KR20160002058A - 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 - Google Patents

모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 Download PDF

Info

Publication number
KR20160002058A
KR20160002058A KR1020140080790A KR20140080790A KR20160002058A KR 20160002058 A KR20160002058 A KR 20160002058A KR 1020140080790 A KR1020140080790 A KR 1020140080790A KR 20140080790 A KR20140080790 A KR 20140080790A KR 20160002058 A KR20160002058 A KR 20160002058A
Authority
KR
South Korea
Prior art keywords
modbus
server
address value
communication pattern
combination information
Prior art date
Application number
KR1020140080790A
Other languages
English (en)
Inventor
김병구
강동호
나중찬
손선경
허영준
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140080790A priority Critical patent/KR20160002058A/ko
Priority to US14/699,449 priority patent/US9699204B2/en
Publication of KR20160002058A publication Critical patent/KR20160002058A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/40Bus networks
    • H04L2012/40208Bus networks characterized by the use of a particular bus standard
    • H04L2012/40228Modbus
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks

Abstract

본 발명은 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법에 관한 것으로서, 본 발명에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치는 Modbus/TCP 프로토콜 상의 비정상 트래픽을 조기에 탐지하고 대응할 수 있는 것을 특징으로 한다. 본 발명에 따르면, 모드버스 통신 패턴 학습에 기반한 여러 다양한 형태의 비정상 트래픽을 탐지할 수 있다. 즉, 제어시스템의 안전한 운영을 방해할 수 있는 비정상 트래픽을 조기에 탐지함으로써, 제어시스템 간의 통신 서비스를 안정적으로 제공할 수 있다. 특히 Modbus/TCP 프로토콜 상의 효과적인 비정상 트래픽을 조기에 탐지할 수 있어서, 제어시스템 인트라넷 내의 보안위협에 대한 신속한 발견 및 대응으로 서비스의 신뢰성을 높일 수 있고 가용성을 확보할 수 있는 이점이 있다.

Description

모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법{Modbus Communication Pattern Learning Based Abnormal Traffic Detection Apparatus and Method}
본 발명은 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법에 관한 것으로서, 보다 구체적으로는 비정상 트래픽을 조기 탐지하고 대응하기 위한 장치 및 방법에 관한 것이다.
일반적으로 제어시스템은 원격지 자원을 효율적으로 감시하고, 관리하는 것으로서, 전력, 가스, 상하수도, 교통 등의 국가주요시설의 운용에 사용되고 있다.
이러한 제어시스템에 대한 프로토콜 표준은 비공개에서 점차 공개로(국제 표준으로) 전환되고 있으며, 이러한 전환은 제어시스템 및 네트워크 동작에 대한 더 많은 지식이 공격자에게 제공되는 결과를 초래하였다.
이로 인해 제어시스템에 대한 사이버침해의 위험성이 계속 높아지고 있으며, 만에 하나 제어시스템에 대한 사이버 침해사고가 발생할 경우 국가적 혼란이 야기될 수 있으므로, 제어시스템에 대한 특별한 보안 관리가 필요하다.
이러한 제어시스템이 사용하는 통신 프로토콜 중 모드버스 프로토콜은 PLC(Power Line Communication, 전력선 통신)제어를 위해 1979년 Modicon에 의해 개발된 산업용 통신 프로토콜이다.
모드버스 프로토콜은 다양한 전송 매체를 이용하여 클라이언트/서버 기반의 요구/응답(Request/Reply) 통신을 제공하는 응용 계층 메시지 프로토콜로서, 세계적으로 가장 많이 사용되고 있는 산업용 어플리케이션 통신 프로토콜 중 하나다.
모드버스 프로토콜의 통신 방식은 크게 모드버스 시리얼(Modbus Serial), 모드버스 플러스(Modbus Plus), 모드버스/티씨피(Modbus/TCP) 등으로 구분되며, Modbus/TCP가 개발되기 전, 모드버스 플러스가 상위 시스템 간의 통신에 주로 사용되었다.
그러나, Modbus/TCP가 개발된 후, 통신속도와 시스템의 운용 면에서 우위를 차지한 Modbus/TCP가 주로 사용되었고, 기존부터 사용해온 모드버스 플러스와 모드버스 시리얼은 게이트웨이를 통해 Modbus/TCP로 변환되어 상위의 시스템과 연결되는 방식으로 사용되었다.
이처럼, 모드버스 프로토콜은 제어시스템의 일반적인 프로토콜 표준으로서 사용되고 있으나, 이를 이용한 공격이 손쉽다는 데 문제점이 있다.
즉, 최근에는 복잡하게 스턱스넷 등과 같은 악성코드를 이용하여 제어시스템을 공격하는 대신 모드버스 프로토콜의 취약점을 직접 공격하기 때문에, 제어시스템이 모드버스를 프로토콜 표준으로서 사용할 경우 공격 위험성이 더 클 수밖에 없다.
가령, POC2011(Power of Community 2011)에서 처음 공개된 디즈멀(Dismal) 공격 도구를 이용하면, 수력발전소 혹은 원자력발전소 등의 시설에 따라 어떤 제어 시스템을 사용하고 있는지의 정보를 수집할 수 있다.
즉, 디지멀에 정보 수집 명령을 내리면 어떤 제어 시스템이든 공격자에게 정보가 전달되므로, 공격자가 손쉬운 패킷 조작을 통해 얼마든지 새로운 형태의 공격을 발생시킬 수 있고, 악의적인 명령도 전달할 수 있어서, 제어시스템은 스턱스넷과 같은 제로데이 공격보다 패킷 조작만으로 공격 가능한 프로토콜 공격에 더 취약하다는 문제점이 있다.
따라서, 이러한 취약점을 보완하기 위해 선행특허(공개번호 10-2010-0078323) 등이 모드버스 기반 SCADA(Supervisory Control and Data Acquisition) 네트워크상에서 외부로부터의 침입으로 발생할 수 있는 해킹으로 인한 정보 유출을 막고, 제어, 계측 데이터 등과 관련된 정보들을 보호하여 안정적이고 신뢰성 높은 통신을 구현하고자 제안되었다.
그러나, 이러한 선행특허는 SCADA 서버와 같은 상위 시스템에서 전송하는 감시 및 제어 데이터를 SCADA 네트워크를 통한 전송 전에 보안 장치를 통해 암호화 또는 부호화해야 하고, SCADA 네트워크를 통해 수신되는 암호화 데이터를 원격 단말이 수신하기 전에 원격 단말과 같은 하위 시스템측 보안 장치를 통해 복호화해 야한다.
즉, 선행특허는 SCADA 서버와 원격 단말이 데이터(제어, 계측 데이터 등과 관련된 정보들) 송수신을 할 때마다 복호화 또는 암호화라는 복잡한 과정을 매번 수행해야 하는 번거로움이 있고, 후술하는 내부 공격에 대한 대응이 어렵다.
한편, 모드버스 프로토콜은 클라이언트의 요청에 대응된 서버의 응답에 대해 인증, 인가 등의 보안 사항을 고려하지 않았기 때문에, 제어 프로토콜 상의 보안 취약점 이외에도 서비스거부 공격 관점에서의 보안사항이 필요하다.
예컨대, 브로드캐스트/멀티캐스트와 같은 일반적 네트워크 트래픽에 의해서도 몇몇 디바이스 부하가 유발되거나 몇몇 디바이스는 고장(crash)날 수 있기 때문이다.
결론적으로, 의도적 또는 비의도적인 행위로 인해 주요기반시설 제어시스템의 안전한 운영을 방해하는 활동에 대한 우려가 증대되고 있으나, 현재 방화벽, 침입 탐지 시스템(IDS, Intrusion Detection System), 침입 방지 시스템(IPS, Intrusion Prevention System) 등의 엔터프라이즈 보안 제품군은 외부 네트워크 경계 영역에 집중되어 있기 때문에 내부 인프라에서 발생하는 문제에 취약하다.
즉, 내부자 위협을 포함하여 침투경로가 다양해지고 있는 상황에서, 제어망의 경우에도 경계망 보안에 초점이 맞춰져 있어 내부 행위분석의 방안이 미약하다.
따라서, 제어시스템 간의 안정적 서비스 제공을 위해, 제어시스템에서 사용되는 프로토콜에 대한 보안이 요구된다.
본 발명은 상기와 같은 요구를 감안하여 창출한 것으로서, Modbus/TCP 프로토콜 상의 비정상 트래픽을 조기에 탐지하고 대응할 수 있도록 하는 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법을 제공하는 데 그 목적이 있다.
또한, 본 발명은 비정상 트래픽을 조기 탐지하며, 의도적/비의도적 행위로 인한 주요기반시설 제어시스템의 공격 활동을 차단하는 데 그 목적이 있다.
전술한 목적을 달성하기 위하여, 본 발명의 일면에 따른 비정상 트래픽 탐지 장치는 소정기간 동안 원격지 자원을 감시하는 제어시스템의 Modbus/TCP 통신시 발생한 트래픽을 모니터링 하고, 모니터링된 상기 트래픽을 토대로 모드버스 통신 패턴을 생성하는 통신패턴 분류기; 및 생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 비정상 트래픽을 탐지하는 비정상 행위 탐지기를 포함한다.
본 발명의 다른 면에 따른 비정상 트래픽 탐지 방법은 소정기간 동안 원격지 자원을 감시하는 제어시스템의 Modbus/TCP 통신시 발생한 트래픽을 모니터링 하고, 모니터링된 상기 트래픽을 토대로 모드버스 통신 패턴을 생성하는 단계; 및 생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 비정상 트래픽을 탐지하는 단계를 포함한다.
본 발명에 따르면, 모드버스 통신 패턴 학습에 기반한 여러 다양한 형태의 비정상 트래픽을 탐지할 수 있다.
즉, 제어시스템의 안전한 운영을 방해할 수 있는 비정상 트래픽을 조기에 탐지함으로써, 제어시스템 간의 통신 서비스를 안정적으로 제공할 수 있다.
특히 Modbus/TCP 프로토콜 상의 효과적인 비정상 트래픽을 조기에 탐지할 수 있어서, 제어시스템 인트라넷 내의 보안위협에 대한 신속한 발견 및 대응으로 제어시스템의 보안성을 높일 수 있고 가용성을 확보할 수 있는 이점이 있다.
도 1은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치를 설명하기 위한 도면.
도 2a 및 도 2b는 본 발명의 일실시 예에 따른 Modbus/TCP 프로토콜의 ADU를 설명하기 위한 도면.
도 3은 본 발명의 일실시 예에 따른 서버와 클라이언트가 Modbus/TCP 프로토콜의 ADU를 이용하여 통신하는 것을 설명하기 위한 도면.
도 4 및 도 5는 본 발명의 일실시 예에 따른 모드버스 프로토콜 통신 방식에 기초하여 모드버스 통신 패턴 생성을 설명하기 위한 도면.
도 6은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 생성 방법을 설명하기 위한 흐름도.
도 7은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 방법을 설명하기 위한 흐름도.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 용이하게 이해할 수 있도록 제공되는 것이며, 본 발명은 청구항의 기재에 의해 정의된다. 한편, 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소, 단계, 동작 및/또는 소자 이외의 하나 이상의 다른 구성요소, 단계, 동작 및/또는 소자의 존재 또는 추가를 배제하지 않는다.
본 발명은 원격지 자원을 감시하는 제어시스템의 Modbus/TCP 통신시 송수신 데이터 패턴을 학습하고, 학습된 송수신 데이터 패턴을 통해 비정상 트래픽을 탐지하는 것으로서, 이를 위해 제어시스템에 포함된 클라이언트와 서버 사이에 배치되어 일정기간 동안 패킷을 모니터링한다.
이처럼, 본 발명은 제어시스템의 인트라넷 내에서 일정기간 동안 패킷을 모니터링함으로써, 클라이언트와 서버 사이의 모든 트래픽을 학습할 수 있고, 학습된 모든 트래픽을 통해 다양한 형태의 비정상 트래픽을 효과적으로 탐지할 수 있으며, 탐지된 비정상 트래픽에 대응할 수 있는 것이다.
이하, 도 1 내지 도 7을 참조하여 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법을 설명한다. 도 1은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치를 설명하기 위한 도면이고, 도 2a 및 도 2b는 본 발명의 일실시 예에 따른 Modbus/TCP 프로토콜의 ADU를 설명하기 위한 도면이며, 도 3은 본 발명의 일실시 예에 따른 서버와 클라이언트가 Modbus/TCP 프로토콜의 ADU를 이용하여 통신하는 것을 설명하기 위한 도면이고, 도 4 및 도 5는 본 발명의 일실시 예에 따른 모드버스 프로토콜 통신 방식에 기초하여 모드버스 통신 패턴 생성을 설명하기 위한 도면이며, 도 6은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 생성 방법을 설명하기 위한 흐름도이고, 도 7은 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 방법을 설명하기 위한 흐름도이다.
도 1에 도시된 바와 같이, 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치(100)는 통신패턴 분류기(110), 패턴 저장기(120) 및 비정상 행위 탐지기(130)를 포함한다.
이러한 비정상 트래픽 탐지 장치(100)는 원격지 자원을 감시하는 제어시스템의 모든 트래픽을 모니터링할 수 있는 위치에 배치되거나, 미러링(mirroring) 포트 등을 이용하여 패킷을 모니터링할 수 있는 위치에 배치될 수 있다.
예컨대, 비정상 트래픽 탐지 장치(100)는 Modbus/TCP 선로(L1) 상에서 제어시스템의 Modbus TCP 통신시 Modbus/TCP 패킷을 모니터링할 수 있는 위치에 배치된다.
통신패턴 분류기(110)는 모니터링된 트래픽을 기반으로 모드버스 통신 패턴을 생성하고, 생성된 모드버스 통신 패턴을 패턴 저장기(120)에 저장한다.
예컨대, 통신패턴 분류기(110)는 소정기간 동안 제어시스템의 Modbus/TCP 통신에 따른 트래픽을 모니터링하고, 모니터링된 트래픽을 토대로 모드버스 통신 패턴을 생성한다.
이러한 작업은 제어시스템의 모든 정상적인 통신 패턴을 수집할 만큼의 시간 동안 진행하는 것이 바람직하며, 각 시스템별로 경험적으로 사전에 추정하여 구할 수 있다.
비정상 행위 탐지기(130)는 패턴 저장기(120)에 저장된 패턴을 기반으로 모드버스 트래픽에 대한 비정상 여부를 판단한다.
예컨대, 비정상 행위 탐지기(130)는 통신패턴 분류기(110)에 의해 생성된 모드버스 통신 패턴을 기반으로 제어시스템의 Modbus/TCP 통신시 비정상 트래픽을 탐지한다.
한편, 모드버스 시리얼 선로(L2)는 서버 TCP/IP 게이트웨이, 클라이언트 TCP/IP 게이트웨이 등에 의해 Modbus/TCP 선로(L1)와 연결된다.
즉, 서버 TCP/IP 게이트웨이, 클라이언트 TCP/IP 게이트웨이 등은 일측이 Modbus/TCP 선로(L1)와 연결되고, 다른 측이 모드버스 시리얼 선로(L2)와 연결되어, 모드버스 시리얼 통신을 Modbus/TCP 통신으로 변환하거나 Modbus/TCP 통신을 모드버스 시리얼 통신으로 변환한다.
전술된 본 발명의 일실시 예에 따른 비정상 트래픽 탐지 장치(100)는 제어시스템의 인트라넷 내에서 패킷을 모니터링하기 위해 제어시스템에 포함된 클라이언트와 서버 사이에 배치된 것으로서, 서버와 클라이언트는 Modbus/TCP 프로토콜의 ADU(Application Data Unit)를 이용하여 통신한다.
도 2a에 도시된 바와 같이, Modbus ADU는 TCP 헤더 위에 위치되고, 7바이트 크기의 MBAP(MODBUS Application Protocol) 헤더와 가변 크기의 Modbus PDU(Protocol Data Uint)를 포함한다.
MBAP 헤더는 트랜잭션 아이디(Transaction ID; TID), 프로토콜 아이디(Protocol ID; PID), 길이(Length) 및 유닛 아이디(Unit ID; UID)를 포함한다.
트랜잭션 아이디는 모드버스 송수신 메시지 쌍에 대한 식별자이다.
프로토콜 아이디는 모드버스 프로토콜이 사용될 경우, 0으로 설정된다.
길이는 유닛 아이디부터 마지막 데이터까지의 길이이고, 단위는 바이트이다.
유닛 아이디는 시리얼 선로와 같은 다른 버스 상에 연결된 원격 서버 또는 원격 클라이언트 등에 대한 식별자로서, 시리얼 선로에 연결되지(존재하지) 않은 경우, 00 또는 FF로 설정된다.
Modbus PDU는 최소 1바이트의 명령 코드(Function Code; FCode)를 포함하고, 클라이언트는 이 명령 코드를 통해 수행되길 원하는 동작들을 서버에 요청한다.
Modbus PDU의 세부구조는 도 2b에 도시된 바와 같다.
한편, 도 3에 도시된 바와 같이 클라이언트는 서버의 502 포트로 연결을 시도하고, 서버는 클라이언트의 시도를 받아드림으로써, 502 포트를 통해 클라이언트와 연결된다. 즉, 클라이언트와 서버 간 TCP 세션이 연결된다.
TCP 세션이 연결되면, 클라이언트는 서버로 요청 메시지를 송신한다.
서버는 수신된 요청 메시지에 따라 동작을 수행하며, 동작 수행에 따른 응답 메시지를 클라이언트에 송신한다.
즉, 클라이언트는 명령 코드와 요청 메시지 등을 이용하여 서버가 특정 동작을 하도록 한다. 서버는 클라이언트로부터 수신된 요청을 처리하고 응답한다.
따라서, 통신패턴 분류기(110)는 전술한 바와 같은 모드버스 프로토콜 통신 방식에 기초하여 모드버스 통신 패턴을 생성한다.
모드버스 통신 패턴 생성을 위해, 통신패턴 분류기(110)는 먼저 Modbus/TCP 통신 패킷의 포트 정보를 이용하여 Modbus/TCP 통신을 하는 제어시스템을 클라이언트와 서버로 구분한다.
예컨대, 통신패턴 분류기(110)는 모니터링된 패킷의 근원지 포트 값(Source Port, Sport)이 502이면, 근원지 주소 값(Source IP, SIP)에 대응되는 것을 서버로 구분한다.
또한, 목적지 포트 값(Destination Port, Dport)이 502이면, 통신패턴 분류기(110)는 목적지 주소 값(Destination IP, DIP)에 대응되는 것을 서버로 구분한다.
즉, 서버는 포트 값이 일정하고, 클라이언트는 0 ~ 65535 중 사용되지 않는 것을 자동으로 잡기 때문에, 통신패턴 분류기(110)는 포트 값이 502인 측을 서버로 구분하고, 도 4에 도시된 바처럼 서버와 클라이언트를 분류할 수 있다.
이렇게 구분된 결과를 토대로 통신패턴 분류기(110)는 클라이언트 A, B, C가 포함된 제어 센터 영역(Supervisory Zone)과, 서버 D, E, F, G가 포함된 제어기 영역(Controller Zone)으로 제어시스템을 구분한다.
따라서, 통신패턴 분류기(110)는 주소 값 IP_D, IP_E, IP_F, IP_G를 갖는 서버 D, E, F, G에 대해 서버 주소 값과 유닛 아이디 값을 포함하는 서버 테이블의 엔트리를 생성한다.
또한, 통신패턴 분류기(110)는 도 5에 도시된 바와 같이, 클라이언트 A, B, C에 의해 생성된 모드버스 명령어 패킷(모드버스 요청 메시지)을 수집한다.
수집된 명령어 패킷을 토대로 통신패턴 분류기(110)는 명령어 테이블의 엔트리를 생성한다.
즉, 통신패턴 분류기(110)는 목적지 포트 값이 502인 모드버스 명령어 패킷에서 근원지 주소 값(Client IP), 목적지 주소 값(Server IP), 유닛 아이디 값, 명령 코드 값을 추출한다.
이렇게 추출된 값들을 기반으로 통신패턴 분류기(110)는 명령어 테이블의 엔트리를 생성한다.
이하, 도 6을 참조하여 본 발명의 일 실시예에 따른 모드버스 통신 패턴 생성(서버 테이블의 엔트리 및 명령어 테이블의 엔트리 생성) 방법을 좀 더 구체적으로 설명한다.
도 6에 도시된 바와 같이, 통신패턴 분류기(110)는 유입 패킷을 일정기간 동안 모니터링하고, 모니터링된 결과를 토대로 유입 패킷이 모드버스 요청 메시지인지 여부를 판단한다(S600).
판단결과, 유입 패킷이 모드버스 요청 메시지인 경우, 즉 유입 패킷의 목적지 포트 값이 502이고, Modbus ADU의 프로토콜 아이디 값이 0인 경우, 통신패턴 분류기(110)는 유입 패킷의 목적지 주소 값/유닛 아이디 값(DIP/UID)과 동일한 서버 주소 값이 서버 테이블에 등록되어 있는지 여부를 판단한다(S601).
전술한 바와 같이 유닛 아이디 값과 조합된 목적지 주소 값인 DIP/UID를 사용할 경우, 시리얼 라인(다른 버스) 상에 존재하는 서버까지 식별할 수 있으므로, 통신패턴 분류기(110)는 목적지 주소 값에 대응되는 서버가 서버 테이블에 등록된 서버인지 여부를 보다 정확하게 판단하기 위해 단순히 목적지 주소 값만을 사용하지 않고, DIP/UID를 사용한다.
단계(S601) 판단결과, 유입 패킷의 DIP/UID와 동일한 서버 주소 값이 서버 테이블에 등록되어 있지 않은 경우, 통신패턴 분류기(110)는 유입 패킷의 DIP/UID를 서버 테이블에 등록한다(S602).
그러나, 판단결과, 유입 패킷의 DIP/UID와 동일한 서버 주소 값이 서버 테이블에 등록되어 있는 경우, 통신패턴 분류기(110)는 유입 패킷의 근원지 주소 값/목적지 주소 값/유닛 아이디 값/명령 코드 값(SIP/UIP/UID/FCode) 조합 정보와 동일한 조합 정보가 명령어 테이블에 등록되어 있는지 여부를 판단한다(S603).
판단결과, 유입 패킷의 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 명령어 테이블에 등록되어 있지 않은 경우, 통신패턴 분류기(110)는 유입 패킷의 SIP/UIP/UID/FCode 조합 정보를 명령어 테이블에 등록한다(S604).
전술한 바와 같이, 통신패턴 분류기(110)는 비정상 행위 탐지기(130)가 동작하기 전 모드버스 통신 패턴을 생성하고 학습하는 것이다.
이처럼, 본 발명은 서버 테이블 및 명령어 테이블의 엔트리 생성(모드버스 통신 패턴 생성)을 모드버스 요청 메시지만을 통해 수행할 수 있어서, 즉 패킷을 모니터링할 경우 모드버스 요청 메시지만을 분석하므로, 수행 부하를 줄일 수 있다.
이상, 도 6을 참조하여 본 발명의 일 실시예에 따른 모드버스 통신 패턴 생성 방법을 설명하였고, 이하에서는 도 7을 참조하여 본 발명의 일실시 예에 따른 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 방법을 설명한다.
비정상 행위 탐지기(130)는 모드버스 요청 메시지만을 이용하여 통신패턴 분류기(110)에 의해 학습된 모드버스 통신 패턴을 기반으로 비정상 트래픽을 탐지한다.
따라서, 도 7에 도시된 바와 같이, 비정상 행위 탐지기(130)는 유입 패킷이 모드버스 요청 메시지인지 여부를 판단한다(S700).
판단결과, 유입 패킷이 모드버스 요청 메시지인 경우, 즉 목적지 포트 값이 502이고, Modbus ADU의 프로토콜 아이디 값이 0인 경우, 유입 패킷의 근원지 주소 값과 동일한 서버 주소 값이 서버 테이블에 존재하는지 여부를 판단한다(S701).
판단결과, 유입 패킷의 근원지 주소 값과 동일한 서버 주소 값이 서버 테이블에 존재하면, 비정상 행위 탐지기(130)는 유입 패킷의 근원지 주소 값에 대응되는 서버를 비정상 서버로 판단한다(Invalid SIP Behavior Detection)(702).
즉, 비정상 행위 탐지기(130)는 유입 패킷의 근원지 주소 값과 동일한 서버 주소 값이 서버 테이블에 존재할 경우, 모드버스 요청 메시지가 클라이언트가 아니라 서버에 의해 발생한 것이므로, 근원지 주소 값에 대응되는 서버가 공격자에 의해서 침해당했거나, 오류 등인 것으로 판단할 수 있다.
그러나, 단계(S701) 판단결과, 유입 패킷의 근원지 주소 값과 동일한 서버 주소 값이 서버 테이블에 존재하지 않는 경우, 비정상 행위 탐지기(130)는 유입 패킷의 UIP/UID와 동일한 서버 주소 값/유닛 아이디 값(유닛 아이디 값과 조합된 서버 주소 값, ServerIP/UID)이 서버 테이블에 존재하지 여부를 판단한다(S703).
판단결과, 유입 패킷의 UIP/UID와 동일한 ServerIP/UID가 서버 테이블에 존재하지 않는 경우, 비정상 행위 탐지기(130)는 유입 패킷의 UIP/UID가 학습 중에 등록된 서버 주소 값이 아니므로, 유입 패킷의 UIP/UID에 대응되는 서버를 알 수 없는 서버로 판단한다(Unknown Server Detection)(S704).
즉, 비정상 행위 탐지기(130)는 유입 패킷의 UIP/UID와 동일한 ServerIP/UID가 서버 테이블에 존재하지 않는 경우를 유입 패킷에 대응되는 클라이언트가 공격자에 의해서 침해당했거나, 새로운 서버가 관리자에 의해 새롭게 제어시스템에 포함된 것 등으로 판단할 수 있다.
그러나, 단계(S703) 판단결과, 유입 패킷의 UIP/UID와 동일한 ServerIP/UID가 서버 테이블에 존재할 경우, 비정상 행위 탐지기(130)는 유입 패킷의 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 명령어 테이블에 존재하는지 여부를 판단한다(S705).
이때 유입 패킷에 포함된 Modbus ADU의 유닛 아이디 값은 목적지 주소 값과 조합된 정보이므로, 비정상 행위 탐지기(130)는 유입 패킷에 포함된 Modbus ADU의 유닛 아이디 값이 서버 테이블에 존재하는 여부를 별도로 판단할 필요가 없으며, 해당 서버 주소 값, 즉 UIP/UID를 공유하는 시리얼 라인 상에 존재하는 것을 모두 서버로 판단할 수 있다.
한편, 단계(S705) 판단결과, 유입 패킷의 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 명령어 테이블에 존재하지 않는 경우, 비정상 행위 탐지기(130)는 근원지 주소 값/명령 코드 값(SIP/FCode)조합 정보와 동일한 조합 정보가 명령어 테이블에 존재하는지 여부를 판단한다(S706).
판단결과, SIP/FCode조합 정보와 동일한 조합 정보가 명령어 테이블에 존재할 경우, 비정상 행위 탐지기(130)는 최저 위험 레벨인 비정상 명령어 레벨 1의 경보(Warning Command Level 1)가 발생하도록 한다(S707).
그러나, 단계(S706) 판단결과, 명령어 테이블에 SIP/FCode조합 정보와 동일한 조합 정보가 존재하지 않는 경우, 비정상 행위 탐지기(130)는 FCode만 명령어 테이블에 존재하는지 여부를 판단한다(S708).
판단결과, FCode만 명령어 테이블에 존재할 경우, 비정상 행위 탐지기(130)는 비정상 명령어 레벨 2의 경보(Warning Command Level 2)가 발생하도록 한다(S709).
그러나, 단계(S708) 판단결과, FCode 조차 명령어 테이블에 존재하지 않는 경우, 즉 명령어 테이블에 SIP/FCode조합 정보와 동일한 조합 정보가 존재하지 않고, FCode 자체도 존재하지 않는 경우, 비정상 행위 탐지기(130)는 최고 위험 레벨인 비정상 명령어 레벨 3의 경보(Warning Command Level 3)가 발생하도록 한다(S710).
한편, 전술한 바와 같이, 본 발명은 클라이언트의 관점에서 해당 클라이언트가 어떤 서버로 어떤 명령어의 사용이 가능한지에 대한 점검을 통해 경보 레벨을 구분한 것이며, 이러한 구분을 통해 비정상 트래픽에 대한 체계적 대처가 가능하다.
또한, 관리자에 의해 제어시스템의 인트라넷 내부에 변경사항이 발생하면, 본 발명은 새로운 학습 시간을 통해 모드버스 통신 패턴(서버 테이블과 명령어 테이블의 엔트리)을 새로 생성할 수 있고, 새롭게 생성된 모드버스 통신 패턴을 통해 정확한 비정상 트래픽을 탐지할 수 있다.
즉, 본 발명은 모드버스 통신 패턴을 생성하고 생성된 모드버스 통신에 대한 학습을 기반으로 제어시스템의 모드버스 프로토콜 상의 비정상 트래픽을 효율적이고 신속하게 탐지할 수 있다.
이를 통해 본 발명은 비정상 트래픽에 대응할 수 있으며, 제어시스템의 서버와 클라이언트 간 안정적이고 신뢰할 수 있는 통신 서비스를 제공할 수 있다.
무엇보다도, 본 발명은 최소한의 테이블 관리 및 패킷 분석을 통해 Modbus/TCP 통신상에서 발생할 수 있는 여러 유형의 비정상 트래픽을 효율적으로 탐지할 수 있다.
이상 바람직한 실시예와 첨부도면을 참조하여 본 발명의 구성에 관해 구체적으로 설명하였으나, 이는 예시에 불과한 것으로 본 발명의 기술적 사상을 벗어나지 않는 범주내에서 여러 가지 변형이 가능함은 물론이다. 그러므로 본 발명의 범위는 설명된 실시예에 국한되어 정해져서는 안되며 후술하는 특허청구의 범위뿐만 아니라 이 특허청구의 범위와 균등한 것들에 의해 정해져야 한다.
100 : 비정상 트래픽 탐지 장치 110 : 통신패턴 분류기
120 : 패턴 저장기 130 : 비정상 행위 탐지기

Claims (20)

  1. 소정기간 동안 원격지 자원을 감시하는 제어시스템의 Modbus/TCP 통신시 발생한 트래픽을 모니터링 하고, 모니터링된 상기 트래픽을 토대로 모드버스 통신 패턴을 생성하는 통신패턴 분류기; 및
    생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 비정상 트래픽을 탐지하는 비정상 행위 탐지기
    를 포함하는 비정상 트래픽 탐지 장치.
  2. 제1항에 있어서,
    상기 통신패턴 분류기는 상기 제어시스템의 클라이언트에 의해 생성된 모드버스 요청 메시지를 수집하여 상기 모드버스 요청 메시지를 토대로 상기 모드버스 통신 패턴을 생성하는 것
    인 비정상 트래픽 탐지 장치.
  3. 제2항에 있어서,
    상기 통신패턴 분류기는 상기 모드버스 요청 메시지의 목적지 주소 값과 동일한 서버 주소 값이 상기 모드버스 통신 패턴에 포함된 서버 테이블에 등록되어 있는지 여부를 판단하고, 판단결과, 상기 목적지 주소 값와 동일한 서버 주소 값이 상기 서버 테이블에 등록되어 있지 않은 경우, 상기 목적지 주소 값을 상기 서버 테이블에 등록하는 것
    인 비정상 트래픽 탐지 장치.
  4. 제2항에 있어서,
    상기 통신패턴 분류기는 상기 모드버스 요청 메시지의 근원지 주소 값/목적지 주소 값/유닛 아이디 값/명령 코드 값(SIP/UIP/UID/FCode)조합 정보와 동일한 조합 정보가 상기 모드버스 통신 패턴에 포함된 명령어 테이블에 등록되어 있는지 여부를 판단하고, 판단결과, 상기 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 등록되어 있지 않은 경우, 상기 SIP/UIP/UID/FCode조합 정보를 상기 명령어 테이블에 등록하는 것
    인 비정상 트래픽 탐지 장치.
  5. 제1항에 있어서,
    상기 통신패턴 분류기는 상기 제어시스템의 클라이언트에 의해 생성된 모드버스 요청 메시지를 수집하고, 수집된 상기 모드버스 요청 메시지를 토대로 상기 모드버스 통신 패턴으로서, 서버 테이블 및 명령어 테이블의 엔트리를 생성하는 것
    인 비정상 트래픽 탐지 장치.
  6. 제5항에 있어서,
    상기 통신패턴 분류기는 서버 주소 값 및 유닛 아이디 값을 포함하는 상기 서버 테이블의 엔트리와 근원지 주소 값, 목적지 주소 값, 유닛 아이디 값 및 명령 코드 값을 포함하는 상기 명령어 테이블의 엔트리를 생성하는 것
    인 비정상 트래픽 탐지 장치.
  7. 제1항에 있어서,
    상기 비정상 행위 탐지기는 상기 제어시스템의 클라이언트로부터 수신된 모드버스 요청 메시지와 생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 Modbus/TCP 통신시 비정상 트래픽을 탐지하는 것
    인 비정상 트래픽 탐지 장치.
  8. 제7항에 있어서,
    상기 비정상 행위 탐지기는 상기 모드버스 요청 메시지의 근원지 주소 값과 동일한 서버 주소 값이 상기 모드버스 통신 패턴에 포함된 서버 테이블에 존재하는지 여부를 판단하고, 판단결과, 상기 근원지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재할 경우, 상기 근원지 주소 값에 대응되는 서버를 비정상 서버로 판단하는 것
    인 비정상 트래픽 탐지 장치.
  9. 제8항에 있어서,
    상기 비정상 행위 탐지기는 상기 판단결과, 상기 근원지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하지 않는 경우, 상기 모드버스 요청 메시지의 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하는지 여부를 판단하고, 판단결과 상기 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하지 않는 경우, 상기 목적지 주소 값에 대응되는 서버를 알 수 없는 서버로 판단하는 것
    인 비정상 트래픽 탐지 장치.
  10. 제9항에 있어서,
    상기 비정상 행위 탐지기는 상기 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재할 경우, 상기 모드버스 요청 메시지의 SIP/UIP/UID/FCode 조합 정보와 동일한 조합 정보가 상기 모드버스 통신 패턴에 포함된 명령어 테이블에 존재하는지 여부를 판단하고, 판단결과에 따라 비정상 명령어 레벨을 설정하며, 설정된 결과를 토대로 경보가 발생하도록 하는 것
    인 비정상 트래픽 탐지 장치.
  11. 소정기간 동안 원격지 자원을 감시하는 제어시스템의 Modbus/TCP 통신시 발생한 트래픽을 모니터링 하고, 모니터링된 상기 트래픽을 토대로 모드버스 통신 패턴을 생성하는 단계; 및
    생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 비정상 트래픽을 탐지하는 단계
    를 포함하는 비정상 트래픽 탐지 방법.
  12. 제11항에 있어서, 상기 생성하는 단계는,
    상기 제어시스템의 클라이언트에 의해 생성된 모드버스 요청 메시지를 수집하는 단계; 및
    수집된 상기 모드버스 요청 메시지를 토대로 상기 모드버스 통신 패턴으로서, 서버 테이블 및 명령어 테이블의 엔트리를 생성하는 단계를 포함하는 것
    인 비정상 트래픽 탐지 방법.
  13. 제12항에 있어서, 상기 엔트리를 생성하는 단계는,
    상기 모드버스 요청 메시지의 목적지 주소 값과 동일한 서버 주소 값이 상기 모드버스 통신 패턴에 포함된 서버 테이블에 등록되어 있지 않은 경우, 상기 목적지 주소 값을 상기 서버 테이블에 등록하는 단계;
    상기 모드버스 요청 메시지의 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 상기 모드버스 통신 패턴에 포함된 명령어 테이블에 등록되어 있는지 여부를 판단하는 단계; 및
    판단결과, 상기 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 등록되어 있지 않은 경우, 상기 SIP/UIP/UID/FCode조합 정보를 상기 명령어 테이블에 등록하는 단계를 포함하는 것
    인 비정상 트래픽 탐지 방법.
  14. 제11항에 있어서, 상기 제어시스템의 비정상 트래픽을 탐지하는 단계는,
    상기 제어시스템의 클라이언트로부터 수신된 모드버스 요청 메시지와 생성된 상기 모드버스 통신 패턴을 기반으로 상기 제어시스템의 Modbus/TCP 통신시 비정상 트래픽을 탐지하는 단계를 포함하는 것
    인 비정상 트래픽 탐지 방법.
  15. 제14항에 있어서, 상기 Modbus/TCP 통신시 비정상 트래픽을 탐지하는 단계는,
    상기 모드버스 요청 메시지의 근원지 주소 값과 동일한 서버 주소 값이 상기 모드버스 통신 패턴에 포함된 서버 테이블에 존재하는지 여부를 판단하는 단계; 및
    판단결과, 상기 근원지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재할 경우, 상기 근원지 주소 값에 대응되는 서버를 비정상 서버로 판단하는 단계를 포함하는 것
    인 비정상 트래픽 탐지 방법.
  16. 제15항에 있어서, 상기 Modbus/TCP 통신시 비정상 트래픽을 탐지하는 단계는,
    상기 판단결과, 상기 근원지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하지 않는 경우, 상기 모드버스 요청 메시지의 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하는지 여부를 판단하는 단계; 및
    판단결과, 상기 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재하지 않는 경우, 상기 목적지 주소 값에 대응되는 서버를 알 수 없는 서버로 판단하는 단계를 더 포함하는 것
    인 비정상 트래픽 탐지 방법.
  17. 제16항에 있어서, 상기 Modbus/TCP 통신시 비정상 트래픽을 탐지하는 단계는,
    상기 목적지 주소 값과 동일한 서버 주소 값이 상기 서버 테이블에 존재할 경우, 상기 모드버스 요청 메시지의 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 상기 모드버스 통신 패턴에 포함된 명령어 테이블에 존재하는지 여부를 판단하는 단계; 및
    판단결과에 따라 비정상 명령어 레벨을 설정하고, 설정된 결과를 토대로 경보를 발생하는 단계를 더 포함하는 것
    인 비정상 트래픽 탐지 방법.
  18. 제17항에 있어서, 상기 경보를 발생하는 단계는,
    상기 SIP/UIP/UID/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 존재하지 않는 경우, SIP/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 존재하는지 여부를 판단하는 단계; 및
    판단결과, 상기 SIP/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 존재할 경우, 상기 비정상 명령어 레벨을 최저 위험 레벨로 설정하는 단계를 포함하는 것
    인 비정상 트래픽 탐지 방법.
  19. 제18항에 있어서, 상기 경보를 발생하는 단계는,
    상기 SIP/FCode조합 정보와 동일한 조합 정보가 상기 명령어 테이블에 존재하지 않는 경우, FCode가 상기 명령어 테이블에 존재하는지 여부를 판단하는 단계; 및
    판단결과 상기 FCode가 상기 명령어 테이블에 존재하지 않는 경우, 상기 비정상 명령어 레벨을 최고 위험 레벨로 설정하는 단계를 더 포함하는 것
    인 비정상 트래픽 탐지 방법.
  20. 제19항에 있어서, 상기 경보를 발생하는 단계는,
    상기 FCode가 상기 명령어 테이블에 존재할 경우, 상기 비정상 명령어 레벨을 상기 최저 위험 레벨 및 상기 최고 위험 레벨의 중간 위험 레벨로 설정하는 단계를 더 포함하는 것
    인 비정상 트래픽 탐지 방법.

KR1020140080790A 2014-06-30 2014-06-30 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 KR20160002058A (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020140080790A KR20160002058A (ko) 2014-06-30 2014-06-30 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
US14/699,449 US9699204B2 (en) 2014-06-30 2015-04-29 Abnormal traffic detection apparatus and method based on modbus communication pattern learning

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140080790A KR20160002058A (ko) 2014-06-30 2014-06-30 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20160002058A true KR20160002058A (ko) 2016-01-07

Family

ID=54931821

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140080790A KR20160002058A (ko) 2014-06-30 2014-06-30 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법

Country Status (2)

Country Link
US (1) US9699204B2 (ko)
KR (1) KR20160002058A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245694A (zh) * 2019-09-17 2020-06-05 浙江中自机电控制技术有限公司 一种基于Modbus扩展通讯的故障处理方法
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9870476B2 (en) * 2014-09-23 2018-01-16 Accenture Global Services Limited Industrial security agent platform
US10015188B2 (en) 2015-08-20 2018-07-03 Cyberx Israel Ltd. Method for mitigation of cyber attacks on industrial control systems
KR101977401B1 (ko) * 2015-09-03 2019-05-13 엘에스산전 주식회사 동적 모드버스 프로토콜 매핑을 지원하는 통신 장치
JP6759572B2 (ja) 2015-12-15 2020-09-23 横河電機株式会社 統合生産システム
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
JP6793524B2 (ja) 2016-11-01 2020-12-02 株式会社日立製作所 ログ解析システムおよびその方法
US10721212B2 (en) * 2016-12-19 2020-07-21 General Electric Company Network policy update with operational technology
US10050987B1 (en) * 2017-03-28 2018-08-14 Symantec Corporation Real-time anomaly detection in a network using state transitions
TWI648978B (zh) * 2017-07-18 2019-01-21 中華電信股份有限公司 Hacker reverse connection behavior detection method
CN107453915A (zh) * 2017-08-17 2017-12-08 哈尔滨万融云联科技发展有限公司 基于Modbus外部接口的物联网接入系统与方法
GB2578268B (en) * 2018-01-29 2021-12-29 Ge Aviat Systems Ltd Configurable network switch for industrial control systems including deterministic networks
CN109413037B (zh) * 2018-09-12 2021-11-16 奇安信科技集团股份有限公司 一种Modbus业务处理方法及装置
CN110086810B (zh) * 2019-04-29 2020-08-18 西安交通大学 基于特征行为分析的被动式工控设备指纹识别方法及装置
US10764315B1 (en) * 2019-05-08 2020-09-01 Capital One Services, Llc Virtual private cloud flow log event fingerprinting and aggregation
CN112583763B (zh) * 2019-09-27 2022-09-09 财团法人资讯工业策进会 入侵侦测装置以及入侵侦测方法
CN111832647A (zh) * 2020-07-10 2020-10-27 上海交通大学 异常流量检测系统及方法
CN114070899B (zh) * 2020-07-27 2023-05-12 深信服科技股份有限公司 一种报文检测方法、设备及可读存储介质
CN113472520B (zh) * 2021-08-07 2022-06-03 山东省计算中心(国家超级计算济南中心) 一种ModbusTCP协议安全增强方法及系统

Family Cites Families (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020152289A1 (en) * 1997-09-10 2002-10-17 Schneider Automation Inc. System and method for accessing devices in a factory automation network
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US6907470B2 (en) * 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
US20020120728A1 (en) * 2000-12-22 2002-08-29 Jason Braatz Method and apparatus for network-enablement of devices using device intelligence and network architecture
US7013395B1 (en) * 2001-03-13 2006-03-14 Sandra Corporation Method and tool for network vulnerability analysis
US20020199122A1 (en) * 2001-06-22 2002-12-26 Davis Lauren B. Computer security vulnerability analysis methodology
MXPA04006473A (es) * 2001-12-31 2004-10-04 Citadel Security Software Inc Sistema de resolucion automatizado para vulnerabilidad de computadora.
EP1512075A1 (en) * 2002-05-22 2005-03-09 Lucid Security Corporation Adaptive intrusion detection system
US7536548B1 (en) * 2002-06-04 2009-05-19 Rockwell Automation Technologies, Inc. System and methodology providing multi-tier-security for network data exchange with industrial control components
US8909926B2 (en) * 2002-10-21 2014-12-09 Rockwell Automation Technologies, Inc. System and methodology providing automation security analysis, validation, and learning in an industrial controller environment
US7409721B2 (en) * 2003-01-21 2008-08-05 Symantac Corporation Network risk analysis
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
ATE514269T1 (de) * 2005-01-06 2011-07-15 Rockwell Automation Tech Inc Firewall-verfahren und vorrichtung für industrielle systeme
US20080178010A1 (en) * 2007-01-18 2008-07-24 Vaterlaus Robert K Cryptographic web service
KR101023708B1 (ko) 2008-12-30 2011-03-25 한국전기연구원 Modbus 기반 산업용 scada 네트워크의 데이터 보호 방법 및 장치
US20110016523A1 (en) 2009-07-14 2011-01-20 Electronics And Telecommunications Research Institute Apparatus and method for detecting distributed denial of service attack
US20110138463A1 (en) 2009-12-07 2011-06-09 Electronics And Telecommunications Research Institute Method and system for ddos traffic detection and traffic mitigation using flow statistics
KR101144819B1 (ko) 2010-11-23 2012-05-11 한국과학기술정보연구원 분산서비스거부 공격 탐지 및 방어 장치 및 그 방법
CN104521186A (zh) * 2012-06-07 2015-04-15 施耐德电器工业公司 工业网络中的消息隧穿

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111245694A (zh) * 2019-09-17 2020-06-05 浙江中自机电控制技术有限公司 一种基于Modbus扩展通讯的故障处理方法
CN111245694B (zh) * 2019-09-17 2021-11-23 浙江中自机电控制技术有限公司 一种基于Modbus扩展通讯的故障处理方法
WO2022145838A1 (ko) * 2020-12-28 2022-07-07 엑사비스 주식회사 회귀보안검사를 이용한 이상행위 학습 및 탐지 시스템 및 그 방법

Also Published As

Publication number Publication date
US9699204B2 (en) 2017-07-04
US20150381642A1 (en) 2015-12-31

Similar Documents

Publication Publication Date Title
KR20160002058A (ko) 모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
CN110996318B (zh) 一种变电站智能巡检机器人安全通信接入系统
US11102226B2 (en) Dynamic security method and system based on multi-fusion linkage response
KR101977731B1 (ko) 제어 시스템의 이상 징후 탐지 장치 및 방법
Verba et al. Idaho national laboratory supervisory control and data acquisition intrusion detection system (SCADA IDS)
CN104320332A (zh) 多协议工业通信安全网关及应用该网关的通信方法
CN107749863B (zh) 一种信息系统网络安全隔离的方法
Taylor et al. Enhancing integrity of modbus TCP through covert channels
JP6117050B2 (ja) ネットワーク制御装置
Kolisnyk et al. Investigation of the smart business center for IoT systems availability considering attacks on the router
CN105812338B (zh) 一种数据访问管控方法及网络管理设备
KR101881061B1 (ko) 모드 변경이 가능한 양방향 통신 장치 및 방법
KR20190045575A (ko) 무선 통신 시스템에서 디바이스 간의 자율적인 상호 인증 방법 및 장치
KR101889502B1 (ko) 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법
KR20130085473A (ko) 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템
KR20150110065A (ko) 실행파일 모니터링 기반 악성코드 탐지 방법 및 시스템
CN113206852B (zh) 一种安全防护方法、装置、设备及存储介质
KR20120000942A (ko) 블랙리스트 접근 통계 기반의 봇 감염 호스트 탐지 장치 및 그 탐지 방법
KR101491084B1 (ko) 플랜트 제어 시스템 환경에서 보안 역할에 따른 중앙 제어망에서 지역 제어망으로의 망간 데이터 전송 방법
KR101818508B1 (ko) 기업내 보안망 제공시스템, 그 방법 및 컴퓨터 판독가능한 기록 매체
KR100427448B1 (ko) 라돈-보안게이트웨이 시스템 및 그 보안정책 설정방법과유해트래픽 탐지경보생성방법
KR101438135B1 (ko) 플랜트 제어 시스템 환경에서 보안 역할에 따른 중앙 제어망에서 지역 제어망으로의 망간 데이터 전송 장치
KR20200098181A (ko) 통합보안네트워크카드에의한네트워크보안시스템
CN113467311B (zh) 基于软件定义的电力物联网安全防护装置及方法
AU2021106427A4 (en) System and Method for achieving cyber security of Internet of Things (IoT) devices using embedded recognition token

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination