KR101711022B1 - 제어 네트워크 침해사고 탐지 장치 및 탐지 방법 - Google Patents

제어 네트워크 침해사고 탐지 장치 및 탐지 방법 Download PDF

Info

Publication number
KR101711022B1
KR101711022B1 KR1020140001838A KR20140001838A KR101711022B1 KR 101711022 B1 KR101711022 B1 KR 101711022B1 KR 1020140001838 A KR1020140001838 A KR 1020140001838A KR 20140001838 A KR20140001838 A KR 20140001838A KR 101711022 B1 KR101711022 B1 KR 101711022B1
Authority
KR
South Korea
Prior art keywords
flow
information
packet
transmission period
unit
Prior art date
Application number
KR1020140001838A
Other languages
English (en)
Other versions
KR20150081889A (ko
Inventor
허영준
손선경
나중찬
강동호
김병구
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140001838A priority Critical patent/KR101711022B1/ko
Publication of KR20150081889A publication Critical patent/KR20150081889A/ko
Application granted granted Critical
Publication of KR101711022B1 publication Critical patent/KR101711022B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security

Abstract

본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치는 제어 네트워크를 통해 제어 설비들과 연결되는 제어 네트워크 침해사고 탐지 장치에 있어서, 상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 플로우 정보 추출부, 상기 플로우 정보를 이용하여 플로우 테이블을 생성하는 플로우 정보 관리부, 상기 플로우 테이블에 저장된 플로우 정보를 분석하여 플로우 패턴 정보를 생성하는 플로우 패턴 정보 생성부, 상기 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 설정정보 수집부, 및 상기 플로우 정보 관리부로부터 전달되는 상기 플로우 정보 및 상기 플로우 패턴 정보 생성부로부터 전달되는 상기 플로우 패턴 정보 및 상기 설정정보 수집부로부터 전달되는 상기 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 판단부를 포함한다.

Description

제어 네트워크 침해사고 탐지 장치 및 탐지 방법{DETECTING DEVICE FOR INDUSTRIAL CONTROL NETWORK INTRUSION AND DETECTING METHOD OF THE SAME}
본 발명은 제어 네트워크 침해사고 탐지 장치 및 탐지 방법에 관한 것으로, 더욱 상세하게는 제어 네트워크의 트래픽 흐름과 제어 시스템 설정정보 등을 분석하여 침해사고를 탐지할 수 있는 제어 네트워크 침해사고 탐지 장치 및 탐지 방법에 관한 것이다.
일반적으로 제어 네트워크를 구성하는 제어시스템은 기능과 역할이 미리 정의되어 있고, 주기적이고 규칙적인 동작을 반복적으로 수행하며, 시스템간의 통신도 규칙적인 패턴을 갖는다. 또한, 제어시스템은 클라이언트와 서버의 역할이 미리 정의되어 있고, 사용하는 프로토콜 및 서비스 포트도 한정되어 있으며, 신규 시스템의 추가나 네트워크 설정 변경 등은 거의 발생하지 않는다.
제어시스템은 점차적으로 공개된 소프트웨어 및 표준 통신 프로토콜을 사용하는 추세로 발전하고 있으며, 이에 따라 공격자에게 제어시스템의 동작에 대한 많은 정보를 제공하게 됨으로써 제어시스템에 대한 사이버 침해의 가능성과 위험성이 높아지고 있다. 특히, 제어시스템을 겨냥한 사이버 표적공격 위협과 사이버테러로 인한 대규모 물리적 재난이 발생할 가능성이 대두되고 있으며, 대표적인 사례로 산업시설을 겨냥한 스턱스넷(Stuxnet) 공격이 있다. 현재 제어시스템 보호를 위해 방화벽, 침입탐지시스템 등의 보안 제품을 외부 네트워크 경계 영역에 위치하여 경계망 중심의 보안 대응을 수행하고 있어 내부 인프라에서 발생되는 문제에는 취약한 상태이다.
본 발명의 목적은 제어 네트워크의 내부 인프라에서 발생될 수 있는 네트워크 침해사고를 탐지할 수 있는 제어 네트워크 침해사고 탐지 장치 및 탐지 방법을 제공하는 데 있다.
본 발명의 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급되지 않은 또 다른 기술적 과제들은 아래의 기재들로부터 당업자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치는 네트워크를 통해 제어 설비들과 연결되는 제어 네트워크 침해사고 탐지 장치에 있어서, 상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 플로우 정보 추출부, 상기 플로우 정보를 이용하여 플로우 테이블을 생성하는 플로우 정보 관리부, 상기 플로우 테이블에 저장된 플로우 정보를 분석하여 플로우 패턴 정보를 생성하는 플로우 패턴 정보 생성부, 상기 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 설정정보 수집부, 및 상기 플로우 정보 관리부로부터 전달되는 상기 플로우 정보 및 상기 플로우 패턴 정보 생성부로부터 전달되는 상기 플로우 패턴 정보 및 상기 설정정보 수집부로부터 전달되는 상기 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 판단부를 포함한다.
일 실시예에서, 상기 플로우 정보는 5-Tuple 정보를 포함하고, 상기 5-Tuple 정보는 프로토콜 정보, 소스 IP 주소, 소스 포트번호, 목적지 IP 주소, 및 목적지 포트번호를 포함할 수 있다.
일 실시예에서, 상기 플로우 테이블은 플로우 별로 산출된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송 주기를 포함할 수 있다.
일 실시예에서, 상기 플로우 패턴 정보 생성부는 상기 패킷 볼륨, 상기 패킷 개수, 상기 접속 커넥션 수 및 상기 패킷 전송 주기를 시간에 따라 분석하여 상기 플로우 패턴 정보를 생성할 수 있다.
일 실시예에서, 상기 플로우 패턴 정보는 패킷 볼륨 변화 정보, 패킷 개수 변화 정보, 프로토콜 구성 비율 변화 정보, 패킷 전송주기 변화 정보, 평균 패킷 볼륨, 및 평균 패킷 전송 주기를 포함할 수 있다.
일 실시예에서, 상기 설정정보는 허용 소스 IP 주소, 허용 목적지 IP 주소, 허용 목적지 포트번호, 패킷 볼륨 임계값, 패킷 개수 임계값, 패킷 전송주기 최대 임계값, 패킷 전송주기 최소 임계값, 접속 커넥션 수 최대 임계값 및 기준 프로토콜 구성 비율을 포함할 수 있다.
일 실시예에서, 상기 판단부의 판단 결과에 따라 상기 플로우가 비정상으로 판단되는 경우 경보를 발생하는 경보 발생부를 더 포함할 수 있다.
본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법은 제어 네트워크를 통해 제어 설비들과 연결되는 제어 네트워크 침해사고 탐지 장치의 탐지 방법에 있어서, 상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 단계, 상기 제어 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 단계, 상기 플로우 정보를 이용하여 플로우 테이블을 생성하는 단계, 상기 플로우 테이블에 저장된 플로우 정보를 분석하여 플로우 패턴 정보를 생성하는 단계, 및 상기 플로우 정보, 상기 플로우 패턴 정보 및 상기 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 단계를 포함한다.
일 실시예에서, 상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 단계 및 상기 제어 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 단계는 동시에 또는 순차적으로 수행될 수 있다.
본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치 및 탐지 방법은 네트워크의 내부 인프라에서 발생될 수 있는 네트워크 침해사고를 탐지할 수 있다.
나아가, 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치 및 탐지 방법은 제어 네트워크 침해사고를 탐지함으로써 제어 시스템의 가용성을 향상시킬 수 있다.
도 1은 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치의 네트워크 연결을 보여준다.
도 2는 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치를 보여주는 블록도이다.
도 3은 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법을 보여주는 흐름도이다.
도 4 내지 도 9는 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법의 구체적인 적용예를 보여준다.
이하, 본 발명의 일부 실시예들을 예시적인 도면을 통해 상세하게 설명한다. 각 도면의 구성요소들에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명의 실시예를 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 실시예에 대한 이해를 방해한다고 판단되는 경우에는 그 상세한 설명은 생략한다.
또한, 본 발명의 실시예의 구성 요소를 설명하는 데 있어서, 제 1, 제 2, A, B, (a), (b) 등의 용어를 사용할 수 있다. 이러한 용어는 그 구성 요소를 다른 구성 요소와 구별하기 위한 것일 뿐, 그 용어에 의해 해당 구성 요소의 본질이나 차례 또는 순서 등이 한정되지 않는다.
도 1은 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치의 네트워크 연결을 보여준다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치(100, 이하에서 '탐지 장치'라고 칭함)는 네트워크(ex. 인트라넷)를 통해 PLC(10), RTU(20), 분산 제어 시스템(30), 데이터 이력 관리 장치(40), 및 라우터(50)와 연결될 수 있다.
PLC(Programmable Logic Controller, 10), RTU(Remote Terminal Unit, 20), 분산 제어 시스템(Distributed Control System, DCS, 30), 및 데이터 이력 관리 장치(40)는 제어 설비들의 일 예로서, 이들은 제어 시스템을 구성할 수 있으며, 이러한 제어 시스템은 사용하는 프로토콜, 서비스 포트가 한정되어 있고, 신규 시스템(또는 설비)의 추가나 네트워크 설정 변경은 일반적으로 거의 발생하지 않는다. 한편, 도 1에 도시된 탐지 장치(100)의 네트워크 연결은 예시에 불과하며, 여기에 한정되지 않는 것으로 이해되어야 할 것이다.
탐지 장치(100)는 네트워크(ex. 인트라넷)를 통해 PLC(10), RTU(20), 분산 제어 시스템(30), 데이터 이력 관리 장치(40), 및 라우터(50)로부터 플로우 정보 및 각 설비의 설정정보를 수집할 수 있다. 또한, 탐지 장치(100)는 수집된 플로우 정보를 분석하여 플로우 패턴 정보를 생성할 수 있다.
탐지 장치(100)는 플로우 정보, 플로우 패턴 정보, 및 각 설비의 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단할 수 있다. 예를 들어, 탐지 장치(100)는 플로우 정보와 각 설비의 설정정보의 상호 연관성을 분석하여 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단할 수 있다. 탐지 장치(100)는 플로우가 비정상으로 판단되는 경우 네트워크 침해사고가 발생된 것으로 판단하여 경보를 발생할 수 있다.
따라서, 본 발명의 일 실시예에 따른 탐지 장치(100)는 제어 네트워크 내부적으로 발생되는 사이버 공격을 효율적으로 탐지하여 제어 시스템의 가용성과 안정성을 향상시킬 수 있다. 탐지 장치(100)는 이하의 도 2를 참조하여 더욱 구체적으로 설명될 것이다.
도 2는 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 장치를 보여주는 블록도이다.
도 2를 참조하면, 본 발명의 일 실시예에 따른 탐지 장치(100)는 플로우 정보 추출부(111), 플로우 정보 관리부(112), 플로우 테이블(113), 플로우 패턴 정보 생성부(114), 설정정보 수집부(115), 판단부(116), 및 경보 발생부(117)를 포함할 수 있다.
플로우 정보 추출부(111)는 제어 네트워크를 통해 수집되는 패킷을 파싱(parsing)하여 플로우 정보를 추출할 수 있다. 예를 들어, 플로우 정보는 5-Tuple 정보를 포함할 수 있으며, 구체적으로, 5-Tuple 정보는 프로토콜 정보, 소스 IP주소, 소스 포트번호, 목적지 IP주소, 및 목적지 포트번호를 포함할 수 있다.
플로우 정보 관리부(112)는 추출된 플로우 정보를 이용하여 플로우 테이블을 생성할 수 있다. 이를 위해, 플로우 정보 관리부(112)는 추출된 프로토콜 정보, 소스 IP주소, 소스 포트번호, 목적지 IP주소, 및 목적지 포트번호를 이용하여 플로우 별로 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송주기를 산출할 수 있다. 플로우 정보 관리부(112)는 프로토콜 정보, 소스 IP주소, 소스 포트번호, 목적지 IP주소, 목적지 포트번호, 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송주기를 판단부(116)로 전달할 수 있다.
플로우 정보 테이블(113)은 산출된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송주기를 저장할 수 있다.
플로우 패턴 정보 생성부(114)는 플로우 정보 테이블(113)에 저장된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송주기를 분석하여 플로우 패턴 정보를 생성할 수 있다. 예를 들어, 플로우 패턴 정보 생성부(114)는 시간대 별로 패킷 볼륨, 패킷 개수 및 패킷 전송주기를 분석하여 플로우 패턴 정보를 생성할 수 있다. 플로우 패턴 정보는 예를 들어, 패킷 볼륨 변화 정보, 패킷 개수 변화 정보, 프로토콜 구성 비율 변화 정보, 패킷 전송주기 변화 정보, 평균 패킷 볼륨, 및 평균 패킷 전송 주기를 포함할 수 있다.
설정정보 수집부(115)는 제어 네트워크를 통해 각 제어 설비(PLC(10), RTU(20), 분산 제어 시스템(30), 데이터 이력 관리 장치(40), 및 라우터(50))로부터 설비 설정정보를 수집할 수 있다. 설정정보는 예를 들어, 허용 소스 IP주소, 허용 목적지 IP주소, 허용 목적지 포트번호, 패킷 볼륨 임계값, 패킷 개수 임계값, 패킷 전송주기 최대 임계값, 패킷 전송주기 최소 임계값, 접속 커넥션 수 최대 임계값, 폐기되는 패킷 개수 임계값 및 기준 프로토콜 구성 비율을 포함할 수 있다.
판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 플로우 정보, 플로우 패턴 정보 생성부(114)로부터 전달되는 플로우 패턴 정보, 및 설정정보 수집부(115)로부터 전달되는 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단할 수 있다.
예를 들어, 판단부(116)는 플로우 정보 중 소스 IP주소가 허용 소스 IP주소와 일치하는 경우 소스 IP주소에 대응되는 플로우를 정상 플로우로 판단하고, 소스 IP주소가 허용 소스 IP주소와 일치하지 않는 경우 상기 플로우를 비정상 플로우로 판단할 수 있다. 또한, 예를 들어, 판단부(116)는 플로우 정보를 이용하여 산출된 패킷 볼륨이 패킷 볼륨 임계값보다 큰 경우, 또는 패킷 볼륨이 패킷 볼륨 임계값과 같거나 그보다 작지만 패킷 볼륨 변화 정보 상에서 패킷 볼륨이 지속적으로 증가하는 경우 해당 플로우를 비정상 플로우로 판단할 수 있다.
즉, 제어 시스템의 경우 일반적으로 프로토콜, IP주소, 서비스 포트, 네트워크 설정 등이 거의 변경되지 않으므로 판단부(116)는 상술한 바와 같이 플로우 정보, 플로우 패턴 정보, 및 설정정보를 이용하여 플로우가 정상인지 여부를 판단할 수 있다.
경보 발생부(117)는 판단부(116)의 판단 결과에 따라 경보를 발생할 수 있다. 예를 들어, 경보 발생부(117)는 판단부(116)가 플로우를 비정상으로 판단하는 경우 경보를 발생할 것이다.
도 3은 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법을 보여주는 흐름도이다.
도 3을 참조하면, 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법은 네트워크를 통해 수집된 패킷을 파싱하여 플로우 정보를 추출하는 단계(S110), 제어 설비로부터 설정정보를 수집하는 단계(S120), 플로우 정보를 이용하여 플로우 테이블을 생성하는 단계(S130), 플로우 테이블에 저장된 플로우 정보들을 분석하여 플로우 패턴 정보를 생성하는 단계(S140), 및 플로우 정보, 플로우 패턴 정보, 및 설정정보를 이용하여 플로우가 정상인지 여부를 판단하는 단계(S150)를 포함할 수 있다.
이하에서, 도 2 및 도 3을 참조하여 상술한 S110 내지 S150 단계가 구체적으로 설명될 것이다.
S110 단계에서, 플로우 정보 추출부(111)는 제어 네트워크를 통해 수집되는 패킷을 파싱(parsing)하여 플로우 정보를 추출할 수 있다. 패킷은 예를 들어, 네트워크에 연결된 제어 설비들 간에 전달되는 패킷일 수 있으며, 이에 한정되는 것은 아니다. 추출되는 플로우 정보는 예를 들어, 5-Tuple 정보를 포함할 수 있으며, 상술한 바와 같이, 5-Tuple 정보는 프로토콜 정보, 소스 IP주소, 소스 포트번호, 목적지 IP주소, 및 목적지 포트번호를 포함할 수 있다.
S120 단계에서, 설정정보 수집부(115)는 제어 네트워크를 통해 제어 설비로부터 설정정보를 수집할 수 있다. 예를 들어, S120 단계는 S110 단계와 동시에 수행될 수 있고, S110 단계 이전에 수행될 수도 있다. 설정정보는 허용 소스 IP 주소, 허용 목적지 IP 주소, 허용 목적지 포트번호, 패킷 볼륨 임계값, 패킷 개수 임계값, 패킷 전송주기 최대 임계값, 패킷 전송주기 최소 임계값, 접속 커넥션 수 최대 임계값, 폐기되는 패킷 개수 임계값 및 기준 프로토콜 구성 비율을 포함할 수 있다.
S130 단계에서, 플로우 정보 관리부(112)는 플로우 정보를 이용하여 플로우 테이블(113)을 생성할 수 있다. 구체적으로, 플로우 정보 관리부(112)는 상술한 5-Tuple 정보를 이용하여 플로우 별로 패킷 볼륨, 패킷 개수, 및 패킷 전송주기를 산출하고, 산출된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송주기를 플로우 별로 플로우 테이블(113)에 저장할 수 있다.
S140 단계에서, 플로우 패턴 정보 생성부(114)는 플로우 테이블(113)에 저장된 플로우 정보를 분석하여 플로우 별로 플로우 패턴 정보를 생성할 수 있다. 플로우 패턴 정보는 패킷 볼륨 변화 정보, 패킷 개수 변화 정보, 프로토콜 구성 비율 변화 정보, 패킷 전송주기 변화 정보, 평균 패킷 볼륨, 및 평균 패킷 전송 주기를 포함할 수 있다.
S150 단계에서, 판단부(116)는 플로우 정보, 플로우 패턴 정보, 및 설정정보를 이용하여 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단할 수 있다. 판단 결과, 플로우가 비정상인 경우 네트워크 침해사고가 발생한 것으로 탐지될 것이다.
이하에서는, S150 단계의 구체적인 적용예들이 도 4 내지 도 9를 참조하여 설명될 것이다.
도 4 내지 도 9는 본 발명의 일 실시예에 따른 제어 네트워크 침해사고 탐지 방법의 구체적인 적용예를 보여준다.
먼저, 도 4를 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 소스 IP주소가 허용 소스 IP주소와 일치하는지 여부를 판단할 수 있다(S151). 판단 결과, 소스 IP주소가 허용 소스 IP주소와 일치하는 경우 플로우를 정상으로 판단할 수 있다(S152). 반면에, 소스 IP주소가 허용 소스 IP주소와 일치하지 않는 경우 플로우를 비정상으로 판단할 수 있다(S153).
도 5를 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 목적지 포트번호가 허용 목적지 포트번호와 일치하는지 여부를 판단할 수 있다(S251). 판단 결과, 목적지 포트번호가 허용 목적지 포트번호와 일치하는 경우 플로우를 정상으로 판단할 수 있다(S252). 반면에, 목적지 포트번호가 허용 목적지 포트번호와 일치하지 않는 경우 플로우를 비정상으로 판단할 수 있다(S253).
한편, 도 4 및 도 5에는 도시되지 않았으나, 판단부(116)는 플로우 패턴 정보 생성부(114)로부터 전달되는 프로토콜 구성 비율 변화 정보를 설정정보 수집부(115)로부터 전달되는 기준 프로토콜 구성 비율과 비교하여 대응되는 플로우가 정상인지 여부를 판단할 수 있다.
도 6을 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 패킷 볼륨을 패킷 볼륨 임계값과 비교할 수 있다(S351). 비교 결과, 패킷 볼륨이 패킷 볼륨 임계값보다 크지 않은 경우 플로우 패턴 정보 중 패킷 볼륨 변화 정보를 이용하여 패킷 볼륨이 지속적으로 증가하는지 여부를 판단할 수 있다(S352). 판단 결과, 패킷 볼륨이 지속적으로 증가하지 않는 경우 대응되는 플로우를 정상 플로우로 판단할 수 있다(S353). 반면에, 패킷 볼륨이 패킷 볼륨 임계값보다 크거나, 패킷 볼륨이 지속적으로 증가하는 경우 비정상 플로우로 판단할 수 있다(S354).
도 7을 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 패킷 개수를 패킷 개수 임계값과 비교할 수 있다(S451). 비교 결과, 패킷 개수가 패킷 개수 임계값보다 크지 않은 경우 플로우 패턴 정보 중 패킷 개수 변화 정보를 이용하여 패킷 개수가 지속적으로 증가하는지 여부를 판단할 수 있다(S452). 판단 결과, 패킷 개수가 지속적으로 증가하지 않는 경우 대응되는 플로우를 정상 플로우로 판단할 수 있다(S453). 반면에, 패킷 개수가 패킷 개수 임계값보다 크거나, 패킷 개수가 지속적으로 증가하는 경우 비정상 플로우로 판단할 수 있다(S454).
도 8을 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 패킷 전송주기를 패킷 전송주기 최대 임계값과 비교할 수 있다(S551). 비교 결과, 패킷 전송주기가 패킷 전송주기 최대 임계값보다 큰 경우 패킷 전송주기에 대응되는 플로우가 수행되는 제어 설비들의 동작 오류로 판단할 수 있다(S552). 비교 결과, 패킷 전송주기가 패킷 전송주기 최대 임계값보다 크지 않은 경우 패킷 전송주기를 패킷 전송주기 최소 임계값과 비교할 수 있다(S553). 비교 결과, 패킷 전송주기가 패킷 전송주기 최소 임계값보다 작지 않은 경우 패킷 전송주기에 대응되는 플로우를 정상 플로우로 판단할 수 있다(S554). 반면에, 패킷 전송주기가 패킷 전송주기 최소 임계값보다 작은 경우 패킷 전송주기에 대응되는 플로우를 비정상 플로우로 판단할 수 있다(S555).
도 9를 참조하면, 판단부(116)는 플로우 정보 관리부(112)로부터 전달되는 패킷 볼륨을 플로우 패턴 정보 생성부(114)로부터 전달되는 평균 패킷 볼륨과 비교할 수 있다(S651). 비교 결과, 패킷 볼륨이 평균 패킷 볼륨보다 α배(α는 양의 실수) 큰 경우 패킷 볼륨에 대응되는 플로우를 비정상 플로우로 판단할 수 있다(S655). 비교 결과, 판단부(116)는 패킷 볼륨이 평균 패킷 볼륨보다 α배 크지 않은 경우 타임아웃되는 패킷 수와 접속 커넥션 수를 비교하고, 폐기되는 패킷 수와 폐기되는 패킷 수의 임계값을 비교할 수 있다(S652). 비교 결과, 타임 아웃되는 패킷 수가 접속 커넥션 수의 β배(β는 양의 실수) 이상이 아니거나, 폐기되는 패킷 수가 폐기되는 패킷 수의 임계값보다 크지 않은 경우 플로우 정보 관리부(112)로부터 전달되는 패킷 전송주기를 플로우 패턴 정보 생성부(114)로부터 전달되는 평균 패킷 전송주기와 비교할 수 있다(S653). 반면에, 타임 아웃되는 패킷 수가 접속 커넥션 수의 β배 이상이고, 폐기되는 패킷 수가 폐기되는 패킷 수의 임계값보다 큰 경우 대응되는 플로우를 비정상으로 판단할 수 있다(S655). 비교 결과, 패킷 전송주기가 평균 패킷 전송주기의 γ배(γ는 양의 실수)보다 작지 않은 경우 정상 플로우로 판단할 수 있다. 반면에, 패킷 전송주기가 평균 패킷 전송주기의 γ배 이하인 경우 비정상 플로우로 판단할 수 있다(S655).
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
10: PLC
20: RTU
30: 분산 제어 시스템
40: 데이터 이력 관리 장치
50: 라우터
100: 제어 네트워크 침해사고 탐지 장치
111: 플로우 정보 추출부
112: 플로우 정보 관리부
113: 플로우 테이블
114: 플로우 패턴 정보 생성부
115: 설정정보 수집부
116: 판단부
117: 경보 발생부

Claims (14)

  1. 제어 네트워크를 통해 제어 설비들과 연결되는 제어 네트워크 침해사고 탐지 장치에 있어서,
    상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 플로우 정보 추출부;
    상기 플로우 정보를 이용하여, 플로우 별로 산출된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송 주기를 포함하는 플로우 테이블을 생성하는 플로우 정보 관리부;
    상기 플로우 테이블에 저장된 플로우 정보를 분석하여, 패킷 볼륨 변화 정보, 패킷 개수 변화 정보, 프로토콜 구성 비율 변화 정보, 패킷 전송주기 변화 정보, 평균 패킷 볼륨, 및 평균 패킷 전송 주기를 포함하는 플로우 패턴 정보를 생성하는 플로우 패턴 정보 생성부;
    상기 제어 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 설정정보 수집부; 및
    상기 플로우 정보 관리부로부터 전달되는 상기 플로우 정보 및 및 상기 설정정보 수집부로부터 전달되는 상기 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 판단부를 포함하며,
    상기 판단부는,
    상기 플로우 정보를 임계값과 비교하여 1차 판단을 수행하고, 상기 1차 판단의 수행 결과에 따라 상기 플로우 패턴 정보의 변화를 기반으로 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 2차 판단의 수행 여부를 결정하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치.
  2. 제 1 항에 있어서,
    상기 플로우 정보는 5-Tuple 정보를 포함하고, 상기 5-Tuple 정보는 프로토콜 정보, 소스 IP 주소, 소스 포트번호, 목적지 IP 주소, 및 목적지 포트번호를 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치.
  3. 삭제
  4. 제 1 항에 있어서,
    상기 플로우 패턴 정보 생성부는 상기 패킷 볼륨, 상기 패킷 개수, 상기 접속 커넥션 수 및 상기 패킷 전송 주기를 시간에 따라 분석하여 상기 플로우 패턴 정보를 생성하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치.
  5. 삭제
  6. 제 1 항에 있어서,
    상기 설정정보는 허용 소스 IP 주소, 허용 목적지 IP 주소, 허용 목적지 포트번호, 패킷 볼륨 임계값, 패킷 개수 임계값, 패킷 전송주기 최대 임계값, 패킷 전송주기 최소 임계값, 접속 커넥션 수 최대 임계값, 폐기되는 패킷 개수 임계값 및 기준 프로토콜 구성 비율을 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치.
  7. 제 1 항에 있어서,
    상기 판단부의 판단 결과에 따라 상기 플로우가 비정상으로 판단되는 경우 경보를 발생하는 경보 발생부를 더 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치.
  8. 삭제
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
KR1020140001838A 2014-01-07 2014-01-07 제어 네트워크 침해사고 탐지 장치 및 탐지 방법 KR101711022B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140001838A KR101711022B1 (ko) 2014-01-07 2014-01-07 제어 네트워크 침해사고 탐지 장치 및 탐지 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140001838A KR101711022B1 (ko) 2014-01-07 2014-01-07 제어 네트워크 침해사고 탐지 장치 및 탐지 방법

Publications (2)

Publication Number Publication Date
KR20150081889A KR20150081889A (ko) 2015-07-15
KR101711022B1 true KR101711022B1 (ko) 2017-02-28

Family

ID=53793597

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140001838A KR101711022B1 (ko) 2014-01-07 2014-01-07 제어 네트워크 침해사고 탐지 장치 및 탐지 방법

Country Status (1)

Country Link
KR (1) KR101711022B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210086220A (ko) * 2019-12-31 2021-07-08 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102045468B1 (ko) * 2015-07-27 2019-11-15 한국전자통신연구원 네트워크 데이터 분석에 기반한 비정상 연결 행위 탐지 장치 및 방법
KR101710086B1 (ko) 2015-10-16 2017-02-24 국방과학연구소 침해사고 대응을 위한 증거수집 및 조사분석을 수행하는 방법 및 장치
KR101910787B1 (ko) 2017-02-28 2018-10-23 한국인터넷진흥원 침해 사고 그래프 데이터베이스에서의 사이버 킬 체인 분류 방법 및 그 장치
KR101910788B1 (ko) 2017-02-28 2018-10-24 한국인터넷진흥원 침해 사고 그래프 데이터베이스에서의 공격자 프로파일링 방법
KR102139140B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템
KR102139138B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 그룹 및 주기 기반 비정상행위 탐지를 위한 비공개 ics 프로토콜의 프로파일링 시스템
KR102267564B1 (ko) * 2020-11-16 2021-06-21 주식회사 케이사인 원격 단말기의 능동적 보안 위협 탐지 방법

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152279A (ja) * 2000-11-10 2002-05-24 Sony Corp ネットワーク接続制御装置及びその方法
JP2012034273A (ja) * 2010-08-02 2012-02-16 Yokogawa Electric Corp 不正通信検出システム

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110061217A (ko) * 2009-12-01 2011-06-09 주식회사 케이티 플로우 패턴 정보를 이용한 분산 서비스 거부 공격 검출 시스템 및 그 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002152279A (ja) * 2000-11-10 2002-05-24 Sony Corp ネットワーク接続制御装置及びその方法
JP2012034273A (ja) * 2010-08-02 2012-02-16 Yokogawa Electric Corp 不正通信検出システム

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210086220A (ko) * 2019-12-31 2021-07-08 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
KR102291869B1 (ko) * 2019-12-31 2021-08-19 아주대학교산학협력단 비정상 트래픽 패턴의 탐지 방법 및 장치
US11444876B2 (en) 2019-12-31 2022-09-13 Ajou University Industry-Academic Cooperation Foundation Method and apparatus for detecting abnormal traffic pattern

Also Published As

Publication number Publication date
KR20150081889A (ko) 2015-07-15

Similar Documents

Publication Publication Date Title
KR101711022B1 (ko) 제어 네트워크 침해사고 탐지 장치 및 탐지 방법
Zheng et al. Realtime DDoS defense using COTS SDN switches via adaptive correlation analysis
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
US10686814B2 (en) Network anomaly detection
Dharma et al. Time-based DDoS detection and mitigation for SDN controller
Yang et al. Intrusion detection system for IEC 60870-5-104 based SCADA networks
US9130983B2 (en) Apparatus and method for detecting abnormality sign in control system
TWI528761B (zh) 網路訊務處理系統
CN110249603B (zh) 用于检测无线网络中的分布式攻击的方法和装置
KR101761737B1 (ko) 제어 시스템의 이상행위 탐지 시스템 및 방법
Yang et al. Rule-based intrusion detection system for SCADA networks
CN106850637B (zh) 一种基于流量白名单的异常流量检测方法
US20150156170A1 (en) Security Event Routing In a Distributed Hash Table
KR20110070189A (ko) 봇넷 정보를 이용한 악성 트래픽 격리 시스템과 봇넷 정보를 이용한 악성 트래픽 격리 방법
CN104506531A (zh) 针对流量攻击的安全防御系统及方法
KR100947211B1 (ko) 능동형 보안 감사 시스템
EP2747345B1 (en) Ips detection processing method, network security device and system
CN110611683A (zh) 一种攻击源告警的方法和系统
CN107864110A (zh) 僵尸网络主控端检测方法和装置
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
CN110753014A (zh) 基于流量转发的威胁感知方法、设备、装置及存储介质
Mirchev et al. System for DDoS attack mitigation by discovering the attack vectors through statistical traffic analysis
CN109889470B (zh) 一种基于路由器防御DDoS攻击的方法和系统
KR101011223B1 (ko) 에스아이피(sip) 기반의 통합보안 관리시스템
KR101587845B1 (ko) 디도스 공격을 탐지하는 방법 및 장치

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200128

Year of fee payment: 4