KR20190063051A - 네트워크공격검출시스템 - Google Patents

네트워크공격검출시스템 Download PDF

Info

Publication number
KR20190063051A
KR20190063051A KR1020170161839A KR20170161839A KR20190063051A KR 20190063051 A KR20190063051 A KR 20190063051A KR 1020170161839 A KR1020170161839 A KR 1020170161839A KR 20170161839 A KR20170161839 A KR 20170161839A KR 20190063051 A KR20190063051 A KR 20190063051A
Authority
KR
South Korea
Prior art keywords
signal
attack
plant
network
network communication
Prior art date
Application number
KR1020170161839A
Other languages
English (en)
Other versions
KR102309347B1 (ko
Inventor
나규진
은용순
Original Assignee
재단법인대구경북과학기술원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 재단법인대구경북과학기술원 filed Critical 재단법인대구경북과학기술원
Priority to KR1020170161839A priority Critical patent/KR102309347B1/ko
Publication of KR20190063051A publication Critical patent/KR20190063051A/ko
Application granted granted Critical
Publication of KR102309347B1 publication Critical patent/KR102309347B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

본 발명의 바람직한 일 실시예에서는 네트워크를 거치기 전에 플랜트에 장착된 센서를 통해 측정한 센서값에 임의의 신호를 더하고, 네트워크를 거친 후에 이전에 더해주었던 임의의 신호값과 동일한 값을 빼는 과정을 통해 합동공격을 검출한다.

Description

네트워크공격검출시스템{Network attack detection system}
본 발명은 네트워크 공격을 검출하기 위한 방법으로, 보다 상세히 네트워크 상에서 플랜트의 센서 신호 및 사용자의 제어신호를 모두 왜곡시키는 합동 공격을 검출하는 방법에 관한 것이다.
유무선 네트워크 환경을 통해 제어되는 제어시스템은 네트워크 환경하에서 제어 입력신호 또는 제어하고 있는 대상기기의 출력 센서값을 왜곡시키는 공격에 쉽게 노출되어 있다.
네트워크 상의 공격을 검출하는 다양한 기술들이 개발되고 있으나, 제어 입력신호 또는 제어하고 있는 대상기기의 출력 센서값을 동시에 왜곡시키는 공격에 대한 대안책은 아직 미비하다.
KR 10-2005-0085604
A. Teixeira, I. Shames, H. Sandberg, and K. H. Johansson, "A secure control framework for resource-limited adversaries", Automatica , vol. 51, pp. 135-148, 2015.
본 발명의 바람직한 일 실시예에서는 네트워크 상에서 플랜트의 센서 신호 및 사용자의 제어신호를 모두 왜곡시키는 합동공격을 검출하고자 한다.
본 발명의 바람직한 일 실시예에서는 네트워크를 거치기 전에 제어하려는 물리량을 측정한 센서값에 임의의 신호를 더하고, 네트워크를 거친 후에 이전에 더해주었던 임의의 신호값과 동일한 값을 빼는 과정을 통해 합동공격을 검출할 수 있다.
본 발명의 바람직한 일 실시예로서, 네트워크공격검출시스템은 네트워크 통신을 통해 플랜트를 제어하는 입력신호를 전송하고, 상기 네트워크 통신을 통해 상기 플랜트로부터 상기 플랜트의 출력신호를 수신하는 제어기; 및 상기 입력신호 또는 상기 플랜트의 출력신호를 기초로 상기 네트워크 통신 과정에서 공격이 있었는지 검출하여 경고 신호를 생성하는 공격검출기;를 포함하고, 상기 공격검출기는 상기 입력신호 및 상기 플랜트의 출력신호를 모두 공격한 합동공격의 경우도 검출하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 네트워크공격검출시스템은 상기 플랜트의 출력신호에 임의의 신호를 부가하는 신호부가부; 및 상기 네트워크 통신을 통해 전송된 상기 임의의 신호가 부가된 상기 플랜트의 출력신호에서 상기 임의의 신호를 제거한 검증신호를 상기 제어기에 전송하는 합동공격검출부;를 더 포함하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 공격검출기는 상기 검증신호가 상기 플랜트의 출력신호와 같지 않은 경우 상기 네트워크 통신 과정에서 상기 합동공격이 발생하였다고 검출하는 것을 특징으로 한다.
본 발명의 바람직한 일 실시예로서, 상기 플랜트의 출력신호는 y, 상기 임의의 신호는
Figure pat00001
, 상기 검증 신호는 yR, 상기 신호부가부에서 출력되는 신호는 yT라고 할 경우, yT=y+
Figure pat00002
, yR=
Figure pat00003
-
Figure pat00004
이고, 이 경우
Figure pat00005
은 상기 yT 가 네트워크 통신망을 통과한 경우의 신호를 나타내며, yR=y 인 경우 네트워크 통신상에서 공격이 없었음을 나타내고, yR≠y 인 경우 상기 공격검출기는 네트워크 통신 상에서 공격이 있었음을 검출하여 경고 신호를 생성하고, yR≠y 인 경우 상기 공격검출기는 합동공격을 검출한다.
본 발명에서는 네트워크 상에서 제어기의 입력신호와 플랜트의 출력신호를 동시에 공격하는 합동공격을 검출함으로써 제어시스템의 신뢰도와 안정성을 높이는 효과가 있다.
도 1 은 네트워크 상의 공격을 검출하는 일 예를 도시한다.
도 2 는 본 발명의 바람직한 일 실시예로서, 네트워크 상의 공격을 검출하는 일 예를 도시한다.
도 3 은 네트워크 기반 제어시스템에서 합동 공격을 검출하는 흐름도를 도시한다.
이하에서는 도면을 참고하여 실시예들을 설명한다.
도 1 은 네트워크 상의 공격을 검출하는 일 예를 도시한다.
도 1 은 네트워크 기반 제어시스템을 도시하며, 제어시스템(100)은 플랜트(110), 제어기(120) 및 공격검출기(130)를 포함한다.
플랜트(110)는 제어 대상이 되는 시스템을 의미하며, 단말기, 드론, 로봇 등과 같은 제어 대상을 포함할 수 있다. 제어기(120)는 센서값을 이용하여 플랜트(110)가 원하는 동작을 하도록 제어신호를 송수신하도록 구현된다. 공격검출기(130)는 네트워크 상에서 악의적인 공격신호를 감지하면 관리자에게 경고 신호를 전송한다.
도 1 에서
Figure pat00006
는 각각 제어 입력신호, 네트워크(S100)를 통과한 후의 제어 입력신호, 센서에서 측정한 플랜트의 출력신호, 그리고 네트워크를 통과한 후에 센서에서 측정한 플랜트의 출력 신호를 나타낸다.
플랜트(110)와 공격검출기(130) 간의 관계를 상태공간방정식을 이용하여 나타내면 수학식 1 내지 2와 같다.
Figure pat00007
Figure pat00008
이 경우, x는 플랜트(110)의 상태를 나타내며, Ap, Bp, Cp는 행렬을 나타낸다.
공격검출기(130)는 네트워크를 통해 수신한 출력신호와 상태관측기에서 출력한 출력신호의 차이가 임계값을 초과하는 경우 관리자에게 경고신호를 전송한다. 공격검출기(130)를 상태공간방정식으로 표현하면 수학식 3 내지 5와 같다.
Figure pat00009
Figure pat00010
Figure pat00011
이 경우, s는 상태관측기(미도시)의 상태를 나타내며,
Figure pat00012
는 상태관측기의 출력 신호를 나타낸다. L은 상태 관측을 가능하도록 하는 행렬을 나타내고, r은 네트워크를 통해 수신 받은 시스템 출력 신호와 관측기의 출력 신호의 차이에 대한 놈(Norm)으로 표현되는 신호를 나타낸다.
일 예로,
Figure pat00013
신호 r 이 임의의 임계값
Figure pat00014
를 초과하는 경우 공격검출기(130)에서는 공격이 발생된 것으로 감지하고 경고신호를 전송한다. 그러나, 이 경우 공격검출기(130)에서 검출할 수 없는 공격형태가 발생할 수 있다.
도 1 의 네트워크 기반 제어시스템에서 검출하지 못하는 공격 형태의 일 예는 수학식 6 내지 7과 같다. 아래의 공격 형태는 액츄에이터와 센서를 동시에 공격하는 형태로, 이하에서는 '합동 공격'이라 지칭한다.
Figure pat00015
Figure pat00016
수학식 6 및 7에서
Figure pat00017
인 상수로 공격자가 선택하는 임의의 공격이득을 나타낸다.
도 1에 개시된 네트워크 기반 제어시스템에서 수학식 6 내지 7과 같은 공격 형태를 검출하지 못하는 것을 수학식으로 증명하면 아래와 같다.
증명을 위해,
Figure pat00018
Figure pat00019
로 정의한다. 이 경우, 플랜트(110)의 상태공간방정식을 나타내는 수학식 1 내지 2는 수학식 8 내지 9과 같이 표시된다.
Figure pat00020
Figure pat00021
이 경우, 플랜트(110)와 공격검출기(130) 간의 추정오차 변화량은 수학식 10과 같다.
Figure pat00022
수학식 10에서 eE는 추정오차를 나타내고, 수학식 11과 같이 표시된다.
Figure pat00023
수학식 11에 대한 놈(Norm)을 계산하면 수학식 12와 같다.
Figure pat00024
수학식 12에서 Ap-LCp는 Hurwitz한 행렬을 나타내고,
Figure pat00025
Figure pat00026
는 각각 임의의 상수를 나타낸다. 수학식 12에서 시간 t가 무한대 값을 가질경우, 추정오차 eE가 0이 된다. 그 결과, 공격검출기(130)는 플랜트(110)의 상태가 정상적으로 오해하게 되어 경고 신호를 발생하지 않게 된다. 그러나, 실제로 공격을 받은 플랜트(110)의 상태는 추정치의
Figure pat00027
배가 되므로 위험한 공격을 검출하지 못하는 문제가 발생하게 된다.
도 2 는 본 발명의 바람직한 일 실시예로서, 네트워크 상의 공격을 검출하는 일 예를 도시한다.
도 2 는 본 발명의 바람직한 일 실시예로서, 도 1 에 도시된 네트워크 기반 제어시스템에서 합동 공격을 검출하지 못하는 문제점을 해결한 네트워크 기반 제어시스템을 나타낸다.
본 발명의 바람직한 일 실시예로서, 네트워크 기반 제어시스템은 도 1 에 도시된 네트워크 제어시스템의 각 구성요소 외에 신호부가부(240)와 합동공격검출부(250)를 더 포함한다.
본 발명의 바람직한 일 실시예에서는 네트워크(S200)를 통해 플랜트(210)와 제어기(220)간에 신호를 송수신할 수 있으며, 제어 입력신호를 전송하는 제어기(220) 측을 송신단(S220), 플랜트(210)가 설치된 쪽을 수신단(S210)이라고 표시할 수 있다.
또한 플랜트(210)의 센서신호를 제어기(220)측에 전송할 때 플랜트가 설치된 쪽을 송신단(S210), 제어기(220)가 설치된 쪽을 수신단(S220)으로도 명명할 수 있다.
본 발명의 바람직한 일 실시예에서, 제어기(220)는 플랜트(210)를 제어하는 입력신호 u를 네트워크(S200)를 통해 전송하고, 플랜트(210)는 네트워크(S200)를 통과한 후의 제어 입력신호
Figure pat00028
를 입력받는다. 플랜트(210)는 제어 입력신호
Figure pat00029
에 대한 출력신호 y를 출력한다.
본 발명의 바람직한 일 실시예에서, 신호부가부(240)는 플랜트(210)의 출력신호 y에 임의의 신호
Figure pat00030
를 부가한 송신신호 yT를 출력하여 네트워크(S200)를 통해 제어기(220)측으로 전송한다.
수신단(S220)측에서는 네트워크(S200)를 통해 전송된 송신신호 yT
Figure pat00031
을 수신한다.
Figure pat00032
은 상기 yT 가 네트워크 통신망을 통과한 경우의 신호를 나타낸다.
수신단(S220)측의 합동공격검출부(250)에서는
Figure pat00033
에서 임의의 신호
Figure pat00034
를 제거한다. 이 경우 임의의 신호
Figure pat00035
는 송신단(S210)측에서 플랜트(210)의 출력신호 y에 부가한 신호와 동일한 신호이다. 임의의 신호
Figure pat00036
는 상수이거나 시간에 따라 변하는 신호일 수 있다.
합동공격검출부(250)는 yR=y 인 경우 네트워크 통신상에서 공격이 없었다고 판단하고, yR≠y 인 경우 합동 공격이 있었다고 판단하여 경고 신호를 생성한다. 즉, 동일한 임의의 신호
Figure pat00037
를 송신단(S210)과 수신단(S220)에서 더하고 뺌으로써 공격이 없는 상황에서는 yR=y 이 된다. 주의할 것은 본 실시예에서는 편의를 위하여 송신단(S210), 수신단(S220)으로 지칭하였을 뿐, 송신단(S220), 수신단(S210)으로 변형이 가능함을 유의하여야 한다.
수학식 13은 신호부가부의 출력신호를 나타낸다. 수학식 14는 합동공격검출부(250)의 출력신호를 나타낸다.
Figure pat00038
Figure pat00039
추정 오차를 고려하여
Figure pat00040
로 정의한다. 이 경우, 플랜트(210)의 상태공간방정식을 나타내는 수학식 1 내지 2는 수학식 8 내지 9와 같이 표시할 수 있으며, 추정오차에 대한 변화량은 수학식 15와 같이 표현할 수 있다.
Figure pat00041
변화량에 대한 추정오차의 해는 수학식 16과 같이 표시할 수 있다.
Figure pat00042
수학식 16에 대해 놈(Norm)을 이용하여 해의 최대값을 구하면 수학식 17 및 18과 같다.
Figure pat00043
Figure pat00044
수학식 17 및 18에서
Figure pat00045
Figure pat00046
는 각각 임의의 상수를 나타낸다. 그리고,
Figure pat00047
Figure pat00048
을 만족시킨다.
수학식 17 및 18을 해석하면,
Figure pat00049
인 경우는 공격이 없는 경우로 eE 시간이 흐를수록 0으로 수렴한다. 즉, 제어시스템(200)이 정상적으로 동작하는 것이 증명된다.
그러나,
Figure pat00050
인 경우,
Figure pat00051
에 근거하여 eE 시간이 흐를수록 0으로 수렴하지 않는다. 따라서, 본 발명의 바람직한 일 실시예에서는 합동공격이 검출되었다고 판단한다.
도 3 은 네트워크 기반 제어시스템에서 합동 공격을 검출하는 흐름도를 도시한다.
본 발명의 바람직한 일 실시예로서 제어기는 네트워크 통신을 통해 플랜트를 제어하는 입력신호 u를 전송한다(S310). 플랜트에서는 네트워크 통신을 통해 수신한 입력신호
Figure pat00052
를 기초로 출력신호 y를 생성하고, 출력신호 y에 임의의 신호값
Figure pat00053
를 부가한다(S320).
출력신호 y에 임의의 신호값
Figure pat00054
가 부가된 신호 yT를 네트워크 통신을 통해 전송하고, 수신단에서는 네트워크 통신을 통해
Figure pat00055
를 수신한다.
Figure pat00056
은 상기 yT 가 네트워크 통신망을 통과한 경우의 신호를 의미한다.
수신단에서는
Figure pat00057
에서 임의의 신호값
Figure pat00058
를 제거한 신호 yR, yR=
Figure pat00059
-
Figure pat00060
(S330)이 플랜트의 출력신호 y와 동일한지 판단하여 합동공격 유무를 검출한다(S340)
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (5)

  1. 네트워크 통신을 통해 플랜트를 제어하는 입력신호를 전송하고, 상기 네트워크 통신을 통해 상기 플랜트로부터 상기 플랜트의 출력신호를 수신하는 제어기; 및
    상기 입력신호 또는 상기 플랜트의 출력신호를 기초로 상기 네트워크 통신 과정에서 공격이 있었는지 검출하여 경고 신호를 생성하는 공격검출기;를 포함하고,
    상기 공격검출기는 상기 입력신호 및 상기 플랜트의 출력신호를 모두 공격한 합동공격의 경우도 검출하는 것을 특징으로 하는 네트워크공격검출시스템.
  2. 제 1 항에 있어서,
    상기 플랜트의 출력신호에 임의의 신호를 부가하는 신호부가부; 및
    상기 네트워크 통신을 통해 전송된 상기 임의의 신호가 부가된 상기 플랜트의 출력신호에서 상기 임의의 신호를 제거한 검증신호를 상기 제어기에 전송하는 합동공격검출부;를 더 포함하는 것을 특징으로 하는 네트워크공격검출시스템.
  3. 제 2 항에 있어서, 상기 공격검출기는
    상기 검증신호가 상기 플랜트의 출력신호와 같지 않은 경우 상기 네트워크 통신 과정에서 상기 합동공격이 발생하였다고 검출하는 것을 특징으로 하는 네트워크공격검출시스템.
  4. 제 2 항에 있어서,
    상기 플랜트의 출력신호는 y, 상기 임의의 신호는
    Figure pat00061
    , 상기 검증 신호는 yR, 상기 신호부가부에서 출력되는 신호는 yT라고 할 경우,
    yT=y+
    Figure pat00062

    yR=
    Figure pat00063
    -
    Figure pat00064
    이고, 이 경우
    Figure pat00065
    은 상기 yT 가 네트워크 통신망을 통과한 경우의 신호를 나타내며,
    yR=y 인 경우 네트워크 통신상에서 공격이 없었음을 나타내고, yR≠y 인 경우 상기 공격검출기는 네트워크 통신 상에서 공격이 있었음을 검출하여 경고 신호를 생성하는 것을 특징으로 하는 네트워크공격검출시스템.
  5. 제 4 항에 있어서,
    yR≠y 인 경우 상기 공격검출기는 상기 합동공격을 검출하는 것을 특징으로 하는 네트워크공격검출시스템.
KR1020170161839A 2017-11-29 2017-11-29 네트워크공격검출시스템 KR102309347B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170161839A KR102309347B1 (ko) 2017-11-29 2017-11-29 네트워크공격검출시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170161839A KR102309347B1 (ko) 2017-11-29 2017-11-29 네트워크공격검출시스템

Publications (2)

Publication Number Publication Date
KR20190063051A true KR20190063051A (ko) 2019-06-07
KR102309347B1 KR102309347B1 (ko) 2021-10-05

Family

ID=66850093

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170161839A KR102309347B1 (ko) 2017-11-29 2017-11-29 네트워크공격검출시스템

Country Status (1)

Country Link
KR (1) KR102309347B1 (ko)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050085604A (ko) 2002-12-13 2005-08-29 시터시아 네트웍스 코포레이션 상관함수를 사용하여 네트워크 공격을 검출하기 위한네트워크 대역폭 이상 검출 장치 및 방법
KR20170095155A (ko) * 2016-02-12 2017-08-22 한양대학교 산학협력단 보안 반도체 칩 및 그 동작 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20050085604A (ko) 2002-12-13 2005-08-29 시터시아 네트웍스 코포레이션 상관함수를 사용하여 네트워크 공격을 검출하기 위한네트워크 대역폭 이상 검출 장치 및 방법
KR20170095155A (ko) * 2016-02-12 2017-08-22 한양대학교 산학협력단 보안 반도체 칩 및 그 동작 방법

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
A. Teixeira, I. Shames, H. Sandberg, and K. H. Johansson, "A secure control framework for resource-limited adversaries", Automatica , vol. 51, pp. 135-148, 2015.

Also Published As

Publication number Publication date
KR102309347B1 (ko) 2021-10-05

Similar Documents

Publication Publication Date Title
US9380070B1 (en) Intrusion detection mechanism
JP2017111796A5 (ko)
JP2017112594A5 (ko)
US20140215609A1 (en) Monitoring control system
EP3828502A3 (en) Methods and apparatus for detecting spoofing attacks on automated driving systems
US20180188104A1 (en) Signal detection device, signal detection method, and recording medium
KR20190063051A (ko) 네트워크공격검출시스템
KR20170053757A (ko) 함정전투체계에서 전술 표적의 위치 보정 방법
US20170346834A1 (en) Relating to the monitoring of network security
JP2006112999A (ja) 地震警報装置
JP2019216348A5 (ko)
US11132434B2 (en) Signal processing device, signal processing method and computer readable medium
JP5897881B2 (ja) 地震計及び地震計異常監視システム
US10445139B2 (en) Control system in which communication between devices is controlled based on execution condition being satisfied, gateway device used in the control system, and control method for the control system
KR20150027564A (ko) 오 검출 방지 기능을 가지는 초음파 침입 검출 장치 및 방법
JP6379561B2 (ja) Dme地上装置およびその運用停止防止方法
CN112034456B (zh) 烟雾巡检系统、方法、控制装置及存储介质
JP5085352B2 (ja) 地震防災システム
KR101079963B1 (ko) 위성 및 지상의 무선 통신을 이용한 재난경고 장치 및 방법
JP7010382B2 (ja) 受信装置
JP5996325B2 (ja) パルス検出装置
EP3316253B1 (en) Speech synthesis device, speech synthesis method, bone conduction helmet, and hearing aid
US20230114126A1 (en) Synchronizing data between fire panels and the mass notification system
JP6935852B2 (ja) 通信装置、受信装置および監視システム
JP6334233B2 (ja) 点検支援装置および点検支援システム

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant