KR20230077073A - Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템 - Google Patents

Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템 Download PDF

Info

Publication number
KR20230077073A
KR20230077073A KR1020210163938A KR20210163938A KR20230077073A KR 20230077073 A KR20230077073 A KR 20230077073A KR 1020210163938 A KR1020210163938 A KR 1020210163938A KR 20210163938 A KR20210163938 A KR 20210163938A KR 20230077073 A KR20230077073 A KR 20230077073A
Authority
KR
South Korea
Prior art keywords
ics
fingerprint
information
network
protocol
Prior art date
Application number
KR1020210163938A
Other languages
English (en)
Other versions
KR102624946B1 (ko
Inventor
김기현
박혜용
Original Assignee
(주) 앤앤에스피
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주) 앤앤에스피 filed Critical (주) 앤앤에스피
Priority to KR1020210163938A priority Critical patent/KR102624946B1/ko
Publication of KR20230077073A publication Critical patent/KR20230077073A/ko
Application granted granted Critical
Publication of KR102624946B1 publication Critical patent/KR102624946B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • H04L47/2441Traffic characterised by specific attributes, e.g. priority or QoS relying on flow classification, e.g. using integrated services [IntServ]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ICS/OT(Industrial Control System/Operation Technology) 네트워크 환경에서 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 관한 것으로, 상기 ICS/OT 네트워크의 미러링을 통해 ICS 네트워크 패킷을 수집하고 분류하는 ICS 네트워크 정보 수집 및 분류부; ICS 네트워크 프로토콜 헤더를 분석하여 핑거프린트 정보를 수집하는 ICS 네트워크 헤더 기반 핑거프린트부; ICS 프로토콜 헤더와 페이로드를 분석하여 핑거프린트 정보를 수집하는 ICS 프로토콜/어플리케이션 핑거프린트부; 학습된 핑거프린트 클러스터링 정보와 비교하여 추적하여 클러스터링 기반 ICS 핑거프린트 추적부; 및, 핑거프린트 정보를 기반으로 CPE, CVE, CVSS 정보를 가져오는 ICS 핑거프린트 기반 보안위협 분석부를 플로우 보안분석부를 포함하는 구성을 마련한다.
상기와 같은 시스템에 의하여, 운영 중인 ICS/OT 환경의 시스템에 영향을 주지않고 디바이스 핑거프린트, 운영체제 핑거프린트, ICS 프로토콜 및 어플리케이션 핑거프린트를 구성함으로써 ICS/OT 자산을 식별하고 매핑되거나 추적된 핑거프린트 정보를 기반으로 CPE 정보를 구성하고 CVE 정보와 CVSS 정보를 분석함으로써 ICS/OT 환경의 보안위협에 대한 대응 방안을 마련하고 보안관리 수준을 향상시킬 수 있다.

Description

ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템 { Passive Fingerprint and Security Threat Analysis System in the ICS/OT Networks }
본 발명은 ICS/OT(Industrial Control System/Operational Technology) 네트워크 환경에서 패시브 모니터링을 통하여 산업용 기기 및 제어 프로토콜을 분석하여 핑거프린트 정보를 추출하고 이와 연계하여 보안위협을 분석을 하는 시스템에 관한 것이다.
일반적인 디바이스 및 시스템 정보를 핑거프린트하기 위해 디바이스 정보를 요청하고 응답을 받는 액티브 스캐닝(Active Scanning) 기술을 주로 사용하며 네트워크 모니터링을 통해 디바이스 정보를 수집하는 패시브 스캐닝(Passive Scanning) 기술을 부가적으로 사용한다.
특허문허 1은 디바이스의 정보 수집 장치 및 그 방법으로 활성화된 IP를 포함하는 활성화 IP 상태 스캐너를 통해 패킷 데이터를 생성하여 디바이스에 전송하고, 패킷 데이터에 대한 응답으로부터 프로토콜 파싱 데이터를 생성하는 서비스 스캐너를 포함하고 있다.
또한, 특허문허 2는 디바이스의 정보 획득 장치 및 방법으로 MAC(Media Access Control) 주소에 기반하고 있으며, 능동적(Active) 정보 획득부를 통해 모니터링 디바이스에 정보를 요청하여 제 1정보를 수집하고, 수동적(Passive) 정보 획득부를 통해 수신된 패킷으로부터 제 2정보를 수집하고, 제 1정보와 제 2정보를 이용하여 디바이스에 대한 정보를 획득하고 있다.
일반적인 IT 네트워크에서 자산을 식별하고 보안취약성을 분석하기 위해 정보 요청 패킷을 보내고 응답을 받아 핑거프린트 정보를 활용하는 액티브 스캐닝(Active Scanning) 기술이 사용된다. 하지만 ICS/OT(Industrial Control System/Operation Technology) 환경에 있는 장비들은 보통 액티브 스캐닝 기술에 더 민감한 편이다. 일부 장비들은 한의 핑(Ping) 패킷으로 망가질 수도 있고, 많은 더 강력한 포트 스캐닝이 네트워크에서 수행되는 동안 ICS/OT 네트워크 환경은 성능 저하로 고통을 받을 수도 있다. ICS/OT 네트워크에서 장비들 중 하나가 무너지면 전체 공정이 무너지므로 액티브 스캔을 적용하여 핑거프린트 정보를 분석하는데는 문제점이 있다.
대한민국 등록특허 10-1888831(2018년 08월 16일) 대한민국 공개특허 10-2052035(2020년 01월 08일)
본 발명의 목적은 상술한 바와 같은 액티브 스캐닝을 이용한 핑거프린트의 문제점을 해결하기 위한 것으로, ICS/OT 환경에서 정보 요청 패킷을 보내지않고 스위치 SPAN(Switched Port Analyzer) 포트 또는 탭(TAP) 장비를 통해 네트워크 패킷을 미러링하여 ICS/OT 네트워크에 대한 패시브 핑거프린팅 및 보안위협 분석 시스템을 제공하는 것이다.
또한, 본 발명의 목적은 네트워크 헤더뿐만 아니라 ICS 제어프로토콜 헤더와 ICS 제어프로토콜 페이로드를 분석하여 디바이스, 운영체제, ICS 프로토콜, ICS 어플리케이션에 대한 핑거프린트 정보를 추출하여 CPE(Common Platform Enumeration) 정보를 구성하고 이를 기반으로 CVE(Common Vulnerabilities and Exposures) 보안취약성 정보와 CVSS(Common Vulnerability Scoring System) 보안위험도를 산정하는 ICS/OT 네트워크에 대한 패시브 핑거프린팅 및 보안위협 분석 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 ICS/OT(Industrial Control System/Operation Technology) 네트워크 환경에서 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 관한 것으로, 상기 ICS/OT 네트워크의 미러링을 통해 ICS 네트워크 패킷을 수집하고 분류하는 ICS 네트워크 정보 수집 및 분류부; ICS 네트워크 프로토콜 헤더를 분석하여 핑거프린트 정보를 수집하는 ICS 네트워크 헤더 기반 핑거프린트부; ICS 프로토콜 헤더와 페이로드를 분석하여 핑거프린트 정보를 수집하는 ICS 프로토콜/어플리케이션 핑거프린트부; 학습된 핑거프린트 클러스터링 정보와 비교하여 추적하여 클러스터링 기반 ICS 핑거프린트 추적부; 및, 핑거프린트 정보를 기반으로 CPE, CVE, CVSS 정보를 가져오는 ICS 핑거프린트 기반 보안위협 분석부를 플로우 보안분석부를 포함하는 것을 특징으로 한다.
또한, 본 발명은 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 있어서, 상기 ICS 네트워크 정보 수집 및 분류부는 ICS 네트워크에서 사용되는 TCP/IP 기반의 IT 프로토콜뿐만아니라 Ethernet 상위 제어프로토콜, Ethernet/LLC 상위 제어프로토콜, TCP/UDP 상위 제어프로토콜, OSI 상위 제어프로토콜을 분류하고 분석하는 것을 특징으로 한다.
또한, 본 발명은 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 있어서, 네트워크 헤더뿐만 아니라 ICS 제어프로토콜을 분석하여 디바이스 핑거프린트, 운영체제 핑거프린트, ICS 프로토콜 핑거프린트, ICS 어플리케이션 핑거프린트 정보를 식별하고 식별되지 않는 ICS 프로토콜에 대하여 기존 학습된 ICS 핑거프린트 클러스터링 정보를 이용하여 추적하는 것을 특징으로 한다.
또한, 본 발명은 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 있어서, 매핑되거나 추적된 핑거프린트 정보에 기반하여 CPE(Common Platform Enumeration) 정보를 구성하고 각 CPE 정보를 기반으로 보안취약성 정보인 CVE(Common Vulnerabilities and Exposures) 정보를 가져오고 CVE 정보를 기반으로 CVSS(Common Vulnerability Scoring System) 보안위험도를 산정하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 의하면, 스위치 SPAN(Switched Port Analyzer) 포트 또는 탭(TAP) 장비를 통해 네트워크 패킷을 미러링하여 핑거프린트 정보를 획득하는 패시브 스캐닝(Passivw Scanniong) 기술을 사용함으로써 액티브 스캐닝(Active Scanning)으로 인한 ICS/OT 장비의 위험성을 없애고 운영 중인 ICS/OT 장비의 중단없이 안정적으로 ICS/OT 자산을 식별할 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 의하면, ICS/OT 환경의 디바이스 식별 및 운영체제 식별뿐만 아니라 ICS 프로토콜 및 ICS 어플리케이션을 식별함으로써 ICS/OT 환경의 가시성을 높여주고 자산관리의 효율성을 높일 수 있는 효과가 얻어진다.
또한, 본 발명에 따른 본 발명에 따른 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템에 의하면, ICS/OT 자산에 대한 디바이스, 운영체제, ICS 프로토콜, ICS 어플리케이션에 대한 보안취약성을 분석하고 보안위험도를 산정함으로써 ICS/OT 환경의 보안관리 수준을 높이고 보안위협에 사전 대응할 수 있는 효과가 얻어진다.
도 1은 본 발명을 실시하기 위한 ICS 네트워크 환경에 대한 구성도.
도 2는 본 발명을 실시하기 위한 전체 시스템의 구성에 대한 블록도.
도 3은 본 발명의 일실시예에 따른 핑거프린트에 사용되는 ICS 프로토콜의 패킷 구성도.
도 4는 본 발명의 일실시예에 따른 ICS 네트워크 정보 수집 및 분류 방법을 설명하는 흐름도.
도 5는 본 발명의 일실시예에 따른 ICS 네트워크 헤더를 기반으로 핑거프린트하는 방법을 설명하는 흐름도.
도 6은 본 발명의 일실시예에 따른 ICS 프로토콜 및 어플리케이션에 대한 핑거프린트하는 방법을 설명하는 흐름도.
도 7은 본 발명의 일실시예에 따른 클러스터링 기반으로 ICS 핑거프린트를 추적하는 방법을 설명하는 흐름도.
도 8은 본 발명의 일실시예에 따른 ICS 핑거프린트 정보를 기반으로 보안취약성 및 보안위험을 분석하는 방법을 설명하는 흐름도.
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 ICS 네트워크 환경에 대한 구성을 도 1을 참조하여 설명한다.
도 1에서 보는 바와 같이, 본 발명을 실시하기 위한 ICS 네트워크 환경은 ICS 현장에서 실행되는 현장장치(400), 현장장치(400)를 제어하는 제어장치(300), 제어장치(300)를 통제하는 운영장치(200), 네트워크를 연결하고 미러링하기 위한 네트워크 장치(500), 및, ICS 네트워크 핑거프린트 및 보안위협분석 시스템(100)으로 구성된다.
먼저, 현장 장치(400)는 센서, 액츄에이터 등 산업 시설 현장에 설치되는 장치이다. 제어장치(300)는 현장 장치를 제어하는 장치로서, 바람직하게는, PLC(Programmable Logic Controller), DCS(Distributed Control System), RTU(Remote Terminal Unit) 등으로 구성된다. 또한, 제어장치(300)는 운영장치(200)로부터 제어 명령을 받아 현장 장치를 제어하고, 현장 장치로부터 운영 정보를 받아 운영장치(200)로 전달하고 보고하는 기능을 수행한다.
다음으로, 운영장치(200)는 제어장치(300)를 제어하는 장치로서, HMI(Human Machine Interface), EWS(Engineering Workstation) 등으로 구성된다. 즉, 운영장치(200)는 제어장치(300)에 제어명령을 내리거나, 제어장치(300)로부터 현장장치의 운영 정보를 수집하여 모니터링한다. 한편, 운영장치(200)와 제어장치(300) 또는 제어장치(300)와 현장장치(400)는 산업용 스위치 등 네트워크 장치(500)를 통하여 연결되고 산업 제어 시스템(ICS, Industrial Control System) 프로토콜을 이용하여 통신한다.
다음으로, ICS 네트워크 핑거프린트 및 보안위협 분석 시스템(100)은 산업용 스위치 등 네트워크 장치(500)의 SPAN(Switched Port Analyzer) 포트 미러링(Port Mirroring), 또는 탭(TAP, Network Test Access Point) 장비에서 패스브 모니터링(Passive Monitoring)을 통해 ICS 패킷을 수집하고 이를 기반으로 운영체제 및 어플리케이션에 대한 핑거프린트 정보를 분석하고 보안위협을 분석한다.
다음으로, 본 발명을 실시하기 위한 전체 시스템의 구성을 도 2를 참조하여 설명한다.
도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 ICS 네트워크 핑거프린트 및 보안위협 분석 시스템(100)은 ICS 네트워크 정보 수집 및 분류부(110), ICS 네트워크 헤더 기반 핑거프린트부(120), ICS 프로토콜/어플리케이션 핑거프린트부(130), 클러스터링 기반 ICS 핑거프린트 추적부(140), ICS 핑거프린트 정보 기반 보안위협 분석부(150) 구성된다.
먼저, ICS 네트워크 정보 수집 및 분류(110)는 ICS/OT 네트워크 환경에서 산업용 스위치 등 네트워크 장치(500)의 SPAN(Switched Port Analyzer) 포트 또는 탭(TAP, Network Test Access Point) 장비로부터 미러링(Mirroring)을 통해 패스브 모니터링(Passive Monitoring)을 수행하고 모니터링된 ICS 패킷을 수집하고 ICS 프로토콜별로 패킷을 분류한다.
ICS 네트워크 헤더 기반 핑거프린트부(120)는 Ethernet, IP/TCP, IP/UDP, IP/ICMP 헤더의 필드 정보를 기반으로 디바이스 정보인 MAC 벤더를 식별하고 운영체제를 식별하여 핑거프린트 정보로 저장한다.
ICS 프로토콜/어플리케이션 핑거프린트부(130)는 ICS 어플리케이션 헤더 정보를 기반으로 ICS 프로토콜을 식별하고 ICS 어플리케이션 페이로드 정보를 기반으로 어플리케이션 Product에 대한 정보를 추출하여 핑거프린트 정보로 저장한다.
클러스터링 기반 ICS 핑거프린트 추적부(140)는 기 구축된 핑거프린트 정보나 학습 기간동안 학습된 핑거프린트 정보를 기반으로 ICS 핑거프린트 클러스터링 정보를 구축하고 수집 기간 동안 수집된 ICS 프로토콜에 대해 학습된 ICS 핑거프린트 클러스터링 정보와 매핑하고 핑거프린트 정보가 확정되지 않은 ICS 프로토콜의 경우 핑거프린트 정보를 추적하여 가장 근접하는 핑거프린트 정보와 매핑하는 기능을 수행한다.
ICS 핑거프린트 정보 기반 보안위협 분석부(150)는 매핑되거나 추적된 핑거프린트 정보를 기반으로 CPE(Common Platform Enumeration) 정보를 구성하고 CPE에 매핑되는 CVE(Common Vulnerabilities and Exposures)를 찾아 보안취약성 정보로 매핑하고 CVE를 기반으로 CVSS(Common Vulnerability Scoring System)를 찾아 보안위협 정보로 매핑한다.
본 발명의 일실시예에 따른 핑거프린트에 사용되는 ICS 프로토콜의 패킷 구성을 도 3을 참조하여 설명한다.
도 3에서 보는 바와 같이, 본 발명의 일실시예에 따른 핑거프린트에 사용되는 ICS 프로토콜의 패킷 구성은 Ethernet 상위 제어프로토콜(S101), Ethernet/LLC 상위 제어프로토콜(S102), TCP/UDP 상위 제어프로토콜(S103), OSI 상위 제어프로토콜(S104)를 포함하며 추가로 ICMP 패킷을 포함한다.
먼저, Ethernet 상위 제어프로토콜(S101)은 이더넷 헤더, ICS 헤더, ICS 페이로드로 구성되며 EtherCAT, QOOSE 프로토콜 등이 여기에 포함된다.
Ethernet/LLC 상위 제어프로토콜(S102)은 이더넷 헤더, LLC 헤더, ICS 헤더, ICS 페이로드로 구성되며 Emerson 프로토콜 등이 여기에 포함된다.
TCP/UDP 상위 제어프로토(S103)콜은 이더넷 헤더, IP 헤더, TCP 또는 UDP 헤더, ICS 헤더, ICS 페이로드로 구성되며 Modbus/TCP, EtherNet/IP 등이 여기에 포함된다.
OSI 상위 제어프로토콜(S104)은 이더넷 허더, IP 헤더, TCP 또는 UDP 헤더, OSI 헤더(COTP, Session, Presentation 헤더 등), ICS 헤더, ICS 페이로드로 구성되며 MMS 등이 여기에 포함된다.
추가적으로 HHTP/HTTPS, FTP/SFTP, SNMP, SMB, DBCP 프로토콜 등은 ICS 네트워크에서 사용되는 IT 분야의 TCP/IP 프로토콜(S105)과 ICMP 프로토콜(S106)을 포함한다.
본 발명의 일실시예에 따른 ICS 네트워크 정보 수집 및 분류 방법을 도 4를 참조하여 설명한다.
도 4에서 보는 바와 같이, 본 발명의 일실시예에 따른 ICS 네트워크 정보 수집 및 분류 방법으로 먼저, ICS 스위치 SPAN 포트 또는 탭(TAP) 장비를 통해 네트워크 패킷을 미러링(Mirroring)하여 정보를 수집(S301)한다.
다음으로 MAC 주소와 IP 주소를 기반으로 패킷을 분류(S302)한다. 여기서 MAC/IP 기반 패킷 분류는 하나의 시스템을 기준으로 발생하는 여러 형태의 ICS 네트워크 트래픽을 같은 종류의 클러스터로 묶기 위해 사용된다.
다음으로 MAC 정보가 수집되면 ICS 디바이스 정보로 MAC 벤더 정보 DB와 매핑하여 디바이스 정보를 핑거프린트 정보로 저장(S303)한다.
다음으로 Ethernet 헤더 다음으로 IP 헤더가 있는지 판별(S304)하고 IP 헤더가 있으면 ICS 네트워크 헤더 기반 핑거프린트 단계를 수행하고 IP 헤더가 없으면 어플리케이션 서비스를 분석한다.
마지막으로 어플리케이션 서비스가 있는지를 판별(S305)하여 어플리케이션 서비스가 없으면 종료하고 어플리케이션 서비스가 있으면 ICS 프로토콜 및 어플리케이션 핑거프린트 단계를 수행한다.
본 발명의 일실시예에 따른 ICS 네트워크 헤더 기반으로 핑거프린트 방법을 도 5를 참조하여 설명한다.
도 5에서 보는 바와 같이, 본 발명의 일실시예에 따른 ICS 네트워크 헤더 기반 핑거프린트 방법은 먼저, TCP 패킷인지, UDP 패킷 인지, ICMP 패킷인지 판별(S401)하고 TCP, UDP, ICMP 패킷이 아니면 종료한다.
TCP, UDP, ICMP 패킷이면 IP/UDP 헤더 정보를 기반으로 기존 핑거프린트 정보 DB와 비교하여 운영체제에 대한 핑거프린트 정보를 식별(S402)하고, IP/TCP 헤더 정보를 기반으로 기존 핑거프린트 정보 DB와 비교하여 운영체제에 대한 핑거프린트 정보를 식별(S403)하고, IP/ICMP 헤더 정보를 기반으로 기존 핑거프린트 정보 DB와 비교하여 운영체제에 대한 핑거프린트 정보를 식별(S404)한다.
또한 IP/UDP 헤더에 기반한 핑거프린트 식별 정보(S402), IP/TCP 헤더에 기반한 핑거프린트 식별 정보(S403), IP/ICMP 헤더 정보에 기반한 핑거프린트 식별 정보(S404)를 종합하여 가장 근접한 운영체제를 핑거프린트 정보로 결정(S405)한다.
ICS 네트워크 헤더 기반 핑거프린트 정보가 결정되면 상위 어플리케이션 서비스가 있는지 판별(S406)한다. 상위 어플리케이션 서비스가 없으면 종료하고 상위 어플리케이션 서비스가 있으면 ICS 프로토콜 및 어플리케이션 핑거프린트 단계를 수행한다.
본 발명의 일실시예에 따른 ICS 프로토콜 및 어플리케이션에 대한 핑거프린트 방법을 도 6을 참조하여 설명한다.
도 6에서 보는 바와 같이, 본 발명의 일실시예에 따른 ICS 프로토콜 및 어플리케이션 핑거프린트 방법은 먼저, 어플리케이션 서비스를 식별(S501)한다.
어플리케이션 서비스가 ICS 프로토콜인지 판별(S502)하여 IT 프로토콜이면 IT 어플리케이션 서비스를 식별(S503)하고 배너 그래빙(Banner Grabbing) 기반으로 어플리케이션 핑거프린트 정보를 추출(S504)하고 클러스터링 기반 핑거프린트 단계를 수행한다.
ICS 프로토콜 패킷이면 ICS 제어 프로토콜 헤더를 분석하여 EtherNet/IP, EtherCAT, Modbus/TCP, S7Comm, MMS, DNP3, QOOS 등 산업용 이더넷 프로토콜을 식별하고 제어프로토콜 헤더에 포함된 호스트 정보 및 ICS 프로토콜의 통신 형태를 핑거프린트 정보로 추출(S505)한다.
다음으로 ICS 제어 프로토콜별 페이로드에서 요청(Request) 및 응답(Response)를 분석하여 페이로드를 분류하고 시스템 정보 요청(Request) 패킷에 대한 응답(Respose) 패킷에서 어플리케이션 핑거프린트 관련 정보를 추출(S506)한다.
핑거프린트 정보가 있는지 판별(S507)하여 핑거프린트 정보가 없으면 클러스터링 기반 핑거프린트 단계를 수행하고 핑거프린트 정보가 있으면 ICS 제어 어플리케이션 핑거프린트 정보로 저장(S508)하고 클러스터링 기반 핑거프린트 단계를 수행한다.
본 발명의 일실시예에 따른 클러스터링 기반으로 ICS 핑거프린트를 추적하는 방법을 도 7을 참조하여 설명한다.
도 7에서 보는 바와 같이, 본 발명의 일실시예에 따른 클러스터링 기반 ICS 핑거프린트를 추적하는 방법은 먼저 학습 기간 동안 ICS/OT 네트워크 환경에서 패킷을 수집(S601)하고 수집된 패킷을 대상으로 핑거프린트가 확정된 프로토콜 패킷인지를 판별(S602)한다.
핑거프린트가 확정된 프로토콜 패킷이 아니면 학습에서 제외하고 핑거프린트가 확정된 프로토콜 패킷이면 핑거프린트된 프로토콜에서 피쳐를 추출(S503)한다.
다음으로 시스템별 피처가 추출된 통신 패턴을 클러스터링 알고리즘을 사용하여 학습(S504)하여 분류한다.
관측 기간 동안 ICS 네트워크 정보 수집 및 분류, ICS 네트워크 헤더 기반 핑거프린트, ICS 프로토콜/어플리케이션 기반 핑거프린트를 거쳐 관측 기간 동안 수집된 패킷에 대한 피처를 추출(S605)한다.
다음으로 관측 기간 동안 수집된 패킷에 대해 시스템별 피처가 추출된 통신 패컨을 클러스터링 알고리즘을 사용하여 분류(S606)한다.
학습된 클러스터링 정보와 관측된 클러스터링 정보를 비교(S507)하여 일치하는 클러스터링 정보가 있는지 판별(S608)한다.
일치하는 클러스터링 정보가 있으면 핑거프린트 정보를 확정(S609)하고 보안취약성 및 보안위험 단계를 수행하며 일치하는 클러스터링 정보가 없으면 거리가 가장 가까운 클러스터링 정보로 핑거프린트 정보를 결정(S61)하고 보안취약성 및 보안위험 분석 단계를 수행한다.
본 발명의 일실시예에 따른 ICS 핑거프린트 정보를 기반으로 보안위험을 분석하는 방법을 도 7을 참조하여 설명한다.
도 7에서 보는 바와 같이, 본 발명의 일실시예에 따른 클러스터링 기반 ICS 핑거프린트를 추적하는 방법은 먼저 디바이스 정보, 운영체제 정보, 어플리케이션 정보로 구성된 핑거프린트 정보에 기반하여 CPE(Common Platform Enumeration) 정보를 구성(S701)한다.
CPE의 디바이스 정보를 기반으로 CVE(Common Vulnerabilities and Exposures) 보안취약성 정보와 매핑(S702)하고 CPE의 운영체제 정보를 기반으로 CVE 보안취약성 정보와 매핑(S703)하며 CPE의 어플리케이션 정보를 기반으로 CVE 보안취약성 정보와 매핑(S704)한다.
보안취약성 정보인 CVE 정보가 구성되면 CVE 정보를 기반으로 CVSS(Common Vulnerability Scoring System)를 계산하여 보안위험도를 산정(S705)한다.
추가적으로 관측 기간 동안 모니터링된 열린 통신 포트에 대해 취약성 정보를 매핑(S706)한다.
이상, 첨부된 도면을 참조하여 본 개시에 따른 실시 예들을 설명하였지만, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 이상에서 기술한 실시 예는 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해하여야 한다.
100 : ICS 핑거프린트 및 보안위협 분석 시스템
200 : HMI, EWS, Historian, EWS 등 운영장치
300 : PLC, RTU 등 제어장치
400 : 센서, 액츄에이터 등 현장장치
500 : 스위치 SPAN, 탭 등 네트워크 미러링 장치
110 : ICS 네트워크 정보 수집 및 분류부
120 : ICS 네트워크 헤더 기반 핑거프린트부
130 : ICS 프로토콜/어플리케이션 기반 핑거프린트부
140 : 클러스트링 기반 ICS 핑거프린트부
150 : ICS 핑거프린트 정보 기반 보안위협 분석부

Claims (10)

  1. ICS(Industrial Control System)/OT(Operation Technology) 네트워크 환경에서,
    네트워크 미러링을 통해 ICS 네트워크 패킷을 수집하고 ICS 프로토콜별로 패킷을 분류하는 ICS 네트워크 정보 수집 및 분류부;
    ICS 네트워크 프로토콜 헤더를 기반으로 디바이스 정보 및 운영체제 정보를 핑거프린트 정보로 수집하는 ICS 네트워크 헤더 기반 핑거프린트부;
    ICS 어플리케이션 프로토콜의 ICS 어플리케이션 헤더와 ICS 어플리케이션 페이로드 기반으로 ICS 어플리케이션 정보를 핑거프린트 정보로 수집하는 ICS 프로토콜/어플리케이션 핑거프린트부;
    학습된 핑거프린트 정보를 기반으로 구축된 ICS 핑거프린트 클러스터링 정보를 기반으로 핑거프린트 정보가 확정되지 않은 ICS 프로토콜의 핑거프린트 정보를 추적하는 클러스터링 기반 ICS 핑거프린트 추적부; 및,
    매핑되거나 추적된 핑거프린트를 기반으로 CPE(Common Platform Enumeration) 정보를 구성하고 보안위험도 산정을 통해 보안위협을 분석하는 ICS 핑거프린트 기반 보안위협 분석부를 포함하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  2. 제1항에 있어서,
    상기 ICS 네트워크 정보 수집 및 분류부는 액티브 스캔(Active Scan) 기술을 사용하지 않고 네트워크 스위치 SPAN 포트 또는 네트워크 MIRROR 만을 사용하여 패시브 모니터링(Passive Monitoring)만으로 ICS 네트워크 정보를 수집하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  3. 제2항에 있어서,
    상기 ICS 네트워크 정보 수집 및 분류부는 핑거프린트에 사용되는 ICS 프로토콜 패킷은 Ethernet 계층 상위 제어프로토콜 패킷, Ethernet/LLC 계층 상위 제어프로토콜 패킷, TCP/UDP 상위 제어프로토콜 패킷, TCP/UDP/OSI 계층 상위 제어프로토콜 패킷 및 IP/ICMP 패킷을 대상으로 하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  4. 제1항에 있어서,
    상기 ICS 네트워크 헤더 기반 핑거프린트부는 ICS 네트워크 프로토콜 헤더에서 MAC 헤더, IP/TCP 헤더, IP/UDP 헤더, IP/ICMP 헤더를 대상으로 디바이스 정보 및 운영체제 정보에 대한 핑거프린트 정보를 수집하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  5. 제1항에 있어서,
    상기 ICS 프로토콜/어플리케이션 핑거프린트부는 IT 어플리케이션 프로토콜인 경우 어플리케이션별 배너 정보를 기반으로 배너 그래빙(Banner Grabbing)을 수행하여 어플리케이션 핑거프린트 정보를 추출하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  6. 제1항에 있어서,
    상기 ICS 프로토콜/어플리케이션 핑거프린트부는 ICS 어플리케이션 프로토콜의 ICS 어플리케이션 헤더를 분석하여 호스트 정보 및 ICS 프로토콜 통신 형태를 핑거프린트 정보로 추출하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  7. 제1항에 있어서,
    상기 ICS 프로토콜/어플리케이션 핑거프린트부는 ICS 어플리케이션 프로토콜의 ICS 어플리케이션 페이로드에서 질의(Request)와 응답(Response)를 분석하여 페이로드를 분류하고 시스템 정보 질의(Request) 패킷에 대한 응답(Response) 패킷을 분석하여 어플리케이션 핑거프린트 정보로 추출하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템.
  8. 제1항에 있어서,
    상기 클러스터링 기반 ICS 핑거프린트 추적부는 기존 액티브 핑거프린트 기술로 학습된 운영체제 핑거프린트 DB와 학습 기간 동안 학습된 ICS 어플리케이션 핑거프린트 DB를 대상으로 ICS 핑거프린트 클러스터링 정보를 구축하고 관측 기간 동안 수집된 ICS 프로토콜의 클러스터링 정보를 비교하여 매핑하고, 핑거프린트가 확정되지 않은 ICS 시스템 및 프로토콜에 대해 클러스터링 정보를 기반으로 ICS 핑거프린트 정보를 추적하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린팅 및 보안위협 분석 시스템.
  9. 제1항에 있어서,
    상기 ICS 핑거프린트 기반 보안취약성 분석부는 추적된 핑거프린트 정보로 디바이스 정보, 운영체제 정보, 어플리케이션 정보를 CPE(Common Platform Enumeration) 정보로 구성하고 CPE 정보를 기반으로 CVE(Common Vulnerabilities and Exposures) 정보와 매핑하여 보안취약점을 분석하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린팅 및 보안위협 분석 시스템.
  10. 제9항에 있어서,
    상기 ICS 핑거프린트 기반 보안취약성 분석부는 디바이스 CVE, 운영체제 CVE, 어플리케이션 CVE에 기반하여 CVSS(Common Vulnerability Scoring System) 보안위험도를 산출하여 보안위협을 분석하는 것을 특징으로 하는 ICS/OT 네트워크에 대한 패시브 핑거프린팅 및 보안위협 분석 시스템.

KR1020210163938A 2021-11-25 2021-11-25 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템 KR102624946B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210163938A KR102624946B1 (ko) 2021-11-25 2021-11-25 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210163938A KR102624946B1 (ko) 2021-11-25 2021-11-25 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템

Publications (2)

Publication Number Publication Date
KR20230077073A true KR20230077073A (ko) 2023-06-01
KR102624946B1 KR102624946B1 (ko) 2024-01-15

Family

ID=86771121

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210163938A KR102624946B1 (ko) 2021-11-25 2021-11-25 Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템

Country Status (1)

Country Link
KR (1) KR102624946B1 (ko)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018074512A (ja) * 2016-11-02 2018-05-10 富士通株式会社 パケットキャプチャプログラム、パケットキャプチャ装置及びパケットキャプチャ方法
KR101859562B1 (ko) * 2016-11-11 2018-05-21 한국인터넷진흥원 취약점 정보 분석 방법 및 장치
KR101888831B1 (ko) 2017-11-07 2018-08-16 한국인터넷진흥원 디바이스 정보 수집 장치 및 그 방법
KR102052035B1 (ko) 2018-01-29 2020-01-08 주식회사 안랩 디바이스의 정보 획득 장치 및 방법
KR102079687B1 (ko) * 2019-07-12 2020-02-20 한화시스템(주) 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2018074512A (ja) * 2016-11-02 2018-05-10 富士通株式会社 パケットキャプチャプログラム、パケットキャプチャ装置及びパケットキャプチャ方法
KR101859562B1 (ko) * 2016-11-11 2018-05-21 한국인터넷진흥원 취약점 정보 분석 방법 및 장치
KR101888831B1 (ko) 2017-11-07 2018-08-16 한국인터넷진흥원 디바이스 정보 수집 장치 및 그 방법
KR102052035B1 (ko) 2018-01-29 2020-01-08 주식회사 안랩 디바이스의 정보 획득 장치 및 방법
KR102079687B1 (ko) * 2019-07-12 2020-02-20 한화시스템(주) 공격 그래프 기반의 사이버 위협 예측 시스템 및 그 방법

Also Published As

Publication number Publication date
KR102624946B1 (ko) 2024-01-15

Similar Documents

Publication Publication Date Title
US10320619B2 (en) Method and system for discovery and mapping of a network topology
US20220086064A1 (en) Apparatus and process for detecting network security attacks on iot devices
US20150341380A1 (en) System and method for detecting abnormal behavior of control system
KR102028093B1 (ko) 네트워크에 대한 이상행위 탐지 방법 및 이를 이용한 장치
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
EP2612481B1 (en) Method and system for classifying traffic
KR102001813B1 (ko) Dnn 알고리즘을 이용한 비표준 프로토콜 페이로드 이상행위 탐지 장치 및 방법
KR102001812B1 (ko) K-means 알고리즘을 이용한 기기간 통신 화이트리스트 생성 장치 및 방법
Segura et al. Centralized and distributed intrusion detection for resource-constrained wireless SDN networks
KR101528928B1 (ko) 플로우 및 세션 기반의 네트워크 트래픽 관리 장치 및 그 방법
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
CN104901850A (zh) 一种恶意代码终端感染机器网络定位方法
CN114221804B (zh) 一种基于特征识别和交互验证的蜜罐识别方法
Tantar et al. Cognition: A tool for reinforcing security in software defined networks
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
US20150229659A1 (en) Passive detection of malicious network-mapping software in computer networks
KR102624946B1 (ko) Ics/ot 네트워크에 대한 패시브 핑거프린트 및 보안위협 분석 시스템
EP2112800B1 (en) Method and system for enhanced recognition of attacks to computer systems
US20230199005A1 (en) Method and apparatus for detecting network attack based on fusion feature vector
CN115065519B (zh) 分布式边端协同的DDoS攻击实时监测方法
Rinaldi et al. Softwarization of SCADA: lightweight statistical SDN-agents for anomaly detection
Kumar et al. Intelligent ddos detection system in software-defined networking (sdn)
KR100571994B1 (ko) 근원지 아이피 주소 변조 패킷의 탐지 및 패킷 근원지지적 방법
Nakamura et al. Malicious host detection by imaging SYN packets and a neural network
KR102037192B1 (ko) 계층적 구조 학습을 통한 네트워크 트래픽의 지속적인 신호 트래픽 탐지 장치 및 방법

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant