KR101991127B1 - Method and apparatus for translating protocols while detecting abnormal activities - Google Patents

Method and apparatus for translating protocols while detecting abnormal activities Download PDF

Info

Publication number
KR101991127B1
KR101991127B1 KR1020170014931A KR20170014931A KR101991127B1 KR 101991127 B1 KR101991127 B1 KR 101991127B1 KR 1020170014931 A KR1020170014931 A KR 1020170014931A KR 20170014931 A KR20170014931 A KR 20170014931A KR 101991127 B1 KR101991127 B1 KR 101991127B1
Authority
KR
South Korea
Prior art keywords
control
control signal
protocol
header
rules
Prior art date
Application number
KR1020170014931A
Other languages
Korean (ko)
Other versions
KR20180090037A (en
Inventor
손태식
권성문
Original Assignee
아주대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교 산학협력단 filed Critical 아주대학교 산학협력단
Priority to KR1020170014931A priority Critical patent/KR101991127B1/en
Publication of KR20180090037A publication Critical patent/KR20180090037A/en
Application granted granted Critical
Publication of KR101991127B1 publication Critical patent/KR101991127B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)

Abstract

비정상행위를 탐지하는 프로토콜 변환 방법을 제공한다. 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 사용자의 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계; 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계를 포함한다.Provides a protocol conversion method for detecting abnormal behavior. A protocol conversion method for detecting an abnormal behavior according to an embodiment of the present invention is a method for converting a protocol between a client using a first protocol of a user and a plurality of servers using a second protocol, Receiving a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each server of the first protocol; Wherein the control unit determines whether or not to permit the control signal based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices by using at least one of a header and a payload constituting the control signal ; And transmitting a conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers when the control signal is allowed.

Description

비정상행위를 탐지하는 프로토콜 변환 방법 및 장치{METHOD AND APPARATUS FOR TRANSLATING PROTOCOLS WHILE DETECTING ABNORMAL ACTIVITIES}[0001] METHOD AND APPARATUS FOR TRANSLATING PROTOCOLS [0002] WHILE DETECTING ABNORMAL ACTIVITIES [

본 발명은 상이한 프로토콜을 사용하는 기기 간에, 허용되지 않는 비정상행위를 탐지하면서 프로토콜을 변환하는 방법 및 장치에 관한 것이다.The present invention relates to a method and apparatus for converting protocols while detecting unacceptable behaviors between devices using different protocols.

종래의 프로토콜 변환 방법 및 장치는 그 양단에서 상이한 프로토콜을 사용하는 기기가 각자 사용하는 프로토콜에서 지원하는 보안 수준에 따라 암호화 및 인증과 같은 보안 기능을 제공하고 있었다.Conventional protocol conversion methods and devices have provided security functions such as encryption and authentication according to the level of security supported by the protocols used by devices using different protocols at both ends thereof.

그러나, 그 양단의 기기가 외부 공격에 의해 영향을 받은 경우, 기존의 보안 기능은 심지어 비정상적인 명령일지라도 그 명령을 그대로 다른 기기에게 포워딩할 수 있어, 경우에 따라서는 전체 시스템에 심각한 피해가 초래될 수 있다.However, if the devices at both ends are affected by an external attack, existing security functions can even forward the command to another device, even if it is an abnormal command, and in some cases can cause serious damage to the entire system have.

따라서, 이와 같은 비정상적인 명령에 대한 새로운 탐지 방법이 요구되고 있으나, 기존 방법의 경우 오탐율이 높아 활용이 어려우며, 프로토콜 변환 장치의 외부에서의 추가적인 개발이 필요한 난점이 있어 왔다.Therefore, there is a need for a new detection method for such an abnormal command, but the conventional method has a drawback that it is difficult to utilize it because of a high false-positive rate, and there is a need to further develop the protocol conversion apparatus from the outside.

이러한 문제를 해결하기 위하여, 프로토콜 변환 장치의 내부에 적용되어 효과적으로 비정상행위를 탐지할 수 있는 프로토콜 변환 방법 및 장치에 대한 필요성이 대두되고 있다.In order to solve such a problem, there is a need for a protocol conversion method and apparatus that can be effectively applied to the inside of a protocol conversion apparatus to detect an abnormal behavior.

관련 선행기술로는 대한민국 공개특허공보 제10-2013-0081035호(발명의 명칭: 프로토콜 변환 장치 및 방법, 공개일자: 2013년 7월 16일)가 있다.A related prior art is Korean Patent Laid-Open Publication No. 10-2013-0081035 entitled " Protocol conversion apparatus and method, public date: July 16, 2013].

본 발명은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 비정상행위를 탐지할 수 있는 프로토콜 변환 방법 및 장치를 제공하고자 한다.The present invention provides a protocol conversion method and apparatus capable of detecting an abnormal behavior when a data transmission command or a control command is transmitted and received between devices using different protocols.

본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved by the present invention are not limited to the above-mentioned problem (s), and another problem (s) not mentioned can be clearly understood by those skilled in the art from the following description.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서, 수신부가, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계; 판단부가, 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및 전송부가, 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계를 포함한다.According to another aspect of the present invention, there is provided a protocol conversion method for detecting an abnormal behavior, the method comprising: converting a protocol between a client using a first protocol and a plurality of servers using a second protocol, Receiving a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client; Wherein the control unit is configured to control the plurality of devices based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices by using at least one of a header and a payload constituting the control signal, Determining whether or not to permit the authentication; And transmitting a transmission control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers when the control signal is permitted.

바람직하게는, 상기 제어신호의 허용 여부를 판단하는 단계는 상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하는 단계; 상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하는 단계; 및 상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 단계를 포함할 수 있다.Preferably, the step of determining whether the control signal is allowed or not includes the steps of: analyzing the received control signal and classifying the received control signal into a header and a payload; Retrieving a rule corresponding to the header and the payload from the plurality of control rules; And determining whether the control signal is allowed according to the search result.

바람직하게는, 상기 복수의 제어규칙은 상기 제1 프로토콜의 제어신호를 수신하는 단계의 이전에, 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 규칙생성부가, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하는 단계; 상기 규칙생성부가, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하는 단계; 및 상기 규칙생성부가, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 단계를 거쳐 생성될 수 있다.Advantageously, the plurality of control rules may include, for each of the plurality of control signals for a predetermined time interval, prior to the step of receiving the control signal of the first protocol, Collecting result data indicating a result of the control on the first data; Matching the resultant data with a header and a payload included in each of the plurality of control signals; And the rule generation unit may be generated by selecting the plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, the payload, and the result data.

바람직하게는, 상기 결과데이터는 상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.Preferably, the resultant data may be a variation of data indicating an operation state of at least one of the plurality of devices according to the control signal.

바람직하게는, 상기 복수의 제어규칙을 선별하는 단계는 아프리오리(apriori) 알고리즘에 기초하여 선별할 수 있다.Advantageously, the step of selecting the plurality of control rules can be selected based on an apriori algorithm.

바람직하게는, 상기 복수의 제어규칙을 선별하는 단계는 신뢰도(confidence)의 조건을 충족하는 경우에만 상기 제어규칙으로 선별할 수 있다.Advantageously, the step of selecting the plurality of control rules can be selected by the control rule only when the condition of confidence is satisfied.

바람직하게는, 상기 전송부가, 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송하는 단계를 더 포함할 수 있다.Preferably, the transmitting unit may further include transmitting an alarm signal to an administrator of the plurality of devices or a preset contact person if the control signal is not permitted.

바람직하게는, 상기 복수의 제어규칙이 규칙DB에 저장될 때, 상기 상기 제어신호의 허용 여부를 판단하는 단계는 상기 규칙DB에 기초하여 판단할 수 있다.Preferably, when the plurality of control rules are stored in the rule DB, the step of determining whether the control signal is allowed can be determined based on the rule DB.

또한, 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치는 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 장치에 있어서, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 수신부; 상기 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 상기 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 판단부; 및 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 전송부를 포함한다.According to another aspect of the present invention, there is provided an apparatus for converting a protocol between a client using a first protocol and a plurality of servers using a second protocol, A receiving unit receiving a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client; A determination unit for determining whether the control signal is allowed or not based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices using at least one of a header and a payload constituting the control signal; And a transmission unit for transmitting a conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers when the control signal is permitted.

바람직하게는, 상기 판단부는 상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고, 상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하고, 상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단할 수 있다.Preferably, the determination unit may analyze the received control signal to divide the received control signal into a header and a payload, search a rule corresponding to the header and the payload from the plurality of control rules, It is possible to determine whether the control signal is allowed or not.

바람직하게는, 상기 복수의 제어규칙은 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하고, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 과정을 거쳐 생성될 수 있다.Preferably, the plurality of control rules collect, for each of a plurality of control signals for a predetermined time period, result data indicating a control result for at least one of the plurality of equipments, Selecting the plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, payload, and result data for the header and the payload included therein; Lt; / RTI >

바람직하게는, 상기 결과데이터는 상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.Preferably, the resultant data may be a variation of data indicating an operation state of at least one of the plurality of devices according to the control signal.

바람직하게는, 상기 복수의 제어규칙이 선별될 때, 아프리오리 알고리즘에 기초하여 선별될 수 있다.Advantageously, when the plurality of control rules are selected, they can be selected based on the Florrio algorithm.

바람직하게는, 상기 복수의 제어규칙이 선별될 때, 신뢰도의 조건을 충족하는 경우에만 상기 제어규칙으로 선별될 수 있다.Preferably, when the plurality of control rules are selected, they can be selected by the control rule only when the condition of reliability is satisfied.

바람직하게는, 상기 전송부는 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송할 수 있다.Preferably, the transmission unit may further transmit an alarm signal to an administrator of the plurality of devices or a preset contact person if the control signal is not permitted.

본 발명은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 그 명령 중에서 비정상적인 명령을 탐지할 수 있는 효과가 있다.The present invention has the effect of detecting an abnormal command among the commands when a data transfer command or a control command is transmitted and received between devices using different protocols.

또한, 본 발명은 탐지된 비정상적인 명령이 다른 기기로 전송되는 것을 사전에 차단함으로써, 상이한 프로토콜을 사용하는 기기가 포함된 전체 시스템을 비정상적인 명령으로부터 보호할 수 있는 효과가 있다.In addition, the present invention has an effect of protecting the entire system including devices using different protocols from abnormal commands by preventing the detected abnormal commands from being transmitted to other devices in advance.

도 1은 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 제어규칙의 허용 여부를 판단하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 제어규칙의 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치를 설명하기 위하여 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 프로토콜 변환 장치와 상이한 프로토콜을 사용하는 양단의 기기 간의 연결관계를 설명하기 위하여 도시한 도면이다.FIG. 1 is a flowchart illustrating a protocol conversion method for detecting an abnormal behavior according to an exemplary embodiment of the present invention. Referring to FIG.
FIG. 2 is a flowchart illustrating a protocol conversion method for detecting an abnormal behavior according to another embodiment of the present invention. Referring to FIG.
3 is a flowchart illustrating a method for determining whether a control rule is allowed according to an embodiment of the present invention.
4 is a flowchart illustrating a method of generating a control rule according to an embodiment of the present invention.
5 is a diagram for explaining a protocol conversion apparatus for detecting an abnormal behavior according to an embodiment of the present invention.
6 is a diagram for explaining a connection relationship between a protocol conversion apparatus according to an embodiment of the present invention and devices at both ends using different protocols.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.While the invention is susceptible to various modifications and alternative forms, specific embodiments thereof are shown by way of example in the drawings and will herein be described in detail. It should be understood, however, that the invention is not intended to be limited to the particular embodiments, but includes all modifications, equivalents, and alternatives falling within the spirit and scope of the invention. Like reference numerals are used for like elements in describing each drawing.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, A, B, etc. may be used to describe various elements, but the elements should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as a second component, and similarly, the second component may also be referred to as a first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used in this application is used only to describe a specific embodiment and is not intended to limit the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In the present application, the terms "comprises" or "having" and the like are used to specify that there is a feature, a number, a step, an operation, an element, a component or a combination thereof described in the specification, But do not preclude the presence or addition of one or more other features, integers, steps, operations, elements, components, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the contextual meaning of the related art and are to be interpreted as either ideal or overly formal in the sense of the present application Do not.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.FIG. 1 is a flowchart illustrating a protocol conversion method for detecting an abnormal behavior according to an exemplary embodiment of the present invention. Referring to FIG.

단계 S110에서는, 프로토콜 변환 장치가 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.In step S110, the protocol conversion apparatus receives a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client.

여기서, 도 6을 참조하면, 프로토콜 변환 장치(500)는 제1 프로토콜을 사용하는 클라이언트(610) 및 제2 프로토콜을 사용하는 복수의 서버(621, 622, …)와 모두 연결되도록 위치할 수 있다.6, the protocol conversion apparatus 500 may be located so as to be connected to both the client 610 using the first protocol and the plurality of servers 621, 622, ... using the second protocol .

예컨대, 클라이언트(610)는 전력생산상황을 모니터링 및 제어하기 위한 기기이고, 복수의 서버(621, 622, …)는 각각이 발전기인 복수의 장비(631, 632, …)와 연결된 기기일 수 있다. 즉, 전력생산 관리업무를 수행하는 사용자는 클라이언트(610)를 이용하여 프로토콜 변환 장치(500)와 복수의 서버(621, 622, …)를 통해 복수의 발전기(631, 632, …)의 전력생산상황을 모니터링 하면서, 필요한 제어명령을 내릴 수 있다.For example, the client 610 may be a device for monitoring and controlling the power production status, and the plurality of servers 621, 622, ... may be devices connected to a plurality of devices 631, 632, . That is, the user who performs the power generation management work uses the client 610 to generate electric power of the plurality of generators 631, 632, ... through the protocol conversion apparatus 500 and the plurality of servers 621, 622, While monitoring the situation, the necessary control commands can be issued.

한편, 클라이언트와 복수의 서버는 각각 서로 다른 프로토콜을 이용하여 동작하도록 구성되었기 때문에, 클라이언트와 복수의 서버는 서로 직접 연결될 수 없어서, 프로토콜 변환 장치를 그 양단의 사이에 필요로 할 수 있다.On the other hand, since the client and the plurality of servers are configured to operate using different protocols, the client and the plurality of servers can not be directly connected to each other, and thus a protocol conversion apparatus can be required between both ends thereof.

단계 S120에서는, 프로토콜 변환 장치가 그 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.In step S120, based on a plurality of control rules, which are rules for determining whether to allow control of a plurality of devices by using at least one of a header and a payload constituting the control signal, And determines whether the control signal is allowed or not.

이때, 제어규칙은 제어신호를 구성하는 헤더와 페이로드에 대하여, 복수의 장비에 대한 제어를 허용할지를 결정하기 위하여 존재하는 규칙일 수 있다. 또한, 복수의 제어규칙은 복수의 장비에 대한 제어가 허용되는 헤더 및 페이로드의 조합에 대한 규칙만을 포함할 수 있다.At this time, the control rule may be a rule for determining whether to allow control for a plurality of devices, with respect to the header and the payload constituting the control signal. In addition, the plurality of control rules may include only a rule for a combination of a header and a payload that are allowed to be controlled for a plurality of devices.

예컨대, 제어신호의 헤더가 A이고, 페이로드가 B인 경우는 제어규칙에 포함되어 있고, 제어신호의 헤더가 A이고, 페이로드가 C인 경우는 제어규칙에 포함되어 있지 않을 수 있다. 이 경우, 프로토콜 변환 장치는 헤더가 A이고, 페이로드가 B인 제어신호를 허용하는 것으로 판단하고, 헤더가 A이고, 페이로드가 C인 제어신호를 허용하지 않는 것으로 판단할 수 있다.For example, when the header of the control signal is A and the payload is B, it is included in the control rule, and if the header of the control signal is A and the payload is C, it may not be included in the control rule. In this case, the protocol conversion apparatus can determine that the control signal having the header A and the payload B is allowed, and can not determine that the control signal having the header A and the payload C is not permitted.

즉, 프로토콜 변환 장치는 복수의 제어규칙에 포함된 제어신호를 정상행위로 간주하고, 복수의 제어규칙에 포함되지 않은 제어신호를 비정상행위로 간주할 수 있다.That is, the protocol conversion apparatus regards the control signals included in the plurality of control rules as normal actions, and regards the control signals not included in the plurality of control rules as abnormal actions.

다른 실시예에서는, 프로토콜 변환 장치는 복수의 제어규칙이 규칙DB에 저장될 때, 그 규칙DB에 기초하여 그 제어신호의 허용 여부를 판단할 수 있다.In another embodiment, when a plurality of control rules are stored in the rule DB, the protocol conversion apparatus can determine whether the control signals are permitted based on the rule DB.

예컨대, 별도로 규칙DB가 구성되어, 복수의 제어규칙에 대한 정보를 모두 저장하고 있을 수 있다. 이때, 프로토콜 변환 장치는 그 규칙DB로부터 제어신호를 구성하는 헤더와 페이로드에 대응되는 규칙을 검색하여 그 제어신호의 허용 여부를 판단할 수 있다. 한편, 규칙DB는 프로토콜 변환 장치와 동일한 컴퓨터 상에 존재하거나 또는 별도의 DB서버의 형태로 존재할 수 있다.For example, a rule DB may be separately constructed to store all information about a plurality of control rules. At this time, the protocol conversion apparatus searches the rules DB for rules corresponding to the header and payload constituting the control signal, and determines whether the control signal is allowed or not. On the other hand, the rule DB may exist on the same computer as the protocol conversion apparatus or may exist in the form of a separate DB server.

한편, 프로토콜 변환 장치가 제어신호의 허용 여부를 판단하는 자세한 방법에 대하여는 도 3에 대한 설명에서 구체적으로 후술한다.A detailed method of determining whether or not the protocol conversion apparatus is allowed to receive the control signal will be described later in detail with reference to FIG.

마지막으로 단계 S130에서는, 프로토콜 변환 장치가 그 제어신호가 허용되면, 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.Finally, in step S130, when the protocol conversion device permits the control signal, the conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, is transmitted to the plurality of servers.

예컨대, 프로토콜 변환 장치는 그 제어신호가 허용되면, 그 제어신호를 제2 프로토콜로 된 변환제어신호로 변환하여, 복수의 서버에게 전송할 수 있다. 그리고, 그 복수의 서버는 전송된 변환제어신호에 따라 각각에 연결된 장비를 제어할 수 있다.For example, if the control signal is allowed, the protocol conversion apparatus can convert the control signal into a conversion control signal of the second protocol and transmit the conversion control signal to a plurality of servers. The plurality of servers can control the devices connected to each other in accordance with the transmitted conversion control signal.

이와 같이, 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 그 명령 중에서 비정상적인 명령을 탐지함으로써 정상적인 명령만이 전송되도록 할 수 있는 효과가 있다.As described above, when a data transmission command or a control command is transmitted or received between devices using different protocols, abnormal protocol detection is performed to detect an abnormal operation according to an embodiment of the present invention. There is an effect that it can be transmitted.

도 2는 본 발명의 다른 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.FIG. 2 is a flowchart illustrating a protocol conversion method for detecting an abnormal behavior according to another embodiment of the present invention. Referring to FIG.

단계 S210에서는, 프로토콜 변환 장치가 복수의 제어규칙을 생성한다.In step S210, the protocol conversion apparatus generates a plurality of control rules.

예컨대, 프로토콜 변환 장치가 소정의 시험 운영 기간을 설정하고, 그 기간 동안 클라이언트와 복수의 서버 간에 데이터를 송수신한 결과를 분석하여 복수의 제어규칙을 생성할 수 있다. 이때, 프로토콜 변환 장치는 그 시험 운영 기간 동안에는 제어규칙이 아직 생성되지 않았기 때문에 클라이언트의 비정상행위를 탐지하지 못할 수 있다.For example, a protocol conversion apparatus sets a predetermined test operation period, and a plurality of control rules can be generated by analyzing a result of transmitting and receiving data between a client and a plurality of servers during the predetermined test operation period. At this time, the protocol conversion apparatus may not detect the abnormal behavior of the client since the control rule has not yet been generated during the test operation period.

한편, 복수의 제어규칙을 생성하는 자세한 방법에 대하여는 도 4에 대한 설명에서 구체적으로 후술한다.A detailed method of generating a plurality of control rules will be described later in detail with reference to FIG.

단계 S220에서는, 프로토콜 변환 장치가 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.In step S220, the protocol conversion apparatus receives a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client.

단계 S230에서는, 프로토콜 변환 장치가 그 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.In step S230, on the basis of a plurality of control rules, which are rules for determining whether to permit control of a plurality of devices by using at least one of a header and a payload constituting the control signal, .

단계 S240에서는, 프로토콜 변환 장치가 그 제어신호가 허용되면, 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.In step S240, when the protocol conversion device permits the control signal, the conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, is transmitted to the plurality of servers.

마지막으로 단계 S250에서는, 프로토콜 변환 장치가 그 제어신호가 허용되지 않으면, 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송한다.Finally, in step S250, if the protocol conversion device does not permit the control signal, the alert signal is transmitted to an administrator of the plurality of devices or a preset contact person.

예컨대, 프로토콜 변환 장치가 클라이언트로부터 허용되지 않는 제어신호를 수신한 경우, 프로토콜 변환 장치는 즉각 그 사실을 장비의 관리자 또는 미리 설정된 담당자에게 이메일, 문자메시지 및 전화 등을 통해 경보신호의 형태로 전송할 수 있다.For example, when the protocol conversion device receives a control signal that is not allowed by the client, the protocol conversion device can immediately transmit the fact to the administrator of the device or a preset contact person in the form of an alarm signal via e-mail, text message and telephone have.

이때, 경보신호는 관리자 또는 담당자가 적절한 대처를 할 수 있도록 그 허용되지 않는 제어신호의 헤더 및 페이로드에 대한 정보를 더 포함할 수 있다.At this time, the alarm signal may further include information on the header and the payload of the unauthorized control signal so that the manager or the person in charge can appropriately cope with it.

도 3은 본 발명의 일 실시예에 따른 제어규칙의 허용 여부를 판단하는 방법을 설명하기 위하여 도시한 흐름도이다.3 is a flowchart illustrating a method for determining whether a control rule is allowed according to an embodiment of the present invention.

단계 S310에서는, 프로토콜 변환 장치가 수신된 제어신호를 분석하여 헤더와 페이로드로 구분한다.In step S310, the protocol conversion apparatus analyzes the received control signal and divides it into a header and a payload.

이때, 헤더는 통신 프로토콜에서 프로토콜의 종류 또는 제어 명령의 종류와 같이 데이터를 사용하고 해석하기 위하여 필요한 정보를 제공하기 위한 데이터일 수 있다. 또한, 페이로드는 통신 프로토콜에서 데이터 전송의 근본적인 목적이 되는 데이터일 수 있다.In this case, the header may be data for providing information necessary for using and interpreting data, such as the type of protocol or the type of control command in the communication protocol. In addition, the payload may be data that is a fundamental object of data transmission in a communication protocol.

즉, 프로토콜 변환 장치는 제1 프로토콜로 구성된 제어신호의 허용 여부를 헤더와 페이로드를 이용하여 판단하기 위해, 그 제어신호를 헤더와 페이로드로 구분할 수 있다.That is, the protocol conversion apparatus can divide the control signal into a header and a payload in order to determine whether the control signal configured by the first protocol is permitted using the header and the payload.

단계 S320에서는, 프로토콜 변환 장치가 복수의 제어규칙 중에서 그 헤더와 페이로드에게 해당되는 규칙을 검색한다.In step S320, the protocol conversion apparatus searches for a rule corresponding to the header and payload among a plurality of control rules.

예컨대, 프로토콜 변환 장치가 규칙DB에 저장되어 있는 복수의 제어규칙 중에서, 앞의 단계에서 구분된 헤더와 페이로드에 해당되는 제어규칙이 존재하는지를 검색할 수 있다.For example, among the plurality of control rules stored in the rule DB, the protocol conversion apparatus can search whether there is a control rule corresponding to the headers and payloads classified in the previous step.

마지막으로 단계 S330에서는, 프로토콜 변환 장치가 그 검색 결과에 따라, 제어신호의 허용 여부를 판단한다.Finally, in step S330, the protocol conversion apparatus determines whether or not the control signal is allowed according to the search result.

예컨대, 만일 규칙DB가 허용되는 헤더와 페이로드의 조합에 대한 정보만을 포함하고 있다면, 프로토콜 변환 장치가 그 구분된 헤더와 페이로드에 해당하는 제어규칙이 검색되는 것만으로 그 제어신호가 허용되는 것으로 판단할 수 있다.For example, if the rule DB contains only information on a combination of allowed headers and payloads, then the control signal is allowed only when the protocol conversion apparatus searches for the control rule corresponding to the divided header and the payload It can be judged.

그러나, 만일 규칙DB가 허용되는 헤더와 페이로드의 조합에 대한 정보만을 포함하고 있는 것이 아니라면, 규칙DB는 각 헤더와 페이로드의 조합에 대한 허용 여부에 대한 정보를 별도로 포함하고 있을 수 있고, 프로토콜 변환 장치는 그 허용 여부에 대한 정보를 이용하여 그 제어신호의 허용 여부를 판단할 수 있다.However, if the rule DB does not contain only information on a combination of allowed headers and payloads, the rule DB may separately include information on whether or not each header and payload is permitted to be combined, The conversion apparatus can determine whether the control signal is allowed or not by using the information on the permission or non-permission.

도 4는 본 발명의 일 실시예에 따른 제어규칙의 생성 방법을 설명하기 위하여 도시한 흐름도이다.4 is a flowchart illustrating a method of generating a control rule according to an embodiment of the present invention.

단계 S410에서는, 프로토콜 변환 장치가 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집한다.In step S410, the protocol conversion apparatus collects result data indicating the control result for at least one of the plurality of equipment, for each of the plurality of control signals for a predetermined time period.

예컨대, 프로토콜 변환 장치가 그 시간 구간 동안 프로토콜 변환 기능만을 수행하고, 비정상행위 탐지 기능은 수행하지 않으면서, 클라이언트로부터 수신한 복수의 제어신호 각각에 대하여, 복수의 장비 중 적어도 하나에 대한 결과데이터를 수집할 수 있다. 이때, 프로토콜 변환 장치는 복수의 제어규칙이 아직 생성되지 않았기 때문에, 이를 생성하기 위하여 비정상행위를 탐지하지 않을 수 있다.For example, the protocol conversion apparatus performs only the protocol conversion function during the time interval, and does not perform the abnormal behavior detection function, and transmits the result data for at least one of the plurality of devices to each of the plurality of control signals received from the client Can be collected. At this time, since a plurality of control rules have not yet been generated, the protocol conversion apparatus may not detect an abnormal behavior in order to generate it.

보다 구체적으로, 클라이언트가 프로토콜 변환 장치에게 A1의 제어신호를 전송한 경우, 복수의 장비를 이용한 총 전력생산량이 기존의 B1에서 B2로 증가하였다고 가정할 수 있다. 이때, 프로토콜 변환 장치는 A1의 제어신호에 대응하여 (B2-B1)의 결과데이터를 수집할 수 있다.More specifically, when the client transmits a control signal of A 1 to the protocol conversion apparatus, it can be assumed that the total power production amount using a plurality of equipments has increased from the existing B 1 to B 2 . At this time, the protocol conversion apparatus can collect (B 2 -B 1 ) result data corresponding to the control signal of A 1 .

또는, 클라이언트가 프로토콜 변환 장치에게 A2의 제어신호를 전송한 경우, 복수의 장비를 이용한 총 전력생산량이 기존의 B1에서 B3로 감소하였다고 가정할 수 있다. 이때, 프로토콜 변환 장치는 A2의 제어신호에 대응하여 (B3-B1)의 결과데이터를 수집할 수 있다.Alternatively, when the client transmits the control signal of A 2 to the protocol conversion device, it can be assumed that the total power production using the plurality of devices has decreased from the existing B 1 to B 3 . At this time, the protocol conversion apparatus can collect (B 3 -B 1 ) result data corresponding to the control signal of A 2 .

다른 실시예에서는, 결과데이터는 제어신호에 따른, 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.In another embodiment, the result data may be a variation of data indicative of an operating state of at least one of a plurality of devices, in accordance with a control signal.

예컨대, 결과데이터는 프로토콜 변환 장치가 클라이언트로부터 제어신호를 수신하여 복수의 발전기(장비) 중 적어도 하나에게 전송하기 전과 후의 전력생산량(동작 상태)를 나타내는 데이터의 변이량일 수 있다. For example, the result data may be the amount of data representing the amount of power production (operation state) before and after the protocol conversion device receives the control signal from the client and transmits the control signal to at least one of the plurality of generators (equipment).

또한, 결과데이터는 프로토콜 변환 장치가 프로세스 이미지(process image)를 이용하여 복수의 장비로부터 모니터링한 정보로부터 생성될 수 있다. 이때, 프로세스 이미지는 프로토콜 변환 장치가 취득한 데이터를 임시로 저장하기 위한 저장 공간으로, 비정상행위를 탐지하는데 이용될 수 있다. 즉, 데이터의 변이량을 프로세스 이미지에 저장된 데이터의 이전값과 현재값 간의 차이로부터 산출할 수 있다.The result data may also be generated from information monitored from a plurality of devices using a process image. At this time, the process image may be used as a storage space for temporarily storing the data acquired by the protocol conversion apparatus, and to detect an abnormal behavior. That is, the amount of data variation can be calculated from the difference between the previous value and the current value of the data stored in the process image.

보다 구체적으로, 클라이언트가 프로토콜 변환 장치에게 A1의 제어신호를 전송한 경우, 프로세스 이미지에 저장된 총 전력생산량이 기존의 B1에서 B2로 증가하였다면, 결과데이터는 (B2-B1)일 수 있다.More specifically, if the client sends a control signal of A 1 to the protocol converter, if the total power output stored in the process image has increased from the existing B 1 to B 2 , then the result data is (B 2 -B 1 ) .

단계 S420에서는, 프로토콜 변환 장치가 그 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 결과데이터를 매칭한다.In step S420, the protocol conversion apparatus matches the result data to the header and the payload included in each of the plurality of control signals.

이때, 프로토콜 변환 장치는 그 복수의 제어신호 각각에 대하여, 헤더 및 페이로드와 결과데이터를 매칭할 수 있다. 또한, 프로토콜 변환 장치는 중복되는 헤더 및 페이로드와 결과데이터의 매칭 결과를 그대로 유지하여, 추후 그 매칭 결과의 빈도에 대한 정보를 이용할 수 있다.At this time, the protocol conversion apparatus can match the header and the payload with the resultant data for each of the plurality of control signals. In addition, the protocol conversion apparatus maintains the matching result of the duplicated header and payload and the resultant data, and can use information on the frequency of the matching result in the future.

마지막으로 단계 S430에서는, 프로토콜 변환 장치가 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별한다.Finally, in step S430, the protocol conversion apparatus selects a plurality of control rules from among the plurality of control signals based on the frequency of the combination of the matched header, payload, and result data.

예컨대, 프로토콜 변환 장치는 그 매칭된 헤더, 페이로드 및 결과데이터의 조합 각각에 대하여, 그 빈도가 소정 임계치 이상인 조합에 대하여 제어규칙으로 선별할 수 있다.For example, the protocol conversion apparatus can select the combination of the matched header, the payload, and the result data with a control rule for a combination whose frequency is equal to or greater than a predetermined threshold value.

이때, 특정한 헤더, 페이로드 및 결과데이터의 조합의 빈도가 그 임계치 이상이라는 것은, 그 시간 구간 동안의 정상적인 프로토콜 변환 과정에서 그 조합이 다수 발생하였다는 것을 의미할 수 있다. 나아가, 그 조합은 안정성이 검증된 조합이라는 것을 의미할 수 있다.At this time, the frequency of the combination of the specific header, the payload, and the result data is greater than or equal to the threshold value, which means that a large number of combinations have occurred in the normal protocol conversion process during the time interval. Further, the combination may mean that the combination is a proven combination of stability.

반면에, 특정한 헤더, 페이로드 및 결과데이터의 조합의 빈도가 0이거나 그 임계치 이내라는 것은 정상적인 프로토콜 변환 과정에서 그 조합이 많이 발생하지 않았다는 것을 의미할 수 있으며, 나아가 그 조합의 안정성이 검증되지 않았다고 볼 여지가 있을 수 있다.On the other hand, if the frequency of the combination of a particular header, payload and result data is zero or within the threshold, it may mean that the combination did not occur in a normal protocol conversion process, and the stability of the combination was not verified There may be room for seeing.

다른 실시예에서는, 프로토콜 변환 장치가 복수의 제어규칙을 선별할 때, 아프리오리(apriori) 알고리즘에 기초하여 선별할 수 있다.In another embodiment, when the protocol conversion device selects a plurality of control rules, it can be selected based on an apriori algorithm.

여기서, 아프리오리 알고리즘은 보다 자주 이용되는 아이템 세트(item set)를 발굴하기 위한 데이터 마이닝 방법이다. 또한, 트랜잭션에 기반하여, 연관성 규칙(association rule)을 생성하기 위한 알고리즘이다.Here, the Florrio algorithm is a data mining method for discovering more frequently used item sets. It is also an algorithm for generating an association rule based on a transaction.

즉, 아프리오리 알고리즘에 의해 결정된 자주 이용되는 아이템 세트는 데이터베이스에 수집된 데이터에 관하여 일반적인 추세(trend)를 나타내는 연관성 규칙을 결정하는데 이용될 수 있다.That is, a set of frequently used items determined by the Floridians algorithm can be used to determine association rules that represent a general trend with respect to the data collected in the database.

예컨대, 프로토콜 변환 장치는 제어신호를 구성하는 헤더와 페이로드 그리고, 그 제어신호에 대응되는 결과데이터의 조합을 하나의 트랜잭션으로 간주하여, 아프리오리 알고리즘을 적용함으로써 빈도가 높은 조합을 자주 이용되는 아이템 세트로 선별할 수 있다.For example, the protocol conversion apparatus regards a combination of a header and a payload constituting a control signal and result data corresponding to the control signal as one transaction, and applies a frequently used combination to a frequently used item set .

또 다른 실시예에서는, 프로토콜 변환 장치가 복수의 제어규칙을 선별할 때, 신뢰도(confidence)의 조건을 충족하는 경우에만 제어규칙으로 선별할 수 있다.In another embodiment, when the protocol conversion apparatus selects a plurality of control rules, it can be selected by a control rule only when the condition of confidence is satisfied.

예컨대, 신뢰도는 그 매칭된 헤더, 페이로드 및 결과데이터 중 일부의 조합의 총 개수와, 그 매칭된 헤더, 페이로드 및 결과데이터 조합의 총 개수를 이용하여 산출될 수 있다.For example, the reliability can be calculated using the total number of combinations of the matched header, the payload, and the result data, and the total number of the matched header, payload, and result data combination.

보다 구체적으로, A1 헤더와 관련된 트랜잭션(T1)의 총 개수가 N1이고, A1 헤더 및 B1 페이로드와 관련된 트랜?션(T2)의 총 개수가 N2일 때, T2 트랜잭션의 신뢰도는 C=N2/N1으로 산출될 수 있다. More specifically, when the total number of transaction (T 1) associated with the A 1 header, and N 1, the total number of transfected? Illustration (T 2) associated with the A 1 header, and B 1 payload N 2 il, T 2 The reliability of the transaction can be calculated as C = N 2 / N 1 .

한편, 신뢰도의 조건은, 프로토콜 변환 장치가 소정의 임계치 이상의 신뢰도를 나타내는 그 매칭된 헤더, 페이로드 및 결과데이터 조합에 대하여만 제어규칙으로 선별하는 조건일 수 있다.On the other hand, the condition of reliability may be a condition in which the protocol conversion apparatus selects the control rule only for the matching header, payload, and result data combination indicating reliability above a predetermined threshold value.

이와 같이, 본 발명의 일 실시예에 따른 제어규칙의 생성 방법은 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별함으로써, 연관성 규칙에 기반한 높은 신뢰도의 규칙만을 사용하도록 하여 오탐지(false alarm)의 가능성을 낮추면서, 효과적으로 비정상행위를 탐지할 수 있는 효과가 있다.As described above, the method of generating a control rule according to an embodiment of the present invention selects a plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, the payload, It is possible to effectively detect an abnormal behavior while reducing the possibility of false alarms by using only rules having high reliability based on association rules.

도 5는 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치를 설명하기 위하여 도시한 도면이다.5 is a diagram for explaining a protocol conversion apparatus for detecting an abnormal behavior according to an embodiment of the present invention.

도 5를 참조하면, 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치(500)는 수신부(510), 판단부(520) 및 전송부(530)를 포함한다.Referring to FIG. 5, a protocol conversion apparatus 500 for detecting an abnormal behavior according to an embodiment of the present invention includes a receiving unit 510, a determining unit 520, and a transmitting unit 530.

수신부(510)는 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.The receiving unit 510 receives a control signal of a first protocol, which is a signal for controlling a plurality of devices connected to a plurality of servers from a client.

판단부(520)는 그 제어신호에 포함된 헤더 및 페이로드 중 적어도 하나를 이용하여 그 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.The determination unit 520 determines whether the control signal is allowed or not based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices using at least one of the header and the payload included in the control signal .

다른 실시예에서는, 판단부(520)는 그 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고, 복수의 제어규칙 중에서 그 헤더와 페이로드에게 해당되는 규칙을 검색하고, 그 검색 결과에 따라, 제어신호의 허용 여부를 판단할 수 있다.In another embodiment, the determination unit 520 analyzes the received control signal, divides the received control signal into a header and a payload, searches for a rule corresponding to the header and the payload among a plurality of control rules, , It is possible to determine whether the control signal is allowed or not.

또 다른 실시예에서는, 복수의 제어규칙은 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 그 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고, 그 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 그 결과데이터를 매칭하고, 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별하는 과정을 거쳐 생성될 수 있다.In another embodiment, the plurality of control rules collects result data representing control results for at least one of the plurality of control signals for each of a plurality of control signals for a predetermined time period, Matching the resultant data with the header and the payload included in the header and the payload and selecting a plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, Lt; / RTI >

또 다른 실시예에서는, 결과데이터는 제어신호에 따른, 그 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.In yet another embodiment, the result data may be a variation of data indicative of an operating state of at least one of the plurality of devices in accordance with a control signal.

또 다른 실시예에서는, 복수의 제어규칙이 선별될 때, 아프리오리 알고리즘에 기초하여 선별될 수 있다.In another embodiment, when a plurality of control rules are selected, they can be selected based on the Florrio algorithm.

또 다른 실시예에서는, 복수의 제어규칙이 선별될 때, 신뢰도의 조건을 충족하는 경우에만 제어규칙으로 선별될 수 있다.In yet another embodiment, when a plurality of control rules are selected, they can be selected as control rules only if the conditions of reliability are met.

전송부(530)는 그 제어신호가 허용되면, 그 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.When the control signal is allowed, the transmission unit 530 transmits a conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers.

다른 실시예에서는, 전송부(530)는 그 제어신호가 허용되지 않으면, 그 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송할 수 있다.In another embodiment, the transmitter 530 may further transmit an alert signal to the manager of the plurality of devices or a preset contact if the control signal is not allowed.

한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. The above-described embodiments of the present invention can be embodied in a general-purpose digital computer that can be embodied as a program that can be executed by a computer and operates the program using a computer-readable recording medium.

상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 를 포함한다.The computer readable recording medium includes a magnetic storage medium (e.g., ROM, floppy disk, hard disk, etc.), optical reading medium (e.g., CD ROM, DVD, etc.).

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
The present invention has been described with reference to the preferred embodiments. It will be understood by those skilled in the art that various changes in form and details may be made therein without departing from the spirit and scope of the invention as defined by the appended claims. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

Claims (15)

제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서,
수신부가, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계;
판단부가, 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및
전송부가, 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계
를 포함하되,
상기 복수의 제어규칙은
상기 제1 프로토콜의 제어신호를 수신하는 단계의 이전에,
규칙생성부가, 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하는 단계;
상기 규칙생성부가, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하는 단계; 및
상기 규칙생성부가, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 단계를 거쳐 생성되는 것을 특징으로 하고,
상기 복수의 제어규칙을 선별하는 단계는,
상기 헤더, 상기 페이로드, 상기 결과데이터의 조합을 하나의 트랜잭션으로 하여 수행되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.A method for converting a protocol between a client using a first protocol and a plurality of servers using a second protocol,
Receiving a control signal of the first protocol which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client;
Wherein the control unit is configured to control the plurality of devices based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices by using at least one of a header and a payload constituting the control signal, Determining whether or not to permit the authentication; And
Transmitting a conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers when the control signal is allowed
, ≪ / RTI &
The plurality of control rules
Prior to receiving the control signal of the first protocol,
The rule generation unit collecting result data indicating a control result for at least one of the plurality of equipment for each of a plurality of control signals for a predetermined time period;
Matching the resultant data with a header and a payload included in each of the plurality of control signals; And
Wherein the rule generation unit is generated by selecting the plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, the payload, and the result data,
The step of selecting the plurality of control rules includes:
And the combination of the header, the payload, and the result data is performed as one transaction. 제1항에 있어서,
상기 제어신호의 허용 여부를 판단하는 단계는
상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하는 단계;
상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하는 단계; 및
상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 단계
를 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.The method according to claim 1,
The step of determining whether to allow the control signal
Analyzing the received control signal to divide it into a header and a payload;
Retrieving a rule corresponding to the header and the payload from the plurality of control rules; And
Determining whether the control signal is allowed according to the search result,
And detecting the abnormal behavior. 삭제delete 제1항에 있어서,
상기 결과데이터는
상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이인 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.The method according to claim 1,
The result data
Wherein the data is a variation of data indicating an operation state of at least one of the plurality of devices according to the control signal. 제1항에 있어서,
상기 복수의 제어규칙을 선별하는 단계는
아프리오리(apriori) 알고리즘에 기초하여 선별하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.The method according to claim 1,
The step of selecting the plurality of control rules
Characterized in that it is selected on the basis of an apriori algorithm. 제5항에 있어서,
상기 복수의 제어규칙을 선별하는 단계는
신뢰도(confidence)의 조건을 충족하는 경우에만 상기 제어규칙으로 선별하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.6. The method of claim 5,
The step of selecting the plurality of control rules
And the control rule is selected only when the condition of confidence is satisfied. 제1항에 있어서,
상기 전송부가, 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송하는 단계
를 더 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.The method according to claim 1,
Wherein the transmitting unit transmits an alarm signal to an administrator of the plurality of devices or a preset contact person if the control signal is not permitted
The method comprising the steps of: detecting an abnormal behavior; 제1항에 있어서,
상기 복수의 제어규칙이 규칙DB에 저장될 때,
상기 상기 제어신호의 허용 여부를 판단하는 단계는
상기 규칙DB에 기초하여 판단하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.The method according to claim 1,
When the plurality of control rules are stored in the rule DB,
The step of determining whether to allow the control signal
Wherein the determination is based on the rule DB. 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 장치에 있어서,
상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 수신부;
상기 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 상기 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 판단부; 및
상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 전송부
를 포함하되,
상기 복수의 제어규칙은
소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고,
상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하고,
상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 과정을 거쳐 생성되는 것을 특징으로 하고
상기 복수의 제어규칙을 선별하는 과정은,
상기 헤더, 상기 페이로드, 상기 결과데이터의 조합을 하나의 트랜잭션으로 하여 수행되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.An apparatus for converting a protocol between a client using a first protocol and a plurality of servers using a second protocol,
A receiving unit for receiving a control signal of the first protocol, which is a signal for controlling a plurality of devices connected to each of the plurality of servers from the client;
A determination unit for determining whether the control signal is allowed or not based on a plurality of control rules that are rules for determining whether to permit control of the plurality of devices using at least one of a header and a payload constituting the control signal; And
When the control signal is allowed, transmitting a conversion control signal of the second protocol, which is a signal configured to correspond to the control signal, to the plurality of servers,
, ≪ / RTI &
The plurality of control rules
Collecting result data representing a control result for at least one of the plurality of equipments, for each of a plurality of control signals for a predetermined time period,
The header and payload included in each of the plurality of control signals are matched with the result data,
The control rule is generated through a process of selecting the plurality of control rules from the plurality of control signals based on the frequency of the combination of the matched header, the payload, and the result data
Wherein the step of selecting the plurality of control rules comprises:
And a combination of the header, the payload, and the result data is performed as one transaction. 제9항에 있어서,
상기 판단부는
상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고,
상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하고,
상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.10. The method of claim 9,
The determination unit
Analyzing the received control signal to divide it into a header and a payload,
Retrieving a rule corresponding to the header and the payload from the plurality of control rules,
And determines whether the control signal is allowed or not according to the search result. 삭제delete 제9항에 있어서,
상기 결과데이터는
상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이인 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.10. The method of claim 9,
The result data
Wherein the control signal is a variation of data indicating an operation state of at least one of the plurality of devices according to the control signal. 제9항에 있어서,
상기 복수의 제어규칙이 선별될 때,
아프리오리 알고리즘에 기초하여 선별되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.10. The method of claim 9,
When the plurality of control rules are selected,
Characterized in that it is selected on the basis of an Arjora algorithm. 제13항에 있어서,
상기 복수의 제어규칙이 선별될 때,
신뢰도의 조건을 충족하는 경우에만 상기 제어규칙으로 선별되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.14. The method of claim 13,
When the plurality of control rules are selected,
Wherein the control rule is selected by the control rule only when the condition of reliability is satisfied. 제9항에 있어서,
상기 전송부는
상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.10. The method of claim 9,
The transmitter
And if the control signal is not permitted, further transmitting an alarm signal to an administrator of the plurality of devices or a preset contact person.
KR1020170014931A 2017-02-02 2017-02-02 Method and apparatus for translating protocols while detecting abnormal activities KR101991127B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170014931A KR101991127B1 (en) 2017-02-02 2017-02-02 Method and apparatus for translating protocols while detecting abnormal activities

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170014931A KR101991127B1 (en) 2017-02-02 2017-02-02 Method and apparatus for translating protocols while detecting abnormal activities

Publications (2)

Publication Number Publication Date
KR20180090037A KR20180090037A (en) 2018-08-10
KR101991127B1 true KR101991127B1 (en) 2019-06-19

Family

ID=63229735

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170014931A KR101991127B1 (en) 2017-02-02 2017-02-02 Method and apparatus for translating protocols while detecting abnormal activities

Country Status (1)

Country Link
KR (1) KR101991127B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102204290B1 (en) * 2019-08-23 2021-01-18 고려대학교 세종산학협력단 Identification of delimiter and static field in protocol reverse engineering using statistic analysis

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101027261B1 (en) * 2008-12-26 2011-04-06 포항공과대학교 산학협력단 Method and System for Detecting Error Based Policy in Process Control Network
KR101953122B1 (en) * 2012-01-06 2019-02-28 삼성전자주식회사 Protocol conversion apparatus and method
KR102030837B1 (en) * 2013-09-30 2019-10-10 한국전력공사 Apparatus and method for intrusion detection

Also Published As

Publication number Publication date
KR20180090037A (en) 2018-08-10

Similar Documents

Publication Publication Date Title
US9836600B2 (en) Method and apparatus for detecting a multi-stage event
US20160055335A1 (en) Method and apparatus for detecting a multi-stage event
CA2689219C (en) Method and system for state encoding
WO2015128896A1 (en) Attack detection device, attack detection method, and attack detection program
CN112385196B (en) System and method for reporting computer security incidents
TW201702921A (en) Method, system and apparatus for predicting abnormality
KR20200069852A (en) Method for detecting anomalies of vehicle control network and apparatus using the same
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
CN112671767B (en) Security event early warning method and device based on alarm data analysis
KR101991127B1 (en) Method and apparatus for translating protocols while detecting abnormal activities
EP3432184A1 (en) Intrusion detection device, intrusion detection method, and intrusion detection program
US20190199603A1 (en) Mobile communication network failure monitoring system and method
JP7000271B2 (en) Vehicle unauthorized access countermeasure device and vehicle unauthorized access countermeasure method
KR100432168B1 (en) Multiple Intrusion Detection Objects in Security Gateway System for Network Intrusion Detection
CN115085956B (en) Intrusion detection method, intrusion detection device, electronic equipment and storage medium
JP5447394B2 (en) Security monitoring method, security monitoring system, and security monitoring program
CN104834846A (en) Equipment unlocking method and device
CN114553565B (en) Security situation awareness method and system based on request frequency
KR101961199B1 (en) Method and Apparatus for Recording Timeline
JP2015060501A (en) Alert output device, alert output method and alert output program
KR101942418B1 (en) Method and Apparatus for Recording Timeline
KR102576651B1 (en) Providing method, apparatus and computer-readable medium of artificial intelligence-based detection and notification services for dangerous situations in video for protected persons
JP2018142092A (en) Operation checking device, operation checking program, operation checking method, and operation checking system
KR101956882B1 (en) Apparatus and method of collecting frequent events in distributed systems based on bitmap, storage media storing the same
EP3493002B1 (en) System and method for identifying application layer behaviour

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant