Convergence Security Journal (융합보안논문지)

Korea convergence Security Association (한국융합보안학회)
권호 표지

A Study on the Analysis of Validity and Importance of Event Log for the Detection of Insider Threats to Control System

제어시스템의 내부자 위협 탐지를 위한 Event Log 타당성 및 중요도 분석에 관한 연구

  • 김종민 (경기대학교 융합보안학과) ;
  • 김동민 (동신대학교 에너지융합대학 전기공학부) ;
  • 이동휘 (동신대학교 에너지융합대학 에너지응용학부)
  • Received : 2018.09.06
  • Accepted : 2018.09.29
  • Published : 2018.09.30
Download PDF
⟨ Previous Next ⟩

Abstract

With the convergence of communications network between control system and public network, such threats like information leakage/falsification could be fully shown in control system through diverse routes. Due to the recent diversification of security issues and violation cases of new attack techniques, the security system based on the information database that simply blocks and identifies, is not good enough to cope with the new types of threat. The current control system operates its security system focusing on the outside threats to the inside, and it is insufficient to detect the security threats by insiders with the authority of security access. Thus, this study conducted the importance analysis based on the main event log list of "Spotting the Adversary with Windows Event Log Monitoring" announced by NSA. In the results, the matter of importance of event log for the detection of insider threats to control system was understood, and the results of this study could be contributing to researches in this area.

제어시스템은 공공 네트워크와의 통신망 융합에 따라 다양한 루트를 통해 정보유출 및 변조 등의 위협이 제어시스템에서도 그대로 나타날 수 있다. 최근 다양한 보안에 대한 이슈와 새로운 공격기법에 의한 침해 사례가 다변화됨에 따라서, 단순히 차단 및 확인 등의 학습을 통해 정보를 데이터베이스화하는 보안 시스템으로는 새로운 형태의 위협에는 대처하기 힘들어지고 있다. 현재 제어시스템에서는 이처럼 외부에서 내부로의 위협에 치중하여 보안 시스템을 운용하고 있으며, 보안 접근 권한을 가진 내부자에 의한 보안위협 탐지에 대해서는 미비한 실정이다. 이에 따라 본 연구에서는 NSA에서 발표한 "Spotting the Adversary with Windows Event Log Monitoring"의 주요 Event Log 목록을 토대로 중요도 분석을 실시하였다. 그 결과 제어시스템에 내부자 위협탐지를 위한 Event Log의 중요도 여부를 알 수 있었으며, 분석결과를 바탕으로 이 분야의 연구에 기여할 수 있을 것으로 판단된다.

Keywords

References

  1. 이동휘, 최경호, "제어망에서 화이트 리스트 기법을 이용한 이상 징후 탐지에 관한 연구", 융합보안학회논문지, Vol. 12, No. 4, 2012, pp. 77-84.
  2. 이경문, "발전제어시스템 악성코드 방어를 위한 보안관제 모델 연구", 석사학위논문, 2017. 02.
  3. Steven Cheung, Bruno Dutertre, Martin Fong, Ulf Lindqvist, Keith Skinner and Alfonso Valdes, "Using Model-based Intrusion Detection for SCADA Networks", Computer Science Laboratory SRI International, http://www.csl.sri.com/users/cheung/SCADA-IDS-S4-2007.pdf, December 7, 2006.
  4. Alfonso Valdes, Steven Cheung, "Communication Pattern Anomaly Detection in Process Control Systems Technologies for Homeland Security", HST '09. IEEE Conference on, pp. 22-29, May 2009.
  5. Saranya Parthasarathy and Deepa Kundur, "Bloom Filter Based Intrusion Detection For Smart Grid SCADA", Electrical & Computer Engineering (CCECE), 2012 25th IEEE Canadian Conference on, pp.1-6, May 2012.
  6. Martin Naedele, Dacfey Dzung, Michael Stanimirov, "Network Security for Substation Automation Systems", Computer Safety, Reliability and Security, pp.25-34, Sep 2001.
  7. Juan Hoyos, Mark Dehus and Timthy X Brown, "Exploiting the GOOSE protocol: A practical attack on Cyber-infrastructure", GlobeCom'12 Workshop: Smart Grid Communications: Design for Performance, 2012.
  8. Minasi, Mark, Gibson, Darril, Finn, Aidan, Henry, "Mastering Windows Server 2008 R2", Wiley, 2012. 08, p. 921.
  9. Spotting the Adversary with Windows Event Log Monitoring: An Analysis of NSA Guidance, February 28, 2013.
  10. Ung, S.T., "The Development of Safety and Security Assessment Techniques and Their Application to Port Operations", PhD Thesis, School of Engineering, Liverpool John Moores University, UK, 2007.
  11. S.W. Kim, A. Wall, J. Wang, "Application of AHP to Fire Safety Based Decision Making of a Passenger Ship", OPSEARCH, September 2008, Volume 45, Issue 3, pp 249-262. https://doi.org/10.1007/BF03398817
  12. Saaty, R. L., "The analytic hierarchy process", McGraw Hill, New York, 2008.