KR20210111081A - System and method for cyber security analysis in nuclear facilities - Google Patents

System and method for cyber security analysis in nuclear facilities Download PDF

Info

Publication number
KR20210111081A
KR20210111081A KR1020200026155A KR20200026155A KR20210111081A KR 20210111081 A KR20210111081 A KR 20210111081A KR 1020200026155 A KR1020200026155 A KR 1020200026155A KR 20200026155 A KR20200026155 A KR 20200026155A KR 20210111081 A KR20210111081 A KR 20210111081A
Authority
KR
South Korea
Prior art keywords
physical device
cyber
power plant
simulator
nuclear power
Prior art date
Application number
KR1020200026155A
Other languages
Korean (ko)
Other versions
KR102348786B1 (en
Inventor
송재구
최종균
이철권
이정운
이동영
Original Assignee
한국원자력연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국원자력연구원 filed Critical 한국원자력연구원
Priority to KR1020200026155A priority Critical patent/KR102348786B1/en
Publication of KR20210111081A publication Critical patent/KR20210111081A/en
Application granted granted Critical
Publication of KR102348786B1 publication Critical patent/KR102348786B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G21NUCLEAR PHYSICS; NUCLEAR ENGINEERING
    • G21DNUCLEAR POWER PLANT
    • G21D3/00Control of nuclear power plant
    • G21D3/04Safety arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02EREDUCTION OF GREENHOUSE GAS [GHG] EMISSIONS, RELATED TO ENERGY GENERATION, TRANSMISSION OR DISTRIBUTION
    • Y02E30/00Energy generation of nuclear origin

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Business, Economics & Management (AREA)
  • Emergency Management (AREA)
  • Plasma & Fusion (AREA)
  • High Energy & Nuclear Physics (AREA)
  • Testing And Monitoring For Control Systems (AREA)

Abstract

The present invention relates to a system and method for a cyber security analysis in nuclear facilities. The system includes: a physical device which is actually simulated based on a special system of a nuclear power plant; a simulator which generates a simulation of an entire operation of a nuclear power plant including a special system and synchronizes control signals applied to the special system in real time with a physical device; and a cyber security analysis device which executes a cyber attack on a control module (PLC) or local user interface (Local HMI) of the physical device through a network of the physical device and a simulator, and collects data transmitted by accessing the network. Therefore, it is possible to track the influence of other systems related to multiple systems due to a cyber attack in the cyber security of a nuclear power plant.

Description

원자력 시설의 사이버 보안 분석 시스템 및 그 방법{SYSTEM AND METHOD FOR CYBER SECURITY ANALYSIS IN NUCLEAR FACILITIES}SYSTEM AND METHOD FOR CYBER SECURITY ANALYSIS IN NUCLEAR FACILITIES

원자력 시설의 사이버 보안 분석 시스템 및 그 방법이 제공된다.A cybersecurity analysis system and method for a nuclear facility are provided.

산업 제어 시스템에서 사이버 보안 사건이 증감함에 따라 기술 보안 조치와 사이버 보안 교육 훈련 등이 진행되고 있다. As cybersecurity incidents increase or decrease in industrial control systems, technical security measures and cybersecurity education and training are underway.

특히 원자력 발전소와 같이 에너지 주요 기반 시설 분야에서는 사이버 공격으로 인해 발생되는 피해의 규모가 크며, 인명 피해로 확대될 가능성이 크기 때문에 사이버 공격에 대한 훈련과 그에 따른 분석하는 기술이 중요하다.In particular, in the field of major energy infrastructure such as nuclear power plants, the size of the damage caused by cyber attacks is large and it is likely that the damage to human life is high.

사이버 훈련을 위해 실제 구동중인 시스템을 활용하기 어렵기 때문에 일반적으로 IT 기반의 시스템으로 구성된 장비를 통해 사이버 공격에 대한 훈련을 수행하거나 대상 계통을 실제 물리인 장치로 모사하여 사이버 훈련을 수행하고 있다. Because it is difficult to utilize the actual operating system for cyber training, in general, training for cyber attacks is performed through equipment composed of IT-based systems, or cyber training is performed by simulating the target system as an actual physical device.

다만, IT 기반의 시스템을 통해 사이버 보안 훈련을 수행할 경우, 가상으로 구현되기 때문에 환경을 구성하기에 편리하지만 대상 계통에 대한 특성을 정확하게 표현하기에는 많은 시간과 비용이 요구되기 때문에 대상 계통에 특화된 환경이 아닌 기존 IT 기반 환경에서 사이버 보안 훈련이 수행된다. However, when cyber security training is performed through an IT-based system, it is convenient to configure the environment because it is implemented virtual, but it takes a lot of time and money to accurately express the characteristics of the target system. Cybersecurity training is conducted in an existing IT-based environment instead of this.

그리고 모사 장치를 제공하는 경우 해당 모사된 대상 계통에 대한 특성에 기초하여 사이버 보안 훈련을 수행할 수 있지만, 각 대상 계통에만 한정된 훈련으로 시스템적으로 사이버 보안 훈련을 수행하기 어렵다. In addition, when a simulation device is provided, cyber security training can be performed based on the characteristics of the simulated target line, but it is difficult to systematically perform cyber security training with training limited to each target line.

그러므로 원자력 분야에 대한 사이버 보안 훈련을 효율적으로 수행하기 위해 시뮬레이션과 물리 장치를 연계하여 다양한 분석을 수행할 수 있는 기술이 요구된다. Therefore, in order to efficiently perform cyber security training in the nuclear field, a technology capable of performing various analyzes by linking simulation and physical devices is required.

관련 선행문헌으로 한국공개특허 10-2018-0030443호는 " 급수 계통 모사 장치 및 급수 계통 모사 시스템"을 개시한다. As a related prior document, Korean Patent Application Laid-Open No. 10-2018-0030443 discloses "a water supply system simulating device and a water supply system simulating system".

한국공개특허 10-2018-0030443Korean Patent Laid-Open Patent No. 10-2018-0030443

본 발명의 한 실시예는 원자력 발전소 운영 시뮬레이션과 물리 장치의 연계를 통해 원자력 시설의 사이버 보안을 시험하고 그 결과를 분석하는 시스템 및 방법을 제공하는 것이다. One embodiment of the present invention is to provide a system and method for testing cybersecurity of a nuclear facility and analyzing the results by linking a nuclear power plant operation simulation with a physical device.

상기 과제 이외에도 구체적으로 언급되지 않은 다른 과제를 달성하는 데 본 발명에 따른 실시예가 사용될 수 있다.In addition to the above problems, the embodiment according to the present invention may be used to achieve other problems not specifically mentioned.

본 발명의 한 실시예에 따른 사이버 보안 분석 시스템은 원자력 발전소의 특수 계통에 기초하여 실제 모사된 물리 장치, 특수 계통을 포함하는 원자력 발전소의 전체 운영 시뮬레이션을 생성하고, 실시간으로 특수 계통에 적용되는 제어 신호를 물리 장치와 동기화하는 시뮬레이터, 그리고 물리 장치와 시뮬레이터의 네트워크를 통해 물리 장치의 제어 모듈(PLC) 또는 로컬 사용자 인터페이스(Local HMI)에 사이버 공격을 실행하고, 네트워크에 접속하여 전달되는 데이터를 수집하는 사이버 보안 분석 장치를 포함한다. A cyber security analysis system according to an embodiment of the present invention generates an overall operation simulation of a nuclear power plant including an actual simulated physical device and a special system based on a special system of the nuclear power plant, and controls applied to the special system in real time A simulator that synchronizes signals with a physical device, executes a cyber attack on the control module (PLC) of the physical device or a local user interface (Local HMI) through the network of the physical device and the simulator, and collects the transmitted data by accessing the network and a cybersecurity analysis device.

본 발명의 한 실시예에 따른 사이버 보안 분석 방법은 원자력 발전소의 특수 계통에 기초하여 실제 모사된 물리 장치와 특수 계통에 적용되는 제어 신호를 동기화하여 원자력 발전소의 전체 운영 시뮬레이션을 수행하는 단계, 물리 장치와 전체 운영 시뮬레이션간의 연결 네트워크를 통해 물리 장치의 제어 모듈 또는 물리 장치의 사용자 인터페이스의 제어 신호를 변조하는 단계, 변조된 제어 신호에 대응하여 물리 장치와 전체 운영 시뮬레이션 간의 전달 신호를 수집하는 단계, 그리고 전달 신호를 통해 물리 장치와 전체 운영 시뮬레이션에서의 변화된 상태 정보를 확인하는 단계를 포함한다. A cyber security analysis method according to an embodiment of the present invention includes performing an overall operation simulation of a nuclear power plant by synchronizing an actual simulated physical device based on a special system of the nuclear power plant and a control signal applied to the special system; and modulating a control signal of a control module of a physical device or a user interface of a physical device through a connection network between the physical device and the entire operating simulation, collecting a transmission signal between the physical device and the overall operating simulation in response to the modulated control signal, and and confirming the changed state information in the physical device and the overall operation simulation through the transmission signal.

본 발명의 한 실시예에 따르면, 원자력 발전소 운영 시뮬레이션과 물리 장치의 연계를 통해 사이버 공격으로 인한 복수 계통의 센서 수준에서부터 전체적인 원자력 발전소 운영 상태까지의 데이터를 수집하고 분석할 수 있다. According to an embodiment of the present invention, it is possible to collect and analyze data from the sensor level of multiple systems due to a cyber attack to the overall operation state of the nuclear power plant by linking the nuclear power plant operation simulation and the physical device.

본 발명의 한 실시예에 따르면, 원자력 발전소의 사이버 보안에서의 사이버 공격으로 인해 복수 계통과 연관된 타 계통의 영향력을 추적할 수 있다. According to an embodiment of the present invention, it is possible to track the influence of other systems associated with multiple systems due to a cyber attack in cyber security of a nuclear power plant.

본 발명의 한 실시예에 따르면, 사이버 공격과 그에 따른 시뮬레이션을 통해 수집된 데이터를 분석하여, 침입 분석, 비상 사건 관리 및 대응, 디지털 포렌직 그리고 사이버 공격 훈련과 같은 사이버 보안 시험 및 훈련에 활용할 수 있다. According to an embodiment of the present invention, by analyzing data collected through a cyber attack and its simulation, it can be used for cyber security testing and training such as intrusion analysis, emergency event management and response, digital forensics, and cyber attack training. .

도 1은 본 발명의 한 실시예에 따른 사이버 보안 분석 시스템의 네트워크를 나타낸 예시도이다.
도 2는 본 발명의 한 실시예에 따른 물리 장치를 나타낸 예시도이다.
도 3은 본 발명의 한 실시예에 따른 사이버 공격을 제공하는 과정을 나타낸 예시도이다.
도 4는 본 발명의 한 실시예에 따른 로컬 인터페이스를 공격하는 루트를 설명하기 위한 예시도이다.
도 5은 본 발명의 한 실시예에 따른 사이버 공격에 대한 데이터 수집 및 분석하는 과정을 설명하기 위한 예시도이다.
도 6은 본 발명의 한 실시예에 따른 사용자 인터페이스에서 복수 계통에 대한 모니터링 결과를 나타내는 인터페이스 화면을 나타낸다
도 7는 본 발명의 한 실시예에 따른 사용자 인터페이스에서 원자력 발전소 전체 시뮬레이션을 통한 모니터링 결과를 나타내는 인터페이스 화면을 나타낸다. 1 is an exemplary diagram illustrating a network of a cyber security analysis system according to an embodiment of the present invention.
2 is an exemplary diagram illustrating a physical device according to an embodiment of the present invention.
3 is an exemplary diagram illustrating a process of providing a cyber attack according to an embodiment of the present invention.
4 is an exemplary diagram for explaining a route for attacking a local interface according to an embodiment of the present invention.
5 is an exemplary diagram for explaining a process of collecting and analyzing data for a cyber attack according to an embodiment of the present invention.
6 shows an interface screen showing monitoring results for a plurality of systems in a user interface according to an embodiment of the present invention;
7 shows an interface screen showing a monitoring result through the entire simulation of a nuclear power plant in a user interface according to an embodiment of the present invention.

첨부한 도면을 참고로 하여 본 발명의 실시예에 대해 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다. 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 동일 또는 유사한 구성요소에 대해서는 동일한 도면부호가 사용되었다. 또한 널리 알려져 있는 공지기술의 경우 그 구체적인 설명은 생략한다. With reference to the accompanying drawings, the embodiments of the present invention will be described in detail so that those of ordinary skill in the art to which the present invention pertains can easily implement them. The present invention may be embodied in many different forms and is not limited to the embodiments described herein. In order to clearly explain the present invention in the drawings, parts irrelevant to the description are omitted, and the same reference numerals are used for the same or similar components throughout the specification. In addition, in the case of a well-known known technology, a detailed description thereof will be omitted.

명세서 전체에서, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다. Throughout the specification, when a part "includes" a certain element, it means that other elements may be further included, rather than excluding other elements, unless otherwise stated.

명세서 상에서 복수 계통은 원자력 발전소에서 터빈/발전기에서 배출되는 증기를 복수기(condenser)에서 응축하며, 응축된 복수는 복수기의 온수조에 수집된 후, 복수계통 에서 가열되어 급수 계통으로 이송하는 역할을 수행하는 장치들의 집합을 의미한다. In the specification, the condensate system condenses the steam discharged from the turbine / generator in the nuclear power plant in the condenser, and the condensed condensate is collected in the hot water tank of the condenser, and then heated in the condensate system and transferred to the water supply system. It means a set of devices.

명세서 상에서, 복수 계통을 기준으로 사이버 보안 시험과 분석 프로세스를 수행하는 과정에 대해서 설명하지만, 반드시 이에 한정하는 것은 아니다.In the specification, a process of performing a cyber security test and analysis process based on a plurality of systems will be described, but the present invention is not limited thereto.

명세서 상에서 사이버 공격은 사이버 보안 시험, 사이버 보안 훈련 등과 동일한 개념을 가지며, 사이버 공격을 수행한다는 것은 사이버 보안 시험 또는 훈련을 수행하는 것과 동일한 의미를 가진다. In the specification, a cyber attack has the same concept as a cyber security test and cyber security training, and performing a cyber attack has the same meaning as performing a cyber security test or training.

이하에서는 도 1 및 도2 를 이용하여 사이버 보안 시험 장치와 사이버 보안 분석 장치를 포함하는 사이버 보안 분석 시스템에 대해서 상세하게 설명한다. Hereinafter, a cyber security analysis system including a cyber security test device and a cyber security analysis device will be described in detail with reference to FIGS. 1 and 2 .

도 1은 본 발명의 한 실시예에 따른 사이버 보안 분석 시스템의 네트워크를 나타낸 예시도이고, 도 2는 본 발명의 한 실시예에 따른 물리 장치를 나타낸 예시도이다. 1 is an exemplary diagram illustrating a network of a cyber security analysis system according to an embodiment of the present invention, and FIG. 2 is an exemplary diagram illustrating a physical device according to an embodiment of the present invention.

사이버 보안 분석 시스템(1000)은 사이버 보안 시험 장치(100)와 사이버 보안 분석 장치(200)를 통해 원자력 시설에서 사이버 보안 시험이나 훈련을 수행하고 수행된 시험이나 훈련에 따른 결과 데이터를 분석한다. The cyber security analysis system 1000 performs a cyber security test or training in a nuclear facility through the cyber security testing device 100 and the cyber security analysis device 200 , and analyzes result data according to the performed test or training.

구체적으로, 사이버 보안 시험 장치(100)는 가상 환경에서 원자력 발전소 시스템을 시뮬레이션하는 시뮬레이터(120)와 원자력 발전소의 급수계통을 모사하는 물리 장치(130) 그리고 시뮬레이터(120)와 물리 장치(130)에 대한 제어 설정 그리고 모니터링 등을 수행하는 사용자 인터페이스 (100)를 포함한다. Specifically, the cyber security test device 100 is a simulator 120 that simulates a nuclear power plant system in a virtual environment, a physical device 130 that simulates the water supply system of a nuclear power plant, and the simulator 120 and the physical device 130. and a user interface 100 for performing control settings and monitoring for the .

사용자 인터페이스(100, Human Machine Interface, HMI)는 가상 환경에서 구현되는 사용자 인터페이스로, 시뮬레이터(120)와 물리 장치(130)와 실시간으로 연계되어 상태 정보를 수집하여 모니터링한다. The user interface 100 (Human Machine Interface, HMI) is a user interface implemented in a virtual environment, and is connected to the simulator 120 and the physical device 130 in real time to collect and monitor status information.

사용자 인터페이스(100)는 하나 이상의 디스플레이, 하나 이상의 터치패드, 입력 장치 등과 연동되어 사용자로부터 시뮬레이터(120) 또는 물리 장치(130)에 대한 설정 값 등을 입력받을 수 있다. The user interface 100 may be interlocked with one or more displays, one or more touchpads, input devices, and the like to receive a setting value for the simulator 120 or the physical device 130 from the user.

그러면 사용자 인터페이스(100)는 해당 설정 값을 해당되는 시뮬레이터(120) 또는 물리 장치(130)에 전달하고, 해당 설정 값을 적용하여 변화된 상태 정보를 수집하여 제공할 수 있다. Then, the user interface 100 may transmit the corresponding setting value to the corresponding simulator 120 or the physical device 130 , and collect and provide changed state information by applying the corresponding setting value.

다음으로 시뮬레이터(120)는 가상 환경에서 원자력 발전소 시설들의 운영 상태를 모사하기 위한 모듈을 나타내며, 원자력 발전소의 발전소 보호계통, 제어 계통, 터빈, 복수 계통과의 제어 신호를 송수신하며 발전소 운영 전반에 대한 시뮬레이션을 수행한다. Next, the simulator 120 represents a module for simulating the operating state of nuclear power plant facilities in a virtual environment, and transmits and receives control signals to and from the power plant protection system, control system, turbine, and multiple systems of the nuclear power plant, run the simulation.

시뮬레이터(120)는 원자력 발전소 전반의 시뮬레이션을 수행하기 위해, 가상 환경의 조건, 원자력 발전소 설비들의 설정 값, 각 설비들 간의 연결 관계, 시설들의 특징, 이상 증상을 판별하는 조건 등을 설정할 수 있다. The simulator 120 may set conditions of a virtual environment, set values of nuclear power plant facilities, connection relationships between facilities, characteristics of facilities, conditions for determining abnormal symptoms, and the like, in order to perform the overall simulation of the nuclear power plant.

시뮬레이터(120)는 실제 운영중인 원자력 발전소 시설간의 네트워크 데이터 정보를 취득하여 취득한 네트워크 데이터 정보를 통해 가상 환경에서의 네트워크를 구현할 수 있다. 이와 마찬가지로, 시뮬레이터는 실제 운영 중인 원자력 발전소 시설의 설정 값을 수집하여 적용한 시뮬레이션을 제공할 수 있다. The simulator 120 may acquire network data information between nuclear power plant facilities in operation and implement a network in a virtual environment through the acquired network data information. Similarly, the simulator may provide a simulation applied by collecting set values of nuclear power plant facilities in actual operation.

그리고 시뮬레이터(120)는 원자력 발전소 전체 운영 시뮬레이션을 수행하면서 동시에 계통 수준의 훈련을 위해서는 관련 계통에 대한 운영 상황을 세밀하게 적용하기 위해 특정 계통 모듈을 중심으로 구현되는 시뮬레이션을 생성할 수 있다. In addition, the simulator 120 may generate a simulation implemented centered on a specific system module in order to precisely apply the operating situation for a related system for system-level training while performing the entire operation simulation of the nuclear power plant.

예를 들어, 복수 계통은 원자력 발전소의 원자로 종류에 의존적이지 않고 대부분 유사한 형태로 구성이 가능하다는 특징이 있다. 시뮬레이터(120)는 이러한 특징을 고려하여 독립적인 복수 계통을 중심으로 원자력 발전소에 전체 운영에 관련된 시뮬레이션을 생성할 수 있다. For example, the plurality of systems is characterized in that it is not dependent on the type of reactor of the nuclear power plant and can be configured in most similar forms. The simulator 120 may generate a simulation related to the overall operation of the nuclear power plant based on a plurality of independent systems in consideration of these characteristics.

그러므로 시뮬레이터(120)는 물리 장치(130)에 대한 기본 개념을 설계에 반영하여 시뮬레이션 코드를 생성할 수 있으며 물리 장치(130)와 연계를 위해서 수위 정보와 직접 관련된 압력, 유속 등을 중심으로 입출력 값을 제어하기 위한 시뮬레이션 코드를 생성할 수 있다. Therefore, the simulator 120 may generate a simulation code by reflecting the basic concept of the physical device 130 in the design, and input/output values centered on the pressure, flow rate, etc. directly related to water level information in order to link with the physical device 130 . You can create simulation code to control

이때, 시뮬레이터(120)가 특정 계통 모듈을 중심으로 구현되는 시뮬레이션과 해당 특정 계통 모듈을 구현한 실제 모사 장치간에 서로 동기화되도록 설정할 수 있다. In this case, the simulator 120 may be set to be synchronized with each other between a simulation implemented around a specific system module and an actual simulation device implementing the specific system module.

다시 말해 시뮬레이터(120)가 구현하는 원자력 발전소 시뮬레이션의 제어 신호와 특정 계통 모듈이 모사된 물리 장치(130)의 제어 신호를 서로 동기화한다. In other words, the control signal of the nuclear power plant simulation implemented by the simulator 120 and the control signal of the physical device 130 in which the specific system module is simulated are synchronized with each other.

예를 들어, 시뮬레이터(120)는 복수 계통과 관련된 터빈 출력 값, 터빈 정지 신호, 펌프, 쿨링 워터 펌프, 에어 펌프, 복수기 펌프 등으로부터 데이터를 수집하여 계산된 수위 정보를 물리 장치(130)와 공유할 수 있다. For example, the simulator 120 collects data from a plurality of system-related turbine output values, a turbine stop signal, a pump, a cooling water pump, an air pump, a condenser pump, and the like and shares the calculated water level information with the physical device 130 . can do.

따라서 원자력 발전소 시뮬레이션의 변화가 발생하면, 발생된 변화가 물리 장치(130)에 적용되고, 물리 장치(130)의 수조 상태가 변화하면, 변화된 수조 상태가 시뮬레이션 상태 정보에 반영된다. Therefore, when a change in the nuclear power plant simulation occurs, the generated change is applied to the physical device 130 , and when the water tank state of the physical device 130 changes, the changed water tank state is reflected in the simulation state information.

물리 장치(130)는 실제 원자력 시설의 복수 계통을 모사한 장치로, 별도로 독립된 장치로 형성된다. The physical device 130 is a device that simulates multiple systems of an actual nuclear power plant, and is formed as a separate, independent device.

도 2에 도시한 바와 같이, 물리 장치(130)는 복수기 탱크(131, Condenser), 제어 모듈(132, Programmable Logic Controller, PLC), 복수기의 저장 탱크(133, Condenser Storage Tank), 펌프(134, Pumps), 응급버튼(135, Emergency circuit Breaker), 로컬 사용자 인터페이스(136, HMI), 전원 공급기(137, Power supply), 밸브(138, Valves) 등을 포함한다. As shown in FIG. 2 , the physical device 130 includes a condenser tank (131, Condenser), a control module (132, Programmable Logic Controller, PLC), a condenser storage tank (133, Condenser Storage Tank), a pump (134, Pumps), an emergency button (135, Emergency circuit Breaker), a local user interface (136, HMI), a power supply (137, Power supply), valves (138, Valves) and the like.

물리 장치(130)는 복수 계통의 수위를 유지하기 위해 주요 물리 장치 부분에 장착된 센서(미도시함), 또는 전원 공급기(137) 등을 제어하여 복수 계통의 구동 시뮬레이션을 수행한다 The physical device 130 performs a driving simulation of a plurality of systems by controlling a sensor (not shown) or a power supply 137 mounted on a main physical device part in order to maintain the water level of the plurality of systems.

그리고 물리 장치(130)는 복수기 탱크(131)의 수위 변화에 따라 펌프(134) 또는 밸브(138)가 자동으로 조작되며, 조작되는 데이터 및 결과를 시뮬레이터(120)의 복수 계통의 상태 값에 실시간으로 반영하도록 정보를 공유한다. In addition, the physical device 130 automatically operates the pump 134 or the valve 138 according to the change in the water level of the condenser tank 131 , and records the manipulated data and results in real-time values of the multiple systems of the simulator 120 . Share information to reflect

물리 장치(130)에는 제어 모듈(132)과 로컬 사용자 인터페이스(136)에 따라 제어되는 복수 계통이 물리적으로 복수 유입과 방출을 동작하는 과정을 실제 장치로 구현하기 때문에 각각의 과정에 대해 직관적으로 식별 가능하다. In the physical device 130, a plurality of systems controlled according to the control module 132 and the local user interface 136 physically implement the process of physically operating multiple inflow and outflow as an actual device, so each process is intuitively identified. possible.

이러한 사용자 인터페이스(100), 시뮬레이터(120) 그리고 물리 장치(130)는 네트워크로 긴밀하게 연결되어 있으며, 서로 데이터를 송수신한다. 통신망(20)은 유선 통신 네트워크, 근거리 또는 원거리 무선 통신 네트워크, 이들이 혼합된 네트워크 등 데이터를 전달하는 모든 형태의 통신 네트워크를 포함할 수 있다.The user interface 100 , the simulator 120 , and the physical device 130 are closely connected to each other through a network, and transmit and receive data to and from each other. The communication network 20 may include any type of communication network that transmits data, such as a wired communication network, a short-distance or long-distance wireless communication network, and a mixed network thereof.

그리고 사이버 보안 분석 장치(200)는 사용자 인터페이스(100), 시뮬레이션(120) 그리고 물리 장치(130)간의 네트워크에 접속하여 사이버 공격 시나리오를 수행하거나 수행되는 공격 시나리오 상황에서 사용자 인터페이스(100), 시뮬레이터(120) 그리고 물리 장치(130)간에 서로 전달되는 모든 정보를 수집할 수 있다. In addition, the cyber security analysis device 200 performs a cyber attack scenario by accessing the network between the user interface 100, the simulation 120, and the physical device 130, or in an attack scenario situation in which the user interface 100, the simulator ( 120) and all information transmitted between the physical devices 130 may be collected.

상세하게는 사이버 보안 분석 장치(200)는 네트워크를 통해 제어 모듈(PLC)와 사용자 인터페이스(HMI)에 사이버 공격을 발생시키기 위한 사이버공격을 수행하는 모듈과 네트워크 정보를 취득 및 분석을 위한 정보 수집/분석을 수행하는 모듈을 포함한다. In detail, the cyber security analysis device 200 collects/analyses a module that performs a cyber attack to generate a cyber attack on the control module (PLC) and the user interface (HMI) through the network and acquires and analyzes network information. It contains a module that performs the analysis.

여기서, 사이버 공격은 물리 장치(130)의 제어 모듈(132)과 로컬 사용자 인터페이스(134)를 공격하는 시나리오를 의미하여 설명하고 있지만, 반드시 이에 한정하는 것은 아니다, Here, the cyber attack is described as a scenario of attacking the control module 132 and the local user interface 134 of the physical device 130, but is not necessarily limited thereto.

예를 들어, 사이버 공격은 물리 장치(130) 이외에도 사용자 인터페이스(110)의 설정 제어 구성 또는 시뮬레이터(120)의 원자력 발전소 운영 시뮬레이션에서의 일부 구성에 수행될 수 있다. For example, in addition to the physical device 130 , the cyber attack may be performed in a configuration control configuration of the user interface 110 or some configuration in a nuclear power plant operation simulation of the simulator 120 .

한편 설명을 위해, 사용자 인터페이스(100)와 시뮬레이터(120) 그리고 사이버 보안 분석 장치(200)로 명명하여 부르나, 이들을 적어도 하나의 프로세서에 의해 동작하는 컴퓨팅 장치로 구현될 수 있다. 다시 말해, 사용자 인터페이스(100)와 시뮬레이터(120) 그리고 사이버 보안 분석 장치(200)는 하나의 컴퓨팅 장치로 구현되거나, 별도의 컴퓨팅 장치에 분산 구현될 수 있다. 별도의 컴퓨팅 장치에 분산 구현된 경우, 사용자 인터페이스(100)와 시뮬레이터(120) 그리고 사이버 보안 분석 장치(200)는 통신 인터페이스를 통해 서로 통신할 수 있다. 컴퓨팅 장치는 본 발명을 수행하도록 작성된 소프트웨어 프로그램을 실행할 수 있는 장치이면 충분하고, 예를 들어, 서버, 랩탑 컴퓨터 등 일 수 있다. Meanwhile, for the sake of explanation, the user interface 100 , the simulator 120 , and the cyber security analysis device 200 are named and called, but they may be implemented as a computing device operated by at least one processor. In other words, the user interface 100 , the simulator 120 , and the cyber security analysis device 200 may be implemented as one computing device or distributed in separate computing devices. When distributed in separate computing devices, the user interface 100 , the simulator 120 , and the cyber security analysis device 200 may communicate with each other through a communication interface. The computing device may be any device capable of executing a software program written to carry out the present invention, and may be, for example, a server, a laptop computer, or the like.

도 3은 본 발명의 한 실시예에 따른 사이버 공격을 제공하는 과정을 나타낸 예시도이고, 도 4는 본 발명의 한 실시예에 따른 로컬 인터페이스를 공격하는 루트를 설명하기 위한 예시도이다. 3 is an exemplary diagram illustrating a process of providing a cyber attack according to an embodiment of the present invention, and FIG. 4 is an exemplary diagram illustrating a route for attacking a local interface according to an embodiment of the present invention.

도 3에 도시한 바와 같이, 사이버 보안 분석 장치(200)는 사이버 공격 모듈(210)을 이용하여 제어 모듈(PLC)과 로컬 사용자 인터페이스(HMI)를 대상으로 사이버 공격을 수행할 수 있다. As shown in FIG. 3 , the cyber security analysis apparatus 200 may perform a cyber attack targeting the control module PLC and the local user interface (HMI) by using the cyber attack module 210 .

예를 들어, 사이버 공격은 제어모듈(132)를 대상으로 프로토콜을 이용한 공격(1)으로 패킷 리플레이 공격과 중간자 공격을 포함할 수 있으며, 로컬 사용자 인터페이스(HMI)를 대상으로 원격 실행 공격(2)을 포함할 수 있다. For example, the cyber attack may include a packet replay attack and a man-in-the-middle attack as an attack using a protocol (1) targeting the control module 132, and a remote execution attack (2) targeting the local user interface (HMI) may include.

여기서, 패킷 리플레이 공격은 연결된 통신 라인을 차단하거나 변경하지 않고, 주기적으로 상대적으로 짧은 시간 동안 반복하여 제어 신호를 변조하는 것을 의미한다. 이에 반에 중간자 공격이란 연결된 통신 라인을 차단하여 변조된 제어 신호를 지속적으로 제공하는 것을 의미한다. Here, the packet replay attack means modulating a control signal by repeating it periodically for a relatively short time without blocking or changing a connected communication line. On the other hand, the man-in-the-middle attack means to continuously provide a modulated control signal by blocking the connected communication line.

사이버 공격 모듈(210)을 사이버 공격을 수행하는 경우, 물리 장치(130)는 변조된 신호에 따라 이상 상태를 감지하게 된다. When the cyber attack module 210 performs a cyber attack, the physical device 130 detects an abnormal state according to the modulated signal.

예를 들어 도 4와 같이, 사이버 공격은 물리 장치(130)의 로컬 인터페이스(136)를 3가지 방법으로 제어 신호를 변조할 수 있다. For example, as shown in FIG. 4 , the cyber attack may modulate the control signal of the local interface 136 of the physical device 130 in three ways.

예를 들어, A와 같이 복수기(Condenser)의 수위 정보를 변조, B와 같이 복수기 쿨링 펌프(Condenser cooling pump)의 온/오프를 제어, 그리고 C와 같이 복수기(condenser)의 수위를 낮추도록 하는 펌프의 온/오프를 제어하는 변조 신호를 삽입할 수 있다. For example, a pump that modulates the water level information of the condenser as shown in A, controls the on/off of the condenser cooling pump as shown in B, and lowers the water level of the condenser as shown in C. It is possible to insert a modulated signal that controls the on/off of

로컬 인터페이스(136)는 이와 같이 변조된 제어 신호를 제어 모듈(PLC)로 전달함으로써, 물리 장치(130)가 사이버 공격으로 인한 변조된 신호에 따른 구동을 수행한다. The local interface 136 transmits the modulated control signal to the control module PLC, thereby driving the physical device 130 according to the modulated signal due to a cyber attack.

이처럼 물리 장치(130)에 사이버 공격이 수행되면, 해당 제어 신호에 대응하여 변화된 결과(복수기의 수위가 기준 범위를 벗어났다고 인식하거나 복수기의 온도가 상승 또는 복수기의 수위가 점점 낮아지는 등)를 시뮬레이터(120)와 공유한다. As such, when a cyber attack is performed on the physical device 130, the result (recognizing that the water level of the condenser is out of the reference range, increasing the temperature of the condenser, or gradually decreasing the water level of the condenser) is simulated in response to the control signal. 120) and

그러면, 물리 장치(130)는 해당 사이버 공격에 의해 변화된 상태에서 자동으로 상태를 보완하기 위해 추가적으로 작동을 함과 동시에 동일하게 전체 원자력 연구소의 운영 상태의 시뮬레이션에서도 변화가 생성된다.Then, the physical device 130 additionally operates to automatically compensate for the state changed by the cyber attack, and at the same time, a change is also generated in the simulation of the operating state of the entire nuclear research institute.

예를 들어, 복수기의 수위 정보가 기준 범위 이상으로 높아진 것으로 변조되는 경우, 복수기의 수위를 낮추기 위해 펌프 또는 밸브가 제어될 수 있다. For example, when the water level information of the condenser is modulated to be higher than a reference range, a pump or a valve may be controlled to lower the water level of the condenser.

이에 실제로는 복수기의 수위가 기준 범위 이하로 낮아짐에 따라 복수기에 물을 공급하기 위한 펌프 및 밸브가 구동되어 복수기의 저장 탱크에 물의 수위가 낮아지게 되고 복수기의 온도가 증가하게 될 수 있다. 이러한 복수 계통의 변화에 따라 전체 원자력 연구소의 운영 시뮬레이션에서도 적용되어 복수 계통과 연계되는 다른 계통에 변화가 발생될 수 있다. Accordingly, in reality, as the water level of the condenser is lowered below the reference range, a pump and a valve for supplying water to the condenser are driven to lower the water level in the storage tank of the condenser and increase the temperature of the condenser. According to the change of the multiple systems, it may be applied to the operation simulation of the entire nuclear research institute, and changes may occur in other systems linked to the multiple systems.

이와 같이, 사이버 공격에 대응하여 물리 장치(130)의 변화뿐 아니라 원자력 발전소의 전체 시뮬레이션에 있어서 감지되는 변화를 실시간으로 사이버 보안 분석 장치(200)의 정보 수집/분석 모듈(220)에서 수집한다. As described above, the information collection/analysis module 220 of the cyber security analysis device 200 collects changes detected in the entire simulation of the nuclear power plant as well as changes in the physical device 130 in response to a cyber attack in real time.

도 5은 본 발명의 한 실시예에 따른 사이버 공격에 대한 데이터 수집 및 분석하는 과정을 설명하기 위한 예시도이다. 5 is an exemplary diagram for explaining a process of collecting and analyzing data for a cyber attack according to an embodiment of the present invention.

도 5에 도시한 바와 같이, 사이버 보안 분석 장치(200)의 정보 수집/분석 모듈(220)은 정보 수집부(221), 파일 변환부(222), 파일 분석부(223), 그리고 전송부(224)를 포함한다. As shown in FIG. 5 , the information collection/analysis module 220 of the cyber security analysis apparatus 200 includes an information collection unit 221 , a file conversion unit 222 , a file analysis unit 223 , and a transmission unit ( 224).

정보 수집부(221)는 제어 모듈(132)와 연결되는 네트워크 장치를 통해 제어 모듈(132)와 사이버 보안 시험 장치(100)간에 전달되는 모든 정보를 수집한다. 이때 사용되는 통신 프로토콜은 제어 모듈(132)에 종속되며, 예를 들어, 지멘스 사 s7-1500모델에 따라 s7commplus 프로토콜을 따르게 된다. The information collection unit 221 collects all information transmitted between the control module 132 and the cyber security testing device 100 through a network device connected to the control module 132 . The communication protocol used at this time is dependent on the control module 132, for example, follows the s7commplus protocol according to the Siemens s7-1500 model.

이때, 정보 수집부(221)는 네트워크 정보를 수집하기 위해서 스팬 포트 스위치 자격 증명을 사용하여 트래픽을 미러링하는 미러링 포트(Mirroring Port)를 이용할 수 있다. 이를 통해 정보 수집부(221)는 별도의 장치(NUC PC 하드웨어)를 통해 물리 장치(130)의 스위치(미도시함)로부터 정보를 수집할 수 있다. In this case, the information collection unit 221 may use a mirroring port that mirrors traffic using span port switch credentials in order to collect network information. Through this, the information collection unit 221 may collect information from a switch (not shown) of the physical device 130 through a separate device (NUC PC hardware).

그리고 파일 변환부(222)는 네트워크 정보를 저장하여 분석 가능한 특정 파일형태(예를 들어 json 포멧등)로 지속변경 저장한다. In addition, the file conversion unit 222 stores network information and continuously changes and stores it in a specific file type that can be analyzed (eg, json format, etc.).

파일 분석부(223)는 분석 알고리즘을 이용하여 특정 파일 형태의 데이터들을 분석하고 해석 결과를 도출한다. 이때, 파일 분석부(223)는 단순 데이터 이외에도 암호화되어 있는 프로토콜을 암호를 해제하고 분석할 수 있다. The file analysis unit 223 analyzes data of a specific file type using an analysis algorithm and derives an analysis result. In this case, the file analysis unit 223 may decrypt and analyze the encrypted protocol in addition to the simple data.

상세하게는 파일 분석부(223)은 원자력 발전소 운영 시뮬레이션 또는 물리 장치(130)에서 사용하는 제어 네트워크 통신을 분석하고, 물리 장치(130)의 제어 공정 절차에 대한 분석을 통해 제어 모듈(132)를 기준으로 데이터 송/수신 상황과 제어 신호 처리 현황을 분석할 수 있다. In detail, the file analysis unit 223 analyzes the control network communication used in the nuclear power plant operation simulation or the physical device 130 , and controls the control module 132 through the analysis of the control process procedure of the physical device 130 . As a standard, data transmission/reception status and control signal processing status can be analyzed.

또한, 파일 분석부(223)은 물리 장치(130)와 같은 하나의 단위 시스템 수준에서 제어 정보에 따라 특수 계통의 상태 변화를 확인하고, 특수 계통의 처리 정보에 기초하여 서로 다른 단위 시스템간의 영향을 원자력 발전소 전체 운영 시뮬레이션에 대한 전체 공정에 따른 상태 변화를 통해 분석할 수 있다. In addition, the file analysis unit 223 checks the state change of a special system according to control information at the level of one unit system, such as the physical device 130, and determines the influence between different unit systems based on the processing information of the special system. It can be analyzed through the state change according to the entire process for the entire operation simulation of the nuclear power plant.

전송부(224)는 도출된 해석 결과에 기초하여 연동되는 사용자 데쉬보드에 전송한다. 또는 전송부(224)는 설정된 사용자 단말(미도시함)으로 해석 결과를 전달할 수 있다. The transmission unit 224 transmits it to the user dashboard that is linked based on the derived analysis result. Alternatively, the transmitter 224 may transmit the analysis result to a set user terminal (not shown).

이하에서는 본 발명의 실시예에 따른 사용자 인터페이스(110)에서 제공하는 모니터링 결과를 트랜드 변화로 나타내는 구성에 대해서 상세하게 설명한다. Hereinafter, a configuration in which a monitoring result provided by the user interface 110 according to an embodiment of the present invention is displayed as a trend change will be described in detail.

도 6는 본 발명의 한 실시예에 따른 사용자 인터페이스에서 복수 계통에 대한 모니터링 결과를 나타내는 인터페이스 화면을 나타내고, 도 8은 본 발명의 한 실시예에 따른 사용자 인터페이스에서 원자력 발전소 전체 시뮬레이션을 통한 모니터링 결과를 나타내는 인터페이스 화면을 나타낸다. 6 shows an interface screen showing monitoring results for a plurality of systems in a user interface according to an embodiment of the present invention, and FIG. 8 is a monitoring result through simulation of the entire nuclear power plant in the user interface according to an embodiment of the present invention Shows the displayed interface screen.

도 6에 도시한 바와 같이, 사용자 인터페이스(110)는 연동되는 시뮬레이터(120) 또는 복수계통의 물리 장치(130) 에 대한 모니터링 정보를 현재 시점에서의 상태가 아닌 일정 시간 간격마다 흐름을 파악할 수 있도록 트랜드 형식으로 제공할 수 있다. As shown in FIG. 6 , the user interface 110 allows monitoring information on the interlocking simulator 120 or the physical device 130 of multiple systems to understand the flow at regular time intervals instead of the current state at the time. It can be provided in a trend format.

도 6의 (a)는 원자력 발전소 전체 시뮬레이션으로부터 수집된 출력 변화 트렌드이고, (b)와 (c)는 원자력 발전소 전체 시뮬레이션 또는 복수 계통의 물리 장치(130)로부터 수집된 복수 계통 수위 정보(Condenser Level) 트랜드와 복수 계통 압력 정보(condenser Pressure) 트랜드를 나타낸다. Figure 6 (a) is an output change trend collected from the entire simulation of the nuclear power plant, (b) and (c) are multiple systems water level information (Condenser Level) collected from the entire simulation of the nuclear power plant or the physical device 130 of multiple systems ) trend and multiple system pressure information (condenser pressure) trends are shown.

한편, 원자력 발전소 전체 시뮬레이션과 물리 장치(130)는 서로 제어 신호를 공유하기 때문에 시뮬레이터(120) 또는 물리 장치(130)에서 수집된 데이터는 동일한 트랜드를 가진다. Meanwhile, since the entire simulation of the nuclear power plant and the physical device 130 share control signals with each other, data collected by the simulator 120 or the physical device 130 have the same trend.

반면에 도 6의 (d)는 반복 공격(Replay attack) 발생된 복수 계통의 수위 변화를 나타낸 트랜드이다. On the other hand, (d) of FIG. 6 is a trend showing a change in the water level of a plurality of systems in which a replay attack has occurred.

도 6의 (d)를 보면, 기준 값이 100의 복수 계통 수위 정보에서 짧은 공격을 통해 그래프가 일시적으로 낮아졌다가 다시 100으로회복하고, 다시 짧은 공격을 통해 그래프가 일시적으로 낮아졌다가 다시 회복하는 과정을 반복하는 것을 확인할 수 있다. 일정 시간 동안의 수치 값을 변화를 트랜드 그래프로 표시하는 경우, 해당 반복 공격을 직관적으로 식별할 수 있다.Referring to FIG. 6( d ), the graph temporarily lowers through a short attack in the multiple system water level information of 100 with a reference value and then recovers to 100, and the graph temporarily lowers and then recovers again through a short attack. It can be seen that repeating When a change in numerical values for a certain time is displayed as a trend graph, the repeated attack can be intuitively identified.

기존에는 모니터링 정보를 현재 시점에서 수치로 제공하거나 제공된 수치에 기초하여 정상, 위험, 경고 등의 구분된 단계로 제공하였다. In the past, monitoring information was provided as a numerical value at the present time, or in divided stages such as normal, dangerous, and warning based on the provided numerical value.

이와 같은 경우에 반복 공격을 받으면, 실시간으로 비정상과 정상을 반복하기 때문에 알림 신호를 제때 생성하지 못하거나 이상 상태를 감지하지 못하는 경우가 발생한다. In such a case, if a repeated attack is received, a notification signal may not be generated in a timely manner or an abnormal state may not be detected because abnormality and normality are repeated in real time.

도 7은 반복 공격으로 인한 복수 계통 이외의 전체 시스템에서 확인인 가능한 결과를 나타낸다. 7 shows possible results that can be confirmed in the entire system other than multiple systems due to repeated attacks.

도 7의 (a)는 반복 공격으로 인해 복수 계통 (CD level)의 수치를 나타내고, (b)는 복수 계통의 수치 변화에 따른 급수 계통(Feed Water Tank Lever)의 수치 변화를 나타낸다.Figure 7 (a) shows the numerical value of the multiple system (CD level) due to the repeated attack, (b) shows the numerical change of the feed water tank lever according to the numerical change of the multiple system.

그리고 도 7의 (c)는 복수 계통의 압력 변화(CD pressure), (d)는 증기 발생기의 압력(SG pressure), (e)는 원자력 발전소 전체 출력 변화(Reactor power)를 나타낸다. In addition, (c) of FIG. 7 shows a change in pressure (CD pressure) of a plurality of systems, (d) is a pressure of a steam generator (SG pressure), and (e) is a change in total output (Reactor power) of a nuclear power plant.

이와 같이, 사이버 보안 분석 시스템은 원자력 발전소 운영 시뮬레이션과 물리 장치의 연계를 통해 사이버 공격으로 인한 복수 계통의 센서 수준에서부터 전체적인 원자력 발전소 운영 상태까지의 데이터를 수집하고 분석할 수 있다. As described above, the cyber security analysis system may collect and analyze data from the sensor level of multiple systems due to a cyber attack to the overall nuclear power plant operation state through the link between the nuclear power plant operation simulation and the physical device.

또한 원자력 발전소의 사이버 보안에서의 사이버 공격으로 인해 복수 계통과 연관된 타 계통의 영향력을 추적할 수 있다. In addition, it is possible to track the influence of other systems associated with multiple systems due to cyber attacks in the cybersecurity of nuclear power plants.

사이버 보안 분석 시스템을 실행시키기 위한 프로그램은 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다.A program for executing the cyber security analysis system may be recorded in a computer-readable recording medium.

컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체는 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD와 같은 광기록 매체, 플롭티컬 디스크와 같은 자기-광 매체, 및 롬, 램, 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 여기서 매체는 프로그램 명령, 데이터 구조 등을 지정하는 신호를 전송하는 반송파를 포함하는 광 또는 금속선, 도파관 등의 전송 매체일 수도 있다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드가 포함된다. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The media may be specially designed and configured, or may be known and available to those skilled in the art of computer software. Examples of the computer-readable recording medium include hard disks, magnetic media such as floppy disks and magnetic tapes, optical recording media such as CD-ROMs and DVDs, magneto-optical media such as floppy disks, and ROMs, RAMs, flash memories, and the like. Hardware devices specially configured to store and execute the same program instructions are included. Here, the medium may be a transmission medium such as an optical or metal wire or a waveguide including a carrier wave for transmitting a signal designating a program command, a data structure, and the like. Examples of program instructions include not only machine language codes such as those generated by a compiler, but also high-level language codes that can be executed by a computer using an interpreter or the like.

이상에서 본 발명의 바람직한 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.Although the preferred embodiment of the present invention has been described in detail above, the scope of the present invention is not limited thereto, and various modifications and improvements by those skilled in the art using the basic concept of the present invention as defined in the following claims are also provided. is within the scope of the

Claims (10)

원자력 발전소의 특수 계통에 기초하여 실제 모사된 물리 장치,
상기 특수 계통을 포함하는 원자력 발전소의 전체 운영 시뮬레이션을 생성하고, 실시간으로 상기 특수 계통에 적용되는 제어 신호를 상기 물리 장치와 동기화하는 시뮬레이터, 그리고
상기 물리 장치와 상기 시뮬레이터의 네트워크를 통해 상기 물리 장치의 제어 모듈(PLC)이나 상기 물리 장치의 로컬 사용자 인터페이스(Local HMI)에 사이버 공격을 실행하고, 상기 네트워크에 접속하여 전달되는 데이터를 수집하는 사이버 보안 분석 장치
를 포함하는 사이버 보안 분석 시스템.
A physical device that is actually simulated based on a special system of a nuclear power plant,
A simulator for generating an overall operation simulation of a nuclear power plant including the special system, and synchronizing a control signal applied to the special system in real time with the physical device; and
A cyber attack that executes a cyber attack on a control module (PLC) of the physical device or a local user interface (Local HMI) of the physical device through the network of the physical device and the simulator, and collects data transmitted by accessing the network security analysis device
A cybersecurity analysis system comprising a.
 제1항에서,
가상 환경에서 구현되는 사용자 인터페이스로, 물리 장치와 시뮬레이터와 실시간으로 연계되어 상태 정보를 수집하고, 입력된 제어 신호를 물리 장치와 시뮬레이터에 전달하는 사용자 인터페이스를 더 포함하는 사이버 보안 분석 시스템.
In claim 1,
A user interface implemented in a virtual environment, the cyber security analysis system further comprising a user interface for collecting state information in real-time connection with the physical device and the simulator, and transmitting the input control signal to the physical device and the simulator.
 제2항에서,
상기 사용자 인터페이스는,
실시간으로 수집되는 상기 상태 정보를 일정 시간 동안의 트랜드 그래프로 표시하는 사이버 보안 분석 시스템.
In claim 2,
The user interface is
A cyber security analysis system that displays the status information collected in real time as a trend graph for a certain period of time.
 제1항에서,
상기 물리 장치는,
상기 원자력 발전소의 복수 계통에 기초하여 모사되어 제어 모듈(PLC)에 기초하여 독립적으로 구동하고, 구동 동작에 따른 실시간 동작 데이터, 상태 데이터를 상기 시뮬레이터와 공유하는 사이버 보안 분석 시스템.
In claim 1,
The physical device is
A cyber security analysis system that is simulated based on a plurality of systems of the nuclear power plant and independently driven based on a control module (PLC), and shares real-time operation data and state data according to the driving operation with the simulator.
 제2항에서,
상기 사이버 보안 분석 장치는,
상기 물리 장치의 스위치에 연결된 디지털 자산으로부터 취약성을 식별하고, 루트 쉘을 취득하면, 네트워크 프로토콜을 이용한 패킷 리플레이 공격, 중간자 공격, 또는 원격 실행 공격 중에서 하나 이상의 사이버 공격을 선택하여 상기 루트 쉘을 이용하여 선택한 사이버 공격을 실행하는 사이버 보안 분석 시스템.
In claim 2,
The cyber security analysis device,
When a vulnerability is identified from a digital asset connected to the switch of the physical device and a root shell is obtained, one or more cyber attacks are selected from among a packet replay attack using a network protocol, a man-in-the-middle attack, or a remote execution attack using the root shell. A cybersecurity analysis system that executes selected cyberattacks.
 제2항에서,
상기 사이버 보안 분석 장치는,
상기 사이버 공격에 기초하여 상기 물리 장치와 상기 시뮬레이터에서 변화된 상태 정보를 수집하여 상기 사이버 공격으로 인한 직접적인 영향과 상기 원자력 발전소 전체 운영에 대한 파급 영향을 분석하는 사이버 보안 분석 시스템.
In claim 2,
The cyber security analysis device,
A cyber security analysis system for collecting state information changed in the physical device and the simulator based on the cyber attack to analyze a direct impact of the cyber attack and a ripple effect on the entire operation of the nuclear power plant.
 원자력 발전소의 특수 계통에 기초하여 실제 모사된 물리 장치와 상기 특수 계통에 적용되는 제어 신호와 상태 정보를 동기화하여 상기 원자력 발전소의 전체 운영 시뮬레이션을 수행하는 단계,
상기 물리 장치와 상기 전체 운영 시뮬레이션간의 연결 네트워크를 통해 상기 물리 장치의 제어 모듈 또는 상기 물리 장치의 사용자 인터페이스의 제어 신호를 변조하는 단계,
상기 변조된 제어 신호에 대응하여 상기 물리 장치와 상기 전체 운영 시뮬레이션 간의 전달 신호를 수집하는 단계, 그리고
상기 전달 신호를 통해 상기 물리 장치와 상기 전체 운영 시뮬레이션에서의 변화된 상태 정보를 확인하는 단계
를 포함하는 사이버 보안 분석 방법.
Performing an overall operation simulation of the nuclear power plant by synchronizing the actual simulated physical device based on the special system of the nuclear power plant and the control signal and state information applied to the special system;
modulating a control signal of a control module of the physical device or a user interface of the physical device through a connection network between the physical device and the overall operation simulation;
collecting a transmission signal between the physical device and the overall operation simulation in response to the modulated control signal; and
Confirming changed state information in the physical device and the overall operation simulation through the transmission signal
A cybersecurity analysis method comprising a.
 제7항에서,
상기 원자력 발전소의 전체 운영 시뮬레이션을 수행하는 단계는,
가상 환경에서 구현되는 사용자 인터페이스로, 상기 물리 장치와 상기 시뮬레이터의 연결 네트워크와 연동되는 사용자 인터페이스를 통해 실시간으로 수집되는 상기 물리 장치와 시뮬레이션의 결과로부터 획득한 상태 정보를 일정 시간 동안의 트랜드 그래프로 표시하는 단계를 더 포함하는 사이버 보안 분석 방법.
In claim 7,
The step of performing the entire operation simulation of the nuclear power plant comprises:
As a user interface implemented in a virtual environment, the state information obtained from the results of the simulation and the physical device collected in real time through a user interface interworking with the connection network between the physical device and the simulator is displayed as a trend graph for a certain period of time. A cybersecurity analysis method further comprising the step of:
 제8항에서,
상기 제어 신호를 변조하는 단계는,
상기 연결 네트워크를 통해 시뮬레이터의 복수 계통 구성의 제어 신호를 변조하거나 상기 사용자 인터페이스의 설정 신호를 변조하는 사이버 보안 분석 방법.
In claim 8,
The step of modulating the control signal comprises:
A cybersecurity analysis method for modulating a control signal of a plurality of system configurations of a simulator or modulating a setting signal of the user interface through the connection network.
 제7항에서,
상기 상태 정보를 확인하는 단계는,
상기 사이버 공격에 기초하여 수집한 전달 신호에서 암호화된 프로토콜을 분석하고, 분석한 데이터에 기초하여 상기 물리 장치의 제어 모듈에 기초한 상태 정보를 확인하는 사이버 보안 분석 방법.In claim 7,
The step of checking the status information,
A cyber security analysis method for analyzing an encrypted protocol from a transmitted signal collected based on the cyber attack, and checking status information based on a control module of the physical device based on the analyzed data.
KR1020200026155A 2020-03-02 2020-03-02 System and method for cyber security analysis in nuclear facilities KR102348786B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200026155A KR102348786B1 (en) 2020-03-02 2020-03-02 System and method for cyber security analysis in nuclear facilities

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200026155A KR102348786B1 (en) 2020-03-02 2020-03-02 System and method for cyber security analysis in nuclear facilities

Publications (2)

Publication Number Publication Date
KR20210111081A true KR20210111081A (en) 2021-09-10
KR102348786B1 KR102348786B1 (en) 2022-01-07

Family

ID=77777304

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200026155A KR102348786B1 (en) 2020-03-02 2020-03-02 System and method for cyber security analysis in nuclear facilities

Country Status (1)

Country Link
KR (1) KR102348786B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230129290A1 (en) * 2021-10-21 2023-04-27 Cisco Technology, Inc. Interpretable forecasting using path state transitions in application driven predictive routing

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102613714B1 (en) 2023-03-08 2023-12-14 (주)원텍시스템 Nuclear power plant safety system-linked instrumentation and control device, method and system applying communication encryption and cyber detection engine

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160079014A (en) * 2013-11-01 2016-07-05 사이버짐 컨트롤 리미티드 Cyber defense
JP2017198836A (en) * 2016-04-27 2017-11-02 三菱電機株式会社 Cyber terrorism security simulator of nuclear power plant
KR20180030443A (en) 2016-09-15 2018-03-23 마인 푸드 프로세싱 테크노로지 비. 브이. Processing line and method for inspecting poultry carcasses and/or viscera packages
KR20190119867A (en) * 2018-04-13 2019-10-23 한국전자통신연구원 Apparatus and method for providing cyber security real-time training in control system field

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20160079014A (en) * 2013-11-01 2016-07-05 사이버짐 컨트롤 리미티드 Cyber defense
JP2017198836A (en) * 2016-04-27 2017-11-02 三菱電機株式会社 Cyber terrorism security simulator of nuclear power plant
KR20180030443A (en) 2016-09-15 2018-03-23 마인 푸드 프로세싱 테크노로지 비. 브이. Processing line and method for inspecting poultry carcasses and/or viscera packages
KR20190119867A (en) * 2018-04-13 2019-10-23 한국전자통신연구원 Apparatus and method for providing cyber security real-time training in control system field

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230129290A1 (en) * 2021-10-21 2023-04-27 Cisco Technology, Inc. Interpretable forecasting using path state transitions in application driven predictive routing

Also Published As

Publication number Publication date
KR102348786B1 (en) 2022-01-07

Similar Documents

Publication Publication Date Title
Eckhart et al. Towards security-aware virtual environments for digital twins
Conti et al. A survey on industrial control system testbeds and datasets for security research
US10382474B2 (en) Cyber defense
US20170264629A1 (en) Production process knowledge-based intrusion detection for industrial control systems
JP2004232629A (en) System and method for displaying monitoring system data at real time
KR102348786B1 (en) System and method for cyber security analysis in nuclear facilities
AU2014343231A1 (en) Cyber defense
MX2013011129A (en) Anomaly detection system, anomaly detection method, and program of same.
EP4022405B1 (en) Systems and methods for enhancing data provenance by logging kernel-level events
US20160300001A1 (en) Planning and Engineering Method, Software Tool and Simulation Tool for an Automation Solution
JP5895906B2 (en) Process control device and system, and soundness determination method thereof
McParland et al. Monitoring security of networked control systems: It's the physics
CN113239627A (en) Distributed intelligent monitoring method and device
WO2023091357A1 (en) Detection of abnormal events
Panda et al. Implementation of SCADA/HMI system for real-time controlling and performance monitoring of SDR based flight termination system
Cabus et al. Security considerations for remote terminal units
Koucham et al. Cross-domain alert correlation methodology for industrial control systems
Paiva et al. Demonstrating the feasibility of a new security monitoring framework for SCADA systems
KR20200075407A (en) System for testing cyber security of nuclear power plant and method thereof
KR102613712B1 (en) Virtual simulation device, method and system of nuclear power plant control system
O'Neill et al. Securing Grid-interactive Efficient Buildings (GEB) through Cyber Defense and Resilient System (CYDRES)
KR102310507B1 (en) The Operation System and Control Method of Special Protection Systems/Schemes
Cook Anomaly diagnosis in industrial control systems for digital forensics
Sand Incident handling, forensics sensors and information sources in industrial control systems
Kriaa et al. SCADA Safety and Security joint modeling (S-cube): case study of a dam

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant