KR101480905B1

KR101480905B1 - 네트워크 트래픽의 통신 패턴 보호 장치 및 방법

Info

Publication number: KR101480905B1
Application number: KR1020130113929A
Authority: KR
Inventors: 전승호; 윤정한; 김우년; 서정택; 김춘수
Original assignee: 한국전자통신연구원
Priority date: 2013-09-25
Filing date: 2013-09-25
Publication date: 2015-01-13
Also published as: US20150089646A1; EP2854361B1; EP2854361A1; US9356958B2

Abstract

인위적인 통신을 이용하여 제어 시스템의 네트워크에서 트래픽 추이 및 통신 패턴을 보호하는 장치에 관한 것이다. 일 실시예에 따르면, 그 장치는 네트워크에 설치되어 인위적인 통신을 생성하고 필터링하는 통신 단말 장치와, 그 통신 단말 장치에 현재시간에 인위적인 통신을 생성할지 여부를 결정하여 송신측 통신 단말 장치에 인위적인 통신 생성을 요청하고, 수신측 통신 단말 장치에 그 인위적인 통신을 필터링하도록 요청하는 통신 서버 장치를 포함할 수 있다.

Description

네트워크 트래픽의 통신 패턴 보호 장치 및 방법{APPARATUS AND METHOD FOR PROTECTING COMMUNICATION PATTERN OF NETWORK TRAFFIC}

네트워크 트랙픽의 통신 패턴을 보호하는 장치 및 방법에 관한 것으로, 보다 상세하게는 인위적인 통신을 이용하여 제어 시스템의 네트워크에서 트래픽 추이 및 통신 패턴을 보호하는 장치 및 방법에 관한 것이다.

일반적으로 보안백신프로그램의 업데이트가 어려운 SCADA(Supervisory Control And Data Acquisition), CPS(Cyber Physical Systems), 국가기반시설(Infrastructure) 시스템에서는 공격 시그내쳐 기반의 침입탐지시스템을 유지·보수하는 것이 어렵다. 또한 특정 기관을 목표로 하는 국가기반시설 공격은 공격 시그내쳐 방식으로 탐지하는 것이 어려우므로 이상 징후 기반 침입감시시스템이 국가기반시설에서 활발히 연구되고 있다.

하지만, 공격자가 SCADA, 국가기반시설 시스템의 정상적인 통신패턴을 감시하여 정상 프로파일(normal profile)을 얻어낼 경우 이상징후 기반 감시시스템을 무력화시킬 수 있다.

기존에 IT 네트워크에서 트래픽으로부터 사용자의 개인정보를 유출하려는 공격을 막기 위한 연구들이 있었다. 대한민국 공개특허 제10-2010-0078584호는 SCADA통신 보안을 위한 다중 암호화 장치 및 방법을 개시하고 있다. 또한, "Traffic morphing: An efficient defense against statistical traffic analysis"에서는 SSL 등의 방식으로 전송되는 트래픽을 컨벡스 최적화(convex optimization) 기법을 이용해서 내용을 암호화시키는 방법 대신 분류기(classifier)를 이용하여 보다 적은 비용으로 정보를 유출하려는 공격을 막는 방법을 제안하였다. 하지만, 제어시스템에서는 트래픽이 암호화되지 않고 전송되기 때문에 공격자가 바로 트래픽을 감시하면 내용까지 볼 수 있게 되어 적용이 어려운 문제가 있었다.

제어 시스템에서 인위적인 통신을 통하여 정상적인 네트워크 트래픽의 추이 및 통신 패턴을 공격자가 알아내는 것을 방지하는 장치 및 방법을 제공하기 위함이다.

일 양상에 따르면, 네트워크 트래픽의 통신 패턴을 보호하는 장치에 있어서, 통신 서버 장치는 네트워크에서 정상적인 통신이 수행되는 도중에 인위적인 통신을 생성할지를 결정하는 생성결정부 및 생성결정부가 인위적인 통신을 생성하도록 결정하면, 네트워크의 송신측의 통신 단말 장치에 인위적인 통신을 생성하도록 요청하는 생성요청부를 포함할 수 있다.

생성결정부는 네트워크의 통신 주기를 고려하여 인위적인 통신 생성 확률을 산출하고, 산출된 생성 확률을 기초로 인위적인 통신을 생성할지를 결정할 수 있다.

생성결정부는 네트워크의 통신 주기의 절반에 해당하는 값을 평균으로 가지는 정규 분포(normal distribution)를 인위적인 통신 생성 확률로 산출할 수 있다.

생성결정부는 미리 설정된 생성 결정 시간에 더 기초하여 인위적인 통신을 생성할지 결정할 수 있다.

생성결정부는 생성 결정 시간마다 난수값을 생성하고, 현재시간에 기초한 값에 대한 생성 확률 값과 난수값을 비교하여 현재시간에 인위적인 통신을 생성할지를 결정할 수 있다.

이때, 현재시간에 기초한 값은 현재시간을 생성 결정 시간으로 모듈로 연산한 결과값일 수 있다.

생성요청부는 수신측의 통신 단말 장치에 송신측의 통신 단말 장치로부터 수신된 인위적인 통신을 필터링하도록 요청할 수 있다.

일 양상에 따르면, 네트워크 트래픽의 통신 패턴을 보호하는 장치에 있어서, 통신 단말 장치는 통신 서버 장치로부터 인위적인 통신 생성 요청을 수신하면 인위적인 통신을 생성하는 통신생성부, 생성된 인위적인 통신을 수신측의 통신 단말 장치에 송신하고, 송신측의 통신 단말 장치로부터 인위적인 통신을 수신하는 송수신부 및 통신 서버 장치로부터 인위적인 통신 필터링 요청을 수신하면 송신측의 통신 단말 장치로부터 수신된 인위적인 통신을 필터링하는 필터링부를 포함할 수 있다.

또한, 통신 단말 장치는 인위적인 통신을 수신하거나 필터링을 하면, 그 결과에 대한 응답 메시지를 미리 정의된 응답 템플릿을 기초로 생성하는 응답메시지생성부를 더 포함할 수 있다.

일 양상에 따르면, 네트워크 트래픽의 통신 패턴을 보호하는 방법은 네트워크에서 정상적인 통신이 수행되는 도중에 인위적인 통신을 생성할지를 결정하는 단계 및 결정 결과 인위적인 통신을 생성하도록 결정되면, 네트워크의 송신측의 통신 단말 장치에 인위적인 통신을 생성하도록 요청하는 단계를 포함할 수 있다.

인위적인 통신 생성 결정 단계는 네트워크의 통신 주기를 고려하여 인위적인 통신 생성 확률을 산출하고, 산출된 생성 확률을 기초로 인위적인 통신을 생성할 지 결정할 수 있다.

인위적인 통신 생성 결정 단계는 네트워크의 통신 주기의 절반에 해당하는 값을 평균으로 가지는 정규 분포(normal distribution)를 인위적인 통신 생성 확률로 산출할 수 있다.

인위적인 통신 생성 결정 단계는 미리 설정된 생성 결정 시간을 더 고려하여 현재시간에 인위적인 통신을 생성할지 결정할 수 있다.

인위적인 통신 생성 결정 단계는 생성 결정 시간마다 난수값을 생성하는 단계 및 현재시간에 기초한 값에 대한 생성 확률 값과 난수값을 비교하는 단계를 포함할 수 있다.

네트워크 트래픽의 통신 패턴을 보호하는 방법은 수신측의 통신 단말 장치에 송신측의 통신 단말 장치가 생성한 인위적인 통신을 필터링하도록 요청하는 단계를 더 포함할 수 있다.

제어 시스템에서 인위적인 통신 방식을 통해 공격자가 트래픽, 통신을 감시하더라도, 정상적인 통신 패턴이나 프로파일을 알 수 없도록 트래픽 추이, 패턴을 숨길 수 있다. 이로 인해 공격자가 감시를 통해 자체적인 정상 프로파일을 만들지 못하므로 이상 징후 기반 감시 시스템을 보호할 수 있다.

도 1은 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템을 도시한 도면이다.
도 2는 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템의 통신 서버 장치의 블록도이다.
도 3은 일 실시예에 따른 인위적인 통신 생성 확률 그래프를 도시한 것이다.
도 4는 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템의 통신 단말 장치의 블록도이다.
도 5는 일 실시예에 따라 통신 서버 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다.
도 6은 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 방법 중에서 통신 생성 여부 결정하는 방법의 흐름도이다.
도 7은 일 실시예에 따라 송신측의 통신 단말 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다.
도 8은 일 실시예에 따라 수신측의 통신 단말 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다.

기타 실시예들의 구체적인 사항들은 상세한 설명 및 도면들에 포함되어 있다. 기재된 기술의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.

이하, 인위적인 통신을 이용하여 네트워크 트래픽의 통신 패턴을 보호하는 장치 및 방법의 실시예들을 도면들을 참고하여 자세히 설명하도록 한다.

도 1은 일 실시예에 따른 인위적인 통신을 이용한 네트워크 트래픽의 통신 패턴 보호 시스템을 도시한 도면이다.

도 1에 도시된 바와 같이, 제어시스템에서 호스트/네트워크 A(10)와 호스트/네트워크 B(20) 사이에 통신이 이루어지고 있을 때, 공격자는 호스트 또는 네트워크(10,20) 사이에 이루어지는 트래픽의 추이나 통신 패턴을 감시함으로써 정상 프로파일을 얻어낼 수 있다. 일단 공격자가 정상 프로파일을 얻게 되면 이상 징후를 기반으로 제어시스템의 침입을 감시하는 시스템은 쉽게 무력화될 수 있다.

이를 방지하기 위해, 도 1을 참조하면 일 실시예에 따른 인위적인 통신을 이용한 네트워크 트래픽의 통신 패턴 보호 시스템(1)은 통신 서버 장치(100)와 통신 단말 장치(200a,200b)를 포함할 수 있다.

이하에서는, 설명의 편의를 위해 제어시스템에서 호스트 A(10)와 호스트 B(20) 사이에 통신이 이루어지는 것을 가정하여 설명한다.

통신 단말 장치(200a,200b)는 호스트들(10,20)의 앞에 설치되어 호스트들(10,20) 사이에 이루어지는 정상적인 통신 사이에 인위적인 통신을 생성함으로써, 그 정상적인 통신의 패턴을 공격자가 알아낼 수 없도록 한다. 이때, 통신 단말 장치(200a,200b)는 생성된 인위적인 통신이 호스트들(10,20)에는 전달되지 않도록 필터링 한다.

통신 서버 장치(100)는 통신 단말 장치(200a,200b)와 통신하여 송신측 호스트 A(10)의 앞에 위치한 통신 단말 장치(200a)에 인위적인 통신(예: 더미 패킷)을 생성하도록 요청하고, 수신측 호스트 B(20)의 앞에 위치한 통신 단말 장치(200b)에는 그 인위적인 통신을 필터링 하기 위한 정보를 전송하여 호스트 B(20)에 인위적인 통신이 전송되지 않도록 한다.

이때, 설명의 편의상 호스트 A(10)를 송신측 호스트, 호스트 B(20)를 수신측 호스트라 가정하였으나 그 반대의 경우도 될 수 있다.

도 2는 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템의 통신 서버 장치의 블록도이다. 도 2를 참조하여 일 실시예에 따른 통신 서버 장치(100)를 좀 더 구체적으로 설명한다.

도시된 바와 같이, 통신 서버 장치(100)는 생성결정부(110) 및 생성요청부(120)를 포함할 수 있다.

생성결정부(110)는 도 1에 도시된 바와 같이, 호스트 A와 호스트 B 사이에 주기적으로 정상적인 통신이 이루어지고 있을 때, 그 정상적인 통신의 주기성을 숨기기 위한 인위적인 통신의 생성 여부를 결정한다.

일 예에 따르면, 생성결정부(110)는 먼저 인위적인 통신이 생성될 확률을 산출하고, 산출된 생성 확률을 이용하여 인위적인 통신의 생성 여부를 결정할 수 있다. 이때, 생성결정부(110)는 정상적인 통신의 주기 시간을 숨기기 위해 정상적인 통신 주기 시간과 차이가 많이 나는 곳에서 인위적인 통신을 발생시키는 것이 효과적이므로, 네트워크의 통신 주기를 고려하여 인위적인 통신의 생성 확률을 산출할 수 있다.

예를 들어, 네트워크의 통신 주기 시간이 8.2초라고 할 때, 0초와 8.2초 근처에서 인위적인 통신을 발생하는 것보다 약 4초에 발생시키는 것이 더 효과적이다. 하지만, 항상 4초에 발생시킬 경우에는 이것 또한 패턴을 형성할 수 있다.

따라서, 생성결정부(110)는 도 3에 도시된 바와 같이 네트워크의 통신 주기(예: 8초)의 절반(예: 4초)에 해당하는 값을 평균으로 하는 정규분포(normal distribution)을 인위적인 통신을 생성할 확률로 산출할 수 있다.

하지만, 이는 하나의 예시로서 그 밖의 다양한 확률 분포를 생성 확률로서 산출하는 것이 가능하며 사용자에 의해 직접 입력되는 생성 확률 정보를 사용할 수도 있다.

생성결정부(110)는 산출된 생성 확률을 이용하여 매 단위 시간(예: 1초)이 경과할 때마다 그 현재시간에 인위적인 통신을 생성할지 여부를 결정할 수 있다.

이때, 생성결정부(120)는 인위적인 통신량을 조절하기 위해 미리 설정되는 파라미터인 생성 결정 시간을 더 고려하여 현재시간에 인위적인 통신을 생성할지를 결정할 수 있다.

예를 들어, 단위 시간이 1초이고 생성 결정 시간이 3초라면, 단위 시간 1초가 지날 때마다 그 현재 시간을 생성 결정 시간으로 모듈로 연산한다. 그리고, 생성 결정 시간 3초 단위로 난수값을 생성하여 그 모듈로 연산 결과값에 대한 생성 확률값과, 난수값을 비교하여 난수값이 생성 확률값보다 작으면 인위적인 통신을 생성하는 것으로 결정할 수 있다. 이때, 난수값은 0보다 크거나 같고 1보다 작거나 같은 값일 수 있다.

이와 같이, 정상적인 통신 패턴 주기를 공격자에게 효과적으로 감추기 위해 정상 통신 주기의 절반에 가까울수록 인위적인 통신의 생성 확률은 높이되, 이때, 인위적인 통신의 패턴 주기가 공격자에게 노출될 가능성을 줄이기 위해 인위적인 통신량을 생성 결정 시간 파라미터를 통해 조절할 수 있다. 생성 결정 시간을 낮게 할수록 인위적인 통신이 생성될 기회가 더 많아지므로 인위적인 통신량이 많아진다.

지금까지, 생성결정부(110)가 인위적인 통신의 주기가 노출되는 것을 방지하기 위해 통신 생성 확률을 산출하여 인위적인 통신을 생성하는 예를 설명하였으나, 반드시 이에 한정되는 것은 아니며 기타 다양하게 변형 실시가 가능하다.

생성요청부(120)는 생성결정부(110)에 의해 현재시간에 인위적인 통신을 생성하도록 결정되면 요청 정보를 송신측의 통신 단말 장치에 전송하여 인위적인 통신을 생성하도록 요청할 수 있다.

또한, 생성요청부(120)는 송신측 통신 단말 장치에서 생성되는 인위적인 통신에 대한 정보를 수신측의 통신 단말 장치에 전송하여 수신되는 인위적인 통신이 호스트에 전송되지 않도록 필터링을 요청할 수 있다.

도 4는 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템의 통신 단말 장치의 블록도이다.

도 4를 참조하면, 통신 단말 장치(200)는 도 1의 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 시스템(1)에서 송신측 통신 단말(200a)와 수신측 통신 단말(200b)일 수 있다.

도 1 및 도 4를 참조하면, 통신 단말 장치(200)는 통신생성부(210), 송수신부(220), 필터링부(230) 및 응답메시지생성부(240)를 포함할 수 있다.

송수신부(220)는 통신 서버 장치(100) 및 통신 단말 장치(200a,200b)) 사이에 각종 데이터를 송수신한다.

예를 들어, 통신 서버 장치(100)로부터 현재 시간에 인위적인 통신의 생성 요청, 다른 통신 단말 장치(200)로부터 수신된 인위적인 통신의 필터링 요청을 수신할 수 있다. 또한, 인위적인 통신의 수신, 필터링 결과 등을 상대방 통신 단말 장치(200) 또는 통신 서버 장치(100)에 응답 메시지를 전송할 수 있다.

통신생성부(210)는 통신 서버 장치(100)로부터 현재 시간에 인위적인 통신을 생성하도록 요청받으면 미리 정해진 더미 패킷의 인위적인 통신을 생성하고 송수신부(220)를 통해 상대방 통신 단말 장치(200)에 전송한다.

응답메시지생성부(240)는 인위적인 통신이 생성되면 그 결과에 대한 응답메시지를 생성하여 통신 서버 장치(100)에 전송할 수 있다.

이때, 통신생성부(210)는 정상적인 통신이 진행되고 있다고 판단되는 경우 필요에 따라 통신 서버 장치(100)의 인위적인 통신 생성 요청을 무시하고 응답메시지생성부(240)로 하여금 그 결과에 대한 응답 메시지를 생성하여 통신 서버 장치(100)에 전송하도록 할 수 있다.

통신 서버 장치(100)는 통신 단말 장치(200)로부터 이와 같은 응답 메시지가 수신되면, 응답 메시지에 기초하여 상대방 통신 단말 장치(200)에 인위적인 통신을 필터링하기 위한 정보를 제공하여 필터링을 요청할 수 있다.

필터링부(230)는 통신 단말 장치(200)가 수신 측의 호스트 앞에 위치한 경우, 송수신부(220) 통신 서버 장치(100)로부터 인위적인 통신의 필터링 요청을 수신하면, 통신 서버 장치(100)로부터 수신된 필터링 정보를 이용하여 송신 측의 통신 단말 장치(200)로부터 수신된 인위적인 통신을 필터링하여 호스트에 전달되는 것을 방지한다.

응답메시지생성부(240)는 정상적으로 인위적인 통신을 필터링하게 되면 그 필터링 결과에 대한 응답 메시지를 생성하여 상대방 통신 단말 장치(200) 또는 통신 서버 장치(100)에 전송할 수 있다.

이때, 통신 단말 장치(200)는 인위적인 통신에 대한 응답 템플릿(250)을 미리 저장하고 있을 수 있으며, 응답메시지생성부(240)는 그 응답 템플릿(250)을 참조하여 상황에 맞는 응답 메시지를 생성할 수 있다.

도 5는 일 실시예에 따라 통신 서버 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다. 도 5는 도 1의 실시예에 따른 통신 서버 장치(100)에 의해 수행되는 패턴 보호 방법의 일 예일 수 있다.

도 5를 참조하면, 통신 서버 장치(100)는 먼저, 인위적인 통신을 생성할 확률을 산출할 수 있다(단계 510).

앞에서 상세하게 설명한 바와 같이, 도 1의 호스트 A와 호스트 B 사이에 이루어지는 정상적인 통신의 주기성을 숨기기 위해 인위적인 통신을 생성할 확률을 산출하며, 그 효과를 높이기 위해 정상적인 통신 주기 시간과 차이가 많이 나는 곳, 예컨대, 네트워크의 통신 주기 시간의 절반에 해당하는 값을 평균으로 하는 정규분포(normal distribution)를 인위적인 통신의 생성 확률로 산출할 수 있다.

그 다음, 단위 시간(예: 1초)이 경과하면(단계 520), 생성 확률을 이용하여 단위 시간이 경과된 현재 시간에 인위적인 통신을 생성할 지 여부를 결정한다(단계 530). 이때, 아직 단위 시간이 경과하지 않거나(단계520), 결정 결과(단계 530) 현재 시간에 인위적인 통신을 생성하는 것으로 결정되지 않으면 다음 단위 시간이 경과할 때까지 대기한다

그 다음, 현재 시간에 인위적인 통신을 생성하는 것으로 결정되면(단계 540), 송신측 통신 단말 장치에 인위적인 통신을 생성하도록 요청하며(단계 550), 수신측 통신 단말 장치에 그 인위적인 통신을 필터링하도록 요청한다(단계 560).

도 6은 일 실시예에 따른 네트워크 트래픽의 통신 패턴 보호 방법 중에서 통신 생성 여부 결정하는 방법의 흐름도이다. 도 6은 도 1의 실시예에 따른 통신 서버 장치(100)에 의해 수행되는 패턴 보호 방법의 일 예일 수 있다.

도 6을 참조하여, 일 실시예에 따른 인위적인 통신 생성 여부 결정 방법을 예를 들어 설명한다.

먼저, 통신 서버 장치(100)는 최초에 난수값을 생성하고(단계 610), 현재 시간을 생성 결정 시간으로 모듈로 연산하여 그 결과에 대한 생성 확률값(MR)을 산출한다(단계 620).

그 다음, 난수값과 모듈로 연산 결과에 대한 생성 확률값(MR)을 비교하여 난수값이 결과값 보다 더 작으면(단계 630), 현재 시간에 인위적인 통신을 생성하는 것으로 결정한다(단계 640).

그 다음, 네트워크의 정상적인 통신이 종료되는지 확인하고(단계 550), 통신이 종료되지 않으면, 다음 시간에 인위적인 통신의 생성 여부를 결정하기 위해 미리 설정된 단위 시간이 경과하는지 확인한다(단계 660).

이때, 단위 시간이 아직 경과하지 않았으면(단계 660) 단위 시간이 경과할 때까지 대기하고, 단위 시간이 경과하면(단계 660) 미리 설정된 생성 결정 시간이 경과했는지 확인한다(단계 670).

이때, 미리 설정된 생성 결정 시간이 경과하면(단계 670), 다시 난수값을 산출하고(단계 610), 그 이하 단계를 수행한다. 이때, 생성 결정 시간이 경과하지 않았으면(단계 670), 다시 현재 시간에 대한 모듈로 연산을 수행하는 단계(620)로 이동한다.

이와 같은 절차는 네트워크의 통신이 완전히 종료될 때까지 반복 수행된다.

도 7은 일 실시예에 따라 송신측의 통신 단말 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다. 도 8은 일 실시예에 따라 수신측의 통신 단말 장치에서 수행되는 네트워크 트래픽의 통신 패턴 보호 방법의 흐름도이다.

도 7과 도 8은 도 1의 실시예에 따른 통신 단말 장치(200a,200b)에 의해 수행될 수 있다. 이때, 통신 단말 장치(200a)를 송신측 통신 단말 장치라 하고, 통신 단말 장치(200b)를 수신측 통신 단말 장치라고 가정할 때 도 7의 절차는 송신측 통신 단말 장치(200a)에 의해 수행되고, 도 8의 절차는 수신측 통신 단말 장치(200b)에 의해 수행되는 절차일 수 있다.

도 7을 참조하면, 통신 단말 장치(200a)는 통신 서버 장치(100)로부터 인위적인 통신을 생성하도록 요청 정보를 수신한다(단계 710).

인위적인 통신 생성 요청이 수신되면(단계 710), 인위적인 통신을 생성하고(단계 720), 수신측 통신 단말 장치(200b)에 생성된 인위적인 통신을 전송한다(단계 730). 이때, 통신 단말 장치(200a)는 생성한 인위적인 통신을 필터링하기 위한 정보를 통신 서버 장치(100)에 전송할 수 있다.

도 8을 참조하면, 수신측 통신 단말 장치(200b)는 통신 서버 장치(100)로부터 인위적인 통신을 필터링하기 위한 정보가 포함된 필터링 요청 정보를 수신한다(단계 810).

그 다음, 송신측 통신 단말 장치(200a)로부터 인위적인 통신을 수신하고(단계 820), 수신된 인위적인 통신을 필터링한다(단계 830).

이상의 실시예들은 일반적인 제어시스템의 침입 감시 시스템에 적용될 수 있다. 예를 들어, 일반적인 제어시스템에서 사용되는 프로토콜 중에서 현장 시설의 모니터링이나 제어의 역할을 수행하는 DNP3 프로토콜에 대한 인위적인 통신을 생성하는 데 적용될 수 있다.

개시된 실시예에 따라 인위적인 DNP3 통신을 만들기 위해 DNP3 기능 코드(Function code), DNP3 오브젝트(Object) 및 DNP3 통신 템플릿(Template) 등을 미리 생성할 수 있다. 이때, 인위적인 통신을 위한 DNP3 기능 코드는 일정 기간 미리 데이터를 수집하여 획득할 수 있으며, 이를 통해 얻어진 기능 코드 비율(Function code ratio)을 인위적인 통신의 생성 확률로 사용할 수 있다. 또는, 제어시스템의 관리자가 임의로 생성 확률을 설정하는 것도 가능하다.

DNP3 오브젝트는 DNP3 기능 코드에 의해 달라지므로, 인위적인 DNP3 기능 코드가 생성된 후에 결정될 수 있다. 인위적인 DNP3 오브젝트는 각 네트워크마다 다르며, 같은 DNP3 기능 코드라고 하더라도 DNP3 통신이 이루어지는 대상에 따라 달라지므로 이를 숨기는 것이 필요하다.

따라서, 데이터로부터 DNP3 통신이 사용되는 연결마다 DNP3 오브젝트 빈도 분포(object frequency distribution)를 조사하여, 전체 시스템에서 사용되는 각 연결에 따라 조사된 DNP3 오브젝트 빈도 비율을 생성 확률로 사용할 수 있다. 또는 관리자가 임의로 설정할 수 있다. 즉, 전체 시스템들에서 사용되는 DNP3 오브젝트 빈도와 평균값을 각 연결에 따라 다르게 적용할 수 있다.

그 다음, DNP3 통신 템플릿을 미리 조사하여 각 통신 단말 장치에 저장할 수 있다. 이 통신 템플릿은 기능 코드에 따른 오브젝트, 응답 기능 코드 및 응답 메시지(acknowledge)를 포함할 수 있다.

또한, 개시된 실시예들은 수신측의 아이피(ip)나 포트(port)에 대한 인위적인 통신을 생성하여 통신 패턴의 노출을 방지하는 데에 적용되는 것도 가능하다. 이는, 원래 통신을 수행하지 않는 호스트들 간에 통신이 이루어지는 것처럼 보이도록 하여, 실제 통신을 수행하고 있는 호스트들 간의 정상적인 통신의 주기 등이 노출되는 것을 방지할 수 있다.

본 실시예들이 속하는 기술분야의 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.

1: 통신 패턴 보호 시스템 100: 통신 서버 장치
110: 생성결정부 120: 생성요청부
200, 200a, 200b: 통신 단말 장치
210: 통신생성부 220: 송수신부
230: 필터링부 240: 응답메시지생성부

Claims

네트워크 트래픽의 통신 패턴을 보호하는 장치에 있어서,
네트워크에서 정상적인 통신이 수행되는 도중에 인위적인 통신을 생성할지를 결정하는 생성결정부; 및
상기 생성결정부가 인위적인 통신을 생성하도록 결정하면, 상기 네트워크의 송신측의 통신 단말 장치에 인위적인 통신을 생성하도록 요청하는 생성요청부를 포함하고,
상기 생성결정부는 상기 네트워크의 통신 주기를 고려하여 인위적인 통신 생성 확률을 산출하고, 산출된 생성 확률을 기초로 상기 인위적인 통신을 생성할지를 결정하는 통신 서버 장치.
삭제
제1항에 있어서, 상기 생성결정부는
상기 네트워크의 통신 주기의 절반에 해당하는 값을 평균으로 가지는 정규 분포(normal distribution)를 상기 인위적인 통신 생성 확률로 산출하는 통신 서버 장치.
제1항에 있어서, 상기 생성결정부는
미리 설정된 생성 결정 시간에 더 기초하여 상기 인위적인 통신을 생성할지 결정하는 통신 서버 장치.
제4항에 있어서, 상기 생성결정부는
상기 생성 결정 시간마다 난수값을 생성하고, 현재시간에 기초한 값에 대한 생성 확률 값과 상기 난수값을 비교하여 현재시간에 인위적인 통신을 생성할지를 결정하는 통신 서버 장치.
제5항에 있어서,
상기 현재시간에 기초한 값은 현재시간을 상기 생성 결정 시간으로 모듈로 연산한 결과값인 통신 서버 장치.
제1항에 있어서, 상기 생성요청부는
수신측의 통신 단말 장치에 상기 송신측의 통신 단말 장치로부터 수신된 인위적인 통신을 필터링하도록 요청하는 통신 서버 장치.
네트워크 트래픽의 통신 패턴을 보호하는 장치에 있어서,
통신 서버 장치로부터 인위적인 통신 생성 요청을 수신하면 인위적인 통신을 생성하는 통신생성부;
상기 생성된 인위적인 통신을 수신측의 통신 단말 장치에 송신하고, 송신측의 통신 단말 장치로부터 인위적인 통신을 수신하는 송수신부;
상기 통신 서버 장치로부터 인위적인 통신 필터링 요청을 수신하면 송신측의 통신 단말 장치로부터 수신된 인위적인 통신을 필터링하는 필터링부; 및
상기 인위적인 통신을 수신하거나 필터링을 하면, 그 결과에 대한 응답 메시지를 미리 정의된 응답 템플릿을 기초로 생성하는 응답메시지생성부를 포함하는 통신 단말 장치.
삭제
네트워크에서 정상적인 통신이 수행되는 도중에 인위적인 통신을 생성할지를 결정하는 단계; 및
상기 결정 결과 인위적인 통신을 생성하도록 결정되면, 상기 네트워크의 송신측의 통신 단말 장치에 인위적인 통신을 생성하도록 요청하는 단계를 포함하고,
상기 인위적인 통신 생성 결정 단계는 네트워크의 통신 주기를 고려하여 인위적인 통신 생성 확률을 산출하고, 상기 산출된 생성 확률을 기초로 상기 인위적인 통신을 생성할지 결정하는 네트워크 트래픽의 통신 패턴을 보호하는 방법.
삭제
제10항에 있어서, 상기 인위적인 통신 생성 결정 단계는
상기 네트워크의 통신 주기의 절반에 해당하는 값을 평균으로 가지는 정규 분포(normal distribution)를 상기 인위적인 통신 생성 확률로 산출하는 네트워크 트래픽의 통신 패턴을 보호하는 방법.
제10항에 있어서, 상기 인위적인 통신 생성 결정 단계는
미리 설정된 생성 결정 시간에 더 기초하여 인위적인 통신을 생성할지 결정하는 네트워크 트래픽의 통신 패턴을 보호하는 방법.
제13항에 있어서, 상기 인위적인 통신 생성 결정 단계는
상기 생성 결정 시간마다 난수값을 생성하는 단계; 및
현재시간에 기초한 값에 대한 생성 확률 값과 상기 난수값을 비교하는 단계를 포함하는 네트워크 트래픽의 통신 패턴을 보호하는 방법.
제14항에 있어서,
상기 현재시간에 기초한 값은 현재시간을 상기 생성 결정 시간으로 모듈로 연산한 결과값인 네트워크 트래픽의 통신 패턴을 보호하는 방법.
제10항에 있어서,
수신측의 통신 단말 장치에 상기 송신측의 통신 단말 장치가 생성한 인위적인 통신을 필터링하도록 요청하는 단계를 더 포함하는 네트워크 트래픽의 통신 패턴을 보호하는 방법.