폐쇄적으로 구축되었던 제어망이 최근 업무 상 편의 또는 대외 기관과의 협력 필요 등으로 외부와 연동되면서, 일반적인 네트워크 환경과 유사하게 변화하고 있다. 그리고 개방형 운영체제, 프로그램 및 프로토콜 등을 사용하는 제어망 환경은 기존에 알려진 보안 취약점을 그대로 갖고 있으며, 제어 시스템의 취약점과 관련한 공격 기법이 발달하는 등의 위험에 직면하고 있다. 이에 따라 본 연구에서는 화이트 리스트 기법을 적용한 이상 징후 탐지를 통해 보안성을 확보하고 위협을 최소화할 수 있는 방안을 제시하였다. 제시된 방법을 통해 업무망, 제어망 및 필드장치 내 트래픽을 모니터링하여 정상적인 데이터만을 수집 및 목록화 할 수 있고, 비정상행위로부터 격리된 상태를 확인하여 위협을 배제시킬 수 있다. 그러나 정상적 비정상적 트래픽 패턴에 대한 오경보가 발생할 수 있으며, 이를 최소화하는 노력도 함께 경주해야 한다.
폐쇄적으로 구축되었던 제어망이 최근 업무 상 편의 또는 대외 기관과의 협력 필요 등으로 외부와 연동되면서, 일반적인 네트워크 환경과 유사하게 변화하고 있다. 그리고 개방형 운영체제, 프로그램 및 프로토콜 등을 사용하는 제어망 환경은 기존에 알려진 보안 취약점을 그대로 갖고 있으며, 제어 시스템의 취약점과 관련한 공격 기법이 발달하는 등의 위험에 직면하고 있다. 이에 따라 본 연구에서는 화이트 리스트 기법을 적용한 이상 징후 탐지를 통해 보안성을 확보하고 위협을 최소화할 수 있는 방안을 제시하였다. 제시된 방법을 통해 업무망, 제어망 및 필드장치 내 트래픽을 모니터링하여 정상적인 데이터만을 수집 및 목록화 할 수 있고, 비정상행위로부터 격리된 상태를 확인하여 위협을 배제시킬 수 있다. 그러나 정상적 비정상적 트래픽 패턴에 대한 오경보가 발생할 수 있으며, 이를 최소화하는 노력도 함께 경주해야 한다.
The control network has been operated in a closed. But it changes to open to external for business convenience and cooperation with several organizations. As the way of connecting with user extends, the risk of control network gets high. Thus, in this paper, proposed the technique of an anomalous ev...
The control network has been operated in a closed. But it changes to open to external for business convenience and cooperation with several organizations. As the way of connecting with user extends, the risk of control network gets high. Thus, in this paper, proposed the technique of an anomalous event detection using white-list for control network security and minimizing the cyber threats. The proposed method can be collected and cataloged of only normal data from traffic of internal network, control network and field devices. Through way to check the this situation, we can separate normal and abnormal behavior.
The control network has been operated in a closed. But it changes to open to external for business convenience and cooperation with several organizations. As the way of connecting with user extends, the risk of control network gets high. Thus, in this paper, proposed the technique of an anomalous event detection using white-list for control network security and minimizing the cyber threats. The proposed method can be collected and cataloged of only normal data from traffic of internal network, control network and field devices. Through way to check the this situation, we can separate normal and abnormal behavior.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
그러므로 본 연구에서는 제어망의 보안성 확보를 위해 외부와 연동하여 운영하는 환경 하에서 정상 이외의 네트워크 통신들을 탐지하여 불필요하거나 위협으로 간주되는 행위들을 차단할 수 있는 방안을 제시하고자 한다. 이를 위해 이어지는 2장에서는 제어망에서의 보안 위협과 이를 탐지하는 방법론들을 살펴보고, 3장에서 정상 이외의 행위들을 탐지하기 위한 방안을 화이트 리스트(White-List)에 기반하여 설계한다.
폐쇄적으로 구축되었던 제어망이 최근 업무 상 편의 또는 대외 기관과의 협력 필요 등으로 외부와 연동되면서, 일반적인 네트워크 환경과 유사하게 변화하고 있다[19]. 이에 따라 제어망에 대한 보안 위협이 증가하고 있기에 본 연구는 화이트 리스트 기법을 적용한 이상 징후 탐지를 통한 보안성 확보 방안을 제시하였다.
제안 방법
제어망에서 화이트 리스트 탐지 방식을 사용하기 위하여 우선 정상 트래픽 시나리오를 구상하고, 주요 프로토콜을 중심으로 정상 트래픽을 생성하였다. 이를 통해 알려지지 않은 트래픽에 대하여 비정상 트래픽으로 간주하고 공격으로 감지가 가능하게 하였다.
성능/효과
둘째, 경보가 발생하였을 때는 해당 패킷에 대하여 정상적인지 오경보인지를 확인하여 룰에 적용하여야 한다. 셋째, 트래픽 패턴의 변경이 있는 경우 해당 룰을 업데이트 해야 한다. 그리고 마지막으로 비정상적 시나리오를 작성하여 주기적으로 Normal_Whit_list.
제시된 방법은 정상 행위 이외의 모든 데이터의 위험성을 경고하기에 위협으로 인한 피해와 파급효과가 큰 제어망을 감시하기에 적합하다. 그러나 네트워크 트래픽은 시간과 업무 형태 변화에 따른 변동성이 크고, 용량도 거대하여 분석에 필요한 시간 소요가 많다.
후속연구
그리고 웹 응용프로그램 취약점을 이용한 해킹사고는 외부로 공개된 포트를 사용한 침입으로 침입차단 시스템을 무력화 시키고 있기 때문에[7], 추가적인 위협 대응책 마련이 필요하다.
그러나 네트워크 트래픽은 시간과 업무 형태 변화에 따른 변동성이 크고, 용량도 거대하여 분석에 필요한 시간 소요가 많다. 따라서 제시된 방법은 업무 절차를 기준으로 발생해야 할 트래픽 패턴을 예측하여 룰 업데이트에 활용하는 방안 등과 같은 추가적 연구를 통해 향후 더욱 발전되어야 한다.
질의응답
핵심어
질문
논문에서 추출한 답변
비정상행위 탐지 방식은 무엇인가?
비정상행위 탐지 방식은 네트워크 상의 트래픽이나 정보통신기기 자원의 사용이 정해진 모델과 상이한 점이 발견되는 경우를 찾는 방법이다. 이 방법은 제로 데이 공격(zero-day attack)과 같은 비공개 취약점[11] 이용 공격과 다른 정보보호시스템에 탐지되지 않는 신규 및 지능적인 공격까지도 탐지할 수 있다는 장점이 있어 제어망 보안을 위한 많은 연구에서 활용하고 있다.
침입탐지시스템에서 사용되는 알고리즘은?
침입탐지시스템(IDS : Intrusion Detection System)을 이용한 제어망 보안은 관제를 용이하게 하고, 알려진 공격에 대해 높은 탐지율을 보이기 때문에 위협 대응을 위한 적절한 방법론이다[9]. 알고리즘은 비정상행위 탐지(anomaly detection), 오용 탐지(misuse detection) 및 하이브리드 방식이 사용된다[10].
오용 탐지의 장점은 무엇인가?
오용 탐지는 패턴(pattern)을 이용하여 모든 알려진 공격을 정확히 탐지할 수 있는 장점이 있다[15]. 이 방법은 특정 현상에 대한 위협은 블랙 리스트(BlackList)로, 정상은 화이트 리스트(White-List)로 구분하여 판별한다[16].
참고문헌 (19)
김경아, 이대성, 김귀남, "공격 트리를 이용한 산업 제어 시스템 보안 위험 분석", 정보?보안 논문지, 제11권, 제6호, 2011
Bela Genge, Christos Siaterlis, Igor Nai Fovino and Marcelo Masera, "A cyber-physical experimentation environment for the security analysis of networked industrial control systems", Computers & Electrical Engineering, In Press, Corrected Proof, Available online 21 July 2012.
A. Nicholson, S. Webber, S. Dyer, T. Patel and H. Janicke, "SCADA security in the light of Cyber-Warfare", Computers & Security, Vol. 31, Issue 4, pages 418 - 436, June 2012.
신문선, 류근호, "침입탐지시스템의 성능향상을 위한 결정트리 기반 오경보 분류", 정보과학회논문지, 제34권, 제6호, pages 473 - 482, 2007.
E. Carl, S. Eugene, and M. Jim, "Intrusion Detection and Prevention", McGraw-Hill, 2004.
C. Frederic and M. Alexander, "Alert Correlation in a Cooperative Intrusion Detection Framework", IEEE Symposium on Security and Privacy, 2002.
Chirag Modi, Dhiren Patel, Bhavesh Borisaniya, Hiren Patel, Avi Patel and Muttukrishnan Rajarajan, "A survey of intrusion detection techniques in Cloud", Journal of Network and Computer Applications, In Press, Corrected Proof, Available online, 2 June 2012.
Tsong Song Hwang, Tsung-Ju Lee and Yuh-Jye Lee, A Three-tier IDS via Data Mining Approach, Proceedings of the 3rd Annual ACM Workshop on Mining Network Data, pages 1 - 6, MineNet 2007, 2007.
Frederic Giroire, Jaideep Chandrashekar, Nina Taft, Eve M. Schooler and Dina Papagiannaki, " Exploiting Temporal Persistence to Detect Covert Botnet Channels", Recent Advances in Intrusion Detection, 12th International Symposium, RAID 2009, Lecture Notes in Computer Science, 5758, Springer, pages 326 - 345, 2009.
http://pdf.datanet.co.kr/207/207153.PDF
J. Lee, H. Lee and S. Kim, "Development Plan of Korean - Energy Management System", Proc. of the 17th Conference of the Electric Power Supply Industry, pp.1-3, 2008.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.