KR101854981B1 - 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 - Google Patents

사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 Download PDF

Info

Publication number
KR101854981B1
KR101854981B1 KR1020160072222A KR20160072222A KR101854981B1 KR 101854981 B1 KR101854981 B1 KR 101854981B1 KR 1020160072222 A KR1020160072222 A KR 1020160072222A KR 20160072222 A KR20160072222 A KR 20160072222A KR 101854981 B1 KR101854981 B1 KR 101854981B1
Authority
KR
South Korea
Prior art keywords
traffic
classification
environment
data set
identification code
Prior art date
Application number
KR1020160072222A
Other languages
English (en)
Other versions
KR20170139817A (ko
Inventor
안명길
김동화
김용현
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020160072222A priority Critical patent/KR101854981B1/ko
Publication of KR20170139817A publication Critical patent/KR20170139817A/ko
Application granted granted Critical
Publication of KR101854981B1 publication Critical patent/KR101854981B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 발명은 실제와 유사한 사이버전 훈련에 이용될 수 있고, 사이버전 기술검증에 이용될 수 있는 데이터셋 생성 방법 및 이의 장치에 관한 것이다. 이를 위한 본 발명의 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법은 실제 환경에서 실제 사람이 트래픽을 발생시키는 제 1 환경, 가상 환경에서 실제 사람이 트래픽을 발생시키는 제 2 환경 및 가상 환경에서 가상 사람이 트래픽을 발생시키는 제 3 환경을 포함하는 합성 환경을 구성하는 단계; 합성 환경에서 발생된 트래픽들을 분석하는 단계; 분석 결과를 근거로 기설정된 분류 조건에 따라 합성 환경에서 발생된 트래픽들을 분류하는 단계; 분류 조건에 따라 분류된 트래픽에 식별코드를 부여하는 단계; 및 식별코드 별로 각 트래픽을 구분함으로써 데이터셋을 생성하는 단계를 포함하는 것을 특징으로 한다.

Description

사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치{METHOD FOR GENERATING DATA SET FOR CYBER WARFACE EXERCISE AND TECHNOLOGY VERIFICATION AND APPARATUS THEREOF}
본 발명은 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치에 관한 것이고, 보다 상세하게 실제와 유사한 사이버전 훈련에 이용될 수 있고, 사이버전 기술검증에 이용될 수 있는 데이터셋 생성 방법 및 이의 장치에 관한 것이다.
사이버전에 관한 이슈가 날로 증대되고 있으며, 이에 능동적으로 대응하기 위해 평소 끊임없이 훈련하고, 관련 기술에 대한 검증을 다양하게 실시해야 한다. 하지만, 실 운용 망을 대상으로 훈련 및 기술검증을 수행하는 것은 큰 위험 부담 및 제약이 발생하며, 현실적으로 불가능하다.
따라서, 모델링 및 시뮬레이션 방법을 활용하여 실제와 유사한 가상환경을 구성하고, 이를 기반으로 사이버전 훈련 및 기술 검증을 수행하는 방식이 제안되고 있다.
사이버전 훈련 및 기술검증을 위한 환경은 보다 정확하고 실제와 유사한 훈련 및 세밀한 검증이 가능하도록 실장비 및 가상화 기술을 활용한 가상장비로 구성될 수 있다. 하지만 제원의 한계로 거대 규모의 네트워크 환경을 구성하기에는 제약이 따른다.
또한, 훈련 및 기술검증을 위해 다양한 사이버전 상황을 모사해야 하나, 종래의 방법은 제한된 상황에서의 단순 시나리오를 통한 상황 모사 및 식별 가능한 트래픽 제공으로 보다 현실적인 상황연출이 어려운 상황이며, 실제 발생한 데이터를 얻기에도 한계가 있다.
한국등록특허 제1460589호(명칭: 사이버전 모의 훈련 관제 서버)
본 발명은 사이버전 훈련 및 기술 검증을 위한 데이터셋을 생성하고, 식별코드에 따라 식별/분류하여 목적에 맞게 조합하여 활용할 수 있는 방법 및 장치를 제공하는데 그 목적이 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법은 실제 환경에서 실제 사람이 트래픽을 발생시키는 제 1 환경, 가상 환경에서 실제 사람이 트래픽을 발생시키는 제 2 환경 및 가상 환경에서 가상 사람이 트래픽을 발생시키는 제 3 환경을 포함하는 합성 환경을 구성하는 단계; 합성 환경에서 발생된 트래픽들을 분석하는 단계; 분석 결과를 근거로 기설정된 분류 조건에 따라 합성 환경에서 발생된 트래픽들을 분류하는 단계; 분류 조건에 따라 분류된 트래픽에 식별코드를 부여하는 단계; 및 식별코드 별로 각 트래픽을 구분함으로써 데이터셋을 생성하는 단계를 포함하는 것을 특징으로 한다.
또한, 분류 조건은 트래픽의 위협 여부를 판단하는데 이용되는 제 1 분류 조건을 포함하고, 식별코드를 부여하는 단계는, 제 1 분류 조건에 따라 분류된 트래픽에 대분류 식별코드를 부여하는 단계를 포함할 수 있다.
또한, 분류 조건은 트래픽의 종류 또는 목적을 구분하는데 이용되는 제 2 분류 조건과, 트래픽의 종류 또는 목적에 대한 세부사항을 구분하는데 이용되는 제 3 분류 조건을 포함하고, 식별코드를 부여하는 단계는 제 2 분류 조건에 따라 분류된 트래픽에 중분류 식별코드를 부여하는 단계 및 제 3 분류 조건에 따라 분류된 트래픽에 소분류 식별코드를 부여하는 단계를 더 포함할 수 있다.
또한, 데이터셋은 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋 및 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 포함할 수 있다.
상기와 같은 과제를 해결하기 위한 본 발명의 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 장치는 실제 환경에서 실제 사람이 트래픽을 발생시키는 제 1 환경, 가상 환경에서 실제 사람이 트래픽을 발생시키는 제 2 환경 및 가상 환경에서 가상 사람이 트래픽을 발생시키는 제 3 환경을 포함하는 합성 환경을 구성하는 합성 환경 구성부; 합성 환경에서 발생된 트래픽들을 분석하는 트래픽 분석부; 트래픽 분석부를 통한 분석 결과를 근거로, 기설정된 분류 조건에 따라 합성 환경에서 발생된 트래픽들을 분류하는 트래픽 분류부; 분류 조건에 따라 분류된 트래픽에 식별코드를 부여하는 식별코드 부여부; 및 식별코드 별로 각 트래픽을 구분함으로써 데이터셋을 생성하는 데이터셋 생성부를 포함하는 것을 특징으로 한다.
또한, 분류 조건은 트래픽의 위협 여부를 판단하는데 이용되는 제 1 분류 조건을 포함하고, 식별코드 부여부는 제 1 분류 조건에 따라 분류된 트래픽에 대분류 식별코드를 부여할 수 있다.
또한, 분류 조건은 트래픽의 종류 또는 목적을 구분하는데 이용되는 제 2 분류 조건과, 트래픽의 종류 또는 목적에 대한 세부사항을 구분하는데 이용되는 제 3 분류 조건을 포함하고, 식별코드 부여부는 제 2 분류 조건에 따라 분류된 트래픽에 중분류 식별코드를, 그리고 제 3 분류 조건에 따라 분류된 트래픽에 소분류 식별코드를 더 부여할 수 있다.
또한, 데이터셋은 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋 및 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 포함할 수 있다.
본 발명의 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치에 따르면 합성 환경 및 사용자를 구성하고, 사이버전 훈련 및 기술 검증에 필요한 다양한 데이터셋을 생성하고, 각 데이터셋에 식별코드 태그를 붙여 관리함으로써 그 목적에 맞게 활용할 수 있는 장점이 있다.
또한, 본 발명의 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치에 따르면 다양한 환경에서 트래픽들을 수집하므로, 다량의, 그리고 다양한 트래픽들을 수집할 수 있고, 이를 근거로 실제와 유사한 사이버전 상황을 가능케 함으로써, 사이버전 훈련 및 기술 검증의 효과를 높일 수 있으며, 동일 목적의 반복 훈련 및 유사 제품의 동일 기능 검증에 보다 효율적으로 활용될 수 있는 효과가 있다.
도 1은 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법에 대한 흐름도이다.
도 2는 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법에 대한 개념도이다.
도 3은 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 장치에 대한 블록도이다.
본 발명을 첨부된 도면을 참조하여 상세히 설명하면 다음과 같다. 여기서, 반복되는 설명, 본 발명의 요지를 불필요하게 흐릴 수 있는 공지 기능, 및 구성에 대한 상세한 설명은 생략한다. 본 발명의 실시형태는 당 업계에서 평균적인 지식을 가진 자에게 본 발명을 보다 완전하게 설명하기 위해서 제공되는 것이다. 따라서, 도면에서의 요소들의 형상 및 크기 등은 보다 명확한 설명을 위해 과장될 수 있다.
도 1은 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법에 대한 흐름도이다. 도 2는 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법(이하, 데이터셋 생성 방법)에 대한 개념도이다. 본 발명의 일 실시예에 따른 데이터셋 생성 방법은 아래에서 설명되는 것처럼, 합성(Synthetic) 환경 및 사용자를 구성하고, 합성 환경 및 사용자를 통해 일반 트래픽과 위협 트래픽을 생성할 수 있다. 여기서, 본 발명의 일 실시예에 따른 데이터셋 생성 방법에서 합성 환경 및 사용자를 통해 생성되는 트래픽에는 각각 식별코드가 부여될 수 있는데, 식별코드는 일반 트래픽과 위협 트래픽의 구분을 위해, 그리고 각 트래픽의 특성 또는 목적의 구분을 위해, 그리고 각 트래픽의 특성 또는 목적에 대한 세부사항을 구분하기 위해 이용될 수 있다. 이하, 도 1 및 도 2를 참조로 본 발명의 일 실시예에 따른 데이터셋 생성 방법에 대한 설명이 이루어진다.
먼저, 합성 환경을 구성하는 단계(S110)가 수행된다. 여기서, 합성 환경은 제 1 환경, 제 2 환경 및 제 3 환경을 포함할 수 있다. 여기서, 제 1 환경은 실제 환경에서 실제 사람이 실제 트래픽을 발생시키는 환경을 나타내고, 제 2 환경은 가상 환경에서 실제 사람이 에뮬레이팅된(Emulated) 트래픽을 발생시키는 환경을 나타내며, 제 3 환경은 가상 환경에서 가상 사람이 시뮬레이팅된(Simulated) 트래픽을 발생시키는 환경을 나타낸다. S110 단계를 통해 구성되는 제 1 환경, 제 2 환경 및 제 3 환경에 대한 더 구체적인 특징은 다음과 같다.
제 1 환경은 실제 H/W 및 S/W로 구성된 실제 환경에서, 실제 사람이 설치된 H/W 및 S/W를 구동하면서 트래픽을 발생시키는 환경을 나타낸다. 제 1 환경에서 발생되는 트래픽은 실제 트래픽으로 언급될 수 있다. 제 1 환경에서 실제 사람은 일반적인 행위, 즉, 웹 액세스, E-mail 송수신, 파일 전송, 영상통화 등을 수행할 수 있다. 또한, 제 1 환경에서 실제 사람은 의도된 악의적 행위, 즉, 시스템 부하 증가, 정보 유출, 시스템 파괴 등을 수행할 수 있다.
제 1 환경을 구성하는 방법은 실제 S/W를 설치한 실제 컴퓨터를 연결하여, 실제 네트워크를 구성한다. 각 컴퓨터에 실제 사용자가 정상행위 및 위협행위를 수행한다. 실제 사용자가 S/W를 사용하는 정상행위를 통해 일반 트래픽을 생성하고, 실제 사용자가 다양한 악의적인 위협행위를 수행하여 위협 트래픽을 생성시킨다.
이러한 제 1 환경은 실제와 가까운 사이버전 훈련 및 검증 환경을 제공할 수 있는 장점이 있다. 반면, 제 1 환경은 제원 및 인력이 한정되어 있어 규모면에서 제약이 따르는 단점도 존재한다.
제 2 환경은 가상의 H/W 및 S/W로 구성된 가상 환경에서, 실제 사람이 가상의 H/W 및 S/W를 구동하면서 트래픽을 발생시키는 환경을 나타낸다. 제 2 환경에서 발생되는 트래픽은 에뮬레이팅된 트래픽으로 언급될 수 있다. 제 2 환경에서 실제 사람은 일반적인 행위, 즉, 웹 액세스, E-mail 송수신, 파일 전송, 영상통화 등을 수행할 수 있다. 또한, 제 2 환경에서 실제 사람은 의도된 악의적 행위, 즉, 시스템 부하 증가, 정보 유출, 시스템 파괴 등을 수행할 수 있다.
제 2 환경을 구성하는 방법은 호스트 기반의 가상화 기술 및 네트워크 기반의 가상화 기술을 이용하여 구성한다. 호스트 기반의 가상화 기술은 하드웨어를 가상화 하는 것으로 CPU, 메모리, 하드디스크, 네트워크 카드 등과 같이 실제 하드웨어를 모방하여 가상의 컴퓨터인 가상머신을 만든다. 네트워크 가상화 기술은 스위치, 라우터, 방화벽 등에 대한 가상화를 수행하며, 이를 이용하여 수십 대에서 수백대의 호스트를 이용한 가상네트워크를 구성한다. 이러한 가상네트워크를 기반으로 실제 사용자가 정상행위를 통해 일반 트래픽을 생성하고, 다양한 악의적인 위협행위를 수행하여 위협 트래픽을 생성시킨다.
이러한 제 2 환경은 실제와 유사한 사이버전 훈련 및 검증 환경을 제공하면서, 제 1 환경에 비해 제원에 대한 제약이 덜한 장점이 있다. 그러나 거대 규모의 통신망 환경을 구성하기에는 무리가 있는 단점이 존재한다.
제 3 환경은 가상의 H/W 및 S/W로 구성된 가상 환경에서, 가상의 사람이 가상의 H/W 및 S/W를 구동하면서 트래픽을 발생시키는 환경을 나타낸다. 제 3 환경에서 발생되는 트래픽은 시뮬레이팅된 트래픽으로 언급될 수 있다. 제 3 환경에서 가상의 사람은 일반적인 행위, 즉, 웹 액세스, E-mail 송수신, 파일 전송, 영상통화 등을 수행할 수 있다. 또한, 제 3 환경에서 가상의 사람은 의도된 악의적 행위, 즉, 시스템 부하 증가, 정보 유출, 시스템 파괴 등을 수행할 수 있다.
제 3 환경을 구성하는 방법은 호스트 및 네트워크 모두 가상화 기술을 이용하여 구성하거나, 더 추상화된 형태의 호스트 및 네트워크로 모델링 된다. 사용자 또한 에이전트로 모의되어 사용자의 행위를 모사하게 된다. 이 환경을 기반으로 에이전트는 정상행위를 통해 일반 트래픽을 생성하고, 다양한 악의적인 위협행위를 수행하여 위협 트래픽을 생성시킨다.
이러한 제 3 환경은 실제를 모의한 사이버전 훈련 및 검증 환경을 제공하면서, 제 1 환경 및 제 2 환경에 비해 제원에 대한 제약이 덜해 거대 규모의 통신망 환경을 구성할 수 있는 장점이 있다. 그러나 정확도와 해상도를 높이기 위한 많은 노력이 필요한 단점도 존재한다.
S110 단계를 통해 합성 환경이 구성되면 즉, 제 1 환경, 제 2 환경 및 제 3 환경이 구성되면, 각 환경에서 트래픽을 발생시키는 단계(S120)가 수행된다.
위에서 설명된 제 1 환경, 제 2 환경 및 제 3 환경에서 각각 생성되는 트래픽은 일반 트래픽과 위협 트래픽으로 분류될 수 있다. 여기서, 일반 트래픽은 네트워크 내에 연결되어 있는 사용자들의 일반적인 행위/작업/활동 등에 따라 발생된 트래픽을 나타낸다. 예를 들어, 일반 트래픽은 웹 행위, 메일 송수신, FTP 파일 전송, 화상회의 및 동화상 전송 등으로 인해 발생하는 트래픽을 의미한다. 그리고, 위협 트래픽은 악의적인 목적의 행위/작업/활동 등에 의해 발생한 트래픽을 나타낸다. 예를 들어, 위협 트래픽은 과도한 스캔으로 인한 트래픽 부하 증가, DDoS 및 웜 감염 등으로 인해 발생하는 트래픽을 나타낸다.
사이버전 훈련의 경우 훈련의 효과를 높이기 위해, 훈련대상자에게 훈련용 트래픽의 식별이 용이하지 않도록 해야 한다. 이를 위해 본 발명의 일 실시예에 따른 데이터셋 생성 방법을 활용하여, 일반적인 배경 트래픽, 훈련용 위협 노이즈 트래픽 등의 목적으로 다양하게 적용함으로써, 실제와 유사한 상황 연출을 수행할 수 있다. 또한, 동일 목적의 반복 훈련을 위해, 훈련용 데이터셋 조합은 보다 유용하게 활용될 수 있다. 예를 들어, 사이버전 기술 검증의 경우 다양한 위협 트래픽을 검증 목적으로 조합하여 활용할 수 있으며, 특히 유사제품의 동일기능 검증 시 유용하게 활용 가능하다.
그 후, 각 환경에서 발생된 즉, 제 1 환경, 제 2 환경 및 제 3 환경에서 발생된 트래픽들을 수집하는 단계(S130)가 수행된다. 구체적으로, S130 단계는 제 1 환경에서 발생된 실제 트래픽, 제 2 환경에서 발생된 에뮬레이팅된 트래픽, 그리고 제 3 환경에서 발생된 시뮬레이팅된 트래픽을 수집하는 단계이다.
그 후, S130 단계에서 수집된 트래픽들을 분석하는 단계(S140)가 수행된다. 여기서, S130 단계를 통해 수집된 트래픽들은 도 2와 같이 저장부에 저장되고, S140 단계를 통해 분석 과정이 수행될 수 있다.
즉, 도 2에 도시된 것처럼, 제 1 환경(11), 제 2 환경(12), 제 3 환경(13)을 포함하는 합성 환경(10)이 구성된 이후, 각 환경(11, 12, 13)에서 발생된 트래픽들(실제 트래픽, 에뮬레이팅된 트래픽, 시뮬레이팅된 트래픽)은 수집되어 저장부(20)에 저장될 수 있다. 그 후, 저장부(20)에 저장된 트래픽들에 대한 분석이 이루어진다.
그 후, S140 단계를 통한 분석 결과를 근거로 기설정된 분류 조건에 따라 트래픽들을 분류하는 단계(S150)가 수행된다. 여기서, 트래픽은 환경별로 구분하여 분류가 이루어지는 것이 아닌, 기설정된 분류 조건에 따라 분류될 수 있다. 구체적으로, S150 단계에서 언급된 분류 조건은 제 1 분류 조건, 제 2 분류 조건 및 제 3 분류 조건을 포함할 수 있다.
여기서, 제 1 분류 조건, 제 2 분류 조건 및 제 3 분류 조건은 각 환경에서 발생된 트래픽들을 대분류, 중분류 및 소분류로 구분하기 위한 조건들을 나타내고, 제 1 분류 조건은 트래픽의 일반 트래픽 또는 위협 트래픽 여부를 구분하기 위한 조건을 나타낸다. 또한, 제 2 분류 조건은 각 환경에서 발생된 트래픽들의 특성 또는 목적을 구분하기 위한 조건들을 나타내고, 제 3 분류 조건은 각 환경에서 발생된 트래픽들의 특성 또는 목적에 대한 세부사항을 구분하기 위한 조건을 나타낸다.
이렇게 본 발명의 일 실시예에 따른 데이터셋 생성 방법은 각 환경을 구분하여 트래픽 분석 및 분류를 수행하는 것이 아닌 전체 트래픽에 대해 분석 및 분류를 수행할 수 있다. 상술한 것처럼, 제 1 환경, 제 2 환경 및 제 3 환경의 경우, 각 환경의 특성에 기인하여 규모면에서 제약이 따르거나, 거대 규모의 통신망 환경을 구성하기에 무리가 있거나, 정확도 및 해상도를 높이기에 많은 노력이 필요한 문제점들이 존재하였다. 따라서, 본 발명의 일 실시예에 따른 데이터셋 생성 방법은 제 1 환경, 제 2 환경 및 제 3 환경의 각 단점을 상호 보완하기 위해, 환경 별로 트래픽을 생성하고, 이들 트래픽의 발생 환경별로 구분하지 않는다. 즉, 본 발명의 일 실시예에 따른 데이터셋 생성 방법은 각 환경에서 발생된 트래픽들을 모두 수집하고, 전체 트래픽들에 대한 트래픽셋을 근거로 트래픽 분석 및 분류를 수행하므로, 데이터셋을 생성하기 위한 트래픽들을 다량으로 확보할 수 있고, 각 환경별로 구분하여 분석 및 분류을 수행하지 않기에, 상술한 각 환경별 단점들을 상쇄시킬 수 있다.
이렇게, S150 단계에서 합성 환경에서 발생된 트래픽들에 대한 분류가 완료되면, 분류된 트래픽에 식별코드를 부여하는 단계(S160)가 수행된다. S150 단계에서 언급된 분류 조건과 마찬가지로, 식별코드는 3개의 식별코드 즉, 대분류 식별코드, 중분류 식별코드 및 소분류 식별코드로 분류될 수 있다. 여기서, 대분류 식별코드는 아래에서 언급되는 대분류 데이터셋을 구분하기 위한 식별코드를 나타내고, 중분류 식별코드는 중분류 데이터셋을 구분하기 위한 식별코드를 나타내며, 소분류 식별코드는 소분류 데이터셋을 구분하기 위한 식별코드를 나타낸다.
즉, S160 단계는 앞서 S150 단계에서 트래픽의 위협 여부를 판단하는데 이용되는 제 1 분류 조건에 따라 분류된 트래픽에 대분류 식별코드를 부여하는 단계를 포함할 수 있다. 또한, S160 단계는 트래픽의 종류 또는 목적을 구분하는데 이용되는 제 2 분류 조건에 따라 분류된 트래픽에 중분류 식별코드를 부여하는 단계를 포함할 수 있다. 마찬가지로, S160 단계는 트래픽의 종류 또는 목적에 대한 세부사항을 구분하는데 이용되는 제 3 분류 조건에 따라 분류된 트래픽에 소분류 식별코드를 부여하는 단계를 포함할 수 있다.
이렇게 S160 단계를 통한 식별코드 부여 과정을 통해, 사이버전 훈련 및 기술 검증 시, 식별코드를 통한 데이터셋의 식별이 가능해지고, 이에 따라 목적에 맞게 조합하여 활용이 가능하다.
여기서, 데이터셋을 구분하기 위한 식별코드에 대한 예시는 아래의 표 1에 나타난다.
제 1 식별코드 제 2 식별코드 제 3 식별코드
일반 트래픽 웹트래픽(HTTP) 웹페이지 선정, 페이지 탐색 횟수, 웹페이지 간 시간 간격 등
E-MAIL(SMTP/pop3) 메일 송신 주기, 메일 수신 주기, 메시지 크기 등
FTP 세션 도달 시간, 커넥션 수, 전송된 바이트량, 커넥션 유휴 시간 등
TELNET 접속 개수, 전송된 바이트량, 접속 지속 시간 등
VIDEO 전송률, 전송 간격 등
위협 트래픽 Admin 관리자 권한 탈취 시도 관련
Dos 서비스 거부 공격 시도 관련
File 파일이나 데이터베이스 무결성 관련 공격 시도 관련
Info-Leak 정보 유출/탈취 시도 관련
Misconfiguration 설정 오류에 대한 공격 시도 관련
Policy 보안 정책 위반 시도 관련
Recon 스캔과 같은 정찰 활동 시도 관련
Social-engineering 사회 공학 공격 시도 관련
User 사용자 권한 탈취 시도 관련
Unknown 알려지지 않은 공격 유형 관련
Ext-value 사용자 정의 공격 유형 관련
상기 표 1에 나타난 것처럼, 이렇게 합성 환경에서 발생된 각 트래픽에는 상술한 3개의 식별코드가 부여될 수 있고, 이들 식별 코드를 통해 각 트래픽은 일반 트래픽 또는 위협 트래픽 여부(대분류 식별코드), 각 트래픽의 특성 또는 목적(중분류 식별코드), 그리고 각 트래픽의 특성 또는 목적에 대한 세부사항(소분류 식별코드)가 구분될 수 있다.
예를 들어, 대분류 식별코드는 일반 트래픽, 중분류 식별코드는 웹트래픽, 소분류 식별코드는 웹페이지 선정/페이지 탐색횟수/웹페이지간 시간간격 등에 대한 분포 및 관련 지표를 설정하여 활용할 수 있다. 또한, 대분류 식별코드는 위협 트래픽, 중분류는 식별코드는 Recon, 소분류 식별코드는 nmap 스캔행위를 설정하여 활용하는 것도 가능하다.
위의 설명에서 식별코드와 분류 조건에 대한 조건이 각각 3개인 것으로 설명되었으나 이는 예시일 뿐이고, 관리자 또는 사용자의 설정에 따라 그 개수가 변경될 수 있다. 또한, 각 식별코드 및 분류 조건에 대한 속성도 위에서 기재된 것만으로 제한되지 않고, 관리자 또는 사용자의 설정에 따라 다양하게 변경될 수 있다.
그 후, S160 단계에서 부여된 식별코드 별로 각 트래픽을 구분함으로써 데이터셋(S170)을 생성하는 단계가 수행된다. 앞서 언급한 것처럼, S170 단계를 통해 생성된 데이터셋은 동일한 식별코드를 갖는 트래픽들의 집합을 나타낼 수 있다. 즉, S170 단계는 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋. 그리고 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 생성할 수 있다. 이렇게 S170 단계를 통해 생성된 데이터셋은 저장부에 저장되어, 사이버전 훈련 및 기술 검증 시, 이용될 수 있다.
S180 단계는 사용자 또는 관리자의 요청에 따라, 저장부에 저장된 데이터셋에 대해, 식별코드를 근거로 데이터셋을 식별함으로써 목적에 맞게 활용하는 단계를 나타낸다.
도 3은 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 장치(100)에 대한 블록도이다. 상술한 바와 같이, 본 발명의 일 실시예에 따른 사이버전 훈련 및 기술 검증을 위한 데이터셋 생성 장치(100)는 합성 환경 및 사용자를 구성하고, 합성 환경 및 사용자를 통해 발생한 트래픽들을 이용하여 데이터셋을 구성하는 것을 특징으로 한다. 이를 위해, 본 발명의 일 실시예에 따른 데이터셋 생성 장치(100)는 합성 환경 구성부(110), 트래픽 발생부(120), 트래픽 수집부(130), 트래픽 분석부(140), 트래픽 분류부(150), 식별코드 부여부(160) 및 데이터셋 생성부(170)를 포함하여 구성될 수 있다. 여기서, 본 발명의 일 실시예에 따른 데이터셋 생성 장치(100)에 포함된 각 구성들은 본 발명의 이해를 돕기 위해 기능별로 각 구성을 구분한 것이고, 실제로는 CPU, MPU 및 GPU와 같은 하나의 처리부의 구성을 통해 이루어질 수 있다. 이제, 도 3을 참조로, 본 발명의 일 실시예에 따른 데이터셋 생성 장치(100)에 대한 설명이 이루어진다. 이하에서는 위에서 언급된 부분과 중복되는 사항은 생략하여 설명이 이루어진다.
합성 환경 구성부(110)는 합성 환경을 구성하는 기능을 한다. 구체적으로, 합성 환경 구성부(110)는 제 1 환경(11), 제 2 환경(12) 및 제 3 환경을 구성하는 기능을 한다. 여기서, 제 1 환경은 실제 환경에서 실제 사람이 트래픽을 발생시키는 환경을 나타내고, 제 2 환경은 가상 환경에서 실제 사람이 트래픽을 발생시키는 환경을 나타내며, 제 3 환경은 가상 환경에서 가상 사람이 트래픽을 발생시키는 환경을 나타낸다. 상술한 바와 같이, 제 1 환경에서 발생되는 트래픽은 실제 트래픽을 나타내고, 제 2 환경에서 발생되는 트래픽은 에뮬레이팅된 트래픽을 나타내며, 제 3 환경에서 발생되는 트래픽은 시뮬레이팅된 트래픽을 나타낼 수 있다.
트래픽 발생부(120)는 합성 환경 구성부(110)를 통해 구성된 제 1 환경(11), 제 2 환경(12) 및 제 3 환경(13)에서 트래픽을 발생시키는 기능을 한다. 도 1 및 도 2를 참조로 설명한 것처럼, 제 1 환경, 제 2 환경 및 제 3 환경에서 발생되는 트래픽은 예를 들어, 웹 액세스, E-mail 송수신, 파일 전송, 영상통화 등을 수행함으로써 발생된 일반 트래픽과, 의도된 악의적 행위, 즉, 시스템 부하 증가, 정보 유출, 시스템 파괴 등을 수행함으로써 발생된 위협 트래픽을 포함할 수 있다.
트래픽 수집부(130)는 트래픽 발생부(120)를 통해 제 1 환경(11), 제 2 환경(12) 및 제 3 환경(13)에서 발생된 트래픽들을 수집하고, 이를 저장부(20)에 저장하는 기능을 한다.
트래픽 분석부(140)는 저장부에 저장된 트래픽 즉, 실제 트래픽, 에뮬레이팅된 트래픽 및 시뮬레이팅된 트래픽을 분석하는 기능을 한다. 여기서, 트래픽 분석부(140)에서 이루어지는 트래픽의 분석은 환경별로 트래픽을 구분하여 트래픽 분석을 수행하는 것이 아닌, 전체 트래픽에 대해 분석을 수행할 수 있다.
트래픽 분류부(150)는 트래픽 분석부(140)를 통한 분석 결과를 근거로, 기설정된 분류 조건에 따라 트래픽들을 분류하는 기능을 한다. 위에서 설명한 것처럼, 트래픽 분류부(150)는 트래픽들을 환경별로 구분하여 분류하는 것이 아닌, 기설정된 분류 조건에 따라 분류를 수행한다. 여기서, 제 1 분류 조건, 제 2 분류 조건 및 제 3 분류 조건은 각 환경에서 발생된 트래픽들을 대분류, 중분류 및 소분류로 구분하기 위한 조건들을 나타내고, 제 1 분류 조건은 트래픽의 일반 트래픽 또는 위협 트래픽 여부를 구분하기 위한 조건을 나타낸다. 또한, 제 2 분류 조건은 각 환경에서 발생된 트래픽들의 특성 또는 목적을 구분하기 위한 조건들을 나타내고, 제 3 분류 조건은 각 트래픽에 대한 세부사항을 구분하기 위한 조건을 나타낸다.
식별코드 부여부(160)는 트래픽 분류부(150)를 통해 분류된 트래픽에 각각 식별코드를 부여하는 기능을 한다. 여기서, 식별코드는 대분류 식별코드, 중분류 식별코드 및 소분류 식별코드를 포함할 수 있다. 위에서 설명한 것처럼, 각 식별코드는 데이터셋을 구분하기 위해 트래픽에 부여될 수 있으며, 각 식별코드에 대한 정의는 위에서 상세히 언급하였으므로, 추가적인 설명은 생략한다.
데이터셋 생성부(170)는 식별코드 부여부(160)를 통해 부여된 식별코드 별로 각 트래픽을 구분함으로써, 데이터셋을 생성하는 기능을 한다. 상술한 것처럼, 데이터셋은 동일한 식별코드를 갖는 트래픽들의 집합을 나타낼 수 있으며, 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋, 그리고 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 생성할 수 있다.
데이터셋 생성부(170)는 생성된 데이터셋을 저장부(20)에 저장할 수 있다. 이렇게 생성 및 저장된 데이터셋은 사용자 또는 관리자의 설정에 따라 사이버전 훈련 및 기술 검증에 활용될 수 있다.
이상에서와 같이 도면과 명세서에서 최적의 실시예가 개시되었다. 여기서 특정한 용어들이 사용되었으나, 이는 단지 본 발명을 설명하기 위한 목적에서 사용된 것이지 의미 한정이나 특허청구범위에 기재된 본 발명의 범위를 제한하기 위하여 사용된 것은 아니다. 그러므로, 본 기술 분야의 통상의 지식을 가진 자라면 이로부터 다양한 변형 및 균등한 타 실시예가 가능하다는 점을 이해할 것이다. 따라서, 본 발명의 진정한 기술적 보호범위는 첨부된 특허청구범위의 기술적 사상에 의해 정해져야 할 것이다.
100 : 데이터셋 생성 장치 110 : 합성 환경 구성부
120 : 트래픽 발생부 130 : 트래픽 수집부
140 : 트래픽 분석부 150 : 트래픽 분류부
160 : 식별코드 부여부 170 : 데이터셋 생성부

Claims (8)

  1. 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법으로서,
    실제 환경에서 실제 사람이 트래픽을 발생시키는 제 1 환경, 가상 환경에서 실제 사람이 트래픽을 발생시키는 제 2 환경 및 가상 환경에서 가상 사람이 트래픽을 발생시키는 제 3 환경을 포함하는 합성 환경을 구성하는 단계;
    상기 합성 환경에서 발생된 트래픽들을 분석하는 단계;
    분석 결과를 근거로 기설정된 분류 조건에 따라 상기 합성 환경에서 발생된 트래픽들을 분류하는 단계;
    상기 분류 조건에 따라 분류된 트래픽에 식별코드를 부여하는 단계; 및
    상기 식별코드 별로 각 트래픽을 구분함으로써 데이터셋을 생성하는 단계를 포함하는 것을 특징으로 하는 데이터셋 생성 방법.
  2. 제1항에 있어서,
    상기 분류 조건은 트래픽의 위협 여부를 판단하는데 이용되는 제 1 분류 조건을 포함하고, 상기 식별코드를 부여하는 단계는,
    상기 제 1 분류 조건에 따라 분류된 트래픽에 대분류 식별코드를 부여하는 단계를 포함하는 것을 특징으로 하는 데이터셋 생성 방법.
  3. 제2항에 있어서,
    상기 분류 조건은 트래픽의 종류 또는 목적을 구분하는데 이용되는 제 2 분류 조건과 상기 트래픽의 종류 또는 목적에 대한 세부사항을 구분하는데 이용되는 제 3 분류 조건을 포함하고, 상기 식별코드를 부여하는 단계는
    상기 제 2 분류 조건에 따라 분류된 트래픽에 중분류 식별코드를 부여하는 단계; 및
    상기 제 3 분류 조건에 따라 분류된 트래픽에 소분류 식별코드를 부여하는 단계를 더 포함하는 것을 특징으로 하는 데이터셋 생성 방법.
  4. 제3항에 있어서,
    상기 데이터셋은 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋 및 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 포함하는 것을 특징으로 하는 데이터셋 생성 방법.
  5. 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 장치로서,
    실제 환경에서 실제 사람이 트래픽을 발생시키는 제 1 환경, 가상 환경에서 실제 사람이 트래픽을 발생시키는 제 2 환경 및 가상 환경에서 가상 사람이 트래픽을 발생시키는 제 3 환경을 포함하는 합성 환경을 구성하는 합성 환경 구성부;
    상기 합성 환경에서 발생된 트래픽들을 분석하는 트래픽 분석부;
    상기 트래픽 분석부를 통한 분석 결과를 근거로, 기설정된 분류 조건에 따라 상기 합성 환경에서 발생된 트래픽들을 분류하는 트래픽 분류부;
    상기 분류 조건에 따라 분류된 트래픽에 식별코드를 부여하는 식별코드 부여부; 및
    상기 식별코드 별로 각 트래픽을 구분함으로써 데이터셋을 생성하는 데이터셋 생성부를 포함하는 것을 특징으로 하는 데이터셋 생성 장치.
  6. 제5항에 있어서,
    상기 분류 조건은 트래픽의 위협 여부를 판단하는데 이용되는 제 1 분류 조건을 포함하고, 상기 식별코드 부여부는,
    상기 제 1 분류 조건에 따라 분류된 트래픽에 대분류 식별코드를 부여하는 것을 특징으로 하는 데이터셋 생성 장치.
  7. 제6항에 있어서,
    상기 분류 조건은 트래픽의 종류 또는 목적을 구분하는데 이용되는 제 2 분류 조건과, 상기 트래픽의 종류 또는 목적에 대한 세부사항을 구분하는데 이용되는 제 3 분류 조건을 포함하고, 상기 식별코드 부여부는,
    상기 제 2 분류 조건에 따라 분류된 트래픽에 중분류 식별코드를 더 부여하고, 상기 제 3 분류 조건에 따라 분류된 트래픽에 소분류 식별코드를 더 부여하는 것을 특징으로 하는 데이터셋 생성 장치.
  8. 제7항에 있어서,
    상기 데이터셋은 동일한 대분류 식별코드 별로 구분된 트래픽들의 집합인 대분류 데이터셋, 동일한 중분류 식별코드 별로 구분된 트래픽들의 집합인 중분류 데이터셋 및 동일한 소분류 식별코드 별로 구분된 트래픽들의 집합인 소분류 데이터셋을 포함하는 것을 특징으로 하는 데이터셋 생성 장치.
KR1020160072222A 2016-06-10 2016-06-10 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치 KR101854981B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160072222A KR101854981B1 (ko) 2016-06-10 2016-06-10 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160072222A KR101854981B1 (ko) 2016-06-10 2016-06-10 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치

Publications (2)

Publication Number Publication Date
KR20170139817A KR20170139817A (ko) 2017-12-20
KR101854981B1 true KR101854981B1 (ko) 2018-05-04

Family

ID=60931458

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160072222A KR101854981B1 (ko) 2016-06-10 2016-06-10 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치

Country Status (1)

Country Link
KR (1) KR101854981B1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220017289A (ko) 2020-08-04 2022-02-11 국방과학연구소 사이버 정보 변환 방법 및 장치

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102111748B1 (ko) * 2018-10-29 2020-05-15 국방과학연구소 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템
KR102139370B1 (ko) * 2020-05-11 2020-07-29 국방과학연구소 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060056459A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치
KR101436874B1 (ko) * 2013-10-18 2014-09-11 한국전자통신연구원 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법
US20150334125A1 (en) * 2014-05-16 2015-11-19 Cisco Technology, Inc. Identifying threats based on hierarchical classification

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060056459A (ko) * 2004-11-20 2006-05-24 한국전자통신연구원 악성코드 프로토콜 분석 및 유해 트래픽을 생성하는 방법및 장치
KR101436874B1 (ko) * 2013-10-18 2014-09-11 한국전자통신연구원 침입 탐지 시스템의 탐지 성능 향상 장치 및 방법
US20150334125A1 (en) * 2014-05-16 2015-11-19 Cisco Technology, Inc. Identifying threats based on hierarchical classification

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
김혁준 외 5명, "사이버전 모의를 위한 정상 및 비정상 트래픽 모사 방안", 2015 한국컴퓨터종합학술대회 논문집, 한국정보과학회 (2015.06.26.) *

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20220017289A (ko) 2020-08-04 2022-02-11 국방과학연구소 사이버 정보 변환 방법 및 장치

Also Published As

Publication number Publication date
KR20170139817A (ko) 2017-12-20

Similar Documents

Publication Publication Date Title
US10530799B1 (en) Non-harmful insertion of data mimicking computer network attacks
KR101460589B1 (ko) 사이버전 모의 훈련 관제 서버
KR101534194B1 (ko) 침입자 행동패턴을 반영한 사이버보안 교육훈련시스템 및 방법
US20150096024A1 (en) Advanced persistent threat (apt) detection center
Mahoney et al. A cognitive task analysis for cyber situational awareness
US20230362200A1 (en) Dynamic cybersecurity scoring and operational risk reduction assessment
CN107241292B (zh) 漏洞检测方法及装置
KR101854981B1 (ko) 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치
CN106713242A (zh) 数据请求的处理方法及处理装置
DeCusatis et al. Design and implementation of a research and education cybersecurity operations center
Yang et al. Network forensics in the era of artificial intelligence
Huang Human-centric training and assessment for cyber situation awareness
Derrick et al. Investigating new approaches to data collection, management and analysis for network intrusion detection
Victor et al. Cyber crimes analysis based-on open source digital forensics tools
Aarthi Using Users Profiling to Identifying an Attacks
Wibowo et al. Faux Insider Hazard Investigation on Non-Public Cloud Computing by Using ADAM’s Technique
Bowen Design and analysis of decoy systems for computer security
He et al. Privacy mining of large-scale mobile usage data
Al-Mahrouqi et al. Efficiency of network event logs as admissible digital evidence
Haavik Deep Learning-Based Traffic Classification for Network Penetration Testing
NL2031256B1 (en) Method and computing device for detection of target malicious web resource
RU2791824C1 (ru) Способ и вычислительное устройство для выявления целевого вредоносного веб-ресурса
CN117294532B9 (zh) 一种基于蜜网的高甜度欺骗防御方法及系统
Eriksson An evaluation of Honeypots with Compliant Kubernetes
Vaidya Identifying inappropriate access points using machine learning algorithms RandomForest and KNN

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right