KR20150026345A - 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 - Google Patents
네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 Download PDFInfo
- Publication number
- KR20150026345A KR20150026345A KR20130105060A KR20130105060A KR20150026345A KR 20150026345 A KR20150026345 A KR 20150026345A KR 20130105060 A KR20130105060 A KR 20130105060A KR 20130105060 A KR20130105060 A KR 20130105060A KR 20150026345 A KR20150026345 A KR 20150026345A
- Authority
- KR
- South Korea
- Prior art keywords
- server
- extracting
- client
- information
- service
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
본 발명은 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법에 관한 것으로, 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 서버 추출부; 상기 서버가 제공하는 서비스를 추출하는 서비스 추출부; 추출된 서비스에 접속하는 클라이언트를 추출하는 클라이언트 추출부; 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 제어명령 추출부;상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 통신 특성 추출부; 및 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 통계 정보 추출부;를 포함한다.
Description
본 발명은 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법에 관한 것으로, 보다 자세하게는 네트워크 트래픽으로부터 일정 기간 감시대상 통신노드들의 정상 통신 행위를 정의하는 화이트 리스트를 생성하는 장치 및 그 방법에 관한 것이다.
네트워크 침입탐지를 위해 비정상행위를 탐지하는 기법들이 많이 연구되고 있다. 비정상행위를 탐지하기 위해서는 네트워크 트래픽의 정상행위를 추출하여 모델링하는 과정이 필요하다.
이를 위해 기존에는 기계학습(machine learning), 데이터마이닝(data mining), 엔트로피 등을 이용하여 정상행위를 추출하거나 프로토콜 스펙(specification) 등을 이용하여 직접 정상행위를 입력하는 방식을 사용한다. 이와 같은 방법을 네트워크 트래픽에 적용하기도 하고 어플리케이션의 입출력에 적용하여 호스트 기반 정상행위 추출에 활용하기도 한다.
네트워크 트래픽에 정상행위 추출 기법을 적용할 경우 기존 연구들은 패킷 단위로 분석을 하거나 플로우(IP, 포트, 세션 등) 단위로 분석을 수행한다. 네트워크에 통해 패킷을 주고 받기 위해서는 통신노드 간에 특정 네트워크 서비스(또는 어플리케이션)를 이용하게 된다. 네트워크 서비스를 통해 통신노드 간에 하나의 메시지를 전송하면 이는 하나 또는 복수 개의 패킷으로 나뉘어 전송된다. 네트워크 서비스의 사용패턴을 추적하기 위해서는 패킷 단위의 분석보다 네트워크 서비스 레벨 메시지 단위의 분석이 필요하다. 하지만 패킷들로부터 메시지를 재조립하기 위해서는 네트워크 서비스에서 사용하는 프로토콜에 대한 정확한 정보가 필요하다. 네트워크 서비스에서 사용하는 프로토콜에 대한 정보가 모두 있을 경우 패킷들로부터 메시지를 재조립한 후 메시지 내용을 감시하는 경우는 있지만, 네트워크 서비스의 프로토콜 정보 없이 패킷들로부터 메시지를 재조립할 수 있는 방법 및 재조립된 메시지를 네트워크 트래픽 정상행위 추출에 이용한 연구는 진행되지 않았다.
이와 관련하여, 한국등록특허 제10-06564030호는 "네트워크 시스템에서 침입 탐지 방법"에 관한 기술을 개시하고 있다.
본 발명은 상기와 같은 문제점을 해결하기 위해 발명된 것으로서, 네트워크 트래픽 분석을 통해 프로토콜 정보 없이도 어플리케이션 수준의 일정한 데이터 전송 규칙을 추출하는 네트워크 트래픽을 통해 화이트 리스트를 자동을 추출하는 화이트 리스트를 생성하는 장치 및 그 방법을 제공하는데 그 목적이 있다.
상기한 목적을 달성하기 위하여 본 발명의 실시예에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치는 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 서버 추출부; 상기 서버가 제공하는 서비스를 추출하는 서비스 추출부; 추출된 서비스에 접속하는 클라이언트를 추출하는 클라이언트 추출부; 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 제어명령 추출부; 상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 통신 특성 추출부; 및 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 통계 정보 추출부;를 포함한다.
또한, 추출된 상기 서버, 상기 서비스, 상기 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 리스트 생성부를 더 포함하는 것을 특징으로 한다.
또한, 상기 서버 추출부는 네트워크 트래픽에서 사용되고 있는 IP 및 MAC 정보를 이용하여 IP 별로 사용이 허가된 MAC 주소를 토대로 다수개의 서버에 대한 서버 정보를 추출하는 것을 특징으로 한다.
또한, 상기 서비스 추출부는 서버가 불필요한 서비스를 제공하고 있지 않은지 확인하기 위해 상기 서버가 제공하는 서버 포트 및 프로토콜 정보를 포함하는 서비스에 대한 서비스 정보를 추출하는 것을 특징으로 한다.
또한, 상기 클라이언트 추출부는 상기 서버가 제공하는 서비스에 접속이 허용된 클라이언트만 접속하고 있는지 확인하기 위해 IP 정보를 포함하는 클라이언트에 대한 클라이언트 정보를 추출하는 것을 특징으로 한다.
또한, 상기 제어명령 추출부는 상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 한다.
또한, 상기 통신 특성 추출부는 상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜에 대한 메시지 특성 정보를 추출하는 것을 특징으로 한다.
또한, 상기 통계 정보 추출부는 상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 한다.
또한, 기 설정된 감시단위시간에 따른 트래픽 개수는 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 것을 특징으로 한다.
또한, 서비스 지속 여부는 기 설정된 단위 시간에 상기 서버와 클라이언트가 지속적으로 통신하는지를 판단하는 것을 특징으로 한다.
상기한 목적을 달성하기 위하여 본 발명의 실시예에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법은 서버 추출부에 의해, 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 단계; 서비스 추출부에 의해, 상기 서버들이 제공하는 서비스를 추출하는 단계; 클라이언트 추출부에 의해, 추출된 서비스에 접속하는 클라이언트를 추출하는 단계; 제어명령 추출부에 의해, 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계; 통신 특성 추출부에 의해, 상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 단계; 및 통계 정보 추출부에 의해, 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계;를 포함한다.
또한, 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계 이후에, 추출된 서버, 서비스, 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 단계;를 더 포함하는 것을 특징으로 한다.
또한, 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계는, 상기 서버와 상기 클라이언트에서 사용되는 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 한다.
또한, 상기 서버와 상기 클라이언트 간의 통신 특성을 추출하는 단계는, 추출된 상기 제어명령의 프로토콜이 아닌 프로토콜을 추출하여 해당 프로토콜에 대한 메시지 특성 정보를 추출하는 것을 특징으로 한다.
또한, 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계는, 상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 한다.
또한, 기 설정된 감시단위시간에 따라 수집되는 트래픽 개수는 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 것을 특징으로 한다.
상기와 같은 구성을 갖는 본 발명에 의한 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법은 DNP3, ICCP와 같이 알려진 프로토콜에 대한 특성뿐 아니라 알려지지 않은 프로토콜을 이용한 네트워크 트래픽에 대해서도 특성을 추출할 수 있는 효과가 있다.
또한, 본 발명은 전력 제어시스템 특성상 지속적으로 운영되어야 하는 서비스에 대해서는 서비스 지속 여부를 확인할 수 있도록 서버-서비스-클라이언트 별 통신 지속 여부를 확인할 수 있는 효과가 있다.
또한, 본 발명은 평상시 네트워크 트래픽 수집만을 통해 화이트 리스트를 추출할 수 있어 전력 제어시스템 구현에 대한 지식 없이도 전력 제어시스템 세부 네트워크 트래픽의 정상 특성을 자동으로 추출할 수 있는 효과가 있다.
또한, 본 발명은 서비스나 서버의 추가 및 삭제 등 전력 제어시스템 환경이 변동되었을 때 해당 변동 사항을 신속히 화이트 리스트에 반영할 수 있는 효과가 있다..
또한, 본 발명은 서비스가 정상인 상황의 네트워크 트래픽을 수집하여 화이트 리스트를 생성함으로써, 특수 상황에 대한 모니터링이 가능한 효과가 있다.
도 1은 본 발명의 실시예에 따른 화이트 리스트 생성 장치의 구성을 설명하기 위한 도면이다.
도 2는 본 발명에 채용되는 화이트 리스트의 구성을 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 화이트 리스트에 표현되는 특성을 설명하기 위한 도면이다.
도 4는 본 발명에 채용되는 통신 특성 추출부를 자세하게 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 화이트 리스트 생성 방법을 설명하기 위한 순서도이다.
도 2는 본 발명에 채용되는 화이트 리스트의 구성을 설명하기 위한 도면이다.
도 3은 본 발명의 실시예에 따른 화이트 리스트에 표현되는 특성을 설명하기 위한 도면이다.
도 4는 본 발명에 채용되는 통신 특성 추출부를 자세하게 설명하기 위한 도면이다.
도 5는 본 발명의 실시예에 따른 화이트 리스트 생성 방법을 설명하기 위한 순서도이다.
이하, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자가 본 발명의 기술적 사상을 용이하게 실시할 수 있을 정도로 상세히 설명하기 위하여, 본 발명의 가장 바람직한 실시예를 첨부 도면을 참조하여 설명하기로 한다. 우선, 각 도면의 구성요소에 참조부호를 부가함에 있어서, 동일한 구성요소들에 대해서는 비록 다른 도면상에 표시되더라도 가능한 한 동일한 부호를 가지도록 하고 있음에 유의해야 한다. 또한, 본 발명을 설명함에 있어, 관련된 공지 구성 또는 기능에 대한 구체적인 설명이 본 발명의 요지를 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명은 생략한다.
이하에서는, 본 발명의 실시예에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법에 대하여 첨부된 도면을 참고로 하여 상세히 설명한다.
본 발명이 적용되는 전력 제어시스템의 경우 시스템 단위로 관리가 이루어지고, 보안감시를 위해서는 이들이 어떻게 통신을 수행하고 있는지 감시하는 과정이 필요하다.
따라서, 제어시스템에서 감시해야 하는 정보들은 아래와 같다.
1. 보호하고자 하는 대상 서버는 어떤 것들이 있는가
2. 각 서버들이 어떤 서비스를 제공하고 있는가
3. 제공되는 서비스에 접근하는 클라이언트들은 어떤 서버들인가
4. 서버들의 권한에 따라 사용 가능한 제어명령들의 리스트가 무엇인가,
5. 서버-클라이언트가 특정 서비스로 통신할 때 정상적인 작업만 이루어지는가
6. 서버-클라이언트의 통신 통계 정보가 이상하지 않은가
그러나 기존에는 서버-클라이언트 사이의 통신만을 분석/감시하거나, 제어명령의 권한만을 제한하고 있다.
따라서, 본 발명은 앞에서 살펴본 정보들을 모두 관리할 수 있도록 제어망에서의 이상징후 감시를 위한 화이트 리스트를 제공한다.
도 1은 본 발명의 실시예 따른 화이트 리스트 생성 장치의 구성을 설명하기 위한 도면이고, 도 2는 본 발명에 채용되는 화이트 리스트의 구성을 설명하기 위한 도면이고, 도 3은 본 발명의 실시예 따른 화이트 리스트에 표현되는 특성을 설명하기 위한 도면이다.
도 1을 참조하여 설명하면, 본 발명에 따른 화이트 리스트 생성 장치(100)는 크게 서버 추출부(110), 서비스 추출부(120), 클라이언트 추출부(130), 제어명령 추출부(140), 통신 특성 추출부(150), 통계 정보 추출부(160) 및 리스트 생성부(170)를 포함한다.
서버 추출부(110)는 네트워크 트래픽에서 사용되고 있는 서버를 추출한다. 서버 추출부(110)는 네트워크 트래픽에서 사용되고 있는 IP, MAC을 이용하여 서버들을 등록하고, IP별로 사용이 허가된 다수개의 MAC 주소를 파악하여 이를 기반으로 서버 즉, 감시대상 장비를 파악하기 위함이다. MAC 주소가 다수개인 이유는 동일 기능 장비의 이중화 및 대체장비의 정보를 미리 등록해 놓기 위함이다. 서버 추출부(110)는 도 2에 도시된 바와 같이 화이트 리스트(200)에 IP, set of MAC address로 표현한다.
서비스 추출부(120)는 서버가 제공하는 서비스를 추출하여 서버가 불필요한 서비스를 제공하고 있지 않은지 확인하기 위함이다. 서비스 추출부(120)는 도 2에 도시된 바와 같이 화이트 리스트(200)에 서버 포트와 프로토콜을 표현한다.
클라이언트 추출부(130)는 추출된 서비스에 접속하는 클라이언트를 추출한다. 서버가 제공하는 서비스마다 접속이 허용된 클라이언트들은 한정되어 있다. 접속 가능한 클라이언트는 IP로 표현하고, 추출된 모든 클라이언트 IP는 장비에서 등록된 IP이어야 한다. 따라서 클라이언트 추출부(130)는 서비스마다 접속이 허용된 클라이언트들만 접속하는지 확인하기 위해 접속이 허용된 클라이언트들을 도 2에 도시된 바와 같이 화이트 리스트(200)에 IP로 표현한다.
제어 명령 추출부(140)는 서버와 클라이언트에서 사용되는 제어 명령 정보를 추출한다. 제어 명령 추출부(140)는 정상적인 통신 과정 및 작업 중 서버 클라이언트 별로 사용하는 제어명령들을 네트워크 트래픽으로부터 수집하여 서버 클라이언트 별로 사용 허가된 제어명령들의 리스트를 추출해 내는 과정이다. 네트워크 트래픽을 수집하는 기간이 길어질수록 일반적인 작업 시 사용하는 제어명령의 모든 리스트를 모두 파악할 수 있게 된다. 이때 파악되지 않은 제어명령이 나타날 때는, 외부의 공격이거나 제어기기들의 예외 상황에 대한 작업이 발생했을 확률이 높으므로 해당 상황을 현장을 통해 확인해보는 것이 안전 및 보안을 위해 필요하다.
제어 명령 추출부(140)는 서버와 클라이언트가 잘 알려진 DNP3 또는 ICCP 제어 프로토콜을 사용하는 경우 도 2에 도시된 바와 같이 DNP3의 경우 화이트 리스트(200)에 (function code, data object type)의 집합, ICCP의 경우 화이트 리스트(200)에 (device, service)의 집합으로 표현하였다.
통신 특성 추출부(150)는 서버와 클라이언트 간의 통신 특성 정보를 추출한다. 통신 특성 추출부(150)는 서버와 클라이언트에서 사용되는 제어명령의 프로토콜에 대한 메시지 특성 정보를 추출한다. 이러한 통신 특성 추출부(150)에 대한 기능은 이후 설명되는 도 4에서 자세하게 설명하기로 한다.
통계 정보 추출부(160)는 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출한다. 통계 정보 추출부(160)는 서비스 지속 여부를 토대로 트래픽 개수를 수집하여 트래픽 통계 정보를 추출한다. 이때, 서비스 지속 여부는 매 감시단위시간 안에 해당 서버와 클라이언트 사이에 최소 하나 이상의 패킷이 존재함을 뜻한다. 전력 제어시스템의 경우 모니터링 정보 전송과 같이 지속적인 통신을 유지해야 하는 서버와 클라이언트 구간이 많이 존재한다. 이러한 통신 구간은 이상 트래픽이 발생하는 것 이상으로 트래픽이 지속적으로 발생하는지를 확인하는 것이 필요하다. 또한, 통계 정보 추출부(160)는 서비스 지속 여부를 외에 트래픽 양, 세션 양을 이용한 DoS 공격 및, 허용된 클라이언트라도 동시에 접속하는 세션의 개수가 일정한데 허용 세션 이외 추가 세션을 통한 통신이 발생하는지 확인하기 위해 감시단위시간을 기 설정하였다. 이때, 기 설정된 감시단위시간은 감시단위시간 내 전송 bytes(MAX bytes), 감시단위시간 내 전송 packet 개수(MAX packets) 및 감시단위시간 내 동시 세션 개수(MAX session) 중 적어도 어느 하나를 포함한다.
리스트 생성부(170)는 추출된 서버의 정보, 서비스 정보, 클라이언트의 정보, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 도 3에 도시된 바와 같은 트리 구조의 화이트 리스트를 생성한다.
도 4는 본 발명에 채용되는 통신 특성 추출부를 자세하게 설명하기 위한 도면이다.
도 4를 참조하여 설명하면, 메시지는 도면에 도시된 바와 같이 서버와 클라이언트 간에 주고받는 패킷들을 일정시간 d를 기준으로 잘라서 묶은 것이다. 이를 통해 서비스를 이용하여 데이트를 보낼 때 하나의 데이터가 여러 개의 패킷으로 나뉘는데, 데이터 간의 시간 간격이 데이터 내 패킷들 간의 시간 간격보다 긴 특성을 활용한 것이다. 이를 이용하면 알려지지 않은 프로토콜에 대해서도 소프트웨어 구현시 어떤 방식으로 패킷을 전송하게 되어있는지에 대한 특성을 반영할 수 있다. 특히, 전력 제어 시스템과 같이 정해진 타입과 일정의 크기의 데이터를 지속적으로 주고받는 경우, 프로토콜에 대한 스펙 정보 없이도 서비스를 이용한 서버-클라이언트 간의 통신 특성을 명시할 수 있는 장점이 있다.
프로토콜 및 내부 데이터 정보가 공개되어 있지 않은 상황에서 payload의 특정 비트들을 분석하는 것은 이상징후 감시시스템을 사용하는 사용자에게 명확한 정보를 전달하기 어렵다. 사용자가 payload 수준의 정보를 알지 못하기 때문에 payload의 특정 비트들을 기반으로 한 이상징후 알람으로부터 시스템 이상을 추측하기 어렵기 때문이다. 또한, 모든 패킷들의 payload들을 실시간으로 분석하는데는 감시시스템의 성능 문제가 발생할 수도 있다.
따라서, 통신 특성 추출부(150)는 패킷 정보와 패킷 간의 순서 정보를 조합하여 사용하였다. payload size, packet size는 트래픽 분석에서 자주 사용되는 정보로, 사용자가 프로토콜 세부 내용이나 내부 데이터 정보를 알지 못하더라도 서버와 클라이언트 간의 통신 특성을 숫자의 나열로 확인할 수 있어 이상징후 발생 여부를 확인하는데 효과적이다. 보다 자세하게는 통신 특성 추출부(150)는 통신 특성을 패킷 정보로 2가지 사용(예를 들면, payload size(0 제외, 앞으로 p로 지칭), packetsize(앞으로 f로 지칭)) 하고, 패킷 간의 순서정보로 4가지 사용 (예를 들면, set (앞으로 1로 지칭), multiset (앞으로 2로 지칭), 패킷 전송방향별로 구분한 두 개의 시퀀스 (앞으로 3로 지칭), 전체 패킷들의 시퀀스 (앞으로 4로 지칭)), 메시지 타입 종류는 총 8가지(p1, p2, p3, p4, f1, f2, f3, f4)로 나누었다.
이 때 payload 크기를 사용하는 것보다 packet size를 이용한 경우가 패킷에 대한 더 많은 정보를 포함하게 된다. 그리고 패킷 간의 순서는 1, 2, 3, 4의 순서로 많은 정보를 포함하게 된다. 그러므로 통신 특성 추출부(150)는 p1이 가장 적은 정보를 가진 타입, 그 다음이 f1, p2, f2, p3, f3, p4, f4의 순서로 정보를 많이 가진 타입으로 활용하였다. 정보를 많이 가진 타입일수록 같은 통신 구간에서 다수의 메시지 타입이 생기게 된다.
도 5는 본 발명의 실시예에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법을 설명하기 위한 순서도이다.
도 5를 참조하여 설명하면, 본 발명에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법은 앞서 설명한 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치를 이용하는 방법으로 이하, 중복되는 설명은 생략하기로 한다.
먼저, 사용자가 미리 설정 정보를 입력한다.(S100) 이때, 입력해야 할 정보는 화이트 리스트 생성에 사용되는 트래픽 로그 기간을 설정하는 것으로, N은 4번에서 사용할 자연수, 디폴트 값은 5, d는 메시지 구분을 위해 사용하는 시간 경계값, 디폴트는 2초, S는 7번에서 사용할 최대 메시지 타입 개수, 디폴트 값은 10, T : 감시단위시간, 디폴트 1분, X는 동시 세션 개수 초과 한계 개수, 디폴트 값은 2, C는 트래픽 추이 초과 한계 비율, 디폴트 값은 1.5으로 미리 설정되어 있다.
다음, 선정된 네트워크 트래픽 로그에서 발견되는 (IP, MAC) 쌍을 모두 서버를 추출한다.(S200)
다음, 추출된 서버를 기준으로 서버 포트와 프로토콜로 연결되는 서비스를 추출한다.(S300)
다음, 추출된 서비스에 접속하는 클라이언트를 추출한다.(S400)
다음, 서버와 클라이언트 간의 제어 명령 정보를 추출한다.(S500) 이때, 추출된 통신 특성 정보가 DNP3 프로토콜 일 경우 function code, data object를 수행하고, ICCP 프로토콜의 경우 (device, service)로 수행한다.
다음, 서버와 클라이언트 간의 통신 특성 정보를 추출한다.(S600) 정보가 적은(즉, 메시지 타입 개수가 적게 나올) 순서는 p1 -> f2 -> p2 -> f2 -> p3 -> f3 -> p4 -> f4(payload 크기보다는 packet 크기가 정보가 많고, 순서 정보에서 set < multiset < 전송방향별 시퀀스 < 전체 시퀀스 이므로)로 예를 들어, 서버와 클라이언트가 사용하는 메시지 타입의 개수를 조사했을 때 순서대로 2->3->4->5->7->11->11->13 인 경우 p3을 선택하고, 12 13 20 21 22 25 26 29인 경우에는 모든 메시지를 허용하고 있으므로 선택하지 않고, 1->2->2->3->3->4->4->4인 경우에는 f4를 선택하게 된다.
다음, 서버와 클라이언트 간의 트래픽 통계 정보를 추출한다.(S700) 이 단계에서는 4가지 트래픽 통계 단위를 조사한다. 먼저, 감시단위시간 동안 패킷이 하나도 없는 구간이 한 번이라도 있는가, 감시단위시간 동안의 전송 bytes의 최대값, 감시단위시간 동안의 전송 packet 개수 최대값, 감시단위 시간 동안의 동시 session 개수 최대값을 조사한다.
그 다음, 한 번이라도 감시단위시간 동안 패킷이 전송되지 않은 구간이 있으면 No, 없으면 Yes, 그리고 감시단위시간 동안의 전송 bytes의 최대값의 C배 값을 MAX bytes로 등록, 감시단위시간 동안의 전송 packet 개수의 최대값의 C배 값을 MAX packets로 등록, 감시단위시간 동안의 동시 session 개수 최대값 + X 값을 MAX session으로 등록한다.
마지막으로, 추출된 서버의 정보, 서비스 정보, 클라이언트의 정보, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성을 완료한다.(S900)
이처럼, 본 발명에 따른 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법은 DNP3, ICCP와 같이 알려진 프로토콜에 대한 특성뿐 아니라 알려지지 않은 프로토콜을 이용한 네트워크 트래픽에 대해서도 특성을 추출할 수 있는 있다.
또한, 본 발명은 평상시 네트워크 트래픽 수집만을 통해 화이트 리스트를 추출할 수 있어 전력 제어시스템 구현에 대한 지식 없이도 전력 제어시스템 세부 네트워크 트래픽의 정상 특성을 자동으로 추출할 수 있다.
또한, 본 발명은 서비스나 서버의 추가 및 삭제 등 전력 제어시스템 환경이 변동되었을 때 해당 변동 사항을 신속히 화이트 리스트에 반영할 수 있다.
이상에서, 본 발명에 따른 바람직한 실시예에 대해 설명하였으나, 다양한 형태로 변형이 가능하며, 본 기술분야에서 통상의 지식을 가진자라면 본 발명의 특허청구범위를 벗어남이 없이 다양한 변형예 및 수정예를 실시할 수 있을 것으로 이해된다.
100 : 화이트 리스트를 생성하는 장치
110 : 서버 추출부 120 : 서비스 추출부
130 : 클라이언트 추출부 140 : 제어 명령 추출부
150 : 통신 특성 추출부 160 : 통계 정보 추출부
170 : 리스트 생성부
110 : 서버 추출부 120 : 서비스 추출부
130 : 클라이언트 추출부 140 : 제어 명령 추출부
150 : 통신 특성 추출부 160 : 통계 정보 추출부
170 : 리스트 생성부
Claims (16)
- 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 서버 추출부;
상기 서버가 제공하는 서비스를 추출하는 서비스 추출부;
추출된 서비스에 접속하는 클라이언트를 추출하는 클라이언트 추출부;
상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 제어명령 추출부;
상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 통신 특성 추출부; 및
상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 통계 정보 추출부;
를 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
추출된 상기 서버, 상기 서비스, 상기 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 리스트 생성부를 더 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 서버 추출부는 네트워크 트래픽에서 사용되고 있는 IP 및 MAC 정보를 이용하여 IP 별로 사용이 허가된 MAC 주소를 토대로 다수개의 서버에 대한 서버 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 서비스 추출부는 서버가 불필요한 서비스를 제공하고 있지 않은지 확인하기 위해 상기 서버가 제공하는 서버 포트 및 프로토콜 정보를 포함하는 서비스에 대한 서비스 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 클라이언트 추출부는 상기 서버가 제공하는 서비스에 접속이 허용된 클라이언트만 접속하고 있는지 확인하기 위해 IP 정보를 포함하는 클라이언트에 대한 클라이언트 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 제어명령 추출부는 상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 통신 특성 추출부는 상기 서버와 상기 클라이언트에서 사용되는 상기 제어명령의 프로토콜에 대한 메시지 특성 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제1항에 있어서,
상기 통계 정보 추출부는 상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속 되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제8항에 있어서,
기 설정된 감시단위시간은 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 제8항에 있어서,
서비스 지속 여부는 기 설정된 단위 시간에 상기 서버와 클라이언트가 지속적으로 통신하는지를 판단하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치. - 서버 추출부에 의해, 네트워크 트래픽에서 사용되고 있는 서버를 추출하는 단계;
서비스 추출부에 의해, 상기 서버들이 제공하는 서비스를 추출하는 단계;
클라이언트 추출부에 의해, 추출된 서비스에 접속하는 클라이언트를 추출하는 단계;
제어명령 추출부에 의해, 상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계;
통신 특성 추출부에 의해, 상기 서버와 상기 클라이언트 간의 통신 특성 정보를 추출하는 단계; 및
통계 정보 추출부에 의해, 상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계;
를 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법. - 제11항에 있어서,
상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계 이후에,
추출된 서버, 서비스, 클라이언트, 제어 명령 정보, 통신 특성 정보 및 통계 정보를 토대로 화이트 리스트를 생성하는 단계;를 더 포함하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법. - 제11항에 있어서,
상기 서버와 상기 클라이언트에서 사용되는 제어 명령 정보를 추출하는 단계는,
상기 서버와 상기 클라이언트에서 사용되는 제어명령의 프로토콜이 DNP3 또는 ICCP 인 경우, DNP3 또는 ICCP에서 사용되는 제어 명령 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법. - 제11항에 있어서,
상기 서버와 상기 클라이언트 간의 통신 특성을 추출하는 단계는,
추출된 상기 제어명령의 프로토콜이 아닌 프로토콜을 추출하여 해당 프로토콜에 대한 메시지 특성 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법. - 제11항에 있어서,
상기 서버와 상기 클라이언트 간의 트래픽 통계 정보를 추출하는 단계는,
상기 서버와 상기 클라이언트 간의 서비스 지속 여부를 판단하여 서비스가 지속되는 경우 기 설정된 감시단위시간에 따른 트래픽 개수를 수집하여 트래픽 통계 정보를 추출하는 것을 특징으로 하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법. - 제15항에 있어서,
기 설정된 감시단위시간에 따라 수집되는 트래픽 개수는 감시단위시간 내 전송 bytes, 감시단위시간 내 전송 packet 개수 및 감시단위시간 내 동시 세션 개수 중 적어도 어느 하나를 포함하는 네트워크 트래픽을 통해 화이트 리스트를 생성하는 방법.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130105060A KR102044181B1 (ko) | 2013-09-02 | 2013-09-02 | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130105060A KR102044181B1 (ko) | 2013-09-02 | 2013-09-02 | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20150026345A true KR20150026345A (ko) | 2015-03-11 |
| KR102044181B1 KR102044181B1 (ko) | 2019-11-13 |
Family
ID=53022342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020130105060A KR102044181B1 (ko) | 2013-09-02 | 2013-09-02 | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102044181B1 (ko) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019186686A (ja) * | 2018-04-06 | 2019-10-24 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
| KR102097305B1 (ko) | 2018-12-28 | 2020-05-27 | (주)앤앤에스피 | 산업용 네트워크 EtherNet/IP-CIP 환경에서의 스마트 제조 네트워크 보안 감시 방법 및 시스템 |
| KR102484940B1 (ko) * | 2022-03-24 | 2023-01-06 | 온시큐리티 주식회사 | 패킷 순서정보를 이용한 산업제어시스템의 이상징후를 감지하는 방법 및 장치 |
| KR20230053756A (ko) * | 2021-10-14 | 2023-04-24 | (주)와치텍 | 사용자의 웹트래픽 분석을 통한 웹서비스 연결흐름 분석 및 토폴로지맵 구성 방법 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021107259A1 (ko) | 2019-11-29 | 2021-06-03 | (주) 앤앤에스피 | 네트워크 패킷 화이트리스트 연계 iacs 패킷 플로우 보안 감시 방법 및 시스템 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130034773A (ko) * | 2011-09-29 | 2013-04-08 | 한국전력공사 | 화이트리스트를 이용한 네트워크 감시 장치 및 방법 |
-
2013
- 2013-09-02 KR KR1020130105060A patent/KR102044181B1/ko active IP Right Grant
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20130034773A (ko) * | 2011-09-29 | 2013-04-08 | 한국전력공사 | 화이트리스트를 이용한 네트워크 감시 장치 및 방법 |
Non-Patent Citations (1)
| Title |
|---|
| 유형욱, 윤정한, 손태식, "제어시스템 보안을 위한 whitelist 기반 이상징후 탐지 기법", 한국통신학회논문지 제38권 8호 (2013.08.)* * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2019186686A (ja) * | 2018-04-06 | 2019-10-24 | 富士通株式会社 | ネットワーク監視装置,ネットワーク監視プログラム及びネットワーク監視方法 |
| US11233807B2 (en) | 2018-04-06 | 2022-01-25 | Fujitsu Limited | Effective detection of a communication apparatus performing an abnormal communication |
| KR102097305B1 (ko) | 2018-12-28 | 2020-05-27 | (주)앤앤에스피 | 산업용 네트워크 EtherNet/IP-CIP 환경에서의 스마트 제조 네트워크 보안 감시 방법 및 시스템 |
| KR20230053756A (ko) * | 2021-10-14 | 2023-04-24 | (주)와치텍 | 사용자의 웹트래픽 분석을 통한 웹서비스 연결흐름 분석 및 토폴로지맵 구성 방법 |
| KR102484940B1 (ko) * | 2022-03-24 | 2023-01-06 | 온시큐리티 주식회사 | 패킷 순서정보를 이용한 산업제어시스템의 이상징후를 감지하는 방법 및 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR102044181B1 (ko) | 2019-11-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| AU2003229456B2 (en) | Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function | |
| CN102045214B (zh) | 僵尸网络检测方法、装置和系统 | |
| CN105227383B (zh) | 一种网络拓扑排查的装置 | |
| KR101538709B1 (ko) | 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법 | |
| Yang et al. | Rule-based intrusion detection system for SCADA networks | |
| CN106506242B (zh) | 一种网络异常行为和流量监测的精确定位方法与系统 | |
| US20140298399A1 (en) | Apparatus and method for detecting anomality sign in controll system | |
| CN107819633B (zh) | 一种快速发现并处理网络故障的方法 | |
| RU2636640C2 (ru) | Способ защиты элементов виртуальных частных сетей связи от ddos-атак | |
| KR20150026345A (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
| CN110636075A (zh) | 一种运维管控、运维分析方法及装置 | |
| KR20150133507A (ko) | 제어 시스템의 이상행위 탐지 시스템 및 방법 | |
| Choi et al. | Detection of mobile botnet using VPN | |
| WO2005104476A1 (en) | Self-propagating program detector apparatus, method, signals and medium | |
| Kang et al. | Cyber threats and defence approaches in SCADA systems | |
| JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
| KR102129375B1 (ko) | 딥러닝 모델 기반 토르 사이트 액티브 핑거프린팅 시스템 및 방법 | |
| Sălăgean et al. | Iot applications based on mqtt protocol | |
| Siregar et al. | Implementation of network monitoring and packets capturing using random early detection (RED) method | |
| Waagsnes et al. | Intrusion Detection System Test Framework for SCADA Systems. | |
| US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
| Sayadi et al. | Detection of covert channels over ICMP protocol | |
| RU2531878C1 (ru) | Способ обнаружения компьютерных атак в информационно-телекоммуникационной сети | |
| KR20170127849A (ko) | 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템 | |
| CN115801441A (zh) | 一种列车通信网络的安全防护系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |