KR101527353B1 - 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 - Google Patents
스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 Download PDFInfo
- Publication number
- KR101527353B1 KR101527353B1 KR1020120116769A KR20120116769A KR101527353B1 KR 101527353 B1 KR101527353 B1 KR 101527353B1 KR 1020120116769 A KR1020120116769 A KR 1020120116769A KR 20120116769 A KR20120116769 A KR 20120116769A KR 101527353 B1 KR101527353 B1 KR 101527353B1
- Authority
- KR
- South Korea
- Prior art keywords
- network
- information
- state transition
- packet
- smart grid
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Abstract
스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법이 개시된다. 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템은 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 네트워크 패킷 수신 장치; 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 패킷 분석기; 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 기기 정보 저장 장치; 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 기기 상태 전이 정보 저장 장치; 및 상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 네트워크 패킷 전송 장치를 포함한다.
Description
본 발명은 스마트그리드 AMI(Advanced Metering Infrastructure) 시스템 내의 제어기기를 대상으로 하는 다양한 사이버 공격들에 대응하기 위한 기술에 관한 것으로, 네트워크 패킷 분석을 통한 이상행위 탐지 기법에 관한 것이다.
종전 단방향 자동원격검침시스템(AMR: Automatic Meter Reading)으로 부터 한 단계 진화되어 수용가와 전력회사간 양방향 데이터 통신을 가능케 하는 지능형 원격검침 시스템(AMI: Advanced Metering Infrastructure)에서 가장 중요한 역할을 담당하는 스마트미터는 스마트그리드 시스템을 대상으로 사이버공격 발생시 가장 피해 파급효과가 큰 공격대상 기기라고 할 수 있다. 게다가 스마트미터로 구성된 NAN(Neighborhood Area Network)는 외부 공용 네트워크와 연결 접점에 위치하고 있어 다양한 악성코드의 공격의 대상된다. 따라서, 스마트 미터뿐 아니라 스마트그리드 AMI 내 DCU(Data Concentration Unit)등과 같이 임베디드 시스템으로 구성된 해당 네트워크는 외부의 공격으로부터 안전하게 보호되어야 하며 이를 위해 스마트그리드 AMI 네트워크 대상 이상행위 탐지 시스템 설치는 필수적이다.
하지만 스마트그리드 AMI 네트워크는 제한적인 시스템 자원을 이용하여 설계 및 제작된 임베디드 기기들로 구성되었기 때문에 기존의 인터넷 환경에서 풍요로운 시스템 자원을 기반으로 동작하는 침입탐지 및 네트워크 이상행위 탐지 시스템을 적용하는 것은 불가능하다.
스마트그리드 AMI 시스템 내 자양한 제어 및 모니터링(monitoring) 기기들은 기존의 인터넷 환경에서의 단말기들과 달리 정해진 루틴에 따른 기능들만을 수행하기 때문에 제한적인 시스템 자원들(resources) 만으로 구성되어 있다. 이와 같은 동작 환경으로 인해 스마트그리드 AMI 시스템의 다양한 임베디드 기기들은 보안상 취약점을 가지고 있음에도 불구하고, 기기 제작 단가 상승 등의 문제로 인해 시스템 성능 향상을 기대하기 어렵다.
스마트그리드 AMI 시스템 내 자양한 제어 및 모니터링(monitoring) 기기들은 기존의 인터넷 환경에서의 단말기들과 달리 정해진 루틴에 따른 기능들만을 수행하기 때문에 제한적인 시스템 자원들(resources) 만으로 구성되어 있다. 이와 같은 동작 환경으로 인해 스마트그리드 AMI 시스템의 다양한 임베디드 기기들은 보안상 취약점을 가지고 있음에도 불구하고, 기기 제작 단가 상승 등의 문제로 인해 시스템 성능 향상을 기대하기 어렵다.
삭제
본 발명이 이루고자 하는 기술적 과제는, 정해진 루틴(routine)에 따른 기능들만을 수행하여 제한적인 시스템 자원으로만 구성되어 있는 스마트그리드 AMI 프로토콜을 사용하는 기기들 사이의 통신 트래픽 내 이상행위를 단시간에 탐지하는 것이다.
또한, 본 발명의 목적은 동일 프로토콜을 사용하는 스마트그리드 AMI 임베디드 기기들이 별도의 하드웨어 추가 없이도 침입탐지 및 이상행위 탐지를 수행하여 보다 높은 보안성을 보다 낮은 금액으로 제공하는 것이다.
또한, 본 발명의 목적은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템보다 간단하고 경제적인 탐지 기능을 구현하는 것이다.
또한, 본 발명의 목적은 동일 프로토콜을 사용하는 스마트그리드 AMI 임베디드 기기들이 별도의 하드웨어 추가 없이도 침입탐지 및 이상행위 탐지를 수행하여 보다 높은 보안성을 보다 낮은 금액으로 제공하는 것이다.
또한, 본 발명의 목적은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템보다 간단하고 경제적인 탐지 기능을 구현하는 것이다.
상기의 기술적 과제를 달성하기 위해, 본 발명에 따른 스마트그리드 AMI 네트워크 내 모니터링 기기의 이상행위 탐지 시스템은 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 네트워크 패킷 수신 장치; 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 패킷 분석기; 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 기기 정보 저장 장치; 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 기기 상태 전이 정보 저장 장치; 및 상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 네트워크 패킷 전송 장치를 포함한다.
삭제
삭제
본 발명에 따른 실시예에 따르면 스마트그리드 AMI 네트워크에서 트래픽 모니터링을 수행하는 기기들은 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태 전이정보를 유지 및 갱신하게된다. 이를 통해, 해당 네트워크 프로토콜에 위배되어 공격대상 기기의 정상적인 동작을 방해하는 패킷들을 탐지하여 이상행위로서 식별한다. 부연 설명하면, 상기 종래 기술과 달리 본 발명은 스마트그리드 AMI 프로토콜을 사용하는 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태전이 정보 분석을 통해 정상적이지 못한 상태전이를 유도하는 메시지를 식별하기 위한 방법들을 제공한다. 이같은 방법은 동일 프로토콜을 사용하는 기기들이 별도의 추가적인 하드웨어없이 침입탐지 및 이상행위 탐지가 가능하며 이로 인해 보다 높은 보안성을 저비용으로 제공이 가능하다.
도 1은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크 이상행위 탐지 시스템을 개략적으로 설명하는 도면이다.
도 2은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크 이상행위 탐지 방법을 나타낸 동작 흐름도이다.
도 3은 기기 정보 저장 장치에서 기기 상태 정보를 유지 및 갱신하는 자료구조 예이다.
도 4는 기기 상태 전이 정보 저장 장치에서 기기 상태 정보 구조이다.
도 2은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크 이상행위 탐지 방법을 나타낸 동작 흐름도이다.
도 3은 기기 정보 저장 장치에서 기기 상태 정보를 유지 및 갱신하는 자료구조 예이다.
도 4는 기기 상태 전이 정보 저장 장치에서 기기 상태 정보 구조이다.
본 발명을 첨부된 도면을 참조하여 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
넓은 지역에 걸쳐 위치하여 전력 사용의 효율성을 높이기 위한 목적의 다양한 서비스를 제공하는 스마트그리드 AMI 시스템 기기들의 통신 트래픽에 대한 이상행위를 탐지하기 위해서는 해당 네트워크 내 모든 기기들에 대한 상태전이 정보 추적이 필요하다. 하지만, 기존의 인터넷 환경에서 동작하는 단말들은 풍부한 시스템 리소스를 기반으로 제작된 장비들이며, 이는 다양한 서비스 제공에 적합하도록 설계되어 있다. 따라서, 이들을 보호하여 사이버 공격에 대응하기 위한 보호 프로그램들은 보다 많은 서비스들을 고려하여 설계 및 제작되었기 때문에 제한된 리소스와 더불어 상대적으로 적은 기능들을 수행하는 스마트그리드 AMI 임베디드 환경에 적합하지 않다. 따라서, 기존의 방법과 다른 경량화된 접근방식이 필요하다. 즉, 제한적인 시스템 리소스를 사용하는 스마트그리드 AMI 임베디드 기기 특성 고려와 함께 시스템의 부하를 최소화하고 단시간에 네트워크 트래픽 내 스마트그리드 통신 프로토콜 이상행위를 탐지하도록 설계되어야 한다. 따라서 본 발명은, 스마트그리드 AMI 프로토콜 패킷 분석을 통해 해당 시스템 내 임베디드 기기 및 네트워크 기기를 대상으로 경량화된 상태전이 정보 추적 시스템 발명에 관한 내용이다.
스마트그리드 AMI 네트워크는 해당 프로토콜에 따라 정해진 임무만을 수행하는 해당 임베디드 시스템간 교환되는 네트워크 트래픽 패킷 분석을 통해 모든 기기들의 상태 전이 정보 추적이 가능하다. 이는 해당 스마트그리드 AMI 네트워크의 모든 메시지 전달 경로는 유동적이지 않고 환경설정을 통해 고정적으로 유지 및 관리되기 때문에 가능하다. 이는 즉, 특정 기기로의 메시지는 반드시 정해진 기기들을 통해서만이 가능한 네트워크 환경 특성을 가지고 있다는 다른 말로 설명되어 질 수 있다. 이와 같은 환경특성에 대한 장점을 극대화 하여, 임의의 기기를 통해 전달되어지는 네트워크 통신 메시지분석을 통해 목적지 기기들의 상태 전이 정보 유지가 가능하며 또한, 해당 정보를 통해 이상행위를 일으키는 패킷 탐지가 가능하다. 또한, 유동적으로 변하는 네트워크라 할지라도 모든 기기들은 최소한 하나의 릴레이(Relay)나 네트워크 기기와 연결되어 있어 이같은 기기들을 통해 상태전이 정보 유지가 가능하다.
이와 같은 상태 전이정보 추적을 위하여 본 발명에서는, 스마트그리드 AMI 프로토콜 패킷 분석과 상태 전이정보 유지 및 갱신을 위한 방법들에 대해 설명하도록 한다.
본 발명은 스마트그리드 AMI 네트워크를 대상으로 한 사이버공격에 대응하기 위하여, 스마트그리드 AMI(Advanced Metering Infrastructure) 프로토콜 통신 패킷 분석을 통해 해당 네트워크 기기의 상태 전이 정보(state transition information)를 추적한 후, 해당 전이가 스마트그리드 AMI 통신 프로토콜에 적법한 전이인지를 확인하게 된다. 본 발명은 수집된 특정 패킷으로 인해 수신 기기의 상태 전이가 정해진 상태에서 벗어날 경우, 이를 이상행위로서 식별하게 되어 해당 패킷을 버리게된다. 이와 같은 탐지 기법은 스마트그리드 AMI 환경과 인터넷 환경 간 통신 환경 차이로 인해 가능하다. 다시 말하면, 인터넷 환경에서 통신 패킷의 전달경로는 유동적인데 반해, 스마트그리드 네트워크에서는 임의 기기간 통신 경로는 변하지 않기 때문이다. 스마트그리드 AMI 환경 내 특정한 두 개의 기기 간에 통신을 위해 전송되는 일련의 메시지들이 이동하는 경로는 네트워크 환경 설정시에 정해진 경로를 통해 이동하게 되며, 이는 인터넷에서 임의의 두 개의 단말기 간 통신 패킷이 전달되는 경로가 네트워크 혼잡으로 인해 다양해지는 것과 큰 차이가 있다. 이와 같은 특성으로 인해 스마트그리드 AMI 기기의 네트워크 상태 전이 정보 추적이 가능하며 본 발명에 따른 스마트그리드 AMI 네트워크 프로토콜 대상 이상행위 탐지 시스템 구성이 가능하다. 본 발명은 이와 같은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템 보다 경량화한 탐지 기능을 구현하는데 그 목적이 있다. 이를 통해 효율적으로 스마트그리드 AMI 임베디드 기기 및 네트워크장비에서 사용가능한 이상행위 탐지 시스템 구성이 가능하다.
스마트그리드 AMI 네트워크에서 트래픽 모니터링을 수행하는 기기들은 통신 패킷 분석을 통해 대상 기기들의 네트워크 상태 전이정보를 유지 및 갱신하게된다. 이를 통해, 해당 네트워크 프로토콜에 위배되어 공격대상 기기의 정상적인 동작을 방해하는 패킷들을 탐지하여 이상행위로서 식별한다. 부연 설명하면, 종래 기술과 달리 본 발명은 스마트그리드 AMI 프로토콜을 사용하는 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태전이 정보 분석을 통해 정상적이지 못한 상태전이를 유도하는 메시지를 식별한다. 이 같은 방법은 동일 프로토콜을 사용하는 기기들이 별도의 추가적인 하드웨어 없이 침입탐지 및 이상행위 탐지가 가능하며 이로 인해 보다 높은 보안성을 저비용으로 제공할 수 있다.
넓은 지역에 걸쳐 위치하여 전력 사용의 효율성을 높이기 위한 목적의 다양한 서비스를 제공하는 스마트그리드 AMI 시스템 기기들의 통신 트래픽에 대한 이상행위를 탐지하기 위해서는 해당 네트워크 내 모든 기기들에 대한 상태전이 정보 추적이 필요하다. 하지만, 기존의 인터넷 환경에서 동작하는 단말들은 풍부한 시스템 리소스를 기반으로 제작된 장비들이며, 이는 다양한 서비스 제공에 적합하도록 설계되어 있다. 따라서, 이들을 보호하여 사이버 공격에 대응하기 위한 보호 프로그램들은 보다 많은 서비스들을 고려하여 설계 및 제작되었기 때문에 제한된 리소스와 더불어 상대적으로 적은 기능들을 수행하는 스마트그리드 AMI 임베디드 환경에 적합하지 않다. 따라서, 기존의 방법과 다른 경량화된 접근방식이 필요하다. 즉, 제한적인 시스템 리소스를 사용하는 스마트그리드 AMI 임베디드 기기 특성 고려와 함께 시스템의 부하를 최소화하고 단시간에 네트워크 트래픽 내 스마트그리드 통신 프로토콜 이상행위를 탐지하도록 설계되어야 한다. 따라서 본 발명은, 스마트그리드 AMI 프로토콜 패킷 분석을 통해 해당 시스템 내 임베디드 기기 및 네트워크 기기를 대상으로 경량화된 상태전이 정보 추적 시스템 발명에 관한 내용이다.
스마트그리드 AMI 네트워크는 해당 프로토콜에 따라 정해진 임무만을 수행하는 해당 임베디드 시스템간 교환되는 네트워크 트래픽 패킷 분석을 통해 모든 기기들의 상태 전이 정보 추적이 가능하다. 이는 해당 스마트그리드 AMI 네트워크의 모든 메시지 전달 경로는 유동적이지 않고 환경설정을 통해 고정적으로 유지 및 관리되기 때문에 가능하다. 이는 즉, 특정 기기로의 메시지는 반드시 정해진 기기들을 통해서만이 가능한 네트워크 환경 특성을 가지고 있다는 다른 말로 설명되어 질 수 있다. 이와 같은 환경특성에 대한 장점을 극대화 하여, 임의의 기기를 통해 전달되어지는 네트워크 통신 메시지분석을 통해 목적지 기기들의 상태 전이 정보 유지가 가능하며 또한, 해당 정보를 통해 이상행위를 일으키는 패킷 탐지가 가능하다. 또한, 유동적으로 변하는 네트워크라 할지라도 모든 기기들은 최소한 하나의 릴레이(Relay)나 네트워크 기기와 연결되어 있어 이같은 기기들을 통해 상태전이 정보 유지가 가능하다.
이와 같은 상태 전이정보 추적을 위하여 본 발명에서는, 스마트그리드 AMI 프로토콜 패킷 분석과 상태 전이정보 유지 및 갱신을 위한 방법들에 대해 설명하도록 한다.
본 발명은 스마트그리드 AMI 네트워크를 대상으로 한 사이버공격에 대응하기 위하여, 스마트그리드 AMI(Advanced Metering Infrastructure) 프로토콜 통신 패킷 분석을 통해 해당 네트워크 기기의 상태 전이 정보(state transition information)를 추적한 후, 해당 전이가 스마트그리드 AMI 통신 프로토콜에 적법한 전이인지를 확인하게 된다. 본 발명은 수집된 특정 패킷으로 인해 수신 기기의 상태 전이가 정해진 상태에서 벗어날 경우, 이를 이상행위로서 식별하게 되어 해당 패킷을 버리게된다. 이와 같은 탐지 기법은 스마트그리드 AMI 환경과 인터넷 환경 간 통신 환경 차이로 인해 가능하다. 다시 말하면, 인터넷 환경에서 통신 패킷의 전달경로는 유동적인데 반해, 스마트그리드 네트워크에서는 임의 기기간 통신 경로는 변하지 않기 때문이다. 스마트그리드 AMI 환경 내 특정한 두 개의 기기 간에 통신을 위해 전송되는 일련의 메시지들이 이동하는 경로는 네트워크 환경 설정시에 정해진 경로를 통해 이동하게 되며, 이는 인터넷에서 임의의 두 개의 단말기 간 통신 패킷이 전달되는 경로가 네트워크 혼잡으로 인해 다양해지는 것과 큰 차이가 있다. 이와 같은 특성으로 인해 스마트그리드 AMI 기기의 네트워크 상태 전이 정보 추적이 가능하며 본 발명에 따른 스마트그리드 AMI 네트워크 프로토콜 대상 이상행위 탐지 시스템 구성이 가능하다. 본 발명은 이와 같은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템 보다 경량화한 탐지 기능을 구현하는데 그 목적이 있다. 이를 통해 효율적으로 스마트그리드 AMI 임베디드 기기 및 네트워크장비에서 사용가능한 이상행위 탐지 시스템 구성이 가능하다.
스마트그리드 AMI 네트워크에서 트래픽 모니터링을 수행하는 기기들은 통신 패킷 분석을 통해 대상 기기들의 네트워크 상태 전이정보를 유지 및 갱신하게된다. 이를 통해, 해당 네트워크 프로토콜에 위배되어 공격대상 기기의 정상적인 동작을 방해하는 패킷들을 탐지하여 이상행위로서 식별한다. 부연 설명하면, 종래 기술과 달리 본 발명은 스마트그리드 AMI 프로토콜을 사용하는 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태전이 정보 분석을 통해 정상적이지 못한 상태전이를 유도하는 메시지를 식별한다. 이 같은 방법은 동일 프로토콜을 사용하는 기기들이 별도의 추가적인 하드웨어 없이 침입탐지 및 이상행위 탐지가 가능하며 이로 인해 보다 높은 보안성을 저비용으로 제공할 수 있다.
이하에서는, 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크의 모니터링 기기 내 이상행위 탐지 시스템과 해당 시스템의 동작 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.
도 1은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크의 이상행위 탐지 시스템을 나타내는 블록도이다.
도 1을 참조하면, 본 발명에 따른 스마트그리드 AMI 네트워크 내의 이상행위 탐지 시스템은, 네트워크 패킷 수신장치(101), 패킷 분석기(102), 기기 정보 저장 장치(103), 기기 상태 전이 정보 저장 장치(104) 및 네트워크 패킷 전송 장치(105)를 포함한다.
네트워크 패킷 수신장치(101)는 스마트그리드 AMI 네트워크 내의 단말, 메시지 전달 기기, 라우터 및 스위치 등의 네트워크 기기 내에 구현될 수 있고, 이상행위 탐지의 대상이 되는 대상 프로토콜을 사용하는 메시지의 분석 및 해석을 수행한다. 즉, 네트워크 패킷 수신장치(101)는 패킷 모니터링이 가능한 모든 기기가 후보가 될 수 있다.
네트워크 패킷 수신장치(101)는 네트워크 통신부를 통해 도착하는 모든 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 확인한 후, 확인된 대상 프로토콜 패킷을 패킷 분석기(102)로 전달한다.
패킷 분석기(102)는 프로토콜 헤더(header)와 페이로드(payload)를 분리하고, 패킷 헤더를 기기 정보 저장장치(103)로 넘겨 준다.
기기 정보 저장장치(103)는 수신한 패킷 헤더 내의 수신 기기 주소를 이용하여 해당 기기를 찾아내어 해당 기기 정보를 기기 상태 전이 정보 저장 장치(104)로 전달한다.
기기 상태 전이 정보 저장 장치(104)는 기기 상태 전이 정보를 갱신하고, 이상행위가 발생한 경우 해당 패킷을 네트워크 패킷 전송장치(105)로 보내지 않으며 이상이 없는 경우에만 해당 패킷을 네트워크 패킷 전송장치(105)로 전달함으로써 패킷을 필터링한다.
도 2는 본 발명의 일실시예에 따른 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법을 나타낸 도면이다.
도 2를 참조하면, 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법은 네트워크 패킷 수신장치(101)를 통해 수신된 네트워크 패킷이 이상징후 탐지 대상 프로토콜임을 확인한 뒤 해석가능한 패킷일 경우 패킷 분석기(102)로 수신 내용을 전달한다. 패킷분석기(102)는 수신 패킷의 헤더와 페이로드를 분리하여 프로토콜 정보에 대한 간단한 이상유무를 판단하고 수신 패킷의 헤더를 기기정보 저장장치(103)로 전달하여 목적지 주소에 해당하는 기기 정보를 취득한다. 기기 상태정보 저장장치(104)는 해당 기기를 식별정보를 통해 해당 기기의 상태 전이 정보를 갱신하고 해당 정보를 통해 기기의 상태 전이가 안전한지를 확인한다. 상태전이가 안전할 경우에만, 네트워크 패킷 전송장치(105)로 보내게 된다.
도 3은 기기 정보 저장장치(103)에서 기기 정보를 유지하는 방법을 설명하기 위한 도면이다.
기기 정보 저장장치(103)는 기본적으로 네트워크 기기들을 하나의 노드로 매핑하여 노드 ID(혹은 주소값과 같은 고유숫자)를 이용하여 이진트리(Binary Tree)를 유지한다. 하지만 모니터링 기기의 네트워크 패킷 수신장치(101)를 통해 수집된 패킷의 주소값을 통해 접근(access)된 노드(기기)는 트리 구조에서 한 레벨(Level)씩 올라 오게 된다. 이로서 해당 트리의 지역성(locality)이 증가하게 된다. 이는 메시지가 도착시에 동일 목적지에 해당하는 메시지들이 도착할 경우 해당 노드로의 접근(access)을 보다 빠르게 수행할 수 있다. 나아가, DoS 공격 트래픽 생성 기기의 식별이 가능하다. 하지만, 이진트리를 유지해야 하기 때문에 레벨이 증가할 경우 부모노드가 부족할 수 있으며 이때는 더미(Dummy)노드를 통해 부모 노드를 분기시켜 2진트리 형식을 유지하도록 한다. 도 3은 2번 노드 접근에 따른 구조체 갱신과정에 대한 예로서 검은 노드는 기기 노드이며 흰노드는 더미노드이다.
도 1을 참조하면, 본 발명에 따른 스마트그리드 AMI 네트워크 내의 이상행위 탐지 시스템은, 네트워크 패킷 수신장치(101), 패킷 분석기(102), 기기 정보 저장 장치(103), 기기 상태 전이 정보 저장 장치(104) 및 네트워크 패킷 전송 장치(105)를 포함한다.
네트워크 패킷 수신장치(101)는 스마트그리드 AMI 네트워크 내의 단말, 메시지 전달 기기, 라우터 및 스위치 등의 네트워크 기기 내에 구현될 수 있고, 이상행위 탐지의 대상이 되는 대상 프로토콜을 사용하는 메시지의 분석 및 해석을 수행한다. 즉, 네트워크 패킷 수신장치(101)는 패킷 모니터링이 가능한 모든 기기가 후보가 될 수 있다.
네트워크 패킷 수신장치(101)는 네트워크 통신부를 통해 도착하는 모든 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 확인한 후, 확인된 대상 프로토콜 패킷을 패킷 분석기(102)로 전달한다.
패킷 분석기(102)는 프로토콜 헤더(header)와 페이로드(payload)를 분리하고, 패킷 헤더를 기기 정보 저장장치(103)로 넘겨 준다.
기기 정보 저장장치(103)는 수신한 패킷 헤더 내의 수신 기기 주소를 이용하여 해당 기기를 찾아내어 해당 기기 정보를 기기 상태 전이 정보 저장 장치(104)로 전달한다.
기기 상태 전이 정보 저장 장치(104)는 기기 상태 전이 정보를 갱신하고, 이상행위가 발생한 경우 해당 패킷을 네트워크 패킷 전송장치(105)로 보내지 않으며 이상이 없는 경우에만 해당 패킷을 네트워크 패킷 전송장치(105)로 전달함으로써 패킷을 필터링한다.
도 2는 본 발명의 일실시예에 따른 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법을 나타낸 도면이다.
도 2를 참조하면, 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법은 네트워크 패킷 수신장치(101)를 통해 수신된 네트워크 패킷이 이상징후 탐지 대상 프로토콜임을 확인한 뒤 해석가능한 패킷일 경우 패킷 분석기(102)로 수신 내용을 전달한다. 패킷분석기(102)는 수신 패킷의 헤더와 페이로드를 분리하여 프로토콜 정보에 대한 간단한 이상유무를 판단하고 수신 패킷의 헤더를 기기정보 저장장치(103)로 전달하여 목적지 주소에 해당하는 기기 정보를 취득한다. 기기 상태정보 저장장치(104)는 해당 기기를 식별정보를 통해 해당 기기의 상태 전이 정보를 갱신하고 해당 정보를 통해 기기의 상태 전이가 안전한지를 확인한다. 상태전이가 안전할 경우에만, 네트워크 패킷 전송장치(105)로 보내게 된다.
도 3은 기기 정보 저장장치(103)에서 기기 정보를 유지하는 방법을 설명하기 위한 도면이다.
기기 정보 저장장치(103)는 기본적으로 네트워크 기기들을 하나의 노드로 매핑하여 노드 ID(혹은 주소값과 같은 고유숫자)를 이용하여 이진트리(Binary Tree)를 유지한다. 하지만 모니터링 기기의 네트워크 패킷 수신장치(101)를 통해 수집된 패킷의 주소값을 통해 접근(access)된 노드(기기)는 트리 구조에서 한 레벨(Level)씩 올라 오게 된다. 이로서 해당 트리의 지역성(locality)이 증가하게 된다. 이는 메시지가 도착시에 동일 목적지에 해당하는 메시지들이 도착할 경우 해당 노드로의 접근(access)을 보다 빠르게 수행할 수 있다. 나아가, DoS 공격 트래픽 생성 기기의 식별이 가능하다. 하지만, 이진트리를 유지해야 하기 때문에 레벨이 증가할 경우 부모노드가 부족할 수 있으며 이때는 더미(Dummy)노드를 통해 부모 노드를 분기시켜 2진트리 형식을 유지하도록 한다. 도 3은 2번 노드 접근에 따른 구조체 갱신과정에 대한 예로서 검은 노드는 기기 노드이며 흰노드는 더미노드이다.
삭제
삭제
삭제
도 4는 본 발명의 실시예에 따른 스마트그리드 기기 상태 전이 정보 저장 장치(104)에서 기기 상태 정보의 구조를 나타낸다. 이는 기본적으로 스마트그리드 AMI 프로토콜 내 기기의 상태전이를 일으키는 헤더 필드(field)의 정보값을 바이너리(Binary)값으로 변환시켜 이진 그래프를 만들어 유지하며, 해당 헤더 값 수신시 이를 비트(Bit)연산을 통해 그래프를 탐색하게 된다. 이와 같은 그래프에서 벗어나는 경우 허용된 헤더값들을 포함한 메시지가 도착하지 않았으므로 이를 탐지하여 이상행위로 식별하게 된다. 이상행위 발생시 해당 메시지는 필터링 되어 네트워크 패킷 전송장치(105)로 전달되지 않는다. 그 이외의 경우에는 상태정보를 전이시켜 해당 기기가 이진그래프의 상태 노드를 가리키게 된다. 도 4는, "0101"이라는 상태전이 명령어 이후 "0110"이라는 상태전이 명령어가 수신되어야 하는 상태전이정보 구조체 예제이다. 해당 예를 통해"0101"이후 "0110" 이외의 명령어 수신시 이는 이상 행위로서 식별하여 탐지가 가능하다.
101: 네트워크 패킷 수신장치
102: 패킷 분석기
103: 기기정보 저장장치
104: 기기 상태 전이 정보 저장장치
105: 네트워크 패킷 전송장치
102: 패킷 분석기
103: 기기정보 저장장치
104: 기기 상태 전이 정보 저장장치
105: 네트워크 패킷 전송장치
Claims (10)
- 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 네트워크 패킷 수신 장치;
상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 패킷 분석기;
상기 헤더에 상응하는 기기의 기기 정보를 제공하는 기기 정보 저장 장치;
상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 기기 상태 전이 정보 저장 장치; 및
상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 네트워크 패킷 전송 장치를 포함하고,
상기 기기 상태 전이 정보 저장 장치는 헤더 필드의 정보값을 바이너리 값으로 변환시킴으로써 생성된 이진그래프를 이용하여 상기 기기 상태 전이 정보를 유지하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템. - 청구항 1에 있어서,
상기 기기 정보 저장 장치는
상기 스마트그리드 AMI 네트워크 내의 네트워크 기기들을 노드들로 맵핑한 이진트리(binary tree)를 이용하여 상기 네트워크 기기들의 정보를 저장하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템. - 청구항 2에 있어서,
상기 기기 정보 저장 장치는
접근(access)된 노드는 상기 이진트리에서 레벨(level)값을 증가시킴으로써 상기 이진트리의 지역성(locality)을 증가시키는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템. - 청구항 3에 있어서,
상기 기기 정보 저장 장치는
상기 레벨(level) 값을 증가시킴에 있어서 부모노드가 부족한 경우 더미(dummy) 노드를 이용하여 상기 부모노드를 분기시켜 상기 이진트리의 구조를 유지하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템. - 삭제
- 네트워크 패킷 수신 장치가 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 단계;
패킷 분석기가 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 단계;
기기 정보 저장 장치가 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 단계;
기기 상태 전이 정보 저장 장치가 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 단계; 및
상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 단계를 포함하고,
상기 이상행위의 발생을 감지하는 단계는 헤더 필드의 정보값을 바이너리 값으로 변환시킴으로써 생성된 이진그래프를 이용하여 상기 기기 상태 전이 정보를 유지하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법. - 청구항 6에 있어서,
상기 기기 정보를 제공하는 단계는
상기 스마트그리드 AMI 네트워크 내의 네트워크 기기들을 노드들로 맵핑한 이진트리(binary tree)를 이용하여 상기 네트워크 기기들의 정보를 제공하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법. - 청구항 7에 있어서,
상기 기기 정보를 제공하는 단계는
접근(access)된 노드에 대하여 상기 이진트리에서의 레벨(level)값을 증가시킴으로써 상기 이진트리의 지역성(locality)을 증가시키는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법. - 청구항 8에 있어서,
상기 기기 정보를 제공하는 단계는
상기 레벨(level) 값을 증가시킴에 있어서 부모노드가 부족한 경우 더미(dummy) 노드를 이용하여 상기 부모노드를 분기시켜 상기 이진트리의 구조를 유지하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법. - 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120116769A KR101527353B1 (ko) | 2012-10-19 | 2012-10-19 | 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020120116769A KR101527353B1 (ko) | 2012-10-19 | 2012-10-19 | 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20140050399A KR20140050399A (ko) | 2014-04-29 |
| KR101527353B1 true KR101527353B1 (ko) | 2015-06-09 |
Family
ID=50655578
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020120116769A KR101527353B1 (ko) | 2012-10-19 | 2012-10-19 | 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101527353B1 (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102054256B1 (ko) | 2019-01-11 | 2019-12-10 | 주식회사 에너닷 | Ami 디바이스와 ami 디바이스 무결성 검증 시스템 및 무결성 검증 방법 |
| KR20200087666A (ko) | 2019-10-23 | 2020-07-21 | 주식회사 에너닷 | Ami 디바이스와 ami 디바이스 무결성 검증 시스템 및 무결성 검증 방법 |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101695958B1 (ko) * | 2016-04-18 | 2017-01-23 | 주식회사 나온웍스 | 전력수요반응시스템을 위한 통신보안 장치 및 방법 |
| CN110807466A (zh) * | 2018-08-01 | 2020-02-18 | 北京京东金融科技控股有限公司 | 一种处理订单数据的方法和装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100684602B1 (ko) * | 2006-05-16 | 2007-02-22 | 어울림정보기술주식회사 | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 |
-
2012
- 2012-10-19 KR KR1020120116769A patent/KR101527353B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100684602B1 (ko) * | 2006-05-16 | 2007-02-22 | 어울림정보기술주식회사 | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102054256B1 (ko) | 2019-01-11 | 2019-12-10 | 주식회사 에너닷 | Ami 디바이스와 ami 디바이스 무결성 검증 시스템 및 무결성 검증 방법 |
| KR20200087666A (ko) | 2019-10-23 | 2020-07-21 | 주식회사 에너닷 | Ami 디바이스와 ami 디바이스 무결성 검증 시스템 및 무결성 검증 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20140050399A (ko) | 2014-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Rehmani et al. | Software defined networks-based smart grid communication: A comprehensive survey | |
| Pliatsios et al. | A survey on SCADA systems: secure protocols, incidents, threats and tactics | |
| US10015176B2 (en) | Network protection | |
| US10868734B2 (en) | Service function chain detection path method and device | |
| KR102030837B1 (ko) | 침입 탐지 장치 및 방법 | |
| US10015188B2 (en) | Method for mitigation of cyber attacks on industrial control systems | |
| WO2016172055A1 (en) | Network security analysis for smart appliances | |
| KR101527353B1 (ko) | 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 | |
| US10701076B2 (en) | Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources | |
| US10474613B1 (en) | One-way data transfer device with onboard system detection | |
| CN103929334A (zh) | 网络异常通知方法和装置 | |
| CN104717105A (zh) | 一种基于ISA100.11a标准的工业传感网数据重复检测方法 | |
| CN103138988A (zh) | 网络故障的定位处理方法及装置 | |
| CN106789982B (zh) | 一种应用于工业控制系统中的安全防护方法和系统 | |
| ES2922817T3 (es) | Análisis de seguridad de red para electrodomésticos inteligentes | |
| Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
| KR20160112750A (ko) | 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법 | |
| Roosta et al. | An intrusion detection system for wireless process control systems | |
| WO2015160010A1 (ko) | 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법 | |
| CN103634166A (zh) | 一种设备存活检测方法及装置 | |
| JP2014147066A (ja) | データネットワーク通信において冗長性を提供する方法およびシステム | |
| Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
| KR101429178B1 (ko) | 무선 네트워크 보안 시스템 및 방법 | |
| US10999315B2 (en) | Control device, mitigation system, control method, and computer program | |
| CN103684719A (zh) | 一种与平台无关的网络双冗余热切换方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20180406 Year of fee payment: 4 |