<30372DB9DAB5BFB1D42DBBEABEF720C1A6BEEE20BDC3BDBAC5DB20BAB8BEC8C0BB20C0A7C7D120C6D0C5B62E687770>

Similar documents
°í¼®ÁÖ Ãâ·Â

UDP Flooding Attack 공격과 방어

이도경, 최덕재 Dokyeong Lee, Deokjai Choi 1. 서론

04_이근원_21~27.hwp

09권오설_ok.hwp

DBPIA-NURIMEDIA

DBPIA-NURIMEDIA

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 10, Oct ,,. 0.5 %.., cm mm FR4 (ε r =4.4)

디지털포렌식학회 논문양식

<31325FB1E8B0E6BCBA2E687770>

인문사회과학기술융합학회

<35335FBCDBC7D1C1A42DB8E2B8AEBDBAC5CDC0C720C0FCB1E2C0FB20C6AFBCBA20BAD0BCAE2E687770>

DBPIA-NURIMEDIA

example code are examined in this stage The low pressure pressurizer reactor trip module of the Plant Protection System was programmed as subject for

제20회_해킹방지워크샵_(이재석)

<353420B1C7B9CCB6F52DC1F5B0ADC7F6BDC7C0BB20C0CCBFEBC7D120BEC6B5BFB1B3C0B0C7C1B7CEB1D7B7A52E687770>

DBPIA-NURIMEDIA

À±½Â¿í Ãâ·Â

DBPIA-NURIMEDIA

김기남_ATDC2016_160620_[키노트].key

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Nov.; 26(11),

<30362E20C6EDC1FD2DB0EDBFB5B4EBB4D420BCF6C1A42E687770>

PowerPoint 프레젠테이션

6.24-9년 6월

10 이지훈KICS hwp

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 29(2), IS

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Sep.; 30(9),

Microsoft Word - 1-차우창.doc

04-다시_고속철도61~80p

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 27(12),

012임수진

Microsoft PowerPoint - G3-2-박재우.pptx

KDTÁ¾ÇÕ-2-07/03

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Jun.; 27(6),

정진명 남재원 떠오르고 있다. 배달앱서비스는 소비자가 배달 앱서비스를 이용하여 배달음식점을 찾고 음식 을 주문하며, 대금을 결제까지 할 수 있는 서비 스를 말한다. 배달앱서비스는 간편한 음식 주문 과 바로결제 서비스를 바탕으로 전 연령층에서 빠르게 보급되고 있는 반면,

???? 1

歯1.PDF

<333820B1E8C8AFBFEB2D5A B8A620C0CCBFEBC7D120BDC7BFDC20C0A7C4A1C3DFC1A42E687770>

untitled

Network Security - Wired Sniffing 실습 ICNS Lab. Kyung Hee University


06_ÀÌÀçÈÆ¿Ü0926

1217 WebTrafMon II

일반적인 네트워크의 구성은 다음과 같다

정보기술응용학회 발표

ePapyrus PDF Document

???? 1

RFID USN_K_100107

3. 클라우드 컴퓨팅 상호 운용성 기반의 서비스 평가 방법론 개발.hwp

서론 34 2

Analysis of objective and error source of ski technical championship Jin Su Seok 1, Seoung ki Kang 1 *, Jae Hyung Lee 1, & Won Il Son 2 1 yong in Univ

Æ÷Àå82š

Journal of Educational Innovation Research 2018, Vol. 28, No. 4, pp DOI: A Study on Organizi

Journal of Educational Innovation Research 2018, Vol. 28, No. 3, pp DOI: NCS : * A Study on

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE. vol. 29, no. 6, Jun Rate). STAP(Space-Time Adaptive Processing)., -

(JBE Vol. 21, No. 1, January 2016) (Regular Paper) 21 1, (JBE Vol. 21, No. 1, January 2016) ISSN 228

Microsoft PowerPoint - C7_김형진 [호환 모드]

00내지1번2번

04 최진규.hwp

±èÇö¿í Ãâ·Â

DIY 챗봇 - LangCon

Coriolis.hwp

학습영역의 Taxonomy에 기초한 CD-ROM Title의 효과분석

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 25(3),

232 도시행정학보 제25집 제4호 I. 서 론 1. 연구의 배경 및 목적 사회가 다원화될수록 다양성과 복합성의 요소는 증가하게 된다. 도시의 발달은 사회의 다원 화와 밀접하게 관련되어 있기 때문에 현대화된 도시는 경제, 사회, 정치 등이 복합적으로 연 계되어 있어 특

저작자표시 - 비영리 - 변경금지 2.0 대한민국 이용자는아래의조건을따르는경우에한하여자유롭게 이저작물을복제, 배포, 전송, 전시, 공연및방송할수있습니다. 다음과같은조건을따라야합니다 : 저작자표시. 귀하는원저작자를표시하여야합니다. 비영리. 귀하는이저작물을영리목적으로이용할

µðÇÃÇ¥Áö±¤°í´Ü¸é

03-서연옥.hwp

KDTÁ¾ÇÕ-1-07/03

DBPIA-NURIMEDIA

Microsoft Word - KSR2012A021.doc

High Resolution Disparity Map Generation Using TOF Depth Camera In this paper, we propose a high-resolution disparity map generation method using a lo

10(3)-10.fm

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Mar.; 26(3),


À¯Çõ Ãâ·Â

Lumbar spine

DBPIA-NURIMEDIA

감각형 증강현실을 이용한

14.531~539(08-037).fm

<B8F1C2F72E687770>

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Dec.; 26(12),

12È«±â¼±¿Ü339~370

Æ÷Àå½Ã¼³94š

DBPIA-NURIMEDIA

05( ) CPLV12-04.hwp

歯DCS.PDF

THE JOURNAL OF KOREAN INSTITUTE OF ELECTROMAGNETIC ENGINEERING AND SCIENCE Feb.; 28(2),

878 Yu Kim, Dongjae Kim 지막 용량수준까지도 멈춤 규칙이 만족되지 않아 시행이 종료되지 않는 경우에는 MTD의 추정이 불가 능하다는 단점이 있다. 최근 이 SM방법의 단점을 보완하기 위해 O Quigley 등 (1990)이 제안한 CRM(Continu

PowerChute Personal Edition v3.1.0 에이전트 사용 설명서

UML

+À¯½Å.PDF

Journal of Educational Innovation Research 2019, Vol. 29, No. 1, pp DOI: (LiD) - - * Way to

04 김영규.hwp

Intra_DW_Ch4.PDF

82-01.fm

Analyses the Contents of Points per a Game and the Difference among Weight Categories after the Revision of Greco-Roman Style Wrestling Rules Han-bong

09오충원(613~623)

10(3)-12.fm

Transcription:

Journal of the Korea Academia-Industrial cooperation Society Vol. 19, No. 4 pp. 47-56, 2018 https://doi.org/10.5762/kais.2018.19.4.47 ISSN 1975-4701 / eissn 2288-4688 산업제어시스템보안을위한패킷분석기반비정상행위탐지시스템구현 김현석, 박동규 * 순천향대학교정보통신공학과 Implementation of abnormal behavior detection system based packet analysis for industrial control system security Hyun-Seok Kim, Dong-Gue Park * Department of Information and Communication Engineering, Soonchunhyang University 요약가스, 전력, 수처리, 원자력, 교통관제시스템등과같은국가적규모의산업제어시스템은점차발전하는정보통신기술에따라점차개방된네트워크와공개된표준프로토콜을사용하고있다. 개방된네트워크와공개된표준프로토콜을사용하고있기때문에사이버공격에대한빈도는점점증가하고있는추세이지만이에관련한후속조치는매우부족한실정이다. 따라서산업제어시스템을위한보안솔루션의적용은매우중요하다. 하지만실제의시스템에보안솔루션을적용하는것은산업제어시스템의특성때문에사실상불가능하고기존시스템에영향을주지않고공격의발생유무를탐지할수있는보안시스템이필수적이다. 따라서본논문에서는산업제어시스템에영향을주지않고비정상행위를탐지하는패킷분석기반의침입탐지시스템을제안하고제안한침입탐지시스템을실제의환경을재현한산업제어시스템테스트베드에적용함으로써신뢰성있는데이터를기반으로제안한시스템의효율성을검증한다. Abstract National-scale industrial control systems for gas, electric power, water processing, nuclear power, and traffic control systems increasingly use open networks and open standards protocols based on advanced information and communications technologies. The frequency of cyberattacks increases steadily because of the use of open networks and open standards protocols, but follow-up actions are limited. Therefore, the application of security solutions to an industrial control system is very important. However, it is not possible to apply security solutions to a real system because of the characteristics of industrial control systems. And a security system that can detect attacks without affecting the existing system is imperative. Therefore, in this paper, we propose an intrusion detection system based on packet analysis that can detect anomalous behaviors without affecting the industrial control system, and we verify the effectiveness of the proposed intrusion detection system by applying it in a test bed simulating a real environment. Keywords : abnormal behavior detect, cyber attack experiment, industrial control system, intrusion dectection system, ICS security 1. 서론 산업제어시스템 (Industrial Control System) 은가스, 전력, 원자력, 교통등과같은국가적규모의주요기반시 설및산업분야에서원거리에산재된시스템을감시하고제어하는시스템을통칭한다. 산업제어시스템은과거의폐쇄적인네트워크및독자적인프로토콜을사용하여사이버공격으로부터비교적안전하였지만, 현대의 본논문은순천향대학교연구비로연구되었음. * Corresponding Author : Dong-Gue Park(Soonchunhyang Univ.) Tel: +82-41-530-1347 email: dgpark@sch.ac.kr Received January 9, 2018 Revised (1st February 6, 2018, 2nd March 7, 2018, 3rd April 5, 2018) Accepted April 6, 2018 Published April 30, 2018 47

한국산학기술학회논문지제 19 권제 4 호, 2018 산업제어시스템은정보통신기술의진화에따라많은비용절감, 효율성, 편리성, 유연성과같은많은이점이존재하기때문에외부의개방된네트워크에연결하고공개된표준프로토콜을사용하도록진화하였다. 따라서현대의산업제어시스템은개방된네트워크에노출되어있고공개된표준프로토콜을사용하기때문에많은공격자로부터사이버공격의대상이되고있다. 산업제어시스템은사이버공격의정도에따라금전적인손실부터인간의생명까지위협할수있기때문에산업제어시스템을보호하는것은매우중요한문제이다. 하지만대부분의산업제어시스템은노후화된하드웨어및운영체제를사용하고있고시스템운영자들의산업제어시스템보안에대한지식부족및관심의부족으로인해많은취약점이발견됨에도불구하고패치가이루어지지않는등의문제점이많이발생하고있다 [1]. 특히 2010년도에발생한스턱스넷 (Stuxnet) 악성코드공격은기존의 IT 시스템에는전혀영향을주지않지만산업제어시스템에는치명적인결과를초래할수있다. 이공격으로인해이란의원전시설이파괴되었다. 이와같은사이버공격을탐지하기위하여산업제어시스템에는기존의시스템에영향을주지않는특징을가진침입탐지시스템 (Intrusion Detection System) 이적용되어비정상행위를탐지한다. 하지만대부분의침입탐지시스템은스턱스넷과같이물리프로세서의직접적인비정상행위는탐지하지않는다. 따라서많은보안을위한연구가진행되고있지만계속해서발생하는새로운방식의공격에는대응하지못하고있는실정이다. 따라서본논문에서는스턱스넷과같은공격방식을탐지하기위하여물리계층과통신하는 PLC 사이의구간을검사포인트 (Check point) 로설정하고그구간의비정상행위를탐지하는침입탐지시스템을제안및구현하고기존의산업제어시스템테스트베드에적용함으로써제안한시스템의효율성을검증한다. 본논문의구성을다음과같다. 2장은산업제어시스템의취약점및사이버공격의실제사례그리고기존제어시스템침입탐지연구에대하여서술한다. 3장에서는본논문에서제안하는산업제어시스템을위한침입탐지시스템을서술하고 4장에서침입탐지시스템의성능검증을위한공격실험과그결과를확인하며 5장에서결론을맺는다. 2. 관련연구 다음 Table 1 과 Table 2 그리고 Fig.1 은미국 ICS-CERT에서산업제어시스템의사고분야를조사한결과와실제로산업제어시스템을대상으로발생한공격과실제피해사례그리고공격방식이다. Table 1과 Table 2 그리고 Fig.1에서도확인할수있듯이산업제어시스템에대한공격은매년점점증가하고있다. 하지만발생한사고의원인은대부분이알수없는새로운종류의공격이계속해서발생하고있고충분한탐지및로깅의부재로식별조차되지않고있는실정이다 [3-4]. 이렇게발견된사례들뿐아니라발견되지않은경우가더많을것으로예상된다. Table 1. Statistics of accidents in industrial control system Sector 2013 2014 2015 Emergency 0 0 10 Energy 19 43 33 Governmnet Facilities 2 5 12 Transportation 10 10 9 Water and Wastewater 23 38 39 Nuclear reactors etc. 8 5 0 Information technology 2 0 3 Total 64 101 106 Fig. 1. Attack type statistics for industrial control systems 48

산업제어시스템보안을위한패킷분석기반비정상행위탐지시스템구현 Table 2. Cases of attack damage to industrial control system Case Hacking the Queen-sland sewage treatment plant (2000) Hacking the Davis-Besse nuclear power station (2003) Hacking the Poland Tram control system (2008) Stuxnet (2010) Havex malware(2014) Hacking the Ukraine power plant (2015) Result The sewage treatment system was taken over by control, and as a result, a large amount of wastewater was discharged. The SQL server was infected with malware, and the processing computer did not work. The control system was hacked, resulting in train derailment and injuries of passengers. Destruction of nuclear facilities in Iran caused by malicious code infections. Habex malware was found in a Nordic SCADA software provider. Large scale power outage occurred due to takeover control of power plant. Table 2에서확인가능한것처럼대부분의공격방식은데이터를조작하는중간자공격방식의공격과정상적인기능수행을방해하는디도스공격그리고산업제어시스템에특화된공격인스턱스넷이산업제어시스템을대상으로하는공격중대표적인공격방식이다. 산업제어시스템의보안을위해방화벽이나각종보안솔루션을적용하지만공격방식이점점진화함에따라계속해서피해가발생하고있다. 따라서이러한새로운공격들을방어하기위해비정상행위들을탐지하는침입탐지시스템을적용하고있다. 하지만기존의산업제어시스템에보안솔루션을적용하는것은기존시스템의운영에문제를줄수있기때문에제한되는경우가대부분이다. 따라서기존의시스템에영향을주지않고공격을감지할수있는구성요소가필요하다. 또한산업제어시스템은공격사례에비추어볼때기존의알려진공격이아닌전혀새로운방식의공격들이많이발생하고있고앞으로점점진화할것이다. 따라서알려진공격뿐만아니라새로운공격또한탐지가가능한침입탐지시스템의적용이필수적이다. 다음은산업제어시스템의비정상행위를탐지하기위하여연구한침입탐지시스템이다. [5] 는산업제어시스템에서발생할수있는이상징후를유형별로분류하고화이트리스트를기반으로이상징후를탐지하는연구로낮은오탐율을가지지만탐지범위가한정된다는단점이있다. 네트워크기반의탐지시스템으로제어시스템의물리계층의탐지는불가능한단점을가지고있다. [6] 은많은기관에서사용하는 SCADA(Supervisory Control And Data Acquisition) 룰을수집하여데이터베이스로제공하여이룰을사용하여공격을탐지하는방식으로여러시스템에적용이가능한장점이있지만. SCADA 룰을사용하여탐지를하기때문에기존의탐지방식인알려지지않은공격에는다소취약한단점을가지고있다. [7] 은정상적인시스템동작을관찰하여안전한영역을설정하고그영역을벗어나는경우탐지하는방식으로안전한영역을설정하는기준이네트워크패킷의헤더와시스템의 CPU 상태를컴퓨터가자율적으로판단하기때문에실제액추에이터가동작하는물리계층에서의데이터변화를감지하는것이쉽지않은단점이있다. [9] 는 DDoS 공격을막기위한연구로적용시스템마다환경에대한분석이필요한단점을가지고있다. 본논문에서는이러한문제점을해결하기위해비정상행위를탐지하는침입탐지시스템을제안하고실제패킷을스니핑하는시스템을구현하여이전논문에서구현한테스트베드 [2] 에적용함으로써제안한시스템의효율성을검증한다. 3. 제안하는침입탐지시스템산업제어시스템에적용이가능하기위해서는기존의시스템에영향을주지않고공격을감지할수있는구성요소가필요하며, 알려진공격뿐만아니라새로운공격또한탐지가가능한침입탐지시스템이필수적이다. 따라서본논문에서는기존의시스템에영향을주지않고비정상행위를탐지하는 Fig.2와같은행위기반침입탐지시스템을제안한다. 제안하는침입탐지시스템은오픈소스패킷캡쳐라이브러리인 WinPcap을기반으로구성된다. Pa-cket_sniffer는각각물리프로세스와 PLC(Programmable Logic Controller) 간의통신패킷과서버와 PLC간의통신패킷을캡쳐하는즉, 검사포인트의패킷을스니핑하는기능을수행한다. 49

한국산학기술학회논문지제 19 권제 4 호, 2018 Table 3. Implementation environment and tools of this paper Implementation Testbed Intrusion detection system Environment Windows 10 Windows 10 Tools VS 2015, Matlab(Simulink) VS 2015 Language C, C++, Portran C, C++ Fig. 2. Architecture of intrusion detection system Fig.3과같이각구간별로캡쳐한패킷은 integrity_ analyzer에서비교하여같은시간에발생하여전송된패킷인지비교한다. 침입탐지시스템은시스템의두구역에서패킷을스니핑한다. 각각의 packet_sniffer는물리프로세스와 PLC사이의통신패킷과 PLC와서버사이의패킷을스니핑하여 analyzer부로전달한다. 비교결과이상이없다면통신의송수신주기를분석하는 timing_sequence_analyzer, 통신프로토콜을분석하는 protocol_analyzer 그리고통신데이터를분석하는 payload_analyzer에서탐지규칙을적용하여분석한다. 본논문의침입탐지시스템이비정상행위를탐지하기위한탐지조건은송수신주기, 통신프로토콜, 패킷의페이로드로다음 Table 4와같이 3가지로정의하고각각의조건에대하여탐지규칙을정의하였다. 또한각각의탐지조건과관련있는공격을정리하였다. Table 4. Detection conditions of intrusion detection system and related attack Detection rule Related attack Condition 1 Condition 2 Condition 3 Timing sequence Scanning, Probing, MITM, DDoS Communication Protocol Manipulating, MITM Packet Payload Stuxnet like attack Fig. 3. Process of checking data integrity 제안한침입탐지시스템은다음 Table 3과같은환경과도구및언어를사용하여구현하였다. 이전연구 [2] 에서구현한테스트베드는물리프로세스구현을위해 matlab과 visual studio를사용하였고침입탐지시스템은 visual studio를사용하여구현하였다. 이때패킷을스니핑하기위하여 WinPcap 라이브러리를사용하였다. 산업제어시스템은주기성을가지며일정한데이터를가지고통신을하는특징을갖는다. 일반적인 IT 시스템에비해송수신주기의폭은여유롭지만정해진송수신주기는엄격하게지켜야한다. 제어권탈취및디도스공격의영향으로인한송수신주기의변화를탐지하기위하여탐지조건 1로정의하였다. 본논문의침입탐지시스템은송수신주기를 1초로정의한다. Modbus 프로토콜은산업제어시스템에서많이사용되고있는산업표준프로토콜중하나이다. 감청, 조작등과같은중간자공격과같은탈취및침입에의한공격에의해프로토콜구조의손상이발생할수있다. 따라서캡쳐한패킷의구조를분석하여 Modbus 프로토콜인지확인하기위하여조건 2로정의하였다. 다음 Table 5 는 Modbus/TCP의필드들을나타낸다. 총 6개의필드를검사하여 Modbus 표준프로토콜과일치하는지확인하고 transaction 필드를통해요청한패킷에맞는패킷을확인하여각각의 packet_sniffer가스니핑한패킷을 integrity_analyzer에서비교할수있도록한다. 50

산업제어시스템보안을위한패킷분석기반비정상행위탐지시스템구현 Table 5. Detection rules of condition 2 (Protocol) field name transaction identifier protocol identifier length field unit identifier function code data bytes Modbus TCP(read) function data processing sequence number Modbus TCP -> 0 length to end of packet slave address (255 when not used) code : 0x03 Modbus read data information to request Modbus TCP(write) field function name transaction identifier protocol identifier length field unit Identifier function code data bytes data processing sequence number Modbus TCP -> 0 length to end of packet slave address (255 when not used) code : 0x10 Modbus write transmission data Payload는패킷에서실제데이터가저장되어있는필드로어떠한데이터를통신하는지확인할수있다. 따라서검사포인트의데이터에저장되어있는 payload를검사하여스턱스넷방식의공격이탐지가능하다. 본논문의침입탐지시스템은테네시이스트만공정을모델링한테스트베드에서검증을수행하기때문에테네시이스트만공정의정상데이터범위내에서동작하는지분석하기위하여조건 3으로정의하였다. Table 6는 payload 의데이터를분석하기위한탐지규칙중일부이고, Table 6을포함하여총 53개의항목으로구성되어있다. 각각의데이터는최소값에서최대값까지의값으로변화할수있으며별도의시뮬레이션설정값이없다면디폴트값으로프리셋되어전달된다 [8]. 침입탐지시스템의 payload_analyzer는패킷의 data bytes 필드데이터를검사하여물리프로세스의데이터가최소값과최대값사이에서동작하는지를분석한다. 각각의분석도구에서패킷의분석을마치고나면분석결과를 event_handler에전달하고, Table 7과같이분석결과에따른이벤트를발생시켜사용자에게알린다. 분석중오류인분석결과가발생하면분석도구는더이상분석을진행하지않고 event_handler에서오류메시지를통해사용자에게문제가있음을알린후다음패킷을검사한다. 산업제어시스템에서발생하는공격중시스템외부또는심지어시스템내부에서발생하는공격은어느구간에서공격이발생했는지파악하기가쉽지않다. 이처 럼실제공격의발생유무를파악하지못하는경우가대부분을차지한다. 때문에 event_handler를통해본논문의침입탐지시스템의탐지규칙에부합하지않는패킷으로통신한경우패킷의어느필드에어떠한문제가있는지를사용자에게알릴수있도록구현하여사용자가그에알맞은조치를취할수있을것으로사료된다. Table 6. Detection rules of condition 3 (Payload) Variable Min. Max. Default(%) Unit D feed (XMS01) E feed (XMS02) 0 5811 63.053 kg/h 0 8354 53.980 kg/h A feed (XMS03) 0 1.017 24.644 kscm/h A/C feed (XMS04) 0 15.25 61.302 kscm/h Compressor valve 0 100 22.210 % Purge valve 0 100 40.064 % Separator flow 0 65.71 38.100 m /h Stripper flow 0 49.10 46.534 m /h Stripper vavle 0 100 47.446 % Reactor water flow Condenser water flow 0 227.1 41.106 m /h 0 272.6 18.114 m /h Agitator speed (XMS11) 150 250 50.000 rpm............... Component H (XMS53) none none 43.828 mol% Table 7. Operation of event_handler according to analysis result of each analyzer Tool Integrity_analyzer Timing_.._analyzer Analysis result Generation event 0x00 : normal 0x01 : error Output error message 0x00 : normal 0x01 : different from setup time Output time and error message Tool Protocol_analyzer Payload_analyzer Analysis result Generation event 0x00 : normal 0x01 ~ 0x06 : no. 1-6 field error Output the field and error message 0x00 : normal 0x01 ~ 0x53 : XMS01 ~ XMS53 value error Output error value and error message 51

한국산학기술학회논문지제 19 권제 4 호, 2018 4. 침입탐지시스템공격탐지실험 본논문에서제안한침입탐지시스템의효율성을검증하기위해산업제어시스템에서많이발생하는공격방식을실험하였다. 산업제어시스템에서주로발생하고공격결과가치명적인공격인중간자공격과디도스공격그리고스턱스넷과유사한공격실험을진행하였다. 본논문의침입탐지시스템은유효성을검증하기위해 Fig.4와같이실제환경의산업제어시스템의테스트베드를사용하였다. 테스트베드는물리프로세스, PLC, 서버, HMI, 히스토리안, 공격자로구성되며테스트베드에대한정보는본논문의이전연구 [2] 에서확인할수있다. Fig. 5. Packet sniffed by wireshark Fig. 6. Packet sniffed by intrusion detection system Fig. 4. Testbed configuration with intrusion detection system 공격실험에앞서침입탐지시스템의신뢰성을검증하기위하여컴퓨터네트워크분야에서널리사용되고있는패킷스니퍼중하나인와이어샤크와본논문의침입탐지시스템이스니핑한패킷을비교하여신뢰성을확인한다. Fig.5는와이어샤크가스니핑한패킷이고 Fig.6는본논문의침입탐지시스템이스니핑한패킷이다. 와이어샤크와본논문의침입탐지시스템이스니핑한패킷이동일한패킷을스니핑한것을 Fig.5와 Fig.6에서확인가능하다. 따라서본논문의침입탐지시스템이수행하는패킷스니핑의신뢰성을확인하였다. 공격실험시나리오는다음 Table 8과같다. 중간자공격의경우공격자가시스템에접근하여스니핑하는패킷을무작위로변형하여재전송하는공격을실험하였다. 디도스공격실험의경우외부공격자가시스템의마비 Table 8. Scenario of attack experiment Attack type Man-in-the-Mi ddle (MITM) attack DDoS attack Stuxnet-like attack Scenario An attacker who has no knowledge of the protocol structure or system intercepts data from outside, randomly transforms it, and then retransmits it. A random TCP SYN flooding attack on the PLC by an external attacker to paralyze the system An attack that sends malicious data to a physical process due to malicious code infection inside the system and sends normal data to the server 52

산업제어시스템보안을위한패킷분석기반비정상행위탐지시스템구현 를목적으로 PLC에무작위 TCP SYN 플러딩공격을했을경우이다 [9]. 스턱스넷유사공격실험의경우사이버계층의 PLC가감염되었다는것을전제로물리계층으로는조작된악의적인데이터를전송하고서버로는정상적인데이터로조작된데이터를전송하는공격을실험하였다. 공격실험대상은이전연구 [2] 와마찬가지로물리프로세스의반응기압력값의변화를관찰하였다. 다음 Fig.7은정상상태로동작한테스트베드에침입탐지시스템을적용하지않은상태의반응기압력값으로정상상태의동작은 2,700 2,800kPa의값을유지한다. 각각의공격실험시침입탐지시스템을적용하지않은상태에서테스트베드구성요소인히스토리안에저장된데이터를확인하였다. 공격결과침입탐지시스템을이용하여비정상행위를탐지하지않았을경우히스토리안에저장된데이터는다음 Fig.9와같다. 침입탐지시스템을적용한결과침입탐지시스템은다음 Fig.10과같이탐지하였다. Fig. 9. MITM-state reactor pressure data stored in the historian Fig. 7. Normal-state reactor pressure data stored in the historian 다음 Fig.8은본논문에서실험한중간자공격의도식도이다. 물리계층과사이버계층사이에서통신하는패킷을가로채어패킷의페이로드에저장되어있는반응기압력값을조작하는공격을실험하였다. 위경우는페이로드내부의모든데이터를아스키코드로변환하여모든정수값을 0x63으로치환하여재전송한공격이다. 따라서통신주기와페이로드크기는규칙에위배되지않은것을확인할수있고페이로드에저장된물리프로세스데이터값만변한것을 Fig.10에서확인할수있다. 다음 Fig.11는디도스공격을실험의도식도이다. 사이버계층의 PLC를향해 SYN 플러딩공격을실험하였고침입탐지시스템을적용하지않았을경우히스토리안에저장된데이터는다음 Fig.12와같다. Fig. 10. Detection of intrusion detection system in case of an man in the middle attack Fig. 8. Experiment process of man in the middle attack 53

한국산학기술학회논문지제 19 권제 4 호, 2018 Fig. 14. Experiment process of attack like stuxnet Fig. 11. Experiment process of DDoS attack PLC를향한디도스공격방식인 SYN 플러딩공격의영향으로인해통신주기가지연되어계속해서같은값이저장된것을확인할수있다. 다음 Fig.14는스턱스넷과유사한공격실험을나타낸다. 시스템내부악성코드감염으로인해 PLC가악성코드에감염되었고, 그결과물리계층에악의적으로조작된데이터를전송하고서버에정상적으로조작된데이터를전송하여시스템관리자가물리계층의상태를알수없도록하는공격이다. 공격시히스토리안에저장된데이터는다음 Fig.15 와같다. Fig. 12. DDoS-state reactor pressure data stored in the historian 침입탐지시스템을적용하였을경우에는통신주기의지연발생유무를탐지하여사용자가공격에대처할수있도록 Fig.13과같이이벤트를발생시키는것을확인할수있다. Fig. 15. Stuxnet like attack-state reactor pressure data stored in the historian 반응기압력값이정상적인값을유지하던중악성코드에감염된 PLC는물리프로세스로비정상상태의반응기압력값을전송한다. 그후반응기압력값이 3,000kPa가넘는값을유지하는것을확인할수있다. 이때히스토리안에는조작된데이터가저장되기때문에 packet_sniffer가수집한데이터를가공하여확인하였다. Fig. 13. Detection of intrusion detection system in case of DDoS attack 54

산업제어시스템보안을위한패킷분석기반비정상행위탐지시스템구현 Table 9. Comparison of intrusion detection system Ours [5] [6] [7] Check Point Between Physical System & PLC O X X X Real environment O X O O Flexibility H H H L Scalability H H L L Fig. 16. Experiment process of attack like stuxnet 히스토리안에저장된반응기압력값은 Fig.16과같이실제로는비정상값이지만정상적인것처럼조작된데이터가저장되기때문에시스템사용자는실제공격의발생유무를원격에서확인할수없다. 따라서침입탐지시스템을적용하였고그결과침입탐지시스템은 Fig.17 과같이탐지하였다. Fig. 17. Detection of intrusion detection system in case of attack like stuxnet Fig.17은악성코드에감염된 PLC는물리계층과사이버계층으로서로다른데이터를전송하기때문에 integrity_analyzer에서검사포인트의패킷을비교하여불일치를탐지한결과이다. 다음 Table 9는기존의침입탐지시스템과본논문의침입탐지시스템을비교한것으로트래픽검사, 실제환경적용여부, 유연성과신뢰도그리고본논문에서실험한공격실험의탐지유무에대하여비교하였다. 기존의침입탐지시스템은실제액츄에이터및센서가동작하는물리계층과 PLC간의페이로드를검사하지않는다. 이에따라액츄에이터가동작하는물리프로세스영역과시스템을관리하는사이버영역의서버에서실제로는서로다른데이터이지만같은데이터로속이는스턱스넷류의공격을탐지하기쉽지않기때문에이구간을검사포인트로설정하고이구간에서의데이터검사유무를비교하였다. 그리고산업제어시스템에적용하는만큼실제또는유사환경에서의실험이이루어지는것이시스템의신뢰도측면에서매우중요하기때문에실제환경의시스템에적용유무를비교하였다. 또한유연성및확장성은다른시스템의적용가능성및탐지규칙의수정의용이성을기준으로비교한것으로, 본논문에서제안한침입탐지시스템은각각의 analyzer로구성되어있어다른시스템에적용하는것이어렵지않고, 이에따른탐지규칙수정또한각 analyzer별로수정이가능하기때문에다른침입탐지시스템에비해유연하다고할수있다. 위와같은실험결과를토대로 2장에서서술한 [5-7] 의침입탐지시스템과본논문의침입탐지시스템과비교하였다. [5] 의침입탐지시스템은화이트리스팅기법을사용하여화이트리스트의수정만으로간단하게탐지규칙의수정이가능하고화이트리스트에위배되는행동들은엄격하게탐지가가능하기때문에높은신뢰도를가지지만, 물리계층과 PLC 사이의포인트를감시하지않기때문에스턱스넷류의공격탐지가어려운단점을가지고있다. 또한실제환경에서의적용에대한연구가미흡한단점이있다. [6] 은실제환경에서발생하는공격에대한사용자들의정보공유로생성한규칙을토대로탐지하기때문에유연성은좋지만, 새로운환경에서는정보공유의단계 55

한국산학기술학회논문지제 19 권제 4 호, 2018 를수행해야하기때문에확장성이떨어진다고볼수있다. 또한물리계층과 PLC 사이의포인트를감시하지않기때문에스턱스넷류의공격탐지가쉽지않다. [7] 은자율컴퓨팅기술을사용하여컴퓨터스스로판단하기때문에새로운공격에대한탐지규칙의수정이용이하지않고다른시스템에적용한다고하여도자율컴퓨터가학습할수있는환경과시간이필요하기때문에확장성도떨어진다고볼수있다. 또한물리계층과 PLC 사이의포인트를감시하지않기때문에스턱스넷류의공격탐지가쉽지않은단점이있다. 5. 결론본논문에서는기존의제어시스템에영향을주지않고비정상행위를탐지하는제어시스템용행위기반침입탐지시스템을제안하고제안한시스템을구현하여테스트베드에적용함으로써제안한시스템의효율성을검증하였다. 본논문에서제안하는침입탐지시스템은크게세가지의규칙을통해규칙에위배되는패킷을탐지하였다. 테스트베드의통신주기, 페이로드크기, 페이로드내부의데이터값을정상적인상황에서의시뮬레이션데이터를토대로탐지규칙을생성하고생성된규칙에의해발생할수있는비정상행위를탐지하였다. 침입탐지시스템의신뢰성을확인하기위해와이어샤크로스니핑한패킷과비교하여확인하였고공격실험결과공격의탐지가가능한것을확인하였다. 하지만점점더진화하는공격방식에따라여러공격을시스템에적용하여침입탐지시스템을발전시킨다면효율적인침입탐지시스템이될것이라고사료된다. [5] Hyunguk Yoo, Jeong-Han Yun, and Taeshik Shon, "Whitelist-based anomaly detection for industrial control system security", Journal of KICS, vol. 38, no. 8, pp. 641-653, Oct. 2013. DOI: https://doi.org/10.7840/kics.2013.38b.8.641 [6] Jan Vavra and Martin Hromada, "Comparison of the Intrusion Detection System Rules in Relation with the SCADA Systems", Proc. of 5th Computer Science On-line Conference (CSOC 2016), vol. 465, pp. 159-169, Apr. 2016. DOI: https://doi.org/10.1007/978-3-319-33622-0_15 [7] Qian Chen, Sherif Abdelwahed, and Abdelkarim Erradi, "A model-based approach to self-protection in computing system", Proc. of the 2013 ACM Cloud and Autonomic Computing Conference, no. 16, pp. 1-10, New York, USA, 2013. DOI: https://doi.org/10.1145/2494621.2494639 [8] J. J. Downs and E. F. Vogel, "A plant-wide industrial process control problem", Journal of Computers & chemical engineering, vol. 17, no. 3, pp. 245-255, 1993. [9] Hyung-Su Lee, and Jae-Pyo Park, "Respond System for Low-Level DDoS Attack", Journal of the Korea Academia-Industrial cooperation Society, vol. 17, no. 10, pp. 732-742, 2016. DOI: http://dx.doi.org/10.5762/kais.2016.17.10.732 김현석 (Hyun-Seok Kim) [ 학생회원 ] 2016 년 2 월 : 순천향대학교정보통신공학과 ( 공학사 ) 2018 년 2 월 : 순천향대학교정보통신공학과석사 < 관심분야 > 제어시스템보안, 정보보안, 컴퓨터네트워크 References [1] Fireeye Inc., "2017 Security Predictions", Technical Report, Dec. 2016. [2] Hyun-Seok Kim and Dong-Gue Park, "Implementation of the testbed for security of industrial control system", Journal of KIIT, vol. 15, no. 6, pp. 53-60, Jun. 2017. DOI: https://doi.org/10.14801/jkiit.2017.15.6.53 [3] NCCIC, "ICS-CERT Monitor", Technical report, Feb. 2015. [4] Do-Yeon Kim, "Vulnerability analysis for industrial control system cyber security", Journal of JKIECS, vol. 9, no. 1, pp. 137-142, Sep. 2014. DOI: https://doi.org/10.13067/jkiecs.2014.9.1.137 박동규 (Dong-Gue Park) [ 정회원 ] 1985 년 2 월 : 한양대학교전자공학과 ( 공학사 ) 1988 년 2 월 : 한양대학교전자공학과 ( 공학석사 ) 1992 년 2 월 : 한양대학교전자공학과 ( 공학박사 ) 1992 년 3 월 ~ 현재 : 순천향대학교정보통신공학과교수 < 관심분야 > 제어시스템보안, 애플리케이션보안, 보안관제 56

2024 © docsplayer.org 개인정보보호 | 약관 | 지원