KR20180036076A - System of responding to cyber-attach based on whitelist and system of analyzing whitelist log - Google Patents

System of responding to cyber-attach based on whitelist and system of analyzing whitelist log Download PDF

Info

Publication number
KR20180036076A
KR20180036076A KR1020160126194A KR20160126194A KR20180036076A KR 20180036076 A KR20180036076 A KR 20180036076A KR 1020160126194 A KR1020160126194 A KR 1020160126194A KR 20160126194 A KR20160126194 A KR 20160126194A KR 20180036076 A KR20180036076 A KR 20180036076A
Authority
KR
South Korea
Prior art keywords
whitelist
automation system
white list
cyber attack
power control
Prior art date
Application number
KR1020160126194A
Other languages
Korean (ko)
Inventor
민석홍
김인회
최재덕
Original Assignee
(주) 시스템뱅크
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 시스템뱅크 filed Critical (주) 시스템뱅크
Priority to KR1020160126194A priority Critical patent/KR20180036076A/en
Publication of KR20180036076A publication Critical patent/KR20180036076A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/25Routing or path finding in a switch fabric
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

The present invention provides a cyber attack responding system on a power control automated system based on IEC 61850 having a multi-level network structure. The cyber attack responding system based on a whitelist comprises: an open flow switch relaying devices positioned at an adjacent level of the power control automated system, and performing traffic control according to a forwarding table reflecting a whitelist having traffic that forwarding is available in the power control automated system defined therein; and a controller for controlling the open flow switch.

Description

화이트리스트 기반 사이버 공격 대응 시스템 및 화이트리스트 로그 분석 시스템{System of responding to cyber-attach based on whitelist and system of analyzing whitelist log}[0001] The present invention relates to a whitelist-based cyber attack response system and a whitelist log analysis system,

본 발명은 화이트리스트 기반 사이버 공격 대응 시스템 및 화이트리스트 로그 분석 시스템에 관한 것이다.The present invention relates to a white list-based cyber attack countermeasure system and a white list log analysis system.

기존 전력망에 IT기술을 접목하여 공급자와 소비자가 양방향으로 실시간 전력정보를 교환함으로써 에너지 효율을 최적화하는 차세대 전력망인 스마트 그리드(smart grid)에 대한 연구가 최근에 활발히 진행되고 있다.Recently, researches on smart grid, which is a next generation power network that optimizes energy efficiency by exchanging real-time electric power information in both directions by combining IT technology with existing electric power grid, has been actively conducted.

가정이나 공장 또는 빌딩 등에 전력을 공급하기 위한 전력 시스템은 전력을 생산하는 발전소, 전력을 수송하는 송전선로, 전력을 필요한 크기로 변성하는 변전소, 및 필요한 각 지역으로 전력을 배분하는 배전선로 등으로 이루어지고, 상기 변전소는 변압기, 모선, 선로, 차단기 등의 전력 설비로 구성된다.Power systems for supplying power to homes, factories, or buildings include a power generating plant, a power transmission line, a power substation transforming power to a required size, and a distribution line to distribute power to the required areas. The substation is composed of power facilities such as a transformer, a bus, a line, and a breaker.

변압기에서는 전송되는 전압의 크기를 변성하고, 모선에서는 송전선로를 연결하며, 차단기에서는 선로의 전력흐름을 차단하는 역할을 수행한다.The transformer transforms the magnitude of the transmitted voltage, connects the transmission line to the bus line, and cuts off the power flow of the line in the circuit breaker.

IED(Intelligent Electronic Device)는 변전소에 설치되어 각종 전력 설비를 감시, 제어 및 보호하기 위한 지능형 전자 장치로서 컴퓨터가 사용될 수 있다. IED에 결함이 발생하면 전력 설비를 적절히 감시, 제어 및 보호하기 어려우므로 전력공급이 원활히 이루어지기 어렵다.IED (Intelligent Electronic Device) is installed in a substation and can be used as a computer as an intelligent electronic device for monitoring, controlling and protecting various electric power facilities. If the IED is defective, it is difficult to properly monitor, control, and protect the electric power facilities, so that the electric power supply is difficult to be smoothly performed.

기존의 변전소에서는 IED가 전력 설비와 직접 연결되고 독립적으로 동작하였으나 최근에는 각 IED가 서로 정보를 공유하는 변전소 자동화 시스템이 도입되는 추세이다.In the conventional substation, the IED is directly connected to the electric power facilities and operated independently. Recently, however, a substation automation system in which IEDs share information with each other has been introduced.

IEC(International Electrotechnical Commission) 61850은 변전소 내 설치된 이종 IED간의 원활한 통신을 구현하기 위하여 제안된 국제표준 변전소 자동화 통신 아키텍쳐(architecture)이다.The International Electrotechnical Commission (IEC) 61850 is a proposed international standard substation automation communication architecture for seamless communication between heterogeneous IEDs installed in a substation.

IEC 61850은 변전소 자동화에 있어 실질적으로 유일한 국제 표준으로 자리잡고 있어, 향후 모든 IED가 IEC 61850 국제 규격을 따를 전망이다.IEC 61850 has become the only truly international standard for substation automation, and all future IEDs are expected to follow IEC 61850 international standards.

그런데, IEC 61850은 개방형(open) 아키텍쳐로서 일반적인 ICT 환경에서의 보안 취약성이 그대로 유입될 수 있다. 특히, 근래의 사이버 공격은 과거 불특정 다수를 대상으로 하는 단순한 방법에서 지능형 공격 즉, APT(Advanced Persistent Threat)으로 진화하고 있으며, 이와 같은 지능형 사이버 공격은 알려지지 않은 취약점인 제로데이(zero day) 취약점을 이용하거나 장시간 준비과정을 거쳐 은밀하게 이루어지는 경우가 대부분이기 때문에 이에 대하 탐지나 차단이 상당히 곤란한 문제가 있다.However, IEC 61850 is an open architecture, and security vulnerabilities in general ICT environment can be introduced intact. In particular, recent cyber attacks are evolving into simple and intelligent attacks (Advanced Persistent Threat) in the past, and intelligent cyber attacks are known as zero day vulnerabilities It is very difficult to detect or block them because most of them are used after a long period of preparation or secretly.

이와 같은 지능형 사이버 공격이 변전소 자동화 시스템에서 발생되면 그 파급력은 사회 전체를 마비시킬 정도로 엄청나게 된다. 나아가, 이와 같은 사이버 공격 문제는 변전소 자동화 시스템과 같이 오픈플로우 스위치가 적용될 수 있는 멀티 레벨 네트워크 구조의 전력 제어 자동화 시스템에 대해서도 동일하게 발생할 수 있다. When such an intelligent cyber attack occurs in a substation automation system, its power is so enormous that it paralyzes the entire society. Furthermore, such a cyber attack problem may occur in a power control automation system of a multi-level network structure in which an open flow switch can be applied, such as a substation automation system.

이러한바, 변전소 자동화 시스템을 포함하는 전력 제어 자동화 시스템에 대한 지능형 사이버 공격을 대응할 수 있는 방안이 마련될 필요가 있다.Accordingly, there is a need to provide a way to respond to intelligent cyber attacks on power control automation systems including substation automation systems.

본 발명은 전력 제어 자동화 시스템에 대한 사이버 공격에 효과적으로 대응할 수 있는 방안을 제공하는 것을 과제로 한다.An object of the present invention is to provide a method of effectively responding to a cyber attack on a power control automation system.

전술한 바와 같은 과제를 달성하기 위해, 본 발명은 멀티 레벨 네트워크 구조를 갖는 IEC 61850 기반의 전력 제어 자동화 시스템에 대한 사이버 공격 대응 시스템으로서, 상기 전력 제어 자동화 시스템의 이웃하는 레벨에 위치하는 기기들을 중계하며, 상기 전력 제어 자동화 시스템 내에서 포워딩이 허용되는 트래픽이 정의된 화이트리스트가 반영된 포워딩 테이블에 따라 트래픽 제어를 수행하는 오픈플로우 스위치와; 상기 오픈플로우 스위치를 제어하는 컨트롤러를 포함하는 사이버 공격 대응 시스템을 제공한다.In order to achieve the above-mentioned object, the present invention provides a cyber attack countermeasure system for a power control automation system based on IEC 61850 having a multi-level network structure, wherein the devices located at neighboring levels of the power control automation system are relayed An open flow switch for performing traffic control according to a forwarding table reflecting a whitelist in which traffic permitted for forwarding is defined in the power control automation system; And a controller for controlling the open flow switch.

여기서, 상기 컨트롤러와, 상기 화이트리스트에 대한 작성 기능을 제공하는 화이트리스트 작성모듈, 상기 화이트리스트를 저장하는 데이터베이스장치를 포함하고, 상기 전력 제어 자동화 시스템의 게이트웨이를 통해 상기 오픈플로우 스위치와 연결되는 관리서버를 포함할 수 있다.The white-list generating module includes: a controller; a whitelist generating module that provides a function for creating the whitelist; and a database device that stores the whitelist, Server.

상기 화이트리스트 작성모듈은, 상기 화이트리스트에 대한 업데이트나 삭제 기능을 제공하고, 상기 업데이트나 삭제된 화이트리스트는 상기 오픈플로우 스위치에 전송되어 상기 포워딩 테이블에 반영되도록 구성될 수 있다.The white list creation module may provide an update or delete function for the white list, and the update or the deleted white list may be transmitted to the open flow switch and reflected in the forwarding table.

상기 전력 제어 자동화 시스템은 변전소 자동화 시스템일 수 있다.The power control automation system may be a substation automation system.

다른 측면에서, 본 발명은 멀티 레벨 네트워크 구조를 갖는 IEC 61850 기반의 전력 제어 자동화 시스템에 대한 사이버 공격 대응 방법으로서, 컨트롤러에 의해 제어되고 상기 전력 제어 자동화 시스템의 이웃하는 레벨에 위치하는 기기들을 중계하는 오픈플로우 스위치에서, 상기 전력 제어 자동화 시스템 내에서 포워딩이 허용되는 트래픽이 정의된 화이트리스트가 반영된 포워딩 테이블에 따라 트래픽 제어를 수행하는 단계를 포함하는 사이버 공격 대응 방법을 제공한다.In another aspect, the present invention is a cyber attack countermeasure method for a power control automation system based on IEC 61850 having a multi-level network structure, comprising: relaying devices controlled by a controller and located at neighboring levels of the power control automation system And performing traffic control in an open flow switch according to a forwarding table reflecting a whitelist in which traffic permitted for forwarding is defined in the power control automation system.

여기서, 화이트리스트 작성모듈을 통해 상기 화이트리스트를 작성하는 단계와; 상기 작성된 화이트리스트를 데이터베이스장치에 저장하는 단계를 포함하고, 상기 작성된 화이트리스트는 상기 전력 제어 자동화 시스템의 게이트웨이를 통해 상기 오픈플로우 스위치에 전송될 수 있다.Generating a white list through a whitelist creation module; And storing the created whitelist in a database device, wherein the created whitelist can be transmitted to the open flow switch through a gateway of the power control automation system.

상기 화이트리스트 작성모듈은, 상기 화이트리스트에 대한 업데이트나 삭제 기능을 제공하고, 상기 업데이트나 삭제된 화이트리스트는 상기 오픈플로우 스위치에 전송되어 상기 포워딩 테이블에 반영될 수 있다.The white list creation module provides an update or delete function for the white list, and the update or the deleted white list can be transmitted to the open flow switch and reflected in the forwarding table.

상기 전력 제어 자동화 시스템은 변전소 자동화 시스템일 수 있다.The power control automation system may be a substation automation system.

본 발명에 따르면, IEC 61850 기반 변전소 자동화 시스템에 대한 지능형 사이버 공격 대응 시스템으로서 오픈플로우 프로토콜 기반의 시스템을 구축하게 된다.According to the present invention, an open flow protocol based system is constructed as an intelligent cyber attack countermeasure system for IEC 61850 based substation automation system.

이에 따라, 변전소 자동화 시스템 네트워크 내에서 포워딩이 허용되는 트래픽을 정의한 화이트리스트를 기반으로 트래픽 제어를 효과적으로 수행할 수 있게 되어, 변전소 자동화 시스템에 대한 지능형 사이버 공격을 신속하고 효율적으로 탐지하여 차단할 수 있게 된다.Accordingly, the traffic control can be effectively performed based on the whitelist defining the traffic permitted for forwarding in the substation automation system network, so that the intelligent cyber attack on the substation automation system can be quickly and efficiently detected and blocked .

도 1은 본 발명의 실시예에 따른 변전소 자동화 시스템과 이에 대한 사이버 공격을 대응하는 사이버 공격 대응 시스템을 개략적으로 도시한 도면.
도 2는 본 발명의 실시예에 따른 사이버 공격 대응 시스템의 구성을 개략적으로 도시한 도면.
도 3은 본 발명의 실시예에 따른 사이버 공격 대응 시스템의 오픈플로우 스위치의 트래픽 출력 제어 모습을 개략적으로 도시한 도면.1 is a schematic view of a substation automation system and a cyber attack countermeasure system corresponding to a cyber attack according to an embodiment of the present invention;
2 is a view schematically showing a configuration of a cyber attack countermeasure system according to an embodiment of the present invention.
3 is a view schematically showing a traffic output control state of an open flow switch of a cyber attack countermeasure system according to an embodiment of the present invention.

이하, 도면을 참조하여 본 발명의 실시예를 상세하게 설명한다.Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings.

이하에는, 설명의 편의를 위해, 사이버 공격 대응 시스템의 대상이 되는 전력 제어 자동화 시스템으로서 변전소 자동화 시스템을 일예로 들어 설명한다.Hereinafter, for convenience of explanation, a substation automation system will be described as an example of a power control automation system that is a target of a cyber attack countermeasure system.

도 1은 본 발명의 실시예에 따른 변전소 자동화 시스템과 이에 대한 사이버 공격을 대응하는 사이버 공격 대응 시스템의 구성을 개략적으로 도시한 도면이다.1 is a view schematically showing a configuration of a substation automation system and a cyber attack countermeasure system corresponding to a cyber attack according to an embodiment of the present invention.

도 1을 참조하면, 본 실시예에 따른 변전소 자동화 시스템(10)은 IEC 61850 기반의 시스템으로서, 이 시스템(10)에 설치된 기기 간에는 IEC 61850 프로토콜에 따라 통신하여 메세지를 송수신할 수 있게 된다. Referring to FIG. 1, the substation automation system 10 according to the present embodiment is a system based on IEC 61850, and can transmit and receive messages between devices installed in the system 10 according to the IEC 61850 protocol.

여기서, 변전소 자동화 시스템(10) 네트워크에서는, 예를 들면, MMS(Manufacturing Message Specification), GOOSE(General Objected Oriented Sustation Event), SV(Sampled Value) 메세지와 같은 트래픽이 대부분을 차지하며, 이들은 프로토콜 스택 중 데이터 링크 계층을 공통속성으로 갖고 있어 동일한 이더넷 헤더를 사용하고 공통으로 송신지와 목적지의 이더넷 주소를 기반으로 송수신된다. 따라서, 네트워크 외부와의 송수신 트래픽 외의 메세지는 이더넷 주소를 사용하여 네트워크 내의 기기 간에 송수신된다.Here, in the substation automation system 10 network, traffic such as MMS (Manufacturing Message Specification), GOOSE (General Objected Oriented Sustation Event), and SV (Sampled Value) The data link layer has a common attribute and uses the same Ethernet header and is transmitted and received based on the Ethernet address of the destination and destination in common. Therefore, messages other than traffic transmitted / received outside the network are transmitted / received between the devices in the network using the Ethernet address.

이와 같은 변전소 자동화 시스템(10)은, 멀티 레벨(multi-level)의 다계층 구조를 가질 수 있는데, 예를 들면, 최하위 레벨인 프로세스 레벨(process level)과, 최상위 레벨인 스테이션 레벨(station level)과, 중간 레벨인 베이 레벨(bay level)이 구성될 수 있다. The substation automation system 10 may have a multi-level multi-level structure. For example, the substation automation system 10 may include a process level, which is the lowest level, and a station level, And a middle level, a bay level, may be configured.

여기서, 프로세스 레벨에는 적어도 하나의 IED 즉 프로세스 IED(IED1)가 위치할 수 있다. 프로세스 IED(IED1)는, 예를 들면, 변전소 내 변압기, 모선, 선로, 차단기 등의 전력 설비 각 계통에 연결될 수 있다.Here, at least one IED or process IED (IED1) may be located at the process level. The process IED (IED1) may be connected to each power system, for example a transformer, substation, bus, line, circuit breaker, etc. in the substation.

베이 레벨에는 적어도 하나의 IED 즉 베이 IED(IED2)가 위치할 수 있다. At the bay level, at least one IED or bay IED (IED2) may be located.

베이 레벨에 위치하는 베이 IED(IED2)와 프로세스 레벨에 위치하는 프로세스 IED(IED1)는 이들 사이의 프로세스 버스 상에 구성된 스위치 즉 제1스위치(SW1)에 연결되어 이더넷(ethernet) 기반의 통신 프로토콜에 따라 통신하게 된다. 제1스위치(SW1)를 통한 통신 중계에 의해, 베이 IED(IED2)는 프로세스 IED(IED1)를 제어하고 프로세스 IED(IED1)로부터 정보를 수집할 수 있다. The bay IED (IED2) located at the bay level and the process IED (IED1) located at the process level are connected to a switch or first switch (SW1) configured on the process bus therebetween and are connected to an ethernet- . By communication relay through the first switch SW1, the bay IED IED2 can control the process IED IED1 and collect information from the process IED IED1.

스테이션 레벨에는 이보다 하위 레벨에 위치하는 기기들을 제어하는 적어도 하나의 스테이션 장치(SD)가 위치할 수 있다. 스테이션 장치(SD)는 컴퓨터와 같은 사용자 인터페이스, 예를 들어 HMI(Human-Machine Interface)에 해당된다. 또한, 스테이션 레벨에는 변전소 자동화 시스템(10)을, 이를 제어하고 관리하는 외부의 시스템 예를 들면 관리센터(MS)와 연계하기 위한 게이트웨이(GW)가 위치할 수 있다. At the station level, at least one station device (SD) may be located to control devices located at lower levels. The station device SD corresponds to a user interface such as a computer, for example, a human-machine interface (HMI). At the station level, a gateway GW for connecting the substation automation system 10 to an external system for controlling and managing the substation automation system 10, for example, a management center (MS), may be located.

스테이션 레벨에 위치하는 스테이션 장치(SD)와 베이 레벨에 위치하는 베이 IED(IED2)는 이들 사이의 스테이션 버스 상에 구성된 스위치 즉 제2스위치(SW2)에 연결되어 이더넷(ethernet) 기반의 통신 프로토콜에 따라 통신하게 된다. 제2스위치(SW2)를 통한 통신 중계에 의해, 스테이션 장치(SD)는 베이 IED(IED2)를 제어하고 베이 IED(IED2)로부터 정보를 수집할 수 있다.The station device SD located at the station level and the bay IED IED2 located at the bay level are connected to a switch configured on the station bus therebetween, that is, the second switch SW2, and are connected to an ethernet- . By the communication relay through the second switch SW2, the station device SD can control the bay IED IED2 and collect information from the bay IED IED2.

그리고, 게이트웨이(GW)는 관리센서(MS)와의 연계를 위해 제2스위치(SW2)와 연결되도록 구성된다.The gateway GW is configured to be connected to the second switch SW2 for connection with the management sensor MS.

전술한 바와 같이 구성된 IEC 61850 기반의 변전소 자동화 시스템(10)은 그 특성상 APT와 같은 지능형 사이버 공격에 취약한바, 본 실시예에서는 지능형 사이버 공격에 대응하기 위한 사이버 공격 대응 시스템(100)이 구성된다. The IEC 61850-based substation automation system 10 configured as described above is vulnerable to intelligent cyber attacks such as APT due to its characteristics. In this embodiment, the cyber attack countermeasure system 100 is configured to cope with an intelligent cyber attack.

이와 같은 사이버 공격 대응 시스템(100)의 구성에 대해 도 2를 더 참조하여보다 상세하게 설명한다.The configuration of the cyber attack countermeasure system 100 will be described in more detail with reference to FIG.

이 사이버 공격 대응 시스템(100)은 오픈플로우(openflow) 프로토콜을 이용하여 구현된 시스템으로서, 오픈플로우 스위치(SW_of)와, 오픈플로우 스위치(SW_of)를 제어하는 컨트롤러(120)가 구성된 제어서버(110)를 포함할 수 있다.The cyber attack responding system 100 is a system implemented using an open flow protocol and includes a control server 110 having an open flow switch SW_of and a controller 120 for controlling the open flow switch SW_of ).

이와 같이, 본 실시예의 사이버 공격 대응 시스템(100)은 오픈플로우 프로토콜을 이용하게 되는바, 변전소 자동화 시스템(10) 내에서의 트래픽 허용 리스트인 화이트리스트(white list) 기반의 환경이 제공될 수 있게 된다. 특히, 화이트리스트는 변전소 자동화 시스템(10) 네트워크 내에서의 트래픽 속성들의 조합으로 구성될 수 있다.In this way, the cyber attack responding system 100 of the present embodiment uses the open flow protocol, so that a white list-based environment that is a traffic allowable list in the substation automation system 10 can be provided do. In particular, the whitelist may comprise a combination of traffic attributes within the substation automation system 10 network.

이에 따라, 변전소 자동화 시스템(10) 내에서 화이트리스트에 정의된 허용된 네트워크 경로에 대해서만 패킷 포워딩 동작이 수행되고, 허용되지 않은 네트워크 경로에 대해서는 패킷 포워딩이 차단되도록 구성할 수 있게 된다. 따라서, 비정상적인 네트워크 경로를 통한 트래픽에 의한 지능형 사이버 공격이 효과적으로 차단될 수 있게 된다. Thereby, the packet forwarding operation is performed only for the allowed network path defined in the whitelist in the substation automation system 10, and packet forwarding is blocked for the unauthorized network path. Therefore, the intelligent cyber attack due to the traffic through the abnormal network path can be effectively blocked.

사이버 대응 시스템(100)의 오픈플로우 스위치(SW_of)는 변전소 자동화 시스템(10) 내의 이웃하는 상하 레벨 간의 통신을 중계하는 스위치(SW1,SW2)로 사용된다. 즉, 변전소 자동화 시스템(10)의 제1,2스위치(SW1,SW2) 각각을 오픈플로우 스위치(SW_of)로 구성하게 된다.The open flow switch SW_of of the cyber supporting system 100 is used as switches SW1 and SW2 for relaying communication between neighboring upper and lower levels in the substation automation system 10. [ That is, each of the first and second switches SW1 and SW2 of the substation automation system 10 is constituted by the open flow switch SW_of.

오픈플로우 스위치(SW_of)는 소프트웨어 영역(A1)과 하드웨어 영역(A2)로 구성된다. 소프트웨어 영역(A1)에는 보안채널(secure channel)(SC)이 구성되고, 하드웨어 영역(A2)에는 적어도 하나의 포워딩 테이블(FT)(즉, 플로우 테이블)이 구성될 수 있다. 본 실시예에서는 설명의 편의를 위해, 다수의 포워딩 테이블(FT)이 파이프라인 형태로 배치된 경우를 예로 든다. 한편, 도시하지는 않았지만, 하드웨어 영역(A2)에는 그룹 테이블이 구성될 수 있다. The open flow switch SW_of is composed of a software area A1 and a hardware area A2. A secure channel SC may be configured in the software area A1 and at least one forwarding table FT may be configured in the hardware area A2. In this embodiment, for convenience of description, a case where a plurality of forwarding tables FT are arranged in a pipeline form will be exemplified. On the other hand, although not shown, a group table may be configured in the hardware area A2.

소프트웨어 영역(A2)에 구성된 보안채널(SC)을 통해 오픈플로우 스위치(SW_of)는 외부에 구성된 컨트롤러(120)와 오픈플로우 프로토콜 통신을 수행하게 된다. 오픈플로우 프로토콜 통신을 통해, 컨트롤러(120)는 오픈플로우 스위치(SW_of)에 명령을 하고, 이 명령에 따라 오픈플로우 스위치(SW_of)는 패킷을 목적지로 전송하거나 수정, 폐기(drop)하는 등의 트래픽 처리를 수행할 수 있다.The open flow switch SW_of performs open flow protocol communication with the controller 120 configured externally through the secure channel SC configured in the software area A2. Through the open flow protocol communication, the controller 120 commands the open flow switch SW_of, and in response to this command, the open flow switch SW_of transmits traffic such as a packet to the destination, Processing can be performed.

이와 같은 신호 처리 동작은 하드웨어 영역(A2)에 저장된 포워딩 테이블(FT)을 참조하여 수행될 수 있게 된다. 포워딩 테이블(FT)은 오픈플로우 스위치(SW_of)를 경유하는 패킷 플로우에 대한 포워딩 동작이 정의된 테이블로서, 특히 본 실시예에서는 변전소 자동화 시스템(10) 내의 트래픽 허용 리스트인 화이트리스트를 기반으로 포워딩 테이블(PT)이 설정된다.This signal processing operation can be performed with reference to the forwarding table FT stored in the hardware area A2. The forwarding table FT is a table in which the forwarding operation for the packet flow via the open flow switch SW_of is defined. In particular, in the present embodiment, the forwarding table FT is a forwarding table (PT) is set.

이와 같은 포워딩 테이블(FT)은, 각각이 '조건(header fields 또는 match fields)', '액션(actions)', '통계(stats 또는 couters)' 정보로 구성된 다수의 포워딩 엔트리(entries)(즉, 플로우 엔트리)로 구성될 수 있다. 여기서, '조건' 정보에는 포워딩 경로와 같은 포워딩 룰이 정의되고, '액션' 정보에는 전송, 폐기 등의 포워딩 룰에 대한 처리 동작이 정의되고, '통계' 정보에는 해당 포워드 엔트리 별 송수신 트래픽 양(예를 들어, 패킷 수와 바이트 수 등)이 기록되어 나타날 수 있다. Such a forwarding table FT includes a plurality of forwarding entries each consisting of 'header fields or match fields', 'actions', 'stats or couters' Flow entry). Here, the forwarding rule such as the forwarding path is defined in the 'condition' information, the processing operation for the forwarding rule such as transmission and discard is defined in the 'action' information, and the amount of traffic transmitted / For example, the number of packets and the number of bytes, etc.) may be recorded and displayed.

도 3을 참조하여, 위와 같이 구성된 오픈플로우 스위치(SW_of)에 대해 변전소 자동화 시스템(10) 내의 특정 기기로부터 전달된 패킷이 스위치(SW_of)에 입력되면, 포워딩 테이블(FT)과 비교 과정이 수행되어 매칭되는 포워드 엔트리가 있으면 이에 해당되는 액션 즉 포워딩 동작을 수행하여 출력하고, 매칭되는 포워딩 엔트리가 없으면 폐기 동작을 수행하여 포워딩을 차단하게 된다.Referring to FIG. 3, when a packet transmitted from a specific device in the substation automation system 10 to the open flow switch SW_of configured as described above is input to the switch SW_of, a comparison process with the forwarding table FT is performed If there is a matching forward entry, an action corresponding to the forward entry is performed, and the forwarding operation is performed. If no matching forwarding entry is found, the forwarding operation is performed by performing the discarding operation.

이처럼, 포워딩 테이블(FT)은 이를 경유하는 트래픽에 대한 포워딩 룰이 정의된 테이블로서, 정의된 플로우에 매칭되는 트래픽에 대해서는 전송 동작을 수행하게 되고 정의되지 않은 플로우의 트래픽에 대해서는 전송 동작을 수행하지 않게 된다. As described above, the forwarding table FT is a table in which forwarding rules for traffic passing through the forwarding table FT are defined. The forwarding table FT performs a forwarding operation for traffic matching the defined flow and a forwarding operation for the traffic of the undefined flow .

한편, 포워딩 테이블(FT)에 정의되지 않은 전송 경로의 트패릭에 대해서는 해당 트랙픽에 대한 통계 정보를 컨트롤러(120)로 전송하도록 구성될 수 있다. 이 경우에, 이 통계 정보는 오픈플로우 스위치(SW_of)의 메모리에 데이터베이스화 되어 저장되도록 구성될 수 있다.On the other hand, for the traffic of the transmission path which is not defined in the forwarding table FT, it may be configured to transmit the statistical information about the traffic to the controller 120. In this case, the statistical information may be configured to be stored in a database in the memory of the open-flow switch SW_of.

위와 같이, 본 실시예에서는 오픈플로우 스위치(SW_of)를 사용하여 화이트리스트 기반의 트래픽 포워딩 제어 동작을 수행하게 됨으로써, 비정상적 트래픽을 통한 지능형 사이버 공격을 효과적으로 방지할 수 있게 된다. As described above, in this embodiment, the white-list-based traffic forwarding control operation is performed using the open flow switch SW_of, thereby effectively preventing the intelligent cyber attack through abnormal traffic.

오픈플로우 스위치(SW_of)를 제어하는 컨트롤러(120)는 제어서버(110)에 소프트웨어로 구성될 수 있다. 제어서버(110)는 변전소 자동화 시스템(10)의 게이트웨이(GW)를 통해 오픈플로우 스위치(SW_of)와 연결되도록 구성될 수 있으며, 이에 따라 제어서버(110)에 구성된 컨트롤러(120)는 오픈플로우 프로토콜 통신을 통해 오픈플로우 스위치(SW_of)의 동작을 제어하게 된다. The controller 120 for controlling the open flow switch SW_of may be configured by software in the control server 110. [ The control server 110 can be configured to be connected to the open flow switch SW_of via the gateway GW of the substation automation system 10 so that the controller 120 configured in the control server 110 can be connected to the open- The operation of the open-flow switch SW_of is controlled through communication.

한편, 제어서버(110)는 관리센터(MS) 내에 구성될 수 있는데, 이에 한정되지는 않는다. On the other hand, the control server 110 can be configured in the management center (MS), but is not limited thereto.

제어서버(110)에는 포워딩 테이블을 설정하기 위한 정보로서 트패픽 허용 리스트인 화이트리스트를 작성하기 위한 화이트리스트 작성모듈(130)과, 작성된 화이트리스트를 데이터베이스로 저장하는 데이터베이스장치(DB)를 구비할 수 있다. 이와 같은 화이트리스트는 변전소 자동화 시스템(10) 네트워크에서의 트래픽 속성들의 조합으로 구성될 수 있다.The control server 110 is provided with a white list creating module 130 for creating a white list which is a traffic permissible list as information for setting a forwarding table and a database device DB for storing the created white list as a database . Such a whitelist may consist of a combination of traffic attributes in the substation automation system 10 network.

화이트리스트 작성모듈(130)은 소프트웨어로 구성될 수 있으며, 사용자 그래픽 인터페이스를 제공할 수 있다. 이와 같은 사용자 그래픽 인터페이스를 사용하여 사용자는 화이트리스트를 작성할 수 있다. The whitelist creation module 130 may be composed of software and may provide a user graphical interface. Using such a user graphical interface, the user can create a whitelist.

화이트리스트 작성모듈(130)은 화이트리스트를 작성하는 기능에 더하여 화이트리스트를 업데이트(update)하거나 적어도 일부를 삭제하는 기능을 제공할 수 있다. 이때, 화이트리스트 업데이트나 삭제는 오픈플로우 스위치(SW_of)로부터 전송된 트래픽 통계 정보를 참조하여 수행될 수 있다. The whitelisting module 130 may provide a function of updating the whitelist or deleting at least a part of the whitelist in addition to the function of creating the whitelist. At this time, the whitelist update or deletion may be performed with reference to the traffic statistical information transmitted from the open flow switch SW_of.

한편, 화이트리스트 작성, 업데이트(update), 삭제의 각 과정은 사용자에 의해 수행되거나 자동적으로 수행될 수 있다. 일예로, 화이트리스트 작성 과정에 있어, 자동적으로 디폴트 형태의 화이트리스트가 생성될 수 있고 사용자가 디폴트 화이트리스트에 추가적인 리스트를 부가하여 화이트리스트가 생성될 수 있다. 또한, 화이트리스트를 구성하는 속성 정보들 중 적어도 일부는 자동적으로 생성될 수 있으며, 나머지 속성 정보들을 사용자가 작성하도록 구성될 수도 있다.Meanwhile, each process of white list creation, update, and deletion can be performed by the user or automatically. For example, in the whitelisting process, a default whitelist can be automatically created and a user can add an additional list to the default whitelist to create a whitelist. Also, at least some of the attribute information constituting the whitelist may be automatically generated, and the user may be configured to create the remaining attribute information.

화이트리스트 작성모듈(130)에 의해 작성된 화이트리스트는 데이터베이스장치(DB)에 저장되며, 업데이트나 삭제 발생시 이는 데이터베이스장치(DB)에 반영된다. The whitelist created by the whitelist creation module 130 is stored in the database device DB. When the update or deletion occurs, the whitelist is reflected in the database device DB.

화이트리스트 작성모듈(130)을 통해 작성된 화이트리스트는 컨트롤러(120)의 제어에 의해 오픈플로우 스위치(SW_of)로 전송될 수 있다. 오픈플로우 스위치(SW_of)는 전송된 화이트리스트를 포워딩 테이블(FT)에 반영하게 되며, 이 포워딩 테이블을 참조하여 화이트리스트 기반의 트래픽 포워딩 제어를 수행하게 된다. The whitelist created through the whitelist creation module 130 can be transferred to the open flow switch SW_of under the control of the controller 120. [ The open flow switch SW_of reflects the transmitted white list to the forwarding table FT, and performs white-list-based traffic forwarding control with reference to the forwarding table.

또한, 화이트리스트에 대한 업데이트나 삭제가 발생하게 되면, 업데이트나 삭제된 화이트리스트가 오픈플로우 스위치(SW_of)로 전송되어 포워딩 테이블(FT)에 즉시 적용될 수 있게 된다.In addition, when update or deletion of the whitelist occurs, the update or the deleted whitelist is transmitted to the open flow switch SW_of and can be immediately applied to the forwarding table FT.

한편, 전술한 바에 있어, 각 오픈 플로우 스위치(SW_of)에는 화이트리스트 로그(log) 정보가 기록되어 데이터베이스화될 수 있다. 제어서버(110)는 주기적으로 또는 사용자 요구에 따라 오픈 플로우 스위치(SW_of)의 데이터베이스에 접근하여 화이트리스트 로그 정보를 전송받고 이를 분석할 수 있다.On the other hand, in the above description, whitelist log information may be recorded in each open flow switch SW_of and converted into a database. The control server 110 can access the database of the open flow switch SW_of periodically or according to the user's request to receive and analyze the whitelist log information.

전술한 바와 같이, 본 발명의 실시예에 따르면, IEC 61850 기반 변전소 자동화 시스템에 대한 지능형 사이버 공격 대응 시스템으로서 오픈플로우 프로토콜 기반의 시스템을 구축하게 된다.As described above, according to the embodiment of the present invention, an open flow protocol based system is constructed as an intelligent cyber attack countermeasure system for IEC 61850 based substation automation system.

이에 따라, 변전소 자동화 시스템 네트워크 내에서 포워딩이 허용되는 트래픽을 정의한 화이트리스트를 기반으로 트래픽 제어를 효과적으로 수행할 수 있게 되어, 변전소 자동화 시스템에 대한 지능형 사이버 공격을 신속하고 효율적으로 탐지하여 차단할 수 있게 된다.Accordingly, the traffic control can be effectively performed based on the whitelist defining the traffic permitted for forwarding in the substation automation system network, so that the intelligent cyber attack on the substation automation system can be quickly and efficiently detected and blocked .

한편, 전술한 사이버 공격 대응 시스템은, 변전소 자동화 시스템 뿐만 아니라 그 외에 오픈플로우 스위치가 적용될 수 있는 멀티 레벨 네트워크 구조의 전력 제어 자동화 시스템에 적용할 수 있음은 자명하다.Meanwhile, it is apparent that the cyber attack countermeasure system described above can be applied not only to a substation automation system but also to a power control automation system having a multi-level network structure to which an open flow switch can be applied.

전술한 본 발명의 실시예는 본 발명의 일예로서, 본 발명의 정신에 포함되는 범위 내에서 자유로운 변형이 가능하다. 따라서, 본 발명은, 첨부된 특허청구범위 및 이와 등가되는 범위 내에서의 본 발명의 변형을 포함한다.The embodiment of the present invention described above is an example of the present invention, and variations are possible within the spirit of the present invention. Accordingly, the invention includes modifications of the invention within the scope of the appended claims and equivalents thereof.

10: 변전소 자동화 시스템 100: 사이버 공격 대응 시스템
110: 제어서버 120: 컨트롤러
130: 화이트리스트 작성모듈
SW1,SW2: 제1,2스위치 SW_of: 오픈플로우 스위치
A1,A2: 소프트웨어 영역, 하드웨어 영역
SC: 보안채널 FT: 포워딩 테이블
IED1,IED2: 제1,2IED SD: 스테이션 장치
GW: 게이트웨이10: substation automation system 100: cyber attack response system
110: control server 120: controller
130: Whitelist module
SW1, SW2: first and second switches SW_of: open flow switch
A1, A2: software area, hardware area
SC: Secure channel FT: Forwarding table
IED1, IED2: First and second IED SD: Station device
GW: Gateway

Claims (8)

멀티 레벨 네트워크 구조를 갖는 IEC 61850 기반의 전력 제어 자동화 시스템에 대한 사이버 공격 대응 시스템으로서,
상기 전력 제어 자동화 시스템의 이웃하는 레벨에 위치하는 기기들을 중계하며, 상기 전력 제어 자동화 시스템 내에서 포워딩이 허용되는 트래픽이 정의된 화이트리스트가 반영된 포워딩 테이블에 따라 트래픽 제어를 수행하는 오픈플로우 스위치와;
상기 오픈플로우 스위치를 제어하는 컨트롤러
를 포함하는 화이트리스트 기반 사이버 공격 대응 시스템.
As a cyber attack countermeasure system for a power control automation system based on IEC 61850 having a multi-level network structure,
An open flow switch that relays devices located at neighboring levels of the power control automation system and performs traffic control according to a forwarding table reflecting a whitelist in which traffic permitted for forwarding is defined in the power control automation system;
A controller for controlling the open flow switch
Based cyber attack response system.
제 1 항에 있어서,
상기 컨트롤러와, 상기 화이트리스트에 대한 작성 기능을 제공하는 화이트리스트 작성모듈, 상기 화이트리스트를 저장하는 데이터베이스장치를 포함하고,
상기 전력 제어 자동화 시스템의 게이트웨이를 통해 상기 오픈플로우 스위치와 연결되는 관리서버
를 포함하는 화이트리스트 기반 사이버 공격 대응 시스템.
The method according to claim 1,
A white list creation module for providing a creation function for the white list; and a database device for storing the white list,
A management server connected to the open flow switch through a gateway of the power control automation system;
Based cyber attack response system.
제 2 항에 있어서,
상기 화이트리스트 작성모듈은, 상기 화이트리스트에 대한 업데이트나 삭제 기능을 제공하고,
상기 업데이트나 삭제된 화이트리스트는 상기 오픈플로우 스위치에 전송되어 상기 포워딩 테이블에 반영되도록 구성된
화이트리스트 기반 사이버 공격 대응 시스템.
3. The method of claim 2,
Wherein the white list creating module provides an update or delete function for the white list,
The updated or deleted white list is transmitted to the open flow switch and is configured to be reflected in the forwarding table
Whitelist based cyber attack response system.
제 1 항에 있어서,
상기 전력 제어 자동화 시스템은 변전소 자동화 시스템인
화이트리스트 기반 사이버 공격 대응 시스템.
The method according to claim 1,
The power control automation system includes a substation automation system
Whitelist based cyber attack response system.
멀티 레벨 네트워크 구조를 갖는 IEC 61850 기반의 전력 제어 자동화 시스템에 대한 사이버 공격 대응 방법으로서,
컨트롤러에 의해 제어되고 상기 전력 제어 자동화 시스템의 이웃하는 레벨에 위치하는 기기들을 중계하는 오픈플로우 스위치에서, 상기 전력 제어 자동화 시스템 내에서 포워딩이 허용되는 트래픽이 정의된 화이트리스트가 반영된 포워딩 테이블에 따라 트래픽 제어를 수행하는 단계
를 포함하는 화이트리스트 기반 사이버 공격 대응 방법.
As a cyber attack countermeasure against an IEC 61850-based power control automation system having a multi-level network structure,
An open flow switch that is controlled by the controller and relays devices located at neighboring levels of the power control automation system, wherein the traffic control automation system is configured to transmit traffic in accordance with a forwarding table that reflects a whitelist, Performing the control
Based cyber attack response method.
제 5 항에 있어서,
화이트리스트 작성모듈을 통해 상기 화이트리스트를 작성하는 단계와;
상기 작성된 화이트리스트를 데이터베이스장치에 저장하는 단계를 포함하고,
상기 작성된 화이트리스트는 상기 전력 제어 자동화 시스템의 게이트웨이를 통해 상기 오픈플로우 스위치에 전송되는
화이트리스트 기반 사이버 공격 대응 방법.
6. The method of claim 5,
Creating the whitelist through a whitelist module;
And storing the created whitelist in a database device,
The created whitelist is transmitted to the open flow switch through the gateway of the power control automation system
White list based cyber attack countermeasure method.
제 6 항에 있어서,
상기 화이트리스트 작성모듈은, 상기 화이트리스트에 대한 업데이트나 삭제 기능을 제공하고,
상기 업데이트나 삭제된 화이트리스트는 상기 오픈플로우 스위치에 전송되어 상기 포워딩 테이블에 반영되는
화이트리스트 기반 사이버 공격 대응 방법.
The method according to claim 6,
Wherein the white list creating module provides an update or delete function for the white list,
The updated or deleted white list is transmitted to the open flow switch and reflected in the forwarding table
White list based cyber attack countermeasure method.
제 5 항에 있어서,
상기 전력 제어 자동화 시스템은 변전소 자동화 시스템인
화이트리스트 기반 사이버 공격 대응 방법.6. The method of claim 5,
The power control automation system includes a substation automation system
White list based cyber attack countermeasure method.
KR1020160126194A 2016-09-30 2016-09-30 System of responding to cyber-attach based on whitelist and system of analyzing whitelist log KR20180036076A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160126194A KR20180036076A (en) 2016-09-30 2016-09-30 System of responding to cyber-attach based on whitelist and system of analyzing whitelist log

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160126194A KR20180036076A (en) 2016-09-30 2016-09-30 System of responding to cyber-attach based on whitelist and system of analyzing whitelist log

Publications (1)

Publication Number Publication Date
KR20180036076A true KR20180036076A (en) 2018-04-09

Family

ID=61977763

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160126194A KR20180036076A (en) 2016-09-30 2016-09-30 System of responding to cyber-attach based on whitelist and system of analyzing whitelist log

Country Status (1)

Country Link
KR (1) KR20180036076A (en)

Similar Documents

Publication Publication Date Title
JP6360144B2 (en) Smart power server used for protection control system of smart substation
JP6325070B2 (en) Smart substation protection control system based on Industrial Internet Architecture
EP2721801B1 (en) Security measures for the smart grid
RU2554540C2 (en) Utility grid command filter system
Suleiman et al. Integrated smart grid systems security threat model
US9021067B2 (en) Determining VLAN-IDs for a switched-based communication network of a process control system
Mashima et al. Artificial command delaying for secure substation remote control: Design and implementation
CN106411790A (en) Data transmission method based on protection and control system of intelligent substation
CN108183945A (en) Civil air defense constructions and installations device intelligence management system based on technology of Internet of things
US20220137600A1 (en) Iot gateway for industrial control systems, associated devices, systems and methods
Chromik et al. Bro in SCADA: Dynamic intrusion detection policies based on a system model
Kalra et al. Using software-defined networking to build modern, secure IEC 61850-based substation automation systems
CN108418794B (en) Method and system for preventing ARP attack by intelligent substation communication network
Kabir-Querrec et al. Power utility automation cybersecurity: IEC 61850 specification of an intrusion detection function
Naedele et al. Network security for substation automation systems
KR101749554B1 (en) System and method of responding to cyber-attach to substation automation system
CN109639466B (en) Power engineering control system network safety detection system based on' source network load
KR20180036076A (en) System of responding to cyber-attach based on whitelist and system of analyzing whitelist log
KR20170050941A (en) System and method of responding to cyber-attach to power control automation system
Ciancamerla et al. An electrical grid and its SCADA under cyber attacks: Modelling versus a Hybrid Test Bed
CN101436777B (en) Relay protection monitoring system and method based on sensor network
US20040098172A1 (en) Configuration system for network appliances, and a method for reconfiguration of appliances
Paula et al. STRAYER: A Smart Grid adapted automation architecture against cyberattacks
CN112367224A (en) Terminal monitoring device, system and method
CN106787218A (en) A kind of intelligent wide-area distribution type multi-source differential protection management system

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E601 Decision to refuse application