KR102199088B1 - SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE - Google Patents

SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE Download PDF

Info

Publication number
KR102199088B1
KR102199088B1 KR1020180145964A KR20180145964A KR102199088B1 KR 102199088 B1 KR102199088 B1 KR 102199088B1 KR 1020180145964 A KR1020180145964 A KR 1020180145964A KR 20180145964 A KR20180145964 A KR 20180145964A KR 102199088 B1 KR102199088 B1 KR 102199088B1
Authority
KR
South Korea
Prior art keywords
behavior
iot device
state information
information
based state
Prior art date
Application number
KR1020180145964A
Other languages
Korean (ko)
Other versions
KR20200063354A (en
Inventor
임강빈
김명수
고영건
서주영
정택준
안지수
백상훈
석지은
김찬민
배도현
Original Assignee
순천향대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 순천향대학교 산학협력단 filed Critical 순천향대학교 산학협력단
Priority to KR1020180145964A priority Critical patent/KR102199088B1/en
Publication of KR20200063354A publication Critical patent/KR20200063354A/en
Application granted granted Critical
Publication of KR102199088B1 publication Critical patent/KR102199088B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Alarm Systems (AREA)

Abstract

본 발명은 IoT 디바이스의 비정상 행위를 탐지하는 시스템 및 방법을 개시한다. 본 발명의 일 측면에 따른 IoT 디바이스의 비정상 행위를 탐지하는 시스템은, IoT 디바이스가 비정상 행위를 하는 경우 이를 효과적으로 탐지하여 악의적인 사용자에 의해 정보가 유출되거나 제어권이 탈취되는 것을 방지할 수 있다. The present invention discloses a system and method for detecting abnormal behavior of an IoT device. The system for detecting an abnormal behavior of an IoT device according to an aspect of the present invention can effectively detect when the IoT device performs an abnormal behavior, thereby preventing information from being leaked or a control right by a malicious user.

Description

IoT 디바이스의 비정상 행위를 탐지하는 시스템 및 방법{SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE}System and method for detecting abnormal behavior of IoT device {SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE}

본 발명은 IoT 디바이스의 비정상 행위를 탐지하는 시스템 및 방법에 관한 것으로, 더욱 상세하게는 사물인터넷(Internet of Things : IoT)을 이용하는 스마트 홈 서비스 환경에서 해커 등에 의한 사이버 공격에 의해 발생할 수 있는 IoT 디바이스의 비정상 행위를 탐지하여 안전한 스마트 홈 서비스 환경을 제공할 수 있는 IoT 디바이스의 비정상 행위를 탐지하는 시스템 및 방법에 관한 것이다.The present invention relates to a system and method for detecting abnormal behavior of an IoT device, and more particularly, an IoT device that may be caused by a cyber attack by a hacker or the like in a smart home service environment using the Internet of Things (IoT). The present invention relates to a system and method for detecting abnormal behavior of an IoT device capable of providing a safe smart home service environment by detecting abnormal behavior of

사물인터넷(Internet of Things : IoT)은 세상에 존재하는 유형 혹은 무형의 객체들이 다양한 방식으로 서로 연결되어 개별 객체들이 제공하지 못했던 새로운 서비스를 제공하는 것을 말한다. 사물인터넷은 단어의 뜻 그대로 '사물들(things)'이 '서로 연결된(Internet)' 것 혹은 '사물로 구성된 인터넷'을 말한다. 기존의 인터넷이 컴퓨터나 무선 인터넷이 가능했던 휴대 전화들이 서로 연결되어 구성되었던 것과는 달리, 사물인터넷은 책상, 자동차, 가방, 나무, 애완견 등 세상에 존재하는 모든 사물이 연결되어 구성된 인터넷이라 할 수 있다.The Internet of Things (IoT) refers to providing new services that individual objects could not provide by connecting tangible or intangible objects existing in the world in various ways. The Internet of Things literally means that'things' are'internet' or'the Internet composed of things'. Unlike the existing Internet, which consisted of computers and mobile phones that were capable of wireless Internet connection, the Internet of Things is an Internet composed of all objects in the world such as desks, cars, bags, trees, and pet dogs.

이러한 사물인터넷에는, 정보를 수집하는 센서를 포함하는 디바이스 즉, IoT 디바이스가 존재한다. In the IoT, devices including sensors that collect information, that is, IoT devices, exist.

IoT 디바이스는 다양한 정보들을 포함할 수 있는데, 이러한 정보 중에는 개인 정보 등과 같이 타인에게 유출되는 경우 문제가 발생할 수 있는 민감한 정보 등이 포함될 수 있다. IoT devices may include various types of information, among which such information may include sensitive information, such as personal information, that may cause problems if it is leaked to others.

사물인터넷은 인터넷 등과 같은 네트워크로 연결되며, 해커 등과 같은 악의적인 사용자에 의해 영향을 받을 수 있다. 즉, IoT 디바이스는 해커 등과 같은 악의적인 사용자에 의해 해킹되는 경우, 제어권 탈취 및 개인 정보의 유출과 같은 문제가 발생할 수 있다.The Internet of Things is connected to a network such as the Internet, and can be affected by malicious users such as hackers. That is, when the IoT device is hacked by a malicious user, such as a hacker, problems such as stealing control and leakage of personal information may occur.

한국등록특허 제10-1679578호(2016.11.25 공고)Korean Patent Registration No. 10-1679578 (announced on November 25, 2016)

본 발명은 상기와 같은 문제점을 해결하기 위해 제안된 것으로서, 사물인터넷(Internet of Things : IoT)을 이용하는 스마트 홈 서비스 환경에서 해커 등에 의한 사이버 공격이 발생하는 경우, IoT 디바이스의 행위 정보를 기준 정상 행위 정보와 비교하여 비정상 행위를 탐지함으로써 안전한 스마트 홈 서비스 환경을 제공할 수 있는 IoT 디바이스의 비정상 행위를 탐지하는 시스템 및 방법을 제공하는데 그 목적이 있다. The present invention has been proposed to solve the above problems, and when a cyber attack by a hacker or the like occurs in a smart home service environment using the Internet of Things (IoT), the behavior information of the IoT device is based on normal behavior. An object of the present invention is to provide a system and method for detecting abnormal behavior of an IoT device capable of providing a safe smart home service environment by detecting abnormal behavior compared with information.

본 발명의 다른 목적 및 장점들은 하기의 설명에 의해서 이해될 수 있으며, 본 발명의 일 실시예에 의해 보다 분명하게 알게 될 것이다. 또한, 본 발명의 목적 및 장점들은 특허청구범위에 나타낸 수단 및 그 조합에 의해 실현될 수 있음을 쉽게 알 수 있을 것이다.Other objects and advantages of the present invention can be understood by the following description, and will be more clearly understood by an embodiment of the present invention. In addition, it will be easily understood that the objects and advantages of the present invention can be realized by the means shown in the claims and combinations thereof.

상기와 같은 목적을 달성하기 위한 본 발명의 일 측면에 따른 IoT 디바이스의 비정상 행위를 탐지하는 시스템은, IoT 센서가 수집한 행위 기반 상태 정보를 전송하는 IoT 디바이스; 및 상기 IoT 디바이스로부터 행위 기반 상태 정보를 수신하고, 상기 행위 기반 상태 정보를 사전에 저장된 정상 행위 기준 정보와 비교하여 상기 IoT 디바이스의 비정상 행위 여부를 판단하며, 판단 결과에 따라 IoT 디바이스를 제어하거나 IoT 디바이스의 상태 정보를 사용자 또는 관리자의 단말로 전송하는 중앙 관제 서버;를 포함한다.A system for detecting an abnormal behavior of an IoT device according to an aspect of the present invention for achieving the above object includes: an IoT device that transmits behavior-based state information collected by an IoT sensor; And receiving behavior-based state information from the IoT device, comparing the behavior-based state information with previously stored normal behavior reference information to determine whether the IoT device has abnormal behavior, and controlling the IoT device or IoT It includes; a central control server for transmitting the device status information to the terminal of the user or the administrator.

상기 중앙 관제 서버는, 미리 설정된 정상 행위 기준 정보를 저장하는 저장부; 상기 IoT 디바이스로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하는 상태 정보 수집부; 상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 행위 판단부; 및 상기 행위 판단 결과, IoT 디바이스가 비정상 행위로 판단되는 경우 해당 IoT 디바이스의 동작을 차단하는 제어부;를 포함하는 것을 특징으로 한다.The central control server includes: a storage unit for storing preset normal behavior reference information; A state information collection unit for receiving behavior-based state information collected by an IoT sensor from the IoT device; The behavior-based state information is compared with the behavior-based state information, and when the behavior-based state information deviates from (or does not match) the behavior-based state information, the IoT device that transmitted the behavior-based state information is abnormal. An act determination unit that determines that an act is being performed; And a control unit configured to block an operation of the IoT device when it is determined that the IoT device is an abnormal behavior as a result of the determination of the behavior.

상기 행위 판단부는, 상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 의심하는 비정상 행위 의심부; 및 상기 비정상 행위를 하고 있다고 의심되는 IoT 디바이스가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보(제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보)와 비교하여 적어도 어느 하나 이상의 정보가 일치하는 경우 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 비정상 행위 확정부;를 포함하는 것을 특징으로 한다.The behavior determination unit compares the normal behavior reference information and the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior reference information. An abnormal behavior suspecting unit that suspects that the IoT device is performing abnormal behavior; And at least one or more information by comparing the behavior-based state information transmitted by the IoT device that is suspected to be performing abnormal behavior with preset rule specification information (important information related to operation of the system related to control and/or personal information leakage). And an abnormal behavior determiner that determines that the IoT device that has transmitted the behavior-based state information is performing abnormal behavior when the behavior-based state information is matched.

상기 행위 기반 상태 정보는, IoT 디바이스에 포함되는 구성들의 동작에 따른 상태 정보인 것을 특징으로 한다.The behavior-based state information is characterized in that it is state information according to the operation of the components included in the IoT device.

상기와 같은 목적을 달성하기 위한 본 발명의 다른 측면에 따른 IoT 센서가 수집한 행위 기반 상태 정보를 전송하는 IoT 디바이스를 포함하는 시스템에서의 IoT 디바이스의 비정상 행위를 탐지하는 방법은, 중앙 관제 서버가, 미리 설정된 정상 행위 기준 정보를 저장하는 단계; 중앙 관제 서버가, 상기 IoT 디바이스로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하는 단계; 중앙 관제 서버가, 상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계; 및 중앙 관제 서버가, 상기 행위 판단 결과, IoT 디바이스가 비정상 행위로 판단되는 경우 해당 IoT 디바이스의 동작을 차단하는 단계;를 포함한다.A method of detecting an abnormal behavior of an IoT device in a system including an IoT device that transmits behavior-based state information collected by an IoT sensor according to another aspect of the present invention for achieving the above object, wherein the central control server , Storing preset normal behavior reference information; Receiving, by a central control server, behavior-based state information collected by the IoT sensor from the IoT device; The central control server compares the normal behavior reference information and the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior standard information. Determining that an IoT device is performing an abnormal behavior; And blocking, by the central control server, an operation of the IoT device when it is determined that the IoT device is an abnormal behavior as a result of the behavior determination.

상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계는, 상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 의심하는 단계; 및 상기 비정상 행위를 하고 있다고 의심되는 IoT 디바이스가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보(제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보)와 비교하여 적어도 어느 하나 이상의 정보가 일치하는 경우 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계;를 포함하는 것을 특징으로 한다.The determining that the IoT device that has transmitted the behavior-based state information is performing an abnormal behavior may include comparing the normal behavior reference information and the behavior-based state information, and when the behavior-based state information deviates from the normal behavior reference information. (Or, if they do not match) suspecting that the IoT device that has transmitted the behavior-based state information is performing abnormal behavior; And at least one or more information by comparing the behavior-based state information transmitted by the IoT device that is suspected to be performing abnormal behavior with preset rule specification information (important information related to operation of the system related to control and/or personal information leakage). And determining that the IoT device that has transmitted the behavior-based state information is performing an abnormal behavior when is matched.

상기 행위 기반 상태 정보는, IoT 디바이스에 포함되는 구성들의 동작에 따른 상태 정보인 것을 특징으로 한다.The behavior-based state information is characterized in that it is state information according to the operation of the components included in the IoT device.

본 발명의 일 측면에 따르면, IoT 디바이스가 비정상 행위를 하는 경우 이를 효과적으로 탐지하여 악의적인 사용자에 의해 정보가 유출되거나 제어권이 탈취되는 것을 방지할 수 있는 효과가 있다.According to an aspect of the present invention, when an IoT device performs an abnormal behavior, it is effective to effectively detect it and prevent information from being leaked or control right by a malicious user.

본 발명에서 얻을 수 있는 효과는 이상에서 언급한 효과로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.The effects obtainable in the present invention are not limited to the above-mentioned effects, and other effects not mentioned will be clearly understood by those of ordinary skill in the technical field to which the present invention belongs from the following description. .

본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 발명을 실시하기 위한 구체적인 내용들과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되어서는 아니 된다.
도 1은 본 발명의 일 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 시스템의 개략적인 구성도,
도 2는 본 발명의 일 실시예에 따른 중앙 관제 서버의 개략적인 기능 블록도,
도 3은 본 발명의 일 실시예에 따른 행위 판단부의 기능 블록도,
도 4는 본 발명의 일 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 방법의 흐름도,
도 5는 본 발명의 다른 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 방법의 흐름도이다.The following drawings attached to the present specification illustrate preferred embodiments of the present invention, and serve to further understand the technical idea of the present invention along with specific details for carrying out the present invention. It should not be interpreted as being limited to the information described.
1 is a schematic configuration diagram of a system for detecting abnormal behavior of an IoT device according to an embodiment of the present invention;
2 is a schematic functional block diagram of a central control server according to an embodiment of the present invention;
3 is a functional block diagram of an action determination unit according to an embodiment of the present invention;
4 is a flowchart of a method of detecting an abnormal behavior of an IoT device according to an embodiment of the present invention;
5 is a flowchart of a method of detecting an abnormal behavior of an IoT device according to another embodiment of the present invention.

상술한 목적, 특징 및 장점은 첨부된 도면과 관련한 다음의 상세한 설명을 통하여 보다 분명해질 것이며, 그에 따라 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 것이다. 또한, 본 발명을 설명함에 있어서 본 발명과 관련된 공지기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략하기로 한다. 이하, 첨부된 도면을 참조하여 본 발명에 따른 바람직한 일 실시예를 상세히 설명하기로 한다.The above-described objects, features, and advantages will become more apparent through the following detailed description in connection with the accompanying drawings, whereby those of ordinary skill in the technical field to which the present invention pertains can easily implement the technical idea of the present invention. There will be. In addition, in describing the present invention, if it is determined that a detailed description of a known technology related to the present invention may unnecessarily obscure the subject matter of the present invention, a detailed description thereof will be omitted. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 “포함”한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성 요소를 더 포함할 수 있는 것을 의미한다. 또한, 명세서에 기재된 “…부” 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어 또는 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.Throughout the specification, when a certain part "includes" a certain component, it means that other components may be further included rather than excluding other components unless otherwise stated. In addition, “… A term such as “sub” means a unit that processes at least one function or operation, which may be implemented by hardware or software, or a combination of hardware and software.

도 1은 본 발명의 일 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 시스템의 개략적인 구성도, 도 2는 본 발명의 일 실시예에 따른 중앙 관제 서버의 개략적인 기능 블록도, 도 3은 본 발명의 일 실시예에 따른 행위 판단부의 기능 블록도이다.1 is a schematic configuration diagram of a system for detecting abnormal behavior of an IoT device according to an embodiment of the present invention, FIG. 2 is a schematic functional block diagram of a central control server according to an embodiment of the present invention, and FIG. 3 is A functional block diagram of an action determination unit according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 시스템은, IoT 디바이스(100) 및 중앙 관제 서버(200)를 포함한다.Referring to FIG. 1, a system for detecting an abnormal behavior of an IoT device according to the present embodiment includes an IoT device 100 and a central control server 200.

IoT 디바이스(100)는 행위 기반 상태 정보를 수집하는 IoT 센서를 포함하며, 네트워크를 통해 IoT 센서가 수집한 행위 기반 상태 정보를 전송한다. IoT 디바이스(100)는 하나 일수도 있고, 하나 이상의 복수 개일 수도 있다. IoT 디바이스(100)는 사물 인터넷으로 연결되어 정보를 송수신하고, 사용자가 원격으로 제어할 수 있는 장치를 의미할 수 있다. 예컨대, IoT 디바이스(100)는 냉장고, 세탁기 등일 수 있으며, 본 실시예에서는 드론(drone)인 것으로 설명한다. 여기서, 행위 기반 상태 정보는 IoT 디바이스(100)에 포함되는 각 구성들의 동작에 따른 상태 정보일 수 있다. 예컨대, IoT 디바이스(100)가 드론인 경우, 행위 기반 상태 정보는 모터 정보, 통신 정보, 배터리 정보, 각종 센서 정보, 실행 주기 정보, 명령어 정보 등과 같이 드론에 포함되는 구성들의 동작에 따른 상태 정보일 수 있다. The IoT device 100 includes an IoT sensor that collects behavior-based state information, and transmits the behavior-based state information collected by the IoT sensor through a network. The number of IoT devices 100 may be one, and may be one or more. The IoT device 100 may refer to a device that is connected to the Internet of Things to transmit and receive information, and remotely control the user. For example, the IoT device 100 may be a refrigerator, a washing machine, or the like, and in this embodiment, it will be described as being a drone. Here, the behavior-based state information may be state information according to the operation of each component included in the IoT device 100. For example, when the IoT device 100 is a drone, the behavior-based status information is status information according to the operation of components included in the drone, such as motor information, communication information, battery information, various sensor information, execution cycle information, and command information. I can.

이때, 네트워크는 인터넷망, 인트라넷망, 이동통신망, 위성 통신망 등 다양한 유무선 통신 기술을 이용하여 인터넷 프로토콜로 데이터를 송수신할 수 있는 망을 의미할 수 있다. 한편, 네트워크는 LAN(Local Area Network), WAN(Wide Area Network) 등의 폐쇄형 네트워크, 인터넷과 같은 개방형 네트워크뿐만 아니라, CDMA(Code Division Multiple Access), WCDMA(Wideband Code Division Multiple Access), GSM(Global System for Mobile Communication), LTE(Long Term Evolution), EPC(Evolved Packet Core) 등의 네트워크와 향후 구현될 차세대 네트워크 및 컴퓨팅 네트워크를 통칭할 수 있다. 또한, IoT 센서는 스마트 서비스를 위해 네트워크를 형성하는 가정 내 및/또는 일정 영역 내에 위치하는 IoT 디바이스(100)에 포함되어 정보를 수집하는 구성을 의미할 수 있다. 한편, 외부에서 사용자(관리자, 이용자)가 스마트 서비스 제어 단말기(예컨대, 스마트 폰, 단말기 등)를 통해 네트워크를 형성하는 가정 내 및/또는 일정 영역 내에 위치하는 IoT 디바이스(100)의 상태 감시 및 원격 제어를 수행하기 위해서는, 스마트 제어 단말기가 게이트웨이를 통해서 IoT 센서로 제어 신호를 전달함으로써, IoT 센서가 각 디바이스의 상태 감시 및 원격 제어를 수행할 수 있다.In this case, the network may refer to a network capable of transmitting and receiving data through an Internet protocol using various wired and wireless communication technologies such as an Internet network, an intranet network, a mobile communication network, and a satellite communication network. On the other hand, networks include closed networks such as LAN (Local Area Network) and WAN (Wide Area Network), open networks such as the Internet, as well as Code Division Multiple Access (CDMA), Wideband Code Division Multiple Access (WCDMA), and GSM ( Global System for Mobile Communication), Long Term Evolution (LTE), Evolved Packet Core (EPC), and other networks, as well as next-generation networks and computing networks to be implemented in the future. In addition, the IoT sensor may refer to a configuration that is included in the IoT device 100 located within a home and/or within a predetermined area forming a network for smart service and collects information. Meanwhile, externally, a user (manager, user) monitors and remotely monitors the status of the IoT device 100 located in a home and/or within a certain area forming a network through a smart service control terminal (eg, a smart phone, a terminal, etc.) In order to perform control, the smart control terminal transmits a control signal to the IoT sensor through the gateway, so that the IoT sensor can monitor the state of each device and perform remote control.

중앙 관제 서버(200)는 IoT 디바이스(100)와 네트워크에 의해 연결되어 정보를 수신할 수 있으며, IoT 디바이스(100)로부터 행위 기반 상태 정보를 수신한다. 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 수신한 행위 기반 상태 정보를 정상 행위 기준 정보와 비교하여 IoT 디바이스(100)의 비정상 행위 여부를 판단한다. 이때, 정상 행위 기준 정보는 사전에 저장될 수 있으며, IoT 디바이스(100)가 정상 상태인 경우에 동작할 때 센서에 의해 수집되는 정보를 의미할 수 있다. 정상 행위 기준 정보는 사전에 사용자 및/또는 관리자에 의해 미리 설정되어 별도의 저장 공간(데이터베이스)에 저장될 수 있으며, 정상 동작을 수행하는 것으로 판단되는 IoT 디바이스(100)(즉, 후술하는 비정상 행위 동작을 수행한다고 판단되는 IoT 디바이스(100)를 제외한 IoT 디바이스(100))로부터 정보를 수신하여 저장할 수도 있다. 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 수신한 행위 기반 상태 정보와 정상 행위 기준 정보를 비교한 결과에 따라, 행위 기반 상태 정보를 전송한 IoT 디바이스(100)를 제어(동작의 차단 등)하거나 또는, IoT 디바이스(100)의 상태 정보를 사용자 및/또는 관리자 단말로 전송할 수 있다. 이에 따라, 비정상 행위로 판단되는 IoT 디바이스(100)가 존재하는 경우, 중앙 관제 서버(200)는 해당하는 IoT 디바이스(100)를 제어하여 동작을 차단함으로써 IoT 디바이스(100) 내에 저장된 개인 정보가 유출되는 것을 방지하거나 또는 제어권의 탈취로 인한 오동작으로 인해 사고가 발생하는 것을 방지할 수 있다. 또한, 중앙 관제 서버(200)는 비정상 행위로 판단되는 IoT 디바이스(100)의 현재 상태 정보를 사용자 및/또는 관리자의 단말로 전송하여 사용자 및/또는 관리자에 의해 수동으로 비정상 행위가 발생한 IoT 디바이스(100)를 제어하도록 할 수도 있다. The central control server 200 is connected to the IoT device 100 through a network to receive information, and receives behavior-based status information from the IoT device 100. The central control server 200 compares the behavior-based state information received from the IoT device 100 with normal behavior reference information to determine whether the IoT device 100 has an abnormal behavior. In this case, the normal behavior reference information may be stored in advance, and may mean information collected by a sensor when the IoT device 100 operates in a normal state. The normal behavior reference information may be set in advance by a user and/or an administrator and stored in a separate storage space (database), and the IoT device 100 determined to perform a normal operation (i.e., abnormal behavior described later) Information may be received and stored from the IoT device 100 except for the IoT device 100 determined to perform an operation. The central control server 200 controls the IoT device 100 that has transmitted the behavior-based state information according to the result of comparing the behavior-based state information received from the IoT device 100 with the normal behavior reference information (blocking the operation, etc.). ) Or, the state information of the IoT device 100 may be transmitted to a user and/or an administrator terminal. Accordingly, when the IoT device 100 determined to be an abnormal behavior exists, the central control server 200 controls the corresponding IoT device 100 to block the operation, thereby leaking personal information stored in the IoT device 100 It can be prevented from occurring or an accident can be prevented due to a malfunction due to the takeover of control right. In addition, the central control server 200 transmits the current state information of the IoT device 100, which is determined to be an abnormal behavior, to the user and/or administrator's terminal, so that the IoT device ( 100) can also be controlled.

한편, 도 2에 도시된 바와 같이 중앙 관제 서버(200)는 저장부(210), 상태 정보 수집부(220), 행위 판단부(230) 및 제어부(240)를 포함할 수 있다.Meanwhile, as shown in FIG. 2, the central control server 200 may include a storage unit 210, a state information collection unit 220, an action determination unit 230, and a control unit 240.

저장부(210)는 상술한 바와 같은 미리 설정된 정상 행위 기준 정보를 저장할 수 있다. 이때, 저장부(210)는 서버와 연동되는 데이터베이스일 수 있다. 한편, 데이터베이스는 서버와 별도의 공간에 위치할 수도 있고, 서버의 내부에 위치할 수도 있다. The storage unit 210 may store preset normal behavior reference information as described above. In this case, the storage unit 210 may be a database linked to a server. Meanwhile, the database may be located in a space separate from the server, or may be located inside the server.

상태 정보 수집부(220)는 IoT 디바이스(100)로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신한다. 이때, 상태 정보 수집부(220)가 수신한 IoT 디바이스(100)의 행위 기반 상태 정보는 상술한 저장부(210)에 저장될 수도 있다. The state information collection unit 220 receives behavior-based state information collected by the IoT sensor from the IoT device 100. At this time, the behavior-based state information of the IoT device 100 received by the state information collection unit 220 may be stored in the storage unit 210 described above.

행위 판단부(230)는 저장부(210)에 저장된 정상 행위 기준 정보와 IoT 디바이스(100)로부터 수신한 행위 기반 상태 정보를 비교하고, 행위 기반 상태 정보가 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단할 수 있다. 예컨대, IoT 디바이스(100)가 드론인 경우, IoT 디바이스(100)가 전송하는 행위 기반 상태 정보는, 모터 정보, 통신 정보, 배터리 정보, 각종 센서 정보, 실행 주기 정보, 명령어 정보 등을 포함할 수 있다. 이때, 저장부(210)에는 상술한 IoT 디바이스(100)가 정상 동작하는 경우에 발생하는 정상 행위 기준 정보가 저장될 수 있다. 예컨대, 정상 행위 기준 정보로 명령어 정보의 기준 정보 값이 사진 촬영, 촬영 정보 전송으로 설정된 경우, IoT 디바이스(100)가 전송한 행위 기반 상태 정보에 포함된 명령어 정보가 상술한 정보가 아닌 다른 정보 예컨대, 일정 범위를 벗어난 위치 좌표로 이동 등과 같은 경우, 행위 판단부(230)는 해커 등과 같은 악의적인 사용자에 의해 IoT 디바이스(100)가 해킹되어 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단할 수 있다. The behavior determination unit 230 compares the normal behavior reference information stored in the storage unit 210 with the behavior-based state information received from the IoT device 100, and when the behavior-based state information deviates from the normal behavior reference information (or If they do not match), it may be determined that the IoT device 100 that has transmitted the behavior-based state information is performing abnormal behavior. For example, when the IoT device 100 is a drone, the behavior-based state information transmitted by the IoT device 100 may include motor information, communication information, battery information, various sensor information, execution cycle information, command information, etc. have. In this case, the storage unit 210 may store normal behavior reference information generated when the IoT device 100 is normally operated. For example, when the reference information value of the command information is set to take a picture or transmit photographing information as the normal behavior reference information, the command information included in the behavior-based state information transmitted by the IoT device 100 is other information than the above-described information. , In the case of moving to a location coordinate outside a certain range, the behavior determination unit 230 may determine that the IoT device 100 is hacked by a malicious user such as a hacker and the IoT device 100 is performing abnormal behavior. have.

한편, IoT 디바이스(100)는 해커 등과 같은 악의적인 사용자에 의해 해킹되지 않은 상태라도, 일시적인 장치의 오류 등이 발생하는 경우, 행위 기반 상태 정보와 정상 동작하는 경우의 정상 행위 기준 정보가 불일치할 수 있다. Meanwhile, even if the IoT device 100 is not hacked by a malicious user such as a hacker, if a temporary device error occurs, the behavior-based state information and the normal behavior reference information in the case of normal operation may be inconsistent. have.

따라서, 행위 판단부(230)는 이와 같은 경우에 비정상 행위 여부에 대한 판단을 수행하기 위해 도 3에 도시된 바와 같이 비정상 행위 의심부(231) 및 비정상 행위 확정부(233)를 포함할 수 있다. Accordingly, the behavior determination unit 230 may include an abnormal behavior suspicion unit 231 and an abnormal behavior determination unit 233 as shown in FIG. 3 in order to determine whether an abnormal behavior exists in such a case. .

비정상 행위 의심부(231)는 정상 행위 기준 정보와 행위 기반 상태 정보를 비교하여, 행위 기반 상태 정보가 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 의심할 수 있다. 예컨대, IoT 디바이스(100)가 드론인 경우, IoT 디바이스(100)가 전송하는 행위 기반 상태 정보에 포함된 통신 정보가 정상 행위 기준 정보에 명시된 IP 주소가 아닌 경우, 비정상 행위 의심부(231)는 해당 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 의심할 수 있다. The abnormal behavior suspicion unit 231 compares the normal behavior standard information with the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior standard information. It can be suspected that (100) is doing abnormal behavior. For example, when the IoT device 100 is a drone, if the communication information included in the behavior-based state information transmitted by the IoT device 100 is not the IP address specified in the normal behavior reference information, the abnormal behavior suspect unit 231 It may be suspected that the IoT device 100 that has transmitted the behavior-based state information is performing abnormal behavior.

비정상 행위 확정부(233)는 비정상 행위를 하고 있다고 의심되는 IoT 디바이스(100)가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보와 비교하여 적어도 어느 하나 이상의 정보가 일치하지 않는 경우, 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단할 수 있다. 이때, 규칙 명세 정보는, IoT 디바이스(100)의 제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보일 수 있으며, 서버의 별도의 저장소(데이터베이스)에 저장될 수 있다. 예컨대, 규칙 명세 정보는 명령어 정보를 포함할 수 있는데, 명령어 정보로 일정 범위를 벗어난 위치 좌표로 이동 등과 같은 정보가 포함되는 경우 비정상 행위로 판단할 수 있다. 또한, 규칙 명세 정보는 실행 주기 정보를 포함할 수 있는데, 실행 주기 정보로 미리 설정된 시간 이내에 과도하게 많은 다수의 명령어가 실행되는 경우, 비정상 행위로 판단할 수 있다. 예컨대, 상술한 바와 같이 비정상 행위 의심부(231)에 의해 비정상 행위를 하고 있다고 의심되는 IoT 디바이스(100)의 행위 기반 상태 정보와 규칙 명세 정보로 정의된 정보들을 비교하여, 적어도 어느 하나 이상의 정보가 일치하는 경우에는 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단할 수 있다. 예컨대, 규칙 명세 정보로 정의된 정보들이 상술한 바와 같이 명령어 정보 및 실행 주기 정보인 경우, 비정상 행위 확정부(233)에 의해 비정상 행위를 하고 있다고 의심되는 IoT 디바이스(100)가 전송한 행위 기반 상태 정보와 정의된 규칙 명세 정보를 비교하여 적어도 어느 하나 이상의 정보가 일치한다면, 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단할 수 있다.The abnormal behavior determination unit 233 compares the behavior-based state information transmitted by the IoT device 100 suspected of performing an abnormal behavior with preset rule specification information, and if at least one or more information does not match, the behavior-based state It may be determined that the IoT device 100 that has transmitted the information is performing an abnormal behavior. In this case, the rule specification information may be important information related to the operation of the system related to the control of the IoT device 100 and/or the leakage of personal information, and may be stored in a separate storage (database) of the server. For example, the rule specification information may include command information, and when information such as moving to a location coordinate outside a certain range as command information is included, it may be determined as an abnormal behavior. In addition, the rule specification information may include execution period information. When an excessively large number of commands are executed within a preset time as the execution period information, it may be determined as an abnormal behavior. For example, as described above, by comparing the behavior-based state information of the IoT device 100 suspected of performing abnormal behavior by the abnormal behavior suspicious unit 231 and information defined as rule specification information, at least one or more information If they match, it may be determined that the IoT device 100 that has transmitted the behavior-based state information is performing an abnormal behavior. For example, if the information defined as rule specification information is command information and execution cycle information as described above, the behavior-based state transmitted by the IoT device 100 suspected of performing abnormal behavior by the abnormal behavior determination unit 233 If at least one or more pieces of information are matched by comparing the information with the defined rule specification information, it may be determined that the IoT device 100 transmitting the behavior-based state information is performing an abnormal behavior.

반면, 비정상 행위 확정부(233)는, 비정상 행위를 하고 있다고 의심되는 IoT 디바이스(100)가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보와 비교하여 모두 일치하지 않는 경우에는 IoT 디바이스(100)가 정상 행위를 하고 있다고 판단할 수 있다. 다시 말해, 장치의 일시적인 오류 등으로 인해 IoT 디바이스(100)의 행위 기반 상태 정보가 미리 설정된 정상 행위 기준 정보와 일치하지 않을 수 있지만, 비정상 행위가 의심되는 IoT 디바이스(100)의 행위 기반 상태 정보를 다른 정보 즉, IoT 디바이스(100)의 제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보인 규칙 명세 정보와 비교함으로써 비정상 행위를 하는 IoT 디바이스(100)를 보다 정확하게 탐지할 수 있다. On the other hand, the abnormal behavior determination unit 233 compares the behavior-based state information transmitted by the IoT device 100 suspected of performing an abnormal behavior with preset rule specification information, and if all do not match, the IoT device 100 It can be judged that is doing normal behavior. In other words, the behavior-based state information of the IoT device 100 may not match the preset normal behavior reference information due to a temporary error of the device, but the behavior-based state information of the IoT device 100 suspected of abnormal behavior The IoT device 100 performing abnormal behavior may be more accurately detected by comparing it with other information, that is, rule specification information, which is important information related to the operation of the system related to the control of the IoT device 100 and/or the leakage of personal information.

즉, 상술한 바와 같이 도 3에 따른 실시예에 따르면, 2단계에 걸쳐서 IoT 디바이스(100)의 비정상 행위 여부를 판단함으로써, 보다 정확하게 IoT 디바이스(100)의 해킹 여부를 판단할 수 있다. That is, as described above, according to the embodiment of FIG. 3, it is possible to more accurately determine whether the IoT device 100 is hacked by determining whether the IoT device 100 has an abnormal behavior over two steps.

제어부(240)는 중앙 관제 서버(200)를 전반적으로 제어한다. 제어부(240)는 행위 판단부(230)의 판단 결과, IoT 디바이스(100)가 비정상 행위로 판단되는 경우 행위 기반 상태 정보를 전송한 IoT 디비아스의 동작을 차단할 수 있다. The control unit 240 overall controls the central control server 200. The controller 240 may block an operation of the IoT device that has transmitted the behavior-based state information when it is determined that the IoT device 100 is an abnormal behavior as a result of the determination by the behavior determination unit 230.

이하, 도 4 내지 도 5를 참조하여 상술한 IoT 디바이스의 비정상 행위를 탐지하는 시스템에서의 IoT 디바이스(100)의 비정상 행위를 탐지하는 방법에 대해 설명하기로 한다.Hereinafter, a method of detecting abnormal behavior of the IoT device 100 in the system for detecting abnormal behavior of the IoT device described above will be described with reference to FIGS. 4 to 5.

도 4는 본 발명의 일 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 방법의 흐름도이다.4 is a flowchart of a method of detecting an abnormal behavior of an IoT device according to an embodiment of the present invention.

도 4를 참조하면, IoT 디바이스(100)의 비정상 행위를 탐지하는 방법은, 중앙 관제 서버(200)가, 미리 설정된 정상 행위 기준 정보를 저장하는 단계(S410), IoT 디바이스(100)로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하는 단계(S420), 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 상기 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단하는 단계(S430) 및 행위 판단 결과, IoT 디바이스(100)가 비정상 행위로 판단되는 경우 해당 IoT 디바이스(100)의 동작을 차단하는 단계(S440)를 포함한다.Referring to FIG. 4, the method of detecting an abnormal behavior of the IoT device 100 includes, by the central control server 200, storing preset normal behavior reference information (S410), and an IoT sensor from the IoT device 100 Receiving the behavior-based state information collected by (S420), comparing the behavior-based state information with the normal behavior reference information, and when the behavior-based state information deviates from the normal behavior standard information (or does not match) ), the step of determining that the IoT device 100 that has transmitted the behavior-based state information is performing an abnormal behavior (S430) and when the IoT device 100 is determined to be an abnormal behavior, the IoT device 100 Blocking the operation of (S440).

S410 단계는, 중앙 관제 서버(200)는 사전에 미리 정상 행위 기준 정보를 관리자로부터 입력받아 저장할 수 있다. 여기서, 정상 행위 기준 정보는 사전에 저장될 수 있으며, IoT 디바이스(100)가 정상 상태인 경우에 동작할 때 센서에 의해 수집되는 정보를 의미할 수 있다. 정상 행위 기준 정보는 사전에 사용자 및/또는 관리자에 의해 미리 설정되어 별도의 저장 공간(데이터베이스)에 저장될 수 있으며, 정상 동작을 수행하는 것으로 판단되는 IoT 디바이스(100)(즉, 후술하는 비정상 행위 동작을 수행한다고 판단되는 IoT 디바이스(100)를 제외한 IoT 디바이스(100))로부터 정보를 수신하여 저장할 수도 있다.In step S410, the central control server 200 may receive and store normal behavior reference information from an administrator in advance. Here, the normal behavior reference information may be stored in advance, and may mean information collected by a sensor when the IoT device 100 operates in a normal state. The normal behavior reference information may be set in advance by a user and/or an administrator and stored in a separate storage space (database), and the IoT device 100 determined to perform a normal operation (i.e., abnormal behavior described later) Information may be received and stored from the IoT device 100 except for the IoT device 100 determined to perform an operation.

S420 단계는, 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하여 별도의 저장 공간에 저장할 수 있다. 여기서, 행위 기반 상태 정보는 IoT 디바이스(100)에 포함되는 각 구성들의 동작에 따른 상태 정보일 수 있다.In step S420, the central control server 200 may receive behavior-based state information collected by the IoT sensor from the IoT device 100 and store it in a separate storage space. Here, the behavior-based state information may be state information according to the operation of each component included in the IoT device 100.

S430 단계는, 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 수신한 행위 기반 상태 정보를 정상 행위 기준 정보와 비교하여 IoT 디바이스(100)의 비정상 행위 여부를 판단한다. 중앙 관제 서버(200)는 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단한다.In step S430, the central control server 200 compares the behavior-based state information received from the IoT device 100 with normal behavior reference information to determine whether the IoT device 100 has an abnormal behavior. The central control server 200 compares the normal behavior reference information and the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior standard information. It is determined that an IoT device 100 is performing an abnormal behavior.

S440 단계는, 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 수신한 행위 기반 상태 정보와 정상 행위 기준 정보를 비교한 결과에 따라, 행위 기반 상태 정보를 전송한 IoT 디바이스(100)를 제어(동작의 차단 등)하거나 또는, IoT 디바이스(100)의 상태 정보를 사용자 및/또는 관리자 단말로 전송할 수 있다.In step S440, the central control server 200 controls the IoT device 100 that has transmitted the behavior-based state information according to the result of comparing the behavior-based state information received from the IoT device 100 with the normal behavior reference information ( Operation blocking, etc.), or the state information of the IoT device 100 may be transmitted to a user and/or an administrator terminal.

도 5는 본 발명의 다른 실시예에 따른 IoT 디바이스의 비정상 행위를 탐지하는 방법의 흐름도이다.5 is a flowchart of a method of detecting an abnormal behavior of an IoT device according to another embodiment of the present invention.

도 5를 참조하면, 먼저, 중앙 관제 서버(200)는 미리 설정된 정상 행위 기준 정보를 저장한다(S510). 여기서, 정상 행위 기준 정보는 사전에 저장될 수 있으며, IoT 디바이스(100)가 정상 상태인 경우에 동작할 때 센서에 의해 수집되는 정보를 의미할 수 있다. 정상 행위 기준 정보는 사전에 사용자 및/또는 관리자에 의해 미리 설정되어 별도의 저장 공간(데이터베이스)에 저장될 수 있으며, 정상 동작을 수행하는 것으로 판단되는 IoT 디바이스(100)(즉, 후술하는 비정상 행위 동작을 수행한다고 판단되는 IoT 디바이스(100)를 제외한 IoT 디바이스(100))로부터 정보를 수신하여 저장할 수도 있다.Referring to FIG. 5, first, the central control server 200 stores preset normal behavior reference information (S510). Here, the normal behavior reference information may be stored in advance, and may mean information collected by a sensor when the IoT device 100 operates in a normal state. The normal behavior reference information may be set in advance by a user and/or an administrator and stored in a separate storage space (database), and the IoT device 100 determined to perform a normal operation (i.e., abnormal behavior described later) Information may be received and stored from the IoT device 100 except for the IoT device 100 determined to perform an operation.

다음으로, 중앙 관제 서버(200)는 IoT 디바이스(100)로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신한다(S520). 여기서, 행위 기반 상태 정보는 IoT 디바이스(100)에 포함되는 각 구성들의 동작에 따른 상태 정보일 수 있다.Next, the central control server 200 receives behavior-based state information collected by the IoT sensor from the IoT device 100 (S520). Here, the behavior-based state information may be state information according to the operation of each component included in the IoT device 100.

다음으로, 중앙 관제 서버(200)는 정상 행위 기준 정보와 행위 기반 상태 정보를 비교하여, 행위 기반 상태 정보가 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 의심한다(S530).Next, the central control server 200 compares the normal behavior standard information and the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior standard information. It is suspected that the IoT device 100 is performing an abnormal behavior (S530).

다음으로, 중앙 관제 서버(200)는 비정상 행위를 하고 있다고 의심되는 IoT 디바이스(100)가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보와 비교하여 적어도 어느 하나 이상의 정보가 일치하지 않는 경우, 행위 기반 상태 정보를 전송한 IoT 디바이스(100)가 비정상 행위를 하고 있다고 판단한다(S540).Next, the central control server 200 compares the behavior-based state information transmitted by the IoT device 100 suspected of performing an abnormal behavior with preset rule specification information, and if at least one or more information does not match, the behavior It is determined that the IoT device 100 that has transmitted the base state information is performing an abnormal behavior (S540).

다음으로, 중앙 관제 서버(200)는 행위 판단 결과, IoT 디바이스(100)가 비정상 행위로 판단되는 경우 해당 IoT 디바이스(100)의 동작을 차단한다(S550).Next, the central control server 200 blocks the operation of the IoT device 100 when it is determined that the IoT device 100 is an abnormal behavior as a result of the behavior determination (S550).

본 발명의 실시예에 따른 방법들은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는, 본 발명을 위한 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media) 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The methods according to the embodiments of the present invention may be implemented as an application or in the form of program instructions that can be executed through various computer components and recorded in a computer-readable recording medium. The computer-readable recording medium may include program instructions, data files, data structures, etc. alone or in combination. The program instructions recorded in the computer-readable recording medium may be specially designed and configured for the present invention, and may be known and usable to those skilled in the computer software field. Examples of computer-readable recording media include magnetic media such as hard disks, floppy disks, and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magnetic-optical media such as floptical disks. media) and hardware devices specially configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of the program instructions include not only machine language codes such as those produced by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like. The hardware device may be configured to operate as one or more software modules to perform processing according to the present invention, and vice versa.

본 명세서는 많은 특징을 포함하는 반면, 그러한 특징은 본 발명의 범위 또는 특허청구범위를 제한하는 것으로 해석되어서는 아니 된다. 또한, 본 명세서의 개별적인 실시예에서 설명된 특징들은 단일 실시예에서 결합되어 구현될 수 있다. 반대로, 본 명세서의 단일 실시예에서 설명된 다양한 특징들은 개별적으로 다양한 실시예에서 구현되거나, 적절히 결합되어 구현될 수 있다.While this specification includes many features, such features should not be construed as limiting the scope or claims of the invention. In addition, features described in separate embodiments of the present specification may be combined and implemented in a single embodiment. Conversely, various features described in a single embodiment of the present specification may be individually implemented in various embodiments, or may be properly combined and implemented.

도면에서 동작들이 특정한 순서로 설명되었으나, 그러한 동작들이 도시된 바와 같은 특정한 순서로 수행되는 것으로 또는 일련의 연속된 순서, 또는 원하는 결과를 얻기 위해 모든 설명된 동작이 수행되는 것으로 이해되어서는 안 된다. 특정 환경에서 멀티태스킹 및 병렬 프로세싱이 유리할 수 있다. 아울러, 상술한 실시예에서 다양한 시스템 구성요소의 구분은 모든 실시예에서 그러한 구분을 요구하지 않는 것으로 이해되어야 한다. 상술한 앱 구성요소 및 시스템은 일반적으로 단일 소프트웨어 제품 또는 멀티플 소프트웨어 제품에 패키지로 구현될 수 있다.Although the operations have been described in a specific order in the drawings, it should not be understood that such operations are performed in a specific order as shown, or as a series of consecutive sequences, or that all described operations are performed to obtain a desired result. Multitasking and parallel processing can be advantageous in certain environments. In addition, it should be understood that classification of various system components in the above-described embodiments does not require such classification in all embodiments. The above-described app components and systems may generally be implemented as a package in a single software product or multiple software products.

이상에서 설명한 본 발명은, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 있어 본 발명의 기술적 사상을 벗어나지 않는 범위 내에서 여러 가지 치환, 변형 및 변경이 가능하므로 전술한 실시예 및 첨부된 도면에 의해 한정되는 것은 아니다.The present invention described above is capable of various substitutions, modifications, and changes without departing from the technical spirit of the present invention for those of ordinary skill in the technical field to which the present invention belongs. It is not limited by the drawings.

100 : IoT 디바이스
200 : 중앙 관제 서버
210 : 저장부
220 : 상태 정보 수집부
230 : 행위 판단부
231 : 비정상 행위 의심부
233 : 비정상 행위 확정부
240 : 제어부100: IoT device
200: central control server
210: storage unit
220: status information collection unit
230: behavior judgment unit
231: Suspected abnormal behavior
233: abnormal behavior determination unit
240: control unit

Claims (7)

IoT 센서가 수집한 행위 기반 상태 정보를 전송하는 IoT 디바이스; 및
상기 IoT 디바이스로부터 행위 기반 상태 정보를 수신하고, 상기 행위 기반 상태 정보를 사전에 저장된 정상 행위 기준 정보와 비교하여 상기 IoT 디바이스의 비정상 행위 여부를 판단하며, 판단 결과에 따라 IoT 디바이스를 제어하거나 IoT 디바이스의 상태 정보를 사용자 또는 관리자의 단말로 전송하는 중앙 관제 서버;를 포함하고,
상기 중앙 관제 서버는,
미리 설정된 정상 행위 기준 정보를 저장하는 저장부;
상기 IoT 디바이스로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하는 상태 정보 수집부;
상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 행위 판단부; 및
상기 행위 판단 결과, IoT 디바이스가 비정상 행위로 판단되는 경우 해당 IoT 디바이스의 동작을 차단하는 제어부;를 포함하며,
상기 행위 판단부는,
상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 의심하는 비정상 행위 의심부; 및
상기 비정상 행위를 하고 있다고 의심되는 IoT 디바이스가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보(제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보)와 비교하여 적어도 어느 하나 이상의 정보가 일치하는 경우 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 비정상 행위 확정부;를 포함하고,
상기 행위 기반 상태 정보는,
IoT 디바이스에 포함되는 구성들의 동작에 따른 상태 정보인 것을 특징으로 하는 IoT 디바이스의 비정상 행위를 탐지하는 시스템.An IoT device that transmits behavior-based state information collected by an IoT sensor; And
Receives behavior-based state information from the IoT device, compares the behavior-based state information with previously stored normal behavior reference information to determine whether the IoT device is abnormal, and controls the IoT device or IoT device according to the determination result. Including; a central control server for transmitting the status information of the user or the administrator's terminal
The central control server,
A storage unit for storing preset normal behavior reference information;
A state information collection unit for receiving behavior-based state information collected by an IoT sensor from the IoT device;
The behavior-based state information is compared with the behavior-based state information, and when the behavior-based state information deviates from (or does not match) the behavior-based state information, the IoT device that transmitted the behavior-based state information is abnormal. An act determination unit that determines that an act is being performed; And
Including; a control unit that blocks the operation of the IoT device when the IoT device is determined to be an abnormal behavior as a result of the behavior determination,
The behavior determination unit,
When the behavior-based state information is out of (or does not match) the behavior-based state information by comparing the normal behavior reference information with the behavior-based state information, the IoT device that transmitted the behavior-based state information is an abnormal behavior. Suspicion of abnormal behavior suspected of being engaged in; And
By comparing the behavior-based state information transmitted by the IoT device that is suspected to be performing the abnormal behavior with preset rule specification information (important information related to the operation of the system related to control and/or personal information leakage), at least one or more information Including; an abnormal behavior determination unit that determines that the IoT device that has transmitted the behavior-based state information is performing abnormal behavior if it matches,
The behavior-based state information,
A system for detecting abnormal behavior of an IoT device, characterized in that it is status information according to the operation of components included in the IoT device. 삭제delete 삭제delete 삭제delete IoT 센서가 수집한 행위 기반 상태 정보를 전송하는 IoT 디바이스를 포함하는 시스템에서의 IoT 디바이스의 비정상 행위를 탐지하는 방법에 있어서,
중앙 관제 서버가, 미리 설정된 정상 행위 기준 정보를 저장하는 단계;
중앙 관제 서버가, 상기 IoT 디바이스로부터 IoT 센서가 수집한 행위 기반 상태 정보를 수신하는 단계;
중앙 관제 서버가, 상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우), 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계; 및
중앙 관제 서버가, 상기 행위 판단 결과, IoT 디바이스가 비정상 행위로 판단되는 경우 해당 IoT 디바이스의 동작을 차단하는 단계;를 포함하고,
상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계는,
상기 정상 행위 기준 정보와 상기 행위 기반 상태 정보를 비교하여, 상기 행위 기반 상태 정보가 상기 정상 행위 기준 정보를 벗어나는 경우(또는, 일치하지 않는 경우) 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 의심하는 단계; 및
상기 비정상 행위를 하고 있다고 의심되는 IoT 디바이스가 전송한 행위 기반 상태 정보를 미리 설정된 규칙 명세 정보(제어 및/또는 개인 정보 유출과 관련한 시스템의 조작과 관련된 중요 정보)와 비교하여 적어도 어느 하나 이상의 정보가 일치하는 경우 상기 행위 기반 상태 정보를 전송한 IoT 디바이스가 비정상 행위를 하고 있다고 판단하는 단계;를 포함하고,
상기 행위 기반 상태 정보는,
IoT 디바이스에 포함되는 구성들의 동작에 따른 상태 정보인 것을 특징으로 하는 IoT 디바이스의 비정상 행위를 탐지하는 방법.

In a method for detecting abnormal behavior of an IoT device in a system including an IoT device that transmits behavior-based state information collected by an IoT sensor,
Storing, by the central control server, preset normal behavior reference information;
Receiving, by a central control server, behavior-based state information collected by the IoT sensor from the IoT device;
The central control server compares the normal behavior reference information and the behavior-based state information, and transmits the behavior-based state information when the behavior-based state information deviates from (or does not match) the normal behavior standard information. Determining that an IoT device is performing an abnormal behavior; And
Including, by the central control server, blocking the operation of the IoT device when it is determined that the IoT device is an abnormal behavior as a result of the behavior determination,
The step of determining that the IoT device that has transmitted the behavior-based state information is performing an abnormal behavior,
When the behavior-based state information is out of (or does not match) the behavior-based state information by comparing the normal behavior reference information with the behavior-based state information, the IoT device that transmitted the behavior-based state information is an abnormal behavior. Suspecting that you are doing; And
By comparing the behavior-based state information transmitted by the IoT device that is suspected to be performing the abnormal behavior with preset rule specification information (important information related to the operation of the system related to control and/or personal information leakage), at least one or more information If matched, determining that the IoT device that has transmitted the behavior-based state information is performing an abnormal behavior; Including,
The behavior-based state information,
A method of detecting abnormal behavior of an IoT device, which is status information according to an operation of components included in the IoT device.

 삭제delete 삭제delete
KR1020180145964A 2018-11-23 2018-11-23 SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE KR102199088B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180145964A KR102199088B1 (en) 2018-11-23 2018-11-23 SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180145964A KR102199088B1 (en) 2018-11-23 2018-11-23 SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE

Publications (2)

Publication Number Publication Date
KR20200063354A KR20200063354A (en) 2020-06-05
KR102199088B1 true KR102199088B1 (en) 2021-01-06

Family

ID=71089291

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180145964A KR102199088B1 (en) 2018-11-23 2018-11-23 SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE

Country Status (1)

Country Link
KR (1) KR102199088B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11637744B2 (en) * 2020-11-19 2023-04-25 Samsung Electronics Co., Ltd. Methods and systems for managing health of devices in an IoT environment using inter-device correlation

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750760B1 (en) * 2016-11-24 2017-07-11 (주)유엠로직스 System and method for anomaly behavior detection of smart home service

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101679578B1 (en) 2015-05-27 2016-11-25 주식회사 윈스 Apparatus and method for providing controlling service for iot security
KR102403189B1 (en) * 2017-04-04 2022-05-27 브이피케이 주식회사 Facility management system and method based on local wireless communication

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101750760B1 (en) * 2016-11-24 2017-07-11 (주)유엠로직스 System and method for anomaly behavior detection of smart home service

Also Published As

Publication number Publication date
KR20200063354A (en) 2020-06-05

Similar Documents

Publication Publication Date Title
CN109246072B (en) System, method, and computer-readable medium for network security
EP2533492B1 (en) A node device and method to prevent overflow of pending interest table in name based network system
US9882912B2 (en) System and method for providing authentication service for internet of things security
EP3111587B1 (en) Context specific management in wireless sensor network
CN107211016B (en) Session security partitioning and application profiler
US10291630B2 (en) Monitoring apparatus and method
CN111274583A (en) Big data computer network safety protection device and control method thereof
US9730075B1 (en) Systems and methods for detecting illegitimate devices on wireless networks
US9172715B2 (en) Stealth network attack monitoring
US20200053567A1 (en) Security architecture for machine type communications
CN107347057B (en) Intrusion detection method, detection rule generation method, device and system
CN105447385B (en) A kind of applied database honey jar detected at many levels realizes system and method
US20190037477A1 (en) Zone-Based Network Device Monitoring Using A Distributed Wireless Network
KR102199088B1 (en) SYSTEM AND METHOD FOR DETECTING ABNORMAL BEHAVIOR OF IoT DEVICE
CN104125213A (en) Distributed denial of service DDOS attack resisting method and device for firewall
US10542434B2 (en) Evaluating as to whether or not a wireless terminal is authorized
US10609672B2 (en) Network device navigation using a distributed wireless network
CN102647425A (en) Method and system for realizing anti-trojan function of firewall
CN102546587A (en) Method and device for preventing gateway system conversation resource from being exhausted maliciously
CN107743114B (en) Network access method, device and system
US10104638B1 (en) Network device location detection and monitoring using a distributed wireless network
CN105992313A (en) WI-FI management method and apparatus thereof
KR20170133790A (en) Apparatus and method for against suspicious traffic based context cognition
WO2015130641A1 (en) Context specific management in wireless sensor network
US10257269B2 (en) Selectively disabling operation of hardware components based on network changes

Legal Events

Date Code Title Description
AMND Amendment
E601 Decision to refuse application
X091 Application refused [patent]
AMND Amendment
X701 Decision to grant (after re-examination)
GRNT Written decision to grant