WO2015160010A1 - System for detecting abnormal behavior in smart grid ami network, and method using same - Google Patents

System for detecting abnormal behavior in smart grid ami network, and method using same Download PDF

Info

Publication number
WO2015160010A1
WO2015160010A1 PCT/KR2014/003366 KR2014003366W WO2015160010A1 WO 2015160010 A1 WO2015160010 A1 WO 2015160010A1 KR 2014003366 W KR2014003366 W KR 2014003366W WO 2015160010 A1 WO2015160010 A1 WO 2015160010A1
Authority
WO
WIPO (PCT)
Prior art keywords
network
information
state transition
smart grid
packet
Prior art date
Application number
PCT/KR2014/003366
Other languages
French (fr)
Korean (ko)
Inventor
신인철
김신규
서정택
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to PCT/KR2014/003366 priority Critical patent/WO2015160010A1/en
Publication of WO2015160010A1 publication Critical patent/WO2015160010A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks

Definitions

  • the present invention relates to a technology for responding to various cyber attacks targeting a controller in a smart grid AMI (Advanced Metering Infrastructure) system, an anomaly detection system and method using the same in a smart grid AMI network through network packet analysis (ABNOMAL BEHAVIOR DETECTION SYSTEM IN SMART GRID ADVANCED METERING INFRASTRUCTURE NETWORK AND METHOD USING THE SAME).
  • AMI Advanced Metering Infrastructure
  • Smart meters play an important role in the Advanced Metering Infrastructure (AMI), which has evolved from the previous one-way automatic meter reading system (AMR) to enable two-way data communication between consumers and utilities. Can be said to be the target device that has the greatest damage ripple effect when a cyber attack occurs on the smart grid system.
  • AMI Advanced Metering Infrastructure
  • AMR automatic meter reading system
  • NAN Network Area Network
  • DCU Data Concentration Unit
  • the smart grid AMI network is composed of embedded devices designed and manufactured using limited system resources, it is impossible to apply intrusion detection and network anomaly detection systems that operate based on abundant system resources in the existing Internet environment. Do.
  • the smart grid AMI system Unlike the terminals in the existing Internet environment, the smart grid AMI system has only limited system resources because it performs functions according to a predetermined routine unlike terminals in the existing Internet environment. Due to such an operating environment, the various embedded devices of the smart grid AMI system have security weaknesses, but it is difficult to expect an improvement in system performance due to a problem such as an increase in device manufacturing cost.
  • the technical problem to be achieved by the present invention is to detect anomalies in communication traffic between devices using the Smart Grid AMI protocol, which consists only of limited system resources by performing functions according to a predetermined routine in a short time. It is.
  • an object of the present invention is to provide a higher security at a lower cost by performing intrusion detection and anomaly detection without the addition of additional hardware smart grid AMI embedded devices using the same protocol.
  • an object of the present invention is to implement a simple and economical detection function than the network traffic anomaly detection system operating in the existing Internet environment by using the characteristics of the smart grid AMI network environment.
  • the abnormal behavior detection system of the monitoring device in the smart grid AMI network includes a network packet receiving device for identifying a target protocol packet to receive and monitor the network packets in the smart grid AMI network; A packet analyzer for separating a header and a payload of the target protocol packet; A device information storage device for providing device information of a device corresponding to the header; A device state transition information storage device for updating device state transition information of a device corresponding to the device information and detecting occurrence of an abnormal behavior based on the device state transition information; And a network packet transmission device configured to deliver the target protocol packet only when the occurrence of the abnormal behavior is not detected.
  • the network packet receiving apparatus for receiving the network packets in the smart grid AMI network to identify the target protocol packet to be monitored; Separating, by a packet analyzer, the header and payload of the target protocol packet; Providing, by the device information storage device, device information of the device corresponding to the header; Updating, by the device state transition information storage device, device state transition information of a device corresponding to the device information, and detecting occurrence of an abnormal behavior based on the device state transition information; And forwarding the target protocol packet only when the occurrence of the abnormal behavior is not detected.
  • devices performing traffic monitoring in the smart grid AMI network maintain and update network state transition information of all devices through communication packet analysis. Through this, packets that are in violation of the network protocol and interfere with the normal operation of the target device are detected and identified as anomalous. More specifically, unlike the prior art, the present invention provides methods for identifying a message that induces an abnormal state transition by analyzing network state transition information of all devices through analysis of communication packets using the smart grid AMI protocol. do. This method allows devices using the same protocol to detect intrusions and abnormal behaviors without additional hardware, thereby providing higher security at a lower cost.
  • FIG. 1 is a view schematically illustrating a smart grid AMI network anomaly detection system according to an embodiment of the present invention.
  • FIG. 2 is a flowchart illustrating a method for detecting anomalous behavior of a smart grid AMI network according to an embodiment of the present invention.
  • 3 is an example of a data structure for maintaining and updating device state information in a device information storage device.
  • 4 is a device state information structure in a device state transition information storage device.
  • the present invention relates to the invention of a lightweight state transition information tracking system for embedded devices and network devices in the system through smart grid AMI protocol packet analysis.
  • Smart Grid AMI network can track the state transition information of all devices through the analysis of network traffic packets exchanged between the embedded systems performing only the tasks defined according to the corresponding protocol. This is possible because all message delivery paths of the smart grid AMI network are not fluid and are maintained and managed through configuration. In other words, it can be explained in other words that a message to a specific device has a network environment characteristic that can be achieved only through predetermined devices. By maximizing the advantages of the environmental characteristics, it is possible to maintain the state transition information of the destination devices through the analysis of network communication messages transmitted through any device, and also to detect packets causing abnormal behaviors through the corresponding information. . In addition, even in a fluidly changing network, all devices are connected to at least one relay or network device so that state transition information can be maintained through such devices.
  • the present invention tracks the state transition information of the network device through the analysis of smart grid AMI (Advanced Metering Infrastructure) protocol communication packet in order to respond to cyber attacks targeting the smart grid AMI network, The transition will confirm that the transition is legitimate for the Smart Grid AMI communication protocol.
  • AMI Advanced Metering Infrastructure
  • the packet is identified as an abnormal behavior and discarded. This detection method is possible due to the difference in communication environment between the smart grid AMI environment and the Internet environment. In other words, while the transmission path of communication packets is flexible in the Internet environment, the communication path between arbitrary devices does not change in the smart grid network.
  • the difference is that the path is diversified due to network congestion. Due to such characteristics, it is possible to track the network state transition information of the smart grid AMI device, and it is possible to configure the smart grid AMI network protocol target abnormal behavior detection system according to the present invention.
  • An object of the present invention is to implement a lightweight detection function than the network traffic anomaly detection system operating in the existing Internet environment by using the characteristics of the smart grid AMI network environment. This makes it possible to efficiently configure anomaly detection systems that can be used in smart grid AMI embedded devices and network devices.
  • Devices performing traffic monitoring in the smart grid AMI network maintain and update network state transition information of target devices through communication packet analysis. Through this, packets that are in violation of the network protocol and interfere with the normal operation of the target device are detected and identified as anomalous.
  • the present invention identifies messages inducing abnormal state transitions through network state transition information analysis of all devices through analysis of communication packets using the smart grid AMI protocol. This method allows devices using the same protocol to detect intrusions and anomalies without additional hardware, thereby providing higher security at a lower cost.
  • FIG. 1 is a block diagram illustrating an anomaly detection system of a smart grid AMI network according to an embodiment of the present invention.
  • an abnormal behavior detection system in a smart grid AMI network includes a network packet receiver 101, a packet analyzer 102, a device information storage device 103, and a device state transition information storage device ( 104 and a network packet transmission device 105.
  • the network packet receiver 101 may be implemented in a network device such as a terminal, a message delivery device, a router, and a switch in a smart grid AMI network, and analyzes and interprets a message using a target protocol that is an object of anomaly detection. To perform. That is, in the network packet receiving apparatus 101, any device capable of packet monitoring may be a candidate.
  • the network packet receiving apparatus 101 receives all packets arriving through the network communication unit, checks a target protocol packet to be monitored, and then transfers the identified target protocol packet to the packet analyzer 102.
  • the packet analyzer 102 separates the protocol header and the payload, and passes the packet header to the device information storage 103.
  • the device information storage device 103 finds the device by using the receiving device address in the received packet header and transfers the device information to the device state transition information storage device 104.
  • the device state transition information storage device 104 updates the device state transition information and does not send the packet to the network packet transmission device 105 when an abnormal behavior occurs, and transmits the packet only when there is no error. Filter the packet by forwarding
  • FIG. 2 is a diagram illustrating an anomaly detection method in a smart grid AMI network according to an embodiment of the present invention.
  • the method for detecting anomalous behavior in the smart grid AMI network is a packet analyzer 102 when the network packet received through the network packet receiver 101 is an anomalous symptom detection protocol and is interpretable. Deliver the contents of the reception.
  • the packet analyzer 102 separates the header and payload of the received packet to determine whether there is a simple abnormality of the protocol information, and transfers the header of the received packet to the device information storage device 103 to obtain device information corresponding to the destination address. do.
  • the device state information storage device 104 updates the state transition information of the device through the identification information of the device, and confirms whether the state transition of the device is safe through the information. Only when the state transition is secure is sent to the network packet transmitter 105.
  • 3 is a diagram for describing a method of maintaining device information in the device information storage device 103.
  • the device information storage device 103 basically maps network devices to one node and maintains a binary tree using a node ID (or a unique number such as an address value).
  • the node (device) accessed through the address value of the packet collected through the network packet receiver 101 of the monitoring device is raised by one level in the tree structure. This increases the locality of the tree. This allows faster access to the node when messages corresponding to the same destination arrive when the message arrives.
  • the DoS attack traffic generating device can be identified.
  • the parent node may be insufficient when the level is increased. In this case, the parent node is branched through the dummy node to maintain the binary tree format.
  • 3 illustrates an example of a structure update process according to the second node access, wherein a black node is a device node and a white node is a dummy node.
  • FIG. 4 illustrates a structure of device state information in the smart grid device state transition information storage device 104 according to an embodiment of the present invention.
  • This basically converts the information of the header field, which causes the state transition of the device in the Smart Grid AMI protocol, to a binary value to create a binary graph and maintains a binary graph. Navigate through the graph. If you deviate from the graph like this, the message including the allowed header values did not arrive and it is detected and identified as an anomaly. When anomalous behavior occurs, the message is filtered and not transmitted to the network packet transmitter 105. Otherwise, the state information is transferred so that the device points to the state node of the binary graph.
  • FIG. 4 is an example of a state transition information structure in which a state transition instruction "0110" should be received after a state transition instruction "0101".
  • a command other than "0110” is received after "0101", it can be detected as an abnormal behavior.

Abstract

A system for detecting abnormal behavior in a smart grid AMI network, and a method using the same are disclosed. The system for detecting abnormal behavior in a smart grid AMI network comprises: a network packet receiving device which receives network packets in a smart grid AMI network and identifies a protocol packet of interest to be monitored; a packet analyzer for separating a header and a payload of the protocol packet of interest; an apparatus information storage device for providing apparatus information of an apparatus corresponding to the header; an apparatus state transition information storage device which updates apparatus state transition information of the apparatus corresponding to the apparatus information and detects occurrence of abnormal behavior on the basis of the apparatus state transition information; and a network packet transmitting device for transmitting the protocol packet of interest only when the occurrence of abnormal behavior is not detected.

Description

스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법Anomaly Detection System and Method Using the Same in Smart Grid AML Network
본 발명은 스마트그리드 AMI(Advanced Metering Infrastructure) 시스템 내의 제어기기를 대상으로 하는 다양한 사이버 공격들에 대응하기 위한 기술에 관한 것으로, 네트워크 패킷 분석을 통한 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템 및 이를 이용한 방법(ABNOMAL BEHAVIOR DETECTION SYSTEM IN SMART GRID ADVANCED METERING INFRASTRUCTURE NETWORK AND METHOD USING THE SAME)에 관한 것이다.The present invention relates to a technology for responding to various cyber attacks targeting a controller in a smart grid AMI (Advanced Metering Infrastructure) system, an anomaly detection system and method using the same in a smart grid AMI network through network packet analysis (ABNOMAL BEHAVIOR DETECTION SYSTEM IN SMART GRID ADVANCED METERING INFRASTRUCTURE NETWORK AND METHOD USING THE SAME).
종전 단방향 자동원격검침시스템(AMR: Automatic Meter Reading)으로 부터 한 단계 진화되어 수용가와 전력회사간 양방향 데이터 통신을 가능케 하는 지능형 원격검침 시스템(AMI: Advanced Metering Infrastructure)에서 가장 중요한 역할을 담당하는 스마트미터는 스마트그리드 시스템을 대상으로 사이버공격 발생시 가장 피해 파급효과가 큰 공격대상 기기라고 할 수 있다. 게다가 스마트미터로 구성된 NAN(Neighborhood Area Network)는 외부 공용 네트워크와 연결 접점에 위치하고 있어 다양한 악성코드의 공격의 대상된다. 따라서, 스마트 미터뿐 아니라 스마트그리드 AMI 내 DCU(Data Concentration Unit)등과 같이 임베디드 시스템으로 구성된 해당 네트워크는 외부의 공격으로부터 안전하게 보호되어야 하며 이를 위해 스마트그리드 AMI 네트워크 대상 이상행위 탐지 시스템 설치는 필수적이다. Smart meters play an important role in the Advanced Metering Infrastructure (AMI), which has evolved from the previous one-way automatic meter reading system (AMR) to enable two-way data communication between consumers and utilities. Can be said to be the target device that has the greatest damage ripple effect when a cyber attack occurs on the smart grid system. In addition, NAN (Neighborhood Area Network) composed of smart meters is located at the connection point with external public network, which is a target of various malware attacks. Therefore, not only the smart meter but also the network composed of embedded system such as DCU (Data Concentration Unit) in smart grid AMI should be protected from external attack and for this purpose, it is essential to install anomalies detection system for smart grid AMI network.
하지만 스마트그리드 AMI 네트워크는 제한적인 시스템 자원을 이용하여 설계 및 제작된 임베디드 기기들로 구성되었기 때문에 기존의 인터넷 환경에서 풍요로운 시스템 자원을 기반으로 동작하는 침입탐지 및 네트워크 이상행위 탐지 시스템을 적용하는 것은 불가능하다. However, since the smart grid AMI network is composed of embedded devices designed and manufactured using limited system resources, it is impossible to apply intrusion detection and network anomaly detection systems that operate based on abundant system resources in the existing Internet environment. Do.
스마트그리드 AMI 시스템 내 자양한 제어 및 모니터링(monitoring) 기기들은 기존의 인터넷 환경에서의 단말기들과 달리 정해진 루틴에 따른 기능들만을 수행하기 때문에 제한적인 시스템 자원들(resources) 만으로 구성되어 있다. 이와 같은 동작 환경으로 인해 스마트그리드 AMI 시스템의 다양한 임베디드 기기들은 보안상 취약점을 가지고 있음에도 불구하고, 기기 제작 단가 상승 등의 문제로 인해 시스템 성능 향상을 기대하기 어렵다.Unlike the terminals in the existing Internet environment, the smart grid AMI system has only limited system resources because it performs functions according to a predetermined routine unlike terminals in the existing Internet environment. Due to such an operating environment, the various embedded devices of the smart grid AMI system have security weaknesses, but it is difficult to expect an improvement in system performance due to a problem such as an increase in device manufacturing cost.
본 발명이 이루고자 하는 기술적 과제는, 정해진 루틴(routine)에 따른 기능들만을 수행하여 제한적인 시스템 자원으로만 구성되어 있는 스마트그리드 AMI 프로토콜을 사용하는 기기들 사이의 통신 트래픽 내 이상행위를 단시간에 탐지하는 것이다.The technical problem to be achieved by the present invention is to detect anomalies in communication traffic between devices using the Smart Grid AMI protocol, which consists only of limited system resources by performing functions according to a predetermined routine in a short time. It is.
또한, 본 발명의 목적은 동일 프로토콜을 사용하는 스마트그리드 AMI 임베디드 기기들이 별도의 하드웨어 추가 없이도 침입탐지 및 이상행위 탐지를 수행하여 보다 높은 보안성을 보다 낮은 금액으로 제공하는 것이다.In addition, an object of the present invention is to provide a higher security at a lower cost by performing intrusion detection and anomaly detection without the addition of additional hardware smart grid AMI embedded devices using the same protocol.
또한, 본 발명의 목적은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템보다 간단하고 경제적인 탐지 기능을 구현하는 것이다.In addition, an object of the present invention is to implement a simple and economical detection function than the network traffic anomaly detection system operating in the existing Internet environment by using the characteristics of the smart grid AMI network environment.
상기의 기술적 과제를 달성하기 위해, 본 발명에 따른 스마트그리드 AMI 네트워크 내 모니터링 기기의 이상행위 탐지 시스템은 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 네트워크 패킷 수신 장치; 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 패킷 분석기; 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 기기 정보 저장 장치; 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 기기 상태 전이 정보 저장 장치; 및 상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 네트워크 패킷 전송 장치를 포함한다.In order to achieve the above technical problem, the abnormal behavior detection system of the monitoring device in the smart grid AMI network according to the present invention includes a network packet receiving device for identifying a target protocol packet to receive and monitor the network packets in the smart grid AMI network; A packet analyzer for separating a header and a payload of the target protocol packet; A device information storage device for providing device information of a device corresponding to the header; A device state transition information storage device for updating device state transition information of a device corresponding to the device information and detecting occurrence of an abnormal behavior based on the device state transition information; And a network packet transmission device configured to deliver the target protocol packet only when the occurrence of the abnormal behavior is not detected.
또한, 본 발명에 따른 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법은, 네트워크 패킷 수신 장치가 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 단계; 패킷 분석기가 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 단계; 기기 정보 저장 장치가 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 단계; 기기 상태 전이 정보 저장 장치가 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 단계; 및 상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 단계를 포함한다.In addition, the abnormal behavior detection method in the smart grid AMI network according to the present invention, the network packet receiving apparatus for receiving the network packets in the smart grid AMI network to identify the target protocol packet to be monitored; Separating, by a packet analyzer, the header and payload of the target protocol packet; Providing, by the device information storage device, device information of the device corresponding to the header; Updating, by the device state transition information storage device, device state transition information of a device corresponding to the device information, and detecting occurrence of an abnormal behavior based on the device state transition information; And forwarding the target protocol packet only when the occurrence of the abnormal behavior is not detected.
본 발명에 따른 실시예에 따르면 스마트그리드 AMI 네트워크에서 트래픽 모니터링을 수행하는 기기들은 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태 전이정보를 유지 및 갱신하게된다. 이를 통해, 해당 네트워크 프로토콜에 위배되어 공격대상 기기의 정상적인 동작을 방해하는 패킷들을 탐지하여 이상행위로서 식별한다. 부연 설명하면, 상기 종래 기술과 달리 본 발명은 스마트그리드 AMI 프로토콜을 사용하는 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태전이 정보 분석을 통해 정상적이지 못한 상태전이를 유도하는 메시지를 식별하기 위한 방법들을 제공한다. 이같은 방법은 동일 프로토콜을 사용하는 기기들이 별도의 추가적인 하드웨어없이 침입탐지 및 이상행위 탐지가 가능하며 이로 인해 보다 높은 보안성을 저비용으로 제공이 가능하다.According to an embodiment of the present invention, devices performing traffic monitoring in the smart grid AMI network maintain and update network state transition information of all devices through communication packet analysis. Through this, packets that are in violation of the network protocol and interfere with the normal operation of the target device are detected and identified as anomalous. More specifically, unlike the prior art, the present invention provides methods for identifying a message that induces an abnormal state transition by analyzing network state transition information of all devices through analysis of communication packets using the smart grid AMI protocol. do. This method allows devices using the same protocol to detect intrusions and abnormal behaviors without additional hardware, thereby providing higher security at a lower cost.
도 1은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크 이상행위 탐지 시스템을 개략적으로 설명하는 도면이다.1 is a view schematically illustrating a smart grid AMI network anomaly detection system according to an embodiment of the present invention.
도 2은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크 이상행위 탐지 방법을 나타낸 동작 흐름도이다.2 is a flowchart illustrating a method for detecting anomalous behavior of a smart grid AMI network according to an embodiment of the present invention.
도 3은 기기 정보 저장 장치에서 기기 상태 정보를 유지 및 갱신하는 자료구조 예이다.3 is an example of a data structure for maintaining and updating device state information in a device information storage device.
도 4는 기기 상태 전이 정보 저장 장치에서 기기 상태 정보 구조이다.4 is a device state information structure in a device state transition information storage device.
본 발명을 첨부된 도면을 참조하여 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.Hereinafter, the present invention will be described with reference to the accompanying drawings. Here, the repeated description, well-known functions and configurations that may unnecessarily obscure the subject matter of the present invention, and detailed description of the configuration will be omitted. Embodiments of the present invention are provided to more completely describe the present invention to those skilled in the art. Accordingly, the shape and size of elements in the drawings may be exaggerated for clarity.
넓은 지역에 걸쳐 위치하여 전력 사용의 효율성을 높이기 위한 목적의 다양한 서비스를 제공하는 스마트그리드 AMI 시스템 기기들의 통신 트래픽에 대한 이상행위를 탐지하기 위해서는 해당 네트워크 내 모든 기기들에 대한 상태전이 정보 추적이 필요하다. 하지만, 기존의 인터넷 환경에서 동작하는 단말들은 풍부한 시스템 리소스를 기반으로 제작된 장비들이며, 이는 다양한 서비스 제공에 적합하도록 설계되어 있다. 따라서, 이들을 보호하여 사이버 공격에 대응하기 위한 보호 프로그램들은 보다 많은 서비스들을 고려하여 설계 및 제작되었기 때문에 제한된 리소스와 더불어 상대적으로 적은 기능들을 수행하는 스마트그리드 AMI 임베디드 환경에 적합하지 않다. 따라서, 기존의 방법과 다른 경량화된 접근방식이 필요하다. 즉, 제한적인 시스템 리소스를 사용하는 스마트그리드 AMI 임베디드 기기 특성 고려와 함께 시스템의 부하를 최소화하고 단시간에 네트워크 트래픽 내 스마트그리드 통신 프로토콜 이상행위를 탐지하도록 설계되어야 한다. 따라서 본 발명은, 스마트그리드 AMI 프로토콜 패킷 분석을 통해 해당 시스템 내 임베디드 기기 및 네트워크 기기를 대상으로 경량화된 상태전이 정보 추적 시스템 발명에 관한 내용이다.In order to detect anomalous behavior of communication traffic of smart grid AMI system devices that are located in a large area and provide various services for the purpose of improving power efficiency, it is necessary to track state transition information of all devices in the network. Do. However, terminals operating in the existing Internet environment are equipments manufactured based on abundant system resources, and are designed to be suitable for providing various services. Therefore, protection programs designed to protect them and respond to cyber attacks are not designed for smart grid AMI embedded environment because they are designed and manufactured considering more services and perform relatively fewer functions with limited resources. Therefore, there is a need for a lightweight approach that is different from the existing methods. In other words, it should be designed to minimize the load on the system and to detect smart grid communication protocol anomalies in network traffic in a short time with consideration of the characteristics of smart grid AMI embedded devices using limited system resources. Therefore, the present invention relates to the invention of a lightweight state transition information tracking system for embedded devices and network devices in the system through smart grid AMI protocol packet analysis.
스마트그리드 AMI 네트워크는 해당 프로토콜에 따라 정해진 임무만을 수행하는 해당 임베디드 시스템간 교환되는 네트워크 트래픽 패킷 분석을 통해 모든 기기들의 상태 전이 정보 추적이 가능하다. 이는 해당 스마트그리드 AMI 네트워크의 모든 메시지 전달 경로는 유동적이지 않고 환경설정을 통해 고정적으로 유지 및 관리되기 때문에 가능하다. 이는 즉, 특정 기기로의 메시지는 반드시 정해진 기기들을 통해서만이 가능한 네트워크 환경 특성을 가지고 있다는 다른 말로 설명되어 질 수 있다. 이와 같은 환경특성에 대한 장점을 극대화 하여, 임의의 기기를 통해 전달되어지는 네트워크 통신 메시지분석을 통해 목적지 기기들의 상태 전이 정보 유지가 가능하며 또한, 해당 정보를 통해 이상행위를 일으키는 패킷 탐지가 가능하다. 또한, 유동적으로 변하는 네트워크라 할지라도 모든 기기들은 최소한 하나의 릴레이(Relay)나 네트워크 기기와 연결되어 있어 이같은 기기들을 통해 상태전이 정보 유지가 가능하다.Smart Grid AMI network can track the state transition information of all devices through the analysis of network traffic packets exchanged between the embedded systems performing only the tasks defined according to the corresponding protocol. This is possible because all message delivery paths of the smart grid AMI network are not fluid and are maintained and managed through configuration. In other words, it can be explained in other words that a message to a specific device has a network environment characteristic that can be achieved only through predetermined devices. By maximizing the advantages of the environmental characteristics, it is possible to maintain the state transition information of the destination devices through the analysis of network communication messages transmitted through any device, and also to detect packets causing abnormal behaviors through the corresponding information. . In addition, even in a fluidly changing network, all devices are connected to at least one relay or network device so that state transition information can be maintained through such devices.
이와 같은 상태 전이정보 추적을 위하여 본 발명에서는, 스마트그리드 AMI 프로토콜 패킷 분석과 상태 전이정보 유지 및 갱신을 위한 방법들에 대해 설명하도록 한다. In order to track such state transition information, the present invention will be described for methods for smart grid AMI protocol packet analysis and state transition information maintenance and updating.
본 발명은 스마트그리드 AMI 네트워크를 대상으로 한 사이버공격에 대응하기 위하여, 스마트그리드 AMI(Advanced Metering Infrastructure) 프로토콜 통신 패킷 분석을 통해 해당 네트워크 기기의 상태 전이 정보(state transition information)를 추적한 후, 해당 전이가 스마트그리드 AMI 통신 프로토콜에 적법한 전이인지를 확인하게 된다. 본 발명은 수집된 특정 패킷으로 인해 수신 기기의 상태 전이가 정해진 상태에서 벗어날 경우, 이를 이상행위로서 식별하게 되어 해당 패킷을 버리게된다. 이와 같은 탐지 기법은 스마트그리드 AMI 환경과 인터넷 환경 간 통신 환경 차이로 인해 가능하다. 다시 말하면, 인터넷 환경에서 통신 패킷의 전달경로는 유동적인데 반해, 스마트그리드 네트워크에서는 임의 기기간 통신 경로는 변하지 않기 때문이다. 스마트그리드 AMI 환경 내 특정한 두 개의 기기 간에 통신을 위해 전송되는 일련의 메시지들이 이동하는 경로는 네트워크 환경 설정시에 정해진 경로를 통해 이동하게 되며, 이는 인터넷에서 임의의 두 개의 단말기 간 통신 패킷이 전달되는 경로가 네트워크 혼잡으로 인해 다양해지는 것과 큰 차이가 있다. 이와 같은 특성으로 인해 스마트그리드 AMI 기기의 네트워크 상태 전이 정보 추적이 가능하며 본 발명에 따른 스마트그리드 AMI 네트워크 프로토콜 대상 이상행위 탐지 시스템 구성이 가능하다. 본 발명은 이와 같은 스마트그리드 AMI 네트워크 환경 특성을 이용하여 기존의 인터넷 환경에서 동작하는 네트워크 트래픽 이상행위 탐지 시스템 보다 경량화한 탐지 기능을 구현하는데 그 목적이 있다. 이를 통해 효율적으로 스마트그리드 AMI 임베디드 기기 및 네트워크장비에서 사용가능한 이상행위 탐지 시스템 구성이 가능하다.The present invention tracks the state transition information of the network device through the analysis of smart grid AMI (Advanced Metering Infrastructure) protocol communication packet in order to respond to cyber attacks targeting the smart grid AMI network, The transition will confirm that the transition is legitimate for the Smart Grid AMI communication protocol. According to the present invention, when a state transition of a receiving device deviates from a predetermined state due to a collected specific packet, the packet is identified as an abnormal behavior and discarded. This detection method is possible due to the difference in communication environment between the smart grid AMI environment and the Internet environment. In other words, while the transmission path of communication packets is flexible in the Internet environment, the communication path between arbitrary devices does not change in the smart grid network. The path through which a series of messages sent for communication between two specific devices in a smart grid AMI environment travels through a path determined at the time of network configuration. The difference is that the path is diversified due to network congestion. Due to such characteristics, it is possible to track the network state transition information of the smart grid AMI device, and it is possible to configure the smart grid AMI network protocol target abnormal behavior detection system according to the present invention. An object of the present invention is to implement a lightweight detection function than the network traffic anomaly detection system operating in the existing Internet environment by using the characteristics of the smart grid AMI network environment. This makes it possible to efficiently configure anomaly detection systems that can be used in smart grid AMI embedded devices and network devices.
스마트그리드 AMI 네트워크에서 트래픽 모니터링을 수행하는 기기들은 통신 패킷 분석을 통해 대상 기기들의 네트워크 상태 전이정보를 유지 및 갱신하게된다. 이를 통해, 해당 네트워크 프로토콜에 위배되어 공격대상 기기의 정상적인 동작을 방해하는 패킷들을 탐지하여 이상행위로서 식별한다. 부연 설명하면, 종래 기술과 달리 본 발명은 스마트그리드 AMI 프로토콜을 사용하는 통신 패킷 분석을 통해 모든 기기들의 네트워크 상태전이 정보 분석을 통해 정상적이지 못한 상태전이를 유도하는 메시지를 식별한다. 이 같은 방법은 동일 프로토콜을 사용하는 기기들이 별도의 추가적인 하드웨어 없이 침입탐지 및 이상행위 탐지가 가능하며 이로 인해 보다 높은 보안성을 저비용으로 제공할 수 있다.Devices performing traffic monitoring in the smart grid AMI network maintain and update network state transition information of target devices through communication packet analysis. Through this, packets that are in violation of the network protocol and interfere with the normal operation of the target device are detected and identified as anomalous. In other words, unlike the prior art, the present invention identifies messages inducing abnormal state transitions through network state transition information analysis of all devices through analysis of communication packets using the smart grid AMI protocol. This method allows devices using the same protocol to detect intrusions and anomalies without additional hardware, thereby providing higher security at a lower cost.
이하에서는, 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크의 모니터링 기기 내 이상행위 탐지 시스템과 해당 시스템의 동작 방법에 대하여 첨부한 도면을 참고로 하여 상세히 설명한다.Hereinafter, a system for detecting abnormal behavior in a monitoring device of a smart grid AMI network and a method of operating the system will be described in detail with reference to the accompanying drawings.
도 1은 본 발명의 실시예에 따른 스마트그리드 AMI 네트워크의 이상행위 탐지 시스템을 나타내는 블록도이다.1 is a block diagram illustrating an anomaly detection system of a smart grid AMI network according to an embodiment of the present invention.
도 1을 참조하면, 본 발명에 따른 스마트그리드 AMI 네트워크 내의 이상행위 탐지 시스템은, 네트워크 패킷 수신장치(101), 패킷 분석기(102), 기기 정보 저장 장치(103), 기기 상태 전이 정보 저장 장치(104) 및 네트워크 패킷 전송 장치(105)를 포함한다.Referring to FIG. 1, an abnormal behavior detection system in a smart grid AMI network according to the present invention includes a network packet receiver 101, a packet analyzer 102, a device information storage device 103, and a device state transition information storage device ( 104 and a network packet transmission device 105.
네트워크 패킷 수신장치(101)는 스마트그리드 AMI 네트워크 내의 단말, 메시지 전달 기기, 라우터 및 스위치 등의 네트워크 기기 내에 구현될 수 있고, 이상행위 탐지의 대상이 되는 대상 프로토콜을 사용하는 메시지의 분석 및 해석을 수행한다. 즉, 네트워크 패킷 수신장치(101)는 패킷 모니터링이 가능한 모든 기기가 후보가 될 수 있다.The network packet receiver 101 may be implemented in a network device such as a terminal, a message delivery device, a router, and a switch in a smart grid AMI network, and analyzes and interprets a message using a target protocol that is an object of anomaly detection. To perform. That is, in the network packet receiving apparatus 101, any device capable of packet monitoring may be a candidate.
네트워크 패킷 수신장치(101)는 네트워크 통신부를 통해 도착하는 모든 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 확인한 후, 확인된 대상 프로토콜 패킷을 패킷 분석기(102)로 전달한다.The network packet receiving apparatus 101 receives all packets arriving through the network communication unit, checks a target protocol packet to be monitored, and then transfers the identified target protocol packet to the packet analyzer 102.
패킷 분석기(102)는 프로토콜 헤더(header)와 페이로드(payload)를 분리하고, 패킷 헤더를 기기 정보 저장장치(103)로 넘겨 준다.The packet analyzer 102 separates the protocol header and the payload, and passes the packet header to the device information storage 103.
기기 정보 저장장치(103)는 수신한 패킷 헤더 내의 수신 기기 주소를 이용하여 해당 기기를 찾아내어 해당 기기 정보를 기기 상태 전이 정보 저장 장치(104)로 전달한다.The device information storage device 103 finds the device by using the receiving device address in the received packet header and transfers the device information to the device state transition information storage device 104.
기기 상태 전이 정보 저장 장치(104)는 기기 상태 전이 정보를 갱신하고, 이상행위가 발생한 경우 해당 패킷을 네트워크 패킷 전송장치(105)로 보내지 않으며 이상이 없는 경우에만 해당 패킷을 네트워크 패킷 전송장치(105)로 전달함으로써 패킷을 필터링한다.The device state transition information storage device 104 updates the device state transition information and does not send the packet to the network packet transmission device 105 when an abnormal behavior occurs, and transmits the packet only when there is no error. Filter the packet by forwarding
도 2는 본 발명의 일실시예에 따른 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법을 나타낸 도면이다.2 is a diagram illustrating an anomaly detection method in a smart grid AMI network according to an embodiment of the present invention.
도 2를 참조하면, 스마트그리드 AMI 네트워크에서의 이상행위 탐지 방법은 네트워크 패킷 수신장치(101)를 통해 수신된 네트워크 패킷이 이상징후 탐지 대상 프로토콜임을 확인한 뒤 해석가능한 패킷일 경우 패킷 분석기(102)로 수신 내용을 전달한다. 패킷분석기(102)는 수신 패킷의 헤더와 페이로드를 분리하여 프로토콜 정보에 대한 간단한 이상유무를 판단하고 수신 패킷의 헤더를 기기정보 저장장치(103)로 전달하여 목적지 주소에 해당하는 기기 정보를 취득한다. 기기 상태정보 저장장치(104)는 해당 기기를 식별정보를 통해 해당 기기의 상태 전이 정보를 갱신하고 해당 정보를 통해 기기의 상태 전이가 안전한지를 확인한다. 상태전이가 안전할 경우에만, 네트워크 패킷 전송장치(105)로 보내게 된다.Referring to FIG. 2, the method for detecting anomalous behavior in the smart grid AMI network is a packet analyzer 102 when the network packet received through the network packet receiver 101 is an anomalous symptom detection protocol and is interpretable. Deliver the contents of the reception. The packet analyzer 102 separates the header and payload of the received packet to determine whether there is a simple abnormality of the protocol information, and transfers the header of the received packet to the device information storage device 103 to obtain device information corresponding to the destination address. do. The device state information storage device 104 updates the state transition information of the device through the identification information of the device, and confirms whether the state transition of the device is safe through the information. Only when the state transition is secure is sent to the network packet transmitter 105.
도 3은 기기 정보 저장장치(103)에서 기기 정보를 유지하는 방법을 설명하기 위한 도면이다.3 is a diagram for describing a method of maintaining device information in the device information storage device 103.
기기 정보 저장장치(103)는 기본적으로 네트워크 기기들을 하나의 노드로 매핑하여 노드 ID(혹은 주소값과 같은 고유숫자)를 이용하여 이진트리(Binary Tree)를 유지한다. 하지만 모니터링 기기의 네트워크 패킷 수신장치(101)를 통해 수집된 패킷의 주소값을 통해 접근(access)된 노드(기기)는 트리 구조에서 한 레벨(Level)씩 올라 오게 된다. 이로서 해당 트리의 지역성(locality)이 증가하게 된다. 이는 메시지가 도착시에 동일 목적지에 해당하는 메시지들이 도착할 경우 해당 노드로의 접근(access)을 보다 빠르게 수행할 수 있다. 나아가, DoS 공격 트래픽 생성 기기의 식별이 가능하다. 하지만, 이진트리를 유지해야 하기 때문에 레벨이 증가할 경우 부모노드가 부족할 수 있으며 이때는 더미(Dummy)노드를 통해 부모 노드를 분기시켜 2진트리 형식을 유지하도록 한다. 도 3은 2번 노드 접근에 따른 구조체 갱신과정에 대한 예로서 검은 노드는 기기 노드이며 흰노드는 더미노드이다.The device information storage device 103 basically maps network devices to one node and maintains a binary tree using a node ID (or a unique number such as an address value). However, the node (device) accessed through the address value of the packet collected through the network packet receiver 101 of the monitoring device is raised by one level in the tree structure. This increases the locality of the tree. This allows faster access to the node when messages corresponding to the same destination arrive when the message arrives. Furthermore, the DoS attack traffic generating device can be identified. However, because the binary tree must be maintained, the parent node may be insufficient when the level is increased. In this case, the parent node is branched through the dummy node to maintain the binary tree format. 3 illustrates an example of a structure update process according to the second node access, wherein a black node is a device node and a white node is a dummy node.
도 4는 본 발명의 실시예에 따른 스마트그리드 기기 상태 전이 정보 저장 장치(104)에서 기기 상태 정보의 구조를 나타낸다. 이는 기본적으로 스마트그리드 AMI 프로토콜 내 기기의 상태전이를 일으키는 헤더 필드(field)의 정보값을 바이너리(Binary)값으로 변환시켜 이진 그래프를 만들어 유지하며, 해당 헤더 값 수신시 이를 비트(Bit)연산을 통해 그래프를 탐색하게 된다. 이와 같은 그래프에서 벗어나는 경우 허용된 헤더값들을 포함한 메시지가 도착하지 않았으므로 이를 탐지하여 이상행위로 식별하게 된다. 이상행위 발생시 해당 메시지는 필터링 되어 네트워크 패킷 전송장치(105)로 전달되지 않는다. 그 이외의 경우에는 상태정보를 전이시켜 해당 기기가 이진그래프의 상태 노드를 가리키게 된다. 도 4는, "0101"이라는 상태전이 명령어 이후 "0110"이라는 상태전이 명령어가 수신되어야 하는 상태전이정보 구조체 예제이다. 해당 예를 통해"0101"이후 "0110" 이외의 명령어 수신시 이는 이상 행위로서 식별하여 탐지가 가능하다.4 illustrates a structure of device state information in the smart grid device state transition information storage device 104 according to an embodiment of the present invention. This basically converts the information of the header field, which causes the state transition of the device in the Smart Grid AMI protocol, to a binary value to create a binary graph and maintains a binary graph. Navigate through the graph. If you deviate from the graph like this, the message including the allowed header values did not arrive and it is detected and identified as an anomaly. When anomalous behavior occurs, the message is filtered and not transmitted to the network packet transmitter 105. Otherwise, the state information is transferred so that the device points to the state node of the binary graph. 4 is an example of a state transition information structure in which a state transition instruction "0110" should be received after a state transition instruction "0101". In this example, when a command other than "0110" is received after "0101", it can be detected as an abnormal behavior.

Claims (10)

  1. 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 네트워크 패킷 수신 장치;A network packet receiving apparatus for identifying a target protocol packet to be monitored by receiving network packets in a smart grid AMI network;
    상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 패킷 분석기;A packet analyzer for separating a header and a payload of the target protocol packet;
    상기 헤더에 상응하는 기기의 기기 정보를 제공하는 기기 정보 저장 장치;A device information storage device for providing device information of a device corresponding to the header;
    상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 기기 상태 전이 정보 저장 장치; 및A device state transition information storage device for updating device state transition information of a device corresponding to the device information and detecting occurrence of an abnormal behavior based on the device state transition information; And
    상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 네트워크 패킷 전송 장치Network packet transmission device for delivering the target protocol packet only when the occurrence of the abnormal behavior is not detected
    를 포함하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 시스템.Anomaly detection system in a smart grid AMI network comprising a.
  2. 청구항 1에 있어서,The method according to claim 1,
    상기 기기 정보 저장 장치는The device information storage device
    상기 스마트그리드 AMI 네트워크 내의 네트워크 기기들을 노드들로 맵핑한 이진트리(binary tree)를 이용하여 상기 네트워크 기기들의 정보를 저장하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 시스템.The abnormal behavior detection system in the AMI network, characterized in that for storing the information of the network devices using a binary tree that maps the network devices in the smart grid AMI network to nodes.
  3. 청구항 2에 있어서,The method according to claim 2,
    상기 기기 정보 저장 장치는The device information storage device
    접근(access)된 노드는 상기 이진트리에서 레벨(level)값을 증가시킴으로써 상기 이진트리의 지역성(locality)을 증가시키는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 시스템.The access node increases the locality of the binary tree by increasing a level value in the binary tree.
  4. 청구항 3에 있어서,The method according to claim 3,
    상기 기기 정보 저장 장치는The device information storage device
    상기 레벨(level) 값을 증가시킴에 있어서 부모노드가 부족한 경우 더미(dummy) 노드를 이용하여 상기 부모노드를 분기시켜 상기 이진트리의 구조를 유지하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 시스템.The abnormal behavior detection system in the AMI network, characterized in that to maintain the structure of the binary tree by branching the parent node using a dummy node when the parent node is insufficient in increasing the level value.
  5. 청구항 1에 있어서,The method according to claim 1,
    상기 기기 상태 전이 정보 저장 장치는The device state transition information storage device
    헤더 필드의 정보값을 바이너리 값으로 변환시킴으로써 생성된 이진그래프를 이용하여 상기 기기 상태 전이 정보를 유지하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 시스템.The abnormal behavior detection system in the AMI network, characterized in that for maintaining the device state transition information using a binary graph generated by converting the information value of the header field to a binary value.
  6. 네트워크 패킷 수신 장치가 스마트그리드 AMI 네트워크에서 네트워크 패킷들을 수신하여 모니터링하고자 하는 대상 프로토콜 패킷을 식별하는 단계;Identifying, by the network packet receiving apparatus, a target protocol packet to be monitored by receiving network packets in a smart grid AMI network;
    패킷 분석기가 상기 대상 프로토콜 패킷의 헤더와 페이로드를 분리하는 단계;Separating, by a packet analyzer, the header and payload of the target protocol packet;
    기기 정보 저장 장치가 상기 헤더에 상응하는 기기의 기기 정보를 제공하는 단계;Providing, by the device information storage device, device information of the device corresponding to the header;
    기기 상태 전이 정보 저장 장치가 상기 기기 정보에 상응하는 기기의 기기 상태 전이 정보를 갱신하고, 상기 기기 상태 천이 정보에 기반하여 이상행위의 발생을 감지하는 단계; 및Updating, by the device state transition information storage device, device state transition information of a device corresponding to the device information, and detecting occurrence of an abnormal behavior based on the device state transition information; And
    상기 이상 행위의 발생이 감지되지 아니하는 경우에만 상기 대상 프로토콜 패킷을 전달하는 단계Delivering the target protocol packet only when the occurrence of the abnormal behavior is not detected;
    를 포함하는 것을 특징으로 하는 스마트그리드 AMI 네트워크에서 이상행위 탐지 방법.Anomaly detection method in a smart grid AMI network comprising a.
  7. 청구항 6에 있어서,The method according to claim 6,
    상기 기기 정보를 제공하는 단계는Providing the device information
    상기 스마트그리드 AMI 네트워크 내의 네트워크 기기들을 노드들로 맵핑한 이진트리(binary tree)를 이용하여 상기 네트워크 기기들의 정보를 제공하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 방법.Anomaly detection method in an AMI network, characterized in that to provide information of the network devices using a binary tree that maps the network devices in the smart grid AMI network to nodes.
  8. 청구항 7에 있어서,The method according to claim 7,
    상기 기기 정보를 제공하는 단계는Providing the device information
    접근(access)된 노드에 대하여 상기 이진트리에서의 레벨(level)값을 증가시킴으로써 상기 이진트리의 지역성(locality)을 증가시키는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 방법.The method for detecting anomalous behavior in an AMI network characterized by increasing the locality of the binary tree by increasing a level value in the binary tree for an accessed node.
  9. 청구항 8에 있어서,The method according to claim 8,
    상기 기기 정보를 제공하는 단계는Providing the device information
    상기 레벨(level) 값을 증가시킴에 있어서 부모노드가 부족한 경우 더미(dummy) 노드를 이용하여 상기 부모노드를 분기시켜 상기 이진트리의 구조를 유지하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 방법.The method for detecting abnormal behavior in an AMI network, in which the structure of the binary tree is maintained by branching the parent node using a dummy node when the parent node is insufficient in increasing the level value.
  10. 청구항 6에 있어서,The method according to claim 6,
    상기 이상행위의 발생을 감지하는 단계는Detecting the occurrence of the abnormal behavior
    헤더 필드의 정보값을 바이너리 값으로 변환시킴으로써 생성된 이진그래프를 이용하여 상기 기기 상태 전이 정보를 유지하는 것을 특징으로 하는 AMI 네트워크에서 이상행위 탐지 방법.And detecting the device state transition information by using a binary graph generated by converting an information value of a header field into a binary value.
PCT/KR2014/003366 2014-04-17 2014-04-17 System for detecting abnormal behavior in smart grid ami network, and method using same WO2015160010A1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
PCT/KR2014/003366 WO2015160010A1 (en) 2014-04-17 2014-04-17 System for detecting abnormal behavior in smart grid ami network, and method using same

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/KR2014/003366 WO2015160010A1 (en) 2014-04-17 2014-04-17 System for detecting abnormal behavior in smart grid ami network, and method using same

Publications (1)

Publication Number Publication Date
WO2015160010A1 true WO2015160010A1 (en) 2015-10-22

Family

ID=54324209

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/KR2014/003366 WO2015160010A1 (en) 2014-04-17 2014-04-17 System for detecting abnormal behavior in smart grid ami network, and method using same

Country Status (1)

Country Link
WO (1) WO2015160010A1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768765A (en) * 2018-05-11 2018-11-06 中国联合网络通信集团有限公司 Abnormality Internet of Things network interface card checking method, device and computer readable storage medium
CN113515543A (en) * 2021-03-23 2021-10-19 广东便捷神科技股份有限公司 Automatic goods picking method and system for unmanned vending machine
CN113810341A (en) * 2020-06-12 2021-12-17 武汉斗鱼鱼乐网络科技有限公司 Method, system, storage medium and equipment for identifying target network group

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120198551A1 (en) * 2011-01-31 2012-08-02 General Electric Company Method, system and device for detecting an attempted intrusion into a network
US20120307624A1 (en) * 2011-06-01 2012-12-06 Cisco Technology, Inc. Management of misbehaving nodes in a computer network
US20130223446A1 (en) * 2012-02-29 2013-08-29 Lars Ernström Compound Masking and Entropy for Data Packet Classification using Tree-based Binary Pattern Matching
US20130227689A1 (en) * 2012-02-17 2013-08-29 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
US8619657B2 (en) * 2011-05-20 2013-12-31 Arnab Das Cost optimization of wireless-enabled metering infrastructures

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120198551A1 (en) * 2011-01-31 2012-08-02 General Electric Company Method, system and device for detecting an attempted intrusion into a network
US8619657B2 (en) * 2011-05-20 2013-12-31 Arnab Das Cost optimization of wireless-enabled metering infrastructures
US20120307624A1 (en) * 2011-06-01 2012-12-06 Cisco Technology, Inc. Management of misbehaving nodes in a computer network
US20130227689A1 (en) * 2012-02-17 2013-08-29 Tt Government Solutions, Inc. Method and system for packet acquisition, analysis and intrusion detection in field area networks
US20130223446A1 (en) * 2012-02-29 2013-08-29 Lars Ernström Compound Masking and Entropy for Data Packet Classification using Tree-based Binary Pattern Matching

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108768765A (en) * 2018-05-11 2018-11-06 中国联合网络通信集团有限公司 Abnormality Internet of Things network interface card checking method, device and computer readable storage medium
CN113810341A (en) * 2020-06-12 2021-12-17 武汉斗鱼鱼乐网络科技有限公司 Method, system, storage medium and equipment for identifying target network group
CN113810341B (en) * 2020-06-12 2023-08-22 武汉斗鱼鱼乐网络科技有限公司 Method and system for identifying target network group, storage medium and equipment
CN113515543A (en) * 2021-03-23 2021-10-19 广东便捷神科技股份有限公司 Automatic goods picking method and system for unmanned vending machine
CN113515543B (en) * 2021-03-23 2024-02-13 广东便捷神科技股份有限公司 Automatic goods picking method and system for vending machine

Similar Documents

Publication Publication Date Title
US10015176B2 (en) Network protection
US10868734B2 (en) Service function chain detection path method and device
CN101728869B (en) Power station automation system data network security monitoring method
US7607049B2 (en) Apparatus and method for detecting network failure location
WO2016172055A1 (en) Network security analysis for smart appliances
CN108183886B (en) Safety enhancement equipment for safety gateway of rail transit signal system
US10701076B2 (en) Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
CN105429963A (en) Invasion detection analysis method based on Modbus/Tcp
US10474613B1 (en) One-way data transfer device with onboard system detection
US20160094517A1 (en) Apparatus and method for blocking abnormal communication
US9548928B2 (en) Network system, controller, and load distribution method
KR101527353B1 (en) Abnomal behavior detection system in smart grid advanced metering infrastructure network and method using the same
KR20150037285A (en) Apparatus and method for intrusion detection
WO2015160010A1 (en) System for detecting abnormal behavior in smart grid ami network, and method using same
CN107172780A (en) A kind of navaid lamp control system
ES2922817T3 (en) Network security analysis for smart home appliances
CN106789982B (en) Safety protection method and system applied to industrial control system
CN103401312A (en) Redundancy warning system and control method for goose network communication of intelligent transformer station
CN111049780B (en) Network attack detection method, device, equipment and storage medium
CN104766422A (en) Perimeter intruder monitoring system and method
CN102739462A (en) Test message sending method and device
Feng et al. Snort improvement on profinet RT for industrial control system intrusion detection
CN116781412A (en) Automatic defense method based on abnormal behaviors
KR20150110065A (en) Method and System for Detecting Malware by Monitoring Executable File
KR101429178B1 (en) System and method of wireless network security

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 14889242

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 14889242

Country of ref document: EP

Kind code of ref document: A1