[논문]IEC 61850 변전소 네트워크에서의 이상 징후 탐지 연구

임용훈; 유형욱; 손태식

doi:10.13089/jkiisc.2013.23.5.939

IEC 61850 변전소 네트워크에서의 이상 징후 탐지 연구
Anomaly Detection for IEC 61850 Substation Network 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.23 no.5, 2013년, pp.939 - 946

임용훈 (한전 전력연구원) , 유형욱 (아주대학교) , 손태식 (아주대학교)

초록
AI-Helper

본 논문에서는 IEC 61850 기반 자동화 변전소 네트워크에서의 이상 징후 탐지를 위한 MMS/GOOSE 패킷 정상행위 프로파일링 방법을 제안한다. 기존에 주로 사용되고 있는 시그니처(signature) 기반의 보안 솔루션은 제로데이(zero-day) 취약점을 이용한 APT 공격에 취약에 취약할 수밖에 없다. 최근 제어시스템 환경에서의 이상 탐지(anomaly detection) 연구가 이뤄지고 있지만, 아직까지 IEC 61850 변전소 환경에서의 이상 탐지에 대한 연구는 잘 알려져 있지 않다. 제안하는 기법은 MMS/GOOSE 패킷에 대한 3가지 전처리(3-phase preprocessing) 방법과 one-class SVM 알고리즘을 이용한 정상 행위 모델링 방법을 포함한다. 본 논문에서 제시하는 방법은 IEC 61850 변전소 네트워크에 대한 APT 공격 대응 솔루션으로 활용될 것을 기대한다.

Abstract ▼ AI-Helper

This paper proposes normal behavior profiling methods for anomaly detection in IEC 61850 based substation network. Signature based security solutions, currently used primarily, are inadequate for APT attack using zero-day vulnerabilities. Recently, some researches about anomaly detection in control network are ongoing. However, there are no published result for IEC 61850 substation network. Our proposed methods includes 3-phase preprocessing for MMS/GOOSE packets and normal behavior profiling using one-class SVM algorithm. These approaches are beneficial to detect APT attacks on IEC 61850 substation network.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 IEC 61850 변전소 네트워크에서 주로 사용되는 MMS, GOOSE 패킷들에 대해 정상 행위 프로파일링을 수행함으로써 MMS, GOOSE 패킷에 대한 이상 징후 탐지 시스템을 모델링하였다. 본 논문에서 제안하는 정상 행위 기반 침입 탐지 시스템을 다른 제어시스템 방화벽, 화이트리스트 기법, Anti Virus 솔루션 등과 함께 다중 방호(Defense in Depth)를 형성한다면, APT 공격과 같이 고도화된 공격에 대해서도 효과적으로 대응할 수 있을 것이라 기대한다.
본 논문에서는 IEC 61850 변전소 네트워크에서의 이상 징후를 탐지하기 위해 MMS 및 GOOSE 패킷에 대한 정상행위 프로파일링 방법을 제안한다. 앞서 관련 연구에서 살펴보았듯이, 기존 제어시스템에서의 이상 징후 탐지 연구는 대부분 Modbus 또는 DNP3 프로토콜을 대상으로 하거나 또는 TCP 상위 프로토콜을 고려하지 않기 때문에 IEC 61850 환경에 적용하기에 부적합하다.
본 논문에서는 IEC 61850 표준의 대표적 프로토콜인 MMS/GOOSE 패킷의 정상 행위 프로파일링을 통한 이상 징후 탐지 모델을 제시하였다. 제안한 기법은 정상 패턴 정보를 이용하기 때문에 제로데이 공격과 같이 알려지지 않은 취약점을 이용한 사이버 공격에 대응할 수 있을 것으로 기대한다.

제안 방법

GOOSE 패킷의 경우, MAC 주소를 포함한 GOOSE 메시지 간에 변화가 존재하는 11개 필드(APPID, Length, gocbRef 등)를 선택하였다[표 1]. MMS 패킷에서는 Ethernet 헤더, TCP/IP 헤더에서의 주요 필드를 선택하고, MMS 메시지 부분은 20바이트까지만 1바이트씩 잘라서 20개 필드를 추출하였다.[표 2].
One-class SVM에서는 커널 함수를 사용해 투사된 feature space에서 모든 데이터들을 하나의 클래스로 간주하고, 원점과의 거리가 최대가 되는 hyper-plane을 계산한다. One-class SVM에서 사용할 수 있는 커널함수에는 Linear, Polynomial, Sigmoid, RBF(Radial Basis Function) 등이 있지만, 본 연구에서는 다수의 실험결과 Sigmoid 커널의 성능이 가장 우수하였기 때문에 Sigmoid 커널을 이용하여 학습하였다.
순서 패킷 기반 모델 및 패킷 흐름 기반 모델의 경우 전처리에서 메모리 공간과 시간이 소모되기 때문에 우선적으로 현장 적용 적합성 평가를 위해 단일 패킷 기반 모델에 대해서만 성능 평가를 수행하였다. 또한, 현재 알려진 IEC 61850 프로토콜 기반 공격 기법이나 패킷이 존재하지 않기 때문에 우선적으로 정상 패킷에 대한 FPR(False Positive Rate)을 평가하였다. 실험에서 one-class SVM 알고리즘에서 사용되는 error tolerance 값은 0.
패킷 전처리 시 선택된 데이터 필드들 각각이 가지는 값의 범위가 상이하기 때문에 정규화 작업이 반드시 필요하다. 본 논문에서는 각 필드의 평균과 표준편차를 이용하여, 아래의 식으로 정규화 하였다.
따라서 정상 모델을 만들기 이전에 데이터 집합에 대한 아웃라이어 처리가 반드시 필요하다. 본 논문에서는 아웃라이어 처리를 위해 EM 클러스터링 기법을 이용해 정상행위를 그룹화 하였다. EM 기법은 반복 과정을 통해 각 데이터들이 혼합 클러스터(mixture cluster)에 속할 가능성을 조적하여 최적의 클러스터 모델을 생성하는 알고리즘이다.
본 연구에서는 GOOSE/MMS 패킷에 대한 3가지 전처리(3-phase preprocessing) 기법을 새롭게 제시하였으며, 비교사 학습(unsupervised learning) 기반의 EM 알고리즘을 적용한 정상행위 그룹화 방법과, one-class SVM을 이용한 정상 행위 학습 및 비정상 행위 탐지 방법을 제시한다.
데이터 집합에 EM 알고리즘을 적용하여 도출되는 클러스터들 중에서 매우 작은 클러스터들은 아웃라이어로 간주하고 정상 행위 학습 시 제외한다. 본 연구에서는 전체 데이터 집합에서 하위 20% 속하는 클러스터들을 아웃라이어로 처리하였다.
순서 패킷 기반 모델 및 패킷 흐름 기반 모델의 경우 전처리에서 메모리 공간과 시간이 소모되기 때문에 우선적으로 현장 적용 적합성 평가를 위해 단일 패킷 기반 모델에 대해서만 성능 평가를 수행하였다.
Partrick Dussel 등[5]은 payload 기반의 실시간 이상 징후 탐지 시스템을 제안하였다. 이 시스템은 TCP payload 데이터를 n 바이트(n-gram)씩 나누어 feature space를 나타내고, 정상 byte sequence와 유사도(similarity)를 비교하여 비정상 패킷을 탐지한다. 이 기법은 TCP payload 부분을 n-gram으로 일괄적으로 자르기 때문에 상위 프로토콜 종류에 대해 독립적으로 적용할 수 있다.
이상 징후 탐지부에서는 실시간으로 수집되는 패킷들에 대해 3-phase 전처리 모듈을 통해 처리 가능한 형태로 변형한 후, one-class SVM 알고리즘을 이용해 기존 정상행위 패턴화부에서 만들어진 정상 패턴 모델과 비교함으로써 이상 여부를 판단하고 로그 기록을 남긴다.
정상 행위 학습 모듈에서 one-class SVM 알고리즘을 이용해 만든 정상 행위 모델들은 이상 탐지 엔진에 탑재된다. 이후 실시간 패킷들이 들어올 때 이상 탐지부에서는 패킷들에 대한 전처리(3-phase pre-processing)를 수행하고, 기 탑재된 정상 모델들을 이용 패킷들의 정상/비정상 여부를 판단한다. 패킷에 대한 정상/비정상 여부는 로그 기록으로 남겨서 차후 분석을 위해 사용한다.
제시하는 IEC 61850 이상 징후 탐지 시스템은 네트워크 레벨의 탐지 시스템으로 IEC 61850 네트워크 Substation Level 및 Bay Level 기기들의 통신 패킷을 수집하고, 이를 대상으로 이상 징후를 탐지한다. [그림 1]은 IEC 61850 변전소 네트워크에서의 패킷 수집 및 탐지 위치를 나타낸다.
패킷 필터링 부분에서는 MMS와 GOOSE 패킷의 fingerprint를 이용하여 전체 패킷 집합에서 MMS와 GOOSE 패킷만을 추출한다.

대상 데이터

필드 선택에서 주요하게 고려된 것은 패킷 간에 값의 변화로써, 패킷 간의 값의 변화가 없을 것이라 예상되는 필드들을 제외하였다. GOOSE 패킷의 경우, MAC 주소를 포함한 GOOSE 메시지 간에 변화가 존재하는 11개 필드(APPID, Length, gocbRef 등)를 선택하였다[표 1]. MMS 패킷에서는 Ethernet 헤더, TCP/IP 헤더에서의 주요 필드를 선택하고, MMS 메시지 부분은 20바이트까지만 1바이트씩 잘라서 20개 필드를 추출하였다.
본 논문에서는 제안하는 기법의 유효성을 검증하기 위해 실제 운영되고 있는 IEC 61850 변전소에 수집한 패킷을 이용해 실험하였다. 개발한 IEC 61850 이상 징후 탐지 시스템은 리눅스(우분투 12.04)에서 동작하며, one-class SVM 적용을 위해 libsvm v3.14 라이브러리를 일부 이용하였다. 한편, EM을 통한 정상행위 그룹화 부분은 윈도우 환경에서 WEKA v3.
본 논문에서는 제안하는 기법의 유효성을 검증하기 위해 실제 운영되고 있는 IEC 61850 변전소에 수집한 패킷을 이용해 실험하였다. 개발한 IEC 61850 이상 징후 탐지 시스템은 리눅스(우분투 12.

데이터처리

또한, 현재 알려진 IEC 61850 프로토콜 기반 공격 기법이나 패킷이 존재하지 않기 때문에 우선적으로 정상 패킷에 대한 FPR(False Positive Rate)을 평가하였다. 실험에서 one-class SVM 알고리즘에서 사용되는 error tolerance 값은 0.01로 고정하였으며, 학습 패킷 데이터를 이용한 10-fold cross validation 방법과 새로운 테스트 패킷을 이용한 방법을 통해 FPR을 평가하였다[표 5].

이론/모형

본 논문에서 정상 행위 모델을 만들기 위해 사용한 방법은 one-class SVM 알고리즘이다. SVM은 성능이 우수한 binary classification 알고리즘으로 잘 알려져 있다.
패킷 흐름 전처리에서는 단위 시간당 전송 바이트 및 단위 시간당 패킷 수를 계산하여 데이터를 만든다. 정상행위 그룹화부에서는 3가지 전처리 프로세스를 거쳐서 만들어진 데이터 집합들에서 아웃라이어(outlier)를 제거하기 위해 잘 알려진 클러스터링 기법인 EM(Expectation Maximization) 알고리즘을 적용한다. 본 연구에서는 EM 알고리즘을 통해 그룹화 된 결과에서 하위 20%의 소규모 그룹에 대해서는 아웃라이어로 간주하고 학습 데이터에서 제외하였다.
SVM은 성능이 우수한 binary classification 알고리즘으로 잘 알려져 있다. 하지만 정상행위만을 이용한 학습 기법으로는 binary class SVM 사용이 부적합하며 이에 따라 본 논문에서는 정상 데이터 클래스만을 가지고 학습 모델을 도출할 수 있는 one-class SVM을 사용하였다. One-class SVM에서는 커널 함수를 사용해 투사된 feature space에서 모든 데이터들을 하나의 클래스로 간주하고, 원점과의 거리가 최대가 되는 hyper-plane을 계산한다.

성능/효과

위 실험 결과를 통해 확인한 FPR 값은 처음으로 시도된 IEC 61850 변전소 네트워크에서 MMS 및 GOOSE를 이용한 이상 징후 탐지 시스템임을 고려할 때 나쁘지 않은 수치라고 판단하였다. 하지만 실제 변전소에 적용되기 위해서는 FPR 값을 더 낮출 필요가 있으며, 공격 시뮬레이션을 통해 FNR(False Negative Rate)에 대해서도 평가할 필요가 있다.

후속연구

그리고 IEC 61850 공격 패킷에 대한 탐지율을 검사하기 위해서는 공격 패킷을 만들 수 있는 방법이 연구되어야 할 것이다. IEC 61850에 대한 공격 기법들이 정형화되어 도출된다면 공격 패킷들에 대해서도 모델링을 수행할 수 있을 것이며, 이를 통해 탐지 정확도 향상 및 맞춤형 공격 대응이 가능할 것이다.
향후 연구에서는 순서 패킷 기반 모델 및 패킷 흐름 기반 모델에 대한 성능 평가가 수행되어야 할 것이며, 탐지 정확도를 높이기 위해 노드 간 플로우(Flow) 별로 각각 다른 정상 행위 모델을 만들어 적용하는 방법 또한 고려해 볼 수 있다. 그리고 IEC 61850 공격 패킷에 대한 탐지율을 검사하기 위해서는 공격 패킷을 만들 수 있는 방법이 연구되어야 할 것이다. IEC 61850에 대한 공격 기법들이 정형화되어 도출된다면 공격 패킷들에 대해서도 모델링을 수행할 수 있을 것이며, 이를 통해 탐지 정확도 향상 및 맞춤형 공격 대응이 가능할 것이다.
본 논문에서는 IEC 61850 변전소 네트워크에서 주로 사용되는 MMS, GOOSE 패킷들에 대해 정상 행위 프로파일링을 수행함으로써 MMS, GOOSE 패킷에 대한 이상 징후 탐지 시스템을 모델링하였다. 본 논문에서 제안하는 정상 행위 기반 침입 탐지 시스템을 다른 제어시스템 방화벽, 화이트리스트 기법, Anti Virus 솔루션 등과 함께 다중 방호(Defense in Depth)를 형성한다면, APT 공격과 같이 고도화된 공격에 대해서도 효과적으로 대응할 수 있을 것이라 기대한다. 2장에서는 제어시스템에서의 이상 징후 탐지 관련 기존 연구들에 대해 소개하고, 3장에서 IEC 61850 변전소 네트워크 구성과 트래픽 특성에 대해 기술한다.
본 논문에서는 IEC 61850 표준의 대표적 프로토콜인 MMS/GOOSE 패킷의 정상 행위 프로파일링을 통한 이상 징후 탐지 모델을 제시하였다. 제안한 기법은 정상 패턴 정보를 이용하기 때문에 제로데이 공격과 같이 알려지지 않은 취약점을 이용한 사이버 공격에 대응할 수 있을 것으로 기대한다. 향후 연구에서는 순서 패킷 기반 모델 및 패킷 흐름 기반 모델에 대한 성능 평가가 수행되어야 할 것이며, 탐지 정확도를 높이기 위해 노드 간 플로우(Flow) 별로 각각 다른 정상 행위 모델을 만들어 적용하는 방법 또한 고려해 볼 수 있다.
제안한 기법은 정상 패턴 정보를 이용하기 때문에 제로데이 공격과 같이 알려지지 않은 취약점을 이용한 사이버 공격에 대응할 수 있을 것으로 기대한다. 향후 연구에서는 순서 패킷 기반 모델 및 패킷 흐름 기반 모델에 대한 성능 평가가 수행되어야 할 것이며, 탐지 정확도를 높이기 위해 노드 간 플로우(Flow) 별로 각각 다른 정상 행위 모델을 만들어 적용하는 방법 또한 고려해 볼 수 있다. 그리고 IEC 61850 공격 패킷에 대한 탐지율을 검사하기 위해서는 공격 패킷을 만들 수 있는 방법이 연구되어야 할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	payload 기반의 실시간 이상 징후 탐지 시스템은 어떻게 비정상 패킷을 탐지하는가?	Partrick Dussel 등[5]은 payload 기반의 실시간 이상 징후 탐지 시스템을 제안하였다. 이 시스템은 TCP payload 데이터를 n 바이트(n-gram)씩 나누어 feature space 를 나타내고, 정상 byte sequence와 유사도(similarity)를 비교하여 비정상 패킷을 탐지한다. 이 기법은 TCP payload 부분을 n-gram으로 일괄적으로 자르기 때문에 상위 프로토콜 종류에 대해 독립적으로 적용할 수 있다.
	이상 탐지 기법의 장점은 무엇인가?	이상 탐지 기법은 정상 행위를 기반으로 하기 때문에 제로데이 공격과 같은 새로운 형태의 공격도 탐지할 수 있으며, 제어 시스템과 같이 정상 행위 범위가 한정적이고 변화가 적은 도메인에서는 한 번 정상 행위를 규정하면 자주 업데이트 할 필요가 없다는 장점이 있다. 이상 탐지 기법의 단점은 일반적으로 오경보 비율(false positive rate)이 높고, 처음 정상 행위 모델을 만들 때 어떤 정해진 법칙이 없기 때문에 최적화된 모델을 찾기 위해 많은 시간과 노력이 필요하다는 것이다.
	Protocol Level 모델은 무엇인가?	Steven Cheung 등[4]은 Modbus TCP 네트워크를 대상으로, 정상 행위 기반의 3가지 모델 (Protocol Level, Communication Pattern, Learning-Based)을 이용해 이상 징후를 탐지하였다. Protocol Level 모델은 Modbus 프로토콜 명세서를 기반으로 지원 가능한 기능 코드(function code)들을 규정하고 이를 위반하는 패킷을 이상 패킷으로 추정하는 모델이다. Communication Pattern 기반 모델은 IP 주소, TCP Port 등을 기반으로 허용 가능한 통신 연결 집합을 규정하고 이에 속하지 않는 패킷을 비정상으로 판단한다.

참고문헌 (18)

E.J. Markey and H.A. Waxman, "Electric Grid Vulnerability: Industry Responses Reveal Security Gps," U.S. House of Representatives, May 2013.
Steven Cheung, Bruno Dutertre, Martin Fong, Ulf Lindqvist, Keith Skinner, and Alfonso Valdes, "Using Model-based Intrusion Detection for SCADA Networks," SCADA Security Scientific Symposium, pp. 186-199, Jan. 2007.
Partrick Dussel, Christian Gehl, Pavel Laskov, Jens-Uwe Buber, Christof Stormann, and Jan Kastner, "Cyber-Critical Infrastructure Protection Using Realtime Payload-based Anomaly Detection," Critical Information Infrastructures Security, vol. 6027, pp. 85-97, 2010.

상세보기
Dayu Yang, Alexander Usynin, and J.W. Hines, "Anomaly-Based Intrusion Detection for SCADA Systems," 5th Intl. Topical Meeting on Nuclear Plant Instrumentation, Control and Human Machine Interface Technologies, pp. 12-16, 2006.
Upeka Premaratne, Jagath Samarabandu, Tarlochan Sidhu, Bob Beresh, and Jian-Cheng Tan, " Evidence Theory based Decision Fusion for Masquerade Detection in IEC 61850 Automated Substations," 4th International Conference on Information and Automation for Sustainability, pp 194-199, 2008.
Alfonso Valdes and Steven Cheung, "Communication Pattern Anomaly Detection in Process Control Systems," IEEE Conference on Technologies for Homeland Security, pp 22-29, 2009.
Chee-Wooi Ten, Junho Hong, and Chen- Ching Liu, "Anomaly Detection for Cybersecurity of the Substations," IEEE Transactions on Smart Grid, vol. 2, no. 4, pp 865-873, 2011.

상세보기
Alfonso Valdes and Steven Cheung, "Intrusion Monitoring in Process Control Systems," 42nd Hawaii International Conference on System Sciences, pp 1-7, 2009.
Erik Pleijsier, "Towards Anomaly Detection in SCADA Networks using Connection Patterns," 18th Twente Student Conference on IT, pp 1-6, 2013.
Rafael Ramos Regis Barbosa, Ramin Sadre, and Aiko Pras, "Towards Periodicity Based Anomaly Detection in SCADA Networks," 2012 IEEE 17th Conference on Emerging Technologies & Factory Automation, pp 1-4, 2012.
M.P. Coutinho, G. Lambert-Torres, L.E.B. da Silva, H.G. Martins, H. Lazarek, and J.C. Neto, "Anomaly detection in power system control center critical infrastructures using rough classification algorithm," 3rd IEEE International Conference on Digital Eco systems and Technologies, pp. 733-738, 2009.
Ondrej Linda, Todd Vollmer, and Milos Manic, "Neural Network Based Intrusion Detection System for Critical Infrastructures", International Joint Conference on Neural Networks, 2009.
Jordi Cucurull, Simin Nadjm-Tehrani, and Mikael Asplund, "Anomaly Detection and Mitigation for Disaster Area Network," Recent Advances in Intrusion Detection, vol. 6307, pp 339-359, 2010.

상세보기
Rafael Ramos Regis Barbosa and Aiko Pras, "Intrusion Detection in SCADA Networks," Mechanisms for Autonomous Management of Networks and Services, vol. 6155, pp 163-166, 2010.

상세보기
Taeshik Shon and Jongsub Moon, "A Hybrid Machine Learning Approach to Network Anomaly Detection," Information Sciences, vol. 177, no. 18, pp 3799-3821, 2007.

상세보기
Inaki Garitano, Roberto Uribeetxeberria, and Urko Zurutuza, "A Review of SCADA Anomaly Detection Systems," Advances in Intelligent and Soft Computing, vol. 87, pp 357-366, 2011.
Bonnie Zhu and Shankar Sastry, "SCADA-Specific Intrusion Detection/ Prevention Systems: A Survey and Taxonomy," Proceedings of the 1st Workshop on Secure Control Systems, pp 1-16, 2010.
고폴린, 최화재, 김세령, 권혁민, 김휘강, "트래픽 자기 유사성(Self-similarity)에 기반한 SCADA 시스템 환경에서의 침임탐지방법론," 정보보호학회논문지, 22(2), pp. 267-281, 2012년 4월.

저자의 다른 논문 :

LOADING...

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증