KR102190693B1 - Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems - Google Patents
Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems Download PDFInfo
- Publication number
- KR102190693B1 KR102190693B1 KR1020190157943A KR20190157943A KR102190693B1 KR 102190693 B1 KR102190693 B1 KR 102190693B1 KR 1020190157943 A KR1020190157943 A KR 1020190157943A KR 20190157943 A KR20190157943 A KR 20190157943A KR 102190693 B1 KR102190693 B1 KR 102190693B1
- Authority
- KR
- South Korea
- Prior art keywords
- control message
- security profile
- energy storage
- security
- network security
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N20/00—Machine learning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/308—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content
Abstract
Description
본 발명은 네트워크 보안 장치에 관련된 것으로, 보다 구체적으로는 에너지 저장 시스템의 네트워크 보안을 위하여 보안 프로파일(화이트 리스트) 기반의 탐지 방법과 기계 학습 기반의 탐지 방법을 융합하여 비정상 공격 메시지에 대한 탐지 및 차단 기능을 수행하는 에너지 저장 시스템의 네트워크 보안 장치 및 방법에 관련된 것이다.The present invention relates to a network security device, and more specifically, detection and blocking of abnormal attack messages by combining a detection method based on a security profile (white list) and a detection method based on machine learning for network security of an energy storage system. It relates to a network security device and method of an energy storage system that performs a function.
에너지 저장 시스템(ESS: Energy Storage System)은 전력공급 안정화, 신 재생에너지 보급 확산 등의 부가가치 창출로 폭발적 시장 성장이 예측되는 주요 기술로 전력수요가 낮은 시간대에 전력을 저장하고, 전력수요가 높아 예비 전력이 부족한 시간대에 저장하였던 전력을 사용함으로써 부하 평준화가 가능하고, 발전소 및 계통 선로 건설 등의 비용을 절약할 수 있다.Energy Storage System (ESS) is a major technology that is predicted to explosive market growth by creating added values such as stabilizing power supply and spreading new and renewable energy. It stores power during times when power demand is low and reserves due to high power demand. It is possible to equalize the load by using the power stored in the time when the power is insufficient, and to save the cost of the construction of power plants and system lines.
에너지 저장 시스템 및 수요 반응(DR: Demand Response) 등과 에너지 관리 시스템(EMS: Energy Management System) 또는 통합 운용 센터 간에는 IEC 61970 / IEC 61968 프로토콜을 사용하여 연동되어 있다.The energy storage system, demand response (DR), and the energy management system (EMS: Energy Management System) or the integrated operation center are linked using the IEC 61970 / IEC 61968 protocol.
이러한 에너지 저장 시스템과 통합 운용 센터 간의 통신 수행을 위한 유무선 네트워크 구간에서 비정상적인 제어 메시지를 탐지하고 차단할 수 있는 수단을 필요로 한다.There is a need for a means to detect and block abnormal control messages in the wired/wireless network section for performing communication between the energy storage system and the integrated operation center.
본 발명이 해결하고자 하는 일 기술적 과제는, 에너지 저장 시스템과 유무선 네트워크 간 접점 구간에서 적응형 보안 프로파일(Adaptive Security Profile) 기반의 심층 패킷 분석(Deep Packet Inspection)을 이용하여 비정상 제어 메시지를 차단하는 에너지 저장 시스템의 네트워크 보안 장치 및 방법을 제공하는데 있다.One technical problem to be solved by the present invention is energy that blocks abnormal control messages using deep packet inspection based on an adaptive security profile in a junction section between an energy storage system and a wired/wireless network. It is to provide an apparatus and method for network security of a storage system.
본 발명이 해결하고자 하는 다른 기술적 과제는, 적응형 보안 프로파일을 최초에는 관리자에 의해 입력된 보안 프로파일을 이용하여 비정상 제어 메시지 차단을 수행하고, 비정상 제어 메시지 차단 과정에서 축적된 정보들을 이용하여 적응형 보안 프로파일을 주기적으로 업데이트하는 에너지 저장 시스템의 네트워크 보안 장치 및 방법을 제공하는데 있다.Another technical problem to be solved by the present invention is to perform an adaptive security profile initially by using a security profile input by an administrator to block abnormal control messages, and to use information accumulated in the process of blocking abnormal control messages. It is to provide an apparatus and method for network security of an energy storage system for periodically updating a security profile.
본 발명이 해결하고자 하는 기술적 과제는 상술된 것에 제한되지 않는다.The technical problem to be solved by the present invention is not limited to the above.
본 발명의 일 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치는, 하나 이상의 프로세서; 및 상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며, 상기 하나 이상의 프로세서는, 제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신하고, 상기 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별하며, 상기 비정상 제어 메시지를 차단하고, 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트 할 수 있다.A network security device for an energy storage system according to an embodiment of the present invention includes: one or more processors; And one or more memories storing instructions for causing the one or more processors to perform an operation when executed by the one or more processors, wherein the one or more processors include information on a detection criterion and blocking behavior for a control message. Receiving the security profile, determining a normal control message and an abnormal control message through a deep packet analysis method for a control message received using the security profile, blocking the abnormal control message, and blocking the normal control message and the The security profile may be periodically updated based on analysis information in the process of determining the abnormal control message.
일 실시 예에 따르면, 상기 하나 이상의 프로세서는, 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 IP(Internet Protocol), 포트(Port), 접속 노드명, 제어 메시지 헤더 정보, 시각 정보, XML 태그(tag) 별 수신 값 및 기준 값, 제어 메시지 크기(size), 제어 메시지 수신율(rate), 서비스 이름 중 적어도 하나를 포함하는 상기 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트 할 수 있다.According to an embodiment, the one or more processors include: Internet Protocol (IP), port, access node name, control message header information, time information, XML in the process of determining the normal control message and the abnormal control message. The security profile may be periodically updated based on the analysis information including at least one of a reception value and a reference value for each tag, a control message size, a control message reception rate, and a service name.
일 실시 예에 따르면, 상기 보안 프로파일은, 커널 계층(Kernel Layer), 트랜스포트 프로토콜 계층(Transport Protocol Layer), 어플리케이션 계층(Application Layer), 사용자 인터페이스 계층(User Interface Layer)의 계층별 보안 프로파일; BEMS(Building Energy Management System), FEMS(Factory Energy Management System) 및 HEMS(Home Energy Management System)의 연동 노드별 보안 프로파일; 및 에너지 저장 시스템 전체 보안 프로파일 중 적어도 하나를 포함할 수 있다.According to an embodiment, the security profile includes: a security profile for each layer of a kernel layer, a transport protocol layer, an application layer, and a user interface layer; Security profile for each node interlocked with BEMS (Building Energy Management System), FEMS (Factory Energy Management System) and HEMS (Home Energy Management System); And at least one of the entire security profile of the energy storage system.
일 실시 예에 따르면, 상기 하나 이상의 프로세서는, 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고, 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며, 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고, 상기 학습 데이터를 이용하여 상기 보안 프로파일을 주기적으로 업데이트 할 수 있다.According to an embodiment, the one or more processors form analysis data based on analysis information in the process of determining the normal control message and the abnormal control message, and form statistical data for each predetermined period based on the analysis data. In addition, learning data may be formed from the analysis data and the statistical data using a machine learning algorithm, and the security profile may be periodically updated using the learning data.
본 발명의 일 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 방법은, 제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신하는 단계; 상기 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별하는 단계; 상기 비정상 제어 메시지를 차단하는 단계; 및 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트하는 단계를 포함할 수 있다.A network security method for an energy storage system according to an embodiment of the present invention includes: receiving a security profile including information on a detection criterion and blocking behavior for a control message; Determining a normal control message and an abnormal control message through a deep packet analysis method for a control message received using the security profile; Blocking the abnormal control message; And periodically updating the security profile based on the analysis information in the process of determining the normal control message and the abnormal control message.
일 실시 예에 따르면, 상기 보안 프로파일을 주기적으로 업데이트하는 단계는, 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 IP(Internet Protocol), 포트(Port), 접속 노드명, 제어 메시지 헤더 정보, 시각 정보, XML 태그(tag) 별 수신 값 및 기준 값, 제어 메시지 크기(size), 제어 메시지 수신율(rate), 서비스 이름 중 적어도 하나를 포함하는 상기 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트 하는 단계를 포함할 수 있다. According to an embodiment, the step of periodically updating the security profile includes: Internet Protocol (IP), port, access node name, and control message header information in the process of determining the normal control message and the abnormal control message. , Time information, a reception value and a reference value for each XML tag, a control message size (size), a control message reception rate (rate), the security profile is periodically based on the analysis information including at least one of the service name It may include the step of updating.
일 실시 예에 따르면, 상기 보안 프로파일은, 커널 계층(Kernel Layer), 트랜스포트 프로토콜 계층(Transport Protocol Layer), 어플리케이션 계층(Application Layer), 사용자 인터페이스 계층(User Interface Layer)의 계층별 보안 프로파일; BEMS(Building Energy Management System), FEMS(Factory Energy Management System) 및 HEMS(Home Energy Management System)의 연동 노드별 보안 프로파일; 및 에너지 저장 시스템 전체 보안 프로파일 중 적어도 하나를 포함할 수 있다.According to an embodiment, the security profile includes: a security profile for each layer of a kernel layer, a transport protocol layer, an application layer, and a user interface layer; Security profile for each node interlocked with BEMS (Building Energy Management System), FEMS (Factory Energy Management System) and HEMS (Home Energy Management System); And at least one of the entire security profile of the energy storage system.
일 실시 예에 따르면, 상기 보안 프로파일을 주기적으로 업데이트하는 단계는, 상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하는 단계; 상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하는 단계; 기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하는 단계; 및 상기 학습 데이터를 이용하여 상기 보안 프로파일을 주기적으로 업데이트하는 단계를 포함할 수 있다.According to an embodiment, the periodically updating the security profile may include: forming analysis data based on analysis information in the process of determining the normal control message and the abnormal control message; Forming statistical data for each predetermined period based on the analysis data; Forming learning data from the analysis data and the statistical data using a machine learning algorithm; And periodically updating the security profile using the learning data.
본 발명의 일 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치 및 방법은, 에너지 저장 시스템의 네트워크 보안을 위하여 보안 프로파일(화이트 리스트) 기반의 탐지 방법과 기계 학습 기반의 탐지 방법을 융합하여 비정상 공격 메시지에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, 에너지 저장 시스템과 통합 운용 센터 간에 송수신되는 제어 메시지의 기밀성과 보안성을 보장하고, 외부로부터의 네트워크 공격으로부터 에너지 저장 시스템을 보호할 수 있다.An apparatus and method for network security of an energy storage system according to an embodiment of the present invention combines a detection method based on a security profile (white list) and a detection method based on machine learning for network security of the energy storage system to provide an abnormal attack message. Detection and blocking functions can be performed. Accordingly, the confidentiality and security of control messages transmitted and received between the energy storage system and the integrated operation center can be guaranteed, and the energy storage system can be protected from external network attacks.
또한, 본 발명의 일 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치 및 방법은, 정상 제어 메시지와 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트할 수 있다. 이로써, 계절별, 시간대별, 날씨별로 변화하는 탐지 기준에 따른 오 탐지율을 최소화할 수 있다.In addition, the network security device and method of an energy storage system according to an embodiment of the present invention may periodically update a security profile based on analysis information in a process of determining a normal control message and an abnormal control message. As a result, it is possible to minimize the false detection rate according to the detection criteria changing by season, time period, and weather.
또한, 본 발명의 일 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치 및 방법은, 계층별 보안 프로파일, 연동 노드별 보안 프로파일, 및 에너지 저장 시스템 전체 보안 프로파일 중 적어도 하나의 보안 프로파일을 이용하여 비정상 공격 메시지에 대한 탐지 및 차단 기능을 수행할 수 있다. 이로써, 비정상 공격 메시지를 다각적으로 탐지할 수 있어서 비정상 공격 메시지에 대한 탐지율을 향상시킬 수 있다.In addition, the network security device and method of an energy storage system according to an embodiment of the present invention uses at least one of a security profile for each layer, a security profile for each interlocking node, and an entire security profile for the energy storage system. It can detect and block messages. As a result, it is possible to detect abnormal attack messages from multiple angles, thereby improving the detection rate for abnormal attack messages.
도 1은 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 환경의 구성을 보이는 예시도이다.
도 2는 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치의 구성을 보이는 예시도이다.
도 3은 본 발명의 실시 예에 따른 보안 프로파일의 계층별 구성 개념도이다.
도 4는 본 발명의 실시 예에 따른 비정상 제어 메시지의 탐지 및 차단 과정의 개념도이다.
도 5는 본 발명의 실시 예에 따른 보안 프로파일의 업데이트를 위하여 획득되는 정보를 나타내는 개념도이다.
도 6은 본 발명의 실시 예에 따른 보안 프로파일의 업데이트 과정을 보이는 개념도이다.
도 7은 본 발명의 실시 예에 따른 심층 패킷 분석 절차에서 생성된 정보들에 대한 분석 과정의 개념도이다.
도 8은 본 발명의 실시 예에 따른 에너지 저장 시스템의 데이터 전송 개념도이다.
도 9는 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 방법의 절차를 보이는 흐름도이다.1 is an exemplary diagram showing the configuration of a network security environment of an energy storage system according to an embodiment of the present invention.
2 is an exemplary diagram showing the configuration of a network security device of an energy storage system according to an embodiment of the present invention.
3 is a conceptual diagram illustrating a configuration of a security profile for each layer according to an embodiment of the present invention.
4 is a conceptual diagram illustrating a process of detecting and blocking an abnormal control message according to an embodiment of the present invention.
5 is a conceptual diagram illustrating information obtained for updating a security profile according to an embodiment of the present invention.
6 is a conceptual diagram showing a process of updating a security profile according to an embodiment of the present invention.
7 is a conceptual diagram illustrating an analysis process for information generated in a deep packet analysis process according to an embodiment of the present invention.
8 is a conceptual diagram of data transmission of an energy storage system according to an embodiment of the present invention.
9 is a flowchart showing a procedure of a network security method of an energy storage system according to an embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명할 것이다. 그러나 본 발명의 기술적 사상은 여기서 설명되는 실시 예에 한정되지 않고 다른 형태로 구체화 될 수도 있다. 오히려, 여기서 소개되는 실시 예는 개시된 내용이 철저하고 완전해질 수 있도록 그리고 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 제공되는 것이다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings. However, the technical idea of the present invention is not limited to the embodiments described herein and may be embodied in other forms. Rather, the embodiments introduced herein are provided so that the disclosed content may be thorough and complete, and the spirit of the present invention may be sufficiently conveyed to those skilled in the art.
본 명세서에서, 어떤 구성요소가 다른 구성요소 상에 있다고 언급되는 경우에 그것은 다른 구성요소 상에 직접 형성될 수 있거나 또는 그들 사이에 제 3의 구성요소가 개재될 수도 있다는 것을 의미한다.In the present specification, when a component is referred to as being on another component, it means that it may be formed directly on the other component or that a third component may be interposed between them.
또한, 본 명세서의 다양한 실시 예 들에서 제1, 제2, 제3 등의 용어가 다양한 구성요소들을 기술하기 위해서 사용되었지만, 이들 구성요소들이 이 같은 용어들에 의해서 한정되어서는 안 된다. 이들 용어들은 단지 어느 구성요소를 다른 구성요소와 구별시키기 위해서 사용되었을 뿐이다. 따라서, 어느 한 실시 예에 제 1 구성요소로 언급된 것이 다른 실시 예에서는 제 2 구성요소로 언급될 수도 있다. 여기에 설명되고 예시되는 각 실시 예는 그것의 상보적인 실시 예도 포함한다. 또한, 본 명세서에서 '및/또는'은 전후에 나열한 구성요소들 중 적어도 하나를 포함하는 의미로 사용되었다.In addition, in various embodiments of the present specification, terms such as first, second, and third are used to describe various components, but these components should not be limited by these terms. These terms are only used to distinguish one component from another component. Accordingly, what is referred to as a first component in one embodiment may be referred to as a second component in another embodiment. Each embodiment described and illustrated herein also includes its complementary embodiment. In addition, in the present specification,'and/or' is used to mean including at least one of the elements listed before and after.
명세서에서 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한 복수의 표현을 포함한다. 또한, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 구성요소 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 구성요소 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 배제하는 것으로 이해되어서는 안 된다. In the specification, expressions in the singular include plural expressions unless the context clearly indicates otherwise. In addition, terms such as "comprise" or "have" are intended to designate the presence of features, numbers, steps, elements, or a combination of the features described in the specification, and one or more other features, numbers, steps, and configurations It is not to be understood as excluding the possibility of the presence or addition of elements or combinations thereof.
또한, 본 명세서에서 "연결"은 복수의 구성 요소를 간접적으로 연결하는 것, 및 직접적으로 연결하는 것을 모두 포함하는 의미로 사용된다. 또한, "연결"이라 함은 물리적인 연결은 물론 전기적인 연결을 포함하는 개념이다.In addition, in the present specification, "connection" is used to include both indirectly connecting a plurality of constituent elements and direct connecting. In addition, "connection" is a concept including electrical connections as well as physical connections.
또한, 하기에서 본 발명을 설명함에 있어 관련된 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략할 것이다.Further, in the following description of the present invention, when it is determined that a detailed description of a related known function or configuration may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted.
도 1은 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 환경의 구성을 보이는 예시도이다.1 is an exemplary diagram showing the configuration of a network security environment of an energy storage system according to an embodiment of the present invention.
도 1에 도시한 바와 같이, 네트워크 보안 환경(100)은 에너지 저장 시스템(110), 네트워크 보안 장치(120), VPN(Virtual Private Network) 서버(130), 통합 운용 서버(140) 및 네트워크(N)를 포함할 수 있다.As shown in FIG. 1, the network security environment 100 includes an
에너지 저장 시스템(110)은, 네트워크 보안 장치(120), 네트워크(N) 및 VPN 서버(130)를 통하여 통합 운용 서버(140)와 서로 통신 가능하도록 연결될 수 있다. 일 실시 예에 따르면, 에너지 저장 시스템(110)과 네트워크 보안 장치(120) 사이 및 VPN 서버(130)와 통합 운용 서버(140) 사이의 통신에는 TCP/IP(Transmission Control Protocol/Internet Protocol)를 이용하여 통신을 수행할 수 있다. 또한, 네트워크 보안 장치(120)와 VPN 서버(130) 간에는 터널링(Tunneling) 방식을 이용하여 통신을 수행할 수 있다. 아울러, 에너지 저장 시스템(110)과 통합 운용 서버(140)는 IEC(International Electrotechnical Committee) 61970 및 IEC 61968 프로토콜을 이용하여 연동될 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(120)는 VPN 클라이언트를 포함할 수 있지만, 이에 한정되지 않는다. The
네트워크 보안 장치(120)는, 제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(120)는, 관리자의 입력 요청에 따라서 제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신할 수 있다.The
또한, 네트워크 보안 장치(120)는, 수신된 보안 프로파일을 이용하여 에너지 저장 시스템(110)으로부터 수신되는 제어 메시지에 대하여 심층 패킷 분석(DPI: Deep Packet Inspection) 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다. 예를 들어, 제어 메시지는, IEC 61968 프로토콜에 따른 제어 메시지일 수 있지만, 이에 한정되지 않는다.In addition, the
일 실시 예에 따르면, 네트워크 보안 장치(120)는, 커널 계층(Kernel Layer), 트랜스포트 프로토콜 계층(Transport Protocol Layer), 어플리케이션 계층(Application Layer), 사용자 인터페이스 계층(User Interface Layer)의 계층별 보안 프로파일을 이용하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다.According to an embodiment, the
다른 실시 예에 따르면, 네트워크 보안 장치(120)는, BEMS(Building Energy Management System), FEMS(Factory Energy Management System) 및 HEMS(Home Energy Management System)의 연동 노드별 보안 프로파일을 이용하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다.According to another embodiment, the
또 다른 실시 예에 따르면, 네트워크 보안 장치(120)는, 에너지 저장 시스템(110)의 전체 보안 프로파일을 이용하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다.According to another embodiment, the
또한, 네트워크 보안 장치(120)는, 비정상 제어 메시지로 판별된 제어 메시지를 삭제하여 차단할 수 있다.In addition, the
또한, 네트워크 보안 장치(120)는, 정상 제어 메시지와 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트할 수 있다. 네트워크 보안 장치(120)에서의 보안 프로파일의 주기적 업데이트 방법에 대해서는 후술하도록 한다.In addition, the
도 2는 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 장치의 구성을 보이는 예시도이다.2 is an exemplary diagram showing the configuration of a network security device of an energy storage system according to an embodiment of the present invention.
도 2에 도시한 바와 같이, 에너지 저장 시스템(110)의 네트워크 보안 장치 (120)는, 하나 이상의 프로세서(122), 하나 이상의 메모리(124) 및 송수신기(126)를 포함할 수 있다. 일 실시 예로서, 네트워크 보안 장치(120)의 이 구성요소들 중 적어도 하나가 생략되거나, 다른 구성요소가 네트워크 보안 장치(120)에 추가될 수 있다. 추가적으로(additionally) 또는 대체적으로(alternatively), 일부의 구성요소들이 통합되어 구현되거나, 단수 또는 복수의 개체로 구현될 수 있다. 네트워크 보안 장치(120) 내, 외부의 구성요소들 중 적어도 일부의 구성요소들은 시스템 버스(system bus), GPIO(general purpose input/output), SPI(serial peripheral interface) 또는 MIPI(mobile industry processor interface) 등을 통해 서로 연결되어, 데이터 및/또는 시그널을 주고 받을 수 있다. 일 실시 예로서, 네트워크 보안 장치(120)는 기계학습(machine learning) 특히, 딥러닝(deep learning)과 같은 심층 강화 학습 알고리즘을 이용하여 정상 제어 메시지와 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 정상 제어 메시지와 비정상 제어 메시지를 판별하기 위한 보안 프로파일을 주기적으로 업데이트할 수 있다.As shown in FIG. 2, the
하나 이상의 프로세서(122)는, 소프트웨어(예: 명령, 프로그램 등)를 구동하여 프로세서(122)에 연결된 네트워크 보안 장치(120)의 적어도 하나의 구성요소를 제어할 수 있다. 또한, 프로세서(122)는 본 발명과 관련된 다양한 연산, 처리, 데이터 생성, 가공 등의 동작을 수행할 수 있다. 또한, 프로세서(122)는 데이터 등을 하나 이상의 메모리(124)로부터 로드하거나, 하나 이상의 메모리(124)에 저장할 수 있다.The one or
하나 이상의 프로세서(122)는, 제어 메시지에 대한 탐지 기준 및 차단 행위(action)에 대한 정보를 포함하는 보안 프로파일을 수신할 수 있다. 일 실시 예에 따르면, 제어 메시지에 대한 탐지 기준은, XML(Extensible Mark-up Language) 태그(Tag)에 대한 유효값 범위, 스팸, 유효 메시지 헤더, 메시지 허용 레이트 임계값(max count/sec), 프로토콜 구문오류 타입, 서비스 설정값 등의 정보를 포함할 수 있지만, 이에 한정되지 않는다. 예를 들어, 제어 메시지에 대한 탐지 기준은, 전력생산량 태그에 대한 유효값 범위(10KW ~ 15KW)에 대한 정보, 또는 초당 리퀘스트(request) 최대 개수(5개)에 대한 정보 등을 포함할 수 있다. 다른 실시 예에 따르면, 제어 메시지에 대한 차단 행위는, 알람, 이벤트, 차단, 다이나믹 블록 인써트(Dynamic Block acl Insert) 등의 정보를 포함할 수 있지만, 이에 한정되지 않는다.The one or
하나 이상의 프로세서(122)는, 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(122)는, 수신된 제어 메시지에 대한 심층 패킷 분석 과정에서 분석 및 학습을 위한 주요 정보를 추출하여 분석 데이터를 형성할 수 있다.The one or
하나 이상의 프로세서(122)는, 비정상 제어 메시지로 판별된 제어 메시지를 차단할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(122)는, 커널 계층, 트랜스포트 프로토콜 계층, 어플리케이션 계층, 사용자 인터페이스 계층의 심층 패킷 분석 과정 중 어느 하나의 계층에서라도 비정상 제어 메시지로 판별될 경우 해당 제어 메시지를 삭제하여 해당 제어 메시지가 송수신되는 것을 방지할 수 있다. One or
하나 이상의 프로세서(122)는, 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(122)는, 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하고, 기계학습 알고리즘을 이용하여 분석 데이터 및 통계 데이터로부터 학습 데이터를 형성하며, 학습 데이터를 이용하여 보안 프로파일을 주기적으로 업데이트 할 수 있다.The one or
또한, 하나 이상의 프로세서(122)는, 주기적으로 업데이트 된 보안 프로파일을 이용한 제어 메시지의 오 탐지율을 산출하고, 산출된 오 탐지율을 임계값 이하로 유지하도록 할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(122)는, 수신된 전체 제어 메시지에 대하여 정상 제어 메시지를 비정상 제어 메시지로 판단하거나, 비정상 제어 메시지를 정상 제어 메시지로 판단한 경우의 횟수를 카운트하여 제어 메시지의 오 탐지율을 산출할 수 있다. 또한, 하나 이상의 프로세서(122)는, 산출된 오 탐지율이 미리 설정된 임계값(예를 들어, 1%, 3%, 5% 등) 이하가 되도록 설정할 수 있다. 이와 같이, 하나 이상의 프로세서(122)는, 오 탐지율을 관리함으로써 네트워크 보안 장치(120)의 신뢰성을 향상시킬 수 있고, 비정상 제어 메시지 탐지에 대한 속도도 향상시킬 수 있다.In addition, the one or
하나 이상의 메모리(124)는, 다양한 데이터를 저장할 수 있다. 메모리(124)에 저장되는 데이터는, 네트워크 보안 장치(120)의 적어도 하나의 구성요소에 의해 획득되거나, 처리되거나, 사용되는 데이터로서, 소프트웨어(예: 명령, 프로그램 등)를 포함할 수 있다. 메모리(124)는 휘발성 및/또는 비휘발성 메모리를 포함할 수 있다. 본 발명에서, 명령 내지 프로그램은 메모리(124)에 저장되는 소프트웨어로서, 네트워크 보안 장치(120)의 리소스를 제어하기 위한 운영체제, 어플리케이션 및/또는 어플리케이션이 네트워크 보안 장치(120)의 리소스들을 활용할 수 있도록 다양한 기능을 어플리케이션에 제공하는 미들 웨어 등을 포함할 수 있다. One or
하나 이상의 메모리(124)는, 상술한 보안 프로파일, 분석 데이터, 통계 데이터 및 학습 데이터 등을 저장할 수 있다. 또한 하나 이상의 메모리(124)는, 하나 이상의 프로세서(122)에 의한 실행 시, 하나 이상의 프로세서(122)가 연산을 수행하도록 하는 명령들을 저장할 수 있다.One or
일 실시 예에 따르면, 네트워크 보안 장치(120)는 송수신기(126)를 더 포함할 수 있다. 송수신기(126)는, 네트워크 보안 장치(120)와 에너지 저장 시스템(110), VPN 서버(130), 클라이언트 장치들 및/또는 기타 다른 장치 간의 무선 또는 유선 통신을 수행할 수 있다. 예를 들어, 송수신기(126)는 eMBB(enhanced Mobile Broadband), URLLC(Ultra Reliable Low-Latency Communications), MMTC(Massive Machine Type Communications), LTE(long-term evolution), LTE-A(LTE Advance), UMTS(Universal Mobile Telecommunications System), GSM(Global System for Mobile communications), CDMA(code division multiple access), WCDMA(wideband CDMA), WiBro(Wireless Broadband), WiFi(wireless fidelity), 블루투스(Bluetooth), NFC(near field communication), GPS(Global Positioning System) 또는 GNSS(global navigation satellite system) 등의 방식에 따른 무선 통신을 수행할 수 있다. 예를 들어, 송수신기(126)는 USB(universal serial bus), HDMI(high definition multimedia interface), RS-232(recommended standard232) 또는 POTS(plain old telephone service) 등의 방식에 따른 유선 통신을 수행할 수 있다.According to an embodiment, the
일 실시 예에 따르면, 하나 이상의 프로세서(122)는, 송수신기(126)를 제어하여 VPN 서버(130)로부터 정보를 획득할 수 있다. VPN 서버(130)로부터 획득된 정보는 하나 이상의 메모리(124)에 저장될 수 있다. 일 실시 예로서, VPN 서버(130)로부터 획득되는 정보는 비정상 제어 메시지의 탐지 및 차단을 위한 보안 프로파일 등을 포함할 수 있다.According to an embodiment, the one or
일 실시 예에 따르면, 네트워크 보안 장치(120)는, 다양한 형태의 장치가 될 수 있다. 예를 들어, 네트워크 보안 장치(120)는 휴대용 통신 장치, 컴퓨터 장치, 또는 상술한 장치들 중 하나 또는 그 이상의 조합에 따른 장치일 수 있다. 본 발명의 네트워크 보안 장치(120)는 전술한 장치들에 한정되지 않는다.According to an embodiment, the
본 발명에 따른 네트워크 보안 장치(120)의 다양한 실시 예들은 서로 조합될 수 있다. 각 실시 예들은 경우의 수에 따라 조합될 수 있으며, 조합되어 만들어진 네트워크 보안 장치(120)의 실시 예 역시 본 발명의 범위에 속한다. 또한 전술한 본 발명에 따른 네트워크 보안 장치(120)의 내/외부 구성 요소들은 실시 예에 따라 추가, 변경, 대체 또는 삭제될 수 있다. 또한 전술한 네트워크 보안 장치(120)의 내/외부 구성 요소들은 하드웨어 컴포넌트로 구현될 수 있다.Various embodiments of the
도 3은 본 발명의 실시 예에 따른 보안 프로파일의 계층별 구성 개념도이다.3 is a conceptual diagram illustrating a configuration of a security profile for each layer according to an embodiment of the present invention.
도 3에 도시한 바와 같이, 제어 메시지 탐지를 위한 보안 프로파일은, 커널 계층(L1), 트랜스포트 프로토콜 계층(L2), 어플리케이션 계층(L3), 사용자 인터페이스 계층(L4)으로 구성될 수 있다.As shown in FIG. 3, a security profile for detecting a control message may include a kernel layer (L1), a transport protocol layer (L2), an application layer (L3), and a user interface layer (L4).
커널 계층(L1)은, 시스템 OS(Linux Kernel) 계층으로써, 네트워크를 통하여 수신된 제어 메시지 패킷에 대해 보안 정책(Profile, Application Control Language)을 적용하여 필터링하기 위해 패킷 레벨 보안 모듈(Packet Level Security Module, PM) 및 가상 사설 네트워크 후크 모듈(VPN Hook Module, VM)을 포함할 수 있다. 일 실시 예에 따르면, 커널 계층(L1)에서는, 정적/동적(Static/Dynamic) 어플리케이션 제어 언어(ACL: Application Control Language)를 이용한 접근 제어를 수행할 수 있다. The kernel layer (L1) is a system OS (Linux Kernel) layer, which applies a security policy (Profile, Application Control Language) to a control message packet received through the network and filters it. , PM) and a virtual private network hook module (VPN Hook Module, VM). According to an embodiment, in the kernel layer L1, access control using a static/dynamic application control language (ACL) may be performed.
다른 실시 예에 따르면, 커널 계층(L1)에서는, TCP 동기 상태 부호(Synchronous idle), ICMP(Internet Control Message Protocol), ARP(Address Resolution Protocol) 등을 이용한 분산 서비스 거부 공격(DDos: Distributed Denial of Service Attack)을 탐지하고 차단할 수 있다. According to another embodiment, in the kernel layer L1, a distributed denial of service attack (DDos) using a TCP synchronous idle, Internet Control Message Protocol (ICMP), Address Resolution Protocol (ARP), etc. Attack) can be detected and blocked.
TCP 동기 상태 부호를 이용한 공격은, 서비스 거부 공격(DoS: Denial of Service Attack)의 하나로서, 인터넷에서 사용하고 있지 않는 주소를 사용하여 공격 대상 기기에 다량의 동기 상태 부호(SYN) 패킷을 보내고 응답을 하지 않으면 공격 대상 기기가 다시 요구를 요청하는 등의 방법을 이용하여 정상적인 서비스 장애를 발생시키는 공격 방법이다.Attacks using TCP Synchronous Status Codes are one of Denial of Service Attacks (DoS), sending a large number of Synchronous Status Code (SYN) packets to the target device and responding using an address not in use on the Internet. If not, it is an attack method that causes a normal service failure by using a method such as requesting a request from the target device again.
ICMP는, 인터넷 환경에서 오류에 관한 처리를 지원하는 용도로 사용되며, IP 패킷의 데이터 부분에 캡슐화되어 송신 호스트에게 전달될 수 있다. TCP/IP 기반의 통신망에서 전송 과정에 문제가 발생하면 라우터에 의해 ICMP 메시지가 자동으로 발생하여 패킷 송신 호스트에게 전달될 수 있다.ICMP is used to support error processing in an Internet environment, and may be encapsulated in a data portion of an IP packet and delivered to a sending host. When a problem occurs in the transmission process in a TCP/IP-based communication network, an ICMP message is automatically generated by the router and can be delivered to the packet sending host.
네트워크 환경에서 임의의 호스트가 다른 호스트에 데이터를 전송하려면 수신 호스트의 IP 주소뿐만 아니라, MAC 주소도 알아야 한다. 수신 호스트의 IP 주소는 보통 응용 프로그램 사용자가 프로그램을 실행하는 과정에서 직접 입력하므로, IP 주소로부터 수신 호스트 MAC 주소를 얻는 작업이 추가로 필요하고, 이러한 작업에 ARP가 사용될 수 있다.In a network environment, in order for an arbitrary host to transmit data to another host, it must know the MAC address as well as the IP address of the destination host. Since the IP address of the destination host is usually directly entered by the application program user in the process of executing the program, an additional task of obtaining the destination host MAC address from the IP address is required, and ARP can be used for this task.
DDoS 공격은, 특정 인터넷 사이트가 소화할 수 없는 규모의 접속 통신량(트래픽)을 한꺼번에 일으켜 서비스 체계를 마비시킨다. 불특정 다수의 컴퓨터에 악성 컴퓨팅 코드인 "좀비(Zombie)"를 퍼뜨린 뒤 DDoS 공격에 이용할 수 있다. 좀비에 감염된 수많은 컴퓨터가 일시에 특정 사이트를 공격(접속)하는 트래픽에 동원되고, 공격 대상 컴퓨터 안에 담긴 자료를 몰래 빼내거나 삭제하지는 않는다.DDoS attacks paralyze the service system by generating access traffic (traffic) of a scale that a specific Internet site cannot digest. After spreading the malicious computing code “Zombie” to a number of unspecified computers, it can be used for DDoS attacks. Numerous zombie-infected computers are mobilized for traffic to attack (access) specific sites at once, and do not secretly steal or delete data contained in the target computer.
다른 실시 예에 따르면, 커널 계층(L1)에서는, HTTP(Hypertext Transfer Protocol) 패킷을 이용한 플로딩(flooding) 공격 및 시스템에서 처리할 수 없는 규모의 패킷을 이용한 플로딩 공격을 탐지하고, 차단할 수 있다.According to another embodiment, the kernel layer L1 may detect and block a flooding attack using a hypertext transfer protocol (HTTP) packet and a flooding attack using a packet of a size that cannot be handled by the system. .
트랜스포트 프로토콜 계층(L2)은, IEC 61968 전송 프로토콜인 HTTP 스택(HS) 및 시각동기화 프로토콜인 NTP(Network Time Protocol) 스택(NS)을 포함하고, 수신된 제어 메시지에 대한 보안 정책(프로파일)을 적용하여 필터링하기 위한 메시지 레벨 보안 모듈(Message Level Security Module, MM)을 더 포함할 수 있다. 일 실시 예에 따르면, 트랜스포트 프로토콜 계층(L2)에서는, HTTP 프로토콜, HTTP 메시지, NTP 프로토콜 등을 이용한 공격을 탐지하고 차단할 수 있다.The transport protocol layer (L2) includes an
어플리케이션 계층(L3)은, IEC 61968 스택(IS) 및 서비스 로직(SL)의 보안 블록을 포함할 수 있다. 또한, 어플리케이션 계층(L3)은, IEC 61970/61968 프로토콜에 대해 보안 정책(프로파일)을 적용하여 필터링하기 위한 프로토콜 레벨 보안 모듈(Protocol Level Security Module, PLM) 및 서비스 시나리오 또는 접속 노드별 보안 정책(프로파일)을 적용하여 필터링하기 위한 서비스 레벨 보안 모듈(Service Level Security Module, SLM)을 더 포함할 수 있다.The application layer L3 may include a security block of the
일 실시 예에 따르면, 프로토콜 레벨 보안 모듈(PLM)은, IEC 61968 XML malformed 메시지, 메시지 스팸, invalid 헤더, invalid Tag, invalid time, Tag 별 invalid value type, Tag 별 Value range, 메시지 길이(length) 등을 탐지하고 차단할 수 있다.According to an embodiment, the protocol level security module (PLM) is an
일 실시 예에 따르면, 서비스 레벨 보안 모듈(SLM)은, 연동 노드, 서비스별 보안 프로파일에 설정된 IEC 61968 XML 특성(유효 헤더, 유효 Tag, 스팸, 최대 길이(max length), max rate 등)을 기준으로 공격 메시지를 탐지하고 차단할 수 있다.According to an embodiment, the service level security module (SLM) is based on the
사용자 인터페이스 계층(L4)은, 시스템 및 보안 서비스 설정을 담당할 관리자 웹(Admin Web) 페이지와 분석 데이터를 이용한 통계 데이터 형성 등의 각종 통계를 담당할 통계 기능을 수행할 수 있다. 일 실시 예에 따르면, 제어 메시지 패킷을 실시간으로 모니터링 할 수 있고, 공격 탐지 현황을 실시간으로 모니터링 할 수 있으며, 에너지 저장 시스템(110)의 상태 및 네트워크(N) 상태를 실시간으로 모니터링 할 수 있는 그래픽 사용자 인터페이스(GUI: Graphic User Interface)를 개발하여 통합 운용 서버(140)에 적용할 수 있다.The user interface layer L4 may perform various statistics such as an Admin Web page in charge of setting up a system and security service and statistical data formation using analysis data. According to an embodiment, a control message packet can be monitored in real time, an attack detection status can be monitored in real time, and a graphic that can monitor the state of the
도 4는 본 발명의 실시 예에 따른 비정상 제어 메시지의 탐지 및 차단 과정의 개념도이다.4 is a conceptual diagram illustrating a process of detecting and blocking an abnormal control message according to an embodiment of the present invention.
도 4에 도시한 바와 같이, 에너지 저장 시스템(110)으로부터 제어 메시지 패킷을 수신한 네트워크 보안 장치(120)는, 접근 제어를 수행하여 비정상 제어 메시지를 필터링 할 수 있다.As shown in FIG. 4, the
일 실시 예에 따르면, 네트워크 보안 장치(120)는, 어플리케이션 제어 언어(ACL: Application Control Language) 등을 이용하여 수신된 제어 메시지가 DDoS 공격 메시지 등의 비정상 제어 메시지로 판단한 경우 해당 제어 메시지를 삭제하여 차단할 수 있다. 또한, 수신된 제어 메시지가 정상 제어 메시지로 판단한 경우 해당 제어 메시지 패킷에 아이디(ID) 및 시간(Time)을 더하고, 소정 시간(예를 들어, 1ms ~ 5ms)의 타이머를 설정하여 이후 심층 패킷 분석 절차를 수행할 수 있다. 또한, 정상 제어 메시지로 판단한 제어 메시지 패킷에 아이디(ID) 및 시간(Time)을 더하여 큐(Queue)에서 심층 패킷 분석 절차에서의 탐지 결과를 대기하도록 할 수 있다.According to an embodiment, when it is determined that a control message received using an application control language (ACL) or the like is an abnormal control message such as a DDoS attack message, the
네트워크 보안 장치(120)는, 제어 메시지 패킷에 대하여 헤더를 순차적으로 제거하면서 심층 패킷 분석 절차를 수행할 수 있다. 일 실시 예에 따르면, 제어 메시지 패킷은 전송하고자 하는 정보를 포함하는 페이로드(Payload)와 페이로드에 대한 정보를 포함하는 헤더(Header)로 구성될 수 있다. The
네트워크 보안 장치(120)는, 제어 메시지 패킷에서 HTTP 헤더를 제거하고, HTTP 페이로드의 정보를 DMB에 저장된 트랜스포트 프로토콜 계층(L2)의 보안 프로파일(보안 정책)을 이용하여 비정상 제어 메시지 여부를 판단할 수 있다. 해당 제어 메시지가 비정상 제어 메시지로 판단한 경우 더 이상의 심층 패킷 분석 절차를 수행하지 않고, 해당 제어 메시지 패킷에 대하여 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 포함하여 커널 계층(L1)으로 전달할 수 있다. 네트워크 보안 장치(120)는, 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 이용하여 큐(Queue)에서 대기 중이던 제어 메시지 패킷을 삭제하여 VPN 서버(130)로 전달되지 않도록 할 수 있다.The
또한, 네트워크 보안 장치(120)는, HTTP 보안 프로파일을 이용한 탐지 결과 정상 제어 메시지로 판단한 경우 제어 메시지 패킷에서 XML 헤더를 제거하고, XML 페이로드의 정보를 DMB에 저장된 어플리케이션 계층(L3)의 보안 프로파일(보안 정책)을 이용하여 비정상 제어 메시지 여부를 판단할 수 있다. 해당 제어 메시지가 비정상 제어 메시지로 판단한 경우 더 이상의 심층 패킷 분석 절차를 수행하지 않고, 해당 제어 메시지 패킷에 대하여 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 포함하여 커널 계층(L1)으로 전달할 수 있다. 네트워크 보안 장치(120)는, 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 이용하여 큐(Queue)에서 대기 중이던 제어 메시지 패킷을 삭제하여 VPN 서버(130)로 전달되지 않도록 할 수 있다.In addition, when the detection result using the HTTP security profile is determined as a normal control message, the
네트워크 보안 장치(120)는, XML 보안 프로파일을 이용한 탐지 결과 정상 제어 메시지로 판단한 경우 제어 메시지 패킷에서 IEC 헤더를 제거하고, IEC 페이로드의 정보를 DMB에 저장된 어플리케이션 계층(L3)의 보안 프로파일(보안 정책)을 이용하여 비정상 제어 메시지 여부를 판단할 수 있다. 해당 제어 메시지가 비정상 제어 메시지로 판단한 경우 더 이상의 심층 패킷 분석 절차를 수행하지 않고, 해당 제어 메시지 패킷에 대하여 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 포함하여 커널 계층(L1)으로 전달할 수 있다. 네트워크 보안 장치(120)는, 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 이용하여 큐(Queue)에서 대기 중이던 제어 메시지 패킷을 삭제하여 VPN 서버(130)로 전달되지 않도록 할 수 있다.The
또한, 네트워크 보안 장치(120)는, IEC 보안 프로파일을 이용한 탐지 결과 정상 제어 메시지로 판단한 경우 제어 메시지 패킷에서 Service 헤더를 제거하고, Service 페이로드의 정보를 DMB에 저장된 어플리케이션 계층(L3)의 보안 프로파일(보안 정책)을 이용하여 비정상 제어 메시지 여부를 판단할 수 있다. 해당 제어 메시지가 비정상 제어 메시지로 판단한 경우 해당 제어 메시지 패킷에 대하여 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 포함하여 커널 계층(L1)으로 전달할 수 있다. 네트워크 보안 장치(120)는, 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(비정상 제어 메시지)를 이용하여 큐(Queue)에서 대기 중이던 제어 메시지 패킷을 삭제하여 VPN 서버(130)로 전달되지 않도록 할 수 있다.In addition, when the detection result using the IEC security profile is determined as a normal control message, the
네트워크 보안 장치(120)는, Service 보안 프로파일을 이용한 탐지 결과까지 정상 제어 메시지로 판단한 경우 해당 제어 메시지 패킷에 대하여 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(정상 제어 메시지)를 포함하여 커널 계층(L1)으로 전달할 수 있다. 네트워크 보안 장치(120)는, 네트워크 보안 장치(120)로 수신 시 부여된 아이디 및 탐지 결과(정상 제어 메시지)를 이용하여 큐(Queue)에서 대기 중이던 제어 메시지 패킷을 VPN 서버(130)로 전달되도록 할 수 있다.When the detection result using the service security profile is determined to be a normal control message, the
또한, 네트워크 보안 장치(120)는, 주기적으로 큐를 확인하여 대기 중이던 제어 메시지 패킷에 설정된 타이머가 종료된 경우 해당 제어 메시지 패킷을 삭제하여 VPN 서버(130)로 전달되지 않도록 할 수 있다.In addition, the
상기한 바와 같이, 네트워크 보안 장치(120)는 보안 프로파일을 주기적으로 업데이트 함으로써 수신된 제어 메시지 패킷의 보안 탐지 과정에서 발생 가능한 오 탐지율을 소정 값 미만으로 유지할 수 있고, 수신된 제어 메시지 패킷에 대하여 임계값 이내의 시간 내에 보안 탐지 과정을 수행하여 제어 메시지 패킷의 큰 지연 없이 통신을 수행하도록 할 수 있다.As described above, by periodically updating the security profile, the
예를 들어, 태양광 발전소의 발전량은 계절별로, 시간대별로, 날씨별로 변하므로, 최초 설정된 프로파일로는 변화하는 발전량에 대한 IEC 61968 XML Tag value에 대한 오 탐지율이 높아질 수 있다. 이 경우 주기적으로 프로파일의 발전량 유효값의 범위를 업데이트하면 IEC 61968 XML Tag value에 대한 오 탐지율이 크게 감소할 수 있다.For example, since the power generation amount of a solar power plant changes by season, time zone, and weather, the false detection rate for the
도 5는 본 발명의 실시 예에 따른 보안 프로파일의 업데이트를 위하여 획득되는 정보를 나타내는 개념도이다.5 is a conceptual diagram illustrating information obtained for updating a security profile according to an embodiment of the present invention.
도 5에 도시한 바와 같이, 네트워크 보안 장치(120)는, 제어 메시지 패킷(RCM)이 수신되면 ACL, DDoS flood, HTTP, IEC, 및 Service 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)를 수행한다.As shown in FIG. 5, when a control message packet (RCM) is received, the
일 실시 예에 따르면, ACL 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)에서는 IP(Internet Protocol), 포트(Port), 패킷 크기(Pkt Size), 시각(time) 등의 정보가 분석 과정 및 기계 학습에 사용되는 정보로서 획득될 수 있다.According to an embodiment, in the deep packet analysis procedure (DPI) according to the ACL security profile, information such as IP (Internet Protocol), port, packet size (Pkt Size), and time (time) are analyzed and machine learning. It can be obtained as information used for.
다른 실시 예에 따르면, DDoS flood 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)에서는 제어 메시지 패킷의 수신율(Rate) 등의 정보가 분석 과정(AP) 및 기계 학습에 사용되는 정보로서 획득될 수 있다.According to another embodiment, in the deep packet analysis procedure (DPI) according to the DDoS flood security profile, information such as a reception rate of a control message packet may be obtained as information used for the analysis process (AP) and machine learning.
또 다른 실시 예에 따르면, HTTP 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)에서는 HTTP 패킷의 헤더(Header), 값(Value), 메시지(Msg), 크기(Size), 수신율(Rate) 등의 정보가 분석 과정(AP) 및 기계 학습에 사용되는 정보로서 획득될 수 있다.According to another embodiment, in the deep packet analysis procedure (DPI) according to the HTTP security profile, information such as header, value, message (Msg), size, and reception rate (Rate) of an HTTP packet May be obtained as information used in the analysis process (AP) and machine learning.
또 다른 실시 예에 따르면, IEC 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)에서는 IEC 패킷의 태그(Tag), 값(Value), 크기(xml Size) 등의 정보가 분석 과정(AP) 및 기계 학습에 사용되는 정보로서 획득될 수 있다.According to another embodiment, in the deep packet analysis procedure (DPI) according to the IEC security profile, information such as a tag, value, and size (xml Size) of an IEC packet is analyzed during the analysis process (AP) and machine learning. It can be obtained as information used for.
또 다른 실시 예에 따르면, Service 보안 프로파일에 따른 심층 패킷 분석 절차(DPI)에서는 서비스 노드, 서비스 이름 등의 정보가 분석 과정(AP) 및 기계 학습에 사용되는 정보로서 획득될 수 있다.According to another embodiment, in a deep packet analysis procedure (DPI) according to a service security profile, information such as a service node and a service name may be obtained as information used for an analysis process (AP) and machine learning.
하지만, 심층 패킷 분석 절차(DPI)에서 분석 과정(AP) 및 기계 학습에 사용되기 위하여 획득되는 정보가 이에 한정되지 않고, 다양한 정보들이 획득되어 사용될 수 있다.However, information obtained for use in the analysis process (AP) and machine learning in the deep packet analysis procedure (DPI) is not limited thereto, and various pieces of information may be obtained and used.
도 6은 본 발명의 실시 예에 따른 보안 프로파일의 업데이트 과정을 보이는 개념도이다.6 is a conceptual diagram showing a process of updating a security profile according to an embodiment of the present invention.
도 6에 도시한 바와 같이, 네트워크 보안 장치(120)는, 제어 메시지 패킷(RCM)이 수신되면 심층 패킷 분석 절차(DPI)를 수행한다.As shown in FIG. 6, when a control message packet (RCM) is received, the
이러한 심층 패킷 분석 절차(DPI)에서 생성된 정보들(IA)에 대하여 분석 과정(AP)을 수행하고, 기계 학습(ML)을 통해 적응형 보안 프로파일(ASP)을 주기적으로 업데이트 할 수 있다. 주기적으로 업데이트 된 적응형 보안 프로파일(ASP)은 이후의 심층 패킷 분석 절차(DPI)에서 사용될 수 있다.The analysis process (AP) may be performed on the information IA generated in the deep packet analysis procedure (DPI), and the adaptive security profile (ASP) may be periodically updated through machine learning (ML). The periodically updated adaptive security profile (ASP) can be used in a later deep packet analysis procedure (DPI).
한편, 수신된 제어 메시지 패킷(RCM)에 대하여 적응형 보안 프로파일(ASP)을 이용하여 심층 패킷 분석 절차(DPI)를 수행하고, 비정상 제어 메시지로 판단된 경우에는 드랍(Drop)시키고, 정상 제어 메시지로 판단된 경우에는 수신된 제어 메시지 패킷을 VPN 서버(130)로 전달되도록 할 수 있다.Meanwhile, a deep packet analysis procedure (DPI) is performed using an adaptive security profile (ASP) on the received control message packet (RCM), and if it is determined as an abnormal control message, a drop is performed, and a normal control message When it is determined as, the received control message packet may be transmitted to the
도 7은 본 발명의 실시 예에 따른 심층 패킷 분석 절차에서 생성된 정보들에 대한 분석 과정의 개념도이다.7 is a conceptual diagram illustrating an analysis process for information generated in a deep packet analysis process according to an embodiment of the present invention.
도 7에 도시한 바와 같이, 네트워크 보안 장치(120)는, 제어 메시지 패킷이 수신되면 심층 패킷 분석 절차(DPI)를 수행하는데, 심층 패킷 분석 절차(DPI)에서 생성된 정보들에 대하여 분석 과정(AP)을 수행할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(120)는, 심층 패킷 분석 절차(DPI)에서 생성된 정보들(예를 들어, info1, info2, info3, info4,...)을 분석 데이터별 함수(예를 들어, data1=info1 + info2)를 이용하여 1차 분석 프로세스를 수행하고, 그 결과로 분석 데이터(예를 들어, data1, data2,...)를 형성하여 하나 이상의 메모리(124)에 저장할 수 있다.As shown in FIG. 7, when a control message packet is received, the
또한, 네트워크 보안 장치(120)는, 보안 프로파일별로 설정된 기간(예를 들어, 분, 시간, 일, 주, 월, 년 등)마다 하나 이상의 메모리(124)에 저장된 분석 데이터를 통계 데이터별 함수(예를 들어, stat1=data3 + data2/data3)를 이용하여 2차 분석 프로세스를 수행하고, 그 결과로 통계 데이터(예를 들어, stat1, stat2,...)를 형성하여 하나 이상의 메모리(124)에 저장할 수 있다.In addition, the
네트워크 보안 장치(120)는, 보안 프로파일별로 설정된 기간(예를 들어, 분, 시간, 일, 주, 월, 년 등)마다 하나 이상의 메모리(124)에 저장된 통계 데이터를 학습 데이터별 함수(예를 들어, lern1=stat2 Ⅹ stat5 + 3 Ⅹ stat1 - stat8)를 이용하여 3차 분석 프로세스를 수행하고, 그 결과로 학습 데이터(예를 들어, lern1, lern2,...)를 형성하여 하나 이상의 메모리(124)에 저장할 수 있다.The
또한, 네트워크 보안 장치(120)는, 하나 이상의 메모리(124)에 저장된 학습 데이터를 보안 프로파일별 함수(예를 들어, prof1=lern2 + lern5)를 이용하여 4차 분석 프로세스를 수행하고, 그 결과로 보안 프로파일 데이터(예를 들어, prof1, prof2,...)를 형성하여 하나 이상의 메모리(124)에 저장할 수 있다. 일 실시 예에 따르면, 네트워크 보안 장치(120)는, 형성된 보안 프로파일 데이터를 이용하여 업데이트가 필요한 보안 프로파일에 대해서는 적응형 보안 프로파일 데이터를 형성할 수 있다. 네트워크 보안 장치(120)는, 관리자의 웹 페이지를 통해 자동으로 보안 프로파일에 적용될 수도 있고, 관리자의 요청에 따라서 보안 프로파일에 적용될 수도 있다.In addition, the
예를 들어, 네트워크 보안 장치(120)는, 다음과 같은 함수를 이용하여 분석 프로세스를 수행할 수 있다. 배터리 관리 시스템(BMS: Battery Management System)의 배터리 충전상태(SOC: State of Charge)는, 배터리를 풀(Full) 충전하여 저장 가능한 최대 용량(FCC: Full Charge Capacity) 대비하여 현재 충전된 상태에서 사용 가능한 저장 용량의 백분율을 SOC(%)로 표시할 수 있다. 이러한 경우 네트워크 보안 장치(120)는, SOC 관련 보안 프로파일로 Min SOC와 Max SOC 값을 사용할 수 있다. 또한, 네트워크 보안 장치(120)에서는, 단위 시간(예를 들어, 1시간) 동안 방전량 적분값, 단위 시간 동안 온도 평균값을 측정할 수 있다. 적응형 SOC 보안 프로파일 형성에 영향을 주는 인자들은 전류량, 온도, 충방전 횟수 등을 포함할 수 있다. For example, the
수학식 1Equation 1
SOCinit = 100%SOCinit = 100%
BMS SOC = SOCprev - (((M+K+1) * Asum) / (A * 3600)) BMS SOC = SOCprev-(((M+K+1) * Asum) / (A * 3600))
= SOCprev - ((((Mc * 0.005)+(-1.5 * Kdiff * | Kdiff | / 1000)+1) * (Wd / Vavg)) / (A * 3600)) = SOCprev-((((Mc * 0.005)+(-1.5 * Kdiff * | Kdiff | / 1000)+1) * (Wd / Vavg)) / (A * 3600))
적응형 SOC 보안 프로파일 = Min SOC(BMS SOC - 15) ~ Max SOC(BMS SOC + 15) Adaptive SOC Security Profile = Min SOC (BMS SOC-15) ~ Max SOC (BMS SOC + 15)
수학식 1에서, SOCprev는 단위 시간 동안의 이전 SOC를 나타내고, Asum는 단위 시간 동안의 방전 시 배터리 전류의 적분값을 나타내며, A는 배터리 정격용량을 나타내고, K는 온도관련 가중치로서 -1.5 * Kdiff * Kdiff 절대값으로 계산될 수 있다. 또한, M은 배터리 충방전 횟수(SOC 50% 미만으로 내려간 변화 횟수)관련 가중치를 나타내고, Wd는 단위 시간 동안의 방전량 적분값을 나타내며, Vavg는 단위 시간 동안의 평균 전압을 나타내고, Kdiff는 단위 시간 동안의 현재온도의 평균값과 이전온도의 평균값 차이를 나타내며, Mc는 SOC 50% 미만으로 내려간 변화 횟수를 나타내고, Asum은 Wd / Vavg로 계산될 수 있다.In Equation 1, SOCprev represents the previous SOC during the unit time, Asum represents the integral value of the battery current during discharge during the unit time, A represents the rated capacity of the battery, and K represents the temperature-related weight, -1.5 * Kdiff * Can be calculated as an absolute value of Kdiff. In addition, M represents the weight related to the number of times of charging and discharging the battery (the number of changes down to less than 50% SOC), Wd represents the integral value of the amount of discharge during the unit time, Vavg represents the average voltage during the unit time, and Kdiff is the unit Represents the difference between the average value of the current temperature and the previous temperature over time, Mc represents the number of changes to less than 50% SOC, and Asum can be calculated as Wd / Vavg.
또한, 네트워크 보안 장치(120)에서는, BMS 충전량을 보안 프로파일로서 사용할 수 있다. 충전량(KWH)은 단위 시간 동안 충전되는 전력량을 나타내고, 충전량 관련 프로파일로 Min KWH와 Max KWH 값을 사용할 수 있다. 네트워크 보안 장치(120)는, 단위 시간 동안의 전압 평균, 단위 시간 동안의 전류 평균, 단위 시간 동안의 온도 평균값, 단위 시간 동안의 습도 평균값 등을 측정할 수 있고, 적응형 충전량 보안 프로파일에 영향을 주는 인자들은 전압, 전류, 온도, 습도 등을 포함할 수 있다.In addition, in the
수학식 2Equation 2
KWH = (W - ( W * ( Kd+Bd) ) / 1000 ) * 3600KWH = (W-(W * (Kd+Bd)) / 1000) * 3600
= ((Vavg * Aavg) - ( (Vavg * Aavg) * ( (| Kavg - 23 | )+(| Bavg - 60 |)) ) / 1000 ) * 3600 = ((Vavg * Aavg)-((Vavg * Aavg) * ((| Kavg-23 | )+(| Bavg-60 |))) / 1000) * 3600
적응형 KWH 보안 프로파일 = Min KWH (KWH - 10) ~ Max KWH (KWH + 10) Adaptive KWH Security Profile = Min KWH (KWH-10) ~ Max KWH (KWH + 10)
수학식 2에서 W는 전력값을 나타내고, Vavg * Aavg로 계산될 수 있는데, Vavg는 단위 시간 동안의 전압 평균값을, Aavg는 단위 시간 동안의 전류 평균값을 나타낼 수 있다. 또한, Kavg는 단위 시간 동안의 온도 평균값을 나타내고, Bavg는 단위 시간 동안의 습도 평균값을 나타내며, Kd는 단위 시간 동안의 온도 평균값에서 23을 빼준 값의 절대값을 나타내고, Bd는 단위 시간 동안의 습도평균값에서 60을 빼준 값의 절대값을 나타낼 수 있다.In Equation 2, W denotes a power value, and can be calculated as Vavg * Aavg, where Vavg denotes an average voltage value for a unit time, and Aavg denotes an average current value for a unit time. In addition, Kavg represents the average temperature during unit time, Bavg represents the average humidity during unit time, Kd represents the absolute value of subtracting 23 from the average temperature during unit time, and Bd represents humidity during unit time. It can represent the absolute value of the value subtracting 60 from the average value.
도 8은 본 발명의 실시 예에 따른 에너지 저장 시스템의 데이터 전송 개념도이다.8 is a conceptual diagram of data transmission of an energy storage system according to an embodiment of the present invention.
도 8에 도시한 바와 같이, 에너지 저장 시스템(110)은 제어 메시지 패킷을 네트워크 보안 장치(120)로 전송할 수 있다. 일 실시 예에 따르면, 제어 메시지 패킷에 대한 보안 방식은, IEC 61968 표준의 보안 방식인 IPSec(IP Security Protocol) 및 TLS(Transport Layer Security)를 포함할 수 있다. 즉, 네트워크 보안 장치(120) 및 VPN 서버(130)는 데이터의 기밀성 보장을 위해 IPSec 국제 표준의 터널링 모드를 지원할 수 있다.As illustrated in FIG. 8, the
또한, 에너지 저장 시스템(110), 네트워크 보안 장치(120) 및 VPN 서버(130)는, SEED, ARIA, AES 등 다양한 암/복호화 알고리즘을 이용하여 제어 메시지 패킷의 암호화 및 복호화를 수행할 수 있다. 아울러, 에너지 저장 시스템(110), 네트워크 보안 장치(120) 및 VPN 서버(130)는, IPSec 비정상 세션 연결 및 종료를 탐지하고 차단할 수 있다.In addition, the
도 9는 본 발명의 실시 예에 따른 에너지 저장 시스템의 네트워크 보안 방법의 절차를 보이는 흐름도이다. 도 9의 흐름도에서 프로세스 단계들, 방법 단계들, 알고리즘들 등이 순차적인 순서로 설명되었지만, 그러한 프로세스들, 방법들 및 알고리즘들은 임의의 적합한 순서로 작동하도록 구성될 수 있다. 다시 말하면, 본 발명의 다양한 실시 예들에서 설명되는 프로세스들, 방법들 및 알고리즘들의 단계들이 본 발명에서 기술된 순서로 수행될 필요는 없다. 또한, 일부 단계들이 비동시적으로 수행되는 것으로서 설명되더라도, 다른 실시 예에서는 이러한 일부 단계들이 동시에 수행될 수 있다. 또한, 도면에서의 묘사에 의한 프로세스의 예시는 예시된 프로세스가 그에 대한 다른 변화들 및 수정들을 제외하는 것을 의미하지 않으며, 예시된 프로세스 또는 그의 단계들 중 임의의 것이 본 발명의 다양한 실시 예들 중 하나 이상에 필수적임을 의미하지 않으며, 예시된 프로세스가 바람직하다는 것을 의미하지 않는다.9 is a flowchart showing a procedure of a network security method of an energy storage system according to an embodiment of the present invention. Although process steps, method steps, algorithms, and the like have been described in a sequential order in the flow chart of FIG. 9, such processes, methods, and algorithms may be configured to operate in any suitable order. In other words, the steps of the processes, methods and algorithms described in the various embodiments of the present invention need not be performed in the order described in the present invention. Further, although some steps are described as being performed asynchronously, in other embodiments, some of these steps may be performed simultaneously. Further, the illustration of the process by description in the drawings does not imply that the illustrated process excludes other changes and modifications thereto, and the illustrated process or any of its steps is one of the various embodiments of the present invention. It does not mean that it is essential to the above, and it does not mean that the illustrated process is desirable.
도 9에 도시한 바와 같이, 단계(S910)에서, 보안 프로파일이 수신된다. 예를 들어, 도 1 내지 도 8을 참조하면, 네트워크 보안 장치(120)의 송수신기(126)는, 관리자 등의 요청에 따라서 에너지 저장 시스템(110)에서 사용되는 제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신할 수 있다. As shown in Fig. 9, in step S910, a security profile is received. For example, referring to FIGS. 1 to 8, the
단계(S920)에서, 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지가 판별된다. 예를 들어, 도 1 내지 도 8을 참조하면, 네트워크 보안 장치(120)의 하나 이상의 프로세서(122)는, S910 단계에서 수신된 보안 프로파일을 이용하여 송수신기(126)로 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별할 수 있다.In step S920, a normal control message and an abnormal control message are determined through a deep packet analysis method for the control message received using the security profile. For example, referring to FIGS. 1 to 8, at least one
단계(S930)에서, 비정상 제어 메시지가 차단된다. 예를 들어, 도 1 내지 도 8을 참조하면, 네트워크 보안 장치(120)의 하나 이상의 프로세서(122)는, S920 단계에서 비정상 제어 메시지로 판별된 제어 메시지를 삭제하여 더 이상 송수신되지 않도록 차단할 수 있다.In step S930, the abnormal control message is blocked. For example, referring to FIGS. 1 to 8, one or
단계(S940)에서, 정상 제어 메시지와 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 보안 프로파일이 주기적으로 업데이트 된다. 예를 들어, 도 1 내지 도 8을 참조하면, 네트워크 보안 장치(120)의 하나 이상의 프로세서(122)는, S920 단계의 정상 제어 메시지와 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트 할 수 있다. 일 실시 예에 따르면, 하나 이상의 프로세서(122)는, IP(Internet Protocol), 포트(Port), 접속 노드명, 제어 메시지 헤더 정보, 시각 정보, XML 태그(tag) 별 수신 값 및 기준 값, 제어 메시지 크기(size), 제어 메시지 수신율(rate), 서비스 이름 중 적어도 하나를 포함하는 분석 정보에 기초하여 보안 프로파일을 주기적으로 업데이트 할 수 있지만, 이에 한정되지 않는다.In step S940, the security profile is periodically updated based on the analysis information in the process of determining the normal control message and the abnormal control message. For example, referring to FIGS. 1 to 8, one or
본 발명의 다양한 실시 예들은 기기(machine)가 읽을 수 있는 저장매체(machine-readable storage medium)에 소프트웨어로 구현될 수 있다. 소프트웨어는 본 발명의 다양한 실시 예들을 구현하기 위한 소프트웨어일 수 있다. 소프트웨어는 본 발명이 속하는 기술분야의 프로그래머들에 의해 본 발명의 다양한 실시 예들로부터 추론될 수 있다. 예를 들어 소프트웨어는 기기가 읽을 수 있는 명령어(예: 코드 또는 코드 세그먼트)를 포함하는 프로그램일 수 있다. 기기는 저장 매체로부터 호출된 명령어에 따라 동작이 가능한 장치로서, 예를 들어 컴퓨터일 수 있다. 일 실시 예로서, 기기는 본 발명의 실시 예들에 따른 네트워크 보안 장치(120)일 수 있다. 일 실시 예로서, 기기의 프로세서는 호출된 명령어를 실행하여, 기기의 구성요소들이 해당 명령어에 해당하는 기능을 수행하게 할 수 있다. 일 실시 예로서, 프로세서는 본 발명의 실시 예들에 따른 하나 이상의 프로세서(122)일 수 있다. 저장 매체는 기기에 의해 읽혀질 수 있는, 데이터가 저장되는 모든 종류의 기록 매체(recording medium)를 의미할 수 있다. 저장 매체는, 예를 들어 ROM, RAM, CD-ROM, 자기 테이프, 플로피 디스크, 광데이터 저장 장치 등을 포함할 수 있다. 일 실시 예로서, 저장 매체는 하나 이상의 메모리(124)일 수 있다. 일 실시 예로서, 저장 매체는 네트워크로 연결된 컴퓨터 시스템 등에 분산된 형태로서 구현될 수도 있다. 소프트웨어는 컴퓨터 시스템 등에 분산되어 저장되고, 실행될 수 있다. 저장 매체는 비일시적(non-transitory) 저장 매체일 수 있다. 비일시적 저장 매체는, 데이터가 반영구적 또는 임시적으로 저장되는 것과 무관하게 실재하는 매체(tangible medium)를 의미하며, 일시적(transitory)으로 전파되는 신호(signal)를 포함하지 않는다.Various embodiments of the present invention may be implemented as software in a machine-readable storage medium. The software may be software for implementing various embodiments of the present invention. Software can be inferred from various embodiments of the present invention by programmers in the technical field to which the present invention belongs. For example, software may be a program including instructions (eg, code or code segment) that the device can read. The device is a device capable of operating according to a command called from a storage medium, and may be, for example, a computer. As an embodiment, the device may be the
이상, 본 발명을 바람직한 실시 예를 사용하여 상세히 설명하였으나, 본 발명의 범위는 특정 실시 예에 한정되는 것은 아니며, 첨부된 특허청구범위에 의하여 해석되어야 할 것이다. 또한, 이 기술분야에서 통상의 지식을 습득한 자라면, 본 발명의 범위에서 벗어나지 않으면서도 많은 수정과 변형이 가능함을 이해하여야 할 것이다.In the above, the present invention has been described in detail using preferred embodiments, but the scope of the present invention is not limited to specific embodiments, and should be interpreted by the appended claims. In addition, those who have acquired ordinary knowledge in this technical field should understand that many modifications and variations can be made without departing from the scope of the present invention.
100: 네트워크 보안 환경 110: 에너지 저장 시스템
120: 네트워크 보안 장치 130: VPN 서버
140: 통합 운용 서버 122: 프로세서
124: 메모리 126: 송수신기
N: 네트워크100: network security environment 110: energy storage system
120: network security device 130: VPN server
140: integrated production server 122: processor
124: memory 126: transceiver
N: network
Claims (8)
하나 이상의 프로세서; 및
상기 하나 이상의 프로세서에 의한 실행 시, 상기 하나 이상의 프로세서가 연산을 수행하도록 하는 명령들이 저장된 하나 이상의 메모리를 포함하며,
상기 하나 이상의 프로세서는,
제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신하고,
상기 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별하며,
상기 비정상 제어 메시지를 차단하고,
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트하며,
주기적으로 업데이트된 상기 보안 프로파일을 이용한 상기 제어 메시지의 오 탐지율을 산출하되, 수신된 전체 제어 메시지에 대하여 정상 제어 메시지를 비정상 제어 메시지로 판단하거나, 비정상 제어 메시지를 정상 제어 메시지로 판단한 경우의 횟수를 카운트하여 상기 제어 메시지의 오 탐지율을 산출하고,
산출된 상기 오 탐지율이 미리 설정된 임계값 이하가 되도록 설정하며,
상기 하나 이상의 프로세서는,
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하고,
상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하며,
기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하고,
상기 학습 데이터를 이용하여 상기 보안 프로파일을 주기적으로 업데이트 하는,
에너지 저장 시스템의 네트워크 보안 장치.
In the network security device of the energy storage system,
One or more processors; And
When executed by the one or more processors, the one or more processors include one or more memories storing instructions for performing an operation,
The one or more processors,
Receiving a security profile including information on detection criteria and blocking behavior for control messages,
For control messages received using the security profile, a normal control message and an abnormal control message are determined through a deep packet analysis method,
Block the abnormal control message,
Periodically updating the security profile based on analysis information in the process of determining the normal control message and the abnormal control message,
Calculate the false detection rate of the control message using the periodically updated security profile, but determine the number of times when a normal control message is determined as an abnormal control message or an abnormal control message is determined as a normal control message for all received control messages. Count to calculate the false positive rate of the control message,
The calculated false detection rate is set to be less than or equal to a preset threshold,
The one or more processors,
Forming analysis data based on analysis information in the process of determining the normal control message and the abnormal control message,
Statistical data is formed for each predetermined period based on the analysis data,
Forming learning data from the analysis data and the statistical data using a machine learning algorithm,
Periodically updating the security profile using the learning data,
Network security devices in energy storage systems.
상기 하나 이상의 프로세서는,
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 IP(Internet Protocol), 포트(Port), 접속 노드명, 제어 메시지 헤더 정보, 시각 정보, XML 태그(tag) 별 수신 값 및 기준 값, 제어 메시지 크기(size), 제어 메시지 수신율(rate), 서비스 이름 중 적어도 하나를 포함하는 상기 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트 하는,
에너지 저장 시스템의 네트워크 보안 장치.
The method of claim 1,
The one or more processors,
IP (Internet Protocol), port, access node name, control message header information, time information, received value and reference value for each XML tag, control in the process of determining the normal control message and the abnormal control message Periodically updating the security profile based on the analysis information including at least one of a message size, a control message reception rate, and a service name,
Network security devices in energy storage systems.
상기 보안 프로파일은,
커널 계층(Kernel Layer), 트랜스포트 프로토콜 계층(Transport Protocol Layer), 어플리케이션 계층(Application Layer), 사용자 인터페이스 계층(User Interface Layer)의 계층별 보안 프로파일;
BEMS(Building Energy Management System), FEMS(Factory Energy Management System) 및 HEMS(Home Energy Management System)의 연동 노드별 보안 프로파일; 및
에너지 저장 시스템 전체 보안 프로파일 중 적어도 하나를 포함하는,
에너지 저장 시스템의 네트워크 보안 장치.
The method of claim 1,
The security profile,
Security profiles for each layer of the kernel layer, transport protocol layer, application layer, and user interface layer;
Security profile for each node interlocked with Building Energy Management System (BEMS), Factory Energy Management System (FEMS), and Home Energy Management System (HEMS); And
Including at least one of the energy storage system overall security profile,
Network security devices in energy storage systems.
제어 메시지에 대한 탐지 기준 및 차단 행위에 대한 정보를 포함하는 보안 프로파일을 수신하는 단계;
상기 보안 프로파일을 이용하여 수신되는 제어 메시지에 대하여 심층 패킷 분석 방법을 통하여 정상 제어 메시지와 비정상 제어 메시지를 판별하는 단계;
상기 비정상 제어 메시지를 차단하는 단계; 및
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트하는 단계를 포함하며,
주기적으로 업데이트된 상기 보안 프로파일을 이용한 상기 제어 메시지의 오 탐지율을 산출하는 단계를 더 포함하되,
수신된 전체 제어 메시지에 대하여 정상 제어 메시지를 비정상 제어 메시지로 판단하거나, 비정상 제어 메시지를 정상 제어 메시지로 판단한 경우의 횟수를 카운트하여 상기 제어 메시지의 오 탐지율을 산출하고, 산출된 상기 오 탐지율이 미리 설정된 임계값 이하가 되도록 설정하며,
상기 보안 프로파일을 주기적으로 업데이트하는 단계는,
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 분석 정보에 기초하여 분석 데이터를 형성하는 단계;
상기 분석 데이터에 기초하여 소정 주기별로 통계 데이터를 형성하는 단계;
기계학습 알고리즘을 이용하여 상기 분석 데이터 및 상기 통계 데이터로부터 학습 데이터를 형성하는 단계; 및
상기 학습 데이터를 이용하여 상기 보안 프로파일을 주기적으로 업데이트 하는 단계를 포함하는,
에너지 저장 시스템의 네트워크 보안 방법.
In the network security method of the energy storage system,
Receiving a security profile including information on a detection criterion for a control message and a blocking action;
Determining a normal control message and an abnormal control message through a deep packet analysis method for a control message received using the security profile;
Blocking the abnormal control message; And
And periodically updating the security profile based on analysis information in the process of determining the normal control message and the abnormal control message,
Further comprising the step of calculating a false positive rate of the control message using the periodically updated security profile,
For all received control messages, the number of times when a normal control message is determined as an abnormal control message or an abnormal control message is determined as a normal control message is counted to calculate the false detection rate of the control message, and the calculated false detection rate is determined in advance. It is set to be less than the set threshold,
The step of periodically updating the security profile,
Forming analysis data based on analysis information in the process of determining the normal control message and the abnormal control message;
Forming statistical data for each predetermined period based on the analysis data;
Forming learning data from the analysis data and the statistical data using a machine learning algorithm; And
Including the step of periodically updating the security profile using the learning data,
Network security method of energy storage system.
상기 보안 프로파일을 주기적으로 업데이트하는 단계는,
상기 정상 제어 메시지와 상기 비정상 제어 메시지의 판별 과정에서의 IP(Internet Protocol), 포트(Port), 접속 노드명, 제어 메시지 헤더 정보, 시각 정보, XML 태그(tag) 별 수신 값 및 기준 값, 제어 메시지 크기(size), 제어 메시지 수신율(rate), 서비스 이름 중 적어도 하나를 포함하는 상기 분석 정보에 기초하여 상기 보안 프로파일을 주기적으로 업데이트 하는 단계를 포함하는,
에너지 저장 시스템의 네트워크 보안 방법.
The method of claim 5,
The step of periodically updating the security profile,
IP (Internet Protocol), port, access node name, control message header information, time information, received value and reference value for each XML tag, control in the process of determining the normal control message and the abnormal control message Including the step of periodically updating the security profile based on the analysis information including at least one of a message size (size), a control message reception rate (rate), and a service name,
Network security method of energy storage system.
상기 보안 프로파일은,
커널 계층(Kernel Layer), 트랜스포트 프로토콜 계층(Transport Protocol Layer), 어플리케이션 계층(Application Layer), 사용자 인터페이스 계층(User Interface Layer)의 계층별 보안 프로파일;
BEMS(Building Energy Management System), FEMS(Factory Energy Management System) 및 HEMS(Home Energy Management System)의 연동 노드별 보안 프로파일; 및
에너지 저장 시스템 전체 보안 프로파일 중 적어도 하나를 포함하는,
에너지 저장 시스템의 네트워크 보안 방법.
The method of claim 5,
The security profile,
Security profiles for each layer of the kernel layer, transport protocol layer, application layer, and user interface layer;
Security profile for each node interlocked with Building Energy Management System (BEMS), Factory Energy Management System (FEMS), and Home Energy Management System (HEMS); And
Including at least one of the energy storage system overall security profile,
Network security method of energy storage system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190157943A KR102190693B1 (en) | 2019-12-02 | 2019-12-02 | Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190157943A KR102190693B1 (en) | 2019-12-02 | 2019-12-02 | Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102190693B1 true KR102190693B1 (en) | 2020-12-14 |
Family
ID=73779819
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190157943A KR102190693B1 (en) | 2019-12-02 | 2019-12-02 | Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102190693B1 (en) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101538709B1 (en) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
| EP3048662A1 (en) * | 2013-09-18 | 2016-07-27 | Sony Corporation | Power storage system |
| KR101736223B1 (en) * | 2016-11-23 | 2017-05-16 | 주식회사 나온웍스 | Security methods and apparatus for industrial networks |
-
2019
- 2019-12-02 KR KR1020190157943A patent/KR102190693B1/en active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3048662A1 (en) * | 2013-09-18 | 2016-07-27 | Sony Corporation | Power storage system |
| KR101538709B1 (en) * | 2014-06-25 | 2015-07-29 | 아주대학교산학협력단 | Anomaly detection system and method for industrial control network |
| KR101736223B1 (en) * | 2016-11-23 | 2017-05-16 | 주식회사 나온웍스 | Security methods and apparatus for industrial networks |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10581803B1 (en) | Application-aware connection rules for network access client | |
| EP3145130B1 (en) | Network system, communication control method, and communication control program | |
| US20180295101A1 (en) | Systems, methods, and devices to defend against attacks | |
| RU2666289C1 (en) | System and method for access request limits | |
| US9894080B1 (en) | Sequence hopping algorithm for securing goose messages | |
| Kalluri et al. | Simulation and impact analysis of denial-of-service attacks on power SCADA | |
| US20180316714A1 (en) | System and method of traffic filtering upon detection of a ddos attack | |
| US10129286B2 (en) | Zero day threat detection using host application/program to user agent mapping | |
| US11729185B2 (en) | Transparent bridge for monitoring crypto-partitioned wide-area network | |
| US11777915B2 (en) | Adaptive control of secure sockets layer proxy | |
| US20200267176A1 (en) | User-determined network traffic filtering | |
| CN109729059B (en) | Data processing method and device and computer | |
| US9661083B1 (en) | Efficient notification protocol through firewalls | |
| US8984619B2 (en) | Methods, systems, and computer readable media for adaptive assignment of an active security association instance in a redundant gateway configuration | |
| US11252184B2 (en) | Anti-attack data transmission method and device | |
| CN110784436A (en) | Maintaining internet protocol security tunnels | |
| KR102190693B1 (en) | Adaptive security profile-based network security apparatus and method for remote monitoring of energy storage systems | |
| US10951581B2 (en) | Mitigation of attacks on satellite networks | |
| US20230239279A1 (en) | Method and apparatus for security communication | |
| Ansilla et al. | Data security in Smart Grid with hardware implementation against DoS attacks | |
| US10742480B2 (en) | Network management as a service (MaaS) using reverse session-origination (RSO) tunnel | |
| Kumar et al. | An analysis of tcp syn flooding attack and defense mechanism | |
| US10454965B1 (en) | Detecting network packet injection | |
| RU2648949C1 (en) | Method of protecting computing network from unauthorized scanning and blocking network services | |
| US20230224315A1 (en) | Communication processing apparatus, communication processing system, communication processing method, and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| X091 | Application refused [patent] | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |