Method for checking and accepting protection and measurement and control information of substation bay level
CN112039207B (en) * 2020-09-03 2022-02-11 广东电网有限责任公司 Method for checking and accepting protection and measurement and control information of substation bay level
CN114301621A (en) * 2021-11-17 2022-04-08 北京智芯微电子科技有限公司 Intelligent substation and network communication safety control method and device thereof
CN114362368A (en) * 2021-12-31 2022-04-15 湖南大学 Method and system for monitoring abnormal network flow behaviors of intelligent substation
CN114362368B (en) * 2021-12-31 2024-04-16 湖南大学 Intelligent substation network flow abnormal behavior monitoring method and system
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system
CN116846060A (en) * 2023-03-08 2023-10-03 国网江苏省电力有限公司淮安供电分公司 Working condition safety learning system of IEC61850 intelligent substation

Similar Documents

Publication Publication Date Title
KR101375813B1 (en) Active security sensing device and method for intrusion detection and audit of digital substation
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
Kwon et al. A behavior-based intrusion detection technique for smart grid infrastructure
Zhe et al. DoS attack detection model of smart grid based on machine learning method
CN113037745A (en) Intelligent substation risk early warning system and method based on security situation awareness
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN114584405A (en) Electric power terminal safety protection method and system
CN108337219A (en) A kind of method and storage medium of Internet of Things anti-intrusion
CN116319061A (en) Intelligent control network system
CN106878339A (en) A kind of vulnerability scanning system and method based on internet-of-things terminal equipment
Skopik et al. synERGY: Cross-correlation of operational and contextual data to timely detect and mitigate attacks to cyber-physical systems
CN115865526A (en) Industrial internet security detection method and system based on cloud edge cooperation
Sen et al. Towards an approach to contextual detection of multi-stage cyber attacks in smart grids
CN111885020A (en) Network attack behavior real-time capturing and monitoring system with distributed architecture
RU2703329C1 (en) Method of detecting unauthorized use of network devices of limited functionality from a local network and preventing distributed network attacks from them
CN114650166B (en) Fusion anomaly detection system for open heterogeneous network
Rinaldi et al. Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
TW202008758A (en) Decentralized network flow analysis approach and system for malicious behavior detection
Rakas et al. Intrusion detection systems in smart grid
Kadam et al. Various approaches for intrusion detection system: an overview
Jiang et al. Design and practice of industrial control network security threat model
CN112637118A (en) Flow analysis implementation method based on internal and external network drainage abnormity
Qassim et al. An anomaly detection technique for deception attacks in industrial control systems
Li et al. Overview of Intrusion Detection in Smart Substation

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170303

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20190219

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20200219

Year of fee payment: 7