[논문]비정상행위 탐지를 위한 시각화 기반 네트워크 포렌식

조우연; 김명종; 박근호; 홍만표; 곽진; 손태식

doi:10.13089/jkiisc.2017.27.1.25

문제 정의

또한 그래프를 통해서 얻을 수 있는 트래픽에 대한 개략적인 흐름뿐만 아니라, 사용자의 선택에 따라 패킷이 지니는 정확한 값을 나타내고 추가적인 정보를 제공할 수 있기를 기대했다. 따라서 그려지는 그래프는 모두 룰마다 하나의 막대그래프를 가지며, 같은 시간대에 여러 가지의 룰을 위반하였을 경우에는 막대그래프를 쌓는 형식으로 시각화하여 사용자가 단위 시간당 룰을 위반한 패킷의 비율을 알 수 있게 설계하고자 하였다.
그러나 현재까지 진행된 연구들은 아직 개념 정립같은 연구 초기단계에 머물고 있으며, 국내 산업제어시스템의 특징을 반영하지 못하고 있기 때문에 국내 환경에 적합한 산업제어시스템 네트워크 포렌식에 대한 연구가 진행될 필요가 있다. 따라서 본 논문에서는 산업제어시스템 네트워크 프로토콜인 DNP3를 대상으로 시각화 연구를 통해 네트워크 포렌식 관점에서 제어시스템에 보안을 강화할 수 있는 플랫폼을 제안하고자 한다[3].
본 논문은 산업제어시스템에서 추세의 변화에 따른 기술 선도와 확장성을 유지한 채 가용성 보장하고 사이버 공격에 대한 즉각적인 대응에 효과적으로 도움을 주는 시각화 기반 산업제어시스템 네트워크 포렌식 연구를 수행하였다. 그 과정에서 현재 국내 제어시스템 네트워크 프로토콜로 쓰이고 있는 DNP3에 대해 분석을 수행하였으며, 분석 결과를 토대로 프로토콜의 정상행위를 파악하고 룰을 규정하였다.
본 연구에서는 산업제어시스템에 시각화를 기반으로 네트워크 포렌식을 적용시키기 위해 하나의 모범적인 예시로써 세계적으로 널리 쓰이는 프로토콜인 DNP3를 채택하여 연구를 진행하였다. 본 장에서는 시각화를 위해 먼저 DNP3 프로토콜의 패킷 구조를 분석하여 패킷이 갖는 정보 중 프로토콜 서비스를 나타내는 등 주요한 필드를 선별하였다.
본 장에서는 각 서비스들의 특징과 패킷 분석 결과 파악된 내용들을 토대로 각 서비스들의 사용 용도에 따라 해당 서비스를 악용한 공격에 대해 예상하고, 이를 토대로 시각화 도구에 필요한 사항들에 대해 분석하였다. 본 연구진은 이러한 분석한 요구사항들을 실제 도구에서 어떠한 형태로 시각화 할 것인지에 대해 논의를 수행하였다. 도출한 요구사항별 시각화 방법과 그 이유는 아래와 같다.
따라서 네트워크에는 특정 서비스들만이 주로 사용되는 것으로 예상되며, 이는 패킷 분석 결과 확인되었을 뿐만 아니라 제어시스템 네트워크를 모니터링하는 관리자는 네트워크상의 서비스 분포에 대한 특성을 파악하고 있을 것이다. 이러한 특성에 따라 주로 사용되는 서비스가 아닌 다른 서비스들은 제어시스템이 정상적으로 동작하고 있지 않거나, 비정상적인 공격이 발생하였다고 판단 할 수 있음으로 본 연구진은 이에 착안하여 프로토콜에서 주로 사용되는 서비스(Function)들을 파악을 수행하고, 비정상적인 서비스들에 대한 시각화 방안에 대해 연구를 수행하였다.

제안 방법

DNP3 프로토콜은 Fig.1.과 같은 프로토콜 스택을 갖고 있으며, 본 논문에서 네트워크 포렌식 관점의 시각화 연구를 수행하기 위해 분석한 분야는 향후 다른 프로토콜로의 확장성을 확보하기 위해 프로토콜의 Fragment나 Frame 등이 모두 합쳐져 하나의 온전한 패킷을 나타낼 수 있는 Application Layer를 기준으로 한다.
본 논문은 산업제어시스템에서 추세의 변화에 따른 기술 선도와 확장성을 유지한 채 가용성 보장하고 사이버 공격에 대한 즉각적인 대응에 효과적으로 도움을 주는 시각화 기반 산업제어시스템 네트워크 포렌식 연구를 수행하였다. 그 과정에서 현재 국내 제어시스템 네트워크 프로토콜로 쓰이고 있는 DNP3에 대해 분석을 수행하였으며, 분석 결과를 토대로 프로토콜의 정상행위를 파악하고 룰을 규정하였다. 또한 해외 보안업체인 Digital Bond 社가 정의한 DNP3 Snort Rule 일부를 룰에 추가함으로써 완성도 높은 룰을 규정하였다.
과 같이 두 종류의 그래프를 그렸다. 그래프는 Traffic Stream과 Traffic Detail을 나타내며, Traffic Stream은 Stacked Area Chart 형식을 채용하였으며 3 가지의 레이아웃을 통해 전체 트래픽 흐름 정보를 사용자에게 효과적으로 전달하고자 하였다. 하단 그래프인 Traffic Detail은 Multi-Bar Chart 형식을 채용하여 각각의 서비스를 따로 선택하여 나타내도록 변경할 수 있다.
2011년 태국 King Mongkut’s University of Technology North Bangkok에 소속된 연구실인 Faculty of Information Technology에서는 네트워크 환경에서 공격의 패턴을 분석하였다. 네트워크 시각화를 위해 Source IP 주소와 Destination IP 주소, 시간, 서비스를 분석하여 공격자를 효율적으로 찾을 수 있도록 가시화하였고, 악의가 없는 이벤트와 공격 이벤트의 패턴의 차이를 분석하였다. 해당 연구에서 분석한 것과 유사하게 본 연구에서는 프로토콜의 정상행위를 분석하고, 이후 정상행위와 비정상행위를 나누어 나타내었다.
또한 Request에 대한 에러메시지에도 CON 비트를 1로 설정되기 때문에 이 두 가지 경우에는 사용자가 해당 메시지가 송신/수신된 시간을 파악하여 정밀 조사가 필요할 수 있다. 따라서 해당 서비스에 대해 추가 분석에 필요한 패킷 내용들에 대해 분석하였고 아래와 같은 기본적인 패킷에 대한 내용들을 도출하였다.
또한 APCI 이후 이어지는 ASDU 내의 Object 필드에 존재하는 Object Group/Object Variation 필드에 대한 정상행위를 규정하기 위해서 IEEE 1815-2012 표준을 참고하여 각 Object Group에 따른 Object Variation과 Function Code를 분석하였다. 예를 들어 바이너리 입력 포인트 값을 취득하거나 할당하는데 사용되는 (Object Group , Object Variation) 조합인 (0x01, 0x01~0x02)는 Function Code가 1(READ)나 22(ASSIGN_CLASS)가 쓰여야 한다.
그 과정에서 현재 국내 제어시스템 네트워크 프로토콜로 쓰이고 있는 DNP3에 대해 분석을 수행하였으며, 분석 결과를 토대로 프로토콜의 정상행위를 파악하고 룰을 규정하였다. 또한 해외 보안업체인 Digital Bond 社가 정의한 DNP3 Snort Rule 일부를 룰에 추가함으로써 완성도 높은 룰을 규정하였다. 규정된 룰은 SPR 10가지, TBR 6가지, DBR 5가지로 총 21가지로 DNP3 프로토콜을 사용하는 네트워크에 가해질 수 있는 다양한 공격을 탐지할 수 있다.
본 시각화 연구에서 분석 대상으로 하는 Application 계층은 사용자 응용 프로그램과 직접 연결되는 계층으로 메시지를 받아서, ASDU(Application Server Data Unit)단위로 쪼개어 각 ASDU에 제어정보를 추가해서 APDU(Application Protocol Data Unit)을 생성한다. 아래 Fig.
본 연구에서 분석 대상으로 하는 Application Layer에서 마스터와 아웃스테이션에서는 최대 송/수신 메시지의 크기가 2048bytes로 정해져있고, 최대 송/수신 메시지보다 많은 byte를 전송하기 위해서는 메시지를 Fragment로 나누어 여러 번 전송하여야 한다. 하지만 마스터에서 보내어지는 Request 메시지는 단일메세지로 보내는 것을 규정으로 하고 있다.
특히 제어시스템이 주 7일, 24시간 끊임없이 작동하는 특성을 고려한 라이브 포렌식 기법의 적용 필요성에 대해 강조하고 있으며, 이를 위해 사고 발생 시점을 기준으로 디지털 증거로서 인정받을 수 있는 유효기간 및 지속적으로 모니터링을 통해 수집해야하는 정보에 대해 언급하고 있다. 본 연구에서 제안하는 시각화 연구는 사고 발생 시점을 기준으로 패킷을 캡처한 이후 즉각적인 대응에 대한 해결책이 될 수 있도록 의심스러운 패킷에 대한 정보를 제공한다.
본 연구에서는 DNP3 패킷의 FC(Function Code)를 기준으로 분류하여 Function 별 점유율을 분석하여 가장 많은 점유율을 차지하고 있는 Read Request 및 Response 서비스를 각 Request/Response 부분에서 대표적으로 정상행위 규정 대상으로 선별하고 상세 분석을 수행하였다. 이외에도 이벤트가 발생했을 경우 동작하는 Unsolicited Response와 전송 확인을 위해 쓰이는 Confirmation 서비스에 대해 정상행위 분석을 수행하였다.
3장에서 분석된 필드들이 가질 수 있는 값의 범위를 정상행위로 분류하고 각 필드의 관계에 따른 정상행위를 분석하여 정상행위를 토대로 룰을 규정한다. 본 연구에서는 정상행위 기반 룰뿐만 아니라 디지털 본드에서 규정한 Snort 룰을 자체적인 규격에 맞추어 변환해 추가하였다[10]. 아래는 DNP3 정상행위 기반 룰의 넘버링 방법이다.
본 장에서는 DNP3 패킷의 Function Code와 Object Group, Object Variation 등을 분석하여 정상행위에 판별하기 위해서 정상행위 규정에 필요한 APCI(Application protocol control information)의 AC(Application Control) 필드에 대해 보다 자세히 분석하였다. APCI의 구조는 Fig.
본 장에서는 각 서비스들의 특징과 패킷 분석 결과 파악된 내용들을 토대로 각 서비스들의 사용 용도에 따라 해당 서비스를 악용한 공격에 대해 예상하고, 이를 토대로 시각화 도구에 필요한 사항들에 대해 분석하였다. 본 연구진은 이러한 분석한 요구사항들을 실제 도구에서 어떠한 형태로 시각화 할 것인지에 대해 논의를 수행하였다.
본 장에서는 분석한 제어시스템 네트워크 트래픽의 특성을 고려하여 시각화 대상을 선정하고, 시각화 방법에 대한 연구한 내용을 바탕으로 제어시스템 네트워크 포렌식을 위한 시각화 연구결과에 대해 논한다. 실증적인 연구 결과 도출을 위해 본 연구에서는 Digital Bond에서 자체적으로 Snort룰을 검사하기 위해 제작한 패킷을 사용하였다[10].
본 연구에서는 산업제어시스템에 시각화를 기반으로 네트워크 포렌식을 적용시키기 위해 하나의 모범적인 예시로써 세계적으로 널리 쓰이는 프로토콜인 DNP3를 채택하여 연구를 진행하였다. 본 장에서는 시각화를 위해 먼저 DNP3 프로토콜의 패킷 구조를 분석하여 패킷이 갖는 정보 중 프로토콜 서비스를 나타내는 등 주요한 필드를 선별하였다.
본 장에서는 제어시스템 네트워크 포렌식을 위해 개발된 시각화 도구로 Digital Bond 社의 패킷을 이용해 산업 제어시스템 네트워크에 대해 얻은 유의미한 정보와 그에 따라 도구의 실효성을 검증한 내용을 다룬다.
본 장에서는 분석한 제어시스템 네트워크 트래픽의 특성을 고려하여 시각화 대상을 선정하고, 시각화 방법에 대한 연구한 내용을 바탕으로 제어시스템 네트워크 포렌식을 위한 시각화 연구결과에 대해 논한다. 실증적인 연구 결과 도출을 위해 본 연구에서는 Digital Bond에서 자체적으로 Snort룰을 검사하기 위해 제작한 패킷을 사용하였다[10].
Read의 Object Group를 0x1E, Object Variation을 0x02, Qualifier의 index는 0이고, Qualifier code가 0이므로 object는 Analog Input object이고 index prefix는 없고, Range field에 8비트 Start 인덱스와 Stop 인덱스를 표시한다. 예시에서는 Start 인덱스를 4, Stop 인덱스를 7로 하여 Response 메시지는 요청메시지를 따라 4번에서 7번까지 인덱스의 데이터가 차례로 붙어서 오고, 데이터의 형태와 크기는 Object Group 0x1E, Object Variation 0x02에 따라 Analog Input objects 에서 변형된 형태로 마스터에서 요청한 object를 아웃스테이션에서 마스터로 전송하게 된다. 이처럼 표준에는 각각의 FC와 더불어 다양한 종류의 Object Group과 Object Variation을 설명하기 때문에 정상적인 경우 어떠한 값을 갖게 되는지에 대해 분석 가능하며 분석된 정상행위를 토대로 다음 3.
는 DNP3의 메시지 포맷과 그 변환 과정이 도식화되어있는 것을 볼 수 있다. 이 ASDU와 APDU가 본 논문에서 주로 다루는 Application 계층에서의 분석 대상이며, 그 안에 포함하고 있는 세부 필드에 대해서는 이후에 이어지는 장에서 다룬다.
본 연구에서는 DNP3 패킷의 FC(Function Code)를 기준으로 분류하여 Function 별 점유율을 분석하여 가장 많은 점유율을 차지하고 있는 Read Request 및 Response 서비스를 각 Request/Response 부분에서 대표적으로 정상행위 규정 대상으로 선별하고 상세 분석을 수행하였다. 이외에도 이벤트가 발생했을 경우 동작하는 Unsolicited Response와 전송 확인을 위해 쓰이는 Confirmation 서비스에 대해 정상행위 분석을 수행하였다.
네트워크 시각화를 위해 Source IP 주소와 Destination IP 주소, 시간, 서비스를 분석하여 공격자를 효율적으로 찾을 수 있도록 가시화하였고, 악의가 없는 이벤트와 공격 이벤트의 패턴의 차이를 분석하였다. 해당 연구에서 분석한 것과 유사하게 본 연구에서는 프로토콜의 정상행위를 분석하고, 이후 정상행위와 비정상행위를 나누어 나타내었다.
또한 연구에서는 CyberViz의 주요 기능인 네트워크 트래픽 가시화의 장점과 한계에 대해서 설명하고 있다. 해당 연구에서 활용한 Winpcap 형식의 파일은 널리 쓰이는 패킷 캡처 결과 파일(.pcap)로 본 연구에서도 같은 형식의 패킷 파일을 대상으로 하여 확장성과 실용성을 확보하였다.

대상 데이터

도구는 세 가지 뷰를 지니고 있는데, 전체 네트워크를 요약하는 뷰와 일반적인 트래픽 시각화를 수행하는 뷰 그리고 표준기반의 정상행위 룰에 대한 시각화 뷰이다. 사용된 제어시스템 네트워크 통신 트래픽은 Digital Bond社에서 공격을 포함하여 제작한 테스트 패킷 두 가지를 이용하였다.

성능/효과

DNP3에 대한 정상행위 기반 룰 규정으로 SPR(Single Packet Based Rule) 10가지와 TBR(Transaction Based Rule) 기반 룰 6가지가 위반된 경우를 단위 시간에 따라 시각화하기 위한 방법들에 대해 고민하였고, 네트워크 포렌식 분석을 효과적으로 수행하기 위해서 가장 중요한 것은 시간의 흐름에 따라 룰에 위반된 비정상행위 패킷들을 분석할 수 있어야 한다고 결론지었다. 따라서 룰 시각화 연구에서는 포렌식 관점으로 시간에 흐름에 따라 단위 시간당 비정상 패킷(룰 위반 패킷)이 얼마나 나타나는 지에 대해서 사용자가 파악 가능하여야 하며, 비정상 패킷의 세부정보(pcap frame Number, IP Src Address, IP Dst Address, 위반한 룰 번호 등)를 효율적으로 분석이 가능하여야 한다.
결론적으로 본 연구를 통해 DNP3의 시각화 대상 서비스인 Read에 대해 단일패킷 기반 룰(Single Packet Based Rule, 이하 SPR) 10가지와과 트랜잭션 기반 룰(Transaction Based Rule, 이하 TBR) 6가지를 개발할 수 있었고, 룰 넘버링 형식에 따라 작성한 내용은 Table 3.과 같다. 표에서는 각각의 필드에 따라 숫자가 부여되어 있으며, 예상되는 정상 값의 범위가 단순한 경우 표기하여 나타내고 있다.
또한 해외 보안업체인 Digital Bond 社가 정의한 DNP3 Snort Rule 일부를 룰에 추가함으로써 완성도 높은 룰을 규정하였다. 규정된 룰은 SPR 10가지, TBR 6가지, DBR 5가지로 총 21가지로 DNP3 프로토콜을 사용하는 네트워크에 가해질 수 있는 다양한 공격을 탐지할 수 있다.
에는 본 연구를 통해 분석된 정상행위 기반 룰뿐만 아니라 디지털 본드에서 규정한 Snort 룰 또한 추가되어있다[10]. 디지털 본드에서 규정한 룰을 분석한 결과 본 연구에도 적용할 수 있는 룰이 존재함을 알아낼 수 있었으며, 해당 룰은 모두 서비스를 기반으로 경고를 주는 방식을 사용하고 있었다.
또한 Unsolicited Response 메시지의 경우 상대의 정상 수신 여부를 파악하기 위해 CON 비트를 1로 설정하여 보낸다. 따라서 이 두 가지 CON 비트가 1로 설정된 경우에 Confirm 메시지를 보내 해당 메시지가 정상적으로 수신되었다는 것을 확인시킨다. 따라서 이 경우 중요한 서비스는 CON보다는 그 이전의 메시지임이 파악되었다.
마지막으로 패킷 분석 결과 발견된 Unknown Function의 경우 표준에서 정의되지 않은 서비스로 비정상적인 패킷이라는 것이 쉽게 확인되므로 패킷의 일부가 유실되어 잘못 해석된 것이 아닌 경우 해당 패킷은 의도적인 공격이라 간주될 수 있다. 하지만 단순 Unknown 서비스의 검출 여부를 통해 공격 여부를 판단하기는 어렵기 때문에 추가 분석을 위해 패킷의 주요 정보들을 제공할 필요가 있다.
Rule View는 SPR(Single Packet Based Rule) Chart, TBR(Transaction Based Rule) Chart, DBR(Digital Bond Rule) Chart로 구성된다. 본 연구에서 검증 대상으로 사용하는 패킷은 디지털 본드에서 제작한 패킷으로 공격이 포함되어 룰을 위반하는 패킷이 다수 존재할 것으로 예상되며, 그 결과 예상과 동일하게 디지털 본드의 Snort 룰을 기반으로 한 DBR에 위반된 경우가 다수 존재하는 것을 확인했으며, 자체적인 룰에도 일부 패킷이 검출되는 발견하였다.
이 툴의 주요 기능으로는 해당 Source IP 주소 및 필터링 옵션별로 가시화하여 네트워크를 한눈에 볼 수 있도록 트리맵 구조로 표현하며, pcap 파일로 저장하는 기능 등이 있다. 본 연구에서 제안하는 시각화 연구에서도 각 시각화 결과는 필터링 기능을 제공하여 프로토콜의 서비스별 혹은 정상행위 기반 룰 별로 정렬 가능하다.
NetworkMiner는 운영체제, 세션, 호스트 네임, 열려있는 포트 등등의 정보를 알려주는 네트워크 스니퍼 기능과 패킷 캡처하는 기능을 제공한다. 본 연구에서도 이와 같이 제어시스템 네트워크 프로토콜에만 국한되지 않고 하나의 네트워크 프로토콜로 취급하여 확장성을 확보하였다.
이처럼 Digital Bond 패킷에서 비정상행위가 Rule을 위반하여 네트워크상에 존재함을 확인할 수 있었고, 자체적으로 정상행위를 기반으로 정의한 룰을 통해서도 비정상행위 감지가 가능함을 보였다. 비정상행위 탐지의 경우 시각화 도구를 사용하는 관리자는 Rule View에서 단 하나의 패킷도 놓치지 않고 면밀히 살펴 제어시스템의 보안에 완벽을 기해야 한다.

후속연구

DNP3 프로토콜의 서비스 비율을 나타내는 것은 비율을 나타낼 때 널리 사용되는 Pie Chart 형태로 나타내어 전체 대비 해당 서비스의 점유율이 얼마나 되는지를 한눈에 확인 가능하도록 표현하는 것이 바람직 할 것으로 사료된다. Pie Chart에서 아주 소규모로 나타나 그 비율을 그래프 안에 기입하기 어려운 경우 생각하도록 하여 전체적인 흐름에 대해서만 사용자가 판단할 수 있도록 하면 충분할 것으로 예상된다.
또한 그래프를 통해서 얻을 수 있는 트래픽에 대한 개략적인 흐름뿐만 아니라, 사용자의 선택에 따라 패킷이 지니는 정확한 값을 나타내고 추가적인 정보를 제공할 수 있기를 기대했다. 따라서 그려지는 그래프는 모두 룰마다 하나의 막대그래프를 가지며, 같은 시간대에 여러 가지의 룰을 위반하였을 경우에는 막대그래프를 쌓는 형식으로 시각화하여 사용자가 단위 시간당 룰을 위반한 패킷의 비율을 알 수 있게 설계하고자 하였다.
본 연구에서 사용한 패킷은 Digital Bond 社에서 제공한 패킷으로 향후 진행될 연구에서는 실제 제어시스템을 대상으로 패킷을 캡처하여 실효성을 증명한 후 트래픽과 정상행위 룰을 통해 파악할 수 있는 비정상행위의 종류를 자세히 분류하여 규정할 필요가 있다.
이로써 앞서 규정한 룰뿐만 아니라 제어시스템 네트워크 트래픽과 패킷의 주요 정보를 사용자에게 제공하여 비전문가도 설계된 시각화 도구를 통해 이상 징후를 판별할 수 있으며, 주요 패킷 정보를 통해 원인을 파악하고 조사를 진행할 수 있다. 비전문가가 이처럼 도구를 통해 네트워크 포렌식을 진행할 수 있게 된다면 관련 기관에서는 보안사고 발생 시 즉각적인 대응을 적은 비용을 통해 수행할 수 있으며, 보안 전문가 또한 상세히 분석된 보고 내용을 통해 공격의 유무와 사고 발생원인 파악을 신속히 진행할 수 있을 것으로 기대한다.
FireEye는 제어시스템을 평가하기 위해 특정 기기를 통해 네트워크 패킷을 캡처한 후 위험 분석과 위협 모델링을 통해 대응한다. 이처럼 특정 네트워크상에서 위협을 판별하기 위해서는 전문가의 도움과 그에 상응하는 비용을 필요로 하기 때문에 본 연구에서 제안하는 시각화 연구를 통해 제어시스템 네트워크를 관리하는 기관은 효과적으로 비용을 감축할 수 있을 것으로 기대한다.

핵심어	질문	논문에서 추출한 답변
	공장 자동화와 다른 산업제어시스템의 차이점은?	산업제어시스템(Industrial Control System)은 전력, 철도, 가스 등 국가 주요 기반 시설들을 포함하여 다양한 도메인에서 확장되고 있는 추세로 그 크기도 소규모에서 국가 기반 시설까지 확대되고 있다. 단순 생산 및 조립라인에 그쳤던 과거의 공장 자동화와는 달리 현재 산업제어시스템은 감시 및 자동제어가 가능한 기술로 발전하여 사용자에게 편리성과 경제성을 제공하고 있다. 이에 따라 산업제어시스템 시장은 아직도 계속 증가하고 있는 추세이고, 더욱 다양한 분야에서도 산업제어시스템이 사용될 것으로 예상된다.
	산업제어시스템의 현황은?	산업제어시스템(Industrial Control System)은 전력, 철도, 가스 등 국가 주요 기반 시설들을 포함하여 다양한 도메인에서 확장되고 있는 추세로 그 크기도 소규모에서 국가 기반 시설까지 확대되고 있다. 단순 생산 및 조립라인에 그쳤던 과거의 공장 자동화와는 달리 현재 산업제어시스템은 감시 및 자동제어가 가능한 기술로 발전하여 사용자에게 편리성과 경제성을 제공하고 있다.
	산업제어시스템의 사이버 보안 침해 사고의 예로는 어떤 사례가 있습니까?	하지만 이러한 산업제어시스템 활용의 증가 추세와 함께 사이버 보안 침해 사고 발생도 증가하고 있다. 2010년 이란에서 발생한 스턱스넷(Stuxnet)을 시작으로 2015년 12월에 발생한 우크라이나 정전 사태까지 다양한 사고들이 발생하여, 제어시스템 보안 사고는 지금 어디에서나 발생가능하다는 경각심을 불러 일으켰다. 실제 ICS-CERT에 보고된 사이버 보안 사고는 매해 증가하고 있으며, 2015년 회계연도에 ICS-CERT에 보고된 북미 산업제어시스템을 대상으로 하는 보안 사고는 총 295건으로 2014년에 비해 20% 증가하였다.

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증

비정상행위 탐지를 위한 시각화 기반 네트워크 포렌식
Anomaly Detection Using Visualization-based Network Forensics 원문보기

초록
AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약
AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

연구과제 타임라인

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

연합인증

비정상행위 탐지를 위한 시각화 기반 네트워크 포렌식 Anomaly Detection Using Visualization-based Network Forensics 원문보기

초록 용어보기논문에서 용어와 풀이말을 자동 추출한 결과로, 시범 서비스 중입니다. AI-Helper

Abstract ▼ AI-Helper

주제어

AI 본문요약 엑셀 다운로드 AI-Helper

문제 정의

제안 방법

대상 데이터

성능/효과

후속연구

질의응답

참고문헌 (11)

이 논문을 인용한 문헌

저자의 다른 논문 :

조우연 (2) 홍만표 (41) 곽진 (62) 손태식 (56)

연구과제 타임라인

전체(0) 논문(0) 특허(0) 보고서(0)

전체(0) 논문(0) 특허(0) 보고서(0)

관련 콘텐츠

원문 보기

원문 URL 링크

오픈액세스(OA) 유형

이 논문과 함께 이용한 콘텐츠

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

선택된 텍스트

비정상행위 탐지를 위한 시각화 기반 네트워크 포렌식
Anomaly Detection Using Visualization-based Network Forensics 원문보기

초록
AI-Helper

AI 본문요약
AI-Helper