KR20110093204A - Apparatus and method for defending against security threats, and recording medium thereof - Google Patents

Apparatus and method for defending against security threats, and recording medium thereof Download PDF

Info

Publication number
KR20110093204A
KR20110093204A KR1020100013102A KR20100013102A KR20110093204A KR 20110093204 A KR20110093204 A KR 20110093204A KR 1020100013102 A KR1020100013102 A KR 1020100013102A KR 20100013102 A KR20100013102 A KR 20100013102A KR 20110093204 A KR20110093204 A KR 20110093204A
Authority
KR
South Korea
Prior art keywords
control command
packet
command
control
error
Prior art date
Application number
KR1020100013102A
Other languages
Korean (ko)
Other versions
KR101083925B1 (en
Inventor
장창영
Original Assignee
장창영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 장창영 filed Critical 장창영
Priority to KR1020100013102A priority Critical patent/KR101083925B1/en
Publication of KR20110093204A publication Critical patent/KR20110093204A/en
Application granted granted Critical
Publication of KR101083925B1 publication Critical patent/KR101083925B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Small-Scale Networks (AREA)

Abstract

PURPOSE: An apparatus and method for defending against security threats and a recording medium thereof are provided to protect an automated device and facility about a security threat on a network or an internet. CONSTITUTION: A packet analyzing unit(222) extracts a control command. The packet analyzing unit determines a permission authority of an HMI device, a permission right of a user, and a permission time of the controller command. A connection controller(212) allows or prevents the connection of an HMI device by the authority right of the user. A command analyzer part(223) checks the error state of the control command. A command control part(224) blocks the transmission of the control command by the allowance of a control command and the error state of the control command.

Description

보안 위협 방어 장치 및 방법, 그 기록 매체 {Apparatus and Method for defending against security threats, and Recording medium thereof}Apparatus and Method for defending against security threats, and Recording medium

본 발명은 이더넷을 사용하는 산업 자동화 시스템에 관한 것으로, 특히, 보안 위협 방어 장치 및 방법, 그 기록 매체에 관한 것이다.The present invention relates to an industrial automation system using Ethernet, and more particularly, to a security threat defense device and method, and a recording medium thereof.

필드버스는 1980년대부터 현장에 설치된 각종 산업기기 및 장치의 제어기와 센서 및 액추에이터간에 통신수단으로 도입되기 시작했다. 1990년대 후반 개방형 제어기의 보급과 더불어 실시간 통신을 지원하는 산업용 통신망 기술의 수요가 크게 증대되면서, 지금은 자동화 시스템 구축에 있어서 반드시 확보해야 할 핵심 기술로 인식되고 있다.Fieldbuses have been introduced as a means of communication between controllers, sensors and actuators of various industrial equipment and devices installed on site since the 1980s. With the spread of open controllers in the late 1990s and the demand for industrial network technology supporting real-time communication has increased significantly, it is now recognized as a core technology that must be secured in building an automation system.

자동화 시스템은 단일기능 제어기, 다중기능 제어기, PLC, 메커트로닉스 장비, 반도체 장비 등의 각종 제어기기를 중심으로 하위 계층의 센서 및 모니터링 장비와 상위 계층의 오퍼레이터 스테이션까지 포함하는 구조로 되어있다. 따라서 자동화 통신망 역시 각 계층에서 요구하는 통신 요구를 만족하는 다양한 통신망들이 다중계층 구조로 이루어진다. 필드버스 산업 통신망의 시장은 1980년대 중반부터 지금까지 미국과 유럽을 중심으로 다양한 종류의 프로토콜들이 개발돼 소리 없는 치열한 각축전이 전개되고 있다.The automation system is structured to include sensor and monitoring equipment in the lower layer and operator station in the upper layer centering on various controllers such as single function controller, multi function controller, PLC, mechatronics equipment, semiconductor equipment, and so on. Therefore, the automation communication network also has a multi-layered structure in which various communication networks satisfy the communication requirements of each layer. The market for the fieldbus industrial communication network has been developing various kinds of protocols around the United States and Europe from the mid-1980s to the present.

또한 주목할 점은 이더넷(Ethernet)의 산업 자동화에 대한 적용이다. 기존에도 이더넷은 제어기기와 상위의 HMI (Human Machine Interface), 엔지니어링 스테이션 등의 연결에 사용되었지만 CSMA/CD방식의 확정성(Determinism) 결여로 실시간 I/O 제어에는 적용되지 못하였다. 하지만 최근에 개방형 응용계층 프로토콜의 이식과 스위칭기술의 결합으로 실시간 제어에 근접하는 I/O 제어기능을 제공하게 되었고 이를 적용한 제품들이 출시되고 있다.Also of note is the application of Ethernet to industrial automation. In the past, Ethernet has been used to connect controllers, upper human machine interfaces (HMIs), and engineering stations, but it has not been applied to real-time I / O control due to the lack of determinism of CSMA / CD. Recently, however, the combination of open application layer protocols and switching technology has provided I / O control functions that approximate real-time control.

국내에서는 2003년 4월 필드버스 표준포럼이 창립된 뒤 국가적으로 필드버스와 관련된 제반활동이 활발히 전개돼 왔다. 현재 필드버스 표준포럼은 필드버스 단체규격 및 국제규격 제정을 위한 필드버스 기반의 개방형 시스템 통합 방안을 제안하기 위해, 그 대상을 공정 자동화(철강, 원자력, 석유화학, 기타), 제조 자동화(자동차, 반도체, 디스플레이, 가전, 기타), 기타 자동화 분야(머신제어, 발전, 빌딩, 홈, 차량, 선박)로 나누고, 6개의 워킹그룹(WG)을 구성해 순차적으로 분야별 단체표준을 기획하는 양태를 보이고 있다.In Korea, since the establishment of the Fieldbus Standards Forum in April 2003, various activities related to fieldbuses have been actively carried out nationally. Currently, the Fieldbus Standards Forum proposes a method of integrating open fieldbus-based systems for fieldbus group and international standards, and includes process automation (steel, nuclear, petrochemical, etc.) and manufacturing automation (automotive, Divided into semiconductor, display, home appliance, etc.) and other automation fields (machine control, power generation, building, home, vehicle, ship), and 6 working groups (WG) were formed to sequentially plan group standards by sector. have.

종래 IT 산업 분야에서의 보안솔루션은 주로 침입 차단 시스템의 개념으로 이해되며, 웹과 사용자 양단의 사이에 네트워크 침입 차단 시스템을 설치하거나, 어플리케이션 침입 차단 시스템을 추가로 설치하는 형태에 머물러 있다. 이에 대하여 산업 자동화(Factory Automation; FA) 분야에서는 보안 솔루션이 거의 없는 상태이고 개발된 보안 솔루션조차 산업 자동화 분야의 특성을 고려하고 있지 못하다.Security solutions in the conventional IT industry are mainly understood as the concept of an intrusion prevention system, and remain in the form of installing a network intrusion prevention system or additional application intrusion prevention system between the web and the user's both ends. In the field of industrial automation (FA), there are few security solutions, and even developed security solutions do not consider the characteristics of industrial automation.

본 발명이 이루고자 하는 첫 번째 기술적 과제는 산업 자동화 분야의 고유한 특성을 고려한 보안 위협 방어 장치를 제공하는 데 있다.The first technical problem to be achieved by the present invention is to provide a security threat defense device in consideration of the unique characteristics of the industrial automation field.

본 발명이 이루고자 하는 두 번째 기술적 과제는 상기의 보안 위협 방어 장치에 적용되는 보안 위협 방어 방법을 제공하는 데 있다.The second technical problem to be achieved by the present invention is to provide a security threat defense method applied to the security threat defense device.

본 발명이 이루고자 하는 세 번째 기술적 과제는 상기의 보안 위협 방어 방법을 컴퓨터 시스템에서 실행하기 위한 프로그램이 기록된 매체로서, 컴퓨터 시스템이 판독할 수 있는 기록매체를 제공하는 데 있다.A third technical problem to be achieved by the present invention is to provide a recording medium that can be read by a computer system as a medium in which a program for executing the security threat defense method in a computer system is recorded.

따라서, 따라서, 본 발명의 일 실시 예에 따른 보안 위협 방어 장치는 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집하는 패킷 수집부; 상기 패킷을 프로토콜 계층별로 실시간 분석하여 제어명령을 추출하고, HMI 장치의 허가 권한, 사용자의 허가 권한 및 상기 제어명령의 허가 시점을 분석하여 산업 자동화 장비 및 설비와 HMI 장치 사이에서 발생된 장애 원인을 판단하는 패킷 분석부; 상기 HMI 장치의 허가 권한 및 상기 사용자의 허가 권한에 따라 상기 HMI 장치의 접속을 허용 또는 차단하는 접속 제어부; 상기 제어명령의 오류 여부를 파악하는 명령 분석부; 및 상기 제어명령의 오류 여부에 따라 상기 제어명령의 전송을 허용 또는 차단하는 명령 제어부를 포함한다.Therefore, according to one embodiment of the present invention, a security threat defense device includes: a packet collector configured to collect packets of an industrial fieldbus protocol using Ethernet; Analyze the packet in real time for each protocol layer to extract the control command, analyze the permission authority of the HMI device, the permission authority of the user, and the permission time point of the control command to determine the cause of the failure occurring between the industrial automation equipment and the facility and the HMI device. A packet analyzer for determining; A connection control unit which permits or blocks the connection of the HMI device according to the permission right of the HMI device and the permission right of the user; A command analyzer to determine whether the control command is in error; And a command controller to allow or block transmission of the control command according to whether the control command is in error.

또한, 본 발명의 일 실시 예에 따른 보안 위협 방어 방법은 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집하는 단계; 상기 패킷을 프로토콜 계층별로 실시간 분석하여 제어명령을 추출하고, HMI 장치의 허가 권한, 사용자의 허가 권한 및 상기 제어명령의 허가 시점을 판단하는 단계; 상기 HMI 장치의 허가 권한 및 상기 사용자의 허가 권한에 따라 상기 HMI 장치의 접속을 허용 또는 차단하는 단계; 상기 제어명령의 오류 여부를 파악하는 단계; 및 상기 제어명령의 오류 여부 및 상기 제어명령의 허가 시점에 따라 제어명령의 전송을 허용 또는 차단하는 단계를 포함한다.In addition, the security threat protection method according to an embodiment of the present invention comprises the steps of collecting a packet of the industrial fieldbus protocol using Ethernet; Analyzing the packet in real time for each protocol layer to extract a control command, and determining an authorization right of the HMI device, an authorization right of the user, and an authorization time of the control command; Allowing or blocking access to the HMI device according to the permission right of the HMI device and the permission right of the user; Determining whether the control command is in error; And allowing or blocking the transmission of the control command according to whether the control command is in error or when the control command is permitted.

본 발명의 실시 예들에 의하면, 정보시스템용 네트워크 및 인터넷을 통해 시도되는 보안 위협에 대해 자동화 장비 및 설비를 보호할 수 있으며, 송수신 되는 필드버스 프로토콜을 저장하여 자동화 장비 및 설비와 HMI 사이에서 발생된 내용을 장애시점 데이터를 제공할 수 있다.According to the embodiments of the present invention, it is possible to protect the automation equipment and equipment against security threats attempted through the network for the information system and the Internet, and to store the fieldbus protocols transmitted and received and generated between the automation equipment and the equipment and the HMI. The content can provide fault data.

도 1은 필드버스의 계층 구조를 도시한 것이다.
도 2는 본 발명의 일 실시 예에 따른 보안 위협 방어 장치의 블록도이다.
도 3은 본 발명의 일 실시 예에 따른 보안 위협 방어 장치의 상세 블록도이다.
도 4는 본 발명의 일 실시 예에 따른 보안 위협 방어 방법의 흐름도이다.1 shows the hierarchical structure of the fieldbus.
2 is a block diagram of a security threat defense device according to an embodiment of the present invention.
3 is a detailed block diagram of a security threat defense device according to an embodiment of the present invention.
4 is a flowchart illustrating a security threat defense method according to an embodiment of the present invention.

이하에서는 도면을 참조하여 본 발명의 바람직한 실시 예를 설명하기로 한다. 그러나, 다음에 예시하는 본 발명의 실시 예는 여러 가지 다른 형태로 변형될 수 있으며, 본 발명의 범위가 다음에 상술하는 실시 예에 한정되는 것은 아니다.Hereinafter, with reference to the drawings will be described a preferred embodiment of the present invention. However, embodiments of the present invention illustrated below may be modified in various other forms, and the scope of the present invention is not limited to the embodiments described below.

필드버스는 도 1에 도시된 바와 같이, 물리 계층과 데이터 링크 계층 위에 응용 계층이 위치하고, 그 위에 사용자 계층이 위치하는 계층 구조를 가진다.As shown in FIG. 1, the fieldbus has a hierarchical structure in which an application layer is positioned on a physical layer and a data link layer, and a user layer is positioned on the field layer.

물리계층(Physical Layer)(OSI의 첫 번째 계층)은 전선, 광섬유 또는 무선과 같이 미디어의 전달할 데이터의 물리적 링크의 작동 및 유지를 위한 전기적, 광학적, 기계적 절차에서 기능적 역할을 한다. 즉, 데이터 링크 계층으로부터 전달된 데이터를 받아서 이를 전기 또는 광신호로 변환하여 물리적 링크를 통하여 전송하며, 또한 물리적 링크를 통하여 수신된 신호를 데이터로 변환하여 데이터 링크 계층으로 넘겨준다. LAN_IP에서 전송속도는 UTP(Unshielded Twisted Pair) Cat 3,4,5 10/100Mbps 외 다양하다. 전송방식은 하프/풀 듀플렉스(Half/Full Duplex) 모두 가능하다. 전송기술은 IEEE 802.3 표준 등으로 다양하다. LAN_ModBus_TCP/IP의 경우에는 LAN_IP와 동일한 물리계층을 사용한다. FieldBus_Profibus의 경우에는 주소영역이 최대 127 스테이션(Station) 32 동적 토큰 마스터(Active Token Master)이다. 전송속도는 9.0 ~ 500Kbit 까지이고, 전송방식은 슬립(Slip) 확정 동기화 하프 듀플렉스(Half Duplex) 방식 비동기 전송이다. 전송기술은 EIA RS 485 표준 TTW(Twisted Two Wiring) 등이다. The Physical Layer (the first layer of OSI) plays a functional role in the electrical, optical, and mechanical procedures for the operation and maintenance of the physical link of data to be transmitted in media, such as wire, fiber, or wireless. That is, the data received from the data link layer is converted into an electrical or optical signal and transmitted through the physical link, and the signal received through the physical link is converted into data and passed to the data link layer. The transmission speed in LAN_IP is various except UTP (Unshielded Twisted Pair) Cat 3,4,5 10 / 100Mbps. The transmission method can be either half / full duplex. Transmission technology varies with the IEEE 802.3 standard. In the case of LAN_ModBus_TCP / IP, the same physical layer as LAN_IP is used. In the case of FieldBus_Profibus, the address range is up to 127 Stations 32 Active Token Masters. The transmission speed is up to 9.0 ~ 500Kbit, and the transmission method is slip confirmation synchronization half duplex asynchronous transmission. Transmission technology is the EIA RS 485 standard twisted two wiring (TTW).

데이터 링크 계층(Data Link Layer)(OSI의 두 번째 계층)은 네트워크 카드 인터페이스 (Network Card Interface; NIC) 또는 장비의 고유한 MAC 주소(예를 들어, 00:E0:91:11:5A:FB)를 포함한다. 데이터 링크 층은 물리적 링크를 통한 신뢰성 있는 데이터 전송을 제공하며 이 계층은 물리적 어드레싱, 네트워크 토포로지, 회선 사용 규칙, 오률 검출, 프레임 전달 흐름 제어에 관계한다. 데이터 링크 계층에서는 매체 접속 제어(MAC) 기능과 논리 링크 제어 기능을 제공한다. 매체 접속 제어 기능은 여러 개의 노드들이 하나의 네트워크 미디엄을 공유하는데 있어서 데이터간의 충돌을 방지하기 위하여 각각의 노드에 데이터를 전송하는 권한을 부여하는 기능을 말하며, 논리 링크 제어 기능은 통신을 하려는 노드들 간에 논리적 링크를 설정 및 해제하는 기능을 비롯하여 노드들 간의 통신 과정에서 발생할 수 있는 각종 오류를 처리함으로써 노드들 간에 신뢰할 만한 데이터 전송이 이루어지도록 하는 기능이다. LAN의 경우, 물리 주소(Physical Address)는 예를 들어, 00:E1:11:5F:AF의 형식을 가진다. 토포로지는 스타(Star), 링(Ring), 버스(Bus), 트리(Tree) 등이 가능하다.The Data Link Layer (second layer of OSI) is the Network Card Interface (NIC) or unique MAC address of the device (for example, 00: E0: 91: 11: 5A: FB). It includes. The data link layer provides reliable data transmission over the physical link, which is concerned with physical addressing, network topology, circuit usage rules, error rate detection, and frame forwarding flow control. The data link layer provides media access control (MAC) and logical link control. Media access control refers to a function that authorizes to transmit data to each node in order to prevent data collisions when multiple nodes share a network medium. Logical link control refers to nodes to communicate with. It is a function to establish reliable data transmission between nodes by dealing with various errors that may occur during communication between nodes as well as a function to establish and release a logical link between nodes. In the case of a LAN, a physical address has a format of 00: E1: 11: 5F: AF, for example. Topology can be Star, Ring, Bus, Tree, etc.

네트워크 계층(Network Layer)(OSI의 세 번째 계층)은 NIC 또는 장비의 자동할당/임의정의로 할당하는 IP 주소(예를 들어, 192.168.0.100)와 상위 응용 계층에 대한 프로토콜 (예를 들어, TCP, UDP, ...) 타입을 결정한다. 네트워크 계층은 다른 장소에 위치한 시스템간에 연결성과 경로 선택을 제공한다. 라우팅 프로토콜이 서로 연결된 네트워크를 통한 최적 경로를 선택하여 네트워크 층의 프로토콜은 선택된 경로를 따라 정보를 보낸다. LAN_의 경우 논리 주소(Logical Address)는 192.168.0.10와 같은 인터넷 프로토콜 주소(Internet Protocol Address)를 가진다.The network layer (third layer of OSI) is the IP address (for example, 192.168.0.100) assigned by NIC or device auto-assignment / arbitrarily, and the protocol for the higher application layer (for example, TCP). , UDP, ...) determines the type. The network layer provides connectivity and route selection between systems located in different locations. The routing protocol selects the optimal path through the interconnected network so that the protocol at the network layer sends information along the selected path. In the case of LAN_, the logical address has an Internet Protocol address such as 192.168.0.10.

트랜스포트 계층(Transport Layer)(OSI의 네 번째 계층)은 데이터 전송서비스를 제공하며 신뢰성 있는 서비스를 제공하기 위한 층으로 서비스 가상회로의 구축, 유지, 종료 전송 오류 검출 및 복구 정보 흐름 제어의 절차를 제공한다.. LAN_Modbus_TCP/IP의 경우에는 TCP 포트(Port) 502를 사용한다.The transport layer (the fourth layer of the OSI) is a layer for providing a data transmission service and providing a reliable service. The process of establishing, maintaining, and terminating service virtual circuits detects transmission errors and controls recovery of information flow. In case of LAN_Modbus_TCP / IP, TCP port 502 is used.

OSI의 다섯 번째부터 일곱 번째까지는 각각 세션 계층(Session Layer), 표현 계층(Presentation Layer), 응용 계층(Appication Layer)이 존재한다. 이들 계층은 어플리케이션 프로토콜 스펙(Application Protocol Spec)(ModBus_TCP_PROTOCOL, HTTP, SSH 등)을 기반으로 동작한다. 이 중에서 응용 계층은 원격 변수 입출력, 프로그램 및 데이터 파일 전송, 프로그램 원격 관리 및 각종 사건 처리 등과 같이 공정 제어와 공장 자동화 환경에서 요구되는 각종 응용 서비스를 제공한다. 이 계층은 네트워크 계층에서 정의된 프로토콜에 대한 포트 번호를 포함하는데, 포트 번호에는 일반적으로 사용되는 포트 번호(Well Known Port)(예를 들어, 80/8080 (www), 21(ftp), 22(ssh), 1521(oracle))와 사용자가 임의로 지정하여 사용하는 임의 지정 포트 번호(예를 들어, NATE 메신저(5004))가 있다.In the fifth to seventh OSIs, there are a session layer, a presentation layer, and an application layer. These layers operate on the Application Protocol Spec (ModBus_TCP_PROTOCOL, HTTP, SSH, etc.). Among them, the application layer provides various application services required in process control and factory automation environment such as remote variable input / output, program and data file transfer, program remote management, and various event processing. This layer contains the port numbers for the protocols defined at the network layer, which include the Well Known Ports (for example, 80/8080 (www), 21 (ftp), 22 ( ssh), 1521 (oracle), and a random port number (for example, NATE messenger 5004) used by the user.

사용자 계층은 응용 계층의 데이터 영역으로, 어플리케이션에 대한 프로토콜을 정의한다. 즉 어플리케이션에서의 통신을 하기 위한 통신 규약을 말하며 세계 공통 규약(예를 들어, HTTP, FTP, SSH), 특정/한정된 어플리에키션/사용자/장비에 대하여 사용되는 임의 규약(예를 들어, 증권사 HTS, 은행 단말기)이 있다.The user layer is the data layer of the application layer and defines the protocol for the application. In other words, it refers to the communication protocol for communication in the application, and the common protocols (e.g., HTTP, FTP, SSH), and arbitrary protocols used for specific / limited application / user / equipment (e.g. securities company HTS). , Bank terminal).

필드버스는 응용 계층 위에 사용자 계층을 가짐으로써 단순히 통신을 위한 네트워크 시스템 이상의 기능을 제공한다. 필드버스의 사용자는 바로 필드 장비들이다.Fieldbus has a user layer above the application layer that provides more than just a network system for communication. The user of the fieldbus is the field equipment.

본 발명에서는 각 계층마다 특정 정보를 확인하여 장애의 원인이 될 수 있는 내용의 감시 및 인허가 접속 감시한다. 예를 들어, 물리 계층에서는 MAC 주소가 허가된 것인지 여부, 데이터 링크 계층에서는 IP 주소 와 L4 프로토콜이 허가된 것인지 여부, 응용 계층에서는 포트가 허가된 것인지 여부, 사용자 계층에서는 산업용 필드버스의 제어명령을 분석하여 제어명령이 허가되고 정상적인 제어에 해당하는지 여부를 판단한다. 본 발명에서는 이렇게 판단된 결과에 따라 접속의 인허가 및 제어명령의 허용을 제어한다.In the present invention, the specific information is checked for each layer to monitor the contents that may cause the failure and to monitor the licensed access. For example, whether the MAC address is allowed at the physical layer, whether the IP address and the L4 protocol are allowed at the data link layer, whether the port is allowed at the application layer, and the control commands of the industrial fieldbus at the user layer. The analysis determines whether the control command is permitted and corresponds to normal control. In the present invention, the authorization of the connection and the acceptance of the control command are controlled according to the determined result.

도 2는 본 발명의 일 실시 예에 따른 보안 위협 방어 장치(200)의 블록도이다.2 is a block diagram of a security threat defense device 200 according to an embodiment of the present invention.

접속 관리부(210)에는 허용/차단으로 설정된 포트 번호에 따라 접속을 허용 또는 차단하는 소프트웨어가 포함된다.The connection manager 210 includes software for allowing or blocking a connection according to a port number set to allow / block.

장애 오류 제어부(220)에는 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 실시간 분석하는 소프트웨어, 송수신 되는 모든 패킷을 저장하는 장치, 필드버스 프로토콜의 최상위층 명령어를 분석하여 제어/감시 데이터 전송을 허용 또는 차단하는 소프트웨어 등이 포함된다.The fault error control unit 220 includes software for analyzing packets of an industrial fieldbus protocol using Ethernet, a device for storing all transmitted / received packets, and allowing or blocking control / monitoring data transmission by analyzing top-level commands of the fieldbus protocol. Software and the like.

접속부(230)는 HMI 장치(300)와 산업 자동화 장비 및 설비(100)를 연결해주는 역할을 한다.The connection unit 230 serves to connect the HMI device 300 and the industrial automation equipment and the facility 100.

도 3은 본 발명의 일 실시 예에 따른 보안 위협 방어 장치의 상세 블록도이다.3 is a detailed block diagram of a security threat defense device according to an embodiment of the present invention.

패킷 수집부(211)는 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집한다. 패킷 수집부(211)는 프로그램 가능한 로직 제어기(Programmable Logic Controller; PLC), 분산 제어 시스템(Distributed Control System; DCS), 원격 터미널 유닛(Remote Terminal UNIT; RTU), HMI 장치, 제어용 PC 등으로부터 패킷을 수신한다.The packet collector 211 collects packets of an industrial fieldbus protocol using Ethernet. The packet collecting unit 211 collects packets from a programmable logic controller (PLC), a distributed control system (DCS), a remote terminal unit (RTU), an HMI device, a control PC, and the like. Receive.

접속 제어부(212)는 HMI 장치의 허가 권한 및 사용자의 허가 권한에 따라 HMI 장치의 접속을 허용 또는 차단한다. 또한, 접속 제어부(212)는 패킷에 포함된 MAC, IP, 포트(PORT), 제어명령에 따라 제어명령의 전송을 허용 또는 차단한다. 또한, 접속 제어부(212)는 HMI 장치 등의 접속을 허용 또는 차단한다.The connection control unit 212 allows or blocks the connection of the HMI device according to the permission authority of the HMI device and the permission authority of the user. In addition, the access control unit 212 allows or blocks the transmission of the control command according to the MAC, IP, port (PORT), and the control command included in the packet. In addition, the connection control unit 212 allows or blocks a connection of the HMI device or the like.

패킷 저장부(221)는 패킷 수집부(211)에서 수집된 패킷들을 일시적으로/영구적으로 저장하는 메모리 소자를 포함한다. 본 발명의 일 실시 예에서는 산업용 필드버스의 장애 시점의 데이터를 제공하기 위해 산업용 필드버스의 제어 데이터를 모두 저장한다.The packet storage unit 221 includes a memory device that temporarily / permanently stores the packets collected by the packet collector 211. According to an embodiment of the present invention, all of the control data of the industrial fieldbus is stored in order to provide data at the time of failure of the industrial fieldbus.

패킷 분석부(222)는 패킷 수집부(211)에서 수집된 패킷을 프로토콜 계층별로 실시간 분석하여 HMI 장치의 허가 권한, 사용자의 허가 권한, 제어명령의 허가 시점을 분석하여 허가되지 않는 HMI 장치의 제어명령인지 여부, 허가되지 않은 시점(시간 또는 날)의 HMI 장치의 제어명령인지 여부, 허가권한이 없는 사용자의 HMI 장치의 제어명령인지 여부 등을 검사할 수 있다. 또한, 패킷 분석부(222)는 패킷을 분석하여 허가된 MAC 주소인지 여부, 허가된 IP 주소인지 여부, 허가된 포트인지 여부 등을 판단한다. 패킷 분석부(222)는 최상위 계층의 제어명령을 추출하도록 구성될 수 있다.The packet analyzer 222 analyzes the packet collected by the packet collector 211 for each protocol layer in real time to analyze the permission authority of the HMI device, the permission authority of the user, and the permission time of the control command to control the HMI device that is not permitted. It can be checked whether it is a command, whether it is a control command of an HMI device at an unauthorized time (time or day), or if it is a control command of an HMI device of a user without permission. In addition, the packet analyzer 222 analyzes the packet to determine whether it is an authorized MAC address, whether it is an authorized IP address, or whether it is an authorized port. The packet analyzer 222 may be configured to extract a control command of the highest layer.

명령 분석부(223)는 제어명령의 오류 여부를 파악한다. 제어명령의 오류는 제어명령에 허락된 형식 및 제어명령에 허락된 내용을 분석하여 판단할 수 있다. 일 예로, 명령 분석부(223)는 제어명령에 포함된 제어 필드가 제어명령에 허락된 것인지 여부에 따라 제어명령의 오류 여부를 판단할 수 있다. 보다 구체적으로, 특정 제어는 특정 제어 필드만을 가진다. 예를 들어, 상태(Status)의 내용(Content)을 가진 제어는 BIT0 ~ BIT6 까지만 사용되며, BIT6은 항상 SET되어 있어야 한다. 다른 예로, 명령 분석부(223)는 제어명령의 내용이 해당 장치와 대응되는지 여부에 따라 제어명령의 오류 여부를 판단할 수 있다. 보다 구체적으로, 특정 장치에 보내는 제어는 특정 제어만 가능하다. 예를 들어, PLC 27 Address 는 상태 내용(Status Content) 제어만 가능하다. PLC 29 Address 는 정지 주기(STOP_CYCLE) 제어를 가질 수 없다. 또는, 명령 분석부(223)는 제어명령마다 허락된 명령 주기, 제어명령마다 허락된 전송 타이밍, 동일한 주기 내에서 제어명령간 충돌 여부 등을 분석하여 제어명령의 오류 여부를 판단할 수 있다. 보다 구체적으로, 특정 제어명령의 명령 주기(Cycle)가 정상인가를 파악한다. PLC 30 Address 는 상태 제어에 대해 10 Cycle에 1번만 제어명령을 전달할 수 있다. 또한, 특정 제어명령 후에 수반되는 제어명령은 특정 시간(Time) 또는 주기 후에 발생하여야 한다. 또한, 서로 다른 HMI 에서 동일한 또는 서로 다른 제어명령이 동일한 주기에 수행되어서는 안된다. 이 밖에도 제어명령의 오류를 판단할 수 있는 다양한 기준이 존재할 수 있다.The command analyzer 223 may determine whether the control command is in error. The error of the control command can be determined by analyzing the format allowed for the control command and the content allowed for the control command. For example, the command analyzer 223 may determine whether the control command is in error according to whether the control field included in the control command is allowed in the control command. More specifically, certain controls only have certain control fields. For example, a control with a Content of Status can only be used from BIT0 to BIT6, and BIT6 must always be SET. As another example, the command analyzer 223 may determine whether the control command is in error according to whether the content of the control command corresponds to the corresponding device. More specifically, the control sent to a specific device is only specific control. For example, PLC 27 Address can only control Status Content. PLC 29 Address cannot have stop cycle (STOP_CYCLE) control. Alternatively, the command analyzer 223 may determine whether an error of the control command occurs by analyzing a command cycle permitted for each control command, a transmission timing allowed for each control command, and whether a control command collides within the same period. More specifically, it is determined whether the command cycle of a specific control command is normal. PLC 30 Address can transmit control command only once in 10 cycles for status control. In addition, a control command following a specific control command should occur after a specific time or period. In addition, the same or different control commands from different HMIs should not be executed in the same cycle. In addition, there may be various criteria for determining an error of a control command.

명령 제어부(224)는 장애 원인 및 제어명령의 오류 여부에 따라 제어명령의 전송을 허용 또는 차단한다.The command control unit 224 allows or blocks the transmission of the control command depending on the cause of the failure and whether the control command is in error.

제1접속부(231)는 스위치(301)와 산업 자동화 장비 및 설비(100) 사이의 접속을 중계하고, 제2접속부(232)는 PC(302)와 산업 자동화 장비 및 설비(100) 사이의 접속을 중계한다.The first connector 231 relays the connection between the switch 301 and the industrial automation equipment and equipment 100, and the second connector 232 is the connection between the PC 302 and the industrial automation equipment and equipment 100. Relays

도 4는 본 발명의 일 실시 예에 따른 보안 위협 방어 방법의 흐름도이다.4 is a flowchart illustrating a security threat defense method according to an embodiment of the present invention.

먼저, 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집한다(S310). 수집된 패킷은 메모리, 하드 디스크 등에 저장될 수도 있다(S311).First, a packet of an industrial fieldbus protocol using Ethernet is collected (S310). The collected packet may be stored in a memory, a hard disk, or the like (S311).

다음, 패킷을 프로토콜 계층별로 실시간 분석하여 HMI 장치의 허가 권한, 사용자의 허가 권한 및 제어명령의 허가 시점을 분석하여 산업 자동화 장비 및 설비와 HMI 장치 사이에서 정상 제어 여부를 판단한다(S320). 이 과정(S320)에는 제어명령을 추출하는 과정이 포함될 수 있다.Next, the packet is analyzed in real time for each protocol layer, and the permission authority of the HMI device, the permission authority of the user, and the permission time of the control command are analyzed to determine whether the normal control is performed between the industrial automation equipment and the facility and the HMI device (S320). This process (S320) may include a process of extracting a control command.

분석 결과, HMI 장치 등에 의한 접속이 인가된 접속이 아닌 경우(S321), 해당 접속을 차단한다(S350). 이상의 분석을 통해 어떠한 장비/설비에 대해 장애가 있다고 판단되는 경우, 장애 원인에 따라 제어명령을 전송 차단하거나 접속을 차단할 수도 있다(S350). 제어명령의 전송을 차단하거나 접속을 차단하는 경우에는 로그 정보를 기록(S360)하여 이후의 장애 원인 분석에 기여하도록 한다.As a result of the analysis, when the connection by the HMI device is not an authorized connection (S321), the connection is blocked (S350). If it is determined through the above analysis that there is a failure for any equipment / equipment, depending on the cause of the failure may transmit or block the control command (S350). When the transmission of the control command is blocked or the connection is blocked, log information is recorded (S360) to contribute to the subsequent failure cause analysis.

반면, 해당 접속이 인가된 접속인 경우, 제어명령을 분석하여 제어명령의 오류 여부를 판단한다(S330). 이 과정(S330)은 프로토콜의 일곱 번째 계층을 분석하는 과정일 수 있다.On the other hand, if the corresponding connection is an authorized connection, the control command is analyzed to determine whether the control command is in error (S330). This process (S330) may be a process of analyzing the seventh layer of the protocol.

제어명령에 오류가 있거나(S331), 제어명령이 인가된 명령이 아닌 경우(S332)에는 제어명령의 전송을 차단한다(S350). 제어명령의 전송을 차단하거나 접속을 차단하는 경우에는 로그 정보를 기록(S360)하여 이후의 장애 원인 분석에 기여하도록 한다. 이에 더하여, 패킷에 포함된 포트 번호에 따라 제어명령의 전송을 허용 또는 차단하는 과정을 수행할 수도 있다.If there is an error in the control command (S331) or the control command is not an authorized command (S332), the transmission of the control command is blocked (S350). When the transmission of the control command is blocked or the connection is blocked, log information is recorded (S360) to contribute to the subsequent failure cause analysis. In addition, the process of allowing or blocking the transmission of the control command may be performed according to the port number included in the packet.

특정 장비/설비에 대해 장애가 없는 경우에는 제어명령의 오류 여부에 따라 보안 처리를 한다. 특히, 제어명령에 오류가 없고 해당 제어명령이 인가된 명령인 경우에는 패킷 전송을 허용한다(S333).If there is no failure of a specific equipment / equipment, security processing is performed according to the error of control command. In particular, when there is no error in the control command and the control command is an authorized command, packet transmission is allowed (S333).

본 발명의 일 실시 예에 의하면, 자동화 장비 및 장치의 장애 시점의 데이터를 제공함으로써, 특정 자동화 장비 및 장치만의 문제로 판단하거나 특정 시점에 특정 자동화 장비 및 장치만의 문제로 판단하거나, 또는 특정 제조사 자동화 장비 및 장치만의 문제로 판단할 수 있는 근거 자료를 제시할 수 있다.According to an embodiment of the present invention, by providing data of the failure point of the automation equipment and the device, it is determined that the problem only for a specific automation equipment and device, at a specific time point as a problem only for the specific automation equipment or device, or Evidence that may be considered a problem for the manufacturer's automation equipment and devices can be provided.

또한, 정상적으로 허가된 지역, 사용자, HMI, 제어명령 과 정상적으로 만들어진 제어명령의 데이터가 사용된 경우에도 발생하는 장애에 대하여 자동화 장비 및 장치 제조사에 제어명령 및 시점을 제공하여 원인 파악이 용이하게 할 수도 있다. 이를 위해서는 필드버스 프로토콜의 패킷을 장기간 저장/보관하도록 하는 것이 바람직하다.In addition, it is possible to provide a control command and time point to automation equipment and device manufacturers for troubles that occur even when data of normally permitted areas, users, HMIs, control commands, and control commands that are normally created are used. have. For this purpose, it is desirable to store / store the packet of the fieldbus protocol for a long time.

본 발명은 소프트웨어를 통해 실행될 수 있다. 바람직하게는, 본 발명의 실시 예들에 따른 보안 위협 방어 방법을 컴퓨터에서 실행시키기 위한 프로그램을 컴퓨터로 읽을 수 있는 기록매체에 기록하여 제공할 수 있다. 소프트웨어로 실행될 때, 본 발명의 구성 수단들은 필요한 작업을 실행하는 코드 세그먼트들이다. 프로그램 또는 코드 세그먼트들은 프로세서 판독 가능 매체에 저장되거나 전송 매체 또는 통신망에서 반송파와 결합된 컴퓨터 데이터 신호에 의하여 전송될 수 있다.The invention can be implemented via software. Preferably, a program for executing the security threat defense method according to the embodiments of the present invention may be provided by recording a program for executing on a computer in a computer-readable recording medium. When implemented in software, the constituent means of the present invention are code segments that perform the necessary work. The program or code segments may be stored on a processor readable medium or transmitted by a computer data signal coupled with a carrier on a transmission medium or network.

컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 장치를 포함한다. 컴퓨터가 읽을 수 있는 기록 장치의 예로는 ROM, RAM, CD-ROM, DVD±ROM, DVD-RAM, 자기 테이프, 플로피 디스크, 하드 디스크(hard disk), 광데이터 저장장치 등이 있다. 또한, 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 장치에 분산되어 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다.Computer-readable recording media include all kinds of recording devices that store data that can be read by a computer system. Examples of the computer readable recording medium include ROM, RAM, CD-ROM, DVD 占 ROM, DVD-RAM, magnetic tape, floppy disk, hard disk, optical data storage, and the like. The computer readable recording medium can also be distributed over network coupled computer devices so that the computer readable code is stored and executed in a distributed fashion.

본 발명은 도면에 도시된 일 실시 예를 참고로 하여 설명하였으나 이는 예시적인 것에 불과하며 당해 분야에서 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 실시 예의 변형이 가능하다는 점을 이해할 것이다. 그리고, 이와 같은 변형은 본 발명의 기술적 보호범위 내에 있다고 보아야 한다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해서 정해져야 할 것이다.Although the present invention has been described with reference to one embodiment shown in the drawings, this is merely exemplary, and it will be understood by those skilled in the art that various modifications and variations may be made therefrom. And, such modifications should be considered to be within the technical protection scope of the present invention. Therefore, the true technical protection scope of the present invention will be defined by the technical spirit of the appended claims.

Claims (9)

이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집하는 패킷 수집부;
상기 패킷을 프로토콜 계층별로 실시간 분석하여, 제어명령을 추출하고, HMI 장치의 허가 권한, 사용자의 허가 권한 및 상기 제어명령의 허가 시점을 판단하는 패킷 분석부;
상기 HMI 장치의 허가 권한 및 상기 사용자의 허가 권한에 따라 상기 HMI 장치의 접속을 허용 또는 차단하는 접속 제어부;
상기 제어명령의 오류 여부를 파악하는 명령 분석부; 및
상기 제어명령의 오류 여부 및 상기 제어 명령의 허가 시점에 따라 상기 제어명령의 전송을 차단하는 명령 제어부를 포함하는, 보안 위협 방어 장치.A packet collector configured to collect packets of an industrial fieldbus protocol using Ethernet;
A packet analyzer configured to extract the control command by analyzing the packet in real time for each protocol layer, and to determine an authorization right of the HMI device, an authorization right of a user, and an authorization time of the control command;
A connection control unit which permits or blocks the connection of the HMI device according to the permission right of the HMI device and the permission right of the user;
A command analyzer to determine whether the control command is in error; And
And a command controller to block the transmission of the control command according to whether the control command is in error or when the control command is permitted. 제 1 항에 있어서,
상기 접속 제어부는
상기 패킷에 포함된 포트 번호에 따라 상기 제어명령의 전송을 허용 또는 차단하는 것을 특징으로 하는, 보안 위협 방어 장치.The method of claim 1,
The connection control unit
And allow or block transmission of the control command according to a port number included in the packet. 제 1 항에 있어서,
상기 패킷 수집부는
프로그램 가능한 로직 제어기(PLC), 분산 제어 시스템(DCS), 원격 터미널 유닛(RTU), 상기 HMI 장치 또는 제어용 PC 중 적어도 하나로부터 패킷을 수신하는 것을 특징으로 하는, 보안 위협 방어 장치.The method of claim 1,
The packet collecting unit
Receiving a packet from at least one of a programmable logic controller (PLC), a distributed control system (DCS), a remote terminal unit (RTU), the HMI device or a controlling PC. 제 1 항에 있어서,
상기 명령 분석부는
상기 제어명령에 포함된 제어 필드가 상기 제어명령에 허락된 것인지 여부 및 상기 제어명령의 내용이 해당 장치와 대응되는지 여부에 따라 제어명령의 오류 여부를 결정하는 것을 특징으로 하는, 보안 위협 방어 장치.The method of claim 1,
The command analysis unit
And determining whether or not the control command is in error according to whether the control field included in the control command is permitted to the control command and whether the contents of the control command correspond to the corresponding device. 제 1 항에 있어서,
상기 명령 분석부는
제어명령마다 허락된 명령, 제어명령마다 허락된 주기, 제어명령마다 허락된 전송 타이밍 또는 동일한 주기 내에서 제어명령간 충돌 여부 중 적어도 하나를 분석하여 상기 제어명령의 오류 여부를 판단하는 것을 특징으로 하는, 보안 위협 방어 장치.The method of claim 1,
The command analysis unit
It is characterized by determining whether an error of the control command by analyzing at least one of the command allowed for each control command, the period allowed for each control command, the transmission timing allowed for each control command, or whether there is a conflict between the control commands within the same period. , Security threat defense device. 제 1 항에 있어서,
상기 패킷 분석부는
상기 패킷을 분석하여 허가된 MAC 주소인지 여부, 허가된 IP 주소인지 여부 또는 허가된 포트인지 여부 중 적어도 하나를 판단하는 것을 특징으로 하는, 보안 위협 방어 장치.The method of claim 1,
The packet analysis unit
And analyzing at least one of whether the packet is an authorized MAC address, an authorized IP address, or an authorized port. 이더넷을 이용하는 산업용 필드버스 프로토콜의 패킷을 수집하는 단계;
상기 패킷을 프로토콜 계층별로 실시간 분석하여 제어명령을 추출하고, HMI 장치의 허가 권한, 사용자의 허가 권한 및 상기 제어명령의 허가 시점을 판단하는 단계;
상기 HMI 장치의 허가 권한 및 상기 사용자의 허가 권한에 따라 상기 HMI 장치의 접속을 허용 또는 차단하는 단계;
상기 제어명령의 오류 여부를 파악하는 단계; 및
상기 제어명령의 오류 여부 및 상기 제어명령의 허가 시점에 따라 제어명령의 전송을 허용 또는 차단하는 단계
를 포함하는, 보안 위협 방어 방법.Collecting packets of an industrial fieldbus protocol using Ethernet;
Analyzing the packet in real time for each protocol layer to extract a control command, and determining an authorization right of the HMI device, an authorization right of the user, and an authorization time of the control command;
Allowing or blocking access to the HMI device according to the permission right of the HMI device and the permission right of the user;
Determining whether the control command is in error; And
Allowing or blocking the transmission of the control command according to whether the control command is in error or when the control command is permitted
Including, security threat defense method. 제 7 항에 있어서,
접속 제어부에서 상기 패킷에 포함된 포트 번호에 따라 상기 제어명령의 전송을 허용 또는 차단하는 단계를 더 포함하는 것을 특징으로 하는, 보안 위협 방어 방법.The method of claim 7, wherein
And allowing or blocking the transmission of the control command according to a port number included in the packet by an access controller. 제7항 내지 제8항 중 어느 한 항의 방법을 컴퓨터 시스템에서 실행하기 위한 프로그램이 기록된, 컴퓨터 시스템이 판독할 수 있는 기록매체.A computer-readable recording medium on which a program for executing the method of any one of claims 7 to 8 is recorded.
KR1020100013102A 2010-02-12 2010-02-12 Apparatus and Method for defending against security threats, and Recording medium thereof KR101083925B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020100013102A KR101083925B1 (en) 2010-02-12 2010-02-12 Apparatus and Method for defending against security threats, and Recording medium thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020100013102A KR101083925B1 (en) 2010-02-12 2010-02-12 Apparatus and Method for defending against security threats, and Recording medium thereof

Publications (2)

Publication Number Publication Date
KR20110093204A true KR20110093204A (en) 2011-08-18
KR101083925B1 KR101083925B1 (en) 2011-11-15

Family

ID=44929932

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020100013102A KR101083925B1 (en) 2010-02-12 2010-02-12 Apparatus and Method for defending against security threats, and Recording medium thereof

Country Status (1)

Country Link
KR (1) KR101083925B1 (en)

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101287220B1 (en) * 2011-08-31 2013-07-17 한국남부발전 주식회사 Network security system for plant integrated control system
KR101438135B1 (en) * 2013-11-14 2014-09-15 한국지역난방공사 Data transfer apparatus from the central control network to the regional control network between the network according to the security role in the plant control system environments
KR102145421B1 (en) * 2019-03-11 2020-08-18 김춘래 Digital substation with smart gateway
KR20200108804A (en) * 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR20200108803A (en) * 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR102259357B1 (en) 2019-12-26 2021-06-02 주식회사 나온웍스 Industry control protocol security device

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101387347B1 (en) * 2012-09-28 2014-04-21 한국수력원자력 주식회사 Dcs logic diagram simulation apparatus for power plant and the method thereof
KR102643881B1 (en) * 2023-07-18 2024-03-07 (주)엠에스테크이앤지 Safety System Communication Network Interface, Nuclear Power Plant Cyber Security System and Method Using the Same

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101287220B1 (en) * 2011-08-31 2013-07-17 한국남부발전 주식회사 Network security system for plant integrated control system
KR101438135B1 (en) * 2013-11-14 2014-09-15 한국지역난방공사 Data transfer apparatus from the central control network to the regional control network between the network according to the security role in the plant control system environments
KR102145421B1 (en) * 2019-03-11 2020-08-18 김춘래 Digital substation with smart gateway
KR102259357B1 (en) 2019-12-26 2021-06-02 주식회사 나온웍스 Industry control protocol security device
KR20200108804A (en) * 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway
KR20200108803A (en) * 2020-07-31 2020-09-21 김춘래 Digital substation with smart gateway

Also Published As

Publication number Publication date
KR101083925B1 (en) 2011-11-15

Similar Documents

Publication Publication Date Title
KR101083925B1 (en) Apparatus and Method for defending against security threats, and Recording medium thereof
Galloway et al. Introduction to industrial control networks
Pigan et al. Automating with PROFINET: Industrial communication based on Industrial Ethernet
US8804547B2 (en) Analyzing communication configuration in a process control system
Hadeli et al. Leveraging determinism in industrial control systems for advanced anomaly detection and reliable security configuration
EP3721607B1 (en) Multiple rstp domain separation
Li et al. SCADAWall: A CPI-enabled firewall model for SCADA security
JP5844944B2 (en) Information control apparatus, information control system, and information control method
CN102546592B (en) Intelligent electric device and network system including the device
JP6431511B2 (en) Industrial network field level broadband bus architecture system
US20080320582A1 (en) Real-time industrial firewall
KR101736223B1 (en) Security methods and apparatus for industrial networks
US20080080543A1 (en) Network switch with controller i/o capability
KR20140118494A (en) Apparatus and method for detecting anomaly in a controller system
CN110326268A (en) Transparent fireproof wall for the equipment that keeps the scene intact
Magro et al. Safety related functions with IEC 61850 GOOSE messaging
US20170149734A1 (en) Distributed Setting of Network Security Devices from Power System IED Settings Files
CN108463975A (en) Method, node and system for establishing independent network paths
Paul et al. Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO
US10833889B2 (en) Method and device for monitoring control systems
Kabir-Querrec et al. Power utility automation cybersecurity: IEC 61850 specification of an intrusion detection function
Verhappen et al. Foundation Fieldbus
Pfrang et al. On the Detection of Replay Attacks in Industrial Automation Networks Operated with Profinet IO.
Siddavatam et al. Testing and validation of Modbus/TCP protocol for secure SCADA communication in CPS using formal methods
Sharma et al. SCADA Communication Protocols: Modbus & IEC 60870–5

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
LAPS Lapse due to unpaid annual fee