KR101787267B1 - 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법 - Google Patents

네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법 Download PDF

Info

Publication number
KR101787267B1
KR101787267B1 KR1020160074332A KR20160074332A KR101787267B1 KR 101787267 B1 KR101787267 B1 KR 101787267B1 KR 1020160074332 A KR1020160074332 A KR 1020160074332A KR 20160074332 A KR20160074332 A KR 20160074332A KR 101787267 B1 KR101787267 B1 KR 101787267B1
Authority
KR
South Korea
Prior art keywords
cyber
model
effect analysis
interim
effect
Prior art date
Application number
KR1020160074332A
Other languages
English (en)
Inventor
조완수
이동환
이행호
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020160074332A priority Critical patent/KR101787267B1/ko
Application granted granted Critical
Publication of KR101787267B1 publication Critical patent/KR101787267B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

본 발명은 사이버전 효과를 분석하는 모델링 및 시뮬레이션 기술에 관한 것으로서 기존에 존재하는 구성 모의 네트워크 장비 모델을 활용하여 사이버전 효과분석을 위한 사이버 속성을 부여하여 각 장비 모델을 확장하고, 사이버 공격 및 방어, 피해평가를 수행하는 사이버전 시나리오를 통하여 이러한 속성을 이용한 통계 자료 수집 및 처리를 거쳐 사이버전의 효과분석을 효율적으로 모의하기 위한 장치 및 방법에 관한 것이다.

Description

네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법{APPARATUS AND METHOD OF MODELING AND SIMULATION FOR CYBER EFFECT ANALYSIS USING NETWORK MODELS}
본 발명은 사이버전 효과를 분석하는 모델링 및 시뮬레이션 기술에 관한 것으로서 기존에 존재하는 구성 모의 네트워크 장비 모델을 활용하여 사이버전 효과분석을 위한 사이버 속성을 부여하여 각 장비 모델을 확장하고, 사이버 공격 및 방어, 피해평가를 수행하는 사이버전 시나리오를 통하여 이러한 속성을 이용한 통계 자료 수집 및 처리를 거쳐 사이버전의 효과분석을 효율적으로 모의하기 위한 장치 및 방법에 관한 것이다.
많은 조직체들이 네트워크의 설계 및 성능 분석 등을 위해 대규모 네트워크에 대한 모델을 개발하여 다양한 목적으로 활용하고 있다. 또한 최근에는 사이버 공간이 조직체의 생존 및/또는 경쟁력 확보에 중요한 관리 영역으로 대두되고 있으며, 네트워크를 대상으로 하는 여러 가지의 사이버전 공격에 대응하기 위한 많은 노력을 기울이고 있다.
조직체의 업무 수행을 위하여 실제로 운영되고 있는 네트워크를 이용한 사이버전 공격의 효과분석은 그 행위 자체가 네트워크의 안전한 운영과 성능에 심각한 피해를 미칠 수 있기 때문에 사이버전 공격의 효과분석은 대부분 모델링 및 시뮬레이션 기술을 이용하게 된다.
이러한 환경에서 기존에 개발하여 운용하고 있는 네트워크 모델을 활용하여 사이버전 효과분석을 수행할 필요가 있다. 왜냐하면, 실제 네트워크의 안전한 운영과 성능에 영향을 미치지 않으면서도 사이버 공격에 대응하기 위한 다양한 효과분석을 수행할 수 있기 때문이다.
1. 한국공개특허번호 제10-2015-0058304호(발명의 명칭: 창발적 네트워크 방어 시스템)
1. 권정민, "리델하트의 간접접근이론에 의한 사이버전 분석"학위논문(석사) 국민대학교 2012년 2. 손영동, "사이버戰 억지력(抑止力) 평가모델에 관한 연구"학위논문(박사) 숭실대학교 2011년
본 발명은 위 배경기술에 따른 문제점을 해소하기 위해 제안된 것으로서, 기존에 개발한 네트워크 장비 모델에 사이버전 효과분석을 위한 사이버 공격 속성 및 방어 속성, 피해평가 속성 등을 추가로 부여하여 각 장비 모델을 확장할 수 있는 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법를 제공하는데 그 목적이 있다.
또한, 본 발명은 이러한 사이버 속성과 사이버 공격 모델, 방어 모델 및 피해평가 모델 등을 이용해서 시뮬레이션 과정 동안 사용자가 원하는 효과분석 지표 결과를 제시하는 다양한 분석항목의 수집 및 처리를 통하여 사이버전 공격에 따른 영향을 분석하고 이에 대응할 수 있는 다양한 방안을 수립할 수 있도록 지원하는 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법를 제공하는데 다른 목적이 있다.
본 발명은 위에서 제시된 과제를 달성하기 위해, 사이버 행위를 모의하는 사이버전 모델과 사이버 행위의 대상이 되는 사이버전 운용환경 모델을 개발할 수 있는 사이버 효과분석 모델링 및 시뮬레이션 장치를 제공한다.
상기 사이버 효과분석 모델링 및 시뮬레이션 장치는,
사이버전 효과 분석을 위한 사이버 속성 정보를 각 네트워크 장비 모델에 부여하여 확장되는 사이버전 모델 정보를 저장하는 사이버전 모델 저장소(120);
상기 사이버 속성 정보를 설정하고 상기 사이버 속성 정보에 따라 생성되는 상기 사이버전 모델 정보를 이용하여 상기 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 사이버 관리부(110);
상기 효과분석 시나리오에 따른 사이버전 운용환경 모델 정보를 이용하여 사이버 행위의 대상에 대한 효과분석 모의를 진행하는 사이버 시뮬레이션 실행부(140);
상기 효과분석 모의의 진행 결과에 따른 로그 데이터를 수집하고, 상기 로그 데이터를 이용하여 효과분석 지표 데이터를 생성하는 효과 분석 처리부(150); 및
상기 효과분석 지표 데이터를 저장하는 효과분석 지표 데이터 저장소(160);를 포함하는 것을 특징으로 할 수 있다.
여기서, 상기 네트워크 장비 모델은 각 네트워크 장비 모델의 고유 요소 및 각 네트워크 장비 모델이 제공하는 사이버 효과를 반영하는 사이버 요소로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 고유 요소 및 사이버 요소는 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 포함하는 것을 특징으로 할 수 있다.
또한, 상기 사이버 속성 정보는 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 공격을 표현하는 사이버 공격 속성, 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 방어를 표현하는 사이버 방어 속성, 및 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 피해를 표현하는 피해평가 속성을 포함하는 것을 특징으로 할 수 있다.
또한, 상기 사이버전 모델 정보는 사이버 공격 모델, 사이버 방어 모듈, 및 피해평가 모델을 포함하는 것을 특징으로 할 수 있다.
또한, 상기 사이버전 모델 정보의 사이버전 모델은 네트워크 장비 모델의 구성요소로 표현되는 모듈 방식으로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 사이버전 운용환경 모델은, 시스템 모델 및 네트워크 장비 모델로 이루어지며, 상기 시스템 모듈은 운영체제 모델, 시스템 자원 모델과 응용 서비스 모델로 이루어지는 것을 특징으로 할 수 있다.
또한, 상기 사이버전 운용환경 모델은, 상기 시스템 모델 및 네트워크 장비 모델에 사이버 효과를 위한 사이버 모듈을 추가로 포함하는 것을 특징으로 할 수 있다.
또한, 사이버전 공격 및 방어의 효과도를 분석하기 위하여 상기의 사이버전 모델과 사이버전 운용환경 모델의 속성을 이용하는 사이버 공격, 방어 및 네트워크 성능 관점의 효과지표(Measure of Effectiveness, MOE)를 정의하고, 각 효과지표의 산출에 필요한 세부적인 성능지표(Measure of Performance, MOP) 항목을 도출하여 사용자가 원하는 효과분석 결과를 시나리오 저작에서 선택되는 것을 특징으로 할 수 있다.
다른 한편으로, 사이버 관리부(110)가 사이버전 효과 분석을 위한 사이버 속성 정보를 설정하고 상기 사이버 속성 정보에 따라 생성되는 사이버전 모델 정보를 이용하여 상기 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 단계; 사이버전 모델 저장소(120)가 상기 사이버 속성 정보를 각 네트워크 장비 모델에 부여하여 확장되는 상기 사이버전 모델 정보를 저장하는 단계; 사이버 시뮬레이션 실행부(140)가 상기 효과분석 시나리오에 따른 사이버전 운용환경 모델 정보를 이용하여 사이버 행위의 대상에 대한 효과분석 모의를 진행하는 단계; 효과 분석 처리부(150)가 상기 효과분석 모의의 진행 결과에 따른 로그 데이터를 수집하고, 상기 효과분석 지표 데이터를 효과분석 지표 데이터 저장소(160)에 저장하는 단계; 및 상기 효과 분석 처리부(150)가 상기 로그 데이터를 이용하여 효과분석 지표 데이터를 생성하는 단계;를 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 방법을 제공할 수 있다.
본 발명에 의하면, 네트워크의 설계 및/또는 성능 분석 등을 위하여 기존에 확보하고 있는 네트워크 장비 모델에 사이버전 효과분석을 위한 사이버 공격, 방어 및 피해평가 속성을 추가적으로 부여하여 확장함으로써 실제의 네트워크 운영에 아무런 영향을 미치지 않으면서도 다양한 관점의 사이버전 효과분석을 효율적으로 실시할 수 있다.
또한, 본 발명의 다른 효과로서는 이러한 다양한 관점의 사이버전 효과분석을 이용하여 사용자는 네트워크와 시스템을 효과적으로 보호할 수 있는 비용 효과적인 다양한 방어 기술 및/또는 기법을 현재의 네트워크 환경에 적용함으로써 효율적인 사이버 공간의 보호를 기대할 수 있다는 점을 들 수 있다.
도 1은 본 발명의 일실시예에 따른 사이버 효과분석 모델링 및 시뮬레이션 장치의 블록 구성도이다.
도 2는 본 발발명의 일실시예에 따른 사이버 공격 및 피해 식별과 도출 과정을 보여주는 흐름도이다.
도 3은 본 발명의 일실시예에 따른 사이버전 효과분석을 위한 피해평가 모델의 첫 번째 연동 절차를 보여주는 시퀀스 다이어그램이다.
도 4는 본 발명의 일실시예에 따른 사이버전 효과분석을 위한 피해평가 모델의 두 번째 연동 절차를 보여주는 시퀀스 다이어그램이다.
도 5는 본 발명의 일실시예에 따른 각 구성 요소를 이용하여 사이버전 효과분석을 실시하는 절차를 나타낸 개념도이다.
도 6은 본 발명의 일실시예에 따른 사이버 공격 효과분석 결과를 보여주는 지표의 예시이다.
도 7은 본 발명의 일실시예에 따른 사이버 방어 효과분석 결과를 보여주는 지표의 예시이다.
도 8은 본 발명의 일실시예에 따른 네트워크 성능 효과분석 결과를 보여주는 지표의 예시이다.
본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 구체적으로 설명하고자 한다. 그러나 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.
각 도면을 설명하면서 유사한 참조부호를 유사한 구성요소에 대해 사용한다.
제 1, 제 2등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다.
예를 들어, 본 발명의 권리 범위를 벗어나지 않으면서 제 1 구성요소는 제 2 구성요소로 명명될 수 있고, 유사하게 제 2 구성요소도 제 1 구성요소로 명명될 수 있다. "및/또는" 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.
다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미가 있다.
일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가지는 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않아야 한다.
이하 첨부된 도면을 참조하여 본 발명의 일실시예에 따른 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법를 상세하게 설명하기로 한다.
도 1은 본 발명의 일실시예에 따른 사이버 효과분석 모델링 및 시뮬레이션 장치의 블록 구성도이다. 도 1을 참조하면, 사이버 효과분석 모델링 및 시뮬레이션 장치(100)는, 상기 사이버 속성 정보를 설정하고 상기 사이버 속성 정보에 따라 생성되는 상기 사이버전 모델 정보를 이용하여 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 사이버 관리부(110); 사이버전 효과 분석을 위한 사이버 속성 정보를 각 네트워크 장비 모델에 부여하여 확장되는 사이버전 모델 정보를 저장하는 사이버전 모델 저장소(120); 상기 효과분석 시나리오에 따른 사이버전 운용환경 모델 정보를 이용하여 사이버 행위의 대상에 대한 효과분석 모의를 진행하는 사이버 시뮬레이션 실행부(140); 상기 효과분석 모의의 진행 결과에 따른 로그 데이터를 수집하고, 상기 로그 데이터를 이용하여 효과분석 지표 데이터를 생성하는 효과 분석 처리부(150); 및 상기 효과분석 지표 데이터를 저장하는 효과분석 지표 데이터 저장소(160); 등을 포함하여 구성된다.
사이버 관리부(110)는 각 사이버 네트워크 모델에 존재하여 전체적인 사이버 효과분석 과정을 관리하며, "사이버전 공격 및 방어와 그 피해 효과"를 식별하기 위한 사이버 속성 정보를 설정하는 사이버 정의부(111) 및 기 사이버 속성 정보에 따라 생성되는 상기 사이버전 모델 정보를 이용하여 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 사이버 시나리오 저작부(112) 등을 포함하여 구성된다.
사이버전 효과분석에 필요한 사이버 기능, 속성 및 통계를 식별하는 사이버 정의부(111)는 각 모델의 사이버 요소를 정의하고 사이버 공격 및 방어, 피해평가 모델의 기능을 정의한다.
또한, 사이버 시나리오 저작부(112)는 사이버 공격 정보와 방어 정보를 저작한다. 저작된 정보는 사이버 관리부(110)의 속성으로 저장된다. 방어 모델에 대한 속성은 시나리오에 존재하는 모든 방어 장비를 테이블 형태로 표현하고, 각 장비 모델에 존재하는 방어 속성을 설정한다.
시나리오 저작이 완료되면 사이버 시뮬레이션 실행부(140)에 의해 시뮬레이션이 진행되고, 시나리오 저작 과정에서 사용자가 선택한 효과분석 지표 계산에 필요한 데이터들이 효과분석 처리부(150)에 의해 수집된 후 효과분석 데이터 저장소(160)에 저장되어 처리되며, 사용자의 효과분석 목적에 부합되는 시각적인 출력물을 제공할 수 있다.
사이버 관리부(110)는 효과분석 시나리오를 읽어 와서 공격을 실행하고, 또한 사이버 피해평가 모델에서 식별된 피해의 일부분을 수행한다. 본 발명의 일실시예에서 사이버전 모델 저장소(121)에 저장되는 네트워크 장비 모델(121)은 각 네트워크 장비 모델의 고유 요소 및 각 네트워크 장비가 제공하여야 하는 사이버 효과를 반영하기 위한 사이버 요소로 구성된다. 이러한 고유 요소 및 사이버 요소들은 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계 등으로 구성된다. 이러한 네트워크 장비 모델에 대한 정보는 사이버전 모델 저장소(120)에 저장된다.
여기서, 기능은 각각의 네트워크 장비들이 네트워크 운영을 위하여 수행하는 기본적인 작업을 의미하며, 속성은 네트워크 장비의 기능을 사이버전 효과분석의 관점에서 측정하고자 하는 요소 즉, 속도, 시간, 사용량, 처리량, 부하량 등을 의미한다. 또한, 통계는 이러한 기능과 속성을 이용하여 각각의 네트워크 장비에서 사용자가 파악하고자 하는 통계적인 수치값을 의미한다.
사이버전 운용 환경으로서의 네트워크 장비 모델은 기존의 네트워크 장비 모델을 이용하며, 사이버 효과를 부여하기 위하여 네트워크 장비 모델을 수정한다. 따라서 개별 네트워크 장비 모델의 모듈은 사이버 효과를 위한 모듈이 추가된다.
도 1을 계속 참조하면, 사이버 속성 정보는 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 공격을 표현하는 사이버 공격 속성, 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 방어를 표현하는 사이버 방어 속성, 및 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 피해를 표현하는 피해평가 속성 등으로 구성이 될 수 있다. 특히, 사이버전 모델 정보는 사이버 공격 모델, 사이버 방어 모듈, 및 피해평가 모델 등으로 구성이 될 수 있다.
사이버 공격 모델은 하나의 네트워크 장비 모델로 이루어지지 않고 다수의 모듈이 결합되어 그 기능을 제공한다. 각 모듈은 네트워크 장비 모델의 구성요소로 표현되기 때문에 이 모듈을 내포하는 것으로 해당 기능을 제공한다. 즉, 다양한 사이버 공격의 실사례 분석을 통해 사이버 공격을 식별하고, 식별된 공격을 일반화하여 다양한 공격을 표현할 수 있다. 일반화된 공격을 기반으로 필요한 속성과 이를 수행하는 모델이 구성된다. 이런 접근 방식은 실사례에서 식별된 개별 공격을 각각 모델링하는 것이 아니고, 공통 요소를 추출하여 이에 대한 속성 값의 변화로 모델링하기 때문에 사용자에게 다양한 선택의 기회를 제공한다.
사이버 공격 모델은 하나의 장비 모델로 이루어지지 않고 다수의 모듈이 결합되어 그 기능을 제공한다. 각 모듈은 장비 모델의 구성요소로 표현되기 때문에 이 모듈을 내포하는 것으로 사이버 공격 기능을 제공한다. 예를 들어, 사이버 공격 대상을 탐색하는 기능인 호스트 존재 확인 기능의 경우 동작에 필요한 정보는 사이버 관리부(110)에서 정의되고, 사이버 관리부(110)는 설정된 값을 바탕으로 지정된 호스트의 존재를 확인한다. 즉, 호스트 존재 확인 기능은 사이버 관리부에 의해서 충족된다.
이와 유사한 방식으로 사이버 공격에 이용되는 포트, 서비스 및 취약점 탐색과 식별 기능은 사이버 관리부에 설정된 파라미터를 이용하여 대상 호스트를 찾아내고, 필요시 취약점 정보에 접근하여 해당 호스트의 취약점을 식별한다.
사이버 공격에 의한 피해 효과를 모델링하기 위해서는 사이버 공격에 의한 피해가 어떻게 표현되는가를 식별하고 이 효과가 적용되는 네트워크 장비 모델을 식별한다. 이 모델은 기존의 네트워크 장비 모델에서 제공되거나 또는 새로운 모델을 제작할 수 있다. 피해평가 모델의 요구 기능은 공격 모델과 동일하게 하나의 장비 모델에 의해서 만족되지 않고, 다수의 모듈이 결합하여 요구 기능을 제공한다.
사이버 방어 모델은 사이버 공격에 대한 방어를 수행하는 장비들을 모의한다. 방어 모델의 요구사항은 네트워크 장비 모델에 대한 요구사항이므로 해당 방어 기능을 제공할 수 있도록 기존 모델을 활용하거나 새로운 모델을 개발하여 요구 사항이 충족되도록 모의한다. 방어 모델링 대상 장비는 방화벽, 안티바이러스 서버, 패치관리 서버와 비정상 패킷을 차단하는 침입차단장비 등이다.
이러한 사이버전 모델은 사이버 행위를 모의하며, 사이버전 운용환경 모델은 사이버 행위의 대상이 된다. 이러한 사이버전 운용환경 모델은 시스템 모델 및 네트워크 장비 모델을 포함한다. 시스템 모델은 운영체제 모델, 시스템 자원 모델, 및 응용 서비스 모델로 구분된다. 시스템 모델의 형상 항목은 단독으로 존재하지 않고 대부분의 단말 장비 모델에 포함되어 표현된다. 네트워크 장비 모델은 기존의 네트워크 장비 모델을 수정하여 사이버 효과를 부여한다. 따라서 개별 네트워크 장비 모델의 모듈은 사이버 효과를 위해서 필요한 모듈이 추가된다.
시스템 계층의 피해 모델은 사이버전 운용환경 모델의 시스템 모델에 끼치는 피해를 모델링한다. 운영체제 모델 및 응용 서비스 모델의 경우 해당 플랫폼을 반영한 속성을 이용하여 시스템에 설치된 운영체제 및 응용 서비스를 각각 모델링하고, 사이버 공격에 의한 피해 효과는 피해를 나타내는 속성을 이용하여 표현한다. 시스템 자원 모델은 CPU(Central Processing Unit)와 메모리로 모델링된다. 사이버 공격에 의한 피해 효과는 CPU의 부하 증가/감소 및/또는 메모리 사용량의 증가/감소로 표현된다. CPU 및 메모리의 변화는 IP 계층의 패킷 처리 속도에 영향을 미치고, 이는 네트워크 계층의 피해효과로 반영되어 네트워크에 그 영향이 전파된다.
네트워크 계층의 피해는 사이버 공격에 의해서 네트워크 계층에 직접적인 피해를 끼치는 요소를 반영하는 것으로, 기존의 네트워크 장비 모듈을 수정하여 통신 프로토콜에 대한 공격의 영향을 모의한다. 네트워크 계층은 네트워크 계층과 MAC(Media Access Control) 계층으로 구분하여 피해 영향을 모의한다.
이러한 과정을 거친 사이버전 운용환경으로서의 시스템 모델 및 네트워크 장비 모델은 사이버전 모델 저장소(120)에 저장된다.
사이버전 공격 및 방어의 효과도를 분석하기 위하여 상기의 사이버전 모델과 사이버전 운용환경 모델의 속성을 이용하는 사이버 공격, 방어 및 네트워크 성능 관점의 효과지표(Measure of Effectiveness, MOE)를 정의하고, 각 MOE 산출에 필요한 세부적인 성능지표(Measure of Performance, MOP) 항목을 도출하여 사용자가 원하는 효과분석 결과를 시나리오 저작 과정에서 선택할 수 있도록 지원한다.
도 1을 계속 참조하면, 효과 분석 처리부(150)는, 사이버 시뮬레이션 실행부(140)를 통해 생성되는 효과 분석 지표 데이터를 수집하는 효과 분석 지표 데이터 수집부(151), 수집된 효과분석 지표 데이터를 처리하여 효과 분석결과를 생성하는 처리부(153), 효과 분석 결과를 그래픽, 문자, 숫자 등으로 디스플레이에 가시화하는 효과 분석 결과 가시화부(155) 등을 포함하여 구성될 수 있다. 부연하면, 사이버전 효과분석 결과는 시뮬레이션 동안에 수집된 데이터를 처리하여 사용자가 선택한 효과분석 지표를 시각적인 출력물을 통하여 제공한다. 사이버전 공격 및 방어의 효과분석 결과를 제공하는 수단에는 그래프 표시 기능, 외부 파일 출력 기능, 사용자의 이해를 돕기 위한 애니메이션 기능 등을 포함한다.
한편, 수집된 효과분석 지표 데이터를 저장하는 효과분석 지표 데이터 저장소(160)가 구성될 수 있다.
도 2는 본 발명의 일실시예에 따른 사이버 공격 및 피해 식별과 도출 과정을 보여주는 흐름도이다. 도 2를 참조하면, 사이버 공격 모델은 실사례 분석을 통해 사이버 공격을 식별하고, 식별된 공격을 일반화 하여 다양한 공격을 표현한다(단계 S210,220,S221,S223). 부연하면, 사이버 공격이 식별되면 공통 요소를 추출하여 모델을 개발함으로써 사용자는 개별 공격을 식별한 후 공격의 속성 값 변화로 공격을 모델링 한다.
또한, 실사례 분석을 통해 사이버 공격에 의한 피해를 식별하고, 식별된 피해를 평가하여 모델링을 수행한다(단계 S230,S240). 부연하면, 피해 수행 모델을 식별하고, 피해 평가 모델을 설계한다.
이러한 사이버 피해평가를 수행하는 절차는 2 스테이지로 이루어진다. 즉 1번째 스테이지는 도 3에 도시되고, 2번째 스테이지는 도 4에 도시된다.
도 3은 본 발명의 일실시예에 따른 사이버전 효과분석을 위한 피해평가 모델의 첫 번째 연동 절차를 보여주는 시퀀스 다이어그램이다. 도 3을 참조하면, 시뮬레이션 초기화 시점에 이루어지며, 각 피해평가 모듈(350)이 수행할 수 있는 피해에 대해서 사이버 관리부(110)에 등록한다(단계 S310). 부연하면, 시뮬레이션이 수행되는 각 피해평가 모듈(350)은 자신이 제공하는 피해평가 기능에 대해서 사이버 관리부(110)에게 등록한다. 그 후, 사이버 관리부(110)는 공격 정보를 사이버 공격 설정 모듈(320)에서 확인하고 읽어 와서 이를 수행한다(단계 S320,S330).
도 4는 본 발명의 일실시예에 따른 사이버전 효과분석을 위한 피해평가 모델의 두 번째 연동 절차를 보여주는 시퀀스 다이어그램이다. 도 4를 참조하면, 시뮬레이션 수행 중 사이버 공격을 수신하고 이에 대해 피해평가를 수행하는 것으로서, 사이버 공격은 패킷을 통해서 전달되고 전달된 공격은 사이버 관리부(110)에게 전달되어 실행된다(단계 S410,S420). 부연하면, 사이버 관리부(110)의 공격 장비 모델 사이버 관리부(410)가 사이버 공격을 사이버 관리부(110)의 피해 장비 모델 사이버 관리부(420)에 전달하면, 피해 장비 모델 사이버 관리부(420)가 공격을 실행한다.
사이버 공격 수행을 피해평가 모델이 수행해야 하는 경우이면 사이버 관리부(110)가 사이버 피해평가 모듈(350)에게 명령을 내리고, 명령을 수신한 사이버 피해평가 모듈(350)은 이 명령을 수행하여 효과를 발현한다(단계 S430,S440). 사이버 효과에 대한 응답이 필요한 경우 이를 피해장비 모델의 사이버 관리부에게 알리고, 이를 수신한 사이버 관리부는 공격 장비 모델의 사이버 관리부에게 응답을 전달한다(단계 S440,S450,S460).
도 5는 본 발명의 일실시예에 따른 각 구성 요소를 이용하여 사이버전 효과분석을 실시하는 절차를 나타낸 개념도이다. 도 5를 참조하면, 사이버 공격 및 방어 속성을 설정한다(510). 이후, 사이버 효과분석 사나리오를 작성하고, 이를 실행한다(520). 이후, 사이버 효과분석 시뮬레이션이 실행되어 사이버 효과분석 시뮬레이션 결과가 생성된다(530).
이후, 사이버 효과분석 시뮬레이션 결과를 로그로 수집한다(540). 수집된 사이버 효과분석 시뮬레이션 결과를 처리 및 분석을 통해 시스템 및 네트워크 영향 분석을 실행한다(550).
최종적으로, 효과 분석 지표 데이터를 도출하고, 이를 통해 효과분석을 도출한다(560).
도 6은 본 발명의 일실시예에 따른 사이버 공격 효과분석 결과를 보여주는 지표의 예시이다. 도 6을 참조하면, 사이버 공격에 대한 효과분석 지표들이다. MOE(Measure of Effectiveness)는 사이버 공격, 방어 및 네트워크 성능 관점의 효과지표를 정의하고, MOP(Measure of Performance)는 각 MOE 산출에 필요한 세부적인 성능지표를 나타낸다.
도 7은 본 발명의 일실시예에 따른 사이버 방어 효과분석 결과를 보여주는 지표의 예시이다. 도 7을 참조하면, 사이버 방어에 대한 효과분석 지표들이다.
도 8은 본 발명의 일실시예에 따른 네트워크 성능 효과분석 결과를 보여주는 지표의 예시이다. 도 8을 참조하면, 시스템 및 네트워크 성능에 대한 효과분석 지표들이다.
100: 사이버 효과분석 모델링 및 시뮬레이션 장치
110: 사이버 관리부
111: 사이버 정의부 112: 사이버 시나리오 저작부
120: 사이버전 모델 저장소 121: 네트워크 장비 모델 정보
140: 사이버 시뮬레이션 실행부
150: 효과분석 처리부
151: 효과분석 지표 데이터 수집부
153: 효과분석 지표 데이터 처리부
155: 효과분석 결과 가시화부
160: 효과분석 지표 데이터 저장소

Claims (7)

  1. 사이버전 효과 분석을 위한 사이버 속성 정보를 각 네트워크 장비 모델에 부여하여 확장되는 사이버전 모델 정보를 저장하는 사이버전 모델 저장소(120);
    상기 사이버 속성 정보를 설정하고 상기 사이버 속성 정보에 따라 생성되는 상기 사이버전 모델 정보를 이용하여 상기 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 사이버 관리부(110);
    상기 효과분석 시나리오에 따른 사이버전 운용환경 모델 정보를 이용하여 사이버 행위의 대상에 대한 효과분석 모의를 진행하는 사이버 시뮬레이션 실행부(140);
    상기 효과분석 모의의 진행 결과에 따른 로그 데이터를 수집하고, 상기 로그 데이터를 이용하여 효과분석 지표 데이터를 생성하는 효과 분석 처리부(150); 및
    상기 효과분석 지표 데이터를 저장하는 효과분석 지표 데이터 저장소(160);
    를 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  2. 제 1 항에 있어서,
    상기 네트워크 장비 모델은 각 네트워크 장비 모델의 고유 요소 및 각 네트워크 장비 모델이 제공하는 사이버 효과를 반영하는 사이버 요소로 이루어지고, 상기 고유 요소 및 사이버 요소는 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  3. 제 2 항에 있어서,
    상기 사이버 속성 정보는 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 공격을 표현하는 사이버 공격 속성, 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 방어를 표현하는 사이버 방어 속성, 및 각 네트워크 장비 모델이 제공하는 기능, 속성 및 통계를 반영하여 피해를 표현하는 피해평가 속성을 포함하고,
    상기 사이버전 모델 정보는 사이버 공격 모델, 사이버 방어 모듈, 및 피해평가 모델을 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  4. 제 1 항에 있어서,
    상기 사이버전 모델 정보의 사이버전 모델은 네트워크 장비 모델의 구성요소로 표현되는 모듈 방식으로 이루어지는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  5. 제 1 항에 있어서,
    상기 사이버전 운용환경 모델은, 시스템 모델 및 네트워크 장비 모델로 이루어지며, 상기 시스템 모델은 운영체제 모델, 시스템 자원 모델과 응용 서비스 모델로 이루어지고, 상기 사이버전 운용환경 모델은, 상기 시스템 모델 및 네트워크 장비 모델에 사이버 효과를 위한 사이버 모듈을 추가로 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  6. 제 1 항에 있어서,
    사이버전 공격 및 방어의 효과도를 분석하기 위하여 상기의 사이버전 모델과 사이버전 운용환경 모델의 속성을 이용하는 사이버 공격, 방어 및 네트워크 성능 관점의 효과지표(Measure of Effectiveness, MOE)를 정의하고, 각 효과지표의 산출에 필요한 세부적인 성능지표(Measure of Performance, MOP) 항목을 도출하여 사용자가 원하는 효과분석 결과를 시나리오 저작에서 선택되는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치.
  7. 사이버 관리부(110)가 사이버전 효과 분석을 위한 사이버 속성 정보를 설정하고 상기 사이버 속성 정보에 따라 생성되는 사이버전 모델 정보를 이용하여 상기 사이버전 효과 분석을 위한 효과분석 시나리오를 저작하는 단계;
    사이버전 모델 저장소(120)가 상기 사이버 속성 정보를 각 네트워크 장비 모델에 부여하여 확장되는 상기 사이버전 모델 정보를 저장하는 단계;
    사이버 시뮬레이션 실행부(140)가 상기 효과분석 시나리오에 따른 사이버전 운용환경 모델 정보를 이용하여 사이버 행위의 대상에 대한 효과분석 모의를 진행하는 단계;
    효과 분석 처리부(150)가 상기 효과분석 모의의 진행 결과에 따른 로그 데이터를 수집하고, 효과분석 지표 데이터를 효과분석 지표 데이터 저장소(160)에 저장하는 단계; 및
    상기 효과 분석 처리부(150)가 상기 로그 데이터를 이용하여 효과분석 지표 데이터를 생성하는 단계;
    를 포함하는 것을 특징으로 하는 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 방법.
KR1020160074332A 2016-06-15 2016-06-15 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법 KR101787267B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160074332A KR101787267B1 (ko) 2016-06-15 2016-06-15 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160074332A KR101787267B1 (ko) 2016-06-15 2016-06-15 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법

Publications (1)

Publication Number Publication Date
KR101787267B1 true KR101787267B1 (ko) 2017-11-15

Family

ID=60386911

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160074332A KR101787267B1 (ko) 2016-06-15 2016-06-15 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법

Country Status (1)

Country Link
KR (1) KR101787267B1 (ko)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102331931B1 (ko) * 2020-05-28 2021-11-26 국방과학연구소 사이버 공격에 따른 피해 평가 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램
KR20220032787A (ko) * 2020-09-08 2022-03-15 주식회사 인더포레스트 사이버 공격을 방어하기 위한 보안 방법 및 장치
KR20230011700A (ko) * 2021-07-14 2023-01-25 국방과학연구소 가상 훈련에 의한 전투효과를 분석하기 위한 장치 및 방법

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101460589B1 (ko) * 2014-04-10 2014-11-12 한국정보보호연구소 주식회사 사이버전 모의 훈련 관제 서버

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101460589B1 (ko) * 2014-04-10 2014-11-12 한국정보보호연구소 주식회사 사이버전 모의 훈련 관제 서버

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102331931B1 (ko) * 2020-05-28 2021-11-26 국방과학연구소 사이버 공격에 따른 피해 평가 장치, 방법, 컴퓨터 판독 가능한 기록매체 및 컴퓨터 프로그램
KR20220032787A (ko) * 2020-09-08 2022-03-15 주식회사 인더포레스트 사이버 공격을 방어하기 위한 보안 방법 및 장치
KR102381277B1 (ko) * 2020-09-08 2022-03-30 주식회사 인더포레스트 사이버 공격을 방어하기 위한 보안 방법 및 장치
KR20230011700A (ko) * 2021-07-14 2023-01-25 국방과학연구소 가상 훈련에 의한 전투효과를 분석하기 위한 장치 및 방법
KR102547419B1 (ko) * 2021-07-14 2023-06-23 국방과학연구소 가상 훈련에 의한 전투효과를 분석하기 위한 장치 및 방법

Similar Documents

Publication Publication Date Title
Shevchenko et al. Threat modeling: a summary of available methods
EP3287927B1 (en) Non-transitory computer-readable recording medium storing cyber attack analysis support program, cyber attack analysis support method, and cyber attack analysis support device
KR101534192B1 (ko) 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법
US10997289B2 (en) Identifying malicious executing code of an enclave
US10320828B1 (en) Evaluation of security in a cyber simulator
CN102790706B (zh) 海量事件安全分析方法及装置
KR101787267B1 (ko) 네트워크 모델을 활용한 사이버 효과분석 모델링 및 시뮬레이션 장치 및 방법
CN109564609A (zh) 利用先进计算机决策平台的计算机攻击的检测缓和与矫正
CN113162794A (zh) 下一步攻击事件预测方法及相关设备
WO2018211827A1 (ja) 評価プログラム、評価方法および情報処理装置
Wang et al. An intrusion detection method based on log sequence clustering of honeypot for modbus tcp protocol
CN112367337A (zh) 一种网络安全攻防方法、装置及介质
Wolf et al. The PASTA threat model implementation in the IoT development life cycle
CN111177720A (zh) 基于大数据生成威胁情报的方法、装置及可读存储介质
JP7424470B2 (ja) 分析システム、方法およびプログラム
CN105025067B (zh) 一种信息安全技术研究平台
Mphago et al. Deception in web application honeypots: case of Glastopf
US9111072B1 (en) Anti-reverse engineering unified process
Maghrabi et al. Designing utility functions for game-theoretic cloud security assessment: a case for using the common vulnerability scoring system
Boudermine et al. Attack graph-based solution for vulnerabilities impact assessment in dynamic environment
JP7074188B2 (ja) セキュリティ対処能力測定システム、方法及びプログラム
Regano et al. Towards automatic risk analysis and mitigation of software applications
KR100961992B1 (ko) 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법, 그장치 및 이를 기록한 기록매체
CN116861418B (zh) 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质
CN111767207B (zh) 应用于处理器微结构侧信道防御措施的安全性测试方法

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant