A Study of an Anomalous Event Detection using White-List on Control Networks

제어망에서 화이트 리스트 기법을 이용한 이상 징후 탐지에 관한 연구

  • 이동휘 (경기대학교 산업보안학과) ;
  • 최경호 (경기대학교산업기술보호특화센터)
  • Received : 2012.08.27
  • Accepted : 2012.09.07
  • Published : 2012.09.30

Abstract

The control network has been operated in a closed. But it changes to open to external for business convenience and cooperation with several organizations. As the way of connecting with user extends, the risk of control network gets high. Thus, in this paper, proposed the technique of an anomalous event detection using white-list for control network security and minimizing the cyber threats. The proposed method can be collected and cataloged of only normal data from traffic of internal network, control network and field devices. Through way to check the this situation, we can separate normal and abnormal behavior.

폐쇄적으로 구축되었던 제어망이 최근 업무 상 편의 또는 대외 기관과의 협력 필요 등으로 외부와 연동되면서, 일반적인 네트워크 환경과 유사하게 변화하고 있다. 그리고 개방형 운영체제, 프로그램 및 프로토콜 등을 사용하는 제어망 환경은 기존에 알려진 보안 취약점을 그대로 갖고 있으며, 제어 시스템의 취약점과 관련한 공격 기법이 발달하는 등의 위험에 직면하고 있다. 이에 따라 본 연구에서는 화이트 리스트 기법을 적용한 이상 징후 탐지를 통해 보안성을 확보하고 위협을 최소화할 수 있는 방안을 제시하였다. 제시된 방법을 통해 업무망, 제어망 및 필드장치 내 트래픽을 모니터링하여 정상적인 데이터만을 수집 및 목록화 할 수 있고, 비정상행위로부터 격리된 상태를 확인하여 위협을 배제시킬 수 있다. 그러나 정상적 비정상적 트래픽 패턴에 대한 오경보가 발생할 수 있으며, 이를 최소화하는 노력도 함께 경주해야 한다.

Keywords

References

  1. 김경아, 이대성, 김귀남, "공격 트리를 이용한 산업 제어 시스템 보안 위험 분석", 정보․보안 논문지, 제11권, 제6호, 2011
  2. Bela Genge, Christos Siaterlis, Igor Nai Fovino and Marcelo Masera, "A cyber-physical experimentation environment for the security analysis of networked industrial control systems", Computers & Electrical Engineering, In Press, Corrected Proof, Available online 21 July 2012.
  3. A. Nicholson, S. Webber, S. Dyer, T. Patel and H. Janicke, "SCADA security in the light of Cyber-Warfare", Computers & Security, Vol. 31, Issue 4, pages 418 - 436, June 2012. https://doi.org/10.1016/j.cose.2012.02.009
  4. 최명균, 이동범, 곽 진, "제어 시스템에 대한 보안 정책 동향 및 보안 취약점 분석", 정보보호학회지, 제21권, 제5호, pages 55 - 64, 2011.
  5. 김인중, 정윤정, 고재영, 원동호, "중요핵심기반시설(SCADA)에 대한 보안 관리 연구", 한국통신학회논문지, Vol. 30, No. 8C, 2005.
  6. 김영진, 이정현, 임종인, "SCADA시스템의 안정성 확보방안에 관한 연구", 정보보호학회논문지, 제19권, 제6호, pages 145 - 152, 2009.
  7. "ScanSafe Global Threat Report", http://www.scansafe.com/_data/assets/pdf_file/9471/Q3_2008_GTR.pdf, 2008.
  8. 김민준, 김귀남, "데이터 마이닝 기반 보안관제 시스템", 정보․보안 논문지, 제11권, 제6호, pages 3-8, 2011.
  9. 고폴린, 최화재, 김세령, 권혁민, 김휘강, "트래픽 자기 유사성(Self-similarity)에 기반한 SCADA 시스템 환경에서의 침입탐지방법론", 정보보호학회논문지, 제22권, 제2호, pages 267 - 281, 2012.
  10. 김완집, 김휘강, 이경호, 염흥열, "도시 기반시설 SCADA 망의 위험분석 및 모니터링 모델 연구", 정보보호학회논문지, 제21권, 제6호, pages 67 - 81, 2011.
  11. Animesh Patcha and Jung-Min Park, "An overview of anomaly detection techniques: Existing solutions and latest technological trends", Computer Networks, Vol. 51, Issue 12, Pages 3448 - 3470, 22 August 2007. https://doi.org/10.1016/j.comnet.2007.02.001
  12. 신문선, 류근호, "침입탐지시스템의 성능향상을 위한 결정트리 기반 오경보 분류", 정보과학회논문지, 제34권, 제6호, pages 473 - 482, 2007.
  13. E. Carl, S. Eugene, and M. Jim, "Intrusion Detection and Prevention", McGraw-Hill, 2004.
  14. C. Frederic and M. Alexander, "Alert Correlation in a Cooperative Intrusion Detection Framework", IEEE Symposium on Security and Privacy, 2002.
  15. Chirag Modi, Dhiren Patel, Bhavesh Borisaniya, Hiren Patel, Avi Patel and Muttukrishnan Rajarajan, "A survey of intrusion detection techniques in Cloud", Journal of Network and Computer Applications, In Press, Corrected Proof, Available online, 2 June 2012.
  16. Tsong Song Hwang, Tsung-Ju Lee and Yuh-Jye Lee, A Three-tier IDS via Data Mining Approach, Proceedings of the 3rd Annual ACM Workshop on Mining Network Data, pages 1 - 6, MineNet 2007, 2007.
  17. Frédéric Giroire, Jaideep Chandrashekar, Nina Taft, Eve M. Schooler and Dina Papagiannaki, " Exploiting Temporal Persistence to Detect Covert Botnet Channels", Recent Advances in Intrusion Detection, 12th International Symposium, RAID 2009, Lecture Notes in Computer Science, 5758, Springer, pages 326 - 345, 2009.
  18. http://pdf.datanet.co.kr/207/207153.PDF
  19. J. Lee, H. Lee and S. Kim, "Development Plan of Korean - Energy Management System", Proc. of the 17th Conference of the Electric Power Supply Industry, pp.1-3, 2008.