KR20200052165A - Meta information platform devices and methods for recycle standard/threat traffic - Google Patents

Meta information platform devices and methods for recycle standard/threat traffic Download PDF

Info

Publication number
KR20200052165A
KR20200052165A KR1020180135419A KR20180135419A KR20200052165A KR 20200052165 A KR20200052165 A KR 20200052165A KR 1020180135419 A KR1020180135419 A KR 1020180135419A KR 20180135419 A KR20180135419 A KR 20180135419A KR 20200052165 A KR20200052165 A KR 20200052165A
Authority
KR
South Korea
Prior art keywords
traffic
generating
information
metadata
module
Prior art date
Application number
KR1020180135419A
Other languages
Korean (ko)
Other versions
KR102179439B1 (en
Inventor
김이형
김용현
김대식
최창섭
조용수
박중구
손동식
Original Assignee
국방과학연구소
주식회사 윈스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소, 주식회사 윈스 filed Critical 국방과학연구소
Priority to KR1020180135419A priority Critical patent/KR102179439B1/en
Publication of KR20200052165A publication Critical patent/KR20200052165A/en
Application granted granted Critical
Publication of KR102179439B1 publication Critical patent/KR102179439B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

The present invention relates to a meta information platform device for recycling normal/threat traffic and to a method thereof. The method comprises the steps of: receiving traffic in a real network environment by a collection module and storing and transmitting the traffic in a packet unit; analyzing the packet received from the collection module by a traffic analysis module and generating application layer data; analyzing information extracted from the application layer data by a metadata generation module and generating metadata; generating unit traffic composed of network information including the generated metadata by a unit traffic generation module; and generating a dataset including protocol information of associated unit traffic by a dataset generation module.

Description

정상/위협 트래픽 재활용을 위한 메타 정보 플랫폼 장치 및 방법{META INFORMATION PLATFORM DEVICES AND METHODS FOR RECYCLE STANDARD/THREAT TRAFFIC}META INFORMATION PLATFORM DEVICES AND METHODS FOR RECYCLE STANDARD / THREAT TRAFFIC for recycling normal / threat traffic

본 발명은 실제 네트워크에서 수집된 트래픽을 이용하여 사이버 훈련에 활용하기 위한 메타 정보 플랫폼 장치 및 그 구축 방법에 관한 것이다.The present invention relates to a meta-information platform device and a method for constructing it for use in cyber training using traffic collected from a real network.

오늘날 통신 기술의 급속한 발달과 인터넷의 보급으로 인해 사용자가 원하는 정보를 손쉽게 얻을 수 있고 공유할 수 있게 되었다. 더불어 공공기관이나 기업 내부 네트워크에 대한 대규모 사이버 공격이나 APT(Advanced Persistent Threat)와 같은 지능형 지속 공격이 발생됨에 따라 이를 기반으로 보안 정책을 적용하는 보안 시스템의 중요성은 점점 높아지고 있다.With the rapid development of communication technology and the spread of the Internet today, users can easily obtain and share information they want. In addition, as large-scale cyber attacks or advanced persistent attacks such as APT (Advanced Persistent Threat) to public institutions or corporate internal networks occur, the importance of security systems that apply security policies based on them is increasing.

종래에는 다양한 형태의 침입 행위를 탐지/차단하는 침입 방지 시스템(Intrusion Prevention System, IPS)이나 차세대 방화벽을 도입하는 방식으로 기존 네트워크를 보호하여 외부에서 유입되는 위협들을 방어할 수 있었다. 그러나 이러한 보안 시스템으로는 계속해서 진화되는 사이버 공격들을 식별하기 어렵기 때문에, 높은 보안을 위해 다수의 보안 시스템을 도입하였으나 침해가 발생되었을 때 신속하게 침해 발생을 파악하고 이에 대응하기 어려운 문제점이 있었다.Conventionally, intrusion prevention systems (IPSs) that detect / block various types of intrusion behavior or next-generation firewalls were introduced to protect existing networks to protect threats from outside. However, since it is difficult to identify cyber attacks that are continuously evolving with such a security system, a number of security systems have been introduced for high security, but when an infringement occurs, it is difficult to quickly identify the infringement and respond to it.

이를 보완하기 위한 방식이 실제 네트워크와 동일한 사이버 네트워크를 구성하고 트래픽 발생기를 사용하여 위협 트래픽을 발생시켜 모의 훈련하는 방식이다. 사이버 모의 훈련은 내부 네트워크의 정확한 식별은 물론이며 취약점들을 발견하기 용이한 점이 있다. 그러나 트래픽 발생기를 이용하여 훈련하는 경우, 훈련에 사용되는 정상과 위협 트래픽이 실제 네트워크에 사용되는 트래픽과 다르며, 위협을 발생시킬 수 있는 트래픽 종류의 한계가 있다는 점에서 사이버 모의 훈련의 결과에 대한 신뢰성을 보장 하지 못하는 문제점이 있다.The method to compensate for this is to construct the same cyber network as the actual network and simulate the training by generating the threat traffic using the traffic generator. Cyber simulation training is easy to find vulnerabilities as well as accurate identification of internal networks. However, when training using a traffic generator, the reliability of the result of cyber simulation training is high because the normal and threat traffic used for training is different from the traffic used for the actual network, and there is a limit in the type of traffic that can generate a threat. There is a problem that cannot be guaranteed.

한국등록특허 제1460589호(명칭: 사이버전 모의 훈련 관제 서버)Korean Registered Patent No. 1460589 (name: cyber war simulation training control server)

본 발명의 목적은, 사이버 훈련에서 사용되는 모의 트래픽 방식을 탈피하고 실제 네트워크에서 수집된 트래픽을 재사용하여 트래픽 발생기에서 사용할 수 있는 형태의 메타 정보 플랫폼을 제공하는 것이다.An object of the present invention is to provide a meta information platform in a form that can be used in a traffic generator by avoiding the simulated traffic method used in cyber training and reusing traffic collected from a real network.

상술한 목적을 달성하기 위한 본 발명의 실시 예에 따른 메타 정보 플랫폼 구축 방법은, 수집 모듈에 의하여 실제 네트워크 환경에서 트래픽을 입력 받아 패킷 단위로 저장 및 송신하는 단계, 트래픽 분석 모듈에 의하여 상기 수집 모듈로부터 수신된 상기 패킷을 분석하고 응용 계층 데이터를 생성하는 단계, 메타데이터 생성 모듈에 의하여 상기 응용 계층 데이터로부터 추출된 정보를 분석하여 메타데이터를 생성하는 단계, 단위 트래픽 생성 모듈에 의하여 상기 생성된 메타데이터를 포함하는 네트워크 정보로 구성된 단위 트래픽을 생성하는 단계 및 데이터셋 생성 모듈에 의하여 연관성 있는 상기 단위 트래픽의 프로토콜 정보를 포함하는 데이터셋을 생성하는 단계를 포함하는 것을 특징으로 한다.The method for constructing a meta information platform according to an embodiment of the present invention for achieving the above object is a step of receiving traffic in a real network environment by a collection module and storing and transmitting in packet units, the collection module by a traffic analysis module Analyzing the packet received from and generating application layer data, generating metadata by analyzing information extracted from the application layer data by the metadata generation module, and generating the meta by the unit traffic generation module And generating a unit traffic composed of network information including data and generating a data set including protocol information of the unit traffic related by the data set generation module.

일 실시 예에 있어서, 상기 응용 계층 데이터를 생성하는 단계는, 수신된 상기 패킷들의 네트워크 레이어를 분석하여 IP(internet protocol), 포트(Port) 및 시퀀스(Sequence) 정보를 추출하고, 상기 추출된 IP, 포트 및 시퀀스 정보가 연관된 패킷을 조합하여 상기 응용 계층 데이터를 생성하는 것을 특징으로 한다.In one embodiment, the step of generating the application layer data, extracts IP (internet protocol), port (Port) and sequence (Sequence) information by analyzing the network layer of the received packet, the extracted IP , Combining the packets associated with port and sequence information to generate the application layer data.

일 실시 예에 있어서, 상기 메타데이터를 생성하는 단계는, 상기 응용 계층 데이터에서 추출된 필드들의 위치 정보와 필드들의 길이 값을 분석하여 메타데이터를 생성하고, 상기 생성된 메타데이터는, 상기 수집된 트래픽을 재사용하는 경우 사용자의 사이버 네크워크 환경과 동일하도록 수정하는 것을 특징으로 한다.In one embodiment, the step of generating the metadata generates metadata by analyzing location information of fields extracted from the application layer data and length values of the fields, and the generated metadata includes the collected When reusing traffic, it is characterized in that it is modified to be the same as the user's cyber network environment.

일 실시 예에 있어서, 상기 데이터셋을 생성하는 단계에서, 상기 단위 트래픽 사이의 연관성은 패킷들의 IP, Port, Protocol, Sequence 정보를 특징으로 한다.In one embodiment, in the step of generating the data set, the association between the unit traffic is characterized by IP, port, protocol, and sequence information of packets.

상술한 목적을 달성하기 위한 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 장치는, 실제 네트워크 환경에서 트래픽을 패킷 단위로 수집하여 저장 및 전송하는 수집 모듈 및 상기 수집 모듈로부터 수신된 패킷을 분석하여 모의 트래픽을 발생시킬 수 있는 데이터를 생성하는 분석 모듈을 포함하고, 상기 분석 모듈은, 상기 수신된 패킷의 네트워크 레이어를 분석하여 응용 계층 데이터를 생성하고, 생성된 응용 계층 데이터에서 프로토콜에 따라 필드를 추출하는 트래픽 분석 모듈, 상기 응용 계층 데이터와 상기 추출된 필드의 위치 정보 및 필드의 길이 값을 분석하여 메타데이터를 생성하는 메타데이터 모듈, 상기 생성된 메타데이터 정보를 포함하는 네트워크 정보로 구성된 단위 트래픽을 생성하는 단위 트래픽 생성 모듈 및 연관성 있는 상기 단위 트래픽이 데이터셋을 생성하는 데이터셋 생성 모듈을 포함하는 것을 특징으로 한다.The meta information platform device according to an embodiment of the present invention for achieving the above object is analyzed by analyzing a collection module for collecting and storing traffic in a packet unit in a real network environment, and a packet received from the collection module An analysis module for generating data capable of generating traffic, wherein the analysis module analyzes the network layer of the received packet to generate application layer data, and extracts a field according to a protocol from the generated application layer data The traffic analysis module, the application layer data and the metadata of the location information of the extracted field and the length value of the field to generate metadata, and the unit traffic consisting of network information including the generated metadata information. Generating unit traffic generating module and the relevant unit Traffic is characterized by including a data set generation module for generating a data set.

본 발명은 사용자가 사이버 모의 훈련에서 트래픽 발생기에서 사용할 수 있는 형태의 메타 정보 플랫폼으로, 실제 네트워크에서 수집된 트래픽을 재사용하므로 훈련에 사용하는 정상/ 위협 트래픽 종류가 다양하다. 또한 훈련에 사용하는 트래픽이 실제 트래픽과 동일하므로 훈련 결과에 대해 신뢰성을 높고, 결과적으로 훈련의 효과를 향상시키는 효과가 있다.The present invention is a meta-information platform that a user can use in a traffic generator in cyber simulation training, and reuses the traffic collected from a real network, so there are various types of normal / threat traffic used for training. In addition, since the traffic used for training is the same as the actual traffic, the reliability of the training result is high, and as a result, the effect of training is improved.

도 1은 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 장치의 구성도이다.
도 2는 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 구축 방법을 도시한 흐름도이다.1 is a configuration diagram of a meta information platform device according to an embodiment of the present invention.
2 is a flowchart illustrating a method for building a meta information platform according to an embodiment of the present invention.

이하, 첨부된 도면을 참조하여 본 명세서에 개시된 실시 예를 상세히 설명하되, 동일하거나 유사한 구성요소에는 동일한 도면 부호를 부여하고 이에 대한 중복되는 설명은 생략하기로 한다. 이하의 설명에서 사용되는 구성요소에 대한 접미사 "모듈" 및 "부"는 명세서 작성의 용이함만이 고려되어 부여되거나 혼용되는 것으로서, 그 자체로 서로 구별되는 의미 또는 역할을 갖는 것은 아니다. 또한, 본 명세서에 개시된 실시 예를 설명함에 있어서 관련된 공지 기술에 대한 구체적인 설명이 본 명세서에 개시된 실시 예의 요지를 흐릴 수 있다고 판단되는 경우 그 상세한 설명을 생략한다. 또한, 첨부된 도면은 본 명세서에 개시된 실시 예를 쉽게 이해할 수 있도록 하기 위한 것일 뿐, 첨부된 도면에 의해 본 명세서에 개시된 기술적 사상이 제한되지 않으며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.Hereinafter, exemplary embodiments disclosed herein will be described in detail with reference to the accompanying drawings, but the same reference numerals will be assigned to the same or similar components, and overlapping descriptions thereof will be omitted. The suffixes "modules" and "parts" for components used in the following description are given or mixed only considering the ease of writing the specification, and do not have meanings or roles distinguished from each other in themselves. In addition, in describing the embodiments disclosed in this specification, detailed descriptions of related known technologies are omitted when it is determined that the gist of the embodiments disclosed in this specification may be obscured. In addition, the accompanying drawings are only for easy understanding of the embodiments disclosed in the present specification, and the technical spirit disclosed in the specification is not limited by the accompanying drawings, and all modifications included in the spirit and technical scope of the present invention , It should be understood to include equivalents or substitutes.

이하 첨부된 도면을 참조하여 본 발명의 구체적으로 설명한다.Hereinafter, the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 장치의 구성도이다. 1 is a configuration diagram of a meta information platform device according to an embodiment of the present invention.

먼저, 메타 정보 플랫폼 장치는 수집 모듈(100)과 분석 모듈(200)을 포함할 수 있고, 여기서 분석 모듈(200)은 트래픽 분석 모듈(210), 메타데이터 생성 모듈(220), 단위 트래픽 생성 모듈(230) 및 데이터셋 생성 모듈(240)을 포함할 수 있다.First, the meta information platform device may include a collection module 100 and an analysis module 200, wherein the analysis module 200 is a traffic analysis module 210, a metadata generation module 220, and a unit traffic generation module It may include a 230 and the data set generation module 240.

수집 모듈(100)은, 실제 네트워크에서 트래픽을 입력받아 저장 및 송신하는 역할을 한다. 입력 트래픽은 가공되지 않은 원본 형태를 유지하며 패킷 단위로 수집되어 저장된다. 특히 사이버 모의 훈련에서 트래픽을 발생기를 사용함에 있어서, 실제 네트워크 환경에서 수집된 트래픽을 수집하여 전송할 수 있으므로, 훈련 결과에 대한 신뢰성을 보장할 수 있는 효과가 있다.The collection module 100 serves to receive and store and transmit traffic from a real network. The input traffic maintains the original form and is collected and stored in packet units. In particular, when using a traffic generator in a cyber simulation training, since traffic collected in a real network environment can be collected and transmitted, there is an effect of ensuring reliability of the training result.

여기서 트래픽은 정상 트래픽과 위협 트래픽으로 분류될 수 있다. 여기서, 정상 트래픽은 네트워크 내에 연결되어 있는 사용자들의 일반적인 행위/작업/활동 등에 따라 발생된 트래픽을 나타낸다. 예를 들어, 일반 트래픽은 웹 행위, 메일 송수신, FTP 파일 전송, 화상회의 및 동화상 전송 등으로 인해 발생하는 트래픽을 의미한다. 그리고, 위협 트래픽은 악의적인 목적의 행위/작업/활동 등에 의해 발생한 트래픽을 나타낸다. 예를 들어, 위협 트래픽은 과도한 스캔으로 인한 트래픽 부하 증가,DDoS 및 웜 감염 등으로 인해 발생하는 트래픽을 나타낸다.Here, the traffic can be classified into normal traffic and threat traffic. Here, normal traffic represents traffic generated according to general actions / tasks / activity of users connected in the network. For example, general traffic means traffic generated due to web behavior, mail transmission / reception, FTP file transmission, video conference, and video transmission. In addition, the threat traffic represents traffic caused by an action / task / activity of a malicious purpose. For example, threat traffic refers to traffic caused by an increase in traffic load due to excessive scans, DDoS and worm infections, and the like.

분석 모듈(200)은, 수집 모듈(100)로부터 수신된 실제 트래픽의 패킷을 분석하여 신뢰도 높은 훈련용 트래픽을 생성하기 위한 모듈로, 구체적으로 트래픽 분석 모듈(210), 메타데이터 생성 모듈(220), 단위 트래픽 생성 모듈(230) 및 데이터셋 생성 모듈(240)을 포함할 수 있다. The analysis module 200 is a module for generating a highly reliable training traffic by analyzing packets of actual traffic received from the collection module 100, specifically, a traffic analysis module 210 and a metadata generation module 220 , A unit traffic generation module 230 and a dataset generation module 240.

트래픽 분석 모듈(210)은, 네트워크 트래픽 분석(211) 기능과 응용 프로토콜 분석(212) 기능을 수행한다.The traffic analysis module 210 performs a network traffic analysis 211 function and an application protocol analysis 212 function.

트래픽 분석 모듈(210)의 네트워크 트래픽 분석(211) 기능은, 수신된 패킷의 네트워크 레이어를 분석하여 IP(internet protocol), 포트(Port) 및 시퀀스(Sequence) 등의 정보를 추출한다. 추출된 정보들을 이용하여 복수의 패킷들 사이의 연관 관계를 분석하고 분류한다. 여기서 복수의 패킷들 사이의 연관 관계는 추출된 IP, 포트 및 시퀀스 등의 정보가 서로 연관된 패킷들을 의미한다. 분류된 복수의 패킷들을 연관 관계를 기반으로 조합하여 각각의 페이로드(payload)를 추출하고, 분석 가능한 형태인 응용 계층 데이터로 생성한다.The network traffic analysis 211 function of the traffic analysis module 210 analyzes the network layer of the received packet and extracts information such as IP (internet protocol), port (Port), and sequence (Sequence). The extracted information is used to analyze and classify a correlation between a plurality of packets. Here, an association relationship between a plurality of packets means packets in which information such as extracted IP, port, and sequence is related to each other. Each payload is extracted by combining a plurality of classified packets based on an association relationship, and generated as application layer data that can be analyzed.

트래픽 분석 모듈(210)의 응용 프로토콜 분석(212) 기능은, 생성된 응용 계층 데이터에서 프로토콜 종류를 식별하고 식별된 프로토콜 종류에 따라 트래픽 재사용을 위해 필요한 필드(보내는 이, 받는 이 등의 정보)들을 식별하여 추출한다.The application protocol analysis 212 function of the traffic analysis module 210 identifies protocol types in the generated application layer data and provides fields (sender, receiver, etc.) necessary for traffic reuse according to the identified protocol types. Identify and extract.

메타데이터 생성 모듈(220)은, 응용 계층 데이터에서 식별하고 추출된 필드들의 위치 정보와 해당 필드들의 길이 값을 분석하여 메타데이터(metadata)를 생성한다. 여기서 메타데이터(metadata)는 데이터(data)에 대한 데이터이다. 즉, 부가적 정보를 추가하기 위해 그 데이터 뒤에 함께 따라가는 정보를 말한다. ‘메타’는 ‘초월’이나 ‘한층 높은 논리성이 있는’이란 뜻으로서, 메타데이터는 어떤 데이터가 어떤 구조를 하고 있는지, 또 어디에 있는가에 대한 정보를 일컫는다. 예를 들어, 디지털 카메라에서는 사진을 찍어 기록할 때마다 카메라 자체의 정보와 촬영 당시의 시간, 노출, 플래시 사용 여부, 해상도, 사진 크기 등의 사진 정보를 화상 데이터와 같이 저장하게 되어 있다.The metadata generation module 220 generates metadata by identifying the location information of the extracted fields from the application layer data and the length values of the corresponding fields. Here, metadata is data for data. That is, information that follows along with the data to add additional information. ‘Meta’ means ‘transcendence’ or ‘with a higher degree of logic’. Metadata refers to information about what data is structured and where it is located. For example, in a digital camera, each time a picture is taken and recorded, information of the camera itself and picture information such as time of exposure, exposure, whether the flash is used, resolution, and picture size are stored together with image data.

메타데이터 생성 모듈(220)에서 메타데이터를 생성하는 목적은, 수집된 트래픽 재사용을 하는 경우 사용자가 사이버 네트워크 구성에 적합하도록 데이터를 수정할 수 있도록 하기 위함이다.The purpose of generating metadata in the metadata generation module 220 is to allow the user to modify data to be suitable for a cyber network configuration when reusing the collected traffic.

단위 트래픽 생성 모듈(230)은, 앞서 생성된 메타데이터 정보를 포함하는 네트워크 정보들로 구성된 데이터를 생성한다. 각각의 단위 트래픽은 사이버 모의 훈련에서 유통되는 트래픽의 요청과 응답 형태로 사용된다. The unit traffic generation module 230 generates data composed of network information including metadata information generated previously. Each unit traffic is used as a request and response form of traffic distributed in cyber simulation training.

데이터셋 생성 모듈(240)은, 연관성 있는 단위트래픽들의 프로토콜 종류와 개수 정보 등을 포함하는 형태의 데이터셋을 생성한다. 여기서 연관성 있는 단위 트래픽은 네트워크 내에 출발지와 목적지 간의 IP, Port, Protocol, Sequence를 비교하여 세션 단위로 분류한 패킷을 전송한 순서대로 재조합한 패킷의 집합을 의미한다.The data set generation module 240 generates a data set in a form including protocol type and number information of related unit traffics. Here, the relevant unit traffic refers to a set of packets recombined in the order in which packets classified by session are transmitted by comparing IP, port, protocol, and sequence between the source and the destination in the network.

데이터셋은 사이버 모의 훈련에서 사용되는 훈련 시나리오의 트래픽 유통 계획에서 프로토콜의 종류를 선택할 때 필요로 하게 된다.The dataset will be needed when selecting the type of protocol in the traffic distribution plan of the training scenario used in cyber simulation training.

상기 모듈들을 이용하여 실제 네트워크의 실 트래픽을 수집 및 분석한 결과를 저장하고, 확인(250)할 수 있다. 저장된 결과를 기반으로 실제 네트워크와 동일한 사이버 네트워크를 구성하고, 훈련 시나리오에 적합한 트래픽을 발생시키기 위한 트래픽 발생기를 사용하여 위협 트래픽을 발생시켜 신뢰도 높은 모의 훈련을 수행할 수 있다.Using the above modules, the result of collecting and analyzing real traffic of the actual network may be stored and checked (250). Based on the stored results, it is possible to construct a cyber network identical to the actual network, and generate reliable traffic by using a traffic generator to generate traffic suitable for the training scenario to perform highly reliable simulation training.

도 2는 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 구축 방법을 도시한 흐름도이다.2 is a flowchart illustrating a method for building a meta information platform according to an embodiment of the present invention.

본 발명의 일 실시 예에 따른 메타 정보 플랫폼 구축 방법은 아래 설명되는 것처럼, 사이버 모의 훈련을 위하여 실제 네트워크 환경에서의 수집된 트래픽을 재사용하여 트래픽 발생기에서 사용할 수 있는 형태의 메타 정보 플랫폼을 구축하기 위한 발명이다. 이하, 도 2를 참조하여 본 발명을 설명한다.As described below, a method for constructing a meta information platform according to an embodiment of the present invention is to construct a meta information platform in a form that can be used in a traffic generator by reusing collected traffic in a real network environment for cyber simulation training. It is an invention. Hereinafter, the present invention will be described with reference to FIG. 2.

먼저, 수집 모듈(100)에서는 실제 네트워크에서 발생한 트래픽을 패킷 단위로 저장하고 분석 모듈로 전송한다(S300). First, the collection module 100 stores the traffic generated in the actual network in packet units and transmits it to the analysis module (S300).

수집 모듈(100)로부터 수신된 상기 패킷을 트래픽 분석 모듈(210)에서 분석하고 응용 계층 데이터를 생성한다(S310).The packet received from the collection module 100 is analyzed by the traffic analysis module 210 and application layer data is generated (S310).

구체적으로 트래픽 분석 모듈(210)에서, 수집 모듈로부터 수신된 패킷의 네트워크 레이어를 분석하여 IP(internet protocol), 포트(Port) 및 시퀀스(Sequence) 등의 정보를 추출한다. 추출된 정보들을 이용하여 복수의 패킷들 사이의 연관 관계를 분석하고 분류한다. 여기서 복수의 패킷들 사이의 연관 관계는 추출된 IP, 포트 및 시퀀스 등의 정보가 서로 연관된 패킷들을 의미한다. 분류된 복수의 패킷들을 연관 관계를 기반으로 조합하여 각각의 페이로드(payload)를 추출하고, 분석 가능한 형태인 응용 계층 데이터로 생성한다.Specifically, in the traffic analysis module 210, the network layer of the packet received from the collection module is analyzed to extract information such as IP (internet protocol), port (Port), and sequence (Sequence). The extracted information is used to analyze and classify a correlation between a plurality of packets. Here, an association relationship between a plurality of packets means packets in which information such as extracted IP, port, and sequence is related to each other. Each payload is extracted by combining a plurality of classified packets based on an association relationship, and generated as application layer data that can be analyzed.

메타데이터 생성 모듈(220)에서 상기 응용 계층 데이터로부터 추출된 정보를 분석하여 메타데이터를 생성한다(S320).The metadata generation module 220 generates metadata by analyzing the information extracted from the application layer data (S320).

메타데이터를 생성하는 목적은, 수집된 트래픽 재사용을 하는 경우 사용자가 사이버 네트워크 구성에 적합하도록 데이터를 수정할 수 있도록 하기 위함이다.The purpose of generating metadata is to allow users to modify data to suit the cyber network configuration when reusing the collected traffic.

단위 트래픽 생성 모듈(230)에서 상기 생성된 메타데이터를 포함하는 네트워크 정보로 구성된 단위 트래픽을 생성한다(S330). 각각의 단위 트래픽은 사이버 모의 훈련에서 유통되는 트래픽의 요청과 응답 형태로 사용된다. The unit traffic generation module 230 generates unit traffic composed of network information including the generated metadata (S330). Each unit traffic is used as a request and response form of traffic distributed in cyber simulation training.

데이터셋 생성 모듈(240)에서 연관성 있는 상기 단위 트래픽의 프로토콜 정보를 포함하는 데이터셋을 생성한다(S340).The data set generation module 240 generates a data set including protocol information of the unit traffic that is relevant (S340).

여기서 연관성 있는 단위 트래픽은 네트워크 내에 출발지와 목적지 간의 IP, Port, Protocol, Sequence를 비교하여 세션 단위로 분류한 패킷을 전송한 순서대로 재조합한 패킷의 집합을 의미한다.Here, the relevant unit traffic refers to a set of packets recombined in the order in which packets classified by session are transmitted by comparing IP, port, protocol, and sequence between the source and the destination in the network.

데이터셋은 사이버 모의 훈련에서 사용되는 훈련 시나리오의 트래픽 유통 계획에서 프로토콜의 종류를 선택할 때 필요로 하게 된다. The dataset will be needed when selecting the type of protocol in the traffic distribution plan of the training scenario used in cyber simulation training.

전술한 모듈들을 이용하여 실제 네트워크 환경의 트래픽을 수집 및 분석한 결과를 저장한다(S350). 저장된 결과를 기반으로 실제 네트워크와 동일한 사이버 네트워크를 구성하고, 훈련 시나리오에 적합한 트래픽을 발생시키기 위한 트래픽 발생기를 사용하여 위협 트래픽을 발생(S360)시켜 신뢰도 높은 모의 훈련을 수행할 수 있다.Using the above-mentioned modules, traffic of a real network environment is collected and analyzed, and the result of the analysis is stored (S350). Based on the stored results, the same cyber network as the real network is constructed, and threat traffic is generated (S360) using a traffic generator to generate traffic suitable for the training scenario, thereby performing highly reliable simulation training.

사이버 모의 훈련의 경우 훈련의 효과를 높이기 위해, 훈련대상자에게 훈련용 트래픽의 식별이 용이하지 않도록 해야 한다. 이를 위해 본 발명의 일 실시 예에 따른 메타 정보 플랫폼 구축 방법을 활용하여, 실제 트래픽을 재활용 하여 일반적인 배경 트래픽, 훈련용 위협 노이즈 트래픽 등의 목적으로 다양하게 적용함으로써, 실제와 유사한 상황 연출을 수행할 수 있다. 또한, 동일 목적의 반복 훈련을 위해, 생성 및 저장된 데이터셋 조합은 보다 유용하게 활용될 수 있다. In the case of cyber simulation training, in order to increase the effectiveness of training, it is necessary to make it difficult to identify training traffic to the training target. To this end, by utilizing the meta information platform construction method according to an embodiment of the present invention, real traffic is recycled and variously applied for general background traffic, training threat noise traffic, etc. You can. In addition, for repetitive training for the same purpose, a combination of datasets created and stored can be more useful.

상기의 상세한 설명은 모든 면에서 제한적으로 해석되어서는 아니 되고 예시적인 것으로 고려되어야 한다. 본 발명의 범위는 첨부된 청구항의 합리적 해석에 의해 결정되어야 하고, 본 발명의 등가적 범위 내에서의 모든 변경은 본 발명의 범위에 포함된다.The above detailed description should not be construed as limiting in all respects and should be considered illustrative. The scope of the invention should be determined by rational interpretation of the appended claims, and all changes within the equivalent scope of the invention are included in the scope of the invention.

100: 수집 모듈
200: 분석 모듈
210: 트래픽 분석 모듈
211: 네트워크 트래픽 분석 기능
212: 응용 프로토콜 분석 기능
220: 메타데이터 생성 모듈
230: 단위 트래픽 생성 모듈
240: 데이터셋 생성 모듈100: collection module
200: analysis module
210: traffic analysis module
211: network traffic analysis function
212: application protocol analysis function
220: metadata generation module
230: unit traffic generation module
240: dataset creation module

Claims (5)

수집 모듈에 의하여 실제 네트워크 환경에서 트래픽을 입력 받아 패킷 단위로 저장 및 송신하는 단계;
트래픽 분석 모듈에 의하여 상기 수집 모듈로부터 수신된 상기 패킷을 분석하고 응용 계층 데이터를 생성하는 단계;
메타데이터 생성 모듈에 의하여 상기 응용 계층 데이터로부터 추출된 정보를 분석하여 메타데이터를 생성하는 단계;
단위 트래픽 생성 모듈에 의하여 상기 생성된 메타데이터를 포함하는 네트워크 정보로 구성된 단위 트래픽을 생성하는 단계; 및
데이터셋 생성 모듈에 의하여 연관성 있는 상기 단위 트래픽의 프로토콜 정보를 포함하는 데이터셋을 생성하는 단계;를 포함하는 메타 정보 플랫폼 구축 방법.Receiving traffic in a real network environment by a collection module and storing and transmitting in packet units;
Analyzing the packets received from the collection module by the traffic analysis module and generating application layer data;
Generating metadata by analyzing information extracted from the application layer data by the metadata generation module;
Generating unit traffic composed of network information including the generated metadata by the unit traffic generating module; And
And generating a data set including protocol information of the unit traffic related by the data set generation module. 제 1항에 있어서,
상기 응용 계층 데이터를 생성하는 단계는,
수신된 상기 패킷들의 네트워크 레이어를 분석하여 IP(internet protocol), 포트(Port) 및 시퀀스(Sequence) 정보를 추출하고, 상기 추출된 IP, 포트 및 시퀀스 정보를 분석하여 페이로드(Payload)를 추출하며, 상기 추출된 IP, 포트 및 시퀀스 정보가 연관된 패킷을 조합하여 응용 계층 데이터를 생성하는 것을 특징으로 하는 메타 정보 플랫폼 구축 방법.According to claim 1,
The step of generating the application layer data,
Analyze the network layer of the received packets to extract IP (internet protocol), port (Port) and sequence (Sequence) information, and extract the payload (Payload) by analyzing the extracted IP, port and sequence information , Application layer data is generated by combining packets with the extracted IP, port, and sequence information. 제 1항에 있어서,
상기 메타데이터를 생성하는 단계는,
상기 응용 계층 데이터에서 추출된 필드들의 위치 정보와 필드들의 길이 값을 분석하여 메타데이터를 생성하고,
상기 생성된 메타데이터는,
상기 수집된 트래픽을 재사용하는 경우 사용자의 사이버 네크워크 환경과 동일하도록 수정하는 것을 특징으로 하는 메타 정보 플랫폼 구축 방법.According to claim 1,
The step of generating the metadata,
Meta data is generated by analyzing the location information of the fields extracted from the application layer data and the length values of the fields,
The generated metadata,
When reusing the collected traffic, a meta information platform construction method characterized in that it is modified to be the same as the user's cyber network environment. 제 1항에 있어서,
상기 데이터셋을 생성하는 단계에서,
상기 단위 트래픽 사이의 연관성은 패킷들의 IP, Port, Protocol, Sequence 정보를 특징으로 하는 메타 정보 플랫폼 구축 방법.According to claim 1,
In the step of generating the data set,
The association between the unit traffics is a method of establishing a meta information platform characterized by IP, port, protocol, and sequence information of packets. 실제 네트워크 환경에서 트래픽을 패킷 단위로 수집하여 저장 및 송신하는 수집 모듈; 및
상기 수집 모듈로부터 수신된 패킷을 분석하여 모의 트래픽을 발생시킬 수 있는 데이터를 생성하는 분석 모듈을 포함하고,
상기 분석 모듈은,
상기 수신된 패킷의 네트워크 레이어를 분석하여 응용 계층 데이터를 생성하고, 생성된 응용 계층 데이터에서 프로토콜에 따라 필드를 추출하는 트래픽 분석 모듈;
상기 응용 계층 데이터와 상기 추출된 필드의 위치 정보 및 필드의 길이 값을 분석하여 메타데이터를 생성하는 메타데이터 모듈;
상기 생성된 메타데이터 정보를 포함하는 네트워크 정보로 구성된 단위 트래픽을 생성하는 단위 트래픽 생성 모듈; 및
연관성 있는 상기 단위 트래픽이 데이터셋을 생성하는 데이터셋 생성 모듈을 포함하는 메타 정보 플랫폼 장치.A collection module that collects, stores, and transmits traffic in a packet unit in a real network environment; And
And an analysis module generating data capable of generating simulated traffic by analyzing packets received from the collection module,
The analysis module,
A traffic analysis module that analyzes a network layer of the received packet to generate application layer data, and extracts a field according to a protocol from the generated application layer data;
A metadata module that generates metadata by analyzing the application layer data, the location information of the extracted field, and the length value of the field;
A unit traffic generation module that generates unit traffic composed of network information including the generated metadata information; And
A meta information platform device comprising a data set generation module in which the relevant unit traffic generates a data set.
KR1020180135419A 2018-11-06 2018-11-06 Meta information platform devices and methods for recycle standard/threat traffic KR102179439B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180135419A KR102179439B1 (en) 2018-11-06 2018-11-06 Meta information platform devices and methods for recycle standard/threat traffic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180135419A KR102179439B1 (en) 2018-11-06 2018-11-06 Meta information platform devices and methods for recycle standard/threat traffic

Publications (2)

Publication Number Publication Date
KR20200052165A true KR20200052165A (en) 2020-05-14
KR102179439B1 KR102179439B1 (en) 2020-11-16

Family

ID=70737045

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180135419A KR102179439B1 (en) 2018-11-06 2018-11-06 Meta information platform devices and methods for recycle standard/threat traffic

Country Status (1)

Country Link
KR (1) KR102179439B1 (en)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110082915A (en) * 2010-01-12 2011-07-20 국방과학연구소 Method for simulating and examining traffic and network traffic analysis system
KR101460589B1 (en) 2014-04-10 2014-11-12 한국정보보호연구소 주식회사 Server for controlling simulation training in cyber warfare
KR20150080588A (en) * 2012-12-31 2015-07-09 맥아피 인코퍼레이티드 System and method for correlating network information with subscriber information in a mobile network environment
KR101829712B1 (en) * 2016-08-31 2018-02-19 아주대학교 산학협력단 Method and apparatus for detecting vulnerability of control system network

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110082915A (en) * 2010-01-12 2011-07-20 국방과학연구소 Method for simulating and examining traffic and network traffic analysis system
KR20150080588A (en) * 2012-12-31 2015-07-09 맥아피 인코퍼레이티드 System and method for correlating network information with subscriber information in a mobile network environment
KR101460589B1 (en) 2014-04-10 2014-11-12 한국정보보호연구소 주식회사 Server for controlling simulation training in cyber warfare
KR101829712B1 (en) * 2016-08-31 2018-02-19 아주대학교 산학협력단 Method and apparatus for detecting vulnerability of control system network

Also Published As

Publication number Publication date
KR102179439B1 (en) 2020-11-16

Similar Documents

Publication Publication Date Title
Karunanayake et al. De-anonymisation attacks on tor: A survey
US9686301B2 (en) Method and system for virtual asset assisted extrusion and intrusion detection and threat scoring in a cloud computing environment
Dezfoli et al. Digital forensic trends and future
KR101388090B1 (en) Apparatus for detecting cyber attack based on analysis of event and method thereof
US20170171244A1 (en) Database deception in directory services
Yaacoub et al. Advanced digital forensics and anti-digital forensics for IoT systems: Techniques, limitations and recommendations
CN106850690B (en) Honeypot construction method and system
Khan et al. A comprehensive review on adaptability of network forensics frameworks for mobile cloud computing
Joshi et al. Fundamentals of Network Forensics
Ko et al. Management platform of threats information in IoT environment
Deshpande et al. Security and Data Storage Aspect in Cloud Computing
Al-Mohannadi et al. Analysis of adversary activities using cloud-based web services to enhance cyber threat intelligence
Hegarty et al. Extrusion detection of illegal files in cloud-based systems
Aljurayban et al. Framework for cloud intrusion detection system service
Tobin et al. Simulating SQL-injection cyber-attacks using GNS3
Mishra et al. Intrusion detection system with snort in cloud computing: advanced IDS
Sunitha et al. Key Observation to Prevent IP Spoofing in DDoS Attack on Cloud Environment
Mazurczyk et al. Towards steganography detection through network traffic visualisation
Alotibi et al. Behavioral-based feature abstraction from network traffic
DeCusatis et al. Advanced intrusion prevention for geographically dispersed higher education cloud networks
CN113794731B (en) Method, device, equipment and medium for identifying CDN (content delivery network) -based traffic masquerading attack
KR102179439B1 (en) Meta information platform devices and methods for recycle standard/threat traffic
CN115964760A (en) Block chain technology-based anti-tracing method and service platform thereof
Yang et al. Network forensics in the era of artificial intelligence
Reti et al. Honey Infiltrator: Injecting Honeytoken Using Netfilter

Legal Events

Date Code Title Description
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant