KR102345152B1 - 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 - Google Patents
발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 Download PDFInfo
- Publication number
- KR102345152B1 KR102345152B1 KR1020200168332A KR20200168332A KR102345152B1 KR 102345152 B1 KR102345152 B1 KR 102345152B1 KR 1020200168332 A KR1020200168332 A KR 1020200168332A KR 20200168332 A KR20200168332 A KR 20200168332A KR 102345152 B1 KR102345152 B1 KR 102345152B1
- Authority
- KR
- South Korea
- Prior art keywords
- power plant
- control network
- plant control
- module
- code
- Prior art date
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 14
- 238000011156 evaluation Methods 0.000 title abstract description 9
- 238000004458 analytical method Methods 0.000 claims abstract description 14
- 238000004891 communication Methods 0.000 claims abstract description 4
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 230000005856 abnormality Effects 0.000 abstract description 4
- 230000000694 effects Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000010801 machine learning Methods 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 206010000117 Abnormal behaviour Diseases 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000000034 method Methods 0.000 description 1
- 238000010223 real-time analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/06—Management of faults, events, alarms or notifications
- H04L41/0631—Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Business, Economics & Management (AREA)
- Tourism & Hospitality (AREA)
- General Health & Medical Sciences (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- General Physics & Mathematics (AREA)
- Human Resources & Organizations (AREA)
- Theoretical Computer Science (AREA)
- Economics (AREA)
- Health & Medical Sciences (AREA)
- Testing And Monitoring For Control Systems (AREA)
Abstract
발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템이 개시된다. 발전소 제어망 내에서 네트워크 통신을 하는 발전소 제어망 자산 간의 트래픽(traffic) 데이터를 실시간 수집하는 발전소 제어망 자산 트래픽 수집 모듈; 상기 발전소 제어망 자산 트래픽 수집 모듈에서 실시간 수집되는 트래픽 데이터를 실시간 분석하는 트래픽 분석 모듈을 구성한다. 상술한 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템에 의하면, 발전소 제어망 내의 트래픽 데이터를 네트워크 포트 미러링에 의해 수집 분석하도록 구성됨으로써, 에이전트없이도 발전소 제어망 내의 트래픽을 수집하여 분석할 수 있는 효과가 있다. 한편, 특정 기간 별로 발전소 제어망 자산의 UD 코드의 발생 빈도나 비율 등의 통계치를 미리 확보하고, 그 통계치와 실시간으로 파악되는 UD 코드의 발생 빈도나 비율을 실시간 비교하여 실시간 UD 코드의 신뢰도를 파악하도록 구성됨으로써, 실시간 UD 코드가 침입자의 접속인지 아닌지를 실시간으로 탐지할 수 있는 효과가 있다.
Description
본 발명은 발전소 제어망 자산의 이상 감지 시스템 에 관한 것으로서, 구체적으로는 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템에 관한 것이다.
발전소 제어망은 폐쇄망으로서 외부망과는 단절되어 운용되는 망으로서, 기간 산업 등의 극도의 보안이 유지되어야 하는 네트워크다.
이에, 외부로부터의 접속이나 바이러스 침입에 만전을 기해야 한다.
그러나, 일반 네트워크에서 이용되는 패킷 데이터의 수집 및 분석이 불가능하다. 즉, 에이전트가 없는(agentless) 상태로 망이 운용되어야 하기 때문에 외부 침입을 실시간으로 탐지해내는 것이 어려운 실정이다. 더군다나, 외부 작업자가 노트북 등으로 데이터베이스에 접속하는 경우 이를 막을 방안이 없다.
이에, 폐쇄망의 특성에 따른 패킷 데이터의 수집 및 분석의 수단이 요구되며, 외부 작업자의 접속에 의한 악성 코드 감염을 실시간으로 감지할 수단이 요구된다.
한편, 발전소 제어망의 자산은 무수히 많이 존재하는데, 시시각각 추가되거나 변경 또는 삭제되는 경우도 많이 있다. 그러나, 실시간으로 그러한 발전소 제어망 자산을 DB에 등록하거나 변경하는 관리가 제대로 이루어지고 있지는 않은 실정이다.
본 발명의 목적은 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템을 제공하는 데 있다.
상술한 본 발명의 목적에 따른 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템은, 발전소 제어망 내에서 네트워크 통신을 하는 발전소 제어망 자산 간의 트래픽(traffic) 데이터를 실시간 수집하는 발전소 제어망 자산 트래픽 수집 모듈; 상기 발전소 제어망 자산 트래픽 수집 모듈에서 실시간 수집되는 트래픽 데이터를 실시간 분석하는 트래픽 분석 모듈을 포함하도록 구성될 수 있다.
여기서, 상기 트래픽 분석 모듈의 분석 결과에 따라 알람을 생성하는 알람 생성 모듈을 더 포함하도록 구성될 수 있다.
그리고 상기 알람 생성 모듈에서 생성된 알람을 실시간 송신하는 알람 송신 모듈을 더 포함하도록 구성될 수 있다.
상술한 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템에 의하면, 발전소 제어망 내의 트래픽 데이터를 네트워크 포트 미러링에 의해 수집 분석하도록 구성됨으로써, 에이전트없이도 발전소 제어망 내의 트래픽을 수집하여 분석할 수 있는 효과가 있다.
한편, 특정 기간 별로 발전소 제어망 자산의 UD 코드의 발생 빈도나 비율 등의 통계치를 미리 확보하고, 그 통계치와 실시간으로 파악되는 UD 코드의 발생 빈도나 비율을 실시간 비교하여 실시간 UD 코드의 신뢰도를 파악하도록 구성됨으로써, 실시간 UD 코드가 침입자의 접속인지 아닌지를 실시간으로 탐지할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템의 블록 구성도이다.
도 2는 본 발명의 일 실시예에 따른 발전소 제어망의 자산 운용 현황을 나타내는 예시도이다.
도 2는 본 발명의 일 실시예에 따른 발전소 제어망의 자산 운용 현황을 나타내는 예시도이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시 예들을 도면에 예시하고 발명을 실시하기 위한 구체적인 내용에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템의 블록 구성도이고, 도 2는 본 발명의 일 실시예에 따른 발전소 제어망의 자산 운용 현황을 나타내는 예시도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템(100)은 발전소 제어망 자산 트래픽 수집 모듈(101), 트래픽 분석 모듈(102), UD 코드(unique definition code) 생성 모듈(103), UD 코드 분산 데이터베이스(104), 운영 범위 설정 모듈(105), 실시간 UD 코드 비교 모듈(106), 신뢰도 점수 부여 모듈(107), 알람 생성 모듈(108), 알람 송신 모듈(109), 발전소 제어망 자산 데이터베이스(110), 발전소 제어망 자산 데이터베이스 이력 추적 모듈(111), 발전소 제어망 자산 승인/비승인 모듈(112), 발전소 제어망 자산 추가 모듈(113)을 포함하도록 구성될 수 있다.
이하, 세부적인 구성에 대하여 설명한다.
발전소 제어망 자산 트래픽 수집 모듈(101)은 발전소 제어망 내에서 네트워크 통신을 하는 발전소 제어망 자산(10) 간의 트래픽(traffic) 데이터를 실시간 수집하도록 구성될 수 있다.
발전소 제어망 자산 트래픽 수집 모듈(101)은 에이전트(agent) 없이 네트워크 포트 미러링 방식으로 트래픽 데이터를 수집하도록 구성될 수 있다.
트래픽 분석 모듈(102)은 발전소 제어망 자산 트래픽 수집 모듈(101)에서 실시간 수집되는 트래픽 데이터를 실시간 분석하도록 구성될 수 있다.
트래픽 분석 모듈(102)은 트래픽 데이터를 파싱(parsing)하여 헤더와 페이로드로 분류하고 각종 정보를 파악할 수 있다.
UD 코드 생성 모듈(103)은 운영 범위 설정 모듈(105)에서 설정된 운영 범위 별로 머신 러닝(machine learning)을 수행하여 트래픽 분석 모듈(102)에서 실시간 분석되는 트래픽 데이터의 각 발전소 제어망 자산(10)에 대한 고유의 UD 코드를 실시간 생성하도록 구성될 수 있다. 즉, 특정 트래픽 데이터의 발전소 제어망 자산(10)을 별도의 수동 등록없이 헤더를 파악하여 UD 코드를 자동으로 부여하도록 구성될 수 있다.
UD 코드 분산 데이터베이스(104)는 UD 코드 생성 모듈(103)에서 실시간 생성된 UD코드가 각각 실시간 저장되는 다수의 분산 데이터베이스로 구성될 수 있다. 각 UD 코드 분산 데이터베이스(104)에는 실시간으로 동일한 데이터의 저장이 이루어진다.
운영 범위 설정 모듈(105)은 트래픽 분석 모듈(102)에서 실시간 분석되는 트래픽 데이터가 발생되는 시간 및 기간에 관한 운영 범위를 설정하도록 구성될 수 있다. 기간은 일, 주, 달, 분기, 연 등의 기간이 될 수 있다.
실시간 UD 코드 비교 모듈(106)은 트래픽 분석 모듈(102)에서 실시간 분석되는 트래픽 데이터의 UD 코드와 UD 코드 분산 데이터베이스(104)에 저장된 UD 코드를 운영 범위 설정 모듈(105)에서 설정된 운영 범위에 따라 실시간으로 비교하도록 구성될 수 있다. 운영 범위 즉, 시간 및 기간에 따라 UD 코드를 비교할 수 있다. 그 기간이 길수록 UD 코드의 비교에 대한 신뢰성은 높아질 수 있다.
신뢰도 점수 부여 모듈(107)은 실시간 UD 코드 비교 모듈(106)에서 비교 결과에 따라 실시간 분석되는 트래픽 데이터의 UD 코드에 대한 신뢰도 점수를 부여하도록 구성될 수 있다.
예를 들어, 평소의 특정 운영 기간에서는 특정 UD 코드의 발생 빈도나 발생 비율이 15%라고 할 때, 실시간으로 수신되는 트래픽 데이터의 UD 코드가 16% 또는 13% 정도이면 그 신뢰도 점수가 매우 높게 부여될 수 있으나 80%로 급격히 오르거나 3%로 떨어지는 경우에는 그 신뢰도 점수가 매우 낮게 부여될 수 있다. 또한, 평소에 없던 트래픽 데이터의 UD 코드가 50%로 급상승하는 경우에도 그 UD 코드의 신뢰도 점수는 매우 낮게 부여될 수 있다.
이와 같이, 신뢰도 점수는 해당 UD 코드의 발전소 제어망 자산(10)이 그 발전소의 자산인지 아닌지에 대한 신뢰도를 나타낸다. 물론, 별도의 등록 절차를 거치지 않은 새로 추가된 발전소 제어망 자산(10)인 경우에도 신뢰도 점수는 낮게 나올 수 있다.
알람 생성 모듈(108)은 신뢰도 점수 부여 모듈(107)에서 부여되는 신뢰도 점수가 소정 기준 이하인 경우 해당 UD 코드의 발전소 제어망 자산(10)에 대한 알람을 생성하도록 구성될 수 있다. 신뢰도 점수가 낮은 경우에는 새로 추가된 발전소 제어망 자산(10)이거나 침입자의 노트북과 같은 외부 구성이라고 예측될 수 있다.
알람 송신 모듈(109)은 알람 생성 모듈(108)에서 생성된 알람을 사용자 단말(10) 및 발전소 제어망 자산 데이터베이스 이력 추적 모듈(111)로 실시간 송신하도록 구성될 수 있다.
발전소 제어망 자산 데이터베이스(110)는 발전소 제어망 자산(10)의 추가, 변경, 삭제에 관한 이력이 미리 저장되도록 구성될 수 있다. 발전소 제어망 자산(10)은 앞서 언급한 바와 같이 그 이력이 모두 제대로 등록되지 않을 수도 있다.
도 2는 발전소 제어망 자산 데이터베이스(110)에 현재의 발전소 제어망 자산(10)에 관해 도식화하여 나타내고 있다.
발전소 제어망 자산 데이터베이스 이력 추적 모듈(111)은 알람 송신 모듈(109)로부터 알람을 실시간 수신하고, 실시간 수신된 알람의 발전소 제어망 자산(10)에 관한 추가, 변경, 삭제에 관한 이력을 발전소 제어망 자산 데이터베이스(104)를 참조하여 추적하도록 구성될 수 있다.
발전소 제어망 자산 승인/비승인 모듈(112)은 발전소 제어망 자산 데이터베이스 이력 추적 모듈(111)의 이력 추적 결과 발전소 제어망 자산(10)이 현재 발전소 제어망에 연결되어 있는 경우 발전소 제어망 자산(10)을 자동으로 승인하고 현재 발전소 제어망에 연결되어 있지 않은 경우 발전소 제어망 자산(10)을 자동으로 비승인하도록 구성될 수 있다.
그리고 발전소 제어망 자산 승인/비승인 모듈(112)은 알람을 수신한 사용자 단말(20)의 입력에 따라서도 발전소 제어망 자산(10)을 승인 또는 비승인하도록 구성될 수 있다. 발전소 제어망 자산 데이터베이스(110)에 제대로 등록되어 있지 않더라도 사용자가 도면 등을 통해 알고 있는 발전소 제어망 자산(10)에 대해서는 직접 수동으로 승인할 수 있다. 사용자가 도면 등을 통해 확인할 수 없는 구성에 대해서는 비승인할 수 있다.
발전소 제어망 자산 추가 모듈(113)은 발전소 제어망 자산 승인/비승인 모듈(112)에서 승인된 발전소 제어망 자산(10)을 발전소 제어망 자산 데이터베이스(104)에 실시간으로 자동 추가하도록 구성될 수 있다.
한편, 발전소 제어망 자산 추가 모듈(113)은 소정 기간 이상 예를 들어 1분기 또는 1반기 이상 오랫동안 발생되지 않는 UD 코드의 발전소 제어망 자산(10)을 발전소 제어망 자산 데이터베이스(110)에서 삭제하도록 구성될 수도 있다.
이와 같이, 별도의 자산 등록이 이루어지지 않더라도 머신 러닝에 의해 UD 코드를 생성하고 이를 발전소 제어망 자산 데이터베이스(110)에 자동 추가하여 발전소 제어망 자산 데이터베이스(110)가 자동으로 업데이트될 수 있다.
그리고 발전소 제어망 자산 승인/비승인 모듈(112)은 신뢰도 점수 부여 모듈(107)이 승인된 발전소 제어망 자산(10)에 대하여 신뢰할 수 있는 수준의 신뢰도 점수를 부여하도록 실시간 제어하도록 구성될 수 있다. 높은 신뢰도 점수를 부여하는 이유는 기존에는 없었던 발전소 제어망 자산(10)을 실시간으로 승인한 이후에는 실시간으로 신뢰도 점수를 높여 이상 행위로 탐지하지 않기 위해서다.
다시 말하면, 머신 러닝에 의해 UD 코드 부여와 그 이상 상황을 탐지하고 궁극적으로는 자산까지 등록하고 이를 이상 상황으로 탐지하지 않도록 하는 일련의 구성이 모두 자동적으로 이루어진다고 볼 수 있다.
이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
101: 발전소 제어망 자산 트래픽 수집 모듈
102: 트래픽 분석 모듈
103: UD 코드 생성 모듈
104: UD 코드 분산 데이터베이스
105: 운영 범위 설정 모듈
106: 실시간 UD 코드 비교 모듈
107: 신뢰도 점수 부여 모듈
108: 알람 생성 모듈
109: 알람 송신 모듈
110: 발전소 제어망 자산 데이터베이스
111: 발전소 제어망 자산 데이터베이스 이력 추적 모듈
112: 발전소 제어망 자산 승인/비승인 모듈
113: 발전소 제어망 자산 추가 모듈
102: 트래픽 분석 모듈
103: UD 코드 생성 모듈
104: UD 코드 분산 데이터베이스
105: 운영 범위 설정 모듈
106: 실시간 UD 코드 비교 모듈
107: 신뢰도 점수 부여 모듈
108: 알람 생성 모듈
109: 알람 송신 모듈
110: 발전소 제어망 자산 데이터베이스
111: 발전소 제어망 자산 데이터베이스 이력 추적 모듈
112: 발전소 제어망 자산 승인/비승인 모듈
113: 발전소 제어망 자산 추가 모듈
Claims (3)
- 발전소 제어망 내에서 네트워크 통신을 하는 발전소 제어망 자산 간의 트래픽 데이터를 실시간 수집하는 발전소 제어망 자산 트래픽 수집 모듈;
상기 발전소 제어망 자산 트래픽 수집 모듈에서 실시간 수집되는 트래픽 데이터를 파싱하여 헤더와 페이로드로 분류하고 실시간 분석하는 트래픽 분석 모듈;
상기 트래픽 분석 모듈에서 실시간 분석되는 트래픽 데이터가 발생되는 시간 및 기간에 관한 운영 범위를 설정하는 운영 범위 설정 모듈;
상기 운영 범위 설정 모듈에서 설정된 운영 범위 별로 상기 트래픽 분석 모듈에서 실시간 분석되는 트래픽 데이터의 헤더를 파악하여 상기 발전소 제어망 자산 각각에 대한 고유의 식별 코드인 UD 코드를 실시간 생성하는 UD 코드 생성 모듈;
상기 UD 코드 생성 모듈에서 실시간 생성된 UD 코드가 실시간 저장되는 다수의 UD 코드 분산 데이터베이스;
상기 실시간 분석되는 트래픽 데이터의 헤더를 파악하여 생성된 UD 코드와 상기 UD 코드 분산 데이터베이스에 기저장된 UD 코드를 상기 운영 범위 설정 모듈에서 설정된 운영 범위에 따라 실시간으로 비교하는 실시간 UD 코드 비교 모듈;
상기 실시간 UD 코드 비교 모듈에서의 비교 결과에 따라 상기 실시간 생성된 UD 코드에 대한 신뢰도 점수를 부여하되, 상기 설정된 운영 범위에서 발생하는 해당 UD 코드의 발생 비율 대비 상기 실시간으로 생성된 UD 코드의 발생 비율에 따라 상기 신뢰도 점수를 부여하는 신뢰도 점수 부여 모듈;
상기 신뢰도 점수 부여 모듈에서 부여되는 신뢰도 점수가 소정 기준 이하인 경우 해당 UD 코드의 발전소 제어망 자산에 대한 알람을 생성하는 알람 생성 모듈;
상기 알람 생성 모듈에서 생성된 알람을 실시간 송신하는 알람 송신 모듈;
상기 발전소 제어망 내 발전소 제어망 자산 각각의 추가, 변경, 삭제에 관한 이력이 미리 저장되어 있는 발전소 제어망 자산 데이터 베이스;
상기 알람 송신 모듈로부터 송신된 알람을 실시간 수신하고, 상기 수신한 알람에 대한 발전소 제어망 자산에 관한 추가, 변경, 삭제에 관한 이력을 상기 발전소 제어망 자산 데이터 베이스를 참조하여 추적하는 발전소 제어망 자산 데이터 베이스 이력 추적 모듈;
상기 발전소 제어망 자산 데이터 베이스 이력 추적 모듈의 이력 추적 결과 상기 수신한 알람에 대한 발전소 제어망 자산이 상기 발전소 제어망에 연결되어 있는 경우 상기 발전소 제어망의 자산으로 승인하고, 상기 신뢰도 점수 부여 모듈이 상기 승인한 발전소 제어망 자산에 대하여 상기 소정 기준을 초과하는 신뢰도 점수를 부여하도록 실시간 제어하는 발전소 제어망 자산 승인/비승인 모듈; 및
상기 발전소 제어망 자산 승인/비승인 모듈에서 승인된 발전소 제어망 자산을 상기 발전소 제어망 자산 데이터 베이스에 실시간으로 추가하는 발전소 제어망 자산 추가 모듈;을 포함하는 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템. - 삭제
- 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200168332A KR102345152B1 (ko) | 2020-12-04 | 2020-12-04 | 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020200168332A KR102345152B1 (ko) | 2020-12-04 | 2020-12-04 | 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102345152B1 true KR102345152B1 (ko) | 2022-01-04 |
Family
ID=79342311
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020200168332A KR102345152B1 (ko) | 2020-12-04 | 2020-12-04 | 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102345152B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094768A (zh) * | 2022-12-22 | 2023-05-09 | 华能信息技术有限公司 | 一种安全态势策略管理方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090031054A (ko) | 2007-09-21 | 2009-03-25 | 한국전력공사 | 전력용 스카다 고장예방을 위한 원격장애복구 시스템 및 그방법 |
| JP2013229025A (ja) * | 2012-04-24 | 2013-11-07 | General Electric Co <Ge> | 発電所資産を構成し管理するためのシステムおよび方法 |
| KR101449422B1 (ko) | 2014-03-06 | 2014-10-13 | 삼덕전기 주식회사 | 스카다시스템에서 플랜트 자동복구 및 보안 시스템 |
| JP2016104987A (ja) * | 2014-11-26 | 2016-06-09 | ゼネラル・エレクトリック・カンパニイ | 発電プラント発電ユニットの制御を強化するための方法およびシステム |
| KR101860395B1 (ko) * | 2017-06-23 | 2018-07-02 | 한국남동발전 주식회사 | 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치 |
| KR20190046018A (ko) * | 2017-10-25 | 2019-05-07 | 한국전자통신연구원 | 네트워크에 대한 이상행위 탐지 방법 및 이를 이용한 장치 |
| KR102001813B1 (ko) * | 2018-12-10 | 2019-07-18 | 한국남동발전 주식회사 | Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법 |
| KR102001812B1 (ko) * | 2018-12-10 | 2019-10-01 | 한국남동발전 주식회사 | K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법 |
| KR102332727B1 (ko) * | 2020-12-04 | 2021-12-01 | 한국서부발전 주식회사 | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 |
-
2020
- 2020-12-04 KR KR1020200168332A patent/KR102345152B1/ko active IP Right Grant
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20090031054A (ko) | 2007-09-21 | 2009-03-25 | 한국전력공사 | 전력용 스카다 고장예방을 위한 원격장애복구 시스템 및 그방법 |
| JP2013229025A (ja) * | 2012-04-24 | 2013-11-07 | General Electric Co <Ge> | 発電所資産を構成し管理するためのシステムおよび方法 |
| KR101449422B1 (ko) | 2014-03-06 | 2014-10-13 | 삼덕전기 주식회사 | 스카다시스템에서 플랜트 자동복구 및 보안 시스템 |
| JP2016104987A (ja) * | 2014-11-26 | 2016-06-09 | ゼネラル・エレクトリック・カンパニイ | 発電プラント発電ユニットの制御を強化するための方法およびシステム |
| KR101860395B1 (ko) * | 2017-06-23 | 2018-07-02 | 한국남동발전 주식회사 | 비표준 프로토콜에 대한 화이트리스트 기반의 산업제어시스템 이상행위 탐지 방법 및 탐지 장치 |
| KR20190046018A (ko) * | 2017-10-25 | 2019-05-07 | 한국전자통신연구원 | 네트워크에 대한 이상행위 탐지 방법 및 이를 이용한 장치 |
| KR102001813B1 (ko) * | 2018-12-10 | 2019-07-18 | 한국남동발전 주식회사 | Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법 |
| KR102001812B1 (ko) * | 2018-12-10 | 2019-10-01 | 한국남동발전 주식회사 | K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법 |
| KR102332727B1 (ko) * | 2020-12-04 | 2021-12-01 | 한국서부발전 주식회사 | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116094768A (zh) * | 2022-12-22 | 2023-05-09 | 华能信息技术有限公司 | 一种安全态势策略管理方法 |
| CN116094768B (zh) * | 2022-12-22 | 2023-09-01 | 华能信息技术有限公司 | 一种安全态势策略管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10187411B2 (en) | Method for intrusion detection in industrial automation and control system | |
| US20210034759A1 (en) | Systems and methods for attributing security vulnerabilities to a configuration of a client device | |
| US20130212681A1 (en) | Security Monitoring System and Security Monitoring Method | |
| US20120278890A1 (en) | Intrusion detection in communication networks | |
| CN110012005B (zh) | 识别异常数据的方法、装置、电子设备及存储介质 | |
| CN108170566A (zh) | 产品故障信息处理方法、系统、设备和协同工作平台 | |
| WO2005101720A2 (en) | Method and system for distinguishing network threats from false positives | |
| EP2023572A2 (en) | Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor | |
| KR102433831B1 (ko) | 보안관제 의사결정 지원 시스템 및 방법 | |
| CN113704328B (zh) | 基于人工智能的用户行为大数据挖掘方法及系统 | |
| CN113704772A (zh) | 基于用户行为大数据挖掘的安全防护处理方法及系统 | |
| KR102345152B1 (ko) | 발전소 제어망 자산의 신뢰도 평가를 이용한 이상 감지 시스템 | |
| Kim et al. | Intrusion detection and identification using tree-based machine learning algorithms on DCS network in the oil refinery | |
| KR102332727B1 (ko) | 발전소 제어망 자산의 트래픽의 분산 저장을 이용한 이상 감지 시스템 | |
| KR20190104759A (ko) | 지능형 장비 이상 증상 사전 탐지 시스템 및 방법 | |
| KR102594207B1 (ko) | 보안 규제 준수 자동화 장치 | |
| Yu et al. | Mining anomaly communication patterns for industrial control systems | |
| KR102267411B1 (ko) | 컴플라이언스를 이용한 데이터 보안 관리 시스템 | |
| Fovino et al. | Distributed intrusion detection system for SCADA protocols | |
| US11895139B2 (en) | Method for automatic retrieving and managing assets information in a network | |
| CN118487872B (zh) | 一种面向核电行业的网络异常行为检测分析方法 | |
| WO2020255512A1 (ja) | 監視システム、および、監視方法 | |
| DRĂGUȘIN et al. | Analysis Of Vulnerabilities In Communication Channels Using An Integrated Approach Based On Machine Learning And Statistical Methods | |
| CN118869351A (zh) | 一种基于信息溯源的数据传输系统及方法 | |
| Iskanius | Threat modelling of cyber-physical threats: methodology for assessing threats associated with cyber-physical boundaries in systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AMND | Amendment | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| X091 | Application refused [patent] | ||
| AMND | Amendment | ||
| X701 | Decision to grant (after re-examination) | ||
| GRNT | Written decision to grant |