KR20200098838A - Control system anomaly detection system and its method by analyzing the device control signal packet and its status - Google Patents

Control system anomaly detection system and its method by analyzing the device control signal packet and its status Download PDF

Info

Publication number
KR20200098838A
KR20200098838A KR1020190016438A KR20190016438A KR20200098838A KR 20200098838 A KR20200098838 A KR 20200098838A KR 1020190016438 A KR1020190016438 A KR 1020190016438A KR 20190016438 A KR20190016438 A KR 20190016438A KR 20200098838 A KR20200098838 A KR 20200098838A
Authority
KR
South Korea
Prior art keywords
abnormal behavior
control signal
control command
end device
packet
Prior art date
Application number
KR1020190016438A
Other languages
Korean (ko)
Inventor
이진흥
정충교
Original Assignee
다운정보통신(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 다운정보통신(주) filed Critical 다운정보통신(주)
Priority to KR1020190016438A priority Critical patent/KR20200098838A/en
Publication of KR20200098838A publication Critical patent/KR20200098838A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

The present invention relates to a method of detecting forgery of an automatic control command in automation equipment. An abnormal behavior detection system of automatic control comprises: an abnormal behavior detection unit including a filtering module to collect and analyze a control command in a network where an operator transfers the control command to machine equipment positioned on a terminal node; a state collection unit to collect and transfer machine operation states of the terminal devices; an abnormal behavior analysis unit including a machine learning module to analyze whether a state and a control command match and predict a state in which an unmatched control command will be transferred in the future; and a whitelist to register and manage a generated policy and visualization for transferring the analyzed content to an operator who has transferred the control command. According to the present invention, the abnormal behavior detection system of automatic control compares a currently transferred control command with a preregistered whitelist to detect first abnormal behavior, and compares an operating range of a terminal device with learned data after performing the control command to determine whether the control command is a control command with a possibility of exceeding a range of a normal operation afterwards to secondly detect abnormal behavior to transfer alarm information to the operator in support of the safe management of industrial equipment.

Description

제어신호 패킷과 상태분석을 이용한 제어시스템 이상행위 탐지 시스템 및 그 방법{Control system anomaly detection system and its method by analyzing the device control signal packet and its status}Control system anomaly detection system and its method by analyzing the device control signal packet and its status}

본 발명은 산업제어 신호를 분석하여 이상행위를 탐지하는 시스템에 관한 것으로서, 전달되는 산업제어 프로토콜을 수집하여 분석함으로써 구성하고 있는 자동제어 시스템의 이상행위를 유발하는 제어신호인지 판단하여 산업 설비를 감시하는 시스템에 관한 것이다. The present invention relates to a system for detecting abnormal behavior by analyzing industrial control signals, and by collecting and analyzing the transmitted industrial control protocol, the present invention monitors industrial facilities by determining whether the control signal causes abnormal behavior of the configured automatic control system. It relates to a system that does.

제어 시스템의 발전으로 생산설비의 효율적인 사용을 실현하였으나 과거에 비해 다양한 보안 취약점을 내포하게 되었다. 오늘날 사용되고 있는 수많은 자동제어 시스템에 인증 또는 암호화 기능이 고려되지 않은 채 통신이 이루어지고 있으며, 급증하고 있는 SCADA 관련 취약점에 대한 대응체계가 구비되지 않거나 이를 인식하고 있지 않은 채 이용되고 있다. 이에 따라 제어 시스템을 대상으로 하는 보안 기술 분야를 연계구간 보안, 네트워크 침입탐지, 인증, 취약점 탐지 기술 등으로 개발되고 있다.With the advancement of the control system, efficient use of production facilities has been realized, but there are various security vulnerabilities compared to the past. Many automatic control systems in use today are communicating without considering authentication or encryption functions, and a response system for the rapidly increasing SCADA-related vulnerabilities is not provided or is being used without being aware of it. Accordingly, security technology fields targeting the control system are being developed as link section security, network intrusion detection, authentication, and vulnerability detection technologies.

주요 선진국에서는 제어시스템에 특화된 침입탐지 및 차단 기술에 대하여 연구가 진행되고 있으며, NexDefense의 Sophia는 네트워크 트래픽을 시각화하여 침입을 감시하는 시스템을 출시하고, Queens 대학은 IEC61850 프로토콜 DPI(Deep Packet Inspection) 기술을 이용한 침입탐지 기술을 연구하고 있다. In major advanced countries, research is being conducted on intrusion detection and blocking technologies specialized in control systems, Sophia of NexDefense launches a system that monitors intrusion by visualizing network traffic, and Queens University has IEC61850 protocol Deep Packet Inspection (DPI) technology. We are researching intrusion detection technology using

국내에서는 한전이 전력 제어 시스템 보호를 위하여 화이트리스트 기반의 이상징후 감지 시스템과 DNP3(Distributed Network Protocol 3) 보안 인증 기술을 개발하였다또한, 독립된 산업 제어 시스템 망에 대하여 특화된 탐지 기능을 제공하고 SCADA 프로토콜을 이용하여 산업 네트워크를 분석하고 오작동을 탐지하는 SCADA Shield 제품이 출시하는 등 산·학·연 각계에서 산업용 네트워크 트래픽 분석 및 제어 시스템의 상태 분석과 관련한 연구가 진행되고 있다. In Korea, KEPCO developed a whitelist-based anomaly detection system and DNP3 (Distributed Network Protocol 3) security authentication technology to protect the power control system. In addition, it provides a specialized detection function for the independent industrial control system network and uses the SCADA protocol. Research on industrial network traffic analysis and state analysis of control systems is being conducted in industry, academia, and research fields, such as the release of SCADA Shield products that analyze industrial networks and detect malfunctions.

규칙기반 이상행위 탐지 기술은 네트워크 관리자에 의해 네트워크 사용자들의 행동을 규칙화하고 어떤 행위에 규칙을 위반하고 데이터가 유출되었는지를 탐지할 수 있는 시스템이다. 규칙기반 탐지 시스템의 문제는 내부자 이상행위 탐지 시스템은 정해진 규칙을 벗어나는 내부자의 공격에 대해 능동적이지 못한 반응을 보였으며, 이를 통해 내부자의 공격도 많이 이루어졌으며 시스템 환경에 변화가 생기면 기존규칙이 제대로 탐지하지 못하였다. 최근에는 뉴스 기사와 법원 판결문을 분석하여 내부 침입자의 특성을 추출하여 유형을 미리 정하지 않고 텍스트 마이닝 기법을 활용하여 내부 침입자의 특성을 추출하였으나, 기존의 범죄자가 조금 다르게 공격을 하여도 탐지를 못 하는 단점이 있었다. The rule-based abnormal behavior detection technology is a system that can regulate the behavior of network users by a network administrator and detect which behavior violates the rules and whether data has been leaked. The problem with the rule-based detection system is that the insider anomaly detection system did not react actively to insider attacks that deviate from the set rules, and through this, many insider attacks were made, and existing rules were properly detected when there was a change in the system environment. I couldn't. Recently, the characteristics of internal intruders were extracted by analyzing news articles and court rulings, and the characteristics of internal intruders were extracted using text mining techniques without pre-determining the type. However, even if the existing criminals attack a little differently, it cannot be detected. There was a downside.

최근 이상행위 탐지연구의 동향은 규칙기반의 이상탐지 기술에서 기계학습을 통한 방법으로 연구가 변화하고 있다. 갈수록 내부자 위협이 복잡해지고 다양해지기 때문에 인간의 노동력으로 매번 규칙을 발견하는 것은 힘들어져서 기계학습을 통해 좀 더 많은 데이터를 수집하고 내부자 위협에 대해 빠른 대처를 위하여 최근 기계 학습을 통해 사람의 힘을 빌리지 않고 자동으로 추출하는 비지도 학습으로 연구하고자 하는 시도가 계속되고 있는 추세이다.Recently, the trend of abnormal behavior detection research is changing from rule-based abnormality detection technology to a method through machine learning. As insider threats become more complex and diversified, it is difficult to discover rules every time with human labor, so we collect more data through machine learning and borrow human power through recent machine learning to quickly respond to insider threats. It is a trend that attempts to research with unsupervised learning that automatically extracts are continued.

대한민국 등록특허 10-1538709호에는 산업제어 네트워크를 위한 비정상 행위 탐지 시스템 및 방법에 대한 기술이 기재되어 있다.Republic of Korea Patent Registration No. 10-1538709 describes a technology for an abnormal behavior detection system and method for an industrial control network. 대한민국 등록특허 10-1360591호에는 화이트리스트를 이용한 네트워크 감시 장치 및 방법에 대한 기술이 기재되어 있다.Korean Patent Registration No. 10-1360591 describes a technology for a network monitoring device and method using a white list. 대한민국 공개특허 10-2014-0118494호에는 제어 시스템의 이상 징후 탐지 장치 및 방법에 대한 기술이 기재되어 있다.Korean Patent Application Laid-Open No. 10-2014-0118494 discloses a technique for an apparatus and method for detecting abnormal signs of a control system.

본 발명은 상기와 같은 문제점을 개선하기 위해 창안된 것으로서, 네트워크로 전달되는 제어명령을 수집하여 분석하여 자동화 설비의 정상 작동상태인지 이상동작을 유발하는 명령인지 판별하는 제어명령 패킷 분석을 이용한 자동화 설비의 이상행위를 탐지하는 시스템을 제공하는데 그 목적이 있다.The present invention is invented to improve the above problems, and is an automation facility using a control command packet analysis to determine whether the control command transmitted to the network is collected and analyzed to determine whether the automation facility is in a normal operating state or a command that causes abnormal operation. Its purpose is to provide a system to detect abnormal behavior of

상기 목적을 달성하기 위한 본 발명에 따른 제어신호 분석에 의한 이상행위 탐지 시스템은 종단 기계들의 작동 상태 또는 작동 범위를 전달하는 제어신호를 수집하는 패킷수집부와, 상기 수집된 패킷으로부터 1차적으로 화이트리스트에 등록된 제어신호인지 판단하는 이상행위 탐지부와, 상기 등록된 제어신호로부터 종단 디바이스를 작동시키고 작동 상태 및 작동 범위를 수집하는 상태수집부와 상기 작동 상태 정보를 전달받아 미래 이상적 동작으로 발전 가능한 신호를 분석하는 이상행위 분석부와, 모든 절차에 따른 적용 결과 및 예측 정보들을 운영자에게 알람 등으로 알려주는 시각화 기능을 포함하는 서버로 구성된다.In order to achieve the above object, the system for detecting abnormal behavior by analyzing a control signal according to the present invention includes a packet collection unit that collects a control signal that transmits the operating state or operating range of end machines, and the collected packet is primarily white. An abnormal behavior detection unit that determines whether it is a control signal registered in the list, a state collection unit that operates a terminal device from the registered control signal and collects the operation state and operation range, and the operation state information is transmitted to the future ideal operation. It consists of a server that includes an abnormal behavior analysis unit that analyzes possible signals, and a visualization function that informs the operator of application results and predicted information according to all procedures through an alarm.

상기 이상행위 탐지부는 상기 패킷수집부로부터 전달받은 제어신호들을 병렬화된 필터링 모듈에게 분산시키는 분산모듈과, 상기 분산되어 전달된 제어신호를 등록된 화이트리스트 기반으로 정상 신화와 비정상 신호를 구분하여 차단시키는 병렬화된 필터링 모듈을 포함한다. The abnormal behavior detection unit divides the control signals received from the packet collection unit into a parallelized filtering module, and blocks the distributed control signals by separating and blocking normal myths and abnormal signals based on a registered white list. It includes a parallelized filtering module.

상기 이상행위 분석부는 상기 필터링 모듈에서 정상신호로 판별된 제어신호와 이 신호의 결과로 종단 디바이스에 연결된 기계들의 작동 상태를 수집한 상태수집모듈 결과를 전달받아 이상징후를 예측하는 머신 러닝 모듈과, 화이트리스트에 등록되지 않아 동작시키지 않은 제어신호의 주기적 전달 시, 이를 운영자에게 화이트리스트 등록을 요청하는 정책생성모듈을 포함한다.The abnormal behavior analysis unit receives a control signal determined as a normal signal by the filtering module and a result of a state collection module that collects operating states of machines connected to a terminal device as a result of this signal, and predicts an abnormal symptom; It includes a policy creation module that requests the operator to register a white list when periodically transmitting a control signal that has not been registered on the white list and is not operated.

상기 필터링 모듈에 의해 1차 이상행위 탐지는 제어신호 패킷과 화이트리스트 기반의 필터링에 의해 작동되며, 정상적으로 등록된 제어신호에 대해서 제어망 내부에서의 위·변조로 인한 이상행위 유발 제어명령을 이상행위 분석부에서 판별한다.The first abnormal behavior detection by the filtering module is operated by the control signal packet and whitelist-based filtering, and the abnormal behavior caused by forgery or alteration within the control network for normally registered control signals is issued to the abnormal behavior. It is determined by the analysis section.

상기 2차 이상행위 탐지 및 예측을 위하여 종단 디바이스와 연결되고, 정상적인 제어명령에 의해 작동된 이후의 결과값을 수집하는 상태 수집 모듈의 정보를 주기적으로 전달받아 이로부터 과거 학습이 된 데이터 기반으로부터 비정상 동작을 예측한다.In order to detect and predict the secondary abnormal behavior, it is connected to the end device and periodically receives information from the state collection module that collects the result value after being operated by the normal control command, and is abnormal from the data base learned in the past. Predict motion.

본 발명에 따른 제어신호 이상행위 탐지 시스템은 대량의 제어명령을 패킷수집부에서 수집하여 분산모듈에 의해 병렬화된 필터링 모듈에 분배하고 이로부터 1차 이상행위를 판별하여 필터링함으로써 종단 디바이스의 이상동작을 방지할 수 있고, 제어망 내부에서 위·변조되어 정상 신호로 인식된 신호들로부터 종단 디바이스의 동작 상태를 점검하여 이전에 정상행위에 대한 학습이 된 데이터로부터 머신러닝을 이용하여 이상행위로 발전 가능한 제어신호를 탐지하여 고속의 제어신호 분석과 향후 발전 가능한 이상행위를 사전에 예측하여 제어 설비의 오작동을 방지할 수 있는 장점이 있다.The control signal abnormal behavior detection system according to the present invention collects a large amount of control commands from the packet collecting unit and distributes them to a filtering module parallelized by a distribution module, and determines and filters the first abnormal behavior from this to prevent abnormal operation of the end device. It can be prevented and developed into abnormal behavior using machine learning from previously learned data about normal behavior by checking the operation state of the end device from signals recognized as normal signals by forgery or alteration inside the control network. It has the advantage of detecting the control signal, analyzing the control signal at a high speed, and predicting the abnormal behavior that can develop in the future to prevent the malfunction of the control facility.

도 1은 본 발명에 따른 이상행위 분석을 위한 이상행위 탐지 시스템에 대한 흐름도이고,
도 2는 도 1의 상세 블록도로 분산모듈에 의해 병렬화된 필터링 모듈의 동작과 분석엔진에 의한 이상행위 예측 및 신규 화이트리스트 정책을 생성하는 블록도 이고,
도 3은 도 1의 이상행위 탐지를 위한 필터링 모듈의 작동 상태를 나타내는 블록도 이고,
도 4는 상태수집부의 세부적인 작동 상태를 나타내는 블록도 이고,
도 5는 제어설비에 연결하여 이상행위 탐지 시스템의 작동을 보여주는 실시 예 사진이다.1 is a flowchart of an abnormal behavior detection system for analyzing abnormal behavior according to the present invention,
FIG. 2 is a detailed block diagram of FIG. 1, showing an operation of a filtering module parallelized by a distribution module and a block diagram for predicting anomalous behavior by an analysis engine and generating a new white list policy.
3 is a block diagram showing an operating state of the filtering module for detecting anomalous behavior of FIG. 1,
4 is a block diagram showing a detailed operation state of the state collection unit,
5 is a photograph of an embodiment showing the operation of an abnormal behavior detection system connected to a control facility.

이하, 첨부한 도면을 참조하여 본 발명의 실시 예에 따른 제어신호 이상행위 탐지 시스템에 대해 상세히 설명한다. 본 발명은 다양한 변경을 가할 수 있는바, 특정 실시 예들을 도면에 예시하고 본문에 상세하게 설명하고자 한다. 그러나 이는 본 발명을 특정한 개시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경 내지 대체물을 포함하는 것으로 이해되어야 한다. 각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용하였다. 첨부된 도면에서 구조물들의 치수는 본 발명의 명확성을 기하기 위하여 실제보다 확대하여 설명한 것이다. Hereinafter, a control signal abnormal behavior detection system according to an embodiment of the present invention will be described in detail with reference to the accompanying drawings. In the present invention, various modifications may be made, and specific embodiments will be illustrated in the drawings and described in detail in the text. However, this is not intended to limit the present invention to a specific form of disclosure, it should be understood to include all changes or substitutes included in the spirit and scope of the present invention. In describing each drawing, similar reference numerals have been used for similar elements. In the accompanying drawings, the dimensions of the structures are described in an enlarged manner, in order to clarify the present invention.

본 출원에서 명시한 청구범위에 사용된 용어나 단어는 발명자가 그 자신의 발명을 실시 예에 맞춰 설명하기 위해 용어의 개념을 적절하게 정의할 수 있다는 원칙에 입각하여 본 발명의 기술적 사상에 부합되는 의미와 개념으로 해석되어야만 한다. The terms or words used in the claims specified in the present application have meanings consistent with the technical idea of the present invention based on the principle that the inventor can appropriately define the concept of the term in order to describe his own invention according to embodiments. And should be interpreted as a concept.

또한, 하기 설명에서 구체적인 소프트웨어적 방법 등과 같은 특정 사항들 없이도, 본 발명이 실시될 수 있음은 이 기술 분야에서 통상의 지식을 가진 자에게는 자명하다 할 것이다. In addition, in the following description, it will be apparent to those of ordinary skill in the art that the present invention may be practiced without specific matters such as a specific software method.

도 1은 발명의 실시 예에 따른 자동제어 시스템 내에서의 제어신호를 수집하고 분석하여 이상행위를 탐지하는 방법을 도시하는 기능 블록도 이다. 1 is a functional block diagram illustrating a method of detecting an abnormal behavior by collecting and analyzing control signals in an automatic control system according to an embodiment of the present invention.

첨부된 도면을 참조하면, 본 발명의 이상행위 탐지 시스템에서 운영자(100)에 의해 전달된 제어명령을 실시간으로 감시하고, 분석하는 이상행위 탐지 시스템(200)에서 운영자(100)의 행위를 이상신호인지 정상신호인지 판단하고, 상기 이상행위 탐지 시스템(200)은 전송되는 제어명령 패킷을 실시간으로 수신하는 패킷수지부(210)와, 수신된 제어명령 패킷을 화이트리스트 기반으로 1차 이상행위를 차단하는 이상행위 탐지부(220)와, 상기 이상행위 탐지부(220)에서 정상신호로 종단 디바이스(300)가 동작 되었지만 제어망 내부에서 위·변조가 일어났을 가능성이 있는지를 예측하여 비정상 신호를 예측하는 이상행위 분석부(230)와, 상기 이상신호 분석부(230)에서 분석을 위한 데이터로 사용되는 종단 디바이스(300)의 동작 상태를 수집하여 전달하는 상태수집부(240)와, 상기의 모든 결과를 운영자(100)에게 알람 또는 결과를 시각적으로 알려주는 시간화모듈(250)을 포함하여 구성된다. Referring to the accompanying drawings, the abnormal behavior detection system 200, which monitors and analyzes the control command transmitted by the operator 100 in real time in the abnormal behavior detection system of the present invention, signals the behavior of the operator 100 It determines whether or not it is a normal signal, and the abnormal behavior detection system 200 blocks the first abnormal behavior based on the whitelist based on the packet receiving unit 210 that receives the transmitted control command packet in real time and the received control command packet. The abnormal behavior detection unit 220 and the abnormal behavior detection unit 220 predicts abnormal signals by predicting whether the end device 300 is operated with a normal signal, but there is a possibility that forgery or alteration has occurred inside the control network. An abnormal behavior analysis unit 230 to perform, and a state collection unit 240 for collecting and transmitting the operation state of the end device 300 used as data for analysis in the abnormal signal analysis unit 230, and all of the above It is configured to include a timed module 250 for visually notifying the result or an alarm to the operator 100.

하기에서는 상술한 본 발명의 전체적인 시스템 구성을 바탕으로 각 국성의 유기적인 기능과 시스템의 원리에 대해 상세히 설명하도록 한다. In the following, the organic functions of each nationality and the principle of the system will be described in detail based on the overall system configuration of the present invention.

상기 이상행위 탐지 시스템(200)은 기존의 산업제어 설비를 동작시키는 절차상의 네트워크 시스템으로 구성되고, 이는 운영자(100)가 HMI 등을 통하여 기기를 조작하기 위한 제어명령을 전달하는 네트워크상에서 전달되는 제어명령 패킷을 이상행위 탐지 시스템(200) 내의 패킷 수집 엔진(210)이 종단 디바이스(300)로 제어명령이 전달되기 전에 모든 제어명령 패킷을 수신하고, 운영자(100)에게는 종단 디바이스(300)의 수신확인 응답을 패킷 수집 엔진(210)이 대신 전달하여 운영자(100)의 이후 행위를 계속 진행하도록 한다.The abnormal behavior detection system 200 is composed of a procedural network system for operating an existing industrial control facility, which is a control transmitted on a network through which the operator 100 transmits a control command for manipulating the device through an HMI, etc. The packet collection engine 210 in the abnormal behavior detection system 200 receives all the control command packets before the control command is transmitted to the end device 300, and the operator 100 receives the end device 300. The acknowledgment is transmitted to the packet collection engine 210 instead, so that the operator 100 continues to perform subsequent actions.

상기 패킷 수집부(210)는 수집된 모든 제어 명령 패킷의 내부 데이터를 추출하고, 필터링 모듈(222)과 이상행위 분석부(230)에서 사용할 수 있는 포맷으로 변경하고, 상기 변경된 데이터를 분산 모듈(221)로 전달하여, 1차 이상행위 차단과 2차 이상행위 탐지 및 예측을 수행한다. The packet collection unit 210 extracts internal data of all collected control command packets, changes the format to a format usable by the filtering module 222 and the abnormal behavior analysis unit 230, and converts the changed data into a distribution module ( 221), blocking the first abnormal behavior and detecting and predicting the second abnormal behavior.

상기 이상행위 탐지부(220)은 패킷 수집부(210)에서 전달된 제어 패킷들을 분산 모듈(221)에 의해 병렬화로 구성된 필터링 모듈(222) 중에서 데이터를 가장 먼저 분석 가능한 필터링 모듈(222)로 전달하고, 운영자(100)가 등록시킨 화이트리스트 데이터를 기반으로 제어 명령 데이터를 분석하여 등록된 화이트리스트에 포함되는 제어 명령인지 판단하고, 등록된 화이트리스트에 포함되지 않는 제어 명령의 경우, 해당 제어명령 패킷을 차단하여 종단 디바이스(100)가 동작되지 않도록 한다. 상기 제어명령 패킷이 화이트리스트에 포함되는 행위일 경우, 정상적으로 종단 디바이스(300)는 운영자(100)가 보낸 제어 명령대로 동작하고, 이는 상태수집부(240)에 의해 동작 결과를 수집하여 분석엔진(231)에 동작 결과에 의한 상태 정보를 전달한다.The abnormal behavior detection unit 220 transfers the control packets transmitted from the packet collection unit 210 to the filtering module 222 that can analyze data first among the filtering modules 222 configured by parallelization by the distribution module 221 And, based on the white list data registered by the operator 100, the control command data is analyzed to determine whether it is a control command included in the registered white list, and in the case of a control command not included in the registered white list, the corresponding control command The packet is blocked so that the end device 100 is not operated. When the control command packet is an action included in the white list, the end device 300 normally operates according to the control command sent by the operator 100, which collects the operation result by the state collection unit 240 and analyzes the engine ( 231), the status information according to the operation result is transmitted.

도 3은 상기 필터링 모듈(222)을 세부적인 동작 구성을 나타내고 있으며, 분산 모듈(221)로부터 전달된 제어 멸령 데이터를 각각의 병렬화된 필터링 모듈(222) 내에 구성된 필터링 라우터에서 수신하고, 화이트리스트 DB에 등록되어있는 정상신호 패턴과 비교하여 화이트리스트 검증을 수행하고, 검증 결과에 의해 정상신호의 경우 캡쳐한 제어신호를 종단 디바이스(300)에 전달하여 정상적으로 기기 조작이 수행되도록 하고, 화이트리스트에 등록되지 않은 제어신호의 경우 캡쳐한 제어신호는 내부적으로 삭제하고, 해당 제어신호에 대한 정보를 알람으로 생성하여 운영자(100)에게 알려줘서 이후 화이트리스트 생성과 관련하여 정책생성 모듈(231)을 수행하도록 한고, 신규로 화이트리스트가 생성되었을 경우 새로운 화이트리스트를 화이트리스트 라우터에 전달하여 화이트리스트 검증 규칙에 맞게 정규 표현식으로 변경하여 화이트리스트 BD를 갱신한다.3 shows the detailed operation configuration of the filtering module 222, and receives the control command data transmitted from the distribution module 221 at the filtering router configured in each parallelized filtering module 222, and a white list DB Whitelist verification is performed by comparing with the normal signal pattern registered in, and in the case of a normal signal according to the verification result, the captured control signal is transmitted to the terminal device 300 so that the device is operated normally, and registered in the whitelist. In the case of an unsuccessful control signal, the captured control signal is internally deleted, and information on the corresponding control signal is generated as an alarm and notified to the operator 100 so that the policy creation module 231 is performed in connection with the generation of the white list later. Hango, when a new white list is created, the new white list is transmitted to the white list router, and the white list BD is updated by changing it to a regular expression in accordance with the white list verification rule.

상기 이상행위 분석부(230)는 정책생성모듈(231)과 머신러닝 모듈(232)로 구성되고, 정책생성모듈(231)은 상기 필터링 모듈(222)로부터 차단된 제어신호가 주기적으로 발생할 경우, 이를 운영자(100)에게 알람으로 전달하여 새로운 정상신호 패턴인지 확인하도록 하고, 머신러닝 모듈(232)은 상기 상태수집부(240)로부터 수신한 상태 정보를 과거 정상행위에 의해 학습이 된 상태정보들을 기반으로 학습하여 향후 동작된 제어신호가 이상신호로 변경 가능한지 예측하여 이상행위에 의해 종단 디바이스(300)의 오동작을 차단한다. The abnormal behavior analysis unit 230 is composed of a policy generation module 231 and a machine learning module 232, and the policy generation module 231 periodically generates a control signal blocked from the filtering module 222, This is transmitted as an alarm to the operator 100 to check whether it is a new normal signal pattern, and the machine learning module 232 uses the state information received from the state collection unit 240 to collect state information learned by past normal behavior. Based on learning, it predicts whether a control signal operated in the future can be changed to an abnormal signal, and blocks malfunction of the end device 300 due to abnormal behavior.

상기 상태수집부(240)는 도 4에서 자세하게 설명한 것처럼 일정 주기별로 감지 대상인 종단 디바이스(300)와 물리적으로 연결된 PLC이 물리적 포트에 현재 상태 값을 조회하는 제어 명령 패킷을 전송하고, 포트별 상태 값을 데이터를 수집하여 수집된 데이터와 타임스탬프를 실시간으로 전달하고, 전달된 상태 값을 각각의 속성별로 구분하여 집계하고, 머신러닝에 의해 예측할 수 있도록 이상행위 분석부(230)로 전달하여 이상행위를 예측한다. As described in detail in FIG. 4, the state collection unit 240 transmits a control command packet for inquiring a current state value to a physical port by a PLC physically connected to the end device 300 to be detected at regular intervals, and the state value for each port The data is collected and the collected data and timestamp are transmitted in real time, the transmitted state values are classified and aggregated for each attribute, and the abnormal behavior is transmitted to the abnormal behavior analysis unit 230 so that it can be predicted by machine learning. Predict.

상기 시각화 모듈(250)은 이상행위 분석부(230)에 의해 수행된 결과를 운영자(100)가 확인하고, 새로운 제어명령 전달 또는 이후 운영자(100)의 행동을 계속 진행하기 쉽게 시각적으로 표현된 정보를 생성하여 전달한다.The visualization module 250 is visually expressed information that makes it easy for the operator 100 to check the result performed by the abnormal behavior analysis unit 230 and to transmit a new control command or to continue the operation of the operator 100 afterwards. Create and deliver.

상기 운영자가 전달한 제어신호를 기반으로 제어망 내부의 이상행위를 탐지하는 시스템은 자동제어 설비의 가용성 보장과 제어망 내에서의 위·변조된 제어신호를 탐지하고 예측하는 기술로서 주요 자동화 설비를 대상으로 하는 부정조작 공격으로부터 효과적으로 이상행위를 탐지하고, 자동화 설비의 가용성을 방해하는 행위를 차단한다.The system that detects abnormal behavior inside the control network based on the control signal transmitted by the operator is a technology that ensures availability of automatic control facilities and detects and predicts forged or altered control signals in the control network. It effectively detects abnormal behaviors from tampering attacks and blocks behaviors that hinder the availability of automated facilities.

상기 이상행위 탐지 시스템은 PLC 시스템에 연결된 종단 디바이스의 작동 상태 및 작동 범위를 모니터링하고, 정상 행위를 모아놓은 화이트리스트 기반으로 제어신호를 필터링하거나, 현재는 정상 제어신호 패킷이지만 동작 결과들의 누적에 의해 이상행위로 발전 가능한 제어신호 패킷을 예측함으로써 자동화 설비를 대상으로 하는 다양한 공격들로부터 중요한 설비의 가용성을 확보하고 알려지지 않은 공격들에 대해 예방이 가능하다..The abnormal behavior detection system monitors the operating state and operating range of the end device connected to the PLC system, and filters the control signal based on a white list of normal behaviors, or, although it is a normal control signal packet, the operation results are accumulated. By predicting the control signal packets that can develop into abnormal behavior, it is possible to secure the availability of important facilities from various attacks targeting automated facilities and prevent unknown attacks.

도 5는 진술한 실시 예에 대한 구체적 동작 절차와 시스템 예를 나타내고 있으며, SCADA로 구현된 운영자(100)의 HMI 프로그램으로부터 제어 명령을 전달하고, 전달된 제어명령을 네트워크상에서 수집하여 화이트리스트 기반의 이상행위 차단을 수행하는 필터링 모듈(222)을 통하여 이상행위 패킷을 구분한다. 여기에서 정상신호로 판별된 제어신호는 다시 이상행위 탐지부(220)에서 종단 디바이스와 연결된 PLC에 전달하여 종단 디바이스(300)를 작동한다. 5 shows a specific operation procedure and system example for the above-described embodiment, and transmits a control command from the HMI program of the operator 100 implemented in SCADA, collects the transmitted control command on the network, and is based on a white list. The abnormal behavior packet is classified through the filtering module 222 that blocks abnormal behavior. Here, the control signal determined as a normal signal is transmitted from the abnormal behavior detection unit 220 to the PLC connected to the end device to operate the end device 300.

진술한 내용은 후술할 발명의 청구범위를 더욱 잘 이해할 수 있도록 본 발명의 특징과 기술적 강점을 다소 폭 넓게 상술하였다. 상술한 본 발명의 개념과 특정 실시 예는 본 발명과 유사 목적을 수행하기 이한 다른 형상의 설계나 수정의 기본으로서 즉시 사용될 수 있음이 해당 기술 분야의 숙련된 사람들에 의해 인식되어야 한다.The stated content has been described in a somewhat wider range of features and technical strengths of the present invention so that the claims of the invention to be described later can be better understood. It should be recognized by those skilled in the art that the above-described concept and specific embodiments of the present invention can be used immediately as a basis for designing or modifying other shapes for carrying out similar purposes to the present invention.

또한, 상기에서 기술된 실시 예에 대해 다양한 변형들은 본 발명의 기술 분야에서 통상의 지식을 가진자에게 명백할 것이며, 본 발명에서 정의된 일반적인 원리들은 본 발명의 범위를 벗어남이 없이 다른 실시 예들에 적용될 수 있다. 그리하여, 본 발명은 여기에 제시된 실시 예들로 한정되는 것이 아니라, 여기에 제시된 원리들 및 신규한 특징들과 일관되는 최광의의 범위에서 해석되어야 할 것이다.In addition, various modifications to the embodiments described above will be apparent to those of ordinary skill in the technical field of the present invention, and the general principles defined in the present invention can be applied to other embodiments without departing from the scope of the present invention. Can be applied. Thus, the present invention is not limited to the embodiments presented herein, but is to be interpreted in the widest scope consistent with the principles and novel features presented herein.

100 : 자동화 설비를 작동시키는 운영자 및 HMI 프로그램
200 : 이상행위 탐지 시스템
210 : 패킷 수집부
220 : 화이트리스트 기반으로 이상행위를 차단하는 이상행위 탐지부
221 : 수집된 패킷을 병렬화된 필터링 모듈로 전달하는 분산 모듈
222 : 이상행위 차단을 고속으로 처리하기 위하여 병렬 구조로 된 필터링 모듈
230 : 등록되지 않은 이상행위를 예측하고, 화이트리스트를 새롭게 생성하는 이상행위 분석부
231 : 새로운 제어신호 발생에 의한 신규 화이트리스트를 등록시키는 정책생성모듈
232 : 상태수집부로 전달받은 데이터를 기반으로 향후 이상행위를 예측하는 머신러닝 모듈
240 : 전달된 제어명령에 의해 종단 디바이스의 작동 상태 및 작동 범위를 수집하는 상태수집부
250 : 시각화
300 : PLC와 연결된 종단 디바이스100: Operator and HMI program to operate automation equipment
200: Abnormal behavior detection system
210: packet collection unit
220: Abnormal behavior detection unit that blocks abnormal behavior based on white list
221: A distributed module that delivers the collected packets to a parallelized filtering module
222: Filtering module in parallel structure to process abnormal behavior blocking at high speed
230: Abnormal behavior analysis unit that predicts unregistered abnormal behavior and creates a new white list
231: Policy creation module to register a new white list by generating a new control signal
232: Machine learning module that predicts future abnormal behavior based on the data transmitted to the state collection unit
240: Status collection unit collecting the operating state and operating range of the end device by the transmitted control command
250: visualization
300: End device connected to PLC

Claims (3)

제어시스템에서 적어도 하나 이상의 종단 디바이스 장치가 상기 자동제어의 제어신호를 수신하여 종단 디바이스를 동작하는 시스템에 있어서,
상기 종단 디바이스를 동작시키기 위한 제어신호를 중앙에서 수집하는 패킷 수집부;
상기 수집된 패킷으로부터 정상행위로 등록된 화이트리스트와 비교하여 이상행위 제어신호를 찾아 차단하는 이상행위 탐지부;
상기 이상행위 탐지부에서 정상행위로 등록된 내부 시스템 또는 정상적인 종단 디바이스를 동작시키는 제어신호에 의해 종단 디바이스가 동작된 범위 또는 기간 등의 동작 상태를 수집하는 상태수집부;
상기 정상적인 제어신호로 인식하여 동작된 동작 상태 데이터를 이용하여 기계학습하고 이상행위로 발전될 가능성이 있는 제어신호를 예측하는 이상행위 분석부;
상기 이상행위 탐지부와 이상행위 분석부에 의해 추출된 데이터를 시각화여 운용자에게 전달하는 시각화를 포함하는,
제어신호 패킷 및 종단 디바이스 상태 정보 분석을 이용한 이상행위 탐지 시스템.In a system in which at least one end device device in a control system operates the end device by receiving the control signal of the automatic control,
A packet collection unit collecting a control signal for operating the end device at a center;
An abnormal behavior detection unit for finding and blocking an abnormal behavior control signal by comparing the collected packet with a white list registered as a normal behavior;
A state collection unit for collecting an operation state such as a range or period in which the end device has been operated by a control signal for operating an internal system registered as a normal behavior by the abnormal behavior detection unit or a normal end device;
An abnormal behavior analysis unit for machine learning by using the operation state data operated by recognizing the normal control signal and predicting a control signal that may develop into an abnormal behavior;
Visualizing the data extracted by the abnormal behavior detection unit and the abnormal behavior analysis unit, including a visualization to deliver to the operator,
Abnormal behavior detection system using control signal packet and end device status information analysis. 제1항에 있어서,
상기 이상행위 탐지부는
상기 패킷 수집부에서 수집된 제어신호 패킷을 고속의 분석을 위하여 이상행위를 탐지하는 기능을 포함하는 필터링 모듈을 병렬 구조로 구성하고,
상기 구성된 병렬구조의 필터링 모듈에 각각의 분석을 위한 제어신호 패킷을 분산시키는 분산 모듈을 더 포함하고,
상기 이상행위 분석부는
상기 상태수집부에서 전달받은 동작 상태 데이터를 이용하여 학습하는 머신 러닝 모듈에 의해 이상행위를 예측하고,
상기 이상행위 탐지부에서 정상신호로 분류되지 않은 제어신호 패킷을 운영자에 의해 정상신호 패킷으로 신규 등록시키는 정책생성 모듈을 더 포함하는,
제어신호 패킷 및 종단 디바이스 상태 정보 분석을 이용한 이상행위 탐지 시스템.The method of claim 1,
The abnormal behavior detection unit
A filtering module including a function of detecting abnormal behavior for high-speed analysis of the control signal packets collected by the packet collection unit is configured in a parallel structure,
Further comprising a distribution module for distributing control signal packets for each analysis to the configured parallel filtering module,
The abnormal behavior analysis unit
Predict abnormal behavior by a machine learning module that learns using the motion state data received from the state collection unit,
Further comprising a policy generation module for newly registering a control signal packet not classified as a normal signal in the abnormal behavior detection unit as a normal signal packet by an operator,
Abnormal behavior detection system using control signal packet and end device status information analysis. 제1항에 있어서,
상기 상태수집부는
상기 종단 디바이스와 직접적으로 연결된 제동제어시스템에서 각각의 종단 디바이스를 동작시키는 포트를 감시하고,
상기 해당 포트들의 신호와 데이터를 수집하고, 집계하여 분석 가능한 데이터로 분류하는,
제어신호 패킷 및 종단 디바이스 상태 정보 분석을 이용한 이상행위 탐지 시스템.The method of claim 1,
The state collection unit
In the braking control system directly connected to the end device, the port for operating each end device is monitored,
Collecting the signals and data of the corresponding ports, aggregated, and classified as data that can be analyzed,
Abnormal behavior detection system using control signal packet and end device status information analysis.
KR1020190016438A 2019-02-13 2019-02-13 Control system anomaly detection system and its method by analyzing the device control signal packet and its status KR20200098838A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020190016438A KR20200098838A (en) 2019-02-13 2019-02-13 Control system anomaly detection system and its method by analyzing the device control signal packet and its status

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020190016438A KR20200098838A (en) 2019-02-13 2019-02-13 Control system anomaly detection system and its method by analyzing the device control signal packet and its status

Publications (1)

Publication Number Publication Date
KR20200098838A true KR20200098838A (en) 2020-08-21

Family

ID=72235550

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020190016438A KR20200098838A (en) 2019-02-13 2019-02-13 Control system anomaly detection system and its method by analyzing the device control signal packet and its status

Country Status (1)

Country Link
KR (1) KR20200098838A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112543123A (en) * 2020-12-17 2021-03-23 云南昆钢电子信息科技有限公司 Safety protection and early warning system of industrial automatic control system
CN115277514A (en) * 2022-07-08 2022-11-01 国电南瑞南京控制系统有限公司 Online command self-checking method and device for safety and stability control system
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system
US11601353B2 (en) 2020-11-12 2023-03-07 Electronics And Telecommunications Research Institute Device identification apparatus and method based on network behavior

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101360591B1 (en) 2011-09-29 2014-02-11 한국전력공사 Apparatus and method for monitoring network using whitelist
KR20140118494A (en) 2013-03-29 2014-10-08 한국전자통신연구원 Apparatus and method for detecting anomaly in a controller system
KR101538709B1 (en) 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101360591B1 (en) 2011-09-29 2014-02-11 한국전력공사 Apparatus and method for monitoring network using whitelist
KR20140118494A (en) 2013-03-29 2014-10-08 한국전자통신연구원 Apparatus and method for detecting anomaly in a controller system
KR101538709B1 (en) 2014-06-25 2015-07-29 아주대학교산학협력단 Anomaly detection system and method for industrial control network

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11601353B2 (en) 2020-11-12 2023-03-07 Electronics And Telecommunications Research Institute Device identification apparatus and method based on network behavior
CN112543123A (en) * 2020-12-17 2021-03-23 云南昆钢电子信息科技有限公司 Safety protection and early warning system of industrial automatic control system
KR102500033B1 (en) * 2022-03-24 2023-02-16 온시큐리티 주식회사 Method and apparatus for detecting anomalies in industrial control system
CN115277514A (en) * 2022-07-08 2022-11-01 国电南瑞南京控制系统有限公司 Online command self-checking method and device for safety and stability control system

Similar Documents

Publication Publication Date Title
Zolanvari et al. Machine learning-based network vulnerability analysis of industrial Internet of Things
KR20200098838A (en) Control system anomaly detection system and its method by analyzing the device control signal packet and its status
Meshram et al. Anomaly detection in industrial networks using machine learning: a roadmap
Kim et al. A survey on network security for cyber–physical systems: From threats to resilient design
KR101375813B1 (en) Active security sensing device and method for intrusion detection and audit of digital substation
EP2612481B1 (en) Method and system for classifying traffic
CN103491108A (en) Method and system for security protection of industrial control network
CN114978770A (en) Internet of things security risk early warning management and control method and system based on big data
Hodo et al. Anomaly detection for simulated iec-60870-5-104 trafiic
KR102001812B1 (en) Apparatus and method of making whitelist for communication among devices using k-means algorithm
Markman et al. A new burst-DFA model for SCADA anomaly detection
CN111224973A (en) Network attack rapid detection system based on industrial cloud
Januário et al. Security challenges in SCADA systems over Wireless Sensor and Actuator Networks
CN114666088A (en) Method, device, equipment and medium for detecting industrial network data behavior information
Turcato et al. A cloud-based method for detecting intrusions in profinet communication networks based on anomaly detection
Alem et al. A novel bi-anomaly-based intrusion detection system approach for industry 4.0
KR101871406B1 (en) Method for securiting control system using whitelist and system for the same
CN111935085A (en) Method and system for detecting and protecting abnormal network behaviors of industrial control network
Sapozhnikova et al. Intrusion detection system based on data mining technics for industrial networks
JP2023050189A (en) Threat control method and system
Rinaldi et al. Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection
Singh et al. Mitigation of Cyber Attacks in SDN-Based IoT Systems Using Machine Learning Techniques
CN111338297B (en) Industrial control safety framework system based on industrial cloud
Maynard et al. Using Application Layer Metrics to Detect Advanced SCADA Attacks.
Zaheer et al. Intrusion detection and mitigation framework for SDN controlled IoTs network

Legal Events

Date Code Title Description
E601 Decision to refuse application