KR101976395B1 - 네트워크의 비정상행위 시각화 방법 및 장치 - Google Patents

Abstract

네트워크의 비정상행위 시각화 방법을 제공한다. 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 방법은 복수의 네트워크 장치로 구성되는 네트워크 상에서 소정의 기준을 벗어난 비정상행위를 감지하여 시각화하는 방법에 있어서, 생성부가, 상기 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 상기 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성하는 단계; 감지부가, 상기 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 상기 복수의 네트워크규칙에 기초하여, 상기 네트워크 상에서 상기 비정상행위를 감지하는 단계; 및 시각화부가, 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화하는 단계를 포함한다.

Description

네트워크의 비정상행위 시각화 방법 및 장치{METHOD AND APPARATUS FOR VISUALIZING ANOMALY DETECTION IN NETWORK FORENSICS}

본 발명은 네트워크 상에서 발생하는 비정상행위를 감지하여 시각화하는 방법 및 장치에 관한 것으로, 보다 자세하게는 네트워크에서 사용되는 프로토콜에 기반하는 규칙을 이용하여 비정상행위를 감지한 결과를 시각화하여 나타내는 방법 및 장치에 관한 것이다.

산업제어시스템(industrial control system)은 전력, 철도, 가스 등 국가 주요 기반 시설들을 포함하여 다양한 도메인에서 확장되고 있는 추세로 그 크기도 소규모에서 국가 기반 시설까지 확대되고 있다. 단순 생산 및 조립라인에 그쳤던 과거의 공장 자동화와는 달리 현재 산업제어시스템은 감시 및 자동제어가 가능한 기술로 발전하여 사용자에게 편리성과 경제성을 제공하고 있다. 이에 따라 산업제어시스템 시장은 아직도 계속 증가하고 있는 추세이고, 더욱 다양한 분야에서도 산업제어시스템이 사용될 것으로 예상된다.

하지만 이러한 산업제어시스템 활용의 증가 추세와 함께 사이버 보안 침해 사고 발생도 증가하고 있다. 2010년 이란에서 발생한 스턱스넷(Stuxnet)을 시작으로 2015년 12월에 발생한 우크라이나 정전사태까지 다양한 사고들이 발생하여, 제어시스템 보안 사고는 지금 어디에서나 발생가능하다는 경각심을 불러 일으켰다.

현재, 이와 관련하여 ICS-CERT, ABB, SANS, Fire Eye 등에서 산업제어시스템에 디지털 포렌식 기술을 접목하여, 네트워크 로그분석 등을 활용한 사후대응 절차를 마련하는 것에 대한 연구를 진행하고 있으며, SANS ICS Security Summit 등과 같은 학술회의에서 디지털 포렌식 기술을 산업제어시스템에 적용하는 방안에 대해 발표되는 등 제어시스템 보안을 위한 디지털 포렌식 기술 연구가 활성화되고 있는 추세이다.

따라서, 산업제어시스템을 비롯한 다양한 형태의 네트워크 시스템에서 사용되는 프로토콜을 대상으로 하여 비정상행위를 시각화함으로써, 네트워크 포렌식 관점에서 보안을 강화할 수 있는 비정상행위 시각화 방법 및 장치의 필요성이 대두되고 있다.

관련 선행기술로는 대한민국 등록특허공보 제10-1501669(발명의 명칭: 비정상 행위를 탐지하기 위한 행위 탐지 시스템, 등록일자: 2015년 3월 5일)가 있다.

본 발명은 네트워크 프로토콜에 기반하여 생성된 규칙을 이용하여, 네트워크 트래픽에서 비정상행위를 감지하고, 시각화하는 방법 및 장치를 제공하고자 한다.

본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.

상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 방법은 복수의 네트워크 장치로 구성되는 네트워크 상에서 소정의 기준을 벗어난 비정상행위를 감지하여 시각화하는 방법에 있어서, 생성부가, 상기 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 상기 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성하는 단계; 감지부가, 상기 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 상기 복수의 네트워크규칙에 기초하여, 상기 네트워크 상에서 상기 비정상행위를 감지하는 단계; 및 시각화부가, 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화하는 단계를 포함한다.

바람직하게는, 상기 복수의 네트워크규칙은 단일 패킷, 패킷의 트랜잭션 및 미리 설정된 적어도 하나의 패킷 종류 중 적어도 하나에 기초하여 생성될 수 있다.

바람직하게는, 상기 복수의 네트워크규칙을 생성하는 단계는 상기 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 생성할 수 있다.

바람직하게는, 상기 복수의 네트워크규칙은 상기 네트워크에서 발생하는 네트워크 트래픽에 기초한 규칙을 포함할 수 있다.

바람직하게는, 상기 네트워크에서 사용되는 프로토콜은 DNP3(distributed network protocol 3) 프로토콜일 수 있다.

바람직하게는, 상기 복수의 네트워크규칙은 상기 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성될 수 있다.

바람직하게는, 상기 비정상정보를 시각화하는 단계는 상기 서비스정보에 기초하는 네트워크규칙을 벗어난 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화할 수 있다.

또한, 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 장치는 복수의 네트워크 장치로 구성되는 네트워크 상에서 소정의 기준을 벗어난 비정상행위를 감지하여 시각화하는 장치에 있어서, 상기 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 상기 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성하는 생성부; 상기 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 상기 복수의 네트워크규칙에 기초하여, 상기 네트워크 상에서 상기 비정상행위를 감지하는 감지부; 및 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화하는 시각화부;를 포함한다.

바람직하게는, 상기 복수의 네트워크규칙은 단일 패킷, 패킷의 트랜잭션 및 미리 설정된 적어도 하나의 패킷 종류 중 적어도 하나에 기초하여 생성될 수 있다.

바람직하게는, 상기 생성부는 상기 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 생성할 수 있다.

바람직하게는, 상기 복수의 네트워크규칙은 네트워크 트래픽에 기초한 규칙을 포함할 수 있다.

바람직하게는, 상기 네트워크에서 사용되는 프로토콜은 DNP3 프로토콜일 수 있다.

바람직하게는, 상기 복수의 네트워크규칙은 상기 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성될 수 있다.

바람직하게는, 상기 시각화부는 상기 서비스정보에 기초하는 네트워크규칙을 벗어난 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화할 수 있다.

본 발명은 다양한 기준에 따라 생성된 규칙을 이용하여 네트워크 트래픽에서 비정상행위를 감지하고, 그 감지 결과를 관리자에게 시각화하여 표출할 수 있는 효과가 있다.

또한, 본 발명은 비정상행위의 감지 결과를 관리자에게 시각화함으로써, 관리자가 비정상행위의 발생여부 및 비정상행위의 세부적인 내용을 용이하게 파악하여 효율적으로 대처할 수 있도록 하는 효과가 있다.

도 1은 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 방법을 설명하기 위하여 도시한 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 장치를 설명하기 위하여 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 메인뷰(main view)를 설명하기 위하여 도시한 도면이다.
도 4는 본 발명의 일 실시예에 따른 룰뷰(rule view)를 설명하기 위하여 도시한 도면이다.
도 5는 본 발명의 일 실시예에 따른 트래픽뷰(traffic view)를 설명하기 위하여 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 3종류의 네트워크규칙을 도시한 도면이다.
도 7은 본 발명의 일 실시예에 따른 패킷의 세부 정보를 나타내는 화면을 도시한 도면이다.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.

제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.

도 1은 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 방법을 설명하기 위하여 도시한 흐름도이다.

이때, 본 발명의 네트워크는 복수의 네트워크 장치로 구성될 수 있다. 또한, 복수의 네트워크 장치는 유선 또는 무선으로 서로 연결되어, 상호 간에 네트워크 패킷을 전송함으로써, 필요한 기능 및 동작을 수행할 수 있다. 예컨대, 복수의 IoT 디바이스와 이를 관리하는 서버 각각이 네트워크 장치로서, 본 발명의 네트워크를 구성할 수 있다. 또한, 전력, 철도, 가스 등 기반 시설을 제어하기 위한 산업제어시스템에 포함된 서버 및 클라이언트 각각이 네트워크 장치로서, 본 발명의 네트워크를 구성할 수 있다. 이와 같이, 복수의 네크워크 장치로 구성되는 다양한 종류의 네트워크가 본 발명의 네트워크에 해당할 수 있다.

단계 S110에서는, 비정상행위 시각화 장치가, 그 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성한다.

예컨대, 본 발명의 네트워크는 전력, 철도, 가스 등 기반 시설을 제어하기 위한 산업제어시스템의 네트워크일 수 있다. 또한, 그 네트워크에서 이용되는 프로토콜은 산업제어시스템의 프로토콜일 수 있다.

이때, 비정상행위 시각화 장치는 그 네트워크에서 이용되는 프로토콜을 분석하여, 그 네트워크 상에서 발생하는 비정상행위(예, 해킹시도, DDOS공격)를 감지하기 위한 규칙을 생성할 수 있다.

한편, 네트워크규칙을 생성하는 방법에 대한 자세한 내용은 아래의 실시예에 대한 설명에서 구체적으로 후술한다.

다른 실시예에서는, 복수의 네트워크규칙은 단일 패킷, 패킷의 트랜잭션 및 미리 설정된 적어도 하나의 패킷 종류 중 적어도 하나에 기초하여 생성될 수 있다.

이때, 단일 패킷에 기초하여 생성된 네트워크규칙은 SPR(single packet based rule)로 명명할 수 있다. SPR은 단일 패킷 기반 룰로 오직 한 개의 패킷만이 주어졌을 때, 판단 가능한 필드를 기준으로 정상행위의 여부를 탐지하는 룰이다.

예컨대, 도 6을 참조하면, SPR 1-1-1-1는 4단계에 걸쳐 나누어진 세부 필드를 살펴보는 룰임을 파악할 수 있다. SPR 1은 패킷이 의도하는 기능을 나타내는 FC(fuction code)를 살펴보아 Read Request(0x01)인 경우에 한해 룰이 적용되는 것을 의미하며, SPR 1-1은 Read Request 패킷의 APCI 필드를 살펴볼 것을 의미한다. SPR 1-1-1은 APCI 필드 내에 있는 AC(Application Control) 필드를 살펴볼 것을 의미하며, SPR 1-1-1-1은 정상행위가 제한되는 FIR 필드를 살펴보는 것을 의미한다. 마찬가지로, SPR 1-1-1-#에 포함되는 SPR 1-1-1-1, 1-1-1-2, 1-1-1-3, 1-1-1-4는 모두 각각 AC 필드 내에 존재하는 FIR, FIN, CON, SEQ필드를 대상으로 정상행위 룰을 규정하고 있다.

또한, 패킷의 트랜잭션에 기초하여 생성된 네트워크규칙은 TBR(transaction base rule)로 명명할 수 있다. 트랜잭션은 다양한 종류의 시스템에서 사용되는 분리될 수 없는 업무처리의 단위를 의미하며, 사용자가 시스템에 요구를 시작하여 시스템 내의 처리, 시스템에서 사용자에게 응답하는 모든 처리를 포함할 수 있다. 즉, TBR은 단일 패킷을 대상으로 하는 SPR과는 달리 서로 관련이 있는 두 개의 패킷을 살펴본 후 룰을 적용한다는 점에서 차이가 있다.

예컨대, 도 6을 참조하면, TBR 1은 Read Request와 그에 따른 Response 패킷을 대상으로 하며, TBR 1-1은 APCI 필드를 대상으로 TBR 1-1-1은 AC 필드를 대상으로 할 수 있다. 여기까지는 SPR과 동일한 것으로 여겨질 수 있으나 TBR은 서로 영향을 주는 필드로 인해 제한적인 값을 정상행위로 지니게 되는 경우를 살펴보는 것이므로 모든 필드를 살펴보지 않고, 오직 제한이 생기는 필드만을 살펴보아 TBR 1-1-1-4만이 존재하게 된다. 이 필드는 AC필드 내에 존재하는 SEQ 필드로 반드시 Read Request와 Response가 동일한 값을 지녀야 하므로 패킷을 비교하여 정상행위 여부를 판단할 수 있다. TBR을 적용함에 있어 주의해야 할 점은 룰이 어겨진 비정상행위의 경우 Read Request와 Response 등의 두 상호관계에 놓인 패킷을 모두 살펴보고 어느쪽이 잘못되었는지 파악해야 한다는 것이다.

마지막으로, 미리 설정된 적어도 하나의 패킷 종류에 기초하여 생성된 네트워크규칙은 DBR(Digital Based Rule)로 명명할 수 있다. DBR은 Snort Rule을 기반으로 하여, 패킷의 기능별로 대응되는 FC(Function Code)필드를 살펴 관리자에게 경고를 전송하기 위해 사용될 수 있다.

예컨대, 도 6을 참조하면, DBR은 요청되지 않은 응답(unsolicited response) 을 전송하는 행위, 시간을 바꾸는(time change) 행위, 어플리케이션을 중지(stop application)하는 행위, 시스템을 재시작(warm restart, cold restart)하는 행위 등을 막기 위하여 필요할 수 있다.

또 다른 실시예에서는, 비정상행위 시각화 장치가 그 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 복수의 네트워크규칙을 생성할 수 있다.

여기서, 정상패킷정보는 그 네트워크 상에서 그 소정의 기준을 충족하는 정상행위에 대응되는 복수의 제2 네트워크 패킷을 포함할 수 있다. 이때, 비정상행위 시각화 장치는 그 정상패킷정보를 분석함으로써, 실제로 송수신되는 네트워크 패킷을 이용하여 네트워크규칙을 생성할 수 있다.

예컨대, 비정상행위 시각화 장치가 전력을 생산하는 산업제어시스템의 네트워크에서 운영된다고 가정할 때, 그 산업제어시스템이 정상적으로 운영되는 상황에서 수집된 정상패킷정보를 이용하여 새로운 네트워크규칙을 생성함으로써, 그 산업제어시스템의 실제 운영 환경에 보다 적합한 네트워크규칙을 생성할 수 있다.

또 다른 실시예에서는, 복수의 네트워크규칙은 그 네트워크에서 발생하는 네트워크 트래픽에 기초한 규칙을 포함할 수 있다.

예컨대, 비정상행위 시각화 장치는 산업제어시스템의 네트워크에서 송수신되는 네트워크 패킷을 프로토콜 종류에 따라 분류하고, 각각의 프로토콜이 네트워크 트래픽에서 차지하는 비중을 산출하여, 이를 네트워크규칙으로 생성할 수 있다.

보다 구체적으로는, 비정상행위 시각화 장치가 그 산업제어시스템이 정상적으로 운영되는 상황에서 수집된 정상패킷정보에 포함된 네트워크 패킷의 프로토콜 종류별 비중으로부터 네트워크규칙을 생성할 수 있다. 그리고, 비정상행위 시각화 장치는 새롭게 수집된 네트워크 트래픽 데이터에 대하여 각각의 프로토콜별 비중을 산출하고, 그 산출 결과가 그 생성된 네트워크규칙을 충족하는지 판단할 수 있다.

이때, 그 생성된 네트워크규칙은 각각의 프로토콜별 비중뿐만 아니라, 비중의 오차범위를 포함할 수 있다. 이를 통해, 비정상행위 시각화 장치는 특정한 프로토콜의 비중이 비정상적으로 높아진 경우를 대비한 네트워크규칙을 가질 수 있다.

단계 S120에서는, 비정상행위 시각화 장치가, 그 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 그 복수의 네트워크규칙에 기초하여, 그 네트워크 상에서 비정상행위를 감지한다.

이때, 복수의 제1 네트워크 패킷은 그 네트워크에서 송수신된 패킷을 캡쳐한 데이터일 수 있다. 또한, 실시간으로 그 네트워크에서 송수신되는 패킷을 의미할 수 있다.

즉, 비정상행위 시각화 장치는 복수의 제1 네트워크 패킷이 그 복수의 네트워크규칙을 충족하는지 판단하여, 그 네트워크 상에서 비정상행위가 발생된 것을 감지할 수 있다.

보다 구체적으로는, 비정상행위 시각화 장치는 복수의 제1 네트워크 패킷이 그 복수의 네트워크규칙을 모두 충족하면 비정상행위가 발생되지 않은 것으로 판단할 수 있고, 그 복수의 네트워크규칙 중에서 하나라도 충족하지 못하면 비정상행위가 발생한 것으로 판단하여 비정상행위를 감지할 수 있다.

마지막으로 단계 S130에서는, 비정상행위 시각화 장치가, 비정상행위가 감지되면, 그 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화한다.

즉, 비정상행위 시각화 장치는 비정상행위가 감지되는 경우, 그 비정상행위에 관한 정보를 포함하는 비정상정보를 시각화하여, 그 네트워크의 관리자 또는 적합한 담당자에게 시각화할 수 있다. 이때, 비정상정보는 어떤 네트워크규칙의 위반인지에 대한 정보와 해당 패킷의 정보(시간, 패킷ID, IP주소, 기능 등)를 포함할 수 있다.

이때, 비정상정보의 시각화는 모니터 화면 상으로의 시각화, 프린터를 이용한 지면 상의 시각화, FAX를 이용한 지면 상의 시각화, 스마트폰 또는 웨어러블기기의 화면 상의 시각화 등을 의미할 수 있다.

예컨대, 도 4를 참조하면, 비정상행위가 감지된 시간별로, 단일 패킷에 기초하여 생성된 네트워크규칙인 SPR(상단 그래프), 패킷의 트랜잭션에 기초하여 생성된 네트워크규칙인 TBR(중단 그래프) 및 미리 설정된 적어도 하나의 패킷 종류에 기초하여 생성된 네트워크규칙인 DBR(하단 그래프) 각각에 대하여, 어떤 네트워크규칙의 위반이 감지되었는지를 표시할 수 있다.

이때, 비정상행위 시각화 장치는 각각의 네트워크규칙별로 다른 색상을 이용하여, 위반 횟수를 그래프를 이용하여 나타낼 수 있다. 따라서, 관리자는 어떤 종류의 네트워크규칙의 위반이 발생하였는지를 한눈에 파악할 수 있다.

다른 실시예에서는, 네트워크에서 사용되는 프로토콜은 DNP3(distributed network protocol 3) 프로토콜일 수 있다.

이때, DNP3 프로토콜은 1992-1994년 캐나다 Westronic사에 의해 만들어졌으며 특정 환경, 단체, 개인 등을 위해 특화된 수백 개의 프로토콜을 표준화하는 것을 목적으로 하고 있다.

또한, DNP3에는 다양한 서비스 제공을 위해 다수의 서비스를 제공하며, 각 서비스에 따른 프로토콜 규격이 정의되어 있다. 프로토콜에서 사용되는 서비스는 패킷의 FC(Function Code) 필드에 의해 구분되며, function의 종류는 총 36가지로 구성되어 있다. 36개 중 35개의 기능은 크게 Request와 Response 두 가지로 구분지어질 수 있으며, 이외에 Confirmation이 한 개 존재한다. Request 및 Confirmation은 0x80 이하의 영역에만 존재하며, 할당되지 않은 영역은 향후 만들어질 수 있는 Request 메시지를 위해 비워져 있다. Response는 나머지 영역(0x80~0xFF)에 할당되어 있으며 Request와 마찬가지로 할당되지 않은 영역은 예약되어있다.

또 다른 실시예에서는, 복수의 네트워크규칙은 그 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성될 수 있다.

이때, 네트워크 트래픽은 시간, 패킷ID, IP주소 및 기능 등과 같은 기본적인 패킷의 내용을 포함하고 있어서, 도 7에서와 같이, 비정상행위 시각화 장치가 각 서비스별로 추가적인 분석을 수행할 때 그 내용을 이용할 수 있다.

시간은 사용된 서비스가 비정상적인 상황에서 발생한 것인지, 시스템의 타 로그 기록들과 비교하여 파악하기 위해 필요할 수 있다.

패킷ID는 공격이 의심되어 해당 패킷에 대해 정밀분석을 수행하고자 할 경우 시간 정보를 이용하여 패킷을 찾을 수도 있으나 동일 시간에 많은 패킷이 도달하는 경우에는 파악하기 힘들다는 문제점을 해소하기 위해 네트워크 트래픽을 캡쳐한 pcap 파일에서 제공되는 PacketID활용할 수 있다.

IP주소는 해당 패킷이 공격이라 판단되거나 의심되는 경우 해당 공격의 시작점을 파악하기 위해 Source IP를 관리자에게 제공해야 하며, 실제 공격이 수행된 경우 공격의 시작점 파악에 용이할 것으로 예상된다. 또한, 해당 패킷이 공격이라고 판단되거나 의심되는 경우 공격 대상을 식별하기 위해 Destination IP를 관리자에게 제공해야 하며, 공격 피해를 받은 대상에 대한 식별에 기여할 것으로 예상된다.

기능은 어떠한 서비스를 사용하였는지 관리자에게 정보를 제공하여 이 패킷에 대한 추가분석 여부에 대한 판단을 가능하게 하기 위해 이용될 수 있다. 즉, Read와 Response를 제외한 다른 서비스들은 소량의 패킷만이 검출되었는데, 이 경우 일반적인 상황이 아닐 가능성이 존재하고, 잘 사용되지 않는 서비스를 이용한 공격일 가능성을 배제할 수 없기 때문에, 해당 서비스들의 시각화에 초점을 맞출 필요가 있다. 특히, 패킷 분석 결과 발견한 Write 함수의 경우 네트워크 장치에 명령을 내릴 때 사용되기도 하는 함수다. 마지막으로, 패킷 분석 결과 발견된 Unknown Function의 경우 표준에서 정의되지 않은 서비스로 비정상적인 패킷이라는 것이 쉽게 확인되므로 패킷의 일부가 유실되어 잘못 해석된 것이 아닌 경우 해당 패킷은 의도적인 공격이라 간주될 수 있다. 하지만, 단순 Unknown 서비스의 검출 여부를 통해 공격 여부를 판단하기는 어렵기 때문에 추가 분석을 위해 패킷의 주요 정보들을 관리자에게 제공할 필요가 있다.

일반적으로, 동일한 네트워크는 네트워크 장치들의 동작과 측정값을 수집하고 특정 상황에 제어 명령을 내리는 것을 목표로 하고 있기 때문에 네트워크 트래픽이 단조롭다는 특성을 가지고 있다. 주로 교환되는 정보들은 네트워크 장치가 측정한 값, 네트워크 장치의 상태정보 등이기 때문에 해당 네트워크가 정상적으로 동작하고 있는 경우엔 큰 변화를 보이지 않는다.

따라서, 네트워크에는 특정한 종류의 서비스들이 주로 사용될 것으로 예상되며, 이는 패킷 분석 결과를 이용하거나, 네트워크를 모니터링함으로써 서비스 분포에 대한 특성을 알 수 있다. 이러한 특성에 따라 주로 사용되는 서비스가 아닌 다른 서비스가 사용되는 경우, 네트워크 장치가 정상적으로 동작하고 있지 않거나, 비정상적인 공격이 발생하였다고 판단할 수 있으므로, 프로토콜에서 주로 사용되는 서비스(Function)들에 대한 파악을 수행하고, 비정상적인 서비스들에 감지하기 위하여 서비스의 개수, 종류, 비중 및 트래픽량 등에 관한 서비스정보를 이용하는 네트워크규칙이 생성될 수 있다.

또 다른 실시예에서는, 비정상행위 시각화 장치가, 서비스정보에 기초하는 네트워크규칙을 벗어난 비정상행위가 감지되면, 그 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화할 수 있다.

이때, 비정상행위 시각화 장치는, 서비스정보에 기초하는 네트워크규칙을 벗어난 비정상행위가 감지되면 그 비정상행위에 대응되는 서비스의 트래픽정보를 시각화하고, 서비스정보에 기초하지 않는 네트워크규칙을 벗어난 비정상행위가 감지되면 비정상정보를 시각화할 수 있다.

예컨대, 도 5를 참조하면, 비정상행위 시각화 장치는 트래픽 뷰를 통해 트래픽정보를 시각화할 수 있다.

보다 구체적으로, 도 5의 트래픽 스트림(상단 그래프)은 Stacked Area Chart 형식을 채용하였으며 3 가지의 레이아웃을 통해 전체 트래픽 흐름 정보를 사용자에게 효과적으로 전달할 수 있다.

또한, 도 5의 트래픽 디테일(하단 그래프)은 Multi-Bar Chart 형식을 채용하여 각각의 서비스별로 선택하여 나타내도록 변경할 수 있다.

한편, 도 3을 참조하면, 비정상행위 시각화 장치는 비정상행위가 감지되지 않은 경우에는, 메인뷰를 이용하여 현재 상태를 시각화할 수 있다.

보다 구체적으로, 도 3의 트래픽 오버뷰(상단 그래프)를 통해 각각의 프로토콜(protocol)별 분포도, 기능(function)별 분포도를 Pie Chart로 나타낼 수 있다. 이때, 프로토콜별 분포도(상단 그래프의 좌측)는 네트워크에 존재할 것으로 예상되는 DNP3 프로토콜 이외에 존재하는 다른 프로토콜을 나타내어, 네트워크상에 존재하지 않을 것으로 예상되는 패킷의 존재 유무와 비율을 시각화할 수 있다. 또한, 기능별 분포도(상단 그래프의 우측)는 DNP3 프로토콜의 서비스들에 대한 비율을 시각화한 것으로 네트워크상에 사용되는 서비스는 반복적으로 일정하게 사용될 것으로 예상되므로, 관리자는 비정상적인 비율을 나타내는 서비스에 대한 정보를 제공할 수 있다.

또한, 도 3의 네트워크규칙 오버뷰(하단 그래프)는 정상행위를 위반한 트래픽을 나타냄으로써, 해당 패킷이 나타난 원인을 파악하고 공격 여부를 판단하여 관리자가 전체 시스템의 보안을 강화할 수 있다.

한편, 비정상행위 시각화 장치는 다음의 내용을 기반으로 DNP3 프로토콜의 서비스와 관련한 시각화를 수행할 수 있다.

비정상행위 시각화 장치는 DNP3 프로토콜의 서비스 비중을 Pie Chart 형태로 나타내어 전체 대비 해당 서비스의 비중이 얼마나 되는지를 한눈에 확인 가능하도록 나타낼 수 있다. Pie Chart에서 아주 소규모로 나타나 그 비율을 그래프 안에 기입하기 어려운 경우를 생각하여, 전체적인 흐름에 대해서만 사용자가 판단할 수 있도록 할 수 있다. 또한, 세부적인 정보를 원하는 경우 각각의 서비스별로 나타나는 그래프를 참고할 수 있도록 바로 연결시킬 수 있다.

또한, 비정상행위 시각화 장치는 서비스의 종류에 대해 Pie Chart를 이용하여 나타냄으로써, 각각의 서비스 종류의 비중을 나타낼 수 있다.

또한, 비정상행위 시각화 장치는 시간에 따른 트래픽 변화량을 패킷이 시간에 따라 변화함을 보이기 위해 x축을 시간으로 설정하고 그 양의 변화를 보여주기 위해 y축을 패킷수를 나타내는 막대그래프 형태로 표현할 수 있다. 좌측에서 우측으로 시간의 흐름을 나타내는 것은 일반적인 형태이며, 여기에 추가로 패킷의 양을 표현하기 위해 막대 그래프 또는 꺾은선 그래프가 사용될 수 있다.

또한, 비정상행위 시각화 장치는 급격히 증감하는 특정 서비스 트래픽 변화량을 막대그래프로 표현할 수 있다. 하지만, 이 경우는 서비스별로 표현하는 것이 주목적이기 때문에 각 서비스별로 해당되는 그래프를 하나씩 나타낼 수 있다.

마지막으로, 도 7을 참조하면, 비정상행위 시각화 장치는 상세 패킷의 정보를 시각화할 수 있다. 즉, 막대 그래프 형태로 나타낼 경우 한 개의 막대에 해당하는 패킷들에 대한 추가 정보를 제공함으로써, 공격으로 의심될 경우 패킷의 상세한 정보를 더 시각화할 수 있다. 따라서, 제공해야 할 내용들은 총 5가지(time, 패킷ID, IP주소, 기능)로 표 형식을 활용하여 시각화할 수 있다.

이와 같이, 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 방법은 다양한 기준에 따라 생성된 규칙을 이용하여 네트워크 트래픽에서 비정상행위를 감지하고, 그 감지 결과를 관리자에게 시각화하여 표출할 수 있는 효과가 있다.

도 2는 본 발명의 일 실시예에 따른 네트워크의 비정상행위 시각화 장치를 설명하기 위하여 도시한 도면이다.

도 2를 참조하면, 비정상행위 시각화 장치(200)는 생성부(210), 감지부(220) 및 시각화부(230)를 포함할 수 있다.

생성부(210)는 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성한다.

다른 실시예에서는, 복수의 네트워크규칙은 단일 패킷, 패킷의 트랜잭션 및 미리 설정된 적어도 하나의 패킷 종류 중 적어도 하나에 기초하여 생성될 수 있다.

또 다른 실시예에서는, 생성부(210)는 그 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 복수의 네트워크규칙을 생성할 수 있다.

또 다른 실시예에서는, 복수의 네트워크규칙은 네트워크 트래픽에 기초한 규칙을 포함할 수 있다.

감지부(220)는 그 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 그 복수의 네트워크규칙에 기초하여, 그 네트워크 상에서 비정상행위를 감지한다.

시각화부(230)는 비정상행위가 감지되면, 그 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화한다.

다른 실시예에서는, 그 네트워크에서 사용되는 프로토콜은 DNP3 프로토콜일 수 있다.

또 다른 실시예에서는, 복수의 네트워크규칙은 그 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성될 수 있다.

또 다른 실시예에서는, 시각화부(230)는 그 서비스정보에 기초하는 네트워크규칙을 벗어난 비정상행위가 감지되면, 그 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화할 수 있다.

한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.

상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 를 포함한다.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (14)

1. 복수의 네트워크 장치로 구성되는 네트워크 상에서 소정의 기준을 벗어난 비정상행위를 감지하여 시각화하는 방법에 있어서,
   생성부가, 상기 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 상기 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성하는 단계;
   감지부가, 상기 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 상기 복수의 네트워크규칙에 기초하여, 상기 네트워크 상에서 상기 비정상행위를 감지하는 단계; 및
   시각화부가, 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화하는 단계를 포함하고,
   상기 네트워크에서 사용되는 프로토콜은 DNP3(distributed network protocol 3) 프로토콜이고,
   상기 복수의 네트워크규칙은 상기 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성되고,
   상기 비정상정보를 시각화하는 단계는 상기 서비스정보에 기초하는 네트워크규칙을 벗어난 상기 비정상행위가 감지 되면, 상기 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화하고,
   상기 트래픽정보를 시각화하는 것은 막대 그래프 또는 꺽은선 그래프로 표현하고, 상기 막대 그래프 또는 꺽은선 그래프는 상기 패킷에 관한 정보를 포함하고,
   상기 복수의 네트워크 규칙은 서로 연관이 있는 두 개의 패킷을 비교하여 정상행위 여부를 판단하는 패킷의 트랜잭션을 포함하고,
   상기 비정상행위인 경우 두 상호 관계에 놓인 패킷을 모두 살펴보고 어느쪽이 잘못되었는지 파악하고,
   상기 복수의 네트워크규칙을 생성하는 단계는
   상기 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 생성하고,
   상기 복수의 네트워크규칙은
   상기 네트워크에서 발생하는 네트워크 트래픽에 기초한 규칙을 포함하는 것을 특징으로 하는 네트워크의 비정상행위 시각화 방법.
2. 삭제
3. 삭제
4. 삭제
5. 삭제
6. 삭제
7. 삭제
8. 복수의 네트워크 장치로 구성되는 네트워크 상에서 소정의 기준을 벗어난 비정상행위를 감지하여 시각화하는 장치에 있어서,
   상기 네트워크에서 사용되는 프로토콜의 정보인 프로토콜정보를 분석하여, 상기 비정상행위를 감지하기 위한 규칙인 복수의 네트워크규칙을 생성하는 생성부;
   상기 네트워크에서 송수신된 복수의 제1 네트워크 패킷 및 상기 복수의 네트워크규칙에 기초하여, 상기 네트워크 상에서 상기 비정상행위를 감지하는 감지부; 및
   상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 네트워크규칙 및 패킷 중 적어도 하나에 관한 정보인 비정상정보를 시각화하는 시각화부;
   를 포함하고, 상기 네트워크에서 사용되는 프로토콜은 DNP3 프로토콜이고, 상기 복수의 네트워크규칙은 상기 네트워크에서 수행되는 서비스의 개수, 종류, 비중 및 트래픽량 중 적어도 하나에 관한 정보인 서비스정보에 기초하여 생성되고, 상기 시각화부는 상기 서비스정보에 기초하는 네트워크규칙을 벗어난 상기 비정상행위가 감지되면, 상기 비정상행위에 대응되는 서비스의 트래픽량 및 트래픽량의 변화 중 적어도 하나에 대한 정보인 트래픽정보를 시각화하고,
   상기 트래픽정보를 시각화하는 것은 막대 그래프 또는 꺽은선 그래프로 표현하고, 상기 막대 그래프 또는 꺽은선 그래프는 상기 패킷에 관한 정보를 포함하고,
   상기 복수의 네트워크 규칙은 서로 연관이 있는 두 개의 패킷을 비교하여 정상행위 여부를 판단하는 패킷의 트랜잭션을 포함하고,
   상기 비정상행위인 경우 두 상호 관계에 놓인 패킷을 모두 살펴보고 어느쪽이 잘못되었는지 파악하고,
   상기 생성부는
   상기 기준을 충족하는 정상행위에 해당하는 복수의 제2 네트워크 패킷으로 구성된 정상패킷정보를 더 분석하여, 생성하고,
   상기 복수의 네트워크규칙은
   네트워크 트래픽에 기초한 규칙을 포함하는 것을 특징으로 하는 네트워크의 비정상행위 시각화 장치.
9. 삭제
10. 삭제
11. 삭제
12. 삭제
13. 삭제
14. 삭제

Images