KR20140147583A - 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 - Google Patents

산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 Download PDF

Info

Publication number
KR20140147583A
KR20140147583A KR1020130071138A KR20130071138A KR20140147583A KR 20140147583 A KR20140147583 A KR 20140147583A KR 1020130071138 A KR1020130071138 A KR 1020130071138A KR 20130071138 A KR20130071138 A KR 20130071138A KR 20140147583 A KR20140147583 A KR 20140147583A
Authority
KR
South Korea
Prior art keywords
filter
rule
packet
control
network group
Prior art date
Application number
KR1020130071138A
Other languages
English (en)
Inventor
김병구
강동호
손선경
허영준
나중찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020130071138A priority Critical patent/KR20140147583A/ko
Priority to US14/245,310 priority patent/US20140380458A1/en
Publication of KR20140147583A publication Critical patent/KR20140147583A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/418Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

본 발명에 의한 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법이 개시된다. 본 발명에 따른 산업제어 시스템의 부정 접근을 방지하기 위한 장치는 제어 명령을 요청하는 관리 네트워크 그룹과 연동하여 패킷을 송수신하는 제1 인터페이스; 상기 관리 네트워크 그룹으로부터 제어 명령을 수신하여 수신된 상기 제어 명령을 처리하는 제어 네트워크 그룹과 연동하여 패킷을 송수신하는 제2 인터페이스; 및 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 패킷이 유입되면, 적어도 하나의 필터에 대한 규칙이 설정되어 있는지를 확인하여 그 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 상기 관리 네트워크 그룹과 상기 제어 네트워크 그룹 간 패킷의 흐름을 제어하는 제어 수단을 포함한다.

Description

산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법{APPARATUS FOR PREVENTING ILLEGAL ACCESS OF INDUSTRIAL CONTROL SYSTEM AND METHOD THEREOF}
본 발명은 산업제어 시스템의 부정접근 방지 기법에 관한 것으로, 특히, 네트워크 간에 트래픽의 흐름을 제어하기 위한 부정접근 방지 장치를 구비하되, 부정접근 방지 장치 내 다중 필터를 이용하여 서로 다른 규칙에 따라 트래픽의 흐름을 제어하도록 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법에 관한 것이다.
산업제어시스템(Industrial Control System; ICS)은 원거리에 산재된 시스템의 효과적인 원격 모니터링 및 제어를 위해 필수적으로 사용되는 컴퓨터 기반의 시스템으로, 산업설비 계측/제어, 플랜트설비 감시/관리, 전력 생산/분배, 가스 생산/유통, 수자원 관리, 교통 인프라 제어, 댐/석유와 같은 각종 자원의 감시와 제어에 이르기까지 중요 생산, 기반 설비에 폭 넓게 사용되고 있다. 2010년 이러한 주요 산업제어시설을 대상으로 새로운 유형의 사이버테러 사례인 ‘스턱스넷(Stuxnet)’이 등장하면서 본격적으로 사이버전의 위협이 부각되고 있다. 산업제어시스템은 대상 시스템이 정상적으로 운영되도록 직접적인 제어를 수행하므로 고도의 안전성이 요구되며, 침해사고 발생 시 국가적 혼란을 초래하게 된다.
기존의 제어시스템은 독립적인 시스템 즉, 폐쇄망으로 구축 및 운용 되어 왔으나, 최근에는 업무 효율성 및 경쟁력 강화, 경영합리화 등의 이유로 인터넷과 같은 개방형 망을 통하여 외부 시스템과의 연계 및 통합이 이뤄지고 있고, 제어시스템들이 표준 및 개방형 시스템으로 전환되고 있다. 이처럼 제어시스템이 인트라넷 및 인터넷과 연동이 되고, 제어시스템과 IT시스템의 접목이 지속적으로 증가함에 따라 제어시스템을 구축 및 운영하고 있는 산업제어시설에 대한 사이버침해 위협 가능성도 증가하고 있다.
또한, 비공개 제어시스템 프로토콜 표준이 점차 국제 표준으로 공개됨에 따라, 공격자에게 제어시스템 및 네트워크 동작에 대한 더 많은 지식을 제공하게 됨으로써 점차적으로 제어시스템에 대한 사이버침해의 가능성과 위험성이 높아지고 있다.
제어시스템은 서비스가 한시라도 중단되어서는 안되고, 운영 소프트웨어의 문제점이 발견되어도 수정에 대한 적용 안정성에 대해 충분한 검증이 이뤄져야 하므로 즉시 수정이 어렵다. 또한, 전용 프로토콜을 사용하는 등 기존 IT 시스템과는 큰 차이가 존재하므로, 제어시스템 환경에 적합한 보안기술의 연구, 개발 및 적용이 필요하다.
기존의 방화벽, 침입 탐지/방지 시스템 등 보안장비는 제어시스템의 독자적인 프로토콜 예컨대, Modbus, ICCP, DNP3P 등의 특성을 반영하지 않아 특화된 공격 트래픽 탐지/방지에 한계점이 존재하기 대문에 제어시스템에 특화된 이상징후 탐지 및 대응 기술 개발 및 적용이 필요하다. 무엇보다 기존의 방화벽은 불특정 다수의 시스템과 서비스를 대상으로 접근제어를 수행하는 반면, 제어시스템의 경우에는 특정 시스템과 서비스를 대상으로 접근 제어를 수행하기 때문에 보다 다양하고 유연한 접근 제어 기법을 통한 부정접근 통제가 필요하다.
결론적으로, 의도적 또는 비의도적인 행위로 인하여 주요기반시설 제어시스템의 안전한 시스템 운영을 방해하는 활동에 대한 우려가 증대하고 있으나, 현재의 방화벽, 침입 탐지/방지 시스템 등의 엔터프라이즈 보안 제품군은 외부 네트워크 경계 영역에 집중되어 있기 때문에 내부 인프라에서 발생되는 문제에 취약한 상태이다. 즉, 내부자 위협을 포함하여 침투경로가 다양해지고 있는 상황에서 제어망의 경우에도 경계망 보안에 초점이 맞춰져 있어 내부 행위분석의 방안이 미약한 상태이다. 따라서, 제어시스템 간의 안정적인 서비스를 제공하기 위하여 제어시스템의 프로토콜에 적합한 다양한 부정접근방지 기법이 요구되는 실정이다.
따라서 이러한 종래 기술의 문제점을 해결하기 위한 것으로, 본 발명의 목적은 네트워크 간에 트래픽의 흐름을 제어하기 위한 부정접근 방지 장치를 구비하되, 부정접근 방지 장치 내 다중 필터를 이용하여 서로 다른 규칙에 따라 트래픽의 흐름을 제어하도록 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법에 관한 것이다.
그러나 본 발명의 목적은 상기에 언급된 사항으로 제한되지 않으며, 언급되지 않은 또 다른 목적들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적들을 달성하기 위하여, 본 발명의 한 관점에 따른 산업제어 시스템의 부정 접근을 방지하기 위한 장치는 제어 명령을 요청하는 관리 네트워크 그룹과 연동하여 패킷을 송수신하는 제1 인터페이스; 상기 관리 네트워크 그룹으로부터 제어 명령을 수신하여 수신된 상기 제어 명령을 처리하는 제어 네트워크 그룹과 연동하여 패킷을 송수신하는 제2 인터페이스; 및 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 패킷이 유입되면, 적어도 하나의 필터에 대한 규칙이 설정되어 있는지를 확인하여 그 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 상기 관리 네트워크 그룹과 상기 제어 네트워크 그룹 간 패킷의 흐름을 제어하는 제어 수단을 포함할 수 있다.
바람직하게, 상기 제어 수단은 기 설정된 설정 값에 따라 상기 유입된 패킷의 전달 또는 차단을 제어하는 디폴트 필터를 구비하고, 상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있지 않으면, 상기 디폴트 필터의 설정 값에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 관리 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 SCADA I/F 필터를 구비하되, 상기 확인한 결과로 상기 SCADA I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 SCADA I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 구비하되, 상기 SCADA I/F 필터 내 규칙이 존재하지 않거나 SCADA I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 구비하되, 상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 제어 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 제어 I/F 필터를 구비하되, 상기 확인한 결과로 상기 제어 I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 제어 I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 구비하되, 상기 제어 I/F 필터 내 규칙이 존재하지 않거나 제어 I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어 수단은 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 구비하되, 상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
본 발명의 다른 한 관점에 따른 산업제어 시스템의 부정 접근을 방지하기 위한 방법은 제어 명령을 요청하는 관리 네트워크 그룹 또는 상기 관리 네트워크 그룹으로부터 제어 명령을 수신하여 수신된 상기 제어 명령을 처리하는 제어 네트워크 그룹으로부터 패킷이 유입되었는지를 확인하는 단계; 상기 확인한 결과로 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 패킷이 유입되면, 적어도 하나의 필터에 대한 규칙이 설정되어 있는지를 확인하는 단계; 및 상기 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 상기 관리 네트워크 그룹과 상기 제어 네트워크 그룹 간 패킷의 흐름을 제어하는 단계를 포함할 수 있다.
바람직하게, 상기 제어하는 단계는 상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있지 않으면, 기 설정된 설정 값에 따라 상기 유입된 패킷의 전달 또는 차단을 제어하는 디폴트 필터를 점검하고, 상기 점검한 결과로 상기 디폴트 필터의 설정 값에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있으면, 상기 관리 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 SCADA I/F 필터를 점검하고, 상기 점검한 결과로 상기 SCADA I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 SCADA I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 SCADA I/F 필터 내 규칙이 존재하지 않거나 SCADA I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 점검하고, 상기 점검한 결과로 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 점검하고, 상기 점검한 결과로 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있으면, 상기 제어 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 제어 I/F 필터를 점검하고, 상기 점검한 결과로 상기 제어 I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 제어 I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 제어 I/F 필터 내 규칙이 존재하지 않거나 제어 I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 점검하고, 상기 점검한 결과로 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
바람직하게, 상기 제어하는 단계는 상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 점검하고, 상기 점검한 결과로 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 한다.
이를 통해, 본 발명은 네트워크 간에 트래픽의 흐름을 제어하기 위한 부정접근 방지 장치를 구비하되, 부정접근 방지 장치 내 다중 필터를 이용하여 서로 다른 규칙에 따라 트래픽의 흐름을 제어하도록 함으로써, 산업제어 시스템에 대한 의도적 또는 비의도적인 행위로 인하여 오류 또는 이상 행위를 유발할 수 있는 부정 접근을 미연에 방지할 수 있는 효과가 있다.
또한, 본 발명은 산업제어 시스템에 대한 부정 접근을 미연에 방지할 수 있기 때문에 주요 기반 시설 제어시스템의 안정적인 운영을 보장할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 산업제어 시스템을 개략적으로 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 부정접근 방지장치의 상세한 구성을 나타내는 도면이다.
도 3a 내지 도 3d는 본 발명의 일 실시예에 따른 필터의 규칙을 설명하기 위한 도면이다.
도 4a 내지 도 4c는 본 발명의 일 실시예에 따른 디폴트 필터를 적용하는 경우를 나타내는 도면이다.
도 5는 본 발명의 일 실시예에 따른 부정접근을 방지하기 위한 방법을 나타내는 제1 도면이다.
도 6은 본 발명의 일 실시예에 따른 부정접근을 방지하기 위한 방법을 나타내는 제2 도면이다.
도 7은 본 발명의 일 실시예에 따른 디폴트 필터 매칭 과정을 나타내는 도면이다.
도 8은 본 발명의 일 실시예에 따른 SCADA I/F 필터 매칭 과정을 나타내는 도면이다.
도 9는 본 발명의 일 실시예에 따른 제어 I/F 필터 매칭 과정을 나타내는 도면이다.
도 10은 본 발명의 일 실시예에 따른 플로우 필터 매칭 과정을 나타내는 도면이다.
도 11은 본 발명의 일 실시예에 따른 커맨드 필터의 규칙을 적용하는 과정을 설명하기 위한 도면이다.
이하에서는, 본 발명의 실시예에 따른 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법을 첨부한 도 1 내지 도 11을 참조하여 설명한다. 본 발명에 따른 동작 및 작용을 이해하는데 필요한 부분을 중심으로 상세히 설명한다.
또한, 본 발명의 구성 요소를 설명하는 데 있어서, 동일한 명칭의 구성 요소에 대하여 도면에 따라 다른 참조부호를 부여할 수도 있으며, 서로 다른 도면임에도 불구하고 동일한 참조부호를 부여할 수도 있다. 그러나, 이와 같은 경우라 하더라도 해당 구성 요소가 실시예에 따라 서로 다른 기능을 갖는다는 것을 의미하거나, 서로 다른 실시예에서 동일한 기능을 갖는다는 것을 의미하는 것은 아니며, 각각의 구성 요소의 기능은 해당 실시예에서의 각각의 구성요소에 대한 설명에 기초하여 판단하여야 할 것이다.
특히, 본 발명에서는 네트워크 간에 트래픽의 흐름을 제어하기 위한 부정접근 방지 장치를 구비하되, 부정접근 방지 장치 내 다중 필터를 이용하여 서로 다른 규칙에 따라 트래픽의 흐름을 제어하도록 하는 새로운 부정접근 방지 기법을 제안한다.
도 1은 본 발명의 일 실시예에 따른 산업제어 시스템을 개략적으로 나타내는 도면이다.
도 1에 도시한 바와 같이, 본 발명에 따른 산업제어 시스템은 관리 네트워크 그룹(100), 부정접근 방지 장치(200), 및 제어 네트워크 그룹(300) 등을 포함하여 구성될 수 있다. 여기서는 네트워크 간에는 Modbus TCP/IP 프로토콜 등을 사용할 수 있다.
관리 네트워크 그룹(100)은 SCADA(Supervisory Control and Data Acquisition) 시스템, HMI(Human Machine Interface) 시스템, Data Historian 시스템 등과 같은 관리 시스템이 위치하는 제어망을 일컫는다. 이러한 관리 네트워크 그룹(100)은 제어 명령을 요청하는 Modbus 클라이언트 그룹에 속할 수 있다.
제어 네트워크 그룹(300)은 실제 산업시설 센서들을 제어하는 PLC(Programmable Logic Controller) 장비, RTU(Remote Terminal Unit) 장비, DCS(Distributed control system) 장비들이 위치하는 제어망을 일컫는다. 이러한 제어 네트워크 그룹(300)은 제어 명령을 수신하여 데이터를 처리하는 Modbus 서버 그룹에 속할 수 있다.
부정접근 방지 장치(200)는 관리 네트워크 그룹(100)과 제어 네트워크 그룹(300) 사이에 위치하여 Modbus TCP/IP 선로 상에서 트래픽을 모니터링할 수 있는 In-Line 형태로 선로 중간에 배치되어 패킷들을 중계하는 역할을 수행할 수 있다.
즉, 부정접근 방지 장치(200)는 관리 네트워크 그룹(100)과 제어 네트워크 그룹(300) 사이에 위치하여 제어 명령을 요청하고 관리하는 시스템들과 요청 받은 제어 명령들을 해당 산업시설 센서들에 적용하고 정보를 수집하는 시스템들 사이의 트래픽을 제어하게 된다.
부정접근 방지 장치(200)는 다중 필터를 구비하여 구비된 다중 필터를 이용하여 서로 다른 규칙(rule)에 따라 트래픽의 흐름 예컨대, 전달, 차단 등을 제어할 수 있다.
도 2는 본 발명의 일 실시예에 따른 부정접근 방지장치의 상세한 구성을 나타내는 도면이다.
도 2에 도시한 바와 같이, 본 발명에 따른 부정접근 방지 장치(200)는 제1 인터페이스(210), 제어 수단(220), 제2 인터페이스(230) 등을 포함하여 구성될 수 있다. 여기서, 제어 수단(210)은 디폴트(default) 필터(221), SCADA I/F 필터(222), 제어 I/F 필터(223), 플로우(flow) 필터(224), 커맨드(command) 필터(225)을 포함할 수 있다.
제1 인터페이스(210)는 관리 네트워크 그룹(100)과 연동하여 패킷을 송수신할 수 있다.
제2 인터페이스(230)는 제어 네트워크 그룹(300)과 연동하여 패킷을 송수신할 수 있다.
제어 수단(220)은 관리 네트워크 그룹(100) 또는 제어 네트워크 그룹(300)으로부터 패킷이 유입되면, 모든 필터들의 규칙이 설정되어 있는지를 확인하여 그 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 패킷의 흐름을 제어할 수 있다.
이때, 규칙은 디폴트(default) 필터(221)에 설정되지 않고 SCADA I/F 필터(222), 제어 I/F 필터(223), 플로우 필터(224), 커맨드 필터(225)에만 설정된다.
일 예로, 제어 수단(220)은 모든 필터들의 규칙이 설정되어 있으면, SCADA I/F 필터(222) 또는 제어 I/F 필터(223), 플로우 필터(224), 커맨드 필터(225)를 이용하여 패킷의 흐름을 제어하게 된다.
반면에, 제어 수단(220)은 모든 필터들의 규칙이 설정되어 있지 않으면, 패킷의 전달 또는 차단하는 역할을 하는 디폴트(default) 필터(221)만을 이용하여 패킷의 흐름을 제어하게 된다.
디폴트 필터(221)는 다른 필터들이 적용되지 않을 경우 기본적으로 적용되는 필터로서, 관리 네트워크 그룹(100) 또는 제어 네트워크 그룹(300)으로부터 유입되는 모든 패킷에 대한 전달(allow) 또는 차단(deny)을 수행할 수 있다.
SCADA I/F 필터(222)는 관리 네트워크 그룹(100)으로부터 유입되는 모든 패킷에 대해 인터페이스 단위로 적용하는 필터로서, 근원지 또는 소스(source) 주소 기반의 접근 제어를 수행할 수 있다.
제어 I/F 필터(223)는 제어 네트워크 그룹(300)으로부터 유입되는 모든 패킷에 대해 인터페이스 단위로 적용하는 필터로서, 근원지 주소 기반의 접근 제어를 수행할 수 있다.
플로우 필터(224)는 관리 네트워크 그룹(100) 또는 제어 네트워크 그룹(300)으로부터 유입되는 패킷에 대해 5-tuple 단위의 접근 제어를 수행할 수 있다. 여기서, 5-tuple은 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트이다.
커맨드 필터(225)는 관리 네트워크 그룹(100) 또는 제어 네트워크 그룹(300)으로부터 유입되는 패킷에 대해 Modbus 명령어 기반의 접근 제어를 수행할 수 있다.
도 3a 내지 도 3d는 본 발명의 일 실시예에 따른 필터의 규칙을 설명하기 위한 도면이다.
도 3a를 참조하면, 본 발명에 따른 Modbus/TCP 이더넷 패킷(Ethernet packet)의 포맷은 Ethernet Header(Ethernet Address), IP Header(IP Address), TCP Header(Port Number), Modbus ADU(Application Data Unit)로 구성될 수 있다.
도 3b를 참조하면, 본 발명에 따른 I/F 필터 즉, SCADA I/F 필터, 제어 I/F 필터의 규칙은 근원지(source)의 MAC 어드레스 SMAC, 근원지의 IP 어드레스 SIP를 포함할 수 있다.
여기서, SMAC는 48 비트로 설정되고, SIP는 32 비트로 각각 설정될 수 있다.
예컨대, SCADA I/F 필터, 제어 I/F 필터는 이러한 I/F 필터의 규칙인 근원지의 MAC 어드레스, 근원지의 IP 어드레스와 패킷의 이더넷 헤더와 IP 헤더로부터 추출된 근원지의 MAC 어드레스, 근원지의 IP 어드레스를 매칭시켜 그 매칭시킨 결과로 일치하면 패킷을 전달하게 된다.
이러한 본 발명에 따른 I/F 필터의 규칙은 패킷을 전달하기 위한 규칙이 될 수 있다.
도 3c를 참조하면, 본 발명에 따른 플로우 필터의 규칙은 프로토콜 proto., 소소의 IP 어드레스 SIP, 근원지의 포트 Sport, 목적지의 IP 어드레스 DIP, 목적지의 포트 DPort를 포함할 수 있다.
여기서, proto.는 8 비트로 설정되고 SIP는 32 비트로 설정되며, Sport는 16 비트로 설정되며, DIP는 32 비트로 설정되며, DPort는 16 비트로 각각 설정될 수 있다.
예컨대, 플로우 필터는 이러한 플로우 필터의 규칙인 프로토콜, 소소의 IP 어드레스, 근원지의 포트, 목적지의 IP 어드레스, 목적지의 포트와 패킷의 IP 헤더와 TCP 헤더로부터 추출된 프로토콜, 소소의 IP 어드레스, 근원지의 포트, 목적지의 IP 어드레스, 목적지의 포트를 매칭시켜 그 매칭시킨 결과에 따라 패킷을 전달 또는 차단하게 된다.
이러한 본 발명에 따른 플로우 필터의 규칙은 패킷을 전달하기 위한 규칙이 되거나 패킷을 차단하기 위한 규칙이 될 수 있는데, 운영자가 설정 및 변경할 수 있다.
도 3d를 참조하면, 본 발명에 따른 커맨드 필터의 규칙은 기능 코드(function code) Func. Code, 레지스터 어드레스(register address) Reg. Addr.를 포함할 수 있다.
여기서, Func. Code는 8 비트로 설정되고, Reg. Addr.는 16 비트로 설정될 수 있다.
예컨대, 커맨드 필터는 이러한 커맨드 필터의 규칙인 기능 코드, 레지스터 어드레스와 Modbus ADU에서 추출된 기능 코드, 레지스터 어드레스를 매칭시켜 그 매칭시킨 결과에 따라 패킷을 전달 또는 차단하게 된다.
이러한 본 발명에 따른 커맨드 필드의 규칙은 패킷을 전달하기 위한 규칙이 되거나 패킷을 차단하기 위한 규칙이 될 수 있는데, 운영자가 설정 및 변경할 수 있다.
도 4a 내지 도 4c는 본 발명의 일 실시예에 따른 디폴트 필터를 적용하는 경우를 나타내는 도면이다.
도 4a를 참조하면, 본 발명에 따른 부정접근 방지 장치 내 디폴트 필터가 적용되는 경우를 보여주고 있다. 즉, 모든 필터의 규칙이 존재하지 않아 기본적으로 디폴트 필터의 설정 값이 적용되어 패킷에 대한 전달 또는 차단이 이루어진다.
다시 말해, SCADA I/F 필터 또는 제어 I/F 필터, 플로우(flow) 필터, 커맨드(command) 필터는 규칙이 설정되어 있지 않으면 데이터 흐름을 제어할 수 없다.
이러한 디폴트 필터의 적용은 운영자의 의도에 따라 비상 시 모든 패킷을 전달하거나 차단하는 형태로 활용될 수 있다.
도 4b를 참조하면, 본 발명에 따른 부정접근 방지 장치 내 제어 I/F 필터에 규칙이 적용되는 경우를 보여주고 있다. 이러한 경우에도 기본적으로 디폴트 필터의 설정 값이 적용 되는데, 여기서, 설정 값은 패킷에 대한 전달이 될 수 있다.
이때, 제어 I/F 필터의 규칙에 따라 데이터 패킷을 전달 또는 차단할 수 있다.
도 4c를 참조하면, 본 발명에 따른 부정접근 방지 장치 내 SCADA I/F 필터에 규칙이 적용되는 경우를 보여주고 있다. 이러한 경우에도 기본적으로 디폴트 필터의 설정 값이 적용되는데, 여기서, 설정 값은 패킷에 대한 전달이 될 수 있다.
이때, SCADA I/F 필터의 규칙에 따라 데이터 패킷을 전달 또는 차단할 수 있다.
도 5는 본 발명의 일 실시예에 따른 부정접근을 방지하기 위한 방법을 나타내는 제1 도면이다.
도 5에 도시한 바와 같이, 관리 네트워크 그룹으로부터 패킷이 유입되는 경우를 가정한다. 본 발명에 따른 부정접근을 방지하기 위한 장치(이하, 부정접근 방지장치라고 한다)는 관리 네트워크 그룹으로부터 패킷이 유입되면, 디폴트 필터를 제외한 모든 필터를 점검(check)할 수 있다(S501).
즉, 부정접근 방지 장치는 점검한 결과로 모든 필터 내에 규칙이 존재하는지를 판단할 수 있다(S502).
다음으로, 부정접근 방지장치는 판단한 결과로 모든 필터 내에 규칙이 존재하지 않으면 디폴트 필터 매칭 즉, 디폴트 필터의 설정 값에 따라 유입된 패킷의 전달 또는 차단이 이루어진다(S503).
반면 부정접근 방지장치는 판단한 결과로 적어도 하나의 필터 내에 규칙이 존재하면, 유입된 패킷의 이동 경로에 따라 순차적으로 해당 필터를 이용하여 패킷의 흐름을 제어하게 된다.
먼저, 부정접근 방지장치는 SCADA I/F 필터를 점검하고(S504), 점검한 SCADA I/F 필터 내 규칙이 존재하는지를 판단할 수 있다(S505). 즉, 부정접근 방지장치는 판단한 결과로 SCADA I/F 필터 내 규칙이 존재하면, SCADA I/F 필터 매칭을 수행할 수 있다(S506).
반면, 부정접근 방지장치는 판단한 결과로 SCADA I/F 필터 내 규칙이 존재하지 않거나 SCADA I/F 필터 매칭을 수행한 후 플로우 필터를 점검할 수 있다(S507).
다음으로, 부정접근 방지는 점검한 플로우 필터 내 규칙이 존재하는지를 판단할 수 있다(S508). 즉, 부정접근 방지장치는 판단한 결과로 플로우 필터 내 규칙이 존재하면, 플로우 필터 매칭을 수행할 수 있다(S509).
반면, 부정접근 방지장치는 판단한 결과로 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터 매칭을 수행한 후 커맨트 필터를 점검할 수 있다(S510).
다음으로, 부정접근 방지장치는 점검한 커맨드 필터 내 규칙이 존재하는지를 판단할 수 있다(S511). 즉, 부정접근 방지장치는 판단한 결과로 커맨드 필터 내 규칙이 존재하면 커맨드 필터 매칭을 수행할 수 있다(S512).
반면, 부정접근 방지 장치는 판단한 결과로 커맨드 필터 내 규칙이 존재하지 않으면 적어도 하나의 필터 내 룰을 적용하였다고 판단하여 유입된 패킷을 전달할 수 있다(S513).
도 6은 본 발명의 일 실시예에 따른 부정접근을 방지하기 위한 방법을 나타내는 제2 도면이다.
도 6에 도시한 바와 같이, 제어 네트워크 그룹으로부터 패킷이 유입되는 경우를 가정한다. 본 발명에 따른 부정접근을 방지하기 위한 장치(이하, 부정접근 방지장치라고 한다)는 제어 네트워크 그룹으로부터 패킷이 유입되면, 디폴트 필터를 제외한 모든 필터를 점검(check)할 수 있다(S601).
즉, 부정접근 방지 장치는 확인한 결과로 모든 필터 내에 규칙이 존재하는지를 판단할 수 있다(S602).
다음으로, 부정접근 방지장치는 판단한 결과로 모든 필터 내에 규칙이 존재하지 않으면 디폴트 필터 매칭 즉, 디폴트 필터의 설정 값에 따라 유입된 패킷의 전달 또는 차단이 이루어진다(S603).
반면 부정접근 방지장치는 판단한 결과로 적어도 하나의 필터 내에 규칙이 존재하면, 유입된 패킷의 이동 경로에 따라 순차적으로 해당 필터를 이용하여 패킷의 흐름을 제어하게 된다.
먼저, 부정접근 방지장치는 제어 I/F 필터를 점검하고(S604), 점검한 제어 I/F 필터 내 규칙이 존재하는지를 판단할 수 있다(S605). 즉, 부정접근 방지장치는 판단한 결과로 제어 I/F 필터 내 규칙이 존재하면, 제어 I/F 필터 매칭을 수행할 수 있다(S606).
반면, 부정접근 방지장치는 판단한 결과로 제어 I/F 필터 내 규칙이 존재하지 않거나 제어 I/F 필터 매칭을 수행한 후 플로우 필터를 점검할 수 있다(S607).
다음으로, 부정접근 방지는 점검한 플로우 필터 내 규칙이 존재하는지를 판단할 수 있다(S608). 즉, 부정접근 방지장치는 판단한 결과로 플로우 필터 내 규칙이 존재하면, 플로우 필터 매칭을 수행할 수 있다(S609).
반면, 부정접근 방지장치는 판단한 결과로 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터 매칭을 수행한 후 커맨트 필터를 점검할 수 있다(S610).
다음으로, 부정접근 방지장치는 점검한 커맨드 필터 내 규칙이 존재하는지를 판단할 수 있다(S611). 즉, 부정접근 방지장치는 판단한 결과로 커맨드 필터 내 규칙이 존재하면 커맨드 필터 매칭을 수행할 수 있다(S612).
반면, 부정접근 방지 장치는 판단한 결과로 커맨드 필터 내 규칙이 존재하지 않으면 적어도 하나의 필터 내 룰을 적용하였다고 판단하여 유입된 패킷을 전달할 수 있다(S613).
도 7은 본 발명의 일 실시예에 따른 디폴트 필터 매칭 과정을 나타내는 도면이다.
도 7에 도시한 바와 같이, 본 발명에 따른 부정접근 방지장치는 관리 네트워크 그룹 또는 제어 네트워크 그룹으로부터 패킷이 유입되면, 기 설정된 디폴트 필터의 규칙을 점검할 수 있다(S701).
다음으로, 부정접근 방지장치는 그 점검한 결과로 디폴트 필터의 규칙이 전달로 설정되어 있으면, 유입된 패킷을 전달(forward)할 수 있다(S702). 여기서, 부정접근 방지장치는 패킷을 관리 네트워크 그룹 또는 제어 네트워크 그룹으로 전달하거나 SCADA I/F 필터 또는 제어 I/F 필터의 규칙에 따라 제어할 수 있다.
반면, 부정접근 방지장치는 그 판단한 결과로 디폴트 필터의 규칙이 차단으로 설정되어 있으면 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기(drop)할 수 있다(S703).
도 8은 본 발명의 일 실시예에 따른 SCADA I/F 필터 매칭 과정을 나타내는 도면이다.
도 8에 도시한 바와 같이, 본 발명에 따른 부정접근 방지장치는 관리 네트워크 그룹으로부터 유입된 패킷이 기 설정된 SCADA I/F 필터의 규칙을 만족하는지를 판단할 수 있다(S801).
다음으로, 부정접근 방지장치는 그 판단한 결과로 SCADA I/F 필터의 규칙을 만족하면, 도 5에서의 플로우 필터를 점검할 수 있다(S507).
반면, 부정접근 방지장치는 그 판단한 결과로 SCADA I/F 필터의 규칙을 만족하지 못하면, 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기할 수 있다(S803).
도 9는 본 발명의 일 실시예에 따른 제어 I/F 필터 매칭 과정을 나타내는 도면이다.
도 9에 도시한 바와 같이, 본 발명에 따른 부정접근 방지장치는 제어 네트워크 그룹으로부터 유입된 패킷이 기 설정된 제어 I/F 필터의 규칙을 만족하는지를 판단할 수 있다(S901).
다음으로, 부정접근 방지장치는 그 판단한 결과로 제어 I/F 필터의 규칙을 만족하면, 도 6에서의 플로우 필터를 점검할 수 있다(S607).
반면, 부정접근 방지장치는 그 판단한 결과로 제어 I/F 필터의 규칙을 만족하지 못하면, 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기할 수 있다(S903).
도 10은 본 발명의 일 실시예에 따른 플로우 필터 매칭 과정을 나타내는 도면이다.
도 10에 도시한 바와 같이, 본 발명에 따른 부정접근 방지장치는 관리 네트워크 그룹 또는 제어 네트워크 그룹으로부터 패킷이 유입되면, 플로우 필터 내 규칙이 전달 규칙(allow rule)인지를 점검할 수 있다(S1001).
다음으로, 부정접근 방지장치는 점검한 결과로 전달 규칙이면, 유입된 패킷이 플로우 필터의 전달 규칙을 만족하는지를 판단할 수 있다(S1002). 즉, 부정접근 방지장치는 전달 규칙을 만족하면, 도 5 또는 도 6에서의 커맨드 필터를 점검하고(S510, S610), 전달 규칙을 만족하지 못하면 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기할 수 있다(S1003).
반면, 부정접근 방비 장치는 점검한 결과로 전달 규칙이 아니면, 차단 규칙(deny rule)이라고 판단하여 유입된 패킷이 플로우 필터의 차단 규칙을 만족하는지를 판단할 수 있다(S1004).
즉, 부정접근 방지장치는 플로우 필터의 차단 규칙을 만족하면 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기하고(S1005), 플로우 필터의 차단 규칙을 만족하지 못하면 도 5 또는 도 6에서의 커맨드 필터를 점검할 수 있다(S510, S610).
도 11은 본 발명의 일 실시예에 따른 커맨드 필터의 규칙을 적용하는 과정을 설명하기 위한 도면이다.
도 11에 도시한 바와 같이, 본 발명에 따른 부정접근 방지장치는 관리 네트워크 그룹 또는 제어 네트워크 그룹으로부터 패킷이 유입되면, 커맨드 필터 내 규칙이 전달 규칙인지를 점검할 수 있다(S1101).
다음으로, 부정접근 방지장치는 점검한 결과로 전달 규칙이면, 유입된 패킷이 커맨드 필터의 전달 규칙을 만족하는지를 판단할 수 있다(S1102). 즉, 부정접근 방지장치는 전달 규칙을 만족하면, 유입된 패킷을 전달하고(S1103), 전달 규칙을 만족하지 못하면 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기할 수 있다(S1104).
반면, 부정접근 방비 장치는 점검한 결과로 전달 규칙이 아니면, 차단 규칙(deny rule)이라고 판단하여 유입된 패킷이 커맨드 필터의 차단 규칙을 만족하는지를 판단할 수 있다(S1105).
즉, 부정접근 방지장치는 커맨드 필터의 차단 규칙을 만족하면 시스템 운영자에 의해 차단 설정된 것으로 판단하여 패킷을 폐기(drop)하고(S1106), 커맨드 필터의 차단 규칙을 만족하지 못하면 패킷을 전달(forward)할 수 있다(S1104).
한편, 이상에서 설명한 본 발명의 실시예를 구성하는 모든 구성 요소들이 하나로 결합하거나 결합하여 동작하는 것으로 기재되어 있다고 해서, 본 발명이 반드시 이러한 실시예에 한정되는 것은 아니다. 즉, 본 발명의 목적 범위 안에서라면, 그 모든 구성 요소들이 하나 이상으로 선택적으로 결합하여 동작할 수도 있다. 또한, 그 모든 구성 요소들이 각각 하나의 독립적인 하드웨어로 구현될 수 있지만, 각 구성 요소들의 그 일부 또는 전부가 선택적으로 조합되어 하나 또는 복수 개의 하드웨어에서 조합된 일부 또는 전부의 기능을 수행하는 프로그램 모듈을 갖는 컴퓨터 프로그램으로서 구현될 수도 있다. 또한, 이와 같은 컴퓨터 프로그램은 USB 메모리, CD 디스크, 플래쉬 메모리 등과 같은 컴퓨터가 읽을 수 있는 저장매체(Computer Readable Media)에 저장되어 컴퓨터에 의하여 읽혀지고 실행됨으로써, 본 발명의 실시예를 구현할 수 있다. 컴퓨터 프로그램의 저장매체로서는 자기 기록매체, 광 기록매체, 캐리어 웨이브 매체 등이 포함될 수 있다.
이상에서 설명한 실시예들은 그 일 예로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 발명에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
100: 관리 네트워크 그룹
200: 부정접근 방지장치
210: 제1 인터페이스
220: 제어 수단
221: 디폴트 필터
222: SCADA I/F 필터
223: 제어 I/F 필터
224: 플로우 필터
225: 커맨드 필터
230: 제2 인터페이스
300: 제어 네트워크 그룹

Claims (16)

  1. 제어 명령을 요청하는 관리 네트워크 그룹과 연동하여 패킷을 송수신하는 제1 인터페이스;
    상기 관리 네트워크 그룹으로부터 제어 명령을 수신하여 수신된 상기 제어 명령을 처리하는 제어 네트워크 그룹과 연동하여 패킷을 송수신하는 제2 인터페이스; 및
    상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 패킷이 유입되면, 적어도 하나의 필터에 대한 규칙이 설정되어 있는지를 확인하여 그 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 상기 관리 네트워크 그룹과 상기 제어 네트워크 그룹 간 패킷의 흐름을 제어하는 제어 수단;
    을 포함하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  2. 제1 항에 있어서,
    상기 제어 수단은,
    기 설정된 설정 값에 따라 상기 유입된 패킷의 전달 또는 차단을 제어하는 디폴트 필터를 구비하고,
    상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있지 않으면, 상기 디폴트 필터의 설정 값에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  3. 제1 항에 있어서,
    상기 제어 수단은,
    상기 관리 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 SCADA I/F 필터를 구비하되,
    상기 확인한 결과로 상기 SCADA I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 SCADA I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  4. 제3 항에 있어서,
    상기 제어 수단은,
    상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 구비하되,
    상기 SCADA I/F 필터 내 규칙이 존재하지 않거나 SCADA I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  5. 제4 항에 있어서,
    상기 제어 수단은,
    상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 구비하되,
    상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  6. 제1 항에 있어서,
    상기 제어 수단은,
    상기 제어 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 제어 I/F 필터를 구비하되,
    상기 확인한 결과로 상기 제어 I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 제어 I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  7. 제6 항에 있어서,
    상기 제어 수단은,
    상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 구비하되,
    상기 제어 I/F 필터 내 규칙이 존재하지 않거나 제어 I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  8. 제7 항에 있어서,
    상기 제어 수단은,
    상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 구비하되,
    상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 장치.
  9. 제어 명령을 요청하는 관리 네트워크 그룹 또는 상기 관리 네트워크 그룹으로부터 제어 명령을 수신하여 수신된 상기 제어 명령을 처리하는 제어 네트워크 그룹으로부터 패킷이 유입되었는지를 확인하는 단계;
    상기 확인한 결과로 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 패킷이 유입되면, 적어도 하나의 필터에 대한 규칙이 설정되어 있는지를 확인하는 단계; 및
    상기 확인한 결과에 따라 규칙이 설정되어 있는 해당 필터를 이용하여 상기 관리 네트워크 그룹과 상기 제어 네트워크 그룹 간 패킷의 흐름을 제어하는 단계;
    를 포함하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  10. 제9 항에 있어서,
    상기 제어하는 단계는,
    상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있지 않으면, 기 설정된 설정 값에 따라 상기 유입된 패킷의 전달 또는 차단을 제어하는 디폴트 필터를 점검하고,
    상기 점검한 결과로 상기 디폴트 필터의 설정 값에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  11. 제9 항에 있어서,
    상기 제어하는 단계는,
    상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있으면, 상기 관리 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 SCADA I/F 필터를 점검하고,
    상기 점검한 결과로 상기 SCADA I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 SCADA I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  12. 제11 항에 있어서,
    상기 제어하는 단계는,
    상기 SCADA I/F 필터 내 규칙이 존재하지 않거나 SCADA I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 점검하고,
    상기 점검한 결과로 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  13. 제12 항에 있어서,
    상기 제어하는 단계는,
    상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 점검하고,
    상기 점검한 결과로 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  14. 제9 항에 있어서,
    상기 제어하는 단계는,
    상기 확인한 결과로 상기 적어도 하나 이상의 필터에 대한 규칙이 설정되어 있으면, 상기 제어 네트워크 그룹으로부터 유입되는 모든 패킷에 대해 근원지 주소를 포함하는 규칙에 따라 접근 제어를 수행하는 제어 I/F 필터를 점검하고,
    상기 점검한 결과로 상기 제어 I/F 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 제어 I/F 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  15. 제14 항에 있어서,
    상기 제어하는 단계는,
    상기 제어 I/F 필터 내 규칙이 존재하지 않거나 제어 I/F 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 프로토콜, 근원지 주소, 목적지 주소, 근원지 포트, 목적지 포트를 포함하는 규칙에 따라 접근 제어를 수행하는 플로우 필터를 점검하고,
    상기 점검한 결과로 상기 플로우 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 플로우 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
  16. 제15 항에 있어서,
    상기 제어하는 단계는,
    상기 플로우 필터 내 규칙이 존재하지 않거나 플로우 필터에 의한 패킷의 전달 또는 차단을 제어한 후 상기 관리 네트워크 그룹 또는 상기 제어 네트워크 그룹으로부터 유입되는 패킷에 대해 명령어를 포함하는 규칙에 따라 접근 제어를 수행하는 커맨드 필터를 점검하고,
    상기 점검한 결과로 상기 커맨드 필터에 대한 규칙이 설정되어 있으면, 상기 패킷이 상기 커맨드 필터의 규칙을 만족하는지에 따라 상기 패킷의 전달 또는 차단을 제어하는 것을 특징으로 하는 산업제어 시스템의 부정 접근을 방지하기 위한 방법.
KR1020130071138A 2013-06-20 2013-06-20 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법 KR20140147583A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020130071138A KR20140147583A (ko) 2013-06-20 2013-06-20 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법
US14/245,310 US20140380458A1 (en) 2013-06-20 2014-04-04 Apparatus for preventing illegal access of industrial control system and method thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020130071138A KR20140147583A (ko) 2013-06-20 2013-06-20 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법

Publications (1)

Publication Number Publication Date
KR20140147583A true KR20140147583A (ko) 2014-12-30

Family

ID=52112148

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020130071138A KR20140147583A (ko) 2013-06-20 2013-06-20 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법

Country Status (2)

Country Link
US (1) US20140380458A1 (ko)
KR (1) KR20140147583A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200137879A (ko) * 2019-05-31 2020-12-09 주식회사 포스코아이씨티 스위칭 장치를 이용하는 비정상 제어데이터 탐지시스템

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP3044641B1 (en) * 2013-09-13 2019-08-28 Siemens Aktiengesellschaft Restricting communications in industrial control
KR102112587B1 (ko) * 2015-03-20 2020-05-19 한국전자통신연구원 패킷 감시 장치 및 통신 패킷에 대한 패킷 감시 방법
US10015188B2 (en) * 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
EP3144842A1 (de) * 2015-09-15 2017-03-22 Siemens Aktiengesellschaft System und verfahren zur analytik eines objektes
DE102016219848A1 (de) * 2016-10-12 2018-04-12 Siemens Aktiengesellschaft Verfahren und Vorrichtung zum Bereitstellen einer gesicherten Kommunikation innerhalb eines echtzeitfähigen Kommunikationsnetzwerkes
EP3340571B1 (en) * 2016-12-20 2023-05-17 ABB Schweiz AG Gateway for transmitting data from a source system to a destination system, with rule-based forwarding and further processing of data, and method
CN106651183B (zh) * 2016-12-26 2020-04-10 英赛克科技(北京)有限公司 工控系统的通信数据安全审计方法及装置
CN109617654B (zh) * 2018-12-14 2021-03-05 广东飞企互联科技股份有限公司 工业互联网大数据服务系统数据传输方法与数据聚合解析装置
CN112637143B (zh) * 2020-12-08 2023-03-24 浙江国利网安科技有限公司 安全控制方法、装置及工控数据采集网关

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5022076A (en) * 1988-12-09 1991-06-04 The Exchange System Limited Partnership Redundant encryption processor arrangement for use in an electronic fund transfer network
US5097470A (en) * 1990-02-13 1992-03-17 Total Control Products, Inc. Diagnostic system for programmable controller with serial data link
US5475601A (en) * 1994-02-15 1995-12-12 Emhart Glass Machinery Investments Inc. Control for glassware forming system including bidirectional network gateway
SG74705A1 (en) * 1999-03-12 2001-06-19 Sony Electronics Singapore Pte A monitoring system for monitoring processing equipment
US7123974B1 (en) * 2002-11-19 2006-10-17 Rockwell Software Inc. System and methodology providing audit recording and tracking in real time industrial controller environment
EP1878192B1 (en) * 2005-01-06 2011-06-22 Rockwell Automation Technologies, Inc. Firewall method and apparatus for industrial systems
WO2006135726A2 (en) * 2005-06-09 2006-12-21 Whirlpool Corporation Software architecture system and method for communication with, and management of, at least one component within a household appliance
CN102904749B (zh) * 2005-10-05 2015-12-09 拜尔斯安全公司 采用安全设备保护网络装置的方法、安全设备和数据网络
US7657814B2 (en) * 2006-02-23 2010-02-02 Rockwell Automation Technologies, Inc. Optimizing availability and safety by reconfiguring and auto-adjusting redundancy
US7908160B2 (en) * 2006-09-11 2011-03-15 Decision-Zone Inc. System and method for producing audit trails
US20090088874A1 (en) * 2007-10-02 2009-04-02 Emmanuel Arceo Valve manifold assemblies and method of operating valve manifold assemblies
US8737398B2 (en) * 2008-12-31 2014-05-27 Schneider Electric USA, Inc. Communication module with network isolation and communication filter
US8886746B2 (en) * 2009-09-09 2014-11-11 Rockwell Automation Technologies, Inc. Diagnostic module for distributed industrial network including industrial control devices
KR101431301B1 (ko) * 2010-01-20 2014-08-20 엘에스산전 주식회사 안전 증설 베이스 및 그의 제어방법
JP5689333B2 (ja) * 2011-02-15 2015-03-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体
JP2012226680A (ja) * 2011-04-22 2012-11-15 Internatl Business Mach Corp <Ibm> 産業制御システムを管理する管理システム、管理方法および管理プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200137879A (ko) * 2019-05-31 2020-12-09 주식회사 포스코아이씨티 스위칭 장치를 이용하는 비정상 제어데이터 탐지시스템

Also Published As

Publication number Publication date
US20140380458A1 (en) 2014-12-25

Similar Documents

Publication Publication Date Title
KR20140147583A (ko) 산업제어 시스템의 부정 접근을 방지하기 위한 장치 및 그 방법
US11363035B2 (en) Configurable robustness agent in a plant security system
KR101455167B1 (ko) 화이트리스트 기반의 네트워크 스위치
KR101761737B1 (ko) 제어 시스템의 이상행위 탐지 시스템 및 방법
US11038887B2 (en) Enhanced smart process control switch port lockdown
JP5411916B2 (ja) 保護継電器とこれを備えるネットワークシステム
US20160173452A1 (en) Multi-connection system and method for service using internet protocol
US20160094517A1 (en) Apparatus and method for blocking abnormal communication
CN110326268A (zh) 用于保护现场设备的透明防火墙
CN103457948A (zh) 工业控制系统及其安全装置
Zvabva et al. Evaluation of industrial firewall performance issues in automation and control networks
Kim et al. Abnormal traffic filtering mechanism for protecting ICS networks
Tippenhauer et al. Vbump: Securing ethernet-based industrial control system networks with vlan-based traffic aggregation
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
KR20150110065A (ko) 실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템
US20210194850A1 (en) Smart network switching systems and related methods
Sainz et al. Software defined networking opportunities for intelligent security enhancement of industrial control systems
US20180212853A1 (en) Gateway for distributed control network
RU2509425C1 (ru) Способ и устройство управления потоками данных распределенной информационной системы
Singh et al. SCADA security issues and FPGA implementation of AES—A review
Erokhin et al. Critical information infrastructures monitoring based on software-defined networks
JP2017163505A (ja) 監視装置、スイッチ、通信装置、通信システム、監視方法及び監視プログラム
Kiuchi et al. Security technologies, usage and guidelines in SCADA system networks
EP4295249A1 (en) Automatic firewall configuration for control systems in critical infrastructure
Kiuchi et al. Customizing control system intrusion detection at the application layer

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application