KR102097305B1 - Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments - Google Patents

Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments Download PDF

Info

Publication number
KR102097305B1
KR102097305B1 KR1020190098954A KR20190098954A KR102097305B1 KR 102097305 B1 KR102097305 B1 KR 102097305B1 KR 1020190098954 A KR1020190098954 A KR 1020190098954A KR 20190098954 A KR20190098954 A KR 20190098954A KR 102097305 B1 KR102097305 B1 KR 102097305B1
Authority
KR
South Korea
Prior art keywords
cip
eip
packet
normal
list
Prior art date
Application number
KR1020190098954A
Other languages
Korean (ko)
Inventor
김기현
박혜용
Original Assignee
(주)앤앤에스피
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)앤앤에스피 filed Critical (주)앤앤에스피
Application granted granted Critical
Publication of KR102097305B1 publication Critical patent/KR102097305B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

A smart manufacturing network security monitoring method according to an embodiment of the present disclosure includes: a step in which an EIP-CIP network analysis unit collects a first packet transmitted and received between the operating device and the control device and a second packet transmitted and received between the control device and the field device; a step in which the EIP-CIP network analysis unit performs network abnormality sign analysis based on an EIP-CIP normal network list on each of the collected packets and classifies the EIP-CIP packets based on the operating, control, and field devices; a step in which an EIP-CIP request analysis unit performs abnormality sign analysis based on a first EIP normal request list and a first CIP normal request list on the first EIP-CIP packet transferred from the operating device to the control device and performs abnormality sign analysis based on a second EIP normal request list and a second CIP normal request list on the second EIP-CIP packet transferred from the control device to the operating device; a step in which an EIP-CIP response analysis unit analyzes the abnormality sign with respect to the first EIP-CIP packet based on a first EIP normal response list and a first CIP normal response list and analyzes the abnormality sign with respect to the second EIP-CIP packet based on a second EIP normal response list and a second CIP normal response list; and a step in which an EIP-CIP risk analysis unit analyzes the abnormality signs with respect to the first EIP-CIP packet and the second EIP-CIP packet based on EIP-CIP command characteristics.

Description

산업용 네트워크 EtherNet/IP-CIP 환경에서의 스마트 제조 네트워크 보안 감시 방법 및 시스템{NETWORK SECURITY MONITORING METHOD AND SYSTEM FOR SMART MANUFACTURING ON ETHERNET/IP-CIP INDUSTRIAL NETWORK ENVIRONMENTS}Industrial Network EtherNet / IP-CIP Smart Manufacturing Network Security Monitoring Method and System in EtherNet / IP-CIP Environment

본 개시의 실시 예들은 산업용 네트워크 프로토콜 EtherNet/IP(EIP)와 상위 계층으로 CIP(Common Industrial Protocol)를 사용하는 스마트 제조 네트워크 환경에서 정상 패킷 분석을 통한 스마트 공장 네트워크 보안 감시 시스템 및 그 운영 방법에 관한 것이다.Embodiments of the present disclosure relates to a smart factory network security monitoring system through normal packet analysis and its operating method in a smart manufacturing network environment using the industrial network protocol EtherNet / IP (EIP) and the CIP (Common Industrial Protocol) as an upper layer. will be.

4차 산업혁명이 본격화됨에 따라 스마트 제조 환경이 범용 운영체제나 표준 산업용 프로토콜로 변화하고 있다. 스마트 공장의 제조시스템이 업무망과 연계되면서 사이버 공격에 대한 보안 위협이 높아지고 있다.As the 4th industrial revolution began, the smart manufacturing environment is changing to a general-purpose operating system or a standard industrial protocol. As the manufacturing system of smart factories is linked to the work network, security threats against cyber attacks are increasing.

IT(Information Technology) 시스템에 대한 해킹 공격에 대해서는 많은 분석을 통하여 해킹 시그니처들이 개발되어 있다. 그러나, 제조 시스템과 같은 OT(Operational Technology) 시스템에 대한 해킹 공격에 대해서는 분석이 이루어지지 않아 기존 시그니처 기반 탐지 방법에 한계가 있다.Hacking signatures have been developed through a lot of analysis on hacking attacks on IT (Information Technology) systems. However, there is a limitation in the existing signature-based detection method because analysis is not performed for hacking attacks on OT (Operational Technology) systems such as manufacturing systems.

상기와 같은 문제점을 해결하는 발명기술을 한국공개특허 10-2015-0026345호(이하 선행기술1) 및 한국등록특허 10-1538709호(이하 선행기술2)가 개시하는 발명기술이 개발되었다.Invention technology for solving the above problems was disclosed by Korean Patent Publication No. 10-2015-0026345 (hereinafter referred to as Prior Art 1) and Korean Patent Registration No. 10-1538709 (hereinafter referred to as Prior Art 2).

선행기술1은 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 방법에 관한 것으로 제어 명령의 프로토콜은 전력제어시스템에서 사용하는 DNP3(Distributed Network Protocol) 또는 ICCP(Inter-Control Center Communication Protocol)에 적합하도록 구성되어 있다.Prior art 1 relates to an apparatus and method for generating a white list through network traffic, and the protocol of the control command is configured to be suitable for DNP3 (Distributed Network Protocol) or ICCP (Inter-Control Center Communication Protocol) used in the power control system. It is.

선행기술2는 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법에 관한 것으로 전력 제어 프로토콜인 IEC 61850 기반 MMS(Manufacturing Message Specification)와 GOOSE(Generic Object Oriented Substation Event)에 적합하도록 구성되어 있다.Prior art 2 relates to an abnormal behavior detection system and method for an industrial control network, and is configured to be suitable for power control protocols IEC 61850 based MMS (Manufacturing Message Specification) and GOOSE (Generic Object Oriented Substation Event).

상기 선행기술1 및 선행기술2는 전력 제어 프로토콜을 대상으로 하고 있으며, EtherNet/IP, Profinet, EtherCAT 등을 사용하는 스마트 제조 네트워크의 산업용 프로토콜 특성을 충분히 반영하고 있지 않다.The prior art 1 and the prior art 2 target the power control protocol, and do not sufficiently reflect the characteristics of the industrial protocol of the smart manufacturing network using EtherNet / IP, Profinet, EtherCAT, and the like.

대한민국 공개특허공보 10-2015-0026345(2015년 03월 11일, 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법)Republic of Korea Patent Publication No. 10-2015-0026345 (March 11, 2015, a device and method for generating a white list through network traffic) 대한민국 등록특허공보 10-1538709(2015년 07월 16일, 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법)Republic of Korea Patent Registration No. 10-1538709 (July 16, 2015, abnormal behavior detection system and method for industrial control network)

본 개시에 따른 실시 예들의 과제는 스마트 제조 네트워크에서 운영장치와 제어장치가 산업용 네트워크 프로토콜 EtherNet/IP(EIP)-CIP(Common Industrial Protocol)를 사용하여 데이터 통신을 하는 환경에 있어서, 스마트 제조 네트워크를 안전하게 운영할 수 있도록 보안 위협에 대한 이상징후를 인지하는데 목적이 있다.The task of the embodiments according to the present disclosure is to provide a smart manufacturing network in an environment in which an operating device and a control device in a smart manufacturing network perform data communication using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol). The purpose is to recognize abnormal signs of security threats so that they can operate safely.

본 개시에 따른 실시 예들의 과제는 스마트 제조 네트워크에서 운영장치와 제어장치 간 통신을 모니터링하고, EIP-CIP 프로토콜을 대상으로 정상 네트워크 리스트와 비교하여 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 찾아 제거하는데 목적이 있다.The task of the embodiments according to the present disclosure is to monitor the communication between the operating device and the control device in the smart manufacturing network, and compare the normal network list with the EIP-CIP protocol to find unauthorized or disguised operating devices, control devices, and services. It is intended to be removed.

본 개시에 따른 실시 예들의 과제는 운영장치에서 제어장치로 전달되는 요청 명령에 대해 EIP-CIP 정상 요청 리스트와 비교하고, 비교 결과에 기초하여 운영장치에서의 비인가된 제어 명령이나 중요한 제어 명령의 수행 상태를 감시하여 제어장치를 보호하는데 목적이 있다.The task of the embodiments according to the present disclosure is to compare the EIP-CIP normal request list with respect to the request command transmitted from the operating device to the control device, and perform an unauthorized control command or an important control command in the operating device based on the comparison result. The purpose is to protect the control device by monitoring the status.

본 개시에 따른 실시 예들의 과제는 제어장치에서 운영장치로 전달되는 응답 명령에 대해 EIP-CIP 정상 응답 리스트와 비교하여 운영장치의 명령으로 인해 제어장치에 문제가 발생하는지 감시하는데 목적이 있다.The object of the embodiments according to the present disclosure is to monitor whether a problem occurs in the control device due to the command of the operating device compared to the EIP-CIP normal response list for the response command transmitted from the control device to the operating device.

본 개시에 따른 실시 예들의 과제는 운영장치와 제어장치에 발생하는 보안 위협 및 잠재적 위협을 분석하여 침해사고에 대응하는데 목적이 있다.The object of the embodiments according to the present disclosure is to analyze security threats and potential threats occurring in operating devices and control devices to respond to infringement accidents.

본 개시에 따른 실시 예들의 과제는 이상에서 언급한 과제에 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The tasks of the embodiments according to the present disclosure are not limited to the above-mentioned tasks, and other tasks not mentioned will be clearly understood by those skilled in the art from the following description.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 스마트 제조 네트워크에서 운영장치, 제어장치 및 현장장치가 산업용 네트워크 프로토콜 EtherNet/IP(EIP)-CIP(Common Industrial Protocol)을 사용하여 EtherNet/IP 패킷을 송/수신하는 통신환경에 있어서, EIP-CIP 네트워크 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 제1 패킷과, 상기 제어장치와 상기 현장장치 간에 송/수신되는 제2 패킷을 수집하는 단계와, EIP-CIP 네트워크 분석부에서, 수집된 패킷들 각각을 EIP-CIP Normal Network List에 기초하여 네트워크 이상징후를 분석하고, 상기 운영장치, 상기 제어장치 및 상기 현장장치에 기초하여 EIP-CIP 패킷들을 분류하는 단계와, EIP-CIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전달되는 제1 EIP-CIP 패킷에 대해 제1 EIP 정상 요청 리스트와 제1 CIP 정상 요청 리스트에 기초하여 이상징후를 분석하는 단계와, EIP-CIP 요청분석부에서, 상기 제어장치에서 상기 운영장치로 전달되는 제2 EIP-CIP 패킷에 대해 제2 EIP 정상 요청 리스트와 제2 CIP 정상 요청 리스트 에 기초하여 이상징후를 분석하는 단계와, EIP-CIP 응답분석부에서, 제1 EIP 정상 응답 리스트와 제1 CIP 정상 응답 리스트에 기초하여 상기 제1 EIP-CIP 패킷에 대한 이상징후를 분석하고, 제2 EIP 정상 응답 리스트와 제2 CIP 정상 응답 리스트에 기초하여 상기 제2 EIP-CIP 패킷에 대한 이상징후를 분석하는 단계, 및 EIP-CIP 위험 분석부에서, EIP-CIP 명령 특성에 기초하여 상기 제1 EIP-CIP 패킷 및 상기 제2 EIP-CIP 패킷에 대한 이상징후를 분석하고, 경보 발생에 따른 잠재적 위험을 분석하는 단계를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, operating devices, control devices, and field devices in a smart manufacturing network transmit EtherNet / IP packets using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol). In the / receiving communication environment, the EIP-CIP network analysis unit collects the first packet transmitted / received between the operating device and the control device and the second packet transmitted / received between the control device and the field device. And, in the EIP-CIP network analysis unit, each of the collected packets based on the EIP-CIP Normal Network List to analyze the network anomalies, EIP- based on the operating device, the control device and the field device Classifying CIP packets, and based on a first EIP normal request list and a first CIP normal request list for a first EIP-CIP packet transmitted from the operating device to the control device by the EIP-CIP request analysis unit Analyzing the abnormal signs, and the EIP-CIP request analysis unit, based on the second EIP normal request list and the second CIP normal request list for the second EIP-CIP packet transmitted from the control device to the operating device. Analyzing the abnormal signs, and the EIP-CIP response analysis unit analyzes the abnormal signs for the first EIP-CIP packet based on the first EIP normal response list and the first CIP normal response list, and the second EIP Analyzing abnormal signs for the second EIP-CIP packet based on the normal response list and the second CIP normal response list, and in the EIP-CIP risk analysis unit, the first EIP based on EIP-CIP command characteristics -Analyzing an abnormal sign for the CIP packet and the second EIP-CIP packet, and analyzing the potential risk of an alarm.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP-CIP Normal Network List는 이더넷 헤더에서 Unicast, Multicast를 포함하고, 이더넷 헤더 MAC 주소, 이더넷 헤더 Type, IP 헤더, IP 주소, IP 헤더 Protocol, TCP 헤더 PORT, UDP 헤더 PORT 를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP-CIP Normal Network List includes Unicast and Multicast in the Ethernet header, and the Ethernet header MAC address, Ethernet header type, IP header, IP address, IP header Protocol, TCP It includes header PORT and UDP header PORT.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외한다. 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, EIP-CIP Normal Network List에 포함되었는지 판단한다. 상기 제1 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷의 이상징후를 인지한다.In the smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, in another analysis module Excluded for inspection. If the first EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List. When the first EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, an abnormal sign of the first EIP-CIP packet is recognized.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외한다. 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, EIP-CIP Normal Network List에 포함되었는지 판단한다. 상기 제2 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다.Smart manufacturing network security monitoring method according to the present disclosure, when the second EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, in another analysis module Excluded for inspection. If the second EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List. When the second EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, an abnormal sign of the second EIP-CIP packet is recognized.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 EIP-CIP Normal Network List 항목에 포함되는 경우, 추가적으로 IP 헤더의 Fragment Offset, TTL(Time To Live)의 필드, TCP 헤더의 Sequence Number, 및 TCP Flags의 필드에 기초하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다.The smart manufacturing network security monitoring method according to the present disclosure, when included in the EIP-CIP Normal Network List item, additionally includes a fragment offset of an IP header, a field of time to live (TTL), a sequence number of a TCP header, and TCP flags Based on the field of, an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet is recognized.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP 정상 요청 리스트는 Encapsulation 헤더의 Command, Length 필드를 포함한다. 상기 EIP 정상 요청 리스트는 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, Data Item Length 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP normal request list includes the Command and Length fields of the Encapsulation header. The EIP normal request list includes Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data).

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 요청 리스트에 포함되지 않는 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지한다. 상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.Smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal request list, the first EIP-CIP packet or the It is recognized as an abnormal sign of the second EIP-CIP packet. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data).

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 CIP 정상 요청 리스트는 CIP(Common Industrial Protocol)의 Object(Service, Class, Instance) 필드를 포함한다. Multiple CIP인 경우, CIP별 Object(Service, Class, Instance) 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the CIP normal request list includes an Object (Service, Class, Instance) field of a Common Industrial Protocol (CIP). In the case of multiple CIPs, it includes Object (Service, Class, Instance) fields for each CIP.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 요청 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 CIP의 Object에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.The smart manufacturing network security monitoring method according to the present disclosure may include the first EIP-CIP packet or the first EIP-CIP packet or the second EIP-CIP packet when the first EIP-CIP packet or the second EIP-CIP packet is not included in the CIP normal request list. 2 Recognize abnormal signs of EIP-CIP packets. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the object of the CIP.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP 정상 응답 리스트는 Encapsulation 헤더의 Command, Length, Status필드를 포함한다. 상기 EIP 정상 응답 리스트는 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, 및 Data Item Length 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP normal response list includes Command, Length, and Status fields of the Encapsulation header. The EIP normal response list includes Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data).

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 응답 리스트에 포함되지 않는 패킷이거나, 또는 연관된 요청 패킷의 Command, Session Handle과 매핑되지 않는 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상유무에 대한 경보 레벨을 결정한다.The smart manufacturing network security monitoring method according to the present disclosure includes: the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal response list, or an associated request packet command, session handle and If it is not mapped, the abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet is recognized. The alert level for the abnormality of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data).

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 CIP 정상 응답 리스트는 CIP(Common Industrial Protocol)의 Service, Status 필드를 포함하고, Multiple CIP인 경우 CIP별 Service, Status 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the CIP normal response list includes the Service and Status fields of the Common Industrial Protocol (CIP), and in the case of Multiple CIPs, the Service and Status fields for each CIP.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 응답 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 CIP의 Service, Status에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.Smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the CIP normal response list, the first EIP-CIP packet or the Recognize abnormal signs of the second EIP-CIP packet. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the service and status of the CIP.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 EIP-CIP 명령 특성으로 EIP Command/Session과 CIP(Common IndustrialProtocol)의 Object(Service, Class, Instance)에 기반하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 패킷수 및 패킷량을 분석한다. 분석 결과 허용범위를 벗어나면 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지한다.The smart manufacturing network security monitoring method according to the present disclosure is based on the EIP Command / Session and the Object (Service, Class, Instance) of the EIP Command / Session and CIP (Common Industrial Protocol) as the characteristics of the EIP-CIP command, or the second EIP-CIP packet or the second. The number of packets and the amount of packets generated per unit time of EIP-CIP packets are analyzed. If the result of the analysis is out of the allowable range, it is recognized as an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet.

본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 경보가 허용범위를 벗어나면, 발생 이벤트 간 상관분석을 통해 잠재적 위험을 분석한다.The smart manufacturing network security monitoring method according to the present disclosure analyzes the potential risk through correlation analysis between occurrence events when the occurrence alarm per unit time of the first EIP-CIP packet or the second EIP-CIP packet is out of the allowable range .

본 개시에 따른 실시 예들에 따르면, EIP-CIP 네트워크 분석을 통해 Normal Network List와 비교함으로써 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 인지하여 제거함으로써 안전한 스마트 제조 네트워크를 유지해 준다.According to the embodiments according to the present disclosure, it is possible to maintain a safe smart manufacturing network by recognizing and removing unauthorized or disguised operating devices, control devices, and services by comparing with the Normal Network List through EIP-CIP network analysis.

본 개시에 따른 실시 예들에 따르면, EIP-CIP 요청분석을 통해 EIP 정상 요청 리스트 및 CIP 정상 요청 리스트와 비교함으로써 운영장치에서 제어장치로의 비인가된 명령이나 중요 명령의 실행을 인지함으로써 제어장치를 안전하게 보호하고 대비할 수 있다.According to the embodiments according to the present disclosure, the EIP-CIP request analysis is performed to compare the EIP normal request list and the CIP normal request list to recognize the execution of unauthorized commands or important commands from the operating device to the control device to safely control the control device. You can protect and prepare.

본 개시에 따른 실시 예에 따르면, EIP-CIP 응답분석을 통해 EIP 정상 응답 리스트 및 CIP 정상 응답 리스트와 비교함으로써 운영장치의 명령에 따른 제어장치의 이상징후를 파악하여 안전하게 유지할 수 있도록 대응할 수 있다.According to an embodiment of the present disclosure, by comparing the EIP normal response list and the CIP normal response list through EIP-CIP response analysis, it is possible to identify and abnormally control the control device according to the command of the operating device so that it can be safely maintained.

본 개시에 따른 실시 예에 따르면, EIP-CIP 위험분석을 통해 EIP-CIP 명령 특성에 따른 이상징후를 인지하고 발생 경보에 따른 상관분석을 통해 잠재적 위협을 분석함으로써 스마트 제조 네트워크를 안전하게 보호하고 침해사고에 빠르게 대응할 수 있다.According to an embodiment according to the present disclosure, the EIP-CIP risk analysis is used to recognize anomalies according to the characteristics of the EIP-CIP command and to analyze potential threats through correlation analysis according to the occurrence alert to secure the smart manufacturing network and to infringe incidents. Can respond quickly.

도 1은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템이 적용된 네트워크 구성을 도시한 개념도이다.
도 2a는 스마트 제조 네트워크에서 전송되는 EtherNet/IP-CIP의 패킷 구조를 나타내는 도면이다.
도 2b및 도 2c는 데이터 아이템(Data Item)의 데이터 필드의 요청(Request) 및 응답(Response) 구조를 나타내는 도면이다.
도 3은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템을 나타내는 블록도이다.
도 4a및 도 4b는 본 개시에 따른 실시 예의 EIP-CIP 정상 패킷 리스트들을 설명하는 도면이다.
도 5는 본 개시에 따른 실시 예의 이상징후 인지에 따른 경보 레벨의 예를 설명하는 도면이다.
도 6a 및 도 6b는 본 개시에 따른 실시 예의 EIP-CIP 네트워크 분석부의 동작을 설명하기 위한 흐름도이다.
도 7a 및 도 7b는 본 개시에 따른 실시 예의 EIP-CIP 요청분석부의 동작을 설명하기 위한 흐름도이다.
도 8a 및 도 8b는 본 개시에 따른 실시 예의 EIP-CIP 응답분석부의 동작을 설명하기 위한 흐름도이다.
도 9는 본 개시에 따른 실시 예의 EIP-CIP 위험분석부의 동작을 설명하기 위한 흐름도이다.1 is a conceptual diagram illustrating a network configuration to which a smart manufacturing network security monitoring system of an embodiment according to the present disclosure is applied.
2A is a diagram showing a packet structure of EtherNet / IP-CIP transmitted in a smart manufacturing network.
2B and 2C are diagrams illustrating a request and response structure of a data field of a data item.
3 is a block diagram illustrating a smart manufacturing network security monitoring system according to an embodiment of the present disclosure.
4A and 4B are diagrams illustrating EIP-CIP normal packet lists in an embodiment according to the present disclosure.
5 is a view for explaining an example of the alarm level according to the recognition of abnormal signs of the embodiment according to the present disclosure.
6A and 6B are flowcharts for explaining the operation of the EIP-CIP network analysis unit of the embodiment according to the present disclosure.
7A and 7B are flowcharts for explaining the operation of the EIP-CIP request analysis unit of the embodiment according to the present disclosure.
8A and 8B are flowcharts for explaining the operation of the EIP-CIP response analysis unit of the embodiment according to the present disclosure.
9 is a flowchart for explaining the operation of the EIP-CIP risk analysis unit of the embodiment according to the present disclosure.

이하, 첨부된 도면을 참고로 하여 본 개시에 따른 실시 예들의 산업용 네트워크 EtherNet/IP-CIP 환경에서의 스마트 제조 네트워크 보안감시 시스템을 설명하면 다음과 같다.Hereinafter, a smart manufacturing network security monitoring system in an industrial network EtherNet / IP-CIP environment according to embodiments of the present disclosure will be described with reference to the accompanying drawings.

하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, when it is determined that a detailed description of related known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to a user's or operator's intention or practice. Therefore, the definition should be made based on the contents throughout this specification.

도 1은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템이 적용된 네트워크 구성을 도시한 개념도이다.1 is a conceptual diagram illustrating a network configuration to which a smart manufacturing network security monitoring system of an embodiment according to the present disclosure is applied.

도 1을 참조하면, 스마트 제조 네트워크(200)는 운영장치(210), 제어장치(220), 및 현장장치(230)를 포함할 수 있다. 운영장치(210)와 제어장치(220)는 네트워크로 연결될 수 있다. 제어장치(220)와 현장장치(230)는 네트워크로 연결될 수 있다.Referring to FIG. 1, the smart manufacturing network 200 may include an operating device 210, a control device 220, and a field device 230. The operating device 210 and the control device 220 may be connected by a network. The control device 220 and the field device 230 may be connected by a network.

본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)에서 HMI(Human Machine Interface)와 같은 Level 2의 운영장치(210) 와 PLC(Programmable Logic Controller), DCS(Distributed Control System) 등과 같은 Level 1의 제어장치(220) 사이에 위치할 수 있다. 또한, 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)에서 제어장치(220)와 현장장치(230) 사이에 위치할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 사이에 송수신되는 패킷 트래픽을 모니터링할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 사이에 송수신되는 패킷 트래픽을 모니터링할 수 있다.The smart manufacturing network security monitoring system 100 of the embodiment according to the present disclosure includes a level 2 operating device 210, such as a human machine interface (HMI), a programmable logic controller (PLC), and DCS (Distributed) in the smart manufacturing network 200. Control System). In addition, the smart manufacturing network security monitoring system 100 may be located between the control device 220 and the field device 230 in the smart manufacturing network 200. The smart manufacturing network security monitoring system 100 may monitor packet traffic transmitted and received between the operating device 210 and the control device 220. The smart manufacturing network security monitoring system 100 may monitor packet traffic transmitted and received between the control device 220 and the field device 230.

스마트 제조 네트워크(200)에서 운영장치(210)는 제어장치(220)로부터 전달받은 데이터를 통해 현장장치(230)의 상태를 모니터링할 수 있다. 운영장치(210)는 현장장치(230)의 모니터링 결과에 기초하여 현장장치(230)를 제어하기 위한 제어 명령을 제어장치(220)로 전송할 수 있다. 일 예로서, 제어장치(220)는 현장장치(230)에서 계측·수집한 데이터를 운영장치(210)로 전달할 수 있다. 일 예로서, 제어장치(220)는 운영장치(210)의 제어 명령을 받아 현장장치(230)를 제어할 수 있다. 일 예로서, 현장장치(230)는 센서(Sensor), 엑추에이터(Actuator) 등의 상태 데이터를 계측·수집하여 센서, 엑추에이터를 제어할 수 있다.In the smart manufacturing network 200, the operating device 210 may monitor the state of the field device 230 through data received from the control device 220. The operating device 210 may transmit a control command for controlling the field device 230 to the control device 220 based on the monitoring result of the field device 230. As an example, the control device 220 may transmit data collected and measured by the field device 230 to the operating device 210. As an example, the control device 220 may control the field device 230 by receiving a control command of the operating device 210. As an example, the field device 230 may measure and collect state data such as a sensor and an actuator to control the sensor and actuator.

스마트 제조에서 사용되는 대표적인 산업용 네트워크 프로토콜 (Industrial Network Protocol)로는 EtherNet/IP, Profinet, EtherCat, Modbus, DNP3 등이 있으며, 본 발명에서는 EtherNet/IP를 기반으로 하는 스마트 제조 네트워크(200)를 대상으로 한다.Typical industrial network protocols used in smart manufacturing include EtherNet / IP, Profinet, EtherCat, Modbus, DNP3, etc., and the present invention targets smart manufacturing network 200 based on EtherNet / IP. .

본 발명에서 대상으로 하는 EtherNet/IP는 IEC 61784 산업용 네트워크 표준 중 하나로 하위 계층으로 TCP/IP를 적용하고, 상위 계층으로 공통 산업용 프로토콜 CIP(Common Industrial Protocol)을 적용할 수 있다. EtherNet/IP는 TCP/IP 프로토콜에 기반함으로 OSI 계층 모델의 하위 4계층을 적용할 수 있으며, PC 인터페이스 카드, 케이블, 커넥터, 허브 및 스위치들과 같은 일반적인 이더넷 통신 모듈들이 EtherNet/IP 와 함께 적용될 수 있다.EtherNet / IP targeted in the present invention is one of the IEC 61784 industrial network standards, and TCP / IP is applied as a lower layer and a common industrial protocol CIP (Common Industrial Protocol) can be applied as a higher layer. EtherNet / IP is based on the TCP / IP protocol and can be applied to the lower 4 layers of the OSI layer model. Common Ethernet communication modules such as PC interface cards, cables, connectors, hubs and switches can be applied together with EtherNet / IP. have.

스마트 제조 네트워크(200)의 운영장치(210)와 제어장치(220)는 EtherNet/IP-CIP(이하 EIP-CIP)를 사용하여 데이터 통신을 수행할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 EIP-CIP를 사용하여 데이터 통신을 하는 스마트 제조 네트워크(200)의 운영장치(210)와 제어장치(220) 간의 모든 패킷 트래픽을 모니터링할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 모든 패킷 트래픽을 모니터링할 수 있다.The operating device 210 and the control device 220 of the smart manufacturing network 200 may perform data communication using EtherNet / IP-CIP (hereinafter referred to as EIP-CIP). The smart manufacturing network security monitoring system 100 of the present invention can monitor all packet traffic between the operating device 210 and the control device 220 of the smart manufacturing network 200 performing data communication using EIP-CIP. . The smart manufacturing network security monitoring system 100 of the present invention can monitor all packet traffic between the control device 220 and the field device 230.

도 2a는 스마트 제조 네트워크에서 전송되는 EtherNet/IP-CIP의 패킷 구조를 나타내는 도면이다. 도 2b 및 도 2c는 데이터 아이템(Data Item)의 데이터 필드의 요청(Request) 및 응답(Response) 구조를 나타내는 도면이다.2A is a diagram showing a packet structure of EtherNet / IP-CIP transmitted in a smart manufacturing network. 2B and 2C are diagrams illustrating a request and response structure of a data field of a data item.

도 1 내지 2c를 참조하면, 운영장치(210)와 제어장치(220) 간에는 EtherNet/IP-CIP 패킷을 송수신 할 수 있다. 제어장치(220)와 현장장치(230) 간에는 EtherNet/IP-CIP 패킷을 송수신 할 수 있다.1 to 2C, an EtherNet / IP-CIP packet can be transmitted and received between the operating device 210 and the control device 220. EtherNet / IP-CIP packets can be transmitted and received between the control device 220 and the field device 230.

본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간의 모든 패킷 트래픽의 모니터링 결과에 기초하여 이상징후를 인지할 수 있다. 이때, 스마트 제조 네트워크 보안감시 시스템(100)은 정상행위리스트에 기초하여 이상징후를 인지할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 모든 패킷 트래픽의 모니터링 결과에 기초하여 이상징후를 인지할 수 있다. 이때, 스마트 제조 네트워크 보안감시 시스템(100)은 정상행위리스트에 기초하여 이상징후를 인지할 수 있다.The smart manufacturing network security monitoring system 100 of the present invention can recognize abnormal signs based on the monitoring results of all packet traffic between the operating device 210 and the control device 220. At this time, the smart manufacturing network security monitoring system 100 may recognize abnormal signs based on the normal behavior list. The smart manufacturing network security monitoring system 100 of the present invention can recognize an abnormal sign based on the monitoring result of all packet traffic between the control device 220 and the field device 230. At this time, the smart manufacturing network security monitoring system 100 may recognize abnormal signs based on the normal behavior list.

도 2a를 참조하면, EtherNet/IP-CIP 패킷(1000)은 네트워크 헤더(Network Header)(1000a), 데이터(Data) 필드(1000b), 및 오류검출 필드(1000c)를 포함할 수 있다. 네트워크 헤드 필드(1000a)는 이더넷 헤더(Ethernet Header)(1000a-1), IP 헤더(IP Header)(1000a-2), 및 TCP/UDP 헤더(TCP/UDP Header)(1000a-3)를 포함할 수 있다. 데이터 필드(1000b)는 이더넷/IP-CIP 데이터(EtherNet/IP-CIP Data) 필드(1000b-1)를 포함할 수 있다. 오류검출 필드(1000c)는 CRC(1000c-1, cyclic redundancy check) 필드를 포함할 수 있다.Referring to FIG. 2A, the EtherNet / IP-CIP packet 1000 may include a network header 1000a, a data field 1000b, and an error detection field 1000c. The network head field 1000a may include an Ethernet header 1000a-1, an IP header 1000a-2, and a TCP / UDP header 1000a-3. Can be. The data field 1000b may include an Ethernet / IP-CIP data field 1000b-1. The error detection field 1000c may include a CRC (1000c-1, cyclic redundancy check) field.

이더넷/IP-CIP 데이터 필드(1000b-1)는 이더넷/IP 캡슐화 헤더(EtherNet/IP Encapsulation Header)(1100a), 및 캡슐화 데이터(Encapsulation Data) 필드(1100b)를 포함할 수 있다. 이더넷/IP 캡슐화 헤더(1100a)는 Command 필드(1100a-1), Length 필드(1100a-2), Session Handle 필드(1100a-3), Sender Context 필드(1100a-4), 및 Options 필드(1100a-5)를 포함할 수 있다. 캡슐화 데이터 필드(1100b)는 Common Specific Data 필드(1100b-1)를 포함할 수 있다.The Ethernet / IP-CIP data field 1000b-1 may include an Ethernet / IP Encapsulation Header 1100a and an Encapsulation Data field 1100b. The Ethernet / IP encapsulation header 1100a includes the Command field (1100a-1), Length field (1100a-2), Session Handle field (1100a-3), Sender Context field (1100a-4), and Options field (1100a-5) ). The encapsulation data field 1100b may include a Common Specific Data field 1100b-1.

Common Specific Data 필드(1100b-1)는 CPF 헤더(CPF Header)(1200a), 및 Command Packet Format 필드(1200b)를 포함할 수 있다. CPF 헤더(1200a)는 Interface 필드(1200a-1), 및 Timeout 필드(1200a-2)를 포함할 수 있다. Command Packet Format 필드(1200b)는 Item Count 필드(1200b-1), Address Item 필드(1200b-2), 및 Data Item 필드(1200b-3)을 포함할 수 있다. Address Item 필드(1200b-2)는 Type ID 필드, Length 필드, 및 Data 필드를 포함할 수 있다. Data Item 필드(1200b-3)은 Type ID 필드, Length 필드, 및 Data 필드(1300)를 포함 수 있다.The Common Specific Data field 1100b-1 may include a CPF header 1200a and a Command Packet Format field 1200b. The CPF header 1200a may include an Interface field 1200a-1 and a Timeout field 1200a-2. The Command Packet Format field 1200b may include an Item Count field 1200b-1, an Address Item field 1200b-2, and a Data Item field 1200b-3. The Address Item field 1200b-2 may include a Type ID field, a Length field, and a Data field. The Data Item field 1200b-3 may include a Type ID field, a Length field, and a Data field 1300.

도 2b 및 도 2c를 참조하면, Data 필드(1300)는 Request Service CIP(1310), Multiple Request Service CIP(1320), Response Service CIP(1330), 및 Multiple Response Service CIP (1340)를 포함할 수 있다.2B and 2C, the data field 1300 may include a Request Service CIP 1310, a Multiple Request Service CIP 1320, a Response Service CIP 1330, and a Multiple Response Service CIP 1340. .

Request Service CIP(1310)는 Request Service 필드(1311), Request Path Size 필드(1312), Request Path 필드(1313), 및 Request Data 필드(1314)를 포함할 수 있다. Request Path 필드(1313)은 Class Segment 필드 및 Instance Segment 필드를 포함할 수 있다. Multiple Request Service CIP(1320)는 Multiple CIP Request Header(1321), Multiple Service Packet Header(1322), 및 복수의 Request Service CIP 필드(1323)를 포함할 수 있다. Response Service CIP(1330)는 Response Service 필드(1331), status 필드(1332), 및 Response Data 필드(1333)을 포함할 수 있다. Multiple Response Service CIP (1340)는 Multiple CIP Response Header(1341), Multiple Service Packet Header(1342), 및 복수의 Response Service CIP 필드(1343)를 포함할 수 있다. Multiple CIP Response Header(1341)는 Response Service 필드, 및 Status 필드를 포함할 수 있다. Multiple Service Packet Header(1342)는 Number of Service 필드 및 Offset List 필드를 포함할 수 있다.The Request Service CIP 1310 may include a Request Service field 1311, a Request Path Size field 1312, a Request Path field 1313, and a Request Data field 1314. The Request Path field 1313 may include a Class Segment field and an Instance Segment field. The Multiple Request Service CIP 1320 may include a Multiple CIP Request Header 1321, a Multiple Service Packet Header 1322, and a plurality of Request Service CIP fields 1323. The Response Service CIP 1330 may include a Response Service field 1331, a status field 1332, and a Response Data field 1333. The Multiple Response Service CIP 1340 may include a Multiple CIP Response Header 1341, a Multiple Service Packet Header 1342, and a plurality of Response Service CIP fields 1343. Multiple CIP Response Header 1341 may include a Response Service field and a Status field. The multiple service packet header 1342 may include a number of service field and an offset list field.

도 3은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템을 나타내는 블록도이다.3 is a block diagram illustrating a smart manufacturing network security monitoring system according to an embodiment of the present disclosure.

도 1 내지 도 3을 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)은 EIP-CIP 네트워크 분석부(110), EIP-CIP 요청분석부(120), EIP-CIP 응답분석부(130), EIP-CIP 위험분석부(140)를 포함할 수 있다.1 to 3, the smart manufacturing network security monitoring system 100 is EIP-CIP network analysis unit 110, EIP-CIP request analysis unit 120, EIP-CIP response analysis unit 130, EIP -CIP risk analysis unit 140 may be included.

EIP-CIP 네트워크분석부(110)는 패킷 수집부(111), 네트워크 헤더 분석부(112), 및 EIP-CIP 분류부(113)를 포함할 수 있다.The EIP-CIP network analysis unit 110 may include a packet collection unit 111, a network header analysis unit 112, and an EIP-CIP classification unit 113.

패킷수집부(111)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷들을 수집할 수 있다. 패킷수집부(111)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷들을 수집할 수 있다.The packet collection unit 111 may collect packets transmitted / received between the operating device 210 and the control device 220. The packet collection unit 111 may collect packets transmitted / received between the control device 220 and the field device 230.

네트워크 헤더 분석부(112)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교할 수 있다. 네트워크 헤더 분석부(112)는 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The network header analyzer 112 may compare the Ethernet header field, the IP header field, and the TCP header field of the packet transmitted / received between the operating device 210 and the control device 220 with the Normal Network List. The network header analysis unit 112 is based on the result of comparing the Ethernet header field, the IP header field, and the TCP header field with the Normal Network List, and indicates an abnormality in packets transmitted / received between the operating device 210 and the control device 220. Signs can be recognized.

네트워크 헤더 분석부(112)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교할 수 있다. 네트워크 헤더 분석부(112)는 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The network header analysis unit 112 may compare the Ethernet header field, IP header field, and TCP header field of the packet transmitted / received between the control device 220 and the field device 230 with the Normal Network List. The network header analysis unit 112 is based on the result of comparing the Ethernet header field, the IP header field, and the TCP header field with the Normal Network List, so that the packet transmitted / received between the control unit 220 and the field device 230 is abnormal. Signs can be recognized.

EIP-CIP 분류부(113)는 EIP-CIP가 아닌 패킷은 제외하고, 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 분류할 수 있다. EIP-CIP 분류부(113)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 분류할 수 있다. EIP-CIP 분류부(113) EIP-CIP가 아닌 패킷은 제외하고, 제어장치(220)에서 현장장치(230)로 전송되는 요청 패킷을 분류할 수 있다. EIP-CIP 분류부(113)는 현장장치(230)에서 제어장치(220)로 전송되는 응답 패킷을 분류할 수 있다.The EIP-CIP classifying unit 113 may classify the request packet transmitted from the operating device 210 to the control device 220, excluding packets that are not EIP-CIP. The EIP-CIP classifying unit 113 may classify the response packet transmitted from the control device 220 to the operating device 210. The EIP-CIP classifier 113 may classify the request packet transmitted from the control device 220 to the field device 230 except for a packet that is not an EIP-CIP. The EIP-CIP classifier 113 may classify the response packet transmitted from the field device 230 to the control device 220.

EIP-CIP 요청분석부(120)는 EIP 요청(request) 분석부(121) 및 CIP 요청(request) 분석부(122)를 포함할 수 있다.The EIP-CIP request analysis unit 120 may include an EIP request analysis unit 121 and a CIP request analysis unit 122.

EIP 요청분석부(121)는 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 수신할 수 있다. EIP 요청분석부(121)는 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 수신한 후, Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교할 수 있다. EIP 요청분석부(121)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교한 결과에 기초하여 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP request analysis unit 121 may receive a request packet transmitted from the operating device 210 to the control device 220. The EIP request analysis unit 121 may compare the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal request list after receiving the request packet transmitted from the operating device 210 to the control device 220. EIP request analysis unit 121 based on the result of comparing the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal request list, the abnormal sign of the packet transmitted from the operating device 210 to the control device 220 Can be recognized.

EIP 요청분석부(121)는 제어장치(220)로부터 현장장치(230)로 전송되는 요청 패킷을 수신할 수 있다. EIP 요청분석부(121)는 제어장치(220)에서 현장장치(230)로 전송되는 요청 패킷을 수신한 후, Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교할 수 있다. EIP 요청분석부(121)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교한 결과에 기초하여 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP request analysis unit 121 may receive a request packet transmitted from the control device 220 to the field device 230. The EIP request analysis unit 121 may compare the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal request list after receiving the request packet transmitted from the control device 220 to the field device 230. EIP request analysis unit 121 based on the result of comparing the Encapsulation Head and Encapsulation Data (Command Specific Data) fields to the EIP normal request list, the control device 220 to detect the abnormal signs of the packet transmitted from the field device 230 Can be recognized.

CIP 요청분석부(122)는 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교할 수 있다. CIP 요청분석부(122)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교한 결과에 기초하여 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The CIP request analysis unit 122 may compare the CIP field and Multiple CIP field of the packet transmitted from the operating device 210 to the control device 220 with the CIP normal request list. The CIP request analysis unit 122 may recognize an abnormal sign of a packet transmitted from the operating device 210 to the control device 220 based on the result of comparing the CIP field and the Multiple CIP field with the CIP normal request list.

CIP 요청분석부(122)는 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교할 수 있다. CIP 요청분석부(122)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교한 결과에 기초하여 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 이상징후를 인지할 수 있다.The CIP request analysis unit 122 may compare the CIP field and Multiple CIP field of the packet transmitted from the control device 220 to the field device 230 with the CIP normal request list. The CIP request analysis unit 122 may recognize an abnormal sign of a packet transmitted from the control device 220 to the field device 230 based on the result of comparing the CIP field and the Multiple CIP field with the CIP normal request list.

EIP-CIP 응답분석부(130)는 EIP 응답(response) 분석부(131) 및 CIP 응답(response) 분석부(132)를 포함할 수 있다.EIP-CIP response analysis unit 130 may include an EIP response (response) analysis unit 131 and a CIP response (response) analysis unit 132.

EIP-CIP 응답분석부(130)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 수신할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교한 결과에 기초하여 제어장치(220)에서 운영장치(210)로 전송되는 패킷의 이상징후를 인지할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교한 결과에 기초하여 제어장치(220)에서 운영장치(210)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP-CIP response analysis unit 130 may receive a response packet transmitted from the control device 220 to the operation device 210. The EIP response analysis unit 131 may compare the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal response list. EIP response analysis unit 131 based on the result of comparing the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal response list, the EIP response analysis unit 131 displays an abnormal sign of the packet transmitted from the control unit 220 to the operation unit 210. Can be recognized. The CIP response analysis unit 132 may compare the CIP field and the Multiple CIP field with the CIP normal response list. The CIP response analysis unit 132 may recognize an abnormal sign of a packet transmitted from the control device 220 to the operating device 210 based on a result of comparing the CIP field and the Multiple CIP field with the CIP normal response list.

EIP-CIP 응답분석부(130)는 현장장치(230)에서 제어장치(220)로 전송되는 응답 패킷을 수신할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교한 결과에 기초하여 현장장치(230)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교한 결과에 기초하여 현장장치(230)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP-CIP response analysis unit 130 may receive a response packet transmitted from the field device 230 to the control device 220. The EIP response analysis unit 131 may compare the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal response list. EIP response analysis unit 131 based on the result of comparing the Encapsulation Head and Encapsulation Data (Command Specific Data) fields with the EIP normal response list, and displays abnormal signs of packets transmitted from the field device 230 to the control device 220. Can be recognized. The CIP response analysis unit 132 may compare the CIP field and the Multiple CIP field with the CIP normal response list. The CIP response analysis unit 132 may recognize an abnormal sign of a packet transmitted from the field device 230 to the control device 220 based on the result of comparing the CIP field and the Multiple CIP field with the CIP normal response list.

EIP-CIP 위험분석부(140)는 명령 특성별 주기 분석부(141), 명령 특성별 패킷량 분석부(142), 및 잠재적 위험 분석부(143)를 포함할 수 있다.The EIP-CIP risk analysis unit 140 may include a period analysis unit 141 for each command characteristic, a packet amount analysis unit 142 for each command characteristic, and a potential risk analysis unit 143.

명령 특성별 주기 분석부(141)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석할 수 있다. 명령 특성별 주기 분석부(141)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The cycle analysis unit 141 for each command characteristic may analyze the cycle according to the number of packets of the EIP command and CIP object transmitted / received between the operating device 210 and the control device 220. The cycle analysis unit 141 for each command characteristic is transmitted / received between the operating device 210 and the control device 220 based on the result of analyzing the cycle according to the number of packets of the EIP command and the CIP object. It can recognize the abnormality of the packet.

또한, 명령 특성별 주기 분석부(141)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석할 수 있다. 명령 특성별 주기 분석부(141)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the period analysis unit 141 for each command characteristic may analyze the period according to the number of packets of the EIP command and CIP object transmitted / received between the control device 220 and the field device 230. . The cycle analysis unit 141 for each command characteristic is transmitted / received between the control device 220 and the field device 230 based on the result of analyzing the cycle according to the number of packets of the EIP command and the CIP object. It can recognize the abnormality of the packet.

명령 특성별 패킷량 분석부(142)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석할 수 있다. 명령 특성별 패킷량 분석부(142)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The packet amount analysis unit 142 for each command characteristic may analyze packet amounts of EIP commands and CIP objects that are transmitted / received between the operating device 210 and the control device 220. The packet amount analysis unit 142 for each command characteristic is based on the result of analyzing the packet amount of the EIP command and the CIP object, so that the packet transmitted / received between the operating device 210 and the control device 220 is determined. It can recognize abnormal signs.

또한, 명령 특성별 패킷량 분석부(142)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석할 수 있다. 명령 특성별 패킷량 분석부(142)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the packet amount analysis unit 142 for each command characteristic may analyze packet amounts of EIP commands and CIP objects that are transmitted / received between the control device 220 and the field device 230. The packet amount analysis unit 142 for each command characteristic is based on the result of analyzing the packet amount of the EIP command and the CIP object, so that the packet transmitted / received between the control unit 220 and the field apparatus 230 is determined. It can recognize abnormal signs.

잠재적 위험 분석부(143)는 운영장치(210)와 제어장치(220) 간에 송/수신 되는 패킷에 대해서 단위 시간당 발생 경보를 분석할 수 있다. 잠재적 위험 분석부(143)는 단위 시간당 발생 경보를 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The potential risk analysis unit 143 may analyze the alarm generated per unit time for packets transmitted / received between the operating device 210 and the control device 220. The potential risk analysis unit 143 may recognize an abnormal sign of a packet transmitted / received between the operating device 210 and the control device 220 based on the result of analyzing the alarm generated per unit time.

또한, 잠재적 위험 분석부(143)는 제어장치(220)와 현장장치(230) 간에 송/수신 되는 패킷에 대해서 단위 시간당 발생 경보를 분석할 수 있다. 잠재적 위험 분석부(143)는 단위 시간당 발생 경보를 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the potential risk analysis unit 143 may analyze an alarm generated per unit time for packets transmitted / received between the control device 220 and the field device 230. The potential risk analysis unit 143 may recognize an abnormal sign of a packet transmitted / received between the control device 220 and the field device 230 based on the result of analyzing the alarm generated per unit time.

도 4a 및 도 4b는 본 개시에 따른 실시 예의 EIP-CIP 정상 패킷 리스트들을 설명하는 도면이다.4A and 4B are diagrams illustrating EIP-CIP normal packet lists in an embodiment according to the present disclosure.

도 4a 및 도 4b를 참조하면, EIP-CIP 정상 패킷 리스트(S100, EIP-CIP Normal Packet List)는 EIP-CIP Normal Network List (S110), EIP 정상 리스트(S120, EIP Normal List), 및 CIP 정상 리스트(S130, CIP Normal List)로 구성될 수 있다.4A and 4B, the EIP-CIP normal packet list (S100, EIP-CIP Normal Packet List) includes an EIP-CIP Normal Network List (S110), an EIP Normal List (S120, EIP Normal List), and a CIP Normal It may be composed of a list (S130, CIP Normal List).

EIP-CIP Normal Network List(S110)는 이더넷 헤더(S111, Ethernet Header), IP 헤더(S112, IP Header), 및 TCP/UDP 헤더(S113, TCP/UDP Header)를 포함할 수 있다. 이더넷 헤더(S111)는 Source MAC 필드, Destination MAC 필드, Type 필드를 포함할 수 있다. IP 헤더(S112)는 Source IP 필드, Destination IP 필드, 및 Protocol 필드를 포함할 수 있다. TCP/UDP 헤더(S113)는 Source PORT 필드, 및 Destination PORT 필드를 포함할 수 있다.The EIP-CIP Normal Network List (S110) may include an Ethernet header (S111, Ethernet Header), an IP header (S112, IP Header), and a TCP / UDP header (S113, TCP / UDP Header). The Ethernet header S111 may include a source MAC field, a destination MAC field, and a type field. The IP header S112 may include a source IP field, a destination IP field, and a protocol field. The TCP / UDP header S113 may include a Source PORT field and a Destination PORT field.

EIP 정상 리스트(S120)는 Encapsulation Header 및 Encapsulation Data를 포함할 수 있다. EIP 정상 리스트(S120)는 EIP 정상 요청 리스트(S120a, EIP Normal Request List)와 EIP 정상 응답 리스트(S120b, EIP Normal Response List)로 구분될 수 있다.The EIP normal list S120 may include an Encapsulation Header and Encapsulation Data. The EIP normal list S120 may be divided into an EIP normal request list (S120a, EIP Normal Request List) and an EIP normal response list (S120b, EIP Normal Response List).

EIP 정상 요청 리스트(S120a)는 Encapsulation Header(S121a) 및 Encapsulation Data(Command Specific Data)(S122a)를 포함할 수 있다. EIP 정상 요청 리스트(S120a)의 Encapsulation Header(S121a)는 Command 필드 및 Length 필드를 포함할 수 있다. EIP 정상 요청 리스트(S120a)의 Encapsulation Data(Command Specific Data)(S122a)는 Address Item Type 필드, Data Item Type 필드, 및 Data Item Length 필드를 포함할 수 있다.EIP normal request list (S120a) may include an Encapsulation Header (S121a) and Encapsulation Data (Command Specific Data) (S122a). The Encapsulation Header S121a of the EIP normal request list S120a may include a Command field and a Length field. The Encapsulation Data (Command Specific Data) S122a of the EIP normal request list S120a may include an Address Item Type field, a Data Item Type field, and a Data Item Length field.

EIP 정상 응답 리스트(S120b)는 Encapsulation Header(S121b) 및 Encapsulation Data(Command Specific Data)(S122b)를 포함할 수 있다. EIP 정상 응답 리스트(S120b)의 Encapsulation Header(S121b)는 Command 필드, Length 필드, 및 Status 필드를 포함할 수 있다. EIP 정상 응답 리스트(S120b)의 Encapsulation Data(Command Specific Data)(S122b)는 Address Item Type ID 필드, Data Item Type ID 필드, 및 Data Item Length 필드를 포함할 수 있다.EIP normal response list (S120b) may include an Encapsulation Header (S121b) and Encapsulation Data (Command Specific Data) (S122b). The Encapsulation Header S121b of the EIP normal response list S120b may include a Command field, a Length field, and a Status field. The Encapsulation Data (Command Specific Data) S122b of the EIP normal response list S120b may include an Address Item Type ID field, a Data Item Type ID field, and a Data Item Length field.

CIP 정상 리스트(S130)는 CIP 정상 요청 리스트(S130a, CIP Normal Request List)와 CIP 정상 응답 리스트(S130b, CIP Normal Response List)로 구분될 수 있다.The CIP normal list S130 may be divided into a CIP normal request list (S130a, CIP Normal Request List) and a CIP normal response list (S130b, CIP Normal Response List).

CIP 정상 요청 리스트(S130a)는 CIP 및 Multiple CIP를 포함할 수 있다. 여기서, CIP 정상 요청 리스트(S130a)는 CIP와 Multiple CIP 중 어느 하나를 포함할 수도 있다. CIP 정상 요청 리스트(S130a)의 CIP는 Service 필드, Class 필드, 및 Instance필드를 포함할 수 있다. CIP 정상 요청 리스트(S130a)가 Multiple CIP를 포함하는 경우, CIP 정상 요청 리스트(S130a)의 Multiple CIP는 복수의 CIP별 Service 필드, Class 필드, Instance 필드를 포함할 수 있다.The CIP normal request list S130a may include CIP and Multiple CIP. Here, the CIP normal request list (S130a) may include one of CIP and Multiple CIP. The CIP of the CIP normal request list (S130a) may include a Service field, a Class field, and an Instance field. When the CIP normal request list S130a includes multiple CIPs, the multiple CIPs of the CIP normal request list S130a may include a plurality of CIP-specific service fields, class fields, and instance fields.

CIP 정상 응답 리스트(S130b)는 CIP 및 Multiple CIP를 포함할 수 있다. 여기서, CIP 정상 응답 리스트(S130b)는 CIP와 Multiple CIP 중 어느 하나를 포함할 수도 있다. CIP 정상 응답 리스트(S130b)의 CIP는 Service 필드, 및 Status 필드를 포함할 수 있다. CIP 정상 응답 리스트(S130b)가 Multiple CIP를 포함하는 경우, CIP 정상 응답 리스트(S130b)의 Multiple CIP는 복수의 CIP별 Service 필드, 및 Status 필드를 포함할 수 있다.The CIP normal response list S130b may include CIP and Multiple CIP. Here, the CIP normal response list S130b may include one of CIP and Multiple CIP. The CIP of the CIP normal response list (S130b) may include a Service field and a Status field. When the CIP normal response list S130b includes multiple CIPs, the multiple CIPs of the CIP normal response list S130b may include a plurality of CIP-specific service fields and a status field.

도 5는 본 개시에 따른 실시 예의 이상징후 인지에 따른 경보 레벨의 예를 설명하는 도면이다.5 is a view for explaining an example of the alarm level according to the recognition of abnormal signs of the embodiment according to the present disclosure.

도 5를 참조하면, 경보 레벨(S210)은 알람(Alarm), 위험(Critical), 경고(Warning), 주의(Attention), 관심(Notice), 정상(Normal)로 구분될 수 있다.Referring to FIG. 5, the alarm level S210 may be divided into alarm, critical, warning, attention, notice, and normal.

도 5에 도시된 바와 같이, 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간에 송/수신되는 제1 패킷에 이상징후가 인지된 경우, CIP Service Code(S220)에 따라 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 EIP Status Code(S230)에 따라 상기 제1 패킷의 이상징후를 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 비정상 행위(S240) 분류에 따라 상기 제1 패킷의 이상징후를 경보 레벨(S240)과 매핑할 수 있다.As shown in FIG. 5, the smart manufacturing network security monitoring system 100 detects an abnormal sign in the first packet transmitted / received between the operating device 210 and the control device 220, and the CIP Service Code (S220). ) Can be mapped to the alert level (S210). The smart manufacturing network security monitoring system 100 may map an abnormal sign of the first packet to an alert level S210 according to the EIP Status Code (S230). The smart manufacturing network security monitoring system 100 may map an abnormal sign of the first packet to an alert level S240 according to the classification of the abnormal action S240.

일 예로서, EIP-CIP 네트워크분석부(110)는 상기 제1 패킷에 포함된 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류를 분류할 수 있다. EIP-CIP 네트워크분석부(110)는 분류된 EIP의 Command, Status 및 CIP의 Service, Class, Status 중 적어도 하나를 경보 레벨(S210))과 매핑할 수 있다. 이 경우, EIP-CIP 네트워크분석부(110)는 정상(Normal)인 코드만 정상 패킷 리스트로 등록하고, 정상 패킷 리스트에 포함되지 않는 경우 상기 제1 패킷에 대한 이상징후로 인지할 수 있다. EIP-CIP 네트워크분석부(110)는 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류에 따른 경보 레벨(S210)과 매핑하여 상기 제1 패킷에 대해서 경보를 발생할 수 있다.As an example, the EIP-CIP network analysis unit 110 may classify the types of commands, status, etc. of EIP included in the first packet, and types of services, classes, and status of CIP. The EIP-CIP network analysis unit 110 may map at least one of the classified EIP command, status, and CIP service, class, and status to the alert level (S210). In this case, the EIP-CIP network analysis unit 110 registers only a normal code as a normal packet list, and if it is not included in the normal packet list, it can recognize the abnormality for the first packet. The EIP-CIP network analysis unit 110 may generate an alarm for the first packet by mapping it with an alarm level (S210) according to the type of EIP Command, Status, etc., and the type of CIP Service, Class, Status, etc. .

또한, 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간에 송/수신되는 제2 패킷에 이상징후가 인지된 경우, CIP Service Code(S220)에 따라 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 EIP Status Code(S230)에 따라 상기 제2 패킷의 이상징후를 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 비정상 행위(S240) 분류에 따라 상기 제2 패킷의 이상징후를 경보 레벨(S240)과 매핑할 수 있다.In addition, the smart manufacturing network security monitoring system 100, when an abnormal sign is recognized in the second packet transmitted / received between the control device 220 and the field device 230, the alarm level (in accordance with the CIP Service Code (S220)) S210). The smart manufacturing network security monitoring system 100 may map an abnormal sign of the second packet to the alert level S210 according to the EIP Status Code S230. The smart manufacturing network security monitoring system 100 may map an abnormal sign of the second packet to the alert level S240 according to the classification of the abnormal action S240.

일 예로서, EIP-CIP 네트워크분석부(110)는 상기 제2 패킷에 포함된 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류를 분류할 수 있다. EIP-CIP 네트워크분석부(110)는 분류된 EIP의 Command, Status 및 CIP의 Service, Class, Status 중 적어도 하나를 경보 레벨(S210))과 매핑할 수 있다. 이 경우, EIP-CIP 네트워크분석부(110)는 정상(Normal)인 코드만 정상 패킷 리스트로 등록하고, 정상 패킷 리스트에 포함되지 않는 경우 상기 제2 패킷에 대한 이상징후로 인지할 수 있다. EIP-CIP 네트워크분석부(110)는 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류에 따른 경보 레벨(S210)과 매핑하여 상기 제2 패킷에 대해서 경보를 발생할 수 있다.As an example, the EIP-CIP network analysis unit 110 may classify the types of commands, status, etc. of EIP included in the second packet, and types of services, classes, and status of CIP. The EIP-CIP network analysis unit 110 may map at least one of the classified EIP command, status, and CIP service, class, and status to the alert level (S210). In this case, the EIP-CIP network analyzer 110 registers only a normal code as a normal packet list, and if it is not included in the normal packet list, it can recognize the abnormality of the second packet. The EIP-CIP network analysis unit 110 may generate an alarm for the second packet by mapping with an alarm level (S210) according to the type of EIP Command, Status, etc., and the type of CIP Service, Class, Status, etc. .

도 6a 및 도 6b는 본 개시에 따른 실시 예의 EIP-CIP 네트워크 분석부(110)의 동작을 설명하기 위한 흐름도이다.6A and 6B are flowcharts for explaining the operation of the EIP-CIP network analysis unit 110 according to an embodiment of the present disclosure.

도 1, 도 2a 내지 도 2c, 도 3, 도 6a 및 도 6b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)를 모니터링하여 스마트 제조 네트워크(200)에서 전송되는 네트워크 패킷을 수집할 수 있다(S301).1, 2A to 2C, 3, 6A and 6B, the smart manufacturing network security monitoring system 100 monitors the smart manufacturing network security monitoring system 100 by monitoring the smart manufacturing network 200. Network packets transmitted from the smart manufacturing network 200 may be collected (S301).

일 예로서, 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간의 네트워크를 모니터링하여, 운영장치(210)와 제어장치(220) 사이에 송/수신되는 제1 패킷들을 수집할 수 있다. 또한, 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 네트워크를 모니터링하여, 제어장치(220)와 현장장치(230) 사이에 송/수신되는 제2 패킷들을 수집할 수 있다. S301 이후의 동작들은 운영장치(210)와 제어장치(220) 사이에 송/수신되는 제1 패킷 및 제어장치(220)와 현장장치(230) 사이에 송/수신되는 제2 패킷에 대해서 동일하게 적용될 수 있다.As an example, the smart manufacturing network security monitoring system 100 monitors the network between the operating device 210 and the control device 220 to transmit / receive the first transmission / reception between the operating device 210 and the control device 220. Packets can be collected. In addition, the smart manufacturing network security monitoring system 100 monitors the network between the control device 220 and the field device 230, and transmits / receives the second packets between the control device 220 and the field device 230. Can be collected. Operations after S301 are the same for the first packet transmitted / received between the operating device 210 and the control device 220 and the second packet transmitted / received between the control device 220 and the field device 230. Can be applied.

이어서, EIP-CIP 네트워크 분석부(110)는 수집된 네트워크 패킷들 각각이 EtherNet/IP 프로토콜 패킷인지 판단할 수 있다(S302).Subsequently, the EIP-CIP network analysis unit 110 may determine whether each of the collected network packets is an EtherNet / IP protocol packet (S302).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S302의 판단 결과에 기초하여 수집된 네트워크 패킷이 EtherNet/IP 프로토콜 패킷이 아닌 비정상 패킷이면, 수집된 비정상 패킷을 해당 프로토콜 감시 기능으로 전달할 수 있다(S303).Subsequently, if the network packet collected based on the determination result of S302 is an abnormal packet rather than an EtherNet / IP protocol packet, the smart manufacturing network security monitoring system 100 may transmit the collected abnormal packet to a corresponding protocol monitoring function (S303). ).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S302의 판단 결과에 기초하여 수집된 네트워크 패킷이 EtherNet/IP 프로토콜이면, 수집된 패킷의 이더넷 헤더를 분석할 수 있다(S304).Subsequently, the smart manufacturing network security monitoring system 100 may analyze the Ethernet header of the collected packet if the collected network packet is an EtherNet / IP protocol based on the determination result of S302 (S304).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S304의 분석 결과에 기초하여, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있는지 판단할 수 있다(S305).Subsequently, the smart manufacturing network security monitoring system 100 may determine whether an operation device MAC, a control device MAC, and an Ethernet type are included in the EIP-CIP Normal Network List based on the analysis result of S304 (S305).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S305의 판단 결과, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있으면, 패킷의 IP 헤더를 분석할 수 있다(S306).Subsequently, the smart manufacturing network security monitoring system 100 may analyze the IP header of the packet if the operation device MAC, control device MAC, and Ethernet type are included in the EIP-CIP Normal Network List as a result of the determination of S305 (S306). ).

스마트 제조 네트워크 보안감시 시스템(100)은 S305의 판단 결과, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있지 않으면 경보 레벨을 분석할 수 있다. 이후, 스마트 제조 네트워크 보안감시 시스템(100)은 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).As a result of the determination of S305, the smart manufacturing network security monitoring system 100 may analyze the alarm level if the operating device MAC, control device MAC, and Ethernet type are not included in the EIP-CIP Normal Network List. Thereafter, the smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet (S313).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S306의 분석 결과에 기초하여, 패킷에 포함된 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있는지 판단할 수 있다(S307).Subsequently, the smart manufacturing network security monitoring system 100 may determine whether the operating device IP, the control device IP, and the protocol included in the packet are included in the EIP-CIP Normal Network List based on the analysis result of S306 (S307). ).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S307의 판단 결과, 패킷에 포함된 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있으면, Fragment Offset, TTL(Time To Live) 등이 정상인지 판단할 수 있다(S308).Subsequently, as a result of the determination of S307, the smart manufacturing network security monitoring system 100, if the operating device IP, control device IP, and protocol included in the packet are included in the EIP-CIP Normal Network List, Fragment Offset, TTL (Time To Live) ) Can be determined whether it is normal (S308).

한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S307의 판단 결과, 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있지 않으면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network security monitoring system 100 analyzes the alarm level if the operation device IP, control device IP, and protocol are not included in the EIP-CIP Normal Network List as a result of the determination of S307, and checks for abnormal signs of the packet. An alarm may be generated (S313).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S308의 판단 결과, Fragment Offset, TTL(Time To Live) 등이 정상이면 패킷의 TCP/UDP 헤더를 분석할 수 있다(S309).Subsequently, the smart manufacturing network security monitoring system 100 may analyze the TCP / UDP header of the packet when the determination result of S308, the Fragment Offset, Time To Live (TTL), and the like are normal (S309).

한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S308의 판단 결과, Fragment Offset, TTL(Time To Live) 중 하나 이상이 비정상이면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).Meanwhile, the smart manufacturing network security monitoring system 100 may analyze the alarm level when one or more of the Fragment Offset and Time To Live (TTL) is abnormal as a result of the determination of S308, and generate an alarm for abnormal signs of the packet ( S313).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S309의 분석 결과에 기초하여, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있는지 판단할 수 있다(S310).Subsequently, the smart manufacturing network security monitoring system 100 may determine whether the operating device PORT and the control device PORT are included in the normal network list based on the analysis result of S309 (S310).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S310의 판단 결과, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있으면, Sequence Number, TCP Flag(시작, 중지) 등이 정상인지 판단할 수 있다(S311).Subsequently, as a result of the determination of S310, the smart manufacturing network security monitoring system 100 may determine whether the sequence number, TCP flag (start, stop), etc. are normal when the operating device PORT and the control device PORT are included in the normal network list. Yes (S311).

한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S310의 판단 결과, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있지 않으면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network security monitoring system 100, as a result of the determination of S310, if the operating device PORT, the control device PORT is not included in the normal network list, analyzes the alarm level and can generate an alarm for abnormal signs of the packet. (S313).

이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S311의 판단 결과, Sequence Number, TCP Flag(시작, 중지) 등이 정상이면, 운영장치(210)에서 제어장치(220)로 전송되는 패킷인지 판별할 수 있다(S312).Subsequently, if the determination result of S311, the sequence number, the TCP flag (start, stop), etc. are normal, the smart manufacturing network security monitoring system 100 determines whether the packet is transmitted from the operating device 210 to the control device 220. It can be (S312).

한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S311의 판단 결과, Sequence Number, TCP Flag(시작, 중지) 중 하나 이상이 정상이 아니면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다. 즉, 스마트 제조 네트워크 보안감시 시스템(100)은 EIP 패킷이 아니면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network security monitoring system 100 may analyze the alarm level when one or more of the sequence number and the TCP flag (start, stop) as a result of the determination of S311, and generate an alarm for an abnormal sign of the packet. have. That is, the smart manufacturing network security monitoring system 100 may analyze the alert level if it is not an EIP packet and generate an alert for an abnormal sign of the packet (S313).

S312의 판단 결과, EIP-CIP 네트워크 분석부(110)는 운영장치(210)에서 제어장치(220)로 전송되는 제1 패킷이면, 제1 패킷을 EIP-CIP 요청분석부(120)로 전달할 수 있다.As a result of the determination of S312, the EIP-CIP network analysis unit 110 may transmit the first packet to the EIP-CIP request analysis unit 120 if the first packet is transmitted from the operating device 210 to the control device 220. have.

S312의 판단 결과, EIP-CIP 네트워크 분석부(110)는 제어장치(220)에서 운영장치(210)로 전송되는 제2 패킷이면, 제2 패킷을 EIP-CIP 응답분석부(130)로 전달할 수 있다.As a result of the determination of S312, the EIP-CIP network analysis unit 110 may transmit the second packet to the EIP-CIP response analysis unit 130 if the second packet is transmitted from the control unit 220 to the operation unit 210. have.

S313의 분석 결과, 경보가 발생하면 EIP-CIP 요청분석부(120) 및/또는 EIP-CIP 응답분석부(130)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.As a result of the analysis of S313, when an alarm occurs, the EIP-CIP request analysis unit 120 and / or the EIP-CIP response analysis unit 130 may deliver an alarm and a log to the EIP-CIP risk analysis unit 140.

도 7a 및 도 7b는 본 개시에 따른 실시 예의 EIP-CIP 요청분석부(120)의 동작을 설명하기 위한 흐름도이다.7A and 7B are flowcharts for explaining the operation of the EIP-CIP request analysis unit 120 of the embodiment according to the present disclosure.

도 2a, 도 2b, 도 7a 및 도 7b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)의 EIP-CIP 요청분석부(120)는 운영장치(210)에서 제어장치(220)로 전송되는 제1 요청 패킷을 수집할 수 있다. 또한, EIP-CIP 요청분석부(120)는 현장장치(230)에서 제어장치(220)로 전송되는 제2 요청 패킷을 수집할 수 있다.2A, 2B, 7A, and 7B, the EIP-CIP request analysis unit 120 of the smart manufacturing network security monitoring system 100 is configured to transmit the control device 220 from the operating device 210 to the control device 220. 1 Request packets can be collected. In addition, the EIP-CIP request analysis unit 120 may collect a second request packet transmitted from the field device 230 to the control device 220.

EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Encapsulation Header를 분석할 수 있다(S401).The EIP-CIP request analysis unit 120 may analyze the EIP Encapsulation Header of the collected request packet (S401).

이어서, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있는지 판단할 수 있다(S402).Subsequently, the EIP-CIP request analysis unit 120 may determine whether the EIP Request Command of the collected request packet is included in the EIP normal request list (S402).

S402의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있으면, 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S403).As a result of the determination of S402, the EIP-CIP request analysis unit 120 determines whether the EIP Length of the collected request packet matches the EIP normal request list if the EIP Request Command of the collected request packet is included in the EIP normal request list. It can be (S403).

한편, S402의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S402, the EIP-CIP request analysis unit 120 may analyze the alert level if the EIP Request Command of the collected request packet is not included in the EIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for abnormal signs of the packet based on the analysis of the alarm level (S412).

이어서, S403의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하면, EIP Encapsulation Data(Command Specific Data)를 분석할 수 있다(S404). Subsequently, when the determination result of S403, the EIP-CIP request analysis unit 120 may analyze the EIP Encapsulation Data (Command Specific Data) when the EIP Length of the collected request packet matches the EIP normal request list (S404).

한편, S403의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하지 않으면 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S403, the EIP-CIP request analysis unit 120 may analyze the alert level if the EIP Length of the collected request packet does not match the EIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet based on the analysis of the alarm level (S412).

이어서, EIP-CIP 요청분석부(120)는 S404의 분석 결과에 기초하여 수집된 요청 패킷의 Address Item Type 및 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있는지 판단할 수 있다(S405).Subsequently, the EIP-CIP request analysis unit 120 may determine whether the Address Item Type and Data Item Type of the collected request packet are included in the EIP normal request list based on the analysis result of S404 (S405).

이어서, S405의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Address Item Type과 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있으면, 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S406).Subsequently, when the determination result of S405, the EIP-CIP request analysis unit 120 includes the address item type and data item type of the collected request packet in the EIP normal request list, the data item length of the collected request packet is EIP normal. It can be determined whether it matches the request list (S406).

한편, S405의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Address Item Type과 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S405, the EIP-CIP request analysis unit 120 may analyze the alert level if the address item type and data item type of the collected request packet are not included in the EIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet based on the analysis of the alarm level (S412).

이어서, S406의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하면, CIP를 분석할 수 있다(S407).Subsequently, when the determination result of S406, the EIP-CIP request analysis unit 120 may analyze the CIP when the data item length of the collected request packet matches the EIP normal request list (S407).

한편, S406의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S406, the EIP-CIP request analysis unit 120 may analyze the alert level if the data item length of the collected request packet does not match the EIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet based on the path level analysis (S412).

이어서, S407의 분석 결과에 기초하여, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Service, Class, Instance 등 Object가 CIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S408).Subsequently, based on the analysis result of S407, the EIP-CIP request analysis unit 120 may determine whether an object such as Service, Class, Instance of the collected request packet matches the CIP normal request list (S408).

이어서, S408의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하면, 수집된 요청 패킷이 Multiple CIP 패킷인지 판단할 수 있다(S409).Subsequently, as a result of the determination of S408, the EIP-CIP request analysis unit 120 may determine whether the collected request packet is a multiple CIP packet when the object of the collected request packet matches the CIP normal request list (S409).

한편, S408의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of determination of S408, the EIP-CIP request analysis unit 120 may analyze the alert level if the object of the collected request packet does not match the CIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet based on the analysis of the alarm level (S412).

이어서, S409의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷이 Multiple CIP 패킷이면, CIP별 Service, Class, Instance 등 Object가 CIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S410).Subsequently, as a result of the determination of S409, if the collected request packet is a multiple CIP packet, the EIP-CIP request analysis unit 120 may determine whether an object such as a service, class, and instance for each CIP matches the normal CIP request list (S410). ).

S409의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷이 Multiple CIP가 아니면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다. 여기서, 단위 시간당 같은 세션에 대한 EIP Command/Session, CIP Object 기반 패킷수 분석을 수행할 수 있다(도 9의 S601 참조).As a result of the determination in S409, the EIP-CIP request analysis unit 120 may deliver the result to the EIP-CIP risk analysis unit 140 if the collected request packet is not a multiple CIP. Here, the number of packets based on EIP Command / Session, CIP Object for the same session per unit time may be performed (see S601 in FIG. 9).

S410의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하면, 마지막 Offset까지 처리되었는지 판단할 수 있다(S411).As a result of the determination of S410, if the object of the collected request packet matches the CIP normal request list, the EIP-CIP request analysis unit 120 may determine whether the last offset has been processed (S411).

한편, S410의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S410, the EIP-CIP request analysis unit 120 may analyze the alert level if the object of the collected request packet does not match the CIP normal request list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of the packet based on the path level analysis (S412).

이어서, S411 판단 결과, EIP-CIP 요청분석부(120)는 마지막 Offset까지 처리되었으면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Subsequently, as a result of the determination of S411, if the EIP-CIP request analysis unit 120 is processed until the last offset, the result may be delivered to the EIP-CIP risk analysis unit 140.

한편, S411 판단 결과, EIP-CIP 요청분석부(120)는 마지막 Offset까지 처리되지 않았으면 S410 과정을 재 수행할 수 있다.Meanwhile, as a result of the determination of S411, if the EIP-CIP request analysis unit 120 has not been processed until the last offset, the process of S410 may be performed again.

S412의 수행에 의해서 경보가 발생하면, EIP-CIP 요청분석부(120)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.When an alarm occurs by performing S412, the EIP-CIP request analysis unit 120 may deliver an alarm and a log to the EIP-CIP risk analysis unit 140.

도 8a 및 도 8b는 본 개시에 따른 실시 예의 EIP-CIP 응답분석부(130)의 동작을 설명하기 위한 흐름도이다.8A and 8B are flowcharts for explaining the operation of the EIP-CIP response analysis unit 130 of the embodiment according to the present disclosure.

도2 a, 도 2b, 도 8a 및 도 8b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)의 EIP-CIP 응답분석부(130)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 수집하고, 수집된 응답 패킷의 EIP Encapsulation Header를 분석할 수 있다(S501).2A, 2B, 8A, and 8B, the EIP-CIP response analysis unit 130 of the smart manufacturing network security monitoring system 100 is transmitted from the control device 220 to the operating device 210 The response packet may be collected and the EIP Encapsulation Header of the collected response packet may be analyzed (S501).

S501의 분석에 기초하여, EIP-CIP 응답분석부(130)는 EIP Response에 매핑되는 EIP Request Command, Session Handle이 수집된 응답 패킷에 존재하는지 판단할 수 있다(S502).Based on the analysis of S501, the EIP-CIP response analysis unit 130 may determine whether an EIP Request Command or Session Handle mapped to the EIP Response exists in the collected response packet (S502).

S502의 판단 결과, 수집된 응답 패킷에 EIP Request Command, Session Handle이 존재하면, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하는지 판단할 수 있다(S503).As a result of the determination of S502, if there is an EIP Request Command and Session Handle in the collected response packet, the EIP-CIP response analysis unit 130 may determine whether the EIP Length matches the EIP normal response list (S503).

S502의 판단결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷에 EIP Request Command, Session Handle이 존재하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).As a result of the determination of S502, the EIP-CIP response analysis unit 130 may analyze the alert level when the EIP Request Command and Session Handle do not exist in the collected response packet. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

S503의 판단 결과, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하면, EIP Status가 성공(Success)인지 판단할 수 있다(S504).As a result of the determination of S503, the EIP-CIP response analysis unit 130 may determine whether the EIP Status is Success (S504) if the EIP Length matches the EIP normal response list (S504).

한편, S503의 판단 결과, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S503, the EIP-CIP response analysis unit 130 may analyze the alarm level if the EIP Length does not match the EIP normal response list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S504의 판단 결과, 성공(Success)이면, EIP-CIP 응답분석부(130)는 EIP Encapsulation Data(Command Specific Data)를 분석할 수 있다(S505).Subsequently, if the determination result of S504 is Success, the EIP-CIP response analysis unit 130 may analyze the EIP Encapsulation Data (Command Specific Data) (S505).

한편, S504의 판단 결과, 성공(Success)이 아니면, EIP-CIP 응답분석부(130)는 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, if the result of the determination of S504, success (Success), EIP-CIP response analysis unit 130 may analyze the alarm level. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S505의 분석에 기초하여 EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있는지 판단할 수 있다(S506).Subsequently, based on the analysis of S505, the EIP-CIP response analysis unit 130 may determine whether the Address Item Type and Data Item Type are included in the EIP normal response list (S506).

이어서, S506의 판단 결과, EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있으면, Data Item Length가 EIP 정상 응답 리스트와 일치하는지 판단할 수 있다(S507).Subsequently, as a result of the determination of S506, the EIP-CIP response analysis unit 130 may determine whether the Data Item Length matches the EIP normal response list if the Address Item Type and Data Item Type are included in the EIP normal response list ( S507).

이어서, S506의 판단 결과, EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).Subsequently, as a result of the determination of S506, the EIP-CIP response analysis unit 130 may analyze the alarm level if the Address Item Type and Data Item Type are not included in the EIP normal response list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S507의 판단 결과, EIP-CIP 응답분석부(130)는 Data Item Length가 EIP 정상 응답 리스트와 일치하면, CIP를 분석할 수 있다(S509).Subsequently, as a result of the determination of S507, the EIP-CIP response analysis unit 130 may analyze the CIP when the Data Item Length matches the EIP normal response list (S509).

한편, S507의 판단 결과, EIP-CIP 응답분석부(130)는 Data Item Length가 EIP 정상 응답 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S507, the EIP-CIP response analysis unit 130 may analyze the alarm level if the Data Item Length does not match the EIP normal response list. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S509의 분석에 기초하여 EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되는지 판단할 수 있다(S509).Subsequently, based on the analysis of S509, the EIP-CIP response analysis unit 130 may determine whether the Response CIP Service is mapped to the Request CIP Service (S509).

이어서, S509의 판단 결과, EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되면, CIP Status가 성공(Success)인지 판단할 수 있다(S510).Subsequently, as a result of the determination of S509, if the Response CIP Service is mapped to the Request CIP Service, the EIP-CIP response analysis unit 130 may determine whether the CIP Status is Success (S510).

한편, S509의 판단 결과, EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).Meanwhile, as a result of the determination of S509, if the Response CIP Service is not mapped to the Request CIP Service, the EIP-CIP response analysis unit 130 may analyze the alert level. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S510의 판단 결과, EIP-CIP 응답분석부(130)는 CIP Status가 성공(Success)이면, 수집된 응답 패킷이 Multiple CIP 패킷인지 판단할 수 있다(S511).Subsequently, as a result of the determination of S510, the EIP-CIP response analysis unit 130 may determine whether the collected response packet is a multiple CIP packet if the CIP Status is Success (S511).

한편, S510의 판단 결과, EIP-CIP 응답분석부(130)는 CIP Status가 성공(Success)이 아니면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S510, the EIP-CIP response analysis unit 130 may analyze the alarm level if the CIP Status is not successful. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S511의 판단 결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷이 Multiple CIP 패킷이면, CIP별 Status가 성공(Success)인지 판단할 수 있다(S512).Subsequently, as a result of the determination of S511, if the collected response packet is a multiple CIP packet, the EIP-CIP response analysis unit 130 may determine whether the status of each CIP is successful (S512).

한편, S511의 판단 결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷이 Multiple CIP 패킷이 아니면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Meanwhile, as a result of the determination of S511, the EIP-CIP response analysis unit 130 may transmit the result to the EIP-CIP risk analysis unit 140 if the collected response packet is not a multiple CIP packet.

이어서, S512의 판단 결과, EIP-CIP 응답분석부(130)는 CIP별 Status가 성공(Success)이면, 마지막 Offset까지 처리되었는지 판단할 수 있다(S513).Subsequently, as a result of the determination of S512, the EIP-CIP response analysis unit 130 may determine if the status of each CIP is successful (Success) (S513).

한편, S512의 판단 결과, EIP-CIP 응답분석부(130)는 CIP별 Status가 성공(Success)이 아니면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S512, the EIP-CIP response analysis unit 130 may analyze the alarm level if the status of each CIP is not successful. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S514).

이어서, S513의 판단 결과, EIP-CIP 응답분석부(130)는 마지막 Offset까지 처리되었으면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Subsequently, when the determination result of S513, the EIP-CIP response analysis unit 130 has been processed until the last offset, the result may be transmitted to the EIP-CIP risk analysis unit 140.

한편, S513의 판단 결과, EIP-CIP 응답분석부(130)는 마지막 Offset까지 처리되지 않았으면, S512의 과정을 재 수행할 수 있다.Meanwhile, as a result of the determination of S513, if the EIP-CIP response analysis unit 130 has not been processed until the last offset, the process of S512 can be performed again.

S514의 수행에 의해서 경보가 발생하면, EIP-CIP 응답분석부(130)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.When an alarm occurs by performing S514, the EIP-CIP response analysis unit 130 may deliver an alarm and a log to the EIP-CIP risk analysis unit 140.

도 9는 본 개시에 따른 실시 예의 EIP-CIP 위험분석부의 동작을 설명하기 위한 흐름도이다.9 is a flowchart for explaining the operation of the EIP-CIP risk analysis unit of the embodiment according to the present disclosure.

도 9를 참조하면, EIP-CIP 위험분석부(140)는 EIP-CIP 요청분석부(120) 및 EIP-CIP 응답분석부(130)로부터 패킷 정보들을 수신할 수 있다. EIP-CIP 위험분석부(140)는 상기 패킷 정보들을 수신하면 단위 시간당 같은 세션에 대한 EIP Command/Session 및 CIP Object(Service, Class, Instance)에 기반하여 패킷 개수를 분석할 수 있다(S601).Referring to FIG. 9, the EIP-CIP risk analysis unit 140 may receive packet information from the EIP-CIP request analysis unit 120 and the EIP-CIP response analysis unit 130. Upon receiving the packet information, the EIP-CIP risk analysis unit 140 may analyze the number of packets based on the EIP Command / Session and CIP Object (Service, Class, Instance) for the same session per unit time (S601).

이어서, S601의 분석에 기초하여 EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷 개수가 허용범위 내인지 판단할 수 있다(S602).Subsequently, based on the analysis of S601, the EIP-CIP risk analysis unit 140 may determine whether the number of EIP Command / Session, CIP Object packets is within the allowable range (S602).

이어서, S602의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷수가 허용범위 이내이면, 단위시간당 같은 세션에 대한 EIP Command/Session, CIP Object(Service, Class, Instance)에 기반하여 패킷량을 분석할 수 있다(S603).Subsequently, as a result of the determination of S602, the EIP-CIP risk analysis unit 140, if the number of EIP Command / Session and CIP Object packets is within the allowable range, EIP Command / Session, CIP Object (Service, Class, Instance) Based on), it is possible to analyze the packet amount (S603).

한편, S602의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷 개수가 허용범위를 벗어나면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S605).On the other hand, as a result of the determination of S602, the EIP-CIP risk analysis unit 140 may analyze the alert level when the number of EIP Command / Session and CIP Object packets is outside the allowable range. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S605).

이어서, S603의 분석 결과에 기초하여, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위 이내인지 판단할 수 있다(S604).Subsequently, based on the analysis result of S603, the EIP-CIP risk analysis unit 140 may determine whether the EIP Command / Session, CIP Object packet amount is within an allowable range (S604).

이어서, S604의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위 이내이면 동작을 종료할 수 있다.Subsequently, as a result of the determination of S604, the EIP-CIP risk analysis unit 140 may end the operation when the EIP Command / Session, CIP Object packet amount is within an allowable range.

한편, S604의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위를 벗어나면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S605).On the other hand, as a result of the determination of S604, the EIP-CIP risk analysis unit 140 may analyze the alarm level when the EIP Command / Session, CIP Object packet amount is outside the allowable range. The smart manufacturing network security monitoring system 100 may generate an alarm for an abnormal sign of a packet based on the path level analysis (S605).

일 예로서, EIP-CIP 위험분석부(140)는 S605에서 경보가 발생하면 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, the EIP-CIP risk analysis unit 140 may analyze a log for the same alarm per unit time when an alarm occurs in S605 (S606).

일 예로서, EIP-CIP 위험분석부(140)는 EIP-CIP 네트워크 분석부(110)에서 수행되는 S313에서 경보가 발생하면, 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, if an alarm occurs in S313 performed by the EIP-CIP network analysis unit 140 in the EIP-CIP network analysis unit 110, the log for the same alarm per unit time may be analyzed (S606).

일 예로서, EIP-CIP 요청분석부(120)에서 수행되는 S412에서 경보가 발생하면, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, when an alarm occurs in S412 performed by the EIP-CIP request analysis unit 120, the EIP-CIP risk analysis unit 140 may analyze a log for the same alarm per unit time (S606).

일 예로서, EIP-CIP 응답분석부(130)에서 수행되는 S514에서 경보가 발생하면, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, if an alarm occurs in S514 performed by the EIP-CIP response analysis unit 130, the EIP-CIP risk analysis unit 140 may analyze a log for the same alarm per unit time (S606).

이어서, S606의 분석 결과에 기초하여, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위 이내인지 판단할 수 있다(S607).Subsequently, based on the analysis result of S606, the EIP-CIP risk analysis unit 140 may determine whether the same alarm log per unit time is within an allowable range (S607).

이어서, S607의 판단 결과, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위 내이면 동작을 종료할 수 있다.Subsequently, as a result of the determination of S607, the EIP-CIP risk analysis unit 140 may end the operation if the same alarm log per unit time is within an allowable range.

한편, S607의 판단 결과, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위를 벗어나면, 연관 분석을 통해 상향 조정된 경보를 발생하고, 로깅(Logging)할 수 있다(S608).On the other hand, as a result of the determination in S607, the EIP-CIP risk analysis unit 140 may generate an upwardly adjusted alarm through association analysis and log (Logging) when the same alarm log per unit time is out of the allowable range (S608). ).

본 개시에 따른 실시 예들에 따르면, EIP-CIP 네트워크 분석을 통해 Normal Network List와 비교함으로써 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 인지하여 제거함으로써 안전한 스마트 제조 네트워크를 유지해 준다.According to the embodiments according to the present disclosure, it is possible to maintain a safe smart manufacturing network by recognizing and removing unauthorized or disguised operating devices, control devices, and services by comparing with the Normal Network List through EIP-CIP network analysis.

본 개시에 따른 실시 예들에 따르면, EIP-CIP 요청분석을 통해 EIP 정상 요청 리스트 및 CIP 정상 요청 리스트와 비교함으로써 운영장치에서 제어장치로의 비인가된 명령이나 중요 명령의 실행을 인지함으로써 제어장치를 안전하게 보호하고 대비할 수 있다.According to the embodiments according to the present disclosure, the EIP-CIP request analysis is performed to compare the EIP normal request list and the CIP normal request list to recognize the execution of unauthorized commands or important commands from the operating device to the control device to safely control the control device. You can protect and prepare.

본 개시에 따른 실시 예에 따르면, EIP-CIP 응답분석을 통해 EIP 정상 응답 리스트 및 CIP 정상 응답 리스트와 비교함으로써 운영장치의 명령에 따른 제어장치의 이상징후를 파악하여 안전하게 유지할 수 있도록 대응할 수 있다.According to an embodiment of the present disclosure, by comparing the EIP normal response list and the CIP normal response list through EIP-CIP response analysis, it is possible to identify and abnormally control the control device according to the command of the operating device so that it can be safely maintained.

본 개시에 따른 실시 예에 따르면, EIP-CIP 위험분석을 통해 EIP-CIP 명령 특성에 따른 이상징후를 인지하고 발생 경보에 따른 상관분석을 통해 잠재적 위협을 분석함으로써 스마트 제조 네트워크를 안전하게 보호하고 침해사고에 빠르게 대응할 수 있다.According to an embodiment according to the present disclosure, the EIP-CIP risk analysis is used to recognize anomalies according to the characteristics of the EIP-CIP command and to analyze potential threats through correlation analysis according to the occurrence alert to secure the smart manufacturing network and to infringe incidents. Can respond quickly.

이상, 첨부된 도면을 참조하여 본 개시에 따른 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시 예는 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해하여야 한다.The embodiments according to the present disclosure have been described above with reference to the accompanying drawings, but those having ordinary knowledge in the technical field to which the present invention pertains may be implemented in other specific forms without changing the technical spirit or essential features of the present invention. You will understand that you can. It should be understood that the embodiments described above are illustrative in all respects and not restrictive.

100: 스마트 제조 네트워크 보안감시시스템
110: EIP-CIP 네트워크분석부
120: EIP-CIP 요청분석부
130: EIP-CIP 응답분석부
140: EIP-CIP 위험분석부
200: 스마트 제조 네트워크
210: 운영장치 (Level 2)
220: 제어장치 (Level 1)
230: 현장 장치 (Level 0)100: Smart Manufacturing Network Security Monitoring System
110: EIP-CIP Network Analysis Department
120: EIP-CIP request analysis unit
130: EIP-CIP Response Analysis Department
140: EIP-CIP risk analysis department
200: Smart Manufacturing Network
210: operating device (Level 2)
220: Control (Level 1)
230: Field Device (Level 0)

Claims (15)

스마트 제조 네트워크에서 운영장치, 제어장치 및 현장장치가 산업용 네트워크 프로토콜 EtherNet/IP(EIP)-CIP(Common Industrial Protocol)을 사용하여 EtherNet/IP 패킷을 송/수신하는 통신환경에 있어서,
EIP-CIP 네트워크 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 제1 EIP-CIP 패킷과, 상기 제어장치와 상기 현장장치 간에 송/수신되는 제2 EIP-CIP 패킷을 수집하는 단계;
EIP-CIP 네트워크 분석부에서, 수집된 상기 제1 EIP-CIP 패킷 및 상기 제2 EIP-CIP 패킷 각각을 EIP-CIP Normal Network List에 기초하여 네트워크 이상징후를 분석하고, 상기 운영장치, 상기 제어장치 및 상기 현장장치에 기초하여 상기 제1 및 제2 EIP-CIP 패킷들을 분류하는 단계;
EIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전송되는 제1 EIP-CIP 요청 패킷을 수신하고, 상기 제1 EIP-CIP 요청 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교하고, 상기 EIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
상기 EIP 요청분석부에서, 상기 제어장치에서 상기 현장장치로 전송되는 제2 EIP-CIP 요청 패킷을 수신하고, 상기 제2 EIP-CIP 요청 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 상기 EIP 정상 요청 리스트와 비교하고, 상기 EIP 정상 요청 패킷과 비교한 결과에 기초하여 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
CIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷을 수신하고, 상기 제1 EIP-CIP 요청 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교하고, 상기 CIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
상기 CIP 요청분석부에서, 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 요청 패킷을 수신하고, 상기 제2 EIP-CIP 요청 패킷의 CIP 필드 및 Multiple CIP 필드를 상기 CIP 정상 요청 리스트와 비교하고, 상기 CIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
EIP 응답 분석부에서, 상기 제어장치에서 상기 운영장치로 전송되는 제1 EIP-CIP 응답 패킷을 수신하고, 상기 제1 EIP-CIP 응답 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교하고, 상기 EIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
상기 EIP 응답분석부에서, 상기 현장장치에서 상기 제어장치로 전송되는 제2 EIP-CIP 응답 패킷을 수신하고, 상기 제2 EIP-CIP 응답 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 상기 EIP 정상 응답 리스트와 비교하고, 상기 EIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
CIP 응답분석부에서, 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷을 수신하고, 상기 제1 EIP-CIP 응답 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교하고, 상기 CIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
상기 CIP 응답분석부에서, 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷을 수신하고, 상기 제2 EIP-CIP 응답 패킷의 CIP 필드 및 Multiple CIP 필드를 상기 CIP 정상 응답 리스트와 비교하고, 상기 CIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
명령 특성별 주기 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 제1 패킷수에 따른 주기를 분석하고, 상기 제1 패킷수에 따른 주기를 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 명령 특성별 주기 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 제2 패킷수에 따른 주기를 분석하고, 상기 제2 패킷수에 따른 주기를 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
명령 특성별 패킷량 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 EIP 명령(Command) 및 상기 CIP 오브젝트(Object)의 제1 패킷량을 분석하고, 상기 제1 패킷량을 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 명령 특성별 패킷량 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 EIP 명령(Command) 및 상기 CIP 오브젝트(Object)의 제2 패킷량을 분석하고, 상기 제2 패킷량을 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
잠재적 위험 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신 되는 상기 제1 EIP-CIP 패킷에 대해서 제1 단위 시간당 발생 경보를 분석하고, 상기 제1 단위 시간당 발생 경보를 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 잠재적 위험 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷에 대해서 제2 단위 시간당 발생 경보를 분석하고, 상기 제2 단위 시간당 발생 경보를 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;를 포함하는 스마트 제조 네트워크 보안 감시 방법.In a communication environment in which an operating device, a control device, and a field device in a smart manufacturing network transmit / receive EtherNet / IP packets using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol),
In the EIP-CIP network analysis unit, collecting a first EIP-CIP packet transmitted / received between the operating device and the control device, and a second EIP-CIP packet transmitted / received between the control device and the field device. ;
In the EIP-CIP network analysis unit, each of the collected first EIP-CIP packets and the second EIP-CIP packets is analyzed for network anomalies based on the EIP-CIP Normal Network List, and the operating device and the control device are analyzed. And classifying the first and second EIP-CIP packets based on the field device.
The EIP request analysis unit receives the first EIP-CIP request packet transmitted from the operating device to the control device, and EIP normalizes the Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the first EIP-CIP request packet. Comparing with a request list and recognizing an abnormal sign of the first EIP-CIP request packet transmitted from the operating device to the control device based on a result of comparison with the EIP normal request list;
The EIP request analysis unit receives a second EIP-CIP request packet transmitted from the control device to the field device, and displays Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the second EIP-CIP request packet. Comparing with the EIP normal request list and recognizing an abnormal sign of the second EIP-CIP packet transmitted from the control device to the field device based on a result of comparing the EIP normal request packet;
The CIP request analysis unit receives the first EIP-CIP request packet transmitted from the operating device to the control device, and compares the CIP field and Multiple CIP field of the first EIP-CIP request packet with the CIP normal request list And recognizing an abnormal sign of the first EIP-CIP request packet transmitted from the operating device to the control device based on a result compared with the CIP normal request list;
The CIP request analysis unit receives the second EIP-CIP request packet transmitted from the control device to the field device, and the CIP field and Multiple CIP fields of the second EIP-CIP request packet are the CIP normal request list. Comparing with, and recognizing the abnormal signs of the second EIP-CIP request packet transmitted from the control device to the field device based on the result of comparison with the CIP normal request list;
The EIP response analysis unit receives the first EIP-CIP response packet transmitted from the control device to the operating device, and EIP normalizes the Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the first EIP-CIP response packet. Comparing with a response list, and recognizing abnormal signs of the first EIP-CIP response packet transmitted from the control device to the operating device based on a result of comparison with the EIP normal response list;
The EIP response analysis unit receives a second EIP-CIP response packet transmitted from the field device to the control device, and displays Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the second EIP-CIP response packet. Comparing an EIP normal response list and recognizing an abnormal sign of the second EIP-CIP response packet transmitted from the field device to the control device based on a result of comparison with the EIP normal response list;
The CIP response analysis unit receives the first EIP-CIP response packet transmitted from the control device to the operating device, and compares the CIP field and Multiple CIP field of the first EIP-CIP response packet with a CIP normal response list And recognizing an abnormal sign of the first EIP-CIP response packet transmitted from the control device to the operating device based on a result compared with the CIP normal response list;
The CIP response analysis unit receives the second EIP-CIP response packet transmitted from the field device to the control device, and the CIP field and Multiple CIP field of the second EIP-CIP response packet are the CIP normal response list And comparing with the CIP normal response list, recognizing abnormal symptoms of the second EIP-CIP response packet transmitted from the field device to the control device;
The period analysis unit for each command characteristic analyzes a period according to the number of first packets of EIP commands and CIP objects transmitted / received between the operating device and the control device, and according to the number of first packets. Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device based on a result of analyzing the period;
In the period analysis unit for each command characteristic, the period according to the second packet number of the EIP command and CIP object transmitted / received between the control device and the field device is analyzed, and the second packet number is Recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on a result of analyzing the cycle according to the result;
The packet amount analysis unit for each command characteristic analyzes the first packet amount of the EIP command and the CIP object transmitted / received between the operating device and the control device, and analyzes the first packet amount Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device based on a result;
The packet amount analysis unit for each command characteristic analyzes the second packet amount of the EIP command and the CIP object transmitted / received between the control device and the field device, and analyzes the second packet amount. Recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on the analyzed result;
A potential risk analysis unit analyzes the first unit hourly generated alarm for the first EIP-CIP packet transmitted / received between the operating unit and the control unit, and is based on the result of analyzing the first unit hourly generated alarm Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device;
In the potential risk analysis unit, a second unit hourly generated alarm is analyzed for the second EIP-CIP packet transmitted / received between the control device and the field device, and the second unit hourly generated alarm is analyzed. And recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on the smart manufacturing network security monitoring method. 제1 항에 있어서,
상기 EIP-CIP Normal Network List는 이더넷 헤더와 IP 헤더에서 Unicast, 및 Multicast를 포함하고, 이더넷 헤더 MAC 주소, 이더넷 헤더 Type, IP 헤더, IP 주소, IP 헤더 Protocol, TCP 헤더 PORT, 및 UDP 헤더 PORT 를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP-CIP Normal Network List includes Unicast and Multicast in Ethernet header and IP header, and includes Ethernet header MAC address, Ethernet header type, IP header, IP address, IP header protocol, TCP header PORT, and UDP header PORT. Smart manufacturing network security monitoring method comprising a. 제2 항에 있어서,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외하고,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, 상기 EIP-CIP Normal Network List에 포함되었는지 판단하고,
상기 제1 EIP-CIP 패킷이 상기 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 2,
If the first EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is excluded to be checked by another analysis module,
If the first EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List,
When the first EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, a smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the first EIP-CIP packet. 제2 항에 있어서,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외하고,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, 상기 EIP-CIP Normal Network List에 포함되었는지 판단하고,
상기 제2 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 2,
If the second EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is excluded to be checked by another analysis module,
If the second EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List,
When the second EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, a smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the second EIP-CIP packet. 제3 항 또는 제4 항 에 있어서,
상기 EIP-CIP Normal Network List 항목에 포함되는 경우, 추가적으로 IP 헤더의 Fragment Offset, TTL(Time To Live)의 필드, TCP 헤더의 Sequence Number, 및 TCP Flags의 필드에 기초하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 3 or 4,
When included in the EIP-CIP Normal Network List item, the first EIP-CIP packet is additionally based on the Fragment Offset of the IP header, the field of the Time To Live (TTL), the Sequence Number of the TCP header, and the fields of the TCP Flags. Or the smart manufacturing network security monitoring method characterized in that it recognizes the abnormal signs of the second EIP-CIP packet. 제1 항에 있어서,
상기 EIP 정상 요청 리스트는 Encapsulation 헤더의 Command, Length 필드를 포함하고, Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, Data Item Length 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP normal request list includes the Command and Length fields of the Encapsulation header, and includes the Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data). . 제6 항에 있어서,
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 요청 리스트에 포함되지 않는 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지하고,
상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 6,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal request list, it is recognized as an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet. ,
Determining the alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data) Smart manufacturing network security monitoring method characterized by. 제1 항에 있어서,
상기 CIP 정상 요청 리스트는 CIP(Common Industrial Protocol)의 Object(Service, Class, Instance) 필드를 포함하고,
Multiple CIP인 경우, CIP별 Object(Service, Class, Instance) 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The CIP normal request list includes Object (Service, Class, Instance) fields of Common Industrial Protocol (CIP),
In the case of multiple CIPs, a smart manufacturing network security monitoring method comprising an object (service, class, instance) field for each CIP. 제8 항에 있어서,
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 요청 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 CIP의 Object에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 8,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet that is not included in the CIP normal request list, the first EIP-CIP packet or the second EIP-CIP packet is detected and detected. ,
A smart manufacturing network security monitoring method characterized by determining an alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the object of the CIP. 제1 항에 있어서,
상기 EIP 정상 응답 리스트는 Encapsulation 헤더의 Command, Length, 및 Status필드를 포함하고, Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, 및 Data Item Length 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP normal response list includes the Command, Length, and Status fields of the Encapsulation header, and smart manufacturing characterized by including the Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data). Network security monitoring method. 제10 항에 있어서,
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 응답 리스트에 포함되지 않는 패킷이거나, 또는 연관된 요청 패킷의 Command, Session Handle과 매핑되지 않는 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상유무에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 10,
If the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal response list, or if it is not mapped to the Command or Session Handle of the associated request packet, the first EIP-CIP packet Or recognize the abnormal signs of the second EIP-CIP packet,
Determining the alarm level for the abnormality of the first EIP-CIP packet or the second EIP-CIP packet according to the command of the Encapsulation header, and the address item type and data item type of the encapsulation data (command specific data) Smart manufacturing network security monitoring method characterized by. 제1 항에 있어서,
상기 CIP 정상 응답 리스트는 CIP(Common Industrial Protocol)의 Service, Status 필드를 포함하고, Multiple CIP인 경우 CIP별 Service, Status 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The CIP normal response list includes the Service and Status fields of the Common Industrial Protocol (CIP), and the Service and Status fields for each CIP in the case of multiple CIPs. 제12 항에 있어서,
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 응답 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 CIP의 Service, Status에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 12,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet that is not included in the CIP normal response list, the first EIP-CIP packet or the second EIP-CIP packet is detected and detected. ,
A smart manufacturing network security monitoring method characterized by determining an alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the service and status of the CIP. 제1 항에 있어서,
EIP-CIP 명령 특성으로 EIP Command/Session과 CIP(Common Industrial Protocol) Object(Service, Class, Instance)에 기반하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 패킷수 및 패킷량을 분석하고,
분석 결과 허용범위를 벗어나면 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The number of packets generated per unit time of the first EIP-CIP packet or the second EIP-CIP packet based on EIP Command / Session and Common Industrial Protocol (CIP) Object (Service, Class, Instance) as the EIP-CIP command characteristics, and Analyze the packet quantity,
A smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet when the result of the analysis is out of the allowable range. 제14 항에 있어서,
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 경보가 허용범위를 벗어나면, 발생 이벤트 간 상관분석을 통해 잠재적 위험을 분석하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 14,
A smart manufacturing network security monitoring method characterized in that when the occurrence alarm per unit time of the first EIP-CIP packet or the second EIP-CIP packet is outside an allowable range, potential risk is analyzed through correlation analysis between occurrence events.
KR1020190098954A 2018-12-28 2019-08-13 Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments KR102097305B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020180171793 2018-12-28
KR20180171793 2018-12-28

Publications (1)

Publication Number Publication Date
KR102097305B1 true KR102097305B1 (en) 2020-05-27

Family

ID=70911022

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190098954A KR102097305B1 (en) 2018-12-28 2019-08-13 Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments

Country Status (1)

Country Link
KR (1) KR102097305B1 (en)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139138B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 An ICS header profiling system for private Industrial Control System protocol
KR102139140B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 A tag data profiling system for private Industrial Control System protocol
KR102293155B1 (en) * 2021-04-05 2021-08-25 주식회사 네오솔루션즈 Remote monitoring and control system for industry equipment
KR20220058752A (en) * 2020-10-30 2022-05-10 한국전자통신연구원 Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training
KR20230084832A (en) 2021-12-06 2023-06-13 주식회사 윈스 5G smart factory replay attack detection method and apparatus

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060236374A1 (en) * 2005-04-13 2006-10-19 Rockwell Automation Technologies, Inc. Industrial dynamic anomaly detection method and apparatus
KR20100060335A (en) * 2008-11-27 2010-06-07 삼성전자주식회사 Network apparatus and method for controlling the same
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
KR20150026345A (en) 2013-09-02 2015-03-11 한국전력공사 Apparatus and method for creating whitelist with network traffic
KR101538709B1 (en) 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060236374A1 (en) * 2005-04-13 2006-10-19 Rockwell Automation Technologies, Inc. Industrial dynamic anomaly detection method and apparatus
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
KR20100060335A (en) * 2008-11-27 2010-06-07 삼성전자주식회사 Network apparatus and method for controlling the same
KR20150026345A (en) 2013-09-02 2015-03-11 한국전력공사 Apparatus and method for creating whitelist with network traffic
KR101538709B1 (en) 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139138B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 An ICS header profiling system for private Industrial Control System protocol
KR102139140B1 (en) * 2020-04-27 2020-07-30 (주) 앤앤에스피 A tag data profiling system for private Industrial Control System protocol
KR20220058752A (en) * 2020-10-30 2022-05-10 한국전자통신연구원 Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training
KR102428689B1 (en) 2020-10-30 2022-08-05 한국전자통신연구원 Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training
KR102293155B1 (en) * 2021-04-05 2021-08-25 주식회사 네오솔루션즈 Remote monitoring and control system for industry equipment
KR20230084832A (en) 2021-12-06 2023-06-13 주식회사 윈스 5G smart factory replay attack detection method and apparatus

Similar Documents

Publication Publication Date Title
KR102097305B1 (en) Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments
Morris et al. A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems
KR101761737B1 (en) System and Method for Detecting Abnormal Behavior of Control System
US9954903B2 (en) Industrial network security translator
KR101538709B1 (en) Anomaly detection system and method for industrial control network
KR101977731B1 (en) Apparatus and method for detecting anomaly in a controller system
CN110958262A (en) Ubiquitous Internet of things safety protection gateway system, method and deployment architecture in power industry
US8584237B2 (en) Improper communication detection system
CN109922085B (en) Safety protection system and method based on CIP (common interface protocol) in PLC (programmable logic controller)
US20160344754A1 (en) Configurable Robustness Agent in a Plant Security System
CN102055674B (en) Internet protocol (IP) message as well as information processing method and device based on same
US10645167B2 (en) Distributed setting of network security devices from power system IED settings files
CN110636075A (en) Operation and maintenance management and control and operation and maintenance analysis method and device
CN103051599B (en) Process apparatus network invasion monitoring and prevention
US20160277547A1 (en) Packet monitoring device and packet monitoring method for communication packet
Graveto et al. A network intrusion detection system for building automation and control systems
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
WO2014042636A1 (en) Packet intrusion inspection in an industrial control network
US11405358B2 (en) Network security monitoring of network traffic
CN110995733B (en) Intrusion detection system in industrial control field based on remote measuring technology
CN112968869A (en) Information safety monitoring system of electric power production control large area
CN101548269B (en) Method, computer program product, and device for network reconnaissance flow identification
TWI793650B (en) Industrial control network threat intelligent detection system and training system with deep learning
KR102428345B1 (en) Method generating for whitelist between devices using profinet protocol and computing device thereof
CN114766086A (en) Transmission device for transmitting data

Legal Events

Date Code Title Description
GRNT Written decision to grant