제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법

    公开(公告)号:KR101889502B1

    公开(公告)日:2018-08-20

    申请号:KR1020130032212

    申请日:2013-03-26

    Abstract: 본발명은제어시스템프로토콜상의비정상트래픽탐지방법에관한것이다. 개시된비정상트래픽탐지방법은수신된패킷이 MODBUS 요청메시지이면세션정보가관리테이블에존재하는지검사하는단계와, 관리테이블에세션정보가존재하지않으면새로운엔트리를관리테이블에추가하는단계와, 관리테이블에세션정보가존재하면해당테이블엔트리내의트랜잭션 ID가수신된 MODBUS 요청메시지의트랜잭션 ID와동일한지여부를검사하는단계와, 테이블엔트리와 MODBUS 요청메시지의트랜잭션 ID가동일하지않으면수신된 MODBUS 요청메시지의데이터와테이블엔트리내의데이터가동일한지를검사하는단계와, 테이블엔트리와 MODBUS 요청메시지의트랜잭션 ID가동일하거나데이터가동일하면비정상트래픽으로탐지하는단계와, 테이블엔트리와 MODBUS 요청메시지의데이터가동일하지않으면테이블엔트리를 MODBUS 요청메시지의패킷정보로갱신하는단계를포함한다. 따라서, 제어시스템프로토콜상의정상적인서비스연결을방해하거나오류를유발할수 있는형태의비정상트래픽을조기에탐지하고대응할수 있도록하여제어시스템간의안정적인연결서비스를제공하며, 이는공격자에의한의도적인행위뿐만아니라, 시스템및 네트워크오류로인한비정상트래픽에대해서도신속하게탐지, 대응할수 있도록한다.

    단방향 파일 전송 시스템 및 방법
    2.
    发明公开
    단방향 파일 전송 시스템 및 방법 审中-实审
    单向文件传输系统和方法

    公开(公告)号:KR1020170089579A

    公开(公告)日:2017-08-04

    申请号:KR1020160009966

    申请日:2016-01-27

    Abstract: 본발명은단방향파일전송시스템및 방법에관한것이다. 본발명에따른시스템은, 오픈된비안전영역의제2 네트워크내 FTP 클라이언트로부터폐쇄된안전영역의제1 네트워크내 FTP 서버에저장된파일데이터의다운로드요청이있는경우, FTP 클라이언트로서동작하며제1 네트워크의 FTP 서버에저장된파일데이터를다운로드하여전달하는제1 서버및 상기제1 서버로부터전달되는파일데이터를파일데이터베이스에저장하고, FTP 서버로서동작하며상기파일데이터베이스에저장된파일데이터를상기제2 네트워크내 FTP 클라이언트로전송하는제2 서버를포함한다.

    Abstract translation: 本发明涉及一种单向文件传输系统和方法。 当在打开的非安全区的第二网络中存在用于从封闭安全区的第一网络中的FTP服务器中存储的文件数据的请求时,根据本发明的系统作为FTP客户端运行, 第一服务器,用于下载和传输存储在第一网络的FTP服务器中的文件数据;以及第二服务器,用于将从第一服务器传输的文件数据存储在文件数据库中, 到FTP客户端。

    상황 정보 기반 이상징후 탐지 장치 및 방법
    3.
    发明公开
    상황 정보 기반 이상징후 탐지 장치 및 방법 审中-实审
    基于上下文信息检测异常的装置和方法

    公开(公告)号:KR1020170081543A

    公开(公告)日:2017-07-12

    申请号:KR1020160000701

    申请日:2016-01-04

    Abstract: 상황정보기반이상징후탐지장치및 방법이개시된다. 본발명에따른상황정보기반이상징후탐지장치는, 하나이상의이벤트발생기로부터하나이상의이벤트를수신하는수집부, 상기이벤트의각 필드를상황영역에매핑하여상황정보를생성하는정규화부, 그리고생성된하나이상의상기상황정보간 연관성을분석하는분석부를포함한다.

    Abstract translation: 公开了一种基于情况信息的异常检测设备和方法。 基于上下文的异常,根据本发明,用于从至少一个事件发生器,用于由事件的每个字段映射到所述状况区域生成的状态信息的归一化单元接收至少一个事件的收集单元检测装置,和所生成的一个 并分析上下文信息之间的关联。

    운항자의 의도파악을 통한 운항 관제 장치 및 그 동작방법
    4.
    发明授权
    운항자의 의도파악을 통한 운항 관제 장치 및 그 동작방법 有权
    掌握操作人员意图的操作控制装置和操作方法

    公开(公告)号:KR101727140B1

    公开(公告)日:2017-05-02

    申请号:KR1020130071139

    申请日:2013-06-20

    Abstract: 실시예는, 운항중인제1 운항체로제1 예상운항경로정보및 제2 운항체로제2 예상운항경로정보를요청하고, 상기제1 운항체로부터제1 운항체식별정보및 상기제1 예상운항경로정보(ASM: Application Specific Messages)를포함하는제1 AIS 메시지및 상기제2 운항체로부터제2 운항체식별정보및 상기제2 예상운항경로정보를포함하는제2 AIS 메시지를수신하는통신모듈및 상기통신모듈에서수신한상기제1, 2 운항체식별정보및 상기제1, 2 예상운항경로정보를기반으로, 상기제1, 2 운항체의충돌에대한위험상황여부를판단하여, 상기제1 운항체로제1 우회운항정보및 상기제2 운항체로제2 우회운항정보를생성하여상기제1, 2 운항체로전송되게상기통신모듈을제어하는제어모듈을포함하는운항관제장치를제공한다.

    Abstract translation: 该实施例是一种用于向操作中的第一操作实体请求第一预期导航路线信息和第二预期导航路线信息并且从第一操作实体接收第二预期操作路线信息的系统, 通信模块,用于从第二实体接收包括ASM(应用特定消息)的第一AIS消息和包括第二操作实体标识信息和第二预期操作路由信息的第二AIS消息; 通信模块基于由通信模块接收的第一和第二操作实体标识信息以及第一和第二预期操作路线信息来确定第一和第二操作体是否处于碰撞的危险状态, 以及控制模块,用于向所述第二操作体生成所述第一旁路操作信息和所述第二旁路操作信息,并控制所述通信模块发送给所述第一操作体和所述第二操作体。

    제어 네트워크 침해사고 탐지 장치 및 탐지 방법

    公开(公告)号:KR101711022B1

    公开(公告)日:2017-02-28

    申请号:KR1020140001838

    申请日:2014-01-07

    Abstract: 본발명의일 실시예에따른제어네트워크침해사고탐지장치는제어네트워크를통해제어설비들과연결되는제어네트워크침해사고탐지장치에있어서, 상기제어네트워크를통해수집되는패킷을파싱하여플로우정보를추출하는플로우정보추출부, 상기플로우정보를이용하여플로우테이블을생성하는플로우정보관리부, 상기플로우테이블에저장된플로우정보를분석하여플로우패턴정보를생성하는플로우패턴정보생성부, 상기네트워크를통해상기제어설비들로부터설정정보를수집하는설정정보수집부, 및상기플로우정보관리부로부터전달되는상기플로우정보및 상기플로우패턴정보생성부로부터전달되는상기플로우패턴정보및 상기설정정보수집부로부터전달되는상기설정정보를이용하여상기플로우정보에대응되는플로우가정상인지여부를판단하는판단부를포함한다.

    모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법
    6.
    发明公开
    모드버스 통신 패턴 학습에 기반한 비정상 트래픽 탐지 장치 및 방법 审中-实审
    MODBUS通信模式学习基于异常检测的装置和方法

    公开(公告)号:KR1020160002058A

    公开(公告)日:2016-01-07

    申请号:KR1020140080790

    申请日:2014-06-30

    Abstract: 본발명은모드버스통신패턴학습에기반한비정상트래픽탐지장치및 방법에관한것으로서, 본발명에따른모드버스통신패턴학습에기반한비정상트래픽탐지장치는 Modbus/TCP 프로토콜상의비정상트래픽을조기에탐지하고대응할수 있는것을특징으로한다. 본발명에따르면, 모드버스통신패턴학습에기반한여러다양한형태의비정상트래픽을탐지할수 있다. 즉, 제어시스템의안전한운영을방해할수 있는비정상트래픽을조기에탐지함으로써, 제어시스템간의통신서비스를안정적으로제공할수 있다. 특히 Modbus/TCP 프로토콜상의효과적인비정상트래픽을조기에탐지할수 있어서, 제어시스템인트라넷내의보안위협에대한신속한발견및 대응으로서비스의신뢰성을높일수 있고가용성을확보할수 있는이점이있다.

    Abstract translation: 本发明涉及一种用于基于Modbus通信模式学习检测异常业务的装置和方法,其可以在早期阶段检测Modbus和传输控制协议(TCP)上的异常业务并且可以对其进行响应。 根据本发明,可以检测基于Modbus通信模式学习的各种形式的异常业务。 也就是说,可以在早期阶段检测到可能干扰控制系统的安全操作的异常业务,从而在控制系统之间稳定地提供通信服务。 特别地,可以在早期阶段检测到Modbus / TCP上的有效的异常流量,从而由于对控制系统的内联网中的安全威胁的及时检测和响应而提高了服务的可靠性,并且确保了可用性 。

    군집 주행을 위한 차량 통신 등록장치 및 등록방법
    7.
    发明公开
    군집 주행을 위한 차량 통신 등록장치 및 등록방법 审中-实审
    用于集体驾驶的车辆通信注册装置及其方法

    公开(公告)号:KR1020150084124A

    公开(公告)日:2015-07-22

    申请号:KR1020140003782

    申请日:2014-01-13

    CPC classification number: H04L63/0823 H04L63/065

    Abstract: 본발명은군집주행을위한차량인증을받고, 군집주행에서리더차량에대한신뢰도를높이기위하여군집주행리더자격이있는운전자에게군집주행리더자격이포함된차량인증서를발급하는차량통신등록장치및 등록방법을제공한다. 본발명의실시예에따른차량통신등록장치는차량 ID를관리하고저장하는차량 ID 관리부, 상기차량 ID에할당되며, 개인키및 공개키를생성하는키 생성부, 차량에게차량통신기능검증을요청하며, 상기차량통신기능이검증된차량에게발급되는차량인증서를획득하고, 상기차량에게상기차량인증서를배포하는차량통신등록관리부및 상기차량과의메시지송수신기능을갖는차량통신인터페이스부를포함할수 있다.

    Abstract translation: 本发明涉及一种车辆通信登记装置和登记方法,该车辆通信登记装置和登记方法为组队驾驶接受车辆认证,并发放包括作为组驾驶的领导者的车辆认证的车辆证书,以具有资格作为组驾驶人员的驾驶员以改进 领导车辆在集体驾驶中的可靠性。 根据本发明的实施例,车辆通信登记装置可以包括管理和存储车辆ID的车辆ID管理单元; 生成分配给车辆ID的私钥和公钥的密钥生成单元; 车辆通信登记管理单元,其获取发放给具有车辆通信功能的车辆的车辆证书,并将车辆证书分发给车辆; 以及可以与车辆交换消息的车辆通信接口。

    제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법
    8.
    发明公开
    제어시스템 프로토콜 상의 비정상 트래픽 탐지 방법 审中-实审
    控制系统协议异常交通检测方法

    公开(公告)号:KR1020140117753A

    公开(公告)日:2014-10-08

    申请号:KR1020130032212

    申请日:2013-03-26

    Abstract: The present invention relates to an abnormal traffic detection method on a control system protocol. The disclosed abnormal traffic detection method comprises the steps of testing whether session information exists in a management table if a received packet is a MODBUS request message; adding a new entry in the management table if the session information does not exist in the management table; testing whether a transaction ID within a corresponding table entry is the same as a transaction ID of the received MODBUS request message, if the session information exists in the management table; testing whether data of the received MODBUS request message is the same as data within a table entry, if the transaction ID of the table entry is not the same as that of the MODBUS request message; detecting the received data as an abnormal traffic if the transaction ID or the data of the data entry is the same as that of the MODBUS request message; and updating the table entry with packet information of the MODBUS request message if the data of the table entry is not the same as that of the MODBUS request message. Therefore, the present invention can detect and handle the abnormal traffic that disturbs a normal service connection or causes an error on the control system protocol, at an early stage, thereby providing a stable connection system between control systems which can rapidly detect and handle the abnormal traffic caused by a system and a network error as well as an intentional behavior of an invader.

    Abstract translation: 本发明涉及一种控制系统协议的异常流量检测方法。 所公开的异常业务检测方法包括以下步骤:如果接收的分组是MODBUS请求消息,则测试会话信息是否存在于管理表中; 如果管理表中不存在会话信息,则在管理表中添加新条目; 如果会话信息存在于管理表中,则测试对应的表项中的事务ID是否与所接收的MODBUS请求消息的事务ID相同; 如果表项的事务ID与MODBUS请求消息的事务ID不相同,则测试接收的MODBUS请求消息的数据是否与表条目中的数据相同; 如果事务ID或数据输入的数据与MODBUS请求消息的数据相同,则检测接收到的数据为异常流量; 以及如果所述表项的数据与所述MODBUS请求消息的数据不相同,则更新具有所述MODBUS请求消息的分组信息的所述表条目。 因此,本发明可以早期检测和处理干扰正常业务连接或引起控制系统协议错误的异常业务,从而在控制系统之间提供稳定的连接系统,可以快速检测和处理异常 由系统造成的流量和网络错误以及入侵者的有意行为。

    응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법
    9.
    发明授权
    응용계층 분산 서비스 거부 공격 탐지 및 차단 장치 및 그 방법 有权
    用于检测和防止应用层的设备分布拒绝服务攻击和方法

    公开(公告)号:KR101250899B1

    公开(公告)日:2013-04-04

    申请号:KR1020090079569

    申请日:2009-08-27

    Abstract: 본 발명은 응용계층 분산 서비스 거부 공격 탐지 및 차단 기술에 관한 것으로, 모든 프로그램의 응용계층을 대상으로 시도되는 다양한 DDoS 공격을 트래픽의 양을 기반으로 탐지하는 것이 아니라, 사전에 정의한 정상 트래픽 모델과 비교하여 공격 여부를 판단함으로써, 비록 공격 트래픽의 양이 정상 상황하의 트래픽 양과 비교해 많지 않더라도, 발생되는 공격을 탐지하고, 공격의 탐지 결과 특정 공격자의 IP주소를 도출하여, 해당 공격자로부터 전달되는 공격 트래픽만을 원하는 기간 동안 차단할 수 있도록 구현하는 것을 특징으로 한다. 본 발명에 의하면, 정상 사용자의 트래픽을 보호하고 서비스의 지속성을 확보할 수 있다.
    응용계층, 분산서비스거부(DDoS) 공격, 공격 트래픽 모델링

    분산 서비스 거부 방어 장치 및 그 방법
    10.
    发明授权
    분산 서비스 거부 방어 장치 및 그 방법 有权
    DDoS保护装置及方法

    公开(公告)号:KR101219796B1

    公开(公告)日:2013-01-09

    申请号:KR1020090095173

    申请日:2009-10-07

    Abstract: 본 발명은 세션 추적, 플로우 별 트래픽 측정, 화이트 리스트 및 블랙 리스트 기법 등을 적용한 하드웨어 기반의 고성능 DDoS 방어 장치 및 그 방법에 관한 것이다. 본 발명의 분산 서비스 거부 방어 장치는, 침입 탐지에 대응하기 위한 세션 정보가 저장된 세션 테이블; 플로우 별 트래픽 측정 정보가 저장된 플로우 테이블; 유입트래픽에서 패킷을 추출하는 패킷 추출부; 패킷에서 세션 추적 및 트래픽 측정을 위한 필드를 추출하고, 추출된 필드 및 세션 테이블 중 어느 하나를 이용하여 패킷이 비정상 패킷인지를 탐지하는 탐지부; 및 탐지부에서 패킷이 비정상 패킷으로 탐지되면, 탐지된 패킷을 차단하는 대응부를 구비한다.

Patent Agency Ranking