KR101719698B1 - Apparatus and method for detecting intrusion of smart-grid - Google Patents
Apparatus and method for detecting intrusion of smart-grid Download PDFInfo
- Publication number
- KR101719698B1 KR101719698B1 KR1020160008040A KR20160008040A KR101719698B1 KR 101719698 B1 KR101719698 B1 KR 101719698B1 KR 1020160008040 A KR1020160008040 A KR 1020160008040A KR 20160008040 A KR20160008040 A KR 20160008040A KR 101719698 B1 KR101719698 B1 KR 101719698B1
- Authority
- KR
- South Korea
- Prior art keywords
- smart grid
- information
- grid device
- trend information
- log data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
- H04L41/064—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
스마트그리드 기기의 침해사고 탐지 장치 및 방법이 개시된다. 본 발명에 따른 스마트그리드 기기의 침해사고 탐지 장치는, 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 수신부, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부를 포함한다.An apparatus and method for detecting an intrusion of a smart grid device are disclosed. An apparatus for detecting an intrusion of a smart grid device according to the present invention includes a receiving unit for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, An analysis unit for analyzing the change information and generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device and first trend information corresponding to the first smart grid apparatus And a determination unit for determining whether or not a security violation event of the first smart grid device has occurred by comparing the second trend information corresponding to the remaining smart grid devices except for the first smart grid device.
Description
본 발명은 스마트그리드 기기의 침해사고 탐지 장치 및 방법에 관한 것으로, 특히 스마트그리드 기기의 시스템 변화 추이를 이용하여, 보안 침해 사고의 발생 여부를 판단하거나, 발생된 보안 침해 사고가 기존에 발생한 보안 침해 사고인지 여부를 판단하는 기술에 관한 것이다.The present invention relates to an apparatus and method for detecting an intrusion of a smart grid device, and more particularly, to a system and method for detecting an intrusion of a smart grid device, The present invention relates to a technique for judging whether or not an accident has occurred.
스마트그리드(Smart Grid)란 발전, 송배전, 판매 단계로 이어지는 기존의 전력망에 정보기술을 접목한 차세대 지능형 전력망을 의미한다. 스마트그리드는 전력 공급자와 소비자가 양방향으로 정보를 교환하여, 실시간으로 전력 사용현황을 파악하고, 이에 맞게 전력 사용 시간과 양을 통제함으로써, 에너지 효율을 최적화한다. Smart Grid refers to the next-generation intelligent power grid that combines information technology with existing power grids that lead to power generation, transmission and distribution, and sales. Smart Grid optimizes energy efficiency by sharing information in a bi-directional manner between power suppliers and consumers, detecting power usage in real time, and controlling power usage time and amount accordingly.
스마트그리드는 개방형 및 양방향 통신환경을 기반으로 다양한 보안 사고가 발생할 수 있으며, 주요기반시설에 대한 사이버 공격은 심각한 피해를 유발할 수 있다. 예를 들어, 지난 2010년 발생한 스턱스넷(Stuxnet)은 전력량, 수압, 온도 및 밸브개폐 등 SCADA 시스템의 파괴를 유발하였다. 또한, 전기배선 조작으로 타인의 전기료를 올리거나, 전기사용을 원격 조정할 수 있는 스마트그리드 보안 위협도 발표되었으며, 스마트그리드를 대상으로하는 사이버 공격에 대한 해커들의 관심이 증가하고 있다. Smart Grid can cause various security incidents based on open and bi-directional communication environment, and cyber attack on major infrastructure can cause serious damage. For example, Stuxnet in 2010 caused the destruction of the SCADA system, including power, water pressure, temperature and valve opening and closing. In addition, smart grid security threats have been announced, which can raise electricity rates for others by using electric wiring, and can remotely control electricity usage. Hackers are increasingly interested in cyber attacks targeting smart grids.
스마트그리드는 전력망뿐만 아니라 정보통신망을 기반으로 사용자 및 사용자의 정보를 교환함으로써 서비스를 제공한다. 따라서 기존의 IT환경에서의 보안위협과 함께 스마트그리드 특징에 따른 새로운 보안 위협이 추가로 발생할 수 있다. 그리고 스마트그리드는 소비자의 개인정보 및 전력사용정보가 양방향으로 전송됨에 따라 개인정보 및 전력사용정보 유출로 소비자의 프라이버시가 침해될 수 있다. 또한, 전력사용정보에 대한 위변조로 과금 전가 및 우회 등이 발생할 수 있다. Smart Grid provides services by exchanging information of users and users based on information network as well as power grid. Therefore, security threats in the existing IT environment and new security threats due to the characteristics of the smart grid may occur. In addition, as smart grid users transmit personal information and power usage information in both directions, consumers' privacy may be violated due to leakage of personal information and power usage information. In addition, billing transfer and detour may occur due to forgery and alteration of the power usage information.
소비자가 집 외의 장소에서도 스마트폰이나 인터넷을 통하여 스마트그리드 시스템에 접속할 수 있게 되면서 보안 위협 가능성이 높아졌으며, 다양한 스마트기기의 등장으로 보안위협의 발생 가능성이 증가하였다. As consumers become able to access smart grid systems via smart phones or the Internet even outside the home, the possibility of security threats has increased and the possibility of security threats has increased due to the introduction of various smart devices.
스마트그리드 보안 공격은 통제권을 갈취하여 전력공급을 중단하거나, 악의적으로 이용할 수 있으며, 전 국민의 일상생활과 밀접한 관계를 갖는 만큼 스마트그리드 환경에서의 보안 문제가 발생할 경우, 다양한 사회 인프라에 대한 공격으로 확대될 수 있으며, 그 피해 또한 막대할 것으로 예상된다. Smart Grid security attacks are attacks on various social infrastructures in the event of a security problem in the Smart Grid environment because they have a close relationship with the daily lives of all citizens, And the damage is expected to be enormous.
따라서, 스마트그리드 기기의 보안 침해 사고를 탐지하고, 탐지된 보안 침해 사고에 대응할 수 있는 기술의 개발이 필요하다. Therefore, it is necessary to develop technologies that can detect security breaches of Smart Grid devices and respond to detected security breaches.
본 발명의 목적은 스마트그리드 기기의 보안 침해 사고 의심 여부를 판단하여, 각종 보안 위협으로부터 안전한 스마트그리드 환경을 구축할 수 있도록 하는 것이다. SUMMARY OF THE INVENTION It is an object of the present invention to determine whether a smart grid device is suspected of security breach, and to establish a secure smart grid environment from various security threats.
또한, 본 발명의 목적은 발생한 보안 침해 사고가 기존에 발생된 보안 침해 사고인지 여부를 판단하여, 발생한 보안 침해 사고에 신속하고 정확하게 대응할 수 있도록 하는 것이다. It is also an object of the present invention to determine whether or not a security breach occurred is an existing security breach, and to respond quickly and accurately to security breaches occurring.
상기한 목적을 달성하기 위한 본 발명에 따른 스마트그리드 기기의 침해 사고 탐지 장치는, 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 수신부, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for detecting an intrusion of a smart grid device, the apparatus including: a receiver for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, An analysis unit for analyzing the plurality of received system change information and generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device; And a determination unit for comparing the corresponding first trend information with second trend information corresponding to the remaining Smart Grid devices other than the first smart grid device to determine whether a security violation accident has occurred in the first smart grid device .
이때, 상기 판단부는, 상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성 할 수 있다. At this time, the determination unit may consider each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event, and generate the second transition information for each time unit have.
이때, 상기 판단부는, 시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교 할 수 있다. At this time, the determination unit may compare the first transition information and the second transition information on the time unit set among the time unit, the day unit, the week unit, and the monthly unit.
이때, 상기 판단부는, 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교 할 수 있다. At this time, the determination unit may compare the first transition information and the second transition information using at least one of the file system change trend information and the log data change trend information so as to correspond to the type of the mutual comparison.
이때, 상기 판단부는, 상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단할 수 있다. Here, the determination unit may classify the trend information input from the plurality of smart grid devices using a classification algorithm, and transmit the smart grid device corresponding to the trend information classified into a number less than the threshold to the security- It can be judged that it has occurred.
이때, 상기 판단부는, 상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출할 수 있다. At this time, the determination unit may calculate the similarity by comparing the trend information corresponding to the smart grid device determined to have generated the security violation incident, and the infringement trend information corresponding to the previously stored security violation incident.
이때, 상기 분석부는, 상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성할 수 있다. At this time, the analysis unit may analyze the nonvolatile memory dump image to generate the file system transition information using time information including at least one of generation time, modification time, and access time of the identified files .
이때, 상기 분석부는, 상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성할 수 있다. At this time, the analyzing unit may analyze the system and application log data and generate the log data change trend information using the obtained time information.
이때, 상기 분석부는, 상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석할 수 있다. At this time, the analysis unit analyzes the non-volatile memory dump image, analyzes the time of occurrence of at least one event among the creation, modification, access and deletion of files, contents of the event, analyzes the system and application log data And analyze the time at which the event occurred and the contents of the event.
이때, 상기 복수의 스마트그리드 기기들은, 식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것일 수 있다. At this time, at least one of the identification information, the manufacturer information, and the model name of the plurality of smart grid devices may be the same.
또한, 스마트그리드 기기의 침해 사고 탐지 장치에 의해 수행되는 스마트그리드 기기의 침해 사고 탐지 방법은 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 단계, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계를 포함한다. In addition, a method for detecting an intrusion of a Smart Grid device performed by an intrusion detection device of a Smart Grid device includes receiving non-volatile memory dump images and system change information including system and application log data from a plurality of Smart Grid devices Generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device by analyzing a plurality of the received system change information, Comparing the first transition information corresponding to the first smart grid device with the second trend information corresponding to the remaining smart grid devices except for the first smart grid device to determine whether a security violation event has occurred in the first smart grid device do.
본 발명에 따르면, 스마트그리드 기기의 보안 침해 사고 의심 여부를 판단하여, 각종 보안 위협으로부터 안전한 스마트그리드 환경을 구축할 수 있다. According to the present invention, it is possible to establish a smart grid environment that is safe from various security threats by determining whether or not the smart grid device is susceptible to a security violation accident.
또한, 발생한 보안 침해 사고가 기존에 발생된 보안 침해 사고인지 여부를 판단하여, 발생한 보안 침해 사고에 신속하고 정확하게 대응할 수 있다. In addition, it can judge whether a security breach incident occurred is an existing security breach incident, and respond quickly and accurately to a security breach incident.
도 1은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법을 나타낸 동작흐름도이다.
도 4는 도 3의 S330 단계에서 보안 침해 사고가 발생하였는지 여부를 판단하는 과정을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 비휘발성 메모리 덤프이미지를 분석한 결과를 나타낸 예시도이다.
도 6은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 시스템 및 어플리케이션 로그데이터를 분석한 결과를 나타낸 예시도이다. FIG. 1 is a view schematically showing an environment to which an intrusion detection device for a smart grid device according to an embodiment of the present invention is applied.
2 is a block diagram illustrating a configuration of an intrusion detection device for a smart grid device according to an exemplary embodiment of the present invention.
3 is a flowchart illustrating a method for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process of determining whether a security violation has occurred in step S330 of FIG.
FIG. 5 is a diagram illustrating an analysis result of a non-volatile memory dump image of an apparatus for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
FIG. 6 is a diagram illustrating an analysis result of system and application log data of an intrusion detection device of a smart grid device according to an exemplary embodiment of the present invention.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다. FIG. 1 is a view schematically showing an environment to which an intrusion detection device for a smart grid device according to an embodiment of the present invention is applied.
도 1에 도시된 바와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)가 적용되는 환경에는 스마트그리드 기기1(100_1), 스마트그리드 기기2(100_2), ... 스마트그리드 기기 N(100_N)(이하 "복수개의 스마트그리드 기기들"라고도 함.)이 위치한다. 그리고 복수개의 스마트그리드 기기(100)들은 스마트그리드 기기의 침해 사고 탐지 장치(200)와 유선 또는 무선으로 연결된다. As shown in FIG. 1, the smart grid device 1 (100_1), the smart grid device 2 (100_2), the smart grid device N (100_N) (Hereinafter also referred to as "multiple smart grid devices"). The plurality of smart grid devices 100 are connected to the
복수개의 스마트그리드 기기(100)들은 비휘발성 메모리 덤프이미지, 시스템 및 어플리케이션에 의해 생성되는 로그데이터를 포함하는 시스템 변화 정보를 각각 스마트그리드 기기의 침해 사고 탐지 장치(200)로 전송한다. 여기서 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션에 의해 생성되는 로그데이터는 스마트그리드 기기(100)의 시스템 변화를 판단함에 있어 기초가 되는 자료이다. The plurality of smart grid devices 100 transmit the system change information including the nonvolatile memory dump image, the system, and the log data generated by the application to the
또한, 복수개의 스마트그리드 기기(100)들은 스마트그리드 기기(100)의 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나를 포함하는 스마트그리드 기기 정보를 시스템 변화 정보와 함께 스마트그리드 기기의 침해 사고 탐지 장치(200)로 전송할 수 있다. 이 때, 복수개의 스마트그리드 기기(100)들은 식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것일 수 있다. In addition, the plurality of smart grid devices 100 may transmit smart grid device information including at least one of identification information, manufacturer information, and model name information of the smart grid device 100 to the smart grid device 100, (200). At this time, the plurality of smart grid devices 100 may have at least one of identification information, manufacturer information, and model name identical to each other.
그리고 복수개의 스마트그리드 기기(100)들로부터 시스템 변화 정보를 수신한 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 변화 정보를 분석하고, 비교하여 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단한다. The
일반적으로 스마트그리드 기기는 일반 PC 또는 서버 시스템과 달리, 특정 기능만을 반복적으로 수행하는 임베디드 기기로, 시스템의 변화가 상대적으로 적다. 또한, 스마트그리드 사업자는 이러한 스마트그리드 기기들을 동일한 제품으로 유사한 환경에 다량으로 설치 및 구축하며, 동일한 운영 정책을 바탕으로 서비스를 제공한다. 따라서, 스마트그리드 사업자에 의해 설치된 스마트그리드 기기들 간 시스템 변화는 거의 유사한 형태를 갖는다. Generally, smart grid devices are embedded devices that perform only specific functions repeatedly, unlike general PC or server systems, and system changes are relatively small. In addition, smart grid operators install and build such smart grid devices in a similar environment with the same products, and provide services based on the same operating policies. Thus, system changes between smart grid devices installed by smart grid operators have a similar pattern.
따라서, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 이러한 스마트그리드 기기들의 특성을 활용하여, 시간에 따른 스마트그리드 기기의 시스템 변화 추이를 파악한다. 그리고 탐지의 대상이 되는 스마트그리드 기기에 상응하는 추이 정보와 모델명 또는 제조사 정보 등의 스마트그리드 기기 정보가 동일한 복수개의 스마트그리드 기기들에 상응하는 추이 정보를 상호 비교하여 유사도를 파악한다. 유사도 파악 결과, 유사도가 임계치 미만인 경우, 해당 스마트그리드 기기를 비정상적으로 동작되고 있는 것으로 판단한다. Accordingly, the
또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 특정 보안 침해 사고에 의해 발생된 것으로 파악된 추이 정보와 탐지의 대상이 되는 스마트그리드 기기의 추이 정보를 상호 비교한다. In addition, the
상호 비교 결과, 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. If the similarity is equal to or greater than the preset value, the
도 2는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치의 구성을 나타낸 블록도이다.2 is a block diagram illustrating a configuration of an intrusion detection device for a smart grid device according to an exemplary embodiment of the present invention.
도 2와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 수신부(210), 분석부(220) 및 판단부(230)를 포함한다. 2, the
먼저, 수신부(210)는 복수의 스마트그리드 기기(100)들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신한다. First, the
그리고 분석부(220)는 수신된 복수의 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 스마트그리드 기기 별로 생성한다. The
또한, 분석부(220)는 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 파일 시스템 변화 추이 정보를 생성한다. The
그리고 분석부(220)는 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 로그데이터 변화 추이 정보를 생성한다. The
분석부(220)는 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 이벤트의 내용을 분석하거나, 시스템 및 어플리케이션 로그데이터를 분석하여 이벤트가 발생한 시간 및 이벤트의 내용을 분석한다.
마지막으로, 판단부(230)는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보를 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 판단한다. Finally, the
이때, 판단부(230)는 나머지 스마트그리드 기기들로부터 수신된 각각의 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 제2 추이 정보를 생성한다. At this time, the
그리고 판단부(230)는 시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 시간 단위로 제1 추이 정보와 제2 추이 정보를 비교한다. Then, the
또한, 판단부(230)는 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 제1 추이 정보와 제2 추이 정보를 비교한다. In addition, the
설명의 편의상, 스마트그리드 기기의 침해 사고 탐지 장치(200)가 탐지 대상이 되는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보와 나머지 복수의 스마트그리드 기기들에 상응하는 제2 추이 정보를 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 탐지하는 것으로 설명하였다. 그러나 이에 한정하지 않고, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수개의 스마트그리드 기기들에 상응하는 추이 정보들을 이용하여 보안 침해 사고가 발생한 것으로 의심되는 스마트그리드 기기를 검출할 수도 있다. For convenience of explanation, the intrusion-
이때, 판단부(230)는 복수의 스마트그리드 기기들로부터 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 추이 정보에 상응하는 스마트그리드 기기를 보안 침해 사고가 발생한 것으로 판단한다. At this time, the
또한, 판단부(230)는 보안 침해 사고가 발생한 것으로 판단된 스마트그리드 기기에 상응하는 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사한 정도를 산출한다. 그리고 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 기 저장된 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. In addition, the
이하에서는 도 3 및 도 4를 통하여 본 발명의 실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, a method for detecting an intrusion of a smart grid device according to an embodiment of the present invention will be described in detail with reference to FIGS. 3 and 4. FIG.
도 3은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법을 나타낸 동작흐름도이다.3 is a flowchart illustrating a method for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
먼저, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들(100)로부터 시스템 변화 정보를 수신한다(S310). First, the
스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들(100)로부터 비휘발성 메모리 덤프이미지, 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보를 수신한다. The
이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 변화 정보를 전송하는 해당 스마트그리드 기기의 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나를 포함하는 스마트그리드 기기 정보를 시스템 변화 정보와 함께 스마트그리드 기기로부터 수신할 수 있다. 또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기의 식별 정보, 제조사 정보 및 모델명 정보 등을 기준으로 시스템 변화 정보를 관리하기 위한 데이터베이스 정보를 생성하여 저장할 수 있다. At this time, the
그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 수신된 시스템 변화 정보를 분석하여, 추이 정보를 생성한다(S320).The
스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지를 분석하여, 시간별 파일의 생성, 수정, 접근 및 삭제에 상응하는 이벤트를 확인하고, 파일시스템 변화 추이 정보를 생성한다. 이때, 파일시스템 변화 추이 정보는 테이블 형식일 수 있다. 또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지 분석을 통하여, 삭제된 파일을 포함하는 파일들의 생성 시간, 수정 시간 및 접근 시간 정보를 파악하여 파일시스템 변화 추이 정보를 생성할 수 있다. The
그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 및 어플리케이션 로그데이터를 분석하여, 시간별 시스템 및 어플리케이션 이벤트를 확인하고, 로그데이터 변화 추이 정보를 생성한다. 이때, 로그데이터 변화 추이 정보는 테이블 형식일 수 있다. The
또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기 정보를 기반으로 생성된 추이 정보를 관리할 수 있는 데이터베이스 정보를 생성할 수 있다. In addition, the
마지막으로, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 보안 침해 사고 발생 여부를 판단한다(S330).Finally, the
스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보를 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 판단한다. 이때, 나머지 스마트그리드 기기들은 스마트그리드 기기1(100_1)와 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나가 동일한 것일 수 있다. The
도 4는 도 3의 S330 단계에서 보안 침해 사고가 발생하였는지 여부를 판단하는 과정을 설명하기 위한 순서도이다.FIG. 4 is a flowchart illustrating a process of determining whether a security violation has occurred in step S330 of FIG.
도 4와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시간 단위 별 제2 추이 정보를 생성한다(S410).As shown in FIG. 4, the
스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들로부터 수신된 각각의 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보를 추이 정보의 내용 구분 없이 하나의 이벤트로 간주하여, 시간 단위 별 제2 추이 정보를 생성한다. 이때, 시간 단위는 분 단위, 시 단위 및 일 단위일 수 있다. The
그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 시간 단위로 추이 정보를 비교한다(S420).Then, the intrusion-
스마트그리드 기기의 침해 사고 탐지 장치(200)는 시 단위, 일 단위, 주 단위, 및 월 단위 중에서 설정된 시간 단위로 제1 추이 정보와 제2 추이 정보를 비교한다. The
예를 들어, 시 단위 상호 비교로 설정된 경우, 분 단위 별 추이 정보를 활용하고, 일 단위 상호 비교로 설정된 경우, 시 단위 별 추이 정보를 활용하며, 주 단위 또는 월 단위 상호 비교로 설정된 경우 일 단위 별 추이 정보를 활용하여 추이 정보의 상호 비교를 수행할 수 있다. For example, if it is set as a time-based mutual comparison, it uses the trend-by-minute trend information, and when it is set as a daily cross-comparison, it uses the time-based trend information. It is possible to perform mutual comparison of trend information by using the trend information.
다음으로 스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 상호 비교의 종류에 따라 추이 정보를 비교한다(S430).Next, the
스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 제1 추이 정보와 제2 추이 정보를 비교한다. The
상호 비교의 종류는 사용자로부터 설정 받을 수 있으며, 파일 시스템 변화 추이 정보간 비교, 로그데이터 변화 추이 정보간 비교 및 파일 시스템 변화 추이 정보와 로그데이터 변화 추이 정보가 결합된 정보간 비교 중에서 설정된 상호 비교의 종류에 상응하도록 상호 비교를 수행할 수 있다. The type of mutual comparison can be set by the user. The mutual comparison can be set by the user. The mutual comparison can be set by the user. The comparison between the information of the change of the file system, the comparison of the log data change trend information, and the comparison between the information of the file system change trend information and the log data change trend information The mutual comparison can be performed so as to correspond to the kind.
마지막으로, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 추이 정보를 분류하고, 보안 침해 사고 발생 여부를 판단한다(S440). Finally, the
스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들로부터 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류한다. 그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 임계치 미만의 수로 분류된 추이 정보에 상응하는 스마트그리드 기기를 보안 침해 사고가 발생한 것으로 판단한다. The
또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 보안 침해 사고가 발생한 것으로 판단된 스마트그리드 기기에 상응하는 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출한다. Also, the
어떠한 스마트그리드 기기에 보안 침해 사고가 발생하였는지 또는 어떠한 스마트그리드 기기가 비정상적으로 동작하고 있는지 여부를 확인하고자 하는 경우, 확인의 대상이 되는 스마트그리드 기기와 스마트그리드 기기 정보가 동일한 복수개의 스마트그리드 기기들로부터 수신된 추이 정보를 입력한다. 그리고 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류한다. In the case where it is desired to check which Smart Grid device has caused a security breach accident or which Smart Grid device is behaving abnormally, a plurality of Smart Grid devices having the same Smart Grid device information and the same Smart Grid device information And the like. Then, the input trend information is classified using a classification algorithm.
이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 임계치 미만의 적은 수로 분류된 추이 정보에 상응하는 스마트그리드 기기에 침해 사고 또는 기기 이상이 있는 것으로 판단할 수 있다. At this time, the
또한, 보안 침해 사고가 발생한 것으로 판단된 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 발생한 보안 침해 사고가 기존에 발생한 보안 침해 사고와 동일한 보안 침해 사고인지 여부를 판단한다. 이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 특정 보안 침해 사고에 의해 발생된 것으로 파악된 추이 정보와 탐지의 대상이 되는 스마트그리드 기기의 추이 정보를 상호 비교한다. In addition, if it is determined that a security intrusion has occurred, the
상호 비교 결과, 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 탐지의 대상이 되는 스마트그리드 기기에 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. In a case where the degree of similarity is equal to or greater than a predetermined value as a result of the mutual comparison, the
이하에서는 도 5 및 도 6을 통하여 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 생성한 추이 정보에 대하여 더욱 상세하게 설명한다. Hereinafter, the trend information generated by the intrusion detection device of the smart grid device according to an embodiment of the present invention will be described in more detail with reference to FIGs. 5 and 6. FIG.
도 5는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 비휘발성 메모리 덤프이미지를 분석한 결과를 나타낸 예시도이다. FIG. 5 is a diagram illustrating an analysis result of a non-volatile memory dump image of an apparatus for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
도 5에 도시한 바와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제된 이벤트 시간과 해당 이벤트의 내용을 테이블 형식의 데이터베이스 정보로 생성하여 저장할 수 있다. As shown in FIG. 5, the
도 6은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 시스템 및 어플리케이션 로그데이터를 분석한 결과를 나타낸 예시도이다. FIG. 6 is a diagram illustrating an analysis result of system and application log data of an intrusion detection device of a smart grid device according to an exemplary embodiment of the present invention.
도 6과 같이, 스마그리드 기기의 침해 사고 탐지 장치(200)는 시스템 및 어플리케이션 로그데이터를 분석하여, 이벤트 시간 및 내용을 테이블 형식의 데이터베이스 정보로 생성하여 저장할 수 있다. As shown in FIG. 6, the
이상에서와 같이 본 발명에 따른 스마트그리드 기기의 침해사고 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the apparatus and method for detecting an intrusion of a smart grid device according to the present invention are not limited to the configurations and methods of the embodiments described above, but the embodiments may be modified in various ways All or some of the embodiments may be selectively combined.
100: 스마트그리드 기기
200: 스마트그리드 기기의 침해 사고 탐지 장치
210: 수신부
220: 분석부
230: 판단부100: Smart Grid devices
200: Intrusion detection device for Smart Grid devices
210:
220: Analytical Department
230:
Claims (20)
수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고
제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부
를 포함하며,
상기 복수의 스마트그리드 기기들은,
식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것을 특징으로 하는 스마트그리드 기기의 침해 사고 탐지 장치.A receiving unit for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, respectively,
An analysis unit for analyzing the plurality of received system change information and generating trend information including at least one of file system change trend information and log data change trend information for each smart grid apparatus;
Comparing the first transition information corresponding to the first smart grid device with the second transition information corresponding to the remaining smart grid devices other than the first smart grid device to determine whether or not a security violation accident has occurred in the first smart grid device The judging unit
/ RTI >
Wherein the plurality of smart grid devices comprises:
Wherein at least one of the identification information, the manufacturer information, and the model name is identical to each other.
상기 판단부는,
상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
Wherein,
The smart grid device detecting the infiltration accident of the smart grid device that generates the second transition information by time unit by considering each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event Device.
상기 판단부는,
시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 스마트그리드 기기의 침해 사고 탐지 장치. 3. The method of claim 2,
Wherein,
And compares the first transition information and the second transition information with each other in the time unit set in a time unit, a day unit, a week unit, and a monthly unit.
상기 판단부는,
설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 스마트그리드 기기의 침해 사고 탐지 장치. The method of claim 3,
Wherein,
And compares the first transition information and the second transition information using at least one of file system change trend information and log data change trend information so as to correspond to a kind of mutual comparison set.
상기 판단부는,
상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단하는 스마트그리드 기기의 침해 사고 탐지 장치. 5. The method of claim 4,
Wherein,
Wherein the smart grid device classifies the trend information inputted from the plurality of Smart Grid devices by using a classification algorithm and determines the Smart Grid device corresponding to the trend information classified into a number less than the threshold to be the occurrence of the security violation accident Apparatus for detecting infringement of equipment.
상기 판단부는,
상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출하는 스마트그리드 기기의 침해 사고 탐지 장치. 6. The method of claim 5,
Wherein,
And compares the trend information corresponding to the smart grid device judged to have occurred with the security violation incident and the infringement incident information corresponding to the previously stored security violation incident to calculate the degree of similarity.
상기 분석부는,
상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
And generating the file system transition information by using time information including at least one of a generation time, a modification time, and an access time of the identified files by analyzing the nonvolatile memory dump image, .
상기 분석부는,
상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
And analyzing the system and application log data and generating the log data change trend information using the detected time information.
상기 분석부는,
상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
Analyzing the nonvolatile memory dump image to analyze the time at which at least one event occurred and the contents of the event from among creation, modification, access and deletion of files, analyzing the system and application log data, And analyzing the contents of the event and the event of the event.
복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 단계,
수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계, 그리고
제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계
를 포함하며,
상기 복수의 스마트그리드 기기들은,
식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것을 특징으로 하는 스마트그리드 기기의 침해 사고 탐지 방법.A method for detecting an intrusion of a smart grid device performed by an intrusion detection device of a smart grid device,
Receiving system change information from the plurality of smart grid devices, each system change information including a non-volatile memory dump image and system and application log data,
Analyzing the plurality of received system change information to generate trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device;
Comparing the first transition information corresponding to the first smart grid device with the second transition information corresponding to the remaining smart grid devices other than the first smart grid device to determine whether or not a security violation accident has occurred in the first smart grid device Step to judge
/ RTI >
Wherein the plurality of smart grid devices comprises:
Wherein at least one of the identification information, the manufacturer information, and the model name is identical to each other.
상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계는,
상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성하는 단계를 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The method of claim 1, wherein determining whether a security breach occurs in the first smart grid device comprises:
And generating the second transition information for each time unit by considering each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event, A method of detecting an infringement accident of.
시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 13. The method of claim 12,
Further comprising the step of comparing the first transition information and the second transition information by the time unit set in a time unit, a day unit, a week unit, and a monthly unit.
설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 14. The method of claim 13,
And comparing the first transition information and the second transition information using at least one of the file system change trend information and the log data change trend information so as to correspond to the type of the mutual comparison set, Detection method.
상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 15. The method of claim 14,
Classifying the trend information inputted from the plurality of smart grid devices by using a classification algorithm and determining that the smart grid device corresponding to the trend information classified into a number less than the threshold value is the occurrence of the security violation accident A method of detecting an infringement incident of a smart grid device further comprising:
상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 16. The method of claim 15,
Comparing the trend information corresponding to the smart grid device judged to have occurred with the security violation incident and the infringement incident information corresponding to the previously stored security violation incident to calculate a similarity degree, How to detect an accident.
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
Analyzing the nonvolatile memory dump image, and generating the file system transition information using time information including at least one of generation time, modification time, and access time of the identified files, .
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
And analyzing the system and application log data and generating the log data change trend information using the detected time information.
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
Analyzing the nonvolatile memory dump image to analyze the time at which at least one event occurred and the contents of the event from among creation, modification, access and deletion of files, analyzing the system and application log data, And analyzing the contents of the event and the event.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR20150113028 | 2015-08-11 | ||
KR1020150113028 | 2015-08-11 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20170019302A KR20170019302A (en) | 2017-02-21 |
KR101719698B1 true KR101719698B1 (en) | 2017-03-24 |
Family
ID=58314003
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160008040A KR101719698B1 (en) | 2015-08-11 | 2016-01-22 | Apparatus and method for detecting intrusion of smart-grid |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR101719698B1 (en) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230163132A (en) | 2022-05-23 | 2023-11-30 | 인천대학교 산학협력단 | Method and apparatus for trustworthiness evaluation of smart grid data aggregation in smart grids |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101957744B1 (en) * | 2017-02-23 | 2019-03-14 | 한국원자력연구원 | Cyber security monitoring method and system of digital system in nuclear power plant |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101533961B1 (en) * | 2014-03-11 | 2015-07-06 | 주식회사 윈스 | Apparatus and method for analyzing stats based on periodic distribution of network and system log |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102055761B1 (en) * | 2013-12-20 | 2019-12-13 | 주식회사 케이티 | Apparatus and method for managing abnormal electric device in home network |
KR101547998B1 (en) | 2014-04-28 | 2015-08-27 | 한국전자통신연구원 | Apparatus and method for providing vulnerability analysis information |
-
2016
- 2016-01-22 KR KR1020160008040A patent/KR101719698B1/en active IP Right Grant
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101533961B1 (en) * | 2014-03-11 | 2015-07-06 | 주식회사 윈스 | Apparatus and method for analyzing stats based on periodic distribution of network and system log |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20230163132A (en) | 2022-05-23 | 2023-11-30 | 인천대학교 산학협력단 | Method and apparatus for trustworthiness evaluation of smart grid data aggregation in smart grids |
Also Published As
Publication number | Publication date |
---|---|
KR20170019302A (en) | 2017-02-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Choi et al. | Ontology-based security context reasoning for power IoT-cloud security service | |
CN111274583A (en) | Big data computer network safety protection device and control method thereof | |
Garitano et al. | A review of SCADA anomaly detection systems | |
Attia et al. | An efficient intrusion detection system against cyber-physical attacks in the smart grid | |
US11243508B2 (en) | Detection of abnormal configuration changes | |
Graveto et al. | Security of Building Automation and Control Systems: Survey and future research directions | |
Eden et al. | A forensic taxonomy of SCADA systems and approach to incident response | |
Goel et al. | Smart grid security | |
CN105488393B (en) | A kind of attack intent classifier method and system based on database honey jar | |
KR20220002948A (en) | Management of data and data usage of IoT networks | |
Ali et al. | Configuration-based IDS for advanced metering infrastructure | |
KR101750760B1 (en) | System and method for anomaly behavior detection of smart home service | |
Abdulrahaman Okino Otuoze et al. | Electricity theft detection framework based on universal prediction algorithm | |
Ziegler et al. | Privacy and security threats on the Internet of Things | |
CN115314286A (en) | Safety guarantee system | |
Ali et al. | ICS/SCADA system security for CPS | |
Mendel | Smart grid cyber security challenges: Overview and classification | |
KR101971799B1 (en) | System and method for detecting abnormal behavior based on unified model | |
KR101719698B1 (en) | Apparatus and method for detecting intrusion of smart-grid | |
Babun et al. | The Truth Shall Set Thee Free: Enabling Practical Forensic Capabilities in Smart Environments. | |
Sarjan et al. | Cyber-security of industrial internet of things in electric power systems | |
CN118337549A (en) | Smart home system with safety protection function, safety protection method and device | |
KR101971790B1 (en) | System and method for detecting abnormal behavior based on unified model | |
Tudor et al. | Harnessing the unknown in advanced metering infrastructure traffic | |
Mavale et al. | Review of cyber-attacks on smart grid system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20200129 Year of fee payment: 4 |