KR20190048656A - Apparatus and method for monitoring the system - Google Patents

Apparatus and method for monitoring the system Download PDF

Info

Publication number
KR20190048656A
KR20190048656A KR1020170143790A KR20170143790A KR20190048656A KR 20190048656 A KR20190048656 A KR 20190048656A KR 1020170143790 A KR1020170143790 A KR 1020170143790A KR 20170143790 A KR20170143790 A KR 20170143790A KR 20190048656 A KR20190048656 A KR 20190048656A
Authority
KR
South Korea
Prior art keywords
signal
state
learning
value
output
Prior art date
Application number
KR1020170143790A
Other languages
Korean (ko)
Other versions
KR101989579B1 (en
Inventor
김종욱
신혁기
윤정한
김신규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020170143790A priority Critical patent/KR101989579B1/en
Publication of KR20190048656A publication Critical patent/KR20190048656A/en
Application granted granted Critical
Publication of KR101989579B1 publication Critical patent/KR101989579B1/en

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • GPHYSICS
    • G08SIGNALLING
    • G08BSIGNALLING OR CALLING SYSTEMS; ORDER TELEGRAPHS; ALARM SYSTEMS
    • G08B21/00Alarms responsive to a single specified undesired or abnormal condition and not otherwise provided for
    • G08B21/18Status alarms
    • G08B21/182Level alarms, e.g. alarms responsive to variables exceeding a threshold

Landscapes

  • Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Automation & Control Theory (AREA)
  • Theoretical Computer Science (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Mathematical Physics (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Artificial Intelligence (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

Disclosed are an apparatus and a method for monitoring a system. According to one embodiment of the present invention, the apparatus for monitoring a system comprises: a signal collection unit collecting a signal which at least two devices input and output each other; a signal learning unit using at least one of a signal-state machine and a supervised learning technique to learn the signal; and a state determination unit using the learned signal and a newly collected signal to determine a state of the devices.

Description

시스템 감시 장치 및 방법 {APPARATUS AND METHOD FOR MONITORING THE SYSTEM}[0001] APPARATUS AND METHOD FOR MONITORING THE SYSTEM [0002]

본 발명은 시스템 감시 기술에 관한 것으로, 보다 상세하게는 장치가 발생시키는 입출력 신호가 가지는 특성으로부터 시스템의 이상 상태를 감지하는 기술에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a system monitoring technology, and more particularly, to a technique for detecting an abnormal state of a system from characteristics of an input / output signal generated by the apparatus.

최근 산업용 제어기기에 대한 취약점이 다수 발견되고 있다. 특히, 상대적으로 보안 장치가 부족한 것이 공격자에게 알려지게 되면서, 공격자는 제어시스템을 새로운 공격 대상으로 주목하고 있다. 제어시스템은 제어기기의 취약점을 이용한 직, 간접적인 불법 조작 방법이 알려지고 있으며, 제어시스템 관리 업체 또는 내부자에 의한 사이버 위협이 잠재적으로 존재한다.Recently, many vulnerabilities to industrial control devices have been found. In particular, as the lack of security devices becomes known to the attacker, the attacker is paying attention to the control system as a new attack target. The control system is known to be directly or indirectly illegally operated using the weakness of the control device, and there is a potential cyber threat by the control system management company or the insider.

제어시스템 보안은 일반적으로 방화벽(firewall)이나 단방향 자료전달 장치(data diode) 등 기본적인 네트워크 보안 장치에 의해 보호되고 있다. 이 때, 일부 안티바이러스(백신) 제품 등이 적용되고 있으나 제한적이다. 제어시스템은 가용성을 최우선의 가치로 두고 있어 보안 제품이 시스템 운영에 영향을 미치는 것을 우려하기 때문이다. 제어시스템은 안티바이러스 등의 보안 제품을 사용하더라도 알려진 공격에 대해서만 대응할 수 있다. 이 때, 제어시스템은 망분리(air-gapped network)가 적용되어 있는 경우가 많아 보안 제품의 업데이트에 많은 비용이 요구된다. 또한, 제품 업데이트를 위한 경로 자체가 또 하나의 보안 위협이 되기도 한다.Control system security is generally protected by basic network security devices such as firewalls and unidirectional data diodes. At this time, some anti-virus (vaccine) products are being applied but they are limited. Control systems place availability at the top of the list, worrying that security products will affect system operation. The control system can only respond to known attacks, even when using security products such as antivirus. In this case, since the control system is often applied with an air-gapped network, it is costly to update the security product. In addition, the path for product updates is another security threat.

따라서 산업제어시스템에 대한 악성행위 탐지는 제어시스템 네트워크의 통신(ethernet or serial communication) 트래픽(traffic)을 탭핑(tapping) 또는 미러링(mirroring)을 통해 수집하고 분석하여 악성행위를 감시하거나 차단하는 방법이 많이 사용되고 있다. 산업제어시스템의 네트워크 트래픽은 일반 IT 네트워크에 비해 정해진 프토토콜에 따라 일정한 주기와 데이터 범위를 갖는 특성을 가진다.Therefore, malicious activity detection for industrial control systems is a method of monitoring or blocking malicious activity by collecting and analyzing the ethernet or serial communication traffic of the control system network through tapping or mirroring It is widely used. The network traffic of the industrial control system is characterized by having a constant period and data range according to the protocol determined in comparison with the general IT network.

이 때, 종래의 네트워크 트래픽의 보안 기술은 허가된 대상(사용자 또는 기기, IP, 포트, 프로토콜, 명령 등)의 접근만을 허용하는 방법이 흔히 사용되고 있다.At this time, a conventional network traffic security technique is often used to allow access only to an authorized object (user or device, IP, port, protocol, command, etc.).

그러나, 종래의 네트워크 트래픽의 보안 기술은 제어기기의 불법 조작으로 운영자에게는 조작된 모니터링 정보를 보내고 현장장치로는 악의적인 명령을 수행하는 은닉형의 공격에 대해서 악성행위를 탐지할 수 없다. 이러한 유형의 공격은 스턱스넷을 통해 이미 검증된 바가 있다. 제어기기의 조작을 탐지하는 것은 제어기기에 보안 장치를 추가해야 하지만 산업용 제어기기의 제한적인 자원과 다양성으로 인해 보안 기능의 적용이 어렵다. 제어기기는 가용성이 최우선시 되는 상황에서 제한적인 자원 하에 부가 기능을 수행하는 것은 현실적으로 불가능하다. 따라서, 제어기기의 성능에 영향을 미치지 않으면서 악성행위를 감시하기 위해서는 제어시스템 내의 네트워크 트래픽 뿐 만 아니라 제어기기의 입출력 신호에 대한 악성행위를 분석하는 것이 필요하다.However, the conventional network traffic security technology can not detect the malicious action against the hidden type attack that sends the manipulated monitoring information to the operator and illegally executes the malicious command by the illegal operation of the control device. This type of attack has already been proven through Stuxnet. Detecting the operation of the control device requires adding a security device to the control device, but it is difficult to apply the security function due to the limited resources and diversity of the industrial control device. It is practically impossible for the control device to perform additional functions under limited resources in a situation where availability is given the highest priority. Therefore, in order to monitor the malicious behavior without affecting the performance of the control device, it is necessary to analyze not only the network traffic in the control system but also the malicious behavior of the input / output signal of the control device.

한편, 한국등록특허 제 10-1464344호“감시 영상의 정상 상태 학습을 통한 이상 상태 감지 방법과 이를 적용한 감시 카메라 및 영상 관리 시스템” 는 감시 영상의 정상 상태 학습을 통한 이상 상태 감지 방법과 이를 적용한 감시 카메라 및 영상 관리 시스템에 관하여 개시하고 있다.Korean Patent No. 10-1464344 entitled " Method for detecting anomalous state through steady state learning of surveillance image and surveillance camera and image management system using the same, " Camera and image management system.

본 발명은 시스템 이상행위 탐지를 위해 시스템의 감시 영역을 확장하여 종래에는 탐지할 수 없는 시스템의 위협에 대응하는 것을 목적으로 한다.An object of the present invention is to extend the surveillance area of a system in order to detect abnormal behavior of the system to cope with a threat of a system which can not be detected conventionally.

또한, 본 발명은 시스템 이상행위 탐지를 최대한 신속하고 정확하게 수행하고, 통합적인 분석을 위해 데이터를 취합하여 시스템의 이상 상태를 분석하는 것을 목적으로 한다.It is another object of the present invention to perform system anomaly detection as quickly and accurately as possible, and collect data for an integrated analysis to analyze the abnormal state of the system.

또한, 본 발명은 운영자의 피드백 등을 기반으로 스스로 시스템의 상태를 학습하여 이상 상태에 대한 탐지율을 향상시키는 것을 목적으로 한다.It is another object of the present invention to improve the detection rate of an abnormal state by learning the state of the system on its own based on feedback of an operator.

또한, 본 발명은 폐쇄망으로 운영되어 원격 업데이트 불가능한 시스템에 적용시키는 것을 목적으로 한다.The present invention also aims at applying the present invention to a system which is operated as a closed network and can not be remotely updated.

상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 시스템 감시 장치는 적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집하는 신호 수집부 신호 상태 머신(Signal-State Machine) 및 지도 학습(Supervised Learning) 기법 중 적어도 하나 이상을 이용하여 상기 신호를 학습하는 신호 학습부 및 학습된 신호와 새롭게 수집된 신호를 이용하여 상기 장치들의 상태를 판단하는 상태 판단부를 포함한다.According to an aspect of the present invention, there is provided a system monitoring apparatus including a signal collecting part signal state machine and at least one supervisory learning part for collecting signals input / And a state determiner for determining a state of the devices using the learned signal and the newly collected signal.

이 때, 상기 신호 학습부는 상기 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 상기 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성할 수 있다.At this time, the signal learning unit can generate a signal-state machine for the digital input / output signal value of the signal using the collected time and data of the signal collected in the normal operating state of the apparatuses.

이 때, 상기 신호 학습부는 상기 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성할 수 있다.In this case, the signal learning unit may generate state transition information including transition probability and transition time statistics for the digital input / output signal value.

이 때, 상기 신호 학습부는 상기 장치들의 신호 상태 정보와 상기 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 상기 천이 시간 동안의 상기 신호의 아날로그 입출력 신호 값의 변화율을 학습할 수 있다.At this time, the signal learning unit may input the signal state information of the devices and the state transition information to a learning machine to learn a rate of change of the analog input / output signal value of the signal during the transition time.

이 때, 상기 상태 판단부는 상기 디지털 입출력 신호 값에 대한 상기 상태 천이 정보가 비정상적 경우 및 상기 천이 확률이 기설정된 값 이상으로 변화하는 경우 중 적어도 하나 이상 해당하는 경우 상기 장치들을 이상 상태로 판단할 수 있다.At this time, if the state transition information for the digital input / output signal value is abnormal and / or the transition probability is greater than or equal to a predetermined value, the state determination unit may determine that the devices are abnormal have.

이 때, 상기 상태 판단부는 상기 장치들의 신호 상태 정보와 상기 새롭게 수집된 신호의 상태 천이 정보를 상기 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 상기 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 상기 잔차가 기설정된 범위를 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the state determination unit inputs the signal state information of the devices and the state transition information of the newly collected signal to the learning machine, and outputs the predicted analog input / output signal predicted value and the residual of the analog input / and may determine the devices to be in an abnormal state when the residual exceeds the predetermined range.

이 때, 상기 신호 학습부는 상기 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 상기 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행할 수 있다.At this time, the signal learning unit may input the digital input / output signal value of the signal to the first learning machine, and input the analog input / output signal value of the signal to the second learning machine, respectively, to perform supervised learning .

이 때, 상기 신호 학습부는 상기 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습할 수 있다.At this time, the signal learning unit inputs to the third learning machine a connection value obtained by concatenating the first result value output from the first learning machine and the second result value output from the second learning machine, and outputs the connection value The final result value can be learned.

이 때, 상기 상태 판단부는 상기 학습된 신호의 최종 결과 값과 상기 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the state determiner may determine the devices to be abnormal if the difference between the final result value of the learned signal and the final result value of the newly collected signal exceeds a preset threshold value.

이 때, 상기 상태 판단부는 상기 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the state determiner may determine that the devices are in an abnormal state only when the state determination result using the signal state machine and the state determination result using the map learning technique are both abnormal.

또한, 상기한 목적을 달성하기 위한 본 발명의 일실시예에 따른 시스템 감시 방법은 시스템 감시 장치를 이용하는 시스템 감시 방법에 있어서, 적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집하는 단계; 신호 상태 머신(Signal-State Machine)을 이용하여 상기 신호를 학습하는 단계 및 학습된 신호와 새롭게 수집된 신호를 이용하여 상기 장치들의 상태를 판단하는 단계를 포함한다.According to another aspect of the present invention, there is provided a system monitoring method using a system monitoring device, the method comprising: collecting signals input / output to / from at least two devices; Learning the signal using a signal-state machine, and determining the state of the devices using the learned signal and the newly collected signal.

이 때, 상기 신호를 학습하는 단계는 상기 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 상기 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성할 수 있다.At this time, the step of learning the signal may generate a signal-state machine for the digital input / output signal value of the signal using the collected time and data of the signal collected in the normal operating state of the devices have.

이 때, 상기 신호를 학습하는 단계는 상기 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성할 수 있다.At this time, the step of learning the signal may generate state transition information including transition probability and transition time statistics for the digital input / output signal value.

이 때, 상기 신호를 학습하는 단계는 상기 장치들의 신호 상태 정보와 상기 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 상기 천이 시간 동안의 상기 신호의 아날로그 입출력 신호 값의 변화율을 학습할 수 있다.In this case, the step of learning the signal may include inputting the signal state information of the devices and the state transition information to a learning machine to learn a rate of change of the analog input / output signal value of the signal during the transition time .

이 때, 상기 상태를 판단하는 단계는 상기 디지털 입출력 신호 값에 대한 상기 상태 천이 정보가 비정상적 경우 및 상기 천이 확률이 기설정된 값 이상으로 변화하는 경우 중 적어도 하나 이상 해당하는 경우 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the step of judging the state may include: when the state transition information for the digital input / output signal value is abnormal and at least one of the cases where the transition probability changes to a predetermined value or more, It can be judged.

이 때, 상기 상태를 판단하는 단계는 상기 장치들의 신호 상태 정보와 상기 새롭게 수집된 신호의 상태 천이 정보를 상기 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 상기 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 상기 잔차가 기설정된 범위를 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the step of determining the state may include inputting the signal state information of the devices and the state transition information of the newly collected signal to the learning machine and comparing the predicted analog input / output signal predictive value and the analog input / Value, and may determine the devices to be in an abnormal state if the residual exceeds a predetermined range.

이 때, 상기 신호를 학습하는 단계는 상기 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 상기 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행할 수 있다.At this time, learning the signal includes inputting a digital input / output signal value of the signal to a first learning machine, inputting an analog input / output signal value of the signal to a second learning machine, and performing supervised learning can do.

이 때, 상기 신호를 학습하는 단계는 상기 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습할 수 있다.The step of learning the signal may include inputting a connection value obtained by concatenating a first result value output from the first learning machine and a second result value output from the second learning machine to a third learning machine And can learn the final result value output by the user.

이 때, 상기 상태를 판단하는 단계는 상기 학습된 신호의 최종 결과 값과 상기 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.In this case, when the difference between the final result value of the learned signal and the final result value of the newly collected signal exceeds a predetermined threshold value, the step of determining the state may determine the devices to be in an abnormal state .

이 때, 상기 상태를 판단하는 단계는 상기 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 상기 장치들을 이상 상태로 판단할 수 있다.At this time, the step of determining the state may determine that the devices are in an abnormal state only when both the state determination result using the signal state machine and the state determination result using the map learning technique are abnormal.

본 발명은 시스템 이상행위 탐지를 위해 시스템의 감시 영역을 확장하여 종래에는 탐지할 수 없는 시스템의 위협에 대응할 수 있다.The present invention extends the surveillance area of the system to detect abnormal behavior of the system, so that it can cope with the threat of the system that can not be detected in the past.

또한, 본 발명은 시스템 이상행위 탐지를 최대한 신속하고 정확하게 수행하고, 통합적인 분석을 위해 데이터를 취합하여 시스템의 이상 상태를 분석할 수 있다.In addition, the present invention can perform system anomaly detection as quickly and accurately as possible, and analyze the abnormal state of the system by collecting data for an integrated analysis.

또한, 본 발명은 운영자의 피드백 등을 기반으로 스스로 시스템의 상태를 학습하여 이상 상태에 대한 탐지율을 향상시킬 수 있다.In addition, the present invention can improve the detection rate of an abnormal state by learning the state of the system on its own based on the feedback of the operator.

또한, 본 발명은 폐쇄망으로 운영되어 원격 업데이트 불가능한 시스템에 적용시킬 수 있다.Further, the present invention can be applied to a system which is operated as a closed network and can not be remotely updated.

도 1은 본 발명의 일실시예에 따른 제어 시스템과 시스템 감시 장치를 나타낸 블록도이다.
도 2는 본 발명의 일실시예에 따른 시스템 감시 장치를 나타낸 블록도이다.
도 3는 본 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법을 나타낸 동작흐름도이다.
도 4는 본 발명의 일실시예에 따른 지도 학습 기법을 이용한 시스템 감시 방법을 나타낸 동작흐름도이다.
도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.1 is a block diagram showing a control system and a system monitoring apparatus according to an embodiment of the present invention.
2 is a block diagram illustrating a system monitoring apparatus according to an embodiment of the present invention.
3 is a flowchart illustrating a system monitoring method using a signal state machine according to an embodiment of the present invention.
4 is a flowchart illustrating a system monitoring method using a map learning method according to an embodiment of the present invention.
5 is a block diagram illustrating a computer system in accordance with one embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성 요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.Throughout the specification, when an element is referred to as " comprising ", it means that it can include other elements as well, without excluding other elements unless specifically stated otherwise.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 제어 시스템과 시스템 감시 장치를 나타낸 블록도이다.1 is a block diagram showing a control system and a system monitoring apparatus according to an embodiment of the present invention.

도 1을 참조하면, 본 발명의 일실시예에 따른 제어 시스템은 현장 장치(10), 제어 장치(20), HMI 장치(30) 및 시스템 감시 장치(100)를 포함한다.Referring to FIG. 1, a control system according to an embodiment of the present invention includes a field device 10, a control device 20, an HMI device 30, and a system monitoring device 100.

현장 장치(10)는 센서 및 엑츄에이터에 상응할 수 있다.The field device 10 may correspond to sensors and actuators.

이 때, 현장 장치(10)는 제어 장치(20)와 디지털 신호 및 아날로그 신호로 명령을 입력 받을 수 있고, 수행 결과를 보고할 수 있다.At this time, the field device 10 can receive commands from the control device 20 with digital signals and analog signals, and can report the results of the operations.

제어 장치(20)는 제어기기(Programmable Logic Controller, PLC)에 상응할 수 있다.The control device 20 may correspond to a programmable logic controller (PLC).

이 때, 제어 장치(20)는 현장 장치(10)에게 디지털 신호 및 아날로그 신호로 명령을 입력할 수 있고, 수행 결과를 보고 받을 수 있다.At this time, the control device 20 can input a command to the field device 10 as a digital signal and an analog signal, and can receive and report the execution result.

HMI 장치(30)는 HMI(human-machine interface)를 통해 제어 장치(20)의 운전 상황을 주기적으로 보고 받을 수 있다.The HMI device 30 can periodically report the operation status of the control device 20 through a human-machine interface (HMI).

이 때, HMI 장치(30)는 제어 장치(20)에게 네트워크 트래픽으로 운전 명령을 전달할 수 있고, 수행 결과를 보고 받을 수 있다.At this time, the HMI device 30 can transmit the operation command to the control device 20 in the network traffic, and can receive the result of the operation.

이 때, 제어 장치(20)와 HMI 장치(30)가 교신하는 내용과 현장 장치(10)와 제어 장치(20)가 교신하는 내용은 서로 다른 양식(format)을 가지고 있어 단순비교가 불가능하다.At this time, the contents of the communication between the control device 20 and the HMI device 30 and the contents of the communication between the field device 10 and the control device 20 have different formats, and therefore, simple comparison is impossible.

제어 시스템은 제어 장치(20)가 HMI 장치(30)로부터 어떤 메시지를 받으면 현장 장치(10)로 특정 메시지를 출력하거나, 현장 장치(10)가 특정 메시지를 수신하면 HMI 장치(30)에 특정 결과를 보고 하는 전체 제어 프로세스 패턴이 존재할 수 있다.The control system outputs a specific message to the field device 10 when the control device 20 receives a certain message from the HMI device 30 or outputs a specific message to the HMI device 30 when the field device 10 receives the specific message Lt; RTI ID = 0.0 > process control < / RTI >

이 때, 시스템 감시 장치(100)는 전체 제어 프로세스 패턴에서 정상 상태에 대한 모든 패턴을 알고 있다면 이후 발생하는 의심스러운 행위를 탐지할 수 있다.At this time, if the system monitoring apparatus 100 knows all patterns of the normal state in the overall control process pattern, the system monitoring apparatus 100 can detect suspicious behavior that occurs thereafter.

이 때, 제어 시스템의 정상 상태는 운영자가 제어시스템의 운영을 모니터링 함으로써 판단할 때 시스템의 물리적 동작에 문제가 없다고 판단되는 구간으로 정의할 수 있다.In this case, the steady state of the control system can be defined as a section in which it is determined that there is no problem in the physical operation of the system when the operator judges by monitoring the operation of the control system.

제어 장치(20)와 HMI 장치(30)의 영역은 현재 운영 상태에서 정해진 운영절차에 따라 운영자 입력부터 다음 운영 상태로 전환되는 전체 운영 프로세스(패턴)이 존재할 수 있다.There may be a whole operational process (pattern) in which the areas of the control device 20 and the HMI device 30 are switched from the operator input to the next operating state according to a predetermined operating procedure in the current operating state.

현장 장치(10)와 제어 장치(20)의 영역은 제어 장치(20)의 제어 로직에 따라 현재 신호 상태에서 HMI 장치(30)의 명령에 따라 다음 신호 상태로 전환되는 전체 신호 프로세스(패턴)이 존재할 수 있다.The area of the field device 10 and the control device 20 is the entire signal process (pattern) which is switched to the next signal state in accordance with the command of the HMI device 30 in the current signal state in accordance with the control logic of the control device 20 Can exist.

전체 제어 프로세스는 상기 두 영역에서 발생하는 상태 전환에 따라 발생하는 상호 연관된 상태 전환에 상응할 수 있다.The overall control process may correspond to an interrelated state transition occurring in accordance with a state transition occurring in the two regions.

이 때, 시스템 감시 장치(100)는 전체 제어 프로세스의 기설정된 패턴을 벗어나는 경우, 제어 시스템을 이상 상태로 판단할 수 있다.At this time, when the system monitoring apparatus 100 is out of a preset pattern of the entire control process, the system monitoring apparatus 100 can judge the control system as an abnormal state.

이 때, 시스템 감시 장치(100)는 전체 제어 프로세스에서 현재의 상태 정보를 이용하여 운영 프로세스와 신호 프로세스의 현 단계를 시각화하여 표현할 수 있다.At this time, the system monitoring apparatus 100 can visualize and express the present stage of the operational process and the signal process using the current status information in the entire control process.

또한, 시스템 감시 장치(100)는 네트워크 스위치 미러링 및 탭핑 등 제어시스템 구성 및 운영 상황에 따라 적합한 수집 방법을 이용하여 제어 장치(20)와 HMI 장치(30)의 영역에서 데이터를 수집할 수 있다.In addition, the system monitoring apparatus 100 can collect data in the area of the control device 20 and the HMI device 30 using an appropriate collection method according to the control system configuration and operating conditions such as network switch mirroring and tapping.

이 때, 시스템 감시 장치(100)는 제어기기 데이터 수집 서버를 이용하거나, 별도의 신호 수집 장치(Data Acquisition, DAQ)를 설치하여 현장 장치(10)와 제어 장치(20)의 영역에 대한 데이터를 수집할 수 있다.At this time, the system monitoring apparatus 100 uses a control device data collection server or a separate signal acquisition device (Data Acquisition) to store data about the area of the field device 10 and the control device 20 Can be collected.

시스템 감시 장치(100)는 현장 장치(10)와 제어 장치(20)가 입출력하는 디지털 신호와 아날로그 신호를 수집할 수 있다.The system monitoring apparatus 100 can collect digital signals and analog signals input and output by the field apparatus 10 and the control apparatus 20.

이 때, 시스템 감시 장치(100)는 기계 학습에 기반하여 수집한 신호를 학습할 수 있고, 학습된 신호의 패턴을 이용하여 시스템 감시를 수행할 수 있다.At this time, the system monitoring apparatus 100 can learn the signals collected based on the machine learning, and can perform the system monitoring using the patterns of the learned signals.

이 때, 시스템 감시 장치(100)는 기계 학습을 통해 현장 장치(10)와 제어 장치(20)의 입출력 신호에 대한 이해가 없어도 장치들의 정상 상태를 학습할 수 있다.At this time, the system monitoring apparatus 100 can learn the normal state of the devices without understanding the input / output signals of the field device 10 and the control device 20 through machine learning.

이 때, 시스템 감시 장치(100)는 시스템이 운영되는 동안 장치들이 입출력 하는 신호로부터 지속적으로 장치들의 상태를 학습할 수 있다.At this time, the system monitoring apparatus 100 can continuously learn the states of the devices from the signals input / output by the devices while the system is operating.

이 때, 시스템 감시 장치(100)는 정상 신호 값을 학습할 수 있고, 이후 새롭게 수집된 신호 값을 비교하여 장치들의 정상 상태 여부를 판단할 수 있다.At this time, the system monitoring apparatus 100 can learn a normal signal value, and then compare the newly collected signal values to determine whether the devices are in a normal state.

이 때, 시스템 감시 장치(100)는 새롭게 수집된 신호로부터 기존에 발생하지 않았던 새로운 패턴이 검출된 경우, 장치들을 이상 상태로 판단할 수 있다.At this time, the system monitoring apparatus 100 may determine that the devices are in an abnormal state when a new pattern that has not occurred in the past is detected from newly collected signals.

또한, 시스템 감시 장치(100)와 제어 장치(20)는 하나의 장치로 결합되어 제어 장치(20)와 시스템 감시 장치(100)의 기능을 수행할 수도 있다.The system monitoring apparatus 100 and the control apparatus 20 may be combined into a single apparatus to perform the functions of the control apparatus 20 and the system monitoring apparatus 100.

도 2는 본 발명의 일실시예에 따른 시스템 감시 장치를 나타낸 블록도이다.2 is a block diagram illustrating a system monitoring apparatus according to an embodiment of the present invention.

도 2를 참조하면, 본 발명의 일실시예에 따른 시스템 감시 장치(100)는 신호 수집부(110), 신호 학습부(120) 및 상태 판단부(130)를 포함할 수 있다.2, a system monitoring apparatus 100 according to an embodiment of the present invention may include a signal collecting unit 110, a signal learning unit 120, and a state determination unit 130. [

신호 수집부(110)는 적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집할 수 있다.The signal collecting unit 110 may collect signals that at least two devices input / output to / from each other.

이 때, 신호 수집부(110)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 신호를 수집할 수 있다.At this time, the signal collecting unit 110 can collect signals that the field device 10 and the control device 20 input / output to / from each other.

이 때, 신호 수집부(110)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 디지털 입출력 신호와 아날로그 입출력 신호를 분리하여 수집할 수도 있다.At this time, the signal collecting unit 110 may separate and collect digital input / output signals and analog input / output signals that the field device 10 and the control device 20 mutually input and output.

신호 학습부(120)는 신호 상태 머신(Signal-State Machine) 및 지도 학습(Supervised Learning) 기법 중 적어도 하나 이상을 이용하여 수집된 신호를 학습할 수 있다.The signal learning unit 120 may learn a signal collected using at least one of a signal-state machine and a supervised learning technique.

이 때, 신호 학습부(120)는 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성할 수 있다.At this time, the signal learning unit 120 can generate a signal-state machine for the digital input / output signal value of the signal using the collected time of the signal collected in the normal operating state of the apparatuses and the data.

이 때, 신호 학습부(120)는 마르코프 프로세스(Markov Process)를 이용하여 복수개(n개)의 디지털 입출력 신호 값에 대한 신호 상태 머신을 생성할 수 있다.At this time, the signal learning unit 120 may generate a signal state machine for a plurality of (n) digital input / output signal values using a Markov process.

이 때, 신호 학습부(120)는 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성할 수 있고, 상태 천이 정보를 저장할 수 있다.At this time, the signal learning unit 120 can generate state transition information including transition probability and transition time statistics for digital input / output signal values, and can store state transition information.

예를 들어, 신호 상태 머신은 상태(state)를 S=([신호명]_[ON 또는 OFF])로 생성할 수 있다.For example, a signal state machine can generate a state S = ([signal name] _ [ON or OFF]).

이 때, 신호명은 제어 장치(20)의 심볼 테이블 또는 테그 테이블을 이용하거나 신호 수집을 위해 사용되는 신호 수집부(110) 또는 신호 수집 서버의 심볼을 사용할 수도 있다.At this time, the signal name may be a symbol table of the controller 20, a tag table, or a signal collection unit 110 used for signal collection or a symbol of the signal collection server.

또한, 신호 상태 머신은 상태 A 에서 B 로의 상태 천이(state transition)를 천이 확률(transition probability)

Figure pat00001
와 천이 시간(transition time) 통계
Figure pat00002
로 나타낼 수 있다.The signal state machine also determines the state transition from state A to state B as a transition probability,
Figure pat00001
And transition time statistics
Figure pat00002
.

이 때, 천이 시간 통계는 천이 시간 평균과 표준 편차를 포함할 수 있다.At this time, the transition time statistics may include transition time averages and standard deviations.

또한, 신호 학습부(120)는 복수개(m개)의 아날로그 입출력 신호 값에 대해, 장치들의 신호 상태 정보와 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 천이 시간 동안의 아날로그 입출력 신호 값의 변화율을 학습할 수 있다.Also, the signal learning unit 120 inputs signal state information and state transition information of the devices to a learning machine for a plurality of (m) analog input / output signal values, and outputs the analog input / The rate of change can be learned.

이 때, 신호 학습부(120)는 디지털 입출력 신호 값이 아닌 상태 천이 정보를 학습 기계에 입력하게 되므로, 학습 시간을 단축할 수 있다.At this time, since the signal learning unit 120 inputs the state transition information, not the digital input / output signal value, to the learning machine, the learning time can be shortened.

상태 판단부(130)는 학습된 신호와 새롭게 수집된 신호를 이용하여 장치들의 상태를 판단할 수 있다.The state determination unit 130 may determine the states of the devices using the learned signal and the newly collected signal.

이 때, 상태 판단부(130)는 디지털 입출력 신호 값에 대한 상태 천이 정보가 비정상적 경우, 장치들을 이상 상태로 판단할 수 있다.At this time, if the state transition information for the digital input / output signal value is abnormal, the state determination unit 130 may determine that the devices are in an abnormal state.

이 때, 상태 판단부(130)는 천이 확률이 기설정된 값 이상으로 변화하는 경우에도 장치들을 이상 상태로 판단할 수 있다.At this time, the state determination unit 130 may determine that the devices are in an abnormal state even when the transition probability changes to a predetermined value or more.

이 때, 상태 판단부(130)는 장치들의 신호 상태 정보와 새롭게 수집된 신호의 상태 천이 정보를 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 잔차가 기설정된 범위를 초과하는 경우, 장치들을 이상 상태로 판단할 수 있다.At this time, the state determination unit 130 inputs the signal state information of the devices and the state transition information of the newly collected signal to the learning machine, and calculates the residuals of the predicted analog input / output signal predicted value and the analog input / and if the residual exceeds the predetermined range, the devices can be judged as abnormal.

또한, 신호 학습부(120)는 수집된 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행할 수 있다.Also, the signal learning unit 120 inputs the digital input / output signal values of the collected signals to the first learning machine, inputs the analog input / output signal values of the signals to the second learning machine, and performs supervised learning .

이 때, 신호 학습부(120)는 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습할 수 있다.At this time, the signal learning unit 120 inputs a connection value obtained by concatenating the first result value output from the first learning machine and the second result value output from the second learning machine to the third learning machine You can learn the final output value.

즉, 신호 학습부(120)는 수집된 복수개(n개)의 디지털 입출력 신호 값

Figure pat00003
과 복수개(m개)의 아날로그 입출력 신호 값
Figure pat00004
을 학습기계
Figure pat00005
에 입력하여 지도 학습을 수행할 수 있다.That is, the signal learning unit 120 acquires a plurality of (n) digital input / output signal values
Figure pat00003
And a plurality of (m) analog input / output signal values
Figure pat00004
Learning machine
Figure pat00005
So that map learning can be performed.

이 때, 학습 기계

Figure pat00006
은 입력(input) x와 출력(output) y로 지도 학습 하는 것을
Figure pat00007
로 나타낼 수 있다. 이 때, 학습 기계
Figure pat00008
은 수학식 1을 이용하여 지도 학습을 수행할 수 있다.At this time,
Figure pat00006
Is to map the input x and output y
Figure pat00007
. At this time,
Figure pat00008
Can perform map learning using Equation (1).

Figure pat00009
Figure pat00009

예를 들어, 수학식 1과 같이, 신호 학습부(120)는 지도 학습 시 입력과 출력에 동일한 값을 이용할 수 있다. 디지털 입출력 신호 값과 아날로그 입출력 신호 값은 범위가 다를 수 있어, 별도의 두 개의 학습 기계(

Figure pat00010
)를 사용할 수 있다.For example, as shown in Equation (1), the signal learning unit 120 can use the same value for the input and the output at the time of the map learning. Digital I / O signal values and analog I / O signal values can be in different ranges, and two separate learning machines
Figure pat00010
) Can be used.

이 때,

Figure pat00011
은 상기에서 설명한 제1 학습 기계,
Figure pat00012
는 제2 학습 기계에 상응할 수 있다.At this time,
Figure pat00011
The first learning machine,
Figure pat00012
May correspond to the second learning machine.

이 때, 신호 학습부(120)는 두 개의 학습 기계가 출력한 결과 값을 연결(concatenation)하여 다른 학습 기계(

Figure pat00013
)에 입력할 수 있다.At this time, the signal learning unit 120 concatenates the result values output from the two learning machines,
Figure pat00013
).

이 때,

Figure pat00014
는 상기에서 설명한 제3 학습 기계에 상응할 수 있다.At this time,
Figure pat00014
May correspond to the third learning machine described above.

이 때, 신호 학습부(120)는 입력 값을 나눠서 학습 기계에 입력하는 방식과 출력한 결과 값을 연결하는 방식을 해당 제어 시스템의 입출력 신호의 특성에 맞게 변경될 수 있다.In this case, the signal learning unit 120 may change the manner of inputting the input values to the learning machine and the method of connecting the output values to match the characteristics of the input / output signals of the control system.

즉, 신호 학습부(120)는 수학식 1을 제어시스템이 가지는 입출력 신호의 특성에 맞게 변형시켜 이용할 수 있다.That is, the signal learning unit 120 can use Equation (1) in accordance with the characteristics of the input and output signals of the control system.

이 때, 신호 학습부(120)는 수학식 1과 같이 디지털 입출력 신호 값과 아날로그 입출력 신호 값을 단순하게 구분 지어 학습을 시도할 수 있다. 이 때, 신호 학습부(120)는 현장 장치(10)를 센서와 엑츄에이터로 구분하거나 특정 중요 신호만 학습하고 일부 신호는 학습에 참여시키지 않는 등 여러 방식으로 변형시켜 학습을 수행할 수 있다.At this time, the signal learning unit 120 can attempt to learn by simply dividing the digital input / output signal value and the analog input / output signal value as shown in Equation (1). At this time, the signal learning unit 120 can perform learning by modifying the field device 10 by various methods such as dividing the field device 10 into sensors and actuators, learning only specific important signals, and not including some signals into learning.

본 발명의 일실시예에 따른 학습 네트워크는 LSTM(Long-short term memory) 셀(cell)을 이용한 RNN(recurrent neural network)을 사용할 수도 있고 CNN(convolutional neural network)을 사용할 수도 있다. 학습 네트워크는 마지막 계층이 입력값의 개수를 가지도록 만 설정하면 된다.The learning network according to an embodiment of the present invention may use a recurrent neural network (RNN) using a long-short term memory (LSTM) cell or a convolutional neural network (CNN). The learning network only needs to be set so that the last layer has the number of input values.

즉, 신호 학습부(120)는 최종적으로 학습 기계를 통해 산출되는 결과 값이 입력값과 동일하게 출력되도록 설정할 수 있다.That is, the signal learning unit 120 can set the resultant value finally calculated through the learning machine to be the same as the input value.

이 때, 신호 학습부(120)는 학습 기계

Figure pat00015
이 기존에 학습한(관찰한) 디지털/아날로그 입출력 신호 값의 패턴을 다시 입력 받는 다면, 기존과 유사한 결과 값을 출력할 수 있지만, 한 번도 학습한(관찰한) 적이 없는 디지털/아날로그 입출력 신호 값을 입력 받게 되면 새로운 결과 값을 출력하게 된다.At this time, the signal learning unit 120 acquires,
Figure pat00015
Analog input / output signal values that have been learned (observed) once can be output if the pattern of the previously learned (observed) digital / analog input / output signal values is input again. And the new result value is output.

따라서, 신호 학습부(120)는 초기에 정상 운용 상태에서의 디지털/아날로그 입출력 신호 값을 학습시키는 것이 필요할 수 있다.Therefore, the signal learning unit 120 may need to initially learn the digital / analog input / output signal value in the normal operating state.

상태 판단부(130)는 학습된 신호의 최종 결과 값과 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.The state determiner 130 may determine that the devices are abnormal if the difference between the final result value of the learned signal and the final result value of the newly collected signal exceeds a preset threshold value.

또한, 상태 판단부(130)는 MSE(mean square error)를 이용하여 최종 결과 값을 비교할 수 있다.In addition, the state determiner 130 may compare a final result value using a mean square error (MSE).

즉, 상태 판단부(130)는 출력된 최종 결과 값을 MSE를 통해 특성 숫자로 산출할 수 있다.That is, the state determiner 130 may calculate the final output value as the characteristic number through the MSE.

이 때, 상태 판단부(130)는 기설정된 임계값을 학습 시 산출되는 MSE에 따라 다르게 설정할 수도 있다.At this time, the state determiner 130 may set a predetermined threshold differently according to the MSE calculated at the time of learning.

이 때, 상태 판단부(130)는 높은 임계값을 설정하면 부정 오류(false negative)를 높일 수 있고, 낮은 임계값을 설정하면 긍정 오류(false positive)를 높일 수 있다.At this time, the state determiner 130 may increase a false negative by setting a high threshold value, and may increase a false positive by setting a low threshold value.

이 때, 상태 판단부(130)는 임계값에 기반하여 알람을 생성하게 하면 민감한 오류에 반응할 수 있지만 긍정 오류가 발생할 확률이 높아질 수 있다.At this time, when the state determination unit 130 generates an alarm based on the threshold value, it can respond to a sensitive error, but the probability of occurrence of a positive error can be increased.

또한, 상태 판단부(130)는 MSE 값을 축적(cumulative)하다가 특정 임계값에 점검하게 되면 긍정 오류는 줄일 수 있지만 반응 시간이 늦어질 수 있다.In addition, if the MSE value is accumulated and checked to a specific threshold value, the state determination unit 130 may reduce the positive error but may delay the reaction time.

따라서, 상태 판단부(130)는 제어시스템의 중요도에 따라 임계값을 다르게 설정할 수 있다.Therefore, the state determination unit 130 can set the threshold value differently according to the importance of the control system.

또한, 상태 판단부(130)는 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 장치들을 이상 상태로 판단할 수 있다.In addition, the state determiner 130 may determine that the devices are in an abnormal state only when both the state determination result using the signal state machine and the state determination result using the map learning technique are abnormal.

나아가, 상태 판단부(130)는 네트워크 트래픽 기반 보안 감시 기술과 연동하여 이상 상태 감지 효율을 높일 수 있다.In addition, the state determination unit 130 can increase the efficiency of abnormal state detection in conjunction with the network traffic based security monitoring technology.

제어 장치(20)와 HMI 장치(30)의 영역에서 이상 행위가 발견 될 경우, 상태 판단부(130)는 입출력 신호 분석을 조금 더 상세하게 수행할 수 있다.In a case where an abnormal behavior is found in the area of the control device 20 and the HMI device 30, the state determination part 130 can perform the input / output signal analysis in a little more detail.

예를 들어, 상태 판단부(130)는 이상 징후 판단 기준이 되는 임계값을 낮게 설정할 수 있다.For example, the state determination unit 130 may set a threshold value that is a criterion for determining an abnormal symptom to be low.

반대로, 상태 판단부(130)는 현장 장치(10)와 제어 장치(10)의 영역에서, 입출력 신호를 분석 한 결과, 의심되는 정황이 감지되면 네트워크 트래픽 보안 감시를 상세히 관찰할 수 있다.On the contrary, the state determiner 130 can observe the network traffic security surveillance in detail when the suspect situation is detected as a result of analyzing the input / output signals in the area of the field device 10 and the controller 10.

예를 들어, 상태 판단부(130)는 네트워크 트래픽에서 패킷의 페이로드(payload)까지 상세히 검사할 수 있다.For example, the state determiner 130 may check the payload of the packet in detail from the network traffic.

또한, 상태 판단부(130)는 현장 장치(10)와 제어 장치(20)의 영역과, 제어 장치(20)와 HMI 장치(30)의 영역 모두에서 이상 상태로 판단된 경우에만, 최종적으로 이상 상태로 판단하도록 판단 기준을 설정할 수도 있다.The state determination unit 130 determines whether or not an abnormality has occurred in the area of the field device 10 and the control device 20 and in the area of the control device 20 and the HMI device 30 The determination criterion can be set.

이 때, 상태 판단부(130)는 각 영역에서 이상 상태로 의심되는 정도를 정량화하여 영역 별로 특정 임계값을 설정할 수 있고, 임계값을 초과하는 경우에만 알림을 울리는 방식 등을 이용할 수도 있다.At this time, the state determination unit 130 may quantify the degree of suspicion of an abnormal state in each area and set a specific threshold value for each area, or a method of ringing a notification only when the threshold value is exceeded.

도 3는 본 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법을 나타낸 동작흐름도이다.3 is a flowchart illustrating a system monitoring method using a signal state machine according to an embodiment of the present invention.

도 3을 참조하면, 본 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법은 먼저 신호를 수집할 수 있다(S210).Referring to FIG. 3, a system monitoring method using a signal state machine according to an embodiment of the present invention may first collect signals (S210).

즉, 단계(S210)는 적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집할 수 있다.That is, the step S210 may collect signals that at least two devices input and output to / from each other.

이 때, 단계(S210)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 신호를 수집할 수 있다.At this time, the step S210 can collect signals that the field device 10 and the control device 20 mutually input and output.

이 때, 단계(S210)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 디지털 입출력 신호와 아날로그 입출력 신호를 분리하여 수집할 수도 있다.At this time, the step S210 may separate and collect the digital input / output signal and the analog input / output signal which the field device 10 and the control device 20 input / output to / from each other.

또한, 본 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법은 신호 상태 머신을 생성할 수 있다(S220).In addition, the system monitoring method using the signal state machine according to an embodiment of the present invention can generate a signal state machine (S220).

즉, 단계(S220)는 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성할 수 있다.That is, the step S220 may generate a signal-state machine for the digital input / output signal value of the signal using the collected time of the signal collected in the normal operating state of the apparatuses and the data.

이 때, 단계(S220)는 마르코프 프로세스(Markov Process)를 이용하여 복수개(n개)의 디지털 입출력 신호 값에 대한 신호 상태 머신을 생성할 수 있다.At this time, the step S220 may generate a signal state machine for a plurality of (n) digital input / output signal values using a Markov process.

이 때, 단계(S220)는 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성할 수 있고, 상태 천이 정보를 저장할 수 있다.At this time, the step S220 may generate state transition information including transition probability and transition time statistics for the digital input / output signal value, and may store the state transition information.

예를 들어, 신호 상태 머신은 상태(state)를 S=([신호명]_[ON 또는 OFF])로 생성할 수 있다.For example, a signal state machine can generate a state S = ([signal name] _ [ON or OFF]).

이 때, 신호명은 제어 장치(20)의 심볼 테이블 또는 테그 테이블을 이용하거나 신호 수집을 위해 사용되는 신호 수집부(110) 또는 신호 수집 서버의 심볼을 사용할 수도 있다.At this time, the signal name may be a symbol table of the controller 20, a tag table, or a signal collection unit 110 used for signal collection or a symbol of the signal collection server.

또한, 신호 상태 머신은 상태 A 에서 B 로의 상태 천이(state transition)를 천이 확률(transition probability)

Figure pat00016
와 천이 시간(transition time) 통계
Figure pat00017
로 나타낼 수 있다.The signal state machine also determines the state transition from state A to state B as a transition probability,
Figure pat00016
And transition time statistics
Figure pat00017
.

이 때, 천이 시간 통계는 천이 시간 평균과 표준 편차를 포함할 수 있다.At this time, the transition time statistics may include transition time averages and standard deviations.

또한, 본 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법은 아날로그 입출력 신호 값을 학습할 수 있다(S230).In addition, the system monitoring method using the signal state machine according to an embodiment of the present invention can learn an analog input / output signal value (S230).

즉, 단계(S230)는 복수개(m개)의 아날로그 입출력 신호 값에 대해, 장치들의 신호 상태 정보와 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 천이 시간 동안의 아날로그 입출력 신호 값의 변화율을 학습할 수 있다.That is, in step S230, the signal state information and state transition information of the devices are input to a learning machine for a plurality of (m) analog input / output signal values, and the rate of change of the analog input / You can learn.

이 때, 단계(S230)는 디지털 입출력 신호 값이 아닌 상태 천이 정보를 학습 기계에 입력하게 되므로, 학습 시간을 단축할 수 있다.At this time, since the state transition information, not the digital input / output signal value, is input to the learning machine in step S230, the learning time can be shortened.

또한, 발명의 일실시예에 따른 신호 상태 머신을 이용한 시스템 감시 방법은 장치들의 상태를 판단할 수 있다(S240).In addition, the system monitoring method using the signal state machine according to an embodiment of the present invention can determine the states of the devices (S240).

즉, 단계(S240)는 학습된 신호와 새롭게 수집된 신호를 이용하여 장치들의 상태를 판단할 수 있다.That is, the step S240 can determine the state of the devices using the learned signal and the newly collected signal.

이 때, 단계(S240)는 디지털 입출력 신호 값에 대한 상태 천이 정보가 비정상적 경우, 장치들을 이상 상태로 판단할 수 있다.At this time, if the state transition information for the digital input / output signal value is abnormal, step S240 may determine that the devices are in an abnormal state.

이 때, 단계(S240)는 천이 확률이 기설정된 값 이상으로 변화하는 경우에도 장치들을 이상 상태로 판단할 수 있다.At this time, step S240 may determine that the devices are in an abnormal state even when the transition probability changes to a predetermined value or more.

이 때, 단계(S240)는 장치들의 신호 상태 정보와 새롭게 수집된 신호의 상태 천이 정보를 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 잔차가 기설정된 범위를 초과하는 경우, 장치들을 이상 상태로 판단할 수 있다.At this time, in step S240, the signal state information of the devices and the state transition information of the newly collected signal are inputted to the learning machine, and the residual of the predicted analog input / output signal predicted value and the analog input / And if the residual exceeds the predetermined range, the devices can be judged as abnormal.

도 4는 본 발명의 일실시예에 따른 지도 학습 기법을 이용한 시스템 감시 방법을 나타낸 동작흐름도이다.4 is a flowchart illustrating a system monitoring method using a map learning method according to an embodiment of the present invention.

도 4를 참조하면, 본 발명의 일실시예에 따른 지도 학습 기법을 이용한 시스템 감시 방법은 먼저 신호를 수집할 수 있다(S310).Referring to FIG. 4, a system monitoring method using a map learning technique according to an embodiment of the present invention may collect signals (S310).

즉, 단계(S310)는 적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집할 수 있다.That is, the step S310 may collect signals that at least two devices input and output to / from each other.

이 때, 단계(S310)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 신호를 수집할 수 있다.At this time, in step S310, the field device 10 and the control device 20 can collect signals to / from each other.

이 때, 단계(S310)는 현장 장치(10)와 제어 장치(20)가 서로 입출력 하는 디지털 입출력 신호와 아날로그 입출력 신호를 분리하여 수집할 수도 있다.At this time, the step S310 may separate and collect the digital input / output signal and the analog input / output signal which the field device 10 and the control device 20 input / output to / from each other.

또한, 본 발명의 일실시예에 따른 지도 학습 기법을 이용한 시스템 감시 방법은 지도 학습을 수행할 수 있다(S320).In addition, the system monitoring method using the map learning method according to an embodiment of the present invention can perform the map learning (S320).

즉, 단계(S320)는 수집된 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행할 수 있다.That is, the digital input / output signal value of the collected signal may be input to the first learning device, and the analog input / output signal value of the signal may be input to the second learning device, respectively, to perform supervised learning .

이 때, 단계(S320)는 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습할 수 있다.At this time, in step S320, a connection value obtained by concatenating the first result value output from the first learning machine and the second result value output from the second learning machine is input to the third learning machine and output The final result value can be learned.

예를 들어, 단계(S320)는 수집된 복수개(n개)의 디지털 입출력 신호 값

Figure pat00018
과 복수개(m개)의 아날로그 입출력 신호 값
Figure pat00019
을 학습기계
Figure pat00020
에 입력하여 지도 학습을 수행할 수 있다.For example, in step S320, a plurality of (n) digital input / output signal values
Figure pat00018
And a plurality of (m) analog input / output signal values
Figure pat00019
Learning machine
Figure pat00020
So that map learning can be performed.

이 때, 학습 기계

Figure pat00021
은 입력(input) x와 출력(output) y로 지도 학습 하는 것을
Figure pat00022
로 나타낼 수 있다. 이 때, 학습 기계
Figure pat00023
은 수학식 1을 이용하여 지도 학습을 수행할 수 있다.At this time,
Figure pat00021
Is to map the input x and output y
Figure pat00022
. At this time,
Figure pat00023
Can perform map learning using Equation (1).

예를 들어, 수학식 1과 같이, 단계(S320)는 지도 학습 시 입력과 출력에 동일한 값을 이용할 수 있다. 디지털 입출력 신호 값과 아날로그 입출력 신호 값은 범위가 다를 수 있어, 별도의 두 개의 학습 기계(

Figure pat00024
)를 사용할 수 있다.For example, as in Equation (1), step S320 may use the same value for input and output at the time of map learning. Digital I / O signal values and analog I / O signal values can be in different ranges, and two separate learning machines
Figure pat00024
) Can be used.

이 때,

Figure pat00025
은 상기에서 설명한 제1 학습 기계,
Figure pat00026
는 제2 학습 기계에 상응할 수 있다.At this time,
Figure pat00025
The first learning machine,
Figure pat00026
May correspond to the second learning machine.

이 때, 단계(S320)는 두 개의 학습 기계가 출력한 결과 값을 연결(concatenation)하여 다른 학습 기계(

Figure pat00027
)에 입력할 수 있다.At this time, the step S320 concatenates the result values output from the two learning machines,
Figure pat00027
).

이 때,

Figure pat00028
는 상기에서 설명한 제3 학습 기계에 상응할 수 있다.At this time,
Figure pat00028
May correspond to the third learning machine described above.

이 때, 단계(S320)는 입력 값을 나눠서 학습 기계에 입력하는 방식과 출력한 결과 값을 연결하는 방식을 해당 제어 시스템의 입출력 신호의 특성에 맞게 변경될 수 있다.In this case, the method of dividing the input values into the learning machine and the method of connecting the output values may be changed according to the characteristics of the input / output signals of the corresponding control system.

즉, 단계(S320)는 수학식 1을 제어시스템이 가지는 입출력 신호의 특성에 맞게 변형시켜 이용할 수 있다.That is, the step S320 may be modified by adapting Equation (1) to the characteristics of the input and output signals of the control system.

이 때, 단계(S320)는 수학식 1과 같이 디지털 입출력 신호 값과 아날로그 입출력 신호 값을 단순하게 구분 지어 학습을 시도할 수 있다. 이 때, 단계(S320)는 현장 장치(10)를 센서와 엑츄에이터로 구분하거나 특정 중요 신호만 학습하고 일부 신호는 학습에 참여시키지 않는 등 여러 방식으로 변형시켜 학습을 수행할 수 있다.At this time, in step S320, it is possible to attempt learning by simply classifying the digital input / output signal value and the analog input / output signal value as in Equation (1). In this case, in step S320, the field device 10 may be divided into a sensor and an actuator, or may learn learning by modifying various methods such as learning only specific important signals and not participating in learning.

본 발명의 일실시예에 따른 학습 네트워크는 LSTM(Long-short term memory) 셀(cell)을 이용한 RNN(recurrent neural network)을 사용할 수도 있고 CNN(convolutional neural network)을 사용할 수도 있다. 학습 네트워크는 마지막 계층이 입력값의 개수를 가지도록 만 설정하면 된다.The learning network according to an embodiment of the present invention may use a recurrent neural network (RNN) using a long-short term memory (LSTM) cell or a convolutional neural network (CNN). The learning network only needs to be set so that the last layer has the number of input values.

즉, 단계(S320)는 최종적으로 학습 기계를 통해 산출되는 결과 값이 입력값과 동일하게 출력되도록 설정할 수 있다.That is, in step S320, it is possible to finally set the result value calculated through the learning machine to be the same as the input value.

이 때, 단계(S320)는 학습 기계

Figure pat00029
이 기존에 학습한(관찰한) 디지털/아날로그 입출력 신호 값의 패턴을 다시 입력 받는 다면, 기존과 유사한 결과 값을 출력할 수 있지만, 한 번도 학습한(관찰한) 적이 없는 디지털/아날로그 입출력 신호 값을 입력 받게 되면 새로운 결과 값을 출력하게 된다.At this time, in step S320,
Figure pat00029
Analog input / output signal values that have been learned (observed) once can be output if the pattern of the previously learned (observed) digital / analog input / output signal values is input again. And the new result value is output.

따라서, 단계(S320)는 초기에 정상 운용 상태에서의 디지털/아날로그 입출력 신호 값을 학습시키는 것이 필요할 수 있다.Thus, step S320 may require initial learning of the digital / analog input / output signal values in the normal operating state.

또한, 본 발명의 일실시예에 따른 지도 학습 기법을 이용한 시스템 감시 방법은 장치들의 상태를 판단할 수 있다(S330).In addition, the system monitoring method using the map learning method according to an embodiment of the present invention can determine the states of the devices (S330).

즉, 단계(S330)는 학습된 신호의 최종 결과 값과 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단할 수 있다.That is, the step S330 may determine that the devices are abnormal if the difference between the final result value of the learned signal and the final result value of the newly collected signal exceeds a predetermined threshold value.

또한, 단계(S330)는 MSE(mean square error)를 이용하여 최종 결과 값을 비교할 수 있다.In addition, the final result value may be compared using a mean square error (MSE) in step S330.

즉, 단계(S330)는 출력된 최종 결과 값을 MSE를 통해 특성 숫자로 산출할 수 있다.That is, in step S330, the output final result value may be calculated as a characteristic number through the MSE.

이 때, 단계(S330)는 기설정된 임계값을 학습 시 산출되는 MSE에 따라 다르게 설정할 수도 있다.In this case, in step S330, the predetermined threshold value may be set differently according to the MSE calculated at the time of learning.

이 때, 단계(S330)는 높은 임계값을 설정하면 부정 오류(false negative)를 높일 수 있고, 낮은 임계값을 설정하면 긍정 오류(false positive)를 높일 수 있다.In this case, step S330 may increase a false negative by setting a high threshold value, and increase a false positive value by setting a low threshold value.

이 때, 단계(S330)는 임계값에 기반하여 알람을 생성하게 하면 민감한 오류에 반응할 수 있지만 긍정 오류가 발생할 확률이 높아질 수 있다.In this case, if an alarm is generated based on the threshold value in step S330, it may respond to a sensitive error, but the probability of occurrence of a positive error may increase.

또한, 단계(S330)는 MSE 값을 축적(cumulative)하다가 특정 임계값에 점검하게 되면 긍정 오류는 줄일 수 있지만 반응 시간이 늦어질 수 있다.Also, if the MSE value is accumulated and checked at a specific threshold value in step S330, the positive error may be reduced but the reaction time may be delayed.

따라서, 단계(S330)는 제어시스템의 중요도에 따라 임계값을 다르게 설정할 수 있다.Therefore, the threshold value may be set differently according to the importance of the control system in step S330.

도 3 및 도 4를 참조하면, 단계(S240) 및 단계(S330)는 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 장치들을 이상 상태로 판단할 수 있다.Referring to FIGS. 3 and 4, steps S240 and S330 determine that the devices are in an abnormal state only when both the state determination result using the signal state machine and the state determination result using the map learning technique are abnormal can do.

나아가, 단계(S240) 및 단계(S330)는 네트워크 트래픽 기반 보안 감시 기술과 연동하여 이상 상태 감지 효율을 높일 수 있다.In addition, steps S240 and S330 may increase the efficiency of abnormal state detection in conjunction with the network traffic based security monitoring technology.

단계(S240) 및 단계(S330)는 제어 장치(20)와 HMI 장치(30)의 영역에서 이상 행위가 발견 될 경우, 입출력 신호 분석을 조금 더 상세하게 수행할 수 있다.The steps S240 and S330 may perform the input / output signal analysis in a slightly more detailed manner if an abnormal behavior is found in the area of the control device 20 and the HMI device 30. [

예를 들어, 단계(S240) 및 단계(S330)는 이상 징후 판단 기준이 되는 임계값을 낮게 설정할 수 있다.For example, steps S240 and S330 may set the threshold value, which is a criterion for determining an abnormal symptom, to be low.

반대로, 단계(S240) 및 단계(S330)는 현장 장치(10)와 제어 장치(10)의 영역에서, 입출력 신호를 분석 한 결과, 의심되는 정황이 감지되면 네트워크 트래픽 보안 감시를 상세히 관찰할 수 있다.On the other hand, steps S240 and S330 can observe the network traffic security monitoring in detail when the suspicious condition is detected as a result of analyzing the input / output signals in the area of the field device 10 and the control device 10 .

예를 들어, 단계(S240) 및 단계(S330)는 네트워크 트래픽에서 패킷의 페이로드(payload)까지 상세히 검사할 수 있다.For example, step S240 and step S330 can check the payload of the packet from the network traffic in detail.

또한, 단계(S240) 및 단계(S330)는 현장 장치(10)와 제어 장치(20)의 영역과, 제어 장치(20)와 HMI 장치(30)의 영역 모두에서 이상 상태로 판단된 경우에만, 최종적으로 이상 상태로 판단하도록 판단 기준을 설정할 수도 있다.Steps S240 and S330 are performed only when the abnormal state is determined in both the area of the field device 10 and the control device 20 and the area of the control device 20 and the HMI device 30, The judgment criterion can be set so as to finally judge the abnormal state.

이 때, 단계(S240) 및 단계(S330)는 각 영역에서 이상 상태로 의심되는 정도를 정량화하여 영역 별로 특정 임계값을 설정할 수 있고, 임계값을 초과하는 경우에만 알림을 울리는 방식 등을 이용할 수도 있다.In this case, steps S240 and S330 may be performed by quantifying the degree of suspicion of an abnormal state in each area and setting a specific threshold value for each area, or by notifying only when the threshold value is exceeded have.

도 5는 본 발명의 일실시예에 따른 컴퓨터 시스템을 나타낸 블록도이다.5 is a block diagram illustrating a computer system in accordance with one embodiment of the present invention.

도 5를 참조하면, 본 발명의 일실시예에 따른 제어 장치(20), HMI 장치(30) 및 시스템 감시 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1100)에서 구현될 수도 있다. 도 12에 도시된 바와 같이, 컴퓨터 시스템(1100)은 버스(1120)를 통하여 서로 통신하는 하나 이상의 프로세서(1110), 메모리(1130), 사용자 인터페이스 입력 장치(1140), 사용자 인터페이스 출력 장치(1150) 및 스토리지(1160)를 포함할 수 있다. 또한, 컴퓨터 시스템(1100)은 네트워크(1180)에 연결되는 네트워크 인터페이스(1170)를 더 포함할 수 있다. 프로세서(1110)는 중앙 처리 장치 또는 메모리(1130)나 스토리지(1160)에 저장된 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1130) 및 스토리지(1160)는 다양한 형태의 휘발성 또는 비휘발성 저장 매체일 수 있다. 예를 들어, 메모리는 ROM(1131)이나 RAM(1132)을 포함할 수 있다.5, a control device 20, an HMI device 30 and a system monitoring device 100 according to an embodiment of the present invention may be implemented in a computer system 1100 such as a computer-readable recording medium It is possible. 12, the computer system 1100 includes one or more processors 1110, a memory 1130, a user interface input device 1140, a user interface output device 1150, And storage 1160. In addition, the computer system 1100 may further include a network interface 1170 connected to the network 1180. The processor 1110 may be a central processing unit or a semiconductor device that executes the processing instructions stored in the memory 1130 or the storage 1160. Memory 1130 and storage 1160 can be various types of volatile or non-volatile storage media. For example, the memory may include ROM 1131 or RAM 1132.

이상에서와 같이 본 발명에 따른 시스템 감시 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the system monitoring apparatus and method according to the present invention are not limited to the configuration and method of the embodiments described above, but the embodiments can be applied to all of the embodiments Or some of them may be selectively combined.

10: 현장 장치 20: 제어 장치
30: HMI 장치 100: 시스템 감시 장치
110: 신호 수집부 120: 신호 학습부
130: 상태 판단부
1100: 컴퓨터 시스템 1110: 프로세서
1120: 버스 1130: 메모리
1131: 롬 1132: 램
1140: 사용자 인터페이스 입력 장치
1150: 사용자 인터페이스 출력 장치
1160: 스토리지 1170: 네트워크 인터페이스
1180: 네트워크10: Field device 20: Control device
30: HMI device 100: System monitoring device
110: Signal collecting unit 120: Signal learning unit
130:
1100: Computer system 1110: Processor
1120: bus 1130: memory
1131: ROM 1132: RAM
1140: User interface input device
1150: User interface output device
1160: Storage 1170: Network Interface
1180: Network

Claims (20)

적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집하는 신호 수집부;
신호 상태 머신(Signal-State Machine) 및 지도 학습(Supervised Learning) 기법 중 적어도 하나 이상을 이용하여 상기 신호를 학습하는 신호 학습부; 및
학습된 신호와 새롭게 수집된 신호를 이용하여 상기 장치들의 상태를 판단하는 상태 판단부;
를 포함하는 것을 특징으로 하는 시스템 감시 장치.A signal collecting unit for collecting a signal that at least two devices mutually input and output;
A signal learning unit for learning the signal using at least one of a signal-state machine and a supervised learning technique; And
A state determiner for determining a state of the devices using the learned signal and the newly collected signal;
The system monitoring apparatus comprising: 청구항 1에 있어서,
상기 신호 학습부는
상기 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 상기 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성하는 것을 특징으로 하는 시스템 감시 장치.The method according to claim 1,
The signal learning unit
And a signal-state machine for a digital input / output signal value of the signal using the collected time and data of the signal collected in the normal operating state of the devices. 청구항 2에 있어서,
상기 신호 학습부는
상기 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 2,
The signal learning unit
And generates state transition information including transition probabilities and transition time statistics for the digital input / output signal values. 청구항 3에 있어서,
상기 신호 학습부는
상기 장치들의 신호 상태 정보와 상기 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 상기 천이 시간 동안의 상기 신호의 아날로그 입출력 신호 값의 변화율을 학습하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 3,
The signal learning unit
And the state transition information is input to a learning machine to learn a rate of change of an analog input / output signal value of the signal during the transition time. 청구항 4에 있어서,
상기 상태 판단부는
상기 디지털 입출력 신호 값에 대한 상기 상태 천이 정보가 비정상적 경우 및 상기 천이 확률이 기설정된 값 이상으로 변화하는 경우 중 적어도 하나 이상 해당하는 경우 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 4,
The state determiner
Wherein the control unit determines the devices to be in an abnormal state when at least one of the state transition information for the digital input / output signal value is abnormal and the transition probability is greater than a predetermined value. 청구항 5에 있어서,
상기 상태 판단부는
상기 장치들의 신호 상태 정보와 상기 새롭게 수집된 신호의 상태 천이 정보를 상기 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 상기 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 상기 잔차가 기설정된 범위를 초과하는 경우, 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 5,
The state determiner
Calculating a residual of an estimated analog input / output signal prediction value and an analog input / output signal value of the newly collected signal by inputting signal state information of the devices and state transition information of the newly collected signal to the learning machine, And when the residual exceeds the predetermined range, judges the devices to be in an abnormal state. 청구항 6에 있어서,
상기 신호 학습부는
상기 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 상기 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 6,
The signal learning unit
Output signal value of the signal to the first learning machine and inputs the analog input / output signal value of the signal to the second learning machine, respectively, to perform supervised learning. 청구항 7에 있어서,
상기 신호 학습부는
상기 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 7,
The signal learning unit
A connection value obtained by concatenating a first result value output from the first learning machine and a second result value output from the second learning machine is input to a third learning machine and a final result value output from the third learning machine is learned Characterized by a system monitoring device. 청구항 8에 있어서,
상기 상태 판단부는
상기 학습된 신호의 최종 결과 값과 상기 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 8,
The state determiner
And determines the devices to be in an abnormal state if a difference between a final result value of the learned signal and a final result value of the newly collected signal exceeds a preset threshold value. 청구항 9에 있어서,
상기 상태 판단부는
상기 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 장치.The method of claim 9,
The state determiner
And determines that the devices are in an abnormal state only when both the state determination result using the signal state machine and the state determination result using the guidance learning technique are in an abnormal state. 시스템 감시 장치를 이용하는 시스템 감시 방법에 있어서,
적어도 두 개의 장치들이 서로 입출력 하는 신호를 수집하는 단계;
신호 상태 머신(Signal-State Machine)을 이용하여 상기 신호를 학습하는 단계; 및
학습된 신호와 새롭게 수집된 신호를 이용하여 상기 장치들의 상태를 판단하는 단계;
를 포함하는 것을 특징으로 하는 시스템 감시 방법.A system monitoring method using a system monitoring device,
Collecting signals that at least two devices input and output to and from each other;
Learning the signal using a signal-state machine; And
Determining a state of the devices using the learned signal and the newly collected signal;
The system monitoring method comprising: 청구항 11에 있어서,
상기 신호를 학습하는 단계는
상기 장치들의 정상 운영 상태에서 수집한 신호의 수집 시각과 데이터를 이용하여 상기 신호의 디지털 입출력 신호 값에 대한 신호 상태 머신(Signal-State Machine)을 생성하는 것을 특징으로 하는 시스템 감시 방법.The method of claim 11,
The step of learning the signal
And generating a signal-state machine for a digital input / output signal value of the signal using the collected time and data of the signal collected in a normal operating state of the devices. 청구항 12에 있어서,
상기 신호를 학습하는 단계는
상기 디지털 입출력 신호 값에 대한 천이 확률(transition probability)과 천이 시간(transition time) 통계를 포함하는 상태 천이 정보를 생성하는 것을 특징으로 하는 시스템 감시 방법.The method of claim 12,
The step of learning the signal
And generates state transition information including transition probability and transition time statistics for the digital input / output signal value. 청구항 13에 있어서,
상기 신호를 학습하는 단계는
상기 장치들의 신호 상태 정보와 상기 상태 천이 정보를 학습 기계(Learning Machine)에 입력하여 상기 천이 시간 동안의 상기 신호의 아날로그 입출력 신호 값의 변화율을 학습하는 것을 특징으로 하는 시스템 감시 방법.14. The method of claim 13,
The step of learning the signal
Wherein the signal state information of the devices and the state transition information are input to a learning machine to learn the rate of change of the analog input / output signal value of the signal during the transition time. 청구항 14에 있어서,
상기 상태를 판단하는 단계는
상기 디지털 입출력 신호 값에 대한 상기 상태 천이 정보가 비정상적 경우 및 상기 천이 확률이 기설정된 값 이상으로 변화하는 경우 중 적어도 하나 이상 해당하는 경우 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 방법.15. The method of claim 14,
The step of determining the condition
And determining that the devices are in an abnormal state when at least one of the state transition information for the digital input / output signal value is abnormal and the transition probability is greater than a predetermined value. 청구항 15에 있어서,
상기 상태를 판단하는 단계는
상기 장치들의 신호 상태 정보와 상기 새롭게 수집된 신호의 상태 천이 정보를 상기 학습 기계에 입력하여 예측된 아날로그 입출력 신호 예측 값과 상기 새롭게 수집된 신호의 아날로그 입출력 신호 값의 잔차(residual)을 계산하고, 상기 잔차가 기설정된 범위를 초과하는 경우, 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 방법.16. The method of claim 15,
The step of determining the condition
Calculating a residual of an estimated analog input / output signal prediction value and an analog input / output signal value of the newly collected signal by inputting signal state information of the devices and state transition information of the newly collected signal to the learning machine, And if the residual exceeds a predetermined range, judges the devices to be in an abnormal state. 청구항 16에 있어서,
상기 신호를 학습하는 단계는
상기 신호의 디지털 입출력 신호 값을 제1 학습 기계에 입력하고, 상기 신호의 아날로그 입출력 신호 값을 제2 학습 기계에 각각 입력하여 지도 학습(Supervised Learning)을 수행하는 것을 특징으로 하는 시스템 감시 방법.18. The method of claim 16,
The step of learning the signal
Inputting a digital input / output signal value of the signal to a first learning machine, and inputting an analog input / output signal value of the signal to a second learning machine, respectively, to perform supervised learning. 청구항 17에 있어서,
상기 신호를 학습하는 단계는
상기 제1 학습 기계가 출력하는 제1 결과 값과 상기 제2 학습 기계가 출력하는 제2 결과 값을 연결(concatenation)한 연결 값을 제3 학습 기계에 입력하여 출력한 최종 결과 값을 학습하는 것을 특징으로 하는 시스템 감시 방법.18. The method of claim 17,
The step of learning the signal
A connection value obtained by concatenating a first result value output from the first learning machine and a second result value output from the second learning machine is input to a third learning machine and a final result value output from the third learning machine is learned A system monitoring method characterized by. 청구항 18에 있어서,
상기 상태를 판단하는 단계는
상기 학습된 신호의 최종 결과 값과 상기 새롭게 수집된 신호의 최종 결과 값의 차이가 기설정된 임계 값을 초과하는 경우, 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 방법.19. The method of claim 18,
The step of determining the condition
And if the difference between the final result value of the learned signal and the final result value of the newly collected signal exceeds a predetermined threshold value, the devices are determined to be in an abnormal state. 청구항 19에 있어서,
상기 상태를 판단하는 단계는
상기 신호 상태 머신을 이용한 상태 판단 결과와 상기 지도 학습 기법을 이용한 상태 판단 결과가 모두 이상 상태인 경우에만 상기 장치들을 이상 상태로 판단하는 것을 특징으로 하는 시스템 감시 방법.The method of claim 19,
The step of determining the condition
Wherein the apparatus is determined to be in an abnormal state only when both the state determination result using the signal state machine and the state determination result using the guidance learning method are in an abnormal state.
KR1020170143790A 2017-10-31 2017-10-31 Apparatus and method for monitoring the system KR101989579B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170143790A KR101989579B1 (en) 2017-10-31 2017-10-31 Apparatus and method for monitoring the system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170143790A KR101989579B1 (en) 2017-10-31 2017-10-31 Apparatus and method for monitoring the system

Publications (2)

Publication Number Publication Date
KR20190048656A true KR20190048656A (en) 2019-05-09
KR101989579B1 KR101989579B1 (en) 2019-06-14

Family

ID=66545538

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170143790A KR101989579B1 (en) 2017-10-31 2017-10-31 Apparatus and method for monitoring the system

Country Status (1)

Country Link
KR (1) KR101989579B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102484932B1 (en) * 2022-03-24 2023-01-06 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system using status information of industrial facilities
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017120649A (en) * 2015-07-31 2017-07-06 ファナック株式会社 Machine learning method and machine learning device for learning fault condition, and fault prediction device and fault prediction system including machine learning device

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017120649A (en) * 2015-07-31 2017-07-06 ファナック株式会社 Machine learning method and machine learning device for learning fault condition, and fault prediction device and fault prediction system including machine learning device

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102484932B1 (en) * 2022-03-24 2023-01-06 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system using status information of industrial facilities
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system

Also Published As

Publication number Publication date
KR101989579B1 (en) 2019-06-14

Similar Documents

Publication Publication Date Title
EP3834401B1 (en) Industrial system event detection and corresponding response
Maglaras et al. Intrusion detection in SCADA systems using machine learning techniques
US8850582B2 (en) Security monitoring system and security monitoring method
US11153277B2 (en) Security system, device, and method for internet of things networks
US20160330225A1 (en) Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System
US20170237752A1 (en) Prediction of potential cyber security threats and risks in an industrial control system using predictive cyber analytics
CN111600880A (en) Method, system, storage medium and terminal for detecting abnormal access behavior
WO2020046260A1 (en) Process semantic based causal mapping for security monitoring and assessment of control networks
US11647029B2 (en) Probing and responding to computer network security breaches
CN115996146A (en) Numerical control system security situation sensing and analyzing system, method, equipment and terminal
CN112840616A (en) Hybrid unsupervised machine learning framework for industrial control system intrusion detection
KR101989579B1 (en) Apparatus and method for monitoring the system
CN111224973A (en) Network attack rapid detection system based on industrial cloud
CN114666088A (en) Method, device, equipment and medium for detecting industrial network data behavior information
US11089033B2 (en) Intrusion detection device, intrusion detection method, and computer readable medium
CN112688946A (en) Method, module, storage medium, device and system for constructing abnormality detection features
Maglaras et al. A real time OCSVM intrusion detection module with low overhead for SCADA systems
JP6711452B2 (en) Extraction device, extraction method, and program
Maglaras et al. A novel intrusion detection method based on OCSVM and K-means recursive clustering
US20200183340A1 (en) Detecting an undefined action in an industrial system
WO2018193571A1 (en) Device management system, model learning method, and model learning program
CN112799356A (en) Device and method for secure data recording
KR101383069B1 (en) Apparatus and method for detecting anomalous state of network
Hill et al. Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor
JP2022101083A (en) Communication monitoring coping device, communication monitoring coping method, and communication monitoring coping system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant