KR20180012548A - Method for discriminating of abnormal behavior in automatic control system - Google Patents
Method for discriminating of abnormal behavior in automatic control system Download PDFInfo
- Publication number
- KR20180012548A KR20180012548A KR1020160095522A KR20160095522A KR20180012548A KR 20180012548 A KR20180012548 A KR 20180012548A KR 1020160095522 A KR1020160095522 A KR 1020160095522A KR 20160095522 A KR20160095522 A KR 20160095522A KR 20180012548 A KR20180012548 A KR 20180012548A
- Authority
- KR
- South Korea
- Prior art keywords
- abnormal
- signal
- normal
- behavior
- collecting
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/04—Programme control other than numerical control, i.e. in sequence controllers or logic controllers
- G05B19/05—Programmable logic controllers, e.g. simulating logic interconnections of signals according to ladder diagrams or function charts
- G05B19/058—Safety, monitoring
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B2219/00—Program-control systems
- G05B2219/20—Pc systems
- G05B2219/23—Pc programming
- G05B2219/23317—Safe mode, secure program, environment in case of error, intrusion
Abstract
Description
본 발명은 산업시설에서 운용되는 자동제어 시스템 내의 이상 행위 발생 여부를 정상 환경 상태일 때의 사용자 행동 패턴에 기초하여 판단하는 자동제어 시스템에서의 이상 행위 판별 방법에 관한 것이다.The present invention relates to a method for determining an abnormal behavior in an automatic control system that determines whether or not an abnormal behavior occurs in an automatic control system operated in an industrial facility based on a user behavior pattern in a normal environment condition.
기존의 자동제어시스템을 대상으로 하는 정보 보호 기술은 단순히 네트워크 기반의 방화벽 또는 모드버스(MODEBUS) 등과 같은 산업용 자동제어전용 통신프로토콜을 대상으로 하는 필터링 및 이상징후 탐지를 수행하는 방법으로 개발되어왔다.The information protection technology targeting the existing automatic control system has been developed as a method of performing filtering and abnormal symptom detection targeting a communication protocol dedicated to industrial automatic control such as a network-based firewall or MODEBUS.
이와 관련된 선행 문헌으로, 대한민국 등록특허 제10-1538927호(이하, '선행문헌1'이라 함)에는 PLC 내부에서 자동으로 서브키를 생성하고, 내부의 암호화기에 의해 서브키를 이용하여 제어신호 변수값을 암호화하는 방법으로 외부로부터 제어신호와 관련된 변수 값의 노출을 막고 있다. 그러나 선행문헌1의 경우, 최근의 공격 유형처럼 자동제어 시스템 내부의 PC를 감염시켜 정상신호와 동일한 조건으로 자동제어장치를 오동작시키는 신호를 보내는 공격으로부터의 대응은 불가능하다.As a prior art related to this, Korean Patent Registration No. 10-1538927 (hereinafter referred to as "Prior Art Document 1") automatically generates a sub key within the PLC, The value is encrypted to prevent exposure of variable values related to the control signal from the outside. However, in the case of the prior art document 1, it is impossible to respond to an attack that sends a signal that malfunctions the automatic control device under the same conditions as the normal signal by infecting the PC inside the automatic control system as in the recent attack type.
또한, 대한민국 공개특허 제10-2013-0071138호(이하, '선행문헌2'라 함)에는 자동제어신호를 전송하는데 이용되는 MODBUS 프로토콜에 포함되는 근원지 주소 및 포트 번호, 목적지 주소 및 포트 번호, 각각의 MAC 어드레스 등을 이용하여 접근제어필터 규칙에 의한 부정 접근을 방지하는 기술을 설명하고 있다. 그러나 선행문헌2의 경우, 적용된 프로토콜 이외의 새로운 프로토콜을 사용하는 시스템에서는 적용하지 못하며, 각 프로토콜별로 접근제어 방법을 새롭게 적용하여야 하는 불편함을 가지고 있다.In Korean Patent Laid-Open Publication No. 10-2013-0071138 (hereinafter referred to as "Prior Art 2"), a source address and a port number, a destination address, and a port number included in the MODBUS protocol used for transmitting an automatic control signal The MAC address of the access control filter rule is used to prevent illegal access by the access control filter rule. However, in the case of the preceding document 2, it is not applicable to a system using a new protocol other than the applied protocol, and it is inconvenient to newly apply the access control method for each protocol.
이외에도, 제어시스템을 대상으로 하는 침입탐지 및 분석 기술은 주로 TCP 상에서 MODBUS 프로토콜과 DNP3 프로토콜을 대상으로 한 탐지기술이 일반적이며, Ethernet/IP, BACnet(빌딩제어시스템), IEC61850(전력제어시스템) 등 특정 통신 프로토콜을 대상으로 하는 제어시스템의 보안과 관련된 연구가 주로 진행되고 있다. 게다가, 보안시스템이 적용되지 않은 채로 운용되고 있는 기존의 제어시스템에 대하여 새롭게 보안시스템을 적용하는 방법으로는 적합하지 않으며, 새롭게 설치되는 제어시스템을 대상으로 한 보안 기술 개발에 그치고 있다.In addition, the intrusion detection and analysis technology targeting the control system is mainly based on TCP / IP and MODBUS protocol and TCP / IP protocol, and is based on Ethernet / IP, BACnet (Building Control System), IEC61850 Research on the security of control systems targeting specific communication protocols is mainly conducted. In addition, it is not suitable as a method of applying a new security system to an existing control system which is operated without a security system, and development of a security technology for a newly installed control system is limited.
따라서, 특정 프로토콜을 대상으로 하거나, 새롭게 설치되는 자동제어 시스템에서만 적용 가능한 보안 시스템이 아니라 범용적으로 설치, 사용하여 자동제어 시스템을 안전하게 보호할 수 있는 기술이 요구되고 있다.Therefore, there is a need for a technology capable of safely protecting an automatic control system by installing or using a general protocol instead of a security system that is applicable only to a specific protocol or a newly installed automatic control system.
본 발명이 해결하고자 하는 기술적 과제는, 자동제어를 위한 특정 프로토콜 기반에서 침입을 탐지하는 방법으로는 내부에서 일어나는 부정 조작에 의한 공격을 방지하기가 어렵다는 문제점을 해결하고, 다양한 프로토콜 적용을 위해서 새로운 기술을 적용해야 하는 불편함을 해소하며, 프로토콜 상에서 내부 시스템의 부정 동작 수행으로 인한 동작 오류를 줄이고 이로 인한 외부 공격을 방지하기 어려운 한계를 극복하고자 한다.SUMMARY OF THE INVENTION It is an object of the present invention to solve the problem that it is difficult to prevent attacks due to fraudulent manipulation that occurs inside from a specific protocol based on automatic control, And it is aimed to overcome the limit of difficulty in preventing external attack by reducing the operation error due to the illegal operation of the internal system on the protocol.
나아가, 본 발명은 자동제어 시스템 내부에서 발생 가능한 오동작과 외부의 바이러스 등으로 인한 시스템 손상을 검출할 뿐 아니라, 내부 사용자 또는 시스템 오류로 인한 연결장치의 과동작을 사전에 판단하여 이상 동작을 예방하고, 이상 징후 탐지를 위해 다양한 프로토콜 기반의 보안시스템을 구비하여야만 하는 경제적 어려움을 해결하고자 한다.Furthermore, the present invention not only detects malfunctions that may occur in the automatic control system, system damage due to external viruses, etc., but also prevents an abnormal operation by determining in advance whether an internal user or a connection device due to a system error is over- , And to solve the economic difficulty of having various protocol-based security systems to detect anomalous indications.
상기와 같은 목적을 달성하기 위한 본 발명의 일면에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, 운영서버와 연결되어 상기 운영서버로부터 소정의 제어신호를 전달받는 PLC(Programmable Logic Controller)와, 상기 PLC의 출력신호를 복수 개의 부하로 전달하는 릴레이 모듈과, 상기 릴레이 모듈과 상기 복수 개의 부하 사이에 연결되어 상기 부하의 전력 사용량 및 사용패턴을 추출하는 전류측정모듈과, 상기 PLC와 상기 릴레이 모듈 사이에 구비되어 상기 제어신호의 이상 행위 여부를 판별하는 이상신호 탐지장치를 포함하는 자동제어 시스템에서의 이상 행위 판별 방법에 있어서, 상기 전류측정모듈 및 상기 이상신호 탐지장치에서 사용되는 변수들을 초기화하는 단계와, 상기 이상신호 탐지장치에서 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집하는 단계와, 상기 이상신호 탐지장치에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 상기 PLC로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스에 저장하는 단계와, 상기 이상신호 탐지장치에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단하는 단계;를 포함하는 것을 특징으로 한다.According to another aspect of the present invention, there is provided a method of determining an abnormal behavior in an automatic control system, the method comprising: a PLC (Programmable Logic Controller) connected to an operation server and receiving a predetermined control signal from the operation server; A relay module for transmitting the output signal of the PLC to a plurality of loads; a current measuring module connected between the relay module and the plurality of loads for extracting power usage and usage pattern of the load; And an abnormality signal detection device for detecting an abnormality in the control signal, the method comprising the steps of: initializing variables used in the current measurement module and the abnormality signal detection device, And a use event event other than the use behavior of the operator in the abnormal signal detection apparatus The method comprising the steps of: collecting a normal behavior pattern corresponding to event information of a normal behavior in a normal environment state in which a system operation environment is maintained so that the normal operation pattern is not input; The method of claim 1, further comprising the steps of: mapping the signal information transmitted to the PLC to the PLC and storing the same in a white list database; And collecting the operation pattern in the state, and comparing the collected operation pattern with the previously stored normal pattern to determine whether an abnormal behavior has occurred.
본 발명에 따르면, 자동제어 시스템 내부에서 불법적 또는 자동제어 시스템의 오류로 인한 과동작 신호 명령에 해당하는지를 정상 상태에서 사용되는 사용자의 명령 패턴을 기준으로 판단 및 확인하여 이상신호의 발생 여부를 미리 파악할 수 있다.According to the present invention, it is possible to determine whether an abnormal operation is caused by an error of an illegal or automatic control system within an automatic control system based on a command pattern of a user used in a normal state, .
또한, 본 발명에 따르면, 기존에 설치되어 운용되고 있는 자동제어 시스템에 새로운 보안 기능을 추가할 때 필요한 추가 개발을 위해 많은 시간과 비용이 발생하는 문제를 해결할 뿐 아니라, 자동제어 시스템에서 사용되는 다양한 통신 프로토콜의 데이터 포맷과 무관하게 범용적으로 사용 가능할 수 있다.In addition, according to the present invention, it is possible to solve a problem that a lot of time and expense is required for further development necessary for adding a new security function to an existing automatic control system installed and operated, It can be used universally regardless of the data format of the communication protocol.
도 1은 본 발명의 일 실시예에 따른 자동제어 시스템의 구성을 도시한 블록도이고,
도 2는 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법을 나타내는 순서도이고,
도 3은 도 2의 정상 행위 패턴을 수집하는 단계를 상세히 나타낸 순서도이다.1 is a block diagram showing a configuration of an automatic control system according to an embodiment of the present invention,
2 is a flowchart illustrating a method of determining an abnormal behavior in an automatic control system according to an embodiment of the present invention,
FIG. 3 is a flowchart illustrating in detail the step of collecting the normal behavior pattern of FIG.
이상과 같은 본 발명에 대한 해결하려는 과제, 과제의 해결수단, 발명의 효과를 포함한 구체적인 사항들은 다음에 기재할 실시예 및 도면에 포함되어 있다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.The foregoing and other objects, features and advantages of the present invention will become more apparent from the following detailed description of the present invention when taken in conjunction with the accompanying drawings. BRIEF DESCRIPTION OF THE DRAWINGS The advantages and features of the present invention, and the manner of achieving them, will be apparent from and elucidated with reference to the embodiments described hereinafter in conjunction with the accompanying drawings. Like reference numerals refer to like elements throughout the specification.
도 1은 본 발명의 일 실시예에 따른 자동제어 시스템의 구성을 도시한 블록도이다.1 is a block diagram showing a configuration of an automatic control system according to an embodiment of the present invention.
본 발명에 따른 자동제어 시스템은, 운영서버(110)와 연결되어 상기 운영서버(110)로부터 소정의 제어신호를 전달받는 PLC(Programmable Logic Controller; 120)와, 상기 PLC(120)의 출력신호를 복수 개의 부하(170)로 전달하는 릴레이 모듈(150)과, 상기 릴레이 모듈(150)과 상기 복수 개의 부하(170) 사이에 연결되어 상기 부하(170)의 전력 사용량 및 사용패턴을 추출하는 전류측정모듈(160)과, 상기 PLC(120)와 상기 릴레이 모듈(150) 사이에 구비되어 상기 제어신호의 이상 행위 여부를 판별하는 이상신호 탐지장치(130)를 포함하여 구성된다.The automatic control system according to the present invention includes a PLC (Programmable Logic Controller) 120 connected to the
여기서, 운영서버(110)는 수십 개의 변전소로부터 데이터를 송수신하는 스카다(SCADA; Supervisory Control And Data Acquisition) 시스템이 구축된 상태로, 운영자(10)의 명령에 대응하는 제어신호를 PLC(120)로 전송한다.The
여기서, PLC(120)와 릴레이 모듈(150) 사이에는 인버터(미도시)의 구성이 더 포함될 수 있다.Here, an inverter (not shown) may be further included between the
이 경우, PLC(120)가 도 1의 종단에 위치한 복수 개의 디바이스, 즉, 부하(170)로 동작 신호를 보내기 위하여 각각의 부하(170)의 제어량에 따라 주파수 신호를 인버터에 보내면 최종 출력값이 상기 인버터에서 상기 제어량에 대응되는 각각의 부하(170)로 전송될 수 있다.In this case, when the
이때, 전류측정모듈(160)은 상기 인버터에서 상기 각각의 부하(170)로 전송되는 전류량을 측정하여 이상신호 탐지장치(130)로 전달하게 된다.At this time, the
여기서, 상기 부하(170)는 도 1에 도시된 바와 같이 모터, 루프팬, 냉동기 및 펌프 등을 포함할 수 있다.Here, the
이때, 모터와 같은 회전체구조의 부하(170)는 축에 소정의 엔코더를 부착하여 동작 위치와 속도 등의 정보를 수집할 수 있다.At this time, the
여기서, 전류측정모듈(160)은, 복수의 부하(170) 각각의 전력 사용량 및 사용패턴을 추출한 후, 추출된 정보로부터 각 부하(170)의 작동 범위를 계산할 수 있다.Here, the
여기서, 이상신호 탐지장치(130)는, 산업 시설에 운용되는 자동제어 시스템이 적용되는 복수 개의 부하(170)가 정상 환경 상태일 때 동작하는 정상신호 패턴을 수집하여 이를 화이트리스트로 구성한 뒤, 구성된 정상신호 패턴을 기반으로 운용 환경 상태일 때 발생한 이상행위의 부정신호를 탐지함으로써 상기 자동제어 시스템을 이상행위로부터 안전하게 보호하기 위한 장치로서, 후술할 본 발명에 일 실시예에 따른 이상 행위 판별 방법(S100~S400)을 구현하기 위한 수단으로 이용된다.Here, the abnormal
이때, 정상 환경 상태는, 운영자(10)의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지하는 상태이고, 운용 환경 상태는, 전술한 바와 같은 제한 요건이 적용되지 않은 상태, 즉, 운영자(10)의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 상태일 수 있다.In this case, the normal environment state is a state in which the system operating environment is maintained such that no use event other than the usage behavior of the
도 2는 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법을 나타내는 순서도이고, 도 3은 도 2의 정상 행위 패턴을 수집하는 단계를 상세히 나타낸 순서도이다.FIG. 2 is a flowchart showing an abnormal behavior discrimination method in an automatic control system according to an embodiment of the present invention, and FIG. 3 is a flowchart illustrating a step of collecting normal behavior patterns in FIG.
이하, 도면들을 참조하여 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법에 대해 설명하도록 한다.Hereinafter, a method of determining an abnormal behavior in an automatic control system according to an embodiment of the present invention will be described with reference to the drawings.
본 발명에 따른 이상 행위 판별 방법은, 전술한 바와 같은 운영서버(110), PLC(120), 릴레이 모듈(150), 전류측정모듈(160) 및 이상신호 탐지장치(130)를 포함하는 자동제어 시스템에서 구현할 수 있다.The method for determining an abnormal behavior according to the present invention is a method for determining an abnormal operation by using an automatic control including the
먼저, 전류측정모듈(160) 및 이상신호 탐지장치(130)에서 사용되는 변수들을 초기화한다(S100).First, variables used in the
여기서, 상기 초기화하는 단계(S100)는, 정상 환경 상태에서의 정상 행위 패턴을 수집하기 위해 복수 개의 부하(170)가 실행되기 전에 수행되거나, 전원을 끄는 행동 등을 통하여 복수 개의 부하(170) 모두를 새롭게 동작시키는 단계에서 수행될 수 있다.Here, the initializing step S100 may be performed before the plurality of
이때, 부하(170)의 이상 동작을 유발시키기 위한 과동작 확인을 위한 누적 변수와, 부하(170)의 최대 허용 범위를 초과하는 동작 확인을 위한 최대 신호 변수와, 상기 최대 신호 변수와 관련된 초기 셋팅 변수들이 초기화되거나 기설정된 값으로 자동 변경될 수 있다.At this time, an accumulated parameter for confirming over-operation to cause an abnormal operation of the
다음으로, 이상신호 탐지장치(130)에서, 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집한다(S200).Next, the abnormal
여기서, 상기 수집하는 단계(S200)는, 구체적으로, 상기 정상 환경 상태일 때 상기 운영서버로부터 지시된 사용자 행위 이벤트를 목적지(즉, 종단 시스템에 연결된 부하(170)) IP, 목적지 인터페이스 번호, 전송 프로토콜 및 동작 명령값 중 어느 하나의 행위 유형으로 분류하여 수집하는 제1 수집단계(S210)와, 상기 운영서버의 제어신호에 기초하여 소정의 전기적인 신호로 상기 부하를 동작시키는 동작 신호를 수집하는 제2 수집단계(S220)와, 수집된 상기 사용자 행위 이벤트 및 상기 동작 신호를 동작 상태에 따라 분류하여 목록화한 후 상기 정상 행위 패턴으로 저장하는 제3 수집단계(S230)와, 상기 운영서버를 통해 운영자로부터 종료 명령을 수신할 때까지 상기 제1 수집단계 내지 상기 제3 수집단계를 운영자의 사용 스케쥴에 따라 반복 수행한 후 종료하는 단계(S240);를 포함할 수 있다.Specifically, the collecting step S200 collects user activity events indicated by the operation server from the destination (that is, the
여기서, 상기 제1 수집단계(S210)에 수집되는 사용자 행위 이벤트는 디지털 정보 형태이며, 동작하고자 하는 제어기기(즉, 종단 시스템에 연결된 부하(170))의 종류에 따라 구분되어 사용 행동과 목적으로 구체화한 행태 정보를 도출 가능하여, 그 목적과 중요도를 구분할 수 있다.Here, the user action event collected in the first collecting step S210 is digital information, and is classified according to the type of the control device (that is, the
이때, 상기 제1 수집단계(S210)에서의 행위 유형 분류의 기준이 되는 상기 사용자 행위 이벤트의 오프셋 값(offset value)은, 패킷의 시퀀스 값과, 목적지(종단에 위치한 제어기기, 즉, 부하(170)) IP와, 목적지 인터페이스 변호와, 전송 프로토콜과, 동작 명령 값을 포함할 수 있다.At this time, the offset value of the user action event, which is a criterion of the action type classification in the first collecting step (S210), is a sequence value of a packet and a destination (a control device at the end, 170) < / RTI > IP, destination interface protection, transport protocol, and operation command values.
여기서, 상기 제2 수집단계(S220)에서, 이상신호 탐지장치(130)는, 운영자(10)가 운영 서버(110)를 통해 지시한 동작 명령에 따라 PLC(120)에서 출력되는 신호(전압, 전류 등의 전기적인 신호 또는 디지털 신호)를 전달받아 수집한 후, 종단 시스템에 연결된 부하(170) 각각에 대응하는 전달 변수에 동작 신호 값을 저장한다.In the second collecting step S220, the abnormality
여기서, 상기 종료하는 단계(S240)는, 정상 행위 패턴 수집 과정(S210~S230)을 운영자(10)의 사용 스케쥴에 따라 반복 수행하면서 정상 환경 상태에서 사용되는 동작 이벤트 신호(행위 패턴) 및 최종 아날로그 등의 신호 값을 수집하고, 상기 동작 이벤트 신호 발생 시점에서의 동작 상태를 확인하면서 목록화한 후 이를 정상 환경 상태에서의 정상 행위 패턴으로 저장한다.Here, the ending step S240 may include repeating the normal action pattern collection process (S210 to S230) according to the usage schedule of the
만일 운영자(10)로부터 종료 명령이 수신되면, 전술한 상기 정상 행위 패턴 수집 과정을 통해 수집된 모든 정보를 화이트리스트 데이터베이스(140)에 저장한 후, 상기 저장된 데이터를 기반으로 운용 환경 상태에서의 비정상적인 행위 패턴을 판별하게 된다.If the termination command is received from the
다음으로, 이상신호 탐지장치(130)에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 PLC(120)로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스(140)에 저장한다(S300).Next, the normal action pattern collected by the abnormal
이 경우, 이상신호 탐지장치(130)는 상기 오프셋 값을 운영 서버(110)로부터 직접 전달받아 화이트리스트 데이터베이스(140)에 저장하고, 저장된 이벤트와 직접적으로 매핑이 되는 PLC 출력 아날로그 신호도 수집하여 함께 저장한다.In this case, the abnormal
다음으로, 이상신호 탐지장치(130)에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단한다(S400).Next, the abnormal
여기서, 상기 판단하는 단계(S400)는, 상기 운용 환경 상태일 때 상기 PLC(120)에서 출력되는 제어신호의 동작 시퀀스를 상기 정상 행위 패턴의 동작 시퀀스와 비교하여 차이값이 기설정된 작동 범위의 오차 범위를 초과하면 상기 이상 행위가 발생한 것으로 판단할 수 있다.Here, the determining step S400 may include comparing an operation sequence of the control signal output from the
이때, 상기 동작 시퀀스는, 상기 제1 수집단계(S210)에서 수집된 상기 오프셋 값이 포함된 패킷의 시퀀스 값을 나타내는 것일 수 있다.At this time, the operation sequence may indicate a sequence value of a packet including the offset value collected in the first collecting step (S210).
한편, 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, S400단계에 의해 상기 이상 행위가 발생한 것으로 판단되는 경우, 상기 부하(170)의 이상동작 알람신호를 상기 운영 서버(110)에 전달하는 단계;를 더 포함할 수 있다.Meanwhile, if it is determined in step S400 that the abnormal operation has occurred, the abnormal operation discrimination method in the automatic control system according to an embodiment of the present invention may include sending an abnormal operation alarm signal of the
이 경우, 운영자(10)의 지속적인 모니터링 없이도 자동으로 이상 행위 발생 시 알람신호가 운영 서버(110)에 전달되므로, 원격지에 있는 운영자(10)가 이상 행위의 발생 여부를 즉각적으로 파악할 수 있게 된다.In this case, since the alarm signal is automatically transmitted to the
또한, 본 발명의 일 실시예에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, S400단계의 상기 차이값이 기설정된 최대 임계값을 초과하는 경우, 상기 부하(170)의 동작을 제한하는 이벤트를 발생하여 상기 운영서버(110)로 전달하는 단계;를 더 포함할 수도 있다.In addition, the method for determining the abnormal behavior in the automatic control system according to an embodiment of the present invention may further include the step of, when the difference value in step S400 exceeds the predetermined maximum threshold value, And transmitting the generated information to the
이 경우, 자동제어 시스템의 종단에 연결된 소정의 부하(170)에 이상 행위에 따른 이상 신호가 발생한 것으로 보고, 운영자(10)의 동작 명령과는 별개로 부하(170)의 동작을 제한함으로써, 부하(170) 내부의 오류 및 손상을 예방할 수 있게 된다.In this case, the operation of the
전술한 바와 같은 본 발명에 따른 자동제어 시스템에서의 이상 행위 판별 방법은, 산업기산시설의 가용성 보장을 위하여 제어시스템에서 이상 행위 신호와 오동작 신호를 탐지하는 기술로서, 주요 기반시설 및 자동화 생산시설을 제어하고, 운용하는 자동제어 시스템 내에서 발생할 수 있는 사이버공격을 효과적으로 탐지하기 위한 방법으로 자동제어 시스템 검증 및 부정 신호 탐지에 이용된다.As described above, the method for determining the abnormal behavior in the automatic control system according to the present invention is a technology for detecting the abnormal operation signal and the malfunction signal in the control system in order to ensure the availability of the industrial basic facility. This system is used for automatic control system verification and detection of malicious signals as a method for effectively detecting a cyber attack that may occur in an automatic control system that controls and operates the system.
이러한 본 발명의 경우, 오픈소스 기반의 대용량 데이터 분석 플랫폼을 이용하여 자동제어 시스템에서 전송되는 제어신호를 분석하고 확인하여 종단 디바이스인 제어설비, 즉, 부하(170)에 전송되는 제어신호로부터 과동작 또는 부정동작 등의 이상징후를 탐지하고, 더불어 이상행위 탐지를 위한 내부 변수로부터 패턴 매칭 방법에 의해 전송된 제어신호가 정상신호인지 비정상 행위를 위한 신호인지 탐지할 수 있다.In the case of the present invention, the control signal transmitted from the automatic control system is analyzed and verified using the open-source-based large-capacity data analysis platform, and the control signal transmitted from the control device, that is, Or abnormal operation, and detects whether the control signal transmitted by the pattern matching method from the internal variable for detecting the abnormal operation is a normal signal or a signal for an abnormal operation.
이에 따라, 본 발명에 의하면, 자동제어 시스템 내부에서 불법적 또는 자동제어 시스템의 오류로 인한 과동작 신호 명령에 해당하는지를 정상 상태에서 사용되는 사용자의 명령 패턴을 기준으로 판단 및 확인하여 이상신호의 발생 여부를 미리 파악할 수 있게 된다.Thus, according to the present invention, it is possible to judge and check whether an over-actuation signal command due to an error of an illegal or automatic control system exists in an automatic control system based on a command pattern of a user used in a normal state, Can be grasped in advance.
또한, 본 발명에 의하면, 기존에 설치되어 운용되고 있는 자동제어 시스템에 새로운 보안 기능을 추가할 때 필요한 추가 개발을 위해 많은 시간과 비용이 발생하는 문제를 해결할 뿐 아니라, 자동제어 시스템에서 사용되는 다양한 통신 프로토콜의 데이터 포맷과 무관하게 범용적으로 사용 가능할 수 있게 된다.Further, according to the present invention, it is possible to solve a problem that a lot of time and cost are incurred for further development required when adding a new security function to an existing automatic control system installed and operated, It can be used universally regardless of the data format of the communication protocol.
이상, 바람직한 실시예를 통하여 본 발명에 관하여 상세히 설명하였으나, 본 발명은 이에 한정되는 것은 아니며 특허청구범위 내에서 다양하게 실시될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments.
특히, 전술한 내용은 후술할 발명의 청구범위를 더욱 잘 이해할 수 있도록 본 발명의 특징과 기술적 강점을 다소 폭넓게 상술하였으므로, 상술한 본 발명의 개념과 특정 실시 예는 본 발명과 유사 목적을 수행하기 위한 다른 형상의 설계나 수정의 기본으로써 즉시 사용될 수 있음이 해당 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.It is to be understood that both the foregoing general description and the following detailed description are exemplary and explanatory and are intended to provide further explanation of the invention as claimed. It should be appreciated by those of skill in the art that it can be used immediately as a basis for designing or modifying other features for a particular application.
또한, 상기에서 기술된 실시 예는 본 발명에 따른 하나의 실시 예일 뿐이며, 해당 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술적 사상의 범위에서 다양한 수정 및 변경된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 따라서, 개시된 실시예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 하고, 이러한 다양한 수정 및 변경 또한 본 발명의 기술적 사상의 범위는 전술한 본 발명의 청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.It will be apparent to those skilled in the art that various modifications and variations can be made in the present invention without departing from the spirit or scope of the inventions. You will understand. Therefore, it should be understood that the disclosed embodiments are to be considered in an illustrative rather than a restrictive sense, and that various modifications and changes may be made without departing from the spirit and scope of the invention as defined in the appended claims and equivalents thereof All differences should be construed as being included in the present invention.
10: 운영자
110: 운영서버
120: PLC
130: 이상신호 탐지장치
140: 화이트리스트 데이터베이스
150: 릴레이 모듈
160: 전류측정모듈
170: 부하10: Operator 110: Operational server
120: PLC 130: abnormal signal detection device
140: Whitelist database 150: Relay module
160: Current measurement module 170: Load
Claims (5)
상기 전류측정모듈 및 상기 이상신호 탐지장치에서 사용되는 변수들을 초기화하는 단계;
상기 이상신호 탐지장치에서 운영자의 사용행위 이외의 다른 사용행위 이벤트가 입력되지 않도록 시스템 운영환경을 유지한 정상 환경 상태에서의 정상 행위의 이벤트 정보에 해당하는 정상 행위 패턴을 수집하는 단계;
상기 이상신호 탐지장치에서 수집된 정상 행위 패턴과 상기 정상 행위 패턴의 발생 시점에 상기 PLC로 전달되는 신호 정보를 함께 매핑하여 화이트리스트 데이터베이스에 저장하는 단계; 및
상기 이상신호 탐지장치에서 상기 정상 환경 상태와 달리 운영자의 사용행위와 다른 사용행위 이벤트가 동시에 입력될 수 있는 운용 환경 상태에서의 운용 행위 패턴을 수집한 후, 수집된 운용 행위 패턴과 기저장된 상기 정상 행위 패턴을 비교하여 이상 행위 발생 여부를 판단하는 단계;를 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.A PLC (Programmable Logic Controller) connected to the operation server and receiving a predetermined control signal from the operation server; a relay module for transmitting the output signal of the PLC to a plurality of loads; And an abnormality signal detection device which is provided between the PLC and the relay module and discriminates whether the control signal is abnormal or not. In the abnormal behavior discrimination method,
Initializing variables used in the current measurement module and the abnormal signal detection device;
Collecting a normal behavior pattern corresponding to event information of a normal activity in a normal environment state in which the system operation environment is maintained so that the use event other than the usage event of the operator is not input in the abnormal signal detection device;
Mapping the normal behavior pattern collected by the abnormal signal detection device and the signal information transmitted to the PLC at the time of occurrence of the normal behavior pattern, and storing the mapped signal information in the white list database; And
The abnormality signal detection apparatus collects an operation pattern in an operating environment state in which the use behavior of the operator and the use event other than the normal environment state can be inputted at the same time, And comparing the behavior patterns to determine whether an abnormal behavior has occurred or not.
상기 수집하는 단계는,
상기 정상 환경 상태일 때 상기 운영서버로부터 지시된 사용자 행위 이벤트를 목적지(종단시스템) IP, 목적지 인터페이스 번호, 전송 프로토콜 및 동작 명령값 중 어느 하나의 행위 유형으로 분류하여 수집하는 제1 수집단계;
상기 운영서버의 제어신호에 기초하여 소정의 전기적인 신호로 상기 부하를 동작시키는 동작 신호를 수집하는 제2 수집단계;
수집된 상기 사용자 행위 이벤트 및 상기 동작 신호를 동작 상태에 따라 분류하여 목록화한 후 상기 정상 행위 패턴으로 저장하는 제3 수집단계; 및
상기 운영서버를 통해 운영자로부터 종료 명령을 수신할 때까지 상기 제1 수집단계 내지 상기 제3 수집단계를 운영자의 사용 스케쥴에 따라 반복 수행한 후 종료하는 단계;를 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method according to claim 1,
Wherein the collecting comprises:
A first collecting step of classifying and collecting user activity events indicated by the operation server in the normal environment state into any one of a destination (end system) IP, a destination interface number, a transmission protocol, and an operation command value;
A second collecting step of collecting an operation signal for operating the load with a predetermined electrical signal based on a control signal of the operation server;
A third collecting step of classifying and collecting the collected user activity events and the operation signals according to the operation state, and storing the collected list in the normal behavior pattern; And
And repeating the first collecting step to the third collecting step according to the use schedule of the operator until the end command is received from the operator through the operating server. How to Identify an Abnormal Activity in.
상기 판단하는 단계는,
상기 운용 환경 상태일 때 상기 PLC에서 출력되는 제어신호의 동작 시퀀스를 상기 정상 행위 패턴의 동작 시퀀스와 비교하여 차이값이 기설정된 작동 범위의 오차 범위를 초과하면 상기 이상 행위가 발생한 것으로 판단하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method according to claim 1,
Wherein the determining step comprises:
When the operation state of the control signal outputted from the PLC is compared with the operation sequence of the normal behavior pattern and the difference value exceeds the error range of the predetermined operation range, A method for determining an abnormal behavior in an automatic control system.
상기 이상 행위가 발생한 것으로 판단되는 경우, 상기 부하의 이상동작 알람신호를 상기 운영 서버에 전달하는 단계;를 더 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method of claim 3,
And transmitting an abnormal operation alarm signal of the load to the operation server when it is determined that the abnormal operation has occurred.
상기 차이값이 기설정된 최대 임계값을 초과하는 경우, 상기 부하의 동작을 제한하는 이벤트를 발생하여 상기 운영서버로 전달하는 단계;를 더 포함하는 것을 특징으로 하는 자동제어 시스템에서의 이상 행위 판별 방법.The method of claim 3,
And generating an event limiting the operation of the load and transmitting the generated event to the operation server when the difference value exceeds a preset maximum threshold value. .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160095522A KR20180012548A (en) | 2016-07-27 | 2016-07-27 | Method for discriminating of abnormal behavior in automatic control system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020160095522A KR20180012548A (en) | 2016-07-27 | 2016-07-27 | Method for discriminating of abnormal behavior in automatic control system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20180012548A true KR20180012548A (en) | 2018-02-06 |
Family
ID=61228218
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020160095522A KR20180012548A (en) | 2016-07-27 | 2016-07-27 | Method for discriminating of abnormal behavior in automatic control system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20180012548A (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190106369A (en) * | 2018-03-09 | 2019-09-18 | 타이아(주) | Programmable Logic Controller pattern analysis system for improving lifetime and productivity of factory automation facilities, and method thereof |
KR102049251B1 (en) * | 2018-05-29 | 2019-11-28 | (주)넥스챌 | Microgrid gateway of collecting data and control method thereof |
-
2016
- 2016-07-27 KR KR1020160095522A patent/KR20180012548A/en not_active Application Discontinuation
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20190106369A (en) * | 2018-03-09 | 2019-09-18 | 타이아(주) | Programmable Logic Controller pattern analysis system for improving lifetime and productivity of factory automation facilities, and method thereof |
KR102049251B1 (en) * | 2018-05-29 | 2019-11-28 | (주)넥스챌 | Microgrid gateway of collecting data and control method thereof |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN106982235B (en) | IEC 61850-based electric power industry control network intrusion detection method and system | |
KR101880162B1 (en) | Method for Control Signals Verifying Integrity Using Control Signals Analysis in Automatic Control System | |
CN110495138B (en) | Industrial control system and monitoring method for network security thereof | |
KR101977731B1 (en) | Apparatus and method for detecting anomaly in a controller system | |
EP2721801B1 (en) | Security measures for the smart grid | |
JP6302283B2 (en) | Intelligent cyber-physical intrusion detection and prevention system and method for industrial control systems | |
EP2701340B1 (en) | Method of monitoring operation of an electric power system and monitoring system | |
Morris et al. | A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems | |
CN108931968B (en) | Network security protection system applied to industrial control system and protection method thereof | |
EP2136530B1 (en) | Collaborative defense of energy distribution protection and control devices | |
CN102257787B (en) | Network analysis | |
Morris et al. | Engineering future cyber-physical energy systems: Challenges, research needs, and roadmap | |
US10645167B2 (en) | Distributed setting of network security devices from power system IED settings files | |
KR20120058913A (en) | Intelligent Electric Device, network system including the device and the protecting method for the network | |
Nicholson et al. | Position paper: Safety and security monitoring in ics/scada systems | |
KR20180012548A (en) | Method for discriminating of abnormal behavior in automatic control system | |
CN111628994A (en) | Industrial control environment anomaly detection method, system and related device | |
CN104615096A (en) | Method and system for guaranteeing information security of industrial control system | |
Feng et al. | Snort improvement on profinet RT for industrial control system intrusion detection | |
CN111736521B (en) | Safety protection method for industrial control equipment | |
CN111935085A (en) | Method and system for detecting and protecting abnormal network behaviors of industrial control network | |
CN112578694A (en) | Monitoring system, method, apparatus and computer readable medium for an industrial controller | |
US11621972B2 (en) | System and method for protection of an ICS network by an HMI server therein | |
Gao | Cyberthreats, attacks and intrusion detection in supervisory control and data acquisition networks | |
CN113285937B (en) | Safety audit method and system based on traditional substation configuration file and IEC103 protocol flow |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E601 | Decision to refuse application |