KR101859740B1 - 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치 - Google Patents

산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치 Download PDF

Info

Publication number
KR101859740B1
KR101859740B1 KR1020170158092A KR20170158092A KR101859740B1 KR 101859740 B1 KR101859740 B1 KR 101859740B1 KR 1020170158092 A KR1020170158092 A KR 1020170158092A KR 20170158092 A KR20170158092 A KR 20170158092A KR 101859740 B1 KR101859740 B1 KR 101859740B1
Authority
KR
South Korea
Prior art keywords
address
data
policy
packet
delete delete
Prior art date
Application number
KR1020170158092A
Other languages
English (en)
Inventor
노현수
이준경
Original Assignee
주식회사 나온웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나온웍스 filed Critical 주식회사 나온웍스
Priority to KR1020170158092A priority Critical patent/KR101859740B1/ko
Application granted granted Critical
Publication of KR101859740B1 publication Critical patent/KR101859740B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/2557Translation policies or rules

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 산업용 프로토콜 패킷의 페이로드에 대한 패킷 분석과 이에 기초한 학습을 통하여 네트워크 보안을 도모하는 방법 및 이를 이용한 장치에 관한 것이다. 구체적으로, 본 발명에 따른 네트워크 보안 장치는, 패킷이 획득되면, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 패킷 분석부를 포함한다.

Description

산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치{NETWORK SECURITY METHOD USING DATA ANALYSIS OF INDUSTRIAL NETWORK PROTOCOL AND MACHINE LEARNING THEREOF, AND NETWORK SECURITY APPARATUS USING THE SAME}
본 발명은 산업용 프로토콜 패킷의 페이로드에 대한 패킷의 심층 분석과 이에 기초한 학습을 통하여 네트워크 보안을 도모하는 방법 및 이를 이용한 장치에 관한 것이다. 구체적으로, 본 발명에 따른 네트워크 보안 장치는, 패킷이 획득되면, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 패킷 분석부를 포함한다.
종래의 산업용 프로토콜 네트워크에서의 보안 시스템은 PLC(programmable logic controller; 프로그램 가능 논리 제어기)에 접근 관리할 명령어, 주소 범위를 관리자가 직접 입력하고 그 패킷을 분석하여 허용되지 않은 트래픽의 차단을 수행하는 것인바, 관리자의 수동 조작이 필요하다.
개략적으로 종래의 이와 같은 보안 시스템을 설명하면, 일반적으로 1) 관리자가 PLC에 접근 관리할 명령어 및 주소 범위를 포함하는 정책을 입력하여 설정한다. 다음으로, 2) 장치가 수신한 산업용 프로토콜 패킷으로부터 추출된 명령어 및 주소를 기 입력된 정책과 비교하는 탐지를 수행한다. 그리고 3) 그 추출된 명령어 및 주소가 기 입력된 정책과 일치하면 정책에 따라 패킷을 버리거나 PLC 측으로 송신하여 전달한다.
이와 같은 종래 기술의 관리자가 수동으로 접근 정책을 설정함으로써 접근 권한을 정적으로 관리하는 데 그치고, 탐지 범위가 명령어 및 주소 범위로 한정되어 있어 실제 패킷에 포함되는 값(value) 데이터에 대하여는 탐지가 수행되지 않는 단점이 있다. 이에 본 발명자는 이와 같은 문제점을 해결하기 위하여 산업용 프로토콜 패킷의 페이로드에 대한 패킷의 심층 분석을 실시하고, 그 결과에 기초한 학습을 통하여 더 높은 수준의 네트워크 보안을 도모하는 방법과 장치를 제안하고자 한다.
KR 10-1622874 B
본 발명은 네트워크 상의 산업용 장비의 자동화 시스템을 보호하기 위하여 보다 심층적인 분석을 통하여 비정상적인 명령, 주소 영역, 데이터 등을 탐지하여 이를 차단하는 것을 목적으로 한다.
이를 위하여, 구체적으로 본 발명은 명령어 주소 범위를 분석하고 허용 정책을 동적으로 학습 및 탐지하고, 데이터를 주소별로 분석, 학습 및 탐지하는 것을 목적으로 한다.
상기한 바와 같은 본 발명의 목적을 달성하고, 후술하는 본 발명의 특징적인 효과를 실현하기 위한 본 발명의 특징적인 구성은 하기와 같다.
본 발명의 일 태양에 따르면, 네트워크 보안 장치가 제공되는바, 그 네트워크 보안 장치는, 패킷이 획득되면, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 패킷 분석부를 포함한다.
본 발명의 다른 태양에 따르면, 네트워크 보안 장치가 제공되는바, 그 네트워크 보안 장치는, 패킷이 획득되면, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 패킷 분석부로서, 상기 패킷은 산업용 프로토콜 패킷이며, 상기 패킷 분석 정보는 PLC(programmable logic controller; 프로그램 가능 논리 제어기) 장치 정보, 명령어, 메모리 영역, 시작 주소, 범위 및 데이터를 포함하는, 패킷 분석부; 상기 패킷 분석 정보를 이용하여 상기 PLC 장치, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 정책(policy)을 검색하는 주소 정책 검색부; 상기 주소 정책 검색부가 학습 모드로 설정된 때에, 상기 주소 정책 검색부에 의한 상기 정책의 검색 대신에, 상기 PLC 장치, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 상기 정책을 등록하는 주소 정책 등록부; 상기 주소 정책 검색부에 의하여 검색된 정책 및 상기 주소 정책 등록부에 의하여 등록된 정책 중 적어도 하나인 처리 정책에 기초하여 상기 패킷을 처리하는 주소 정책 처리부; 상기 처리 정책에 의하여 허용되는 경우에 한하여, 상기 패킷 분석 정보를 이용하여 상기 PLC 장치, 상기 메모리 영역, 주소를 포함하는 주소 데이터를 검색하도록 구성된 주소 데이터 검색부; 상기 주소 데이터 검색부가 학습 모드로 설정된 때에, 상기 주소 데이터 검색부에 의한 상기 주소 데이터의 검색 대신에, 상기 주소 데이터를 등록하는 주소 데이터 등록부; 및 상기 주소 데이터 검색부에 의하여 검색된 주소 데이터 및 상기 주소 데이터 등록부에 의하여 등록된 주소 데이터 중 적어도 하나인 처리 주소 데이터에 대한 데이터 상태를 학습하는 주소 데이터 학습부를 포함한다.
본 발명의 또 다른 태양에 따르면, 네트워크 보안 방법이 제공되는바, 그 네트워크 보안 방법은, (a) 패킷이 획득되면, 네트워크 보안 장치가, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 단계로서, 상기 패킷은 산업용 프로토콜 패킷이며, 상기 패킷 분석 정보는 PLC(programmable logic controller; 프로그램 가능 논리 제어기) 장치 정보, 명령어, 메모리 영역, 시작 주소, 범위 및 데이터를 포함하는, 단계; 및 (b) 상기 네트워크 보안 장치가, 상기 패킷 분석 정보를 이용하여 PLC(programmable logic controller; 프로그램 가능 논리 제어기) 장치, 명령어, 메모리 영역, 시작 주소 및 범위에 기초한 정책(policy)을 검색하는 단계를 포함한다.
본 발명의 다른 일 태양에 따르면, 네트워크 보안 방법이 제공되는바, 그 네트워크 보안 방법은, (a) 패킷이 획득되면, 네트워크 보안 장치가, 획득된 상기 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출하는 단계로서, 상기 패킷은 산업용 프로토콜 패킷이며, 상기 패킷 분석 정보는 PLC(programmable logic controller; 프로그램 가능 논리 제어기) 장치 정보, 명령어, 메모리 영역, 시작 주소, 범위 및 데이터를 포함하는, 단계; (b) 상기 네트워크 보안 장치가, (i) 상기 패킷 분석 정보를 이용하여 상기 PLC 장치, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 정책(policy)을 검색하는 프로세스, 또는 (ii) 상기 네트워크 보안 장치가 학습 모드로 설정된 때에, 상기 정책의 검색 대신에, 상기 PLC 장치, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 상기 정책을 등록하는 프로세스를 수행하는 단계; (c) 상기 (b) 단계의 (i) 프로세스에 의하여 검색된 정책 및 상기 (b) 단계의 (ii) 프로세스에 의하여 등록된 정책 중 적어도 하나인 처리 정책에 기초하여, 상기 네트워크 보안 장치가, 상기 패킷을 처리하는 단계; (d) 상기 처리 정책에 의하여 허용되는 경우에 한하여, 상기 네트워크 보안 장치가, (i) 상기 패킷 분석 정보를 이용하여 상기 PLC 장치, 상기 메모리 영역, 주소를 포함하는 주소 데이터를 검색하는 프로세스, 또는 (ii) 상기 네트워크 보안 장치가 학습 모드로 설정된 때에, 상기 주소 데이터의 검색 대신에, 상기 주소 데이터를 등록하는 프로세스를 수행하는 단계; 및 (e) 상기 네트워크 보안 장치가, 상기 (d) 단계의 (i) 프로세스에 의하여 검색된 주소 데이터 및 상기 (d) 단계의 (ii) 프로세스에 의하여 등록된 주소 데이터 중 적어도 하나인 처리 주소 데이터에 대한 데이터 상태를 학습하는 단계를 포함한다.
본 발명에 의하면, 심층적인 패킷 분석을 통하여 비정상적인 명령, 주소 영역, 데이터 등을 탐지하여 이를 차단함으로써 네트워크 상의 산업용 장비의 자동화 시스템을 보호할 수 있는 효과가 있다.
본 발명의 실시예의 설명에 이용되기 위하여 첨부된 아래 도면들은 본 발명의 실시예들 중 단지 일부일 뿐이며, 본 발명이 속한 기술분야에서 통상의 지식을 가진 사람(이하 “통상의 기술자”라 함)에게 있어서는 발명적 작업이 이루어짐 없이 이 도면들에 기초하여 다른 도면들이 얻어질 수 있다.
도 1은 본 발명에 따른 네트워크 보안 방법이 수행되는 시스템의 개별 구성요소들을 나타낸 예시적 블록도이다.
도 2는 예시적으로 획득된 패킷에 대하여 본 발명에 따른 네트워크 보안 방법에 의한 처리가 이루어지는 과정을 학습 모드와 운영 모드 각각에 대하여 개념적으로 나타낸 블록도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명의 목적들, 기술적 해법들 및 장점들을 분명하게 하기 위하여 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 통상의 기술자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다.
본 발명의 상세한 설명 및 청구항들에 걸쳐 '학습'은 절차에 따라 기계 학습(machine learning)을 수행함을 일컫는 용어인바, 인간의 교육 활동과 같은 정신적 작용을 지칭하도록 의도된 것이 아님을 통상의 기술자는 이해할 수 있을 것이다.
그리고 본 발명의 상세한 설명 및 청구항들에 걸쳐, '포함하다'라는 단어 및 그 변형은 다른 기술적 특징들, 부가물들, 구성요소들 또는 단계들을 제외하는 것으로 의도된 것이 아니다. 통상의 기술자에게 본 발명의 다른 목적들, 장점들 및 특성들이 일부는 본 설명서로부터, 그리고 일부는 본 발명의 실시로부터 드러날 것이다. 아래의 예시 및 도면은 실례로서 제공되며, 본 발명을 한정하는 것으로 의도된 것이 아니다.
더욱이 본 발명은 본 명세서에 표시된 실시예들의 모든 가능한 조합들을 망라한다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예에 관련하여 본 발명의 사상 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 사상 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
본 명세서에서 달리 표시되거나 분명히 문맥에 모순되지 않는 한, 단수로 지칭된 항목은, 그 문맥에서 달리 요구되지 않는 한, 복수의 것을 아우른다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하, 통상의 기술자가 본 발명을 용이하게 실시할 수 있도록 하기 위하여, 본 발명의 바람직한 실시예들에 관하여 첨부된 도면을 참조하여 상세히 설명하기로 한다.
본 명세서에서 '보안 네트워크 장치'라고 함은 통신부 및 프로세서를 포함하는 컴퓨팅 장치에 의하여 구현될 수도 있는데, 이러한 보안 네트워크 장치는 상기 통신부를 통하여 외부 컴퓨팅 장치와 직간접적으로 통신할 수 있다.
구체적으로, 상기 보안 네트워크 장치는, 전형적인 컴퓨터 하드웨어(예컨대, 컴퓨터 프로세서, 메모리, 스토리지, 입력 장치 및 출력 장치, 기타 기존의 컴퓨팅 장치의 구성요소들을 포함할 수 있는 장치; 라우터, 스위치 등과 같은 전자 통신 장치; 네트워크 결합 스토리지(NAS; network-attached storage) 및 스토리지 영역 네트워크(SAN; storage area network)와 같은 전자 정보 스토리지 시스템)와 컴퓨터 소프트웨어{즉, 노드로 하여금 특정의 방식으로 기능하게 하는 명령어들(instructions)}의 조합을 이용하여 원하는 시스템 성능을 달성하는 것일 수 있다.
이와 같은 보안 네트워크 장치의 통신부는 연동되는 타 노드와 요청과 응답을 송수신할 수 있는바, 일 예시로서 그러한 요청과 응답은 동일한 TCP(transmission control protocol) 세션(session)에 의하여 이루어질 수 있지만, 이에 한정되지는 않는바, 예컨대 UDP(user datagram protocol) 데이터그램(datagram)으로서 송수신될 수도 있을 것이다. 덧붙여, 넓은 의미에서 상기 통신부는 명령어 또는 지시 등을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
또한, 보안 네트워크 장치의 프로세서는 MPU(micro processing unit), CPU(central processing unit) 또는 GPU(graphic processing unit), 캐시 메모리(cache memory), 데이터 버스(data bus) 등의 하드웨어 구성을 포함할 수 있다. 또한, 운영체제, 특정 목적을 수행하는 애플리케이션의 소프트웨어 구성을 더 포함할 수도 있다.
도 1은 본 발명에 따른 네트워크 보안 방법이 수행되는 시스템의 개별 구성요소들을 나타낸 예시적 블록도이며, 도 2는 예시적으로 획득된 패킷에 대하여 본 발명에 따른 네트워크 보안 방법에 의한 처리가 이루어지는 과정을 학습 모드와 운영 모드 각각에 대하여 개념적으로 나타낸 블록도이다.
도 1을 참조하면, 네트워크 인터페이스 장치(100), 운영체제(200) 및 L3/L4 필터(L3/L4 filter; 300)가 예시적으로 도시되어 있는바, 본 발명에 따른 네트워크 보안 장치(400)는 네트워크 인터페이스(100) 및 L3/L4 필터(300)를 통하여 산업용 프로토콜 패킷을 획득할 수 있다.
계속해서 도 1을 참조하여, 본 발명에 따른 네트워크 보안 장치(400)를 이용한 네트워크 보안 방법을 설명하면, 먼저, 패킷이 획득되면, 네트워크 보안 장치(400)의 패킷 분석부(411)가, 획득된 패킷의 페이로드를 분석하여 패킷 분석 정보를 추출한다. 여기에서 패킷은 산업용 프로토콜 패킷일 수 있으며, 상기 패킷 분석 정보는 PLC(programmable logic controller; 프로그램 가능 논리 제어기) 장치 정보, 명령어, 메모리 영역, 시작 주소, 범위 및 데이터를 포함할 수 있다.
그 후, 네트워크 보안 장치(400)의 주소 정책 검색부(412)는, 주소 정책 검색부(412)가 운영 모드로 설정된 때에, 상기 패킷 분석 정보를 이용하여 PLC 장치, 명령어, 메모리 영역, 시작 주소 및 범위에 기초한 정책(policy)을 검색할 수 있는바, 도 2에 예시된 바와 같다.
반대로, 도 1 및 2를 참조하면, 네트워크 보안 장치(400)의 주소 정책 검색부(412)가 학습 모드로 설정된 때에는, 네트워크 보안 장치(400)의 주소 정책 등록부(413)가, 상기 주소 정책 검색부에 의한 상기 정책의 검색 대신에, 상기 PLC 장치, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 상기 정책을 등록할 수 있다. 예를 들어, 상기 정책은 주소 정책 맵에 등록될 수 있을 것이다.
전술한 운영 모드 및 학습 모드는 주소 정책 검색부(412) 및 주소 정책 등록부(413)에 대하여 설정될 수 있을 뿐만 아니라, 후술하는 주소 데이터 검색부(421) 및 주소 데이터 등록부(422)에 대하여도 설정될 수 있는바, 즉 구성요소별로 학습 모드와 운영 모드의 상태 설정이 있을 수 있으며, 예를 들어 도 2에 나타난 바와 같다.
다음으로, 네트워크 보안 장치(400)의 주소 정책 처리부(414)는 주소 정책 검색부(412)에 의하여 검색된 정책 및 주소 정책 등록부(413)에 의하여 등록된 정책 중 적어도 하나인 처리 정책에 기초하여 상기 패킷을 처리할 수 있다.
예컨대, 주소 정책 검색부(412)가 운영 모드인 경우에 상기 처리 정책에 벗어나는 패킷은 비정상 패킷으로 판정되어 차단될 수 있다.
그 다음, 네트워크 보안 장치(400)의 주소 데이터 검색부(421)는 상기 처리 정책에 의하여 허용되는 경우에 한하여, 주소 데이터 검색부(421)가 운영 모드로 설정된 때에, 상기 패킷 분석 정보를 이용하여 상기 PLC 장치, 상기 메모리 영역, 주소를 포함하는 주소 데이터를 검색할 수 있는바, 도 2에 예시된 바와 같다.
반면에, 도 1 및 2를 참조하면, 주소 데이터 검색부(421)가 학습 모드로 설정된 때에는, 네트워크 보안 장치(400)의 주소 데이터 등록부(422)가, 주소 데이터 검색부(421)에 의한 상기 주소 데이터의 검색 대신에, 상기 주소 데이터를 등록할 수 있다. 예를 들어, 상기 주소 데이터는 주소 데이터 맵에 등록될 수 있을 것이다.
그 후, 네트워크 보안 장치(400)의 주소 데이터 학습부(423)는, 주소 데이터 검색부(421)에 의하여 검색된 주소 데이터 및 주소 데이터 등록부(422)에 의하여 등록된 주소 데이터 중 적어도 하나인 처리 주소 데이터에 대한 데이터 상태를 학습할 수 있다. 예컨대, 주소 데이터 학습부(423)는, 학습 모드로 설정된 경우에 상기 주소 데이터에 포함된 데이터값을 기 등록된 데이터의 최댓값, 최솟값과 비교하여 상기 데이터값이 기 등록된 데이터의 최댓값보다 크면 그 최댓값을 상기 데이터값으로 갱신하고, 최솟값보다 작으면 그 최솟값을 상기 데이터값으로 갱신하며, 증가 또는 감소되는 데이터의 변화 흐름을 추적하여 학습을 수행할 수 있다.
다음으로, 네트워크 보안 장치(400)의 주소 데이터 처리부(424)는 상기 주소 데이터에 따른 데이터 상태에 따라 패킷을 처리할 수 있다. 예를 들어, 주소 데이터 처리부(424)는, 도 2에 예시된 바와 같이, 운영 모드로 설정된 경우에, 학습된 상태와 패킷의 데이터를 비교하여 패킷의 정상/비정상 여부를 판정하여, 패킷이 비정상인 경우에는 이를 차단할 수 있으며, 정상인 경우에는 이를 상기 PLC 장치에 전달할 수 있다.
이와 같은 전술한 모든 실시예들에 의하여 본 발명은, 네트워크 상의 산업용 장비의 자동화 시스템, 특히 PLC 장치를 보호하기 위하여 보다 심층적인 분석을 통하여 비정상적인 명령, 주소 영역, 데이터 등을 탐지하여 이를 차단할 수 있는 효과를 가진다.
위 실시예의 설명에 기초하여 해당 기술분야의 통상의 기술자는, 본 발명이 소프트웨어 및 하드웨어의 결합을 통하여 달성되거나 하드웨어만으로 달성될 수 있다는 점을 명확하게 이해할 수 있다. 본 발명의 기술적 해법의 대상물 또는 선행 기술들에 기여하는 부분들은 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 분야의 통상의 기술자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD, Blu-ray와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다.
상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다. 상기 하드웨어 장치는, 프로그램 명령어를 저장하기 위한 ROM/RAM 등과 같은 메모리와 결합되고 상기 메모리에 저장된 명령어들을 실행하도록 구성되는 CPU나 GPU와 같은 프로세서를 포함할 수 있으며, 외부 장치와 신호를 주고 받을 수 있는 통신부를 포함할 수 있다. 덧붙여, 상기 하드웨어 장치는 개발자들에 의하여 작성된 명령어들을 전달받기 위한 키보드, 마우스, 기타 외부 입력장치를 포함할 수 있다.
이상에서 본 발명이 구체적인 구성요소 등과 같은 특정 사항들과 한정된 실시예 및 도면에 의해 설명되었으나, 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것일 뿐, 본 발명이 상기 실시예들에 한정되는 것은 아니며, 본 발명이 속하는 기술분야에서 통상적인 지식을 가진 사람이라면 이러한 기재로부터 다양한 수정 및 변형을 꾀할 수 있다.
따라서, 본 발명의 사상은 상기 설명된 실시예에 국한되어 정해져서는 아니되며, 후술하는 특허청구범위뿐만 아니라 이 특허청구범위와 균등하게 또는 등가적으로 변형된 모든 것들은 본 발명의 사상의 범주에 속한다고 할 것이다.
그와 같이 균등하게 또는 등가적으로 변형된 것에는, 예컨대 본 발명에 따른 방법을 실시한 것과 동일한 결과를 낼 수 있는, 논리적으로 동치(logically equivalent)인 방법이 포함될 것이다.

Claims (16)

  1. 삭제
  2. 삭제
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
  7. 삭제
  8. 산업용 프로토콜 패킷이 획득되면, 획득된 상기 패킷의 페이로드를 분석하여 PLC(programmable logic controller) 장치 정보, 명령어, 메모리 영역, 시작 주소, 범위 및 데이터를 포함하는 패킷 분석 정보를 추출하는 패킷 분석부와;
    상기 PLC 장치 정보, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 정책(policy)을 주소 정책 맵에서 검색하는 주소 정책 검색부와;
    상기 주소 정책 검색부가 학습 모드로 설정된 때에, 상기 주소 정책 검색부에 의한 정책의 검색 대신에, 상기 PLC 장치 정보, 상기 명령어, 상기 메모리 영역, 상기 시작 주소 및 상기 범위에 기초한 정책을 상기 주소 정책 맵에 등록하는 주소 정책 등록부와;
    상기 주소 정책 검색부에 의하여 검색된 정책과 상기 주소 정책 등록부에 의하여 등록된 정책 중 적어도 하나인 처리 정책에 기초하여 상기 패킷을 허용 혹은 드롭(drop) 처리하는 주소 정책 처리부와;
    상기 처리 정책에 의하여 허용되는 경우에 한하여, 상기 PLC 장치 정보, 상기 메모리 영역, 상기 시작 주소, 상기 범위 및 데이터에 기초한 주소 데이터를 주소 데이터 맵에서 검색하는 주소 데이터 검색부와;
    상기 주소 데이터 검색부가 학습 모드로 설정된 때에, 상기 주소 데이터 검색부에 의한 주소 데이터의 검색 대신에 주소 데이터를 상기 주소 데이터 맵에 등록하는 주소 데이터 등록부와;
    상기 주소 데이터 검색부에 의하여 검색된 주소 데이터 및 상기 주소 데이터 등록부에 의하여 등록된 주소 데이터 중 적어도 하나인 처리 주소 데이터에 대한 데이터 상태를 학습하되, 학습모드로 설정된 경우 주소 데이터에 포함된 데이터값이 기 등록된 데이터의 최댓값보다 크면 그 최댓값을 상기 데이터값으로 갱신하고, 최솟값 보다 작으면 그 최솟값을 상기 데이터값으로 갱신하며, 증가 또는 감소되는 데이터의 변화 흐름을 추적하여 학습을 수행하는 주소 데이터 학습부와;
    상기 주소 데이터에 따른 데이터 상태에 따라 패킷을 처리하는 주소 데이터 처리부;를 포함함을 특징으로 하는 네트워크 보안 장치.
  9. 제8항에 있어서, 상기 주소 데이터 처리부는,
    운영 모드로 설정된 경우 상기 학습된 상태와 패킷의 데이터를 비교하여 패킷이 비정상인 경우 차단하며, 정상인 경우 PLC 장치로 전달함을 특징으로 하는 네트워크 보안 장치.
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
KR1020170158092A 2017-11-24 2017-11-24 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치 KR101859740B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170158092A KR101859740B1 (ko) 2017-11-24 2017-11-24 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170158092A KR101859740B1 (ko) 2017-11-24 2017-11-24 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치

Publications (1)

Publication Number Publication Date
KR101859740B1 true KR101859740B1 (ko) 2018-05-21

Family

ID=62453160

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170158092A KR101859740B1 (ko) 2017-11-24 2017-11-24 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치

Country Status (1)

Country Link
KR (1) KR101859740B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102359112B1 (ko) * 2020-09-11 2022-02-07 박준화 Plc 시스템의 보안 처리 장치 및 방법
CN115150278A (zh) * 2021-03-29 2022-10-04 迈络思科技有限公司 使用数据处理单元(dpu)作为基于图形处理单元(gpu)的机器学习的预处理器

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
KR20070003409A (ko) * 2005-07-01 2007-01-05 남양정보기술(주) 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법
KR101453980B1 (ko) * 2013-07-30 2014-11-03 (주)시스윈일렉트로닉스 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치
KR101686472B1 (ko) * 2015-07-08 2016-12-14 국민대학교산학협력단 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
KR101736223B1 (ko) * 2016-11-23 2017-05-16 주식회사 나온웍스 산업용 네트워크 보안 방법 및 장치

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005328373A (ja) * 2004-05-14 2005-11-24 Nippon Signal Co Ltd:The ネットワークセキュリティシステム
KR20070003409A (ko) * 2005-07-01 2007-01-05 남양정보기술(주) 내부 네트워크 사용자 인증과 패킷 제어 기능을 가진 보안게이트웨이 시스템 및 운용 방법
KR101453980B1 (ko) * 2013-07-30 2014-11-03 (주)시스윈일렉트로닉스 패킷 중계 장치 및 반도체 제조설비의 패킷 전송 장치
KR101686472B1 (ko) * 2015-07-08 2016-12-14 국민대학교산학협력단 네트워크 보안 장치, 네트워크 보안 장치에서 수행되는 악성 행위 방어 방법
KR101736223B1 (ko) * 2016-11-23 2017-05-16 주식회사 나온웍스 산업용 네트워크 보안 방법 및 장치

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102359112B1 (ko) * 2020-09-11 2022-02-07 박준화 Plc 시스템의 보안 처리 장치 및 방법
CN115150278A (zh) * 2021-03-29 2022-10-04 迈络思科技有限公司 使用数据处理单元(dpu)作为基于图形处理单元(gpu)的机器学习的预处理器

Similar Documents

Publication Publication Date Title
US11494490B2 (en) Endpoint detection and response utilizing machine learning
CA2914048C (en) Controlling network access based on application detection
US10068089B1 (en) Systems and methods for network security
CN112087415B (zh) 基于应用路径的网络业务控制
US11546295B2 (en) Industrial control system firewall module
US11481478B2 (en) Anomalous user session detector
KR102280845B1 (ko) 네트워크 내의 비정상 행위 탐지 방법 및 그 장치
EP3767913A1 (en) Systems and methods for correlating events to detect an information security incident
KR101859740B1 (ko) 산업용 네트워크 프로토콜의 데이터 분석 및 학습을 통한 네트워크 보안 방법 및 이를 이용한 네트워크 보안 장치
US20210021613A1 (en) Systems and methods for correlating events to detect an information security incident
US11012452B1 (en) Systems and methods for establishing restricted interfaces for database applications
CA2914046C (en) Controlling network access based on application detection
EP3005658B1 (en) Controlling network access based on application detection
US9253214B1 (en) Systems and methods for optimizing data loss prevention systems
US11792209B2 (en) Robust learning of web traffic
US11838292B2 (en) Securing computer networks with virtual networks
US20240205260A1 (en) Network protection
US20220286457A1 (en) Managing permissions for computing devices in computer networks
US20140283024A1 (en) Method for efficient behavioral analysis on a mobile station
WO2022187711A1 (en) Securing computer networks with virtual networks

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant