KR20130020862A - 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 - Google Patents

자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 Download PDF

Info

Publication number
KR20130020862A
KR20130020862A KR1020110082786A KR20110082786A KR20130020862A KR 20130020862 A KR20130020862 A KR 20130020862A KR 1020110082786 A KR1020110082786 A KR 1020110082786A KR 20110082786 A KR20110082786 A KR 20110082786A KR 20130020862 A KR20130020862 A KR 20130020862A
Authority
KR
South Korea
Prior art keywords
network
similarity
self
attribute information
state
Prior art date
Application number
KR1020110082786A
Other languages
English (en)
Other versions
KR101281456B1 (ko
Inventor
김휘강
고폴린
Original Assignee
고려대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 고려대학교 산학협력단 filed Critical 고려대학교 산학협력단
Priority to KR1020110082786A priority Critical patent/KR101281456B1/ko
Priority to US14/239,733 priority patent/US20150304346A1/en
Priority to PCT/KR2012/006549 priority patent/WO2013027970A1/ko
Publication of KR20130020862A publication Critical patent/KR20130020862A/ko
Application granted granted Critical
Publication of KR101281456B1 publication Critical patent/KR101281456B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 자기 유사성을 이용한 네트워크의 이상증후를 탐지하는 장치, 방법 및 그 방법을 기록한 기록매체에 관한 것으로, 본 발명에 따른 네트워크의 이상증후를 탐지하는 방법은, 정상 상태에서 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 자기 유사성에 대한 임계값을 설정하고, 네트워크에서 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하며, 측정된 실시간 자기 유사성 값과 미리 설정된 임계값를 비교하여 네트워크에 대한 이상 여부를 판단한다.

Description

자기 유사성을 이용한 SCADA 네트워크의 이상증후를 탐지하는 장치 및 방법{Apparatus and method for anomaly detection in SCADA network using self-similarity}
본 발명은 SCADA 네트워크의 이상증후를 탐지하는 장치 및 방법에 관한 것으로, 특히 일정하고 반복적인 네트워크의 패턴을 이용한 자기 유사성에 기초하여 비정상적인 공격 및 이상증후를 실시간으로 탐지할 수 있는 장치, 방법 및 그 방법을 기록한 기록매체에 관한 것이다.
침입 탐지(intrusion detection)라 함은 정보 시스템의 보안을 위협하는 침입 행위가 발생할 경우 이를 탐지하는 기술로서, 침입 탐지 시스템(intrusion detection system, IDS)은 일반적으로 시스템에 대한 위협이 되는 내부 및 외부로부터의 조작을 탐지하여 관리자에게 알려준다. 이를 위해 침입 탐지 시스템은 전통적인 방화벽이 탐지할 수 없는 모든 종류의 악의적인 네트워크 트래픽 및 컴퓨터 사용을 탐지할 수 있어야 한다. 따라서, 침입 탐지 시스템이 탐지하는 대상은, 취약한 서비스에 대한 네트워크 공격과 애플리케이션에서의 데이터 처리 공격(data driven attack), 권한 상승(privilege escalation) 및 침입자 로그인, 침입자에 의한 주요 파일 접근, 멀웨어(malware)(컴퓨터 바이러스, 트로이 목마, 웜 등)과 같은 호스트 기반 공격을 포함한다.
이러한 침입 탐지 기술은 크게 이상증후 탐지법(anomaly based intrusion detection)과 오용 탐지법(misuse detection)의 두 가지로 분류될 수 있다. 이상증후 탐지법은 네트워크 또는 시스템의 상태가 과거의 통계적 정상 행위와 다른 비정상 행위를 보일 경우 이를 침입으로 간주하는 방법이며, 오용 탐지법은 네트워크 또는 시스템의 상태가 미리 설정된 공격 패턴과 일치할 경우 이를 침입으로 간주하는 방법이다. 특히, 이상증후 탐지법은 통계에 기반하는 접근법 또는 예측 모델링을 활용하며, 알려지지 않은 공격이나 보안 장치를 우회하는 공격 등 기존의 보안 시스템에서 정의하고 있지 않은 예상치 못한 공격을 탐지할 때 유용하다고 알려져 있다.
한편, 이러한 이상증후 탐지를 위해서는 통계적 데이터를 활용하게 되는데, 이러한 통계적 데이터를 구축하는 기반 이론으로는 자기 유사성(self-similarity)이 활용될 수 있다. 자기 유사성은 프랙탈(fractal) 이론에 기초한 개념으로, 차원(dimension) 상의 서로 다른 확대비율이나 서로 다른 스케일(scale)에서 보았을 때, 동일하게 보이거나 동일하게 행동하는 자기 유사한 현상을 의미한다. 요약하건대, 부분이 전체를 닮는 현상을 말한다. 예를 들면, 어떠한 네트워크의 특정 시간대를 관찰하였을 때, 규모를 축소한 시간대(rescaled time)에서의 트래픽 양의 변화 형태가 전체 시간대에서의 트래픽 양의 변화 형태와 유사한 현상을 보이면, 자기 유사성이 있다고 한다. 이하에서 제시되는 선행기술문헌들을 참고하면, 다양한 유형의 컴퓨터 네트워크의 트래픽에서 자기 유사성(Self-similarity)이 발견되었다.
LELAND, W. E., Taqqu, M.S., WILLINGER, W., Wilson, D. V., On the Self-Similar Nature of Ethernet Traffic (extended version). IEEE/ACM Transactions on Networking 2 (1994), 1-15. PAXSON, V., FLOYD, S., Wide-area Traffic: the Failure of Poisson Modeling. IEEE/ACM Transactions on Networking (TON) archive, 3 (1995). CROVELLA, M. E., BESTAVROS, A.., Explaining world wide web traffic self-similarity. Computer Science Department, Boston University, Ott Technical Report 1995, TR-95-015.
본 발명이 해결하고자 하는 기술적 과제는 미리 설정된 패턴에 기초하여 네트워크 내지 시스템의 침입을 탐지하는 오용 탐지법만으로는 패턴이 알려지지 않은 새로운 형태의 공격이나 우회 공격에 대한 탐지가 불가능한 문제점을 해결하고, 지속적으로 전문가 집단에 의해 오류 패턴을 갱신하여야만 하는 불편함을 해소하며, 네트워크 및 시스템 내부로부터의 공격을 탐지할 수 없는 한계를 극복하고자 한다.
나아가, 본 발명은 SCADA 시스템의 운용에 있어서 공격 가능성이 증대하고 있는 상황 하에서 미리 알려지지 않은 형태의 공격을 탐지할 수 없는 문제점을 해결하고, 이상증후 탐지를 위해 고가의 시스템을 구비하여야만 하는 경제적 어려움을 해소하고자 한다.
상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 네트워크에서 적어도 하나의 프로세서(processor)를 구비한 탐지 장치가 상기 네트워크의 이상증후를 탐지하는 방법은, 정상 상태에서 상기 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 상기 자기 유사성에 대한 임계값을 설정하는 단계; 상기 네트워크에서 상기 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하는 단계; 및 상기 측정된 실시간 자기 유사성 값과 상기 설정된 임계값를 비교하여 상기 네트워크에 대한 이상 여부를 판단하는 단계를 포함한다.
상기된 네트워크의 이상증후를 탐지하는 방법에서, 상기 자기 유사성에 대한 임계값을 설정하는 단계는, 상기 정상 상태에서 일정 시간 간격으로 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정하는 단계; 상기 측정된 속성 정보로부터 표본 평균 및 분산을 산출하는 단계; 상기 산출된 분산과 상기 시간 간격을 이용하여 상기 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터(parameter)를 산출하는 단계; 및 상기 산출된 파라미터의 소정 배율을 상기 자기 유사성에 대한 임계값으로 설정하는 단계를 포함한다.
또한, 상기된 네트워크의 이상증후를 탐지하는 방법에서, 상기 속성 정보는, 상기 네트워크의 패킷(packet) 정보, 상기 네트워크 내의 시스템의 보안 상태에 대한 속성 정보 또는 상기 네트워크와 상기 시스템의 상태를 나타내는 함수 값 중 적어도 하나이다.
나아가, 이하에서는 상기 기재된 네트워크의 이상증후를 탐지하는 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체를 제공한다.
상기 기술적 과제를 해결하기 위하여, 본 발명의 일 실시예에 따른 네트워크의 이상증후를 탐지하는 장치는, 정상 상태에서 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성을 미리 측정하여 설정된 임계값을 저장하는 저장부; 상기 네트워크에서 상기 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하는 측정부; 및 상기 측정된 실시간 자기 유사성 값과 상기 설정된 임계값를 비교하여 상기 네트워크에 대한 이상 여부를 판단하는 판단부를 포함한다.
상기된 네트워크의 이상증후를 탐지하는 장치의 상기 저장부는, 상기 정상 상태에서 일정 시간 간격으로 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정하고, 상기 측정된 속성 정보로부터 표본 평균 및 분산을 산출하고, 상기 산출된 분산과 상기 시간 간격을 이용하여 상기 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터를 산출하며, 상기 산출된 파라미터의 소정 배율을 상기 자기 유사성에 대한 임계값으로 설정하여 저장한다.
본 발명의 다양한 실시예들은 정상 상태에서 네트워크의 자기 유사성을 미리 측정하여 설정된 임계값과 실시간으로 측정된 네트워크의 자기 유사성 값을 비교함으로써, 패턴이 알려지지 않은 새로운 형태의 공격이나 우회 공격에 대한 탐지가 가능하고, 오류 패턴에 대한 지속적인 갱신 내지 별도의 전문가 집단 없이도 네트워크 및 시스템의 외부 및 내부로부터의 공격을 탐지할 수 있으며, 오탐율을 감소시키고 침입 탐지의 정확도를 향상시킬 수 있다.
나아가, 본 발명의 실시예들을 SCADA 시스템에 적용함에 있어서 별도의 추가적인 하드웨어를 필요로 하지 않을 뿐만 아니라, 시스템 및 규약에 독립적인 특성으로 인해 이기종의 장비들에 유연한 적용이 가능하다.
도 1은 본 발명의 실시예들이 구현되는 네트워크 환경에서 나타나는 네트워크 트래픽의 자기 유사성을 설명하기 위한 도면이다.
도 2는 일반적인 네트워크의 트래픽 그래프와 본 발명의 실시예들이 구현되는 네트워크의 트래픽 그래프를 비교하여 도시한 도면이다.
도 3은 본 발명의 일 실시예에 따른 네트워크에서 적어도 하나의 프로세서를 구비한 탐지 장치가 상기 네트워크의 이상증후를 탐지하는 방법을 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 도 3의 방법에서 자기 유사성에 대한 임계값을 설정하는 과정을 보다 구체적으로 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 네트워크의 이상증후를 탐지하는 방법에서 시스템의 상태를 나타내는 속성 정보 중 일례인 스냅샷 벡터(snapshot vector)를 산출하는 과정을 설명하기 위한 도면이다.
도 6은 본 발명의 일 실시예에 따른 네트워크의 이상증후를 탐지하는 장치를 도시한 블록도이다.
본 발명의 실시예들을 설명하기에 앞서, 우선 본 발명의 실시예들이 구현되는 네트워크 트래픽의 특징에 대해 소개하고, 이러한 실시예들이 구현되는 환경의 특징으로부터 안출될 수 있는 본 발명의 기본적인 아이디어를 제시하고자 한다.
도 1은 본 발명의 실시예들이 구현되는 네트워크 환경에서 나타나는 네트워크 트래픽의 자기 유사성을 설명하기 위한 도면으로서, 가로축은 시간을 나타내고, 세로축은 트래픽 부하(traffic load)를 나타낸다. 즉, 도 1은 시스템이나 네트워크 트래픽을 시계열 데이터로 보고, 이로부터 자기 유사성을 도출해낸다. 여기서, 시계열이란 시간이라는 독립 변수에 대해 어떠한 변수를 나타내는 것을 말한다. 예를 들어, 연도별, 분기별, 월별, 일별 또는 시간별 등 시간의 흐름에 따라 순서대로(ordered in time) 관측되는 데이터는 시계열(time series) 데이터라고 볼 수 있다.
이러한 시계열 자료를 분석할 때, 관측 시점들 사이의 간격(시차: time lag)이 중요한 역할을 한다. 시계열은 시간 t를 하첨자로 하여 다음의 수학식 1과 같이 표현된다.
Figure pat00001
이러한 시계열 데이터에 기반하여 자기 상관과 자기 상관 함수에 대해 살펴보자.
시계열 데이터에서 현재의 상태는 과거 및 미래의 상태와 서로 연관되어 있다. 이러한 시계열 데이터 내의 연관 관계는 자기 상관 함수로 표현될 수 있다. 자기 상관이란 어떠한 하나의 시계열이 시계열 내에서 시간에 따라 반복되는 유형, 즉 스스로 상관이 있는지를 나타낸다.
보다 구체적으로, 자기 상관 함수는 두 개의 서로 다른 시점 t1, t2 (또는, t, t+τ라고 표현될 수 있다.) 각각에서 관찰한 결과가 유사한 정도를 나타낸 함수이다. 자기 상관 함수 R은 다음의 수학식 2와 같이 표현될 수 있다.
Figure pat00002
여기서, R은 자기 상관 함수를 나타내고, E는 평균을 나타낸다.
이제, 이러한 자기 상관을 정량화하여 표현하기 위해 확률적 표현을 도입하여 설명하도록 한다.
정상 확률 과정이란, 시간의 엇갈림에 대하여 어떤 종류의 정상성을 지니는 확률 과정의 총칭을 말하며, 강정상(强定常) 과정과 약정상(弱定常) 과정으로 대별된다. 확률 과정 {X(t)}에 대하여 X(t1), X(t2), ..., X(tn)의 결합 분포와 X(t1+τ), X(t2+τ), ..., X(tn+τ)의 결합 분포가 항상 일치할 때, 이 과정을 강정상 확률 과정이라고 한다. 이에 반해, X(t)의 평균 E(X(t))와 X(t)X(t+τ)의 평균 E(X(t)X(t+τ))가 모두 t와 관계없을 때, 이 과정을 약정상 확률 과정이라고 한다.
이하에서 제시될 본 발명의 실시예들은 이상증후가 없는, 즉 시스템 및 네트워크로부터의 비정상적인 침입이 없는 네트워크 트래픽이 정상 상태(정상 확률 과정에 따르는 것을 의미한다.)에 있음을 이용하여, 네트워크 트래픽의 이상증후를 탐지하는 방법을 제안한다. 보다 실천적인 관점에서 이러한 속성을 자기 유사성에 적용하는 구체적인 방법은 이후 도 4를 통해 자세히 설명하기로 한다.
도 2는 일반적인 네트워크의 트래픽 그래프와 본 발명의 실시예들이 구현되는 네트워크의 트래픽 그래프를 비교하여 도시한 도면이다.
본 발명의 실시예들은 공통적으로 정상 상태에서 자기 유사성을 갖는 네트워크 패턴을 갖는 규격에 따른 환경에서 구현되며, 이러한 정상 상태의 네트워크 트래픽은, 시간에 대한 스케일(scale)을 달리하는 복수 개의 네트워크 트래픽의 변화가 서로 유사한 자기 유사성을 갖는다는 것을 전제로 한다. 이하에서는 이러한 규격의 일례로서, 본 발명의 실시예들은 SCADA(Supervisory Control and Data Acquisition) 시스템을 예시하여 설명하도록 한다.
SCADA 시스템이란, 원격 장치의 상태 정보 데이터를 원격 단말 장치(remote terminal unit)로 수집, 수신, 기록 및 표시하여 중앙 제어 시스템으로 하여금 원격 장치를 감시하고 제어하도록 하는 시스템이다. 현재, 발전, 송배전시설, 상하수도 시설, 석유화학 플랜트, 고속 전철, 가스, 제철 공정 시설 및 공장 자동화 시설 등 국가에서 관리하는 중요 핵심 기반 시설은 상당수 SCADA 시스템으로 운영되고 관리되고 있다. 이러한 SCADA 시스템의 네트워크 트래픽은 일정하고 규칙적인 양상을 보이며, 자기 유사성 정도가 일반 네트워크 트래픽에 비해 크고 뚜렷하게 나타난다.
이하에서 본 발명의 실시예들을 통해 제시될 자기 유사성 측정을 통한 침입탐지 방법론은 SCADA 시스템이라는 특수한 환경에 적용하기 유리하다. 중단 없는 운영이 이루어져야 하는 SCADA 시스템의 특성상 추가적인 보안 솔루션과 보안 장치의 설치가 어렵다. 대부분의 보안 도구 설정 과정과 운영체제의 업데이트 과정에는 해당 솔루션의 활성화를 시키기 위한 리부팅(rebooting)이 불가피하기 때문에 기반 시설의 운영이 중단될 수도 있다. 보안 도구가 정상적인 상태를 침입 상황으로 잘못 판단할 경우에는 기반 시설의 운영 중단과 중요 데이터 손실 등 막대한 사회적 피해가 발생할 수 있다. 이러한 점들 때문에 SCADA 시스템 환경에서는 가용성과 장애유발 방지를 위해서 시스템 내에 에이전트(agent)를 설치하는 방식이 현실적으로 적용하기 어려운 것이다. 이는 현재 운영 중인 SCADA 시스템에 대한 직접적이고 적극적인 대응을 피해야 하는 주요 원인이다. 또한, 원활한 작동을 위해 시스템에 부하를 유발할 수 있는 방식은 지양해야 한다.
도 2의 [A]는 고려대학교 해킹대응기술 연구실 컴퓨터에서 2011년 6월 27일 16시 25분 56초부터 17시 26분 49초까지 약 1시간 동안 관찰한 시간에 따른 패킷(packet) 개수의 양상을 나타낸 도면이다. 이 기간 동안 이루어진 행위는 정상적인 웹서핑 내지 메신저 활동 등을 포함한다. 일반적으로 네트워크 트래픽은 사용자의 다양한 행위에 의해 일정하지 않은 트래픽 양상을 보이나, 자기 유사성의 특성을 갖는 것으로 알려져 있다.
도 2의 [B]는 한국의 특정 SCADA 시스템에서 관측된 약 1시간 동안의 트래픽 양상을 도시한 도면이다. 앞서 도 2의 [A]와 비교하여 볼 때, 상당히 규칙적이고 일정한 트래픽 양상을 보임을 알 수 있다. SCADA 시스템은 특수한 목적을 가지는 폐쇄망이므로 통신 프로토콜과 통신 주체 등이 한정되어 있어서, 네트워크 트래픽은 일정한 형태를 띄게 된다. 따라서, 자기 유사성의 성질이 일반 네트워크 트래픽에 비해 크다는 특징을 갖는다.
SCADA 통신에 사용되는 규약은 일반적인 인터넷 통신과는 달리 DNP(Distributed Network Protocol), Modbus, Harris, TCP/IP, ICCP(Intercontrol Center Communications Protocol) 등 다양한 방식들이 채용되며, 각 규약들은 시스템의 구조와 제어 등급 및 계측/제어 대상에 따라서 결정됨으로써 하나의 시스템 내에 다수의 규약들이 혼용되기도 한다.
통상적으로 침입 탐지를 위해 활용될 수 있는 패턴 매칭(pattern matching)을 이용하는 방법, 고정된 네트워크 장비에 따른 네트워크 패턴을 감지하는 방법 내지 규칙(rule) 기반의 별도의 모니터링 시스템을 사용하는 방법 등은 모두 본 SCADA 시스템의 침입 탐지에 있어서 탐지의 과정이 복잡하거나 추가적인 하드웨어 장비가 요구되는 문제점을 갖는다.
현재 대부분의 국가는 SCADA 시스템을 폐쇄 망에서 운영하고 있고, 벤더 고유의 운영체제 및 프로토콜을 사용하고 있으나, 비용 대 효과의 측면을 극대화하기 위해 상용망에 연결하여 운영하는 노력이 시도되고 있다. 그 예로 스마트 그리드(smart grid)는 기존 전력망의 중앙 집중화, 일방향인 관리 방식의 비효율성을 개선하기 위해 분산 방식을 활용한 전력 시스템을 제안하고 있다. 이러한 SCADA 시스템을 상용망에 연결하여 운영할 경우, 기존에 비해 해커(hacker)가 침입할 수 있는 경로가 확대/확장되므로 그 공격의 가능성은 더욱 증가하게 된다. 또한, 적용 분야 및 규모의 특성상 SCADA 시스템이 해커로부터 공격을 받아 피해가 발생하게 될 경우, 대규모 인명 피해 내지 경제적 피해가 발생할 우려가 있다.
이러한 환경 하에서 다양한 공격 경로를 예상할 수 있어야 하므로 SCADA 시스템에 대한 알려지지 않은 공격(제로데이 공격: Zeroday Attack)도 효과적으로 탐지하여야 하며, 탐지에 대한 정확도와 신뢰도를 높일 필요성이 있다. 앞서 검토한 바와 같이 기존의 시스템 보안 방법들은 탐지의 과정이 복잡하거나 추가적인 장비를 갖춰야 하는 등의 문제점이 존재한다. 또한, 이상증후 탐지를 위해 복잡한 과정을 수행해야 하거나, 추가적인 비용이 발생하게 되며, 탐지를 위해 지속적으로 상태에 대한 모니터링과 갱신을 수행해야 한다.
따라서, 이하에서 제시되는 본 발명의 실시예들은 SCADA 네트워크에서 발생하는 트래픽이 일정하고 반복적인 패턴을 갖는다는 것에 착안하여, 이로부터 자기 유사성을 측정함으로써 네트워크 트래픽의 이상증후를 탐지하는 방법을 제안한다. 즉, SCADA 네트워크에서는 시간 단위로 통계 특성치를 정의할 수 있으므로, 통계 특성치가 프렉탈 구조처럼 반복되는 자기 유사성의 성질을 이용하여 침입 탐지를 수행할 수 있다. 이러한 자기 유사성을 이용한 침입 탐지는 앞서 언급한 통상적인 침입 탐지 방법과는 달리, 추가적인 장비나 모델링 과정을 필요로 하지 않는다. 뿐만 아니라, 장비에 의존적이지 않기 때문에 일단 침입 탐지 시스템이 구현되면 어디에나 적용될 수 있다는 장점을 갖는다.
다만, 이러한 SCADA 시스템은 본 발명의 실시예들이 구현될 수 있는 환경의 일례일 뿐, 반드시 SCADA 시스템에 한정되지는 않는다. 따라서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는, 이상에서 예시한 SCADA 시스템과 같이 일정하고 반복적인 네트워크 패턴을 갖는 환경(즉, 자기 유사성의 성질이 뚜렷하게 나타나는 환경을 말한다.)에서 본 발명의 기본적인 아이디어가 동일하게 유지되는 한, 다양한 실시예들을 유연하게 적용하는 것이 가능함을 알 수 있다. 이하에서는 도면을 참조하여 본 발명의 실시예들을 구체적으로 설명한다. 도면들에서 동일한 참조 번호들은 동일한 구성 요소를 지칭한다.
도 3은 본 발명의 일 실시예에 따른 네트워크에서 적어도 하나의 프로세서(processor)를 구비한 탐지 장치가 상기 네트워크의 이상증후를 탐지하는 방법을 도시한 흐름도이다. 앞서 전제한 바와 같이, 본 실시예의 네트워크는 일정하고 반복적인 자기 유사성의 네트워크 패턴을 갖는다. 따라서, 본 실시예의 네트워크는 정상 상태에서 강한 자기 유사성을 갖는다. 이러한 환경 하에서 침입이 발생하면 네트워크 트래픽의 상태가 변화하면서 자기 유사성의 정도가 변화한다. 즉, 도 3의 탐지 방법에서는 이러한 특성을 이용하여 침입 발생 여부를 탐지할 수 있다.
310 단계에서, 탐지 장치는 정상 상태에서 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 자기 유사성에 대한 임계값을 설정한다. 이 단계에서는 관측할 데이터 대상을 선정하고, 네트워크 상태 또는 시스템 내부 중 하나 이상의 대상에 대해 어떠한 데이터를 관측하고, 관측된 데이터를 분석할 지 여부를 결정한다. 예를 들어, 네트워크의 상태를 관측 대상으로 할 경우, 패킷에 관한 정보 내지 트래픽에 대한 정보가 분석 대상이 될 것이다. 또 다른 예로서, 시스템의 상태를 관측 대상으로 할 경우, 운영체제(operating system, OS) 내에 적재되는 이벤트 로그(event log)가 분석 대상이 될 수도 있다. 이렇게 측정/분석 대상이 결정되면, 관측하고 분석할 데이터의 구체적인 속성 정보를 선택한다. 만약 네트워크의 상태를 대상으로 할 경우, 패킷 크기, 시간 당 패킷 개수 또는 패킷 발생 시간 등이 속성으로서 선택될 수 있으며, 만약 시스템의 상태를 대상으로 할 경우, 다양한 이벤트 로그 중 EventID 또는 SID(Security ID) 등이 속성으로서 선택될 수 있다.
이제, 선택된 속성 정보로부터 자기 유사성을 측정하여야 한다. 이러한 자기 유사성은 네트워크 트래픽의 통계적 현상의 지속성에 대한 특정 파라미터로 특성화, 수치화될 수 있다. 자기 유사성을 산출하기 위해서는 속성에 대해 일정한 시간 간격으로 데이터를 추출하여 표본으로 설정하고, 이러한 표본에 대한 평균과 분산을 산출한다. 이렇게 산출된 자기 유사성 값은 정상 상태의 네트워크 트래픽에 대한 값이므로, 통상적인 네트워크나 이상증후가 존재하는 네트워크에 비해 상대적으로 높은 자기 유사도를 가질 것이다. 따라서, 이로부터 이상증후의 유무를 판단하기 위한 임의의 임계값을 설정한다.
320 단계에서, 탐지 장치는 네트워크에서 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정한다. 즉, 320 단계는 실제 네트워크에서 이상증후를 감지하는 과정에 해당한다. 이 때, 자기 유사성을 측정하는 속성 정보는 당연히 앞서 310 단계에서 선택된 속성 정보가 될 것이다. 동일한 속성 정보에 대한 관측과 분석을 통해 현재의 네트워크에서 실시간으로 측정되는 자기 유사성과 310 단계를 통해 산출된 정상 상태의 자기 유사성 값을 비교할 수 있게 된다.
330 단계에서, 탐지 장치는 320 단계를 통해 측정된 실시간 자기 유사성 값과 310 단계를 통해 설정된 임계값를 비교하여 네트워크에 대한 이상 여부를 판단한다. 이 경우, 실시간 자기 유사성 값과 미리 설정된 임계값를 비교하고, 비교 결과, 실시간 자기 유사성 값이 설정된 임계값보다 낮은 경우, 네트워크에 이상이 있다고 결정할 수 있다. 즉, 현재의 네트워크에 불법적인 침입이 존재하는 경우 실시간 자기 유사성 값이 임계값의 범위를 벗어나게 되므로 이러한 경우를 침입으로 간주할 수 있는 것이다.
본 실시예에서 탐지 장치는 이상에서 기술될 일련의 연산을 수행하기 위한 적어도 하나의 프로세서를 구비한다. 이러한 프로세서는 네트워크 또는 시스템의 다양한 속성 정보로부터 추출된 표본 데이터로부터 평균과 분산을 연산하고, 연산 결과로부터 자기 유사성을 산출하여 임계값을 설정한다. 또한, 프로세서는 설정된 임계값과 실시간으로 산출된 현재의 자기 유사성을 비교하여 네트워크의 이상 여부를 판단하는 역할을 수행한다. 나아가 탐지 장치는 상기된 프로세서가 일련의 연산을 수행하는 과정에서 연산 그 자체 또는 임시 저장을 위한 공간으로서 사용되는 메모리(memory)를 더 포함할 수 있다. 물론, 이들 연산들을 상기된 프로세서와 메모리를 통해 수행하기 위해 부가적인 소프트웨어 코드(software code)가 활용될 수 있음은 당연하다.
도 4는 본 발명의 일 실시예에 따른 도 3의 방법에서 자기 유사성에 대한 임계값을 설정하는 과정을 보다 구체적으로 도시한 흐름도로서, 도 3의 310 단계만을 발췌하여 도시하였다. 여기서는 자기 유사성을 수치화한 파라미터의 산출 과정에 집중하여 설명하되, 중복되는 설명에 대해서는 약술하도록 한다. 자기 유사성을 수치화하여 표현하는 방법은 다양한 기술적 수단을 통해 구현될 수 있으나, 이하의 실시예들에서는 허스트 파라미터(Hurst parameter)를 예시하여 설명하도록 한다. 비록 이러한 자기 유사성의 수치화 표현의 수단으로 허스트 파라미터를 활용하고 있으나, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 자기 유사성의 표현 수단이 허스트 파라미터로 한정되지 않음을 알 수 있다.
311 단계에서, 탐지 장치는 정상 상태에서 일정 시간 간격으로 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정한다.
다음으로 312 단계에서, 탐지 장치는 측정된 속성 정보로부터 표본 평균 및 분산을 산출한다.
이어서 313 단계에서, 탐지 장치는 312 단계를 통해 산출된 분산과 311 단계의 시간 간격을 이용하여 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터(parameter)를 산출한다.
자기 유사성을 갖는 확률 과정의 일반적 정의는 연속 시간 변수의 직접적인 스케일링에 근간을 두고 있다. 확률 과정 x(t)가 임의의 실수 a (> 0)에 대하여 a-Hx(at)와 같은 통계적 특징을 지니면, x(t)는 허스트 파라미터 H (0.5 < H < 1)를 갖는 통계적 자기 유사성을 갖는 프로세스라 한다. 이 관계는 다음의 수학식 3 내지 수학식 5와 같은 세 가지 조건에 의해서 표현될 수 있다.
Figure pat00003
Figure pat00004
Figure pat00005
상기된 수학식 3은 평균을 나타내고, 수학식 4는 분산을 나타내며, 수학식 5는 자기 상관을 나타낸다. 여기서 허스트 파라미터 H는 자기 유사성의 주요 척도이다. 다시 말해, H는 통계적 현상의 지속성에 대한 척도이다. H 값이 0.5이면 자기 유사성이 없음을 의미하고, 1에 가까우면 지속의 정도 또는 장기간 의존성의 정도가 크며 자기 유사성 정도가 큼을 의미한다.
좀 더 현실적이고 포괄적인 자기 유사성을 정의하기 위해서는 평균 μ, 분산 σ2 , 자기 상관 함수 r(k)~kL(k)를 갖는 약정상 확률과정에 대한 허스트 파라미터 측정을 생각해 본다. 각각의 m = 1, 2, ...에 대해 다음의 수학식 6과 같은 확률 정상 과정 X(m) 을 정의한다.
Figure pat00006
새롭게 정의한 X(m)은 원래의 시간 수열 X를 non-overlapping 블록 크기 m 으로 평균한 것들로 이루어진 확률 과정에 해당한다.
정상 확률 과정 X가 아래의 수학식 7 및 수학식 8의 조건을 만족할 때, 허스트 파라미터
Figure pat00007
를 가진 엄격한 의미에서의 또는 점근적 의미에서의 2차 자기 유사성을 가지는 확률 과정이라고 한다. 수학식 7과 수학식 8은 각각 엄격한 의미에서의 조건과 점근적인 의미에서의 조건을 나타낸다.
Figure pat00008
Figure pat00009
이제, 이러한 이해에 기초하여 허스트 파라미터를 산출하는 과정을 설명한다. 확률 과정의 표본 평균의 분산은 다음의 수학식 9와 같다.
Figure pat00010
수학식 9의 양변에 로그값(log)을 취하면 아래의 수학식 10과 같이 정리된다.
Figure pat00011
허스트 파라미터 H 는 다음의 수학식 11과 같이
Figure pat00012
Figure pat00013
의 회귀 분석 기울기로부터 산출될 수 있다.
Figure pat00014
이 때,
Figure pat00015
Figure pat00016
, 즉 표본 평균의 분산의 로그값을 나타낸다. 또한,
Figure pat00017
는 시간 간격의 로그값을 나타낸다. 즉, 허스트 파라미터는 산출된 분산의 로그(log) 값과 시간 간격의 로그 값의 회귀 분석에 의한 회귀선의 기울기 값에 따른다.
요약하건대, 자기 유사성의 측정이란, 일정 시간 간격으로 데이터를 통합한 표본을 추출하고, 시간 간격(time interval)의 로그값과 표본 평균의 분산의 로그값을 산출하며, 다양한 시간 간격에 따른 표본 분산의 로그값 사이의 회귀 분석을 통해 도출된 회귀선의 기울기 값을 통해 허스트 파라미터를 산출함으로써 이루어진다.
마지막으로 314 단계에서, 탐지 장치는 313 단계를 통해 산출된 파라미터의 일정 배율을 자기 유사성에 대한 임계값으로 설정한다. 이러한 배율은 측정된 정상 상태에 대한 자기 유사성의 적정 배율을 실험을 통해 결정할 수 있을 것이다.
한편, 상기된 탐지 과정에서 탐지 대상으로 관측되는 속성 정보는, 네트워크의 패킷(packet) 정보, 네트워크 내의 시스템의 보안 상태에 대한 속성 정보 또는 네트워크와 시스템의 상태를 나타내는 함수 값 중 적어도 하나로 선택될 수 있다. 이러한 속성 정보는 네트워크 내의 패킷 또는 네트워크 내의 시스템의 이벤트 로그(event log) 중 적어도 하나로부터 획득될 수 있다. 각각의 대표적인 3가지 속성들을 보다 구체적으로 설명하면 다음과 같다.
첫째, 네트워크 트래픽에 대한 상태 정보는 패킷에 관한 다양한 측정값으로부터 획득될 수 있다.
둘째, 시스템에 대한 상태 정보는 특히 시스템의 보안에 대한 상태 정보에 집중할 수 있을 것이다. 일례로 탐지 대상 시스템으로 마이크로소프트(Microsoft?)사의 윈도우즈(Windows?) 시스템을 가정하면, 이러한 시스템 상태에 관한 속성 정보는 SID(Security ID)가 활용될 수 있다. SID는 윈도우즈 NT 서버에서, 각 사용자나 작업 그룹에게 부여되는 고유한 번호이다. 사용자가 로그온(log-on)하면 만들어지는 내부 보안 카드를 액세스 토큰(access token)이라고 하는데, 여기에 로그온한 사용자와 그 사용자가 속한 모든 작업 그룹들에 관한 보안 ID들이 담겨져 있다. 액세스 토큰의 사본은 그 사용자에 의해 개시된 모든 프로세스에 할당된다.
또한, 윈도우즈 서버에서는 시스템의 상태를 나타내는 속성 정보로서 EventID가 활용될 수도 있을 것이다. 이벤트 로그에 기록된 다양한 EventID 중, 특히 보안에 관련된 이벤트가 이상증후 탐지에 관해 의미가 있을 것이다. 다음에 인용되는 표 1은 윈도우즈 서버에 대해 정의된 EventID와 그에 대한 설명 중 일부를 발췌하여 예시한 것으로서, 표 1에서 보안과 관련된 것의 EventID는 529 및 539이다.
Figure pat00018
요약하건대, 이상증후 탐지를 위한 시스템의 보안 상태에 대한 속성 정보는, 시스템에 접근하는 사용자 및 작업 그룹에 부여되는 고유 식별자(security ID, SID) 정보 또는 시스템의 보안 이벤트 정보(EventID) 중 적어도 하나를 포함하는 것이 바람직하다.
셋째, 시스템이나 네트워크 상태를 나타내는 함수도 이상증후 탐지를 위한 속성 정보로서 활용될 수 있다. 예를 들어, 앞서 설명한 SID와 EventID의 발생 횟수를 나타내는 함수 (g) 또는 시스템 및 네트워크의 상태를 나타내는 특정 벡터(vector)를 활용할 수 있을 것이다. 이러한 함수 (g)와 벡터는 다음의 수학식 12 및 수학식 13과 같이 표현될 수 있다.
Figure pat00019
수학식 12의 함수는 SID와 EventID를 그룹으로 묶어 하나의 함수 값으로 표현한 것으로서, 예를 들어 '관리자 A'의 '로그인 실패 횟수'를 하나의 그룹으로 나타내는데 활용될 수 있다.
Figure pat00020
수학식 13의 벡터는 수학식 12의 함수 값을 다양한 객체 식별자 및 이벤트 유형을 하나의 그룹으로 묶어 표현한 것으로서, 한 시점의 시스템의 모든 속성들을 일괄하여 나타낸 수 있다는 점에서 시스템 및 네트워크의 상태에 대한 스냅샷 벡터(snapshot vector)에 해당한다.
도 5는 본 발명의 일 실시예에 따른 네트워크의 이상증후를 탐지하는 방법에서 시스템의 상태를 나타내는 속성 정보 중 일례인 스냅샷 벡터(snapshot vector)를 산출하는 과정을 설명하기 위한 도면이다. 도 5를 참조하면, 시스템 내에 기록되는 이벤트 로그의 다양한 유형들이 예시되어 있으며, 본 실시예에서는 보안과 관련된 EventID와 SID를 선택하였다. 선택된 속성 정보들을 SID와 EventID의 발생 횟수를 나타내는 함수 (g)로서 표현하고, 이로부터 시스템의 전체 상태를 총괄하여 표현하는 스냅샷 벡터를 도출할 수 있음을 볼 수 있다.
요약하건대, 시스템의 상태를 나타내는 함수 값은, 시스템에 접근하는 사용자 및 작업 그룹에 부여되는 고유 식별자 정보 및 시스템의 보안 이벤트 정보의 발생 횟수를 나타내는 함수 값 또는 시스템의 보안 이벤트 정보의 발생 횟수를 나타내는 함수 값의 모든 객체를 그룹화한 스냅샷 벡터(snapshot vector) 중 적어도 하나를 포함하는 것이 바람직하다.
도 6은 본 발명의 일 실시예에 따른 네트워크의 이상증후를 탐지하는 장치(600)를 도시한 블록도로서, 저장부(10), 측정부(20) 및 판단부(30)를 포함한다. 또한, 탐지 장치(600)의 탐지 대상이 되는 네트워크(23)의 상태와 시스템 내부의 상태를 기록하는 이벤트 로그(25)가 추가적으로 도시되었다. 이 때, 본 실시예의 네트워크 역시 일정하고 반복적인 자기 유사성의 네트워크 패턴을 갖는 규격에 따른다고 전제한다. 도 6에 도시된 각각의 장치적 구성들은 앞서 도 3을 통해 설명한 탐지 방법의 각각의 단계들에 대응되는 것으로, 여기서는 그 개요만을 간략하게 소개한다.
저장부(10)는 정상 상태에서 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성을 미리 측정하여 설정된 임계값을 저장한다. 이러한 저장부(10)는, 정상 상태에서 일정 시간 간격으로 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정하고, 측정된 속성 정보로부터 표본 평균 및 분산을 산출하고, 산출된 분산과 시간 간격을 이용하여 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터를 산출하며, 산출된 파라미터의 일정 배율을 자기 유사성에 대한 임계값으로 설정하여 저장한다. 따라서, 이러한 저장부(10)는 전자적 데이터의 형태로 설정된 임계값을 저장할 수 있는 다양한 기록 매체로 구현될 수 있을 것이다.
측정부(20)는 네트워크(23)에서 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정한다. 이러한 속성 정보는 네트워크 패킷으로부터 알려진 다양한 속성 값을 추출하거나, 소프트웨어를 통해 이미 이벤트 로그(25)에 기록된 데이터를 조회함으로써 획득될 수 있으며, 이러한 속성 추출 방법은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 해당 기술 분야에서 통용되는 다양한 기술적 수단을 통해 구현 가능한 것이다.
판단부(30)는 측정부(20)를 통해 측정된 실시간 자기 유사성 값과 저장부(10)에 저장된 임계값를 비교하여 네트워크(23)에 대한 이상 여부를 판단한다.
상기된 본 발명의 다양한 실시예들에 따르면, 정상 상태에서 네트워크의 자기 유사성을 미리 측정하여 설정된 임계값과 실시간으로 측정된 네트워크의 자기 유사성 값을 비교함으로써, 패턴이 알려지지 않은 새로운 형태의 공격이나 우회 공격에 대한 탐지가 가능하고, 오류 패턴에 대한 지속적인 갱신 내지 별도의 전문가 집단 없이도 네트워크 및 시스템의 외부 및 내부로부터의 공격을 탐지할 수 있으며, 오탐율을 감소시키고 침입 탐지의 정확도를 향상시킬 수 있다. 나아가, 본 발명의 실시예들을 SCADA 시스템에 적용함에 있어서 별도의 추가적인 하드웨어를 필요로 하지 않을 뿐만 아니라, 시스템 및 규약에 독립적인 특성으로 인해 이기종의 장비들에 유연한 적용이 가능하다.
특히, 상기된 본 발명의 실시예들은 SCADA 시스템이 일정하고 규칙적인 네트워크 트래픽 패턴을 가지고 있음에 착안하여 자기 유사성에 기반한 침입탐지 방법론을 제안하였다. 이러한 구성은 일정한 패턴을 갖는 SCADA 네트워크에서 침입 상황이 발생하였을 때, 뚜렷하게 자기 유사성이 무너지는 현상을 이용하여 안출된 것이다. 따라서, 상기된 실시예들이 제안하는 자기 유사성을 이용한 침입탐지 방법론은 SCADA 시스템에 적합하게 활용될 수 있다. 기존의 보안 시스템들은 SCADA 시스템의 독자적인 프로토콜 체계와 특성을 반영하지 않아 침입 탐지에 한계가 있다. 직접적인 대응 방식의 보안 기술은 작동의 중단이 허용되지 않는 SCADA 시스템 환경에는 부적합하다. 이상과 같은 이유로 본 실시예들에 따른 침입 탐지 방법은 추가적인 장비나 모델링 등의 설정을 필요로 하지 않고 네트워크 단에서 트래픽 모니터링을 통해 전체 시스템의 자기유사도 변화를 감시하므로 시스템의 작동 중단, 부하 유발 등의 위험 요소가 존재하지 않는다. 또한, 자기 유사성 측정을 통해 통계적인 정상 행위를 기반으로 이상증후를 탐지함으로써 알려지지 않은 공격이나 보안 도구를 우회하는 고도의 해킹 기술도 탐지할 수 있다.
한편, 본 발명의 실시예들은 컴퓨터로 읽을 수 있는 기록 매체에 컴퓨터가 읽을 수 있는 코드로 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록 매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다.
컴퓨터가 읽을 수 있는 기록 매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있으며, 또한 캐리어 웨이브(예를 들어 인터넷을 통한 전송)의 형태로 구현하는 것을 포함한다. 또한, 컴퓨터가 읽을 수 있는 기록 매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산 방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고 본 발명을 구현하기 위한 기능적인(functional) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술 분야의 프로그래머들에 의하여 용이하게 추론될 수 있다.
이상에서 본 발명에 대하여 그 다양한 실시예들을 중심으로 살펴보았다. 본 발명에 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.
600 : 네트워크의 이상증후를 탐지하는 장치
10 : 저장부 20 : 측정부
23 : 네트워크 25 : 이벤트 로그(event log)
30 : 판단부

Claims (13)

  1. 소정 규격에 따른 네트워크에서 적어도 하나의 프로세서(processor)를 구비한 탐지 장치가 상기 네트워크의 이상증후를 탐지하는 방법에 있어서,
    정상 상태에서 상기 네트워크의 트래픽(traffic) 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성(self-similarity)을 미리 측정하여 상기 자기 유사성에 대한 임계값을 설정하는 단계;
    상기 네트워크에서 상기 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하는 단계; 및
    상기 측정된 실시간 자기 유사성 값과 상기 설정된 임계값를 비교하여 상기 네트워크에 대한 이상 여부를 판단하는 단계를 포함하는 방법.
  2. 제 1 항에 있어서,
    상기 자기 유사성에 대한 임계값을 설정하는 단계는,
    상기 정상 상태에서 일정 시간 간격으로 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정하는 단계;
    상기 측정된 속성 정보로부터 표본 평균 및 분산을 산출하는 단계;
    상기 산출된 분산과 상기 시간 간격을 이용하여 상기 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터(parameter)를 산출하는 단계; 및
    상기 산출된 파라미터의 소정 배율을 상기 자기 유사성에 대한 임계값으로 설정하는 단계를 포함하는 방법.
  3. 제 2 항에 있어서,
    상기 파라미터는 허스트(Hurst) 파라미터이고,
    상기 허스트 파라미터는 상기 산출된 분산의 로그(log) 값과 상기 시간 간격의 로그 값의 회귀 분석에 의한 회귀선의 기울기 값에 따르는 것을 특징으로 하는 방법.
  4. 제 1 항에 있어서,
    상기 속성 정보는,
    상기 네트워크의 패킷(packet) 정보, 상기 네트워크 내의 시스템의 보안 상태에 대한 속성 정보 또는 상기 네트워크와 상기 시스템의 상태를 나타내는 함수 값 중 적어도 하나인 것을 특징으로 하는 방법.
  5. 제 4 항에 있어서,
    상기 시스템의 보안 상태에 대한 속성 정보는,
    상기 시스템에 접근하는 사용자 및 작업 그룹에 부여되는 고유 식별자(security ID, SID) 정보; 또는
    상기 시스템의 보안 이벤트 정보(EventID); 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  6. 제 4 항에 있어서,
    상기 시스템의 상태를 나타내는 함수 값은,
    상기 시스템에 접근하는 사용자 및 작업 그룹에 부여되는 고유 식별자 정보 및 상기 시스템의 보안 이벤트 정보의 발생 횟수를 나타내는 함수 값; 또는
    상기 발생 횟수를 나타내는 함수 값의 모든 객체를 그룹화한 스냅샷 벡터(snapshot vector); 중 적어도 하나를 포함하는 것을 특징으로 하는 방법.
  7. 제 1 항에 있어서,
    상기 속성 정보는,
    상기 네트워크 내의 패킷 또는 상기 네트워크 내의 시스템의 이벤트 로그(event log) 중 적어도 하나로부터 획득하는 것을 특징으로 하는 방법.
  8. 제 1 항에 있어서,
    상기 네트워크에 대한 이상 여부를 판단하는 단계는,
    상기 측정된 실시간 자기 유사성 값과 상기 설정된 임계값를 비교하는 단계; 및
    상기 비교 결과, 상기 측정된 실시간 자기 유사성 값이 상기 설정된 임계값보다 낮은 경우, 상기 네트워크에 이상이 있다고 결정하는 단계를 포함하는 단계;
  9. 제 1 항에 있어서,
    상기 정상 상태의 네트워크 트래픽은, 시간에 대한 스케일(scale)을 달리하는 복수 개의 네트워크 트래픽의 변화가 서로 유사한 자기 유사성을 갖는 것을 특징으로 하는 방법.
  10. 제 1 항에서 있어서,
    상기 소정 규격은 일정하고 반복적인 자기 유사성의 네트워크 패턴을 갖는 SCADA(Supervisory Control and Data Acquisition) 시스템인 것을 특징으로 하는 방법.
  11. 제 1 항 내지 제 10 항 중에 어느 한 항의 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 컴퓨터로 읽을 수 있는 기록매체.
  12. 일정하고 반복적인 자기 유사성의 네트워크 패턴을 갖는 소정 규격에서 상기 네트워크의 이상증후를 탐지하는 장치에 있어서,
    정상 상태에서 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보로부터 자기 유사성을 미리 측정하여 설정된 임계값을 저장하는 저장부;
    상기 네트워크에서 상기 하나 이상의 속성 정보로부터 실시간으로 자기 유사성을 측정하는 측정부; 및
    상기 측정된 실시간 자기 유사성 값과 상기 설정된 임계값를 비교하여 상기 네트워크에 대한 이상 여부를 판단하는 판단부를 포함하는 장치.
  13. 제 12 항에 있어서,
    상기 저장부는,
    상기 정상 상태에서 일정 시간 간격으로 상기 네트워크의 트래픽 상태를 나타내는 하나 이상의 속성 정보를 측정하고,
    상기 측정된 속성 정보로부터 표본 평균 및 분산을 산출하고,
    상기 산출된 분산과 상기 시간 간격을 이용하여 상기 네트워크 트래픽의 통계적 현상의 지속성에 대한 파라미터를 산출하며,
    상기 산출된 파라미터의 소정 배율을 상기 자기 유사성에 대한 임계값으로 설정하여 저장하는 것을 특징으로 하는 장치.
KR1020110082786A 2011-08-19 2011-08-19 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법 KR101281456B1 (ko)

Priority Applications (3)

Application Number Priority Date Filing Date Title
KR1020110082786A KR101281456B1 (ko) 2011-08-19 2011-08-19 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
US14/239,733 US20150304346A1 (en) 2011-08-19 2012-08-17 Apparatus and method for detecting anomaly of network
PCT/KR2012/006549 WO2013027970A1 (ko) 2011-08-19 2012-08-17 네트워크의 이상증후를 탐지하는 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110082786A KR101281456B1 (ko) 2011-08-19 2011-08-19 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법

Publications (2)

Publication Number Publication Date
KR20130020862A true KR20130020862A (ko) 2013-03-04
KR101281456B1 KR101281456B1 (ko) 2013-07-08

Family

ID=48173996

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110082786A KR101281456B1 (ko) 2011-08-19 2011-08-19 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101281456B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101501698B1 (ko) * 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법
KR101524472B1 (ko) * 2014-10-30 2015-06-02 연세대학교 산학협력단 네트워크에서 다중 경로 설정 방법 및 장치
KR101695958B1 (ko) * 2016-04-18 2017-01-23 주식회사 나온웍스 전력수요반응시스템을 위한 통신보안 장치 및 방법
WO2017139147A1 (en) * 2016-02-08 2017-08-17 Nec Laboratories America, Inc. Ranking causal anomalies via temporal and dynamic analysis on vanishing correlations
KR20200051396A (ko) * 2018-11-05 2020-05-13 한국전자통신연구원 이상 상황 검출 장치 및 방법

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102139140B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 비공개 ics 프로토콜에 대한 태그 데이터의 프로파일링 시스템
KR102139138B1 (ko) * 2020-04-27 2020-07-30 (주) 앤앤에스피 그룹 및 주기 기반 비정상행위 탐지를 위한 비공개 ics 프로토콜의 프로파일링 시스템

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101400500B1 (ko) * 2007-10-25 2014-05-29 연세대학교 산학협력단 차등화 서비스 시스템에서 통계적 스케쥴링 장치 및 방법
KR101219538B1 (ko) * 2009-07-29 2013-01-08 한국전자통신연구원 비주얼 데이터 분석 기반의 네트워크 공격 탐지 장치 및 그 방법

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101501698B1 (ko) * 2013-12-12 2015-03-11 한국인터넷진흥원 이동통신망 내 비정상 데이터 플러딩 탐지방법
KR101524472B1 (ko) * 2014-10-30 2015-06-02 연세대학교 산학협력단 네트워크에서 다중 경로 설정 방법 및 장치
WO2017139147A1 (en) * 2016-02-08 2017-08-17 Nec Laboratories America, Inc. Ranking causal anomalies via temporal and dynamic analysis on vanishing correlations
KR101695958B1 (ko) * 2016-04-18 2017-01-23 주식회사 나온웍스 전력수요반응시스템을 위한 통신보안 장치 및 방법
KR20200051396A (ko) * 2018-11-05 2020-05-13 한국전자통신연구원 이상 상황 검출 장치 및 방법

Also Published As

Publication number Publication date
KR101281456B1 (ko) 2013-07-08

Similar Documents

Publication Publication Date Title
CN108429651B (zh) 流量数据检测方法、装置、电子设备及计算机可读介质
KR101281456B1 (ko) 자기 유사성을 이용한 scada 네트워크의 이상증후를 탐지하는 장치 및 방법
CN109962891B (zh) 监测云安全的方法、装置、设备和计算机存储介质
US20150304346A1 (en) Apparatus and method for detecting anomaly of network
CN114584405B (zh) 一种电力终端安全防护方法及系统
AU2016333461B2 (en) Non-intrusive digital agent for behavioral monitoring of cybersecurity-related events in an industrial control system
CN111711599A (zh) 基于多元海量数据融合关联分析的安全态势感知系统
US20160019388A1 (en) Event correlation based on confidence factor
JP2015076863A (ja) ログ分析装置、方法およびプログラム
Rahal et al. A distributed architecture for DDoS prediction and bot detection
EP2737404A1 (en) A method for detecting anomaly action within a computer network
CN111786950A (zh) 基于态势感知的网络安全监控方法、装置、设备及介质
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
CN107517205B (zh) 基于概率的智能变电站网络异常流量检测模型构建方法
JP6711710B2 (ja) 監視装置、監視方法および監視プログラム
Kumar et al. Unsupervised outlier detection technique for intrusion detection in cloud computing
CN113660115A (zh) 基于告警的网络安全数据处理方法、装置及系统
Das et al. The devil is in the details: Confident & explainable anomaly detector for software-defined networks
EP2911362B1 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
Jakhale Design of anomaly packet detection framework by data mining algorithm for network flow
Maasaoui et al. Network security traffic analysis platform-design and validation
Barhoom et al. Adaptive worm detection model based on multi classifiers
Kawakani et al. Discovering attackers past behavior to generate online hyper-alerts
Wu et al. A graph similarity-based approach to security event analysis using correlation techniques
Miciolino et al. Preemptive: an integrated approach to intrusion detection and prevention in industrial control systems

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20160225

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20170328

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20180406

Year of fee payment: 6

R401 Registration of restoration