KR102030837B1 - 침입 탐지 장치 및 방법 - Google Patents

침입 탐지 장치 및 방법 Download PDF

Info

Publication number
KR102030837B1
KR102030837B1 KR1020130116786A KR20130116786A KR102030837B1 KR 102030837 B1 KR102030837 B1 KR 102030837B1 KR 1020130116786 A KR1020130116786 A KR 1020130116786A KR 20130116786 A KR20130116786 A KR 20130116786A KR 102030837 B1 KR102030837 B1 KR 102030837B1
Authority
KR
South Korea
Prior art keywords
packet
normal behavior
unit
field
order
Prior art date
Application number
KR1020130116786A
Other languages
English (en)
Other versions
KR20150037285A (ko
Inventor
임용훈
주성호
권유진
최문석
Original Assignee
한국전력공사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전력공사 filed Critical 한국전력공사
Priority to KR1020130116786A priority Critical patent/KR102030837B1/ko
Publication of KR20150037285A publication Critical patent/KR20150037285A/ko
Application granted granted Critical
Publication of KR102030837B1 publication Critical patent/KR102030837B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

IEC 61850 프로토콜 기반 디지털 변전소에서 정상 통신 트래픽 학습을 통해사이버 공격 및 오동작으로 인한 다양한 비정상 패턴을 탐지하는 침입 탐지 장치 및 방법이 개시된다. 본 발명에 따른 침입 탐지 장치는 정상 상태의 네트워크에서 송수신되는 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부 및 상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함한다.

Description

침입 탐지 장치 및 방법{APPARATUS AND METHOD FOR INTRUSION DETECTION}
본 발명은 침입 탐지 장치 및 방법에 관한 것이다. 특히, 정상 행위 패턴을학습함으로써 정상 행위 패턴을 생성함으로써 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 침입 탐지 장치 및 방법에 관한 것이다.
스마트 그리드(smartgrid)는 발전, 송전, 송전, 판매의 단계로 이루어지던 기존의 단방향 전력망에 정보기술을 접목하여 전력 공급자와 소비자가 양 방향으로 실시간 정보를 교환함으로써 에너지 효율을 최적화하는 지능형 전력망이다.
디지털 변전소는 스마트 그리드 핵심 운영 요소 중 하나로 표준화된 통신 프로토콜(IEC 61850)을 사용함으로써, TCP/IP 기반 통신을 이용한 광범위한 정보 교환이 가능해졌다. 하지만 정보 시스템이 과거 폐쇄적 구조에서 연결 지점의 증가 및 상용 S/W 사용, 공개된 통신 프로토콜 사용 등으로 인해 일부 개방된 구조로 변화하게 되었고, 이에 따라 사이버 공격에 대한 위협이 증가하게 되었다. 전력망은 국가의 모든 산업시설 운용의 근간이 되기 때문에 사이버 공격에 적절히 대응하지 못할 경우 심각한 경제적 손실과 더불어 인적 피해까지 발생할 것으로 예상된다. 지난 2010년, 이란 나탄즈(Natanz) 원자력발전소를 대상으로 전파된 스턱스넷(Stuxnet) 악성코드는 전력망을 비롯한 산업기반시설에 대한 사이버 공격이 현실화 될 수 있음을 시사하고 있다.
특히, 전력망과 같은 주요 국가 기반 시설들은향후 사이버전(Cyber War)이 발발할 경우 제 1 타겟이 될 수 있기 때문에 이러한 위협에 대비한 대응 방안이 절실하다.
일반적인 IT 환경에서의 보안 솔루션에는 Anti-Virus Program, 방화벽(Fire Wall), 침입 탐지 시스템(Intrusion Detection System, IDS) 등이 존재한다. 그러나 IEC 61850 기반 디지털변전소에서 종래의 보안 기술들을 그대로 적용하기에는 많은 어려움이 따른다.
일례로 종래의 기술로는 디지털변전소에서 사용되는 통신 트래픽에 대한 검사가 불가능하며, 트래픽 허용 용량의 차이를 고려하지 않은 임계값 사용 등으로 인해 서비스거부(Denial of Service) 공격 종류를 적절히 탐지할 수 없게 된다. 또한 기존 침입 탐지 관련 보안 솔루션들은 대체로 공격 패킷에 대한 시그니처 정보가 있는 블랙 리스트 DB를 참조하여 공격을 탐지하고 있다. 하지만 이러한 방법의 경우 알려지지 않은 취약점을 이용한 제로 데이(Zero-day) 공격을 탐지할 수 없으며, 새로운 공격 패턴이 발생할 때마다 DB를 업데이트해줘야 하는 오버헤드가 존재하게 된다.
전력망과 같이 가용성 (Availability)이 중시되는 환경에서는 잦은 DB 업데이트로 인한 서비스 지연 문제는 사소하지 않다. 무엇보다 종래의 기술은 의도적 공격에 대한 탐지만을 목적으로 하기 때문에 관리자의 실수, 통신선로와 같은 장비 낙후 등으로 인한 오동작에 대해 고려하지 못하였다.
더욱이 종래의 침입탐지 시스템으로는 IEC 61850 표준의 대표적 프로토콜인MMS(Manufacturing Message Specification), GOOSE(Generic Object Oriented Substation Events)에 대한 이상 징후 탐지가 불가능하다. 관련 기술로는 한국 공개 특허 제2013-0081140호가 존재한다.
본 발명의 목적은, IEC 61850에 정의된 표준화된 프로토콜을 사용하여 실시간수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하기 위하여, 정상 행위 패턴을 생성하는 것을 가능케 하는 것이다.
또한, 본 발명의 목적은, 정상 행위 패턴을 생성함에 있어서, 단일 패킷 전처리, 순서 패킷 전처리, 플로우 패킷 전처리에 대한 3-Phase 전처리를 수행하는 것을 가능케 하는 것이다.
상기한 목적을 달성하기 위한 본 발명에 따른 침입 탐지 장치는 정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부; 및 상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함하고, 상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되, 상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷일 수 있다.
이 때, 상기 정상 행위 패턴화부는, 상기 제1 통신 패킷을 수집하는 제 1 패킷 수집부; 상기 제 1 패킷 수집부에 의하여 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리부; 상기 제 1 전처리부에 의하여 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화부; 및 상기 정상 행위 그룹화부에 의하여 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습부를 포함할 수 있다.
이 때, 상기 제 1 전처리부는, 하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택부, 상기 단일 필드 선택부에 의하여 선택된 단일 필드를 정규화하는 단일 정규화부 및 상기 단일 정규화부에 의하여 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환부를 포함하는 단일 패킷 전처리부를 포함할 수 있다.
이 때, 상기 제 1 전처리부는, 두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택부, 상기 순서 필드 선택부에 의하여 선택된 순서 필드를 정규화하는 순서 정규화부, 상기 순서 정규화부에 의하여 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합부 및 상기 순서 조합부에 의하여 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환부를 포함하는 순서 패킷 전처리부를 포함할 수 있다.
이 때, 상기 제 1 전처리부는, 두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출부, 상기 전송량 추출부에서 추출된 패킷의 필드를 정규화하는 플로우 정규화부 및 상기 플로우 정규화부에 의하여 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환부를 포함하는 플로우 패킷 전처리부를 포함할 수 있다.
이 때, 상기 순서 패킷 전처리부는, 상기 순서 필드 선택부에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택할 수 있다.
이 때, 상기 순서 패킷 전처리부는, IP 및 ID 값을 가지는 연속적인 패킷들을 윈도우 사이즈(Window size)에 따라 하나의 인스턴스(Instance)로 구성할 수 있다.
이 때, 상기 플로우 패킷 전처리부는, MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택할 수 있다.
이 때, 상기 플로우 패킷 전처리부는, GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택할 수 있다.
이 때, 상기 플로우 패킷 전처리부는,두 노드 간 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하여 하나의 인스턴스(Instance)로 구성할 수 있다.
이 때, 상기 이상 징후 탐지부는, 상기 제2 통신 패킷을 수집하는 제 2 패킷 수집부; 상기 제 2 패킷 수집부에 의하여 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리부; 및 상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지부를 포함하는 것을 특징으로 한다.
이 때, 상기 비정상 행위 탐지부에 의하여 이상 징후가 탐지되는 경우, 경고 로그를 발생하는 경고 로그 발생부를 더 포함할 수 있다.
또한, 상기한 목적을 달성하기 위한 본 발명에 따른 침입 탐지 방법은, 정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화 단계; 및 상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지 단계를 포함하고, 상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되, 상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷일 수 있다.
이 때, 상기 정상 행위 패턴화 단계는, 상기 제1 통신 패킷을 수집하는 제 1 패킷 수집 단계; 상기 제 1 패킷 수집 단계에서 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리 단계; 상기 제 1 전처리 단계에서 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화 단계; 및 상기 정상 행위 그룹화 단계에서 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습 단계를 포함할 수 있다.
이 때, 상기 제 1 전처리 단계는, 하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택 단계, 상기 단일 필드 선택 단계에서 선택된 단일 필드를 정규화하는 단일 정규화 단계 및 상기 단일 정규화 단계에서 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환 단계를 포함하는 단일 패킷 전처리 단계를 포함할 수 있다.
이 때, 상기 제 1 전처리 단계는, 두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택 단계, 상기 순서 필드 선택 단계에서 선택된 순서 필드를 정규화하는 순서 정규화 단계, 상기 순서 정규화 단계에서 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합 단계 및 상기 순서 조합 단계에서 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환 단계를 포함하는 순서 패킷 전처리 단계를 포함할 수 있다.
이 때, 상기 제 1 전처리 단계는, 두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출 단계, 상기 전송량 추출 단계에서 추출된 패킷의 필드를 정규화하는 플로우 정규화 단계 및 상기 플로우 정규화 단계에서 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환 단계를 포함하는 플로우 패킷 전처리 단계를 포함할 수 있다.
이 때, 상기 순서 패킷 전처리 단계는, 상기 순서 필드 선택 단계에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택할 수 있다.
이 때, 상기 플로우 패킷 전처리 단계는, MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택할 수 있다.
이 때, 상기 플로우 패킷 전처리 단계는, GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택할 수 있다.
이 때, 상기 이상 징후 탐지 단계는, 상기 제2 통신 패킷을 수집하는 제 2 패킷 수집 단계; 상기 제 2 패킷 수집 단계에서 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리 단계; 및 상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지 단계를 포함할 수 있다.
본 발명에 따르면, IEC 61850에 정의된 표준화된 프로토콜을 사용하여 실시간수집되는 네트워크 통신 패킷의 이상 징후를 탐지할 수 있다.
또한, 본 발명에 따르면, 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하기 위하여, 정상 행위 패턴을 생성할 수 있다.
또한, 본 발명에 따르면, 정상 행위 패턴을 생성함에 있어서, 단일 패킷 전처리, 순서 패킷 전처리, 플로우 패킷 전처리에 대한 3-Phase 전처리를 수행할 수 있다.
도 1은 IEC 61850 서비스 모델을 나타낸 도면이다.
도 2는 디지털 변전소의 구성을 나타낸 도면이다.
도 3은 본 발명에 따른 침입 탐지 장치의 블록도이다.
도 4는 본 발명에 따른 침입 탐지 장치의 전처리부를 설명하기 위한 도면이다.
도 5는 Single MMS Packet의 Ethernet header와 IP header를 나타낸 도면이다.
도 6은 Single MMS Packet의 TCP header를 나타낸 도면이다.
도 7은 Single MMS Packet의 TPKT header와 COTP header를 나타낸 도면이다.
도 8은 Single MMS Packet의 MMS Message를 나타낸 도면이다.
도 9는 GOOSE 프로토콜을 나타낸 도면이다.
도 10은 Single GOOSE Packet의 Ethernet header와 GOOSe. header를 나타낸 도면이다.
도 11 및 도 12는 본 발명에 따른 침입 탐지 장치를 통하여 통신 패킷의 이상 징후를 탐지한 결과를 나타낸 도면이다.
도 13은 본 발명에 따른 침입 탐지 방법의 일실시예이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다.
본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다.
따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
도 1은 IEC 61850 서비스 모델을 나타낸 도면이다. 도 2는 디지털 변전소의 구성을 나타낸 도면이다. 도 3은 본 발명에 따른 침입 탐지 장치의 블록도이다.
도 1 내지 도 3을 참조하여 설명하면, 본 발명에 따른 침입 탐지 장치(1000)는, 네트워크 통신 패킷을 선택적으로 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부(100) 및 상기 정상 행위 패턴화부(100)에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부(200)를 포함한다.
보다 구체적으로, 변전소 레벨(Substaion Level) 시스템과 베이 레벨(Bay Level) 시스템에서의 네트워크 통신 패킷을 수집하여 정상 행위 패턴을 생성하는 정상 행위 패턴화부(100)와, 상기 정상 행위 패턴(100)을 바탕으로 이상 징후를 탐지하는 이상 징후 탐지부(200)를 포함한다.
IEC 61850 기반 통신 프로토콜은 MMS(Manufacturing Message Specification)와 GOOSE(Generic Object Oriented Substation Events)가 존재하며, 상기 MMS는 변전소 레벨(Substaion Level) 시스템과 베이 레벨(Bay Level) 시스템 사이의 통신에 대한 프로토콜이며, 상기 GOOSE는 베이 레벨(Bay Level) 시스템 내부에서의 통신에 대한 프로토콜을 의미한다.
도 3을 계속하여 참조하면, 상기 정상 행위 패턴화부(100)는, 제 1 패킷 수집부(110), 제 1 전처리부(120), 정상 행위 그룹화부(130) 및 정상 행위 학습부(140)을 포함하며, 상기 이상 징후 탐지부(200)는, 제 2 패킷 수집부(210), 제 2 전처리부(220), 비정상 행위 탐지부(230) 및 경고 로그부(240)를 포함한다.
상기 정상 행위 패턴화부(100)와 상기 이상 징후 탐지부(200)는 공통적으로 패킷 수집부와 전처리부를 갖게 되는데 각각 기본적인 기능은 같지만 입력으로 들어오는 데이터의 종류가 다른 것을 특징으로 한다.
구체적으로, 상기 정상 행위 패턴화부(100)의 경우에는 정상 행위 패턴을 학습하기 위한 학습 데이터(Training Data)로 사용하기 위한 것이고, 상기 이상 징후 탐지부(200)의 경우에는 실제 패킷 데이터의 이상 행위를 탐지해야 하는 대상 패킷에 대하여 실시간으로 이상 여부를 판단하는 목표(Target) 패킷을 수집한다.
상기 제 1 패킷 수집부(110)는 디지털 변전소 네트워크로부터 패킷을 수집하는 기능을 수행한다.
상기 제 1 전처리부(120)는, 상기 제 1 패킷 수집부(110)에 의하여 수집된 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 기능을 수행한다.
도 4는 본 발명에 따른 침입 탐지 장치의 전처리부를 설명하기 위한 도면이다.
도 4를 참조하여 설명하면, 상기 제 1 전처리부(120)는, MMS/GOOSE 추출부(121), 단일 패킷 전처리부(122), 순서 패킷 전처리부(123) 및 플로우 패킷 전처리부(124)를 포함한다.
상기 MMS/GOOSE 추출부(121)는, 상기 제 1 패킷 수집부(110)에 의하여 수집된 패킷으로부터 MMS/GOOSE 패킷만을 추출하는 기능을 수행한다.
상기 단일 패킷 전처리부(122)는, 하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택부(122a), 상기 단일 필드 선택부(122a)에 의하여 선택된 단일 필드를 정규화하는 단일 정규화부(122b) 및 상기 단일 정규화부(122b)에 의하여 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환부(122c)를 포함한다.
상기 순서 패킷 전처리부(123)는, 두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택부(123a), 상기 순서 필드 선택부(123a)에 의하여 선택된 순서 필드를 정규화하는 순서 정규화부(123b), 상기 순서 정규화부(123b)에 의하여 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합부(123c) 및 상기 순서 조합부(123c)에 의하여 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환부(123d)를 포함한다.
상기 플로우 패킷 전처리부(124)는, 두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출부(124a), 상기 전송량 추출부(124a)에서 추출된 패킷의 필드를 정규화하는 플로우 정규화부(124b) 및 상기 플로우 정규화부(124b)에 의하여 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환부(124c)를 포함한다.
본 발명에 따른 침입 탐지 장치(1000)는 상기 단일 패킷 전처리부(122), 순서 패킷 전처리부(123) 및 플로우 패킷 전처리부(124)를 선택적으로 포함할 수 있으며, 모두 포함하여 3-Phase 전처리를 수행할 수도 있다.
이 때, 상기 단일 패킷 전처리부(122)를 채용하게 되면, 단일 패킷을 전처리하는 것이므로 Packet-by-Packet으로 처리되기 때문에, 단순하며 비교적 처리 속도가 빠르고, 단일 패킷 전처리를 통해 만들어진 정상 행위 패턴은 단일 패킷으로 수행될 수 있는 APT 공격에서도 효과적으로 대처할 수 있다.
또한, GOOSE, MMS 헤더 및 페이로드 일부분까지 검사하기 때문에 IEC 61850 디지털 변전소 환경에서의 정밀한 이상 징후 탐지를 수행할 수 있는 장점이 있다.
또한, 상기 순서 패킷 전처리부(123)를 채용하게 되면, 송/수신 노드가 동일한 연속적인 패킷들을 일정 단위로 묶어서 학습 데이터를 만들기 때문에 이를 통해 만들어진 정상 행위 패턴에서는 단일 패킷 전처리를 통하여 만들어진 정상 행위 패턴에서 발견하지 못한 이상 징후를 탐지할 수 있다.
이 때, 상기 순서 패킷 전처리부(123)는 상기 순서 필드 선택부(123a)에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택할 수 있다.
또한, IP 및 ID 값을 가지는 연속적인 패킷들을 Window size(2~10)에 따라 하나의 Instance로 구성할 수 있다. 이처럼 상기 순서 패킷 전처리부(123)에 의하면, 보통 연속적인 패킷들이 연관성을 가지는 경우가 많으므로 의미 있는 학습 결과를 도출할 수 있게 된다.
일반적으로, 이더넷 환경에서는 패킷 프레임의 최대 크기가 1518byte로 제한 되기 때문에 이보다 큰 메시지는 1518byte 단위로 쪼개져서 전달된다. 따라서 순서 패킷들을 묶어서 데이터 셋을 만들 경우 단일 패킷 검사에서 발견하지 못한 메시지의 이상 여부를 발견할 수 있는 장점이 있다.
또한, 상기 플로우 패킷 전처리부(124)를 채용하게 되면, 단위 시간 당 전송 패킷 수, 단위 시간당 바이트 수를 계산하여 정상 행위 패턴을 만들기 때문에, 단일 패킷 전처리 또는 순서 패킷 전처리를 통하여 만들어진 정상 행위 패턴에서 탐지하지 못하는 플루딩(Flooding) 공격 종류를 탐지하기에 적합한 장점이 있다.
향 후, 상기 플로우 패킷 전처리부(124)를 통하여 생성되는 정상 행위 패턴에서는 단위 시간당 전달되는 제어 명령 수를 검사하는 기능이 추가될 수 있으며, 이를 통해 제어 명령 전달 횟수를 이용한 공격을 탐지할 수 있는 장점이 있다.
상기 플로우 패킷 전처리부(124)는, MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택할 수 있으며, GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택할 수 있다.
또한, 상기 플로우 패킷 전처리부(124)는, 두 노드 간 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하여 하나의 Instance로 구성하는 것에 특징이 있다.
상기 단일 패킷 전처리부(122), 순서 패킷 전처리부(123) 및 플로우 패킷 전처리부(124)에 존재하는 각각의 정규화부(122b, 123b, 124b) 및 포맷 변환부(122c, 123d, 124c)는 공통적인 기능을 수행하는데 상기 정규화부(122b, 123b, 124b)의 기능에 대하여 구체적으로 설명하도록 한다.
상기 정규화부(122b, 123b, 124b)는, 선택된 필드 각각에 대하여 정규화하는 기능을 수행하는데, 이 때, 각 필드 값을 정규화하기 위하여 각 필드에 대하여 표준과 표준 편차를 구한 후 일반적인 정규화 공식을 통하여 각각의 필드 값을 정규화 할 수 있다.
이 하, 도 5 내지 도 10을 참조하여 상기 단일 패킷 전처리부(122), 순서 패킷 전처리부(123) 및 플로우 패킷 전처리부(124)에서 사용하는 IEC 61850 필드 들에 대한 본 발명의 바람직한 실시예를 설명하도록 한다.
도 5는 Single MMS Packet의 Ethernet header와 IP header를 나타낸 도면이다. 도 6은 Single MMS Packet의 TCP header를 나타낸 도면이다. 도 7은 Single MMS Packet의 TPKT header와 COTP header를 나타낸 도면이다. 도 8은 Single MMS Packet의 MMS Message를 나타낸 도면이다. 도 9는 GOOSE 프로토콜을 나타낸 도면이다. 도 10은 Single GOOSE Packet의 Ethernet header와 GOOSE header를 나타낸 도면이다.
도 5를 참조하여 설명하면, Single MMS Packet의 Ethernet header에서 "MAC Address Destination", "MAC Address Source"를 선택함을 확인할 수 있고, IP header에서 "Total Length", "Identification", "IP Flags", "Time To Love(TTL)", "Source IP Address", "Destination IP Address"를 선택함을 확인할 수 있다.
도 6을 참조하여 설명하면, Single MMS Packet의 TCP header에서, "Source Port", "Destination Port", "Sequence Number", "Acknowledgement Number", "TCP Flags", "Window"를 선택함을 확인할 수 있다.
도 7을 참조하여 설명하면, Single MMS Packet의 TPKT header에서, "Length"를 선택하고, COTP header에서 "EOT"를 선택함을 확인할 수 있다.
도 8을 참조하여 설명하면, Single MMS Packet의 MMS Message를 확인할 수 있는데, 이 때, COTP 헤더 상위 스택(페이로드)에서의 MMS Message는 종류별로 사용하는 정보의 종류가 매우 상이하기 때문에 메시지 타입 종류에 상관 없이 1byte씩 잘라서 20개의 특징(attribute)으로 추출하는 것을 특징으로 한다.
도 9를 참조하여 설명하면, GOOSE 프로토콜을 확인할 수 있다. 구체적으로, "APPID", "LENGTH", "Reserved1", "Reserved2"은 GOOSE 헤더이며, "ECI" "Ether type", "Payload"는 Virtual Lan 헤더이며, "Destination Mac address", "Source Mac address", "TPID", "Payload", "Frame Check Sequence"는 Ethernet 헤더에 포함된다.
도 10을 참조하여 설명하면, Single GOOSE Packet의 Ethernet header에서, "MAC Address Destination", "Mac Address Source"를 선택하고, GOOSE header에서 "APPID", "time", "LENGTH", "stNum", "sqNum", "gocbRef", "timeAllowedtoLive", "confRev", "datset", "goID", "numDatSetEntries"를 선택한다.
상기 설명한 바와 같이 순서 패킷 전처리부(123)는 상기 순서 필드 선택부(123a)에서 순서 필드를 선택함에 있어서, 두 번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택할 수 있다.
구체적으로, 첫 번째 패킷에서는 모든 필드들을 선택하고, 두 번째 이후 패킷부터는 MAC/IP 주소와 같이 중복되는 필드들을 제외하고 선택한다.
예를 들어, 두 번째 이후 패킷부터는 MAC/IP 주소와 같이 중복되는 필드들을 제외하고 IP header에서 "Total length", "IP Flags"를 선택하고, TCP header에서 "Sequence Number", "Acknowledgement Number", "TCP Flags"를 선택하며, TPKT header에서, "Length"를 선택하고, COTP header에서 "EOT", "TPDU Number"를 선택하고, MMS Message는 1 바이트씩 20개 특성을 선택할 수 있다.
또한, 상기 플로우 패킷 전처리부(124)에서 MMS 패킷의 경우에는 Destination IP 주소, Source IP 주소, 두 노드 간 시간 당 전송 패킷 수, 두 노드 간 시간 당 전송 바이트 크기와 같은 필드를 갖게 되며, 상기 플로우 패킷 전처리부(124)에서 GOOSE 패킷의 경우에는, Destination MAC 주소, Source MAC 주소, 두 노드 간 시간 당 전송 프레임 수, 두 노드 간 시간 당 전송 바이트 크기와 같은 필드를 갖게 된다.
상기 정상 행위 그룹화부(130)는, 상기 제 1 전처리부(110)에 의하여 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 기능을 수행한다.
구체적으로, EM 알고리즘은 EM 알고리즘은 확률 기반의 그룹화 알고리즘으로 그룹 개수를 파라미터로 하여 최적의 그룹을 형성한다. 본 발명에서는 그룹 개수에 대한 파라미터를 2~20개 사이로 제한하고, 이 사이에서 log likelihood 값이 가장 높은 그룹 개수를 선택한다.
EM 알고리즘을 통해 도출된 그룹화 정보를 통해 소규모 그룹을 아웃라이어(outlier)로 간주하고 이를 제외한 그룹들을 정상 그룹으로 선택한다.
상기 정상 행위 학습부(140)는, 상기 정상 행위 그룹화부(130)에 의하여 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 기능을 수행한다.
구체적으로, 상기 정상 행위 학습부(140)에서는 상기 정상 행위 그룹화부(130)에서 도출되는 주요 정상 그룹 데이터로부터 one-class SVM(Support Vector Machine) 알고리즘을 적용하여 정상 행위을 도출한다.
SVM 알고리즘은 데이터 마이닝을 이용한 분류(classification) 방법 중 성능이 매우 우수하다고 알려진 방법이다. One-class SVM 알고리즘은 커널 함수를 사용해 맵핑된 feature space에서 데이터들을 하나의 클래스로 보고, 원점(origin)과의 거리가 최대가 되는 hiper-plane을 찾는 문제로 귀결된다.
본 발명에서는 sigmoid 커널을 이용해 one-class SVM 알고리즘을 수행하였고, 이를 통해 GOOSE, MMS 패킷 각각에 대한 최종적인 정상 행위 패턴을 도출한다.
상기 이상 징후 탐지부(200)는, 상기 정상 행위 패턴화부(100)에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 기능을 수행한다.
이 때, 상기 이상 징후 탐지부(200)는, 실시간 수집되는 네트워크 통신 패킷을 수집하는 제 2 패킷 수집부(210), 상기 제 2 패킷 수집부(210)에 의하여 수집된 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리부(220) 및 상기 정상 행위 패턴화부(100)에 의하여 생성된 정상 행위 패턴을 기반으로 상기 수집되고, 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지부(230)를 포함한다.
여기서 상기 제 2 패킷 수집부(210)는 상기 정상 행위 패턴화부(100)의 제 1 패킷 수집부(110)와 기능이 동일하며, 상기 제 2 전처리부(220)는 상기 정상 행위 패턴화부(100)의 제 1 전처리부(120)와 기능이 동일하다.
다만, 입력으로 들어오는 데이터의 종류가 다르다. 구체적으로, 상기 정상 행위 패턴화부(100)의 경우에는 정상 행위 패턴을 학습하기 위한 학습 데이터(Training Data)로 사용하기 위한 것이고, 상기 이상 징후 탐지부(200)의 경우에는 실제 패킷 데이터의 이상 행위를 탐지해야 하는 대상 패킷에 대하여 실시간으로 이상 여부를 판단하는 목표(Target) 패킷을 수집한다.
또한, 상기 이상 징후 탐지부(200)는, 상기 비정상 행위 탐지부(230)에 의하여 이상 징후가 탐지되는 경우, 경고 로그를 발생하는 경고 로그 발생부(240)를 더 포함할 수 있다.
상기 이상 징후 탐지부(200)에 대하여 구체적으로 설명하면, 이상징후 탐지부에서 비정상행위 탐지부(230)는 정상 행위 패턴화부(100)에서 도출된 정상 행위 패턴을 이용해 실시간으로 수집되는 타겟 데이터(Target Data)들에 대해 정상/비정상 여부를 판단하며, 비정상 패킷의 경우 상기 경고 로그 발생부(240)를 통하여 해당 패킷에 대한 정보를 로그로 남기는 역할을 수행한다.
도 11 및 도 12는 본 발명에 따른 침입 탐지 장치를 통하여 통신 패킷의 이상 징후를 탐지한 결과를 나타낸 도면이다.
도 11 및 도 12를 참조하면, 본 발명에서 제안하는 시스템의 실시 예로써 정상 행위 패턴을 이용해 one-class SVM feature space에서의 패킷 데이터를 수치화 한 것이며 0보다 큰 값은 정상 패킷, 0보다 작은 값은 비정상 패킷으로 분류할 수 있다. 정상/비정상 여부에 대한 임계 기준을 재설정하기 위해 정상 행위 학습부(140)에서 정상 행위 패턴 모델을 만들 때 오차범위(error tolerance)에 대한 파라미터를 조정할 수 있다.
이하, 본 발명에 따른 침입 탐지 방법에 대하여 설명하도록 한다. 상기 살펴본 바와 같이 본 발명에 따른 침입 탐지 장치(1000)와 동일한 기술 내용은 생략하도록 한다. 도 13은 본 발명에 따른 침입 탐지 방법의 일실시예이다.
도 13을 참조하여 설명하면, S100 단계에서 제 1 패킷을 수집한 후에, S110 단계에서는 상기 S100 단계에서 수집된 제 1 패킷에서 MMS/GOOSE 패킷만을 추출하여 제 1 전처리를 수행하게 된다. 상기 제 1 전처리는 단일 패킷 전처리, 순서 패킷 전처리, 플로우 패킷 전처리의 3가지 유형이 있으며, 각각 선택적으로 채용할 수도 있고 모두 함께 채용될 수도 있다.
이 후, S120 단계에서는 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하게 된다.
이 후, S130 단계에서는 상기 S120 단계에서 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하게 된다. 즉, 정상 행위 패턴이 생성됨에 따라서, 실시간 수집되는 네트워크 통신 패킷에 대하여 비정상 행위를 탐지할 수 있게 된 것이다.
이 후, S140 단계에서는 실시간 수집되는 네트워크 통신 패킷을 수집하게 된다. 즉, 제 2 패킷을 수집하게 된다. 이 후, S150 단계에서는 상기 S140 단계에서 수집된 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하고, S160 단계에서는 상기 S150 단계에서 전처리된 패킷에 대하여 이상 징후를 탐지하게 된다. 즉 상기 전처리된 패킷을 대상으로 비정상 행위를 탐지하게 되는 것이다.
이 때, 상기 S160 단계에서 비정상 행위가 탐지되는 경우 S170 단계에서는 경고 로그를 발생시키고, 상기 S160 단계에서 비정상 행위가 탐지되지 않는 경우에는 본 발명에 따른 침입 탐지 방법이 종료된다.
이상에서와 같이 본 발명에 따른 침입 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.
1000: 침입 탐지 장치
100: 정상 행위 패턴화부 200: 이상 징후 탐지부
110: 제 1 패킷 수집부 120: 제 1 전처리부
130: 정상 행위 그룹화부 140: 정상 행위 학습부
141: 정상 행위 패턴 210: 제 2 패킷 수집부
220: 제 2 전처리부 230: 비정상 행위 탐지부
240: 경고 로그부

Claims (21)

  1. 정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부; 및
    상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함하고,
    상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,
    상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 장치.
  2. 청구항 1에 있어서,
    상기 정상 행위 패턴화부는,
    상기 제1 통신 패킷을 수집하는 제 1 패킷 수집부;
    상기 제 1 패킷 수집부에 의하여 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리부;
    상기 제 1 전처리부에 의하여 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화부; 및
    상기 정상 행위 그룹화부에 의하여 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습부를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  3. 청구항 2에 있어서,
    상기 제 1 전처리부는,
    하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택부;
    상기 단일 필드 선택부에 의하여 선택된 단일 필드를 정규화하는 단일 정규화부; 및
    상기 단일 정규화부에 의하여 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환부를 포함하는 단일 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  4. 청구항 2에 있어서,
    상기 제 1 전처리부는,
    두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택부;
    상기 순서 필드 선택부에 의하여 선택된 순서 필드를 정규화하는 순서 정규화부;
    상기 순서 정규화부에 의하여 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합부; 및
    상기 순서 조합부에 의하여 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환부를 포함하는 순서 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  5. 청구항 2에 있어서,
    상기 제 1 전처리부는,
    두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출부;
    상기 전송량 추출부에서 추출된 패킷의 필드를 정규화하는 플로우 정규화부; 및
    상기 플로우 정규화부에 의하여 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환부를 포함하는 플로우 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  6. 청구항 4에 있어서,
    상기 순서 패킷 전처리부는,
    상기 순서 필드 선택부에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 장치.
  7. 청구항 4에 있어서,
    상기 순서 패킷 전처리부는,
    IP 및 ID 값을 가지는 연속적인 패킷들을 윈도우 사이즈(Window size)에 따라 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치.
  8. 청구항 5에 있어서,
    상기 플로우 패킷 전처리부는,
    MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치.
  9. 청구항 5에 있어서,
    상기 플로우 패킷 전처리부는,
    GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치.
  10. 청구항 5에 있어서,
    상기 플로우 패킷 전처리부는,
    두 노드 간 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하여 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치.
  11. 청구항 1에 있어서,
    상기 이상 징후 탐지부는,
    상기 제2 통신 패킷을 수집하는 제 2 패킷 수집부;
    상기 제 2 패킷 수집부에 의하여 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리부; 및
    상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지부를 포함하는 것을 특징으로 하는 침입 탐지 장치.
  12. 청구항 11에 있어서,
    상기 비정상 행위 탐지부에 의하여 이상 징후가 탐지되는 경우,
    경고 로그를 발생하는 경고 로그 발생부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치.
  13. 정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화 단계; 및
    상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지 단계를 포함하고,
    상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,
    상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 방법.
  14. 청구항 13에 있어서,
    상기 정상 행위 패턴화 단계는,
    상기 제1 통신 패킷을 수집하는 제 1 패킷 수집 단계;
    상기 제 1 패킷 수집 단계에서 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리 단계;
    상기 제 1 전처리 단계에서 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화 단계; 및
    상기 정상 행위 그룹화 단계에서 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  15. 청구항 14에 있어서,
    상기 제 1 전처리 단계는,
    하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택 단계;
    상기 단일 필드 선택 단계에서 선택된 단일 필드를 정규화하는 단일 정규화 단계; 및
    상기 단일 정규화 단계에서 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환 단계를 포함하는 단일 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  16. 청구항 14에 있어서,
    상기 제 1 전처리 단계는,
    두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택 단계;
    상기 순서 필드 선택 단계에서 선택된 순서 필드를 정규화하는 순서 정규화 단계;
    상기 순서 정규화 단계에서 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합 단계; 및
    상기 순서 조합 단계에서 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환 단계를 포함하는 순서 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  17. 청구항 14에 있어서,
    상기 제 1 전처리 단계는,
    두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출 단계;
    상기 전송량 추출 단계에서 추출된 패킷의 필드를 정규화하는 플로우 정규화 단계; 및
    상기 플로우 정규화 단계에서 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환 단계를 포함하는 플로우 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
  18. 청구항 16에 있어서,
    상기 순서 패킷 전처리 단계는,
    상기 순서 필드 선택 단계에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 방법.
  19. 청구항 17에 있어서,
    상기 플로우 패킷 전처리 단계는,
    MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법.
  20. 청구항 17에 있어서,
    상기 플로우 패킷 전처리 단계는,
    GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법.
  21. 청구항 13에 있어서,
    상기 이상 징후 탐지 단계는,
    상기 제2 통신 패킷을 수집하는 제 2 패킷 수집 단계;
    상기 제 2 패킷 수집 단계에서 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리 단계; 및
    상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법.
KR1020130116786A 2013-09-30 2013-09-30 침입 탐지 장치 및 방법 KR102030837B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020130116786A KR102030837B1 (ko) 2013-09-30 2013-09-30 침입 탐지 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130116786A KR102030837B1 (ko) 2013-09-30 2013-09-30 침입 탐지 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20150037285A KR20150037285A (ko) 2015-04-08
KR102030837B1 true KR102030837B1 (ko) 2019-10-10

Family

ID=53033279

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130116786A KR102030837B1 (ko) 2013-09-30 2013-09-30 침입 탐지 장치 및 방법

Country Status (1)

Country Link
KR (1) KR102030837B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102276090B1 (ko) * 2020-11-16 2021-07-12 한국인터넷진흥원 트래픽 데이터 재배열 방법 및 그 장치
KR20220127757A (ko) * 2021-03-11 2022-09-20 주식회사 씨티아이랩 오토프로파일링 기반 네트워크 패킷 이상행위 자동 탐지 장치 및 방법

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104779702B (zh) * 2015-04-23 2017-09-26 国网四川省电力公司电力科学研究院 智能变电站二次设备状态数据告警展示方法
KR101644998B1 (ko) * 2015-12-22 2016-08-02 엑스브레인 주식회사 Convolutional Neural Network를 이용하여 비정상 입력 데이터를 검출하는 방법 및 장치
KR101991127B1 (ko) * 2017-02-02 2019-06-19 아주대학교 산학협력단 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치
CN106953855B (zh) * 2017-03-16 2020-10-20 国网江苏省电力公司淮安供电公司 一种对iec61850数字变电站goose报文的入侵检测的方法
CN106936834B (zh) * 2017-03-16 2020-12-11 国网江苏省电力公司淮安供电公司 一种对iec61850数字变电站smv报文的入侵检测的方法
CN108111482A (zh) * 2017-11-24 2018-06-01 国网天津市电力公司电力科学研究院 一种智能电网工业控制网络安全测试系统和测试方法
KR102281819B1 (ko) * 2019-10-01 2021-07-26 주식회사 씨티아이랩 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템
KR102156891B1 (ko) * 2020-02-25 2020-09-16 주식회사 에프원시큐리티 인공지능 머신러닝 행위 기반 웹 프로토콜 분석을 통한 웹 공격 탐지 및 차단 시스템 및 방법
KR102502648B1 (ko) * 2020-07-27 2023-02-22 가톨릭대학교 산학협력단 Rnn 인코더-디코더를 이용하여 시계열에서의 이상상황을 탐지하는 방법 및 장치
KR102506805B1 (ko) * 2020-10-07 2023-03-07 고려대학교 산학협력단 의사 정상 데이터를 이용한 자가 감독 학습 기반의 차량 이상징후 탐지 장치 및 방법
WO2022075678A2 (ko) * 2020-10-07 2022-04-14 고려대학교 산학협력단 의사 정상 데이터를 이용한 자가 감독 학습 기반의 차량 이상징후 탐지 장치 및 방법
KR102572192B1 (ko) * 2021-03-29 2023-08-29 주식회사 씨티아이랩 오토인코더 앙상블 기반 이상행위 탐지 방법 및 시스템
KR102646586B1 (ko) * 2021-11-16 2024-03-12 타이아(주) 이상패턴 감지 방법
CN115277885B (zh) * 2022-07-27 2024-07-02 北京天融信网络安全技术有限公司 数据检测方法、装置、设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100506889B1 (ko) * 2003-03-31 2005-08-08 엘지엔시스(주) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
KR101060612B1 (ko) * 2009-07-23 2011-08-31 한신대학교 산학협력단 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100745678B1 (ko) * 2005-12-08 2007-08-02 한국전자통신연구원 트래픽 패턴 분석에 의한 망 공격 탐지장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100506889B1 (ko) * 2003-03-31 2005-08-08 엘지엔시스(주) 이중버퍼 구조를 가지는 네트웍 침입탐지 시스템과 그동작방법
KR101060612B1 (ko) * 2009-07-23 2011-08-31 한신대학교 산학협력단 감사자료 기반의 웹공격 이벤트 추출 시스템 및 방법

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102276090B1 (ko) * 2020-11-16 2021-07-12 한국인터넷진흥원 트래픽 데이터 재배열 방법 및 그 장치
US11252568B1 (en) 2020-11-16 2022-02-15 Korea Internet & Security Agency Method and apparatus for rearranging traffic data
KR20220127757A (ko) * 2021-03-11 2022-09-20 주식회사 씨티아이랩 오토프로파일링 기반 네트워크 패킷 이상행위 자동 탐지 장치 및 방법
KR102692625B1 (ko) * 2021-03-11 2024-08-06 주식회사 씨티아이랩 오토프로파일링 기반 네트워크 패킷 이상행위 자동 탐지 장치 및 방법

Also Published As

Publication number Publication date
KR20150037285A (ko) 2015-04-08

Similar Documents

Publication Publication Date Title
KR102030837B1 (ko) 침입 탐지 장치 및 방법
US10681079B2 (en) Method for mitigation of cyber attacks on industrial control systems
Quincozes et al. A survey on intrusion detection and prevention systems in digital substations
US10320619B2 (en) Method and system for discovery and mapping of a network topology
Yang et al. Cybersecurity test-bed for IEC 61850 based smart substations
EP2721801B1 (en) Security measures for the smart grid
US20200244648A1 (en) Semi-active probing framework to gather threat intelligence for encrypted traffic and learn about devices
CN111556083B (zh) 电网信息物理系统网络攻击物理侧与信息侧协同溯源装置
EP1776823A1 (en) Anomaly-based intrusion detection
Dalamagkas et al. A survey on honeypots, honeynets and their applications on smart grid
CN111404914A (zh) 一种特定攻击场景下泛在电力物联网终端安全防护方法
KR102112587B1 (ko) 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법
Pan et al. Anomaly based intrusion detection for building automation and control networks
Shitharth et al. A comparative analysis between two countermeasure techniques to detect DDoS with sniffers in a SCADA network
Jung et al. Anomaly Detection in Smart Grids based on Software Defined Networks.
Singh et al. Hides: Hybrid intrusion detector for energy systems
KR101527353B1 (ko) 스마트그리드 ami 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법
Leal Piedrahita Hierarchical Clustering for Detecting Anomalous Traffic Conditions in Power Substations
Kreimel et al. Neural net-based anomaly detection system in substation networks
Wang et al. Feature selection for precise anomaly detection in substation automation systems
Li et al. Optimization and implementation of industrial control system network intrusion detection by telemetry analysis
CN112261041B (zh) 一种电力终端多级分布式监测与防渗透系统
CN113285937B (zh) 一种基于传统变电站配置文件和iec103协议流量的安全审计方法及系统
Claveria et al. Communication and Information Security Assessment of a Digital Substation
Quincozes et al. Feature extraction for intrusion detection in IEC-61850 communication networks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant