KR20150110065A - Method and System for Detecting Malware by Monitoring Executable File - Google Patents
Method and System for Detecting Malware by Monitoring Executable File Download PDFInfo
- Publication number
- KR20150110065A KR20150110065A KR1020140033870A KR20140033870A KR20150110065A KR 20150110065 A KR20150110065 A KR 20150110065A KR 1020140033870 A KR1020140033870 A KR 1020140033870A KR 20140033870 A KR20140033870 A KR 20140033870A KR 20150110065 A KR20150110065 A KR 20150110065A
- Authority
- KR
- South Korea
- Prior art keywords
- executable file
- malicious code
- network
- control
- information
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Description
본 발명은 제어시스템의 취약점을 이용한 사이버 공격으로부터 제어 시스템을 보호하기 위한 실행파일 모니터링 기반의 악성코드 탐지 기법에 관한 것으로, 가용성 유지가 가장 우선시되는 제어 시스템의 안전한 운영 환경을 제공하기 위한 것이다.The present invention relates to an execution file monitoring based malicious code detection technique for protecting a control system from a cyber attack using a vulnerability of a control system, and is intended to provide a safe operating environment of a control system in which availability is a top priority.
일반적으로 제어시스템은 센서, 구동기(actuator) 등 다양한 현장 기기와 이를 제어하는 PLC(Programmable Logic Controller), RTU(Remote Terminal Unit), DCS(Distributed Control System)과 같은 제어 설비를 포함한다. 제어시스템의 규모 및 목적에 따라 원격에 위치한 기기들을 중앙에서 효율적으로 감시하기 위해 HMI(Human-Machine Interface), 스카다(Supervisory Control And Data Acquisition, SCADA) 서버 등이 존재할 수 있으며, 제어시스템 간 통신은 과거 시리얼(serial)을 이용한 DNP(Distributed Network Protocol)나 Modbus와 같은 필드버스 프로토콜(fieldbus protocol) 이 주로 사용되었으나 점차 산업용 이더넷(Ethernet)과 같이 빠르고 효율적인 기술의 적용이 되고 있는 추세이다. 즉, IT 기술의 적용으로 제어시스템에 대한 접근이 용이해지고 편의성 또한 증가하였으나, 이로 인한 보안위협 또한 증가하고 있다. 게다가, 제어시스템의 보안에 대한 인식이 부족한 가운데 해커들의 제어시스템에 대한 관심의 증가는 제어시스템에 대한 보안위협을 꾸준히 증대시키고 있다.In general, the control system includes various field devices such as sensors and actuators, and control equipment such as PLC (Programmable Logic Controller), RTU (Remote Terminal Unit) and DCS (Distributed Control System). There may be a human-machine interface (HMI), a supervisory control and data acquisition (SCADA) server, etc. for efficiently monitoring the devices located remotely according to the size and purpose of the control system. The fieldbus protocol such as DNP (Distributed Network Protocol) or MODBUS using serial in the past has been mainly used, but the application of fast and efficient technology such as industrial Ethernet is gradually becoming a trend. In other words, the application of IT technology makes it easier to access the control system and convenience, but the security threat is also increasing. In addition, the growing interest in hackers' control systems, while lacking awareness of the security of the control system, is steadily increasing security threats to the control system.
일반적으로, 제어시스템은 하나의 독립된 제어 네트워크로 운영되거나, 복수 개의 수평적 도는 계층적 제어 네트워크가 연결되기도 하며, 필요에 따라 내부 업무 네트워크와 연동되어 운영되기도 한다. 내부 업무 네트워크 및 외부기관(외부 네트워크)과의 연계, 제어 네트워크 내 시스템 간 통신 등 많은 연계 접점을 가진 시스템이 운영되고 있지만, 이에 따른 보안정책을 수립하는 등의 관리는 쉽지 않다. 기본적으로 제어시스템은 외부 망과 분리하여 운영하는 것이 원칙이나, 많은 제어 시스템들이 외부와 연결된 내부 업무 망 또는 외부 기관과 연결되어 데이터를 송수신하고 있다. 이러한 네트워크 연계 구간에 정보보호시스템을 운영하더라도, 설정 부주의 등에 따라 비인가 접근이 가능할 수 있다. 또한, 제어시스템은 단일 네트워크가 아닌 다수의 서브(하위) 네트워크(설비 기기를 직접적으로 제어하는 시스템들로 이루어진 제어 네트워크)와 중앙 네트워크(여러 제어 네트워크를 통합 제어하는 스카다 네트워크 등)로 구성되는 경우가 많기 때문에, 제어망 내부의 한 시스템에서 발생한 장애나 침해가 전체 제어시스템으로 전이될 위험성이 크다. 즉, 특정 제어망 내로 침입한 해커 또는 악의적 내부자가 제어시스템의 제어명령이나 감시정보를 위조 또는?변조한다면, 물리적, 경제적으로 큰 피해는 물론, 사회적 혼란까지 야기할 수 있다.In general, a control system may be operated as a single independent control network, a plurality of horizontal or hierarchical control networks may be connected, or may be interworked with an internal business network as needed. The system has many connection points such as linkage with the internal business network, external organization (external network), and inter-system communication within the control network. However, it is not easy to manage security policies and so on. Basically, the control system is operated separately from the external network, but many control systems are connected to the external business network or external organization to transmit and receive data. Even if the information protection system is operated in such a network connection section, unauthorized access may be possible depending on the setting inattention. In addition, the control system is composed of a plurality of sub-networks (a control network consisting of systems that directly control equipment) and a central network (a Scada network that integrally controls a plurality of control networks) rather than a single network There is a great risk that a failure or an infringement in a system inside the control network will be transferred to the entire control system. That is, if a hacker or a malicious insider intruding into a specific control network falsifies or modulates a control command or monitoring information of the control system, it may cause not only physical damage and economic damage but also social confusion.
제어시스템을 타깃으로 한 스턱스넷(Stuxnet), 듀크(Duqu), 나이트드래곤(Night dragon), 플레임(Flame)과 같은 악성코드들은 이러한 경향을 잘 보여주고 있다. 여기에서, 2010년 6월에 발견된 최초의 제어시스템 전용 악성코드인 스턱스넷은 사이버 공격의 범위를 PC만이 아닌 PLC까지로 확장시킨 최초의 악성코드로써, 이란 나탄즈(Natanz)에 위치한 우라늄농축 원심분리기를 파괴하여 제어시스템 분야와 사이버 보안 분야에 경종을 울린 바 있다. 스턱스넷은 도 1에 도시된 것과 같이, 온라인/오프라인 상으로 전파가 모두 가능한 특징을 지니고 있으며, 윈도우즈 운영체제의 보안 취약점을 이용하거나 USB를 매개체로 하는 악성코드 전파 및 감염 기능을 지니고 있다. 특히, USB 메모리를 이용한 악성코드 전파는 일반적으로 인터넷과 분리하여 운영되는 제어시스템의 특성을 고려한 것으로써, 이러한 사이버 위협들로부터 제어시스템을 보호하기 위한 보안기술들이 요구된다. 그러나, 제어시스템은 기밀성을 중시하는 IT 시스템과 달리 가용성 유지가 가장 우선시되는 시스템이기 때문에, 가용성을 저해할 수 있는 소프트웨어를 제어시스템 내에 직접 설치하기는 현실적으로 매우 어렵다. 그러므로, 제어시스템에 직접 설치되어 운영되지 않는 형태의 네트워크 보안기술이 제어시스템 보안에 적합하다. 이러한 네트워크 보안기술로써, 제어시스템용 방화벽 기술, 단방향 자료전달 장치 기술, 제어시스템을 위한 침입탐지시스템 및 중앙 보안관리 시스템 기술 등이 연구, 개발되고 있다. 이외에도 기존 공격 시그니처(signature)를 탐지하는 방식 대신, 제어시스템의 정상적인 특성을 화이트리스트(Whitelist)로 정의하고, 이를 기반으로 한 보안감시를 제안하는 기법이 존재한다.Malicious codes such as Stuxnet, Duqu, Night dragon and Flame, which target control systems, show this tendency. Here, Stuxnet, the first control system malicious code found in June 2010, was the first malicious code to extend the range of cyber attacks not only to PCs but also to PLCs. It is the first malicious code in Natanz, Destroyed centrifuges and alarmed the field of control systems and cybersecurity. As shown in FIG. 1, Stuxnet has a feature capable of spreading both on-line and off-line, and has a malicious code propagation and infection function utilizing a security vulnerability of a Windows operating system or a USB medium. In particular, malicious code propagation using USB memory generally takes into consideration the characteristics of a control system operated separately from the Internet, and security technologies are required to protect the control system from such cyber threats. However, since the control system is a system in which availability is the highest priority, unlike an IT system that emphasizes confidentiality, it is practically difficult to directly install software that can impair availability in a control system. Therefore, a type of network security technology that is not installed and operated directly in the control system is suitable for security of the control system. As such network security technology, firewall technology for control system, unidirectional data transfer device technology, intrusion detection system for control system, and central security management system technology are studied and developed. In addition, there is a technique to define the normal characteristics of the control system as Whitelist instead of detecting the existing attack signature, and propose security monitoring based on this.
그러나, 이러한 기술들은 대부분 넓은 범위의 접근제어에 의존하는 방식이기 때문에, 잘못된 설정이나 기타 우회 경로를 통과한 악성코드 감염이나 전파 등을 탐지하고 차단하는 것에는 한계를 가질 수밖에 없다.However, since most of these techniques rely on a wide range of access controls, there is a limit to detecting and blocking malicious code infections or propagation that have gone through misconfiguration or other bypass paths.
결론적으로, 제어시스템의 가용성을 보장하면서 악성코드의 감염이나 전파 등을 효율적으로 탐지하고 대응하면서, 추가적으로 이러한 악성코드가 감염되고 전파된 경로를 추적하여 원천적으로 차단하는 기법이 요구된다.In conclusion, there is a need for a technique to efficiently detect and respond to malicious code infections and propagation while ensuring the availability of the control system, and additionally tracing the infected and propagated paths of these malicious codes to prevent them from originating.
본 발명은 이와 같은 문제점을 해결하기 위하여, 제어시스템의 가용성을 보장하면서 악성코드의 감염 및 전파를 탐지하고 대응하기 위한 기법을 제공하고자 한다. 보다 구체적으로, 본 발명의 여러 실시 예들은, 제어시스템 인트라넷 내에서 송수신되는 네트워크 패킷들을 기반으로 실행파일의 유통 여부를 모니터링 함으로써, 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공함으로써, 제어시스템에 대한 각종 악성코드 감염뿐 아니라 최초 배포 시스템까지도 효율적으로 탐지, 추적하고 대응할 수 있는 안전한 제어시스템 인트라넷 환경을 제공하고자 한다.In order to solve such a problem, the present invention provides a technique for detecting and responding to infection and propagation of a malicious code while ensuring the availability of a control system. More specifically, various embodiments of the present invention provide a malicious code detection technique based on executable file monitoring by monitoring the distribution of executable files based on network packets transmitted and received within the control system intranet, We intend to provide a secure control system intranet environment that can efficiently detect, track, and respond to not only various types of malicious code infections but even the first distribution system.
본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷 보호 시스템은, 상기 제어 센터에 포함되는 악성코드 탐지 장치; 및 상기 제어 센터와 상기 지역제어 네트워크의 연결 지점에 위치하는 실행파일 모니터링 에이전트를 포함하고, 상기 실행파일 모니터링 에이전트는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 상기 악성코드 탐지 장치로 전송하고, 상기 악성코드 탐지 장치는 상기 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단할 수 있다.An intranet protection system of a control system including a control center and at least one local control network according to an embodiment of the present invention includes: a malicious code detection device included in the control center; And an executable file monitoring agent located at a connection point between the control center and the local control network, the executable file monitoring agent executing from a packet exchanged in the local control network or between the control center and the local control network File information to the malicious code detection device, and the malicious code detection device can determine whether the execution file is infected with the malicious code based on the received execution file information.
또한 상기 제어 센터는 외부 네트워크로 연결되고, 상기 실행파일 모니터링 에이전트는 상기 제어 센터와 상기 외부 네트워크의 연결 지점에도 위치할 수 있다.The control center may be connected to an external network, and the execution file monitoring agent may be located at a connection point between the control center and the external network.
또한 상기 지역제어 네트워크는 상기 제어 시스템의 제어 설비 또는 제어 센서에 연결될 수 있다.The local control network may also be connected to a control facility or control sensor of the control system.
또한 상기 제어 센터 또는 상기 지역제어 네트워크는 HMI(Human Machine Interface) 장치를 포함할 수 있다.The control center or the local control network may also include an HMI (Human Machine Interface) device.
또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.The execution file monitoring agent may further include: A method for collecting packets transmitted to and from a network or transmitted and received within a network, searching for packets related to an executable file among the collected packets, identifying a session to which the associated packet belongs, combining packets included in the identified session The file can be extracted.
또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.The execution file information may include transmission / reception session information and identification information corresponding to the executable file.
또한 상기 세션 정보는, 프로토콜, 근원지 주소(SRC IP), 목적지 주소(DST IP), 근원지 포트, 및 목적지 포트를 포함하는 5-tuple 정보를 포함할 수 있다.Also, the session information may include 5-tuple information including a protocol, a source address (SRC IP), a destination address (DST IP), a source port, and a destination port.
또한 상기 식별 정보는, 상기 실행파일의 크기 및 상기 실행파일의 해쉬(hash) 값 중 적어도 하나를 포함할 수 있다.The identification information may include at least one of a size of the executable file and a hash value of the executable file.
상기 악성코드 탐지 장치는, 업데이트 등 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단하되, 특별한 경우로서, 데이터베이스에 미리 등록한 정보를 참조하여, 예를 들어, 인트라넷에서 파일 업데이트하는 경우 등에서 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 또는 외부 네트워크와 연동하여 파일 업데이트하는 경우 등에서 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.The malicious code detection device judges the execution file itself as a malicious code except for a special case such as an update. In a special case, when the file is updated in the intranet, for example, When the source analyzed in the session information of the execution file information is a self-update server located in the intranet, or when the file is updated in cooperation with an external network, the source is not an intranet internal device capable of normally updating through the external network, The device distributing the executable file may be blocked from the network except for the case where the information analyzed in the identification information of the executable file information is the identification information for the executable file classified as safe.
본 발명의 일 실시 예에 따른 제어센터와 적어도 하나의 지역제어 네트워크를 포함하는 제어시스템의 인트라넷을 악성코드로부터 보호하는 방법은, 악성코드 탐지 장치에서, 상기 제어센터와 상기 지역제어 네트워크의 연결 지점에 위치한 실행파일 모니터링 에이전트로부터 실행파일 정보를 수신하는 단계; 및 상기 실행파일 정보에 기초하여 상기 실행파일의 악성코드 감염 여부를 판단하는 단계를 포함할 수 있다. 상기 실행파일 정보는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷에 기초하여 생성될 수 있다.A method for protecting an intranet of a control system including a control center and at least one local control network from malicious code according to an embodiment of the present invention is characterized in that in a malicious code detection apparatus, Receiving executable file information from an executable file monitoring agent located in the executable file monitoring agent; And determining whether the execution file is infected with the malicious code based on the execution file information. The executable file information may be generated based on packets exchanged within the local control network or between the control center and the local control network.
또한 상기 방법은, 상기 실행파일이 악성코드에 감염된 것으로 판단되면, 상기 실행파일 정보에 기초하여 상기 실행파일을 배포한 장치를 네트워크에서 차단하는 단계를 더 포함할 수 있다.The method may further include, when it is determined that the executable file is infected with a malicious code, blocking the device that has distributed the executable file based on the executable file information in the network.
또한 상기 실행파일 정보는 상기 실행파일에 해당하는 송수신 세션 정보 및 식별 정보를 포함할 수 있다.The execution file information may include transmission / reception session information and identification information corresponding to the executable file.
또한 상기 실행파일 모니터링 에이전트는, 네트워크로 출입하거나 네트워크 내부에서 송수신되는 패킷을 수집하고, 상기 수집된 패킷 중 실행파일과 연관된 패킷을 검색하고, 상기 연관된 패킷이 속한 세션을 식별하고, 상기 식별된 세션에 포함되는 패킷을 조합하여 실행파일 추출할 수 있다.The executable file monitoring agent also collects packets entering or exiting the network or transmitted and received within the network, retrieving packets of the collected packets associated with the executable file, identifying the session to which the associated packet belongs, And extracts the executable file.
또한 상기 실행파일 모니터링 에이전트는, 상기 추출된 실행파일에 기초하여 세션 정보 및 식별 정보를 포함하는 해당 실행파일 정보를 생성하여, 상기 악성코트 탐지 장치로 전송할 수 있으며, 상기 악성코드 탐지 장치는, 상기 실행파일 정보의 세션 정보에서 분석된 근원지가 인트라넷 내부에 위치한 자체 업데이트 서버인 경우, 상기 외부 네트워크를 통한 정상적인 업데이트가 가능한 인트라넷 내부 장치가 아닌 경우, 또는 상기 실행파일 정보의 식별정보에서 분석된 정보가 안전한 것으로 분류된 실행파일에 대한 식별 정보인 경우 등 특별한 경우(업데이트 등)를 제외하고, 상기 실행파일을 배포한 장치를 네트워크에서 차단할 수 있다.The executable file monitoring agent may generate corresponding executable file information including session information and identification information based on the extracted executable file and may transmit the executable file information to the malicious coat detection apparatus, When the source analyzed in the session information of the executable file information is a self-update server located in the intranet, it is not an intranet internal device capable of normally updating through the external network, or the information analyzed in the identification information of the executable file information is The device distributing the executable file can be blocked from the network except for a special case (update, etc.) such as the case of identification information for an executable file classified as safe.
이와 같이 본 발명에서는 주요 기반시설 제어시스템에 대한 사이버테러 행위로 인하여 이상 행위를 유발할 수 있는 악성코드 감염 및 전파 시도를 신속하게 탐지할 수 있는 기술을 제공한다. 이는 제어시스템의 안전한 시스템 운영을 방해할 수 있는 침해 요소를 효율적으로 탐지하여 안정적인 제어시스템 운영을 가능하게 한다. 따라서, 본 발명은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법을 제공하고, 제어 시스템의 인트라넷 외부 및 내부로부터의 여러 보안 위협으로부터 제어 시스템의 서비스 신뢰성과 가용성 확보를 가능하게 하는 효과가 있다.As described above, the present invention provides a technology for rapidly detecting malicious code infections and propagation attempts that can cause anomalous behavior due to cyber terror action on the main infrastructure control system. This effectively detects the infringement factors that might hinder the safe operation of the control system and enables stable control system operation. Accordingly, the present invention provides a malicious code detection technique based on executable file monitoring for protecting a control system intranet, and provides a service reliability and availability of a control system from various security threats from the outside and inside of the intranet of the control system .
도 1은 제어 시스템을 타깃으로 하는 스턱스넷과 같은 악성코드의 전파 개념도를 나타낸다.
도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.
도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.
도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다.
도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다.
도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.Fig. 1 shows a propagation concept diagram of a malicious code such as a Stuxnet which targets a control system.
2 is a conceptual diagram of an intranet protection system according to an embodiment of the present invention.
FIG. 3 illustrates a process of generating and delivering executable file information according to an embodiment of the present invention.
4 shows a malicious code detection method according to an embodiment of the present invention.
5 illustrates a malicious coat detection method according to another embodiment of the present invention.
6 illustrates a malicious coat detection method according to another embodiment of the present invention.
7 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.
이하, 첨부된 도면들을 참조하여 본 발명의 다양한 실시 예들을 상세히 설명한다. 이때, 첨부된 도면들에서 동일한 구성 요소는 가능한 동일한 부호로 나타내고 있음에 유의해야 한다. 또한 본 발명의 요지를 흐리게 할 수 있는 공지 기능 및 구성에 대한 상세한 설명은 생략할 것이다. 즉, 하기의 설명에서는 본 발명의 실시 예에 따른 동작을 이해하는데 필요한 부분만이 설명되며, 그 이외 부분의 설명은 본 발명의 요지를 흩트리지 않도록 생략될 것이라는 것을 유의하여야 한다.Various embodiments of the present invention will now be described in detail with reference to the accompanying drawings. Note that, in the drawings, the same components are denoted by the same reference symbols as possible. Further, the detailed description of well-known functions and constructions that may obscure the gist of the present invention will be omitted. In other words, it should be noted that only parts necessary for understanding the operation according to the embodiment of the present invention will be described, and descriptions of other parts will be omitted so as not to disturb the gist of the present invention.
도 2는 본 발명의 일 실시 예에 따른 인트라넷 보호 시스템의 개념도를 나타낸다.2 is a conceptual diagram of an intranet protection system according to an embodiment of the present invention.
도 2를 참조하면, 인트라넷 제어를 위한 제어 시스템 10은 제어 센터 11, 적어도 하나의 지역제어 네트워크 13, 및 지역제어 네트워크 13에 연결되는 제어 설비 또는 제어 센서 15를 포함할 수 있다.Referring to FIG. 2, the
제어센터 11은 HMI, 엔지니어링 워크스테이션(Engineering Workstation), 데이터 히스토리언 서버(data historian server), PC 등 기타 전자장치를 포함하는 스카다 네트워크 일 수 있다. 또한 제어센터 11은 본 발명의 일 실시 예에 따른 악성코드 탐지/추적 장치 100을 더 포함할 수 있다.The
지역제어 네트워크 13은 제어 설비 또는 제어 센서 15를 직접적으로 제어하는 PLC, TRU, DCS 등과 같은 장비들, HMI, PC 등 기타 전자장치를 포함할 수 있다. 지역제어 네트워크 13은 그 규모나 기타 설정에 따라 제어센터에 포함된 HMI 콘솔과 같은 제어 콘솔이 포함될 수 있다.The
일반적인 제어 시스템 10은 인트라넷 외부의 네트워크 20에 대하여 독립된 인트라넷 시스템으로 구성될 수 있지만, 제어센터 11를 통해 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20에 연결될 수 있다. 본 발명의 변형된 실시 예에서, 제어 시스템 10은 지역제어 네트워크 13을 통해 외부 네트워크 20에 연결될 수도 있다.The
제어센터 11과 지역제어 네트워크 13의 연결 지점에는 본 발명의 일 실시 예에 따른 실행파일 모니터링 에이전트 200이 위치할 수 있다. 실행파일 모니터링 에이전트 200은 제어시스템의 인트라넷을 구성하는 네트워크 단위(제어센터, 지역제어 네트워크, 등)를 상호 연결하는 연결 지점에 위치할 수 있다. 예를 들어, 제어센터 11과 지역제어 네트워크 A를 연결하는 지점에는 실행파일 모니터링 에이전트 200A가, 제어센터 11과 지역제어 네트워크 B를 연결하는 지점에는 실행파일 모니터링 에이전트 200B가, 제어센터 11과 외부 네트워크 20을 연결하는 지점에는 실행파일 모니터링 에이전트 200E가 위치할 수 있다.At the connection point between the
실행파일 모니터링 에이전트 200은 제어센터 11과 지역제어 네트워크 13 사이에서 유통되는 실행파일에 대한 정보를 추출하여 악성코드 탐지 장치 100으로 전송한다. 실행파일 모니터링 에이전트 200은 또한, 하나의 단위 지역제어 네트워크 13 내부에서 유통되는 실행파일에 대한 정보를 추출할 수 있다. 이를 위해, 실행파일 모니터링 에이전트 200은 지역제어 네트워크 13을 구성하는 장치들의 연결 중심에 위치하거나, 구성 장치들의 데이터 송수신이 실행파일 모니터링 에이전트 200을 거치도록 할 수 있다.The executable
악성코드 탐지 장치 100은 적어도 하나의 실행파일 모니터링 에이전트 200으로부터 수신된 실행파일 정보에 기초하여, 실행파일 정보에 대응되는 실행파일이 악성코드이거나, 악성코드에 감염되었는지 여부를 판단할 수 있다. 악성코드 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 실행파일 정보를 토대로 악성코드 감염 경로를 추적할 수 있다. 감염 경로 추적 결과, 만약 지역제어 네트워크 13에 포함된 장치가 악성코드 배포 장치로 판단되면(즉, 해당 장치에 연결된 USB나 외장하드 등을 통해 감염된 경우), 해당 장치를 지역제어 네트워크 13에서 격리시킬 수 있다. 만약 외부 네트워크 20으로부터 악성코드가 유입된 것으로 판단되면, 악성코드 탐지 장치 100은 실행파일 정보로부터 해당 악성코드와 관련된 실행파일을 배포한 IP (주소) 또는 포트(port)를 식별하고, 해당 IP 또는 해당 포트로부터의 패킷을 차단하거나 해당 장치의 접근을 격리시킬 수 있다.The malicious
본 명세서에서, 인트라넷 보호 시스템, 또는 보호 시스템이라 하면, 악성코드 탐지 장치 100과 실행파일 모니터링 에이전트 200을 포함하는 개념으로 이해될 수 있다. 그러나 일부 변형된 실시 예에서, 인트라넷 보호 시스템, 악성코드 탐지(및/또는 추적) 시스템(또는 장치)라 하면, 단순히 악성코드 탐지 장치 100을 의미할 수 있다.In the present specification, an intranet protection system or a protection system can be understood as a concept including the malicious
도 3은 본 발명의 일 실시 예에 따른 실행파일 정보 생성 및 전달 과정을 나타낸다.FIG. 3 illustrates a process of generating and delivering executable file information according to an embodiment of the present invention.
도 3을 참조하면, 실행파일 모니터링 에이전트 200은 네트워크와 네트워크 사이, 또는 네트워크 내부에서 교환되는 패킷(packets)을 수집할 수 있다. 패킷은 일반 제어 네트워크 패킷과 실행파일과 관련된 패킷이 존재할 수 있다. 실행파일 모니터링 에이전트 200은 네트워크 상의 패킷을 모니터링 하여, 해당 에이전트 200이 위치한 네트워크로 출입하거나 해당 네트워크 내부에서 송수신되는 패킷을 수집하고, 실행파일과 관련된 패킷들이 가지는 공통된 특성, 예를 들어 윈도우 운영체제의 실행파일의 경우 DOS 헤더 측 2바이트 문자열이 MZ(0x4D5A)로 시작한다거나, 오프셋(offset)이 60인 지점부터 4바이트는 PE00(0x50450000)인 문자열로 시작하는 것과 같은 점에 기초하여 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 계속해서 연관된 패킷이 속한 세션(session)을 선별하여, 해당 세션에 속한 패킷들을 조합하여 실행파일을 추출할 수 있다. 실행파일 모니터링 에이전트 200은 이와 같이 추출된 실행파일로부터 세션 정보와 실행파일 식별 정보를 포함하는 실행파일 정보를 생성하여, 악성코드 탐지/추적 시스템 100으로 전송할 수 있다.Referring to FIG. 3, the executable
세션 정보는 프로토콜(Protocol), 근원지 주소(SRC IP; Source IP), 목적지 주소(DST IP; Destination IP), 근원지 포트(SRC Port), 및 목적지 포트(DST Port)를 포함하는 5-tuple 정보를 포함할 수 있다. 식별 정보는 추출된 실행파일의 크기(size), 실행파일 콘텐츠 정보를 기반으로 한 해쉬(hash) 값, 및 기타 식별 가능한 정보를 포함할 수 있다.The session information includes 5-tuple information including a protocol, a source address (SRC IP), a destination address (DST IP), a source port (SRC Port), and a destination port (DST Port) . The identification information may include the size (size) of the extracted executable file, a hash value based on executable file content information, and other identifiable information.
악성코드 탐지 장치 100은 수신된 실행파일 정보를 데이터베이스에 저장 관리하고 이에 기초하여 해당 실행파일 정보에 대한 분석을 수행할 수 있다. 악성코드 탐지 장치 100은 인트라넷 내부에 위치한 자체 업데이트 서버 주소나(예, 외부 네트워크가 없이 인트라넷에서 파일 업데이트하는 경우), 제어 시스템 10에 포함되는 내부 장치들에 대한 주소 정보(예, 외부 네트워크와 연동하여 파일 업데이트하는 경우), 또는 안전한 것으로 분류된 실행파일에 대한 식별 정보(예, 인트라넷, 외부 네트워크와 연동에 공통)를 데이터베이스에 미리 저장하거나 등록하고, 미리 저장되거나 등록된 데이터와 실행파일 정보를 비교하여 악성코드 감염 여부를 판단할 수 있다. 예를 들어, 악성코드 탐지 장치 100은 위와 같이 업데이트 등을 위하여 등록된 특별한 경우를 제외하고는 실행파일 자체를 악성코드로 판단할 수 있으며, 위와 같이 미리 등록된 데이터를 참조하여 실행파일 정보에 포함된 근원지 주소(SRC IP)가 인트라넷 내부에 위치한 자체 업데이트 서버의 주소인 경우이거나 인트라넷 내부 장치의 주소가 아닌 경우(다만, 이 경우는 제어 센터 11과 같은 스카다 네트워크에 포함된 업무용 PC나 기타 작업용 서버에서 외부 네트워크 20을 통한 정상적인 업데이트가 가능하다고 판단되는 경우), 또는 수신된 실행파일 정보가 안전한 실행파일에 대한 것으로 판단되는 경우에는 악성코드로 탐지되지 않을 수 있다. 악성코드 탐지 장치 100은 세션 정보를 활용하여, 1차적으로 장치가 감염된 경우뿐만 아니라, 2차 또는 3차 등으로 타 시스템/장치에 연쇄적으로 악성코드가 전파된 경우에도 최초 감염 시스템을 파악할 수 있다.The malicious
도 4는 본 발명의 일 실시 예에 따른 악성코드 탐지 방법을 나타낸다. 도 4는 USB나 외장하드, 기타 우회 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 여기에서 우회 경로란, 제어 시스템 인트라넷에 연결된 공식적인 외부 네트워크 20과의 접점을 이용하지 않는 접근을 의미한다.4 shows a malicious code detection method according to an embodiment of the present invention. 4 shows malicious code infections and propagation modes into the
도 4에 도시된 예시에서는, 제어 센터 11에 포함된 HMI 장치 400이 USB 또는 기타 우회 경로를 통해서 악성코드에 감염된 후, 제어 센터 11의 다른 장치 401, 지역제어 네트워크 A에 위치한 PLC 장치 402, 지역제어 네트워크 B에 위치한 PLC 장치 403으로 악성코드의 전파를 시도한다.4, after the
본 발명의 일 실시 예에 따르면, 이와 같은 악성코드 전파 시도는 각 네트워크의 연계 접점에서 실행파일을 모니터링 중인 실행파일 모니터링 에이전트 200A, 200B, 200E에 의해서 악성코드 탐지 장치 100으로 전달된다. 즉, HMI 장치 400에서 제어 센터 11 내부의 다른 장치 401로의 전파는 제어 센터 11 내부를 모니터링 하는 에이전트 200E에 의해서, 지역제어 네트워크 A의 PLC 402로의 전파는 에이전트 200A에 의해서, 지역제어 네트워크 B의 PLC 403으로의 전파는 에이전트 200B에 의해서, 각각의 경우와 관련된 실행파일 정보가 제어 센터 11 내부에 위치한 악성코드 탐지 장치 100으로 전달될 수 있다.According to an exemplary embodiment of the present invention, the malicious code propagation attempt is transmitted to the malicious
악성코드 탐지 장치 100은 전달받은 실행파일 정보로부터 악성코드의 전파를 탐지할 수 있고, 감염 시스템, 즉 HMI 장치 400의 격리 등의 대응 조치를 수행할 수 있다. 만약 도 4에 도시된 예시에서, 지역제어 A의 PLC 402가 지역제어 B의 PLC 403을 감염시키더라도, 악성코드 탐지 장치 100은 실행파일 모니터링 에이전트 200B로부터 수신된 세션 정보 및 실행파일 식별 정보에 기초하여, 위와 같이 데이터베이스에 저장 관리되는 데이터를 참조해 최초에 감염된 장치가 제어 센터 11에 위치한 HMI 장치 400이라는 것을 추적할 수 있다.The malicious
도 5는 본 발명의 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 5는 USB 또는 기타 우회 경로를 통한 지역제어 네트워크 A 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 이하의 설명에서 전술한 내용과 중복되는 내용은 생략한다.5 illustrates a malicious coat detection method according to another embodiment of the present invention. Figure 5 shows the malware infection and propagation mode into the local control network A via USB or other bypass path. In the following description, the contents overlapping with those described above will be omitted.
도 5에 도시된 예시는, 지역제어 네트워크 A의 특정 장치 500이 USB 및 기타 우회 경로를 통해 악성코드에 감염된 후, 동일 네트워크 내의 다른 장치 501 또는 다른 지역제어 네트워크(네트워크 B)의 장치 502, 또는 제어 센터 내의 장치 503으로 악성코드의 전파를 시도하는 경우를 나타낸다. 이와 같은 악성코드의 전파 시도는 지역제어 네트워크 A의 연계 접점에 위치한 실행파일 모니터링 에이전트 200A 및 지역제어 B의 연계 접점에 위치한 실행파일 모니터링 에이전트 200B에 의해서 악성코드 탐지 장치 100으로 전달되며, 이를 통해서 악성코드 탐지 및 추적이 이루어지게 된다.The example shown in FIG. 5 shows that after a
도 6은 본 발명의 또 다른 실시 예에 따른 악성코트 탐지 방법을 나타낸다. 도 6은 정상적인 경로를 통한 제어 센터 11 내부로의 악성코드 감염 및 전파 형태를 나타낸다. 도 6에는 비즈니스 네트워크, 인터넷과 같은 외부 네트워크 20을 통해 악성코드가 유입되는 예시가 도시된다.6 illustrates a malicious coat detection method according to another embodiment of the present invention. 6 shows the malicious code infection and propagation mode into the
일반적으로 인터넷과 같은 외부 네트워크 20과 직접 연결된 접점에는 다양한 네트워크 보안장비(예를 들어, 방화벽, 침입탐지시스템 등)가 설치되어 있는 경우가 많지만, 이에 대한 설정 오류 또는 일반적인 웹 서비스와 같은 오픈된 프로토콜을 이용한 침해 행위가 이루어질 수 있다. 다시 말해서, 이와 같은 보안 취약점을 이용하여 외부 네트워크 20과 직접적으로 연결된 스카다 네트워크와 같은 제어 센터의 시스템/장치가 공격 대상이 될 수 있다. 따라서, 도 6에 도시된 것과 같이 제어 센터 11 내 특정 시스템 600이 정상적인 경로를 통해서 감염된 이후에는, 도 4 또는 5에서 설명한 것과 동일/유사한 형태로 악성코드가 전파될 수 이다. 또한, 이에 대한 탐지 방식 또한 전술한 설명으로 대체될 수 있다. 다만 USB 및 기타 우회경로를 통한 악성코드 감염 및 전파 형태의 경우에는 최초의 감염 시스템까지 추적할 수 있는 것에 반해, 정상적인 경로를 통한 감염 및 전파 형태의 경우에는 제어시스템 인트라넷 외부의 침입 IP까지 추적하는 것이 가능하다. 즉, 이를 통해서 기 설치된 네트워크 보안장비들의 보안 설정에 도움을 주는 것은 물론, 해당 공격 IP에 대한 적극적인 대응까지 가능하다. 부연 설명하면, 최초에 외부 네트워크 20으로부터 유입되는 실행파일도 실행파일 모니터링 에이전트 200E에 의해 모니터링 되지만, 해당 실행 파일이 악성코드라고 판단되지 않을 수도 있다. 이는 정상적인 업데이트가 외부 네트워크 20을 통해 이루어질 수도 있기 때문이다. 다만, 해당 시스템 600으로부터 다른 시스템/장치 601, 602, 603 등으로 실행파일의 전파가 시작되면 악성코드 탐지 장치 100은 해당 실행파일을 악성코드로 판단하고, 최초 외부 침입 IP (주소)를 추적할 수 있다.In general, various network security devices (eg, firewalls, intrusion detection systems, and the like) are installed in the contact points directly connected to the
도 7은 본 발명의 일 실시 예에 따른 악성코드 탐지 방법의 흐름도를 나타낸다.7 is a flowchart illustrating a malicious code detection method according to an embodiment of the present invention.
도 7을 참조하면, S710에서 실행파일 모니터링 에이전트 200은 제어 시스템 10을 구성하거나 제어 시스템 10과 연결된 네트워크에서 송/수신되는 실행파일을 모니터링 한다. 에이전트 200은 네트워크로부터 송/수신되는 데이터 패킷을 수집하고, 이로부터 실행파일과 연관된 패킷을 검색할 수 있다. 에이전트 200은 실행파일과 연관된 패킷이 속한 세션을 식별하고, 식별된 세션에 포함되는 패킷을 조합하여 실행파일을 추출할 수 있다. 에이전트 200은 추출된 실행파일에 기초하여 실행파일 정보를 생성하고(S720), S730에서 생성된 실행파일 정보를 악성코드 탐지 장치 100으로 전송할 수 있다. 악성코드 탐지 장치 100은 에이전트 200으로부터 실행파일 정보를 수신하면, S740 에서 실행파일 정보에 기초하여 실행파일 정보가 지시하는 실행파일이 악성코드인지(또는 악성코드에 감염되었는지) 여부를 판단할 수 있다. S750에서, 악성코트 탐지 장치 100은 실행파일이 악성코드라고 판단되면, 악성코드에 감염되거나, 악성코드를 최초에 유포한 장치를 해당 장치가 속한 네트워크로부터 격리(예를 들어, 네트워크 연결을 해제)시킬 수 있다.Referring to FIG. 7, in step S710, the executable
상기와 같은 제어시스템 인트라넷 보호를 위한 실행파일 모니터링 기반의 악성코드 탐지 기법은 제어시스템의 가용성을 최대한 보장하면서 효과적인 악성코드 탐지 기법을 제공함으로써, 제어시스템의 안정적인 운영을 침해할 수 있는 사이버테러의 위협에 대응할 수 있도록 도와준다. 또한, 최초 감염 및 전파 지점을 정확하게 찾아냄으로써, 제어 인트라넷 내부의 효율적인 보안대책 수립을 가능케 한다. 무엇보다도, 네트워크 패킷을 이용한 실행파일 모니터링 기반의 악성코드 탐지 기법은 기 알려진 악성코드 이외에 새롭게 나타날 수 있는 여러 종류의 악성코드들에 대해서도 쉽게 대응할 수 있다는 장점을 갖는다.The malicious code detection method based on executable file monitoring for the control system intranet protection as described above provides an effective malicious code detection technique while maximizing the availability of the control system, thereby preventing the threat of cyber terrorism . It also enables the establishment of effective security measures within the control intranet by accurately detecting the initial infection and propagation points. Above all, malicious code detection based on executable file monitoring using network packets has an advantage in that it can easily respond to various kinds of malicious codes that may appear in addition to known malicious codes.
이상 본 명세서를 통해 개시된 모든 실시 예들과 조건부 예시들은, 본 발명의 기술 분야에서 통상의 지식을 가진 당업자가 독자가 본 발명의 원리와 개념을 이해하도록 돕기 위한 의도로 기술된 것으로, 당업자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It should be noted that all embodiments and conditional examples disclosed herein are intended to assist the reader in understanding the principles and concepts of the present invention by those of ordinary skill in the art, It will be understood that the invention may be embodied in various other forms without departing from the spirit or essential characteristics thereof. Therefore, the disclosed embodiments should be considered in an illustrative rather than a restrictive sense. The scope of the present invention is defined by the appended claims rather than by the foregoing description, and all differences within the scope of equivalents thereof should be construed as being included in the present invention.
Claims (1)
상기 제어 센터에 포함되는 악성코드 탐지 장치; 및
상기 제어 센터와 상기 지역제어 네트워크의 연결 지점에 위치하는 실행파일 모니터링 에이전트를 포함하고,
상기 실행파일 모니터링 에이전트는 상기 지역제어 네트워크 내부 또는 상기 제어 센터와 상기 지역제어 네트워크 사이에서 교환되는 패킷으로부터 실행파일 정보를 생성하여 상기 악성코드 탐지 장치로 전송하고,
상기 악성코드 탐지 장치는 상기 수신된 실행파일 정보에 기초하여 해당 실행파일의 악성코드 감염 여부를 판단하는 것을 특징으로 하는 보호 시스템.1. An intranet protection system of a control system comprising a control center and at least one local control network,
A malicious code detection device included in the control center; And
And an executable file monitoring agent located at a connection point between the control center and the local control network,
The executable file monitoring agent generates executable file information from a packet exchanged in the local control network or between the control center and the local control network and transmits the executable file information to the malicious code detection apparatus,
Wherein the malicious code detection device determines whether the execution file is infected with a malicious code based on the received execution file information.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140033870A KR20150110065A (en) | 2014-03-24 | 2014-03-24 | Method and System for Detecting Malware by Monitoring Executable File |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020140033870A KR20150110065A (en) | 2014-03-24 | 2014-03-24 | Method and System for Detecting Malware by Monitoring Executable File |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20150110065A true KR20150110065A (en) | 2015-10-02 |
Family
ID=54341282
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020140033870A KR20150110065A (en) | 2014-03-24 | 2014-03-24 | Method and System for Detecting Malware by Monitoring Executable File |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20150110065A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180086917A (en) | 2017-01-24 | 2018-08-01 | 한국전자통신연구원 | Apparatus and method for detecting malicious file based on network |
KR20190048605A (en) | 2017-10-31 | 2019-05-09 | 삼성에스디에스 주식회사 | Method for classifying based on machine-learning and Apparatus thereof |
KR20200051396A (en) * | 2018-11-05 | 2020-05-13 | 한국전자통신연구원 | Apparatus and method for detecting abnormal status |
CN117113352A (en) * | 2023-10-25 | 2023-11-24 | 西安热工研究院有限公司 | Method, system, equipment and medium for detecting malicious executable file of DCS upper computer |
-
2014
- 2014-03-24 KR KR1020140033870A patent/KR20150110065A/en not_active Application Discontinuation
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20180086917A (en) | 2017-01-24 | 2018-08-01 | 한국전자통신연구원 | Apparatus and method for detecting malicious file based on network |
KR20190048605A (en) | 2017-10-31 | 2019-05-09 | 삼성에스디에스 주식회사 | Method for classifying based on machine-learning and Apparatus thereof |
KR20200051396A (en) * | 2018-11-05 | 2020-05-13 | 한국전자통신연구원 | Apparatus and method for detecting abnormal status |
CN117113352A (en) * | 2023-10-25 | 2023-11-24 | 西安热工研究院有限公司 | Method, system, equipment and medium for detecting malicious executable file of DCS upper computer |
CN117113352B (en) * | 2023-10-25 | 2024-02-06 | 西安热工研究院有限公司 | Method, system, equipment and medium for detecting malicious executable file of DCS upper computer |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10104120B2 (en) | Command and control cyber vaccine | |
EP3725054B1 (en) | Contextual risk monitoring | |
Zhou et al. | A fog computing based approach to DDoS mitigation in IIoT systems | |
US10362057B1 (en) | Enterprise DNS analysis | |
CN110495138B (en) | Industrial control system and monitoring method for network security thereof | |
US11349867B2 (en) | Rogue device detection including mac address spoofing detection | |
EP3289476B1 (en) | Computer network security system | |
KR101455167B1 (en) | Network switch based on whitelist | |
US20170289191A1 (en) | Infiltration Detection and Network Rerouting | |
EP3987421B1 (en) | Adaptive scanning | |
US20180063191A1 (en) | System and method for using a virtual honeypot in an industrial automation system and cloud connector | |
US20160094517A1 (en) | Apparatus and method for blocking abnormal communication | |
Genge et al. | Experimental assessment of network design approaches for protecting industrial control systems | |
US10924510B2 (en) | Method and system for a distributed early attack warning platform (DEAWP) | |
EP2903238A2 (en) | A router-based honeypot for detecting advanced persistent threats | |
Januário et al. | Security challenges in SCADA systems over Wireless Sensor and Actuator Networks | |
KR20150110065A (en) | Method and System for Detecting Malware by Monitoring Executable File | |
Kang et al. | Cyber threats and defence approaches in SCADA systems | |
KR101487476B1 (en) | Method and apparatus to detect malicious domain | |
Kumar et al. | Protocols, solutions, and testbeds for cyber-attack prevention in industrial SCADA systems | |
Kang et al. | Whitelists based multiple filtering techniques in SCADA sensor networks | |
US9298175B2 (en) | Method for detecting abnormal traffic on control system protocol | |
Kang et al. | Whitelist generation technique for industrial firewall in SCADA networks | |
KR20090113745A (en) | Cyber attack traceback system by using spy-bot agent, and method thereof | |
Bartman et al. | An introduction to applying network intrusion detection for industrial control systems |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |