맞춤기술찾기

홈으로 가기
맞춤기술찾기
이전대상기술
프린트하기

이전대상기술

침입 탐지 장치 및 방법

  • 기술번호 : KST2019008233
  • 담당센터 :
  • 전화번호 :
상담신청 PDF 받기
요약, Int. CL, CPC, 출원번호/일자, 출원인, 등록번호/일자, 공개번호/일자, 공고번호/일자, 국제출원번호/일자, 국제공개번호/일자, 우선권정보, 법적상태, 심사진행상태, 심판사항, 구분, 원출원번호/일자, 관련 출원번호, 기술이전 희망, 심사청구여부/일자, 심사청구항수의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 서지정보 표입니다.
요약 IEC 61850 프로토콜 기반 디지털 변전소에서 정상 통신 트래픽 학습을 통해사이버 공격 및 오동작으로 인한 다양한 비정상 패턴을 탐지하는 침입 탐지 장치 및 방법이 개시된다. 본 발명에 따른 침입 탐지 장치는 정상 상태의 네트워크에서 송수신되는 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부 및 상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 네트워크 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함한다.
Int. CL H04L 29/06 (2006.01.01) H04L 12/26 (2006.01.01)
CPC H04L 63/1416(2013.01) H04L 63/1416(2013.01)
출원번호/일자 1020130116786 (2013.09.30)
출원인 한국전력공사
등록번호/일자 10-2030837-0000 (2019.10.02)
공개번호/일자 10-2015-0037285 (2015.04.08) 문서열기
공고번호/일자 (20191010) 문서열기
국제출원번호/일자
국제공개번호/일자
우선권정보
법적상태 등록
심사진행상태 수리
심판사항
구분 신규
원출원번호/일자
관련 출원번호
심사청구여부/일자 Y (2018.08.21)
심사청구항수 21

출원인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 출원인 표입니다.
번호 이름 국적 주소
1 한국전력공사 대한민국 전라남도 나주시

발명자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 발명자 표입니다.
번호 이름 국적 주소
1 임용훈 대한민국 대전광역시 유성구
2 주성호 대한민국 대전광역시 유성구
3 권유진 대한민국 대전광역시 유성구
4 최문석 대한민국 대전광역시 유성구

대리인

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 대리인 표입니다.
번호 이름 국적 주소
1 한양특허법인 대한민국 서울특별시 강남구 논현로**길 **, 한양빌딩 (도곡동)

최종권리자

번호, 이름, 국적, 주소의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 인명정보 - 최종권리자 표입니다.
번호 이름 국적 주소
1 한국전력공사 전라남도 나주시
번호, 서류명, 접수/발송일자, 처리상태, 접수/발송일자의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 행정처리 표입니다.
번호 서류명 접수/발송일자 처리상태 접수/발송번호
1 [특허출원]특허출원서
[Patent Application] Patent Application		 2013.09.30 수리 (Accepted) 1-1-2013-0888531-56
2 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2014.12.16 수리 (Accepted) 4-1-2014-5153448-46
3 [심사청구]심사청구(우선심사신청)서
[Request for Examination] Request for Examination (Request for Preferential Examination)		 2018.08.21 수리 (Accepted) 1-1-2018-0827381-13
4 선행기술조사의뢰서
Request for Prior Art Search		 2018.12.12 수리 (Accepted) 9-1-9999-9999999-89
5 선행기술조사보고서
Report of Prior Art Search		 2019.03.15 수리 (Accepted) 9-1-2019-0013830-96
6 의견제출통지서
Notification of reason for refusal		 2019.07.05 발송처리완료 (Completion of Transmission) 9-5-2019-0488449-03
7 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2019.07.09 수리 (Accepted) 4-1-2019-5136129-26
8 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2019.07.10 수리 (Accepted) 4-1-2019-5136893-80
9 [명세서등 보정]보정서
[Amendment to Description, etc.] Amendment		 2019.09.05 보정승인간주 (Regarded as an acceptance of amendment) 1-1-2019-0916019-11
10 [거절이유 등 통지에 따른 의견]의견(답변, 소명)서
[Opinion according to the Notification of Reasons for Refusal] Written Opinion(Written Reply, Written Substantiation)		 2019.09.05 수리 (Accepted) 1-1-2019-0916020-57
11 등록결정서
Decision to grant		 2019.09.30 발송처리완료 (Completion of Transmission) 9-5-2019-0703872-36
12 출원인정보변경(경정)신고서
Notification of change of applicant's information		 2020.03.27 수리 (Accepted) 4-1-2020-5072225-46
번호, 청구항의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 청구항 표입니다.
번호 청구항
1 1
정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화부; 및상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지부를 포함하고,상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 장치
2 2
청구항 1에 있어서,상기 정상 행위 패턴화부는,상기 제1 통신 패킷을 수집하는 제 1 패킷 수집부;상기 제 1 패킷 수집부에 의하여 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리부; 상기 제 1 전처리부에 의하여 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화부; 및상기 정상 행위 그룹화부에 의하여 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습부를 포함하는 것을 특징으로 하는 침입 탐지 장치
3 3
청구항 2에 있어서, 상기 제 1 전처리부는,하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택부;상기 단일 필드 선택부에 의하여 선택된 단일 필드를 정규화하는 단일 정규화부; 및상기 단일 정규화부에 의하여 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환부를 포함하는 단일 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
4 4
청구항 2에 있어서,상기 제 1 전처리부는,두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택부;상기 순서 필드 선택부에 의하여 선택된 순서 필드를 정규화하는 순서 정규화부;상기 순서 정규화부에 의하여 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합부; 및상기 순서 조합부에 의하여 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환부를 포함하는 순서 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
5 5
청구항 2에 있어서,상기 제 1 전처리부는,두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출부;상기 전송량 추출부에서 추출된 패킷의 필드를 정규화하는 플로우 정규화부; 및상기 플로우 정규화부에 의하여 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환부를 포함하는 플로우 패킷 전처리부를 포함하는 것을 특징으로 하는 침입 탐지 장치
6 6
청구항 4에 있어서,상기 순서 패킷 전처리부는,상기 순서 필드 선택부에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 장치
7 7
청구항 4에 있어서,상기 순서 패킷 전처리부는,IP 및 ID 값을 가지는 연속적인 패킷들을 윈도우 사이즈(Window size)에 따라 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치
8 8
청구항 5에 있어서,상기 플로우 패킷 전처리부는,MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치
9 9
청구항 5에 있어서,상기 플로우 패킷 전처리부는,GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 장치
10 10
청구항 5에 있어서,상기 플로우 패킷 전처리부는,두 노드 간 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하여 하나의 인스턴스(Instance)로 구성하는 것을 특징으로 하는 침입 탐지 장치
11 11
청구항 1에 있어서,상기 이상 징후 탐지부는,상기 제2 통신 패킷을 수집하는 제 2 패킷 수집부;상기 제 2 패킷 수집부에 의하여 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리부; 및상기 정상 행위 패턴화부에 의하여 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지부를 포함하는 것을 특징으로 하는 침입 탐지 장치
12 12
청구항 11에 있어서,상기 비정상 행위 탐지부에 의하여 이상 징후가 탐지되는 경우, 경고 로그를 발생하는 경고 로그 발생부를 더 포함하는 것을 특징으로 하는 침입 탐지 장치
13 13
정상 상태의 네트워크에서 송수신되는 제1 통신 패킷을 수집 및 그룹화함으로써 정상 행위 패턴을 생성하는 정상 행위 패턴화 단계; 및상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 실시간 수집되는 제2 통신 패킷의 이상 징후를 탐지하는 이상 징후 탐지 단계를 포함하고,상기 제1 및 제2 통신 패킷은 IEC 61850 변전소에서 변전소 레벨(substation level) 시스템과 베이 레벨(bay level) 시스템에서의 네트워크 통신 패킷이되,상기 제1 통신 패킷은 정상 행위 패턴을 학습하기 위한 학습데이터로 사용하기 위한 정상 패킷이고, 상기 제2 통신 패킷은 실시간으로 이상 여부를 판단하는 목표 패킷인 것을 특징으로 하는 침입 탐지 방법
14 14
청구항 13에 있어서,상기 정상 행위 패턴화 단계는,상기 제1 통신 패킷을 수집하는 제 1 패킷 수집 단계;상기 제 1 패킷 수집 단계에서 수집된 상기 제1 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 1 전처리 단계; 상기 제 1 전처리 단계에서 전처리된 패킷을 대상으로 EM(Expectation Maximization) 알고리즘을 수행하여 그룹화하는 정상 행위 그룹화 단계; 및상기 정상 행위 그룹화 단계에서 그룹화된 그룹을 대상으로 SVM(Support Vector Machine) 알고리즘을 수행하여 정상 행위 패턴을 생성하는 정상 행위 학습 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
15 15
청구항 14에 있어서, 상기 제 1 전처리 단계는,하나의 패킷 단위로 정상 행위 패턴을 생성하기 위하여 사용될 필드인 단일 필드를 선택하는 단일 필드 선택 단계;상기 단일 필드 선택 단계에서 선택된 단일 필드를 정규화하는 단일 정규화 단계; 및상기 단일 정규화 단계에서 정규화된 단일 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 단일 포맷 변환 단계를 포함하는 단일 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
16 16
청구항 14에 있어서,상기 제 1 전처리 단계는,두 노드 간에 패킷을 일정 단위 개수로 묶어서 정상 행위 패턴을 생성하기 위하여 사용될 필드인 순서 필드를 선택하는 순서 필드 선택 단계;상기 순서 필드 선택 단계에서 선택된 순서 필드를 정규화하는 순서 정규화 단계;상기 순서 정규화 단계에서 정규화된 순서 필드를 단위 개수로 조합하는 순서 조합 단계; 및상기 순서 조합 단계에서 조합된 순서 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 순서 포맷 변환 단계를 포함하는 순서 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
17 17
청구항 14에 있어서,상기 제 1 전처리 단계는,두 노드 간에 시간 당 전송 패킷수 및 시간 당 전송 바이트 수를 추출하는 전송량 추출 단계;상기 전송량 추출 단계에서 추출된 패킷의 필드를 정규화하는 플로우 정규화 단계; 및상기 플로우 정규화 단계에서 정규화된 필드를, 상기 정상 행위 패턴의 포맷으로 변환하는 플로우 포맷 변환 단계를 포함하는 플로우 패킷 전처리 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
18 18
청구항 16에 있어서,상기 순서 패킷 전처리 단계는,상기 순서 필드 선택 단계에서 순서 필드를 선택함에 있어서, 두번째 이후의 패킷부터는, 첫번째 패킷에서 선택된 필드와 동일한 필드를 제외하고 선택하는 것을 특징으로 하는 침입 탐지 방법
19 19
청구항 17에 있어서,상기 플로우 패킷 전처리 단계는,MMS 패킷에서, Destination IP 주소, Source IP 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법
20 20
청구항 17에 있어서,상기 플로우 패킷 전처리 단계는,GOOSE 패킷에서, Destination MAC 주소, Source MAC 주소의 필드를 선택하는 것을 특징으로 하는 침입 탐지 방법
21 21
청구항 13에 있어서,상기 이상 징후 탐지 단계는,상기 제2 통신 패킷을 수집하는 제 2 패킷 수집 단계;상기 제 2 패킷 수집 단계에서 수집된 상기 제2 통신 패킷에서, MMS(Manufacturing Message Specification) 패킷 및 GOOSE(Generic Object Oriented Substation Event) 패킷을 추출하여 전처리를 수행하는 제 2 전처리 단계; 및상기 정상 행위 패턴화 단계에서 생성된 정상 행위 패턴을 기반으로 상기 전처리된 패킷에 대하여 이상 징후를 탐지하는 비정상 행위 탐지 단계를 포함하는 것을 특징으로 하는 침입 탐지 방법
지정국 정보가 없습니다
패밀리정보가 없습니다
순번, 연구부처, 주관기관, 연구사업, 연구과제의 정보를 제공하는 이전대상기술 뷰 페이지 상세정보 > 국가R&D 연구정보 정보 표입니다.
순번 연구부처 주관기관 연구사업 연구과제
1 지식경제부 한국전력공사 전력산업원천기술개발사업 스마트그리드 보안 관제기술 연구개발