산업 제어 시스템 보안을 위한 패킷 분석 기반 비정상행위 탐지 시스템 구현 Implementation of abnormal behavior detection system based packet analysis for industrial control system security원문보기
가스, 전력, 수처리, 원자력, 교통 관제 시스템 등과 같은 국가적 규모의 산업 제어 시스템은 점차 발전하는 정보통신기술에 따라 점차 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있다. 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있기 때문에 사이버 공격에 대한 빈도는 점점 증가하고 있는 추세이지만 이에 관련한 후속조치는 매우 부족한 실정이다. 따라서 산업 제어 시스템을 위한 보안 솔루션의 적용은 매우 중요하다. 하지만 실제의 시스템에 보안 솔루션을 적용하는 것은 산업 제어 시스템의 특성 때문에 사실상 불가능하고 기존 시스템에 영향을 주지 않고 공격의 발생 유무를 탐지할 수 있는 보안 시스템이 필수적이다. 따라서 본 논문에서는 산업 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 패킷 분석 기반의 침입 탐지 시스템을 제안하고 제안한 침입 탐지 시스템을 실제의 환경을 재현한 산업 제어 시스템 테스트 베드에 적용함으로써 신뢰성 있는 데이터를 기반으로 제안한 시스템의 효율성을 검증한다.
가스, 전력, 수처리, 원자력, 교통 관제 시스템 등과 같은 국가적 규모의 산업 제어 시스템은 점차 발전하는 정보통신기술에 따라 점차 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있다. 개방된 네트워크와 공개된 표준 프로토콜을 사용하고 있기 때문에 사이버 공격에 대한 빈도는 점점 증가하고 있는 추세이지만 이에 관련한 후속조치는 매우 부족한 실정이다. 따라서 산업 제어 시스템을 위한 보안 솔루션의 적용은 매우 중요하다. 하지만 실제의 시스템에 보안 솔루션을 적용하는 것은 산업 제어 시스템의 특성 때문에 사실상 불가능하고 기존 시스템에 영향을 주지 않고 공격의 발생 유무를 탐지할 수 있는 보안 시스템이 필수적이다. 따라서 본 논문에서는 산업 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 패킷 분석 기반의 침입 탐지 시스템을 제안하고 제안한 침입 탐지 시스템을 실제의 환경을 재현한 산업 제어 시스템 테스트 베드에 적용함으로써 신뢰성 있는 데이터를 기반으로 제안한 시스템의 효율성을 검증한다.
National-scale industrial control systems for gas, electric power, water processing, nuclear power, and traffic control systems increasingly use open networks and open standards protocols based on advanced information and communications technologies. The frequency of cyberattacks increases steadily ...
National-scale industrial control systems for gas, electric power, water processing, nuclear power, and traffic control systems increasingly use open networks and open standards protocols based on advanced information and communications technologies. The frequency of cyberattacks increases steadily because of the use of open networks and open standards protocols, but follow-up actions are limited. Therefore, the application of security solutions to an industrial control system is very important. However, it is not possible to apply security solutions to a real system because of the characteristics of industrial control systems. And a security system that can detect attacks without affecting the existing system is imperative. Therefore, in this paper, we propose an intrusion detection system based on packet analysis that can detect anomalous behaviors without affecting the industrial control system, and we verify the effectiveness of the proposed intrusion detection system by applying it in a test bed simulating a real environment.
National-scale industrial control systems for gas, electric power, water processing, nuclear power, and traffic control systems increasingly use open networks and open standards protocols based on advanced information and communications technologies. The frequency of cyberattacks increases steadily because of the use of open networks and open standards protocols, but follow-up actions are limited. Therefore, the application of security solutions to an industrial control system is very important. However, it is not possible to apply security solutions to a real system because of the characteristics of industrial control systems. And a security system that can detect attacks without affecting the existing system is imperative. Therefore, in this paper, we propose an intrusion detection system based on packet analysis that can detect anomalous behaviors without affecting the industrial control system, and we verify the effectiveness of the proposed intrusion detection system by applying it in a test bed simulating a real environment.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
6에서 확인가능하다. 따라서 본 논문의 침입 탐지 시스템이 수행하는 패킷 스니핑의 신뢰성을 확인하였다.
본 논문에서는 기존의 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 제어시스템용 행위기반 침입 탐지 시스템을 제안하고 제안한 시스템을 구현하여 테스트베드에 적용함으로써 제안한 시스템의 효율성을 검증하였다. 본 논문에서 제안하는 침입 탐지 시스템은 크게 세 가지의 규칙을 통해 규칙에 위배되는 패킷을 탐지하였다.
본 논문에서는 이러한 문제점을 해결하기 위해 비정상행위를 탐지하는 침입 탐지 시스템을 제안하고 실제 패킷을 스니핑하는 시스템을 구현하여 이전 논문에서 구현한 테스트베드[2]에 적용함으로써 제안한 시스템의 효율성을 검증한다.
제안 방법
각각의 공격 실험 시 침입 탐지 시스템을 적용하지 않은 상태에서 테스트베드 구성요소인 히스토리안에 저장된 데이터를 확인하였다.
스턱스넷 유사 공격 실험의 경우 사이버계층의 PLC가 감염되었다는 것을 전제로 물리 계층으로는 조작된 악의적인 데이터를 전송하고 서버로는 정상적인 데이터로 조작된 데이터를 전송하는 공격을 실험하였다. 공격 실험 대상은 이전연구[2]와 마찬가지로 물리 프로세스의 반응기 압력 값의 변화를 관찰하였다.
공격 실험에 앞서 침입 탐지 시스템의 신뢰성을 검증하기 위하여 컴퓨터 네트워크 분야에서 널리 사용되고 있는 패킷 스니퍼 중 하나인 와이어샤크와 본 논문의 침입 탐지 시스템이 스니핑한 패킷을 비교하여 신뢰성을 확인한다.
이에 따라 액츄에이터가 동작하는 물리 프로세스 영역과 시스템을 관리하는 사이버 영역의 서버에서 실제로는 서로 다른 데이터이지만 같은 데이터로 속이는 스턱스넷 류의 공격을 탐지하기 쉽지 않기 때문에 이 구간을 검사 포인트로 설정하고 이 구간에서의 데이터 검사 유무를 비교하였다. 그리고 산업 제어 시스템에 적용하는 만큼 실제 또는 유사환경에서의 실험이 이루어지는 것이 시스템의 신뢰도 측면에서 매우 중요하기 때문에 실제 환경의 시스템에 적용 유무를 비교하였다. 또한 유연성 및 확장성은 다른 시스템의 적용 가능성 및 탐지 규칙의 수정의 용이성을 기준으로 비교한 것으로, 본 논문에서 제안한 침입 탐지 시스템은 각각의 analyzer로 구성되어 있어 다른 시스템에 적용하는 것이 어렵지 않고, 이에 따른 탐지 규칙 수정 또한 각 analyzer별로 수정이 가능하기 때문에 다른 침입 탐지 시스템에 비해 유연하다고 할 수 있다.
따라서 본 논문에서는 기존의 시스템에 영향을 주지않고 비정상행위를 탐지하는 Fig.2와 같은 행위기반 침입 탐지 시스템을 제안한다. 제안하는 침입 탐지 시스템은 오픈소스 패킷 캡쳐 라이브러리인 WinPcap을 기반으로 구성된다.
따라서 많은 보안을 위한 연구가 진행되고 있지만 계속해서 발생하는 새로운 방식의 공격에는 대응하지 못하고 있는 실정이다. 따라서 본 논문에서는 스턱스넷과 같은 공격 방식을 탐지하기 위하여 물리 계층과 통신하는 PLC 사이의 구간을 검사 포인트(Check point)로 설정하고 그 구간의 비정상행위를 탐지하는 침입 탐지 시스템을 제안 및 구현하고 기존의 산업 제어 시스템 테스트베드에 적용함으로써 제안한 시스템의 효율성을 검증한다.
본 논문의 침입 탐지 시스템이 비정상 행위를 탐지하기 위한 탐지 조건은 송수신주기, 통신 프로토콜, 패킷의 페이로드로 다음 Table 4와 같이 3가지로 정의하고 각각의 조건에 대하여 탐지 규칙을 정의하였다. 또한 각각의 탐지 조건과 관련 있는 공격을 정리하였다.
8은 본 논문에서 실험한 중간자 공격의 도식도이다. 물리계층과 사이버계층 사이에서 통신하는 패킷을 가로채어 패킷의 페이로드에 저장되어 있는 반응기 압력 값을 조작하는 공격을 실험하였다.
본 논문에서는 기존의 제어 시스템에 영향을 주지 않고 비정상행위를 탐지하는 제어시스템용 행위기반 침입 탐지 시스템을 제안하고 제안한 시스템을 구현하여 테스트베드에 적용함으로써 제안한 시스템의 효율성을 검증하였다. 본 논문에서 제안하는 침입 탐지 시스템은 크게 세 가지의 규칙을 통해 규칙에 위배되는 패킷을 탐지하였다. 테스트베드의 통신주기, 페이로드 크기, 페이로드내부의 데이터 값을 정상적인 상황에서의 시뮬레이션 데이터를 토대로 탐지 규칙을 생성하고 생성된 규칙에 의해 발생할 수 있는 비정상행위를 탐지하였다.
본 논문에서 제안한 침입 탐지 시스템의 효율성을 검증하기 위해 산업 제어 시스템에서 많이 발생하는 공격 방식을 실험하였다. 산업 제어 시스템에서 주로 발생하고 공격결과가 치명적인 공격인 중간자 공격과 디도스 공격 그리고 스턱스 넷과 유사한 공격 실험을 진행하였다.
제어권 탈취 및 디도스 공격의 영향으로 인한 송수신주기의 변화를 탐지하기 위하여 탐지 조건 1로 정의하였다. 본 논문의 침입 탐지 시스템은 송수신주기를 1초로 정의한다.
본 논문의 침입 탐지 시스템이 비정상 행위를 탐지하기 위한 탐지 조건은 송수신주기, 통신 프로토콜, 패킷의 페이로드로 다음 Table 4와 같이 3가지로 정의하고 각각의 조건에 대하여 탐지 규칙을 정의하였다. 또한 각각의 탐지 조건과 관련 있는 공격을 정리하였다.
각각의 분석 도구에서 패킷의 분석을 마치고 나면 분석 결과를 event_handler에 전달하고, Table 7과 같이 분석 결과에 따른 이벤트를 발생시켜 사용자에게 알린다. 분석 중 오류인 분석 결과가 발생하면 분석 도구는 더 이상 분석을 진행하지 않고 event_handler에서 오류 메시지를 통해 사용자에게 문제가 있음을 알린 후 다음 패킷을 검사한다.
본 논문에서 제안한 침입 탐지 시스템의 효율성을 검증하기 위해 산업 제어 시스템에서 많이 발생하는 공격 방식을 실험하였다. 산업 제어 시스템에서 주로 발생하고 공격결과가 치명적인 공격인 중간자 공격과 디도스 공격 그리고 스턱스 넷과 유사한 공격 실험을 진행하였다.
디도스 공격 실험의 경우 외부 공격자가 시스템의 마비를 목적으로 PLC에 무작위 TCP SYN 플러딩 공격을 했을 경우이다[9]. 스턱스넷 유사 공격 실험의 경우 사이버계층의 PLC가 감염되었다는 것을 전제로 물리 계층으로는 조작된 악의적인 데이터를 전송하고 서버로는 정상적인 데이터로 조작된 데이터를 전송하는 공격을 실험하였다. 공격 실험 대상은 이전연구[2]와 마찬가지로 물리 프로세스의 반응기 압력 값의 변화를 관찰하였다.
그 후 반응기 압력 값이 3,000kPa가 넘는 값을 유지하는 것을 확인 할 수 있다. 이 때 히스토리안에는 조작된 데이터가 저장되기 때문에 packet_sniffer가 수집한 데이터를 가공하여 확인하였다.
기존의 침입 탐지 시스템은 실제 액츄에이터 및 센서가 동작하는 물리 계층과 PLC간의 페이로드를 검사하지 않는다. 이에 따라 액츄에이터가 동작하는 물리 프로세스 영역과 시스템을 관리하는 사이버 영역의 서버에서 실제로는 서로 다른 데이터이지만 같은 데이터로 속이는 스턱스넷 류의 공격을 탐지하기 쉽지 않기 때문에 이 구간을 검사 포인트로 설정하고 이 구간에서의 데이터 검사 유무를 비교하였다. 그리고 산업 제어 시스템에 적용하는 만큼 실제 또는 유사환경에서의 실험이 이루어지는 것이 시스템의 신뢰도 측면에서 매우 중요하기 때문에 실제 환경의 시스템에 적용 유무를 비교하였다.
제안한 침입 탐지 시스템은 다음 Table 3과 같은 환경과 도구 및 언어를 사용하여 구현하였다. 이전 연구[2]에서 구현한 테스트베드는 물리 프로세스 구현을 위해 matlab과 visual studio를 사용하였고 침입 탐지 시스템은 visual studio를 사용하여 구현하였다. 이때 패킷을 스니핑하기 위하여 WinPcap 라이브러리를 사용하였다.
2와 같은 행위기반 침입 탐지 시스템을 제안한다. 제안하는 침입 탐지 시스템은 오픈소스 패킷 캡쳐 라이브러리인 WinPcap을 기반으로 구성된다. Pa-cket_sniffer는 각각 물리 프로세스와 PLC(Programmable Logic Controller)간의 통신 패킷과 서버와 PLC간의 통신 패킷을 캡쳐하는 즉, 검사 포인트의 패킷을 스니핑하는 기능을 수행한다.
공격 실험 시나리오는 다음 Table 8과 같다. 중간자 공격의 경우 공격자가 시스템에 접근하여 스니핑하는 패킷을 무작위로 변형하여 재전송하는 공격을 실험하였다. 디도스 공격 실험의 경우 외부 공격자가 시스템의 마비를 목적으로 PLC에 무작위 TCP SYN 플러딩 공격을 했을 경우이다[9].
다음 Table 5는 Modbus/TCP의 필드들을 나타낸다. 총 6개의 필드를 검사하여 Modbus 표준 프로토콜과 일치하는지 확인하고 transaction 필드를 통해 요청한 패킷에 맞는 패킷을 확인하여 각각의 packet_sniffer가 스니핑한 패킷을 integrity_analyzer에서 비교할 수 있도록 한다.
본 논문에서 제안하는 침입 탐지 시스템은 크게 세 가지의 규칙을 통해 규칙에 위배되는 패킷을 탐지하였다. 테스트베드의 통신주기, 페이로드 크기, 페이로드내부의 데이터 값을 정상적인 상황에서의 시뮬레이션 데이터를 토대로 탐지 규칙을 생성하고 생성된 규칙에 의해 발생할 수 있는 비정상행위를 탐지하였다. 침입 탐지시스템의 신뢰성을 확인하기 위해 와이어샤크로 스니핑한 패킷과 비교하여 확인하였고 공격 실험 결과 공격의 탐지가 가능한 것을 확인하였다.
데이터처리
비교 결과 이상이 없다면 통신의 송수신주기를 분석하는 timing_sequence_analyzer, 통신 프로토콜을 분석하는 protocol_analyzer 그리고 통신 데이터를 분석하는 payload_analyzer에서 탐지 규칙을 적용하여 분석한다.
위와 같은 실험 결과를 토대로 2장에서 서술한 [5-7]의 침입 탐지 시스템과 본 논문의 침입 탐지 시스템과 비교하였다.
성능/효과
그리고 산업 제어 시스템에 적용하는 만큼 실제 또는 유사환경에서의 실험이 이루어지는 것이 시스템의 신뢰도 측면에서 매우 중요하기 때문에 실제 환경의 시스템에 적용 유무를 비교하였다. 또한 유연성 및 확장성은 다른 시스템의 적용 가능성 및 탐지 규칙의 수정의 용이성을 기준으로 비교한 것으로, 본 논문에서 제안한 침입 탐지 시스템은 각각의 analyzer로 구성되어 있어 다른 시스템에 적용하는 것이 어렵지 않고, 이에 따른 탐지 규칙 수정 또한 각 analyzer별로 수정이 가능하기 때문에 다른 침입 탐지 시스템에 비해 유연하다고 할 수 있다.
14는 스턱스 넷과 유사한 공격 실험을 나타낸다. 시스템 내부 악성코드 감염으로 인해 PLC가 악성코드에 감염되었고, 그 결과 물리 계층에 악의적으로 조작된 데이터를 전송하고 서버에 정상적으로 조작된 데이터를 전송하여 시스템 관리자가 물리 계층의 상태를 알 수 없도록 하는 공격이다.
테스트베드의 통신주기, 페이로드 크기, 페이로드내부의 데이터 값을 정상적인 상황에서의 시뮬레이션 데이터를 토대로 탐지 규칙을 생성하고 생성된 규칙에 의해 발생할 수 있는 비정상행위를 탐지하였다. 침입 탐지시스템의 신뢰성을 확인하기 위해 와이어샤크로 스니핑한 패킷과 비교하여 확인하였고 공격 실험 결과 공격의 탐지가 가능한 것을 확인하였다.
후속연구
하지만 점점 더 진화하는 공격 방식에 따라 여러 공격을 시스템에 적용하여 침입 탐지 시스템을 발전시킨다면 효율적인 침입 탐지 시스템이 될 것이라고 사료된다.
질의응답
핵심어
질문
논문에서 추출한 답변
산업 제어 시스템은 어떻게 변화하였는가?
산업 제어 시스템(Industrial Control System)은 가스, 전력, 원자력, 교통 등과 같은 국가적 규모의 주요기반시설 및 산업 분야에서 원거리에 산재된 시스템을 감시하고 제어하는 시스템을 통칭한다. 산업 제어 시스템은 과거의 폐쇄적인 네트워크 및 독자적인 프로토콜을 사용하여 사이버 공격으로부터 비교적 안전하였지만, 현대의 산업 제어 시스템은 정보 통신 기술의 진화에 따라 많은 비용절감, 효율성, 편리성, 유연성과 같은 많은 이점이 존재하기 때문에 외부의 개방된 네트워크에 연결하고 공개된 표준 프로토콜을 사용하도록 진화하였다. 따라서 현대의 산업 제어 시스템은 개방된 네트워크에 노출되어있고 공개된 표준 프로토콜을 사용하기 때문에 많은 공격자로부터 사이버 공격의 대상이 되고 있다.
산업 제어 시스템이란 무엇인가?
산업 제어 시스템(Industrial Control System)은 가스, 전력, 원자력, 교통 등과 같은 국가적 규모의 주요기반시설 및 산업 분야에서 원거리에 산재된 시스템을 감시하고 제어하는 시스템을 통칭한다. 산업 제어 시스템은 과거의 폐쇄적인 네트워크 및 독자적인 프로토콜을 사용하여 사이버 공격으로부터 비교적 안전하였지만, 현대의 산업 제어 시스템은 정보 통신 기술의 진화에 따라 많은 비용절감, 효율성, 편리성, 유연성과 같은 많은 이점이 존재하기 때문에 외부의 개방된 네트워크에 연결하고 공개된 표준 프로토콜을 사용하도록 진화하였다.
2010년도에 발생한 스턱스넷(Stuxnet) 악성코드 공격으로 받은 피해는 무엇인가?
특히 2010년도에 발생한 스턱스넷(Stuxnet) 악성코드 공격은 기존의 IT 시스템에는 전혀 영향을 주지 않지만 산업 제어 시스템에는 치명적인 결과를 초래할 수 있다. 이 공격으로 인해 이란의 원전 시설이 파괴되었다. 이와 같은 사이버 공격을 탐지하기 위하여 산업 제어 시스템에는 기존의 시스템에 영향을 주지 않는 특징을 가진 침입 탐지 시스템(Intrusion Detection System)이 적용되어 비정상행위를 탐지한다.
Hyun-Seok Kim and Dong-Gue Park, "Implementation of the testbed for security of industrial control system", Journal of KIIT, vol. 15, no. 6, pp. 53-60, Jun. 2017. DOI: https://doi.org/10.14801/jkiit.2017.15.6.53
Do-Yeon Kim, "Vulnerability analysis for industrial control system cyber security", Journal of JKIECS, vol. 9, no. 1, pp. 137-142, Sep. 2014. DOI: https://doi.org/10.13067/JKIECS.2014.9.1.137
Hyunguk Yoo, Jeong-Han Yun, and Taeshik Shon, "Whitelist-based anomaly detection for industrial control system security", Journal of KICS, vol. 38, no. 8, pp. 641-653, Oct. 2013. DOI: https://doi.org/10.7840/kics.2013.38B.8.641
Jan Vavra and Martin Hromada, "Comparison of the Intrusion Detection System Rules in Relation with the SCADA Systems", Proc. of 5th Computer Science On-line Conference (CSOC 2016), vol. 465, pp. 159-169, Apr. 2016. DOI: https://doi.org/10.1007/978-3-319-33622-0_15
Qian Chen, Sherif Abdelwahed, and Abdelkarim Erradi, "A model-based approach to self-protection in computing system", Proc. of the 2013 ACM Cloud and Autonomic Computing Conference, no. 16, pp. 1-10, New York, USA, 2013. DOI: https://doi.org/10.1145/2494621.2494639
J. J. Downs and E. F. Vogel, "A plant-wide industrial process control problem", Journal of Computers & chemical engineering, vol. 17, no. 3, pp. 245-255, 1993.
Hyung-Su Lee, and Jae-Pyo Park, "Respond System for Low-Level DDoS Attack", Journal of the Korea Academia-Industrial cooperation Society, vol. 17, no. 10, pp. 732-742, 2016. DOI: http://dx.doi.org/10.5762/KAIS.2016.17.10.732
※ AI-Helper는 부적절한 답변을 할 수 있습니다.