1 |
1
제어망내에서 제어 시스템을 운영하는 제어 센터와 현장 제어 장치간의 시리얼 통신 구간에 연결되어 상기 제어시스템의 구성 설정 정보 및 상태 정보와 제어 프로토콜 패킷을 수집하는 시리얼 통신 모듈;상기 수집된 제어 프로토콜 패킷의 필드로부터 패킷 데이터를 추출하는 패킷 전처리 모듈;상기 수집된 제어 시스템의 구성 설정 및 상태 정보와 상기 추출된 패킷 데이터를 이용하여 정상 행위 모델링을 수행하는 정상 행위 모델링 모듈; 상기 정상 행위 모델링 모듈의 수행 결과 생성된 정상 행위 모델 정보를 저장하는 정상 행위 모델 데이터베이스; 상기 정상 행위 모델 정보가 생성된 후에, 상기 패킷 전처리 모듈에 의해 추출된 패킷 데이터와 상기 정상 행위 모델 데이터베이스에 정의된 정상 행위 모델 정보를 비교하여 이상 징후를 판단하는 이상 징후 탐지 모듈; 및 상기 패킷 전처리 모듈로부터 수신된 상기 패킷 데이터를 이용하여 제어망 상태 표현 정보를 생성하고 관리자에게 제공하는 관리자 인터페이스을 포함하는 제어망 이상 징후 탐지 장치
|
2 |
2
제1항에 있어서,상기 이상 징후 탐지 모듈로부터 이상 징후가 발생하였음을 알리는 정보를 수신하면 기설정된 이상 징후 대응 규칙에 따라 이상 징후 대응 방안 정보를 선택하는 이상 징후 대응 모듈을 더 포함하고, 상기 관리자 인터페이스는 상기 선택된 상기 이상 징후 대응 방안 정보를 관리자에게 제공하는 제어망 이상 징후 탐지 장치
|
3 |
3
삭제
|
4 |
4
제1항에 있어서, 상기 정상 행위 모델링 모듈은,상기 제어 시스템의 구성 설정 및 상태 정보를 이용하여 제어 시스템의 구성 설정 및 상태 정보를 모델링하는 구성설정 및 상태정보 모델링 모듈; 상기 추출된 패킷 데이터를 이용하여 단일 패킷내의 독립적인 필드 및 연관 필드의 데이터를 모델링하는 단일패킷기반 모델링 모듈; 및상기 추출된 패킷 데이터를 이용하여 다중 패킷간 연관 필드의 데이터를 모델링하는 다중패킷기반 모델링 모듈을 포함하는 제어망 이상 징후 탐지 장치
|
5 |
5
제1항에 있어서, 상기 이상 징후 탐지 모듈은 상기 패킷 전처리 모듈에 의해 추출된 데이터가 상기 정상 행위 모델 데이터베이스에 기 저장된 사용자 인터페이스의 상태 정보와 일치하는지를 판단하여 이상 징후를 판단하는 제어망 이상 징후 탐지 장치
|
6 |
6
삭제
|
7 |
7
제어망내에서 제어 시스템을 운영하는 제어 센터와 현장 제어 장치간의 시리얼 통신 구간에 연결되어 상기 제어 시스템의 구성 설정 및 상태 정보와 제어 프로토콜 패킷을 수집하는 단계;상기 수집된 제어 프로토콜 패킷의 필드로부터 패킷 데이터를 추출하는 단계;제어 시스템 정상 행위 모델링을 수행할지 여부를 판단하는 단계; 상기 판단 결과 정상 행위 모델링을 수행하는 것으로 판단되면 상기 제어 시스템의 구성 설정 및 상태 정보와 상기 추출된 패킷 데이터를 이용해 정상 행위 모델링을 수행하는 단계; 상기 판단 결과, 정상 행위 모델링을 수행하지 않는 것으로 판단되면, 상기 추출된 패킷 데이터와 상기 정상 행위 모델링 결과 생성된 정상 행위 모델 정보를 비교하여 이상 징후를 판단하는 단계; 및 상기 수집된 패킷 데이터를 이용하여 제어망 상태 표현 정보를 생성하고 관리자에게 제공하는 단계를 포함하는 제어망 이상 징후 탐지 방법
|
8 |
8
제7항에 있어서, 상기 제어 시스템 정상 행위 모델링을 수행할지 여부를 판단하는 단계에서, 정상행위 모델링을 처음 수행하는 경우 또는 제어 시스템의 구성설정 정보 또는 상태 정보가 변경되는 경우에 정상 행위 모델링을 수행하는 것으로 판단하는 제어망 이상 징후 탐지 방법
|
9 |
9
제7항에 있어서, 상기 정상 행위 모델링을 수행하는 단계는,상기 제어 시스템의 구성 설정 및 상태 정보를 이용하여 정상 상태 제어 시스템의 구성 설정 및 상태 정보를 모델링하는 단계; 상기 추출된 패킷 데이터를 이용하여 단일 요청 또는 응답 패킷내의 독립적인 필드 및 연관 필드에 대한 데이터 명세를 정의하는 단계; 및상기 추출된 패킷 데이터를 이용하여 단일 요청 및 응답 패킷간 연관 필드에 대한 데이터 명세를 정의하고 이를 이용하여 다중 요청 및 응답 패킷간 연관 필드에 대한 데이터 명세를 정의하는 단계를 포함하는 제어망 이상 징후 탐지 방법
|
10 |
10
제9항에 있어서,상기 이상 징후를 판단하는 단계는,상기 추출된 패킷 데이터가 상기 정의된 단일 요청 또는 응답 패킷내의 독립적인 필드 및 연관 필드에 대한 데이터 명세를 만족하는지 판단하는 단계; 상기 추출된 패킷 데이터가 상기 정의된 다중 요청 및 응답 패킷간 연관 필드에 대한 데이터 명세를 만족하는지 판단하는 단계; 및상기 수집된 제어 시스템의 구성 설정 및 상태 정보가 상기 모델링된 정상 상태 제어 시스템의 구성 설정 및 상태 정보를 만족하는지 판단하는 단계를 포함하는 제어망 이상 징후 탐지 방법
|