KR101585342B1 - 이상행위 탐지 장치 및 방법 - Google Patents

이상행위 탐지 장치 및 방법 Download PDF

Info

Publication number
KR101585342B1
KR101585342B1 KR1020140131361A KR20140131361A KR101585342B1 KR 101585342 B1 KR101585342 B1 KR 101585342B1 KR 1020140131361 A KR1020140131361 A KR 1020140131361A KR 20140131361 A KR20140131361 A KR 20140131361A KR 101585342 B1 KR101585342 B1 KR 101585342B1
Authority
KR
South Korea
Prior art keywords
terminal device
information
network
file
host device
Prior art date
Application number
KR1020140131361A
Other languages
English (en)
Inventor
임용훈
주성호
김충효
권유진
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020140131361A priority Critical patent/KR101585342B1/ko
Application granted granted Critical
Publication of KR101585342B1 publication Critical patent/KR101585342B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 화이트리스트를 이용하여 제어 네트워크에 포함된 주장치와 단말장치의 이상행위를 탐지할 수 있는 장치 및 방법에 관한 것이다. 이를 위한 본 발명의 이상행위 탐지 장치는 주장치에 대한 주장치 시스템 정보, 그리고 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 정보 수집부; 및 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치와 단말 장치의 이상 행위를 탐지하는 탐지부를 포함하고, 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 한다.

Description

이상행위 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING ABNORMAL BEHAVIOR}
본 발명은 이상행위 탐지 장치 및 방법에 관한 것이고, 보다 상세하게 화이트리스트를 이용하여 제어 네트워크에 포함된 주장치와 단말장치의 이상행위를 탐지할 수 있는 장치 및 방법에 관한 것이다.
단말장치 또는 주장치에 대한 이상행위 탐지는 블랙리스트를 이용하는 방식이 이용되고 있다. 다만, 특정 목적에 정해진 프로그램만 사용하는 제어시스템에서는 이러한 블랙리스트 방식을 활용하여 악성코드 탐지 등을 수행할 때, 제한된 자원으로 동작하는 임베디드 시스템에 많은 부하를 주는 단점이 존재한다. 또한, 폐쇄망 운영에 따른 제어시스템의 특성상 패턴 업데이트의 어려움 등 문제점을 가지고 있어 신뢰성에 기반 하는 화이트리스트 방식이 꾸준히 요구되어 오고 있다.
이에 따라, 화이트리스트 기반으로 악성코드 파일 검사를 수행하는 기술들이 연구되어 오고 있다. 이에 관련하여, 발명의 명칭이 "화이트리스트를 이용한 네트워크 감시 장치 및 방법"인 한국등록특허 제1360591호가 존재한다. 상기 한국등록특허 제1360591호는 네트워크상의 통신 노드들의 프로토콜, 서비스에 따른 프로토콜 특성, 통신 노드간 상호 상관관계 특성, 기관의 보안정책을 화이트리스로 작성하여 이상징후를 감지하는 방식을 제시하고 있다. 하지만, 이는 제어시스템 네트워크에서 화이트리스트 기반 네트워크 감시 방법으로 제어 네트워크에서 효율적으로 이상징후를 탐지할 수는 있겠지만, 발생 원인을 찾아내거나 능동적인 대응에 한계를 가지고 있어 제어장치와 네트워크에 대한 가용성을 보장할 수 있는 대응책을 제시하지 못하고 있는 문제점이 있다.
본 발명은 주장치나 단말장치에 미치는 부하를 최소화시키면서, 주장치와 단말장치에 대한 이상행위를 탐지할 수 있는 이상행위 탐지 장치 및 방법을 제공하는데 그 목적이 있다.
상기와 같은 과제를 해결하기 위한 제어 네트워크에서 주장치와 단말 장치로부터 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 주장치와 단말 장치의 이상 행위를 탐지하는 이상행위 탐지 장치는 주장치에 대한 주장치 시스템 정보, 그리고 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 정보 수집부; 및 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치와 단말 장치의 이상 행위를 탐지하는 탐지부를 포함하고, 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 한다.
또한, 탐지부는 시스템 정보를 근거로 검토 정보를 추출하고, 검토 정보와 화이트리스트를 비교함으로써, 주장치 및 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 장치 검토 모듈을 포함하여 구성될 수 있다.
또한, 탐지부는 시스템 정보를 근거로 상태값 정보를 추출하고, 상태값 정보를 근거로 주장치 및 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 상태 판단 모듈을 더 포함하여 구성될 수 있다.
또한, 상태값 정보는 주장치 및 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 프로세스 상태값 정보는 주장치 및 상기 단말장치 각각에서 실행되는 프로세스와, 프로세스에 대한 임계 사용량 정보를 포함하고, 파일 상태값 정보는 주장치 및 단말 장치 각각에서 실행되는 파일과 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함할 수 있다.
또한, 상태 판단 모듈은 장치 검토 모듈에서 주장치 및 단말장치에 이상이 없는 것으로 검토된 경우, 판단을 수행할 수 있다.
또한, 탐지부는 주장치 및 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 네트워크 확인 모듈을 더 포함하여 구성될 수 있다.
또한, 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 대응부를 더 포함하여 구성될 수 있다.
또한, 프로세스 화이트리스트는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함할 수 있다.
또한, 파일 화이트리스트는 상기 주장치 및 상기 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함할 수 있다.
또한, 네트워크 화이트리스트는 주장치 및 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함할 수 있다.
상기와 같은 과제를 해결하기 위한 제어 네트워크에서 주장치와 단말 장치로부터 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 주장치와 단말 장치의 이상 행위를 탐지하는 본 발명의 이상행위 탐지 방법은 정보 수집부에 의해, 주장치에 대한 주장치 시스템 정보, 그리고 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 단계; 및 탐지부에 의해, 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치와 단말 장치의 이상 행위를 탐지하는 단계를 포함하고, 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 한다.
또한, 주장치와 단말 장치의 이상 행위를 탐지하는 단계는 장치 검토 모듈에 의해, 시스템 정보를 근거로 검토 정보를 추출하고, 검토 정보와 화이트리스트를 비교함으로써, 주장치 및 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계를 포함할 수 있다.
또한, 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계는 상태 판단 모듈에 의해, 상기 시스템 정보를 근거로 상태값 정보를 추출하고, 상태값 정보를 근거로 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계를 더 포함할 수 있다.
또한, 상태값 정보는 주장치 및 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 프로세스 상태값 정보는 주장치 및 단말장치 각각에서 실행되는 프로세스와, 프로세스에 대한 임계 사용량 정보를 포함하고, 파일 상태값 정보는 주장치 및 단말 장치 각각에서 실행되는 파일과 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함할 수 있다.
또한, 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계는, 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계에서 주장치 및 단말장치에 이상이 없는 것으로 검토된 경우 이루어질 수 있다.
또한, 주장치와 단말 장치의 이상 행위를 탐지하는 단계는 주장치 및 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 단계를 더 포함할 수 있다.
또한, 본 발명의 이상행위 탐지 방법은 대응부에 의해, 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 단계를 더 포함할 수 있다.
또한, 프로세스 화이트리스트는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함할 수 있다.
또한, 파일 화이트리스트는 주장치 및 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함할 수 있다.
또한, 네트워크 화이트리스트는 주장치 및 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함할 수 있다.
본 발명의 이상행위 탐지 장치 및 방법에 따르면 중앙의 이상행위 탐지 장치에서 화이트리스트를 기반으로 이상징후를 탐지하므로, 주장치와 단말 장치에 대한 부하 상승을 야기하지 않고, 주장치와 단말장치간 연계된 감시 체계를 구축할 수 있는 효과가 있다.
또한, 본 발명의 이상행위 탐지 장치 및 방법에 따르면 배전지능화시스템 및 AMI 네트워크와 같이 넓은 필드 구간에 분포된 단말장치와 네트워크 상태를 감시하는데 가장 효과적이고 비용적인 측면에서도 가장 경제적인 감시 시스템을 구축할 수 있는 효과가 있다.
또한, 본 발명의 이상행위 탐지 장치 및 방법에 따르면 화이트리스트에 기반한 프로세스와 프로그램 오용 여부를 탐지할 뿐만 아니라 화이트리스트 범주에 들어 있더라도 시스템 상태값을 추가적으로 감시함으로써 주장치와 단말장치의 문제 발생 원인을 조기에 탐지하고 네트워크 연결 프로세스를 추적함으로써 필드 구간에 발생하는 이상징후의 원인 분석 및 대응이 가능하여 네트워크 및 시스템의 가용성을 최대한 보장할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 대한 개념도이다.
도 2는 본 발명의 일 실시예에 따른 이상행위 탐지 장치에 대한 블록도이다.
도 3은 본 발명의 이상행위 탐지 장치에 포함된 탐지부에 대한 블록도이다.
도 4는 본 발명의 일 실시예에 따른 주장치 및 단말장치로부터 수집되는 시스템 정보의 데이터 구조를 도시하는 도면이다.
도 5는 본 발명의 일 실시예에 따른 화이트리스트의 데이터 구조를 도시하는 도면이다.
도 6은 본 발명의 일 실시예에 따른 주장치 및 단말장치의 상태값 정보의 데이터 구조를 도시하는 도면이다.
도 7은 본 발명의 일 실시예에 따른 주장치 및 단말장치의 네트워크 프로세스 정보의 데이터 구조를 도시하는 도면이다.
도 8은 본 발명의 일 실시예에 따른 이상행위 탐지 방법에 대한 흐름도이다.
도 9는 본 발명의 일 실시예에 따른 주장치와 단말 장치의 이상행위를 탐지하는 단계에 대한 흐름도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
이하, 본 발명의 실시예에 따른 이상행위 탐지 장치 및 방법에 대하여 설명하도록 한다.
도 1은 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)에 대한 개념도이다. 도 2는 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)에 대한 블록도이다. 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 네트워크(30)를 통해 연결된 주장치(10), 단말장치(20)에 대해 화이트리스트를 이용하여 이상행위를 탐지하는 것을 그 특징으로 한다. 즉, 주장치(10)와 단말장치(20), 그리고 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 네트워크(30)를 통해 연결되고, 이상행위 탐지 장치(100)에서 화이트리스트를 기반으로 감시를 수행할 수 있다. 또한, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 주장치(10)의 특정 프로그램을 통한 요청과, 단말장치의 특정 프로그램을 통한 응답으로 이루어지는 제어 시스템 환경에 특화될 수 있다. 또한, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 주장치(10)와 단말 장치(20)에서 수집된 시스템 정보와, 기 저장된 화이트리스트의 비교를 통해 주장치(10)와 단말 장치(20)의 이상행위를 탐지할 수 있다. 이를 위해, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 정보 수집부(110), 탐지부(120), 추적부(130) 및 대응부(140)를 포함하여 구성될 수 있다. 이하, 도 1 및 도 2를 참조로, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)에 포함된 각 구성들에 대한 설명이 이루어진다.
정보 수집부(110)는 주장치(10)에 대한 주장치 시스템 정보, 그리고 단말 장치(20)에 대한 단말 장치 시스템 정보를 수집하는 기능을 한다. 즉, 도 2에 도시된 바와 같이, 주장치(10)는 주장치(10)에 대한 주장치 시스템 정보를 수집하는 주장치 정보 수집부(11)를 포함하고, 단말장치(20)는 단말장치(20)에 대한 단말장치 시스템 정보를 수집하는 단말장치 정보 수집부(21)를 포함하는데, 본 발명의 정보 수집부(110)는 주장치 정보 수집부(11)와 단말장치 정보 수집부(21)로부터 수집된 시스템 정보를 주기적으로 수집하는 기능을 한다.
상술한 바와 같이, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 화이트리스트를 근거로 주장치(10)와 단말 장치(20)의 이상행위를 탐지하는 것을 특징으로 한다. 즉, 정보 수집부(110)를 통해 수집되는 시스템 정보는 화이트리스트 관련 시스템 정보로 정의된다. 예를 들어, 정보 수집부(110)를 통해 수집되는 시스템 정보는 주장치(10)와 단말장치(20)에 대한 실행 프로세스 정보, 파일 접근 정보, 및 네트워크 사용 정보를 포함할 수 있다(도 4 참조).
화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트, 네트워크 화이트리스트로 구분될 수 있다. 여기서, 프로세스 화이트리스트는 주장치(10)와 단말 장치(20)에서 실행되는 프로세스 명, 프로세스의 해쉬값, 부모 프로세스 정보를 포함할 수 있다. 그리고, 파일 화이트리스트는 주장치(10)와 단말 장치(20)에서 실행되는 파일명, 파일의 해쉬값, 그리고 파일 접근 프로세스를 포함할 수 있다. 또한, 네트워크 화이트리스트는 주장치(10)와 단말 장치(20)에 대한 연결 네트워크 IP 및 포트, 네트워크 프로세스명, 네트워크 프로세스의 해쉬값을 포함할 수 있다. 여기서, 각 화이트리스트에는 해쉬값이 포함되는데, 이는 무결성 검사를 위해 사용된다. 여기서, 화이트리스트에 대한 데이터 구조는 도 5에 도시된다.
탐지부(120)는 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치(10)와 단말 장치(20)의 이상 행위를 탐지하는 기능을 한다. 탐지부(120)에서 이루어지는 탐지 과정은 다음과 같다. 먼저, 탐지부(120)는 정보 수집부(110)를 통해 수집된 시스템 정보를 근거로 검토 정보를 추출한다. 그리고, 이러한 검토 정보와 화이트리스트의 비교를 통해 주장치(10) 및 단말 장치(20)에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토할 수 있다.
또한, 탐지부(120)는 검토 정보를 근거로 판단된 주장치(10) 및 단말장치(20)의 검토 결과가 정상 범주 내에 있더라도, 상태값 정보를 근거로 주장치(10) 및 단말 장치(20)에 대한 상태값 정보를 근거로 주장치(10) 및 단말 장치(20)에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 더 판단할 수 있다. 이를 통해, 본 발명의 일 실시예에 따른 이상행위 탐지 장치(100)는 주장치(10) 및 단말 장치(20)에서 파일, 프로세스 및 네트워크 연결이 허용된 범위 내에서 실행 또는 이루어지고 있는지를 보다 정확히 파악할 수 있게 된다.
여기서, 상태값 정보는 주장치(10) 및 단말장치(20) 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함할 수 있다. 또한, 프로세스 상태값 정보는 주장치(10) 및 단말장치(20) 각각에서 실행되는 프로세스와, 프로세스에 대한 임계 사용량 정보를 포함할 수 있다. 또한, 파일 상태값 정보는 주장치(10) 및 단말 장치(20) 각각에서 실행되는 파일과 파일의 접근 형태 및 임계 접근량 정보를 포함할 수 있다. 그리고, 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함할 수 있다.
또한, 탐지부(120)는 주장치(10) 및 단말 장치(20)에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 더 확인할 수 있다.
추적부(130)는 탐지부(120)를 통한 확인 결과, 주장치(10)와 단말 장치(20) 중 적어도 하나에 문제가 발생한 것으로 판단된 경우, 네트워크 프로세스들을 연결하여, 이에 대한 원인을 추적하는 기능을 한다. 예를 들어, 부모 프로세스와 자식 프로세스를 연결하여 추적함으로써, 원인을 찾아낼 수 있다.
대응부(140)는 추적부(130)를 통해 추적된 문제 발생 원인을 해결하기 위해, 대응 신호를 생성하고, 이를 다시 문제가 발생한 주장치(10)와 단말 장치(20) 중 적어도 하나에 송신하는 기능을 한다. 도 2에 도시된 바와 같이, 주장치(10)와 단말 장치(20)에는 각각 주장치 대응부(12)와 단말 장치 대응부(22)가 포함된다. 이에 따라, 이들 주장치 대응부(12)와 단말 장치 대응부(22)는 상기 수신된 대응 신호를 통해 프로세스 중지, 파일 권한 변경, 네트워크 차단 등의 대응 기능을 수행할 수 있다.
도 3은 본 발명의 이상행위 탐지 장치에 포함된 탐지부(120)에 대한 블록도이다. 위에서 언급한 것처럼, 본 발명의 일 실시예에 따른 탐지부(120)는 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치(10)와 단말 장치(20)의 이상 행위를 탐지하는 기능을 한다. 이를 위해, 본 발명의 일 실시예에 따른 탐지부(120)는 장치 검토 모듈(121), 상태 판단 모듈(122) 및 네트워크 확인 모듈(123)을 포함하여 구성될 수 있다. 이하, 본 발명의 일 실시예에 따른 탐지부(120)에 포함된 각 구성들에 대해 설명된다.
장치 검토 모듈(121)은 주장치 및 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 기능을 한다. 검토 모듈(121)을 통해 이루어지는 검토 과정은 검토 정보와 화이트리스트를 비교함으로써 이루어질 수 있다. 여기서, 검토 정보는 정보 수집부(110)를 통해 생성된 시스템 정보를 근거로 추출된다.
상태 판단 모듈(122)은 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 기능을 한다. 여기서, 상태 판단 모듈(122)을 통해 이루어지는 판단은 장치 검토 모듈(121)에서 주장치 및 단말장치에 이상이 없는 것으로 검토된 경우 이루어질 수 있다. 또한, 상태 판단 모듈(122)을 통해 이루어지는 판단은 주장치 및 단말 장치의 상태값 정보를 근거로 이루어질 수 있다. 또한, 상태값 정보는 정보 수집부(110)를 통해 추출된 정보로서, 주장치 및 상기 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함할 수 있다. 또한, 프로세스 상태값 정보는 주장치 및 단말장치 각각에서 실행되는 프로세스와, 프로세스에 대한 임계 사용량 정보를 포함할 수 있다. 또한, 파일 상태값 정보는 주장치 및 단말 장치 각각에서 실행되는 파일과 파일의 접근 형태 및 임계 접근량 정보를 포함할 수 있다. 그리고 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함할 수 있다(도 6 참조).
네트워크 확인 모듈(123)은 주장치 및 상기 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 기능을 한다. 이를 위해, 네트워크 확인 모듈(123)은 정보 수집부(110)를 통해 생성된 네트워크 프로세스 정보(도 7 참조)를 이용할 수 있다.
도 8은 본 발명의 일 실시예에 따른 이상행위 탐지 방법에 대한 흐름도이다. 본 발명의 일 실시예에 따른 이상행위 탐지 방법은 네트워크를 통해 연결된 주장치, 단말장치에 대해 화이트리스트를 이용하여 이상행위를 탐지하는 것을 그 특징으로 한다. 구체적으로, 본 발명의 일 실시예에 따른 이상행위 탐지 방법은 제어 네트워크에서 주장치와 단말 장치로부터 시스템 정보를 수집하고, 수집된 시스템 정보와 화이트리스트를 비교함으로써 주장치와 단말 장치의 이상 행위를 탐지하는 기능을 한다. 이하, 도 8을 참조로, 본 발명의 일 실시예에 따른 이상행위 탐지 방법에 대한 설명이 이루어진다. 또한, 위에서 도 1 내지 3을 참조로 언급된 부분과 중복되는 사항은 생략되어 설명된다.
먼저, 정보 수집부에 의해, 주장치에 대한 주장치 시스템 정보, 그리고 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 단계(S110)가 수행된다. 도 1 및 도 2를 참조로 언급한 것처럼, 주장치에는 주장치 시스템 정보를 수집하는 주장치 정보 수집부가 포함되고, 단말 장치에는 단말 장치 시스템 정보를 수집하는 단말 장치 정보 수집부가 포함된다. 즉, S110 단계에서는 각 장치에서 수집된 시스템 정보들을 수집하는 기능을 한다. 여기서, 시스템 정보는 화이트리스트 관련 시스템 정보로 정의된다. 예를 들어, 정보 수집부(110)를 통해 수집되는 시스템 정보는 주장치(10)와 단말장치(20)에 대한 실행 프로세스 정보, 파일 접근 정보, 및 네트워크 사용 정보를 포함할 수 있다. 시스템 정보에 대한 데이터 구조에 대해서는 위에서 도 4를 참조로 언급되었으므로, 이에 대한 추가적인 설명은 생략한다.
그 후, 탐지부에 의해, 주장치 시스템 정보 및 단말 장치 시스템 정보를 포함하는 시스템 정보와 화이트리스트를 비교함으로써, 주장치와 단말 장치의 이상 행위를 탐지하는 단계(S120)가 수행된다. 위에서 언급한 것처럼, 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하여 구성될 수 있다. 여기서, 프로세스 화이트리스트는 주장치 및 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함할 수 있다. 그리고, 파일 화이트리스트는 주장치 및 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함할 수 있다. 마지막으로, 네트워크 화이트리스트는 주장치 및 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함할 수 있다(도 5 참조). 또한, S120 단계에서 이루어지는 탐지 과정은 위에서 도 2 및 도 3을 참조로 상세히 언급되었으므로, 이에 대한 추가적인 설명은 생략한다.
그 후, S120 단계에서의 확인 결과, 주장치와 단말 장치 중 적어도 하나에 문제가 발생한 것으로 판단된 경우, 추적부를 통해 네트워크 프로세스들을 연결하여, 이에 대한 원인을 추적하는 단계(S130)가 수행된다. 예를 들어, S130 단계는 부모 프로세스와 자식 프로세스를 연결하여 추적함으로써, 원인을 찾아낼 수 있다.
그 후, 문제 발생 원인을 해결하기 위해, 대응부에 의해, 대응 신호를 생성하고, 이를 다시 문제가 발생한 주장치와 단말 장치 중 적어도 하나에 송신하는 단계(S140)가 수행된다. 상술한 바와 같이, 주장치와 단말 장치에는 각각 주장치 대응부와 단말 장치 대응부가 포함된다. 이에 따라, 이들 주장치 대응부와 단말 장치 대응부에서는 S140 단계에서 송신된 대응 신호를 근거로 프로세스 중지, 파일 권한 변경, 네트워크 차단 등의 대응 기능을 수행함으로써, 문제에 대한 해결을 할 수 있다.
도 9는 본 발명의 일 실시예에 따른 주장치와 단말 장치의 이상행위를 탐지하는 단계에 대한 흐름도이다. 이하, 도 9를 참조로, 본 발명의 일 실시예에 따른 주장치와 단말 장치의 이상행위를 탐지하는 단계에 대한 설명이 이루어진다.
먼저, 검토 정보와 화이트리스트가 일치하는지 검토하는 단계(S121)가 수행된다. 즉, S121 단계는 장치 검토 모듈에 의해, 시스템 정보를 근거로 검토 정보를 추출하고, 검토 정보와 화이트리스트(주장치 및 단말장치에 대한 장치별 프로세스 화이트리스트, 파일 화이트리스트, 네트워크 화이트리스트)를 비교함으로써, 주장치 및 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 과정을 수행한다. S121 단계에서의 검토 결과, 검토 정보가 화이트리스트와 일치하는 것으로 판단되면, 제어는 S122 단계로 전달된다. 그렇지 않다면 제어는 S127 단계로 전달된다.
S122 단계는 상태값 정보를 분석하는 단계로서, 여기서 상태값 정보는 상태 판단 모듈에 의해, 상기 시스템 정보를 근거로 추출될 수 있다. 구체적으로, S122 단계는 장치별 프로세스 상태값, 파일 접근 상태값, 네트워크 연결 상태값 등을 비교하고 이를 근거로 분석을 수행하는 단계이다.
여기서, 상태값 정보는 주장치 및 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함할 수 있다. 프로세스 상태값 정보는 주장치 및 단말장치 각각에서 실행되는 프로세스와, 프로세스에 대한 임계 사용량 정보를 포함하고, 파일 상태값 정보는 주장치 및 단말 장치 각각에서 실행되는 파일과 파일의 접근 형태 및 임계 접근량 정보를 포함할 수 있다. 그리고 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함할 수 있다.
그 후, S122 단계에서의 분석 결과, 주장치 및 단말 장치의 시스템 상태가 허용 상태 범위 인지 판단하는 단계(S123)가 수행된다. S123 단계에서의 분석 결과, 시스템 상태값이 허용 범위 이내인 것으로 판단되면, 제어는 S124 단계로 전달된다. 그렇지 않다면 제어는 S127 단계로 전달된다.
S124 단계는 네트워크 프로세스가 존재하는지 판단하는 단계로서, 네트워크 프로세스가 존재하는 것으로 판단되면 제어는 S125 단계로 전달된다. 그렇지 않다면 제어는 종료 블록으로 전달된다.
S125 단계는 주장치-단말장치 연결 화이트리스트의 비교를 통해 네트워크 프로세스를 분석하는 단계이다. S125 단계를 통해 분석되는 데이터의 구조는 도 7에 도시되어 있다. 구체적으로, S125 단계에서는 주장치의 네트워크 프로세스 및 IP/PORT, 단말장치의 네트워크 프로세스 및 IP/PORT와 주장치-단말장치 연결 화이트리스트를 비교하는 과정을 수 행한다.
그 후, 주장치와 단말장치의 네트워크 프로세스간 연결이 인가된 정상적인 연결인지를 판단하는 단계(S126)가 수행된다. S126 단계에서 정상 연결인 것으로 판단되면 제어는 종료 블록으로 전달된다. 그렇지 않다면 제어는 S130단계로 전달되어 추적 및 대응을 위해 주장치-단말장치 연결 네트워크 및 프로세스 추적 기능이 수행될 수 있다.
S127 단계는 프로세스 정보를 수집하는 단계이다. 구체적으로, S127 단계는 악성코드 또는 비인가된 응용의 실행, 비인가된 파일의 접근, 비인가된 네트워크 접속 등이 발생한 것으로 판단될 때, 수행되는 단계로서 문제 발생 원인의 추적 및 대응을 위해 부모프로세스-자식프로세스 정보수집 기능을 수행한다. 즉, S127 단계는 이상징후가 발생한 프로세스를 추적하기 위해 자식 프로세스를 실행한 부모 프로세스를 추적하여 정보를 수집한다.
그 후, 이상징후가 발생한 프로세스가 네트워크 프로세스인지 판단하는 단계(S128)가 수행된다. S128 단계에서의 판단 결과 이상징후가 발생한 프로세스가 네트워크 프로세스로 판단되면 제어는 S130 단계로 전달되어, 주장치-단말장치 연결 네트워크 및 프로세스 추적 기능을 통하여 네트워크 프로세스들을 연결 추적하고 부모 프로세스와 자식 프로세스를 연계 추적하여 원인을 찾아내며 이를 경고하고 연계 대응하는 과정이 수행된다. 그렇지 않다면, 이상 징후가 발생한 원인이 주장치 또는 단말장치 내의 독립적인 문제이므로, S140 단계로 전달되어 이를 경고하고 단일 대응할 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100 : 이상행위 탐지 장치 110 : 정보 수집부
120 : 탐지부 130 : 추적부
140 : 대응부

Claims (20)

  1. 제어 네트워크에서 주장치와 단말 장치로부터 네트워크를 통해 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 이상행위 탐지 장치로서,
    상기 주장치에 대한 주장치 시스템 정보, 그리고 상기 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 정보 수집부;
    상기 주장치 시스템 정보 및 상기 단말 장치 시스템 정보를 포함하는 시스템 정보를 근거로 검토 정보를 추출하고, 상기 검토 정보와 화이트리스트를 비교함으로써, 상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 탐지부; 및
    인가되지 않은 네트워크 연결이 탐지될 시, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 추적부를 포함하고, 상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 탐지부는,
    상기 시스템 정보를 근거로 상태값 정보를 추출하고, 상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 상태 판단 모듈을 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  4. 제3항에 있어서,
    상기 상태값 정보는 상기 주장치 및 상기 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 상기 프로세스 상태값 정보는 상기 주장치 및 상기 단말장치 각각에서 실행되는 프로세스와, 상기 프로세스에 대한 임계 사용량 정보를 포함하고, 상기 파일 상태값 정보는 상기 주장치 및 상기 단말 장치 각각에서 실행되는 파일과 상기 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 상기 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  5. 제3항에 있어서,
    상기 상태 판단 모듈은,
    상기 장치 검토 모듈에서 상기 주장치 및 상기 단말장치에 이상이 없는 것으로 검토된 경우, 상기 판단을 수행하는 것을 특징으로 하는, 이상행위 탐지 장치.
  6. 제3항에 있어서,
    상기 탐지부는,
    상기 주장치 및 상기 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 네트워크 확인 모듈을 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  7. 제1항에 있어서,
    상기 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 대응부를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  8. 삭제
  9. 제1항에 있어서,
    상기 파일 화이트리스트는 상기 주장치 및 상기 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  10. 제1항에 있어서,
    상기 네트워크 화이트리스트는 상기 주장치 및 상기 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 장치.
  11. 제어 네트워크에서 주장치와 단말 장치로부터 네트워크를 통해 시스템 정보를 수집하고, 수집된 시스템 정보를 근거로 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 이상행위 탐지 방법으로서,
    정보 수집부에 의해, 상기 주장치에 대한 주장치 시스템 정보, 그리고 상기 단말 장치에 대한 단말 장치 시스템 정보를 수집하는 단계;
    탐지부에 의해, 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계로서, 상기 탐지부에 의해, 상기 주장치 시스템 정보 및 상기 단말 장치 시스템 정보를 포함하는 시스템 정보를 근거로 검토 정보를 추출하는 단계와,
    상기 탐지부에 의해, 상기 검토 정보와 화이트리스트를 비교함으로써, 상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계를 포함하는, 상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계; 및
    인가되지 않은 네트워크 연결이 탐지될 시, 추적부에 의해, 상기 주장치 및 상기 단말 장치의 부모 프로세스, 자식 프로세스 및 해쉬값을 포함하는 프로세스 화이트리스트와, 상기 주장치 및 단말 장치에 대한 부모 프로세스 및 자식 프로세스를 비교함으로써 이상 원인을 추적하는 단계를 포함하고,
    상기 화이트리스트는 프로세스 화이트리스트, 파일 화이트리스트 및 네트워크 화이트리스트를 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  12. 삭제
  13. 제11항에 있어서,
    상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계는,
    상태 판단 모듈에 의해, 상기 시스템 정보를 근거로 상태값 정보를 추출하고, 상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  14. 제13항에 있어서,
    상기 상태값 정보는 상기 주장치 및 상기 단말장치 각각에 대한 프로세스 상태값 정보, 파일 상태값 정보 및 네트워크 상태값 정보를 포함하고, 상기 프로세스 상태값 정보는 상기 주장치 및 상기 단말장치 각각에서 실행되는 프로세스와, 상기 프로세스에 대한 임계 사용량 정보를 포함하고, 상기 파일 상태값 정보는 상기 주장치 및 상기 단말 장치 각각에서 실행되는 파일과 상기 파일의 접근 형태 및 임계 접근량 정보를 포함하며, 상기 네트워크 상태값 정보는 네트워크에 대한 IP 및 포트 정보, 네트워크 접근형태 및 세션 수에 대한 정보를 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  15. 제13항에 있어서,
    상기 상태값 정보를 근거로 상기 주장치 및 상기 단말 장치에서 실행되는 파일 및 프로세스 중 적어도 하나가 기설정된 리소스 이하로 실행되는지의 여부, 그리고 네트워크의 부하가 기설정된 부하 임계값 이하로 실행되는지의 여부 중 적어도 하나를 판단하는 단계는,
    상기 주장치 및 상기 단말 장치에서 인가되지 않은 파일 및 프로세스 중 적어도 하나의 실행 여부, 및 인가되지 않은 네트워크 연결의 존재 여부 중 적어도 하나를 검토하는 단계에서 상기 주장치 및 상기 단말장치에 이상이 없는 것으로 검토된 경우 이루어지는 것을 특징으로 하는, 이상행위 탐지 방법.
  16. 제13항에 있어서,
    상기 주장치와 상기 단말 장치의 이상 행위를 탐지하는 단계는,
    네트워크 확인 모듈에 의해, 상기 주장치 및 상기 단말 장치에서 비인가된 네트워크 프로세스 및 서비스 연결이 존재하는지의 여부를 확인하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  17. 제11항에 있어서,
    대응부에 의해, 상기 주장치 및 단말장치 중 적어도 하나에서 이상행위가 탐지될 때, 대응 신호를 생성 및 송신하는 단계를 더 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  18. 삭제
  19. 제11항에 있어서,
    상기 파일 화이트리스트는 상기 주장치 및 상기 단말 장치의 파일, 파일 접근 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
  20. 제11항에 있어서,
    상기 네트워크 화이트리스트는 상기 주장치 및 상기 단말 장치의 네트워크에 대한 IP 및 포트, 네트워크 프로세스 및 해쉬값을 포함하는 것을 특징으로 하는, 이상행위 탐지 방법.
KR1020140131361A 2014-09-30 2014-09-30 이상행위 탐지 장치 및 방법 KR101585342B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140131361A KR101585342B1 (ko) 2014-09-30 2014-09-30 이상행위 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140131361A KR101585342B1 (ko) 2014-09-30 2014-09-30 이상행위 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101585342B1 true KR101585342B1 (ko) 2016-01-14

Family

ID=55173149

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140131361A KR101585342B1 (ko) 2014-09-30 2014-09-30 이상행위 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101585342B1 (ko)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018056601A1 (ko) * 2016-09-22 2018-03-29 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
KR20190048264A (ko) 2017-10-31 2019-05-09 주식회사 윈스 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법
KR20190048273A (ko) 2017-10-31 2019-05-09 주식회사 윈스 프로파일링 기반의 통계 학습을 활용한 이상 징후 탐지 장치 및 방법
KR20190050521A (ko) 2017-11-03 2019-05-13 주식회사 윈스 프로파일링 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법
WO2019212111A1 (ko) * 2018-04-30 2019-11-07 에스엠테크놀러지(주) 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
US11003765B2 (en) 2018-06-11 2021-05-11 Tmax A&C Co., Ltd Container-based integrated management system
KR20220049674A (ko) 2020-10-14 2022-04-22 한국전자통신연구원 딥러닝을 이용한 제어 시스템의 이상 탐지 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008060766A (ja) * 2006-08-30 2008-03-13 Mitsubishi Electric Corp ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008060766A (ja) * 2006-08-30 2008-03-13 Mitsubishi Electric Corp ネットワーク監視装置、検疫システム、セキュアゲートウェイ、ネットワーク監視プログラム及びネットワーク監視方法

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018056601A1 (ko) * 2016-09-22 2018-03-29 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
KR20180032409A (ko) * 2016-09-22 2018-03-30 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
KR101883713B1 (ko) * 2016-09-22 2018-07-31 주식회사 위드네트웍스 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
KR20190048264A (ko) 2017-10-31 2019-05-09 주식회사 윈스 패킷 분석 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법
KR20190048273A (ko) 2017-10-31 2019-05-09 주식회사 윈스 프로파일링 기반의 통계 학습을 활용한 이상 징후 탐지 장치 및 방법
KR20190050521A (ko) 2017-11-03 2019-05-13 주식회사 윈스 프로파일링 기반의 기계 학습을 활용한 이상 징후 탐지 장치 및 방법
WO2019212111A1 (ko) * 2018-04-30 2019-11-07 에스엠테크놀러지(주) 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
US11003765B2 (en) 2018-06-11 2021-05-11 Tmax A&C Co., Ltd Container-based integrated management system
KR20220049674A (ko) 2020-10-14 2022-04-22 한국전자통신연구원 딥러닝을 이용한 제어 시스템의 이상 탐지 장치 및 방법

Similar Documents

Publication Publication Date Title
KR101585342B1 (ko) 이상행위 탐지 장치 및 방법
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
CN108931968B (zh) 一种应用于工业控制系统中的网络安全防护系统及其防护方法
CN103491108B (zh) 一种工业控制网络安全防护方法和系统
KR102225460B1 (ko) 다중 센서 데이터를 이용한 위협 헌팅 기반의 위협 탐지 방법 및 이를 이용한 장치
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
CN106101130B (zh) 一种网络恶意数据检测方法、装置及系统
CN111274583A (zh) 一种大数据计算机网络安全防护装置及其控制方法
US10547634B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
US20180075240A1 (en) Method and device for detecting a suspicious process by analyzing data flow characteristics of a computing device
KR101880162B1 (ko) 자동제어시스템 내 제어신호 분석을 이용한 제어신호 무결성 검증 방법
JP6711710B2 (ja) 監視装置、監視方法および監視プログラム
CN109167794B (zh) 一种面向网络系统安全度量的攻击检测方法
CN109063486B (zh) 一种基于plc设备指纹识别的安全渗透测试方法与系统
JP2011175639A (ja) ネットワークにおけるセキュリティ保全のための方法及びシステム
US11575688B2 (en) Method of malware characterization and prediction
CN114006723B (zh) 基于威胁情报的网络安全预测方法、装置及系统
CN113660115B (zh) 基于告警的网络安全数据处理方法、装置及系统
CN114666088A (zh) 工业网络数据行为信息的侦测方法、装置、设备和介质
CN116319061A (zh) 一种智能控制网络系统
CN107819758A (zh) 一种网络摄像头漏洞远程检测方法及装置
CN106899977B (zh) 异常流量检验方法和装置
KR20150133370A (ko) 웹서비스 접속제어 시스템 및 방법
CN115102890A (zh) 一种车载终端系统入侵检测功能测试系统和方法
WO2020109252A1 (en) Test system and method for data analytics

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20181227

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20191226

Year of fee payment: 5