KR20220043657A - 비정상 제어데이터 탐지 시스템 및 방법 - Google Patents

비정상 제어데이터 탐지 시스템 및 방법 Download PDF

Info

Publication number
KR20220043657A
KR20220043657A KR1020200127315A KR20200127315A KR20220043657A KR 20220043657 A KR20220043657 A KR 20220043657A KR 1020200127315 A KR1020200127315 A KR 1020200127315A KR 20200127315 A KR20200127315 A KR 20200127315A KR 20220043657 A KR20220043657 A KR 20220043657A
Authority
KR
South Korea
Prior art keywords
control data
type
value
command
normal control
Prior art date
Application number
KR1020200127315A
Other languages
English (en)
Other versions
KR102435456B1 (ko
Inventor
김광식
최영식
김태수
강준석
Original Assignee
주식회사 포스코아이씨티
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 포스코아이씨티 filed Critical 주식회사 포스코아이씨티
Priority to KR1020200127315A priority Critical patent/KR102435456B1/ko
Publication of KR20220043657A publication Critical patent/KR20220043657A/ko
Application granted granted Critical
Publication of KR102435456B1 publication Critical patent/KR102435456B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G05CONTROLLING; REGULATING
    • G05BCONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
    • G05B19/00Programme-control systems
    • G05B19/02Programme-control systems electric
    • G05B19/04Programme control other than numerical control, i.e. in sequence controllers or logic controllers
    • G05B19/048Monitoring; Safety
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N20/00Machine learning
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02PCLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
    • Y02P90/00Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
    • Y02P90/02Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Artificial Intelligence (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • Medical Informatics (AREA)
  • Mathematical Physics (AREA)
  • Automation & Control Theory (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명의 일 측면에 따른 비정상 제어데이터 탐지 시스템은 제어 단말로부터 전달되는 제어데이터들을 파싱하여 제어데이터들의 커맨드(Command) 및 상기 커맨드의 밸류(Value)를 획득하는 데이터 파싱부; 상기 제어데이터들의 커맨드 및 상기 커맨드의 밸류를 기초로 정상 제어데이터 보안 규칙을 생성하는 보안규칙 생성부; 상기 제어 단말에서 수신되는 타겟 제어데이터와 상기 정상 제어데이터 보안 규칙을 비교하여 상기 타겟 제어데이터의 비정상 여부를 판단하는 비정상 데이터 판단부;를 포함하고, 상기 정상 제어데이터 보안 규칙은 커맨드와 해당 커맨드의 정상 제어데이터 범위가 매핑되어 있는 데이터 세트인 것을 특징으로 한다.

Description

비정상 제어데이터 탐지 시스템 및 방법{System And Method for Detecting Abnormal Control Data}
본 발명은 제어데이터의 처리에 대한 것으로서, 보다 구체적으로 비정상 제어데이터를 탐지할 수 있는 시스템 및 방법에 관한 것이다.
PLC(Programmable Logic Controller)와 같은 공장 제어 장치들의 온라인화가 증가됨에 따라 공장제어장치들을 타겟으로 하는 사이버 공격 또한 증가하고 있다.
공장 제어 장치들을 타겟으로 하는 사이버 공격은 공장 제어 장치들로 전달되는 제어데이터의 커맨드(Command) 또는 밸류(Value)를 불법적으로 변경함으로써 공장 제어 장치들을 오작동시키거나 동작 불능 상태로 만들 수 있고, 심한 경우 공장 제어 장치들을 손상시킬 수 있다.
이러한 사이버 공격으로부터 공장 제어 장치들을 보호하기 위한 침입 탐지 시스템 등과 같은 보안 시스템이 제안된 바 있다. 일반적인 침입 탐지 시스템은 공장 제어 장치로 입력되는 제어데이터가 미리 정해진 보안 규칙에 위배되는지 여부를 판단함으로써 해당 제어데이터가 정상 제어데이터인지 또는 비정상 제어데이터인지를 구분하도록 설계된다.
하지만 상술한 바와 같은 일반적인 침입 탐지 시스템은 보안 규칙이 시스템 구축시 미리 정해져 있기 때문에 비정상 제어데이터의 변경에 대해 능동적으로 대응하기가 쉽지 않고, 따라서 새롭게 발생된 공격 유형의 비정상 제어데이터를 정확하게 탐지해낼 수 없다는 문제점이 있다.
또한, 상술한 바와 같은 일반적인 침입 탐지 시스템은 보안 규칙이 시스템 구축시 미리 정해져 있기 때문에 적용 대상이 되는 공장 제어 장치가 변경될 때마다 시스템 관리자가 보안 규칙을 새롭게 생성하여야 하기 때문에 시스템 구축 소요 시간 및 유지 비용이 증가한다는 문제점이 있다.
본 발명은 상술한 문제점을 해결하기 위한 것으로서, 밀도 추정을 이용하여 정상 제어데이터 보안 규칙을 생성할 수 있는 비정상 제어데이터 탐지 시스템을 제공하는 것을 그 기술적 특징으로 한다.
또한, 본 발명은 입력되는 제어데이터를 학습하여 비정상 제어데이터의 탐지를 위한 정상 제어데이터 보안 규칙을 자동으로 생성할 수 있는 비정상 제어데이터 탐지 시스템을 제공하는 것을 그 기술적 특징으로 한다.
상술한 목적을 달성하기 위한 본 발명의 일 측면에 따른 비정상 제어데이터 탐지 시스템은 제어 단말로부터 전달되는 제어데이터들을 파싱하여 제어데이터들의 커맨드(Command) 및 상기 커맨드의 밸류(Value)를 획득하는 데이터 파싱부; 상기 제어데이터들의 커맨드 및 상기 커맨드의 밸류를 기초로 정상 제어데이터 보안 규칙을 생성하는 보안규칙 생성부; 상기 제어 단말에서 수신되는 타겟 제어데이터와 상기 정상 제어데이터 보안 규칙을 비교하여 상기 타겟 제어데이터의 비정상 여부를 판단하는 비정상 데이터 판단부;를 포함하고, 상기 정상 제어데이터 보안 규칙은 커맨드와 해당 커맨드의 정상 제어데이터 범위가 매핑되어 있는 데이터 세트인 것을 특징으로 한다.
본 발명의 일 실시예에 따르면, 균일 커널 밀도 추정 및 가우시안 커널 밀도 추정을 위한 계산에 많은 시간이 소요되지 않기 때문에, 정상 제어데이터 보안 규칙을 신속하게 생성할 수 있다.
본 발명의 일 실시예에 따르면, 획득한 타겟 제어데이터에 따라 정상 제어데이터 보안 규칙을 추가로 생성하거나, 기 생성된 정상 제어데이터 보안 규칙을 수정할 수도 있다.
도 1은 본 발명의 일 실시예에 따른 비정상 제어데이터 탐지 시스템이 적용되는 네트워크 구성을 개략적으로 보여주는 도면이다.
도 2는 도 1에 도시된 게이트웨이의 구성을 개략적으로 보여주는 블록도이다.
도 3은 도 1에 도시된 탐지 서버의 구성을 개략적으로 보여주는 블록도이다.
도 4a는 본 발명의 일 실시예에 따른 제어데이터의 네트워크 파트를 보여주는 도면이다.
도 4b는 본 발명의 일 실시예에 따른 제어데이터의 데이터 파트를 보여주는 도면이다.
도 5는 도 3에 도시된 보안규칙 생성부의 구성을 개략적으로 보여주는 블록도이다.
도 6a는 하나의 커맨드에 대한 밸류의 분포를 나타내는 그래프이다.
도 6b는 다른 하나의 커맨드에 대한 밸류 분포를 나타내는 그래프이다.
도 7a는 제1형 데이터의 정상 데이터 범위를 나타내는 그래프이다.
도 7b는 제2형 데이터의 정상 데이터 범위를 나타내는 그래프이다.
도 8은 본 발명의 일 실시예에 따른 비정상 데이터 판단 방법을 보여주는 플로우 차트이다.
도 9는 본 발명의 일 실시예에 따른 제어데이터의 정상 데이터 범위 생성 방법을 보여주는 플로우 차트이다.
이하, 첨부되는 도면을 참고하여 본 발명의 실시예들에 대해 상세히 설명한다.
본 명세서에서 서술되는 용어의 의미는 다음과 같이 이해되어야 할 것이다.
단수의 표현은 문맥상 명백하게 다르게 정의하지 않는 한 복수의 표현을 포함하는 것으로 이해되어야 하고, "제1", "제2" 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하기 위한 것으로, 이들 용어들에 의해 권리범위가 한정되어서는 안된다.
"포함하다" 또는 "가지다" 등의 용어는 하나 또는 그 이상의 다른 특징이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.
"적어도 하나"의 용어는 하나 이상의 관련 항목으로부터 제시 가능한 모든 조합을 포함하는 것으로 이해되어야 한다. 예를 들어, "제1 항목, 제2 항목 및 제3 항목 중에서 적어도 하나"의 의미는 제1 항목, 제2 항목 또는 제3 항목 각각 뿐만 아니라 제2 항목, 제2 항목 및 제3 항목 중에서 2개 이상으로부터 제시될 수 있는 모든 항목의 조합을 의미한다.
이하, 도 1을 참조하여, 본 발명의 일 실시예에 따른 비정상 제어데이터 탐지 시스템을 대해 상세히 설명한다. 도 1은 본 발명의 일 실시예에 따른 비정상 제어데이터 탐지 시스템이 적용되는 네트워크 구성을 개략적으로 보여주는 도면이다. 도 2는 도 1에 도시된 게이트웨이의 구성을 개략적으로 보여주는 블록도이고, 도 3은 도 1에 도시된 탐지 서버의 구성을 개략적으로 보여주는 블록도이다.
도 1에 도시된 제어 단말(100)은 공장 제어 장치(110)를 제어하고 공장 제어 장치(110)에 의해 생성되는 조업 데이터를 수집하는 역할을 수행한다. 본 발명의 일 실시예에 따른 제어 단말(100)은 SCADA(Supervisory Control And Data Acquisition) 또는 HMI(Human Machine Interface)를 포함할 수 있다.
공장 제어 장치(110)는 제어 단말(100)에서 전달되는 제어데이터를 기초로 조업 현장에 배치되어 있는 설비를 제어하고, 설비 제어 결과 또는 각 설비로부터 획득되는 조업 데이터를 제어 단말(100)로 전송하는 역할을 수행한다. 공장 제어 장치(110)는 PLC(Programmable Logic Controller)를 포함할 수 있다.
비정상 제어데이터 탐지 시스템(120)은 제어 단말(100)과 공장 제어 장치(110)를 연결한다. 구체적으로, 비정상 제어데이터 탐지 시스템(120)은 제어 단말(100)에서 생성된 제어데이터를 공장 제어 장치(110)로 전달하고, 공장 제어 장치(110)에 의해 생성된 조업 데이터를 제어 단말(100)로 전달한다.
도 2는 도 1에 도시된 게이트웨이의 구성을 개략적으로 보여주는 블록도이다. 도 2에 도시된 바와 같이 보안 게이트웨이(130)는 데이터 차단부(210), 데이터 미러링부(220) 및 바이패스부(230)를 포함할 수 있다.
데이터 차단부(210)는 제어 단말(110)로부터 제어데이터가 수신되면 수신된 제어데이터의 IP 어드레스(Internet Protocol Address)가 미리 등록된 IP 어드레스에 해당하는지 여부를 판단한다. 판단 결과, 수신된 제어데이터의 IP 어드레스가 미리 등록된 IP 어드레스에 해당하지 않는 경우 데이터 차단부(210)는 해당 제어데이터는 비정상적인 경로를 통해 수신된 비정상 제어데이터인 것으로 판단하여 해당 제어데이터가 공장 제어 장치(110)로 전달되는 것을 차단할 수 있다.
데이터 차단부(210)는 탐지 서버(140)에 의해 생성되는 정상 경로 리스트를 기초로 제어 단말(110)에서 수신되는 제어데이터의 IP 어드레스가 미리 등록된 IP 어드레스에 해당하는지 여부를 판단할 수 있다. 이때, 정상 경로 리스트에는 정상 IP 어드레스들이 등록되어 있을 수 있다.
데이터 차단부(210)는 제어데이터의 차단이 수행되면 차단 결과를 사용자에게 통지할 수 있다.
데이터 미러링부(220)는 제어 단말(100)로부터 공장 제어 장치(110)로 제어데이터를 전달한다. 이때, 데이터 미러링부(220)는 제어데이터를 네트워크 지연없이 복제하여 복제된 제어데이터를 탐지 서버(140)로도 전달한다. 탐지 서버(140)는 이러한 데이터 미러링부(220)의 복제 기능을 통해 제어데이터를 획득함으로써 비정상 제어데이터를 탐지할 수 있게 된다.
바이패스부(230)는 보안 게이트웨이(140)의 오류 발생 여부에 따라 제어데이터의 전달 경로를 조정한다. 구체적으로, 바이패스부(230)는 보안 게이트웨이(130)에 오류가 발생되지 않은 경우 제어데이터가 데이터 미러링부(220)를 통해 공장 제어 장치(110)로 전달되도록 한다.
하지만 게이트웨이(130)에 오류가 발생된 경우 바이패스부(230)는 데이터 미러링부(220)를 바이패스하여 제어데이터를 공장 제어 장치(110)로 직접 전달한다. 이러한 경우 제어데이터의 복제 기능이 수행되지 않게 된다.
탐지 서버(140)는 제어데이터들을 기초로 정상 제어데이터 보안 규칙을 생성하고, 판단 대상이 되는 타겟 제어데이터가 수신되면 타겟 제어데이터를 정상 제어데이터 보안 규칙과 비교함으로써 타겟 제어데이터가 비정상 제어데이터인지 여부를 판단한다.
이하, 본 발명에 따른 탐지 서버(140)의 구성을 도 3 내지 도 4b을 참조하여 상세히 설명한다.
도 3은 도 1에 도시된 탐지 서버의 구성을 개략적으로 보여주는 블록도이다. 도 4a는 본 발명의 일 실시예에 따른 제어데이터의 네트워크 파트를 보여주는 도면이고, 도 4b는 본 발명의 일 실시예에 따른 제어데이터의 데이터 파트를 보여주는 도면이다.
본 발명의 실시예에 따른 탐지 서버(140)는 데이터 수집부(310), 데이터 파싱부(320), 보안규칙 생성부(330), 비정상 제어데이터 판단부(340), 감시부(350) 및 데이터 베이스(360)을 포함한다.
데이터 수집부(310)는 데이터 미러링부(220)를 통해 수신된 제어데이터들 중 적어도 일부를 추출하여 수집한다. 이때, 제어 단말(100) 및 공장 제어 장치(110)의 가동 기간 중에 데이터 미러링부(220)를 통해 수신된 제어데이터들을 정상 제어데이터로 가정할 수 있으며, 이에 따라, 데이터 수집부(310)는 제어데이터들 중 제어 단말(100) 및 공장 제어 장치(110)의 가동 기간 중에 데이터 미러링부(220)를 통해 수신된 제어데이터들을 수집할 수 있다.
데이터 파싱부(320)는 데이터 수집부(310)에 의해 수집된 제어데이터들을 파싱하여 커맨드(Command) 및 해당 커맨드에 대한 밸류(Value)를 획득한다.
데이터 수집부(310)에 의해 수집된 제어데이터는 네트워크 파트와 데이터 파트로 이루어진다.
네트워크 파트는, 도 4a에 도시된 바와 같이, 제어 장치 정보 및 송수신처 정보를 포함한다.
제어 장치 정보는 SysInfo(System Information), PType(ProtoType), 및 Name을 포함한다. 이때, SysInfo(System Information)는 제어장치 프로토콜 정보를 의미하고, PType(ProtoType)은 제어장치 프로토콜 타입 정보를 의미하고, Name은 제어장치 모델정보를 의미한다.
송수신처 정보는 SMac(Source Mac Address), Sport(Source Port), SIP(Source Internet Protocol)를 포함하고, DMac(Destination Mac Address), DIP(Destination Internet Protocol), DPort(Destination Port)를 포함하며, 네트워크 정보인 VID(Vlan ID)를 더 포함할 수 있다. 이때, SMac(Source Mac Address)은 제어데이터를 송신한 MAC 어드레스를 의미하고, Sport(Source Port)는 제어데이터를 송신한 포트를 의미하며, SIP(Source Internet Protocol)는 제어데이터를 송신한 IP 어드레스를 의미하고, DMac(Destination Mac Address)는 제어데이터를 수신할 MAC 어드레스를 의미하며, DIP(Destination Internet Protocol)는 제어데이터를 수신할 IP 어드레스를 의미하고, DPort(Destination Port)는 제어데이터를 수신할 포트를 의미하며, VID(Vlan ID)는 네트워크 정보로써, 가상 네트워크 망 분리 시 가상 네트워크간의 구별을 위해 이용되는 식별정보를 의미할 수 있다.
데이터 파트는, 도 4b에 도시된 바와 같이, Fun(Function), Value 및 Addr(Address)를 포함한다. 이때, Fun(Function)은 제어 장치의 동작상태 정보를 의미하고, 본 발명의 실시예에 따르면, Addr은 커맨드 및 커맨드에 대한 데이터 개수(Order)를 포함하는 정보를 의미하고, Value는 커맨드에 대한 데이터 밸류들을 의미한다.
본 발명의 실시예에 따른 데이터 파싱부(320)는 수집된 제어데이터들을 파싱하여 데이터 파트에서 커맨드(TT001), 커맨드에 대한 데이터 개수(24EA) 및 각 데이터의 밸류들(0ADA090B00002C63DB800020AD70003000F000F00??)을 추출하여 제어데이터를 획득한다. 예를 들어, 데이터 파싱부(320)는 커맨드인 온도 증가(Add)를 추출하고, 밸류인 증가될 온도값을 추출하여 온도 관련 제어데이터를 획득할 수 있다.
본 발명의 다른 일 실시예에서는 데이터 수집부(310)가 생략되고, 데이터 미러링부(220)에 의해 복제되어 데이터 베이스(360)에 저장된 제어데이터들로부터 데이터 파싱부(320)가 제어데이터들을 직접 추출하여 파싱할 수도 있다.
보안규칙 생성부(330)는 데이터 파싱부(320)에 의해 획득된 제어데이터 중 적어도 일부를 머신러닝(Machine Learning) 기법으로 학습하여 정상 제어데이터 보안 규칙을 생성한다.
보안규칙 생성부(330)는 하나의 커맨드 및 해당 커맨드에 대응하는 정상 제어데이터 범위가 매핑되어 있는 하나의 데이터 세트를 하나의 정상 제어데이터 보안 규칙으로 설정할 수 있다.
보안규칙 생성부(330)는 동일한 종류의 커맨드에 대해 복수 개의 밸류들이 존재하는 경우 해당 커맨드에 대한 복수 개의 밸류들에 대한 정상 제어데이터 범위를 도출하고, 도출된 정상 제어데이터 범위들과 해당 커맨드가 매핑되어 있는 하나의 데이터 세트를 하나의 정상 제어데이터 보안 규칙으로 설정할 수 있다.
보안규칙 생성부(330)는 생성된 정상 제어데이터 범위들을 리스트화하여 데이터 베이스(360)에 저장할 수 있다.
이하, 도 5 내지 도 7b를 참조하여, 보안규칙 생성부에 대해 상세히 후술한다. 도 5는 도 3에 도시된 보안규칙 생성부의 구성을 개략적으로 보여주는 블록도이다. 도 6a는 하나의 커맨드에 대한 밸류 분포를 나타내는 그래프이고, 도 6b는 다른 하나의 커맨드에 대한 밸류 분포를 나타내는 그래프이다. 도 7a는 제1형 데이터의 정상 데이터 범위를 나타내는 그래프이고, 도 7b는 제2형 데이터의 정상 데이터 범위를 나타내는 그래프이다.
본 발명의 일 실시예에 따른 보안규칙 생성부(330)는 도 5에 도시된 바와 같이, 데이터 타입 판정부(331), 제1 정상 제어데이터 범위 생성부(332a), 제2 정상 제어데이터 범위 생성부(332b) 및 정상 제어데이터 범위 저장부(333)를 포함한다.
본 발명의 일 실시예에 따르면, 보안규칙 생성부(330)는 제어데이터들의 커맨드 및 상기 커맨들의 밸류를 기초로 정상 제어데이터 보안규칙을 생성한다. 구체적으로, 보안규칙 생성부(330)는 제어데이터의 밸류들에 대해 밀도 추정을 적용하여 제어데이터의 커맨드에 대응하는 정상 제어데이터 범위를 생성한다. 특히, 본 발명의 일 실시예에 따르면, 보안규칙 생성부(330)는 제어데이터 밸류의 종류의 개수에 따라 밀도 추정 방식을 결정한다.
데이터 타입 판정부(331)는 제어데이터의 밸류들의 종류의 개수에 따라 제어데이터의 타입을 판정한다. 구체적으로, 데이터 타입 판정부(331)는 제어데이터의 밸류들의 종류가 정해진 기준 개수, 예를 들어 10개, 미만인 경우 도 6a에 도시된 바와 같이, 제어데이터를 제1형 제어데이터로 판정하고, 제어데이터의 밸류들의 종류가 정해진 기준 개수, 예를 들어 10개, 이상인 경우 도 6b에 도시된 바와 같이, 제어데이터를 제2형 제어데이터로 판정한다. 이때, 밸류의 종류는 밸류들 중 서로 구분되는 밸류를 나타내는 것이고, 밸류의 종류의 수는 하나의 커맨드에 대한 밸류들 중 서로 구분되는 밸류의 수를 나타낸다.
도 6a에 도시된 바와 같이, 제1형 제어데이터는 밸류들의 종류(A, B, C)의 수(3개)가 적어 특정 모드와 같은 불연속적인 밸류들을 나타내는 데이터 타입일 수 있다. 제2형 제어데이터는, 도 6b에 도시된 바와 같이, 밸류들의 종류(A, B 이상 C 이하, D)의 수(11개)가 많고, B 이상 C 이하와 같이 연속적으로 분포하는 밸류들을 나타내는 데이터 타입일 수 있다. 이때, 제2형 제어데이터는 노이즈 및 특수 상황을 나타내는 불연속적인 밸류(A, D)들을 더 포함할 수 있다.
제1 정상 제어데이터 범위 생성부(332a)는 제1형 제어데이터에 대해 균일 커널 밀도(Uniform Kernel Density) 추정을 적용하여 정상 제어데이터 범위를 생성한다. 이때, 제1 정상 제어데이터 범위 생성부(332a)는 정해진 임계 밸류값(Threshold) 이상의 밸류값을 갖는 밸류만 정상 제어데이터 범위에 포함시킨다. 예를 들어, 도 7a에 도시된 바와 같이, 제1 정상 제어데이터 범위 생성부(332a)는 제1형 제어데이터의 각 밸류들에 대해 각각 균일 커널 밀도 추정을 수행하고 임계 밸류값(Threshold) 이상의 밸류값을 갖는 밸류(A, B, C)를 기준으로 정상 제어데이터 범위(A,B,C)를 생성한다.
제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터에 대한 가우시안 커널 밀도(Gaussian Kernel Density) 또는 균일 커널 밀도 추정을 통해 정상 제어데이터 범위를 생성한다.
본 발명의 실시예에 따르면, 제2형 제어데이터는 노이즈 및 특수 상황을 나타내는 밸류들을 포함할 수 있다. 이에 따라, 제2 정상 제어데이터 범위 생성부(332b)는 데이터를 나타내는 데이터 밸류와 노이즈 및 특수 상황에 대한 밸류인 특이 밸류로 구분하여 서로 다른 밀도 추정을 적용하고, 각 밀도 추정에 의해 산출된 정상 제어데이터 범위를 통합한다.
본 발명의 실시예에 따르면, 제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터에 대해 미리 정해진 기준 빈도 이상 발생한 밸류를 데이터 밸류로 결정하고, 해당 밸류에 대해 가우시안 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성한다. 구체적으로, 제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터의 밸류들 중 미리 정해진 기준 빈도 이상 발생한 밸류들을 데이터 밸류로 결정하고, 해당 밸류들에 대해 가우시안 커널 밀도(Gaussian Kernel Density) 추정을 적용한다. 이때, 가우시안 커널은 표준 대역폭(bandwidth)을 가질 수 있다. 또한, 제2 정상 제어데이터 범위 생성부(332b)는 정해진 임계 밸류값(Threshold) 이상의 밸류값을 갖는 밸류에 대해 정상 제어데이터 범위를 생성한다. 예를 들어, 도 7b에 도시된 바와 같이, 제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터 중 B 이상 C 이하의 밸류들을 데이터 밸류로 구분하고, 이 데이터 밸류들에 대해 표준 대역폭을 갖는 가우시안 커널 밀도 추정을 수행하고 임계 밸류값(Threshold) 이상의 발생 빈도를 갖는 밸류들을 포함하는 B` 이상 C` 이하의 범위를 갖는 정상 제어데이터 범위를 생성한다.
본 발명의 실시예에 따르면, 제2 정상 제어데이터 범위 생성부(332b)는, 제2형 제어데이터에 대해 미리 정해진 기준 빈도 미만 발생한 밸류를 특이 밸류로 결정하고, 해당 밸류에 대해 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성한다. 구체적으로, 제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터의 밸류들 중 미리 정해진 기준 빈도 미만 발생한 밸류들을 특이 밸류로 결정하고, 해당 밸류들 각각에 대해 균일 커널 밀도(Uniform Kernel Density) 추정을 적용한다. 이때, 제2 정상 제어데이터 범위 생성부(332b)는 정해진 임계 밸류값(Threshold) 미만의 밸류값을 갖는 밸류에 대해 정상 제어데이터 범위를 생성한다. 예를 들어, 도 7b에 도시된 바와 같이, 제2 정상 제어데이터 범위 생성부(332b)는 제2형 제어데이터 중 A, D의 밸류들을 특수 밸류로 구분하고, 이 특수 밸류들에 대해 균일 커널 밀도(Uniform Kernel Density) 추정을 수행하고 임계 밸류값(Threshold) 이상의 발생 빈도를 갖는 밸류들을 포함하는 A 및 D의 범위를 갖는 제2 정상 제어데이터 범위를 생성한다. 이에 따라, 제2형(뉴메릭형) 데이터 범위 생성부(322b)는 B` 이상 C` 이하의 범위 및 A 및 D의 범위를 갖는 정상 제어데이터 범위를 생성한다.
본 발명의 일 실시예에 따르면, 균일 커널 밀도 추정 및 가우시안 커널 밀도 추정을 위한 계산에 많은 시간이 소요되지 않기 때문에, 정상 제어데이터 보안 규칙을 신속하게 생성할 수 있다. 이에 따라, 본 발명의 일 실시예에 따른 보안규칙 생성부(330)는 타겟 제어데이터들을 획득할 때마다 획득한 타겟 제어데이터에 따라 정상 제어데이터 보안 규칙을 추가로 생성하거나, 기 생성된 정상 제어데이터 보안 규칙을 수정할 수도 있다.
정상 제어데이터 범위 저장부(333)는 커맨드 및 해당 커맨드에 대응하는 정상 제어데이터 범위가 매핑되어 있는 하나의 데이터 세트를 정상 제어데이터 보안 규칙으로 저장 및 설정한다.
다시 도 3을 참조하면, 비정상 제어데이터 판단부(340)는 판단 대상이 되는 타겟 제어데이터와 정상 제어데이터 보안 규칙을 비교하여 타겟 제어데이터가 비정상 제어데이터인지 여부를 판단한다. 구체적으로, 비정상 제어데이터 판단부(340)는 데이터 베이스(360)에 저장되어 있는 정상 제어데이터 범위들 중 타겟 제어데이터의 커맨드 및 밸류를 기초로 해당 타겟 제어데이터가 정상 제어데이터 범위들에 해당되는지 여부를 판단한다. 이때, 타겟 제어데이터는 데이터 미러링부(220)를 통해 데이터 파싱부(320)로 전달되고, 데이터 파싱부(320)에 의해 타겟 제어데이터의 커맨드 및 밸류가 획득될 수 있다.
판단 결과, 타겟 제어데이터가 정상 데이터 범위 내에 존재하면, 비정상 제어데이터 판단부(340)는 해당 타겟 제어데이터를 정상 제어데이터인 것으로 판단한다. 하지만, 정상 제어데이터 범위 내에 타겟 제어데이터가 존재하지 않으면 비정상 제어데이터 판단부(340)는 해당 타겟 제어데이터를 비정상 제어데이터인 것으로 판단한다.
한편, 비정상 제어데이터 판단부(340)는 타겟 제어데이터가 비정상 제어데이터인 것으로 판단하면 판단 결과를 사용자에게 통지할 수 있다.
감시부(350)는 데이터 수집부(310), 데이터 파싱부(320), 보안규칙 생성부(330), 비정상 제어데이터 판단부(340) 및 데이터 베이스(360)가 정상적으로 동작하고 있는지 여부를 탐지하고, 비정상적으로 동작하고 있는 경우, 해당 부분 또는 탐지 서버(140) 전체를 종료하여 재동작시킨다.
데이터 베이스(360)에는 보안규칙 생성부(330)에 의해 생성된 정상 제어데이터 범위가 저장된다. 상술한 바와 같이, 정상 제어데이터 규칙은 리스트 형태로 데이터 베이스(360)에 저장될 수 있다. 또한, 데이터 베이스(360)에는 제어데이터로부터 획득된 커맨드 및 해당 커맨드의 밸류의 범위가 매핑되어 저장될 수도 있다.
도 8은 본 발명의 일 실시예에 따른 제어데이터의 정상 데이터 범위 생성 방법을 보여주는 플로우 차트이다. 도 8을 참조하여, 본 발명의 일 실시예에 따른 비정상 제어데이터 탐지 방법에 대해 상세히 설명한다.
우선, 제어데이터들을 파싱하여 제어데이터들 각각의 커맨드 및 커맨드의 밸류를 획득한다(S801). 이때, 제어데이터는 데이터 베이스(360)에 커맨드 및 밸류들로 파싱되어 저장되어 있을 수 있다. 또는, 데이터 베이스(360)에 저장되어 있는 제어데이터는 데이터 파싱부(320)에 의해 커맨드와 밸류들로 파싱될 수 있다.
이후, 획득된 제어데이터의 밸류들의 데이터 타입에 따라 정상 제어데이터 보안규칙을 생성한다(S802). 이에 대해서는 도 9를 참조하여 상세히 후술한다.
이후, 제어 단말로부터 전달되는 제어데이터를 파싱하여 커맨드 및 커맨드에 대응하는 밸류들을 획득한다(S803). 예를 들어, 비정상 제어데이터 탐지 시스템은 제어데이터를 파싱하여 커맨드인 온도 증가(Add)를 추출하고, 밸류인 증가될 온도값을 추출하여 온도 관련 제어데이터를 획득할 수 있다.
이후, 타겟 제어데이터를 정상 제어데이터 규칙과 비교하여 타겟 제어데이터의 비정상 여부를 판단한다(S804). 구체적으로, 타겟 제어데이터의 커맨드에 대응하는 정상 제어데이터 규칙의 정상 제어데이터 범위와 타겟 제어데이터의 밸류들을 비교한다. 타겟 제어데이터의 밸류가 정상 제어데이터 범위 내의 값인 경우, 타겟 제어데이터는 정상 제어데이터로 판별되어 공장제어장치로 전달된다. 타겟 제어데이터의 밸류가 정상 제어데이터 범위 밖의 값인 경우, 타겟 제어데이터는 비정상 제어데이터로 판별되어 공장제어장치로 전달되지 않는다. 이때, 타겟 제어데이터가 비정상 제어데이터인 것으로 판단되면 판단 결과를 사용자에게 통지할 수 있다
도 9는 본 발명의 일 실시예에 따른 제어데이터의 정상 데이터 범위 생성 방법을 보여주는 플로우 차트이다. 도 9를 참조하여, 본 발명의 일 실시예에 따른 규칙 생성부에 대해 상세히 설명한다.
우선, 제어데이터로부터 파싱된 커맨드 및 밸류를 획득한다(S901).
이후, 제어데이터들의 밸류들의 데이터 타입을 판정한다(S902). 구체적으로, 제어데이터들의 밸류들의 종류의 개수에 따라 제어데이터 타입을 판정한다. 제어데이터의 밸류들의 종류가 정해진 기준 개수, 예를 들어 10개, 미만인 경우 제어데이터를 제1형 제어데이터로 판정하고, 제어데이터의 밸류들의 종류가 정해진 기준 개수, 예를 들어 10개, 이상인 경우 제어데이터를 제2형 제어데이터로 판정한다.
이후, 제1형 제어데이터의 경우, 밸류들에 대해 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성한다(S903). 이때, 정상 제어데이터 범위에서 정해진 임계 밸류값 이하의 밸류값을 갖는 밸류는 정상 제어데이터 범위에서 제거되어 정상 제어데이터 범위의 밸류들은 임계 밸류값 이상의 밸류값을 가질 수 있다.
제2형 제어데이터의 경우, 밸류들 각각의 데이터 종류에 따라 다른 밀도 추정을 적용한다. 제2형 제어데이터의 밸류들은 데이터를 나타내는 데이터 밸류 및 노이즈 및 특수 상황을 표시하는 특이 밸류를 포함할 수 있다. 이때, 제2형 제어데이터의 밸류들은 각각 해당 밸류들이 미리 정해진 기준 빈도 이상 발생했는지에 따라 데이터 밸류 및 특이 밸류로 구분될 수 있다. 즉, 미리 정해진 기준 빈도 이상 발생한 제2형 제어데이터의 밸류들은 데이터 밸류로 결정되고, 미리 정해진 기준 빈도 미만 발생한 제2형 제어데이터의 밸류들은 특이 밸류로 결정된다. 이에 따라, 데이터 밸류인 제2형 제어데이터의 밸류들은 가우시안 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하고(S905), 특이 밸류인 제2형 제어데이터의 밸류들은 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성한다(S903). 이때, 데이터 밸류인 제2형 제어데이터의 밸류에 적용되는 가우시안 커널은 표준대역폭을 가질 수 있다. 또한, 정상 제어데이터 범위에서 정해진 임계 밸류값 이하의 밸류값을 갖는 밸류는 정상 제어데이터 범위에서 제거되어 정상 제어데이터 범위의 밸류들은 임계 밸류값 이상의 밸류값을 가질 수 있다.
이후, 정상 제어데이터 범위를 저장한다(S906). 이에 따라, 새로운 타겟 제어데이터가 입력되면, 타겟 제어데이터를 저장된 정상 제어데이터 범위와 비교하여 타겟 제어데이터의 비정상 제어데이터인지 판단할 수 있다.
본 발명이 속하는 기술분야의 당업자는 상술한 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다.
그러므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
본 명세서에 설명되어 있는 모든 개시된 방법들 및 절차들은, 적어도 부분적으로, 하나 이상의 컴퓨터 프로그램 또는 구성요소를 사용하여 구현될 수 있다.  이 구성요소는 RAM, ROM, 플래시 메모리, 자기 또는 광학 디스크, 광메모리, 또는 그 밖의 저장매체와 같은 휘발성 및 비휘발성 메모리를 포함하는 임의의 통상적 컴퓨터 판독 가능한 매체 또는 기계 판독 가능한 매체를 통해 일련의 컴퓨터 지시어들로서 제공될 수 있다. 상기 지시어들은 소프트웨어 또는 펌웨어로서 제공될 수 있으며, 전체적 또는 부분적으로, ASICs, FPGAs, DSPs, 또는 그 밖의 다른 임의의 유사 소자와 같은 하드웨어 구성에 구현될 수도 있다. 상기 지시어들은 하나 이상의 프로세서 또는 다른 하드웨어 구성에 의해 실행되도록 구성될 수 있는데, 상기 프로세서 또는 다른 하드웨어 구성은 상기 일련의 컴퓨터 지시어들을 실행할 때 본 명세서에 개시된 상기 방법들 및 절차들의 모두 또는 일부를 수행하거나 수행할 수 있도록 한다.
100: 제어 단말 110: 공장 제어 장치
120: 비정상 제어데이터 탐지 시스템
130: 보안 게이트웨이 140: 탐지 서버

Claims (17)

  1. 제어 단말로부터 전달되는 제어데이터들을 파싱하여 제어데이터들의 커맨드(Command) 및 상기 커맨드의 밸류(Value)를 획득하는 데이터 파싱부;
    상기 제어데이터들의 커맨드 및 상기 커맨드의 밸류를 기초로 정상 제어데이터 보안 규칙을 생성하는 보안규칙 생성부;
    상기 제어 단말에서 수신되는 타겟 제어데이터와 상기 정상 제어데이터 보안 규칙을 비교하여 상기 타겟 제어데이터의 비정상 여부를 판단하는 비정상 데이터 판단부;를 포함하고,
    상기 정상 제어데이터 보안 규칙은 커맨드와 해당 커맨드의 정상 제어데이터 범위가 매핑되어 있는 데이터 세트인 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  2. 제1항에 있어서,
    상기 보안규칙 생성부는,
    상기 제어데이터의 밸류들에 대해 밀도 추정을 적용하여, 상기 제어데이터의 커맨드에 대응하는 상기 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  3. 제1항에 있어서,
    상기 보안규칙 생성부는,
    상기 제어데이터의 밸류들에 대해 균일 커널 밀도(Uniform Kernel Density) 추정 또는 가우시안 커널 밀도(Gaussian Kernel Density) 추정을 적용하여 상기 제어데이터의 커맨드에 대응하는 상기 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  4. 제1항에 있어서,
    상기 보안규칙 생성부는,
    상기 제어데이터의 밸류의 종류 개수에 따라 제어데이터의 타입을 판정하는 데이터 타입 판정부; 및
    상기 제어데이터의 타입에 따라 밀도 추정 방식을 결정하고, 결정된 밀도 추정 방식을 이용하여 정상 제어데이터 범위를 생성하는 정상 제어데이터 범위 생성부;를 포함하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  5. 제1항에 있어서,
    상기 보안규칙 생성부는,
    상기 제어데이터의 밸류의 종류가 미리 정해진 기준 개수 미만인 경우, 제어데이터의 타입을 제1형 제어데이터로 판정하고,
    상기 제1형 제어데이터에 대하여 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  6. 제1항에 있어서,
    상기 보안규칙 생성부는,
    상기 제어데이터의 밸류의 종류가 미리 정해진 기준 개수 이상인 경우, 제어데이터의 타입을 제2형 제어데이터로 판정하고,
    상기 제2형 제어데이터에 대하여 가우시안 커널 밀도 추정 또는 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  7. 제6항에 있어서,
    상기 보안규칙 생성부는,
    제2형 제어데이터의 밸류가 미리 정해진 기준 빈도 이상 발생한 경우, 해당 밸류에 대해 가우시안 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  8. 제6항에 있어서,
    상기 보안규칙 생성부는,
    상기 제2형 제어데이터의 밸류가 미리 정해진 기준 빈도 미만 발생한 경우, 해당 밸류에 대해 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  9. 제1항에 있어서,
    상기 비정상 데이터 판단부는,
    상기 타겟 제어데이터의 밸류가 상기 정상 제어데이터 범위 밖의 값인 경우, 상기 타겟 제어데이터는 비정상 제어데이터로 판단하고,
    상기 타겟 제어데이터의 밸류가 상기 정상 제어데이터 범위 내의 값인 경우, 상기 타겟 제어데이터는 정상 제어데이터로 판단하는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  10. 제9항에 있어서,
    상기 비정상 제어데이터는 공장제어장치로 전달되지 않는 것을 특징으로 하는 비정상 제어데이터 탐지 시스템.
  11. 복수의 제어데이터들을 파싱하여 상기 제어데이터들 각각의 커맨드 및 상기 커맨드의 밸류를 획득하는 단계;
    상기 제어데이터들의 커맨드 및 상기 커맨드의 밸류를 기초로 정상 제어데이터 보안규칙을 생성하는 단계;
    제어 단말로부터 수신된 타겟 제어데이터를 파싱하여 상기 타겟 제어데이터의 커맨드 및 상기 커맨드의 밸류를 획득하는 단계; 및
    상기 타겟 제어데이터와 상기 정상 제어데이터 보안규칙과 비교하여 상기 타겟 제어데이터의 비정상 여부를 판단하는 단계;를 포함하고,
    상기 정상 제어데이터 보안규칙은 상기 제어데이터의 커맨드 및 해당 커맨드의 정상 제어데이터 범위가 매핑되어 있는 데이터 세트인 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  12. 제11항에 있어서,
    상기 정상 제어데이터 보안규칙을 생성하는 단계는,
    상기 제어데이터의 밸류의 종류 개수에 따라 제어데이터의 타입을 판정하고, 상기 제어데이터의 타입에 따라 밀도 추정방식을 결정하고, 결정된 밀도 추정 방식을 이용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  13. 제11항에 있어서,
    상기 정상 제어데이터 보안규칙을 생성하는 단계는,
    상기 제어데이터의 밸류의 종류가 미리 정해진 기준 개수 미만인 경우, 제어데이터의 타입을 제1형 제어데이터로 판정하고,
    상기 제1형 제어데이터에 대해 균일 커널 밀도(Uniform Kernel Density) 추정 또는 가우시안 커널 밀도(Gaussian Kernel Density) 추정을 적용하여 상기 타겟 제어데이터의 커맨드에 대응하는 상기 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  14. 제11항에 있어서,
    상기 정상 제어데이터 보안규칙을 생성하는 단계는,
    상기 제어데이터의 밸류의 종류가 미리 정해진 기준 개수 이상인 경우, 제어데이터의 타입을 제2형 제어데이터로 판정하고,
    상기 제2형 제어데이터에 대하여 가우시안 커널 밀도 추정 또는 균일 커널 밀도 추정을 적용하여 상기 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  15. 제14항에 있어서,
    상기 정상 제어데이터 보안규칙을 생성하는 단계는,
    상기 제2형 제어데이터의 밸류가 미리 정해진 기준 빈도 이상 발생한 경우, 해당 밸류에 대해 가우시안 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  16. 제14항에 있어서,
    상기 정상 제어데이터 보안규칙을 생성하는 단계는,
    상기 제2형 제어데이터의 밸류가 미리 정해진 기준 빈도 미만 발생한 경우, 해당 밸류에 대해 균일 커널 밀도 추정을 적용하여 정상 제어데이터 범위를 생성하는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
  17. 제11항에 있어서,
    상기 타겟 제어데이터의 비정상 여부를 판단하는 단계는,
    상기 타겟 제어데이터의 밸류가 상기 정상 제어데이터 범위 밖의 값인 경우, 상기 타겟 제어데이터는 비정상 제어데이터로 판단하여 공장제어장치로 전달되지 않고,
    상기 타겟 제어데이터의 밸류가 상기 정상 제어데이터 범위 내의 값인 경우, 상기 타겟 제어데이터는 정상 제어데이터로 판단하여 상기 공장제어장치로 전달되는 것을 특징으로 하는 비정상 제어데이터 탐지 방법.
KR1020200127315A 2020-09-29 2020-09-29 비정상 제어데이터 탐지 시스템 및 방법 KR102435456B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200127315A KR102435456B1 (ko) 2020-09-29 2020-09-29 비정상 제어데이터 탐지 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200127315A KR102435456B1 (ko) 2020-09-29 2020-09-29 비정상 제어데이터 탐지 시스템 및 방법

Publications (2)

Publication Number Publication Date
KR20220043657A true KR20220043657A (ko) 2022-04-05
KR102435456B1 KR102435456B1 (ko) 2022-08-22

Family

ID=81181853

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200127315A KR102435456B1 (ko) 2020-09-29 2020-09-29 비정상 제어데이터 탐지 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102435456B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117473514A (zh) * 2023-12-28 2024-01-30 华东交通大学 一种工控系统的智能运维方法及系统

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190080300A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 비정상 제어데이터 탐지 시스템

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20190080300A (ko) * 2017-12-28 2019-07-08 주식회사 포스코아이씨티 비정상 제어데이터 탐지 시스템

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Longin Jan Latecki et al, "Outlier Detection with Kernel Density Functions"(2007.07.) *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117473514A (zh) * 2023-12-28 2024-01-30 华东交通大学 一种工控系统的智能运维方法及系统
CN117473514B (zh) * 2023-12-28 2024-03-15 华东交通大学 一种工控系统的智能运维方法及系统

Also Published As

Publication number Publication date
KR102435456B1 (ko) 2022-08-22

Similar Documents

Publication Publication Date Title
US11848950B2 (en) Method for protecting IoT devices from intrusions by performing statistical analysis
US10104124B2 (en) Analysis rule adjustment device, analysis rule adjustment system, analysis rule adjustment method, and analysis rule adjustment program
Lu et al. Clustering botnet communication traffic based on n-gram feature selection
CN110602041A (zh) 基于白名单的物联网设备识别方法、装置及网络架构
CN104899513B (zh) 一种工业控制系统恶意数据攻击的数据图检测方法
CN111935172A (zh) 基于网络拓扑的网络异常行为检测方法、计算机装置及计算机可读存储介质
CA3165726A1 (en) System and method for determining device attributes using a classifier hierarchy
EP3242240B1 (en) Malicious communication pattern extraction device, malicious communication pattern extraction system, malicious communication pattern extraction method and malicious communication pattern extraction program
CN106534212A (zh) 基于用户行为和数据状态的自适应安全防护方法及系统
KR102435456B1 (ko) 비정상 제어데이터 탐지 시스템 및 방법
Massaro et al. Prototype cross platform oriented on cybersecurity, virtual connectivity, big data and artificial intelligence control
KR102435472B1 (ko) 비정상 제어데이터 탐지 시스템 및 방법
Ping et al. An incident response decision support system based on CBR and ontology
CN112448919B (zh) 网络异常检测方法、装置和系统、计算机可读存储介质
KR102435460B1 (ko) 비정상 제어데이터 탐지 시스템 및 방법
US11621972B2 (en) System and method for protection of an ICS network by an HMI server therein
Hill et al. Using bro with a simulation model to detect cyber-physical attacks in a nuclear reactor
Al-Mousa et al. cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework
Atkison et al. Feature Extraction Optimization for Network Intrusion Detection in Control System Networks.
KR102504809B1 (ko) 제어명령의 포맷예측을 통한 비정상 제어데이터를 탐지하는 시스템 및 방법
US20230009270A1 (en) OPC UA-Based Anomaly Detection and Recovery System and Method
CN116827698B (zh) 一种网络关口流量安全态势感知系统及方法
Kinable Detection of network scan attacks using flow data
Li et al. Event Triggered Cubature Kalman Filter Subject to Network Attacks
CN116318934A (zh) 基于物联网设备行为建模的安全预警方法及系统

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant