KR102417752B1 - 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법 - Google Patents

산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법 Download PDF

Info

Publication number
KR102417752B1
KR102417752B1 KR1020210153212A KR20210153212A KR102417752B1 KR 102417752 B1 KR102417752 B1 KR 102417752B1 KR 1020210153212 A KR1020210153212 A KR 1020210153212A KR 20210153212 A KR20210153212 A KR 20210153212A KR 102417752 B1 KR102417752 B1 KR 102417752B1
Authority
KR
South Korea
Prior art keywords
data
unit
threat
threat detection
generated
Prior art date
Application number
KR1020210153212A
Other languages
English (en)
Inventor
조은희
심미선
권한해
Original Assignee
(주)유니스소프트
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)유니스소프트 filed Critical (주)유니스소프트
Priority to KR1020210153212A priority Critical patent/KR102417752B1/ko
Application granted granted Critical
Publication of KR102417752B1 publication Critical patent/KR102417752B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B23/00Testing or monitoring of control systems or parts thereof
    • G05B23/02Electric testing or monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

본 발명은 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법에 관한 것으로서, SVM을 이용하여 OT 시스템에서 발생할 수 있는 다양한 위협을 탐지함으로써, OT 시스템을 통해 운영되고 있는 시스템에서 위협 상황을 신속하게 대비/대처할 수 있는 기술에 관한 것이다.

Description

산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법 {System and method for threat detecting based on AI in OT/ICS}
본 발명은 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법에 관한 것으로, 더욱 상세하게는 OT 네트워크에서 발생할 수 있는 다양한 위협을 실시간으로 탐지하여 산업 제어 시스템의 위협 상황을 신속하게 대처할 수 있는 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법에 관한 것이다.
OT(Operational Technology)란, 산업운영관리 컴퓨팅 시스템으로서, 산업 장비, 자산, 프로세스 및 이벤트를 직접 모니터링 또는, 제어함으로써, 변화를 감지하거나 이를 유발하는 하드웨어와 소프트웨어를 의미하고, 스마트 시티, 스마트 공장 및 사회기반시설 등 다양한 환경에서 운영되고 있는 시스템을 의미한다.
이러한 OT에는 ICS(Industrial Control System, 산업 제어 시스템), SCADA(Supervisory Control and Data Acquisition, 작업공정 감시/제어 시스템), PLC(Programmable Logic Controller, 프로그램된 제어 장치) 및 DCS(Distribute Control System, 분산 제어 시스템) 등의 다양한 산업 기술 시스템이 포함된다.
특히, ICS는 산업 생산에서 사용되는 SCADA, DCS 및 PLC와 field device와 같은 시스템을 포함한 여러 종류의 제어 시스템을 통칭한다.
이러한 OT 시스템(OT 네트워크)은 퍼듀 모델 상의 세이프티 존(Safety Zone)부터 인더스트리얼 존(Industrial Zone)까지, 레벨 0 ~ 3을 의미한다.
이 영역은 외부와 단절되어 있고, IT와는 상이한 별도의 프로토콜(일 예를 들자면, ABB, GE SRTP, Siemens s7 등)로 구성되어 있어, 기본적으로 외부로부터의 위협에서 안전하다고 여겨져 왔다.
그렇지만, 시대가 변화함에 따라 4차 산업혁명과 더불어, IoT, 빅데이터 등 여러 새로운 기술들이 등장하면서 폐쇄망이였던 OT 시스템이 IT 시스템과 연결되어 운영되고 있다. 이에 따라, IT 시스템의 보안 위협이 OT 시스템까지 확장되고 있는 실정이며, 지금까지 보안에 대한 대비 수준이 낮은 OT 시스템은 커다란 보안 위협에 처할 수 밖에 없는 상황이다.
이에 따라, 최근들어 OT 시스템의 보안 체계 강화에 대한 수요가 본격화되고 있으나, OT 시스템의 경우, IT 시스템과는 상이하게 각 계층(레벨) 별로 유사한 목적의 설비들로 구분되어 있고, 각 계층 별 동작 유형 및 프로토콜들이 구분되어 있으며, 데이터 패턴 및 특징이 각 계층 별로 명확하고 한정적이기 때문에, 각 계층별 특성에 부합하는 보안 시스템에 요구된다.
상세하게는, 프로세스 레벨인 레벨 0의 경우, 프로세스를 수행하는 장비들이 위치하는 영역으로 센서, 액추에이터, 펌프, 밸브 등이 위치하고, 이러한 단일 장비 중 어느 하나라도 문제가 발생하면 전체 시설에 문제가 발생하게 된다. 통제 레벨인 레벨 1 ~ 2는 모든 제어 장비가 구성되어 있으며, 레벨 0에 구성되어 있는 센서, 엑추에이터, 모터, 밸브 등의 동작 상태를 제어하기 된다. 좀 더 세부적으로는 레벨 1은 PLC, VFD(Variable Frequency Drive, 가변 주파수 드라이브), PID 컨트롤러(Proportional-Integral-Differential controller, 전용 비례 적분 파생 컨트롤러) 등이 구성되어 실질적으로 제어의 역할을 수행하고, 레벨 2는 감독의 역할을 수행하게 된다. 마지막으로 운영 레벨인 레벨 3은 시설 전체의 제어 기능과 모니터링을 담당하는 시스템이 구성되어 있으며, 운영자는 레벨 3을 통해서 전체 OT 시스템을 모니터링하고 관리하게 된다.
상술한 바와 같이, OT 시스템은 매우 많은 설비들로 구성되어 있으나, 매우 많은 설비들이 각 레벨 별로 서로 다른 프로토콜로 구성되어 있어, 유지 보수 측면에서 매우 어려운 실정이다. 뿐만 아니라, 설비의 데이터를 확인하는데 있어서도 모든 설비에 대한 소프트웨어가 개별적으로 존재하고 위협 상황 발생 시, 해당 설비의 전문 엔지니어가 상이하기 때문에, 신속 대응/대처에도 어려움이 있다.
그럼에도 불구하고 OT 시스템은 이를 운영하고 있는 시스템(스마트 시티, 스마트 공장 및 사회기반시설 등)의 매우 중요한 시스템으로, 한 개의 설비라도 문제가 발생하면 운영하고 있는 시스템 전체의 작업이 중단되는 등 사소한 문제라도 그 피해 규모가 상당하다.
그렇기 때문에, 본 발명의 일 실시예에 따른 산업 제어 시스템(OT/ICS)에서의 AI 기반 위협 탐지 시스템을 통해서, 사전에 위협을 탐지하고 이에 대비할 수 있도록 하는 것이 바람직하다.
이와 관련해서, 종래에는 국내공개특허 제10-2018-0046615호("산업제어시스템의 현장 제어 기기 데이터 수집 장치 및 방법")에서는 산업제어시스템의 현장 제어 기기에 대한 사이버 공격 발생 시, 사고를 분석하고 상황을 재연하기 위한 데이터를 수집하는 기술을 개시하고 있다.
국내공개특허 제10-2018-0046615호 (공개일 2018.05.09.)
본 발명은 상기한 바와 같은 종래 기술의 문제점을 해결하기 위하여 안출된 것으로, 본 발명의 목적은 실시간으로 OT 시스템으로부터 발생되는 데이터를 수집하여, 인공지능 기반 위협 판단 검출기를 이용하여, 신속하게 위협 판단 수행하여, 위협 상황에 대비/대처할 수 있는 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법을 제공하는 것이다.
본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템에 있어서, 산업 제어 시스템(OT/ICS, Operational Technology/Industrial Control System)의 인더스트리얼 영역(Industrial Zone/Industrial Area)에 해당하는 OT 네트워크의 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 통합 통신 프로토콜 형태로 변환하는 프로토콜 표준화부(100), 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 설정된 각 계층별 관련 정보들을 이용하여 분류하고, 패킷 분석을 수행하는 데이터 분석부(200), AI 기반 생성한 위협 판단 검출기를 이용하여, 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 위협 판단을 수행하는 위협 탐지부(300) 및 각각의 상기 프로토콜 표준화부(100), 데이터 분석부(200) 및 위협 탐지부(300)에서 생성되는 데이터 및 정보를 저장 및 관리하는 DB부(400)를 포함하는 것이 바람직하다.
더 나아가, 상기 프로토콜 표준화부(100)는 상기 인더스트리얼 영역에 설정된 각 계층별 해당하는 설비들로부터 기설정된 설정 관련 정보들을 입력받아, 상기 DB부(400)로 전송하는 정보 입력부(110), 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 상기 OT 데이터를 수집하는 데이터 수집부(120), 기저장된 통합 통신 프로토콜을 이용하여 노드를 생성하고, 생성한 노드를 이용하여 상기 OT 데이터를 처리하는 데이터 관리부(130) 및 상기 인더스트리얼 영역의 각 계층들과 통신을 수행하는 통신부(140)를 포함하는 것이 바람직하다.
더 나아가, 상기 데이터 분석부(200)는 기저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하는 통신부(210), 상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받아, 상기 DB부(400)로 전송하는 정보 수신부(220), 상기 DB부(400)로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 정보 수신부(200)에 수신된 상기 OT 데이터를 매칭시켜, 각 계층별 OT 데이터를 분류하는 데이터 분류부(230) 및 상기 산업 제어 시스템의 통신 네트워크의 발생 패킷을 스니핑(sniffing)하여, 비정상 패킷 또는, 이상 패킷을 분석하는 패킷 분석부(240)를 포함하는 것이 바람직하다.
더 나아가, 상기 데이터 분석부(200)는 상기 패킷 분석부(240)로부터 전달받은 분석 패킷의 수과 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하고, 계산한 상기 실시간 통신 트래픽을 상기 DB부(400)로 전송하는 트래픽 계산부(250)를 더 포함하는 것이 바람직하다.
더 나아가, 상기 위협 탐지부(300)는 기저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하는 통신부(310), 상기 DB부(400)에 기존에 저장되어 있는 정상 OT 데이터와 비정상 OT 데이터를 수신받아, 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 학습 처리부(320), 상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받는 정보 수신부(330) 및 상기 학습 처리부(320)의 학습 처리 결과에 의해 생성된 위협 판단 검출기를 이용하여, 상기 정보 수신부(330)로 수신된 상기 OT 데이터의 위협 여부를 판단하는 위협 판단부(340)를 포함하는 것이 바람직하다.
더 나아가, 상기 위협 탐지부(300)는 상기 위협 판단부(340)의 판단 결과에 따라, 비정상 데이터 또는, 위협 데이터로 판단될 경우, 기설정된 알림 기능을 수행하고, 결과값을 상기 DB부(400)로 전송하는 결과 처리부(350)를 더 포함하는 것이 바람직하다.
더 나아가, 상기 학습 처리부(320)는 최초 학습 처리를 수행한 후, 상기 DB부(400)로부터 저장되어 있는 위협 판단 결과값을 수신받아, 학습 처리를 재수행하는 것이 바람직하다.
본 발명의 또 다른 일 실시예에 따른 컴퓨터로 구현되는 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템에 의해 각 단계가 수행되는 산업 제어 시스템에서의 AI 기반 위협 탐지 방법에 있어서, 프로토콜 표준화부에서, 기저장된 통합 통신 프로토콜을 이용하여, 노드를 생성하는 노드 생성 단계(S100), 프로토콜 표준화부에서, 산업 제어 시스템의 인더스트리얼 영역에 해당하는 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 상기 노드 생성 단계(S100)에 의해 생성한 노드를 이용하여 상기 OT 데이터를 처리하는 데이터 처리 단계(S200), 데이터 분석부에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받아, DB부로 전송하는 데이터 저장 단계(S300), 데이터 분석부에서, DB부로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 데이터 저장 단계(S300)에 의해 수신받은 상기 OT 데이터를 매칭시켜, 각 계층별 OT 데이터를 분류하는 데이터 분류 단계(S400), 위협 탐지부에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받는 데이터 수신 단계(S500), 위협 탐지부에서, 인공지능 기반 학습 처리를 통해 생성된 위협 판단 검출기를 이용하여, 상기 데이터 수신 단계(S500)에 의해 수신받은 상기 OT 데이터의 위협 여부를 판단하는 위협 판단 단계(S600) 및 위협 탐지부에서, 상기 위협 판단 단계(S600)의 판단 결과값을 DB부로 전송하는 결과 처리 단계(S700)를 포함하는 것이 바람직하다.
더 나아가, 상기 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 데이터 분석부에서, 상기 산업 제어 시스템의 통신 네트워크의 발생 패킷을 스니핑(sniffing)하여 비정상 패킷 또는, 이상 패킷을 분석하는 패킷 분석 단계(S800) 및 데이터 분석부에서, 상기 패킷 분석 단계(S800)에 의한 분석 패킷의 수와 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하고, 계산한 상기 실시간 통신 트래픽을 DB부로 전송하는 트래픽 계산 단계(S900)를 더 포함하는 것이 바람직하다.
더 나아가, 상기 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 위협 탐지부에서, 기존에 저장되어 있는 정상 OT 데이터와 비정상 OT 데이터를 수신받아, 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 학습 처리 단계(S610)를 더 포함하는 것이 바람직하다.
더 나아가, 상기 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 상기 결과 처리 단계(S700)를 수행하고 난 후, 상기 학습 처리 단계(S610)를 반복 수행하여, 상기 결과 처리 단계(S700)에 의해 저장되는 위협 판단 결과값을 수신받아, 학습 처리를 재수행하는 것이 바람직하다.
상기와 같은 구성에 의한 본 발명의 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법은 실시간으로 OT 시스템으로부터 발생되는 데이터를 수집하여, 인공지능 기반 위협 판단 검출기를 이용하여, 신속하게 위협 판단 수행하여, 위협 상황에 대비/대처할 수 있다.
기존 OT 시스템의 복합한 개별 통신 프로토콜을 하나의 통합 프로토콜(통합 보안 프로토콜)로 변환하여 망을 구성함에 있어 시스템적 복잡도를 해결할 수 있다.
또한, OT 시스템의 특성 상, 시스템을 중지할 수 없기 때문에, 시스템들 간의 개별 분리를 통해 기존 설비(장비)에 영향을 주지 않고 AI 기반 위협 탐지 시스템을 구성할 수 있어 기존 설비에 용이하게 적용할 수 있다.
특히, SVM 또는, M-SVM을 채용함으로써, 재귀 학습을 통해 실제 설비 및 계통에 대해 반복 학습을 통해 학습 처리 결과를 보다 견고하고 실제 운영 데이터(OT 데이터)에 맞게 스스로 적응해나가기 때문에, 보다 좋은 성능의 위협 및 위협 징후를 검출할 수 있는 장점이 있다.
도 1은 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템을 나타낸 구성 예시도이다.
도 2는 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법을 나타낸 순서 예시도이다.
이하 첨부한 도면들을 참조하여 본 발명의 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법을 상세히 설명한다. 다음에 소개되는 도면들은 당업자에게 본 발명의 사상이 충분히 전달될 수 있도록 하기 위해 예로서 제공되는 것이다. 따라서, 본 발명은 이하 제시되는 도면들에 한정되지 않고 다른 형태로 구체화될 수도 있다. 또한, 명세서 전반에 걸쳐서 동일한 참조번호들은 동일한 구성요소들을 나타낸다.
이때, 사용되는 기술 용어 및 과학 용어에 있어서 다른 정의가 없다면, 이 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 통상적으로 이해하고 있는 의미를 가지며, 하기의 설명 및 첨부 도면에서 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능 및 구성에 대한 설명은 생략한다.
더불어, 시스템은 필요한 기능을 수행하기 위하여 조직화되고 규칙적으로 상호 작용하는 장치, 기구 및 수단 등을 포함하는 구성 요소들의 집합을 의미한다.
본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템 및 그 방법은, 설정되어 있는 OT 시스템의 레벨 0 ~ 3 중 시스템에 영향을 주어 오동작/부동작하는 상황을 위협으로 판단하는 것이 바람직하며, 탐지의 범위로는 레벨 0에서는 센싱 데이터 이상, 레벨 1 ~ 2에서는 컨트롤 오동작, 레벨 3에서는 시스템 다운을 그 범위로 설정하고, OT 시스템 전체 및 각 레벨 별 트래픽 증가 역시도 탐지하는 것이 바람직하다.
도 1은 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템을 나타낸 구성 예시도로서, 도 1을 참조로 하여 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템을 상세히 설명한다.
본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템은 도 1에 도시된 바와 같이, 프로토콜 표준화부(100), 데이터 분석부(200), 위협 탐지부(300) 및 DB부(400)를 포함하여 구성되는 것이 바람직하다. 또한, 각 구성들은 컴퓨터를 포함하는 적어도 하나 이상의 연산처리수단에 각각 또는 통합 포함되어 동작을 수행하는 것이 바람직하다.
각 구성에 대해서 자세히 알아보자면,
상기 프로토콜 표준화부(100)는 산업 제어 시스템(OT/ICS, Operational Technology/Industrial Control System)의 인더스트리얼 영역(Industrial Zone/Industrial Area)에 해당하는 OT 네트워크의 각 계층별(OT 시스템의 레벨 0 ~ 3)로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 통합 통신 프로토콜 형태로 변환하는 것이 바람직하다.
즉, 통합되지 않은 각 계층별 통신 프로토콜을 OPCUA(Open Platform Communications Unified Architecture)를 통해 통합 프로토콜로 변환하는 것이 바람직하다.
이를 위해, 상기 프로토콜 표준화부(100)는 도 1에 도시된 바와 같이, 정보 입력부(110), 데이터 수집부(120), 데이터 관리부(130) 및 통신부(140)를 포함하여 구성되는 것이 바람직하다.
상기 정보 입력부(110)는 상기 인더스트리얼 영역에 설정된 각 계층별 해당하는 설비들로부터 미리 설정된 설정 관련 정보들을 입력받아, 상기 DB부(400)로 전송하는 것이 바람직하다. 즉, 스마트 공장 내에 OT 영역에 해당하는 자산을 등록하여 관리할 수 있도록 OT 네트워크의 각 계층별 OT 설비에 대한 설정 정보를 입력받아 상기 DB부(400)의 자산 정보(440)에 저장 및 관리하는 것이 바람직하다.
상기 데이터 수집부(120)는 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 상기 OT 데이터를 수집하는 것이 바람직하다. 다시 말하자면, OT 네트워크의 각 계층별 OT 설비들을 통해서 발생되는 OT 데이터를 각 계층별로 상이한 통신 프로토콜을 통해서 상기 데이터 수집부(120)로 입력 수집되는 것이 바람직하다. 즉, 통합되지 않은 프로토콜의 OT 데이터들을 수집하게 된다.
상기 데이터 관리부(130)는 미리 저장된 통합 통신 프로토콜을 이용하여, 노드를 생성하고, 생성한 노드를 이용하여 상기 OT 데이터를 처리하는 것이 바람직하다. 상기 데이터 관리부(130)는 상기 데이터 수집부(120)를 통해서 수집한 통합되지 않은 프로토콜의 OT 데이터들을 이용하여 OPC 노드를 생성하여, OT 데이터의 입력 가능 상태를 만들어주는 기능을 수행하게 된다. 또한, 수집한 OT 데이터들을 생성한 OPC노드에 매칭하여 데이터를 적재하고, 각 노드에서 적재된 데이터를 관리하게 된다.
상기 통신부(140)는 상기 인더스트리얼 영역의 각 계층들과 통신을 수행하는 것이 바람직하다. 이에 따라, 상기 통신부(140)는 OPC UA 프로토콜을 포함하는 ModBus, IEC61850, TCP/IP 프로토콜에 따른 데이터 송수신을 수행하게 된다.
상기 데이터 분석부(200)는 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 설정된 각 계층별 관련 정보들을 이용하여 분류하고, 패킷 분석을 수행하는 것이 바람직하다. 상기 데이터 분석부(200)는 상기 프로토콜 표준화부(100)에 의해 통합된 프로토콜을 사용하는 OT 데이터들을 분류/분석하고, 스마트 공장 내의 패킷 정보를 저장하게 된다.
이를 위해, 상기 데이터 분석부(200)는 도 1에 도시된 바와 같이, 통신부(210), 정보 수신부(220), 데이터 분류부(230) 및 패킷 분석부(240)를 포함하여 구성되는 것이 바람직하다.
상기 통신부(210)는 미리 저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하게 된다. 상세하게는, OPCUA 프로토콜을 이용하여 상기 프로토콜 표준화부(100)로 OT 데이터를 요청하고, 이를 수신받게 된다.
상기 정보 수신부(220)는 상기 통신부(210)를 통해서 상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하고, 이에 대응하여 상기 OT 데이터를 수신받아 상기 DB부(400)로 전송하는 것이 바람직하다. 즉, 상기 정보 수신부(220)는 상기 프로토콜 표준화부(100)로 생성된 노드들의 정보를 요청하여 해당하는 상기 OT 데이터를 전송받아, 상기 DB부(400)의 OT data(410)에 저장 및 관리하는 것이 바람직하다.
상기 데이터 분류부(230)는 상기 DB부(400)로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 정보 수신부(220)에 수신된 상기 OT 데이터를 매칭시켜, 상기 OT 데이터를 해당하는 각 계층으로 분류하는 것이 바람직하다.
상세하게는, 상기 데이터 분류부(230)는 상기 DB부(400)의 자산 정보(440)에 저장되어 있는 정보들과 상기 DB부(400)의 구역 정보(450)에 저장되어 있는 정보들(스마트 공장의 OT 설비들이 위치한 레벨 정보 저장)을 수신받아, 수신받은 상기 정보와 수신받은 실시간의 상기 OT데이터를 매칭시켜, 각 계층별 해당하는 설비에 일치하는 OT 데이터를 분류하는 것이 바람직하다.
상기 패킷 분석부(240)는 상기 산업 제어 시스템의 통신 네트워크의 발생 패킷을 스니핑(sniffing)하여, 비정상 패킷 또는, 이상 패킷을 분석하는 것이 바람직하다. 즉, 상기 패킷 분석부(240)는 OT 네트워크의 패킷을 스니핑하여 비정상 패킷을 분석하거나, 이상 패킷을 파악하게 된다. 이 때, 상기 데이터 분석부(200)는 도 1에 도시된 바와 같이, 트래픽 계산부(250)를 더 포함하여 구성되는 것이 바람직하다.
상기 트래픽 계산부(250)는 상기 패킷 분석부(240)에 의한 분석 결과를 이용하여, 상세하게는, 상기 패킷 분석부(240)로부터 전달받은 분석 패킷(비정상 패킷 또는, 이상 패킷)의 수와 수신받은 실시간의 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하게 된다. 상기 트래픽 계산부(250)는 상기 DB부(400)의 트래픽 정보(460)로 계산한 실시간 통신 트래픽 정보를 전달하여, 저장 및 관리하는 것이 바람직하다.
이를 통해서, 추후에 OT 시스템 전체 및 각 레벨 별 트래픽 증가를 탐지하는 데 활용할 수 있다.
상기 위협 탐지부(300)는 AI 기반 생성한 위협 판단 검출기를 이용하여, 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 위협 판단을 수행하는 것이 바람직하다. 즉, 상기 위협 탐지부(300)는 사전에 저장된 설비들의 정상 상태에서의 OT 데이터와 비정상 상태에서의 OT 데이터를 기반으로 학습 처리한 상기 위협 판단 검출기를 이용하여, 실시간 OT 데이터의 위협을 판단하여 이를 외부 관리자(사용자 등)에게 알리는 것이 바람직하다.
상기 위협 탐지부(300) 역시도 도 1에 도시된 바와 같이, 통신부(310), 학습 처리부(320), 정보 수신부(330) 및 위협 판단부(340)를 포함하여 구성되는 것이 바람직하다.
상기 통신부(310)는 미리 저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하는 것이 바람직하다. 상세하게는, OPCUA 프로토콜을 이용하여 상기 프로토콜 표준화부(100)로 OT 데이터를 요청하고, 이를 수신받게 된다. 즉, 상기 위협 탐지부(330)는 상기 데이터 분석부(200)를 거치지 않고 상기 프로토콜 표준화부(100)를 통해서 직접 상기 OT 데이터를 수신받는 것이 바람직하다. 그렇기 때문에, 상기 OT 데이터의 위협을 판단/탐지함에 있어서, 실시간성을 보장받을 수 있다.
상기 학습 처리부(320)는 상기 DB부(400)에 미리 저장되어 있는 정상 상태에서의 OT 데이터와 비정상 상태에서의 OT 데이터를 수신받아, 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 것이 바람직하다. 학습 처리를 통한 결과 모델을 상기 위협 판단 검출기로 저장하게 된다.
상세하게는, 상기 인공지능 학습 알고리즘으로는 SVM(Support Vector Machine) 또는, M-SVM(Multi Support Vector Machine)을 이용하는 것이 바람직하다.
상기 SVM은 기계 학습의 한 종류로서 패턴 인식, 자료 분석 등을 위한 지도 학습 알고리즘으로, 분류와 회귀 분석을 위해 사용하며, 기존 데이터의 집합을 가지고 새로운 데이터가 어떤 집합에 속할지 판단하는 선형 분류 모델이다. 또한, 상기 M-SVM은 SVM을 필요에 의해 변형시킨 형태로서 한 개의 선형으로 만든 이진 분류가 아닌 두 개의 벡터를 활용하여 세 종류의 집합을 갖도록 나누어 새로운 데이터에 따른 상태를 분류하게 된다.
수많은 인공지능 학습 알고리즘 중 SVM 또는, M-SVM을 이용하는 것이 가장 바람직하며, 이는 SVM은 새로운 데이터가 기존 학습된 영역 중 어느 영역에 속하는지 판단할 수 있는 이진 선형 분류 모델이기 때문에, 어느 계층(레벨)의 OT 데이터가 정상 상황인지 비정상 상황(위협 상황)인지 판단하기 적합하다. 특히, 다른 머신러닝에 비해 빠른 처리속도와 이진 분류에 있어 월등한 속도를 갖기 때문에 실시간성이 보장되어야 하는 OT 네트워크의 위협 판단 머신러닝에 적합하다.
또한, M-SVM을 적용할 경우, 기존 두 가지의 판단 영역을 세 가지의 영역으로 확장하여 판단할 수 있기 때문에, 입력 데이터의 흐름에 따라 정상에서 비정상까지 영역별 위험 감도를 판단하여 위협 상황을 분석하기 적합하다.
이러한 SVM과 M-SVM은 비교적 적은 양의 데이터로 학습이 가능하고 학습 시간이 짧으며 직선형, 원형 등 많은 분류를 생성할 수 있어, 여러 스마트 공장의 다양한 설비에 용이하게 적용할 수 있어, 상기 학습 처리부(320)에서 활용하는 것이 바람직하다.
상기 정보 수신부(330)는 상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받게 된다. 즉, 상기 정보 수신부(330)는 상기 통신부(310)를 통해서 상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하고, 이에 대응하여 상기 OT 데이터를 수신받아 상기 DB부(400)로 전송하는 것이 바람직하다.
상기 위협 판단부(340)는 상기 학습 처리부(320)의 학습 처리 결과에 의해 생성된 상기 위협 판단 검출기를 이용하여, 상기 정보 수신부(330)로 수신된 실시간의 상기 OT 데이터를 적용하여, 각 OT 데이터에 대한 위협 여부를 판단할 수 있다.
상기 위협 탐지부(300)는 도 1에 도시된 바와 같이, 결과 처리부(350)를 더 포함하여 구성되는 것이 바람직하다.
상기 결과 처리부(350)는 상기 위협 판단부(340)의 판단 결과에 따라, 비정상 데이터 또는, 위협 데이터로 판단될 경우, 미리 설정된 알림 기능(외부 사용자 또는, 관리자 등에게 알림 표출 등)을 수행하고, 결과값을 상기 DB부(400)로 전송하는 것이 바람직하다. 상세하게는, 상기 DB부(400)의 보안위협 정보(430)로 전송하여 저장 및 관리하는 것이 바람직하며, 물론, 정상 데이터에 대해서도 저장 및 관리하게 된다.
특히, 상기 학습 처리부(320)는 최초 학습 처리를 수행한 후, 상기 DB부(400)로부터 저장되어 있는 위협 판단 결과값을 수신받아 학습 처리를 재수행하는 것이 바람직하다.
다시 말하자면, 상기 학습 처리부(320)는 최초 1회 학습을 수행한 후 생성된 상기 위협 판단 검출기를 이용하여 판단한 결과값을 이용하여 재귀 학습하여 시간의 흐름에 따라(반복 수행에 따라) 상기 위협 판단 검출기가 보다 좋은 성능의 위협 및 위협 징후를 검출할 수 있다.
즉, 기존의 학습 알고리즘의 경우, SVM을 채용했다 할지라도 단일 값(모터의 온도, 유류량 등)을 검사하여 이상 상태를 판단하는 데 그치지만, 상기 학습 처리부(320)의 경우, M-SVM을 활용하여, OT 시스템의 각 레벨들 간의 상관관계를 설정하여 상호 협조적으로 위협에 대한 징후와 위협 상황을 검출할 수 있다.
뿐만 아니라, 재귀 학습을 통해 실제 설비 및 계통에 대해 반복 학습을 통해 학습 처리 결과를 보다 견고하고 실제 운영 데이터(OT 데이터)에 맞게 스스로 적응해나가기 때문에, 보다 좋은 성능의 위협 및 위협 징후를 검출할 수 있다.
도 2는 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법을 나타낸 순서 예시도이다. 도 2를 참조로 하여, 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법을 상세히 설명한다.
본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 도 2에 도시된 바와 같이, 노드 생성 단계(S100), 데이터 처리 단계(S200), 데이터 저장 단계(S300), 데이터 분류 단계(S400), 데이터 수신 단계(S500), 위협 판단 단계(S600) 및 결과 처리 단계(S700)를 포함하는 것이 바람직하다. 또한, 컴퓨터로 구현되는 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템에 의해 각 단계가 수행되게 된다.
각 단계에 대해서 자세히 알아보자면,
상기 노드 생성 단계(S100)는 상기 프로토콜 표준화부(100)에서, 미리 저장된 통합 통신 프로토콜을 이용하여, OPC 노드를 생성하는 것이 바람직하다.
상기 데이터 처리 단계(S200)는 상기 프로토콜 표준화부(100)에서, 산업 제어 시스템(OT/ICS, Operational Technology/Industrial Control System)의 인더스트리얼 영역(Industrial Zone/Industrial Area)에 해당하는 OT 네트워크의 각 계층별(OT 시스템의 레벨 0 ~ 3)로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 즉, 통합되지 않은 각 계층별 통신 프로토콜을 OPCUA(Open Platform Communications Unified Architecture)를 통해 통합 프로토콜로 변환할 수 있도록 OT 네트워크의 각 계층별 OT 설비들을 통해서 발생되는 OT 데이터를 각 계층별로 통합되지 않은 프로토콜의 OT 데이터들을 수집하게 된다. 이 후, 상기 노드 생성 단계(S100)에 의해 생성한 노드를 이용하여 상기 OT 데이터를 처리하게 된다.
상세하게는, 수집한 통합되지 않은 프로토콜의 OT 데이터들을 이용하여 OPC 노드를 생성하여, OT 데이터의 입력 가능 상태를 만들어주는 기능을 수행하게 된다. 또한, 수집한 OT 데이터들을 생성한 OPC노드에 매칭하여 데이터를 적재하고, 각 노드에서 적재된 데이터를 관리하게 된다.
상기 데이터 저장 단계(S300)는 상기 데이터 분석부(200)에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하고, 이에 대응하여 상기 OT 데이터를 수신받아 상기 DB부(400)로 전송하게 된다.
상기 데이터 분류 단계(S400)는 상기 데이터 분석부(200)에서, 상기 DB부(400)로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 데이터 저장 단계(S300)에 의해 수신된 상기 OT 데이터를 매칭시켜, 상기 OT 데이터를 해당하는 각 계층으로 분류하게 된다.
상세하게는, 상기 데이터 분류 단계(S400)는 상기 DB부(400)의 자산 정보(440)에 저장되어 있는 정보들과 상기 DB부(400)의 구역 정보(450)에 저장되어 있는 정보들(스마트 공장의 OT 설비들이 위치한 레벨 정보 저장)을 수신받아, 수신받은 상기 정보와 수신받은 실시간의 상기 OT데이터를 매칭시켜, 각 계층별 해당하는 설비에 일치하는 OT 데이터를 분류하게 된다.
상기 데이터 수신 단계(S500)는 상기 위협 탐지부(300)에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받게 된다.
이 때, 상기 데이터 수신 단계(S500)는 상기 데이터 분석부(200)를 거치지 않고 상기 프로토콜 표준화부(100)를 통해서 상기 위협 탐지부(300)에서 직접 상기 OT 데이터를 수신받는 것이 바람직하다. 그렇기 때문에, 상기 OT 데이터의 위협을 판단/탐지함에 있어서, 실시간성을 보장받을 수 있다.
상기 위협 판단 단계(S600)는 상기 위협 탐지부(300)에서, 인공지능 기반 학습 처리를 통해 생성된 위협 판단 검출기를 이용하여, 상기 데이터 수신 단계(S500)에 의해 수신받은 상기 OT 데이터의 위협 여부를 판단하게 된다.
이를 위해, 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 도 2에 도시된 바와 같이, 학습 처리 단계(S610)를 더 포함하게 된다.
상기 학습 처리 단계(S610)는 상기 위협 탐지부(300)에서, 상기 DB부(400)에 미리 저장되어 있는 정상 상태에서의 OT 데이터와 비정상 상태에서의 OT 데이터를 수신받아, 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 것이 바람직하다. 학습 처리를 통한 결과 모델을 상기 위협 판단 검출기로 저장하게 된다.
상세하게는, 상기 인공지능 학습 알고리즘으로는 SVM(Support Vector Machine) 또는, M-SVM(Multi Support Vector Machine)을 이용하는 것이 바람직하다.
상기 SVM은 기계 학습의 한 종류로서 패턴 인식, 자료 분석 등을 위한 지도 학습 알고리즘으로, 분류와 회귀 분석을 위해 사용하며, 기존 데이터의 집합을 가지고 새로운 데이터가 어떤 집합에 속할지 판단하는 선형 분류 모델이다. 또한, 상기 M-SVM은 SVM을 필요에 의해 변형시킨 형태로서 한 개의 선형으로 만든 이진 분류가 아닌 두 개의 벡터를 활용하여 세 종류의 집합을 갖도록 나누어 새로운 데이터에 따른 상태를 분류하게 된다.
수많은 인공지능 학습 알고리즘 중 SVM 또는, M-SVM을 이용하는 것이 가장 바람직하며, 이는 SVM은 새로운 데이터가 기존 학습된 영역 중 어느 영역에 속하는지 판단할 수 있는 이진 선형 분류 모델이기 때문에, 어느 계층(레벨)의 OT 데이터가 정상 상황인지 비정상 상황(위협 상황)인지 판단하기 적합하다. 특히, 다른 머신러닝에 비해 빠른 처리속도와 이진 분류에 있어 월등한 속도를 갖기 때문에 실시간성이 보장되어야 하는 OT 네트워크의 위협 판단 머신러닝에 적합하다.
또한, M-SVM을 적용할 경우, 기존 두 가지의 판단 영역을 세 가지의 영역으로 확장하여 판단할 수 있기 때문에, 입력 데이터의 흐름에 따라 정상에서 비정상까지 영역별 위험 감도를 판단하여 위협 상황을 분석하기 적합하다.
이러한 SVM과 M-SVM은 비교적 적은 양의 데이터로 학습이 가능하고 학습 시간이 짧으며 직선형, 원형 등 많은 분류를 생성할 수 있어, 여러 스마트 공장의 다양한 설비에 용이하게 적용할 수 있어, 상기 학습 처리부(320)에서 활용하는 것이 바람직하다.
이를 통해서, 상기 위협 판단 단계(S600)는 상기 학습 처리 단계(S610)의 학습 처리 결과에 의해 생성된 상기 위협 판단 검출기를 이용하여, 상기 데이터 수신 단계(S500)에 의해 수신된 실시간의 상기 OT 데이터를 적용하여, 각 OT 데이터에 대한 위협 여부를 판단할 수 있다.
상기 결과 처리 단계(S700)는 상기 위협 탐지부(300)에서, 상기 위협 판단 단계(S600)에 의한 판단 결과에 따라, 비정상 데이터 또는, 위협 데이터로 판단될 경우, 미리 설정된 알림 기능(외부 사용자 또는, 관리자 등에게 알림 표출 등)을 수행하고, 결과값을 상기 DB부(400)로 전송하게 된다. 물론, 정상 데이터에 대해서도 저장 및 관리하게 된다.
본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 상기 결과 처리 단계(S700)를 수행하고 난 후, 상기 학습 처리 단계(S610)를 반복 수행하여, 상기 결과 처리 단계(S700)에 의해 저장되는 위협 판단 결과값을 수신받아, 학습 처리를 재수행하게 된다.
상세하게는, 상기 학습 처리 단계(S610)는 최초 학습 처리를 수행한 후, 상기 DB부(400)로부터 저장되어 있는 위협 판단 결과값을 수신받아 학습 처리를 재수행하게 된다. 다시 말하자면, 최초 1회 학습을 수행한 후 생성된 상기 위협 판단 검출기를 이용하여 판단한 결과값을 이용하여 재귀 학습하여 시간의 흐름에 따라(반복 수행에 따라) 상기 위협 판단 검출기가 보다 좋은 성능의 위협 및 위협 징후를 검출할 수 있다.
즉, 기존의 학습 알고리즘의 경우, SVM을 채용했다 할지라도 단일 값(모터의 온도, 유류량 등)을 검사하여 이상 상태를 판단하는 데 그치지만, 상기 학습 처리부(320)의 경우, M-SVM을 활용하여, OT 시스템의 각 레벨들 간의 상관관계를 설정하여 상호 협조적으로 위협에 대한 징후와 위협 상황을 검출할 수 있다.
뿐만 아니라, 재귀 학습을 통해 실제 설비 및 계통에 대해 반복 학습을 통해 학습 처리 결과를 보다 견고하고 실제 운영 데이터(OT 데이터)에 맞게 스스로 적응해나가기 때문에, 보다 좋은 성능의 위협 및 위협 징후를 검출할 수 있다.
더불어, 본 발명의 일 실시예에 따른 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은 도 2에 도시된 바와 같이, 패킷 분석 단계(S800) 및 트래픽 계산 단계(S900)를 더 포함하여 구성될 수 있다.
상기 패킷 분석 단계(S800)는 상기 데이터 분석부(200)에서, 상기 산업 제어 시스템의 통신 네트워크의 발생 패킷을 스니핑(sniffing)하여, 비정상 패킷 또는, 이상 패킷을 분석하게 된다.
또한, 상기 트래픽 계산 단계(S900)는 상기 데이터 분석부(200)에서, 상기 패킷 분석 단계(S800)에 의한 분석 패킷(비정상 패킷 또는, 이상 패킷)의 수와 수신받은 실시간의 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하게 된다. 이를, 상기 DB부(400)의 트래픽 정보(460)로 계산한 실시간 통신 트래픽 정보를 전달하여, 저장 및 관리하며, OT 시스템 전체 및 각 레벨 별 트래픽 증가를 탐지하는 데 활용할 수 있다.
이상과 같이 본 발명에서는 구체적인 구성 소자 등과 같은 특정 사항들과 한정된 실시예 도면에 의해 설명되었으나 이는 본 발명의 보다 전반적인 이해를 돕기 위해서 제공된 것 일 뿐, 본 발명은 상기의 일 실시예에 한정되는 것이 아니며, 본 발명이 속하는 분야에서 통상의 지식을 가진 자라면 이러한 기재로부터 다양한 수정 및 변형이 가능하다.
따라서, 본 발명의 사상은 설명된 실시예에 국한되어 정해져서는 아니 되며, 후술하는 특허 청구 범위뿐 아니라 이 특허 청구 범위와 균등하거나 등가적 변형이 있는 모든 것들은 본 발명 사상의 범주에 속한다고 할 것이다.
100 : 프로토콜 표준화부
110 : 정보 입력부 120 : 데잉터 수집부
130 : 데이터 관리부 140 : 통신부
200 : 데이터 분석부
210 : 통신부 220 : 정보 수신부
230 : 데이터 분류부 240 : 패킷 분석부
250 : 트래픽 계산부
300 : 위협 탐지부
310 : 통신부 310 : 학습 처리부
320 : 정보 수신부 340 : 위협 판단부
350 : 결과 처리부
400 : DB부

Claims (7)

  1. 산업 제어 시스템(OT/ICS, Operational Technology/Industrial Control System)의 인더스트리얼 영역(Industrial Zone/Industrial Area)에 해당하는 OT 네트워크의 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 통합 통신 프로토콜 형태로 변환하는 프로토콜 표준화부(100);
    상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 설정된 각 계층별 관련 정보들을 이용하여 분류하고, 상기 OT 네트워크에 의한 발생 패킷을 분석하여 비정상 패킷 또는, 이상 패킷을 파악하는 데이터 분석부(200);
    AI 기반 생성한 위협 판단 검출기를 이용하여, 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 수신받아, 실시간으로 상기 OT 데이터에 대한 위협 판단을 수행하는 위협 탐지부(300); 및
    각각의 상기 프로토콜 표준화부(100), 데이터 분석부(200) 및 위협 탐지부(300)에서 생성되는 데이터 및 정보를 저장 및 관리하되, 실시간으로 각 레벨 별 OT 데이터의 용량과 분석한 비정상 패킷 또는, 이상 패킷의 수를 이용하여 각 레벨 별 트래픽을 계산하여 트래픽 증가를 관리하고, 실시간으로 전체 OT 데이터에 대한 위협 발생 여부를 관리하는 DB부(400);
    를 포함하며,
    상기 데이터 분석부(200)는
    상기 DB부(400)로부터 기저장되어 있는 상기 OT 네트워크의 각 계층별 설비들이 위치한 레벨 정보와, 상기 프로토콜 표준화부(100)에서 입력한 상기 OT 네트워크의 각 계층 별 해당하는 설비의 설정 관련 정보를 수신받아,
    수신받은 상기 OT 데이터를 해당하는 계층으로 분류하며,
    상기 위협 탐지부(300)는
    사전에 상기 DB부(400)에 기저장되어 있는 정상 상태의 OT 데이터와 비정상 상태의 OT 데이터를 수신받아, SVM 또는, M-SVM을 포함하는 인공지능 학습 알고리즘을 적용한 학습 처리를 통해 상기 위협 판단 검출기를 생성하고,
    생성한 상기 위협 판단 검출기를 이용하여, 상기 데이터 분석부(200)의 패킷 분석 결과와는 무관하게, 상기 프로토콜 표준화부(100)로부터 상기 OT 데이터를 직접 수신받아, 실시간으로 상기 OT 데이터의 위협을 판단 및 탐지하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템.
  2. 제 1항에 있어서,
    상기 프로토콜 표준화부(100)는
    상기 인더스트리얼 영역에 설정된 각 계층별 해당하는 설비들로부터 기설정된 설정 관련 정보들을 입력받아, 상기 DB부(400)로 전송하는 정보 입력부(110);
    각 계층별로 상이한 통신 프로토콜을 통해 발생되는 상기 OT 데이터를 수집하는 데이터 수집부(120);
    기저장된 통합 통신 프로토콜을 이용하여 노드를 생성하고, 생성한 노드를 이용하여 상기 OT 데이터를 처리하는 데이터 관리부(130); 및
    상기 인더스트리얼 영역의 각 계층들과 통신을 수행하는 통신부(140);
    를 포함하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템.
  3. 제 2항에 있어서,
    상기 데이터 분석부(200)는
    기저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하는 통신부(210);
    상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받아, 상기 DB부(400)로 전송하는 정보 수신부(220);
    상기 DB부(400)로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 정보 수신부(220)에 수신된 상기 OT 데이터를 매칭시켜, 각 계층별 OT 데이터를 분류하는 데이터 분류부(230);
    상기 OT 네트워크의 발생 패킷을 스니핑(sniffing)하여, 비정상 패킷 또는, 이상 패킷을 분석하는 패킷 분석부(240); 및
    상기 패킷 분석부(240)로부터 전달받은 분석 패킷의 수와 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하고, 계산한 상기 실시간 통신 트래픽을 상기 DB부(400)로 전송하는 트래픽 계산부(250);
    를 포함하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템.
  4. 제 3항에 있어서,
    상기 위협 탐지부(300)는
    기저장된 통합 통신 프로토콜을 이용하여, 상기 프로토콜 표준화부(100)와 통신을 수행하는 통신부(310);
    상기 DB부(400)에 기존에 저장되어 있는 정상 OT 데이터와 비정상 OT 데이터를 수신받아, 인공지능 학습 알고리즘을 이용하여 학습 처리를 수행하는 학습 처리부(320);
    상기 데이터 관리부(130)로 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받는 정보 수신부(330);
    상기 학습 처리부(320)의 학습 처리 결과에 의해 생성된 위협 판단 검출기를 이용하여, 상기 정보 수신부(330)로 수신된 상기 OT 데이터의 위협 여부를 판단하는 위협 판단부(340); 및
    상기 위협 판단부(340)의 판단 결과에 따라, 비정상 데이터 또는, 위협 데이터로 판단될 경우, 기설정된 알림 기능을 수행하고, 결과값을 상기 DB부(400)로 전송하는 결과 처리부(350);
    를 포함하며,
    상기 학습 처리부(320)는
    최초 학습 처리를 수행한 후, 상기 DB부(400)로부터 저장되어 있는 위협 판단 결과값을 수신받아, 학습 처리를 재수행하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템.
  5. 컴퓨터로 구현되는 산업 제어 시스템에서의 AI 기반 위협 탐지 시스템에 의해 각 단계가 수행되는 산업 제어 시스템에서의 AI 기반 위협 탐지 방법에 있어서,
    프로토콜 표준화부에서, 기저장된 통합 통신 프로토콜을 이용하여, 노드를 생성하는 노드 생성 단계(S100);
    프로토콜 표준화부에서, 산업 제어 시스템의 인더스트리얼 영역에 해당하는 각 계층별로 상이한 통신 프로토콜을 통해 발생되는 OT 데이터를 수집하여, 상기 노드 생성 단계(S100)에 의해 생성한 노드를 이용하여 상기 OT 데이터를 처리하는 데이터 처리 단계(S200);
    데이터 분석부에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하여 상기 OT 데이터를 수신받아, DB부로 전송하는 데이터 저장 단계(S300);
    데이터 분석부에서, DB부로부터 저장된 각 계층별 설비들의 설정 관련 정보들을 수신받아, 상기 데이터 저장 단계(S300)에 의해 수신받은 상기 OT 데이터를 매칭시켜, 각 계층별 OT 데이터를 분류하는 데이터 분류 단계(S400);
    위협 탐지부에서, 상기 노드 생성 단계(S100)에 의해 생성한 상기 노드의 정보들을 요청하여 상기 OT 데이터를 실시간으로 수신받는 데이터 수신 단계(S500);
    위협 탐지부에서, 인공지능 기반 학습 처리를 통해 생성된 위협 판단 검출기를 이용하여, 상기 데이터 수신 단계(S500)에 의해 수신받은 전체 OT 데이터의 위협 여부를 실시간으로 판단하는 위협 판단 단계(S600); 및
    위협 탐지부에서, 상기 위협 판단 단계(S600)의 판단 결과값을 DB부로 전송하는 결과 처리 단계(S700);
    를 포함하며,
    데이터 분석부에서, OT 네트워크에 의해 발생한 패킷을 스니핑(sniffing)을 통해 분석하고, 비정상 패킷 또는, 이상 패킷을 파악하여, DB부로 전송하는 패킷 분석 단계(S800);를 더 포함하며,
    상기 위협 판단 단계(S600)를 수행하기 전, 위협 탐지부에서, 기존에 저장되어 있는 정상 OT 데이터와 비정상 OT 데이터를 수신받아, SVM 또는, M-SVM을 포함하는 인공지능 학습 알고리즘을 적용하여 학습 처리를 수행하여, 상기 위협 판단 검출기를 생성하는 학습 처리 단계(S610);를 더 포함하며,
    상기 결과 처리 단계(S700)를 수행하고 난 후, 상기 학습 처리 단계(S610)를 반복 수행하여, 상기 결과 처리 단계(S700)에 의해 저장되는 위협 판단 결과값을 수신받아, 학습 처리를 재수행하고,
    상기 DB부는 상기 데이터 분류 단계(S400)에 의한 각 레벨 별 OT 데이터의 용량과 상기 패킷 분석 단계(S800)에 의해 파악한 비정상 패킷 또는 이상 패킷의 수를 이용하여, 실시간으로 각 레벨 별 통신 트래픽을 계산하고 트래픽 증가를 관리하여, 상기 위협 판단 단계(S600)에 의해 실시간으로 전체 OT 데이터에 대한 위협 발생 여부를 관리하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 방법.
  6. 제 5항에 있어서,
    상기 산업 제어 시스템에서의 AI 기반 위협 탐지 방법은
    데이터 분석부에서, 상기 패킷 분석 단계(S800)에 의한 분석 패킷의 수와 상기 OT 데이터의 용량을 이용하여, 실시간 통신 트래픽을 계산하고, 계산한 상기 실시간 통신 트래픽을 DB부로 전송하는 트래픽 계산 단계(S900);
    를 더 포함하는, 산업 제어 시스템에서의 AI 기반 위협 탐지 방법.
  7. 삭제
KR1020210153212A 2021-11-09 2021-11-09 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법 KR102417752B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210153212A KR102417752B1 (ko) 2021-11-09 2021-11-09 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210153212A KR102417752B1 (ko) 2021-11-09 2021-11-09 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법

Publications (1)

Publication Number Publication Date
KR102417752B1 true KR102417752B1 (ko) 2022-07-06

Family

ID=82400335

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210153212A KR102417752B1 (ko) 2021-11-09 2021-11-09 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법

Country Status (1)

Country Link
KR (1) KR102417752B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102576643B1 (ko) 2022-12-12 2023-09-11 (주)유니스소프트 지능형 위협 예측 장치 및 방법

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180046615A (ko) 2016-10-28 2018-05-09 한국전자통신연구원 산업제어시스템의 현장 제어 기기 데이터 수집 장치 및 방법
KR101970715B1 (ko) * 2018-11-26 2019-04-22 한밭대학교 산학협력단 스마트 팩토리의 이종 프로토콜을 갖는 기기간 데이터 통신 시스템
KR102252887B1 (ko) * 2020-11-12 2021-05-18 (주)유니스소프트 Ot 네트워크에서의 계층적 데이터 이상탐지 시스템 및 그 방법
KR20210109292A (ko) * 2020-02-27 2021-09-06 코넥스파워 주식회사 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180046615A (ko) 2016-10-28 2018-05-09 한국전자통신연구원 산업제어시스템의 현장 제어 기기 데이터 수집 장치 및 방법
KR101970715B1 (ko) * 2018-11-26 2019-04-22 한밭대학교 산학협력단 스마트 팩토리의 이종 프로토콜을 갖는 기기간 데이터 통신 시스템
KR20210109292A (ko) * 2020-02-27 2021-09-06 코넥스파워 주식회사 다기능 측정기를 통해 산업현장 설비 관리하는 빅데이터 서버 시스템
KR102252887B1 (ko) * 2020-11-12 2021-05-18 (주)유니스소프트 Ot 네트워크에서의 계층적 데이터 이상탐지 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102576643B1 (ko) 2022-12-12 2023-09-11 (주)유니스소프트 지능형 위협 예측 장치 및 방법

Similar Documents

Publication Publication Date Title
CN107370732B (zh) 基于神经网络和最优推荐的工控系统异常行为发现系统
US20160330225A1 (en) Systems, Methods, and Devices for Detecting Anomalies in an Industrial Control System
Sousa et al. Elegant: Security of critical infrastructures with digital twins
KR102028093B1 (ko) 네트워크에 대한 이상행위 탐지 방법 및 이를 이용한 장치
CN111181971B (zh) 一种自动检测工业网络攻击的系统
CN112866262B (zh) 一种基于神经网络的电厂安全i区态势感知平台
US20220103591A1 (en) Systems and methods for detecting anomolies in network communication
US10693841B2 (en) System and method for transmitting data relating to an object
KR102417752B1 (ko) 산업 제어 시스템에서의 ai 기반 위협 탐지 시스템 및 그 방법
CN112004204B (zh) 工业物联网中基于分层处理的高维数据异常检测方法
US11392115B2 (en) Zero-trust architecture for industrial automation
CN111224973A (zh) 一种基于工业云的网络攻击快速检测系统
Jadidi et al. Automated detection-in-depth in industrial control systems
KR20210010184A (ko) 이상 상황 탐지 장치 및 방법
Dogaru et al. Cyber attacks of a power grid analysis using a deep neural network approach
Stamatescu et al. Cybersecurity perspectives for smart building automation systems
KR102252887B1 (ko) Ot 네트워크에서의 계층적 데이터 이상탐지 시스템 및 그 방법
CN117614738A (zh) 工业入侵监测系统
EP3674823B1 (en) Method and apparatus for detecting the anomalies of an infrastructure
US10955831B2 (en) Method and apparatus for detecting the anomalies of an infrastructure
JP7299019B2 (ja) インフラストラクチャの異常を検出するための方法および装置
Kharitonov et al. WiP: Distributed intrusion detection system for TCP/IP-based connections in industrial environments using self-organizing maps
Cabus et al. Security Considerations for Remote Terminal Units
Aldossary et al. Securing SCADA systems against cyber-attacks using artificial intelligence
Sivakumar et al. Intrusion Detection System for Securing the SCADA Industrial Control System

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant