KR20180012548A - Method for discriminating of abnormal behavior in automatic control system - Google Patents

Method for discriminating of abnormal behavior in automatic control system Download PDF

Info

Publication number
KR20180012548A
KR20180012548A KR1020160095522A KR20160095522A KR20180012548A KR 20180012548 A KR20180012548 A KR 20180012548A KR 1020160095522 A KR1020160095522 A KR 1020160095522A KR 20160095522 A KR20160095522 A KR 20160095522A KR 20180012548 A KR20180012548 A KR 20180012548A
Authority
KR
South Korea
Prior art keywords
abnormal
signal
normal
behavior
collecting
Prior art date
Application number
KR1020160095522A
Other languages
Korean (ko)
Inventor
정충교
이진흥
Original Assignee
다운정보통신(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 다운정보통신(주) filed Critical 다운정보통신(주)
Priority to KR1020160095522A priority Critical patent/KR20180012548A/en
Publication of KR20180012548A publication Critical patent/KR20180012548A/en

Links

Images

Classifications

    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/05Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
    • G05B19/058Safety, monitoring
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B2219/00Program-control systems
    • G05B2219/20Pc systems
    • G05B2219/23Pc programming
    • G05B2219/23317Safe mode, secure program, environment in case of error, intrusion

Abstract

The present invention relates to a method for discriminating abnormal behavior in an automatic control system and, more specifically, relates to a method for discriminating abnormal behavior in an automatic control system which has a programmable logic controller (PLC), a relay module, a current measurement module, and an abnormal signal detection device. The method comprises the steps of: initializing variables used in the current measurement module and the abnormal signal detection device; collecting a normal behavior pattern; storing the normal behavior pattern and signal information transmitted to the PLC in a white list database; and determining whether abnormal behavior occurs. Therefore, occurrence of abnormal behavior can be grasped in advance.

Description

자동제어 시스템에서의 이상 행위 판별 방법{METHOD FOR DISCRIMINATING OF ABNORMAL BEHAVIOR IN AUTOMATIC CONTROL SYSTEM}Technical Field [0001] The present invention relates to a method for determining an abnormal behavior in an automatic control system,

본 발명은 산업시설에서 운용되는 자동제어 시스템 내의 이상 행위 발생 여부를 정상 환경 상태일 때의 사용자 행동 패턴에 기초하여 판단하는 자동제어 시스템에서의 이상 행위 판별 방법에 관한 것이다.The present invention relates to a method for determining an abnormal behavior in an automatic control system that determines whether or not an abnormal behavior occurs in an automatic control system operated in an industrial facility based on a user behavior pattern in a normal environment condition.

기존의 자동제어시스템을 대상으로 하는 정보 보호 기술은 단순히 네트워크 기반의 방화벽 또는 모드버스(MODEBUS) 등과 같은 산업용 자동제어전용 통신프로토콜을 대상으로 하는 필터링 및 이상징후 탐지를 수행하는 방법으로 개발되어왔다.The information protection technology targeting the existing automatic control system has been developed as a method of performing filtering and abnormal symptom detection targeting a communication protocol dedicated to industrial automatic control such as a network-based firewall or MODEBUS.

이와 관련된 선행 문헌으로, 대한민국 등록특허 제10-1538927호(이하, '선행문헌1'이라 함)에는 PLC 내부에서 자동으로 서브키를 생성하고, 내부의 암호화기에 의해 서브키를 이용하여 제어신호 변수값을 암호화하는 방법으로 외부로부터 제어신호와 관련된 변수 값의 노출을 막고 있다. 그러나 선행문헌1의 경우, 최근의 공격 유형처럼 자동제어 시스템 내부의 PC를 감염시켜 정상신호와 동일한 조건으로 자동제어장치를 오동작시키는 신호를 보내는 공격으로부터의 대응은 불가능하다.As a prior art related to this, Korean Patent Registration No. 10-1538927 (hereinafter referred to as "Prior Art Document 1") automatically generates a sub key within the PLC, The value is encrypted to prevent exposure of variable values related to the control signal from the outside. However, in the case of the prior art document 1, it is impossible to respond to an attack that sends a signal that malfunctions the automatic control device under the same conditions as the normal signal by infecting the PC inside the automatic control system as in the recent attack type.

또한, 대한민국 공개특허 제10-2013-0071138호(이하, '선행문헌2'라 함)에는 자동제어신호를 전송하는데 이용되는 MODBUS 프로토콜에 포함되는 근원지 주소 및 포트 번호, 목적지 주소 및 포트 번호, 각각의 MAC 어드레스 등을 이용하여 접근제어필터 규칙에 의한 부정 접근을 방지하는 기술을 설명하고 있다. 그러나 선행문헌2의 경우, 적용된 프로토콜 이외의 새로운 프로토콜을 사용하는 시스템에서는 적용하지 못하며, 각 프로토콜별로 접근제어 방법을 새롭게 적용하여야 하는 불편함을 가지고 있다.In Korean Patent Laid-Open Publication No. 10-2013-0071138 (hereinafter referred to as "Prior Art 2"), a source address and a port number, a destination address, and a port number included in the MODBUS protocol used for transmitting an automatic control signal The MAC address of the access control filter rule is used to prevent illegal access by the access control filter rule. However, in the case of the preceding document 2, it is not applicable to a system using a new protocol other than the applied protocol, and it is inconvenient to newly apply the access control method for each protocol.

이외에도, 제어시스템을 대상으로 하는 침입탐지 및 분석 기술은 주로 TCP 상에서 MODBUS 프로토콜과 DNP3 프로토콜을 대상으로 한 탐지기술이 일반적이며, Ethernet/IP, BACnet(빌딩제어시스템), IEC61850(전력제어시스템) 등 특정 통신 프로토콜을 대상으로 하는 제어시스템의 보안과 관련된 연구가 주로 진행되고 있다. 게다가, 보안시스템이 적용되지 않은 채로 운용되고 있는 기존의 제어시스템에 대하여 새롭게 보안시스템을 적용하는 방법으로는 적합하지 않으며, 새롭게 설치되는 제어시스템을 대상으로 한 보안 기술 개발에 그치고 있다.In addition, the intrusion detection and analysis technology targeting the control system is mainly based on TCP / IP and MODBUS protocol and TCP / IP protocol, and is based on Ethernet / IP, BACnet (Building Control System), IEC61850 Research on the security of control systems targeting specific communication protocols is mainly conducted. In addition, it is not suitable as a method of applying a new security system to an existing control system which is operated without a security system, and development of a security technology for a newly installed control system is limited.

따라서, 특정 프로토콜을 대상으로 하거나, 새롭게 설치되는 자동제어 시스템에서만 적용 가능한 보안 시스템이 아니라 범용적으로 설치, 사용하여 자동제어 시스템을 안전하게 보호할 수 있는 기술이 요구되고 있다.Therefore, there is a need for a technology capable of safely protecting an automatic control system by installing or using a general protocol instead of a security system that is applicable only to a specific protocol or a newly installed automatic control system.

KRKR 10-153892710-1538927 B1B1 KRKR 10-2013-007113810-2013-0071138 AA KRKR 10-153870910-1538709 B1B1 KRKR 10-136059110-1360591 B1B1 KRKR 10-2014-011849410-2014-0118494 AA KRKR 10-2014-011775310-2014-0117753 AA

본 발명이 해결하고자 하는 기술적 과제는, 자동제어를 위한 특정 프로토콜 기반에서 침입을 탐지하는 방법으로는 내부에서 일어나는 부정 조작에 의한 공격을 방지하기가 어렵다는 문제점을 해결하고, 다양한 프로토콜 적용을 위해서 새로운 기술을 적용해야 하는 불편함을 해소하며, 프로토콜 상에서 내부 시스템의 부정 동작 수행으로 인한 동작 오류를 줄이고 이로 인한 외부 공격을 방지하기 어려운 한계를 극복하고자 한다.SUMMARY OF THE INVENTION It is an object of the present invention to solve the problem that it is difficult to prevent attacks due to fraudulent manipulation that occurs inside from a specific protocol based on automatic control, And it is aimed to overcome the limit of difficulty in preventing external attack by reducing the operation error due to the illegal operation of the internal system on the protocol.

나아가, 본 발명은 자동제어 시스템 내부에서 발생 가능한 오동작과 외부의 바이러스 등으로 인한 시스템 손상을 검출할 뿐 아니라, 내부 사용자 또는 시스템 오류로 인한 연결장치의 과동작을 사전에 판단하여 이상 동작을 예방하고, 이상 징후 탐지를 위해 다양한 프로토콜 기반의 보안시스템을 구비하여야만 하는 경제적 어려움을 해결하고자 한다.Furthermore, the present invention not only detects malfunctions that may occur in the automatic control system, system damage due to external viruses, etc., but also prevents an abnormal operation by determining in advance whether an internal user or a connection device due to a system error is over- , And to solve the economic difficulty of having various protocol-based security systems to detect anomalous indications.

상기와 같은 목적을 달성하기 위한 본 발명의 일면에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, 운영서버와 연결되어 상기 운영서버로부터 소정의 제어신호를 전달받는 PLC(Programmable Logic Controller)와, 상기 PLC의 출력신호를 복수 개의 부하로 전달하는 릴레이 모듈과, 상기 릴레이 모듈과 상기 복수 개의 부하 사이에 연결되어 상기 부하의 전력 사용량 및 사용패턴을 추출하는 전류측정모듈과, 상기 PLC와 상기 릴레이 모듈 사이에 구비되어 상기 제어신호의 이상 행위 여부를 판별하는 이상신호 탐지장치를 포함하는 자동제어 시스템에서의 이상 행위 판별 방법에 있어서, 상기 전류측정모듈 및 상기 이상신호 탐지장치에서 사용되는 변수들을 초기화하는 단계와, 상기 이상신호 탐지장치에서 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집하는 단계와, 상기 이상신호 탐지장치에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 상기 PLC로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스에 저장하는 단계와, 상기 이상신호 탐지장치에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단하는 단계;를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method of determining an abnormal behavior in an automatic control system, the method comprising: a PLC (Programmable Logic Controller) connected to an operation server and receiving a predetermined control signal from the operation server; A relay module for transmitting the output signal of the PLC to a plurality of loads; a current measuring module connected between the relay module and the plurality of loads for extracting power usage and usage pattern of the load; And an abnormality signal detection device for detecting an abnormality in the control signal, the method comprising the steps of: initializing variables used in the current measurement module and the abnormality signal detection device, And a use event event other than the use behavior of the operator in the abnormal signal detection apparatus The method comprising the steps of: collecting a normal behavior pattern corresponding to event information of a normal behavior in a normal environment state in which a system operation environment is maintained so that the normal operation pattern is not input; The method of claim 1, further comprising the steps of: mapping the signal information transmitted to the PLC to the PLC and storing the same in a white list database; And collecting the operation pattern in the state, and comparing the collected operation pattern with the previously stored normal pattern to determine whether an abnormal behavior has occurred.

본 발명에 따르면, 자동제어 시스템 내부에서 불법적 또는 자동제어 시스템의 오류로 인한 과동작 신호 명령에 해당하는지를 정상 상태에서 사용되는 사용자의 명령 패턴을 기준으로 판단 및 확인하여 이상신호의 발생 여부를 미리 파악할 수 있다.According to the present invention, it is possible to determine whether an abnormal operation is caused by an error of an illegal or automatic control system within an automatic control system based on a command pattern of a user used in a normal state, .

또한, 본 발명에 따르면, 기존에 설치되어 운용되고 있는 자동제어 시스템에 새로운 보안 기능을 추가할 때 필요한 추가 개발을 위해 많은 시간과 비용이 발생하는 문제를 해결할 뿐 아니라, 자동제어 시스템에서 사용되는 다양한 통신 프로토콜의 데이터 포맷과 무관하게 범용적으로 사용 가능할 수 있다.In addition, according to the present invention, it is possible to solve a problem that a lot of time and expense is required for further development necessary for adding a new security function to an existing automatic control system installed and operated, It can be used universally regardless of the data format of the communication protocol.

도 1은 본 발명의 일 실시예에 따른 자동제어 시스템의 구성을 도시한 블록도이고,
도 2는 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법을 나타내는 순서도이고,
도 3은 도 2의 정상 행위 패턴을 수집하는 단계를 상세히 나타낸 순서도이다.1 is a block diagram showing a configuration of an automatic control system according to an embodiment of the present invention,
2 is a flowchart illustrating a method of determining an abnormal behavior in an automatic control system according to an embodiment of the present invention,
FIG. 3 is a flowchart illustrating in detail the step of collecting the normal behavior pattern of FIG.

이상과 같은 본 발명에 대한 해결하려는 과제, 과제의 해결수단, 발명의 효과를 포함한 구체적인 사항들은 다음에 기재할 실시예 및 도면에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.The foregoing and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. Like reference numerals refer to like elements throughout the specification.

도 1은 본 발명의 일 실시예에 따른 자동제어 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing a configuration of an automatic control system according to an embodiment of the present invention.

본 발명에 따른 자동제어 시스템은, 운영서버(110)와 연결되어 상기 운영서버(110)로부터 소정의 제어신호를 전달받는 PLC(Programmable Logic Controller; 120)와, 상기 PLC(120)의 출력신호를 복수 개의 부하(170)로 전달하는 릴레이 모듈(150)과, 상기 릴레이 모듈(150)과 상기 복수 개의 부하(170) 사이에 연결되어 상기 부하(170)의 전력 사용량 및 사용패턴을 추출하는 전류측정모듈(160)과, 상기 PLC(120)와 상기 릴레이 모듈(150) 사이에 구비되어 상기 제어신호의 이상 행위 여부를 판별하는 이상신호 탐지장치(130)를 포함하여 구성된다.The automatic control system according to the present invention includes a PLC (Programmable Logic Controller) 120 connected to the operation server 110 and receiving a predetermined control signal from the operation server 110, A relay module 150 connected between the relay module 150 and the plurality of loads 170 to extract a power consumption and a usage pattern of the load 170, And an abnormal signal detecting device 130 provided between the PLC 120 and the relay module 150 to discriminate whether the control signal is abnormal or not.

여기서, 운영서버(110)는 수십 개의 변전소로부터 데이터를 송수신하는 스카다(SCADA; Supervisory Control And Data Acquisition) 시스템이 구축된 상태로, 운영자(10)의 명령에 대응하는 제어신호를 PLC(120)로 전송한다.The operation server 110 transmits a control signal corresponding to the command of the operator 10 to the PLC 120 in a state where a SCADA system for transmitting and receiving data from dozens of substations is established, Lt; / RTI >

여기서, PLC(120)와 릴레이 모듈(150) 사이에는 인버터(미도시)의 구성이 더 포함될 수 있다.Here, an inverter (not shown) may be further included between the PLC 120 and the relay module 150.

이 경우, PLC(120)가 도 1의 종단에 위치한 복수 개의 디바이스, 즉, 부하(170)로 동작 신호를 보내기 위하여 각각의 부하(170)의 제어량에 따라 주파수 신호를 인버터에 보내면 최종 출력값이 상기 인버터에서 상기 제어량에 대응되는 각각의 부하(170)로 전송될 수 있다.In this case, when the PLC 120 sends a frequency signal to the inverter in accordance with the control amount of each load 170 to send an operation signal to a plurality of devices located at the end of FIG. 1, that is, the load 170, And may be transmitted from the inverter to each load 170 corresponding to the control amount.

이때, 전류측정모듈(160)은 상기 인버터에서 상기 각각의 부하(170)로 전송되는 전류량을 측정하여 이상신호 탐지장치(130)로 전달하게 된다.At this time, the current measuring module 160 measures the amount of current transferred from the inverter to each of the loads 170, and transmits the measured amount of current to the abnormal signal detecting device 130.

여기서, 상기 부하(170)는 도 1에 도시된 바와 같이 모터, 루프팬, 냉동기 및 펌프 등을 포함할 수 있다.Here, the load 170 may include a motor, a loop fan, a freezer, and a pump as shown in FIG.

이때, 모터와 같은 회전체구조의 부하(170)는 축에 소정의 엔코더를 부착하여 동작 위치와 속도 등의 정보를 수집할 수 있다.At this time, the load 170 having a rotating structure such as a motor can acquire information such as an operating position and a speed by attaching a predetermined encoder to the shaft.

여기서, 전류측정모듈(160)은, 복수의 부하(170) 각각의 전력 사용량 및 사용패턴을 추출한 후, 추출된 정보로부터 각 부하(170)의 작동 범위를 계산할 수 있다.Here, the current measuring module 160 may extract the power consumption and the usage pattern of each of the plurality of loads 170, and then calculate the operation range of each load 170 from the extracted information.

여기서, 이상신호 탐지장치(130)는, 산업 시설에 운용되는 자동제어 시스템이 적용되는 복수 개의 부하(170)가 정상 환경 상태일 때 동작하는 정상신호 패턴을 수집하여 이를 화이트리스트로 구성한 뒤, 구성된 정상신호 패턴을 기반으로 운용 환경 상태일 때 발생한 이상행위의 부정신호를 탐지함으로써 상기 자동제어 시스템을 이상행위로부터 안전하게 보호하기 위한 장치로서, 후술할 본 발명에 일 실시예에 따른 이상 행위 판별 방법(S100~S400)을 구현하기 위한 수단으로 이용된다.Here, the abnormal signal detection device 130 collects normal signal patterns that operate when a plurality of loads 170 to which an automatic control system operated in an industrial facility is applied is in a normal environmental state, constructs them into a whitelist, An apparatus for safely protecting the automatic control system from an abnormal behavior by detecting an abnormal signal of an abnormal behavior that occurs when the operating environment is in a state of being based on a normal signal pattern, S100 to S400).

이때, 정상 환경 상태는, 운영자(10)의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지하는 상태이고, 운용 환경 상태는, 전술한 바와 같은 제한 요건이 적용되지 않은 상태, 즉, 운영자(10)의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 상태일 수 있다.In this case, the normal environment state is a state in which the system operating environment is maintained such that no use event other than the usage behavior of the operator 10 is input, and the operating environment state is a state in which the above- That is, the usage event of the operator 10 and the other usage event may be simultaneously input.

도 2는 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법을 나타내는 순서도이고, 도 3은 도 2의 정상 행위 패턴을 수집하는 단계를 상세히 나타낸 순서도이다.FIG. 2 is a flowchart showing an abnormal behavior discrimination method in an automatic control system according to an embodiment of the present invention, and FIG. 3 is a flowchart illustrating a step of collecting normal behavior patterns in FIG.

이하, 도면들을 참조하여 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법에 대해 설명하도록 한다.Hereinafter, a method of determining an abnormal behavior in an automatic control system according to an embodiment of the present invention will be described with reference to the drawings.

본 발명에 따른 이상 행위 판별 방법은, 전술한 바와 같은 운영서버(110), PLC(120), 릴레이 모듈(150), 전류측정모듈(160) 및 이상신호 탐지장치(130)를 포함하는 자동제어 시스템에서 구현할 수 있다.The method for determining an abnormal behavior according to the present invention is a method for determining an abnormal operation by using an automatic control including the operation server 110, the PLC 120, the relay module 150, the current measurement module 160, System.

먼저, 전류측정모듈(160) 및 이상신호 탐지장치(130)에서 사용되는 변수들을 초기화한다(S100).First, variables used in the current measurement module 160 and the abnormal signal detection device 130 are initialized (S100).

여기서, 상기 초기화하는 단계(S100)는, 정상 환경 상태에서의 정상 행위 패턴을 수집하기 위해 복수 개의 부하(170)가 실행되기 전에 수행되거나, 전원을 끄는 행동 등을 통하여 복수 개의 부하(170) 모두를 새롭게 동작시키는 단계에서 수행될 수 있다.Here, the initializing step S100 may be performed before the plurality of loads 170 are executed to collect the normal behavior pattern in the normal environment state, or may be performed before the plurality of loads 170 May be performed in a new operation.

이때, 부하(170)의 이상 동작을 유발시키기 위한 과동작 확인을 위한 누적 변수와, 부하(170)의 최대 허용 범위를 초과하는 동작 확인을 위한 최대 신호 변수와, 상기 최대 신호 변수와 관련된 초기 셋팅 변수들이 초기화되거나 기설정된 값으로 자동 변경될 수 있다.At this time, an accumulated parameter for confirming over-operation to cause an abnormal operation of the load 170, a maximum signal parameter for confirming an operation exceeding a maximum allowable range of the load 170, Variables can be initialized or automatically changed to a preset value.

다음으로, 이상신호 탐지장치(130)에서, 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집한다(S200).Next, the abnormal signal detection device 130 collects a normal behavior pattern corresponding to the event information of the normal behavior in the normal environment state in which the system operation environment is maintained such that the use event other than the use behavior of the operator is not inputted (S200).

여기서, 상기 수집하는 단계(S200)는, 구체적으로, 상기 정상 환경 상태일 때 상기 운영서버로부터 지시된 사용자 행위 이벤트를 목적지(즉, 종단 시스템에 연결된 부하(170)) IP, 목적지 인터페이스 번호, 전송 프로토콜 및 동작 명령값 중 어느 하나의 행위 유형으로 분류하여 수집하는 제1 수집단계(S210)와, 상기 운영서버의 제어신호에 기초하여 소정의 전기적인 신호로 상기 부하를 동작시키는 동작 신호를 수집하는 제2 수집단계(S220)와, 수집된 상기 사용자 행위 이벤트 및 상기 동작 신호를 동작 상태에 따라 분류하여 목록화한 후 상기 정상 행위 패턴으로 저장하는 제3 수집단계(S230)와, 상기 운영서버를 통해 운영자로부터 종료 명령을 수신할 때까지 상기 제1 수집단계 내지 상기 제3 수집단계를 운영자의 사용 스케쥴에 따라 반복 수행한 후 종료하는 단계(S240);를 포함할 수 있다.Specifically, the collecting step S200 collects user activity events indicated by the operation server from the destination (that is, the load 170 connected to the end system) IP, the destination interface number, A first collecting step (S210) of collecting and classifying the data into one of a protocol and an operation command value, and collecting an operation signal for operating the load with a predetermined electrical signal based on a control signal of the operation server A third collecting step S230 of sorting and cataloging the collected user activity events and the operation signals according to the operation state and storing the same in the normal behavior pattern, The first collecting step to the third collecting step are repeatedly performed according to the usage schedule of the operator until the shutdown command is received from the operator Series (S240); it can include.

여기서, 상기 제1 수집단계(S210)에 수집되는 사용자 행위 이벤트는 디지털 정보 형태이며, 동작하고자 하는 제어기기(즉, 종단 시스템에 연결된 부하(170))의 종류에 따라 구분되어 사용 행동과 목적으로 구체화한 행태 정보를 도출 가능하여, 그 목적과 중요도를 구분할 수 있다.Here, the user action event collected in the first collecting step S210 is digital information, and is classified according to the type of the control device (that is, the load 170 connected to the end system) The concrete behavior information can be derived, and the purpose and importance can be distinguished.

이때, 상기 제1 수집단계(S210)에서의 행위 유형 분류의 기준이 되는 상기 사용자 행위 이벤트의 오프셋 값(offset value)은, 패킷의 시퀀스 값과, 목적지(종단에 위치한 제어기기, 즉, 부하(170)) IP와, 목적지 인터페이스 변호와, 전송 프로토콜과, 동작 명령 값을 포함할 수 있다.At this time, the offset value of the user action event, which is a criterion of the action type classification in the first collecting step (S210), is a sequence value of a packet and a destination (a control device at the end, 170) < / RTI > IP, destination interface protection, transport protocol, and operation command values.

여기서, 상기 제2 수집단계(S220)에서, 이상신호 탐지장치(130)는, 운영자(10)가 운영 서버(110)를 통해 지시한 동작 명령에 따라 PLC(120)에서 출력되는 신호(전압, 전류 등의 전기적인 신호 또는 디지털 신호)를 전달받아 수집한 후, 종단 시스템에 연결된 부하(170) 각각에 대응하는 전달 변수에 동작 신호 값을 저장한다.In the second collecting step S220, the abnormality signal detecting device 130 detects a signal (voltage, current, voltage) output from the PLC 120 according to an operation command instructed by the operator 10 through the operation server 110, Current, or the like), and then stores the operation signal value in a transfer parameter corresponding to each of the loads 170 connected to the end system.

여기서, 상기 종료하는 단계(S240)는, 정상 행위 패턴 수집 과정(S210~S230)을 운영자(10)의 사용 스케쥴에 따라 반복 수행하면서 정상 환경 상태에서 사용되는 동작 이벤트 신호(행위 패턴) 및 최종 아날로그 등의 신호 값을 수집하고, 상기 동작 이벤트 신호 발생 시점에서의 동작 상태를 확인하면서 목록화한 후 이를 정상 환경 상태에서의 정상 행위 패턴으로 저장한다.Here, the ending step S240 may include repeating the normal action pattern collection process (S210 to S230) according to the usage schedule of the operator 10, while repeating the operation event signal (behavior pattern) And stores the signal values as a normal behavior pattern in a normal environment state after cataloging the operation state at the time of generating the operation event signal.

만일 운영자(10)로부터 종료 명령이 수신되면, 전술한 상기 정상 행위 패턴 수집 과정을 통해 수집된 모든 정보를 화이트리스트 데이터베이스(140)에 저장한 후, 상기 저장된 데이터를 기반으로 운용 환경 상태에서의 비정상적인 행위 패턴을 판별하게 된다.If the termination command is received from the operator 10, all the information collected through the normal behavior pattern collection process described above is stored in the white list database 140, and then, based on the stored data, The behavior pattern is determined.

다음으로, 이상신호 탐지장치(130)에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 PLC(120)로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스(140)에 저장한다(S300).Next, the normal action pattern collected by the abnormal signal detection device 130 and the signal information transmitted to the PLC 120 at the time of occurrence of the normal action pattern are mapped together and stored in the white list database 140 (S300) .

이 경우, 이상신호 탐지장치(130)는 상기 오프셋 값을 운영 서버(110)로부터 직접 전달받아 화이트리스트 데이터베이스(140)에 저장하고, 저장된 이벤트와 직접적으로 매핑이 되는 PLC 출력 아날로그 신호도 수집하여 함께 저장한다.In this case, the abnormal signal detection device 130 receives the offset value directly from the operation server 110 and stores the offset value in the white list database 140, and also collects the PLC output analog signal that is directly mapped to the stored event .

다음으로, 이상신호 탐지장치(130)에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단한다(S400).Next, the abnormal signal detection device 130 collects the operation pattern in the operation environment state, in which the use behavior of the operator and other use event other than the normal environment state can be inputted at the same time, And comparing the normal behavior pattern with the previously stored normal behavior pattern (S400).

여기서, 상기 판단하는 단계(S400)는, 상기 운용 환경 상태일 때 상기 PLC(120)에서 출력되는 제어신호의 동작 시퀀스를 상기 정상 행위 패턴의 동작 시퀀스와 비교하여 차이값이 기설정된 작동 범위의 오차 범위를 초과하면 상기 이상 행위가 발생한 것으로 판단할 수 있다.Here, the determining step S400 may include comparing an operation sequence of the control signal output from the PLC 120 with the operation sequence of the normal behavior pattern when the operation environment state is the state, It is determined that the abnormal behavior has occurred.

이때, 상기 동작 시퀀스는, 상기 제1 수집단계(S210)에서 수집된 상기 오프셋 값이 포함된 패킷의 시퀀스 값을 나타내는 것일 수 있다.At this time, the operation sequence may indicate a sequence value of a packet including the offset value collected in the first collecting step (S210).

한편, 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, S400단계에 의해 상기 이상 행위가 발생한 것으로 판단되는 경우, 상기 부하(170)의 이상동작 알람신호를 상기 운영 서버(110)에 전달하는 단계;를 더 포함할 수 있다.Meanwhile, if it is determined in step S400 that the abnormal operation has occurred, the abnormal operation discrimination method in the automatic control system according to an embodiment of the present invention may include sending an abnormal operation alarm signal of the load 170 to the operation server 110 to the mobile terminal.

이 경우, 운영자(10)의 지속적인 모니터링 없이도 자동으로 이상 행위 발생 시 알람신호가 운영 서버(110)에 전달되므로, 원격지에 있는 운영자(10)가 이상 행위의 발생 여부를 즉각적으로 파악할 수 있게 된다.In this case, since the alarm signal is automatically transmitted to the operation server 110 when the abnormal operation is automatically performed without continuous monitoring by the operator 10, the operator 10 at the remote location can immediately recognize whether the abnormal operation has occurred.

또한, 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, S400단계의 상기 차이값이 기설정된 최대 임계값을 초과하는 경우, 상기 부하(170)의 동작을 제한하는 이벤트를 발생하여 상기 운영서버(110)로 전달하는 단계;를 더 포함할 수도 있다.In addition, the method for determining the abnormal behavior in the automatic control system according to an embodiment of the present invention may further include the step of, when the difference value in step S400 exceeds the predetermined maximum threshold value, And transmitting the generated information to the operation server 110. [

이 경우, 자동제어 시스템의 종단에 연결된 소정의 부하(170)에 이상 행위에 따른 이상 신호가 발생한 것으로 보고, 운영자(10)의 동작 명령과는 별개로 부하(170)의 동작을 제한함으로써, 부하(170) 내부의 오류 및 손상을 예방할 수 있게 된다.In this case, the operation of the load 170 is restricted independently of the operation command of the operator 10 by reporting an abnormal signal due to the abnormal operation to the predetermined load 170 connected to the end of the automatic control system, It is possible to prevent errors and damages in the inside of the battery 170.

전술한 바와 같은 본 발명에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, 산업기산시설의 가용성 보장을 위하여 제어시스템에서 이상 행위 신호와 오동작 신호를 탐지하는 기술로서, 주요 기반시설 및 자동화 생산시설을 제어하고, 운용하는 자동제어 시스템 내에서 발생할 수 있는 사이버공격을 효과적으로 탐지하기 위한 방법으로 자동제어 시스템 검증 및 부정 신호 탐지에 이용된다.As described above, the method for determining the abnormal behavior in the automatic control system according to the present invention is a technology for detecting the abnormal operation signal and the malfunction signal in the control system in order to ensure the availability of the industrial basic facility. This system is used for automatic control system verification and detection of malicious signals as a method for effectively detecting a cyber attack that may occur in an automatic control system that controls and operates the system.

이러한 본 발명의 경우, 오픈소스 기반의 대용량 데이터 분석 플랫폼을 이용하여 자동제어 시스템에서 전송되는 제어신호를 분석하고 확인하여 종단 디바이스인 제어설비, 즉, 부하(170)에 전송되는 제어신호로부터 과동작 또는 부정동작 등의 이상징후를 탐지하고, 더불어 이상행위 탐지를 위한 내부 변수로부터 패턴 매칭 방법에 의해 전송된 제어신호가 정상신호인지 비정상 행위를 위한 신호인지 탐지할 수 있다.In the case of the present invention, the control signal transmitted from the automatic control system is analyzed and verified using the open-source-based large-capacity data analysis platform, and the control signal transmitted from the control device, that is, Or abnormal operation, and detects whether the control signal transmitted by the pattern matching method from the internal variable for detecting the abnormal operation is a normal signal or a signal for an abnormal operation.

이에 따라, 본 발명에 의하면, 자동제어 시스템 내부에서 불법적 또는 자동제어 시스템의 오류로 인한 과동작 신호 명령에 해당하는지를 정상 상태에서 사용되는 사용자의 명령 패턴을 기준으로 판단 및 확인하여 이상신호의 발생 여부를 미리 파악할 수 있게 된다.Thus, according to the present invention, it is possible to judge and check whether an over-actuation signal command due to an error of an illegal or automatic control system exists in an automatic control system based on a command pattern of a user used in a normal state, Can be grasped in advance.

또한, 본 발명에 의하면, 기존에 설치되어 운용되고 있는 자동제어 시스템에 새로운 보안 기능을 추가할 때 필요한 추가 개발을 위해 많은 시간과 비용이 발생하는 문제를 해결할 뿐 아니라, 자동제어 시스템에서 사용되는 다양한 통신 프로토콜의 데이터 포맷과 무관하게 범용적으로 사용 가능할 수 있게 된다.Further, according to the present invention, it is possible to solve a problem that a lot of time and cost are incurred for further development required when adding a new security function to an existing automatic control system installed and operated, It can be used universally regardless of the data format of the communication protocol.

이상, 바람직한 실시예를 통하여 본 발명에 관하여 상세히 설명하였으나, 본 발명은 이에 한정되는 것은 아니며 특허청구범위 내에서 다양하게 실시될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments.

특히, 전술한 내용은 후술할 발명의 청구범위를 더욱 잘 이해할 수 있도록 본 발명의 특징과 기술적 강점을 다소 폭넓게 상술하였으므로, 상술한 본 발명의 개념과 특정 실시 예는 본 발명과 유사 목적을 수행하기 위한 다른 형상의 설계나 수정의 기본으로써 즉시 사용될 수 있음이 해당 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. It should be appreciated by those of skill in the art that it can be used immediately as a basis for designing or modifying other features for a particular application.

또한, 상기에서 기술된 실시 예는 본 발명에 따른 하나의 실시 예일 뿐이며, 해당 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상의 범위에서 다양한 수정 및 변경된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 따라서, 개시된 실시예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 이러한 다양한 수정 및 변경 또한 본 발명의 기술적 사상의 범위는 전술한 본 발명의 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the inventions. You will understand. Therefore, it should be understood that the disclosed embodiments are to be considered in an illustrative rather than a restrictive sense, and that various modifications and changes may be made without departing from the spirit and scope of the invention as defined in the appended claims and equivalents thereof All differences should be construed as being included in the present invention.

10: 운영자 110: 운영서버
120: PLC 130: 이상신호 탐지장치
140: 화이트리스트 데이터베이스 150: 릴레이 모듈
160: 전류측정모듈 170: 부하10: Operator 110: Operational server
120: PLC 130: abnormal signal detection device
140: Whitelist database 150: Relay module
160: Current measurement module 170: Load

Claims (5)

운영서버와 연결되어 상기 운영서버로부터 소정의 제어신호를 전달받는 PLC(Programmable Logic Controller)와, 상기 PLC의 출력신호를 복수 개의 부하로 전달하는 릴레이 모듈과, 상기 릴레이 모듈과 상기 복수 개의 부하 사이에 연결되어 상기 부하의 전력 사용량 및 사용패턴을 추출하는 전류측정모듈과, 상기 PLC와 상기 릴레이 모듈 사이에 구비되어 상기 제어신호의 이상 행위 여부를 판별하는 이상신호 탐지장치를 포함하는 자동제어 시스템에서의 이상 행위 판별 방법에 있어서,
상기 전류측정모듈 및 상기 이상신호 탐지장치에서 사용되는 변수들을 초기화하는 단계;
상기 이상신호 탐지장치에서 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집하는 단계;
상기 이상신호 탐지장치에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 상기 PLC로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스에 저장하는 단계; 및
상기 이상신호 탐지장치에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.A PLC (Programmable Logic Controller) connected to the operation server and receiving a predetermined control signal from the operation server; a relay module for transmitting the output signal of the PLC to a plurality of loads; And an abnormality signal detection device which is provided between the PLC and the relay module and discriminates whether the control signal is abnormal or not. In the abnormal behavior discrimination method,
Initializing variables used in the current measurement module and the abnormal signal detection device;
Collecting a normal behavior pattern corresponding to event information of a normal activity in a normal environment state in which the system operation environment is maintained so that the use event other than the usage event of the operator is not input in the abnormal signal detection device;
Mapping the normal behavior pattern collected by the abnormal signal detection device and the signal information transmitted to the PLC at the time of occurrence of the normal behavior pattern, and storing the mapped signal information in the white list database; And
The abnormality signal detection apparatus collects an operation pattern in an operating environment state in which the use behavior of the operator and the use event other than the normal environment state can be inputted at the same time, And comparing the behavior patterns to determine whether an abnormal behavior has occurred or not. 제1항에 있어서,
상기 수집하는 단계는,
상기 정상 환경 상태일 때 상기 운영서버로부터 지시된 사용자 행위 이벤트를 목적지(종단시스템) IP, 목적지 인터페이스 번호, 전송 프로토콜 및 동작 명령값 중 어느 하나의 행위 유형으로 분류하여 수집하는 제1 수집단계;
상기 운영서버의 제어신호에 기초하여 소정의 전기적인 신호로 상기 부하를 동작시키는 동작 신호를 수집하는 제2 수집단계;
수집된 상기 사용자 행위 이벤트 및 상기 동작 신호를 동작 상태에 따라 분류하여 목록화한 후 상기 정상 행위 패턴으로 저장하는 제3 수집단계; 및
상기 운영서버를 통해 운영자로부터 종료 명령을 수신할 때까지 상기 제1 수집단계 내지 상기 제3 수집단계를 운영자의 사용 스케쥴에 따라 반복 수행한 후 종료하는 단계;를 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method according to claim 1,
Wherein the collecting comprises:
A first collecting step of classifying and collecting user activity events indicated by the operation server in the normal environment state into any one of a destination (end system) IP, a destination interface number, a transmission protocol, and an operation command value;
A second collecting step of collecting an operation signal for operating the load with a predetermined electrical signal based on a control signal of the operation server;
A third collecting step of classifying and collecting the collected user activity events and the operation signals according to the operation state, and storing the collected list in the normal behavior pattern; And
And repeating the first collecting step to the third collecting step according to the use schedule of the operator until the end command is received from the operator through the operating server. How to Identify an Abnormal Activity in. 제1항에 있어서,
상기 판단하는 단계는,
상기 운용 환경 상태일 때 상기 PLC에서 출력되는 제어신호의 동작 시퀀스를 상기 정상 행위 패턴의 동작 시퀀스와 비교하여 차이값이 기설정된 작동 범위의 오차 범위를 초과하면 상기 이상 행위가 발생한 것으로 판단하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method according to claim 1,
Wherein the determining step comprises:
When the operation state of the control signal outputted from the PLC is compared with the operation sequence of the normal behavior pattern and the difference value exceeds the error range of the predetermined operation range, A method for determining an abnormal behavior in an automatic control system. 제3항에 있어서,
상기 이상 행위가 발생한 것으로 판단되는 경우, 상기 부하의 이상동작 알람신호를 상기 운영 서버에 전달하는 단계;를 더 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method of claim 3,
And transmitting an abnormal operation alarm signal of the load to the operation server when it is determined that the abnormal operation has occurred. 제3항에 있어서,
상기 차이값이 기설정된 최대 임계값을 초과하는 경우, 상기 부하의 동작을 제한하는 이벤트를 발생하여 상기 운영서버로 전달하는 단계;를 더 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method of claim 3,
And generating an event limiting the operation of the load and transmitting the generated event to the operation server when the difference value exceeds a preset maximum threshold value. .
KR1020160095522A 2016-07-27 2016-07-27 Method for discriminating of abnormal behavior in automatic control system KR20180012548A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160095522A KR20180012548A (en) 2016-07-27 2016-07-27 Method for discriminating of abnormal behavior in automatic control system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160095522A KR20180012548A (en) 2016-07-27 2016-07-27 Method for discriminating of abnormal behavior in automatic control system

Publications (1)

Publication Number Publication Date
KR20180012548A true KR20180012548A (en) 2018-02-06

Family

ID=61228218

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160095522A KR20180012548A (en) 2016-07-27 2016-07-27 Method for discriminating of abnormal behavior in automatic control system

Country Status (1)

Country Link
KR (1) KR20180012548A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190106369A (en) * 2018-03-09 2019-09-18 타이아(주) Programmable Logic Controller pattern analysis system for improving lifetime and productivity of factory automation facilities, and method thereof
KR102049251B1 (en) * 2018-05-29 2019-11-28 (주)넥스챌 Microgrid gateway of collecting data and control method thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190106369A (en) * 2018-03-09 2019-09-18 타이아(주) Programmable Logic Controller pattern analysis system for improving lifetime and productivity of factory automation facilities, and method thereof
KR102049251B1 (en) * 2018-05-29 2019-11-28 (주)넥스챌 Microgrid gateway of collecting data and control method thereof

Similar Documents

Publication Publication Date Title
CN106982235B (en) IEC 61850-based electric power industry control network intrusion detection method and system
KR101880162B1 (en) Method for Control Signals Verifying Integrity Using Control Signals Analysis in Automatic Control System
CN110495138B (en) Industrial control system and monitoring method for network security thereof
KR101977731B1 (en) Apparatus and method for detecting anomaly in a controller system
EP2721801B1 (en) Security measures for the smart grid
JP6302283B2 (en) Intelligent cyber-physical intrusion detection and prevention system and method for industrial control systems
EP2701340B1 (en) Method of monitoring operation of an electric power system and monitoring system
Morris et al. A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems
CN108931968B (en) Network security protection system applied to industrial control system and protection method thereof
EP2136530B1 (en) Collaborative defense of energy distribution protection and control devices
CN102257787B (en) Network analysis
Morris et al. Engineering future cyber-physical energy systems: Challenges, research needs, and roadmap
US10645167B2 (en) Distributed setting of network security devices from power system IED settings files
KR20120058913A (en) Intelligent Electric Device, network system including the device and the protecting method for the network
Nicholson et al. Position paper: Safety and security monitoring in ics/scada systems
KR20180012548A (en) Method for discriminating of abnormal behavior in automatic control system
CN111628994A (en) Industrial control environment anomaly detection method, system and related device
CN104615096A (en) Method and system for guaranteeing information security of industrial control system
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
CN111736521B (en) Safety protection method for industrial control equipment
CN111935085A (en) Method and system for detecting and protecting abnormal network behaviors of industrial control network
CN112578694A (en) Monitoring system, method, apparatus and computer readable medium for an industrial controller
US11621972B2 (en) System and method for protection of an ICS network by an HMI server therein
Gao Cyberthreats, attacks and intrusion detection in supervisory control and data acquisition networks
CN113285937B (en) Safety audit method and system based on traditional substation configuration file and IEC103 protocol flow

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application