$\require{mediawiki-texvc}$

연합인증

연합인증 가입 기관의 연구자들은 소속기관의 인증정보(ID와 암호)를 이용해 다른 대학, 연구기관, 서비스 공급자의 다양한 온라인 자원과 연구 데이터를 이용할 수 있습니다.

이는 여행자가 자국에서 발행 받은 여권으로 세계 각국을 자유롭게 여행할 수 있는 것과 같습니다.

연합인증으로 이용이 가능한 서비스는 NTIS, DataON, Edison, Kafe, Webinar 등이 있습니다.

한번의 인증절차만으로 연합인증 가입 서비스에 추가 로그인 없이 이용이 가능합니다.

다만, 연합인증을 위해서는 최초 1회만 인증 절차가 필요합니다. (회원이 아닐 경우 회원 가입이 필요합니다.)

연합인증 절차는 다음과 같습니다.

최초이용시에는
ScienceON에 로그인 → 연합인증 서비스 접속 → 로그인 (본인 확인 또는 회원가입) → 서비스 이용

그 이후에는
ScienceON 로그인 → 연합인증 서비스 접속 → 서비스 이용

연합인증을 활용하시면 KISTI가 제공하는 다양한 서비스를 편리하게 이용하실 수 있습니다.

스마트 제조 환경에서의 이상징후 탐지 기술 현황 원문보기

情報保護學會誌 = KIISC review, v.29 no.2, 2019년, pp.36 - 47  

김기현 ((주)앤앤에스피 부설연구소)

초록
AI-Helper 아이콘AI-Helper

4차 산업혁명이 본격화됨에 따라 스마트 제조 환경으로 변화하면서 제조 공장은 설비제어가 자동화되고 산업용 이더넷TCP/IP 기반으로 네트워크 연결되어 통합 운영되고 있으며 본사 비즈니스망의 MES, ERP, PLM 등과 연계되면서 랜섬웨어악성코드 유입 및 외부 사이버 공격으로부터의 보안 위협이 높아지고 있다. 본 논문에서스마트 제조 공장에 대한 사이버 침입을 탐지하고 대응하기 위해 스마트 제조 환경에서의 이상징후 탐지 기술 현황을 분석한다. 먼저 ICS(Industrial Control System)에 대한 이상징후 탐지를 위해 ICS 위협 경로를 분석하고 스마트 제조 네트워크에서 사용되는 산업용 이더넷 프로토콜을 살펴본다. 다음으로 국내 제어망 이상징후 탐지 체계 구축 동향을 분석하고 제어망 이상징후 탐지 기술을 분류한다. 마지막으로 (주)앤앤에스피에서 과학기술정보통신부 과제로 수행하고 있는 "선제적인 제조공정 이상징후 인지" 연구과제의 수행 현황을 살펴본다.

AI 본문요약
AI-Helper 아이콘 AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

  • [그림 21]과 같이 본 과제에서는 사이버 공격에 취약한 제조설비의 가동 중단을 미연에 방지하기 위해 제조공정 네트워크와 시스템에 대한 이상징후를 탐지하고 사이버 킬체인 분석과 인공지능 기법을 이용하여 ICS 보안 위협을 헌팅하고 사이버 위협에 대응함으로써 갑작스런 제조 설비의 가동중단을 예방하고자 한다. 또한다크웹 등 오픈 정보를 이용하여 ICS 사이버 위협 정보를 수집하고 ICS에 특화된 악성코드를 분석하여 인텔리전스 서비스로 제공함으로써 최신 ICS 사이버 공격에 선제적으로 대응하고 스마트공장에 대한 보안 위협을 획기적으로 감소시키고자 한다.
  • 먼저 ICS(Industrial Control System)에 대한 이상징후 탐지를 위해 ICS 위협 경로와 랜섬웨어 공격 시나리오를 분석하고 우크라이나 정전에 대한 ICS(Industrial Control System) 사이버 킬체인(Cyber Kill Chain)을 분석한다. 다음으로 스마트공장에서 표준 프로토콜로 사용되는 산업용 이더넷 프로토콜 구조를 알아보고 IT 기반의 이상징후 탐지 기술의한계를 살펴본다. 또한 현재 스마트공장 이상징후 탐지에 대한 산업계 동향을 알아보고 ICS 네트워크에서 비정상행위를 탐지하기 위한 방법을 4가지로 분류하고Unknown 프로토콜에 대한 논의 한다.
  • [그림 21]과 같이 본 과제에서는 사이버 공격에 취약한 제조설비의 가동 중단을 미연에 방지하기 위해 제조공정 네트워크와 시스템에 대한 이상징후를 탐지하고 사이버 킬체인 분석과 인공지능 기법을 이용하여 ICS 보안 위협을 헌팅하고 사이버 위협에 대응함으로써 갑작스런 제조 설비의 가동중단을 예방하고자 한다. 또한다크웹 등 오픈 정보를 이용하여 ICS 사이버 위협 정보를 수집하고 ICS에 특화된 악성코드를 분석하여 인텔리전스 서비스로 제공함으로써 최신 ICS 사이버 공격에 선제적으로 대응하고 스마트공장에 대한 보안 위협을 획기적으로 감소시키고자 한다.
  • 본 논문에서는 Yan et al[11]이 분류한 ICS IDS 기술 분류를 기준으로 화이트리스트 기반 탐지, 머신러닝/딥러닝 탐지 등으로 표현되는 국내 기술 분류에 맞춰 다음과 같이 ICS Protocol Specification based, ICS Whitelist based, ICS Learning based, Control Process Analysis-based 등 4가지로 분류하고 추가적으로Unknown 프로토콜에 대해 논의하고자 한다.
  • 본 논문에서는 스마트 제조 환경에서의 이상징후 탐지 기술 현황을 살펴본다. 먼저 ICS(Industrial Control System)에 대한 이상징후 탐지를 위해 ICS 위협 경로와 랜섬웨어 공격 시나리오를 분석하고 우크라이나 정전에 대한 ICS(Industrial Control System) 사이버 킬체인(Cyber Kill Chain)을 분석한다.
  • 본 절에서는 ICS(Industrial Control System) 네트워크에 대한 공격 경로와 랜섬웨어 공격 시나리오를 살펴보고 이에 대응하기 위한 ICS 사이버 킬체인(Cyber Kill Chain)을 분석한다.
본문요약 정보가 도움이 되었나요?

질의응답

핵심어 질문 논문에서 추출한 답변
랜섬웨어 공격 단계는? [그림 3]에서와 같이 랜섬웨어 공격은 초기 감염 → 추가 감염 → 잠금 → 암호화 → 협상 단계로 구성된다. 초기 감염 단계는 인터넷에 연결되고 쇼단에서 발견할 수 있는 PLC를 공격하여 [그림 4]와 같이 같은 PLC를추가 감염시켜 수평이동할 수 있지만 [그림 5]와 같이회사 네트워크를 통해 HMI를 감염시킨 후 PLC를 공격하는 수직이동도 발생할 수도 있다.
이상징후 탐지 기술은 탐지 기술 측면에서 어떻게 구분되는가? 이상징후 탐지 기술은 탐지 기술 측면으로 오용탐지 기반(Misuse Based)과 비정상행위탐지 기반(Anomaly Based)로 구분되며 데이터 소스 측면에서 네트워크 기반(Network Based)과 호스트 기반(Host Based)로 구분된다. Mitchell et al[11]은 [그림 12]와 같이 비정상탐지 기반(Anomaly Based) 하위에 행위 명세 기반(Behavior Specification Based)를 두고 있다.
우크라이나 파워 그리드 공격의 명령 및 제어, 실행 단계에서 멀웨어는 무엇을 가능하게 하였는가? 우크라이나 파워 그리드 공격은 사이버 킬체인 1단계에서 공격 대상에 대한 정찰(Reconnaissance)을 수행하고 무기화(Weaponization) 및 타겟팅(Targeting) 단계에서 BlackEnergy를 Microsoft Office 문서(Excel 및Word)에 포함시키고 전달(Delivery) 및 취약점 공격(Exploit) 단계에서 사이버 침입 단계에서 전자 메일을통해 악의적인 Office 문서가 전기 회사의 관리 또는 IT 네트워크에 있는 개인에게 전달되었다. 설치(Install) 단계에서 멀웨어가 Office 매크로 기능을 사용하여BlackEnergy를 설치하고 명령 및 제어(C2, Command and Control) 및 실행(Act) 단계에서 멀웨어는 명령 및제어 시스템에 연결되어 악성 프로그램 및 감염된 시스템과의 통신을 가능하게 하였다.
질의응답 정보가 도움이 되었나요?

참고문헌 (27)

  1. ICS-CERT Homepage, Control Systems Vulnerabilities and Attack Paths, https://ics-cert.us-cert.gov/content/overview-cyber-vulnerabilities 

  2. D. Formby, S. Durbha, R. Beyah, "Out of Control: Ransomware for Industrial Control Systems", RSA Conference, 2017. 

  3. E.M. Hutchins, M.J. Cloppert and R.M Amin "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains," Proc. 6th Int'l Conf. Information Warfare and Security (ICIW 11), Academic Conferences Ltd., pp. 113-125, 2010. 

  4. Michael J. Assante and Robert M. Lee, The Industrial Control System Cyber Kill Chain, SANS Institute, Oct. 2015. 

  5. E-ISAC, SANS, Analysis of the Cyber Attack on the Ukrainian Power Grid - Defense Use Case. March 18, 2016. 

  6. 권대욱, Smart Factory 구현을 위한 Engineering Model-제어 Engineering 기반 기술, 계장기술, pp.90-85, 2018. 07. 

  7. Max Felser, Hans Doran, Gunnar Prytz, "Overview of Real-Time Ethernet solutions", 2010 IEEE International Conference, ETFA - Workshop, Sep. 2010. 

  8. Micheal H., Barbara F., Challenges for IDS/IPS Deployment in Industrial Control Systems, SANS Institute InfoSec Reading Room, Jul. 2015. 

  9. 김희민, 장엽, 윤정한, 최승오, 김우년, 박상우, 화이트리스트를 이용한 제어시스템의 보안관제 방법 및 이를 위한 시스템, 대한민국 등록특허 10-1871406, 2018.06. 

  10. Mitchell R and Chen IR., "A survey of intrusion detection techniques for cyber-physical systems", ACM Comput Surv, 46(4), 55, 2014. 

  11. Y. Hu, A. Yang, H. Li, Y. Sun, and L. Sun, "A survey of intrusion detection on industrial control systems", International Journal of Distributed Sensor Networks, vol.14, no.8, 2018. 

    상세보기

  12. Morris T, Vaughn R and Dandass Y., "A retrofit network intrusion detection system for MODBUS RTU and ASCII industrial control systems", Proceeding of 45th Hawaii international conference on system science(HICSS), pp.2338-2345, Jan. 2012. 

  13. 윤정한, 민병길, 김우년, 장문수 등, 화이트리스트를 이용한 네트워크 감시 장치 및 방법, 한국전력공사, 대한민국 특허 10-1360591, 2014. 02. 

  14. J.H. Yun, S.H. Jeon, K.H. Kim, W.N. Kim, Burst-based Anomaly Detection on the DNP3 Protocol, International Journal of Control and Automation, V ol. 6, No. 2, pp.313-324, April, 2013 

  15. Yusheng W, Kefeng F, Yingxu L, et al. "Intrusion detection of industrial control system based on Modbus TCP protocol", Proceeding of IEEE 13th international symposium on autonomous decentralized system(ISADS), pp.156-162. Mar. 2017. 

  16. Jean-Marie Flaus, John Georgakis, "Review of machine learning based intrusion detection approaches for industrial control systems", Computer & Electronics Security Applications Rendez-vous(C&ESAR) Conference, Nov. 2018. 

  17. Zhou C, Huang S, Xiong N, et al (2015) Design and Analysis of Multimodel-Based Anomaly Intrusion Detection Systems in Industrial Process Automation. IEEE Trans Syst Man, Cybern Syst 45:1345-1360 . 

    상세보기 crossref

  18. Keliris A, Salehghaffari H, Cairl B et al (2016) Machine Learning-based Defense Against Process-Aware Attacks on Industrial Control Systems. 2016 IEEE International Test Conference (ITC) 

  19. He Y, Mendis GJ, Wei J, Real-time Detection of False Data Injection Attacks in Smart Grids: A Deep Learning-Based Intelligent Mechanism. IEEE Trans Smart Grid 3053:1-12, 2016. 

  20. Caselli M, Zambon E, Kargl F (2016) Sequence-aware Intrusion Detection in Industrial Control Systems Sequence-aware Intrusion Detection in Industrial Control Systems CPSS 2015 - Proceedings of the 1st ACM Workshop on Cyber-Physical System Security, Part of ASIACCS 2015. 13-24. 

  21. Shitharth S, Prince Winston D, An enhanced optimization based algorithm for intrusion detection in SCADA network. Comput Secur 70:16-26, 2017. 

    상세보기 crossref

  22. Yang H, Chen T, Guo X, et al, Research on intrusion detection of industrial control system based on OPSO-BPNN algorithm. Proc 2017 IEEE 2nd Inf Technol Networking, Electron Autom Control Conf ITNEC, Jan. 2018. 

  23. Ullah I, Mahmoud QH, A hybrid model for anomaly-based intrusion detection in SCADA networks, Proc. 2017 IEEE Int Conf Big Data, Jan. 2017. 

  24. Alves T, Das R, Morris T, Embedding Encryption and Machine Learning Intrusion Prevention Systems on Programmable Logic Controllers. IEEE Embedded Systems Letters, 10:3., 2018. 

    상세보기

  25. Moshe Kravchik and Asaf Shabtai, "Detecting cyber attacks in industrial control systems using convolutional neural networks", Proc. the 2018 Workshop on Cyber-Physical Systems Security and PrivaCy, pages 72-83. ACM, 2018. 

  26. Hadziosmanovic D, Sommer R, Zambon E, et al. Through the eye of the PLC: semantic security monitoring for industrial processes. Proc. 30th annual computer security applications conference, pp.126-135. 2014. 

  27. Lin H, Slagell A, Kalbarczyk Z, et al. Semantic security analysis of scada networks to detect malicious control commands in power grids. In: Proceedings of the 2013 first ACM workshop on smart energy grid security, pp. 29-34, Nov. 2013. 

관련 콘텐츠

저작권 관리 안내
섹션별 컨텐츠 바로가기

AI-Helper ※ AI-Helper는 오픈소스 모델을 사용합니다.

AI-Helper 아이콘
AI-Helper
안녕하세요, AI-Helper입니다. 좌측 "선택된 텍스트"에서 텍스트를 선택하여 요약, 번역, 용어설명을 실행하세요.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.

선택된 텍스트

맨위로