KR101761798B1 - 제어 네트워크에서의 스캐닝 공격 탐지 장치 - Google Patents

제어 네트워크에서의 스캐닝 공격 탐지 장치 Download PDF

Info

Publication number
KR101761798B1
KR101761798B1 KR1020130098443A KR20130098443A KR101761798B1 KR 101761798 B1 KR101761798 B1 KR 101761798B1 KR 1020130098443 A KR1020130098443 A KR 1020130098443A KR 20130098443 A KR20130098443 A KR 20130098443A KR 101761798 B1 KR101761798 B1 KR 101761798B1
Authority
KR
South Korea
Prior art keywords
vector
vector space
control network
generation module
event
Prior art date
Application number
KR1020130098443A
Other languages
English (en)
Other versions
KR20150021282A (ko
Inventor
손선경
나중찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130098443A priority Critical patent/KR101761798B1/ko
Publication of KR20150021282A publication Critical patent/KR20150021282A/ko
Application granted granted Critical
Publication of KR101761798B1 publication Critical patent/KR101761798B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • G06F17/10Complex mathematical operations
    • G06F17/16Matrix or vector computation, e.g. matrix-matrix or matrix-vector multiplication, matrix factorization
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mathematical Physics (AREA)
  • Data Mining & Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Analysis (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Environmental & Geological Engineering (AREA)
  • Algebra (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

본 발명은 제어 네트워크에서의 스캐닝 공격 탐지 장치에 관한 것으로, 제어 네트워크 또는 시스템에서 발생하는 NSM(Network and Security Management) 이벤트를 수집하여 벡터 공간으로 구성하는 벡터공간 생성 모듈; 및 상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하는 연관성 분석 모듈을 포함하여 구성된다.

Description

제어 네트워크에서의 스캐닝 공격 탐지 장치 {SCANNING ATTACK DETECTION APPARATUS IN CONTROL NETWORK}
본 발명은 제어 네트워크에서의 스캐닝 공격 탐지 장치에 관한 것으로, 보다 상세하게는 NSM에 정의된 여러 데이터 객체의 시공간 연관성을 분석함으로써 스캐닝의 징후를 조기에 탐지하여 추후 발생 가능한 사이버 공격을 사전에 방어할 수 있도록 하는 기술에 관한 것이다.
종래의 전력 시스템은 외부와 독립된 통신망과 전력 제어 시스템에 특화된 프로토콜을 사용하므로 외부로부터의 사이버 공격에 취약성이 잘 노출되지 않았다.
그러나, 스마트그리드는 IT와 전력 설비가 융합된 것으로, 전력 제어 시스템의 모든 요소들이 서로 유기적으로 연결되어 있으므로 기존의 SCADA망과 같은 독립된 안전 영역(Safety Zone) 형성이 어렵다. 또한, 스마트그리드의 상호 운영성과 유지 관리의 편의를 위하여 전력 제어 통신 프로토콜이 표준화되고 고속 통신을 이용함에 따라, 기존 IT시스템에서 나타난 사이버 공격에 대하여 동일한 취약점을 갖는다.
기존 IT 네트워크에 비해 더욱 높은 수준의 안전성과 신뢰성을 필요로 하는 전력 제어 네트워크에서의 보안 문제를 해결하기 위하여 미국 및 유럽을 중심으로 IEC 62351, IEEE 1686-2007, NERC CIP 002-009 등 다양한 표준화 활동이 전개되고 있다. 특히, IEC 62351-7에서는 전력 시스템 운영에 특화된 네트워크 및 시스템 관리(NSM: Network and Security Management) 데이터 객체 모델을 정의하였는데, 특정 도메인 내 네트워크 상태를 감시하고 제어하는 통신상태 감시, 전력 시스템의 기본 구성 시스템의 상태를 감시하는 단말시스템 감시, RBAC (Role-based Access Control) 기반의 사이버 공격 탐지 등 3가지 유형으로 구성되어 있다.
그러나, NSM에 정의된 사이버 공격 탐지 데이터 객체 모델은 주로 비인가 접속, 자원 고갈, 버퍼 오버플로우, 위변조 PDU 등 시스템 간 데이터 교환을 방해하거나 단말시스템 내 악의적 코드 삽입을 목표로 하는 대표적인 사이버 공격 유형에 대한 것으로, 시스템 및 네트워크의 취약점을 파악하여 공격의 첫 단계로 사용되는 스캐닝에 관한 데이터 모델은 고려하고 있지 않다.
따라서 본 발명은 상기와 같은 종래 기술의 문제점을 해결하기 위한 것으로, NSM에 정의된 여러 데이터 객체의 시공간 연관성을 분석함으로써 스캐닝의 징후를 조기에 탐지하여 추후 발생 가능한 사이버 공격을 사전에 방어할 수 있도록 하는 제어 네트워크에서의 스캐닝 공격 탐지 장치를 제공하기 위한 것이다.
상기한 목적을 달성하기 위한 본 발명의 일 실시예에 의한 제어 네트워크에서의 스캐닝 공격 탐지 장치는, 제어 네트워크 또는 시스템에서 발생하는 NSM(Network and Security Management) 이벤트를 수집하여 벡터 공간으로 구성하는 벡터공간 생성 모듈; 및 상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하는 연관성 분석 모듈을 포함한다.
상기 벡터공간 생성 모듈은, 상기 제어 네트워크 내의 관리 대상 시스템에서 발생하는 NSM 이벤트 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성하는 이벤트 수집부; 및 상기 이벤트 수집부에 의해 수신된 이벤트 중 시공간 연관분석에 영향을 미치지 않는 데이터를 제거하는 이벤트 필터링부를 포함할 수 있다.
상기 이벤트 수집부는 비정상적 접근 알람(NetAcsAlm), 비정상적 객체 접근 알람(ObjAcsAlm), 인가되지 않은 데이터 접근 횟수(DatUnAuthAcsCnt) 및 인가되지 않은 사용자 접속 시도 횟수(UnAuthUsrCnt) 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성할 수 있다.
호스트 i에서 분석 주기 j에 수신된 이벤트를 이용하여 구성되는 벡터는 다음의 수학식, Hij = <v1, v2, …, vd>로 표현될 수 있으며, d는 이벤트 종류의 개수를 의미한다.
상기 연관성 분석 모듈은, 상기 벡터공간 생성 모듈에 의해 구성된 벡터를 거리를 기반으로 클러스터링하여 하나 이상의 군집으로 분리하는 벡터 군집화부; 및 상기 벡터 군집화부에 의해 분리된 하나 이상의 군집에서 가장 최근의 분석 주기에 발생한 벡터로만 이루어진 군집을 찾은 후, 해당 군집을 구성하는 벡터와 관련된 호스트를 검색하여 통보하는 이상징후 탐지부를 포함할 수 있다.
본 발명에 의하면, 여러 NSM 데이터 객체를 시공간 속성을 가진 벡터 공간으로 구성한 후 벡터들 사이의 연관성을 분석하여 이벤트 발생 패턴의 변화를 탐지함으로써 제어 네트워크 공격의 첫 번째 단계로 사용되는 스캐닝의 징후를 조기에 탐지할 수 있다.
또한, 네트워크 내 여러 호스트에서 나타나는 스캐닝 공격의 공간 구역성 (spatial locality)과 한 호스트에서 스캐닝 공격이 발생하면 곧 다른 호스트에서도 스캐닝 공격이 발생할 가능성이 높은 스캐닝 공격의 시간 구역성(temporal locality)를 동시에 분석함으로써, 기존의 이벤트 연관 분석의 단점으로 지적되는 오탐과 미탐을 줄일 수 있다.
도 1은 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치의 구조도이다.
도 2는 본 발명의 일 실시예에 따라 k개의 호스트, n번의 분석 주기 동안의 벡터 공간을 도시하는 도면이다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치의 구조도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 제어 네트워크에서의 스캐닝 공격 탐지 장치(100)는 벡터공간 생성 모듈(110) 및 연관성 분석 모듈(120)을 포함하여 구성된다.
벡터공간 생성 모듈(110)은 제어 네트워크 또는 시스템에서 발생하는 NSM 이벤트를 수집하여 벡터 공간으로 구성하기 위한 것으로, 이벤트 수집부(111) 및 이벤트 필터링부(112)를 포함하여 구성될 수 있다.
이벤트 수집부(111)는 제어 네트워크 내의 관리 대상 시스템에서 발생하는 NSM 이벤트 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성한다.
예를 들어, 이벤트 수집부(111)는 비정상적 접근 알람(NetAcsAlm), 비정상적 객체 접근 알람(ObjAcsAlm), 인가되지 않은 데이터 접근 횟수(DatUnAuthAcsCnt) 및 인가되지 않은 사용자 접속 시도 횟수(UnAuthUsrCnt) 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 구성할 수 있다.
이 경우, 호스트 i에서 분석 주기 j에 수신된 이벤트를 이용하여 구성되는 벡터는 수학식 1과 같이 표현될 수 있다. 여기서, d는 이벤트 종류의 개수를 의미하는 것으로, 수신하는 이벤트의 종류에 비례하여 d가 증가한다.
Figure 112013075390507-pat00001
k개의 호스트에 대해 n번의 분석 주기 동안 수집된 이벤트에 대한 벡터 공간은 도 2와 같이 나타낼 수 있다.
이벤트 필터링부(112)는 이벤트 수집부(111)에 의해 수신된 이벤트 중 시공간 연관분석에 영향을 미치지 않는 데이터를 제거한다.
예를 들어, 하나의 호스트에서만 발생하는 알람은 시공간 연관분석을 수행할 의미가 없으므로 제거할 수 있다.
연관성 분석 모듈(120)은 벡터공간 생성 모듈(110)에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하기 위한 것으로, 벡터 군집화부(121) 및 이상징후 탐지부(122)를 포함하여 구성될 수 있다.
벡터 군집화부(121)는 벡터공간 생성 모듈(110)에 의해 구성된 벡터를 거리를 기반으로 클러스터링하여 하나 이상의 군집으로 분리한다.
이상징후 탐지부(122)는 벡터 군집화부(121)에 의해 분리된 하나 이상의 군집에서 가장 최근의 분석 주기에 발생한 벡터로만 이루어진 군집을 찾은 후, 해당 군집을 구성하는 벡터와 관련된 호스트를 검색하여 관리자에게 통보한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
100: 스캐닝 공격 탐지 장치
110: 벡터공간 생성 모듈
111: 이벤트 수집부
112: 이벤트 필터링부
120: 연관성 분석 모듈
121: 벡터 군집화부
122: 이상징후 탐지부

Claims (5)

  1. 제어 네트워크 또는 시스템에서 발생하는 NSM(Network and Security Management) 이벤트를 수집하여 벡터 공간으로 구성하는 벡터공간 생성 모듈; 및
    상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 군집화하고 군집의 구성 요소들 간의 연관성을 분석하여 이상징후를 탐지하는 연관성 분석 모듈을 포함하고,
    상기 벡터공간 생성 모듈은,
    상기 제어 네트워크 또는 시스템에서 발생하는 상기 NSM 이벤트에 따라 비정상적 접근 알람(NetAcsAlm), 비정상적 객체 접근 알람(ObjAcsAlm), 인가되지 않은 데이터 접근 횟수(DatUnAuthAcsCnt) 및 인가되지 않은 사용자 접속 시도 횟수(UnAuthUsrCnt) 중 하나 이상을 수신하여 분석 주기마다 D-차원의 벡터를 주기적으로 구성하는 이벤트 수집부를 포함하고,
    상기 벡터 공간은 상기 제어 네트워크 또는 상기 시스템에 포함된 각 호스트에 대해 각 분석 주기에 수신된 이벤트에 대응하는 벡터를 포함하는 제어 네트워크에서의 스캐닝 공격 탐지 장치.
  2. 제1 항에 있어서,
    상기 벡터공간 생성 모듈은,
    상기 이벤트 중 시공간 연관분석에 영향을 미치지 않는 데이터를 제거하는 이벤트 필터링부;
    를 더 포함하는 것을 특징으로 하는 스캐닝 공격 탐지 장치.

  3. 삭제
  4. 제1 항에 있어서,
    상기 연관성 분석 모듈은,
    상기 벡터공간 생성 모듈에 의해 구성된 벡터간 거리를 기반으로 벡터를 하나 이상의 군집으로 분리하는 벡터 군집화부; 및
    상기 군집에서 최근 분석 주기에서 발생한 벡터로 이루어지는 군집을 구성하는 벡터와 관련된 호스트를 검색하는 이상징후 탐지부;
    를 포함하는 것을 특징으로 하는 스캐닝 공격 탐지 장치.
  5. 삭제
KR1020130098443A 2013-08-20 2013-08-20 제어 네트워크에서의 스캐닝 공격 탐지 장치 KR101761798B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130098443A KR101761798B1 (ko) 2013-08-20 2013-08-20 제어 네트워크에서의 스캐닝 공격 탐지 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130098443A KR101761798B1 (ko) 2013-08-20 2013-08-20 제어 네트워크에서의 스캐닝 공격 탐지 장치

Publications (2)

Publication Number Publication Date
KR20150021282A KR20150021282A (ko) 2015-03-02
KR101761798B1 true KR101761798B1 (ko) 2017-07-26

Family

ID=53019726

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130098443A KR101761798B1 (ko) 2013-08-20 2013-08-20 제어 네트워크에서의 스캐닝 공격 탐지 장치

Country Status (1)

Country Link
KR (1) KR101761798B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102002560B1 (ko) * 2019-01-09 2019-10-01 엘에스웨어(주) 인공지능 기반의 목표계정 정찰행위 탐지 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106453367B (zh) * 2016-10-27 2020-01-24 上海斐讯数据通信技术有限公司 一种基于sdn的防地址扫描攻击的方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006246067A (ja) * 2005-03-03 2006-09-14 Nippon Telegraph & Telephone East Corp 正常トラヒック検出装置及び正常トラヒック検出方法並びにそのコンピュータプログラム
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006246067A (ja) * 2005-03-03 2006-09-14 Nippon Telegraph & Telephone East Corp 正常トラヒック検出装置及び正常トラヒック検出方法並びにそのコンピュータプログラム
JP2007242002A (ja) * 2006-02-10 2007-09-20 Mitsubishi Electric Corp ネットワーク管理装置及びネットワーク管理方法及びプログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102002560B1 (ko) * 2019-01-09 2019-10-01 엘에스웨어(주) 인공지능 기반의 목표계정 정찰행위 탐지 장치

Also Published As

Publication number Publication date
KR20150021282A (ko) 2015-03-02

Similar Documents

Publication Publication Date Title
US10949534B2 (en) Method for predicting and characterizing cyber attacks
CN109067596B (zh) 一种变电站网络安全态势感知方法及系统
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
CN108931968B (zh) 一种应用于工业控制系统中的网络安全防护系统及其防护方法
KR101375813B1 (ko) 디지털 변전소의 실시간 보안감사 및 이상징후 탐지를 위한 능동형 보안 센싱 장치 및 방법
US10097572B1 (en) Security for network computing environment based on power consumption of network devices
CN111262722A (zh) 一种用于工业控制系统网络的安全监测方法
US10356113B2 (en) Apparatus and method for detecting abnormal behavior
CN111049680A (zh) 一种基于图表示学习的内网横向移动检测系统及方法
CN110213226A (zh) 基于风险全要素辨识关联的网络攻击场景重建方法及系统
KR20150091775A (ko) 비정상 행위 탐지를 위한 네트워크 트래픽 분석 방법 및 시스템
Zhe et al. DoS attack detection model of smart grid based on machine learning method
CN106503524B (zh) 一种计算机网络安全防护系统
KR20120068611A (ko) 공간 연동을 통한 보안 상황 인지와 상황 정보 생성 장치 및 방법
KR20210115991A (ko) 시계열 데이터 분석을 이용한 네트워크 이상징후 탐지 방법 및 장치
CN107276983A (zh) 一种基于dpi和云同步的流量安全控制方法及系统
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
CN105378745A (zh) 基于安全问题禁用和启用节点
Dong et al. Research on abnormal detection of ModbusTCP/IP protocol based on one-class SVM
CN113329017A (zh) 网络安全风险的检测系统及方法
CN101599958A (zh) 基于场景的关联引擎系统及其数据处理方法
KR101761798B1 (ko) 제어 네트워크에서의 스캐닝 공격 탐지 장치
Berthier et al. Monitoring advanced metering infrastructures with amilyzer
CN111935085A (zh) 工业控制网络异常网络行为的检测防护方法和系统
CN111885020A (zh) 一种分布式架构的网络攻击行为实时捕获与监控系统

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant