KR102097305B1 - Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments - Google Patents
Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments Download PDFInfo
- Publication number
- KR102097305B1 KR102097305B1 KR1020190098954A KR20190098954A KR102097305B1 KR 102097305 B1 KR102097305 B1 KR 102097305B1 KR 1020190098954 A KR1020190098954 A KR 1020190098954A KR 20190098954 A KR20190098954 A KR 20190098954A KR 102097305 B1 KR102097305 B1 KR 102097305B1
- Authority
- KR
- South Korea
- Prior art keywords
- cip
- eip
- packet
- normal
- list
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 개시의 실시 예들은 산업용 네트워크 프로토콜 EtherNet/IP(EIP)와 상위 계층으로 CIP(Common Industrial Protocol)를 사용하는 스마트 제조 네트워크 환경에서 정상 패킷 분석을 통한 스마트 공장 네트워크 보안 감시 시스템 및 그 운영 방법에 관한 것이다.Embodiments of the present disclosure relates to a smart factory network security monitoring system through normal packet analysis and its operating method in a smart manufacturing network environment using the industrial network protocol EtherNet / IP (EIP) and the CIP (Common Industrial Protocol) as an upper layer. will be.
4차 산업혁명이 본격화됨에 따라 스마트 제조 환경이 범용 운영체제나 표준 산업용 프로토콜로 변화하고 있다. 스마트 공장의 제조시스템이 업무망과 연계되면서 사이버 공격에 대한 보안 위협이 높아지고 있다.As the 4th industrial revolution began, the smart manufacturing environment is changing to a general-purpose operating system or a standard industrial protocol. As the manufacturing system of smart factories is linked to the work network, security threats against cyber attacks are increasing.
IT(Information Technology) 시스템에 대한 해킹 공격에 대해서는 많은 분석을 통하여 해킹 시그니처들이 개발되어 있다. 그러나, 제조 시스템과 같은 OT(Operational Technology) 시스템에 대한 해킹 공격에 대해서는 분석이 이루어지지 않아 기존 시그니처 기반 탐지 방법에 한계가 있다.Hacking signatures have been developed through a lot of analysis on hacking attacks on IT (Information Technology) systems. However, there is a limitation in the existing signature-based detection method because analysis is not performed for hacking attacks on OT (Operational Technology) systems such as manufacturing systems.
상기와 같은 문제점을 해결하는 발명기술을 한국공개특허 10-2015-0026345호(이하 선행기술1) 및 한국등록특허 10-1538709호(이하 선행기술2)가 개시하는 발명기술이 개발되었다.Invention technology for solving the above problems was disclosed by Korean Patent Publication No. 10-2015-0026345 (hereinafter referred to as Prior Art 1) and Korean Patent Registration No. 10-1538709 (hereinafter referred to as Prior Art 2).
선행기술1은 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 방법에 관한 것으로 제어 명령의 프로토콜은 전력제어시스템에서 사용하는 DNP3(Distributed Network Protocol) 또는 ICCP(Inter-Control Center Communication Protocol)에 적합하도록 구성되어 있다.
선행기술2는 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법에 관한 것으로 전력 제어 프로토콜인 IEC 61850 기반 MMS(Manufacturing Message Specification)와 GOOSE(Generic Object Oriented Substation Event)에 적합하도록 구성되어 있다.
상기 선행기술1 및 선행기술2는 전력 제어 프로토콜을 대상으로 하고 있으며, EtherNet/IP, Profinet, EtherCAT 등을 사용하는 스마트 제조 네트워크의 산업용 프로토콜 특성을 충분히 반영하고 있지 않다.The
본 개시에 따른 실시 예들의 과제는 스마트 제조 네트워크에서 운영장치와 제어장치가 산업용 네트워크 프로토콜 EtherNet/IP(EIP)-CIP(Common Industrial Protocol)를 사용하여 데이터 통신을 하는 환경에 있어서, 스마트 제조 네트워크를 안전하게 운영할 수 있도록 보안 위협에 대한 이상징후를 인지하는데 목적이 있다.The task of the embodiments according to the present disclosure is to provide a smart manufacturing network in an environment in which an operating device and a control device in a smart manufacturing network perform data communication using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol). The purpose is to recognize abnormal signs of security threats so that they can operate safely.
본 개시에 따른 실시 예들의 과제는 스마트 제조 네트워크에서 운영장치와 제어장치 간 통신을 모니터링하고, EIP-CIP 프로토콜을 대상으로 정상 네트워크 리스트와 비교하여 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 찾아 제거하는데 목적이 있다.The task of the embodiments according to the present disclosure is to monitor the communication between the operating device and the control device in the smart manufacturing network, and compare the normal network list with the EIP-CIP protocol to find unauthorized or disguised operating devices, control devices, and services. It is intended to be removed.
본 개시에 따른 실시 예들의 과제는 운영장치에서 제어장치로 전달되는 요청 명령에 대해 EIP-CIP 정상 요청 리스트와 비교하고, 비교 결과에 기초하여 운영장치에서의 비인가된 제어 명령이나 중요한 제어 명령의 수행 상태를 감시하여 제어장치를 보호하는데 목적이 있다.The task of the embodiments according to the present disclosure is to compare the EIP-CIP normal request list with respect to the request command transmitted from the operating device to the control device, and perform an unauthorized control command or an important control command in the operating device based on the comparison result. The purpose is to protect the control device by monitoring the status.
본 개시에 따른 실시 예들의 과제는 제어장치에서 운영장치로 전달되는 응답 명령에 대해 EIP-CIP 정상 응답 리스트와 비교하여 운영장치의 명령으로 인해 제어장치에 문제가 발생하는지 감시하는데 목적이 있다.The object of the embodiments according to the present disclosure is to monitor whether a problem occurs in the control device due to the command of the operating device compared to the EIP-CIP normal response list for the response command transmitted from the control device to the operating device.
본 개시에 따른 실시 예들의 과제는 운영장치와 제어장치에 발생하는 보안 위협 및 잠재적 위협을 분석하여 침해사고에 대응하는데 목적이 있다.The object of the embodiments according to the present disclosure is to analyze security threats and potential threats occurring in operating devices and control devices to respond to infringement accidents.
본 개시에 따른 실시 예들의 과제는 이상에서 언급한 과제에 제한되지 않으며, 언급되지 않은 또 다른 과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The tasks of the embodiments according to the present disclosure are not limited to the above-mentioned tasks, and other tasks not mentioned will be clearly understood by those skilled in the art from the following description.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 스마트 제조 네트워크에서 운영장치, 제어장치 및 현장장치가 산업용 네트워크 프로토콜 EtherNet/IP(EIP)-CIP(Common Industrial Protocol)을 사용하여 EtherNet/IP 패킷을 송/수신하는 통신환경에 있어서, EIP-CIP 네트워크 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 제1 패킷과, 상기 제어장치와 상기 현장장치 간에 송/수신되는 제2 패킷을 수집하는 단계와, EIP-CIP 네트워크 분석부에서, 수집된 패킷들 각각을 EIP-CIP Normal Network List에 기초하여 네트워크 이상징후를 분석하고, 상기 운영장치, 상기 제어장치 및 상기 현장장치에 기초하여 EIP-CIP 패킷들을 분류하는 단계와, EIP-CIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전달되는 제1 EIP-CIP 패킷에 대해 제1 EIP 정상 요청 리스트와 제1 CIP 정상 요청 리스트에 기초하여 이상징후를 분석하는 단계와, EIP-CIP 요청분석부에서, 상기 제어장치에서 상기 운영장치로 전달되는 제2 EIP-CIP 패킷에 대해 제2 EIP 정상 요청 리스트와 제2 CIP 정상 요청 리스트 에 기초하여 이상징후를 분석하는 단계와, EIP-CIP 응답분석부에서, 제1 EIP 정상 응답 리스트와 제1 CIP 정상 응답 리스트에 기초하여 상기 제1 EIP-CIP 패킷에 대한 이상징후를 분석하고, 제2 EIP 정상 응답 리스트와 제2 CIP 정상 응답 리스트에 기초하여 상기 제2 EIP-CIP 패킷에 대한 이상징후를 분석하는 단계, 및 EIP-CIP 위험 분석부에서, EIP-CIP 명령 특성에 기초하여 상기 제1 EIP-CIP 패킷 및 상기 제2 EIP-CIP 패킷에 대한 이상징후를 분석하고, 경보 발생에 따른 잠재적 위험을 분석하는 단계를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, operating devices, control devices, and field devices in a smart manufacturing network transmit EtherNet / IP packets using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol). In the / receiving communication environment, the EIP-CIP network analysis unit collects the first packet transmitted / received between the operating device and the control device and the second packet transmitted / received between the control device and the field device. And, in the EIP-CIP network analysis unit, each of the collected packets based on the EIP-CIP Normal Network List to analyze the network anomalies, EIP- based on the operating device, the control device and the field device Classifying CIP packets, and based on a first EIP normal request list and a first CIP normal request list for a first EIP-CIP packet transmitted from the operating device to the control device by the EIP-CIP request analysis unit Analyzing the abnormal signs, and the EIP-CIP request analysis unit, based on the second EIP normal request list and the second CIP normal request list for the second EIP-CIP packet transmitted from the control device to the operating device. Analyzing the abnormal signs, and the EIP-CIP response analysis unit analyzes the abnormal signs for the first EIP-CIP packet based on the first EIP normal response list and the first CIP normal response list, and the second EIP Analyzing abnormal signs for the second EIP-CIP packet based on the normal response list and the second CIP normal response list, and in the EIP-CIP risk analysis unit, the first EIP based on EIP-CIP command characteristics -Analyzing an abnormal sign for the CIP packet and the second EIP-CIP packet, and analyzing the potential risk of an alarm.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP-CIP Normal Network List는 이더넷 헤더에서 Unicast, Multicast를 포함하고, 이더넷 헤더 MAC 주소, 이더넷 헤더 Type, IP 헤더, IP 주소, IP 헤더 Protocol, TCP 헤더 PORT, UDP 헤더 PORT 를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP-CIP Normal Network List includes Unicast and Multicast in the Ethernet header, and the Ethernet header MAC address, Ethernet header type, IP header, IP address, IP header Protocol, TCP It includes header PORT and UDP header PORT.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외한다. 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, EIP-CIP Normal Network List에 포함되었는지 판단한다. 상기 제1 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷의 이상징후를 인지한다.In the smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, in another analysis module Excluded for inspection. If the first EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List. When the first EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, an abnormal sign of the first EIP-CIP packet is recognized.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외한다. 상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, EIP-CIP Normal Network List에 포함되었는지 판단한다. 상기 제2 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다.Smart manufacturing network security monitoring method according to the present disclosure, when the second EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, in another analysis module Excluded for inspection. If the second EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List. When the second EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, an abnormal sign of the second EIP-CIP packet is recognized.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 EIP-CIP Normal Network List 항목에 포함되는 경우, 추가적으로 IP 헤더의 Fragment Offset, TTL(Time To Live)의 필드, TCP 헤더의 Sequence Number, 및 TCP Flags의 필드에 기초하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다.The smart manufacturing network security monitoring method according to the present disclosure, when included in the EIP-CIP Normal Network List item, additionally includes a fragment offset of an IP header, a field of time to live (TTL), a sequence number of a TCP header, and TCP flags Based on the field of, an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet is recognized.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP 정상 요청 리스트는 Encapsulation 헤더의 Command, Length 필드를 포함한다. 상기 EIP 정상 요청 리스트는 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, Data Item Length 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP normal request list includes the Command and Length fields of the Encapsulation header. The EIP normal request list includes Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data).
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 요청 리스트에 포함되지 않는 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지한다. 상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.Smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal request list, the first EIP-CIP packet or the It is recognized as an abnormal sign of the second EIP-CIP packet. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data).
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 CIP 정상 요청 리스트는 CIP(Common Industrial Protocol)의 Object(Service, Class, Instance) 필드를 포함한다. Multiple CIP인 경우, CIP별 Object(Service, Class, Instance) 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the CIP normal request list includes an Object (Service, Class, Instance) field of a Common Industrial Protocol (CIP). In the case of multiple CIPs, it includes Object (Service, Class, Instance) fields for each CIP.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 요청 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 CIP의 Object에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.The smart manufacturing network security monitoring method according to the present disclosure may include the first EIP-CIP packet or the first EIP-CIP packet or the second EIP-CIP packet when the first EIP-CIP packet or the second EIP-CIP packet is not included in the CIP normal request list. 2 Recognize abnormal signs of EIP-CIP packets. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the object of the CIP.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 EIP 정상 응답 리스트는 Encapsulation 헤더의 Command, Length, Status필드를 포함한다. 상기 EIP 정상 응답 리스트는 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, 및 Data Item Length 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the EIP normal response list includes Command, Length, and Status fields of the Encapsulation header. The EIP normal response list includes Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data).
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 응답 리스트에 포함되지 않는 패킷이거나, 또는 연관된 요청 패킷의 Command, Session Handle과 매핑되지 않는 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상유무에 대한 경보 레벨을 결정한다.The smart manufacturing network security monitoring method according to the present disclosure includes: the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal response list, or an associated request packet command, session handle and If it is not mapped, the abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet is recognized. The alert level for the abnormality of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data).
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법에서, 상기 CIP 정상 응답 리스트는 CIP(Common Industrial Protocol)의 Service, Status 필드를 포함하고, Multiple CIP인 경우 CIP별 Service, Status 필드를 포함한다.In the smart manufacturing network security monitoring method according to the present disclosure, the CIP normal response list includes the Service and Status fields of the Common Industrial Protocol (CIP), and in the case of Multiple CIPs, the Service and Status fields for each CIP.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 응답 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지한다. 상기 CIP의 Service, Status에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정한다.Smart manufacturing network security monitoring method according to the present disclosure, when the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the CIP normal response list, the first EIP-CIP packet or the Recognize abnormal signs of the second EIP-CIP packet. The alert level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet is determined according to the service and status of the CIP.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 EIP-CIP 명령 특성으로 EIP Command/Session과 CIP(Common IndustrialProtocol)의 Object(Service, Class, Instance)에 기반하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 패킷수 및 패킷량을 분석한다. 분석 결과 허용범위를 벗어나면 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지한다.The smart manufacturing network security monitoring method according to the present disclosure is based on the EIP Command / Session and the Object (Service, Class, Instance) of the EIP Command / Session and CIP (Common Industrial Protocol) as the characteristics of the EIP-CIP command, or the second EIP-CIP packet or the second. The number of packets and the amount of packets generated per unit time of EIP-CIP packets are analyzed. If the result of the analysis is out of the allowable range, it is recognized as an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet.
본 개시에 따른 스마트 제조 네트워크 보안 감시 방법은 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 경보가 허용범위를 벗어나면, 발생 이벤트 간 상관분석을 통해 잠재적 위험을 분석한다.The smart manufacturing network security monitoring method according to the present disclosure analyzes the potential risk through correlation analysis between occurrence events when the occurrence alarm per unit time of the first EIP-CIP packet or the second EIP-CIP packet is out of the allowable range .
본 개시에 따른 실시 예들에 따르면, EIP-CIP 네트워크 분석을 통해 Normal Network List와 비교함으로써 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 인지하여 제거함으로써 안전한 스마트 제조 네트워크를 유지해 준다.According to the embodiments according to the present disclosure, it is possible to maintain a safe smart manufacturing network by recognizing and removing unauthorized or disguised operating devices, control devices, and services by comparing with the Normal Network List through EIP-CIP network analysis.
본 개시에 따른 실시 예들에 따르면, EIP-CIP 요청분석을 통해 EIP 정상 요청 리스트 및 CIP 정상 요청 리스트와 비교함으로써 운영장치에서 제어장치로의 비인가된 명령이나 중요 명령의 실행을 인지함으로써 제어장치를 안전하게 보호하고 대비할 수 있다.According to the embodiments according to the present disclosure, the EIP-CIP request analysis is performed to compare the EIP normal request list and the CIP normal request list to recognize the execution of unauthorized commands or important commands from the operating device to the control device to safely control the control device. You can protect and prepare.
본 개시에 따른 실시 예에 따르면, EIP-CIP 응답분석을 통해 EIP 정상 응답 리스트 및 CIP 정상 응답 리스트와 비교함으로써 운영장치의 명령에 따른 제어장치의 이상징후를 파악하여 안전하게 유지할 수 있도록 대응할 수 있다.According to an embodiment of the present disclosure, by comparing the EIP normal response list and the CIP normal response list through EIP-CIP response analysis, it is possible to identify and abnormally control the control device according to the command of the operating device so that it can be safely maintained.
본 개시에 따른 실시 예에 따르면, EIP-CIP 위험분석을 통해 EIP-CIP 명령 특성에 따른 이상징후를 인지하고 발생 경보에 따른 상관분석을 통해 잠재적 위협을 분석함으로써 스마트 제조 네트워크를 안전하게 보호하고 침해사고에 빠르게 대응할 수 있다.According to an embodiment according to the present disclosure, the EIP-CIP risk analysis is used to recognize anomalies according to the characteristics of the EIP-CIP command and to analyze potential threats through correlation analysis according to the occurrence alert to secure the smart manufacturing network and to infringe incidents. Can respond quickly.
도 1은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템이 적용된 네트워크 구성을 도시한 개념도이다.
도 2a는 스마트 제조 네트워크에서 전송되는 EtherNet/IP-CIP의 패킷 구조를 나타내는 도면이다.
도 2b및 도 2c는 데이터 아이템(Data Item)의 데이터 필드의 요청(Request) 및 응답(Response) 구조를 나타내는 도면이다.
도 3은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템을 나타내는 블록도이다.
도 4a및 도 4b는 본 개시에 따른 실시 예의 EIP-CIP 정상 패킷 리스트들을 설명하는 도면이다.
도 5는 본 개시에 따른 실시 예의 이상징후 인지에 따른 경보 레벨의 예를 설명하는 도면이다.
도 6a 및 도 6b는 본 개시에 따른 실시 예의 EIP-CIP 네트워크 분석부의 동작을 설명하기 위한 흐름도이다.
도 7a 및 도 7b는 본 개시에 따른 실시 예의 EIP-CIP 요청분석부의 동작을 설명하기 위한 흐름도이다.
도 8a 및 도 8b는 본 개시에 따른 실시 예의 EIP-CIP 응답분석부의 동작을 설명하기 위한 흐름도이다.
도 9는 본 개시에 따른 실시 예의 EIP-CIP 위험분석부의 동작을 설명하기 위한 흐름도이다.1 is a conceptual diagram illustrating a network configuration to which a smart manufacturing network security monitoring system of an embodiment according to the present disclosure is applied.
2A is a diagram showing a packet structure of EtherNet / IP-CIP transmitted in a smart manufacturing network.
2B and 2C are diagrams illustrating a request and response structure of a data field of a data item.
3 is a block diagram illustrating a smart manufacturing network security monitoring system according to an embodiment of the present disclosure.
4A and 4B are diagrams illustrating EIP-CIP normal packet lists in an embodiment according to the present disclosure.
5 is a view for explaining an example of the alarm level according to the recognition of abnormal signs of the embodiment according to the present disclosure.
6A and 6B are flowcharts for explaining the operation of the EIP-CIP network analysis unit of the embodiment according to the present disclosure.
7A and 7B are flowcharts for explaining the operation of the EIP-CIP request analysis unit of the embodiment according to the present disclosure.
8A and 8B are flowcharts for explaining the operation of the EIP-CIP response analysis unit of the embodiment according to the present disclosure.
9 is a flowchart for explaining the operation of the EIP-CIP risk analysis unit of the embodiment according to the present disclosure.
이하, 첨부된 도면을 참고로 하여 본 개시에 따른 실시 예들의 산업용 네트워크 EtherNet/IP-CIP 환경에서의 스마트 제조 네트워크 보안감시 시스템을 설명하면 다음과 같다.Hereinafter, a smart manufacturing network security monitoring system in an industrial network EtherNet / IP-CIP environment according to embodiments of the present disclosure will be described with reference to the accompanying drawings.
하기에서 본 발명을 설명함에 있어, 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.In the following description of the present invention, when it is determined that a detailed description of related known functions or configurations may unnecessarily obscure the subject matter of the present invention, the detailed description will be omitted. In addition, terms to be described later are terms defined in consideration of functions in the present invention, which may vary according to a user's or operator's intention or practice. Therefore, the definition should be made based on the contents throughout this specification.
도 1은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템이 적용된 네트워크 구성을 도시한 개념도이다.1 is a conceptual diagram illustrating a network configuration to which a smart manufacturing network security monitoring system of an embodiment according to the present disclosure is applied.
도 1을 참조하면, 스마트 제조 네트워크(200)는 운영장치(210), 제어장치(220), 및 현장장치(230)를 포함할 수 있다. 운영장치(210)와 제어장치(220)는 네트워크로 연결될 수 있다. 제어장치(220)와 현장장치(230)는 네트워크로 연결될 수 있다.Referring to FIG. 1, the
본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)에서 HMI(Human Machine Interface)와 같은 Level 2의 운영장치(210) 와 PLC(Programmable Logic Controller), DCS(Distributed Control System) 등과 같은 Level 1의 제어장치(220) 사이에 위치할 수 있다. 또한, 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)에서 제어장치(220)와 현장장치(230) 사이에 위치할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 사이에 송수신되는 패킷 트래픽을 모니터링할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 사이에 송수신되는 패킷 트래픽을 모니터링할 수 있다.The smart manufacturing network
스마트 제조 네트워크(200)에서 운영장치(210)는 제어장치(220)로부터 전달받은 데이터를 통해 현장장치(230)의 상태를 모니터링할 수 있다. 운영장치(210)는 현장장치(230)의 모니터링 결과에 기초하여 현장장치(230)를 제어하기 위한 제어 명령을 제어장치(220)로 전송할 수 있다. 일 예로서, 제어장치(220)는 현장장치(230)에서 계측·수집한 데이터를 운영장치(210)로 전달할 수 있다. 일 예로서, 제어장치(220)는 운영장치(210)의 제어 명령을 받아 현장장치(230)를 제어할 수 있다. 일 예로서, 현장장치(230)는 센서(Sensor), 엑추에이터(Actuator) 등의 상태 데이터를 계측·수집하여 센서, 엑추에이터를 제어할 수 있다.In the
스마트 제조에서 사용되는 대표적인 산업용 네트워크 프로토콜 (Industrial Network Protocol)로는 EtherNet/IP, Profinet, EtherCat, Modbus, DNP3 등이 있으며, 본 발명에서는 EtherNet/IP를 기반으로 하는 스마트 제조 네트워크(200)를 대상으로 한다.Typical industrial network protocols used in smart manufacturing include EtherNet / IP, Profinet, EtherCat, Modbus, DNP3, etc., and the present invention targets
본 발명에서 대상으로 하는 EtherNet/IP는 IEC 61784 산업용 네트워크 표준 중 하나로 하위 계층으로 TCP/IP를 적용하고, 상위 계층으로 공통 산업용 프로토콜 CIP(Common Industrial Protocol)을 적용할 수 있다. EtherNet/IP는 TCP/IP 프로토콜에 기반함으로 OSI 계층 모델의 하위 4계층을 적용할 수 있으며, PC 인터페이스 카드, 케이블, 커넥터, 허브 및 스위치들과 같은 일반적인 이더넷 통신 모듈들이 EtherNet/IP 와 함께 적용될 수 있다.EtherNet / IP targeted in the present invention is one of the IEC 61784 industrial network standards, and TCP / IP is applied as a lower layer and a common industrial protocol CIP (Common Industrial Protocol) can be applied as a higher layer. EtherNet / IP is based on the TCP / IP protocol and can be applied to the lower 4 layers of the OSI layer model. Common Ethernet communication modules such as PC interface cards, cables, connectors, hubs and switches can be applied together with EtherNet / IP. have.
스마트 제조 네트워크(200)의 운영장치(210)와 제어장치(220)는 EtherNet/IP-CIP(이하 EIP-CIP)를 사용하여 데이터 통신을 수행할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 EIP-CIP를 사용하여 데이터 통신을 하는 스마트 제조 네트워크(200)의 운영장치(210)와 제어장치(220) 간의 모든 패킷 트래픽을 모니터링할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 모든 패킷 트래픽을 모니터링할 수 있다.The operating
도 2a는 스마트 제조 네트워크에서 전송되는 EtherNet/IP-CIP의 패킷 구조를 나타내는 도면이다. 도 2b 및 도 2c는 데이터 아이템(Data Item)의 데이터 필드의 요청(Request) 및 응답(Response) 구조를 나타내는 도면이다.2A is a diagram showing a packet structure of EtherNet / IP-CIP transmitted in a smart manufacturing network. 2B and 2C are diagrams illustrating a request and response structure of a data field of a data item.
도 1 내지 2c를 참조하면, 운영장치(210)와 제어장치(220) 간에는 EtherNet/IP-CIP 패킷을 송수신 할 수 있다. 제어장치(220)와 현장장치(230) 간에는 EtherNet/IP-CIP 패킷을 송수신 할 수 있다.1 to 2C, an EtherNet / IP-CIP packet can be transmitted and received between the operating
본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간의 모든 패킷 트래픽의 모니터링 결과에 기초하여 이상징후를 인지할 수 있다. 이때, 스마트 제조 네트워크 보안감시 시스템(100)은 정상행위리스트에 기초하여 이상징후를 인지할 수 있다. 본 발명의 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 모든 패킷 트래픽의 모니터링 결과에 기초하여 이상징후를 인지할 수 있다. 이때, 스마트 제조 네트워크 보안감시 시스템(100)은 정상행위리스트에 기초하여 이상징후를 인지할 수 있다.The smart manufacturing network
도 2a를 참조하면, EtherNet/IP-CIP 패킷(1000)은 네트워크 헤더(Network Header)(1000a), 데이터(Data) 필드(1000b), 및 오류검출 필드(1000c)를 포함할 수 있다. 네트워크 헤드 필드(1000a)는 이더넷 헤더(Ethernet Header)(1000a-1), IP 헤더(IP Header)(1000a-2), 및 TCP/UDP 헤더(TCP/UDP Header)(1000a-3)를 포함할 수 있다. 데이터 필드(1000b)는 이더넷/IP-CIP 데이터(EtherNet/IP-CIP Data) 필드(1000b-1)를 포함할 수 있다. 오류검출 필드(1000c)는 CRC(1000c-1, cyclic redundancy check) 필드를 포함할 수 있다.Referring to FIG. 2A, the EtherNet / IP-
이더넷/IP-CIP 데이터 필드(1000b-1)는 이더넷/IP 캡슐화 헤더(EtherNet/IP Encapsulation Header)(1100a), 및 캡슐화 데이터(Encapsulation Data) 필드(1100b)를 포함할 수 있다. 이더넷/IP 캡슐화 헤더(1100a)는 Command 필드(1100a-1), Length 필드(1100a-2), Session Handle 필드(1100a-3), Sender Context 필드(1100a-4), 및 Options 필드(1100a-5)를 포함할 수 있다. 캡슐화 데이터 필드(1100b)는 Common Specific Data 필드(1100b-1)를 포함할 수 있다.The Ethernet / IP-
Common Specific Data 필드(1100b-1)는 CPF 헤더(CPF Header)(1200a), 및 Command Packet Format 필드(1200b)를 포함할 수 있다. CPF 헤더(1200a)는 Interface 필드(1200a-1), 및 Timeout 필드(1200a-2)를 포함할 수 있다. Command Packet Format 필드(1200b)는 Item Count 필드(1200b-1), Address Item 필드(1200b-2), 및 Data Item 필드(1200b-3)을 포함할 수 있다. Address Item 필드(1200b-2)는 Type ID 필드, Length 필드, 및 Data 필드를 포함할 수 있다. Data Item 필드(1200b-3)은 Type ID 필드, Length 필드, 및 Data 필드(1300)를 포함 수 있다.The Common
도 2b 및 도 2c를 참조하면, Data 필드(1300)는 Request Service CIP(1310), Multiple Request Service CIP(1320), Response Service CIP(1330), 및 Multiple Response Service CIP (1340)를 포함할 수 있다.2B and 2C, the
Request Service CIP(1310)는 Request Service 필드(1311), Request Path Size 필드(1312), Request Path 필드(1313), 및 Request Data 필드(1314)를 포함할 수 있다. Request Path 필드(1313)은 Class Segment 필드 및 Instance Segment 필드를 포함할 수 있다. Multiple Request Service CIP(1320)는 Multiple CIP Request Header(1321), Multiple Service Packet Header(1322), 및 복수의 Request Service CIP 필드(1323)를 포함할 수 있다. Response Service CIP(1330)는 Response Service 필드(1331), status 필드(1332), 및 Response Data 필드(1333)을 포함할 수 있다. Multiple Response Service CIP (1340)는 Multiple CIP Response Header(1341), Multiple Service Packet Header(1342), 및 복수의 Response Service CIP 필드(1343)를 포함할 수 있다. Multiple CIP Response Header(1341)는 Response Service 필드, 및 Status 필드를 포함할 수 있다. Multiple Service Packet Header(1342)는 Number of Service 필드 및 Offset List 필드를 포함할 수 있다.The
도 3은 본 개시에 따른 실시 예의 스마트 제조 네트워크 보안감시 시스템을 나타내는 블록도이다.3 is a block diagram illustrating a smart manufacturing network security monitoring system according to an embodiment of the present disclosure.
도 1 내지 도 3을 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)은 EIP-CIP 네트워크 분석부(110), EIP-CIP 요청분석부(120), EIP-CIP 응답분석부(130), EIP-CIP 위험분석부(140)를 포함할 수 있다.1 to 3, the smart manufacturing network
EIP-CIP 네트워크분석부(110)는 패킷 수집부(111), 네트워크 헤더 분석부(112), 및 EIP-CIP 분류부(113)를 포함할 수 있다.The EIP-CIP
패킷수집부(111)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷들을 수집할 수 있다. 패킷수집부(111)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷들을 수집할 수 있다.The
네트워크 헤더 분석부(112)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교할 수 있다. 네트워크 헤더 분석부(112)는 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The
네트워크 헤더 분석부(112)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교할 수 있다. 네트워크 헤더 분석부(112)는 이더넷 헤더 필드, IP 헤더 필드, 및 TCP 헤더 필드를 Normal Network List와 비교한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The network
EIP-CIP 분류부(113)는 EIP-CIP가 아닌 패킷은 제외하고, 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 분류할 수 있다. EIP-CIP 분류부(113)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 분류할 수 있다. EIP-CIP 분류부(113) EIP-CIP가 아닌 패킷은 제외하고, 제어장치(220)에서 현장장치(230)로 전송되는 요청 패킷을 분류할 수 있다. EIP-CIP 분류부(113)는 현장장치(230)에서 제어장치(220)로 전송되는 응답 패킷을 분류할 수 있다.The EIP-
EIP-CIP 요청분석부(120)는 EIP 요청(request) 분석부(121) 및 CIP 요청(request) 분석부(122)를 포함할 수 있다.The EIP-CIP
EIP 요청분석부(121)는 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 수신할 수 있다. EIP 요청분석부(121)는 운영장치(210)에서 제어장치(220)로 전송되는 요청 패킷을 수신한 후, Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교할 수 있다. EIP 요청분석부(121)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교한 결과에 기초하여 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP
EIP 요청분석부(121)는 제어장치(220)로부터 현장장치(230)로 전송되는 요청 패킷을 수신할 수 있다. EIP 요청분석부(121)는 제어장치(220)에서 현장장치(230)로 전송되는 요청 패킷을 수신한 후, Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교할 수 있다. EIP 요청분석부(121)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교한 결과에 기초하여 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP
CIP 요청분석부(122)는 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교할 수 있다. CIP 요청분석부(122)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교한 결과에 기초하여 운영장치(210)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The CIP
CIP 요청분석부(122)는 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교할 수 있다. CIP 요청분석부(122)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교한 결과에 기초하여 제어장치(220)에서 현장장치(230)로 전송되는 패킷의 이상징후를 인지할 수 있다.The CIP
EIP-CIP 응답분석부(130)는 EIP 응답(response) 분석부(131) 및 CIP 응답(response) 분석부(132)를 포함할 수 있다.EIP-CIP
EIP-CIP 응답분석부(130)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 수신할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교한 결과에 기초하여 제어장치(220)에서 운영장치(210)로 전송되는 패킷의 이상징후를 인지할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교한 결과에 기초하여 제어장치(220)에서 운영장치(210)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP-CIP
EIP-CIP 응답분석부(130)는 현장장치(230)에서 제어장치(220)로 전송되는 응답 패킷을 수신할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교할 수 있다. EIP 응답 분석부(131)는 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교한 결과에 기초하여 현장장치(230)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교할 수 있다. CIP 응답분석부(132)는 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교한 결과에 기초하여 현장장치(230)에서 제어장치(220)로 전송되는 패킷의 이상징후를 인지할 수 있다.The EIP-CIP
EIP-CIP 위험분석부(140)는 명령 특성별 주기 분석부(141), 명령 특성별 패킷량 분석부(142), 및 잠재적 위험 분석부(143)를 포함할 수 있다.The EIP-CIP
명령 특성별 주기 분석부(141)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석할 수 있다. 명령 특성별 주기 분석부(141)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The
또한, 명령 특성별 주기 분석부(141)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석할 수 있다. 명령 특성별 주기 분석부(141)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷수에 따른 주기를 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the
명령 특성별 패킷량 분석부(142)는 운영장치(210)와 제어장치(220) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석할 수 있다. 명령 특성별 패킷량 분석부(142)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The packet
또한, 명령 특성별 패킷량 분석부(142)는 제어장치(220)와 현장장치(230) 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석할 수 있다. 명령 특성별 패킷량 분석부(142)는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 패킷량을 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the packet
잠재적 위험 분석부(143)는 운영장치(210)와 제어장치(220) 간에 송/수신 되는 패킷에 대해서 단위 시간당 발생 경보를 분석할 수 있다. 잠재적 위험 분석부(143)는 단위 시간당 발생 경보를 분석한 결과에 기초하여 운영장치(210)와 제어장치(220) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.The potential
또한, 잠재적 위험 분석부(143)는 제어장치(220)와 현장장치(230) 간에 송/수신 되는 패킷에 대해서 단위 시간당 발생 경보를 분석할 수 있다. 잠재적 위험 분석부(143)는 단위 시간당 발생 경보를 분석한 결과에 기초하여 제어장치(220)와 현장장치(230) 간에 송/수신되는 패킷의 이상징후를 인지할 수 있다.In addition, the potential
도 4a 및 도 4b는 본 개시에 따른 실시 예의 EIP-CIP 정상 패킷 리스트들을 설명하는 도면이다.4A and 4B are diagrams illustrating EIP-CIP normal packet lists in an embodiment according to the present disclosure.
도 4a 및 도 4b를 참조하면, EIP-CIP 정상 패킷 리스트(S100, EIP-CIP Normal Packet List)는 EIP-CIP Normal Network List (S110), EIP 정상 리스트(S120, EIP Normal List), 및 CIP 정상 리스트(S130, CIP Normal List)로 구성될 수 있다.4A and 4B, the EIP-CIP normal packet list (S100, EIP-CIP Normal Packet List) includes an EIP-CIP Normal Network List (S110), an EIP Normal List (S120, EIP Normal List), and a CIP Normal It may be composed of a list (S130, CIP Normal List).
EIP-CIP Normal Network List(S110)는 이더넷 헤더(S111, Ethernet Header), IP 헤더(S112, IP Header), 및 TCP/UDP 헤더(S113, TCP/UDP Header)를 포함할 수 있다. 이더넷 헤더(S111)는 Source MAC 필드, Destination MAC 필드, Type 필드를 포함할 수 있다. IP 헤더(S112)는 Source IP 필드, Destination IP 필드, 및 Protocol 필드를 포함할 수 있다. TCP/UDP 헤더(S113)는 Source PORT 필드, 및 Destination PORT 필드를 포함할 수 있다.The EIP-CIP Normal Network List (S110) may include an Ethernet header (S111, Ethernet Header), an IP header (S112, IP Header), and a TCP / UDP header (S113, TCP / UDP Header). The Ethernet header S111 may include a source MAC field, a destination MAC field, and a type field. The IP header S112 may include a source IP field, a destination IP field, and a protocol field. The TCP / UDP header S113 may include a Source PORT field and a Destination PORT field.
EIP 정상 리스트(S120)는 Encapsulation Header 및 Encapsulation Data를 포함할 수 있다. EIP 정상 리스트(S120)는 EIP 정상 요청 리스트(S120a, EIP Normal Request List)와 EIP 정상 응답 리스트(S120b, EIP Normal Response List)로 구분될 수 있다.The EIP normal list S120 may include an Encapsulation Header and Encapsulation Data. The EIP normal list S120 may be divided into an EIP normal request list (S120a, EIP Normal Request List) and an EIP normal response list (S120b, EIP Normal Response List).
EIP 정상 요청 리스트(S120a)는 Encapsulation Header(S121a) 및 Encapsulation Data(Command Specific Data)(S122a)를 포함할 수 있다. EIP 정상 요청 리스트(S120a)의 Encapsulation Header(S121a)는 Command 필드 및 Length 필드를 포함할 수 있다. EIP 정상 요청 리스트(S120a)의 Encapsulation Data(Command Specific Data)(S122a)는 Address Item Type 필드, Data Item Type 필드, 및 Data Item Length 필드를 포함할 수 있다.EIP normal request list (S120a) may include an Encapsulation Header (S121a) and Encapsulation Data (Command Specific Data) (S122a). The Encapsulation Header S121a of the EIP normal request list S120a may include a Command field and a Length field. The Encapsulation Data (Command Specific Data) S122a of the EIP normal request list S120a may include an Address Item Type field, a Data Item Type field, and a Data Item Length field.
EIP 정상 응답 리스트(S120b)는 Encapsulation Header(S121b) 및 Encapsulation Data(Command Specific Data)(S122b)를 포함할 수 있다. EIP 정상 응답 리스트(S120b)의 Encapsulation Header(S121b)는 Command 필드, Length 필드, 및 Status 필드를 포함할 수 있다. EIP 정상 응답 리스트(S120b)의 Encapsulation Data(Command Specific Data)(S122b)는 Address Item Type ID 필드, Data Item Type ID 필드, 및 Data Item Length 필드를 포함할 수 있다.EIP normal response list (S120b) may include an Encapsulation Header (S121b) and Encapsulation Data (Command Specific Data) (S122b). The Encapsulation Header S121b of the EIP normal response list S120b may include a Command field, a Length field, and a Status field. The Encapsulation Data (Command Specific Data) S122b of the EIP normal response list S120b may include an Address Item Type ID field, a Data Item Type ID field, and a Data Item Length field.
CIP 정상 리스트(S130)는 CIP 정상 요청 리스트(S130a, CIP Normal Request List)와 CIP 정상 응답 리스트(S130b, CIP Normal Response List)로 구분될 수 있다.The CIP normal list S130 may be divided into a CIP normal request list (S130a, CIP Normal Request List) and a CIP normal response list (S130b, CIP Normal Response List).
CIP 정상 요청 리스트(S130a)는 CIP 및 Multiple CIP를 포함할 수 있다. 여기서, CIP 정상 요청 리스트(S130a)는 CIP와 Multiple CIP 중 어느 하나를 포함할 수도 있다. CIP 정상 요청 리스트(S130a)의 CIP는 Service 필드, Class 필드, 및 Instance필드를 포함할 수 있다. CIP 정상 요청 리스트(S130a)가 Multiple CIP를 포함하는 경우, CIP 정상 요청 리스트(S130a)의 Multiple CIP는 복수의 CIP별 Service 필드, Class 필드, Instance 필드를 포함할 수 있다.The CIP normal request list S130a may include CIP and Multiple CIP. Here, the CIP normal request list (S130a) may include one of CIP and Multiple CIP. The CIP of the CIP normal request list (S130a) may include a Service field, a Class field, and an Instance field. When the CIP normal request list S130a includes multiple CIPs, the multiple CIPs of the CIP normal request list S130a may include a plurality of CIP-specific service fields, class fields, and instance fields.
CIP 정상 응답 리스트(S130b)는 CIP 및 Multiple CIP를 포함할 수 있다. 여기서, CIP 정상 응답 리스트(S130b)는 CIP와 Multiple CIP 중 어느 하나를 포함할 수도 있다. CIP 정상 응답 리스트(S130b)의 CIP는 Service 필드, 및 Status 필드를 포함할 수 있다. CIP 정상 응답 리스트(S130b)가 Multiple CIP를 포함하는 경우, CIP 정상 응답 리스트(S130b)의 Multiple CIP는 복수의 CIP별 Service 필드, 및 Status 필드를 포함할 수 있다.The CIP normal response list S130b may include CIP and Multiple CIP. Here, the CIP normal response list S130b may include one of CIP and Multiple CIP. The CIP of the CIP normal response list (S130b) may include a Service field and a Status field. When the CIP normal response list S130b includes multiple CIPs, the multiple CIPs of the CIP normal response list S130b may include a plurality of CIP-specific service fields and a status field.
도 5는 본 개시에 따른 실시 예의 이상징후 인지에 따른 경보 레벨의 예를 설명하는 도면이다.5 is a view for explaining an example of the alarm level according to the recognition of abnormal signs of the embodiment according to the present disclosure.
도 5를 참조하면, 경보 레벨(S210)은 알람(Alarm), 위험(Critical), 경고(Warning), 주의(Attention), 관심(Notice), 정상(Normal)로 구분될 수 있다.Referring to FIG. 5, the alarm level S210 may be divided into alarm, critical, warning, attention, notice, and normal.
도 5에 도시된 바와 같이, 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간에 송/수신되는 제1 패킷에 이상징후가 인지된 경우, CIP Service Code(S220)에 따라 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 EIP Status Code(S230)에 따라 상기 제1 패킷의 이상징후를 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 비정상 행위(S240) 분류에 따라 상기 제1 패킷의 이상징후를 경보 레벨(S240)과 매핑할 수 있다.As shown in FIG. 5, the smart manufacturing network
일 예로서, EIP-CIP 네트워크분석부(110)는 상기 제1 패킷에 포함된 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류를 분류할 수 있다. EIP-CIP 네트워크분석부(110)는 분류된 EIP의 Command, Status 및 CIP의 Service, Class, Status 중 적어도 하나를 경보 레벨(S210))과 매핑할 수 있다. 이 경우, EIP-CIP 네트워크분석부(110)는 정상(Normal)인 코드만 정상 패킷 리스트로 등록하고, 정상 패킷 리스트에 포함되지 않는 경우 상기 제1 패킷에 대한 이상징후로 인지할 수 있다. EIP-CIP 네트워크분석부(110)는 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류에 따른 경보 레벨(S210)과 매핑하여 상기 제1 패킷에 대해서 경보를 발생할 수 있다.As an example, the EIP-CIP
또한, 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간에 송/수신되는 제2 패킷에 이상징후가 인지된 경우, CIP Service Code(S220)에 따라 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 EIP Status Code(S230)에 따라 상기 제2 패킷의 이상징후를 경보 레벨(S210)과 매핑할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 비정상 행위(S240) 분류에 따라 상기 제2 패킷의 이상징후를 경보 레벨(S240)과 매핑할 수 있다.In addition, the smart manufacturing network
일 예로서, EIP-CIP 네트워크분석부(110)는 상기 제2 패킷에 포함된 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류를 분류할 수 있다. EIP-CIP 네트워크분석부(110)는 분류된 EIP의 Command, Status 및 CIP의 Service, Class, Status 중 적어도 하나를 경보 레벨(S210))과 매핑할 수 있다. 이 경우, EIP-CIP 네트워크분석부(110)는 정상(Normal)인 코드만 정상 패킷 리스트로 등록하고, 정상 패킷 리스트에 포함되지 않는 경우 상기 제2 패킷에 대한 이상징후로 인지할 수 있다. EIP-CIP 네트워크분석부(110)는 EIP의 Command, Status 등의 종류와 CIP의 Service, Class, Status 등의 종류에 따른 경보 레벨(S210)과 매핑하여 상기 제2 패킷에 대해서 경보를 발생할 수 있다.As an example, the EIP-CIP
도 6a 및 도 6b는 본 개시에 따른 실시 예의 EIP-CIP 네트워크 분석부(110)의 동작을 설명하기 위한 흐름도이다.6A and 6B are flowcharts for explaining the operation of the EIP-CIP
도 1, 도 2a 내지 도 2c, 도 3, 도 6a 및 도 6b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크 보안감시 시스템(100)은 스마트 제조 네트워크(200)를 모니터링하여 스마트 제조 네트워크(200)에서 전송되는 네트워크 패킷을 수집할 수 있다(S301).1, 2A to 2C, 3, 6A and 6B, the smart manufacturing network
일 예로서, 스마트 제조 네트워크 보안감시 시스템(100)은 운영장치(210)와 제어장치(220) 간의 네트워크를 모니터링하여, 운영장치(210)와 제어장치(220) 사이에 송/수신되는 제1 패킷들을 수집할 수 있다. 또한, 스마트 제조 네트워크 보안감시 시스템(100)은 제어장치(220)와 현장장치(230) 간의 네트워크를 모니터링하여, 제어장치(220)와 현장장치(230) 사이에 송/수신되는 제2 패킷들을 수집할 수 있다. S301 이후의 동작들은 운영장치(210)와 제어장치(220) 사이에 송/수신되는 제1 패킷 및 제어장치(220)와 현장장치(230) 사이에 송/수신되는 제2 패킷에 대해서 동일하게 적용될 수 있다.As an example, the smart manufacturing network
이어서, EIP-CIP 네트워크 분석부(110)는 수집된 네트워크 패킷들 각각이 EtherNet/IP 프로토콜 패킷인지 판단할 수 있다(S302).Subsequently, the EIP-CIP
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S302의 판단 결과에 기초하여 수집된 네트워크 패킷이 EtherNet/IP 프로토콜 패킷이 아닌 비정상 패킷이면, 수집된 비정상 패킷을 해당 프로토콜 감시 기능으로 전달할 수 있다(S303).Subsequently, if the network packet collected based on the determination result of S302 is an abnormal packet rather than an EtherNet / IP protocol packet, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S302의 판단 결과에 기초하여 수집된 네트워크 패킷이 EtherNet/IP 프로토콜이면, 수집된 패킷의 이더넷 헤더를 분석할 수 있다(S304).Subsequently, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S304의 분석 결과에 기초하여, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있는지 판단할 수 있다(S305).Subsequently, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S305의 판단 결과, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있으면, 패킷의 IP 헤더를 분석할 수 있다(S306).Subsequently, the smart manufacturing network
스마트 제조 네트워크 보안감시 시스템(100)은 S305의 판단 결과, EIP-CIP Normal Network List에 운영장치 MAC, 제어장치 MAC, 이더넷 Type이 포함되어 있지 않으면 경보 레벨을 분석할 수 있다. 이후, 스마트 제조 네트워크 보안감시 시스템(100)은 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).As a result of the determination of S305, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S306의 분석 결과에 기초하여, 패킷에 포함된 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있는지 판단할 수 있다(S307).Subsequently, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S307의 판단 결과, 패킷에 포함된 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있으면, Fragment Offset, TTL(Time To Live) 등이 정상인지 판단할 수 있다(S308).Subsequently, as a result of the determination of S307, the smart manufacturing network
한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S307의 판단 결과, 운영장치 IP, 제어장치 IP, Protocol이 EIP-CIP Normal Network List에 포함되어 있지 않으면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S308의 판단 결과, Fragment Offset, TTL(Time To Live) 등이 정상이면 패킷의 TCP/UDP 헤더를 분석할 수 있다(S309).Subsequently, the smart manufacturing network
한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S308의 판단 결과, Fragment Offset, TTL(Time To Live) 중 하나 이상이 비정상이면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).Meanwhile, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S309의 분석 결과에 기초하여, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있는지 판단할 수 있다(S310).Subsequently, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S310의 판단 결과, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있으면, Sequence Number, TCP Flag(시작, 중지) 등이 정상인지 판단할 수 있다(S311).Subsequently, as a result of the determination of S310, the smart manufacturing network
한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S310의 판단 결과, 운영장치 PORT, 제어장치 PORT가 Normal Network List에 포함되어 있지 않으면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network
이어서, 스마트 제조 네트워크 보안감시 시스템(100)은 S311의 판단 결과, Sequence Number, TCP Flag(시작, 중지) 등이 정상이면, 운영장치(210)에서 제어장치(220)로 전송되는 패킷인지 판별할 수 있다(S312).Subsequently, if the determination result of S311, the sequence number, the TCP flag (start, stop), etc. are normal, the smart manufacturing network
한편, 스마트 제조 네트워크 보안감시 시스템(100)은 S311의 판단 결과, Sequence Number, TCP Flag(시작, 중지) 중 하나 이상이 정상이 아니면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다. 즉, 스마트 제조 네트워크 보안감시 시스템(100)은 EIP 패킷이 아니면 경보 레벨을 분석하고, 패킷의 이상징후에 대한 경보를 발생할 수 있다(S313).On the other hand, the smart manufacturing network
S312의 판단 결과, EIP-CIP 네트워크 분석부(110)는 운영장치(210)에서 제어장치(220)로 전송되는 제1 패킷이면, 제1 패킷을 EIP-CIP 요청분석부(120)로 전달할 수 있다.As a result of the determination of S312, the EIP-CIP
S312의 판단 결과, EIP-CIP 네트워크 분석부(110)는 제어장치(220)에서 운영장치(210)로 전송되는 제2 패킷이면, 제2 패킷을 EIP-CIP 응답분석부(130)로 전달할 수 있다.As a result of the determination of S312, the EIP-CIP
S313의 분석 결과, 경보가 발생하면 EIP-CIP 요청분석부(120) 및/또는 EIP-CIP 응답분석부(130)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.As a result of the analysis of S313, when an alarm occurs, the EIP-CIP
도 7a 및 도 7b는 본 개시에 따른 실시 예의 EIP-CIP 요청분석부(120)의 동작을 설명하기 위한 흐름도이다.7A and 7B are flowcharts for explaining the operation of the EIP-CIP
도 2a, 도 2b, 도 7a 및 도 7b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)의 EIP-CIP 요청분석부(120)는 운영장치(210)에서 제어장치(220)로 전송되는 제1 요청 패킷을 수집할 수 있다. 또한, EIP-CIP 요청분석부(120)는 현장장치(230)에서 제어장치(220)로 전송되는 제2 요청 패킷을 수집할 수 있다.2A, 2B, 7A, and 7B, the EIP-CIP
EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Encapsulation Header를 분석할 수 있다(S401).The EIP-CIP
이어서, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있는지 판단할 수 있다(S402).Subsequently, the EIP-CIP
S402의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있으면, 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S403).As a result of the determination of S402, the EIP-CIP
한편, S402의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Request Command가 EIP 정상 요청 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S402, the EIP-CIP
이어서, S403의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하면, EIP Encapsulation Data(Command Specific Data)를 분석할 수 있다(S404). Subsequently, when the determination result of S403, the EIP-CIP
한편, S403의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 EIP Length가 EIP 정상 요청 리스트와 일치하지 않으면 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S403, the EIP-CIP
이어서, EIP-CIP 요청분석부(120)는 S404의 분석 결과에 기초하여 수집된 요청 패킷의 Address Item Type 및 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있는지 판단할 수 있다(S405).Subsequently, the EIP-CIP
이어서, S405의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Address Item Type과 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있으면, 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S406).Subsequently, when the determination result of S405, the EIP-CIP
한편, S405의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Address Item Type과 Data Item Type이 EIP 정상 요청 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S405, the EIP-CIP
이어서, S406의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하면, CIP를 분석할 수 있다(S407).Subsequently, when the determination result of S406, the EIP-CIP
한편, S406의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Data Item Length가 EIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S406, the EIP-CIP
이어서, S407의 분석 결과에 기초하여, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Service, Class, Instance 등 Object가 CIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S408).Subsequently, based on the analysis result of S407, the EIP-CIP
이어서, S408의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하면, 수집된 요청 패킷이 Multiple CIP 패킷인지 판단할 수 있다(S409).Subsequently, as a result of the determination of S408, the EIP-CIP
한편, S408의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경보 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of determination of S408, the EIP-CIP
이어서, S409의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷이 Multiple CIP 패킷이면, CIP별 Service, Class, Instance 등 Object가 CIP 정상 요청 리스트와 일치하는지 판단할 수 있다(S410).Subsequently, as a result of the determination of S409, if the collected request packet is a multiple CIP packet, the EIP-CIP
S409의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷이 Multiple CIP가 아니면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다. 여기서, 단위 시간당 같은 세션에 대한 EIP Command/Session, CIP Object 기반 패킷수 분석을 수행할 수 있다(도 9의 S601 참조).As a result of the determination in S409, the EIP-CIP
S410의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하면, 마지막 Offset까지 처리되었는지 판단할 수 있다(S411).As a result of the determination of S410, if the object of the collected request packet matches the CIP normal request list, the EIP-CIP
한편, S410의 판단 결과, EIP-CIP 요청분석부(120)는 수집된 요청 패킷의 Object가 CIP 정상 요청 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S412).On the other hand, as a result of the determination of S410, the EIP-CIP
이어서, S411 판단 결과, EIP-CIP 요청분석부(120)는 마지막 Offset까지 처리되었으면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Subsequently, as a result of the determination of S411, if the EIP-CIP
한편, S411 판단 결과, EIP-CIP 요청분석부(120)는 마지막 Offset까지 처리되지 않았으면 S410 과정을 재 수행할 수 있다.Meanwhile, as a result of the determination of S411, if the EIP-CIP
S412의 수행에 의해서 경보가 발생하면, EIP-CIP 요청분석부(120)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.When an alarm occurs by performing S412, the EIP-CIP
도 8a 및 도 8b는 본 개시에 따른 실시 예의 EIP-CIP 응답분석부(130)의 동작을 설명하기 위한 흐름도이다.8A and 8B are flowcharts for explaining the operation of the EIP-CIP
도2 a, 도 2b, 도 8a 및 도 8b를 참조하면, 스마트 제조 네트워크 보안감시 시스템(100)의 EIP-CIP 응답분석부(130)는 제어장치(220)에서 운영장치(210)로 전송되는 응답 패킷을 수집하고, 수집된 응답 패킷의 EIP Encapsulation Header를 분석할 수 있다(S501).2A, 2B, 8A, and 8B, the EIP-CIP
S501의 분석에 기초하여, EIP-CIP 응답분석부(130)는 EIP Response에 매핑되는 EIP Request Command, Session Handle이 수집된 응답 패킷에 존재하는지 판단할 수 있다(S502).Based on the analysis of S501, the EIP-CIP
S502의 판단 결과, 수집된 응답 패킷에 EIP Request Command, Session Handle이 존재하면, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하는지 판단할 수 있다(S503).As a result of the determination of S502, if there is an EIP Request Command and Session Handle in the collected response packet, the EIP-CIP
S502의 판단결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷에 EIP Request Command, Session Handle이 존재하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).As a result of the determination of S502, the EIP-CIP
S503의 판단 결과, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하면, EIP Status가 성공(Success)인지 판단할 수 있다(S504).As a result of the determination of S503, the EIP-CIP
한편, S503의 판단 결과, EIP-CIP 응답분석부(130)는 EIP Length가 EIP 정상 응답 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S503, the EIP-CIP
이어서, S504의 판단 결과, 성공(Success)이면, EIP-CIP 응답분석부(130)는 EIP Encapsulation Data(Command Specific Data)를 분석할 수 있다(S505).Subsequently, if the determination result of S504 is Success, the EIP-CIP
한편, S504의 판단 결과, 성공(Success)이 아니면, EIP-CIP 응답분석부(130)는 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, if the result of the determination of S504, success (Success), EIP-CIP
이어서, S505의 분석에 기초하여 EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있는지 판단할 수 있다(S506).Subsequently, based on the analysis of S505, the EIP-CIP
이어서, S506의 판단 결과, EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있으면, Data Item Length가 EIP 정상 응답 리스트와 일치하는지 판단할 수 있다(S507).Subsequently, as a result of the determination of S506, the EIP-CIP
이어서, S506의 판단 결과, EIP-CIP 응답분석부(130)는 Address Item Type 및 Data Item Type이 EIP 정상 응답 리스트에 포함되어 있지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).Subsequently, as a result of the determination of S506, the EIP-CIP
이어서, S507의 판단 결과, EIP-CIP 응답분석부(130)는 Data Item Length가 EIP 정상 응답 리스트와 일치하면, CIP를 분석할 수 있다(S509).Subsequently, as a result of the determination of S507, the EIP-CIP
한편, S507의 판단 결과, EIP-CIP 응답분석부(130)는 Data Item Length가 EIP 정상 응답 리스트와 일치하지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S507, the EIP-CIP
이어서, S509의 분석에 기초하여 EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되는지 판단할 수 있다(S509).Subsequently, based on the analysis of S509, the EIP-CIP
이어서, S509의 판단 결과, EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되면, CIP Status가 성공(Success)인지 판단할 수 있다(S510).Subsequently, as a result of the determination of S509, if the Response CIP Service is mapped to the Request CIP Service, the EIP-CIP
한편, S509의 판단 결과, EIP-CIP 응답분석부(130)는 Response CIP Service가 Request CIP Service와 매핑되지 않으면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).Meanwhile, as a result of the determination of S509, if the Response CIP Service is not mapped to the Request CIP Service, the EIP-CIP
이어서, S510의 판단 결과, EIP-CIP 응답분석부(130)는 CIP Status가 성공(Success)이면, 수집된 응답 패킷이 Multiple CIP 패킷인지 판단할 수 있다(S511).Subsequently, as a result of the determination of S510, the EIP-CIP
한편, S510의 판단 결과, EIP-CIP 응답분석부(130)는 CIP Status가 성공(Success)이 아니면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S510, the EIP-CIP
이어서, S511의 판단 결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷이 Multiple CIP 패킷이면, CIP별 Status가 성공(Success)인지 판단할 수 있다(S512).Subsequently, as a result of the determination of S511, if the collected response packet is a multiple CIP packet, the EIP-CIP
한편, S511의 판단 결과, EIP-CIP 응답분석부(130)는 수집된 응답 패킷이 Multiple CIP 패킷이 아니면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Meanwhile, as a result of the determination of S511, the EIP-CIP
이어서, S512의 판단 결과, EIP-CIP 응답분석부(130)는 CIP별 Status가 성공(Success)이면, 마지막 Offset까지 처리되었는지 판단할 수 있다(S513).Subsequently, as a result of the determination of S512, the EIP-CIP
한편, S512의 판단 결과, EIP-CIP 응답분석부(130)는 CIP별 Status가 성공(Success)이 아니면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S514).On the other hand, as a result of the determination of S512, the EIP-CIP
이어서, S513의 판단 결과, EIP-CIP 응답분석부(130)는 마지막 Offset까지 처리되었으면, 결과를 EIP-CIP 위험분석부(140)로 전달할 수 있다.Subsequently, when the determination result of S513, the EIP-CIP
한편, S513의 판단 결과, EIP-CIP 응답분석부(130)는 마지막 Offset까지 처리되지 않았으면, S512의 과정을 재 수행할 수 있다.Meanwhile, as a result of the determination of S513, if the EIP-CIP
S514의 수행에 의해서 경보가 발생하면, EIP-CIP 응답분석부(130)는 EIP-CIP 위험분석부(140)로 경보 및 로그를 전달할 수 있다.When an alarm occurs by performing S514, the EIP-CIP
도 9는 본 개시에 따른 실시 예의 EIP-CIP 위험분석부의 동작을 설명하기 위한 흐름도이다.9 is a flowchart for explaining the operation of the EIP-CIP risk analysis unit of the embodiment according to the present disclosure.
도 9를 참조하면, EIP-CIP 위험분석부(140)는 EIP-CIP 요청분석부(120) 및 EIP-CIP 응답분석부(130)로부터 패킷 정보들을 수신할 수 있다. EIP-CIP 위험분석부(140)는 상기 패킷 정보들을 수신하면 단위 시간당 같은 세션에 대한 EIP Command/Session 및 CIP Object(Service, Class, Instance)에 기반하여 패킷 개수를 분석할 수 있다(S601).Referring to FIG. 9, the EIP-CIP
이어서, S601의 분석에 기초하여 EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷 개수가 허용범위 내인지 판단할 수 있다(S602).Subsequently, based on the analysis of S601, the EIP-CIP
이어서, S602의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷수가 허용범위 이내이면, 단위시간당 같은 세션에 대한 EIP Command/Session, CIP Object(Service, Class, Instance)에 기반하여 패킷량을 분석할 수 있다(S603).Subsequently, as a result of the determination of S602, the EIP-CIP
한편, S602의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷 개수가 허용범위를 벗어나면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S605).On the other hand, as a result of the determination of S602, the EIP-CIP
이어서, S603의 분석 결과에 기초하여, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위 이내인지 판단할 수 있다(S604).Subsequently, based on the analysis result of S603, the EIP-CIP
이어서, S604의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위 이내이면 동작을 종료할 수 있다.Subsequently, as a result of the determination of S604, the EIP-CIP
한편, S604의 판단 결과, EIP-CIP 위험분석부(140)는 EIP Command/Session, CIP Object 패킷량이 허용범위를 벗어나면, 경보 레벨을 분석할 수 있다. 스마트 제조 네트워크 보안감시 시스템(100)은 경로 레벨 분석에 기초하여 패킷의 이상징후에 대한 경보를 발생할 수 있다(S605).On the other hand, as a result of the determination of S604, the EIP-CIP
일 예로서, EIP-CIP 위험분석부(140)는 S605에서 경보가 발생하면 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, the EIP-CIP
일 예로서, EIP-CIP 위험분석부(140)는 EIP-CIP 네트워크 분석부(110)에서 수행되는 S313에서 경보가 발생하면, 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, if an alarm occurs in S313 performed by the EIP-CIP
일 예로서, EIP-CIP 요청분석부(120)에서 수행되는 S412에서 경보가 발생하면, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, when an alarm occurs in S412 performed by the EIP-CIP
일 예로서, EIP-CIP 응답분석부(130)에서 수행되는 S514에서 경보가 발생하면, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보에 대한 로그를 분석할 수 있다(S606).As an example, if an alarm occurs in S514 performed by the EIP-CIP
이어서, S606의 분석 결과에 기초하여, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위 이내인지 판단할 수 있다(S607).Subsequently, based on the analysis result of S606, the EIP-CIP
이어서, S607의 판단 결과, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위 내이면 동작을 종료할 수 있다.Subsequently, as a result of the determination of S607, the EIP-CIP
한편, S607의 판단 결과, EIP-CIP 위험분석부(140)는 단위 시간당 같은 경보 로그가 허용 범위를 벗어나면, 연관 분석을 통해 상향 조정된 경보를 발생하고, 로깅(Logging)할 수 있다(S608).On the other hand, as a result of the determination in S607, the EIP-CIP
본 개시에 따른 실시 예들에 따르면, EIP-CIP 네트워크 분석을 통해 Normal Network List와 비교함으로써 비인가 되거나 위장된 운영장치, 제어장치, 서비스를 인지하여 제거함으로써 안전한 스마트 제조 네트워크를 유지해 준다.According to the embodiments according to the present disclosure, it is possible to maintain a safe smart manufacturing network by recognizing and removing unauthorized or disguised operating devices, control devices, and services by comparing with the Normal Network List through EIP-CIP network analysis.
본 개시에 따른 실시 예들에 따르면, EIP-CIP 요청분석을 통해 EIP 정상 요청 리스트 및 CIP 정상 요청 리스트와 비교함으로써 운영장치에서 제어장치로의 비인가된 명령이나 중요 명령의 실행을 인지함으로써 제어장치를 안전하게 보호하고 대비할 수 있다.According to the embodiments according to the present disclosure, the EIP-CIP request analysis is performed to compare the EIP normal request list and the CIP normal request list to recognize the execution of unauthorized commands or important commands from the operating device to the control device to safely control the control device. You can protect and prepare.
본 개시에 따른 실시 예에 따르면, EIP-CIP 응답분석을 통해 EIP 정상 응답 리스트 및 CIP 정상 응답 리스트와 비교함으로써 운영장치의 명령에 따른 제어장치의 이상징후를 파악하여 안전하게 유지할 수 있도록 대응할 수 있다.According to an embodiment of the present disclosure, by comparing the EIP normal response list and the CIP normal response list through EIP-CIP response analysis, it is possible to identify and abnormally control the control device according to the command of the operating device so that it can be safely maintained.
본 개시에 따른 실시 예에 따르면, EIP-CIP 위험분석을 통해 EIP-CIP 명령 특성에 따른 이상징후를 인지하고 발생 경보에 따른 상관분석을 통해 잠재적 위협을 분석함으로써 스마트 제조 네트워크를 안전하게 보호하고 침해사고에 빠르게 대응할 수 있다.According to an embodiment according to the present disclosure, the EIP-CIP risk analysis is used to recognize anomalies according to the characteristics of the EIP-CIP command and to analyze potential threats through correlation analysis according to the occurrence alert to secure the smart manufacturing network and to infringe incidents. Can respond quickly.
이상, 첨부된 도면을 참조하여 본 개시에 따른 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시 예는 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해하여야 한다.The embodiments according to the present disclosure have been described above with reference to the accompanying drawings, but those having ordinary knowledge in the technical field to which the present invention pertains may be implemented in other specific forms without changing the technical spirit or essential features of the present invention. You will understand that you can. It should be understood that the embodiments described above are illustrative in all respects and not restrictive.
100: 스마트 제조 네트워크 보안감시시스템
110: EIP-CIP 네트워크분석부
120: EIP-CIP 요청분석부
130: EIP-CIP 응답분석부
140: EIP-CIP 위험분석부
200: 스마트 제조 네트워크
210: 운영장치 (Level 2)
220: 제어장치 (Level 1)
230: 현장 장치 (Level 0)100: Smart Manufacturing Network Security Monitoring System
110: EIP-CIP Network Analysis Department
120: EIP-CIP request analysis unit
130: EIP-CIP Response Analysis Department
140: EIP-CIP risk analysis department
200: Smart Manufacturing Network
210: operating device (Level 2)
220: Control (Level 1)
230: Field Device (Level 0)
Claims (15)
EIP-CIP 네트워크 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 제1 EIP-CIP 패킷과, 상기 제어장치와 상기 현장장치 간에 송/수신되는 제2 EIP-CIP 패킷을 수집하는 단계;
EIP-CIP 네트워크 분석부에서, 수집된 상기 제1 EIP-CIP 패킷 및 상기 제2 EIP-CIP 패킷 각각을 EIP-CIP Normal Network List에 기초하여 네트워크 이상징후를 분석하고, 상기 운영장치, 상기 제어장치 및 상기 현장장치에 기초하여 상기 제1 및 제2 EIP-CIP 패킷들을 분류하는 단계;
EIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전송되는 제1 EIP-CIP 요청 패킷을 수신하고, 상기 제1 EIP-CIP 요청 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 요청 리스트와 비교하고, 상기 EIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
상기 EIP 요청분석부에서, 상기 제어장치에서 상기 현장장치로 전송되는 제2 EIP-CIP 요청 패킷을 수신하고, 상기 제2 EIP-CIP 요청 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 상기 EIP 정상 요청 리스트와 비교하고, 상기 EIP 정상 요청 패킷과 비교한 결과에 기초하여 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
CIP 요청분석부에서, 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷을 수신하고, 상기 제1 EIP-CIP 요청 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 요청 리스트와 비교하고, 상기 CIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 운영장치에서 상기 제어장치로 전송되는 상기 제1 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
상기 CIP 요청분석부에서, 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 요청 패킷을 수신하고, 상기 제2 EIP-CIP 요청 패킷의 CIP 필드 및 Multiple CIP 필드를 상기 CIP 정상 요청 리스트와 비교하고, 상기 CIP 정상 요청 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 현장장치로 전송되는 상기 제2 EIP-CIP 요청 패킷의 이상징후를 인지하는 단계;
EIP 응답 분석부에서, 상기 제어장치에서 상기 운영장치로 전송되는 제1 EIP-CIP 응답 패킷을 수신하고, 상기 제1 EIP-CIP 응답 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 EIP 정상 응답 리스트와 비교하고, 상기 EIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
상기 EIP 응답분석부에서, 상기 현장장치에서 상기 제어장치로 전송되는 제2 EIP-CIP 응답 패킷을 수신하고, 상기 제2 EIP-CIP 응답 패킷의 Encapsulation Head 및 Encapsulation Data(Command Specific Data) 필드를 상기 EIP 정상 응답 리스트와 비교하고, 상기 EIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
CIP 응답분석부에서, 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷을 수신하고, 상기 제1 EIP-CIP 응답 패킷의 CIP 필드 및 Multiple CIP 필드를 CIP 정상 응답 리스트와 비교하고, 상기 CIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 제어장치에서 상기 운영장치로 전송되는 상기 제1 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
상기 CIP 응답분석부에서, 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷을 수신하고, 상기 제2 EIP-CIP 응답 패킷의 CIP 필드 및 Multiple CIP 필드를 상기 CIP 정상 응답 리스트와 비교하고, 상기 CIP 정상 응답 리스트와 비교한 결과에 기초하여 상기 현장장치에서 상기 제어장치로 전송되는 상기 제2 EIP-CIP 응답 패킷의 이상징후를 인지하는 단계;
명령 특성별 주기 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 제1 패킷수에 따른 주기를 분석하고, 상기 제1 패킷수에 따른 주기를 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 명령 특성별 주기 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 EIP 명령(Command) 및 CIP 오브젝트(Object)의 제2 패킷수에 따른 주기를 분석하고, 상기 제2 패킷수에 따른 주기를 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
명령 특성별 패킷량 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 EIP 명령(Command) 및 상기 CIP 오브젝트(Object)의 제1 패킷량을 분석하고, 상기 제1 패킷량을 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 명령 특성별 패킷량 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 EIP 명령(Command) 및 상기 CIP 오브젝트(Object)의 제2 패킷량을 분석하고, 상기 제2 패킷량을 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;
잠재적 위험 분석부에서, 상기 운영장치와 상기 제어장치 간에 송/수신 되는 상기 제1 EIP-CIP 패킷에 대해서 제1 단위 시간당 발생 경보를 분석하고, 상기 제1 단위 시간당 발생 경보를 분석한 결과에 기초하여 상기 운영장치와 상기 제어장치 간에 송/수신되는 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 단계;
상기 잠재적 위험 분석부에서, 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷에 대해서 제2 단위 시간당 발생 경보를 분석하고, 상기 제2 단위 시간당 발생 경보를 분석한 결과에 기초하여 상기 제어장치와 상기 현장장치 간에 송/수신되는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 단계;를 포함하는 스마트 제조 네트워크 보안 감시 방법.In a communication environment in which an operating device, a control device, and a field device in a smart manufacturing network transmit / receive EtherNet / IP packets using the industrial network protocol EtherNet / IP (EIP) -CIP (Common Industrial Protocol),
In the EIP-CIP network analysis unit, collecting a first EIP-CIP packet transmitted / received between the operating device and the control device, and a second EIP-CIP packet transmitted / received between the control device and the field device. ;
In the EIP-CIP network analysis unit, each of the collected first EIP-CIP packets and the second EIP-CIP packets is analyzed for network anomalies based on the EIP-CIP Normal Network List, and the operating device and the control device are analyzed. And classifying the first and second EIP-CIP packets based on the field device.
The EIP request analysis unit receives the first EIP-CIP request packet transmitted from the operating device to the control device, and EIP normalizes the Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the first EIP-CIP request packet. Comparing with a request list and recognizing an abnormal sign of the first EIP-CIP request packet transmitted from the operating device to the control device based on a result of comparison with the EIP normal request list;
The EIP request analysis unit receives a second EIP-CIP request packet transmitted from the control device to the field device, and displays Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the second EIP-CIP request packet. Comparing with the EIP normal request list and recognizing an abnormal sign of the second EIP-CIP packet transmitted from the control device to the field device based on a result of comparing the EIP normal request packet;
The CIP request analysis unit receives the first EIP-CIP request packet transmitted from the operating device to the control device, and compares the CIP field and Multiple CIP field of the first EIP-CIP request packet with the CIP normal request list And recognizing an abnormal sign of the first EIP-CIP request packet transmitted from the operating device to the control device based on a result compared with the CIP normal request list;
The CIP request analysis unit receives the second EIP-CIP request packet transmitted from the control device to the field device, and the CIP field and Multiple CIP fields of the second EIP-CIP request packet are the CIP normal request list. Comparing with, and recognizing the abnormal signs of the second EIP-CIP request packet transmitted from the control device to the field device based on the result of comparison with the CIP normal request list;
The EIP response analysis unit receives the first EIP-CIP response packet transmitted from the control device to the operating device, and EIP normalizes the Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the first EIP-CIP response packet. Comparing with a response list, and recognizing abnormal signs of the first EIP-CIP response packet transmitted from the control device to the operating device based on a result of comparison with the EIP normal response list;
The EIP response analysis unit receives a second EIP-CIP response packet transmitted from the field device to the control device, and displays Encapsulation Head and Encapsulation Data (Command Specific Data) fields of the second EIP-CIP response packet. Comparing an EIP normal response list and recognizing an abnormal sign of the second EIP-CIP response packet transmitted from the field device to the control device based on a result of comparison with the EIP normal response list;
The CIP response analysis unit receives the first EIP-CIP response packet transmitted from the control device to the operating device, and compares the CIP field and Multiple CIP field of the first EIP-CIP response packet with a CIP normal response list And recognizing an abnormal sign of the first EIP-CIP response packet transmitted from the control device to the operating device based on a result compared with the CIP normal response list;
The CIP response analysis unit receives the second EIP-CIP response packet transmitted from the field device to the control device, and the CIP field and Multiple CIP field of the second EIP-CIP response packet are the CIP normal response list And comparing with the CIP normal response list, recognizing abnormal symptoms of the second EIP-CIP response packet transmitted from the field device to the control device;
The period analysis unit for each command characteristic analyzes a period according to the number of first packets of EIP commands and CIP objects transmitted / received between the operating device and the control device, and according to the number of first packets. Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device based on a result of analyzing the period;
In the period analysis unit for each command characteristic, the period according to the second packet number of the EIP command and CIP object transmitted / received between the control device and the field device is analyzed, and the second packet number is Recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on a result of analyzing the cycle according to the result;
The packet amount analysis unit for each command characteristic analyzes the first packet amount of the EIP command and the CIP object transmitted / received between the operating device and the control device, and analyzes the first packet amount Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device based on a result;
The packet amount analysis unit for each command characteristic analyzes the second packet amount of the EIP command and the CIP object transmitted / received between the control device and the field device, and analyzes the second packet amount. Recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on the analyzed result;
A potential risk analysis unit analyzes the first unit hourly generated alarm for the first EIP-CIP packet transmitted / received between the operating unit and the control unit, and is based on the result of analyzing the first unit hourly generated alarm Recognizing an abnormal sign of the first EIP-CIP packet transmitted / received between the operating device and the control device;
In the potential risk analysis unit, a second unit hourly generated alarm is analyzed for the second EIP-CIP packet transmitted / received between the control device and the field device, and the second unit hourly generated alarm is analyzed. And recognizing an abnormal sign of the second EIP-CIP packet transmitted / received between the control device and the field device based on the smart manufacturing network security monitoring method.
상기 EIP-CIP Normal Network List는 이더넷 헤더와 IP 헤더에서 Unicast, 및 Multicast를 포함하고, 이더넷 헤더 MAC 주소, 이더넷 헤더 Type, IP 헤더, IP 주소, IP 헤더 Protocol, TCP 헤더 PORT, 및 UDP 헤더 PORT 를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP-CIP Normal Network List includes Unicast and Multicast in Ethernet header and IP header, and includes Ethernet header MAC address, Ethernet header type, IP header, IP address, IP header protocol, TCP header PORT, and UDP header PORT. Smart manufacturing network security monitoring method comprising a.
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외하고,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제1 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, 상기 EIP-CIP Normal Network List에 포함되었는지 판단하고,
상기 제1 EIP-CIP 패킷이 상기 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 2,
If the first EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is excluded to be checked by another analysis module,
If the first EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List,
When the first EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, a smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the first EIP-CIP packet.
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷이 아닌 경우, 다른 분석 모듈에서 검사하도록 제외하고,
상기 이더넷 헤더 Type, 상기 IP 헤더 Protocol, 상기 TCP 헤더 PORT에 기초하여 상기 제2 EIP-CIP 패킷이 상기 EtherNet/IP 패킷인 경우, 상기 EIP-CIP Normal Network List에 포함되었는지 판단하고,
상기 제2 EIP-CIP 패킷이 EIP-CIP Normal Network List에 포함되지 않은 패킷일 경우, 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 2,
If the second EIP-CIP packet is not the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is excluded to be checked by another analysis module,
If the second EIP-CIP packet is the EtherNet / IP packet based on the Ethernet header type, the IP header protocol, and the TCP header PORT, it is determined whether it is included in the EIP-CIP Normal Network List,
When the second EIP-CIP packet is a packet not included in the EIP-CIP Normal Network List, a smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the second EIP-CIP packet.
상기 EIP-CIP Normal Network List 항목에 포함되는 경우, 추가적으로 IP 헤더의 Fragment Offset, TTL(Time To Live)의 필드, TCP 헤더의 Sequence Number, 및 TCP Flags의 필드에 기초하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 3 or 4,
When included in the EIP-CIP Normal Network List item, the first EIP-CIP packet is additionally based on the Fragment Offset of the IP header, the field of the Time To Live (TTL), the Sequence Number of the TCP header, and the fields of the TCP Flags. Or the smart manufacturing network security monitoring method characterized in that it recognizes the abnormal signs of the second EIP-CIP packet.
상기 EIP 정상 요청 리스트는 Encapsulation 헤더의 Command, Length 필드를 포함하고, Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, Data Item Length 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP normal request list includes the Command and Length fields of the Encapsulation header, and includes the Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data). .
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 요청 리스트에 포함되지 않는 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지하고,
상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 6,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal request list, it is recognized as an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet. ,
Determining the alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the command of the encapsulation header, and the address item type and data item type of the encapsulation data (command specific data) Smart manufacturing network security monitoring method characterized by.
상기 CIP 정상 요청 리스트는 CIP(Common Industrial Protocol)의 Object(Service, Class, Instance) 필드를 포함하고,
Multiple CIP인 경우, CIP별 Object(Service, Class, Instance) 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The CIP normal request list includes Object (Service, Class, Instance) fields of Common Industrial Protocol (CIP),
In the case of multiple CIPs, a smart manufacturing network security monitoring method comprising an object (service, class, instance) field for each CIP.
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 요청 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 CIP의 Object에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 8,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet that is not included in the CIP normal request list, the first EIP-CIP packet or the second EIP-CIP packet is detected and detected. ,
A smart manufacturing network security monitoring method characterized by determining an alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the object of the CIP.
상기 EIP 정상 응답 리스트는 Encapsulation 헤더의 Command, Length, 및 Status필드를 포함하고, Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type, 및 Data Item Length 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The EIP normal response list includes the Command, Length, and Status fields of the Encapsulation header, and smart manufacturing characterized by including the Address Item Type, Data Item Type, and Data Item Length fields of Encapsulation Data (Command Specific Data). Network security monitoring method.
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 EIP 정상 응답 리스트에 포함되지 않는 패킷이거나, 또는 연관된 요청 패킷의 Command, Session Handle과 매핑되지 않는 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 Encapsulation 헤더의 Command와 상기 Encapsulation Data(Command Specific Data)의 Address Item Type, Data Item Type에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상유무에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 10,
If the first EIP-CIP packet or the second EIP-CIP packet is a packet not included in the EIP normal response list, or if it is not mapped to the Command or Session Handle of the associated request packet, the first EIP-CIP packet Or recognize the abnormal signs of the second EIP-CIP packet,
Determining the alarm level for the abnormality of the first EIP-CIP packet or the second EIP-CIP packet according to the command of the Encapsulation header, and the address item type and data item type of the encapsulation data (command specific data) Smart manufacturing network security monitoring method characterized by.
상기 CIP 정상 응답 리스트는 CIP(Common Industrial Protocol)의 Service, Status 필드를 포함하고, Multiple CIP인 경우 CIP별 Service, Status 필드를 포함하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The CIP normal response list includes the Service and Status fields of the Common Industrial Protocol (CIP), and the Service and Status fields for each CIP in the case of multiple CIPs.
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷이 상기 CIP 정상 응답 리스트에 포함되지 않은 패킷일 경우, 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후를 인지하고,
상기 CIP의 Service, Status에 따라 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후에 대한 경보 레벨을 결정하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 12,
When the first EIP-CIP packet or the second EIP-CIP packet is a packet that is not included in the CIP normal response list, the first EIP-CIP packet or the second EIP-CIP packet is detected and detected. ,
A smart manufacturing network security monitoring method characterized by determining an alarm level for abnormal signs of the first EIP-CIP packet or the second EIP-CIP packet according to the service and status of the CIP.
EIP-CIP 명령 특성으로 EIP Command/Session과 CIP(Common Industrial Protocol) Object(Service, Class, Instance)에 기반하여 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 패킷수 및 패킷량을 분석하고,
분석 결과 허용범위를 벗어나면 상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 이상징후로 인지하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.According to claim 1,
The number of packets generated per unit time of the first EIP-CIP packet or the second EIP-CIP packet based on EIP Command / Session and Common Industrial Protocol (CIP) Object (Service, Class, Instance) as the EIP-CIP command characteristics, and Analyze the packet quantity,
A smart manufacturing network security monitoring method characterized by recognizing an abnormal sign of the first EIP-CIP packet or the second EIP-CIP packet when the result of the analysis is out of the allowable range.
상기 제1 EIP-CIP 패킷 또는 상기 제2 EIP-CIP 패킷의 단위시간당 발생 경보가 허용범위를 벗어나면, 발생 이벤트 간 상관분석을 통해 잠재적 위험을 분석하는 것을 특징으로 하는 스마트 제조 네트워크 보안 감시 방법.The method of claim 14,
A smart manufacturing network security monitoring method characterized in that when the occurrence alarm per unit time of the first EIP-CIP packet or the second EIP-CIP packet is outside an allowable range, potential risk is analyzed through correlation analysis between occurrence events.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020180171793 | 2018-12-28 | ||
KR20180171793 | 2018-12-28 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102097305B1 true KR102097305B1 (en) | 2020-05-27 |
Family
ID=70911022
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190098954A KR102097305B1 (en) | 2018-12-28 | 2019-08-13 | Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102097305B1 (en) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102139138B1 (en) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | An ICS header profiling system for private Industrial Control System protocol |
KR102139140B1 (en) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | A tag data profiling system for private Industrial Control System protocol |
KR102293155B1 (en) * | 2021-04-05 | 2021-08-25 | 주식회사 네오솔루션즈 | Remote monitoring and control system for industry equipment |
KR20220058752A (en) * | 2020-10-30 | 2022-05-10 | 한국전자통신연구원 | Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training |
KR20230084832A (en) | 2021-12-06 | 2023-06-13 | 주식회사 윈스 | 5G smart factory replay attack detection method and apparatus |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236374A1 (en) * | 2005-04-13 | 2006-10-19 | Rockwell Automation Technologies, Inc. | Industrial dynamic anomaly detection method and apparatus |
KR20100060335A (en) * | 2008-11-27 | 2010-06-07 | 삼성전자주식회사 | Network apparatus and method for controlling the same |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
KR20150026345A (en) | 2013-09-02 | 2015-03-11 | 한국전력공사 | Apparatus and method for creating whitelist with network traffic |
KR101538709B1 (en) | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
-
2019
- 2019-08-13 KR KR1020190098954A patent/KR102097305B1/en active IP Right Grant
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060236374A1 (en) * | 2005-04-13 | 2006-10-19 | Rockwell Automation Technologies, Inc. | Industrial dynamic anomaly detection method and apparatus |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
KR20100060335A (en) * | 2008-11-27 | 2010-06-07 | 삼성전자주식회사 | Network apparatus and method for controlling the same |
KR20150026345A (en) | 2013-09-02 | 2015-03-11 | 한국전력공사 | Apparatus and method for creating whitelist with network traffic |
KR101538709B1 (en) | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR102139138B1 (en) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | An ICS header profiling system for private Industrial Control System protocol |
KR102139140B1 (en) * | 2020-04-27 | 2020-07-30 | (주) 앤앤에스피 | A tag data profiling system for private Industrial Control System protocol |
KR20220058752A (en) * | 2020-10-30 | 2022-05-10 | 한국전자통신연구원 | Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training |
KR102428689B1 (en) | 2020-10-30 | 2022-08-05 | 한국전자통신연구원 | Apparatus and Method for Providing Virtual Industrial Control System for Cybersecurity Education and Training |
KR102293155B1 (en) * | 2021-04-05 | 2021-08-25 | 주식회사 네오솔루션즈 | Remote monitoring and control system for industry equipment |
KR20230084832A (en) | 2021-12-06 | 2023-06-13 | 주식회사 윈스 | 5G smart factory replay attack detection method and apparatus |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR102097305B1 (en) | Network security monitoring method and system for smart manufacturing on ethernet/ip-cip industrial network environments | |
Morris et al. | A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems | |
KR101761737B1 (en) | System and Method for Detecting Abnormal Behavior of Control System | |
US9954903B2 (en) | Industrial network security translator | |
KR101538709B1 (en) | Anomaly detection system and method for industrial control network | |
KR101977731B1 (en) | Apparatus and method for detecting anomaly in a controller system | |
CN110958262A (en) | Ubiquitous Internet of things safety protection gateway system, method and deployment architecture in power industry | |
US8584237B2 (en) | Improper communication detection system | |
CN109922085B (en) | Safety protection system and method based on CIP (common interface protocol) in PLC (programmable logic controller) | |
US20160344754A1 (en) | Configurable Robustness Agent in a Plant Security System | |
CN102055674B (en) | Internet protocol (IP) message as well as information processing method and device based on same | |
US10645167B2 (en) | Distributed setting of network security devices from power system IED settings files | |
CN110636075A (en) | Operation and maintenance management and control and operation and maintenance analysis method and device | |
CN103051599B (en) | Process apparatus network invasion monitoring and prevention | |
US20160277547A1 (en) | Packet monitoring device and packet monitoring method for communication packet | |
Graveto et al. | A network intrusion detection system for building automation and control systems | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
WO2014042636A1 (en) | Packet intrusion inspection in an industrial control network | |
US11405358B2 (en) | Network security monitoring of network traffic | |
CN110995733B (en) | Intrusion detection system in industrial control field based on remote measuring technology | |
CN112968869A (en) | Information safety monitoring system of electric power production control large area | |
CN101548269B (en) | Method, computer program product, and device for network reconnaissance flow identification | |
TWI793650B (en) | Industrial control network threat intelligent detection system and training system with deep learning | |
KR102428345B1 (en) | Method generating for whitelist between devices using profinet protocol and computing device thereof | |
CN114766086A (en) | Transmission device for transmitting data |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GRNT | Written decision to grant |