KR102259357B1 - 산업제어 프로토콜 보안 장치 - Google Patents

산업제어 프로토콜 보안 장치 Download PDF

Info

Publication number
KR102259357B1
KR102259357B1 KR1020190175316A KR20190175316A KR102259357B1 KR 102259357 B1 KR102259357 B1 KR 102259357B1 KR 1020190175316 A KR1020190175316 A KR 1020190175316A KR 20190175316 A KR20190175316 A KR 20190175316A KR 102259357 B1 KR102259357 B1 KR 102259357B1
Authority
KR
South Korea
Prior art keywords
protocol
security
message
industrial control
control protocol
Prior art date
Application number
KR1020190175316A
Other languages
English (en)
Inventor
이성우
양영님
김윤성
Original Assignee
주식회사 나온웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 나온웍스 filed Critical 주식회사 나온웍스
Priority to KR1020190175316A priority Critical patent/KR102259357B1/ko
Application granted granted Critical
Publication of KR102259357B1 publication Critical patent/KR102259357B1/ko

Links

Images

Classifications

    • H04L67/20
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/53Network services using third party service providers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치에 관한 것이다.
본 발명은 메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고, 상기 메시지 처리 모듈은, 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고, 상기 프로토콜 보안 모듈은, 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함한다.

Description

산업제어 프로토콜 보안 장치{Industry control protocol security device}
본 발명은 산업제어 프로토콜 별로 보안모듈의 동적 연결이 가능한 산업제어 프로토콜 보안 장치에 관한 것이다. 보다 구체적으로, 본 발명은 다종의 산업제어 프로토콜이 혼용되어 사용되는 산업 네트워크 상에서 각각의 산업제어 프로토콜을 식별하고, 해당 트래픽을 분석하여 프로토콜에 대한 보안 기능을 수행하는 프로토콜 보안 모듈과 산업용 프로토콜과는 독립적으로 메시지를 처리하는 메시지 처리 모듈을 구분하여, 이 보안 모듈들의 조합으로 감시 네트워크에 최적화된 보안 서비스를 제공하는 장치에 관한 것이다.
산업제어 프로토콜에 대한 보안 기능을 수행하는 보안 솔루션은 생산 현장에서 사용되는 다양한 종류의 산업제어 프로토콜 환경에 따라 실제 운용되는 산업제어 프로토콜에 대한 보안 모듈만을 탑재하는 맞춤형(SI)으로 구성되거나, 프로토콜이 운용되는지 여부와 상관없이 다수의 프로토콜에 대한 보안 모듈이 탑재되는 구성으로 이루어진다. 또한 보안 감시를 수행할 프로토콜이 변경되거나 추가되는 경우 보안 서비스의 중단 후 변경, 추가된 프로토콜이 포함된 보안솔루션의 적용 후 보안 서비스를 재시작하여야 한다.
종래 기술의 산업제어 프로토콜 보안 기능을 수행하는 보안 모듈은 메시지를 수신하고 전달, 차단하는 메시지 처리 기능과 보안 정책을 수행하는 보안 기능이 하나의 모듈 또는 플랫폼으로 구성되어 있다.
이러한 보안 서비스 모듈은 운용을 위해 구축될 당시 산업 네트워크에서 사용되고 있던 프로토콜들만을 감시할 수 있도록 개발되었거나, 실제 산업 네트워크에서 사용되지 않는 프로토콜에 대한 보안 기능이 미리 탑재되어 있다.
생산 공정의 개선, 장비의 교체, 생산 라인의 증설 등으로 인해 산업 네트워크에 사용되는 프로토콜이 추가 또는 변경되는 경우 이를 반영하기 위해 보안모듈의 버전업, 보안 정책 변경 등을 위한 점검 시간이 요구되며 이때 일시적인 보안 서비스의 중단이 발생한다.
산업제어 현장에서 사용되는 다양한 산업제어 장치들은 장치의 유형 및 제조사에 따라 다양한 표준/비표준 프로토콜로 구성되어 있다.
생산 공정의 변경, 새로운 장비의 설치/확장, 기존 장비의 대체/철거 등 생산 운용 환경의 변화에 따라 산업제어 네트워크 상에서 사용되는 제어 프로토콜의 종류 또한 변경될 수 있다.
따라서 산업제어 프로토콜 보안 솔루션에서 제공하는 산업제어 프로토콜의 종류도 생산 공정의 변화와 공정 장치의 변화에 따라 변화되어야 한다.
그러나 기존 보안 솔루션에서 제공하는 산업제어 프로토콜 유형을 추가, 변경하기 위해서는 설정의 변경, 솔루션의 버전 업그레이드 등의 이유로 보안 서비스의 중단이 필연적이며 그 기간 동안 산업제어 네트워크의 보안 서비스는 중단될 수 밖에 없다.
향후 변경/추가될지도 모르는 산업제어 프로토콜까지 모두 포함하여 보안 솔루션을 설치/운용하는 경우 생산 공정의 변화 및 장치의 변화에 의한 보안 서비스의 중단은 최소화할 수 있을지 모르나, 불필요한 산업제어 프로토콜에 대한 보안 모듈 탑재로 시스템의 중앙처리장치(CPU), 메모리 등 보안 시스템의 자원 낭비를 초래할 수 있다는 문제점이 있다.
대한민국 공개특허공보 제10-2011-0093204호(공개일자: 2011년 08월 18일, 명칭: 보안 위협 방어 장치 및 방법, 그 기록 매체)
본 발명의 기술적 과제는 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치를 제공하는 것이다.
이러한 기술적 과제를 해결하기 위한 본 발명은 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서, 메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고, 상기 메시지 처리 모듈은, 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고, 상기 프로토콜 보안 모듈은, 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈을 구성하는 프로토콜 포렌식 탐색부는, 상기 프로토콜 보안 모듈을 구성하는 각각의 프로토콜 판별부에 등록된 판별 조건들을 탐색하여 상기 메시지 수신부가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 보안 정책 탐색부는, 상기 프로토콜 보안 모듈을 구성하는 각각의 보안 정책부에 등록된 보안 정책들을 탐색하여 상기 메시지 수신부가 수신한 메시지가 상기 프로토콜 포렌식 탐색부에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈은, 상기 메시지 수신부가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 하는 보안 캐시 처리부를 더 포함하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈과 상기 프로토콜 보안 모듈은 별도의 모듈로 구분되어 있고, 상기 메시지 처리 모듈에 의한 메시지 처리 과정에서 상기 프로토콜 보안 모듈을 구성하는 복수의 프로토콜 판별부 중의 하나 및 복수의 보안 정책부 중의 하나가 상기 메시지 처리 모듈에 동적으로 연결되는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈에 동적 연결된 프로토콜 보안 모듈의 동적 연결 해제시 해당 프로토콜 보안 모듈에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈을 추가하거나 삭제하거나 변경하도록 지원하는 것을 특징으로 한다.
본 발명에 따르면, 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치가 제공되는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 산업제어 프로토콜 보안 장치를 나타낸 도면이고,
도 2는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈과 연계한 메시지 처리 모듈의 예시적인 동작을 설명하기 위한 도면이고,
도 3은 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백(callback) 등록 과정을 예시적으로 설명하기 위한 도면이고,
도 4는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백 등록 해제 과정을 예시적으로 설명하기 위한 도면이다.
본 명세서에 개시된 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접 연결되어 있거나 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소간의 관계를 설명하는 다른 표현들, 즉 "~사이에" 와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의된 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서는, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 산업제어 프로토콜 보안 장치를 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시 예는 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서, 메시지 처리 모듈(100) 및 프로토콜 보안 모듈(200-1, 200-2)을 포함한다.
메시지 처리 모듈(100)은 메시지를 수신하고 프로토콜 유형을 확인하여 해당 프로토콜에 대한 보안 정책을 수행하는 기능을 수행한다.
이러한 메시지 처리 모듈(100)은 메시지 수신부(110), 보안 캐시 처리부(120), 프로토콜 포렌식 탐색부(130), 보안 정책 탐색부(140), 메시지 처리부(150)를 포함하여 구성될 수 있다.
메시지 수신부(110)는 네트워크 장치로부터 메시지를 수신하는 기능을 수행한다.
보안 캐시 처리부(120)는 네트워크 정보로부터 이전에 식별된 프로토콜 정보 여부를 확인하는 기능을 수행한다.
구체적으로, 보안 캐시 처리부(120)는 메시지 수신부(110)가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 한다.
프로토콜 포렌식 탐색부(130)는 메시지의 산업제어 프로토콜을 식별하는 기능을 수행한다.
보안 정책 탐색부(140)는 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 기능을 수행한다.
메시지 처리부(150)는 보안 정책에 대한 탐색 결과에 따라 메시지 수신부(110)가 수신한 메시지를 처리하는 기능을 수행한다. 예를 들어, 메시지 처리부(150)는 탐색된 보안 정책에 따라 최종 메시지, 즉, 패킷의 전달, 차단 등을 결정할 수 있다.
프로토콜 보안 모듈(200-1, 200-2)에는 해당 프로토콜임을 식별하기 위한 기준들과 식별된 프로토콜에 대하여 수행될 보안 정책들이 저장되어 있다
이러한 프로토콜 보안 모듈(200-1, 200-2)은 복수의 프로토콜 판별부(210-1, 210-2), 복수의 구문 분석부(220-1, 220-2), 복수의 보안 정책부(230-1, 230-2)를 포함하여 구성될 수 있다.
복수의 프로토콜 판별부(210-1, 210-2)에는 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록되어 있다.
복수의 구문 분석부(220-1, 220-2)에는 해당 프로토콜의 각 파라미터 및 값들을 분석하는 기능을 수행한다.
복수의 보안 정책부(230-1, 230-2)에는 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있다.
예를 들어, 프로토콜 보안 모듈(200-1, 200-2)은 모듈 구동시, 프로토콜 판별부(210-1, 210-2)와 보안 정책부(230-1, 230-2)를 메시지 처리 모듈(100)에서 호출할 수 있도록, 각각 메시지 처리 모듈(100)의 프로토콜 포렌식 탐색부(130), 보안 정책 탐색부(140)에 콜백(callback) 등록 절차를 수행할 수 있다.
예를 들어, 메시지 처리 모듈(100)은 수신한 패킷에 대하여 프로토콜 포렌식 탐색부(130)를 통해 각 프로토콜 보안 보듈의 프로토콜 판별부(210-1, 210-2) 등록 콜백 함수를 호출하여 프로토콜 유형을 확인할 수 있으며, 확인된 프로토콜 유형과 보안 정책부(230-1, 230-2)에 등록된 해당 프로토콜에 대한 보안 정책 수행 콜백 함수를 호출하여 정의된 보안 정책을 수행할 수 있다.
예를 들어, 이러한 메시지 처리 모듈(100)과 각 프로토콜 보안 모듈(200-1, 200-2)의 동적 연결을 통해 실제 사용되는 산업제어 프로토콜에 대한 보안 모듈만으로 최적화된 보안 서비스를 제공할 수 있으며 프로토콜의 변경, 추가, 삭제 시에도 동적 연결의 해제로 보안 서비스의 중단없이 감시 대상 프로토콜 관리가 가능하도록 할 수 있다.
예를 들어, 메시지 처리 모듈(100)을 구성하는 프로토콜 포렌식 탐색부(130)는, 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 각각의 프로토콜 판별부(210-1, 210-2)에 등록된 판별 조건들을 탐색하여 메시지 수신부(110)가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정할 수 있다.
예를 들어, 보안 정책 탐색부(140)는, 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 각각의 보안 정책부(230-1, 230-2)에 등록된 보안 정책들을 탐색하여 메시지 수신부(110)가 수신한 메시지가 프로토콜 포렌식 탐색부(130)에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별할 수 있다.
예를 들어, 메시지 처리 모듈(100)과 프로토콜 보안 모듈(200-1, 200-2)은 별도의 모듈로 구분되어 있고, 메시지 처리 모듈(100)에 의한 메시지 처리 과정에서 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 복수의 프로토콜 판별부(210-1, 210-2) 중의 하나 및 복수의 보안 정책부(230-1, 230-2) 중의 하나가 메시지 처리 모듈(100)에 동적으로 연결될 수 있다.
예를 들어, 메시지 처리 모듈(100)에 동적 연결된 프로토콜 보안 모듈(200-1, 200-2)의 동적 연결 해제시 해당 프로토콜 보안 모듈(200-1, 200-2)에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈(200-1, 200-2)을 추가하거나 삭제하거나 변경하도록 지원할 수 있다.
도 2는 본 발명의 일 실시 예에 있어서, 프로토콜 보안모듈과 연계한 메시지 처리 모듈(100)의 예시적인 동작을 설명하기 위한 도면이다.
도 2를 추가로 참조하면, 패킷 처리 모듈을 구성하는 메시지 수신부(110)가 네트워크 장치로부터 최초 산업제어 메시지를 수신한다. 수신한 메시지의 네트워크 헤더 정보로부터 패킷의 유형, 네트워크 주소, 네트워크 프로토콜이 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol)인 경우 포트(Port) 정보를 분석한다.
보안 캐시 처리부(120)가 메시지 수신부(110)에 의해 분석된 네트워크 헤더 정보와 동일한 네트워크 정보의 패킷을 처리한 이력이 있는지 보안 캐시 정보를 검색한다. 검색이 성공한 경우 캐시에 등록된 프로토콜 유형 및 해당 프로토콜의 보안 모듈에 정의된 보안 정책부(230-1, 230-2)를 호출하여 보안 기능을 수행한다.
보안 캐시에 등록되지 않은 경우 패킷 처리 모듈의 프로토콜 포렌식 탐색부(130)에서 등록된 각 산업제어 프로토콜 보안 모듈(200-1, 200-2)의 프로토콜 판별부(210-1, 210-2)를 탐색한다. 탐색이 성공한 경우 프로토콜 식별자와 등록된 보안 정책부(230-1, 230-2)를 호출하여 보안기능을 수행한다.
메시지 처리부(150)는 프로토콜 판별부(210-1, 210-2)를 통해 해당 프로토콜 유형을 식별하지 못한 경우 또는 보안 정책 수행 결과에 따라 설정된 메시지 처리 정책에 따라 수신한 메시지의 차단, 전달, 로그 생성 등을 수행한다.
프로토콜 보안모듈의 프로토콜 판별부(210-1, 210-2)에는 해당 프로토콜임을 확인하기 위한 판별 기준들이 정의되어 있으며 수신한 메시지에 대하여 각 판별 조건들을 만족하는 경우 해당 프로토콜에 해당됨을 리턴한다.
프로토콜 보안 모듈(200-1, 200-2)의 보안 정책부(230-1, 230-2)는 해당 프로토콜에 대하여 메시지 구문 분석 결과에 대하여 사용자가 정의한 보안 정책들의 만족 여부를 비교하고 그 결과를 리턴한다.
도 3은 본 발명의 일 실시 예에 있어서, 프로토콜 보안모듈에 의한 콜백(callback) 등록 및 해제 과정을 예시적으로 설명하기 위한 도면이고, 도 4는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈(200-1, 200-2)에 의한 콜백 등록 해제 과정을 예시적으로 설명하기 위한 도면이다.
도 3 및 도 4를 추가로 참조하면, 프로토콜 보안 모듈(200-1, 200-2)은 최초 구동시 보안 정책 및 콜백 정보에 대한 초기화를 수행한다.
프로토콜 보안 모듈(200-1, 200-2)은 메시지 처리 모듈(100)의 콜백 등록 API를 통해 프로토콜 식별자와 NULL 값을 이용하여 메시지 처리 모듈(100)에 해당 프로토콜 식별자에 대한 등록 정보를 초기화한다.
이때 프로토콜 식별자는 다른 프로토콜 보안 모듈(200-1, 200-2)과 구분되는 유일한 코드로 정의한다.
다음 프로토콜 보안모듈은 콜백 등록 API를 통해 프로토콜 식별자와 프로토콜 판별 함수 및 프로토콜 보안정책 수행 함수를 등록한다.
프로토콜 보안 모듈(200-1, 200-2) 등록 해제시에는, 콜백 등록 API를 통해 메시지 처리 모듈(100)에 프로토콜 식별자와 NULL 값으로 보안 모듈 등록 정보를 초기화하고, 등록된 보안 정책 및 이에 할당된 자원을 해제한 후 모듈을 종료하여 메모리에서 제거한다.
이상에서 상세히 설명한 바와 같이 본 발명에 따르면, 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치가 제공되는 효과가 있다.
100: 메시지 처리 모듈
110: 메시지 수신부
120: 보안 캐시 처리부
130: 프로토콜 포렌식 탐색부
140: 보안 정책 탐색부
150 : 메시지 처리부
200-1, 200-2: 프로토콜 보안 모듈
210-1, 210-2: 프로토콜 판별부
220-1, 220-2: 구문 분석부
230-1, 230-2: 보안 정책부

Claims (6)

  1. 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서,
    메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고,
    상기 메시지 처리 모듈은 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고,
    상기 프로토콜 보안 모듈은 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함하고,
    상기 메시지 처리 모듈과 상기 프로토콜 보안 모듈은 별도의 모듈로 구분되어 있고,
    상기 메시지 처리 모듈에 의한 메시지 처리 과정에서 상기 프로토콜 보안 모듈을 구성하는 복수의 프로토콜 판별부 중의 하나 및 복수의 보안 정책부 중의 하나가 상기 메시지 처리 모듈에 동적으로 연결되고,
    상기 메시지 처리 모듈에 동적 연결된 프로토콜 보안 모듈의 동적 연결 해제시 해당 프로토콜 보안 모듈에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈을 추가하거나 삭제하거나 변경하도록 지원하는, 산업제어 프로토콜 보안 장치.
  2. 제1항에 있어서,
    상기 메시지 처리 모듈을 구성하는 프로토콜 포렌식 탐색부는,
    상기 프로토콜 보안 모듈을 구성하는 각각의 프로토콜 판별부에 등록된 판별 조건들을 탐색하여 상기 메시지 수신부가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
  3. 제2항에 있어서,
    상기 보안 정책 탐색부는,
    상기 프로토콜 보안 모듈을 구성하는 각각의 보안 정책부에 등록된 보안 정책들을 탐색하여 상기 메시지 수신부가 수신한 메시지가 상기 프로토콜 포렌식 탐색부에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
  4. 제3항에 있어서,
    상기 메시지 처리 모듈은,
    상기 메시지 수신부가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 하는 보안 캐시 처리부를 더 포함하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
  5. 삭제
  6. 삭제
KR1020190175316A 2019-12-26 2019-12-26 산업제어 프로토콜 보안 장치 KR102259357B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190175316A KR102259357B1 (ko) 2019-12-26 2019-12-26 산업제어 프로토콜 보안 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190175316A KR102259357B1 (ko) 2019-12-26 2019-12-26 산업제어 프로토콜 보안 장치

Publications (1)

Publication Number Publication Date
KR102259357B1 true KR102259357B1 (ko) 2021-06-02

Family

ID=76372950

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190175316A KR102259357B1 (ko) 2019-12-26 2019-12-26 산업제어 프로토콜 보안 장치

Country Status (1)

Country Link
KR (1) KR102259357B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템
KR20070011711A (ko) * 2005-07-21 2007-01-25 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
KR20100055147A (ko) * 2008-11-17 2010-05-26 (주)소만사 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
KR20110093204A (ko) 2010-02-12 2011-08-18 장창영 보안 위협 방어 장치 및 방법, 그 기록 매체

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010090297A (ko) * 2000-03-24 2001-10-18 강상훈 보안 정책 시스템
KR20070011711A (ko) * 2005-07-21 2007-01-25 김대환 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템
KR20100055147A (ko) * 2008-11-17 2010-05-26 (주)소만사 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법
KR20110093204A (ko) 2010-02-12 2011-08-18 장창영 보안 위협 방어 장치 및 방법, 그 기록 매체

Similar Documents

Publication Publication Date Title
CN109639572B (zh) 路由管理方法、装置及微服务系统
US10972432B2 (en) Flexible network security system and method for permitting trusted process
US8812649B2 (en) Method and system for processing fault alarms and trouble tickets in a managed network services system
US8006243B2 (en) Method and apparatus for remote installation of network drivers and software
CN101040497B (zh) 防火墙系统和防火墙控制方法
US20120096171A1 (en) System and method for enterprise nodes that are contained within a public cloud to communicate with private enterprise infrastructure dependencies
US9060024B2 (en) Security event data normalization
US9876763B2 (en) Application state sharing in a firewall cluster
US20080163333A1 (en) Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
DK2544406T3 (en) Procedure and event notification correlation handling agent
US20060248407A1 (en) Method and system for providing customer controlled notifications in a managed network services system
EP3396917A1 (en) Method and apparatus for isolating environment
US9866577B2 (en) Method for detecting intrusions on a set of virtual resources
CN106850568B (zh) 多通道协议的会话老化方法及装置
JP2007174182A (ja) ネットワーク障害箇所検出装置及びネットワーク障害箇所検出方法
CN109842686B (zh) 一种实现跨区域集群调度的负载均衡系统
JP2002252654A (ja) 侵入検出装置およびシステムならびにルータ
KR102259357B1 (ko) 산업제어 프로토콜 보안 장치
KR19990061925A (ko) 복수개의 네트웍 상태 관리방법
EP1175646A1 (en) A method and apparatus for remote installation of network drivers and software
US20080172742A1 (en) Information processing system
US20070147260A1 (en) Method for loading a list of alarms by means of an alarm application
CN111865868B (zh) 跨网络区域服务调用方法及系统
US7181486B1 (en) Method and apparatus for remote installation of network drivers and software
US8015609B2 (en) Worm infection detecting device

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant