KR102259357B1 - 산업제어 프로토콜 보안 장치 - Google Patents
산업제어 프로토콜 보안 장치 Download PDFInfo
- Publication number
- KR102259357B1 KR102259357B1 KR1020190175316A KR20190175316A KR102259357B1 KR 102259357 B1 KR102259357 B1 KR 102259357B1 KR 1020190175316 A KR1020190175316 A KR 1020190175316A KR 20190175316 A KR20190175316 A KR 20190175316A KR 102259357 B1 KR102259357 B1 KR 102259357B1
- Authority
- KR
- South Korea
- Prior art keywords
- protocol
- security
- message
- industrial control
- control protocol
- Prior art date
Links
Images
Classifications
-
- H04L67/20—
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/53—Network services using third party service providers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치에 관한 것이다.
본 발명은 메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고, 상기 메시지 처리 모듈은, 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고, 상기 프로토콜 보안 모듈은, 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함한다.
본 발명은 메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고, 상기 메시지 처리 모듈은, 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고, 상기 프로토콜 보안 모듈은, 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함한다.
Description
본 발명은 산업제어 프로토콜 별로 보안모듈의 동적 연결이 가능한 산업제어 프로토콜 보안 장치에 관한 것이다. 보다 구체적으로, 본 발명은 다종의 산업제어 프로토콜이 혼용되어 사용되는 산업 네트워크 상에서 각각의 산업제어 프로토콜을 식별하고, 해당 트래픽을 분석하여 프로토콜에 대한 보안 기능을 수행하는 프로토콜 보안 모듈과 산업용 프로토콜과는 독립적으로 메시지를 처리하는 메시지 처리 모듈을 구분하여, 이 보안 모듈들의 조합으로 감시 네트워크에 최적화된 보안 서비스를 제공하는 장치에 관한 것이다.
산업제어 프로토콜에 대한 보안 기능을 수행하는 보안 솔루션은 생산 현장에서 사용되는 다양한 종류의 산업제어 프로토콜 환경에 따라 실제 운용되는 산업제어 프로토콜에 대한 보안 모듈만을 탑재하는 맞춤형(SI)으로 구성되거나, 프로토콜이 운용되는지 여부와 상관없이 다수의 프로토콜에 대한 보안 모듈이 탑재되는 구성으로 이루어진다. 또한 보안 감시를 수행할 프로토콜이 변경되거나 추가되는 경우 보안 서비스의 중단 후 변경, 추가된 프로토콜이 포함된 보안솔루션의 적용 후 보안 서비스를 재시작하여야 한다.
종래 기술의 산업제어 프로토콜 보안 기능을 수행하는 보안 모듈은 메시지를 수신하고 전달, 차단하는 메시지 처리 기능과 보안 정책을 수행하는 보안 기능이 하나의 모듈 또는 플랫폼으로 구성되어 있다.
이러한 보안 서비스 모듈은 운용을 위해 구축될 당시 산업 네트워크에서 사용되고 있던 프로토콜들만을 감시할 수 있도록 개발되었거나, 실제 산업 네트워크에서 사용되지 않는 프로토콜에 대한 보안 기능이 미리 탑재되어 있다.
생산 공정의 개선, 장비의 교체, 생산 라인의 증설 등으로 인해 산업 네트워크에 사용되는 프로토콜이 추가 또는 변경되는 경우 이를 반영하기 위해 보안모듈의 버전업, 보안 정책 변경 등을 위한 점검 시간이 요구되며 이때 일시적인 보안 서비스의 중단이 발생한다.
산업제어 현장에서 사용되는 다양한 산업제어 장치들은 장치의 유형 및 제조사에 따라 다양한 표준/비표준 프로토콜로 구성되어 있다.
생산 공정의 변경, 새로운 장비의 설치/확장, 기존 장비의 대체/철거 등 생산 운용 환경의 변화에 따라 산업제어 네트워크 상에서 사용되는 제어 프로토콜의 종류 또한 변경될 수 있다.
따라서 산업제어 프로토콜 보안 솔루션에서 제공하는 산업제어 프로토콜의 종류도 생산 공정의 변화와 공정 장치의 변화에 따라 변화되어야 한다.
그러나 기존 보안 솔루션에서 제공하는 산업제어 프로토콜 유형을 추가, 변경하기 위해서는 설정의 변경, 솔루션의 버전 업그레이드 등의 이유로 보안 서비스의 중단이 필연적이며 그 기간 동안 산업제어 네트워크의 보안 서비스는 중단될 수 밖에 없다.
향후 변경/추가될지도 모르는 산업제어 프로토콜까지 모두 포함하여 보안 솔루션을 설치/운용하는 경우 생산 공정의 변화 및 장치의 변화에 의한 보안 서비스의 중단은 최소화할 수 있을지 모르나, 불필요한 산업제어 프로토콜에 대한 보안 모듈 탑재로 시스템의 중앙처리장치(CPU), 메모리 등 보안 시스템의 자원 낭비를 초래할 수 있다는 문제점이 있다.
본 발명의 기술적 과제는 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치를 제공하는 것이다.
이러한 기술적 과제를 해결하기 위한 본 발명은 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서, 메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고, 상기 메시지 처리 모듈은, 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고, 상기 프로토콜 보안 모듈은, 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈을 구성하는 프로토콜 포렌식 탐색부는, 상기 프로토콜 보안 모듈을 구성하는 각각의 프로토콜 판별부에 등록된 판별 조건들을 탐색하여 상기 메시지 수신부가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 보안 정책 탐색부는, 상기 프로토콜 보안 모듈을 구성하는 각각의 보안 정책부에 등록된 보안 정책들을 탐색하여 상기 메시지 수신부가 수신한 메시지가 상기 프로토콜 포렌식 탐색부에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈은, 상기 메시지 수신부가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 하는 보안 캐시 처리부를 더 포함하는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈과 상기 프로토콜 보안 모듈은 별도의 모듈로 구분되어 있고, 상기 메시지 처리 모듈에 의한 메시지 처리 과정에서 상기 프로토콜 보안 모듈을 구성하는 복수의 프로토콜 판별부 중의 하나 및 복수의 보안 정책부 중의 하나가 상기 메시지 처리 모듈에 동적으로 연결되는 것을 특징으로 한다.
본 발명에 따른 산업제어 프로토콜 보안 장치에 있어서, 상기 메시지 처리 모듈에 동적 연결된 프로토콜 보안 모듈의 동적 연결 해제시 해당 프로토콜 보안 모듈에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈을 추가하거나 삭제하거나 변경하도록 지원하는 것을 특징으로 한다.
본 발명에 따르면, 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치가 제공되는 효과가 있다.
도 1은 본 발명의 일 실시 예에 따른 산업제어 프로토콜 보안 장치를 나타낸 도면이고,
도 2는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈과 연계한 메시지 처리 모듈의 예시적인 동작을 설명하기 위한 도면이고,
도 3은 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백(callback) 등록 과정을 예시적으로 설명하기 위한 도면이고,
도 4는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백 등록 해제 과정을 예시적으로 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈과 연계한 메시지 처리 모듈의 예시적인 동작을 설명하기 위한 도면이고,
도 3은 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백(callback) 등록 과정을 예시적으로 설명하기 위한 도면이고,
도 4는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈에 의한 콜백 등록 해제 과정을 예시적으로 설명하기 위한 도면이다.
본 명세서에 개시된 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에서 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 벗어나지 않은 채, 제1 구성 요소는 제2 구성 요소로 명명될 수 있고 유사하게 제2 구성 요소는 제1 구성 요소로도 명명될 수 있다.
어떤 구성 요소가 다른 구성 요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성 요소에 직접 연결되어 있거나 접속되어 있을 수도 있지만, 중간에 다른 구성 요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성 요소가 다른 구성 요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는 중간에 다른 구성 요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성 요소간의 관계를 설명하는 다른 표현들, 즉 "~사이에" 와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로서, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 본 명세서에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성 요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어는 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 나타낸다. 일반적으로 사용되는 사전에 정의된 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하에서는, 첨부된 도면을 참조하여 본 발명의 바람직한 실시 예를 상세히 설명한다.
도 1은 본 발명의 일 실시 예에 따른 산업제어 프로토콜 보안 장치를 나타낸 도면이다.
도 1을 참조하면, 본 발명의 일 실시 예는 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서, 메시지 처리 모듈(100) 및 프로토콜 보안 모듈(200-1, 200-2)을 포함한다.
메시지 처리 모듈(100)은 메시지를 수신하고 프로토콜 유형을 확인하여 해당 프로토콜에 대한 보안 정책을 수행하는 기능을 수행한다.
이러한 메시지 처리 모듈(100)은 메시지 수신부(110), 보안 캐시 처리부(120), 프로토콜 포렌식 탐색부(130), 보안 정책 탐색부(140), 메시지 처리부(150)를 포함하여 구성될 수 있다.
메시지 수신부(110)는 네트워크 장치로부터 메시지를 수신하는 기능을 수행한다.
보안 캐시 처리부(120)는 네트워크 정보로부터 이전에 식별된 프로토콜 정보 여부를 확인하는 기능을 수행한다.
구체적으로, 보안 캐시 처리부(120)는 메시지 수신부(110)가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 한다.
프로토콜 포렌식 탐색부(130)는 메시지의 산업제어 프로토콜을 식별하는 기능을 수행한다.
보안 정책 탐색부(140)는 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 기능을 수행한다.
메시지 처리부(150)는 보안 정책에 대한 탐색 결과에 따라 메시지 수신부(110)가 수신한 메시지를 처리하는 기능을 수행한다. 예를 들어, 메시지 처리부(150)는 탐색된 보안 정책에 따라 최종 메시지, 즉, 패킷의 전달, 차단 등을 결정할 수 있다.
프로토콜 보안 모듈(200-1, 200-2)에는 해당 프로토콜임을 식별하기 위한 기준들과 식별된 프로토콜에 대하여 수행될 보안 정책들이 저장되어 있다
이러한 프로토콜 보안 모듈(200-1, 200-2)은 복수의 프로토콜 판별부(210-1, 210-2), 복수의 구문 분석부(220-1, 220-2), 복수의 보안 정책부(230-1, 230-2)를 포함하여 구성될 수 있다.
복수의 프로토콜 판별부(210-1, 210-2)에는 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록되어 있다.
복수의 구문 분석부(220-1, 220-2)에는 해당 프로토콜의 각 파라미터 및 값들을 분석하는 기능을 수행한다.
복수의 보안 정책부(230-1, 230-2)에는 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있다.
예를 들어, 프로토콜 보안 모듈(200-1, 200-2)은 모듈 구동시, 프로토콜 판별부(210-1, 210-2)와 보안 정책부(230-1, 230-2)를 메시지 처리 모듈(100)에서 호출할 수 있도록, 각각 메시지 처리 모듈(100)의 프로토콜 포렌식 탐색부(130), 보안 정책 탐색부(140)에 콜백(callback) 등록 절차를 수행할 수 있다.
예를 들어, 메시지 처리 모듈(100)은 수신한 패킷에 대하여 프로토콜 포렌식 탐색부(130)를 통해 각 프로토콜 보안 보듈의 프로토콜 판별부(210-1, 210-2) 등록 콜백 함수를 호출하여 프로토콜 유형을 확인할 수 있으며, 확인된 프로토콜 유형과 보안 정책부(230-1, 230-2)에 등록된 해당 프로토콜에 대한 보안 정책 수행 콜백 함수를 호출하여 정의된 보안 정책을 수행할 수 있다.
예를 들어, 이러한 메시지 처리 모듈(100)과 각 프로토콜 보안 모듈(200-1, 200-2)의 동적 연결을 통해 실제 사용되는 산업제어 프로토콜에 대한 보안 모듈만으로 최적화된 보안 서비스를 제공할 수 있으며 프로토콜의 변경, 추가, 삭제 시에도 동적 연결의 해제로 보안 서비스의 중단없이 감시 대상 프로토콜 관리가 가능하도록 할 수 있다.
예를 들어, 메시지 처리 모듈(100)을 구성하는 프로토콜 포렌식 탐색부(130)는, 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 각각의 프로토콜 판별부(210-1, 210-2)에 등록된 판별 조건들을 탐색하여 메시지 수신부(110)가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정할 수 있다.
예를 들어, 보안 정책 탐색부(140)는, 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 각각의 보안 정책부(230-1, 230-2)에 등록된 보안 정책들을 탐색하여 메시지 수신부(110)가 수신한 메시지가 프로토콜 포렌식 탐색부(130)에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별할 수 있다.
예를 들어, 메시지 처리 모듈(100)과 프로토콜 보안 모듈(200-1, 200-2)은 별도의 모듈로 구분되어 있고, 메시지 처리 모듈(100)에 의한 메시지 처리 과정에서 프로토콜 보안 모듈(200-1, 200-2)을 구성하는 복수의 프로토콜 판별부(210-1, 210-2) 중의 하나 및 복수의 보안 정책부(230-1, 230-2) 중의 하나가 메시지 처리 모듈(100)에 동적으로 연결될 수 있다.
예를 들어, 메시지 처리 모듈(100)에 동적 연결된 프로토콜 보안 모듈(200-1, 200-2)의 동적 연결 해제시 해당 프로토콜 보안 모듈(200-1, 200-2)에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈(200-1, 200-2)을 추가하거나 삭제하거나 변경하도록 지원할 수 있다.
도 2는 본 발명의 일 실시 예에 있어서, 프로토콜 보안모듈과 연계한 메시지 처리 모듈(100)의 예시적인 동작을 설명하기 위한 도면이다.
도 2를 추가로 참조하면, 패킷 처리 모듈을 구성하는 메시지 수신부(110)가 네트워크 장치로부터 최초 산업제어 메시지를 수신한다. 수신한 메시지의 네트워크 헤더 정보로부터 패킷의 유형, 네트워크 주소, 네트워크 프로토콜이 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol)인 경우 포트(Port) 정보를 분석한다.
보안 캐시 처리부(120)가 메시지 수신부(110)에 의해 분석된 네트워크 헤더 정보와 동일한 네트워크 정보의 패킷을 처리한 이력이 있는지 보안 캐시 정보를 검색한다. 검색이 성공한 경우 캐시에 등록된 프로토콜 유형 및 해당 프로토콜의 보안 모듈에 정의된 보안 정책부(230-1, 230-2)를 호출하여 보안 기능을 수행한다.
보안 캐시에 등록되지 않은 경우 패킷 처리 모듈의 프로토콜 포렌식 탐색부(130)에서 등록된 각 산업제어 프로토콜 보안 모듈(200-1, 200-2)의 프로토콜 판별부(210-1, 210-2)를 탐색한다. 탐색이 성공한 경우 프로토콜 식별자와 등록된 보안 정책부(230-1, 230-2)를 호출하여 보안기능을 수행한다.
메시지 처리부(150)는 프로토콜 판별부(210-1, 210-2)를 통해 해당 프로토콜 유형을 식별하지 못한 경우 또는 보안 정책 수행 결과에 따라 설정된 메시지 처리 정책에 따라 수신한 메시지의 차단, 전달, 로그 생성 등을 수행한다.
프로토콜 보안모듈의 프로토콜 판별부(210-1, 210-2)에는 해당 프로토콜임을 확인하기 위한 판별 기준들이 정의되어 있으며 수신한 메시지에 대하여 각 판별 조건들을 만족하는 경우 해당 프로토콜에 해당됨을 리턴한다.
프로토콜 보안 모듈(200-1, 200-2)의 보안 정책부(230-1, 230-2)는 해당 프로토콜에 대하여 메시지 구문 분석 결과에 대하여 사용자가 정의한 보안 정책들의 만족 여부를 비교하고 그 결과를 리턴한다.
도 3은 본 발명의 일 실시 예에 있어서, 프로토콜 보안모듈에 의한 콜백(callback) 등록 및 해제 과정을 예시적으로 설명하기 위한 도면이고, 도 4는 본 발명의 일 실시 예에 있어서, 프로토콜 보안 모듈(200-1, 200-2)에 의한 콜백 등록 해제 과정을 예시적으로 설명하기 위한 도면이다.
도 3 및 도 4를 추가로 참조하면, 프로토콜 보안 모듈(200-1, 200-2)은 최초 구동시 보안 정책 및 콜백 정보에 대한 초기화를 수행한다.
프로토콜 보안 모듈(200-1, 200-2)은 메시지 처리 모듈(100)의 콜백 등록 API를 통해 프로토콜 식별자와 NULL 값을 이용하여 메시지 처리 모듈(100)에 해당 프로토콜 식별자에 대한 등록 정보를 초기화한다.
이때 프로토콜 식별자는 다른 프로토콜 보안 모듈(200-1, 200-2)과 구분되는 유일한 코드로 정의한다.
다음 프로토콜 보안모듈은 콜백 등록 API를 통해 프로토콜 식별자와 프로토콜 판별 함수 및 프로토콜 보안정책 수행 함수를 등록한다.
프로토콜 보안 모듈(200-1, 200-2) 등록 해제시에는, 콜백 등록 API를 통해 메시지 처리 모듈(100)에 프로토콜 식별자와 NULL 값으로 보안 모듈 등록 정보를 초기화하고, 등록된 보안 정책 및 이에 할당된 자원을 해제한 후 모듈을 종료하여 메모리에서 제거한다.
이상에서 상세히 설명한 바와 같이 본 발명에 따르면, 다수의 산업제어 프로토콜이 혼재되어 사용되는 네트워크 상에서 현재 사용되는 산업제어 프로토콜을 특정하고 특정된 해당 프로토콜에 대한 보안 정책을 수행하기 위한 프로토콜 보안 모듈과 실제 메시지를 수신하여 처리하기 위한 일련의 과정을 수행하는 메시지 처리 모듈을 구분함으로써, 산업제어 보안 솔루션이 운용되는 산업제어 네트워크에 최적화된 보안 모듈들을 동적 연결을 통해 최적화하고, 요구되는 시스템의 자원을 최소화함으로써 변화하는 네트워크 환경에 유연하게 대응할 수 있도록 할 수 있을 뿐 아니라 보안 감시 서비스의 중단을 최소함으로써 안전한 제어 운용 환경을 유지할 수 있도록 하는 산업제어 프로토콜 보안 장치가 제공되는 효과가 있다.
100: 메시지 처리 모듈
110: 메시지 수신부
120: 보안 캐시 처리부
130: 프로토콜 포렌식 탐색부
140: 보안 정책 탐색부
150 : 메시지 처리부
200-1, 200-2: 프로토콜 보안 모듈
210-1, 210-2: 프로토콜 판별부
220-1, 220-2: 구문 분석부
230-1, 230-2: 보안 정책부
110: 메시지 수신부
120: 보안 캐시 처리부
130: 프로토콜 포렌식 탐색부
140: 보안 정책 탐색부
150 : 메시지 처리부
200-1, 200-2: 프로토콜 보안 모듈
210-1, 210-2: 프로토콜 판별부
220-1, 220-2: 구문 분석부
230-1, 230-2: 보안 정책부
Claims (6)
- 다양한 산업제어 프로토콜 메시지 트래픽이 혼재되어 있는 네트워크 상에서 수신한 메시지에 대하여 특정 산업제어 프로토콜을 식별하고 식별된 프로토콜에 대한 보안 기능을 수행하는 산업제어 프로토콜 보안 장치로서,
메시지 처리 모듈 및 프로토콜 보안 모듈을 포함하고,
상기 메시지 처리 모듈은 네트워크 장치로부터 메시지를 수신하는 메시지 수신부, 상기 메시지의 산업제어 프로토콜을 식별하는 프로토콜 포렌식 탐색부, 식별된 산업제어 프로토콜에 해당하는 보안 정책을 탐색하는 보안 정책 탐색부, 상기 보안 정책에 대한 탐색 결과에 따라 상기 메시지 수신부가 수신한 메시지를 처리하는 메시지 처리부를 포함하고,
상기 프로토콜 보안 모듈은 각각의 산업제어 프로토콜 별로 해당 프로토콜임을 특정할 수 있는 판별 조건들이 등록된 복수의 프로토콜 판별부, 특정된 각각의 산업제어 프로토콜에 대한 보안 정책들이 등록되어 있는 복수의 보안 정책부를 포함하고,
상기 메시지 처리 모듈과 상기 프로토콜 보안 모듈은 별도의 모듈로 구분되어 있고,
상기 메시지 처리 모듈에 의한 메시지 처리 과정에서 상기 프로토콜 보안 모듈을 구성하는 복수의 프로토콜 판별부 중의 하나 및 복수의 보안 정책부 중의 하나가 상기 메시지 처리 모듈에 동적으로 연결되고,
상기 메시지 처리 모듈에 동적 연결된 프로토콜 보안 모듈의 동적 연결 해제시 해당 프로토콜 보안 모듈에 할당됐던 시스템 자원을 모두 해제함으로써 보안 서비스의 중단없이 프로토콜 보안 모듈을 추가하거나 삭제하거나 변경하도록 지원하는, 산업제어 프로토콜 보안 장치.
- 제1항에 있어서,
상기 메시지 처리 모듈을 구성하는 프로토콜 포렌식 탐색부는,
상기 프로토콜 보안 모듈을 구성하는 각각의 프로토콜 판별부에 등록된 판별 조건들을 탐색하여 상기 메시지 수신부가 수신한 메시지에 해당하는 산업제어 프로토콜을 특정하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
- 제2항에 있어서,
상기 보안 정책 탐색부는,
상기 프로토콜 보안 모듈을 구성하는 각각의 보안 정책부에 등록된 보안 정책들을 탐색하여 상기 메시지 수신부가 수신한 메시지가 상기 프로토콜 포렌식 탐색부에 의해 특정된 산업제어 프로토콜에 해당하는 보안 정책에 위배되는지 여부를 판별하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
- 제3항에 있어서,
상기 메시지 처리 모듈은,
상기 메시지 수신부가 수신한 메시지의 네트워크 주소 및 헤더 정보를 이용하여 트래픽 세션(traffic session)을 식별하고, 해당 트래픽 세션에 대하여 이전 메시지 수신시 수행했던 산업제어 프로토콜 판별 결과 및 보안 정책을 임시로 저장하여 이후 동일한 트래픽 세션에 대하여 동일한 산업제어 프로토콜 판별 결과 및 보안 정책을 적용할 수 있도록 하는 보안 캐시 처리부를 더 포함하는 것을 특징으로 하는, 산업제어 프로토콜 보안 장치.
- 삭제
- 삭제
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190175316A KR102259357B1 (ko) | 2019-12-26 | 2019-12-26 | 산업제어 프로토콜 보안 장치 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020190175316A KR102259357B1 (ko) | 2019-12-26 | 2019-12-26 | 산업제어 프로토콜 보안 장치 |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102259357B1 true KR102259357B1 (ko) | 2021-06-02 |
Family
ID=76372950
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020190175316A KR102259357B1 (ko) | 2019-12-26 | 2019-12-26 | 산업제어 프로토콜 보안 장치 |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102259357B1 (ko) |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010090297A (ko) * | 2000-03-24 | 2001-10-18 | 강상훈 | 보안 정책 시스템 |
KR20070011711A (ko) * | 2005-07-21 | 2007-01-25 | 김대환 | 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 |
KR20100055147A (ko) * | 2008-11-17 | 2010-05-26 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
KR20110093204A (ko) | 2010-02-12 | 2011-08-18 | 장창영 | 보안 위협 방어 장치 및 방법, 그 기록 매체 |
-
2019
- 2019-12-26 KR KR1020190175316A patent/KR102259357B1/ko active IP Right Grant
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010090297A (ko) * | 2000-03-24 | 2001-10-18 | 강상훈 | 보안 정책 시스템 |
KR20070011711A (ko) * | 2005-07-21 | 2007-01-25 | 김대환 | 패킷 내용 기반 인터넷 트래픽 제어 방법 및 시스템 |
KR20100055147A (ko) * | 2008-11-17 | 2010-05-26 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
KR20110093204A (ko) | 2010-02-12 | 2011-08-18 | 장창영 | 보안 위협 방어 장치 및 방법, 그 기록 매체 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109639572B (zh) | 路由管理方法、装置及微服务系统 | |
US10972432B2 (en) | Flexible network security system and method for permitting trusted process | |
US8812649B2 (en) | Method and system for processing fault alarms and trouble tickets in a managed network services system | |
US8006243B2 (en) | Method and apparatus for remote installation of network drivers and software | |
CN101040497B (zh) | 防火墙系统和防火墙控制方法 | |
US20120096171A1 (en) | System and method for enterprise nodes that are contained within a public cloud to communicate with private enterprise infrastructure dependencies | |
US9060024B2 (en) | Security event data normalization | |
US9876763B2 (en) | Application state sharing in a firewall cluster | |
US20080163333A1 (en) | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch | |
DK2544406T3 (en) | Procedure and event notification correlation handling agent | |
US20060248407A1 (en) | Method and system for providing customer controlled notifications in a managed network services system | |
EP3396917A1 (en) | Method and apparatus for isolating environment | |
US9866577B2 (en) | Method for detecting intrusions on a set of virtual resources | |
CN106850568B (zh) | 多通道协议的会话老化方法及装置 | |
JP2007174182A (ja) | ネットワーク障害箇所検出装置及びネットワーク障害箇所検出方法 | |
CN109842686B (zh) | 一种实现跨区域集群调度的负载均衡系统 | |
JP2002252654A (ja) | 侵入検出装置およびシステムならびにルータ | |
KR102259357B1 (ko) | 산업제어 프로토콜 보안 장치 | |
KR19990061925A (ko) | 복수개의 네트웍 상태 관리방법 | |
EP1175646A1 (en) | A method and apparatus for remote installation of network drivers and software | |
US20080172742A1 (en) | Information processing system | |
US20070147260A1 (en) | Method for loading a list of alarms by means of an alarm application | |
CN111865868B (zh) | 跨网络区域服务调用方法及系统 | |
US7181486B1 (en) | Method and apparatus for remote installation of network drivers and software | |
US8015609B2 (en) | Worm infection detecting device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |