상세정보
등록 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법
- 출원번호
- 10-2013-0032212 (2013.03.26) KIPRIS
- 공개번호
- 10-2014-0117753 (2014.10.08)
- 등록번호
- 10-1889502-0000 (2018.08.10)
- 출원국
- 대한민국
- 협약과제
- 12VG1200, 파이프라인 시설의 가용성 확보를 위한 제어시스템 인트라넷 보호용 침해사고 이상징후 탐지 및 다중계층 대응기술 개발, 나중찬
- 초록
- 본 발명은 제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법에 관한 것이다. 개시된 비정상 트래픽 탐지 방법은 수신된 패킷이 MODBUS 요청 메시지이면 세션 정보가 관리 테이블에 존재하는지 검사하는 단계와, 관리 테이블에 세션 정보가 존재하지 않으면 새로운 엔트리를 관리 테이블에 추가하는 단계와, 관리 테이블에 세션 정보가 존재하면 해당 테이블 엔트리 내의 트랜잭션 ID가 수신된 MODBUS 요청 메시지의 트랜잭션 ID와 동일한지 여부를 검사하는 단계와, 테이블 엔트리와 MODBUS 요청 메시지의 트랜잭션 ID가 동일하지 않으면 수신된 MODBUS 요청 메시지의 데이터와 테이블 엔트리 내의 데이터가 동일한지를 검사하는 단계와, 테이블 엔트리와 MODBUS 요청 메시지의 트랜잭션 ID가 동일하거나 데이터가 동일하면 비정상 트래픽으로 탐지하는 단계와, 테이블 엔트리와 MODBUS 요청 메시지의 데이터가 동일하지 않으면 테이블 엔트리를 MODBUS 요청 메시지의 패킷 정보로 갱신하는 단계를 포함한다. 따라서, 제어시스템 프로토콜 상의 정상적인 서비스 연결을 방해하거나 오류를 유발할 수 있는 형태의 비정상 트래픽을 조기에 탐지하고 대응할 수 있도록 하여 제어시스템 간의 안정적인 연결 서비스를 제공하며, 이는 공격자에 의한 의도적인 행위뿐만 아니라, 시스템 및 네트워크 오류로 인한 비정상 트래픽에 대해서도 신속하게 탐지, 대응할 수 있도록 한다.
- KSP 제안 키워드
- Abnormal traffic, Control systems, Detection Method, Traffic detection