KR20180090037A - 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치 - Google Patents

비정상행위를 탐지하는 프로토콜 변환 방법 및 장치 Download PDF

Info

Publication number
KR20180090037A
KR20180090037A KR1020170014931A KR20170014931A KR20180090037A KR 20180090037 A KR20180090037 A KR 20180090037A KR 1020170014931 A KR1020170014931 A KR 1020170014931A KR 20170014931 A KR20170014931 A KR 20170014931A KR 20180090037 A KR20180090037 A KR 20180090037A
Authority
KR
South Korea
Prior art keywords
control
control signal
protocol
rules
header
Prior art date
Application number
KR1020170014931A
Other languages
English (en)
Other versions
KR101991127B1 (ko
Inventor
손태식
권성문
Original Assignee
아주대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아주대학교산학협력단 filed Critical 아주대학교산학협력단
Priority to KR1020170014931A priority Critical patent/KR101991127B1/ko
Publication of KR20180090037A publication Critical patent/KR20180090037A/ko
Application granted granted Critical
Publication of KR101991127B1 publication Critical patent/KR101991127B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/08Protocols for interworking; Protocol conversion
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

비정상행위를 탐지하는 프로토콜 변환 방법을 제공한다. 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 사용자의 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계; 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계를 포함한다.

Description

비정상행위를 탐지하는 프로토콜 변환 방법 및 장치{METHOD AND APPARATUS FOR TRANSLATING PROTOCOLS WHILE DETECTING ABNORMAL ACTIVITIES}
본 발명은 상이한 프로토콜을 사용하는 기기 간에, 허용되지 않는 비정상행위를 탐지하면서 프로토콜을 변환하는 방법 및 장치에 관한 것이다.
종래의 프로토콜 변환 방법 및 장치는 그 양단에서 상이한 프로토콜을 사용하는 기기가 각자 사용하는 프로토콜에서 지원하는 보안 수준에 따라 암호화 및 인증과 같은 보안 기능을 제공하고 있었다.
그러나, 그 양단의 기기가 외부 공격에 의해 영향을 받은 경우, 기존의 보안 기능은 심지어 비정상적인 명령일지라도 그 명령을 그대로 다른 기기에게 포워딩할 수 있어, 경우에 따라서는 전체 시스템에 심각한 피해가 초래될 수 있다.
따라서, 이와 같은 비정상적인 명령에 대한 새로운 탐지 방법이 요구되고 있으나, 기존 방법의 경우 오탐율이 높아 활용이 어려우며, 프로토콜 변환 장치의 외부에서의 추가적인 개발이 필요한 난점이 있어 왔다.
이러한 문제를 해결하기 위하여, 프로토콜 변환 장치의 내부에 적용되어 효과적으로 비정상행위를 탐지할 수 있는 프로토콜 변환 방법 및 장치에 대한 필요성이 대두되고 있다.
관련 선행기술로는 대한민국 공개특허공보 제10-2013-0081035호(발명의 명칭: 프로토콜 변환 장치 및 방법, 공개일자: 2013년 7월 16일)가 있다.
본 발명은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 비정상행위를 탐지할 수 있는 프로토콜 변환 방법 및 장치를 제공하고자 한다.
본 발명이 해결하고자 하는 과제는 이상에서 언급한 과제(들)로 제한되지 않으며, 언급되지 않은 또 다른 과제(들)은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.
상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서, 수신부가, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계; 판단부가, 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및 전송부가, 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계를 포함한다.
바람직하게는, 상기 제어신호의 허용 여부를 판단하는 단계는 상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하는 단계; 상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하는 단계; 및 상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 단계를 포함할 수 있다.
바람직하게는, 상기 복수의 제어규칙은 상기 제1 프로토콜의 제어신호를 수신하는 단계의 이전에, 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 규칙생성부가, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하는 단계; 상기 규칙생성부가, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하는 단계; 및 상기 규칙생성부가, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 단계를 거쳐 생성될 수 있다.
바람직하게는, 상기 결과데이터는 상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.
바람직하게는, 상기 복수의 제어규칙을 선별하는 단계는 아프리오리(apriori) 알고리즘에 기초하여 선별할 수 있다.
바람직하게는, 상기 복수의 제어규칙을 선별하는 단계는 신뢰도(confidence)의 조건을 충족하는 경우에만 상기 제어규칙으로 선별할 수 있다.
바람직하게는, 상기 전송부가, 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송하는 단계를 더 포함할 수 있다.
바람직하게는, 상기 복수의 제어규칙이 규칙DB에 저장될 때, 상기 상기 제어신호의 허용 여부를 판단하는 단계는 상기 규칙DB에 기초하여 판단할 수 있다.
또한, 상기 목적을 달성하기 위한 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치는 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 장치에 있어서, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 수신부; 상기 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 상기 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 판단부; 및 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 전송부를 포함한다.
바람직하게는, 상기 판단부는 상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고, 상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하고, 상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단할 수 있다.
바람직하게는, 상기 복수의 제어규칙은 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하고, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 과정을 거쳐 생성될 수 있다.
바람직하게는, 상기 결과데이터는 상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.
바람직하게는, 상기 복수의 제어규칙이 선별될 때, 아프리오리 알고리즘에 기초하여 선별될 수 있다.
바람직하게는, 상기 복수의 제어규칙이 선별될 때, 신뢰도의 조건을 충족하는 경우에만 상기 제어규칙으로 선별될 수 있다.
바람직하게는, 상기 전송부는 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송할 수 있다.
본 발명은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 그 명령 중에서 비정상적인 명령을 탐지할 수 있는 효과가 있다.
또한, 본 발명은 탐지된 비정상적인 명령이 다른 기기로 전송되는 것을 사전에 차단함으로써, 상이한 프로토콜을 사용하는 기기가 포함된 전체 시스템을 비정상적인 명령으로부터 보호할 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
도 2는 본 발명의 다른 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
도 3은 본 발명의 일 실시예에 따른 제어규칙의 허용 여부를 판단하는 방법을 설명하기 위하여 도시한 흐름도이다.
도 4는 본 발명의 일 실시예에 따른 제어규칙의 생성 방법을 설명하기 위하여 도시한 흐름도이다.
도 5는 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치를 설명하기 위하여 도시한 도면이다.
도 6은 본 발명의 일 실시예에 따른 프로토콜 변환 장치와 상이한 프로토콜을 사용하는 양단의 기기 간의 연결관계를 설명하기 위하여 도시한 도면이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다.
제1, 제2, A, B 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.
본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥 상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.
이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
단계 S110에서는, 프로토콜 변환 장치가 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.
여기서, 도 6을 참조하면, 프로토콜 변환 장치(500)는 제1 프로토콜을 사용하는 클라이언트(610) 및 제2 프로토콜을 사용하는 복수의 서버(621, 622, …)와 모두 연결되도록 위치할 수 있다.
예컨대, 클라이언트(610)는 전력생산상황을 모니터링 및 제어하기 위한 기기이고, 복수의 서버(621, 622, …)는 각각이 발전기인 복수의 장비(631, 632, …)와 연결된 기기일 수 있다. 즉, 전력생산 관리업무를 수행하는 사용자는 클라이언트(610)를 이용하여 프로토콜 변환 장치(500)와 복수의 서버(621, 622, …)를 통해 복수의 발전기(631, 632, …)의 전력생산상황을 모니터링 하면서, 필요한 제어명령을 내릴 수 있다.
한편, 클라이언트와 복수의 서버는 각각 서로 다른 프로토콜을 이용하여 동작하도록 구성되었기 때문에, 클라이언트와 복수의 서버는 서로 직접 연결될 수 없어서, 프로토콜 변환 장치를 그 양단의 사이에 필요로 할 수 있다.
단계 S120에서는, 프로토콜 변환 장치가 그 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.
이때, 제어규칙은 제어신호를 구성하는 헤더와 페이로드에 대하여, 복수의 장비에 대한 제어를 허용할지를 결정하기 위하여 존재하는 규칙일 수 있다. 또한, 복수의 제어규칙은 복수의 장비에 대한 제어가 허용되는 헤더 및 페이로드의 조합에 대한 규칙만을 포함할 수 있다.
예컨대, 제어신호의 헤더가 A이고, 페이로드가 B인 경우는 제어규칙에 포함되어 있고, 제어신호의 헤더가 A이고, 페이로드가 C인 경우는 제어규칙에 포함되어 있지 않을 수 있다. 이 경우, 프로토콜 변환 장치는 헤더가 A이고, 페이로드가 B인 제어신호를 허용하는 것으로 판단하고, 헤더가 A이고, 페이로드가 C인 제어신호를 허용하지 않는 것으로 판단할 수 있다.
즉, 프로토콜 변환 장치는 복수의 제어규칙에 포함된 제어신호를 정상행위로 간주하고, 복수의 제어규칙에 포함되지 않은 제어신호를 비정상행위로 간주할 수 있다.
다른 실시예에서는, 프로토콜 변환 장치는 복수의 제어규칙이 규칙DB에 저장될 때, 그 규칙DB에 기초하여 그 제어신호의 허용 여부를 판단할 수 있다.
예컨대, 별도로 규칙DB가 구성되어, 복수의 제어규칙에 대한 정보를 모두 저장하고 있을 수 있다. 이때, 프로토콜 변환 장치는 그 규칙DB로부터 제어신호를 구성하는 헤더와 페이로드에 대응되는 규칙을 검색하여 그 제어신호의 허용 여부를 판단할 수 있다. 한편, 규칙DB는 프로토콜 변환 장치와 동일한 컴퓨터 상에 존재하거나 또는 별도의 DB서버의 형태로 존재할 수 있다.
한편, 프로토콜 변환 장치가 제어신호의 허용 여부를 판단하는 자세한 방법에 대하여는 도 3에 대한 설명에서 구체적으로 후술한다.
마지막으로 단계 S130에서는, 프로토콜 변환 장치가 그 제어신호가 허용되면, 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.
예컨대, 프로토콜 변환 장치는 그 제어신호가 허용되면, 그 제어신호를 제2 프로토콜로 된 변환제어신호로 변환하여, 복수의 서버에게 전송할 수 있다. 그리고, 그 복수의 서버는 전송된 변환제어신호에 따라 각각에 연결된 장비를 제어할 수 있다.
이와 같이, 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법은 상이한 프로토콜을 사용하는 기기 간에 데이터 전송 명령 또는 제어 명령이 송수신될 때, 그 명령 중에서 비정상적인 명령을 탐지함으로써 정상적인 명령만이 전송되도록 할 수 있는 효과가 있다.
도 2는 본 발명의 다른 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 방법을 설명하기 위하여 도시한 흐름도이다.
단계 S210에서는, 프로토콜 변환 장치가 복수의 제어규칙을 생성한다.
예컨대, 프로토콜 변환 장치가 소정의 시험 운영 기간을 설정하고, 그 기간 동안 클라이언트와 복수의 서버 간에 데이터를 송수신한 결과를 분석하여 복수의 제어규칙을 생성할 수 있다. 이때, 프로토콜 변환 장치는 그 시험 운영 기간 동안에는 제어규칙이 아직 생성되지 않았기 때문에 클라이언트의 비정상행위를 탐지하지 못할 수 있다.
한편, 복수의 제어규칙을 생성하는 자세한 방법에 대하여는 도 4에 대한 설명에서 구체적으로 후술한다.
단계 S220에서는, 프로토콜 변환 장치가 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.
단계 S230에서는, 프로토콜 변환 장치가 그 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.
단계 S240에서는, 프로토콜 변환 장치가 그 제어신호가 허용되면, 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.
마지막으로 단계 S250에서는, 프로토콜 변환 장치가 그 제어신호가 허용되지 않으면, 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송한다.
예컨대, 프로토콜 변환 장치가 클라이언트로부터 허용되지 않는 제어신호를 수신한 경우, 프로토콜 변환 장치는 즉각 그 사실을 장비의 관리자 또는 미리 설정된 담당자에게 이메일, 문자메시지 및 전화 등을 통해 경보신호의 형태로 전송할 수 있다.
이때, 경보신호는 관리자 또는 담당자가 적절한 대처를 할 수 있도록 그 허용되지 않는 제어신호의 헤더 및 페이로드에 대한 정보를 더 포함할 수 있다.
도 3은 본 발명의 일 실시예에 따른 제어규칙의 허용 여부를 판단하는 방법을 설명하기 위하여 도시한 흐름도이다.
단계 S310에서는, 프로토콜 변환 장치가 수신된 제어신호를 분석하여 헤더와 페이로드로 구분한다.
이때, 헤더는 통신 프로토콜에서 프로토콜의 종류 또는 제어 명령의 종류와 같이 데이터를 사용하고 해석하기 위하여 필요한 정보를 제공하기 위한 데이터일 수 있다. 또한, 페이로드는 통신 프로토콜에서 데이터 전송의 근본적인 목적이 되는 데이터일 수 있다.
즉, 프로토콜 변환 장치는 제1 프로토콜로 구성된 제어신호의 허용 여부를 헤더와 페이로드를 이용하여 판단하기 위해, 그 제어신호를 헤더와 페이로드로 구분할 수 있다.
단계 S320에서는, 프로토콜 변환 장치가 복수의 제어규칙 중에서 그 헤더와 페이로드에게 해당되는 규칙을 검색한다.
예컨대, 프로토콜 변환 장치가 규칙DB에 저장되어 있는 복수의 제어규칙 중에서, 앞의 단계에서 구분된 헤더와 페이로드에 해당되는 제어규칙이 존재하는지를 검색할 수 있다.
마지막으로 단계 S330에서는, 프로토콜 변환 장치가 그 검색 결과에 따라, 제어신호의 허용 여부를 판단한다.
예컨대, 만일 규칙DB가 허용되는 헤더와 페이로드의 조합에 대한 정보만을 포함하고 있다면, 프로토콜 변환 장치가 그 구분된 헤더와 페이로드에 해당하는 제어규칙이 검색되는 것만으로 그 제어신호가 허용되는 것으로 판단할 수 있다.
그러나, 만일 규칙DB가 허용되는 헤더와 페이로드의 조합에 대한 정보만을 포함하고 있는 것이 아니라면, 규칙DB는 각 헤더와 페이로드의 조합에 대한 허용 여부에 대한 정보를 별도로 포함하고 있을 수 있고, 프로토콜 변환 장치는 그 허용 여부에 대한 정보를 이용하여 그 제어신호의 허용 여부를 판단할 수 있다.
도 4는 본 발명의 일 실시예에 따른 제어규칙의 생성 방법을 설명하기 위하여 도시한 흐름도이다.
단계 S410에서는, 프로토콜 변환 장치가 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집한다.
예컨대, 프로토콜 변환 장치가 그 시간 구간 동안 프로토콜 변환 기능만을 수행하고, 비정상행위 탐지 기능은 수행하지 않으면서, 클라이언트로부터 수신한 복수의 제어신호 각각에 대하여, 복수의 장비 중 적어도 하나에 대한 결과데이터를 수집할 수 있다. 이때, 프로토콜 변환 장치는 복수의 제어규칙이 아직 생성되지 않았기 때문에, 이를 생성하기 위하여 비정상행위를 탐지하지 않을 수 있다.
보다 구체적으로, 클라이언트가 프로토콜 변환 장치에게 A1의 제어신호를 전송한 경우, 복수의 장비를 이용한 총 전력생산량이 기존의 B1에서 B2로 증가하였다고 가정할 수 있다. 이때, 프로토콜 변환 장치는 A1의 제어신호에 대응하여 (B2-B1)의 결과데이터를 수집할 수 있다.
또는, 클라이언트가 프로토콜 변환 장치에게 A2의 제어신호를 전송한 경우, 복수의 장비를 이용한 총 전력생산량이 기존의 B1에서 B3로 감소하였다고 가정할 수 있다. 이때, 프로토콜 변환 장치는 A2의 제어신호에 대응하여 (B3-B1)의 결과데이터를 수집할 수 있다.
다른 실시예에서는, 결과데이터는 제어신호에 따른, 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.
예컨대, 결과데이터는 프로토콜 변환 장치가 클라이언트로부터 제어신호를 수신하여 복수의 발전기(장비) 중 적어도 하나에게 전송하기 전과 후의 전력생산량(동작 상태)를 나타내는 데이터의 변이량일 수 있다.
또한, 결과데이터는 프로토콜 변환 장치가 프로세스 이미지(process image)를 이용하여 복수의 장비로부터 모니터링한 정보로부터 생성될 수 있다. 이때, 프로세스 이미지는 프로토콜 변환 장치가 취득한 데이터를 임시로 저장하기 위한 저장 공간으로, 비정상행위를 탐지하는데 이용될 수 있다. 즉, 데이터의 변이량을 프로세스 이미지에 저장된 데이터의 이전값과 현재값 간의 차이로부터 산출할 수 있다.
보다 구체적으로, 클라이언트가 프로토콜 변환 장치에게 A1의 제어신호를 전송한 경우, 프로세스 이미지에 저장된 총 전력생산량이 기존의 B1에서 B2로 증가하였다면, 결과데이터는 (B2-B1)일 수 있다.
단계 S420에서는, 프로토콜 변환 장치가 그 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 결과데이터를 매칭한다.
이때, 프로토콜 변환 장치는 그 복수의 제어신호 각각에 대하여, 헤더 및 페이로드와 결과데이터를 매칭할 수 있다. 또한, 프로토콜 변환 장치는 중복되는 헤더 및 페이로드와 결과데이터의 매칭 결과를 그대로 유지하여, 추후 그 매칭 결과의 빈도에 대한 정보를 이용할 수 있다.
마지막으로 단계 S430에서는, 프로토콜 변환 장치가 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별한다.
예컨대, 프로토콜 변환 장치는 그 매칭된 헤더, 페이로드 및 결과데이터의 조합 각각에 대하여, 그 빈도가 소정 임계치 이상인 조합에 대하여 제어규칙으로 선별할 수 있다.
이때, 특정한 헤더, 페이로드 및 결과데이터의 조합의 빈도가 그 임계치 이상이라는 것은, 그 시간 구간 동안의 정상적인 프로토콜 변환 과정에서 그 조합이 다수 발생하였다는 것을 의미할 수 있다. 나아가, 그 조합은 안정성이 검증된 조합이라는 것을 의미할 수 있다.
반면에, 특정한 헤더, 페이로드 및 결과데이터의 조합의 빈도가 0이거나 그 임계치 이내라는 것은 정상적인 프로토콜 변환 과정에서 그 조합이 많이 발생하지 않았다는 것을 의미할 수 있으며, 나아가 그 조합의 안정성이 검증되지 않았다고 볼 여지가 있을 수 있다.
다른 실시예에서는, 프로토콜 변환 장치가 복수의 제어규칙을 선별할 때, 아프리오리(apriori) 알고리즘에 기초하여 선별할 수 있다.
여기서, 아프리오리 알고리즘은 보다 자주 이용되는 아이템 세트(item set)를 발굴하기 위한 데이터 마이닝 방법이다. 또한, 트랜잭션에 기반하여, 연관성 규칙(association rule)을 생성하기 위한 알고리즘이다.
즉, 아프리오리 알고리즘에 의해 결정된 자주 이용되는 아이템 세트는 데이터베이스에 수집된 데이터에 관하여 일반적인 추세(trend)를 나타내는 연관성 규칙을 결정하는데 이용될 수 있다.
예컨대, 프로토콜 변환 장치는 제어신호를 구성하는 헤더와 페이로드 그리고, 그 제어신호에 대응되는 결과데이터의 조합을 하나의 트랜잭션으로 간주하여, 아프리오리 알고리즘을 적용함으로써 빈도가 높은 조합을 자주 이용되는 아이템 세트로 선별할 수 있다.
또 다른 실시예에서는, 프로토콜 변환 장치가 복수의 제어규칙을 선별할 때, 신뢰도(confidence)의 조건을 충족하는 경우에만 제어규칙으로 선별할 수 있다.
예컨대, 신뢰도는 그 매칭된 헤더, 페이로드 및 결과데이터 중 일부의 조합의 총 개수와, 그 매칭된 헤더, 페이로드 및 결과데이터 조합의 총 개수를 이용하여 산출될 수 있다.
보다 구체적으로, A1 헤더와 관련된 트랜잭션(T1)의 총 개수가 N1이고, A1 헤더 및 B1 페이로드와 관련된 트랜?션(T2)의 총 개수가 N2일 때, T2 트랜잭션의 신뢰도는 C=N2/N1으로 산출될 수 있다.
한편, 신뢰도의 조건은, 프로토콜 변환 장치가 소정의 임계치 이상의 신뢰도를 나타내는 그 매칭된 헤더, 페이로드 및 결과데이터 조합에 대하여만 제어규칙으로 선별하는 조건일 수 있다.
이와 같이, 본 발명의 일 실시예에 따른 제어규칙의 생성 방법은 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별함으로써, 연관성 규칙에 기반한 높은 신뢰도의 규칙만을 사용하도록 하여 오탐지(false alarm)의 가능성을 낮추면서, 효과적으로 비정상행위를 탐지할 수 있는 효과가 있다.
도 5는 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치를 설명하기 위하여 도시한 도면이다.
도 5를 참조하면, 본 발명의 일 실시예에 따른 비정상행위를 탐지하는 프로토콜 변환 장치(500)는 수신부(510), 판단부(520) 및 전송부(530)를 포함한다.
수신부(510)는 클라이언트로부터 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 제1 프로토콜의 제어신호를 수신한다.
판단부(520)는 그 제어신호에 포함된 헤더 및 페이로드 중 적어도 하나를 이용하여 그 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 그 제어신호의 허용 여부를 판단한다.
다른 실시예에서는, 판단부(520)는 그 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고, 복수의 제어규칙 중에서 그 헤더와 페이로드에게 해당되는 규칙을 검색하고, 그 검색 결과에 따라, 제어신호의 허용 여부를 판단할 수 있다.
또 다른 실시예에서는, 복수의 제어규칙은 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 그 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고, 그 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 그 결과데이터를 매칭하고, 그 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 그 복수의 제어신호 중에서 복수의 제어규칙을 선별하는 과정을 거쳐 생성될 수 있다.
또 다른 실시예에서는, 결과데이터는 제어신호에 따른, 그 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이일 수 있다.
또 다른 실시예에서는, 복수의 제어규칙이 선별될 때, 아프리오리 알고리즘에 기초하여 선별될 수 있다.
또 다른 실시예에서는, 복수의 제어규칙이 선별될 때, 신뢰도의 조건을 충족하는 경우에만 제어규칙으로 선별될 수 있다.
전송부(530)는 그 제어신호가 허용되면, 그 복수의 서버에게 그 제어신호에 대응되도록 구성된 신호인 제2 프로토콜의 변환제어신호를 전송한다.
다른 실시예에서는, 전송부(530)는 그 제어신호가 허용되지 않으면, 그 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송할 수 있다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다.
상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등) 를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (15)

  1. 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 방법에 있어서,
    수신부가, 상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 단계;
    판단부가, 상기 제어신호를 구성하는 헤더(header) 및 페이로드(payload) 중 적어도 하나를 이용하여 상기 복수의 장비의 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 단계; 및
    전송부가, 상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 단계
    를 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  2. 제1항에 있어서,
    상기 제어신호의 허용 여부를 판단하는 단계는
    상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하는 단계;
    상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하는 단계; 및
    상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 단계
    를 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  3. 제1항에 있어서,
    상기 복수의 제어규칙은
    상기 제1 프로토콜의 제어신호를 수신하는 단계의 이전에,
    규칙생성부가, 소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하는 단계;
    상기 규칙생성부가, 상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하는 단계; 및
    상기 규칙생성부가, 상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 단계
    를 거쳐 생성되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  4. 제3항에 있어서,
    상기 결과데이터는
    상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이인 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  5. 제3항에 있어서,
    상기 복수의 제어규칙을 선별하는 단계는
    아프리오리(apriori) 알고리즘에 기초하여 선별하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  6. 제5항에 있어서,
    상기 복수의 제어규칙을 선별하는 단계는
    신뢰도(confidence)의 조건을 충족하는 경우에만 상기 제어규칙으로 선별하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  7. 제1항에 있어서,
    상기 전송부가, 상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 전송하는 단계
    를 더 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  8. 제1항에 있어서,
    상기 복수의 제어규칙이 규칙DB에 저장될 때,
    상기 상기 제어신호의 허용 여부를 판단하는 단계는
    상기 규칙DB에 기초하여 판단하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 방법.
  9. 제1 프로토콜을 사용하는 클라이언트와 제2 프로토콜을 사용하는 복수의 서버 간에 프로토콜을 변환하는 장치에 있어서,
    상기 클라이언트로부터 상기 복수의 서버 각각에 연결된 복수의 장비를 제어하기 위한 신호인 상기 제1 프로토콜의 제어신호를 수신하는 수신부;
    상기 제어신호를 구성하는 헤더 및 페이로드 중 적어도 하나를 이용하여 상기 복수의 장비에 대한 제어를 허용할지를 결정하는 규칙인 복수의 제어규칙에 기초하여, 상기 제어신호의 허용 여부를 판단하는 판단부; 및
    상기 제어신호가 허용되면, 상기 복수의 서버에게 상기 제어신호에 대응되도록 구성된 신호인 상기 제2 프로토콜의 변환제어신호를 전송하는 전송부
    를 포함하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  10. 제9항에 있어서,
    상기 판단부는
    상기 수신된 제어신호를 분석하여 헤더와 페이로드로 구분하고,
    상기 복수의 제어규칙 중에서 상기 헤더와 상기 페이로드에게 해당되는 규칙을 검색하고,
    상기 검색 결과에 따라, 상기 제어신호의 허용 여부를 판단하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  11. 제9항에 있어서,
    상기 복수의 제어규칙은
    소정의 시간 구간 동안의 복수의 제어신호 각각에 대하여, 상기 복수의 장비 중 적어도 하나에 대한 제어 결과를 나타내는 결과데이터를 수집하고,
    상기 복수의 제어신호 각각에 포함된 헤더와 페이로드에 대하여, 상기 결과데이터를 매칭하고,
    상기 매칭된 헤더, 페이로드 및 결과데이터의 조합에 대한 빈도에 기초하여, 상기 복수의 제어신호 중에서 상기 복수의 제어규칙을 선별하는 과정을 거쳐 생성되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  12. 제11항에 있어서,
    상기 결과데이터는
    상기 제어신호에 따른, 상기 복수의 장비 중 적어도 하나의 동작 상태를 나타내는 데이터의 변이인 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  13. 제11항에 있어서,
    상기 복수의 제어규칙이 선별될 때,
    아프리오리 알고리즘에 기초하여 선별되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  14. 제13항에 있어서,
    상기 복수의 제어규칙이 선별될 때,
    신뢰도의 조건을 충족하는 경우에만 상기 제어규칙으로 선별되는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
  15. 제9항에 있어서,
    상기 전송부는
    상기 제어신호가 허용되지 않으면, 상기 복수의 장비의 관리자 또는 미리 설정된 담당자에게 경보신호를 더 전송하는 것을 특징으로 하는 비정상행위를 탐지하는 프로토콜 변환 장치.
KR1020170014931A 2017-02-02 2017-02-02 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치 KR101991127B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170014931A KR101991127B1 (ko) 2017-02-02 2017-02-02 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170014931A KR101991127B1 (ko) 2017-02-02 2017-02-02 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치

Publications (2)

Publication Number Publication Date
KR20180090037A true KR20180090037A (ko) 2018-08-10
KR101991127B1 KR101991127B1 (ko) 2019-06-19

Family

ID=63229735

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170014931A KR101991127B1 (ko) 2017-02-02 2017-02-02 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치

Country Status (1)

Country Link
KR (1) KR101991127B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102204290B1 (ko) * 2019-08-23 2021-01-18 고려대학교 세종산학협력단 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100076836A (ko) * 2008-12-26 2010-07-06 주식회사 포스코 공정 제어 네트워크에서 정책 기반의 장애 탐지 방법 및 시스템
KR20130081035A (ko) * 2012-01-06 2013-07-16 삼성전자주식회사 프로토콜 변환 장치 및 방법
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20100076836A (ko) * 2008-12-26 2010-07-06 주식회사 포스코 공정 제어 네트워크에서 정책 기반의 장애 탐지 방법 및 시스템
KR20130081035A (ko) * 2012-01-06 2013-07-16 삼성전자주식회사 프로토콜 변환 장치 및 방법
KR20150037285A (ko) * 2013-09-30 2015-04-08 한국전력공사 침입 탐지 장치 및 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102204290B1 (ko) * 2019-08-23 2021-01-18 고려대학교 세종산학협력단 통계적 분석 기반 비공개 프로토콜의 구분자 및 정적필드 추출방법

Also Published As

Publication number Publication date
KR101991127B1 (ko) 2019-06-19

Similar Documents

Publication Publication Date Title
US20160055335A1 (en) Method and apparatus for detecting a multi-stage event
EP2979424B1 (en) Method and apparatus for detecting a multi-stage event
EP3373179B1 (en) Information processing device, information processing method, and information processing program
EP3820108B1 (en) Security detection method, apparatus and device
CN112385196B (zh) 用于报告计算机安全事故的系统和方法
TW201702921A (zh) 異常預測方法、系統及裝置
KR20200069852A (ko) 차량 제어 네트워크의 이상징후 탐지 방법 및 이를 위한 장치
US20170171188A1 (en) Non-transitory computer-readable recording medium, access monitoring method, and access monitoring apparatus
CN112671767A (zh) 一种基于告警数据分析的安全事件预警方法及装置
KR101991127B1 (ko) 비정상행위를 탐지하는 프로토콜 변환 방법 및 장치
US20190199603A1 (en) Mobile communication network failure monitoring system and method
EP3432184A1 (en) Intrusion detection device, intrusion detection method, and intrusion detection program
US10666671B2 (en) Data security inspection mechanism for serial networks
JP7000271B2 (ja) 車両不正アクセス対策装置、及び車両不正アクセス対策方法
CN115085956A (zh) 入侵检测方法、装置、电子设备及存储介质
KR20220014796A (ko) 의도적 에러를 이용한 위변조 제어기 식별 시스템 및 방법
JP5447394B2 (ja) セキュリティ監視方法、セキュリティ監視システム、セキュリティ監視プログラム
CN104834846A (zh) 一种设备解锁方法和装置
JP2018142092A (ja) 稼動確認装置、稼動確認プログラム、稼動確認方法、及び稼動確認システム
KR101961199B1 (ko) 타임라인 기록장치 및 그 방법
EP3493002B1 (en) System and method for identifying application layer behaviour
KR101942418B1 (ko) 타임라인 기록장치 및 그 방법
KR101956882B1 (ko) 비트맵 기반의 분산 네트워크 빈발 이벤트 수집 장치 및 방법, 이를 저장하는 기록매체
CN113079178A (zh) 一种终端非法外联的识别方法、装置、设备及存储介质
CN116645797A (zh) 家庭区域的安全指数评价方法、装置和设备

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant