1 |
1
정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부; 및상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함하고,상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 장치
|
2 |
2
청구항 1에 있어서,상기 정상 행위 패턴화부는,상기 제1 통신 패킷을 수집하는 제 1 패킷 수집부;상기 제 1 패킷 수집부에 의하여 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리부; 상기 제 1 전처리부에 의하여 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화부; 및상기 정상 행위 그룹화부에 의하여 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습부를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
3 |
3
청구항 2에 있어서, 상기 제 1 전처리부는,하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택부;상기 단일 필드 선택부에 의하여 선택된 단일 필드를 정규화하는 단일 정규화부; 및상기 단일 정규화부에 의하여 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환부를 포함하는 단일 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
4 |
4
청구항 2에 있어서,상기 제 1 전처리부는,두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택부;상기 순서 필드 선택부에 의하여 선택된 순서 필드를 정규화하는 순서 정규화부;상기 순서 정규화부에 의하여 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합부; 및상기 순서 조합부에 의하여 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환부를 포함하는 순서 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
5 |
5
청구항 2에 있어서,상기 제 1 전처리부는,두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출부;상기 전송량 추출부에서 추출된 패킷의 필드를 정규화하는 플로우 정규화부; 및상기 플로우 정규화부에 의하여 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환부를 포함하는 플로우 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
6 |
6
청구항 4에 있어서,상기 순서 패킷 전처리부는,상기 순서 필드 선택부에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 장치
|
7 |
7
청구항 4에 있어서,상기 순서 패킷 전처리부는,IP 및 ID 값을 가지는 연속적인 패킷들을 윈도우 사이즈(Window size)에 따라 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치
|
8 |
8
청구항 5에 있어서,상기 플로우 패킷 전처리부는,MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치
|
9 |
9
청구항 5에 있어서,상기 플로우 패킷 전처리부는,GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치
|
10 |
10
청구항 5에 있어서,상기 플로우 패킷 전처리부는,두 노드 간 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하여 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치
|
11 |
11
청구항 1에 있어서,상기 이상 징후 탐지부는,상기 제2 통신 패킷을 수집하는 제 2 패킷 수집부;상기 제 2 패킷 수집부에 의하여 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리부; 및상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지부를 포함하는 것을 특징으로 하는 침입 탐지 장치
|
12 |
12
청구항 11에 있어서,상기 비정상 행위 탐지부에 의하여 이상 징후가 탐지되는 경우, 경고 로그를 발생하는 경고 로그 발생부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
|
13 |
13
정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화 단계; 및상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지 단계를 포함하고,상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 방법
|
14 |
14
청구항 13에 있어서,상기 정상 행위 패턴화 단계는,상기 제1 통신 패킷을 수집하는 제 1 패킷 수집 단계;상기 제 1 패킷 수집 단계에서 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리 단계; 상기 제 1 전처리 단계에서 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화 단계; 및상기 정상 행위 그룹화 단계에서 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
|
15 |
15
청구항 14에 있어서, 상기 제 1 전처리 단계는,하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택 단계;상기 단일 필드 선택 단계에서 선택된 단일 필드를 정규화하는 단일 정규화 단계; 및상기 단일 정규화 단계에서 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환 단계를 포함하는 단일 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
|
16 |
16
청구항 14에 있어서,상기 제 1 전처리 단계는,두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택 단계;상기 순서 필드 선택 단계에서 선택된 순서 필드를 정규화하는 순서 정규화 단계;상기 순서 정규화 단계에서 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합 단계; 및상기 순서 조합 단계에서 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환 단계를 포함하는 순서 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
|
17 |
17
청구항 14에 있어서,상기 제 1 전처리 단계는,두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출 단계;상기 전송량 추출 단계에서 추출된 패킷의 필드를 정규화하는 플로우 정규화 단계; 및상기 플로우 정규화 단계에서 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환 단계를 포함하는 플로우 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
|
18 |
18
청구항 16에 있어서,상기 순서 패킷 전처리 단계는,상기 순서 필드 선택 단계에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 방법
|
19 |
19
청구항 17에 있어서,상기 플로우 패킷 전처리 단계는,MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법
|
20 |
20
청구항 17에 있어서,상기 플로우 패킷 전처리 단계는,GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법
|
21 |
21
청구항 13에 있어서,상기 이상 징후 탐지 단계는,상기 제2 통신 패킷을 수집하는 제 2 패킷 수집 단계;상기 제 2 패킷 수집 단계에서 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리 단계; 및상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
|