1 |
1
제어 네트워크를 통해 제어 설비들과 연결되는 제어 네트워크 침해사고 탐지 장치에 있어서,상기 제어 네트워크를 통해 수집되는 패킷을 파싱하여 플로우 정보를 추출하는 플로우 정보 추출부;상기 플로우 정보를 이용하여, 플로우 별로 산출된 패킷 볼륨, 패킷 개수, 접속 커넥션 수 및 패킷 전송 주기를 포함하는 플로우 테이블을 생성하는 플로우 정보 관리부;상기 플로우 테이블에 저장된 플로우 정보를 분석하여, 패킷 볼륨 변화 정보, 패킷 개수 변화 정보, 프로토콜 구성 비율 변화 정보, 패킷 전송주기 변화 정보, 평균 패킷 볼륨, 및 평균 패킷 전송 주기를 포함하는 플로우 패턴 정보를 생성하는 플로우 패턴 정보 생성부;상기 제어 네트워크를 통해 상기 제어 설비들로부터 설정정보를 수집하는 설정정보 수집부; 및상기 플로우 정보 관리부로부터 전달되는 상기 플로우 정보 및 및 상기 설정정보 수집부로부터 전달되는 상기 설정정보를 이용하여 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 판단부를 포함하며, 상기 판단부는, 상기 플로우 정보를 임계값과 비교하여 1차 판단을 수행하고, 상기 1차 판단의 수행 결과에 따라 상기 플로우 패턴 정보의 변화를 기반으로 상기 플로우 정보에 대응되는 플로우가 정상인지 여부를 판단하는 2차 판단의 수행 여부를 결정하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치
|
2 |
2
제 1 항에 있어서,상기 플로우 정보는 5-Tuple 정보를 포함하고, 상기 5-Tuple 정보는 프로토콜 정보, 소스 IP 주소, 소스 포트번호, 목적지 IP 주소, 및 목적지 포트번호를 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치
|
3 |
3
삭제
|
4 |
4
제 1 항에 있어서,상기 플로우 패턴 정보 생성부는 상기 패킷 볼륨, 상기 패킷 개수, 상기 접속 커넥션 수 및 상기 패킷 전송 주기를 시간에 따라 분석하여 상기 플로우 패턴 정보를 생성하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치
|
5 |
5
삭제
|
6 |
6
제 1 항에 있어서,상기 설정정보는 허용 소스 IP 주소, 허용 목적지 IP 주소, 허용 목적지 포트번호, 패킷 볼륨 임계값, 패킷 개수 임계값, 패킷 전송주기 최대 임계값, 패킷 전송주기 최소 임계값, 접속 커넥션 수 최대 임계값, 폐기되는 패킷 개수 임계값 및 기준 프로토콜 구성 비율을 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치
|
7 |
7
제 1 항에 있어서,상기 판단부의 판단 결과에 따라 상기 플로우가 비정상으로 판단되는 경우 경보를 발생하는 경보 발생부를 더 포함하는 것을 특징으로 하는 제어 네트워크 침해사고 탐지 장치
|
8 |
8
삭제
|
9 |
9
삭제
|
10 |
10
삭제
|
11 |
11
삭제
|
12 |
12
삭제
|
13 |
13
삭제
|
14 |
14
삭제
|