| 1 |
1
기지정된 정상 행위 학습 기간 동안 산업 제어 네트워크에서 전송되는 패킷들을 수집하고, 상기 수집된 패킷들에 대해 정상 패킷 검증 후, 검증된 정상 패킷을 기반으로 화이트리스트와 적어도 하나의 개별 패킷 모델, 적어도 하나의 패턴 라이브러리 및 적어도 하나의 트래픽 모델을 획득하는 패킷 학습부; 상기 패킷 학습부에서 획득된 상기 화이트리스트와 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델을 저장하는 데이터베이스부; 상기 정상 행위 학습 기간 이후, 상기 산업 제어 네트워크에서 전송되는 상기 패킷들을 수집하고, 수집된 상기 패킷들을 상기 데이터베이스부에 저장된 상기 화이트리스트와 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델과 비교하여 산업 제어 네트워크 상의 비정상 행위를 탐지하는 패킷 검사부; 상기 패킷 학습부 및 상기 패킷 검사부로부터 상기 패킷들을 인가받아 플로우/프로토콜 단위로 해석 및 분류하는 공통 전처리부; 상기 공통 전처리부에서 분류된 패킷들을 인가받아 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델 각각에 대응할 수 있도록 기설정된 3가지 방식으로 전처리하여, 상기 패킷 학습부 및 상기 패킷 검사부로 전송하는 병렬 전처리부; 를 포함하고, 상기 병렬 전처리부는 상기 공통 전처리부에서 분류되어 인가된 상기 패킷들을 플로우/프로토콜 단위로 나누고, 상기 패킷의 필드 선택 및 정규화하는 개별 패킷 전처리부; 상기 공통 전처리부에서 분류되어 인가된 상기 패킷들을 개별 노드 및 프로토콜 단위로 나누고, 기설정된 패턴 탐색 알고리즘을 이용하여 수신된 상기 패킷들로부터 패킷 패턴을 추출하는 패킷 패턴 전처리부; 및 상기 공통 전처리부에서 분류되어 인가된 상기 패킷들로부터 상기 산업 제어 네트워크의 트래픽 특징을 분석할 수 있도록 기설정된 시간 단위의 패킷 수, 패킷 평균 크기, 프로토콜 별 패킷 개수를 계산하여 데이터 셋을 생성하는 트래픽 전처리부; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 2 |
2
삭제
|
| 3 |
3
삭제
|
| 4 |
4
제1 항에 있어서, 상기 패킷 패턴 전처리부는 상기 패킷들 중 임의의 i번째 패킷을 패턴 탐색 시작 위치로 설정하고, 상기 패턴 탐색 시작 위치의 패킷으로부터 패턴 길이(n)을 2부터 1씩 순차적으로 증가시키면서 상기 패킷들의 반복 패턴을 탐색하며, 상기 반복 패턴이 발견된 경우에, 상기 시작 위치 패킷 다음 패킷부터 다시 상기 반복 패턴을 탐색하여, 이전 발견된 패턴이 부분 반복 패턴인지 여부를 판단하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 5 |
5
제1 항에 있어서, 상기 패킷 학습부는 상기 정상 행위 학습 기간 동안 상기 산업 제어 네트워크에서 전송되는 상기 패킷들을 학습 패킷으로 수집하는 학습 패킷 수집부; 상기 학습 패킷 수집부에서 수집된 상기 학습 패킷들을 검사하여, 상기 산업 제어 네트워크의 정상 환경에서 획득된 학습 패킷인지 판별하는 패킷 검증부; 상기 패킷 검증부에서 검증된 상기 학습 패킷들을 분석하여 정상 패킷에 대한 규칙을 획득하고, 획득된 규칙들로부터 상기 화이트리스트를 생성하여 상기 데이터베이스부에 저장하는 화이트리스트 생성부; 및 상기 병렬 전처리부에서 전처리된 상기 패킷들을 개별 패킷 단위, 패킷 패턴 및 트래픽 단위로 학습하여 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델을 획득하여 상기 데이터베이스부에 저장하는 학습 모델 생성부; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 6 |
6
제5 항에 있어서, 상기 패킷 검증부는 상기 학습 패킷들에서 에러 메시지 수, 충돌 프레임 수, 재전송 패킷 수, 비정상 형식(mal-formed) 패킷 수, 비정상 크기의 패킷 수 중 적어도 하나를 계산하고, 계산된 비정상 패킷의 수의 합 비율이 전체 패킷 대비 기설정된 비율이상이면, 상기 학습 패킷 수집부로 상기 학습 패킷을 다시 수집할 것을 요청하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 7 |
7
제5 항에 있어서, 상기 학습 모델 생성부는 상기 개별 패킷 전처리부로부터 전처리된 복수개의 상기 개별 패킷을 수신하고, 수신된 상기 개별 패킷 각각을 EM(Expectation Maximization) 알고리즘을 적용하여 그룹화하고, 그룹화로 생성된 적어도 하나의 개별 패킷 그룹 각각을 OCSVM(One-class SVM) 알고리즘을 통해 상기 개별 패킷 모델로 생성하는 개별 패킷 학습부; 상기 패킷 패턴 전처리부로부터 전처리되어 추출된 상기 패킷 패턴의 특성과 빈도수를 상기 적어도 하나의 패턴 라이브러리로 생성하는 패턴 라이브러리 생성부; 및 상기 트래픽 전처리부에서 인가되는 기설정된 시간 단위의 상기 데이터 셋 각각을 상기 EM 알고리즘을 적용하여 그룹화 하고 상기 OCSVM 알고리즘을 이용해 상기 적어도 하나의 트래픽 모델로 생성하는 트래픽 학습부; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 8 |
8
제7 항에 있어서, 상기 패킷 검사부는 상기 정상 행위 학습 기간 이후, 상기 산업 제어 네트워크에서 전송되는 상기 패킷들을 수집하는 검사 패킷 수집부; 상기 검사 패킷 수집부에서 수집된 상기 패킷들에 대해 상기 데이터베이스부에 저장된 상기 화이트리스트를 이용하여 검사하고, 정상 패킷들을 상기 전처리부로 전송하는 화이트리스트 검사부; 상기 병렬 전처리부에서 전처리된 상기 패킷들을 상기 데이터베이스부에 저장된 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델과 비교하여 비정상도를 검사하는 검사부; 및 상기 비정상도에 따라 상기 산업 제어 네트워크 상에 비정상 행위가 발생하였는지 여부를 판별하는 비정상 행위 판별부; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 9 |
9
제8 항에 있어서, 상기 검사부는 상기 개별 패킷 전처리부에서 인가되는 상기 개별 패킷을 상기 데이터베이스부에 저장된 상기 적어도 하나의 개별 패킷 모델과 비교하여, 가장 유사한 개별 패킷 모델과의 차이를 개별 패킷 비정상도로 계산하는 개별 패킷 검사부; 상기 패킷 패턴 전처리부에서 인가되는 상기 패킷 패턴을 상기 데이터베이스부에 저장된 상기 적어도 하나의 패턴 라이브러리의 패턴 및 빈도수와 비교하여 기저장된 상기 적어도 하나의 패턴 라이브러리와의 패턴 차이를 패킷 패턴 비정상도로 계산하는 패킷 패턴 검사부; 및 상기 트래픽 전처리부로부터 인가되는 상기 데이터 셋을 트래픽 모델 저장부에 저장된 적어도 하나의 트래픽 모델 중 가장 유사한 트래픽 모델과의 차이를 트래픽 비정상도로 계산하는 트래픽 검사부; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 10 |
10
제9 항에 있어서, 상기 비정상 행위 판별부는 수치화된 상기 개별 패킷 비정상도와 상기 패킷 패턴 비정상도 및 상기 트래픽 비정상도를 수신하여 기설정된 방식으로 계산하여 최종 비정상 점수를 산출하고, 상기 최종 비정상 기설정된 기준값 이상이면 상기 비정상 행위가 탐지된 것으로 판별하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 11 |
11
제8 항에 있어서, 상기 패킷 검사부는 상기 화이트리스트 검사부에서 비정상으로 판별된 상기 패킷들을 수신 및 분석하고, 상기 데이터베이스부에 저장된 상기 화이트리스트에 포함할지 여부를 판별하여 상기 화이트리스트를 업데이트 하는 화이트리스트 업데이트부; 를 더 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 12 |
12
제9 항에 있어서, 상기 데이터베이스부는 상기 화이트리스트 생성부에서 생성된 상기 화이트리스트를 수신하여 저장하고, 저장된 상기 화이트리스트를 상기 화이트리스트 검사부로 제공하는 화이트리스트 데이터베이스; 및 상기 학습 모델 생성부에서 생성된 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델을 수신하고, 저장된 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델를 상기 검사부로 제공하는 검사 데이터베이스; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 시스템
|
| 13 |
13
패킷 학습부, 데이터베이스부, 패킷 검사부 및 전처리부를 포함하는 비정상 행위 탐지 시스템의 비정상 행위 탐지 방법에 있어서, 상기 패킷 학습부가 기지정된 정상 행위 학습 기간 동안 산업 제어 네트워크에서 전송되는 패킷들을 수집하고, 상기 수집된 패킷들에 대해 정상 패킷 검증 후, 검증된 정상 패킷을 기반으로 화이트리스트와 적어도 하나의 개별 패킷 모델, 적어도 하나의 패턴 라이브러리 및 적어도 하나의 트래픽 모델을 획득하여 상기 데이터베이스부에 저장하는 정상 행위 학습 단계; 및 상기 패킷 검사부가 상기 정상 행위 학습 기간 이후, 상기 산업 제어 네트워크에서 전송되는 상기 패킷들을 수집하고, 수집된 상기 패킷들을 상기 데이터베이스부에 저장된 상기 화이트리스트와 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델과 비교하여 산업 제어 네트워크 상의 비정상 행위를 탐지하는 네트워크 검사 단계; 를 포함하고,상기 정상 행위 학습 단계는 상기 패킷 학습부가 상기 정상 행위 학습 기간 동안 산업 제어 네트워크에서 전송되는 패킷들을 수집하는 단계; 상기 패킷 학습부가 수집된 상기 패킷들을 검사하여, 상기 산업 제어 네트워크의 정상 환경에서 획득된 패킷들인지 판별하는 단계; 상기 정상 환경에서 획득된 패킷들인 것으로 판별되면, 상기 패킷 학습부가 패킷들을 분석하여 정상 패킷에 대한 규칙을 획득하고, 획득된 규칙들로부터 상기 화이트리스트를 생성하여 상기 데이터베이스부에 저장하는 단계; 상기 전처리부가 상기 패킷 학습부로부터 상기 정상 환경에서 획득된 것으로 판별된 상기 패킷들을 인가받아 플로우/프로토콜 단위로 해석 및 분류하는 단계; 상기 전처리부가 분류된 상기 패킷들을 플로우/프로토콜 단위로 나누고, 상기 패킷의 필드 선택 및 정규화하는 개별 패킷 전처리 단계; 상기 전처리부가 분류된 상기 패킷들을 개별 노드 및 프로토콜 단위로 나누고, 기설정된 패턴 탐색 알고리즘을 이용하여 수신된 상기 패킷들로부터 패킷 패턴을 추출하는 패킷 패턴 전처리 단계; 상기 전처리부가 분류된 상기 패킷들로부터 상기 산업 제어 네트워크의 트래픽 특징을 분석할 수 있도록 기설정된 시간 단위의 패킷 수, 패킷 평균 크기, 프로토콜 별 패킷 개수를 계산하여 데이터 셋을 생성하는 트래픽 전처리 단계; 및 상기 패킷 학습부가 전처리된 상기 패킷들을 수신하고, 개별 패킷 단위, 패킷 패턴 및 트래픽 단위로 학습하여 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델을 획득하여 상기 데이터베이스부에 저장하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 14 |
14
삭제
|
| 15 |
15
삭제
|
| 16 |
16
삭제
|
| 17 |
17
제13 항에 있어서, 상기 패킷 패턴 전처리 단계는 상기 패킷들 중 임의의 i번째 패킷을 패턴 탐색 시작 위치로 설정하는 단계; 상기 패턴 탐색 시작 위치의 패킷으로부터 패턴 길이(n)을 2부터 1씩 순차적으로 증가시키면서 상기 패킷들의 반복 패턴을 탐색하는 단계; 및 상기 반복 패턴이 발견되면, 상기 시작 위치 패킷 다음 패킷부터 다시 상기 반복 패턴을 탐색하여, 이전 발견된 패턴이 부분 반복 패턴인지 여부를 판단하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 18 |
18
제13 항에 있어서, 상기 적어도 하나의 트래픽 모델을 획득하여 상기 데이터베이스부에 저장하는 단계는 상기 개별 패킷 전처리 단계에서 전처리된 복수개의 상기 개별 패킷을 수신하고, 수신된 상기 개별 패킷 각각을 EM(Expectation Maximization) 알고리즘을 적용하여 그룹화하고, 그룹화로 생성된 적어도 하나의 개별 패킷 그룹 각각을 OCSVM(One-class SVM) 알고리즘을 통해 상기 개별 패킷 모델로 생성하는 단계; 상기 패킷 패턴 전처리 단계에서 전처리되어 추출된 상기 패킷 패턴의 특성과 빈도수를 상기 적어도 하나의 패턴 라이브러리로 생성하는 단계; 및 상기 트래픽 전처리 단계에서 획득된 상기 데이터 셋 각각을 상기 EM 알고리즘을 적용하여 그룹화 하고 상기 OCSVM 알고리즘을 이용해 상기 적어도 하나의 트래픽 모델로 생성하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 19 |
19
제13 항에 있어서, 상기 네트워크 검사 단계는 상기 정상 행위 학습 기간 이후, 상기 산업 제어 네트워크에서 전송되는 상기 패킷들을 수집하는 단계; 수집된 상기 패킷들에 대해 상기 데이터베이스부에 저장된 상기 화이트리스트를 이용하여 검사하는 단계; 상기 화이트리스트를 이용하여 검사된 상기 패킷들을 상기 전처리부가 수신하여 기설정된 방식으로 전처리하는 단계; 전처리된 상기 패킷들을 상기 데이터베이스부에 저장된 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델과 비교하여 비정상도를 검사하는 단계; 및 상기 비정상도에 따라 상기 산업 제어 네트워크 상에 비정상 행위가 발생하였는지 여부를 판별하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 20 |
20
제19 항에 있어서, 상기 전처리하는 단계는 상기 패킷 검사부로부터 상기 패킷들을 인가받아 플로우/프로토콜 단위로 해석 및 분류하는 단계; 및 분류된 상기 패킷들을 인가받아 상기 적어도 하나의 개별 패킷 모델, 상기 적어도 하나의 패턴 라이브러리 및 상기 적어도 하나의 트래픽 모델 각각에 대응할 수 있도록 기설정된 3가지 방식으로 전처리하여, 상기 패킷 검사부로 전송하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 21 |
21
제20 항에 있어서, 상기 패킷 검사부로 전송하는 단계는 상기 패킷들을 플로우/프로토콜 단위로 나누고, 상기 패킷의 필드 선택 및 정규화하는 개별 패킷 전처리 단계; 상기 패킷들을 개별 노드 및 프로토콜 단위로 나누고, 기설정된 패턴 탐색 알고리즘을 이용하여 수신된 상기 패킷들로부터 패킷 패턴을 추출하는 패킷 패턴 전처리 단계; 및 상기 패킷들로부터 상기 산업 제어 네트워크의 트래픽 특징을 분석할 수 있도록 기설정된 시간 단위의 패킷 수, 패킷 평균 크기, 프로토콜 별 패킷 개수를 계산하여 데이터 셋을 생성하는 트래픽 전처리 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 22 |
22
제21 항에 있어서, 상기 비정상도를 검사하는 단계는 상기 개별 패킷을 상기 데이터베이스부에 저장된 상기 적어도 하나의 개별 패킷 모델과 비교하여, 가장 유사한 개별 패킷 모델과의 차이를 개별 패킷 비정상도로 계산하는 단계; 상기 패킷 패턴을 상기 데이터베이스부에 저장된 상기 적어도 하나의 패턴 라이브러리의 패턴 및 빈도수와 비교하여 기저장된 상기 적어도 하나의 패턴 라이브러리와의 패턴 차이를 패킷 패턴 비정상도로 계산하는 단계; 및 상기 데이터 셋을 트래픽 모델 저장부에 저장된 적어도 하나의 트래픽 모델 중 가장 유사한 트래픽 모델과의 차이를 트래픽 비정상도로 계산하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
| 23 |
23
제22 항에 있어서, 상기 비정상 행위가 발생하였는지 여부를 판별하는 단계는 수치화된 상기 개별 패킷 비정상도와 상기 패킷 패턴 비정상도 및 상기 트래픽 비정상도를 수신하여 기설정된 방식으로 계산하여 최종 비정상 점수를 산출하는 단계; 및 상기 최종 비정상 기설정된 기준값 이상이면 상기 비정상 행위가 탐지된 것으로 판별하는 단계; 를 포함하는 것을 특징으로 하는 비정상 행위 탐지 방법
|
