KR101719698B1 - Apparatus and method for detecting intrusion of smart-grid - Google Patents

Apparatus and method for detecting intrusion of smart-grid Download PDF

Info

Publication number
KR101719698B1
KR101719698B1 KR1020160008040A KR20160008040A KR101719698B1 KR 101719698 B1 KR101719698 B1 KR 101719698B1 KR 1020160008040 A KR1020160008040 A KR 1020160008040A KR 20160008040 A KR20160008040 A KR 20160008040A KR 101719698 B1 KR101719698 B1 KR 101719698B1
Authority
KR
South Korea
Prior art keywords
smart grid
information
grid device
trend information
log data
Prior art date
Application number
KR1020160008040A
Other languages
Korean (ko)
Other versions
KR20170019302A (en
Inventor
강성구
김신규
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Publication of KR20170019302A publication Critical patent/KR20170019302A/en
Application granted granted Critical
Publication of KR101719698B1 publication Critical patent/KR101719698B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/064Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving time analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Debugging And Monitoring (AREA)

Abstract

스마트그리드 기기의 침해사고 탐지 장치 및 방법이 개시된다. 본 발명에 따른 스마트그리드 기기의 침해사고 탐지 장치는, 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 수신부, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부를 포함한다.An apparatus and method for detecting an intrusion of a smart grid device are disclosed. An apparatus for detecting an intrusion of a smart grid device according to the present invention includes a receiving unit for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, An analysis unit for analyzing the change information and generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device and first trend information corresponding to the first smart grid apparatus And a determination unit for determining whether or not a security violation event of the first smart grid device has occurred by comparing the second trend information corresponding to the remaining smart grid devices except for the first smart grid device.

Figure 112016007413196-pat00002
Figure 112016007413196-pat00002

Description

스마트그리드 기기의 침해사고 탐지 장치 및 방법{APPARATUS AND METHOD FOR DETECTING INTRUSION OF SMART-GRID}[0001] APPARATUS AND METHOD FOR DETECTING INTRUSION OF SMART-GRID [0002]

본 발명은 스마트그리드 기기의 침해사고 탐지 장치 및 방법에 관한 것으로, 특히 스마트그리드 기기의 시스템 변화 추이를 이용하여, 보안 침해 사고의 발생 여부를 판단하거나, 발생된 보안 침해 사고가 기존에 발생한 보안 침해 사고인지 여부를 판단하는 기술에 관한 것이다.The present invention relates to an apparatus and method for detecting an intrusion of a smart grid device, and more particularly, to a system and method for detecting an intrusion of a smart grid device, The present invention relates to a technique for judging whether or not an accident has occurred.

스마트그리드(Smart Grid)란 발전, 송배전, 판매 단계로 이어지는 기존의 전력망에 정보기술을 접목한 차세대 지능형 전력망을 의미한다. 스마트그리드는 전력 공급자와 소비자가 양방향으로 정보를 교환하여, 실시간으로 전력 사용현황을 파악하고, 이에 맞게 전력 사용 시간과 양을 통제함으로써, 에너지 효율을 최적화한다. Smart Grid refers to the next-generation intelligent power grid that combines information technology with existing power grids that lead to power generation, transmission and distribution, and sales. Smart Grid optimizes energy efficiency by sharing information in a bi-directional manner between power suppliers and consumers, detecting power usage in real time, and controlling power usage time and amount accordingly.

스마트그리드는 개방형 및 양방향 통신환경을 기반으로 다양한 보안 사고가 발생할 수 있으며, 주요기반시설에 대한 사이버 공격은 심각한 피해를 유발할 수 있다. 예를 들어, 지난 2010년 발생한 스턱스넷(Stuxnet)은 전력량, 수압, 온도 및 밸브개폐 등 SCADA 시스템의 파괴를 유발하였다. 또한, 전기배선 조작으로 타인의 전기료를 올리거나, 전기사용을 원격 조정할 수 있는 스마트그리드 보안 위협도 발표되었으며, 스마트그리드를 대상으로하는 사이버 공격에 대한 해커들의 관심이 증가하고 있다. Smart Grid can cause various security incidents based on open and bi-directional communication environment, and cyber attack on major infrastructure can cause serious damage. For example, Stuxnet in 2010 caused the destruction of the SCADA system, including power, water pressure, temperature and valve opening and closing. In addition, smart grid security threats have been announced, which can raise electricity rates for others by using electric wiring, and can remotely control electricity usage. Hackers are increasingly interested in cyber attacks targeting smart grids.

스마트그리드는 전력망뿐만 아니라 정보통신망을 기반으로 사용자 및 사용자의 정보를 교환함으로써 서비스를 제공한다. 따라서 기존의 IT환경에서의 보안위협과 함께 스마트그리드 특징에 따른 새로운 보안 위협이 추가로 발생할 수 있다. 그리고 스마트그리드는 소비자의 개인정보 및 전력사용정보가 양방향으로 전송됨에 따라 개인정보 및 전력사용정보 유출로 소비자의 프라이버시가 침해될 수 있다. 또한, 전력사용정보에 대한 위변조로 과금 전가 및 우회 등이 발생할 수 있다. Smart Grid provides services by exchanging information of users and users based on information network as well as power grid. Therefore, security threats in the existing IT environment and new security threats due to the characteristics of the smart grid may occur. In addition, as smart grid users transmit personal information and power usage information in both directions, consumers' privacy may be violated due to leakage of personal information and power usage information. In addition, billing transfer and detour may occur due to forgery and alteration of the power usage information.

소비자가 집 외의 장소에서도 스마트폰이나 인터넷을 통하여 스마트그리드 시스템에 접속할 수 있게 되면서 보안 위협 가능성이 높아졌으며, 다양한 스마트기기의 등장으로 보안위협의 발생 가능성이 증가하였다. As consumers become able to access smart grid systems via smart phones or the Internet even outside the home, the possibility of security threats has increased and the possibility of security threats has increased due to the introduction of various smart devices.

스마트그리드 보안 공격은 통제권을 갈취하여 전력공급을 중단하거나, 악의적으로 이용할 수 있으며, 전 국민의 일상생활과 밀접한 관계를 갖는 만큼 스마트그리드 환경에서의 보안 문제가 발생할 경우, 다양한 사회 인프라에 대한 공격으로 확대될 수 있으며, 그 피해 또한 막대할 것으로 예상된다. Smart Grid security attacks are attacks on various social infrastructures in the event of a security problem in the Smart Grid environment because they have a close relationship with the daily lives of all citizens, And the damage is expected to be enormous.

따라서, 스마트그리드 기기의 보안 침해 사고를 탐지하고, 탐지된 보안 침해 사고에 대응할 수 있는 기술의 개발이 필요하다. Therefore, it is necessary to develop technologies that can detect security breaches of Smart Grid devices and respond to detected security breaches.

한국 등록 특허 제10-1547998호, 2015년 08월 27일 공개(명칭: 취약성 분석 정보 제공 장치 및 그 방법)Korean Registered Patent No. 10-1547998, published on Aug. 27, 2015 (Name: Vulnerability Analysis Information Providing Apparatus and Method)

본 발명의 목적은 스마트그리드 기기의 보안 침해 사고 의심 여부를 판단하여, 각종 보안 위협으로부터 안전한 스마트그리드 환경을 구축할 수 있도록 하는 것이다. SUMMARY OF THE INVENTION It is an object of the present invention to determine whether a smart grid device is suspected of security breach, and to establish a secure smart grid environment from various security threats.

또한, 본 발명의 목적은 발생한 보안 침해 사고가 기존에 발생된 보안 침해 사고인지 여부를 판단하여, 발생한 보안 침해 사고에 신속하고 정확하게 대응할 수 있도록 하는 것이다. It is also an object of the present invention to determine whether or not a security breach occurred is an existing security breach, and to respond quickly and accurately to security breaches occurring.

상기한 목적을 달성하기 위한 본 발명에 따른 스마트그리드 기기의 침해 사고 탐지 장치는, 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 수신부, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부를 포함한다.According to an aspect of the present invention, there is provided an apparatus for detecting an intrusion of a smart grid device, the apparatus including: a receiver for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, An analysis unit for analyzing the plurality of received system change information and generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device; And a determination unit for comparing the corresponding first trend information with second trend information corresponding to the remaining Smart Grid devices other than the first smart grid device to determine whether a security violation accident has occurred in the first smart grid device .

이때, 상기 판단부는, 상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성 할 수 있다. At this time, the determination unit may consider each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event, and generate the second transition information for each time unit have.

이때, 상기 판단부는, 시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교 할 수 있다. At this time, the determination unit may compare the first transition information and the second transition information on the time unit set among the time unit, the day unit, the week unit, and the monthly unit.

이때, 상기 판단부는, 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교 할 수 있다. At this time, the determination unit may compare the first transition information and the second transition information using at least one of the file system change trend information and the log data change trend information so as to correspond to the type of the mutual comparison.

이때, 상기 판단부는, 상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단할 수 있다. Here, the determination unit may classify the trend information input from the plurality of smart grid devices using a classification algorithm, and transmit the smart grid device corresponding to the trend information classified into a number less than the threshold to the security- It can be judged that it has occurred.

이때, 상기 판단부는, 상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출할 수 있다. At this time, the determination unit may calculate the similarity by comparing the trend information corresponding to the smart grid device determined to have generated the security violation incident, and the infringement trend information corresponding to the previously stored security violation incident.

이때, 상기 분석부는, 상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성할 수 있다. At this time, the analysis unit may analyze the nonvolatile memory dump image to generate the file system transition information using time information including at least one of generation time, modification time, and access time of the identified files .

이때, 상기 분석부는, 상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성할 수 있다. At this time, the analyzing unit may analyze the system and application log data and generate the log data change trend information using the obtained time information.

이때, 상기 분석부는, 상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석할 수 있다. At this time, the analysis unit analyzes the non-volatile memory dump image, analyzes the time of occurrence of at least one event among the creation, modification, access and deletion of files, contents of the event, analyzes the system and application log data And analyze the time at which the event occurred and the contents of the event.

이때, 상기 복수의 스마트그리드 기기들은, 식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것일 수 있다. At this time, at least one of the identification information, the manufacturer information, and the model name of the plurality of smart grid devices may be the same.

또한, 스마트그리드 기기의 침해 사고 탐지 장치에 의해 수행되는 스마트그리드 기기의 침해 사고 탐지 방법은 복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 단계, 수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계, 그리고 제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계를 포함한다. In addition, a method for detecting an intrusion of a Smart Grid device performed by an intrusion detection device of a Smart Grid device includes receiving non-volatile memory dump images and system change information including system and application log data from a plurality of Smart Grid devices Generating trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device by analyzing a plurality of the received system change information, Comparing the first transition information corresponding to the first smart grid device with the second trend information corresponding to the remaining smart grid devices except for the first smart grid device to determine whether a security violation event has occurred in the first smart grid device do.

본 발명에 따르면, 스마트그리드 기기의 보안 침해 사고 의심 여부를 판단하여, 각종 보안 위협으로부터 안전한 스마트그리드 환경을 구축할 수 있다. According to the present invention, it is possible to establish a smart grid environment that is safe from various security threats by determining whether or not the smart grid device is susceptible to a security violation accident.

또한, 발생한 보안 침해 사고가 기존에 발생된 보안 침해 사고인지 여부를 판단하여, 발생한 보안 침해 사고에 신속하고 정확하게 대응할 수 있다. In addition, it can judge whether a security breach incident occurred is an existing security breach incident, and respond quickly and accurately to a security breach incident.

도 1은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다.
도 2는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치의 구성을 나타낸 블록도이다.
도 3은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법을 나타낸 동작흐름도이다.
도 4는 도 3의 S330 단계에서 보안 침해 사고가 발생하였는지 여부를 판단하는 과정을 설명하기 위한 순서도이다.
도 5는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 비휘발성 메모리 덤프이미지를 분석한 결과를 나타낸 예시도이다.
도 6은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 시스템 및 어플리케이션 로그데이터를 분석한 결과를 나타낸 예시도이다. FIG. 1 is a view schematically showing an environment to which an intrusion detection device for a smart grid device according to an embodiment of the present invention is applied.
2 is a block diagram illustrating a configuration of an intrusion detection device for a smart grid device according to an exemplary embodiment of the present invention.
3 is a flowchart illustrating a method for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process of determining whether a security violation has occurred in step S330 of FIG.
FIG. 5 is a diagram illustrating an analysis result of a non-volatile memory dump image of an apparatus for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.
FIG. 6 is a diagram illustrating an analysis result of system and application log data of an intrusion detection device of a smart grid device according to an exemplary embodiment of the present invention.

본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.The present invention will now be described in detail with reference to the accompanying drawings. Hereinafter, a repeated description, a known function that may obscure the gist of the present invention, and a detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more fully describe the present invention to those skilled in the art. Accordingly, the shapes and sizes of the elements in the drawings and the like can be exaggerated for clarity.

이하, 본 발명에 따른 바람직한 실시예를 첨부된 도면을 참조하여 상세하게 설명한다.Hereinafter, preferred embodiments according to the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 적용되는 환경을 개략적으로 나타낸 도면이다. FIG. 1 is a view schematically showing an environment to which an intrusion detection device for a smart grid device according to an embodiment of the present invention is applied.

도 1에 도시된 바와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)가 적용되는 환경에는 스마트그리드 기기1(100_1), 스마트그리드 기기2(100_2), ... 스마트그리드 기기 N(100_N)(이하 "복수개의 스마트그리드 기기들"라고도 함.)이 위치한다. 그리고 복수개의 스마트그리드 기기(100)들은 스마트그리드 기기의 침해 사고 탐지 장치(200)와 유선 또는 무선으로 연결된다. As shown in FIG. 1, the smart grid device 1 (100_1), the smart grid device 2 (100_2), the smart grid device N (100_N) (Hereinafter also referred to as "multiple smart grid devices"). The plurality of smart grid devices 100 are connected to the intrusion detection device 200 of the smart grid device by wire or wirelessly.

복수개의 스마트그리드 기기(100)들은 비휘발성 메모리 덤프이미지, 시스템 및 어플리케이션에 의해 생성되는 로그데이터를 포함하는 시스템 변화 정보를 각각 스마트그리드 기기의 침해 사고 탐지 장치(200)로 전송한다. 여기서 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션에 의해 생성되는 로그데이터는 스마트그리드 기기(100)의 시스템 변화를 판단함에 있어 기초가 되는 자료이다. The plurality of smart grid devices 100 transmit the system change information including the nonvolatile memory dump image, the system, and the log data generated by the application to the intrusion detection device 200 of the smart grid device, respectively. Here, the nonvolatile memory dump image and the log data generated by the system and the application are data for determining the system change of the smart grid device 100.

또한, 복수개의 스마트그리드 기기(100)들은 스마트그리드 기기(100)의 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나를 포함하는 스마트그리드 기기 정보를 시스템 변화 정보와 함께 스마트그리드 기기의 침해 사고 탐지 장치(200)로 전송할 수 있다. 이 때, 복수개의 스마트그리드 기기(100)들은 식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것일 수 있다. In addition, the plurality of smart grid devices 100 may transmit smart grid device information including at least one of identification information, manufacturer information, and model name information of the smart grid device 100 to the smart grid device 100, (200). At this time, the plurality of smart grid devices 100 may have at least one of identification information, manufacturer information, and model name identical to each other.

그리고 복수개의 스마트그리드 기기(100)들로부터 시스템 변화 정보를 수신한 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 변화 정보를 분석하고, 비교하여 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단한다. The intrusion detection device 200 of the smart grid device that has received the system change information from the plurality of smart grid devices 100 analyzes system change information and compares the system change information to determine whether a security violation incident has occurred in the smart grid device .

일반적으로 스마트그리드 기기는 일반 PC 또는 서버 시스템과 달리, 특정 기능만을 반복적으로 수행하는 임베디드 기기로, 시스템의 변화가 상대적으로 적다. 또한, 스마트그리드 사업자는 이러한 스마트그리드 기기들을 동일한 제품으로 유사한 환경에 다량으로 설치 및 구축하며, 동일한 운영 정책을 바탕으로 서비스를 제공한다. 따라서, 스마트그리드 사업자에 의해 설치된 스마트그리드 기기들 간 시스템 변화는 거의 유사한 형태를 갖는다. Generally, smart grid devices are embedded devices that perform only specific functions repeatedly, unlike general PC or server systems, and system changes are relatively small. In addition, smart grid operators install and build such smart grid devices in a similar environment with the same products, and provide services based on the same operating policies. Thus, system changes between smart grid devices installed by smart grid operators have a similar pattern.

따라서, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 이러한 스마트그리드 기기들의 특성을 활용하여, 시간에 따른 스마트그리드 기기의 시스템 변화 추이를 파악한다. 그리고 탐지의 대상이 되는 스마트그리드 기기에 상응하는 추이 정보와 모델명 또는 제조사 정보 등의 스마트그리드 기기 정보가 동일한 복수개의 스마트그리드 기기들에 상응하는 추이 정보를 상호 비교하여 유사도를 파악한다. 유사도 파악 결과, 유사도가 임계치 미만인 경우, 해당 스마트그리드 기기를 비정상적으로 동작되고 있는 것으로 판단한다. Accordingly, the intrusion detection device 200 of the smart grid device utilizes the characteristics of such smart grid devices, and grasps the trend of the system change of the smart grid devices over time. The degree of similarity is determined by comparing trend information corresponding to a plurality of Smart Grid devices having the same trend information corresponding to the target Smart Grid device and smart grid device information such as model name or manufacturer information. If it is determined that the degree of similarity is less than the threshold value, it is determined that the smart grid device is operating abnormally.

또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 특정 보안 침해 사고에 의해 발생된 것으로 파악된 추이 정보와 탐지의 대상이 되는 스마트그리드 기기의 추이 정보를 상호 비교한다. In addition, the intrusion detection device 200 of the smart grid device compares the trend information detected as a result of the specific security intrusion accident with the trend information of the smart grid device to be detected.

상호 비교 결과, 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. If the similarity is equal to or greater than the preset value, the intrusion detection device 200 of the smart grid device may determine that the security intrusion has occurred or suspect that the security intrusion has occurred.

도 2는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치의 구성을 나타낸 블록도이다.2 is a block diagram illustrating a configuration of an intrusion detection device for a smart grid device according to an exemplary embodiment of the present invention.

도 2와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 수신부(210), 분석부(220) 및 판단부(230)를 포함한다. 2, the intrusion detection apparatus 200 of the smart grid device includes a receiving unit 210, an analyzing unit 220, and a determining unit 230. [

먼저, 수신부(210)는 복수의 스마트그리드 기기(100)들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신한다. First, the receiving unit 210 receives system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices 100, respectively.

그리고 분석부(220)는 수신된 복수의 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 스마트그리드 기기 별로 생성한다. The analysis unit 220 analyzes the plurality of received system change information, and generates trend information including at least one of the file system change trend information and the log data change trend information for each Smart Grid device.

또한, 분석부(220)는 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 파일 시스템 변화 추이 정보를 생성한다. The analysis unit 220 analyzes the nonvolatile memory dump image and generates file system transition information using time information including at least one of generation time, modification time, and access time of the identified files.

그리고 분석부(220)는 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 로그데이터 변화 추이 정보를 생성한다. The analyzer 220 analyzes system and application log data and generates log data change trend information using the obtained time information.

분석부(220)는 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 이벤트의 내용을 분석하거나, 시스템 및 어플리케이션 로그데이터를 분석하여 이벤트가 발생한 시간 및 이벤트의 내용을 분석한다. Analyzer 220 analyzes the nonvolatile memory dump image to analyze the time and event content of at least one event among the generation, modification, access and deletion of files, analyzing system and application log data, Analyze the time and event content.

마지막으로, 판단부(230)는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보를 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 판단한다. Finally, the determination unit 230 compares the first transition information corresponding to the smart grid device 1 (100_1) with the second trend information corresponding to the remaining smart grid devices except for the smart grid device 1 (100_1) It is determined whether or not a security violation accident has occurred in the grid device 1 (100_1).

이때, 판단부(230)는 나머지 스마트그리드 기기들로부터 수신된 각각의 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 제2 추이 정보를 생성한다. At this time, the determination unit 230 regards each file system change trend information and log data change trend information received from the remaining Smart Grid devices as one event, and generates second transition information by time unit.

그리고 판단부(230)는 시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 시간 단위로 제1 추이 정보와 제2 추이 정보를 비교한다. Then, the determination unit 230 compares the first transition information and the second transition information on a time unit basis among the time unit, the day unit, the week unit, and the monthly unit.

또한, 판단부(230)는 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 제1 추이 정보와 제2 추이 정보를 비교한다. In addition, the determination unit 230 compares the first transition information and the second transition information using at least one of the file system transition information and the log data change transition information so as to correspond to the type of the mutual comparison.

설명의 편의상, 스마트그리드 기기의 침해 사고 탐지 장치(200)가 탐지 대상이 되는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보와 나머지 복수의 스마트그리드 기기들에 상응하는 제2 추이 정보를 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 탐지하는 것으로 설명하였다. 그러나 이에 한정하지 않고, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수개의 스마트그리드 기기들에 상응하는 추이 정보들을 이용하여 보안 침해 사고가 발생한 것으로 의심되는 스마트그리드 기기를 검출할 수도 있다. For convenience of explanation, the intrusion-detection device 200 of the smart grid device detects the first transition information corresponding to the smart grid device 1 (100_1) to be detected and the second transition information corresponding to the remaining plurality of smart grid devices It is described that the smart grid device 1 (100_1) detects the occurrence of a security breach accident. However, the present invention is not limited to this, and the intrusion detection device 200 of the smart grid device may detect the smart grid device suspected of causing the security intrusion accident by using the trend information corresponding to the plurality of smart grid devices.

이때, 판단부(230)는 복수의 스마트그리드 기기들로부터 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 추이 정보에 상응하는 스마트그리드 기기를 보안 침해 사고가 발생한 것으로 판단한다. At this time, the determination unit 230 classifies the trend information inputted from the plurality of smart grid devices by using the classification algorithm, and judges that the smart grid device corresponding to the trend information classified into the number less than the threshold is a security intrusion accident do.

또한, 판단부(230)는 보안 침해 사고가 발생한 것으로 판단된 스마트그리드 기기에 상응하는 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사한 정도를 산출한다. 그리고 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 기 저장된 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. In addition, the determination unit 230 compares the trend information corresponding to the smart grid device determined to have generated the security violation accident and the violation incident information corresponding to the previously stored security violation incident, and calculates a similar degree. If the degree of similarity is equal to or greater than the predetermined value, the intrusion detection device 200 of the smart grid device may determine that the previously stored security intrusion has occurred, or that the security intrusion has occurred.

이하에서는 도 3 및 도 4를 통하여 본 발명의 실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법에 대하여 더욱 상세하게 설명한다. Hereinafter, a method for detecting an intrusion of a smart grid device according to an embodiment of the present invention will be described in detail with reference to FIGS. 3 and 4. FIG.

도 3은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 방법을 나타낸 동작흐름도이다.3 is a flowchart illustrating a method for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.

먼저, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들(100)로부터 시스템 변화 정보를 수신한다(S310). First, the intrusion detection device 200 of the smart grid device receives the system change information from the plurality of smart grid devices 100 (S310).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들(100)로부터 비휘발성 메모리 덤프이미지, 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보를 수신한다. The intrusion detection device 200 of the smart grid device receives system change information including a nonvolatile memory dump image, system and application log data from a plurality of smart grid devices 100.

이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 변화 정보를 전송하는 해당 스마트그리드 기기의 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나를 포함하는 스마트그리드 기기 정보를 시스템 변화 정보와 함께 스마트그리드 기기로부터 수신할 수 있다. 또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기의 식별 정보, 제조사 정보 및 모델명 정보 등을 기준으로 시스템 변화 정보를 관리하기 위한 데이터베이스 정보를 생성하여 저장할 수 있다. At this time, the intrusion detection device 200 of the smart grid device transmits smart grid device information including at least one of identification information, manufacturer information, and model name information of the corresponding smart grid device, which transmits the system change information, Can be received from the grid device. In addition, the intrusion detection device 200 of the smart grid device can generate and store database information for managing system change information based on identification information, manufacturer information, and model name information of the smart grid device.

그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 수신된 시스템 변화 정보를 분석하여, 추이 정보를 생성한다(S320).The intrusion detection apparatus 200 of the smart grid device analyzes the received system change information and generates trend information (S320).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지를 분석하여, 시간별 파일의 생성, 수정, 접근 및 삭제에 상응하는 이벤트를 확인하고, 파일시스템 변화 추이 정보를 생성한다. 이때, 파일시스템 변화 추이 정보는 테이블 형식일 수 있다. 또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지 분석을 통하여, 삭제된 파일을 포함하는 파일들의 생성 시간, 수정 시간 및 접근 시간 정보를 파악하여 파일시스템 변화 추이 정보를 생성할 수 있다. The intrusion detection device 200 of the smart grid device analyzes the nonvolatile memory dump image, identifies events corresponding to creation, modification, access and deletion of files in a time-based manner, and generates file system transition information. At this time, the file system change trend information may be in the form of a table. In addition, the intrusion detection device 200 of the smart grid device analyzes the non-volatile memory dump image, and generates information about the generation time, modification time, and access time of the files including the deleted file, can do.

그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시스템 및 어플리케이션 로그데이터를 분석하여, 시간별 시스템 및 어플리케이션 이벤트를 확인하고, 로그데이터 변화 추이 정보를 생성한다. 이때, 로그데이터 변화 추이 정보는 테이블 형식일 수 있다. The intrusion detection device 200 of the smart grid device analyzes the system and application log data, checks system and application events by time, and generates log data change trend information. At this time, the log data change trend information may be in the form of a table.

또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기 정보를 기반으로 생성된 추이 정보를 관리할 수 있는 데이터베이스 정보를 생성할 수 있다. In addition, the intrusion detection device 200 of the smart grid device can generate database information capable of managing the trend information generated based on the smart grid device information.

마지막으로, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 보안 침해 사고 발생 여부를 판단한다(S330).Finally, the intrusion detection device 200 of the smart grid device determines whether a security intrusion has occurred (S330).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기1(100_1)에 상응하는 제1 추이 정보를 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 스마트그리드 기기1(100_1)의 보안 침해 사고 발생 여부를 판단한다. 이때, 나머지 스마트그리드 기기들은 스마트그리드 기기1(100_1)와 식별 정보, 제조사 정보, 모델명 정보 중에서 적어도 하나가 동일한 것일 수 있다. The intrusion detection device 200 of the smart grid device compares the first transition information corresponding to the smart grid device 1 (100_1) with the second trend information corresponding to the remaining smart grid devices except for the smart grid device 1 (100_1) , Thereby determining whether or not a security violation accident has occurred in the smart grid device 1 (100_1). At this time, the remaining smart grid devices may be at least one of the identification information, the manufacturer information, and the model name information of the smart grid device 1 (100_1).

도 4는 도 3의 S330 단계에서 보안 침해 사고가 발생하였는지 여부를 판단하는 과정을 설명하기 위한 순서도이다.FIG. 4 is a flowchart illustrating a process of determining whether a security violation has occurred in step S330 of FIG.

도 4와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 시간 단위 별 제2 추이 정보를 생성한다(S410).As shown in FIG. 4, the intrusion detection apparatus 200 of the smart grid device generates second transition information by time unit (S410).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 스마트그리드 기기1(100_1)를 제외한 나머지 스마트그리드 기기들로부터 수신된 각각의 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보를 추이 정보의 내용 구분 없이 하나의 이벤트로 간주하여, 시간 단위 별 제2 추이 정보를 생성한다. 이때, 시간 단위는 분 단위, 시 단위 및 일 단위일 수 있다. The intrusion detection device 200 of the smart grid device can notify each of the file system change trend information and log data change trend information received from the remaining Smart Grid devices except for the smart grid device 1 (100_1) And generates second transition information for each time unit. In this case, the time unit may be the minute, the hour, and the day.

그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 시간 단위로 추이 정보를 비교한다(S420).Then, the intrusion-detection apparatus 200 of the smart grid device compares the trend information on a set time basis (S420).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 시 단위, 일 단위, 주 단위, 및 월 단위 중에서 설정된 시간 단위로 제1 추이 정보와 제2 추이 정보를 비교한다. The intrusion detection device 200 of the smart grid device compares the first trend information with the second trend information in units of time set in units of hourly, daily, weekly, and monthly units.

예를 들어, 시 단위 상호 비교로 설정된 경우, 분 단위 별 추이 정보를 활용하고, 일 단위 상호 비교로 설정된 경우, 시 단위 별 추이 정보를 활용하며, 주 단위 또는 월 단위 상호 비교로 설정된 경우 일 단위 별 추이 정보를 활용하여 추이 정보의 상호 비교를 수행할 수 있다. For example, if it is set as a time-based mutual comparison, it uses the trend-by-minute trend information, and when it is set as a daily cross-comparison, it uses the time-based trend information. It is possible to perform mutual comparison of trend information by using the trend information.

다음으로 스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 상호 비교의 종류에 따라 추이 정보를 비교한다(S430).Next, the intrusion detection device 200 of the smart grid device compares the trend information according to the type of mutual comparison set (S430).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 제1 추이 정보와 제2 추이 정보를 비교한다. The intrusion detection apparatus 200 of the smart grid device compares the first transition information with the second transition information using at least one of the file system transition information and the log data change information so as to correspond to the type of the mutual comparison.

상호 비교의 종류는 사용자로부터 설정 받을 수 있으며, 파일 시스템 변화 추이 정보간 비교, 로그데이터 변화 추이 정보간 비교 및 파일 시스템 변화 추이 정보와 로그데이터 변화 추이 정보가 결합된 정보간 비교 중에서 설정된 상호 비교의 종류에 상응하도록 상호 비교를 수행할 수 있다. The type of mutual comparison can be set by the user. The mutual comparison can be set by the user. The mutual comparison can be set by the user. The comparison between the information of the change of the file system, the comparison of the log data change trend information, and the comparison between the information of the file system change trend information and the log data change trend information The mutual comparison can be performed so as to correspond to the kind.

마지막으로, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 추이 정보를 분류하고, 보안 침해 사고 발생 여부를 판단한다(S440). Finally, the intrusion detection device 200 of the smart grid device classifies the trend information and determines whether a security intrusion has occurred (S440).

스마트그리드 기기의 침해 사고 탐지 장치(200)는 복수의 스마트그리드 기기들로부터 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류한다. 그리고 스마트그리드 기기의 침해 사고 탐지 장치(200)는 임계치 미만의 수로 분류된 추이 정보에 상응하는 스마트그리드 기기를 보안 침해 사고가 발생한 것으로 판단한다. The intrusion detection device 200 of the smart grid device classifies the trend information input from a plurality of smart grid devices using a classification algorithm. Then, the intrusion detection device 200 of the smart grid device determines that the smart grid device corresponding to the trend information classified into the number below the threshold value is a security intrusion accident.

또한, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 보안 침해 사고가 발생한 것으로 판단된 스마트그리드 기기에 상응하는 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출한다. Also, the intrusion detection device 200 of the smart grid device compares the trend information corresponding to the smart grid device determined to have generated the security intrusion accident and the infringement incident information corresponding to the previously stored security intrusion accident, and calculates the similarity do.

어떠한 스마트그리드 기기에 보안 침해 사고가 발생하였는지 또는 어떠한 스마트그리드 기기가 비정상적으로 동작하고 있는지 여부를 확인하고자 하는 경우, 확인의 대상이 되는 스마트그리드 기기와 스마트그리드 기기 정보가 동일한 복수개의 스마트그리드 기기들로부터 수신된 추이 정보를 입력한다. 그리고 입력된 추이 정보들을 분류 알고리즘을 이용하여 분류한다. In the case where it is desired to check which Smart Grid device has caused a security breach accident or which Smart Grid device is behaving abnormally, a plurality of Smart Grid devices having the same Smart Grid device information and the same Smart Grid device information And the like. Then, the input trend information is classified using a classification algorithm.

이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 임계치 미만의 적은 수로 분류된 추이 정보에 상응하는 스마트그리드 기기에 침해 사고 또는 기기 이상이 있는 것으로 판단할 수 있다. At this time, the intrusion detection device 200 of the smart grid device may determine that there is an intrusion or device malfunction in the smart grid device corresponding to the trend information classified into a small number less than the threshold value.

또한, 보안 침해 사고가 발생한 것으로 판단된 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 발생한 보안 침해 사고가 기존에 발생한 보안 침해 사고와 동일한 보안 침해 사고인지 여부를 판단한다. 이때, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 특정 보안 침해 사고에 의해 발생된 것으로 파악된 추이 정보와 탐지의 대상이 되는 스마트그리드 기기의 추이 정보를 상호 비교한다. In addition, if it is determined that a security intrusion has occurred, the intrusion detection device 200 of the smart grid device determines whether the security intrusion occurred is the same as the security intrusion that occurred. At this time, the intrusion detection device 200 of the smart grid device compares the trend information detected as being generated by the specific security intrusion accident with the trend information of the smart grid device to be detected.

상호 비교 결과, 유사한 정도가 기 설정된 값 이상인 경우, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 탐지의 대상이 되는 스마트그리드 기기에 해당 보안 침해 사고가 발생한 것으로 판단하거나, 해당 보안 침해 사고가 발생한 것으로 의심할 수 있다. In a case where the degree of similarity is equal to or greater than a predetermined value as a result of the mutual comparison, the intrusion detection device 200 of the smart grid device may determine that a corresponding security intrusion has occurred in the smart grid device to be detected, I can doubt that.

이하에서는 도 5 및 도 6을 통하여 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 생성한 추이 정보에 대하여 더욱 상세하게 설명한다. Hereinafter, the trend information generated by the intrusion detection device of the smart grid device according to an embodiment of the present invention will be described in more detail with reference to FIGs. 5 and 6. FIG.

도 5는 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 비휘발성 메모리 덤프이미지를 분석한 결과를 나타낸 예시도이다. FIG. 5 is a diagram illustrating an analysis result of a non-volatile memory dump image of an apparatus for detecting an intrusion of a smart grid device according to an exemplary embodiment of the present invention.

도 5에 도시한 바와 같이, 스마트그리드 기기의 침해 사고 탐지 장치(200)는 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제된 이벤트 시간과 해당 이벤트의 내용을 테이블 형식의 데이터베이스 정보로 생성하여 저장할 수 있다. As shown in FIG. 5, the intrusion detection device 200 of the smart grid device analyzes the nonvolatile memory dump image, and generates, edits, accesses, deletes the contents of the events, It can be created and saved as database information.

도 6은 본 발명의 일실시예에 따른 스마트그리드 기기의 침해 사고 탐지 장치가 시스템 및 어플리케이션 로그데이터를 분석한 결과를 나타낸 예시도이다. FIG. 6 is a diagram illustrating an analysis result of system and application log data of an intrusion detection device of a smart grid device according to an exemplary embodiment of the present invention.

도 6과 같이, 스마그리드 기기의 침해 사고 탐지 장치(200)는 시스템 및 어플리케이션 로그데이터를 분석하여, 이벤트 시간 및 내용을 테이블 형식의 데이터베이스 정보로 생성하여 저장할 수 있다. As shown in FIG. 6, the intrusion detection device 200 of the smart card device analyzes system and application log data, and generates and stores event time and contents as database information in tabular form.

이상에서와 같이 본 발명에 따른 스마트그리드 기기의 침해사고 탐지 장치 및 방법은 상기한 바와 같이 설명된 실시예들의 구성과 방법이 한정되게 적용될 수 있는 것이 아니라, 상기 실시예들은 다양한 변형이 이루어질 수 있도록 각 실시예들의 전부 또는 일부가 선택적으로 조합되어 구성될 수도 있다.As described above, the apparatus and method for detecting an intrusion of a smart grid device according to the present invention are not limited to the configurations and methods of the embodiments described above, but the embodiments may be modified in various ways All or some of the embodiments may be selectively combined.

100: 스마트그리드 기기
200: 스마트그리드 기기의 침해 사고 탐지 장치
210: 수신부
220: 분석부
230: 판단부100: Smart Grid devices
200: Intrusion detection device for Smart Grid devices
210:
220: Analytical Department
230:

Claims (20)

복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 수신부,
수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 분석부, 그리고
제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 판단부
를 포함하며,
상기 복수의 스마트그리드 기기들은,
식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것을 특징으로 하는 스마트그리드 기기의 침해 사고 탐지 장치.A receiving unit for receiving system change information including a nonvolatile memory dump image and system and application log data from a plurality of smart grid devices, respectively,
An analysis unit for analyzing the plurality of received system change information and generating trend information including at least one of file system change trend information and log data change trend information for each smart grid apparatus;
Comparing the first transition information corresponding to the first smart grid device with the second transition information corresponding to the remaining smart grid devices other than the first smart grid device to determine whether or not a security violation accident has occurred in the first smart grid device The judging unit
/ RTI >
Wherein the plurality of smart grid devices comprises:
Wherein at least one of the identification information, the manufacturer information, and the model name is identical to each other. 제1항에 있어서,
상기 판단부는,
상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
Wherein,
The smart grid device detecting the infiltration accident of the smart grid device that generates the second transition information by time unit by considering each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event Device. 제2항에 있어서,
상기 판단부는,
시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 스마트그리드 기기의 침해 사고 탐지 장치. 3. The method of claim 2,
Wherein,
And compares the first transition information and the second transition information with each other in the time unit set in a time unit, a day unit, a week unit, and a monthly unit. 제3항에 있어서,
상기 판단부는,
설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 스마트그리드 기기의 침해 사고 탐지 장치. The method of claim 3,
Wherein,
And compares the first transition information and the second transition information using at least one of file system change trend information and log data change trend information so as to correspond to a kind of mutual comparison set. 제4항에 있어서,
상기 판단부는,
상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단하는 스마트그리드 기기의 침해 사고 탐지 장치. 5. The method of claim 4,
Wherein,
Wherein the smart grid device classifies the trend information inputted from the plurality of Smart Grid devices by using a classification algorithm and determines the Smart Grid device corresponding to the trend information classified into a number less than the threshold to be the occurrence of the security violation accident Apparatus for detecting infringement of equipment. 제5항에 있어서,
상기 판단부는,
상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출하는 스마트그리드 기기의 침해 사고 탐지 장치. 6. The method of claim 5,
Wherein,
And compares the trend information corresponding to the smart grid device judged to have occurred with the security violation incident and the infringement incident information corresponding to the previously stored security violation incident to calculate the degree of similarity. 제1항에 있어서,
상기 분석부는,
상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
And generating the file system transition information by using time information including at least one of a generation time, a modification time, and an access time of the identified files by analyzing the nonvolatile memory dump image, . 제1항에 있어서,
상기 분석부는,
상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
And analyzing the system and application log data and generating the log data change trend information using the detected time information. 제1항에 있어서,
상기 분석부는,
상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하는 스마트그리드 기기의 침해 사고 탐지 장치. The method according to claim 1,
The analyzing unit,
Analyzing the nonvolatile memory dump image to analyze the time at which at least one event occurred and the contents of the event from among creation, modification, access and deletion of files, analyzing the system and application log data, And analyzing the contents of the event and the event of the event. 삭제delete 스마트그리드 기기의 침해 사고 탐지 장치에 의해 수행되는 스마트그리드 기기의 침해 사고 탐지 방법에 있어서,
복수의 스마트그리드 기기들로부터 각각 비휘발성 메모리 덤프이미지와 시스템 및 어플리케이션 로그데이터를 포함하는 시스템 변화 정보들을 수신하는 단계,
수신된 복수의 상기 시스템 변화 정보들을 분석하여, 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 포함하는 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계, 그리고
제1 스마트그리드 기기에 상응하는 제1 추이 정보를 상기 제1 스마트그리드 기기를 제외한 나머지 스마트그리드 기기들에 상응하는 제2 추이 정보와 비교하여, 상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계
를 포함하며,
상기 복수의 스마트그리드 기기들은,
식별 정보, 제조사 정보, 모델명 중에서 적어도 하나가 서로 동일한 것을 특징으로 하는 스마트그리드 기기의 침해 사고 탐지 방법.A method for detecting an intrusion of a smart grid device performed by an intrusion detection device of a smart grid device,
Receiving system change information from the plurality of smart grid devices, each system change information including a non-volatile memory dump image and system and application log data,
Analyzing the plurality of received system change information to generate trend information including at least one of file system change trend information and log data change trend information for each Smart Grid device;
Comparing the first transition information corresponding to the first smart grid device with the second transition information corresponding to the remaining smart grid devices other than the first smart grid device to determine whether or not a security violation accident has occurred in the first smart grid device Step to judge
/ RTI >
Wherein the plurality of smart grid devices comprises:
Wherein at least one of the identification information, the manufacturer information, and the model name is identical to each other. 제11항에 있어서,
상기 제1 스마트그리드 기기의 보안 침해 사고 발생 여부를 판단하는 단계는,
상기 나머지 스마트그리드 기기들로부터 수신된 각각의 상기 파일 시스템 변화 추이 정보 및 상기 로그데이터 변화 추이 정보를 하나의 이벤트로 간주하여, 시간 단위 별 상기 제2 추이 정보를 생성하는 단계를 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The method of claim 1, wherein determining whether a security breach occurs in the first smart grid device comprises:
And generating the second transition information for each time unit by considering each of the file system change trend information and the log data change trend information received from the remaining Smart Grid devices as one event, A method of detecting an infringement accident of. 제12항에 있어서,
시 단위, 일 단위, 주 단위 및 월 단위 중에서 설정된 상기 시간 단위로 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 13. The method of claim 12,
Further comprising the step of comparing the first transition information and the second transition information by the time unit set in a time unit, a day unit, a week unit, and a monthly unit. 제13항에 있어서,
설정된 상호 비교의 종류에 상응하도록 파일 시스템 변화 추이 정보 및 로그데이터 변화 추이 정보 중에서 적어도 하나를 이용하여 상기 제1 추이 정보와 상기 제2 추이 정보를 비교하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 14. The method of claim 13,
And comparing the first transition information and the second transition information using at least one of the file system change trend information and the log data change trend information so as to correspond to the type of the mutual comparison set, Detection method. 제14항에 있어서,
상기 복수의 스마트그리드 기기들로부터 입력된 상기 추이 정보들을 분류 알고리즘을 이용하여 분류하고, 임계치 미만의 수로 분류된 상기 추이 정보에 상응하는 상기 스마트그리드 기기를 상기 보안 침해 사고가 발생한 것으로 판단하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 15. The method of claim 14,
Classifying the trend information inputted from the plurality of smart grid devices by using a classification algorithm and determining that the smart grid device corresponding to the trend information classified into a number less than the threshold value is the occurrence of the security violation accident A method of detecting an infringement incident of a smart grid device further comprising: 제15항에 있어서,
상기 보안 침해 사고가 발생한 것으로 판단된 상기 스마트그리드 기기에 상응하는 상기 추이 정보와 기 저장된 보안 침해 사고에 상응하는 침해 사고 추이 정보를 비교하여, 유사도를 산출하는 단계를 더 포함하는 스마트그리드 기기의 침해 사고 탐지 방법. 16. The method of claim 15,
Comparing the trend information corresponding to the smart grid device judged to have occurred with the security violation incident and the infringement incident information corresponding to the previously stored security violation incident to calculate a similarity degree, How to detect an accident. 제11항에 있어서,
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 비휘발성 메모리 덤프이미지를 분석하여 파악된 파일들의 생성 시간, 수정 시간 및 접근 시간 중에서 적어도 하나를 포함하는 시간 정보를 이용하여, 상기 파일 시스템 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
Analyzing the nonvolatile memory dump image, and generating the file system transition information using time information including at least one of generation time, modification time, and access time of the identified files, . 제11항에 있어서,
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 시스템 및 어플리케이션 로그데이터를 분석하여 파악된 시간 정보를 이용하여, 상기 로그데이터 변화 추이 정보를 생성하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
And analyzing the system and application log data and generating the log data change trend information using the detected time information. 제11항에 있어서,
상기 추이 정보를 상기 스마트그리드 기기 별로 생성하는 단계는,
상기 비휘발성 메모리 덤프이미지를 분석하여, 파일들의 생성, 수정, 접근 및 삭제 중에서 적어도 하나의 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하거나, 상기 시스템 및 어플리케이션 로그데이터를 분석하여, 상기 이벤트가 발생한 시간 및 상기 이벤트의 내용을 분석하는 스마트그리드 기기의 침해 사고 탐지 방법. 12. The method of claim 11,
The step of generating the transition information for each Smart Grid device includes:
Analyzing the nonvolatile memory dump image to analyze the time at which at least one event occurred and the contents of the event from among creation, modification, access and deletion of files, analyzing the system and application log data, And analyzing the contents of the event and the event. 삭제delete
KR1020160008040A 2015-08-11 2016-01-22 Apparatus and method for detecting intrusion of smart-grid KR101719698B1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR20150113028 2015-08-11
KR1020150113028 2015-08-11

Publications (2)

Publication Number Publication Date
KR20170019302A KR20170019302A (en) 2017-02-21
KR101719698B1 true KR101719698B1 (en) 2017-03-24

Family

ID=58314003

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160008040A KR101719698B1 (en) 2015-08-11 2016-01-22 Apparatus and method for detecting intrusion of smart-grid

Country Status (1)

Country Link
KR (1) KR101719698B1 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230163132A (en) 2022-05-23 2023-11-30 인천대학교 산학협력단 Method and apparatus for trustworthiness evaluation of smart grid data aggregation in smart grids

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101957744B1 (en) * 2017-02-23 2019-03-14 한국원자력연구원 Cyber security monitoring method and system of digital system in nuclear power plant

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101533961B1 (en) * 2014-03-11 2015-07-06 주식회사 윈스 Apparatus and method for analyzing stats based on periodic distribution of network and system log

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102055761B1 (en) * 2013-12-20 2019-12-13 주식회사 케이티 Apparatus and method for managing abnormal electric device in home network
KR101547998B1 (en) 2014-04-28 2015-08-27 한국전자통신연구원 Apparatus and method for providing vulnerability analysis information

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101533961B1 (en) * 2014-03-11 2015-07-06 주식회사 윈스 Apparatus and method for analyzing stats based on periodic distribution of network and system log

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20230163132A (en) 2022-05-23 2023-11-30 인천대학교 산학협력단 Method and apparatus for trustworthiness evaluation of smart grid data aggregation in smart grids

Also Published As

Publication number Publication date
KR20170019302A (en) 2017-02-21

Similar Documents

Publication Publication Date Title
Shrestha et al. A methodology for security classification applied to smart grid infrastructures
Choi et al. Ontology-based security context reasoning for power IoT-cloud security service
Yu et al. An integrated detection system against false data injection attacks in the smart grid
CN111274583A (en) Big data computer network safety protection device and control method thereof
Garitano et al. A review of SCADA anomaly detection systems
Attia et al. An efficient intrusion detection system against cyber-physical attacks in the smart grid
EP3258661B1 (en) Detection of abnormal configuration changes
Graveto et al. Security of Building Automation and Control Systems: Survey and future research directions
Mylrea et al. Cybersecurity and optimization in smart “autonomous” buildings
Babun et al. A system-level behavioral detection framework for compromised CPS devices: Smart-grid case
CN105488393B (en) A kind of attack intent classifier method and system based on database honey jar
KR101750760B1 (en) System and method for anomaly behavior detection of smart home service
Abdulrahaman Okino Otuoze et al. Electricity theft detection framework based on universal prediction algorithm
Ziegler et al. Privacy and security threats on the Internet of Things
Ali et al. ICS/SCADA system security for CPS
KR101971799B1 (en) System and method for detecting abnormal behavior based on unified model
CN115314286A (en) Safety guarantee system
Mendel Smart grid cyber security challenges: Overview and classification
Zheng et al. Smart grid: Cyber attacks, critical defense approaches, and digital twin
CN109388949B (en) Data security centralized management and control method and system
KR101719698B1 (en) Apparatus and method for detecting intrusion of smart-grid
Babun et al. The Truth Shall Set Thee Free: Enabling Practical Forensic Capabilities in Smart Environments.
KR101971790B1 (en) System and method for detecting abnormal behavior based on unified model
Tudor et al. Harnessing the unknown in advanced metering infrastructure traffic
Mavale et al. Review of cyber-attacks on smart grid system

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20200129

Year of fee payment: 4