KR102484940B1 - Method and apparatus for detecting anomalies in industrial control system using packet order information - Google Patents
Method and apparatus for detecting anomalies in industrial control system using packet order information Download PDFInfo
- Publication number
- KR102484940B1 KR102484940B1 KR1020220036479A KR20220036479A KR102484940B1 KR 102484940 B1 KR102484940 B1 KR 102484940B1 KR 1020220036479 A KR1020220036479 A KR 1020220036479A KR 20220036479 A KR20220036479 A KR 20220036479A KR 102484940 B1 KR102484940 B1 KR 102484940B1
- Authority
- KR
- South Korea
- Prior art keywords
- packet
- data packets
- industrial
- industrial facility
- information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims description 16
- 230000002159 abnormal effect Effects 0.000 claims abstract description 23
- 238000001514 detection method Methods 0.000 claims abstract description 14
- 208000024891 symptom Diseases 0.000 claims description 18
- 239000000284 extract Substances 0.000 claims description 5
- 230000005856 abnormality Effects 0.000 claims description 3
- 238000013473 artificial intelligence Methods 0.000 claims description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000014509 gene expression Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 2
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000003252 repetitive effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 산업제어시스템에서 이상징후를 감지하는 기술에 관한 것으로, 특히 수집된 데이터 패킷으로부터 얻어진 패킷 순서정보를 이용하여 산업제어시스템 내부 또는 각 산업시설의 이상징후를 감지하는 방법 및 장치에 관한 것이다.The present invention relates to a technology for detecting anomalies in an industrial control system, and more particularly, to a method and apparatus for detecting anomalies in an industrial control system or in each industrial facility using packet sequence information obtained from collected data packets. .
산업제어시스템(Industrial Control System, ICS)은 전력, 가스, 수도, 교통 등의 국가 주요 산업기반시설 및 산업분야에서 원거리에 산재된 시스템의 효과적인 원격 모니터링 및 제어를 위해 필수적으로 사용되는 시스템이다.An Industrial Control System (ICS) is a system that is essential for effective remote monitoring and control of systems scattered over long distances in major national industrial infrastructures and industries, such as power, gas, water supply, and transportation.
기존의 일반 IT 시스템은 다양한 운영체제, 다양한 하드웨어 및 소프트웨어, 다양한 프로토콜을 사용하는 범용적 환경 특성을 갖고 보안위협에 따른 영향도가 상대적으로 낮은 반면에, 산업제어시스템은 외부와의 네트워크가 차단된 단방향 구조의 폐쇄적인 환경으로 구성되고, 자체 운영체제, 자체 하드웨어, 자체 소프트웨어 및 사업자 중심의 비표준 프로토콜을 사용하는 제한적 환경 특성을 갖는다.Existing general IT systems have general-purpose environment characteristics using various operating systems, various hardware and software, and various protocols, and are relatively less affected by security threats. It is composed of a closed environment of structure and has limited environment characteristics using its own operating system, its own hardware, its own software, and operator-oriented non-standard protocols.
산업제어시스템은 그동안 폐쇄적인 환경으로 구축되어 상대적으로 보안에 대해 안정적이라고 생각되어 왔으나 최근 스턱스넷(Stuxnet) 및 랜섬웨어(Ransomware) 위협 등 알려지지 않은 보안 위협이 대두되고 있으며, 국가 기반산업으로서 그 파급 효과가 매우 큰 점을 고려하여 전 세계적으로 산업제어시스템 보안위협에 대응하기 위한 기술개발에 관심을 가지고 있다.Industrial control systems have been built in a closed environment and have been considered relatively stable for security, but recently unknown security threats such as Stuxnet and Ransomware threats have emerged, and their spread as a national infrastructure industry. Considering that the effect is very large, we are interested in developing technology to respond to security threats to industrial control systems worldwide.
일반 IT 시스템이 개방형 네트워크에서 사용하는 프로토콜은 이미 알려져 있는 표준 사양이기에 데이터 패킷의 보안 위협 역시 적절하게 잘 대응되고 있으며. 기존의 알려진 보안 위협에 대해서는 블랙리스트(blacklist)를 생성하여 서로 공유하여 대처하고 있다.Since the protocol used by general IT systems in an open network is a standard specification that is already known, the security threat of data packets is also properly addressed. For existing known security threats, a blacklist is created and shared with each other to deal with it.
그러나, 산업제어시스템은 사업자 중심의 독자적인 프로토콜을 사용하고 있으며, 사업자가 자사의 프로토콜에 대한 규격(Specification)을 제공하지 않아 보안위협에 대한 대응방안 수립에 한계가 있는 상황이다. 또한, 폐쇄적인 환경 하에서 비표준 프로토콜을 사용하는 산업제어시스템에서 데이터 패킷만으로 산업제어시스템 내의 이상징후 및 각 산업시설의 이상동작 등을 파악하기 어려운 실정이므로, 산업제어시스템 및 각 산업시설의 상태를 정확하게 파악할 수 있는 방안이 요구된다.However, industrial control systems use proprietary protocols centered on operators, and operators do not provide specifications for their own protocols, so there is a limit to establishing countermeasures against security threats. In addition, in an industrial control system using non-standard protocols in a closed environment, it is difficult to identify abnormal symptoms in the industrial control system and abnormal operation of each industrial facility only with data packets. A way to find out is required.
본 발명은 상기와 같은 점을 감안하여 창안된 것으로서, 비표준 프로토콜을 사용하는 산업제어시스템에서 이상징후를 보다 정확하게 감지하는 방법 및 장치를 제공하는 데에 그 목적이 있다. The present invention has been devised in view of the above, and an object of the present invention is to provide a method and apparatus for more accurately detecting anomalies in an industrial control system using a non-standard protocol.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다. The technical problems to be achieved in the present invention are not limited to the technical problems mentioned above, and other technical problems not mentioned will be clearly understood by those skilled in the art from the description below. You will be able to.
상기 목적을 달성하기 위한 본 발명에 따른 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지장치는 산업제어시스템으로부터 수집된 데이터 패킷들 중 정상적인 데이터 패킷을 식별하고, 상기 정상적인 데이터 패킷의 패킷유형정보를 포함하는 패킷 화이트리스트를 생성하는 제 1 분석모듈; 상기 정상적인 데이터 패킷들 중 각 산업시설에 유효한 데이터 패킷을 식별하고, 산업시설별로 유효한 데이터 패킷을 나타내는 산업시설별 패킷 화이트리스트를 생성하는 제 2 분석모듈; 상기 정상적인 데이터 패킷들 중 제어명령어에 따라 순차적으로 사용되는 데이터 패킷들을 그룹화하고, 상기 그룹화된 데이터 패킷들의 순서를 나타내는 패킷 순서정보들을 생성하는 제 3 분석모듈; 상기 패킷 순서정보들 중 각 산업시설에 적용되는 패킷 순서정보를 판단하여 산업시설별 패킷 순서정보를 생성하는 제 4 분석모듈; 및 실시간으로 수신되는 데이터 패킷들 및 상기 산업시설별 패킷 순서정보를 이용하여 상기 산업제어시스템 내의 이상징후를 감지하는 이상징후 감지모듈을 포함한다.In order to achieve the above object, an apparatus for detecting anomalies in an industrial control system using packet sequence information according to the present invention identifies normal data packets among data packets collected from the industrial control system and retrieves packet type information of the normal data packets. A first analysis module for generating a packet white list containing; a second analysis module for identifying data packets valid for each industrial facility among the normal data packets and generating a packet whitelist for each industrial facility indicating valid data packets for each industrial facility; a third analysis module for grouping data packets sequentially used according to a control command among the normal data packets and generating packet sequence information indicating the order of the grouped data packets; a fourth analysis module for determining packet sequence information applied to each industrial facility among the packet sequence information and generating packet sequence information for each industrial facility; and an anomaly detection module for detecting an anomaly within the industrial control system by using data packets received in real time and packet sequence information for each industrial facility.
상기 제 1 분석모듈은 상기 수집된 데이터 패킷들의 패킷유형정보를 기저장된 패킷유형정보와 비교하여 상기 정상적인 데이터 패킷을 식별한다. 상기 제 2 분석모듈은 각 산업시설을 식별하기 위한 ID 및 상기 ID에 유효한 데이터 패킷의 패킷유형정보를 포함하도록 상기 산업시설별 패킷 화이트리스트를 생성한다. 상기 제 3 분석모듈은 상기 정상적인 데이터 패킷들 중에서 동일한 제어명령어를 포함하는 데이터 패킷들의 순서를 판단하고, 상기 판단된 순서에 따라 해당 데이터 패킷들의 패킷유형정보의 순서를 나타내도록 상기 패킷 순서정보를 생성한다. 상기 제 4 분석모듈은 각 산업시설을 식별하기 위한 ID 및 상기 ID에 적용되는 패킷 순서정보를 포함하도록 상기 산업시설별 패킷 순서정보를 생성한다.The first analysis module identifies the normal data packet by comparing packet type information of the collected data packets with pre-stored packet type information. The second analysis module generates a packet whitelist for each industrial facility to include an ID for identifying each industrial facility and packet type information of data packets valid for the ID. The third analysis module determines the order of data packets including the same control command among the normal data packets, and generates the packet order information to indicate the order of packet type information of corresponding data packets according to the determined order. do. The fourth analysis module generates packet sequence information for each industrial facility to include an ID for identifying each industrial facility and packet sequence information applied to the ID.
상기 이상징후 감지모듈은 실시간으로 수신되는 데이터 패킷들에 포함된 산업시설 ID 및 패킷유형정보를 상기 산업시설별 패킷 순서정보와 비교하여 상기 산업제어시스템 내의 이상징후를 감지한다.The anomaly detection module detects an anomaly in the industrial control system by comparing industrial facility ID and packet type information included in data packets received in real time with packet sequence information for each industrial facility.
본 발명에 따른 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지바법은 산업제어시스템으로부터 수집된 데이터 패킷들 중 정상적인 데이터 패킷을 식별하는 단계; 상기 정상적인 데이터 패킷의 패킷유형정보를 포함하는 패킷 화이트리스트를 생성하는 단계; 상기 정상적인 데이터 패킷들 중 각 산업시설에 유효한 데이터 패킷을 식별하고, 산업시설별로 유효한 데이터 패킷을 나타내는 산업시설별 패킷 화이트리스트를 생성하는 단계; 상기 정상적인 데이터 패킷들 중 제어명령어에 따라 순차적으로 사용되는 데이터 패킷들을 그룹화하고, 상기 그룹화된 데이터 패킷들의 순서를 나타내는 패킷 순서정보들을 생성하는 단계; 상기 패킷 순서정보들 중 각 산업시설에 적용되는 패킷 순서정보를 판단하여 산업시설별 패킷 순서정보를 생성하는 단계; 및 실시간으로 수신되는 데이터 패킷들 및 상기 산업시설별 패킷 순서정보를 이용하여 상기 산업제어시스템 내의 이상징후를 감지하는 단계를 포함한다.An abnormal symptom detection method of an industrial control system using packet sequence information according to the present invention includes the steps of identifying normal data packets among data packets collected from an industrial control system; generating a packet whitelist including packet type information of the normal data packet; identifying data packets valid for each industrial facility among the normal data packets and generating a packet whitelist for each industrial facility indicating valid data packets for each industrial facility; grouping data packets sequentially used according to a control command among the normal data packets, and generating packet sequence information indicating an order of the grouped data packets; generating packet sequence information for each industrial facility by determining packet sequence information applied to each industrial facility among the packet sequence information; and detecting an anomaly in the industrial control system using data packets received in real time and packet sequence information for each industrial facility.
상기 정상적인 데이터 패킷을 식별하는 단계에서, 상기 수집된 데이터 패킷들의 패킷유형정보를 기저장된 패킷유형정보와 비교하여 상기 정상적인 데이터 패킷을 식별한다.In the step of identifying the normal data packet, the normal data packet is identified by comparing packet type information of the collected data packets with pre-stored packet type information.
상기 산업시설별 패킷 화이트리스트를 생성하는 단계에서, 각 산업시설을 식별하기 위한 ID 및 상기 ID에 유효한 데이터 패킷의 패킷유형정보를 포함하도록 상기 산업시설별 패킷 화이트리스트를 생성한다.In the step of generating the packet whitelist for each industrial facility, the packet whitelist for each industrial facility is created to include an ID for identifying each industrial facility and packet type information of data packets valid for the ID.
상기 패킷 순서정보들을 생성하는 단계에서 상기 정상적인 데이터 패킷들 중에서 동일한 제어명령어를 포함하는 데이터 패킷들의 순서를 판단하고, 상기 판단된 순서에 따라 해당 데이터 패킷들의 패킷유형정보의 순서를 나타내도록 상기 패킷 순서정보를 생성한다.In the step of generating the packet order information, the order of data packets including the same control command among the normal data packets is determined, and the order of the packet type information of the corresponding data packets is indicated according to the determined order. generate information
상기 산업시설별 패킷 순서정보를 생성하는 단계, 각 산업시설을 식별하기 위한 ID 및 상기 ID에 적용되는 패킷 순서정보를 포함하도록 상기 산업시설별 패킷 순서정보를 생성한다.Generating the packet sequence information for each industrial facility, generating the packet sequence information for each industrial facility to include an ID for identifying each industrial facility and packet sequence information applied to the ID.
상기 산업제어시스템 내의 이상징후를 감지하는 단계에서, 실시간으로 수신되는 데이터 패킷들에 포함된 산업시설 ID 및 패킷유형정보를 상기 산업시설별 패킷 순서정보와 비교하여 상기 산업제어시스템 내의 이상징후를 감지한다.In the step of detecting abnormal symptoms in the industrial control system, industrial facility ID and packet type information included in data packets received in real time are compared with packet order information for each industrial facility to detect abnormal symptoms in the industrial control system. .
본 발명에 따른 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지 방법 및 장치는 수집된 데이터 패킷으로부터 패킷 순서정보를 학습하고, 학습된 패킷 순서정보와 실시간으로 수집되는 데이터 패킷을 이용하여 산업제어시스템의 이상징후를 정확하게 감지할 수 있다.A method and apparatus for detecting anomalies in an industrial control system using packet sequence information according to the present invention learn packet sequence information from collected data packets, and use the learned packet sequence information and data packets collected in real time to control the industrial control system. abnormalities can be accurately detected.
도 1은 본 발명의 일 실시예에 따른 산업제어시스템의 이상징후를 감지하는 장치(10)를 나타낸 도면이다.
도 2는 본 발명의 일 실시예에 따른 산업제어시스템의 이상징후를 감지하는 방법을 나타낸 순서도이다.
도 3은 본 발명의 데이터 패킷의 일 예를 나타낸 도면이다.
도 4는 본 발명의 패킷 화이트리스트의 일 예를 나타낸 도면이다.
도 5는 본 발명의 패킷 순서정보의 일 예를 나타낸 도면이다.1 is a diagram showing a
2 is a flowchart illustrating a method of detecting abnormal symptoms of an industrial control system according to an embodiment of the present invention.
3 is a diagram showing an example of a data packet of the present invention.
4 is a diagram showing an example of a packet whitelist according to the present invention.
5 is a diagram showing an example of packet order information according to the present invention.
본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시예들은 다양한 형태들로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.Specific structural or functional descriptions of the embodiments according to the concept of the present invention disclosed in this specification are only illustrated for the purpose of explaining the embodiments according to the concept of the present invention, and the embodiments according to the concept of the present invention It can be embodied in various forms and is not limited to the embodiments described herein.
본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시 형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물, 또는 대체물을 포함한다.Embodiments according to the concept of the present invention can apply various changes and can have various forms, so the embodiments are illustrated in the drawings and described in detail in this specification. However, this is not intended to limit the embodiments according to the concept of the present invention to specific disclosure forms, and includes all changes, equivalents, or substitutes included in the spirit and technical scope of the present invention.
제1 또는 제2 등의 용어는 다양한 구성 요소들을 설명하는데 사용될 수 있지만, 상기 구성 요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성 요소를 다른 구성 요소로부터 구별하는 목적으로만, 예컨대 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1구성요소는 제2구성요소로 명명될 수 있고, 유사하게 제2구성요소는 제1구성요소로도 명명될 수 있다.Terms such as first or second may be used to describe various components, but the components should not be limited by the terms. The above terms are only for the purpose of distinguishing one component from another component, e.g., without departing from the scope of rights according to the concept of the present invention, a first component may be termed a second component, and similarly The second component may also be referred to as the first component.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 다른 표현들, 즉 "~사이에"와 "바로 ~사이에" 또는 "~에 이웃하는"과 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, but other elements may exist in the middle. It should be. On the other hand, when an element is referred to as “directly connected” or “directly connected” to another element, it should be understood that no other element exists in the middle. Other expressions describing the relationship between elements, such as "between" and "directly between" or "adjacent to" and "directly adjacent to", etc., should be interpreted similarly.
본 명세서에서 사용한 용어는 단지 특정한 실시 예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다.Terms used in this specification are only used to describe specific embodiments, and are not intended to limit the present invention. Singular expressions include plural expressions unless the context clearly dictates otherwise.
본 명세서에서, "포함한다" 또는 "갖는다" 등의 용어는 설명된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.In this specification, terms such as "comprise" or "having" are intended to indicate that the described feature, number, step, operation, component, part, or combination thereof is present, but that one or more other features or numbers are present. However, it should be understood that it does not preclude the presence or addition of steps, operations, components, parts, or combinations thereof.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which the present invention belongs.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 포함하는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Terms such as those defined in commonly used dictionaries should be interpreted as including a meaning consistent with the meaning in the context of the related art, and unless explicitly defined herein, interpreted in an ideal or excessively formal meaning. It doesn't work.
이하 첨부된 도면을 참조하여 본 발명의 실시예에 따른 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지 장치 및 방법을 자세히 설명하기로 한다.Hereinafter, an apparatus and method for detecting anomalies in an industrial control system using packet sequence information according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 산업제어시스템의 이상징후를 감지하는 장치(10)를 나타낸 도면이고, 도 2는 본 발명의 실시예에 따른 산업제어시스템의 이상징후를 감지하는 방법을 나타낸 순서도이다.1 is a diagram showing a
산업제어시스템(Industrial control system)은 전력, 가스, 수도, 교통 등의 국가 주요 산업시설 및 산업분야에서 원거리에 산재 된 시스템의 효과적인 원격 모니터링 및 제어를 위해 사용되는 시스템을 모두 포함할 수 있으며, 계측 제어장치와 원격 단말 장치(Remote Terminal Unit, RTU) 또는 지능형 전자 디바이스(Intelligent Electronic Device, IED) 등 단말 장치의 취득데이터를 FEP(Front-End Processor)를 통하여 상위 계층으로 전송하거나 상위의 제어 명령을 전달하는 다중 통신장치를 포함할 수 있다.The industrial control system can include all systems used for effective remote monitoring and control of systems scattered far away from major national industrial facilities and industrial fields such as power, gas, water supply, and transportation. Acquisition data of terminal devices such as control devices and remote terminal units (RTUs) or intelligent electronic devices (IEDs) are transmitted to upper layers through FEP (Front-End Processor) or control commands from upper layers are transmitted. It may include multiple communication devices that transmit.
도 1을 참조하면, 본 발명의 일 실시예에 따른 산업제어시스템의 이상징후 감지 장치(10)는 산업제어시스템에 포함되도록 구성되거나 또는 산업제어시스템과 네트워크로 연결될 수 있다.Referring to FIG. 1 , an abnormal
본 발명의 이상징후 감지 장치(10)는 데이터 패킷 수집모듈(110), 제 1 분석모듈(120), 제 2 분석모듈(130), 제 3 분석모듈(140), 제 4 분석모듈(150), 이상징후 감지모듈(170)을 포함한다. The abnormal
본 명세서에서 모듈(module)이라 함은 본 발명의 실시예에 따른 기술적 사상을 수행하기 위한 하드웨어 및 상기 하드웨어를 구동하기 위한 소프트웨어의 기능적 또는 구조적 결합을 의미할 수 있다. 예컨대, 상기 모듈은 소정의 프로그램 코드와 상기 프로그램 코드가 수행되기 위한 하드웨어 리소스의 논리적 또는 기능적 단위를 의미할 수 있으며, 반드시 물리적으로 연결된 프로그램 코드만을 의미하거나 한 종류의 하드웨어 만을 의미하는 것은 아니다.In this specification, a module may mean a functional or structural combination of hardware for implementing technical ideas according to an embodiment of the present invention and software for driving the hardware. For example, the module may mean a logical or functional unit of predetermined program codes and hardware resources for executing the program codes, and does not necessarily mean only physically connected program codes or only one type of hardware.
데이터 패킷 수집모듈(110)은 산업제어시스템으로부터 데이터 패킷을 수신 및 수집하는데, 산업제어시스템 내부에서 발생하는 모든 데이터 패킷을 수신/수집하거나 또는 산업제어시스템 및 산업시설 사이에서 제어 명령어들이 송수신될 때 사용되는 데이터 패킷을 수신/수집할 수 있다(S11). 데이터 패킷은 적어도 하나 이상의 제어 명령어를 포함하고, 헤더(header) 영역에서 패킷유형정보를 포함한다. 패킷유형정보는 해당 데이터 패킷의 유형, 해당 데이터 패킷에 포함된 제어 명령어의 유형, 해당 데이터 패킷을 식별하기 위한 ID 중 적어도 하나를 나타낼 수 있다.The data
데이터 패킷 수집모듈(110)은 산업제어시스템에서 발생하는 모든 패킷 중에서 수집할 패킷 대상, 범위 및 수집 기간을 스스로 정의하고 이에 해당하는 패킷을 수집할 수 있다.The data
산업제어시스템 및 산업시설 사이에서 제어 명령어들이 송수신될 때 사용되는 데이터 패킷을 수신하는 경우, 산업제어시스템 및 산업시설 사이에 위치한 네트워크 스위치에 미러링 포트가 설정된 이후에 데이터 패킷 수집모듈(110)은 네트워크 스위치를 통해서 해당 패킷을 수신할 수 있다.When receiving data packets used when control commands are transmitted and received between the industrial control system and industrial facilities, after the mirroring port is set in the network switch located between the industrial control system and industrial facilities, the data
데이터 패킷 수집모듈(110)은 수집할 패킷의 대상을 소정 계층에 따라 분류할 수 있으며, 상기 계층은 크게, Statistics 계층, Protocol 계층, Service 계층, Communication 계층, Device 계층으로 분류될 수 있다. 상기 Device 계층은 디바이스 정보를 식별하기 위한 영역으로 IP address, MAC address 등이 될 수 있고, 상기 Communication 계층은 데이터의 흐름 정보를 식별하기 위한 영역으로 Source IP, Destination IP 등이 될 수 있다. 또한, 상기 Service 계층은 사용되고 있는 어플리케이션 서비스를 식별하기 위한 영역으로 Source IP, Destination IP 및 Port Number 등이 될 수 있고, 상기 Protocol 계층은 산업제어시스템에서 사용하는 프로토콜을 식별하기 위한 영역으로 사용 프로토콜 유형 정보 표준 프로토콜 세부정보, 패킷 최대 길이, 오프셋(Offset), 프로토콜 시그니쳐(Protocol Signature)가 될 수 있다. 한편, Statistics 계층은 통계적인 관점에서 산업제어 네트워크 환경에서 발생하는 패킷 사이즈를 식별하기 위한 영역으로 최대 전체 수신 패킷 사이즈, 두 노드 간 최대 통신 패킷 사이즈, 두 노드 간 최소 통신 패킷 사이즈가 될 수 있다.The data
또한, 데이터 패킷 수집모듈(110)은 상기 수집할 패킷의 수집 기간을 사용자 설정에 따라 다양한 기간(예를 들어, 30일)으로 설정할 수 있다.In addition, the data
제 1 분석모듈(120)은 데이터 패킷 수집모듈(110)을 통해서 수집된 데이터 패킷들 중 정상적인 데이터 패킷을 식별한다(S12). 정상적인 데이터 패킷을 식별하는 구체적인 방법은 다음과 같다. The
정상적인 데이터 패킷을 식별하는 방법 1
제 1 분석모듈(120)은 수집된 데이터 패킷들 각각의 패킷유형정보(packet type information)를 기저장된 패킷유형정보와 비교하여 정상적인 데이터 패킷을 식별할 수 있다. 이를 위하여, 도 3에 도시된 바와 같이 제 1 분석모듈(120)은 수집된 데이터 패킷의 헤더(header)에서 패킷유형정보(packet type information)를 추출하고, 추출된 패킷유형정보와 동일한 값을 갖는 기저장된 패킷유형정보가 있는지를 판단한다. 만약, 추출된 패킷유형정보와 동일한 값을 갖는 기저장된 패킷유형정보가 있다면 해당 데이터 패킷을 정상적인 데이터 패킷으로 인식한다.The
정상적인 데이터 패킷을 식별하는 방법 2
제 1 분석모듈(120)은 수집된 데이터 패킷들 각각의 헤더에서 Context ID나 Opnum 등의 값을 추출하고, 이 추출된 값들을 기저장된 정보와 비교하여 정상적인 데이터 패킷을 식별할 수 있다. 예를 들어, 추출된 Context ID와 Opnum 중 적어도 하나와 동일한 값을 갖는 기저장된 정보가 있다면 해당 데이터 패킷을 정상적인 데이터 패킷으로 인식할 수 있다.The
정상적인 데이터 패킷을 식별하는 방법 3
제 1 분석모듈(120)은 수집된 데이터 패킷들 각각에 포함된 제어명령어를 기저장된 제어명령어와 비교하여 정상적인 데이터 패킷을 식별할 수 있다. 예를 들어, 수집된 데이터 패킷의 제어명령어가 기저장된 제어명령어에 있다면 해당 데이터 패킷을 정상적인 데이터 패킷으로 인식할 수 있다.The
위 세 가지 방법들을 혼용하는 것도 가능하며 이들의 변형된 방법도 가능하다.It is also possible to use the above three methods in combination, and a modified method thereof is also possible.
정상적인 데이터 패킷이 식별되면, 도 4에 도시된 바와 같이 제 1 분석모듈(120)은 정상적인 데이터 패킷의 패킷유형정보를 포함하도록 패킷 화이트리스트를 생성한다(S13). 도 4는 패킷 화이트리스트의 일 예를 나타낸 도면이다. If the normal data packet is identified, as shown in FIG. 4 , the
제 2 분석모듈(130)은 정상적인 데이터 패킷들 중 각 산업시설에 유효한 데이터 패킷을 식별하는데, 이를 위해서 각 데이터 패킷의 송신처와 수신처를 확인함으로써 각 산업시설에 유효한 데이터 패킷을 식별할 수 있다. The
이어, 제 2 분석모듈(130)은 산업시설별로 유효한 데이터 패킷을 나타내는 산업시설별 패킷 화이트리스트를 생성한다(S14). 이때, 제 2 분석모듈(130)은 각 산업시설을 식별하기 위한 ID 및 상기 ID에 유효한 데이터 패킷의 패킷유형정보를 포함하도록 산업시설별 패킷 화이트리스트를 생성할 수 있다.Subsequently, the
제 3 분석모듈(140)은 정상적인 데이터 패킷들 중 제어명령어에 따라 순차적으로 사용되는 데이터 패킷들을 그룹화하고, 상기 그룹화된 데이터 패킷들의 순서를 나타내는 패킷 순서정보들을 생성한다(S15). 예를 들어, 제 3 분석모듈(140)은 정상적인 데이터 패킷들 중에서 동일한 제어명령어를 포함하는 데이터 패킷들의 순서를 판단하고, 판단된 순서에 따라 해당 데이터 패킷들의 패킷유형정보의 순서를 나타내도록 도 5와 같은 패킷 순서정보를 생성한다. 도 5는 패킷 순서정보의 일 예를 나타낸다.The
또한, 제 3 분석모듈(140)은 수집된 데이터 패킷들의 패킷유형정보의 값이 변경되는 구간들에 대한 패킷 구간정보를 생성할 수 있다. 이때, 제 3 분석모듈(140)은 인공지능 분석 모델(예를 들어, Auto Encoder)을 이용하여 일정 시간을 주기로 데이터 패킷의 특이점을 추출하고 이를 이용하여 패킷 구간정보를 생성한다. 예를 들어, 수집된 데이터 패킷들 내의 패킷유형정보의 값이 변화하는 시점이 4개이면 제 3 분석모듈(140)은 이 4개의 시점을 특이점으로 추출한다. In addition, the
제 3 분석모듈(140)은 추출된 특이점을 근거로 하여 상기 패킷유형정보의 값이 변경되는 타이밍에 대한 정보, 상기 변경된 패킷유형정보의 값들, 상기 패킷유형정보들의 변경 순서를 나타내는 정보 중 적어도 하나를 포함하도록 패킷 구간정보를 생성한다. 패킷 구간정보는 패킷 순서정보 대신에 사용되거나 또는 패킷 순서정보와 함께 사용될 수 있다.The
만약, 수집된 데이터 패킷들 중에서 적어도 하나의 데이터 패킷에 패킷유형정보가 없는 경우에는 제 3 분석모듈(140)은 해당 데이터 패킷에 적합한 패킷유형정보를 생성하고 이를 해당 데이터 패킷의 헤더에 삽입할 수 있다. 그리고 제 3 분석모듈(140)은 데이터 패킷에서 추출된 패킷유형정보 및 삽입된 패킷유형정보의 값이 변경되는 구간들 전체에 대한 패킷 구간정보를 생성할 수 있다.If at least one of the collected data packets does not have packet type information, the
제 4 분석모듈(150)은 제 3 분석모듈(140)에서 생성된 패킷 순서정보들 중 각 산업시설에 적용되는 패킷 순서정보를 판단하여 산업시설별 패킷 순서정보를 생성하다(S16). 이때, 제 4 분석모듈(150)은 각 산업시설을 식별하기 위한 ID 및 상기 ID에 적용되는 패킷 순서정보를 포함하도록 산업시설별 패킷 순서정보를 생성할 수 있다. The
상술한 패킷 화이트리스트, 산업시설별 패킷 화이트리스트, 패킷 순서정보, 산업시설별 패킷 순서정보는 긴 기간동안 반복적인 학습을 통해서 생성되는 것이 바람직하다.Preferably, the above-mentioned packet whitelist, packet whitelist for each industrial facility, packet order information, and packet order information for each industrial facility are generated through repetitive learning for a long period of time.
이상징후 감지모듈(170)은 데이터 패킷 수집모듈(110)을 통해서 데이터 패킷들을 실시간으로 수신하고, 실시간으로 수신되는 데이터 패킷들을 네 가지의 학습데이터들(패킷 화이트리스트, 산업시설별 패킷 화이트리스트, 패킷 순서정보, 산업시설별 패킷 순서정보) 중 적어도 하나와 비교하여 산업제어시스템 내의 이상징후를 감지할 수 있다(S17). The
네 가지 종류의 학습 데이터들의 사용 우선순위는 산업시설별 패킷 순서정보>패킷 순서정보>산업시설별 패킷 화이트리스트>패킷 화이트리스트 순이다. 우선순위가 높은 학습 데이터을 이용하여 경우 상대적으로 이상징후를 판단하는 데에 소요되는 시간이 적고 정확도가 더 높다. 즉, 패킷의 정상 여부와 사용순서를 나타내는 패킷 순서정보가 패킷 화이트리스트나 산업시설별 패킷 화이트리스트보다 상대적으로 소요시간이 적고 정확도가 높다. 또한, 산업시설의 종류가 파악된 경우에는 산업시설별 패킷 순서정보가 패킷 순서정보에 비해서 소요시간이 더 적고 정확도가 높다.The order of use of the four types of learning data is in the order of packet order information by industrial facility > packet order information > packet white list by industrial facility > packet white list. In the case of using high-priority learning data, the time required to determine an anomaly is relatively low and the accuracy is high. That is, the packet sequence information indicating whether the packets are normal and the order of use takes relatively less time and higher accuracy than the packet whitelist or the packet whitelist for each industrial facility. In addition, when the type of industrial facility is known, packet order information for each industrial facility takes less time and has higher accuracy than packet order information.
이상징후를 판단하기 위해서 네 가지의 학습 데이터를 모두 사용하는 것도 가능하지만, 실시간으로 수신되는 데이터 패킷의 양에 따라 학습 데이터를 선택적으로 사용하는 것이 바람직하다. 일 예로, 실시간으로 수신되는 데이터 패킷의 양이 많은 경우, 신속한 진행를 위해서 이상징후 감지모듈(170)은 실시간으로 수신되는 데이터 패킷들 및 산업시설별 패킷 순서정보만을 이용하여 산업제어시스템 내의 이상징후를 감지할 수 있다. 이때, 실시간으로 수신되는 데이터 패킷들에 포함된 산업시설 ID 및 패킷유형정보를 산업시설별 패킷 순서정보 내의 산업시설 ID와 해당 패킷 순서정보를 비교하고 동일 여부를 판단함으로써 산업제어시스템 내의 이상징후를 쉽게 감지할 수 있다. 즉, 실시간으로 수신되는 데이터 패킷들의 사용처와 순서를 산업시설별 패킷 순서정보와 비교함으로써 이상징후를 판단한다.Although it is possible to use all four types of training data to determine an anomaly, it is preferable to selectively use training data according to the amount of data packets received in real time. For example, when the amount of data packets received in real time is large, the
이상, 본 발명을 본 발명의 원리를 예시하기 위한 바람직한 실시예와 관련하여 도시하고 설명하였으나, 본 발명은 그와 같이 도시되고 설명된 그대로의 구성 및 작용으로 한정되는 것이 아니다. 오히려 첨부된 특허청구범위의 사상 및 범위를 일탈함이 없이 본 발명에 대한 다수의 변경 및 수정이 가능함을 당업자들은 잘 이해할 수 있을 것이다.In the above, the present invention has been shown and described in relation to preferred embodiments for illustrating the principles of the present invention, but the present invention is not limited to the configuration and operation as shown and described. Rather, it will be appreciated by those skilled in the art that many changes and modifications may be made to the present invention without departing from the spirit and scope of the appended claims.
110: 데이터패킷 수집모듈 120: 제 1 분석모듈
130: 제 2 분석모듈 140: 제 3 분석모듈
150: 제 4 분석모듈 170: 이상징후 감지모듈110: data packet collection module 120: first analysis module
130: second analysis module 140: third analysis module
150: fourth analysis module 170: abnormal symptom detection module
Claims (12)
상기 정상적인 데이터 패킷들 중 각 산업시설에 유효한 데이터 패킷을 식별하고, 산업시설별로 유효한 데이터 패킷을 나타내는 산업시설별 패킷 화이트리스트를 생성하는 제 2 분석모듈;
상기 정상적인 데이터 패킷들 중 제어명령어에 따라 순차적으로 사용되는 데이터 패킷들을 그룹화하고, 상기 그룹화된 데이터 패킷들의 순서를 나타내는 패킷 순서정보들을 생성하며, 상기 정상적인 데이터 패킷들 중에서 동일한 제어명령어를 포함하는 데이터 패킷들의 순서를 판단하고, 상기 판단된 순서에 따라 해당 데이터 패킷들의 패킷유형정보의 순서를 나타내도록 상기 패킷 순서정보를 생성하는 제 3 분석모듈;
상기 패킷 순서정보들 중 각 산업시설에 적용되는 패킷 순서정보를 판단하여 산업시설별 패킷 순서정보를 생성하는 제 4 분석모듈; 및
실시간으로 수신되는 데이터 패킷들 및 상기 산업시설별 패킷 순서정보를 이용하여 상기 산업제어시스템 내의 이상징후를 감지하는 이상징후 감지모듈을 포함하고;
상기 제 3 분석모듈은 인공지능 분석 모델로써 일정 시간을 주기로 데이터 패킷의 특이점을 추출하고, 추출된 특이점을 이용하여 수집된 데이터 패킷들의 패킷유형정보의 값이 변경되는 구간들에 대한 패킷 구간정보를 생성하며;
상기 이상징후 감지모듈은,
실시간으로 수신되는 데이터 패킷들에 포함된 산업시설 ID 및 패킷유형정보를 상기 산업시설별 패킷 순서정보 및 패킷 구간정보와 비교하여 상기 산업제어시스템 내의 이상징후를 감지하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지장치.Among the data packets collected from the industrial control system, a normal data packet is identified, a packet whitelist including the packet type information of the normal data packet is created, and the packet type information of the collected data packets is converted into pre-stored packet type information. A first analysis module for identifying the normal data packet by comparison with;
a second analysis module for identifying data packets valid for each industrial facility among the normal data packets and generating a packet whitelist for each industrial facility indicating valid data packets for each industrial facility;
Among the normal data packets, data packets sequentially used according to a control command are grouped, packet order information indicating the order of the grouped data packets is generated, and data packets including the same control command among the normal data packets a third analysis module for determining the order of data packets and generating the packet order information to indicate the order of packet type information of corresponding data packets according to the determined order;
a fourth analysis module for determining packet sequence information applied to each industrial facility among the packet sequence information and generating packet sequence information for each industrial facility; and
and an anomaly detection module for detecting an anomaly in the industrial control system using data packets received in real time and packet sequence information for each industrial facility;
The third analysis module is an artificial intelligence analysis model, which extracts singularities of data packets at regular intervals and uses the extracted singularities to obtain packet interval information for intervals in which the value of packet type information of collected data packets is changed. generate;
The abnormal symptom detection module,
Industrial facility ID and packet type information included in data packets received in real time are compared with packet order information and packet section information for each industrial facility to detect abnormalities in the industrial control system. Abnormal symptom detection device of industrial control system.
상기 제 2 분석모듈은,
각 산업시설을 식별하기 위한 ID 및 상기 ID에 유효한 데이터 패킷의 패킷유형정보를 포함하도록 상기 산업시설별 패킷 화이트리스트를 생성하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지장치.According to claim 1,
The second analysis module,
A device for detecting anomalies in an industrial control system using packet order information, characterized in that a packet whitelist for each industrial facility is generated to include an ID for identifying each industrial facility and packet type information of data packets valid for the ID.
상기 제 4 분석모듈은,
각 산업시설을 식별하기 위한 ID 및 상기 ID에 적용되는 패킷 순서정보를 포함하도록 상기 산업시설별 패킷 순서정보를 생성하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지장치.According to claim 1,
The fourth analysis module,
An abnormal symptom detection device of an industrial control system using packet sequence information, characterized in that for generating packet sequence information for each industrial facility to include an ID for identifying each industrial facility and packet sequence information applied to the ID.
상기 정상적인 데이터 패킷의 패킷유형정보를 포함하는 패킷 화이트리스트를 생성하는 단계;
상기 정상적인 데이터 패킷들 중 각 산업시설에 유효한 데이터 패킷을 식별하고, 산업시설별로 유효한 데이터 패킷을 나타내는 산업시설별 패킷 화이트리스트를 생성하는 단계;
상기 정상적인 데이터 패킷들 중 제어명령어에 따라 순차적으로 사용되는 데이터 패킷들을 그룹화하고, 상기 그룹화된 데이터 패킷들의 순서를 나타내는 패킷 순서정보들을 생성하는 단계;
상기 패킷 순서정보들 중 각 산업시설에 적용되는 패킷 순서정보를 판단하여 산업시설별 패킷 순서정보를 생성하는 단계; 및
실시간으로 수신되는 데이터 패킷들 및 상기 산업시설별 패킷 순서정보를 이용하여 상기 산업제어시스템 내의 이상징후를 감지하는 단계를 포함하며,
상기 산업제어시스템으로부터 수집된 데이터 패킷들 중 정상적인 데이터 패킷을 식별하는 단계에서,
상기 수집된 데이터 패킷들의 패킷유형정보를 기저장된 패킷유형정보와 비교하여 상기 정상적인 데이터 패킷을 식별하고,
상기 패킷 순서정보들을 생성하는 단계에서,
상기 정상적인 데이터 패킷들 중에서 동일한 제어명령어를 포함하는 데이터 패킷들의 순서를 판단하고, 상기 판단된 순서에 따라 해당 데이터 패킷들의 패킷유형정보의 순서를 나타내도록 상기 패킷 순서정보를 생성하며,
인공지능 분석 모델로써 일정 시간을 주기로 데이터 패킷의 특이점을 추출하고, 추출된 특이점을 이용하여 수집된 데이터 패킷들의 패킷유형정보의 값이 변경되는 구간들에 대한 패킷 구간정보를 생성하고,
상기 산업제어시스템 내의 이상징후를 감지하는 단계에서,
실시간으로 수신되는 데이터 패킷들에 포함된 산업시설 ID 및 패킷유형정보를 상기 산업시설별 패킷 순서정보 및 패킷 구간정보와 비교하여 상기 산업제어시스템 내의 이상징후를 감지하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지방법.Identifying normal data packets among data packets collected from the industrial control system;
generating a packet whitelist including packet type information of the normal data packet;
identifying data packets valid for each industrial facility among the normal data packets and generating a packet whitelist for each industrial facility indicating valid data packets for each industrial facility;
grouping data packets sequentially used according to a control command among the normal data packets, and generating packet sequence information indicating an order of the grouped data packets;
generating packet sequence information for each industrial facility by determining packet sequence information applied to each industrial facility among the packet sequence information; and
Detecting an anomaly in the industrial control system using data packets received in real time and packet sequence information for each industrial facility,
In the step of identifying normal data packets among data packets collected from the industrial control system,
Identifying the normal data packet by comparing packet type information of the collected data packets with pre-stored packet type information;
In the step of generating the packet order information,
Determining the order of data packets including the same control command among the normal data packets, and generating the packet order information to indicate the order of packet type information of the corresponding data packets according to the determined order;
As an artificial intelligence analysis model, singular points of data packets are extracted at regular intervals, and packet section information for sections in which the value of packet type information of the collected data packets is changed using the extracted singular points is generated,
In the step of detecting abnormal symptoms in the industrial control system,
Industrial facility ID and packet type information included in data packets received in real time are compared with packet order information and packet section information for each industrial facility to detect abnormalities in the industrial control system. A method for detecting anomalies in industrial control systems.
상기 산업시설별 패킷 화이트리스트를 생성하는 단계에서,
각 산업시설을 식별하기 위한 ID 및 상기 ID에 유효한 데이터 패킷의 패킷유형정보를 포함하도록 상기 산업시설별 패킷 화이트리스트를 생성하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지방법.According to claim 7,
In the step of generating the packet whitelist for each industrial facility,
A method for detecting anomalies in an industrial control system using packet order information, characterized in that a packet whitelist for each industrial facility is generated to include an ID for identifying each industrial facility and packet type information of data packets valid for the ID.
상기 산업시설별 패킷 순서정보를 생성하는 단계,
각 산업시설을 식별하기 위한 ID 및 상기 ID에 적용되는 패킷 순서정보를 포함하도록 상기 산업시설별 패킷 순서정보를 생성하는 것을 특징으로 하는 패킷 순서정보를 이용한 산업제어시스템의 이상징후 감지방법.
According to claim 7,
Generating packet sequence information for each industrial facility;
A method for detecting anomalies in an industrial control system using packet sequence information, characterized in that the packet sequence information for each industrial facility is generated to include an ID for identifying each industrial facility and packet sequence information applied to the ID.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220036479A KR102484940B1 (en) | 2022-03-24 | 2022-03-24 | Method and apparatus for detecting anomalies in industrial control system using packet order information |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020220036479A KR102484940B1 (en) | 2022-03-24 | 2022-03-24 | Method and apparatus for detecting anomalies in industrial control system using packet order information |
Publications (1)
Publication Number | Publication Date |
---|---|
KR102484940B1 true KR102484940B1 (en) | 2023-01-06 |
Family
ID=84923918
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020220036479A KR102484940B1 (en) | 2022-03-24 | 2022-03-24 | Method and apparatus for detecting anomalies in industrial control system using packet order information |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR102484940B1 (en) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130034773A (en) * | 2011-09-29 | 2013-04-08 | 한국전력공사 | Apparatus and method for monitoring network using whitelist |
KR20150026345A (en) * | 2013-09-02 | 2015-03-11 | 한국전력공사 | Apparatus and method for creating whitelist with network traffic |
-
2022
- 2022-03-24 KR KR1020220036479A patent/KR102484940B1/en active IP Right Grant
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20130034773A (en) * | 2011-09-29 | 2013-04-08 | 한국전력공사 | Apparatus and method for monitoring network using whitelist |
KR20150026345A (en) * | 2013-09-02 | 2015-03-11 | 한국전력공사 | Apparatus and method for creating whitelist with network traffic |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110011999B (en) | IPv6 network DDoS attack detection system and method based on deep learning | |
KR102500033B1 (en) | Method and apparatus for detecting anomalies in industrial control system | |
CN109600363B (en) | Internet of things terminal network portrait and abnormal network access behavior detection method | |
CN109547409B (en) | Method and system for analyzing industrial network transmission protocol | |
US9264378B2 (en) | Network monitoring by using packet header analysis | |
CN110336827B (en) | Modbus TCP protocol fuzzy test method based on abnormal field positioning | |
KR102001813B1 (en) | Apparatus and method for detecting abnormal behavior of nonstandard protocol payload using deep neural network algorithm | |
CN113206860B (en) | DRDoS attack detection method based on machine learning and feature selection | |
CN110808865A (en) | Passive industrial control network topology discovery method and industrial control network security management system | |
Matoušek et al. | Efficient modelling of ICS communication for anomaly detection using probabilistic automata | |
CN117411703A (en) | Modbus protocol-oriented industrial control network abnormal flow detection method | |
US11297082B2 (en) | Protocol-independent anomaly detection | |
Pashamokhtari et al. | Progressive monitoring of iot networks using sdn and cost-effective traffic signatures | |
CN111818049A (en) | Botnet flow detection method and system based on Markov model | |
WO2022221389A1 (en) | Method and system for intelligent and scalable misbehavior detection of heterogeneous iot devices at network edge | |
KR102484940B1 (en) | Method and apparatus for detecting anomalies in industrial control system using packet order information | |
CN112291226B (en) | Method and device for detecting abnormity of network flow | |
CN111858140B (en) | Method, device, server and medium for checking pollutant monitoring data | |
CN117294515A (en) | Industrial control network protocol fuzzy test method based on generation of countermeasure network | |
Leal Piedrahita | Hierarchical Clustering for Detecting Anomalous Traffic Conditions in Power Substations | |
Sapozhnikova et al. | Intrusion detection system based on data mining technics for industrial networks | |
CN116527307A (en) | Botnet detection algorithm based on community discovery | |
CN116405261A (en) | Malicious flow detection method, system and storage medium based on deep learning | |
KR102037192B1 (en) | Device and method for continuous signal traffic detection of network traffic through hierarchical structure learning | |
KR102484932B1 (en) | Method and apparatus for detecting anomalies in industrial control system using status information of industrial facilities |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant |