KR102494831B1 - Network intrusion detection system for information processing system of nuclear power plants - Google Patents

Network intrusion detection system for information processing system of nuclear power plants Download PDF

Info

Publication number
KR102494831B1
KR102494831B1 KR1020200178589A KR20200178589A KR102494831B1 KR 102494831 B1 KR102494831 B1 KR 102494831B1 KR 1020200178589 A KR1020200178589 A KR 1020200178589A KR 20200178589 A KR20200178589 A KR 20200178589A KR 102494831 B1 KR102494831 B1 KR 102494831B1
Authority
KR
South Korea
Prior art keywords
packet
module
information processing
nuclear power
packets
Prior art date
Application number
KR1020200178589A
Other languages
Korean (ko)
Other versions
KR20220087993A (en
Inventor
노재희
이석기
Original Assignee
주식회사엔에스이
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사엔에스이 filed Critical 주식회사엔에스이
Priority to KR1020200178589A priority Critical patent/KR102494831B1/en
Publication of KR20220087993A publication Critical patent/KR20220087993A/en
Application granted granted Critical
Publication of KR102494831B1 publication Critical patent/KR102494831B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0654Management of faults, events, alarms or notifications using network fault recovery
    • H04L41/0668Management of faults, events, alarms or notifications using network fault recovery by dynamic selection of recovery network elements, e.g. replacement by the most appropriate element after failure
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명에 따른 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템은 원자력발전소 정보처리계통을 보호하기 위한 경계지점 또는 비안전계통 네트워크망의 사이버위협으로부터 취약한 지점의 비인가 되는 이상패킷을 탐지하고 보안 경보를 발생하기 위한 알고리즘을 내장한 패킷탐지유닛, 화이트리스트 기반의 탐지정책을 설정하고 관리하기 위한 화이트리스트 관리유닛, 보안로그 및 이벤트로그 등의 정보를 저장하고 모니터링할 수 있는 중앙모니터링서버를 포함하는 것을 특징으로 한다. 본 발명의 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템의 패킷탐지유닛은 탭모듈을 사용하여 전원상실로 인한 자체결함 발생 시 기존 시스템의 정보처리계통 네트워크 구간을 패시브하게 연결하여 기존 선로에 영향을 미치지 않고 통신선로를 유지하는 효과를 가지며 모든 패킷 수집과 이상패킷 탐지를 동시에 수행할 수 있는 것을 특징으로 한다. 본 발명의 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템은 원자력의 안전 및 보안 규제 요건을 만족하는 원전 전용 보안시스템으로 원전의 사이버 보안성 향상에 이바지할 수 있는 효과를 갖는다.Nuclear power plant information processing system network anomaly detection system according to the present invention detects unauthorized abnormal packets of vulnerable points from cyber threats of border points or non-safety network networks to protect nuclear power plant information processing systems and generates security alerts. It is characterized by including a packet detection unit with a built-in algorithm for detection, a whitelist management unit to set and manage whitelist-based detection policies, and a central monitoring server that can store and monitor information such as security logs and event logs. to be The packet detection unit of the nuclear power plant information processing system network anomaly detection system of the present invention uses a tap module to passively connect the information processing system network section of the existing system when a self-fault occurs due to power loss, so as not to affect the existing line. It has the effect of maintaining the communication line without interruption and is characterized in that it can simultaneously collect all packets and detect abnormal packets. The nuclear power plant information processing system network anomaly detection system of the present invention is a nuclear power plant dedicated security system that satisfies the safety and security regulatory requirements of nuclear power plants, and has an effect that can contribute to improving cyber security of nuclear power plants.

Description

원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템 {Network intrusion detection system for information processing system of nuclear power plants}Network intrusion detection system for information processing system of nuclear power plants}

본 발명은 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템에 관한 것으로서, 구체적으로는 원자력발전소 정보처리계통 네트워크에 침투하는 비인가 된 이상패킷을 탐지하고 네트워크 구간의 모든 패킷을 수집하기 위한 화이트리스트 기반의 네트워크 이상징후 탐지시스템에 관한 것이다.The present invention relates to an anomaly detection system for a nuclear power plant information processing system network, and more specifically, to a whitelist-based network for detecting unauthorized abnormal packets infiltrating the nuclear power plant information processing system network and collecting all packets in the network section. It is about an anomaly detection system.

원자력발전소에서 발전소 감시 및 제어를 위한 운전수단을 제공하는 컴퓨터 기반의 계통을 정보처리계통(information processing system)이라 한다. 정보처리계통은 발전소 전체적인 자료취득, 감지된 변수들의 확인, 핵증기공급계통 응용프로그램들의 실행, 보조설비계통의 성능계산, 발전소 안전상태 및 일반적인 상태의 감시, 운전원콘솔 화면상에 계산결과 및 상태표시, 운전기록제공 그리고 경보조건 결정 등의 기능을 수행하기 위해 제어시스템 및 데이터통신 네트워크를 통해 발전소의 다른 계통으로부터 발전소 입출력 데이터를 취득한다.A computer-based system that provides operation means for power plant monitoring and control in a nuclear power plant is called an information processing system. The information processing system acquires power plant data, checks detected variables, executes nuclear steam supply system application programs, calculates the performance of auxiliary facility systems, monitors the safety status and general condition of the power plant, and displays calculation results and status on the operator console screen. It acquires power plant input/output data from other systems of the power plant through the control system and data communication network to perform functions such as providing operation records and determining alarm conditions.

원자력발전소의 정보처리계통 네트워크는 도1의 좌측 블럭에 도시된 바와 같이 제어 및 감시 컴퓨터(10), 정보처리계통 네트워크 스위칭허브(20), 정보처리계통 네트워크(30), 정보처리계통 서버(40), 제어시스템 케비넷(50), 현장 센서 및 제어 모터(60) 등으로 구성된다. As shown in the left block of FIG. 1, the information processing system network of a nuclear power plant includes a control and monitoring computer 10, an information processing system network switching hub 20, an information processing system network 30, and an information processing system server 40. ), a control system cabinet 50, a field sensor, and a control motor 60.

원자력발전소 제어시스템에 대한 사이버공격 무기인 스턱스넷이 출현한 2010년 이후 내부자 위협을 포함하여 침투경로가 다양해지고 있는 상황에서 제어시스템 네트워크망의 경우에도 일반 정보보안과 같이 경계망 보안에 초점이 맞춰져 있으나 경계망을 지나 침투가 된 후에 제어시스템 내부 거동에 대한 탐지 및 보안 방안이 미흡한 실정이다. Since 2010, when Stuxnet, a cyberattack weapon against nuclear power plant control systems, appeared, infiltration paths, including insider threats, have diversified. After passing through the perimeter network and infiltrating, the detection and security measures for the internal behavior of the control system are insufficient.

원자력발전소 정보처리계통의 안전계통을 보호하기 위한 경계지점 또는 비안전계통 네트워크망의 사이버위협으로부터 취약한 지점의 이상징후를 탐지하고 보안 경보를 발생하기 위해 네트워크 이상징후 탐지시스템을 적용할 수 있다. 이러한 네트워크 이상징후 탐지시스템은 네트워크망 통신선로 사이에 설치하여 네트워크의 패킷을 감시함으로써 서비스 거부 공격(DoS 공격), 포트 스캔 등과 같은 악의적인 동작들을 탐지할 수 있다. A network anomaly detection system can be applied to detect anomalies of vulnerable points from cyber threats of a boundary point or non-safety system network to protect the safety system of the nuclear power plant information processing system and generate a security alert. This network anomaly detection system can detect malicious actions such as denial of service (DoS) attacks and port scans by monitoring network packets installed between network communication lines.

그런데 일반 산업제어시스템에 사용되는 대부분의 네트워크 이상징후 탐지시스템은 전원상실이나 마이크로프로세서 불능 등 시스템 운영중 발생할 수 있는 자체결함에 대한 대책이 취약하며, 수집된 탐지구간의 패킷분석 및 탐지정책을 소프트웨어로 구현하기 때문에 분석속도가 느린 단점이 있다. 또한, 소프트웨어에 의존하므로 외부 침입 및 변조 등 장비 자체보안에 대한 대책이 미비한 실정이다.However, most network anomaly detection systems used in general industrial control systems are weak in countermeasures against self-faults that may occur during system operation, such as power loss or microprocessor failure, and packet analysis and detection policies in the collected detection section are software. Since it is implemented as , the analysis speed is slow. In addition, since it depends on software, countermeasures for the equipment's own security, such as external intrusion and tampering, are insufficient.

원자력발전소의 경우에는 일반제어시스템과 달리 고도의 안전성과 보안성이 요구되므로, 탐지시스템의 패킷분석 및 탐지정책의 신뢰성을 높이고 자체결함 시 기존 네트워크망에 영향을 미치지 않도록 필요한 조치가 마련된 원자력발전소 전용 네트워크 이상징후 탐지시스템이 필요하다.Unlike general control systems, nuclear power plants require a high level of safety and security, so it is exclusively for nuclear power plants that increase the reliability of packet analysis and detection policies of the detection system and take necessary measures not to affect the existing network in the event of a self-fault. A network anomaly detection system is required.

본 발명은 원자력발전소 정보처리계통 네트워크망에 비인가 되는 이상패킷을 탐지하기 위한 목적으로 하며, 네트워크의 이상패킷을 탐지하고 통합보안운영센터에 수집된 모든 패킷을 전송하기 위한 패킷탐지유닛, 화이트리스트 기반의 탐지정책을 설정하기 위한 화이트리스트 관리유닛, 보안로그 및 이벤트로그 등의 정보를 저장하고 모니터링할 수 있는 중앙모니터링서버를 제공하기 위한 것이다.The purpose of the present invention is to detect abnormal packets that are unauthorized in the information processing system network of nuclear power plants, and based on a packet detection unit and whitelist for detecting abnormal packets in the network and transmitting all collected packets to the integrated security operation center. It is to provide a central monitoring server capable of storing and monitoring information such as a whitelist management unit, security log, and event log for setting detection policies of.

본 발명에 따른 원자력발전소 정보처리계통 네트워크 이상징후 탐지 시스템은 정보처리계통 내부의 탐지하고자 하는 네트워크 구간마다에 패킷수집 및 이상패킷을 탐지하기 위한 패킷탐지유닛을 설치할 수 있으며, 상기 패킷탐지유닛으로부터 탐지된 이상패킷 결과를 저장 및 검색하기 위한 중앙모니터링서버, 상기 패킷탐지유닛에 화이트리스트 기반의 탐지정책을 설정하고 패킷탐지유닛을 관리하기 위한 화이트리스트 관리유닛을 포함하는 것을 특징으로 한다. Nuclear power plant information processing system network anomaly detection system according to the present invention can install a packet detection unit for collecting packets and detecting abnormal packets in each network section to be detected inside the information processing system, and detecting from the packet detection unit It is characterized in that it includes a central monitoring server for storing and retrieving results of abnormal packets, and a whitelist management unit for setting a whitelist-based detection policy in the packet detection unit and managing the packet detection unit.

본 발명에서 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템의 패킷탐지유닛은 네트워크 구간의 모든 패킷을 수집하여 통합보안운영센터로 전송하기 위한 기능을 포함하는 것을 특징으로 한다.In the present invention, the packet detection unit of the nuclear power plant information processing system network anomaly detection system is characterized by including a function for collecting all packets in the network section and transmitting them to the integrated security operation center.

본 발명에서 패킷탐지유닛은 원자력발전소 정보처리계통의 설치하고자 하는 네트워크 구간 사이에 각각 대응되도록 복수개로 구성되며, 중앙모니터링서버는 복수의 패킷탐지유닛을 스위칭허브를 통해 이상패킷 탐지결과를 암호화된 전송제어프로토콜/인터넷프로토콜(TCP/IP) 통신을 통해 수신 받으며, 화이트리스트 관리유닛은 스위칭허브와 연결하여 복수의 패킷탐지유닛에 정책을 설정하고 관리하는 것을 할 수 있다.In the present invention, a plurality of packet detection units are configured to correspond to each network section to be installed in the information processing system of a nuclear power plant, and the central monitoring server encrypts and transmits abnormal packet detection results through a plurality of packet detection units through a switching hub. It is received through control protocol/internet protocol (TCP/IP) communication, and the whitelist management unit can connect to the switching hub to set and manage policies for a plurality of packet detection units.

본 발명에서 패킷탐지유닛은 원자력발전소에서 공급되는 DC +24V 전원을 이중으로 공급받을 수 있으며, 정보처리계통 네트워크 구간의 패킷을 수집하기 위한 연결 커넥터(NET1, NET2), 중앙모니터링서버 및 화이트리스트 관리유닛과 통신하기 위한 커넥터(CON2), 수집된 모든 패킷을 통합보안운영센터로 전송하기 위한 커넥터(CON1)로 구성되며 상태표시를 위한 발광다이오드(LED : Light Emitting Diode)가 구비되는 것을 특징으로 할 수 있다.In the present invention, the packet detection unit can receive dual DC +24V power supplied from a nuclear power plant, and connect connectors (NET1, NET2) for collecting packets in the network section of the information processing system, central monitoring server, and whitelist management It consists of a connector (CON2) for communicating with the unit and a connector (CON1) for transmitting all collected packets to the integrated security operation center, and is characterized by having a light emitting diode (LED) for status display. can

본 발명에서 패킷탐지유닛 패킷을 수집하기 위한 탭모듈이 내장되어 패킷탐지유닛이 전원상실로 인한 자체결함 발생 시 기존 네트워크 구간에 영향을 미치지 않도록 구비되는 것을 특징으로 할 수 있다.In the present invention, the packet detection unit may be characterized in that a tap module for collecting packets is built in so that the packet detection unit does not affect the existing network section when a self-fault occurs due to power loss.

본 발명에서 패킷탐지유닛은 패킷분석모듈과 실시간운영체제(RTOS : Real Time Operation System)가 탑재된 임베디드 마이크로프로세서로 구성된다. 패킷분석모듈은 프로토콜의 헤더 정보인 출발지 매체접근제어(Media Access Control), 목적지 매체접근제어(Media Access Control), 출발지 인터넷프로토콜(Internet Protocol), 목적지 인터넷프로토콜(Internet Protocol), 출발지 포트(Port), 목적지 포트(Port), 프로토콜 타입에 대한 SPI(Stateful Packet Inspection)을 수행하며 임베디드 마이크로프로세서는 프로토콜의 페이로드 정보인 기능코드(Function Code)에 대한 DPI(Deep Packet Inspection)을 수행하는 것을 특징으로 할 수 있다.In the present invention, the packet detection unit is composed of a packet analysis module and an embedded microprocessor equipped with a real time operating system (RTOS). The packet analysis module provides protocol header information such as source Media Access Control, destination Media Access Control, source Internet Protocol, destination Internet Protocol, and source port. , destination port and protocol type, and the embedded microprocessor performs DPI (Deep Packet Inspection) on the function code, which is the payload information of the protocol. can do.

본 발명에서 네트워크 이상징후 탐지시스템의 중앙모니터링서버는 패킷탐지유닛 및 화이트리스트 관리유닛과 인터페이스를 위한 통신모듈, 시간동기모듈, 알람로그, 보안로그, 이벤트로그, 상태로그, 시스템정보 및 사용자정보를 저장하는 데이터베이스로 구성되며, 화이트리스트 관리유닛은 패킷탐지유닛 및 중앙모니터링서버와 인터페이스를 위한 통신모듈, 패킷탐지유닛 관리, 자산(Asset) 관리, 보안관리 기능이 포함되는 것을 특징으로 할 수 있다. In the present invention, the central monitoring server of the network anomaly detection system includes a communication module for interface with a packet detection unit and a white list management unit, a time synchronization module, an alarm log, a security log, an event log, a status log, system information, and user information. The whitelist management unit may include a packet detection unit and a communication module for interface with the central monitoring server, packet detection unit management, asset management, and security management functions.

본 발명에 따른 네트워크 이상징후 탐지시스템은 원전 계측제어계통의 안전계통을 보호하기 위한 경계지점 또는 비안전 계통 네트워크망의 사이버 위협으로터 취약한 지점에 설치하여 침해로부터 예방 및 탐지 기능을 제공할 수 있는 효과를 갖는다. 본 발명은 원자력발전소에서 기기 간에 허용된 기능을 패킷 헤더 정보와 패이로드 정보로 화이트리스에 반영하여 병행 비교함으로써, 기기 사이에 허용된 기능 외의 정보를 담는 이상 패킷을 용이하게 탐지할 수 있는 효과가 있다.The network anomaly detection system according to the present invention is installed at a boundary point for protecting the safety system of the nuclear power plant instrumentation and control system or at a vulnerable point from cyber threats in a non-safe system network to prevent and detect infringement from infringement. have an effect The present invention has an effect of easily detecting abnormal packets containing information other than the functions allowed between devices by reflecting the functions allowed between devices in a nuclear power plant as packet header information and payload information in whiteless and comparing them in parallel. there is.

본 발명에 따른 네트워크 이상징후 탐지시스템은 원자력발전소 정보처리계통 네트워크 구간의 비인간 된 이상패킷을 탐지하고 모든 패킷을 수집하여 통합보안운영센터로 전송할 수 있으므로 모든 패킷수집과 이상패킷 탐지를 동시에 수행할 수 있는 효과를 갖는다. The network anomaly detection system according to the present invention can detect non-human abnormal packets in the network section of the nuclear power plant information processing system, collect all packets, and transmit them to the integrated security operation center, so that all packets can be collected and abnormal packets detected at the same time. have an effect

본 발명에 따른 패킷탐지유닛은 전원상실로 인한 자체결함 발생 시 기존 네트워크망에 영향을 미치지 않는 효과를 갖는다.The packet detection unit according to the present invention has an effect of not affecting the existing network when a self-fault occurs due to power loss.

본 발명은 취득된 네트워크 이상징후 탐지 결과를 발전소 운영자가 실시간으로 확인 가능하여 이상상태를 판정하고 적절한 보안조치를 할 수 있는 효과가 있다.The present invention has an effect that the operator of the power plant can check the obtained network anomaly detection result in real time to determine the abnormal state and take appropriate security measures.

본 발명에 따른 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템은 원자력의 안전 및 보안 규제 요건을 만족하는 원전 전용 보안시스템으로 원전의 사이버 보안성 향상에 이바지할 수 있는 효과가 있다.The nuclear power plant information processing system network anomaly detection system according to the present invention is a nuclear power plant dedicated security system that satisfies the safety and security regulatory requirements of nuclear power plants, and has the effect of contributing to the improvement of cyber security of nuclear power plants.

도1은 원자력발전소 정보처리계통 네트워크 간략도와 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템의 구성 개념도이다.
도2는 본 발명에 따른 패킷탐지유닛의 외형도이다.
도3은 본 발명에 따른 패킷탐지유닛의 내부 블록다이어그램이다.
도4는 본 발명에 따른 패킷탐지유닛의 정상동작 시 탭모듈의 패킷 신호흐름 개념도이다.
도5는 본 발명에 따른 패킷탐지유닛의 전원상실 시 탭모듈의 패킷 신호흐름 개념도이다.
도6은 본 발명에 따른 패킷탐지유닛 내부의 패킷분석모듈에서 구현한 로직다이어그램 개념도이다.
도7은 본 발명에 따른 화이트리스트 관리유닛과 중앙모니터링서버의 소프트웨어 블록다이어그램이다. 1 is a schematic diagram of a nuclear power plant information processing system network and a structural conceptual diagram of a nuclear power plant information processing system network anomaly detection system.
2 is an external view of a packet detection unit according to the present invention.
3 is an internal block diagram of a packet detection unit according to the present invention.
4 is a conceptual diagram of a packet signal flow of a tap module during normal operation of a packet detection unit according to the present invention.
5 is a conceptual diagram of a packet signal flow of a tap module when power is lost in a packet detection unit according to the present invention.
6 is a conceptual diagram of a logic diagram implemented in a packet analysis module inside a packet detection unit according to the present invention.
7 is a software block diagram of a whitelist management unit and a central monitoring server according to the present invention.

이하에서는 본 발명에 따른 구체적인 실시예가 설명된다. 그러나 본 발명은 여러 가지 다양한 형태로 변형하여 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지는 않는다. 본 발명에 첨부된 도면은 설명의 편의를 위하여 간략화 되었으며, 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략되었다.Hereinafter, specific embodiments according to the present invention are described. However, the present invention can be implemented by modifying in various forms and is not limited to the embodiments described herein. The drawings accompanying the present invention have been simplified for convenience of explanation, and parts irrelevant to the description have been omitted in order to clearly describe the present invention.

본 발명에 따른 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템의 실시예는 도1에 개념적으로 도시된 바와 같이, 원자력발전소 정보처리계통 네트워크(Network 1)의 정보처리계통 서버(40)와 제어시스템 케비넷(50)과 같은 안전계통을 보호하기 위한 경계지점 또는 비안전 계통 네트워크 구간의 사이버 위협으로부터 취약한 지점에 패킷수집 및 이상패킷을 탐지하고자 하는 목적으로 패킷탐지유닛(100)을 설치할 수 있으며 네트워크 구간(Network 1…N) 사이마다 대응하도록 패킷탐지유닛(100)을 설치하여 복수개의 패킷탐지유닛(100)을 운영할 수 있다. 네트워크 구간의 패킷을 수집하기 위해서는 패킷탐지유닛(100)의 RJ45포트(100Mbps)인 NET1 RJ45커넥터(110)과 NET2 RJ45커넥터(120)에 현장의 케이블을 연결하여 정보처리계통 서버(40)와 제어시스템 케비넷(50)간 양방향 또는 단방향으로 전송되는 패킷(예, TCP/IP, UDP, Modbus 패킷)을 수집할 수 있다. 그리고 패킷탐지유닛(100)의 CON2 Fiber Optic커넥터(140)을 통하여 보안 네트워크용 스위칭허브(400)와 연결되어 있는 화이트리스트 기반의 정책을 설정하고 관리하기 위한 화이트리스트 관리유닛(200)과 이상패킷 탐지 결과를 저장하고 검색하기 위한 중앙모니터링서버(300) 및 데이터베이스(310)를 포함하여 구성된다. 또한, 본 발명에서 네트워크 구간의 수집된 모든 패킷을 패킷탐지유닛(100)의 CON1 RJ45커넥터(130)를 통하여 통합보안운영센터(800)로 전송할 수 있으므로 모든 패킷수집과 이상패킷 감시를 동시에 수행할 수 있는 효과를 갖는다.As conceptually shown in FIG. 1, the embodiment of the nuclear power plant information processing system network anomaly detection system according to the present invention includes an information processing system server 40 and a control system cabinet of a nuclear power plant information processing system network (Network 1) The packet detection unit 100 can be installed for the purpose of collecting packets and detecting abnormal packets at the boundary point for protecting the safety system such as (50) or at a point vulnerable to cyber threats in the non-safe network section, and the network section ( It is possible to operate a plurality of packet detection units 100 by installing packet detection units 100 to correspond between networks 1...N. In order to collect packets in the network section, the field cables are connected to the NET1 RJ45 connector 110 and the NET2 RJ45 connector 120, which are the RJ45 ports (100Mbps) of the packet detection unit 100, and the information processing system server 40 and control Packets (eg, TCP/IP, UDP, Modbus packets) transmitted in both directions or in one direction between system cabinets 50 may be collected. And the whitelist management unit 200 for setting and managing a whitelist-based policy connected to the switching hub 400 for security network through the CON2 Fiber Optic connector 140 of the packet detection unit 100 and abnormal packets. It is configured to include a central monitoring server 300 and a database 310 for storing and retrieving detection results. In addition, since all packets collected in the network section of the present invention can be transmitted to the integrated security operation center 800 through the CON1 RJ45 connector 130 of the packet detection unit 100, all packets can be collected and abnormal packets can be monitored simultaneously. have possible effects.

도2는 이해를 돕기 위하여 패킷탐지유닛(100)의 전면의 외형 모습을 도식화하여 나타내고 있으며, NET1 RJ45커넥터(110), NET2 RJ45커넥터(120), CON1 RJ45커넥터(130), CON2 Fiber Optic커넥터(140), 이중화 전원연결커넥터(180), LED 상태표시부(190)로 구성하여 시인성(視認性, Visibility)을 갖도록 구성할 수 있다. 이중화 전원연결커넥터(180)는 4핀 나사 고정식 터미널 단자로 구성되며 이중으로 전압 +24DC 전원을 공급받을 수 있으며 이중 전원을 공급할 경우, +24V(P1), +24V(P2) 양쪽 모두 전원을 공급하며, 단일 전원을 공급할 경우, +24V(P1) 혹은 +24V(P2) 둘중 한 곳에 전원을 공급할 수 있다. 발광다이오드(LED) 상태표시부(190)은 PWR1(전원1의 공급 상태), PWR2(전원2의 공급 상태), ALARM(네트워크 이상징후 탐지), NET1, NET2, CON1, CON2의 상태 표시용 발광다이오드(LED)를 나타낼 수 있다.2 schematically shows the external appearance of the front of the packet detection unit 100 for better understanding, NET1 RJ45 connector 110, NET2 RJ45 connector 120, CON1 RJ45 connector 130, CON2 Fiber Optic connector ( 140), a redundant power supply connection connector 180, and an LED status display unit 190 may be configured to have visibility. The redundant power connection connector (180) consists of a 4-pin screw terminal and can receive dual voltage +24DC power. When dual power is supplied, both +24V (P1) and +24V (P2) are supplied. In case of supplying single power, power can be supplied to either +24V(P1) or +24V(P2). The light emitting diode (LED) status display unit 190 is a light emitting diode for displaying the status of PWR1 (supply status of power 1), PWR2 (supply status of power 2), ALARM (detection of network anomalies), NET1, NET2, CON1, and CON2 (LED).

도3은 패킷탐지유닛(100)의 블록다이아그램을 나타내었으며 탭모듈(150),패킷분석모듈(160), 임베디드 마이크로프로세서(170)으로 구성할 수 있다. 3 shows a block diagram of the packet detection unit 100, which can be composed of a tap module 150, a packet analysis module 160, and an embedded microprocessor 170.

본 발명에서 패킷탐지모듈(100)의 탭모듈(150)를 통해 수집되는 패킷들은 패킷분석모듈(160)과 임베디드 마이크로프로세서(170)에서 이상패킷을 탐지하게 되는데 패킷분석모듈(160)에서는 OSI(Open System Interconnection) 7계층의 1계층에서 4계층사이의 프로토콜에 대한 헤더 정보 이상을 탐지하는 SPI(Stateful Packet Inspection)을 수행하고 임베디드 마이크로프로세서(170)에서는 OSI 7계층의 4계층이상의 프로토콜에 대한 페이로드 정보 이상을 탐지하는 DPI(Deep Packet Inspection)을 수행하는 알고리즘을 구축할 수 있다. In the present invention, packets collected through the tap module 150 of the packet detection module 100 detect abnormal packets in the packet analysis module 160 and the embedded microprocessor 170. In the packet analysis module 160, the OSI ( Open System Interconnection) performs Stateful Packet Inspection (SPI) that detects an error in the header information of the protocol between layer 1 and layer 4 of the 7th layer, and the embedded microprocessor 170 performs page It is possible to build an algorithm that performs DPI (Deep Packet Inspection) to detect anomalies in load information.

임베디드 마이크로프로세서(170)은 패킷파싱모듈(171), 탐지모듈(172), 화이트리스트저장모듈(173), 탐지결과전송모듈(174)로 구성할 수 있다. 화이트리스트 관리유닛(200)으로부터 수신된 정책들은 화이트리스트저장모듈(173)에 저장하여 프로토콜의 헤더 정보인 출발지 매체접근제어(Media Access Control), 목적지 매체접근제어(Media Access Control), 출발지 인터넷프로토콜(Internet Protocol), 목적지 인터넷프로토콜(Internet Protocol), 출발지 포트(Port), 목적지 포트(Port), 프로토콜 타입에 대한 화이트리스트는 패킷분석모듈(160)까지 전달되어 SPI(Stateful Packet Inspection)을 수행하는데 사용되며 프로토콜의 페이로드 정보인 기능코드(Function Code)에 대한 화이트리스트는 탐지모듈(172)에서 DPI(Deep Packet Inspection)을 수행하는데 사용할 수 있다. 탭모듈(150)을 통해 수집된 패킷들은 패킷파싱모듈(171)에서 헤더와 페이로드로 파싱한 후, 탐지모듈(172)에서 화이트리스트저장모듈(173)에 저장되어 있는 정책과 비교하여 DPI(Deep Packet Inspection)를 수행할 수 있으며, 탐지모듈(172)에서 탐지된 이상패킷들은 탐지결과전송모듈(174)에 전달되어 CON2 Fiber Optic커넥터(140)를 통해 중앙모니터링서버(300)의 데이터베이스(310)에 저장된다. 또한 임베디드 마이크로프로세서(170)은 탭모듈(150)를 통해 수집된 모든 패킷들을 탐지모듈(172)에서 CON1 RJ45커넥터(130)을 통해 통합보안운영센터(800)에 전송할 수 있다. 원자력 발전소의 경우 기기 간에 허용된 기능이 명시적으로 확립되어 있으므로 이를 화이트리스에 패킷 헤더 정보와 패이로드 정보로 통합 반영하고, 이에 기반하여 헤더 정보와 페이로드의 기능 코드를 병행 비교하여 기기 사이에 허용된 기능 외의 정보를 담는 이상 패킷을 용이하게 탐지할 수 있는 효과가 있다. 그러므로 패킷탐지유닛(100)의 임베디드 마이크로프로세서(170)은 원자력발전소 정보처리계통 네트워크의 이상패킷를 탐지하고 네트워크 구간의 모든 패킷을 수집하여 전송이 가능하다.The embedded microprocessor 170 may include a packet parsing module 171, a detection module 172, a whitelist storage module 173, and a detection result transmission module 174. The policies received from the whitelist management unit 200 are stored in the whitelist storage module 173, and protocol header information such as source media access control, destination media access control, and source Internet protocol (Internet Protocol), destination Internet Protocol (Internet Protocol), source port (Port), destination port (Port), whitelist for the protocol type is transferred to the packet analysis module 160 to perform Stateful Packet Inspection (SPI). The whitelist for the function code, which is used and is the payload information of the protocol, can be used to perform Deep Packet Inspection (DPI) in the detection module 172. After the packets collected through the tap module 150 are parsed into headers and payloads in the packet parsing module 171, the detection module 172 compares them with the policies stored in the whitelist storage module 173, and the DPI ( Deep Packet Inspection), and the abnormal packets detected by the detection module 172 are transferred to the detection result transmission module 174 and the database 310 of the central monitoring server 300 through the CON2 Fiber Optic connector 140. ) is stored in In addition, the embedded microprocessor 170 may transmit all packets collected through the tap module 150 from the detection module 172 to the integrated security operation center 800 through the CON1 RJ45 connector 130. In the case of a nuclear power plant, since functions permitted between devices are explicitly established, they are integrated and reflected as packet header information and payload information in whitelist, and based on this, header information and payload function codes are compared side by side, There is an effect of easily detecting an abnormal packet containing information other than the permitted function. Therefore, the embedded microprocessor 170 of the packet detection unit 100 can detect abnormal packets of the nuclear power plant information processing system network, collect all packets in the network section, and transmit them.

도4에서 도시된 바와 같이 패킷탐지유닛(100)은 탭모듈(150)을 이용하여 정보처리계통 서버(40)과 제어시스템 케비넷(50) 사이의 네트워크 구간에 대한 송수신 데이터 패킷에 대한 복사를 수행하며 패킷분석모듈(160)과 임베디드 마이크로프로세서(170)에 송수신 데이터 패킷을 전달할 수 있다. 패킷탐지유닛(100)이 정상동작 시 탭모듈(150)은 양방향 또는 단방향으로 송수신되는 패킷들은 파엔드루프백(Far-End Loopback)을 지원하여 네트워크 구간에 대한 간섭 없이 송수신 데이터 패킷을 정보처리계통 서버(40)과 제어시스템 케비넷(50)에 전송할 수 있다. 패킷탐지유닛(100)이 전원상실로 인한 자체결함 발생 시에는 도5에 도시된 바와 같이 릴레이 회로를 동작시켜 기존의 정보처리계통 네트워크 구간을 패시브(Passive)하게 연결하여 기존 선로에 영향을 미치지 않고 통신선로를 유지하는 효과를 갖는다. As shown in FIG. 4, the packet detection unit 100 uses the tap module 150 to copy data packets transmitted and received in the network section between the information processing system server 40 and the control system cabinet 50. and transmit/receive data packets to the packet analysis module 160 and the embedded microprocessor 170. When the packet detection unit 100 operates normally, the tap module 150 supports Far-End Loopback for packets transmitted and received in either bidirectional or unidirectional direction, and transmits and receives data packets to the information processing system server without interfering with the network section. (40) and the control system cabinet (50). When the packet detection unit 100 generates a self-fault due to power loss, the relay circuit is operated as shown in FIG. It has the effect of maintaining the communication line.

도6에서 도시된 바와 같이 패킷분석모듈(160)은 탑 모듈(161; Top Module), 블록랜덤엑세스메모리 모듈(164; Block Random Access Memory Module), 직렬주변기기인터페이스 모듈(165; Serial Peripheral Interface Module)의 구조를 갖는다. 먼저 탭모듈(150)로부터 양방향으로 들어오는 이더넷 패킷을 이더넷 프레임(162; Ethernet Frame)에서 받아 매체접근제어(Media Access Control) 주소, 인터넷프로토콜(Internet Protocol) 주소, 포트(Port) 번호, 그리고 프로토콜 타입 정보를 추출해 컴퍼레이터 모듈(163; Comparator Module)에 전달한다. 컴퍼레이터 모듈(163; Comparator Module)은 매체접근제어 비교기(MAC Comparator), 인터넷프로토콜 비교기(IP Comparator), 포트 비교기(Port Comparator), 그리고 프로토콜 비교기(Protocol Comparator)를 이용해 각 정보가 일치하는 화이트리스트 정책이 있는지 비교 확인하고 그 결과를 블록랜덤엑세스메모리 모듈(164)에 저장한다. 직렬주변기기인터페이스 모듈(165)에 구현된 인터페이스를 통해 외부 임베디드 마이크로프로세서(170)에서 블록랜덤엑세스메모리 모듈(164)에 보관된 화이트리스트 정책의 편집 및 확인, 그리고 패킷 검사의 결과를 확인할 수 있다. As shown in FIG. 6, the packet analysis module 160 includes a top module 161 (Top Module), a block random access memory module 164 (Block Random Access Memory Module), and a serial peripheral interface module 165 (Serial Peripheral Interface Module). has the structure of First, Ethernet packets coming in both directions from the tap module 150 are received in the Ethernet frame (Ethernet Frame 162), and the Media Access Control address, Internet Protocol address, port number, and protocol type are received. Information is extracted and transmitted to a comparator module (163; Comparator Module). The comparator module (163; Comparator Module) uses a MAC Comparator, an Internet Protocol Comparator, a Port Comparator, and a Protocol Comparator to match each piece of whitelist information. It compares and checks whether there is a policy and stores the result in the block random access memory module 164. Through the interface implemented in the serial peripheral interface module 165, the external embedded microprocessor 170 can edit and check the whitelist policy stored in the block random access memory module 164 and check the result of packet inspection.

이더넷 프레임(162)은 도6에서 도시된 바와 같이 이더넷 패킷을 수집하여 그 안에 포함된 매체접근제어(Media Access Control) 주소, 인터넷프로토콜(Internet Protocol) 주소, 포트 번호, 그리고 프로토콜 타입 정보를 추출하는 모듈로써 컴퍼레이터 모듈(163; Comparator Module)로 전달하기 위해 패킷을 파싱(Parsing)을 한다. As shown in FIG. 6, the Ethernet frame 162 collects Ethernet packets and extracts the Media Access Control address, Internet Protocol address, port number, and protocol type information included therein. As a module, packets are parsed to be transmitted to the comparator module (163; Comparator Module).

컴퍼레이터 모듈(163)은 도6에서 도시된 바와 같이 이더넷 프레임(162; Ethernet Frame)에서 추출된 정보와 블록랜덤엑세스메모리 모듈(164)에 저장된 화이트리스트를 비교하는 모듈로써 출발지 매체접근제어(Media Access Control), 목적지 매체접근제어(Media Access Control), 출발지 인터넷프로토콜(Internet Protocol), 목적지 인터넷프로토콜(Internet Protocol), 출발지 포트(Port), 목적지 포트(Port), 프로토콜 타입인 7가지 정보에 대해서 각각 256(8x32)개의 화이트리스트를 동시에 비교 검사할 수 있다. 검사 결과는 스테티스틱(Statistics) 레지스터와 인터럽트(Interrupt) 레지스터에 저장된다. 또한, 화이트리스트 정책이 저장된 블록랜덤엑세스메모리 모듈(164)과 연결된다. As shown in FIG. 6, the comparator module 163 compares the information extracted from the Ethernet frame 162 with the white list stored in the block random access memory module 164, and is used for controlling source media access (Media Access Control), destination Media Access Control, source Internet Protocol, destination Internet Protocol, source port, destination port, and protocol type. Each of 256 (8x32) whitelists can be compared and checked simultaneously. The test results are stored in the Statistics register and the Interrupt register. In addition, it is connected to the block random access memory module 164 in which the whitelist policy is stored.

화이트리스트 관리유닛(200)과 중앙모니터링서버(300)는 도7에서 도시한 바와 같이 각각 블록다이어그램을 구성할 수 있다. 탐지하고자하는 네트워크 구간마다 설치된 복수개의 패킷탐지유닛(100)과 보안 네트워크 스위칭허브(400)을 통해 연결될 수 있으며, 보안 네트워크 TCP/IP(Transmission Control Protocol/Internet Protocol) 통신프로토콜(500)은 전용프로토콜로 설계하여 사용할 수 있으며 국정원 검증필 암호화모듈을 사용하여 암호화 통신을 수행할 수 있다. As shown in FIG. 7, the white list management unit 200 and the central monitoring server 300 may each constitute a block diagram. It can be connected through a plurality of packet detection units 100 installed in each network section to be detected and a security network switching hub 400, and the security network TCP/IP (Transmission Control Protocol/Internet Protocol) communication protocol 500 is a dedicated protocol It can be designed and used as an encryption module, and encryption communication can be performed using an encryption module verified by the National Intelligence Service.

화이트리스트 관리유닛(200)은 도7에서 도시한 바와 같이 통신모듈(210), 패킷탐지유닛 관리(220), 자산(Asset) 관리(230), 프로토콜 관리(240), 보안관리(250)로 프로그램이 구성되며 관리자 또는 엔지니어 계정을 갖는 사용자가 접근해서 사용할 수 있도록 유저인터페이스 화면을 제공할 수 있다. 통신모듈(210)은 패킷탐지유닛(100)과 입출력 데이터처리를 위해 TCP/IP 기반의 전용프로토콜을 사용해서 통신하고 식별 및 인증정보, 시스템 설정, 화이트리스트 기반의 탐지정책 정보를 송신할 수 있다. 패킷탐지유닛 관리(220)는 화이트리스트 관리유닛(200)과 연결되어 있는 복수개의 패킷탐지유닛(100)을 검색 및 표시(Search/Display)하고 패킷탐지유닛 생성 및 삭제(Create/Delete), 정보입력(Information Input), 로그(알람, 이벤트), 정책설정(Rule Set-White List) 기능을 수행할 수 있다. 자산(Asset) 관리(230)는 탐지하고자 하는 정보처리계통 네트워크(30) 구간의 정보처리계통 서버(40)과 제어시스템 케비넷(50)에 해당하는 정보를 관리하기 위한 자산 탬플릿(Asset Template), 자산 생성 및 삭제(Asset Create/Delete)의 기능을 수행할 수 있다. 프로토콜 관리(240)는 탐지하고자 하는 정보처리계통 네트워크(30) 구간에 해당하는 사전에 정의된 프로토콜(Predefined Protocol), 프로토콜 생성 및 삭제(Protocol Create/Delete)의 기능을 할 수 있다. 보안관리(250)는 계정관리(Account Management), 로그 기록 및 검색(Log Record/Search), 계정잠금(Account Lock), 이전접속기록공지(Pre-connection Record Notice), 소프트웨어 및 정보 무결성(Software & Information Integrity), 데이터이동통제(Data Movement Control), 세션잠금(Session Lock), 시스템 사용 공지(System Use Notice), 불필요한 서비스 및 프로그램 삭제(Unnecessary Service/Program Delete), 에러에 대한 조치(Action on Error)의 기능을 수행할 수 있다. 또한 화이트리스트 관리유닛(200)은 패킷탐지유닛(100)과 접속하기 위해서는 관리자(Administrator)와 엔지니어(Engineer)의 보안 및 비보안 기능을 분리하여 계정 설정 절차를 통해 계정관리를 수행할 수 있다. As shown in FIG. 7, the white list management unit 200 includes a communication module 210, packet detection unit management 220, asset management 230, protocol management 240, and security management 250. A program is configured, and a user interface screen can be provided so that a user having an administrator or engineer account can access and use it. The communication module 210 communicates with the packet detection unit 100 using a TCP/IP-based dedicated protocol for input/output data processing, and can transmit identification and authentication information, system settings, and whitelist-based detection policy information. . The packet detection unit management 220 searches and displays (Search/Display) a plurality of packet detection units 100 connected to the whitelist management unit 200, creates and deletes packet detection units, and provides information It can perform input (Information Input), log (alarm, event), and policy setting (Rule Set-White List) functions. The asset management 230 includes an asset template for managing information corresponding to the information processing system server 40 and the control system cabinet 50 of the information processing system network 30 section to be detected, You can perform the function of asset creation and deletion (Asset Create/Delete). The protocol management 240 may function as a predefined protocol corresponding to a section of the information processing system network 30 to be detected, and protocol creation and deletion (Protocol Create/Delete). Security management (250) includes Account Management, Log Record/Search, Account Lock, Pre-connection Record Notice, Software and Information Integrity (Software & Information Integrity), Data Movement Control, Session Lock, System Use Notice, Unnecessary Service/Program Delete, Action on Error ) can perform the function of In addition, the white list management unit 200 separates security and non-security functions of an administrator and an engineer to access the packet detection unit 100 and performs account management through an account setting procedure.

화이트리스트 관리유닛(200)의 패킷탐지유닛 관리(220)에서는 정책설정 기능을 수행을 위해 SPI(Stateful Packet Inspection)과 DPI(Deep Packet Inspection)의 탐지규칙 생성을 할 수 있다. SPI 탐지규칙 생성은 출발지 매체접근제어(Media Access Control), 목적지 매체접근제어(Media Access Control), 출발지 인터넷프로토콜(Internet Protocol), 목적지 인터넷프로토콜(Internet Protocol), 출발지 포트(Port), 목적지 포트(Port), 프로토콜 타입 정보를 이용하여 탐지규칙을 생성하는 기능이며 탐지규칙 생성을 위한 탐지정보 선택 및 입력 방법으로는 Any(Any 선택 시, 해당 탐지규칙의 프로토콜을 사용하는 모든 패킷 허용), IP 주소(IP 주소 선택 및 IP 주소 정보 입력 시, 해당 IP 주소 허용), MAC 주소(MAC 주소 선택 및 MAC 주소 정보 입력 시, 해당 MAC 주소 허용)를 설정할 수 있다. DPI 탐지규칙 생성은 SPI 탐지규칙을 생성하고 해당 탐지규칙에 해당하는 패킷의 데이터영역(Payload) 탐지규칙을 생성하는 기능이다. DPI 탐지규칙 생성을 위한 방법으로는 허용 필드 추가, 필드시작주소(탐지할 패킷 데이터 영역의 필드 시작 주소(Byte)), 길이(해당 필드의 길의(Byte)), 해당 필드의 허용값을 설정할 수 있다. The packet detection unit management 220 of the white list management unit 200 may generate stateful packet inspection (SPI) and deep packet inspection (DPI) detection rules to perform a policy setting function. Creation of SPI detection rules is source Media Access Control, destination Media Access Control, source Internet Protocol, destination Internet Protocol, source port, destination port ( Port), a function to create detection rules using protocol type information, and the selection and input method of detection information for detection rule creation is Any (when selecting Any, all packets using the protocol of the corresponding detection rule are allowed), IP address (When selecting an IP address and entering IP address information, the corresponding IP address is allowed) and MAC address (when selecting a MAC address and entering MAC address information, the corresponding MAC address is allowed). DPI detection rule creation is a function of creating SPI detection rules and generating payload detection rules of packets corresponding to the corresponding detection rules. Methods for creating DPI detection rules include adding an allowed field, field start address (field start address (Byte) of the packet data area to be detected), length (length (Byte) of the field), and setting the allowed value of the field. can

중앙모니터링서버(300)는 도7에서 도시한 바와 같이 데이터베이스(310), 서버통신모듈(320), 시간동기모듈(330)로 프로그램이 구성되며 관리자(Administrator)와 엔지니어(Engineer)의 보안 및 비보안 기능을 분리하고 계정 설정 절차를 통해 계정관리를 수행할 수 있다. 또한, 중앙모니터링서버(300)는 관리자 또는 엔지니어 계정을 갖는 사용자가 접근해서 사용할 수 있도록 유저인터페이스 화면을 제공할 수 있다. 관리자 계정으로 접속된 사용자는 보안로그 및 이벤트로그 모니터링, 기기인증 설정, 알람 설정, 보안로그 및 이벤트로그 조회, 시간동기화 설정과 암호화키 관리를 수행할 수 있고 엔지니어 계정으로 접속된 사용자는 이벤트로그 모니터링, 기기인증 설정, 알람 설정, 이벤트로그 조회, 시간동기화 설정을 수행할 수 있다. 데이터베이스(310)는 알람로그, 이벤트로그, 상태로그, 보안로그, 시스템 정보, 사용자정보 등을 저장하고 기록된 내용을 조회하여 표시할 수 있다. 서버통신모듈(320)은 패킷탐지유닛(100)과 입출력 데이터처리를 위해 TCP/IP 기반의 전용프로토콜을 사용해서 통신하는 패킷탐지유닛(100) 인터페이스 기능과 화이트리스트 관리유닛(200) 인터페이스 기능을 수행할 수 있다. 시간동기모듈(330)은 표준시간을 입력 받아 패킷탐지유닛(100), 화이트리스트 관리유닛(200) 및 중앙모니터링서버(300)의 시간을 동기화할 수 있으며 주기적인 시간동기화는 매일 00시00분00초에 송신되며 수동 시간동기화 기능을 수행할 수 있다.As shown in FIG. 7, the central monitoring server 300 has a database 310, a server communication module 320, and a time synchronization module 330, and the program is composed of security and non-security of administrators and engineers. Functions can be separated and account management can be performed through account setup procedures. In addition, the central monitoring server 300 may provide a user interface screen so that a user having an administrator or engineer account can access and use it. Users connected with an administrator account can monitor security logs and event logs, set device authentication, set alarms, search security logs and event logs, set time synchronization, and manage encryption keys. Users connected with an engineer account can monitor event logs. , device authentication setting, alarm setting, event log inquiry, and time synchronization setting can be performed. The database 310 may store alarm logs, event logs, status logs, security logs, system information, user information, and the like, and retrieve and display recorded contents. The server communication module 320 has a packet detection unit 100 interface function and a whitelist management unit 200 interface function that communicates with the packet detection unit 100 using a dedicated protocol based on TCP/IP for input and output data processing. can be done The time synchronization module 330 receives the standard time and synchronizes the time of the packet detection unit 100, the white list management unit 200, and the central monitoring server 300. Periodic time synchronization is performed at 00:00 every day. It is transmitted at 00 seconds and can perform manual time synchronization function.

중앙모니터링서버(300)의 데이터베이스(310)에 저장되는 이벤트로그는 모니터링화면을 통해 SPI 탐지규칙에 따른 탐지결과로는 탐지시간(Time), 패킷탐지유닛의 아이디 정보, 탐지된 패킷이 허용된 출발지 IP주소와 다른 경우 체크 표시, 탐지된 패킷이 허용된 출발지 MAC 주소와 다른 경우 체크 표시, 탐지된 패킷이 허용된 출발지 Port 번호와 다른 경우 체크 표시, 탐지된 패킷이 허용된 목적지 IP주소와 다른 경우 체크 표시, 탐지된 패킷이 허용된 목적지 MAC주소와 다른 경우 체크 표시, 탐지된 패킷이 허용된 목적지 Port 번호와 다른 경우 체크 표시, 탐지된 패킷이 허용된 프로토콜 타입과 다른 경우 체크 표시, 탐지된 패킷의 출발지 IP/MAC/Port 정보, 탐지된 패킷의 목적지 IP/MAC/Port 정보, 탐지된 패킷의 프로토콜 정보를 나타낼 수 있다. 그리고 DPI 탐지규칙에 따른 탐지결과로는 탐지된 패킷의 이상징후 발생 필드 번호, 탐지규칙의 해당 필드 내 허용값, 탐지된 패킷의 해당 필드 내 실제 탐지값 정보를 나타낼 수 있다.The event log stored in the database 310 of the central monitoring server 300 is the detection result according to the SPI detection rule through the monitoring screen, the detection time (Time), the ID information of the packet detection unit, and the source where the detected packet is allowed. Check mark when different from IP address, check mark when detected packet is different from allowed source MAC address, check mark when detected packet is different from allowed source port number, check mark when detected packet is different from allowed destination IP address Check mark, if the detected packet is different from the allowed destination MAC address, check mark, if the detected packet is different from the allowed destination port number, check mark, if the detected packet is different from the allowed protocol type, check mark, detected packet source IP/MAC/Port information, destination IP/MAC/Port information of detected packets, and protocol information of detected packets. In addition, the detection result according to the DPI detection rule may indicate an anomaly occurrence field number of the detected packet, an allowable value in the corresponding field of the detection rule, and information on the actual detection value in the corresponding field of the detected packet.

위에서 개시된 발명은 기본적인 사상을 훼손하지 않는 범위 내에서 다양한 변형예가 가능하다. 따라서 위의 실시예들은 모두 예시적으로 해석되어야하며, 한정적으로 해석되지 않는다. 따라서 본 발명의 보호범위는 상술한 실시예가 아니라 첨부된 청구항에 따라 정해진다. 첨부된 청구항의 균등물로의 치환은 첨부된 청구항의 보호범위에 속하는 것이다.The invention disclosed above is capable of various modifications within a range that does not impair the basic idea. Therefore, all of the above embodiments should be interpreted as illustrative and not limited. Therefore, the protection scope of the present invention is determined according to the appended claims rather than the above-described embodiments. Substitutions of equivalents in the appended claims shall fall within the scope of protection of the appended claims.

10: 제어 및 감시 컴퓨터
20: 정보처리계통 네트워크 스위칭허브
30: 정보처리계통 네트워크
40: 정보처리계통 서버
50: 제어시스템 케비넷
60: 현장 센서 및 제어 모터
100: 패킷탐지유닛
110: NET1 RJ45커넥터
120: NET2 RJ45커넥터
130: CON1 RJ45커넥터
140: CON2 Fiber Optic커넥터
150: 탭모듈
160: 패킷분석모듈
161: 탑 모듈(Top Module)
162: 이더넷 프레임(Ethernet Frame)
163: 컴퍼레이터 모듈(Comparator Module)
164: 블록랜덤엑세스메모리 모듈(Block Random Access Memory Module)
165: 직렬주변기기인터페이스 모듈(Serial Peripheral Interface Module)
170: 임베디드 마이크로프로세서
171: 패킷파싱모듈
172: 탐지모듈
173: 화이트리스트저장모듈
174: 탐지결과전송모듈
180: 이중화 전원연결 커넥터
190: 발광다이오드(LED) 상태표시부
200: 화이트리스트 관리유닛
210: 통신모듈
220: 패킷탐지유닛 관리
230: 자산(Asset) 관리
240: 프로토콜 관리
250: 보안관리
300: 중앙모니터링서버
310: 데이터베이스
320: 서버통신모듈
330: 시간동기모듈
400: 보안 네트워크 스위칭허브
500: 보안 네트워크 TCP/IP 통신프로토콜
600: 통합보안운영센터용 스위칭허브
700: 수집패킷 전송
800: 통합보안운영센터10: Control and monitoring computer
20: information processing system network switching hub
30: information processing system network
40: information processing system server
50: control system cabinet
60: field sensor and control motor
100: packet detection unit
110: NET1 RJ45 connector
120: NET2 RJ45 connector
130: CON1 RJ45 connector
140: CON2 Fiber Optic connector
150: tap module
160: packet analysis module
161: Top Module
162: Ethernet Frame
163: Comparator Module
164: Block Random Access Memory Module
165: Serial Peripheral Interface Module
170: embedded microprocessor
171: packet parsing module
172: detection module
173: whitelist storage module
174: detection result transmission module
180: redundant power connector
190: light emitting diode (LED) status display unit
200: white list management unit
210: communication module
220: packet detection unit management
230: Asset Management
240: protocol management
250: security management
300: central monitoring server
310: database
320: server communication module
330: time synchronization module
400: secure network switching hub
500: secure network TCP/IP communication protocol
600: switching hub for integrated security operation center
700: transmission of collection packet
800: integrated security operation center

Claims (4)

정보처리계통 네트워크 구간 사이에서 패킷을 수집하여 이상패킷을 탐지하고 수집된 패킷을 통합보안운영센터로 전송하는 패킷탐지유닛;
상기 패킷탐지유닛에 화이트리스트 기반의 정책을 설정하고 관리하는 화이트리스트 관리유닛; 및
상기 패킷탐지유닛으로부터 탐지된 결과를 수신하여 이벤트로그와 보안로그를 저장하고 조회할 수 있는 데이터베이스가 포함된 중앙모니터링서버;를 포함하며,
상기 패킷탐지유닛은 패킷을 수집하는 탭 모듈, 수집된 패킷에 대해 헤더 정보 분석을 수행하는 패킷분석모듈 및 페이로드 정보 분석을 수행하는 임베디드 마이크로프로세서를 포함하며,
상기 탭 모듈은 송수신 데이터 패킷에 대한 복사를 수행하며 전원상실로 인한 자체결함 발생 시 릴레이 회로를 동작시켜 네트워크에 대한 간섭 없이 통신선로를 유지하며,
상기 패킷분석모듈은 이더넷 프레임, 컴퍼레이터 모듈, 블록랜덤엑세스메모리 모듈, 직렬주변기기인터페이스 모듈을 구비하고, 상기 화이트리스트 관리유닛으로부터 수신된 프로토콜의 헤더 정보인 출발지 매체접근제어(Media Access Control), 목적지 매체접근제어(Media Access Control), 출발지 인터넷프로토콜(Internet Protocol), 목적지 인터넷프로토콜(Internet Protocol), 출발지 포트(Port), 목적지 포트(Port), 프로토콜 타입 리스트와 비교하여 언매칭 되는 경우, 이상 패킷으로 탐지하여 그 결과를 임베디드 마이크로프로세서로 전송하며,
상기 임베디드 마이크로프로세서는 패킷파싱모듈, 탐지모듈, 화이트리스트저장모듈, 탐지결과전송모듈을 구비하고, 상기 화이트리스트 관리유닛으로부터 수신된 프로토콜의 페이로드 정보인 기능코드(Function Code)와 비교하여, 언매칭 되는 경우 이상 패킷으로 탐지하여 그 결과를 중앙모니터링서버로 전송하며,
상기 패킷탐지유닛은 복수의 정보처리계통 네트워크 구간에 각각 대응되도록 복수개로 설치가 가능하며, 이중화로 전원을 공급받을 수 있도록 구비된 연결커넥터, 탐지하고자하는 구간의 연결용 커넥터, 화이트리스트 관리유닛 및 중앙모니터링서버와 통신하기 위한 연결용 커넥터, 통합보안운영센터에 수집된 모든 패킷을 전송하기 위한 연결용 커넥터와 LED 상태표시부를 포함하는 것을 특징으로 하는 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템.A packet detection unit that collects packets between sections of the information processing system network, detects abnormal packets, and transmits the collected packets to the integrated security operation center;
a whitelist management unit configured to set and manage a whitelist-based policy in the packet detection unit; and
A central monitoring server including a database capable of storing and querying event logs and security logs by receiving the detected results from the packet detection unit;
The packet detection unit includes a tap module for collecting packets, a packet analysis module for performing header information analysis on the collected packets, and an embedded microprocessor for performing payload information analysis,
The tap module performs copying of transmitted/received data packets and operates a relay circuit when a self-fault occurs due to power loss to maintain a communication line without interfering with the network.
The packet analysis module includes an Ethernet frame, a comparator module, a block random access memory module, and a serial peripheral device interface module, and includes protocol header information received from the whitelist management unit, such as source media access control (Media Access Control), destination Media Access Control, Source Internet Protocol, Destination Internet Protocol, Source Port, Destination Port, and Protocol Type List are compared and if unmatched, an error packet is found. and transmits the result to the embedded microprocessor,
The embedded microprocessor includes a packet parsing module, a detection module, a whitelist storage module, and a detection result transmission module, and compares the function code, which is the payload information of the protocol received from the whitelist management unit, In case of matching, it is detected as an abnormal packet and the result is transmitted to the central monitoring server.
The packet detection unit can be installed in a plurality so as to correspond to a plurality of information processing system network sections, respectively, a connection connector provided to receive power in redundancy, a connector for connection of a section to be detected, a white list management unit, and A connector for connection to communicate with the central monitoring server, a connector for connection to transmit all packets collected to the integrated security operation center, and an LED status display unit. Nuclear power plant information processing system network anomaly detection system. 삭제delete 제1항에 있어서,
상기 화이트리스트 관리유닛은 식별 및 인증정보, 시스템 설정, 화이트리스트 기반의 탐지규칙 등의 정보를 생성하고 패킷탐지유닛에 전송하는 유저인터페이스 화면을 제공하는 것을 특징으로 하는 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템. According to claim 1,
The whitelist management unit generates information such as identification and authentication information, system settings, and whitelist-based detection rules, and provides a user interface screen for transmitting to the packet detection unit Nuclear power plant information processing system network anomaly detection system. 제1항에 있어서,
상기 중앙모니터링서버는 패킷탐지유닛과 화이트리스트 관리유닛으로부터 이벤트로그, 보안로그 등의 정보를 저장하고 조회하기 위한 데이터베이스를 포함하고 표준시간을 입력받아 패킷탐지유닛 및 화이트리스트 관리유닛의 시간을 주기적으로 동기화하는 것을 특징으로 하는 원자력발전소 정보처리계통 네트워크 이상징후 탐지시스템.According to claim 1,
The central monitoring server includes a database for storing and querying information such as event logs and security logs from packet detection units and whitelist management units, receives standard time, and periodically adjusts the time of packet detection units and whitelist management units. Nuclear power plant information processing system network anomaly detection system, characterized in that synchronization.
KR1020200178589A 2020-12-18 2020-12-18 Network intrusion detection system for information processing system of nuclear power plants KR102494831B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200178589A KR102494831B1 (en) 2020-12-18 2020-12-18 Network intrusion detection system for information processing system of nuclear power plants

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200178589A KR102494831B1 (en) 2020-12-18 2020-12-18 Network intrusion detection system for information processing system of nuclear power plants

Publications (2)

Publication Number Publication Date
KR20220087993A KR20220087993A (en) 2022-06-27
KR102494831B1 true KR102494831B1 (en) 2023-02-06

Family

ID=82246836

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200178589A KR102494831B1 (en) 2020-12-18 2020-12-18 Network intrusion detection system for information processing system of nuclear power plants

Country Status (1)

Country Link
KR (1) KR102494831B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102643881B1 (en) * 2023-07-18 2024-03-07 (주)엠에스테크이앤지 Safety System Communication Network Interface, Nuclear Power Plant Cyber Security System and Method Using the Same

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101957744B1 (en) * 2017-02-23 2019-03-14 한국원자력연구원 Cyber security monitoring method and system of digital system in nuclear power plant

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Leslie F. Sikos, 'Packet analysis for network forensics: A comprehensive survey,' Elsevier, (2020.02.20)*

Also Published As

Publication number Publication date
KR20220087993A (en) 2022-06-27

Similar Documents

Publication Publication Date Title
US10015176B2 (en) Network protection
CN114978584A (en) Network security protection safety method and system based on unit cell
JP3968724B2 (en) Network security system and operation method thereof
CN109739203B (en) Industrial network boundary protection system
US20090271504A1 (en) Techniques for agent configuration
US9928359B1 (en) System and methods for providing security to an endpoint device
GB2385168A (en) Method for defining the security vulnerabilities of computer by specifying a attack and an attribute of the attack
CN214306527U (en) Gas pipe network scheduling monitoring network safety system
CN116827675A (en) Network information security analysis system
KR102433928B1 (en) System for Managing Cyber Security of Autonomous Ship
Wurzenberger et al. AECID: A Self-learning Anomaly Detection Approach based on Light-weight Log Parser Models.
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
CN114553537A (en) Abnormal flow monitoring method and system for industrial Internet
Khodabakhsh et al. Cyber-risk identification for a digital substation
KR102494831B1 (en) Network intrusion detection system for information processing system of nuclear power plants
CN113794590B (en) Method, device and system for processing network security situation awareness information
KR101871406B1 (en) Method for securiting control system using whitelist and system for the same
CN113132412B (en) Computer network security test and inspection method
KR20020075319A (en) Intelligent Security Engine and Intelligent and Integrated Security System Employing the Same
CN116668166A (en) Software and hardware cooperated data security monitoring system
CN116894259A (en) Safety access control system of database
Calvo et al. Key Vulnerabilities of Industrial Automation and Control Systems and Recommendations to Prevent Cyber-Attacks.
Anand et al. Network intrusion detection and prevention
Kiuchi et al. Security technologies, usage and guidelines in SCADA system networks
CN116318904A (en) Nuclear power network safety protection system

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant