KR20150110065A - Method and System for Detecting Malware by Monitoring Executable File - Google Patents

Method and System for Detecting Malware by Monitoring Executable File Download PDF

Info

Publication number
KR20150110065A
KR20150110065A KR1020140033870A KR20140033870A KR20150110065A KR 20150110065 A KR20150110065 A KR 20150110065A KR 1020140033870 A KR1020140033870 A KR 1020140033870A KR 20140033870 A KR20140033870 A KR 20140033870A KR 20150110065 A KR20150110065 A KR 20150110065A
Authority
KR
South Korea
Prior art keywords
executable file
malicious code
network
control
information
Prior art date
Application number
KR1020140033870A
Other languages
Korean (ko)
Inventor
김병구
허영준
강동호
손선경
나중찬
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140033870A priority Critical patent/KR20150110065A/en
Publication of KR20150110065A publication Critical patent/KR20150110065A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The intranet protection system of a control system having a least one local control network and a control center according to an embodiment of present invention includes a malignant code including the control center; and an execute file monitoring agent which is located in the connection point of the local control network and the control center. The execute file monitoring agent generates execute file information from a packet exchanged between the local control network and the control center or the inside of the local control network, and transmits it to the malignant code. A malignant code detecting device can determine where the malignant code of a corresponding execute file is infected based on the received execute file information.

Description

실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템{Method and System for Detecting Malware by Monitoring Executable File}TECHNICAL FIELD [0001] The present invention relates to a malicious code detection method and system based on execution file monitoring,

본 발명은 제어시스템의 취약점을 이용한 사이버 공격으로부터 제어 시스템을 보호하기 위한 실행파일 모니터링 기반의 악성코드 탐지 기법에 관한 것으로, 가용성 유지가 가장 우선시되는 제어 시스템의 안전한 운영 환경을 제공하기 위한 것이다.The present invention relates to an execution file monitoring based malicious code detection technique for protecting a control system from a cyber attack using a vulnerability of a control system, and is intended to provide a safe operating environment of a control system in which availability is a top priority.

일반적으로 제어시스템은 센서, 구동기(actuator) 등 다양한 현장 기기와 이를 제어하는 PLC(Programmable Logic Controller), RTU(Remote Terminal Unit), DCS(Distributed Control System)과 같은 제어 설비를 포함한다. 제어시스템의 규모 및 목적에 따라 원격에 위치한 기기들을 중앙에서 효율적으로 감시하기 위해 HMI(Human-Machine Interface), 스카다(Supervisory Control And Data Acquisition, SCADA) 서버 등이 존재할 수 있으며, 제어시스템 간 통신은 과거 시리얼(serial)을 이용한 DNP(Distributed Network Protocol)나 Modbus와 같은 필드버스 프로토콜(fieldbus protocol) 이 주로 사용되었으나 점차 산업용 이더넷(Ethernet)과 같이 빠르고 효율적인 기술의 적용이 되고 있는 추세이다. 즉, IT 기술의 적용으로 제어시스템에 대한 접근이 용이해지고 편의성 또한 증가하였으나, 이로 인한 보안위협 또한 증가하고 있다. 게다가, 제어시스템의 보안에 대한 인식이 부족한 가운데 해커들의 제어시스템에 대한 관심의 증가는 제어시스템에 대한 보안위협을 꾸준히 증대시키고 있다.In general, the control system includes various field devices such as sensors and actuators, and control equipment such as PLC (Programmable Logic Controller), RTU (Remote Terminal Unit) and DCS (Distributed Control System). There may be a human-machine interface (HMI), a supervisory control and data acquisition (SCADA) server, etc. for efficiently monitoring the devices located remotely according to the size and purpose of the control system. The fieldbus protocol such as DNP (Distributed Network Protocol) or MODBUS using serial in the past has been mainly used, but the application of fast and efficient technology such as industrial Ethernet is gradually becoming a trend. In other words, the application of IT technology makes it easier to access the control system and convenience, but the security threat is also increasing. In addition, the growing interest in hackers' control systems, while lacking awareness of the security of the control system, is steadily increasing security threats to the control system.

일반적으로, 제어시스템은 하나의 독립된 제어 네트워크로 운영되거나, 복수 개의 수평적 도는 계층적 제어 네트워크가 연결되기도 하며, 필요에 따라 내부 업무 네트워크와 연동되어 운영되기도 한다. 내부 업무 네트워크 및 외부기관(외부 네트워크)과의 연계, 제어 네트워크 내 시스템 간 통신 등 많은 연계 접점을 가진 시스템이 운영되고 있지만, 이에 따른 보안정책을 수립하는 등의 관리는 쉽지 않다. 기본적으로 제어시스템은 외부 망과 분리하여 운영하는 것이 원칙이나, 많은 제어 시스템들이 외부와 연결된 내부 업무 망 또는 외부 기관과 연결되어 데이터를 송수신하고 있다. 이러한 네트워크 연계 구간에 정보보호시스템을 운영하더라도, 설정 부주의 등에 따라 비인가 접근이 가능할 수 있다. 또한, 제어시스템은 단일 네트워크가 아닌 다수의 서브(하위) 네트워크(설비 기기를 직접적으로 제어하는 시스템들로 이루어진 제어 네트워크)와 중앙 네트워크(여러 제어 네트워크를 통합 제어하는 스카다 네트워크 등)로 구성되는 경우가 많기 때문에, 제어망 내부의 한 시스템에서 발생한 장애나 침해가 전체 제어시스템으로 전이될 위험성이 크다. 즉, 특정 제어망 내로 침입한 해커 또는 악의적 내부자가 제어시스템의 제어명령이나 감시정보를 위조 또는?변조한다면, 물리적, 경제적으로 큰 피해는 물론, 사회적 혼란까지 야기할 수 있다.In general, a control system may be operated as a single independent control network, a plurality of horizontal or hierarchical control networks may be connected, or may be interworked with an internal business network as needed. The system has many connection points such as linkage with the internal business network, external organization (external network), and inter-system communication within the control network. However, it is not easy to manage security policies and so on. Basically, the control system is operated separately from the external network, but many control systems are connected to the external business network or external organization to transmit and receive data. Even if the information protection system is operated in such a network connection section, unauthorized access may be possible depending on the setting inattention. In addition, the control system is composed of a plurality of sub-networks (a control network consisting of systems that directly control equipment) and a central network (a Scada network that integrally controls a plurality of control networks) rather than a single network There is a great risk that a failure or an infringement in a system inside the control network will be transferred to the entire control system. That is, if a hacker or a malicious insider intruding into a specific control network falsifies or modulates a control command or monitoring information of the control system, it may cause not only physical damage and economic damage but also social confusion.

제어시스템을 타깃으로 한 스턱스넷(Stuxnet), 듀크(Duqu), 나이트드래곤(Night dragon), 플레임(Flame)과 같은 악성코드들은 이러한 경향을 잘 보여주고 있다. 여기에서, 2010년 6월에 발견된 최초의 제어시스템 전용 악성코드인 스턱스넷은 사이버 공격의 범위를 PC만이 아닌 PLC까지로 확장시킨 최초의 악성코드로써, 이란 나탄즈(Natanz)에 위치한 우라늄농축 원심분리기를 파괴하여 제어시스템 분야와 사이버 보안 분야에 경종을 울린 바 있다. 스턱스넷은 도 1에 도시된 것과 같이, 온라인/오프라인 상으로 전파가 모두 가능한 특징을 지니고 있으며, 윈도우즈 운영체제의 보안 취약점을 이용하거나 USB를 매개체로 하는 악성코드 전파 및 감염 기능을 지니고 있다. 특히, USB 메모리를 이용한 악성코드 전파는 일반적으로 인터넷과 분리하여 운영되는 제어시스템의 특성을 고려한 것으로써, 이러한 사이버 위협들로부터 제어시스템을 보호하기 위한 보안기술들이 요구된다. 그러나, 제어시스템은 기밀성을 중시하는 IT 시스템과 달리 가용성 유지가 가장 우선시되는 시스템이기 때문에, 가용성을 저해할 수 있는 소프트웨어를 제어시스템 내에 직접 설치하기는 현실적으로 매우 어렵다. 그러므로, 제어시스템에 직접 설치되어 운영되지 않는 형태의 네트워크 보안기술이 제어시스템 보안에 적합하다. 이러한 네트워크 보안기술로써, 제어시스템용 방화벽 기술, 단방향 자료전달 장치 기술, 제어시스템을 위한 침입탐지시스템 및 중앙 보안관리 시스템 기술 등이 연구, 개발되고 있다. 이외에도 기존 공격 시그니처(signature)를 탐지하는 방식 대신, 제어시스템의 정상적인 특성을 화이트리스트(Whitelist)로 정의하고, 이를 기반으로 한 보안감시를 제안하는 기법이 존재한다.Malicious codes such as Stuxnet, Duqu, Night dragon and Flame, which target control systems, show this tendency. Here, Stuxnet, the first control system malicious code found in June 2010, was the first malicious code to extend the range of cyber attacks not only to PCs but also to PLCs. It is the first malicious code in Natanz, Destroyed centrifuges and alarmed the field of control systems and cybersecurity. As shown in FIG. 1, Stuxnet has a feature capable of spreading both on-line and off-line, and has a malicious code propagation and infection function utilizing a security vulnerability of a Windows operating system or a USB medium. In particular, malicious code propagation using USB memory generally takes into consideration the characteristics of a control system operated separately from the Internet, and security technologies are required to protect the control system from such cyber threats. However, since the control system is a system in which availability is the highest priority, unlike an IT system that emphasizes confidentiality, it is practically difficult to directly install software that can impair availability in a control system. Therefore, a type of network security technology that is not installed and operated directly in the control system is suitable for security of the control system. As such network security technology, firewall technology for control system, unidirectional data transfer device technology, intrusion detection system for control system, and central security management system technology are studied and developed. In addition, there is a technique to define the normal characteristics of the control system as Whitelist instead of detecting the existing attack signature, and propose security monitoring based on this.

그러나, 이러한 기술들은 대부분 넓은 범위의 접근제어에 의존하는 방식이기 때문에, 잘못된 설정이나 기타 우회 경로를 통과한 악성코드 감염이나 전파 등을 탐지하고 차단하는 것에는 한계를 가질 수밖에 없다.However, since most of these techniques rely on a wide range of access controls, there is a limit to detecting and blocking malicious code infections or propagation that have gone through misconfiguration or other bypass paths.

결론적으로, 제어시스템의 가용성을 보장하면서 악성코드의 감염이나 전파 등을 효율적으로 탐지하고 대응하면서, 추가적으로 이러한 악성코드가 감염되고 전파된 경로를 추적하여 원천적으로 차단하는 기법이 요구된다.In conclusion, there is a need for a technique to efficiently detect and respond to malicious code infections and propagation while ensuring the availability of the control system, and additionally tracing the infected and propagated paths of these malicious codes to prevent them from originating.

본 발명은 이와 같은 문제점을 해결하기 위하여, 제어시스템의 가용성을 보장하면서 악성코드의 감염 및 전파를 탐지하고 대응하기 위한 기법을 제공하고자 한다. 보다 구체적으로, 본 발명의 여러 실시 예들은, 제어시스템 인트라넷 내에서 송수신되는 네트워크 패킷들을 기반으로 실행파일의 유통 여부를 모니터링 함으로써, 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공함으로써, 제어시스템에 대한 각종 악성코드 감염뿐 아니라 최초 배포 시스템까지도 효율적으로 탐지, 추적하고 대응할 수 있는 안전한 제어시스템 인트라넷 환경을 제공하고자 한다.In order to solve such a problem, the present invention provides a technique for detecting and responding to infection and propagation of a malicious code while ensuring the availability of a control system. More specifically, various embodiments of the present invention provide a malicious code detection technique based on executable file monitoring by monitoring the distribution of executable files based on network packets transmitted and received within the control system intranet, We intend to provide a secure control system intranet environment that can efficiently detect, track, and respond to not only various types of malicious code infections but even the first distribution system.

본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷 보호 시스템은, 상기 제어 센터에 포함되는 악성코드 탐지 장치; 및 상기 제어 센터와 상기 지역제어 네트워크의 연결 지점에 위치하는 실행파일 모니터링 에이전트를 포함하고, 상기 실행파일 모니터링 에이전트는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 상기 악성코드 탐지 장치로 전송하고, 상기 악성코드 탐지 장치는 상기 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단할 수 있다.An intranet protection system of a control system including a control center and at least one local control network according to an embodiment of the present invention includes: a malicious code detection device included in the control center; And an executable file monitoring agent located at a connection point between the control center and the local control network, the executable file monitoring agent executing from a packet exchanged in the local control network or between the control center and the local control network File information to the malicious code detection device, and the malicious code detection device can determine whether the execution file is infected with the malicious code based on the received execution file information.

또한 상기 제어 센터는 외부 네트워크로 연결되고, 상기 실행파일 모니터링 에이전트는 상기 제어 센터와 상기 외부 네트워크의 연결 지점에도 위치할 수 있다.The control center may be connected to an external network, and the execution file monitoring agent may be located at a connection point between the control center and the external network.

또한 상기 지역제어 네트워크는 상기 제어 시스템의 제어 설비 또는 제어 센서에 연결될 수 있다.The local control network may also be connected to a control facility or control sensor of the control system.

또한 상기 제어 센터 또는 상기 지역제어 네트워크는 HMI(Human Machine Interface) 장치를 포함할 수 있다.The control center or the local control network may also include an HMI (Human Machine Interface) device.

또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.The execution file monitoring agent may further include: A method for collecting packets transmitted to and from a network or transmitted and received within a network, searching for packets related to an executable file among the collected packets, identifying a session to which the associated packet belongs, combining packets included in the identified session The file can be extracted.

또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.The execution file information may include transmission / reception session information and identification information corresponding to the executable file.

또한 상기 세션 정보는, 프로토콜, 근원지 주소(SRC IP), 목적지 주소(DST IP), 근원지 포트, 및 목적지 포트를 포함하는 5-tuple 정보를 포함할 수 있다.Also, the session information may include 5-tuple information including a protocol, a source address (SRC IP), a destination address (DST IP), a source port, and a destination port.

또한 상기 식별 정보는, 상기 실행파일의 크기 및 상기 실행파일의 해쉬(hash) 값 중 적어도 하나를 포함할 수 있다.The identification information may include at least one of a size of the executable file and a hash value of the executable file.

상기 악성코드 탐지 장치는, 업데이트 등 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단하되, 특별한 경우로서, 데이터베이스에 미리 등록한 정보를 참조하여, 예를 들어, 인트라넷에서 파일 업데이트하는 경우 등에서 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 또는 외부 네트워크와 연동하여 파일 업데이트하는 경우 등에서 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.The malicious code detection device judges the execution file itself as a malicious code except for a special case such as an update. In a special case, when the file is updated in the intranet, for example, When the source analyzed in the session information of the execution file information is a self-update server located in the intranet, or when the file is updated in cooperation with an external network, the source is not an intranet internal device capable of normally updating through the external network, The device distributing the executable file may be blocked from the network except for the case where the information analyzed in the identification information of the executable file information is the identification information for the executable file classified as safe.

본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷을 악성코드로부터 보호하는 방법은, 악성코드 탐지 장치에서, 상기 제어센터와 상기 지역제어 네트워크의 연결 지점에 위치한 실행파일 모니터링 에이전트로부터 실행파일 정보를 수신하는 단계; 및 상기 실행파일 정보에 기초하여 상기 실행파일의 악성코드 감염 여부를 판단하는 단계를 포함할 수 있다. 상기 실행파일 정보는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷에 기초하여 생성될 수 있다.A method for protecting an intranet of a control system including a control center and at least one local control network from malicious code according to an embodiment of the present invention is characterized in that in a malicious code detection apparatus, Receiving executable file information from an executable file monitoring agent located in the executable file monitoring agent; And determining whether the execution file is infected with the malicious code based on the execution file information. The executable file information may be generated based on packets exchanged within the local control network or between the control center and the local control network.

또한 상기 방법은, 상기 실행파일이 악성코드에 감염된 것으로 판단되면, 상기 실행파일 정보에 기초하여 상기 실행파일을 배포한 장치를 네트워크에서 차단하는 단계를 더 포함할 수 있다.The method may further include, when it is determined that the executable file is infected with a malicious code, blocking the device that has distributed the executable file based on the executable file information in the network.

또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.The execution file information may include transmission / reception session information and identification information corresponding to the executable file.

또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.The executable file monitoring agent also collects packets entering or exiting the network or transmitted and received within the network, retrieving packets of the collected packets associated with the executable file, identifying the session to which the associated packet belongs, And extracts the executable file.

또한 상기 실행파일 모니터링 에이전트는, 상기 추출된 실행파일에 기초하여 세션 정보 및 식별 정보를 포함하는 해당 실행파일 정보를 생성하여, 상기 악성코트 탐지 장치로 전송할 수 있으며, 상기 악성코드 탐지 장치는, 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우 등 특별한 경우(업데이트 등)를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.The executable file monitoring agent may generate corresponding executable file information including session information and identification information based on the extracted executable file and may transmit the executable file information to the malicious coat detection apparatus, When the source analyzed in the session information of the executable file information is a self-update server located in the intranet, it is not an intranet internal device capable of normally updating through the external network, or the information analyzed in the identification information of the executable file information is The device distributing the executable file can be blocked from the network except for a special case (update, etc.) such as the case of identification information for an executable file classified as safe.

이와 같이 본 발명에서는 주요 기반시설 제어시스템에 대한 사이버테러 행위로 인하여 이상 행위를 유발할 수 있는 악성코드 감염 및 전파 시도를 신속하게 탐지할 수 있는 기술을 제공한다. 이는 제어시스템의 안전한 시스템 운영을 방해할 수 있는 침해 요소를 효율적으로 탐지하여 안정적인 제어시스템 운영을 가능하게 한다. 따라서, 본 발명은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공하고, 제어 시스템의 인트라넷 외부 및 내부로부터의 여러 보안 위협으로부터 제어 시스템의 서비스 신뢰성과 가용성 확보를 가능하게 하는 효과가 있다.As described above, the present invention provides a technology for rapidly detecting malicious code infections and propagation attempts that can cause anomalous behavior due to cyber terror action on the main infrastructure control system. This effectively detects the infringement factors that might hinder the safe operation of the control system and enables stable control system operation. Accordingly, the present invention provides a malicious code detection technique based on executable file monitoring for protecting a control system intranet, and provides a service reliability and availability of a control system from various security threats from the outside and inside of the intranet of the control system .

도 1은 제어 시스템을 타깃으로 하는 스턱스넷과 같은 악성코드의 전파 개념도를 나타낸다.
도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.
도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.
도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다.
도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.Fig. 1 shows a propagation concept diagram of a malicious code such as a Stuxnet which targets a control system.
2 is a conceptual diagram of an intranet protection system according to an embodiment of the present invention.
FIG. 3 illustrates a process of generating and delivering executable file information according to an embodiment of the present invention.
4 shows a malicious code detection method according to an embodiment of the present invention.
5 illustrates a malicious coat detection method according to another embodiment of the present invention.
6 illustrates a malicious coat detection method according to another embodiment of the present invention.
7 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.

이하, 첨부된 도면들을 참조하여 본 발명의 다양한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면들에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 즉, 하기의 설명에서는 본 발명의 실시 예에 따른 동작을 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않도록 생략될 것이라는 것을 유의하여야 한다.Various embodiments of the present invention will now be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted. In other words, it should be noted that only parts necessary for understanding the operation according to the embodiment of the present invention will be described, and descriptions of other parts will be omitted so as not to disturb the gist of the present invention.

도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.2 is a conceptual diagram of an intranet protection system according to an embodiment of the present invention.

도 2를 참조하면, 인트라넷 제어를 위한 제어 시스템 10은 제어 센터 11, 적어도 하나의 지역제어 네트워크 13, 및 지역제어 네트워크 13에 연결되는 제어 설비 또는 제어 센서 15를 포함할 수 있다.Referring to FIG. 2, the control system 10 for intranet control may include a control center 11, at least one local control network 13, and a control facility or control sensor 15 connected to the local control network 13.

제어센터 11은 HMI, 엔지니어링 워크스테이션(Engineering Workstation), 데이터 히스토리언 서버(data historian server), PC 등 기타 전자장치를 포함하는 스카다 네트워크 일 수 있다. 또한 제어센터 11은 본 발명의 일 실시 예에 따른 악성코드 탐지/추적 장치 100을 더 포함할 수 있다.The control center 11 may be a Scada network including an HMI, an engineering workstation, a data historian server, a PC, and other electronic devices. The control center 11 may further include a malicious code detection / tracking device 100 according to an embodiment of the present invention.

지역제어 네트워크 13은 제어 설비 또는 제어 센서 15를 직접적으로 제어하는 PLC, TRU, DCS 등과 같은 장비들, HMI, PC 등 기타 전자장치를 포함할 수 있다. 지역제어 네트워크 13은 그 규모나 기타 설정에 따라 제어센터에 포함된 HMI 콘솔과 같은 제어 콘솔이 포함될 수 있다.The local control network 13 may include devices such as PLC, TRU, DCS, etc. that directly control the control facility or control sensor 15, and other electronic devices such as HMI, PC, and the like. The local control network 13 may include a control console, such as an HMI console, included in the control center, depending on its size and other settings.

일반적인 제어 시스템 10은 인트라넷 외부의 네트워크 20에 대하여 독립된 인트라넷 시스템으로 구성될 수 있지만, 제어센터 11를 통해 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20에 연결될 수 있다. 본 발명의 변형된 실시 예에서, 제어 시스템 10은 지역제어 네트워크 13을 통해 외부 네트워크 20에 연결될 수도 있다.The general control system 10 may be configured as an independent intranet system for the network 20 outside the intranet, but may be connected to the external network 20, such as a business network or the Internet, via the control center 11. In a modified embodiment of the present invention, the control system 10 may be connected to the external network 20 via the local control network 13.

제어센터 11과 지역제어 네트워크 13의 연결 지점에는 본 발명의 일 실시 예에 따른 실행파일 모니터링 에이전트 200이 위치할 수 있다. 실행파일 모니터링 에이전트 200은 제어시스템의 인트라넷을 구성하는 네트워크 단위(제어센터, 지역제어 네트워크, 등)를 상호 연결하는 연결 지점에 위치할 수 있다. 예를 들어, 제어센터 11과 지역제어 네트워크 A를 연결하는 지점에는 실행파일 모니터링 에이전트 200A가, 제어센터 11과 지역제어 네트워크 B를 연결하는 지점에는 실행파일 모니터링 에이전트 200B가, 제어센터 11과 외부 네트워크 20을 연결하는 지점에는 실행파일 모니터링 에이전트 200E가 위치할 수 있다.At the connection point between the control center 11 and the local control network 13, the execution file monitoring agent 200 according to an embodiment of the present invention may be located. The executable file monitoring agent 200 can be located at a connection point interconnecting network units (control center, local control network, etc.) constituting the intranet of the control system. For example, an execution file monitoring agent 200A is connected to a point connecting the control center 11 and the local control network A, and an execution file monitoring agent 200B is connected to a control center 11 and an external network 20, the execution file monitoring agent 200E can be located.

실행파일 모니터링 에이전트 200은 제어센터 11과 지역제어 네트워크 13 사이에서 유통되는 실행파일에 대한 정보를 추출하여 악성코드 탐지 장치 100으로 전송한다. 실행파일 모니터링 에이전트 200은 또한, 하나의 단위 지역제어 네트워크 13 내부에서 유통되는 실행파일에 대한 정보를 추출할 수 있다. 이를 위해, 실행파일 모니터링 에이전트 200은 지역제어 네트워크 13을 구성하는 장치들의 연결 중심에 위치하거나, 구성 장치들의 데이터 송수신이 실행파일 모니터링 에이전트 200을 거치도록 할 수 있다.The executable file monitoring agent 200 extracts information on executable files distributed between the control center 11 and the local control network 13 and transmits the extracted information to the malicious code detection apparatus 100. The executable file monitoring agent 200 can also extract information about executable files distributed within one unit area control network 13. [ To this end, the executive file monitoring agent 200 may be located at the connection center of the devices constituting the local control network 13, or may allow data transmission and reception of the constituent devices to pass through the executable file monitoring agent 200.

악성코드 탐지 장치 100은 적어도 하나의 실행파일 모니터링 에이전트 200으로부터 수신된 실행파일 정보에 기초하여, 실행파일 정보에 대응되는 실행파일이 악성코드이거나, 악성코드에 감염되었는지 여부를 판단할 수 있다. 악성코드 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 실행파일 정보를 토대로 악성코드 감염 경로를 추적할 수 있다. 감염 경로 추적 결과, 만약 지역제어 네트워크 13에 포함된 장치가 악성코드 배포 장치로 판단되면(즉, 해당 장치에 연결된 USB나 외장하드 등을 통해 감염된 경우), 해당 장치를 지역제어 네트워크 13에서 격리시킬 수 있다. 만약 외부 네트워크 20으로부터 악성코드가 유입된 것으로 판단되면, 악성코드 탐지 장치 100은 실행파일 정보로부터 해당 악성코드와 관련된 실행파일을 배포한 IP (주소) 또는 포트(port)를 식별하고, 해당 IP 또는 해당 포트로부터의 패킷을 차단하거나 해당 장치의 접근을 격리시킬 수 있다.The malicious code detection apparatus 100 can determine whether the executable file corresponding to the executable file information is a malicious code or infected with a malicious code based on the executable file information received from the at least one executable file monitoring agent 200. [ If the malicious code detection apparatus 100 determines that the executable file is a malicious code, the malicious code detection apparatus 100 can trace the malicious code infection path based on the executable file information. As a result of the infection path tracing, if the device included in the local control network 13 is determined to be a malicious code distribution device (that is, if it is infected through a USB or external hard disk connected to the device) . If it is determined that a malicious code has been input from the external network 20, the malicious code detection apparatus 100 identifies an IP (address) or a port to which an executable file related to the malicious code is distributed from the executable file information, It can block packets from the port or isolate access to the device.

본 명세서에서, 인트라넷 보호 시스템, 또는 보호 시스템이라 하면, 악성코드 탐지 장치 100과 실행파일 모니터링 에이전트 200을 포함하는 개념으로 이해될 수 있다. 그러나 일부 변형된 실시 예에서, 인트라넷 보호 시스템, 악성코드 탐지(및/또는 추적) 시스템(또는 장치)라 하면, 단순히 악성코드 탐지 장치 100을 의미할 수 있다.In the present specification, an intranet protection system or a protection system can be understood as a concept including the malicious code detection apparatus 100 and the executable file monitoring agent 200. However, in some modified embodiments, an intranet protection system, malicious code detection (and / or tracking) system (or device) may simply refer to malicious code detection device 100.

도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.FIG. 3 illustrates a process of generating and delivering executable file information according to an embodiment of the present invention.

도 3을 참조하면, 실행파일 모니터링 에이전트 200은 네트워크와 네트워크 사이, 또는 네트워크 내부에서 교환되는 패킷(packets)을 수집할 수 있다. 패킷은 일반 제어 네트워크 패킷과 실행파일과 관련된 패킷이 존재할 수 있다. 실행파일 모니터링 에이전트 200은 네트워크 상의 패킷을 모니터링 하여, 해당 에이전트 200이 위치한 네트워크로 출입하거나 해당 네트워크 내부에서 송수신되는 패킷을 수집하고, 실행파일과 관련된 패킷들이 가지는 공통된 특성, 예를 들어 윈도우 운영체제의 실행파일의 경우 DOS 헤더 측 2바이트 문자열이 MZ(0x4D5A)로 시작한다거나, 오프셋(offset)이 60인 지점부터 4바이트는 PE00(0x50450000)인 문자열로 시작하는 것과 같은 점에 기초하여 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 계속해서 연관된 패킷이 속한 세션(session)을 선별하여, 해당 세션에 속한 패킷들을 조합하여 실행파일을 추출할 수 있다. 실행파일 모니터링 에이전트 200은 이와 같이 추출된 실행파일로부터 세션 정보와 실행파일 식별 정보를 포함하는 실행파일 정보를 생성하여, 악성코드 탐지/추적 시스템 100으로 전송할 수 있다.Referring to FIG. 3, the executable file monitoring agent 200 may collect packets exchanged between a network and a network or inside a network. The packet may include a general control network packet and a packet associated with the executable file. The executable file monitoring agent 200 monitors packets on the network and collects packets transmitted to and from the network where the agent 200 is located or transmitted and receives the common characteristics of the packets related to the executable file, File, a DOS header side 2-byte string begins with MZ (0x4D5A), or 4 bytes from offset 60 start with a string of PE00 (0x50450000) Can be searched. The agent 200 can continuously select a session to which the associated packet belongs, and extract the executable file by combining the packets belonging to the session. The executable file monitoring agent 200 can generate executable file information including the session information and the executable file identification information from the extracted executable file and transmit the executable file information to the malicious code detection / tracking system 100.

세션 정보는 프로토콜(Protocol), 근원지 주소(SRC IP; Source IP), 목적지 주소(DST IP; Destination IP), 근원지 포트(SRC Port), 및 목적지 포트(DST Port)를 포함하는 5-tuple 정보를 포함할 수 있다. 식별 정보는 추출된 실행파일의 크기(size), 실행파일 콘텐츠 정보를 기반으로 한 해쉬(hash) 값, 및 기타 식별 가능한 정보를 포함할 수 있다.The session information includes 5-tuple information including a protocol, a source address (SRC IP), a destination address (DST IP), a source port (SRC Port), and a destination port (DST Port) . The identification information may include the size (size) of the extracted executable file, a hash value based on executable file content information, and other identifiable information.

악성코드 탐지 장치 100은 수신된 실행파일 정보를 데이터베이스에 저장 관리하고 이에 기초하여 해당 실행파일 정보에 대한 분석을 수행할 수 있다. 악성코드 탐지 장치 100은 인트라넷 내부에 위치한 자체 업데이트 서버 주소나(예, 외부 네트워크가 없이 인트라넷에서 파일 업데이트하는 경우), 제어 시스템 10에 포함되는 내부 장치들에 대한 주소 정보(예, 외부 네트워크와 연동하여 파일 업데이트하는 경우), 또는 안전한 것으로 분류된 실행파일에 대한 식별 정보(예, 인트라넷, 외부 네트워크와 연동에 공통)를 데이터베이스에 미리 저장하거나 등록하고, 미리 저장되거나 등록된 데이터와 실행파일 정보를 비교하여 악성코드 감염 여부를 판단할 수 있다. 예를 들어, 악성코드 탐지 장치 100은 위와 같이 업데이트 등을 위하여 등록된 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단할 수 있으며, 위와 같이 미리 등록된 데이터를 참조하여 실행파일 정보에 포함된 근원지 주소(SRC IP)가 인트라넷 내부에 위치한 자체 업데이트 서버의 주소인 경우이거나 인트라넷 내부 장치의 주소가 아닌 경우(다만, 이 경우는 제어 센터 11과 같은 스카다 네트워크에 포함된 업무용 PC나 기타 작업용 서버에서 외부 네트워크 20을 통한 정상적인 업데이트가 가능하다고 판단되는 경우), 또는 수신된 실행파일 정보가 안전한 실행파일에 대한 것으로 판단되는 경우에는 악성코드로 탐지되지 않을 수 있다. 악성코드 탐지 장치 100은 세션 정보를 활용하여, 1차적으로 장치가 감염된 경우뿐만 아니라, 2차 또는 3차 등으로 타 시스템/장치에 연쇄적으로 악성코드가 전파된 경우에도 최초 감염 시스템을 파악할 수 있다.The malicious code detection apparatus 100 can store the received executable file information in a database and perform analysis on the executable file information based on the managed executable file information. The malicious code detection apparatus 100 includes a self update server address located in the intranet (e.g., when updating a file on an intranet without an external network), address information on internal devices included in the control system 10 (e.g., (For example, updating a file), or identification information about an executable file classified as safe (for example, common to an intranet or an external network) in advance in a database and registering previously registered or registered data and executable file information It is possible to judge whether the malicious code is infected or not. For example, the malicious code detection apparatus 100 can determine the malicious code itself as the malicious code except for the special cases registered for updating as described above. The malicious code detection apparatus 100 refers to the data registered in advance as described above, (SRC IP) is the address of a self-update server located inside the intranet, or is not the address of an intranet internal device (except in this case, for business PCs or other workstations contained in a Scada network such as Control Center 11 Or when it is determined that the server can normally update via the external network 20), or if the received executable file information is judged to be a secure executable file, malicious code may not be detected. The malicious code detection apparatus 100 can use the session information to identify the first infected system even when the malicious code is transmitted to other systems / devices in a sequential manner not only in the case where the apparatus is infected first, but also in the second or third order have.

도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다. 도 4는 USB나 외장하드, 기타 우회 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 여기에서 우회 경로란, 제어 시스템 인트라넷에 연결된 공식적인 외부 네트워크 20과의 접점을 이용하지 않는 접근을 의미한다.4 shows a malicious code detection method according to an embodiment of the present invention. 4 shows malicious code infections and propagation modes into the control center 11 via USB, external hard disks, and other bypass paths. Here, the bypass route means an access without using the contact with the official external network 20 connected to the control system intranet.

도 4에 도시된 예시에서는, 제어 센터 11에 포함된 HMI 장치 400이 USB 또는 기타 우회 경로를 통해서 악성코드에 감염된 후, 제어 센터 11의 다른 장치 401, 지역제어 네트워크 A에 위치한 PLC 장치 402, 지역제어 네트워크 B에 위치한 PLC 장치 403으로 악성코드의 전파를 시도한다.4, after the HMI device 400 included in the control center 11 is infected with a malicious code through a USB or other detour path, the other device 401 of the control center 11, the PLC device 402 located in the local control network A, And attempts to spread the malicious code to the PLC device 403 located in the control network B. [

본 발명의 일 실시 예에 따르면, 이와 같은 악성코드 전파 시도는 각 네트워크의 연계 접점에서 실행파일을 모니터링 중인 실행파일 모니터링 에이전트 200A, 200B, 200E에 의해서 악성코드 탐지 장치 100으로 전달된다. 즉, HMI 장치 400에서 제어 센터 11 내부의 다른 장치 401로의 전파는 제어 센터 11 내부를 모니터링 하는 에이전트 200E에 의해서, 지역제어 네트워크 A의 PLC 402로의 전파는 에이전트 200A에 의해서, 지역제어 네트워크 B의 PLC 403으로의 전파는 에이전트 200B에 의해서, 각각의 경우와 관련된 실행파일 정보가 제어 센터 11 내부에 위치한 악성코드 탐지 장치 100으로 전달될 수 있다.According to an exemplary embodiment of the present invention, the malicious code propagation attempt is transmitted to the malicious code detection apparatus 100 by the execution file monitoring agents 200A, 200B, and 200E that are monitoring the execution file at the connection points of the respective networks. That is, propagation from the HMI device 400 to another device 401 inside the control center 11 is performed by the agent 200E monitoring the inside of the control center 11, the propagation of the local control network A to the PLC 402 by the agent 200A, Propagation to 403 may be carried out by the agent 200B to the malicious code detection device 100 in which the executable file information associated with each case is located within the control center 11. [

악성코드 탐지 장치 100은 전달받은 실행파일 정보로부터 악성코드의 전파를 탐지할 수 있고, 감염 시스템, 즉 HMI 장치 400의 격리 등의 대응 조치를 수행할 수 있다. 만약 도 4에 도시된 예시에서, 지역제어 A의 PLC 402가 지역제어 B의 PLC 403을 감염시키더라도, 악성코드 탐지 장치 100은 실행파일 모니터링 에이전트 200B로부터 수신된 세션 정보 및 실행파일 식별 정보에 기초하여, 위와 같이 데이터베이스에 저장 관리되는 데이터를 참조해 최초에 감염된 장치가 제어 센터 11에 위치한 HMI 장치 400이라는 것을 추적할 수 있다.The malicious code detection apparatus 100 can detect the propagation of the malicious code from the received executable file information and can take countermeasures such as isolation of the infecting system, that is, the HMI device 400. 4, even if the PLC 402 of the local control A infects the PLC 403 of the local control B, the malicious code detection apparatus 100 can detect the malicious code based on the session information and executable file identification information received from the executable file monitoring agent 200B The data that is stored and managed in the database can be referred to and the first infected device can be tracked to be the HMI device 400 located in the control center 11. [

도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 5는 USB 또는 기타 우회 경로를 통한 지역제어 네트워크 A 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 이하의 설명에서 전술한 내용과 중복되는 내용은 생략한다.5 illustrates a malicious coat detection method according to another embodiment of the present invention. Figure 5 shows the malware infection and propagation mode into the local control network A via USB or other bypass path. In the following description, the contents overlapping with those described above will be omitted.

도 5에 도시된 예시는, 지역제어 네트워크 A의 특정 장치 500이 USB 및 기타 우회 경로를 통해 악성코드에 감염된 후, 동일 네트워크 내의 다른 장치 501 또는 다른 지역제어 네트워크(네트워크 B)의 장치 502, 또는 제어 센터 내의 장치 503으로 악성코드의 전파를 시도하는 경우를 나타낸다. 이와 같은 악성코드의 전파 시도는 지역제어 네트워크 A의 연계 접점에 위치한 실행파일 모니터링 에이전트 200A 및 지역제어 B의 연계 접점에 위치한 실행파일 모니터링 에이전트 200B에 의해서 악성코드 탐지 장치 100으로 전달되며, 이를 통해서 악성코드 탐지 및 추적이 이루어지게 된다.The example shown in FIG. 5 shows that after a particular device 500 in the local control network A has been infected with malicious code through USB and other detour paths, the device 502 of another device 501 in the same network or another local control network (network B) And the malicious code is attempted to be transmitted to the device 503 in the control center. Such a malicious code propagation attempt is transmitted to the malicious code detection apparatus 100 by the execution file monitoring agent 200A located at the contact point of the local control network A and the execution file monitoring agent 200B located at the contact point of the local control B, Code detection and tracking will occur.

도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 6은 정상적인 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 도 6에는 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20을 통해 악성코드가 유입되는 예시가 도시된다.6 illustrates a malicious coat detection method according to another embodiment of the present invention. 6 shows the malicious code infection and propagation mode into the control center 11 through the normal path. 6 shows an example of a malicious code inflow through an external network 20 such as a business network or the Internet.

일반적으로 인터넷과 같은 외부 네트워크 20과 직접 연결된 접점에는 다양한 네트워크 보안장비(예를 들어, 방화벽, 침입탐지시스템 등)가 설치되어 있는 경우가 많지만, 이에 대한 설정 오류 또는 일반적인 웹 서비스와 같은 오픈된 프로토콜을 이용한 침해 행위가 이루어질 수 있다. 다시 말해서, 이와 같은 보안 취약점을 이용하여 외부 네트워크 20과 직접적으로 연결된 스카다 네트워크와 같은 제어 센터의 시스템/장치가 공격 대상이 될 수 있다. 따라서, 도 6에 도시된 것과 같이 제어 센터 11 내 특정 시스템 600이 정상적인 경로를 통해서 감염된 이후에는, 도 4 또는 5에서 설명한 것과 동일/유사한 형태로 악성코드가 전파될 수 이다. 또한, 이에 대한 탐지 방식 또한 전술한 설명으로 대체될 수 있다. 다만 USB 및 기타 우회경로를 통한 악성코드 감염 및 전파 형태의 경우에는 최초의 감염 시스템까지 추적할 수 있는 것에 반해, 정상적인 경로를 통한 감염 및 전파 형태의 경우에는 제어시스템 인트라넷 외부의 침입 IP까지 추적하는 것이 가능하다. 즉, 이를 통해서 기 설치된 네트워크 보안장비들의 보안 설정에 도움을 주는 것은 물론, 해당 공격 IP에 대한 적극적인 대응까지 가능하다. 부연 설명하면, 최초에 외부 네트워크 20으로부터 유입되는 실행파일도 실행파일 모니터링 에이전트 200E에 의해 모니터링 되지만, 해당 실행 파일이 악성코드라고 판단되지 않을 수도 있다. 이는 정상적인 업데이트가 외부 네트워크 20을 통해 이루어질 수도 있기 때문이다. 다만, 해당 시스템 600으로부터 다른 시스템/장치 601, 602, 603 등으로 실행파일의 전파가 시작되면 악성코드 탐지 장치 100은 해당 실행파일을 악성코드로 판단하고, 최초 외부 침입 IP (주소)를 추적할 수 있다.In general, various network security devices (eg, firewalls, intrusion detection systems, and the like) are installed in the contact points directly connected to the external network 20 such as the Internet. However, Can be used. In other words, a system / device of a control center such as a Scada network directly connected to the external network 20 can be attacked by using such a security vulnerability. Accordingly, after the specific system 600 in the control center 11 is infected through the normal path as shown in Fig. 6, the malicious code may be propagated in the same / similar form to that described in Fig. In addition, the detection method therefor can also be replaced with the above description. However, in case of malicious code infection and propagation through USB and other bypass path, it is possible to trace to the first infection system. In case of infection and propagation through normal path, it also tracks the intrusion IP outside the control system intranet It is possible. In other words, it helps security setting of pre-installed network security equipment, and it is possible to actively respond to the attack IP. In other words, although an executable file initially received from the external network 20 is also monitored by the executable file monitoring agent 200E, the executable file may not be judged to be a malicious code. This is because a normal update may be made via the external network 20. However, when the execution of the executable file is started from the system 600 to another system / device 601, 602, 603, etc., the malicious code detection apparatus 100 judges the executable file as a malicious code and tracks the first external intrusion IP .

도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.7 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.

도 7을 참조하면, S710에서 실행파일 모니터링 에이전트 200은 제어 시스템 10을 구성하거나 제어 시스템 10과 연결된 네트워크에서 송/수신되는 실행파일을 모니터링 한다. 에이전트 200은 네트워크로부터 송/수신되는 데이터 패킷을 수집하고, 이로부터 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 실행파일과 연관된 패킷이 속한 세션을 식별하고, 식별된 세션에 포함되는 패킷을 조합하여 실행파일을 추출할 수 있다. 에이전트 200은 추출된 실행파일에 기초하여 실행파일 정보를 생성하고(S720), S730에서 생성된 실행파일 정보를 악성코드 탐지 장치 100으로 전송할 수 있다. 악성코드 탐지 장치 100은 에이전트 200으로부터 실행파일 정보를 수신하면, S740 에서 실행파일 정보에 기초하여 실행파일 정보가 지시하는 실행파일이 악성코드인지(또는 악성코드에 감염되었는지) 여부를 판단할 수 있다. S750에서, 악성코트 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 악성코드에 감염되거나, 악성코드를 최초에 유포한 장치를 해당 장치가 속한 네트워크로부터 격리(예를 들어, 네트워크 연결을 해제)시킬 수 있다.Referring to FIG. 7, in step S710, the executable file monitoring agent 200 configures the control system 10 or monitors an executable file transmitted / received in the network connected to the control system 10. [ The agent 200 may collect data packets sent and received from the network and retrieve packets associated with the executable file therefrom. The agent 200 can identify the session to which the packet associated with the executable file belongs and extract the executable file by combining the packets included in the identified session. The agent 200 generates executable file information based on the extracted executable file (S720), and can transmit the executable file information generated in S730 to the malicious code detection apparatus 100. [ Upon receiving the executable file information from the agent 200, the malicious code detection apparatus 100 can determine whether the executable file indicated by the executable file information is a malicious code (or infected with a malicious code) based on the executable file information in S740 . In S750, when malicious code detection device 100 judges that an executable file is malicious code, it infects malicious code or isolates a device that originally distributed malicious code from the network to which the device belongs (for example, disconnects network connection) .

상기와 같은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법은 제어시스템의 가용성을 최대한 보장하면서 효과적인 악성코드 탐지 기법을 제공함으로써, 제어시스템의 안정적인 운영을 침해할 수 있는 사이버테러의 위협에 대응할 수 있도록 도와준다. 또한, 최초 감염 및 전파 지점을 정확하게 찾아냄으로써, 제어 인트라넷 내부의 효율적인 보안대책 수립을 가능케 한다. 무엇보다도, 네트워크 패킷을 이용한 실행파일 모니터링 기반의 악성코드 탐지 기법은 기 알려진 악성코드 이외에 새롭게 나타날 수 있는 여러 종류의 악성코드들에 대해서도 쉽게 대응할 수 있다는 장점을 갖는다.The malicious code detection method based on executable file monitoring for the control system intranet protection as described above provides an effective malicious code detection technique while maximizing the availability of the control system, thereby preventing the threat of cyber terrorism . It also enables the establishment of effective security measures within the control intranet by accurately detecting the initial infection and propagation points. Above all, malicious code detection based on executable file monitoring using network packets has an advantage in that it can easily respond to various kinds of malicious codes that may appear in addition to known malicious codes.

이상 본 명세서를 통해 개시된 모든 실시 예들과 조건부 예시들은, 본 발명의 기술 분야에서 통상의 지식을 가진 당업자가 독자가 본 발명의 원리와 개념을 이해하도록 돕기 위한 의도로 기술된 것으로, 당업자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It should be noted that all embodiments and conditional examples disclosed herein are intended to assist the reader in understanding the principles and concepts of the present invention by those of ordinary skill in the art, It will be understood that the invention may be embodied in various other forms without departing from the spirit or essential characteristics thereof. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.

Claims (1)

제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷 보호 시스템에 있어서,
상기 제어 센터에 포함되는 악성코드 탐지 장치; 및
상기 제어 센터와 상기 지역제어 네트워크의 연결 지점에 위치하는 실행파일 모니터링 에이전트를 포함하고,
상기 실행파일 모니터링 에이전트는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 상기 악성코드 탐지 장치로 전송하고,
상기 악성코드 탐지 장치는 상기 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단하는 것을 특징으로 하는 보호 시스템.1. An intranet protection system of a control system comprising a control center and at least one local control network,
A malicious code detection device included in the control center; And
And an executable file monitoring agent located at a connection point between the control center and the local control network,
The executable file monitoring agent generates executable file information from a packet exchanged in the local control network or between the control center and the local control network and transmits the executable file information to the malicious code detection apparatus,
Wherein the malicious code detection device determines whether the execution file is infected with a malicious code based on the received execution file information.
KR1020140033870A 2014-03-24 2014-03-24 Method and System for Detecting Malware by Monitoring Executable File KR20150110065A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140033870A KR20150110065A (en) 2014-03-24 2014-03-24 Method and System for Detecting Malware by Monitoring Executable File

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140033870A KR20150110065A (en) 2014-03-24 2014-03-24 Method and System for Detecting Malware by Monitoring Executable File

Publications (1)

Publication Number Publication Date
KR20150110065A true KR20150110065A (en) 2015-10-02

Family

ID=54341282

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140033870A KR20150110065A (en) 2014-03-24 2014-03-24 Method and System for Detecting Malware by Monitoring Executable File

Country Status (1)

Country Link
KR (1) KR20150110065A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180086917A (en) 2017-01-24 2018-08-01 한국전자통신연구원 Apparatus and method for detecting malicious file based on network
KR20190048605A (en) 2017-10-31 2019-05-09 삼성에스디에스 주식회사 Method for classifying based on machine-learning and Apparatus thereof
KR20200051396A (en) * 2018-11-05 2020-05-13 한국전자통신연구원 Apparatus and method for detecting abnormal status
CN117113352A (en) * 2023-10-25 2023-11-24 西安热工研究院有限公司 Method, system, equipment and medium for detecting malicious executable file of DCS upper computer

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180086917A (en) 2017-01-24 2018-08-01 한국전자통신연구원 Apparatus and method for detecting malicious file based on network
KR20190048605A (en) 2017-10-31 2019-05-09 삼성에스디에스 주식회사 Method for classifying based on machine-learning and Apparatus thereof
KR20200051396A (en) * 2018-11-05 2020-05-13 한국전자통신연구원 Apparatus and method for detecting abnormal status
CN117113352A (en) * 2023-10-25 2023-11-24 西安热工研究院有限公司 Method, system, equipment and medium for detecting malicious executable file of DCS upper computer
CN117113352B (en) * 2023-10-25 2024-02-06 西安热工研究院有限公司 Method, system, equipment and medium for detecting malicious executable file of DCS upper computer

Similar Documents

Publication Publication Date Title
US10104120B2 (en) Command and control cyber vaccine
EP3725054B1 (en) Contextual risk monitoring
Zhou et al. A fog computing based approach to DDoS mitigation in IIoT systems
US10362057B1 (en) Enterprise DNS analysis
CN110495138B (en) Industrial control system and monitoring method for network security thereof
US11349867B2 (en) Rogue device detection including mac address spoofing detection
EP3289476B1 (en) Computer network security system
KR101455167B1 (en) Network switch based on whitelist
US20170289191A1 (en) Infiltration Detection and Network Rerouting
EP3987421B1 (en) Adaptive scanning
US20180063191A1 (en) System and method for using a virtual honeypot in an industrial automation system and cloud connector
US20160094517A1 (en) Apparatus and method for blocking abnormal communication
Genge et al. Experimental assessment of network design approaches for protecting industrial control systems
US10924510B2 (en) Method and system for a distributed early attack warning platform (DEAWP)
EP2903238A2 (en) A router-based honeypot for detecting advanced persistent threats
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
KR20150110065A (en) Method and System for Detecting Malware by Monitoring Executable File
Kang et al. Cyber threats and defence approaches in SCADA systems
KR101487476B1 (en) Method and apparatus to detect malicious domain
Kumar et al. Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems
Kang et al. Whitelists based multiple filtering techniques in SCADA sensor networks
US9298175B2 (en) Method for detecting abnormal traffic on control system protocol
Kang et al. Whitelist generation technique for industrial firewall in SCADA networks
KR20090113745A (en) Cyber attack traceback system by using spy-bot agent, and method thereof
Bartman et al. An introduction to applying network intrusion detection for industrial control systems

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination