비정상행위 탐지를 위한 시각화 기반 네트워크 포렌식

Vol. 27, No. 1, pp. 25-38, 2월. 2017
10.13089/JKIISC.2017.27.1.25, Full Text:
Keywords: Industrial Control System, Industrial IoT, Visualization, Network Forensics, DNP3
Abstract

국가 주요 기반 시설을 포함하여 보안사고 발생 시 심각한 피해를 발생시킬 수 있는 산업 제어시스템의 특성에 의해 세계적으로 많은 보안 침해 사고가 발생하고 있다. 따라서 산업 제어시스템 네트워크에 오가는 트래픽은 감시되고, 분석되어 공격을 사전에 파악하거나 사고 이후 재빠른 대응을 수행할 수 있어야 한다. 본 논문에서는 제어시스템 프로토콜인 DNP3를 대상으로 모든 공격의 가능성을 갖는 트래픽들을 대상으로 합리적인 의심이 가능하도록 네트워크 포렌식 관점에서 시각화를 연구를 수행해 정상행위기반 룰을 정의하고 시각화 요구사항을 도출했다. 이를 기반으로 제어시스템 네트워크상에 캡처된 패킷 파일을 대상으로 DDoS와 같은 급작스런 네트워크 트래픽의 변화를 일으키는 경우 혹은 정상행위를 위반한 공격이 탐지 가능한 시각화 도구를 개발했고, 디지털본드 패킷과 같이 치명적인 공격이 포함된 네트워크상에서 성공적으로 비정상행위 탐지를 수행하였다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
W. Jo, M. Kim, K. Park, M. Hong, J. Kwak and T. Shon, "Anomaly Detection Using Visualization-based Network Forensics," Journal of The Korea Institute of Information Security and Cryptology, vol. 27, no. 1, pp. 25-38, 2017. DOI: 10.13089/JKIISC.2017.27.1.25.

[ACM Style]
Woo-yeon Jo, Myung-jong Kim, Keun-ho Park, Man-pyo Hong, Jin Kwak, and Taeshik Shon. 2017. Anomaly Detection Using Visualization-based Network Forensics. Journal of The Korea Institute of Information Security and Cryptology, 27, 1, (2017), 25-38. DOI: 10.13089/JKIISC.2017.27.1.25.