KR102111748B1 - 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 - Google Patents

트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 Download PDF

Info

Publication number
KR102111748B1
KR102111748B1 KR1020180129937A KR20180129937A KR102111748B1 KR 102111748 B1 KR102111748 B1 KR 102111748B1 KR 1020180129937 A KR1020180129937 A KR 1020180129937A KR 20180129937 A KR20180129937 A KR 20180129937A KR 102111748 B1 KR102111748 B1 KR 102111748B1
Authority
KR
South Korea
Prior art keywords
traffic
scenario
transmitting
agent
data set
Prior art date
Application number
KR1020180129937A
Other languages
English (en)
Other versions
KR20200048172A (ko
Inventor
김동화
이동환
김주엽
김광수
홍수연
Original Assignee
국방과학연구소
엘아이지넥스원(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소, 엘아이지넥스원(주) filed Critical 국방과학연구소
Priority to KR1020180129937A priority Critical patent/KR102111748B1/ko
Publication of KR20200048172A publication Critical patent/KR20200048172A/ko
Application granted granted Critical
Publication of KR102111748B1 publication Critical patent/KR102111748B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/50Testing arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification

Abstract

일 실시예에 따른 트래픽 발생 장치는, 훈련 대상 네트워크의 실제 트래픽을 분석하여 패킷을 송수신하는 적어도 하나의 시나리오를 저작하는 시나리오 저작부, 상기 시나리오에 따라 송수신할 패킷들 및 상기 송수신할 패킷들을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트를 생성하고, 상기 훈련 대상 네트워크에 연결된 호스트에 탑재된 트래픽 에이전트에 상기 훈련 데이터 세트의 적어도 일부를 제공하는 트래픽 생성부, 상기 송수신하는 순서에 따라 상기 훈련 데이터 세트의 소정의 패킷을 상기 트래픽 에이전트에 송신하고, 상기 트래픽 에이전트로부터 수신한 패킷에 응답하여 상기 송수신하는 순서에 의해 미리 정해진 패킷을 상기 트래픽 에이전트에 송신하는 트래픽 송수신부를 포함한다.

Description

트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템{TRAFFIC GENERATING APPARATUS, TRAFFIC AGENT AND TRAFFIC GENERATING SYSTEM COMPRISING SAME}
본 발명은 트래픽 발생 시스템에 관한 것으로, 보다 자세하게는 시나리오 기반으로 트래픽 발생 장치와 트래픽 에이전트가 상호 연동하여 트래픽을 발생시키는 트래픽 발생 시스템에 관한 것이다.
트래픽 발생 장치는 네트워크 장비 및 네트워크 보안 장비를 시험하기 위한 트래픽 유통 환경을 제공해주는 것을 주요 목적으로 하며, 네트워크 장비의 성능을 측정하는 이더넷 계측기 등이 그 예이다. 최근 이러한 트래픽 발생 특성을 이용하여 트래픽 발생 장치가 사이버전 훈련을 위한 배경 트래픽 및 위협 트래픽을 발생시키는 용도로 활용된다.
사이버전 훈련은 DUT (Device Under Test), SUT (System Under Test), PUT (People Under Test) 관점에서 수행될 수 있으며, 끊이지 않는 보안사고에 대처할 수 있는 시스템을 구축하고 인적 자원을 훈련시키는 데에 그 목적이 있다. 사이버전 훈련에 있어, 방어팀의 경우 공격징후 수집/분석 장비를 이용하여 훈련하거나, 실제 보안장비의 로그를 분석하여 훈련을 수행하는데, 최근 개발되는 컨텐트 인식 네트워크 솔루션(Content Aware Network Solutions; CANS) 장비의 경우 컨텐트를 인식하여 차단하는 기능을 탑재하고 있으며, 이러한 장비가 포함된 네트워크 환경에 대하여 사이버전 훈련을 수행하는 경우, 배경 트래픽, 전경 트래픽 및 위협 트래픽 등이 실제 트래픽과 같지 않은 경우 차단되어 사이버전 훈련의 효과가 저하된다.
또한 사이버전 훈련을 위하여 네트워크 단에서의 훈련뿐만 아니라 엔드포인트(Endpoint) 단에서의 훈련도 가능한 구조가 필요하다.
한국공개공보, 제 10-2012-0046890 호 (2012.05.11. 공개)
본 발명의 해결하고자 하는 과제는 실제 트래픽과 동등한 수준의 트래픽을 발생시키는 트래픽 발생 시스템을 제공하는 것이다.
또한, 트래픽 발생기와 소프트웨어로 구현된 복수의 트래픽 에이전트를 사전에 저작된 하나 이상의 시나리오를 기반으로 상호 연동하여 다양한 훈련 환경을 테스트할 수 있는 트래픽 발생 시스템을 제공하는 것이다.
또한, 복수의 트래픽 에이전트를 이용하여 트래픽 발생기의 하드웨어적인 제약에 구애받지 않는 n-arm 구조의 트래픽 발생 시스템을 제공하는 것이다.
다만, 본 발명의 해결하고자 하는 과제는 이상에서 언급한 것으로 제한되지 않으며, 언급되지 않은 또 다른 해결하고자 하는 과제는 아래의 기재로부터 본 발명이 속하는 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
일 실시예에 따른 트래픽 발생 장치는, 훈련 대상 네트워크의 실제 트래픽을 분석하여 패킷을 송수신하는 적어도 하나의 시나리오를 저작하는 시나리오 저작부, 상기 시나리오에 따라 송수신할 패킷들 및 상기 송수신할 패킷들을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트를 생성하고, 상기 훈련 대상 네트워크에 연결된 호스트에 탑재된 트래픽 에이전트에 상기 훈련 데이터 세트의 적어도 일부를 제공하는 트래픽 생성부, 상기 송수신하는 순서에 따라 상기 훈련 데이터 세트의 소정의 패킷을 상기 트래픽 에이전트에 송신하고, 상기 트래픽 에이전트로부터 수신한 패킷에 응답하여 상기 송수신하는 순서에 의해 미리 정해진 패킷을 상기 트래픽 에이전트에 송신하는 트래픽 송수신부를 포함한다.
또한, 상기 시나리오는 상기 훈련 대상 네트워크 중 테스트하고자 하는 세션의 소스와 데스티네이션에 대한 정보 및 상기 소스와 데스티네이션 사이의 트래픽의 양에 관한 정보를 포함한다.
또한 상기 시나리오는 복수 개이고, 각각의 시나리오는 상기 훈련 대상 네트워크에서 시뮬레이션하고자 상황에 따라 달리 저작된다.
또한, 상기 트래픽 생성부는 상기 시나리오에 따라 복수의 단위 트래픽을 혼합하여 상기 훈련 데이터 세트를 생성한다.
또한, 상기 트래픽 에이전트는 복수 개이다.
일 실시예에 따른 트래픽 에이전트는, 훈련 대상 네트워크의 실제 트래픽을 분석하여 획득된 패킷 송수신을 위한 시나리오에 따라 생성된 송수신 패킷 및 상기 송수신 패킷을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트의 적어도 일부를 저장하는 저장, 상기 송수신하는 순서에 따라 송신되는 소정의 패킷을 수신하고, 상기 수신된 패킷에 응답하여 상기 송수신하는 순서에 따라 미리 정해진 패킷을 송신하는 트래픽 송수신부를 포함한다.
일 실시예에 따른 트래픽 발생 시스템은, 트래픽 발생 장치 및 상기 트래픽 발생 장치와 훈련 대상 네트워크를 통해 연결된 호스트에 탑재된 트래픽 에이전트를 포함하며, 상기 트래픽 발생 장치는, 상기 훈련 대상 네트워크의 실제 트래픽을 분석하여 상기 트래픽 에이전트와 패킷을 송수신하기 위한 시나리오를 저작하는 시나리오 저작부, 상기 시나리오에 따라 송수신할 패킷들 및 상기 송수신할 패킷들을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트를 생성하고, 상기 트래픽 에이전트에 상기 훈련 데이터 세트의 적어도 일부를 제공하는 트래픽 생성부, 상기 송수신하는 순서에 따라 상기 훈련 데이터 세트의 소정의 패킷을 상기 트래픽 에이전트에 송신하고, 상기 트래픽 에이전트로부터 수신한 패킷에 대응하여 상기 송수신하는 순서에 의해 미리 정해진 패킷을 상기 트래픽 에이전트에 송신하는 트래픽 송수신부를 포함하며, 상기 트래픽 에이전트는, 상기 트래픽 발생 장치에 의해 제공된 상기 훈련 데이터 세트 중 상기 적어도 일부를 저장하는 저장부, 상기 송수신하는 순서에 따라 상기 트래픽 발생 장치에 의해 송신되는 소정의 패킷을 수신하고, 상기 수신된 패킷에 응답하여 상기 송수신하는 순서에 따라 미리 정해진 패킷을 상기 트래픽 발생 장치에 송신하는 트래픽 송수신부를 포함한다.
일 실시예에 따르면 실제 트래픽과 동등한 수준의 트래픽을 발생시킬 수 있어 네트워크 성능을 테스트하고 검증할 수 있을 뿐 아니라 사이버전 훈련 효과를 향상시킬 수 있다.
또한, 트래픽 발생기와 소프트웨어로 구현된 복수의 트래픽 에이전트를 사전에 저작된 하나 이상의 시나리오를 기반으로 상호 연동함으로써 다양한 훈련 환경을 테스트할 수 있다.
또한, 복수의 트래픽 에이전트를 이용하여 트래픽 발생기의 포트 수와 같은 하드웨어적인 제약에 구애받지 않고 n-arm 구조의 트래픽 발생을 구현할 수 있다.
또한, 트래픽 에이전트를 이용하여 호스트의 행위를 자동화할 수 있어 트래픽 수신 후 훈련/검증환경에 추가적인 영향(악성코드 실행/감염/전파 등)을 줄 수 있으며, 이를 이용하여 다양한 사이버전 훈련 시나리오를 구축하고 사이버전 훈련의 효과를 극대화할 수 있다.
도 1은 종래의 2-암(arm) 트래픽 발생 장치를 이용하여 네트워크를 계측하는 모습을 나타낸 도면이다.
도 2는 본 발명의 실시예에 따른 트래픽 발생 시스템의 전체 개념을 도시한 도면이다.
도 3은 본 발명의 실시예에 따른 트래픽 발생 장치의 기능 블록도이다.
도 4는 본 발명의 실시예에 따른 트래픽 에이전트의 기능 블록도이다.
도 5는 본 발명의 실시예에 따른 트래픽 발생 장치의 동작을 보여주는 흐름도이다.
도 6은 본 발명의 실시예에 따른 트래픽 발생 시스템의 트래픽 발생 장치와 트래픽 에이전트가 사전에 저작된 시나리오에 기반하여 상호 연동하여 패킷을 송수신하는 예를 보여주는 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
도 1은 종래의 2-암(arm) 트래픽 발생 장치를 이용하여 네트워크를 계측하는 모습을 나타낸 도면이다.
종래에는 OSI 7계층 중, L4 (4계층, 전송계층) 내지 L7 (7계층, 응용계층) 단의 트래픽을 발생하기 위한 장비로서 주로 IXIA사 (Keysight사)의 BreakingPoint 또는 Spirent사의 Cyberflood 등의 장비를 사용하여 L4-L7 트래픽을 발생하였다. 네트워크 장비 및 네트워크 보안을 테스트하기 위한 네트워크 계측기는 테스트 방법에 따라 크게 1-암 구조 및 2-암 구조로 구분할 수 있다. 1-암 구조는 테스트 대상 장비(Device Under Test; DUT)와 트래픽 발생기가 1개의 포트를 이용하여 연결되며, 트래픽 발생기는 클라이언트를 모의하여 DUT 인 서버의 처리 성능을 시험한다. 도 1에 도시된 바와 같은 2-암 구조는 DUT의 트래픽 통과 성능을 시험하는데 주로 사용되며, 트래픽 발생 장치(10)에서 포트 2개(제 1 암 및 제 2 암)를 이용하여 트래픽을 발생시키며, 트래픽 발생 장치(10)가 서버 및 클라이언트의 역할을 모두 모의하여 패킷을 전송하고 네트워크(20)를 통과해서 돌아오는 패킷을 수신한다.
사이버전 훈련을 위하여 트래픽 발생 장치를 활용하는 경우, 2-암 구조를 이용하여 정상 상황을 상정한 배경 트래픽을 유통시키거나, 훈련을 위한 위협 트래픽을 유통시키는 구조를 구축한다.
종래의 L4-L7 트래픽 발생 방식은 트래픽 발생기 내에 프로토콜 별 템플릿을 보유하고 있으며, 이러한 템플릿을 이용하여 트래픽을 발생시킬 수 있으나 내부 페이로드 등은 동일하거나, 별도의 알고리즘으로 섞어서 발생시킨다. 그런데 최근 개발되는 네트워크 보안 장비 (방화벽 등)는 CANS (Content-Aware Network Solutions) 기능을 탑재하는 경우가 있으며, 패킷 내의 세션 (4 계층의 연결 정보)을 인식하여 주고받는 패킷에서 세션 연결의 무결성 여부를 판별하고 해당 패킷을 차단하거나, 응용계층의 페이로드를 인식할 수 있다. 이러한 환경에서는 트래픽 발생 장치에서 발생하는 네트워크 트래픽이 실제와 유사한 패킷이 아닌 경우 올바르지 않은(not legitimated) 패킷으로 판별되어 차단당할 우려가 있다. 이는 사이버전 훈련의 효과를 급격하게 감소시키거나 나아가 훈련의 효과를 전혀 기대하기 어렵게 만들 수 있는바, 효과적인 훈련을 위하여 정상적인 패킷의 유통인 것처럼 트래픽을 유통시킬 방안이 필요하다.
또한 시나리오 기반의 발생을 위하여 트래픽 발생 구조가 변경되어야 할 필요가 있다. 종래의 기술은 트래픽 발생 장치 내의 에뮬레이터가 물리 포트를 이용하여 트래픽을 발생시키는 구조로, n-암 구조를 구축하기 위해서는 트래픽 발생 장치에서 사용할 물리 포트 수를 n개로 늘려야 하므로, 물리적 포트 수의 제한과 같은 하드웨어의 제약으로 확장성 있는 사이버전 훈련 환경을 구축하기에 어려움이 있다.
또한 종래의 1-암 구조로는 트래픽 발생 장치에서 엔드포인트 호스트로 전달되는 트래픽은 훈련 환경에 영향을 주기 어려우며, 단순 배경 트래픽을 위한 용도로서 사용되고, 위협 (공격) 트래픽의 경우에도 대량의 트래픽을 전달하여 서버/장비의 성능을 떨어트리거나, 서버에서 정확한 응답이 오는가를 확인하는 용도에 국한된다. 이러한 1-암 트래픽의 경우, 테스트를 위하여 실제 어플리케이션 및 서버가 구동되어야 하지만, 본 발명의 실시예에 따른 시나리오 기반 트래픽 발생 및 트래픽 에이전트 연동 방법을 이용한다면 실제 어플리케이션 및 서버가 구동될 필요가 없게 된다.
도 2는 본 발명의 실시예에 따른 트래픽 발생 시스템의 전체 개념을 도시한 것으로, 사이버전 훈련을 위한 사이버전 훈련/검증환경(300)에서 훈련 트래픽을 공급하기 위한 트래픽 발생 장치(100)와 사이버전 훈련/검증 환경의 호스트에 탑재되는 트래픽 에이전트(200)의 구성을 보여준다.
도 2의 트래픽 발생 시스템을 구성하는 트래픽 발생 장치(100)는 사이버전 훈련을 위해 트래픽을 발생시키기 전에 훈련하고자 하는 훈련 대상 네트워크(310)의 실제 트래픽을 분석하여 훈련 상황에서 패킷을 송수신하는 적어도 하나의 시나리오를 저작하고, 시나리오에 따라 송수신할 패킷들 및 이들 패킷들을 송수신할 순서를 포함하는 훈련 데이터 세트를 생성하여 분할하고, 분할된 훈련 데이터 세트의 일부 또는 전체를 훈련을 모의하고자 하는 호스트에 설치된 트래픽 에이전트(200-1, 200-2, 200-3,...,200-n)와 공유한다. 사이버전 훈련 시 트래픽 발생 장치(100)는 마스터 디바이스로서 저장하고 있는 훈련 데이터 세트 중 소정의 패킷을 트래픽 에이전트(200)로 송신할 수 있고, 트래픽 발생 장치(100)로부터 패킷을 수신한 트래픽 에이전트(200)는 수신한 패킷을 식별한 후 시나리오에 따라 미리 정해진 순서로 패킷을 트래픽 발생 장치(100)로 송신할 수 있다. 트래픽 발생 장치(100)도 트래픽 에이전트(200)로부터 수신한 패킷을 식별하여 시나리오에 따라 수신된 패킷 다음에 송신할 패킷을 트래픽 에이전트(200)로 보낸다. 이렇게 트래픽 발생 장치(100)와 트래픽 에이전트(200)는 상호간에 미리 약속한 시나리오에 따라 패킷을 주고 받을 수 있게 되므로, 훈련을 모의하고자 하는 상황별로 다양한 시나리오를 생성하여 다양한 상황의 사이버전 훈련을 수행할 수 있다.
본 발명의 실시예에 따른 시나리오 기반 트래픽 발생 시스템을 사용하게 되면 도 2에 도시된 바와 같이 훈련하고자 하는 훈련 대상 네트워크(310)에 연결된 하나 이상의 호스트에 트래픽 에이전트(200-1, 200-2, 200-3,...,200-n)를 설치함으로써 트래픽 발생 장치(100)의 물리적 포트 수에 제한받지 않고 n-암 구조의 사이버전 훈련/검증 환경(300)을 쉽게 구축할 수 있다. 즉, 트래픽 발생 장치(100)의 하드웨어적 제약 조건(물리적 포트 수의 한계)을 복수 개의 트래픽 에이전트(200)를 이용함으로써 소프트웨어적으로 극복할 수 있다.
이하에서는 도 3 내지 도 5를 참조하여 본 발명의 실시예에 따른 트래픽 발생 장치(100)와 트래픽 에이전트(200)가 사이버전 훈련을 위해 어떻게 상호 연동하는지 설명하도록 한다.
본 발명의 실시예에 따른 트래픽 발생 장치(100)는 사이버전 훈련을 위한 훈련 대상 네트워크의 실제 트래픽을 분석하여(S410) 시뮬레이션하고자 하는 상황에 따라 훈련 대상 네트워크 중 테스트하고자 하는 세션의 소스와 데스티네이션에 대한 정보 및 소스와 데스티네이션 사이의 트래픽의 양에 관한 정보 등을 포함하는 시나리오를 저작하는(S420) 시나리오 저작부(110), 시나리오에 따라 송수신할 패킷들 및 이들 패킷들을 송수신하는 순서에 대한 정보를 포함하는 훈련 데이터 세트를 생성하고, 분할하여, 트래픽 에이전트에 훈련 데이터 세트의 일부 또는 전부를 제공하는(S430) 트래픽 생성부(120), 시나리오에 따라 사전에 정해진 패킷 송수신 순서로 트래픽 에이전트(200)와 패킷을 주고받는(S440) 트래픽 송수신부(130), 시나리오 및 훈련 데이터 세트를 저장하는 저장부(140) 및 시나리오 저작부(110), 트래픽 생성부(120), 트래픽 송수신부(130) 및 저장부(140)를 제어하는 제어부(150)를 포함한다.
트래픽 발생 장치(100)의 트래픽 생성부(120)는 시나리오 저작부(110)에서 저작된 시나리오를 바탕으로 사이버전 훈련에 사용될 트래픽을 사전에 훈련 데이터세트의 형태로 준비한다. 트래픽 발생 장치(100)의 트래픽 송수신부(140)는 트래픽을 주고받을 주체인 훈련/검증환경(300)에 설치되어 있는 다수의 트래픽 에이전트(200)를 인식하고, 트래픽 에이전트(200)의 트래픽 송수신부(220)와 연동하여 제어를 위한 연결, 즉 제어 채널을 생성한다. 제어 채널 생성을 위한 연결부는 트래픽 송수신부(130, 220)내에 구현될 수도 있고 트래픽 송수신부(130,220)와 분리하여 구현될 수도 있다.
한편, 본 발명의 실시예에 따른 트래픽 에이전트(200)는 트래픽 발생 장치(100)로부터 제공받은 훈련 데이터 세트를 저장하는 저장부(210), 트래픽 발생 장치(100)로부터 패킷을 수신하고 수신된 패킷을 식별하여 시나리오에 따라 미리 정해진 순서에 의한 패킷을 송신하는 트래픽 송수신부(220) 및 저장부(210)와 트래픽 송수신부(220)를 제어하는 제어부(230)를 포함한다.
본 발명의 실시예에 따른 트래픽 발생 시스템의 트래픽 발생 장치(100)와 트래픽 에이전트(200)는, 각각 훈련에 사용될 패킷으로 구성된 동일한 훈련 데이터 세트를 저장부(140, 210)에 각각 보관하고, 훈련 데이터 세트를 이용하여 미리 정해진 시나리오에 따라 트래픽을 발생시킨다. 이를 위하여, 트래픽 발생 장치(100)의 트래픽 송수신부(120)와 트래픽 에이전트(200)의 트래픽 송수신부(220)는 서로간에 패킷을 송신 및 수신하고 패킷 수신 시 수신된 패킷의 ID를 식별하여 다음에 송신할 패킷을 훈련 데이터 세트에서 선택하여 송신한다.
도 5의 실제 트래픽 수집 및 분석 단계(S410)는 훈련 및 검증 환경(300)의 실제 네트워크로부터 유통되는 트래픽을 수집하여 세션 별로 분석하는 단계로, 트래픽 발생 장치(100) 및 트래픽 에이전트(200)의 연동 이전에 수행된다. 시나리오 저작 단계(S420)는 구축된 실제 트래픽의 세션에 대하여 사이버전 훈련/검증 환경 (300)내의 소스(Source) 및 데스티네이션(Destination) 호스트를 지정하고 트래픽의 양을 결정하는 등 트래픽의 유통을 위한 트래픽 유통 계획을 저작하는 단계이다.
도 5의 훈련 데이터 세트 생성 및 제공 단계(S430)에서는 트래픽 발생을 위하여 트래픽 발생 장치(100)가 주 장비(master)의 역할을 수행하며, 보조 장비 (slave)의 역할을 수행하는 트래픽 에이전트(200)와 통신하여 제어 명령을 전달한다. 이를 위하여 트래픽 발생 장치(100)와 트래픽 에이전트(200)간에 제어 채널을 생성하여 연결할 수 있는데, 제어 채널 연결을 위해 트래픽 발생 장치(100)와 트래픽 에이전트(200) 각각에 제어 채널 연결부를 둘 수 있다. 다음으로 저작된 트래픽 유통 계획, 즉 시나리오에 기반하여 트래픽 발생 장치(100)의 트래픽 생성부(120)는 훈련을 위해 사용될 트래픽을 발생시키기 위해 여러 개의 단위 트래픽을 혼합할 수 있다. 이를 위해 별도의 혼합 시뮬레이터(미도시)를 포함할 수 있다. 시나리오에는 여러 단위 트래픽을 혼합하기 위한 계획을 포함할 수 있는데, 트래픽 생성부(120)는 실제 트래픽 수집 및 분석 단계(S410)에서 수집하여 분석한 실제 트래픽을 매핑하여 송/수신 순서를 포함하는 혼합 트래픽을 생성할 수 있다. 이러한 혼합 트래픽은 훈련 데이터를 생성하고 분할하는 과정에서 시나리오에 포함되어 있는 단위 트래픽을 끼워 넣어 최종적으로 훈련 데이터 세트로 생성되고, 훈련 데이터 세트는 각 트래픽 유통을 위한 주체(트래픽 발생 장치 (100) 또는 트래픽 에이전트(200)) 별로 분할할 수 있다. 훈련 데이터 세트는 트래픽 송수신부(120) 또는 별도의 제어 채널(미도시)을 이용하여 배포되며, 트래픽 발생 장치(100)의 저장부 (140) 및 트래픽 에이전트(200)의 저장부 (210)에 각각 저장된다.
도 6은 본 발명의 실시예에 따른 트래픽 발생 시스템의 트래픽 발생 장치와 트래픽 에이전트가 사전에 저작된 시나리오에 기반하여 상호 연동하여 패킷을 송수신하는 모습을 도시한 도면이다. 다만 도 6에 도시된 것은 일 실시예에 불과하며 본 발명의 실시 형태는 이에 한정되지 않는다.
도 6에 도시된 바와 같이 시나리오에 포함되어 있는 패킷의 송수신 순서, 즉 트래픽 발생 순서에 따른 계획에 의해 트래픽 발생 장치(100)와 트래픽 에이전트(200)는 수신되는 패킷에 응답하여 미리 정해진 순서에 따라 정해진 패킷을 송신하게 된다. 이러한 패킷의 송수신 순서, 즉 트래픽의 발생 순서는 훈련 데이터 세트에 담겨 트래픽 발생 장치(100)와 트래픽 에이전트(200)가 각각 분할하여 보관할 수 있다.
도 6에서 'R'은 수신해야 할 패킷의 ID, 'T'는 'R'의 패킷 ID를 갖는 패킷을 수신하는 경우 송신할 패킷의 ID를 의미한다. 단, 'R:N'으로 표시된 것은 수신할 패킷이 없음을 의미하며, 앞선 패킷이 수신 또는 송신되었다면 조건 없이 다음 패킷도 생성하여 송신될 수 있음을 나타낸다. 예를 들어, 'R:1, T:2'는 ID가 1인 패킷을 수신한 경우 ID가 2인 패킷을 송신한다는 계획이며, 'R:N, T:4'의 경우, 앞의 패킷을 송신하였다면 ID 가 4인 패킷도 이어 송신하라는 의미로 사용될 수 있다.
도 6의 과정을 도 3을 참조하여 설명하도록 한다. 트래픽 발생 장치(100)의 트래픽 송수신부(130)가 ID가 1(ID:1)인 패킷을 트래픽 에이전트(200)로 송신하면 트래픽 에이전트(200)의 트래픽 송수신부(220)는 수신된 패킷의 ID가 1임을 식별한 후 저장부(110)에 저장되어 있는 훈련 데이터 세트의 패킷 송수신 순서 'R:1, T:2'에 따라 ID가 2인 패킷을 트래픽 발생 장치(100)로 송신한다. 즉, 트래픽 에이전트(200)의 트래픽 송수신부(220)에서 패킷을 수신하면, 어느 시나리오에서 수신되어야 하는 패킷인지 식별하고, 해당 수신 패킷에 응답하여 전송되어야 하는 패킷을 송신한다. 이는 트래픽 발생 장치(100)의 트래픽 송수신부(130)에서도 동일하게 수행된다.
도 6의 경우 트래픽 발생 장치(100)가 특정의 시나리오에 의해 생성된 훈련 데이터 세트에 기초하여 ID:1인 패킷을 트래픽 에이전트(200)에 송신하면, 트래픽 에이전트(200)는 동일한 시나리오에 의해 생성되어 제공받은 훈련 데이터 세트에 기초하여 미리 정해진 패킷 송수신 순서에 따라 ID:1인 패킷을 수신하였으니 ID:2인 패킷을 트래픽 발생 장치(100)에 송신한다. 트래픽 발생 장치(100)는 수신한 패킷의 ID가 2임을 식별하면 정해진 패킷 송수신 순서('R:2, T:3')에 따라 ID:3인 패킷을 트래픽 에이전트로 송신한다. 이후 트래픽 발생 장치(100)는 패킷 송수신 순서, 'R:N, T:4', 'R:N, T:5'에 따라 ID:3인 패킷 송신 후 연속하여 ID:4인 패킷 및 ID:5인 패킷을 전송한다. 트래픽 에이전트(200)는 수신된 패킷의 ID가 5임을 확인하면 정해진 패킷 송수신 순서에 따라 ID:6인 패킷을 트래픽 발생 장치(100)고 전송한다.
100: 트래픽 발생 장치
200: 트래픽 에이전트
300: 사이버전 훈련/검증 환경

Claims (11)

  1. 훈련 대상 네트워크의 실제 트래픽을 분석하여 패킷을 송수신하는 적어도 하나의 시나리오를 저작하는 시나리오 저작부;
    상기 시나리오에 따라 송수신할 패킷들 및 상기 송수신할 패킷들을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트를 생성하고, 상기 훈련 대상 네트워크에 연결된 호스트에 탑재된 트래픽 에이전트에 상기 훈련 데이터 세트의 적어도 일부를 제공하는 트래픽 생성부; 및
    상기 송수신하는 순서에 따라 상기 훈련 데이터 세트의 소정의 패킷을 상기 트래픽 에이전트에 송신하고, 상기 트래픽 에이전트로부터 수신한 패킷에 응답하여 상기 송수신하는 순서에 의해 미리 정해진 패킷을 상기 트래픽 에이전트에 송신하는 트래픽 송수신부를 포함하고,
    상기 트래픽 에이전트는 복수 개를 포함하고, 상기 복수개의 트래픽 에이전트는 수신한 패킷을 시나리오에 따라 미리 정해진 순서로 상기 트래픽 송수신부에 송신하고,
    상기 트래픽 생성부는 상기 시나리오에 따라 복수의 단위 트래픽을 혼합하여 상기 훈련 데이터 세트를 생성하고, 상기 훈련 데이터 세트를 각 트래픽 유통을 위한 주체 별로 분할하고, 상기 분할된 훈련 데이터 세트는 상기 트래픽 송수신부를 이용하여 배포되는 트래픽 발생 장치.
  2. 제 1 항에 있어서,
    상기 시나리오는
    상기 훈련 대상 네트워크 중 테스트하고자 하는 세션의 소스와 데스티네이션에 대한 정보 및 상기 소스와 데스티네이션 사이의 트래픽의 양에 관한 정보를 포함하는
    트래픽 발생 장치.
  3. 제 1 항에 있어서,
    상기 시나리오는 복수 개이고
    각각의 시나리오는 상기 훈련 대상 네트워크에서 시뮬레이션하고자 하는 상황에 따라 달리 저작되는
    트래픽 발생 장치.
  4. 제 1 항에 있어서,
    상기 트래픽 생성부는
    상기 시나리오에 따라 복수의 단위 트래픽을 혼합하여 상기 훈련 데이터 세트를 생성하는
    트래픽 발생 장치.
  5. 제 1 항에 있어서,
    상기 트래픽 송수신부는 상기 트래픽 에이전트와 서로 간에 패킷의 송수신 시 수신된 패킷의 ID를 식별하여 다음에 송신할 패킷을 상기 훈련 데이터 세트에서 선택하여 송신하는 트래픽 발생 장치.
  6. 삭제
  7. 삭제
  8. 트래픽 발생 장치 및 상기 트래픽 발생 장치와 훈련 대상 네트워크를 통해 연결된 호스트에 탑재된 트래픽 에이전트를 포함하는 트래픽 발생 시스템으로서,
    상기 트래픽 발생 장치는,
    상기 훈련 대상 네트워크의 실제 트래픽을 분석하여 상기 트래픽 에이전트와 패킷을 송수신하기 위한 시나리오를 저작하는 시나리오 저작부;
    상기 시나리오에 따라 송수신할 패킷들 및 상기 송수신할 패킷들을 송수신하는 순서에 관한 정보를 포함하는 훈련 데이터 세트를 생성하고, 상기 트래픽 에이전트에 상기 훈련 데이터 세트의 적어도 일부를 제공하는 트래픽 생성부; 및
    상기 송수신하는 순서에 따라 상기 훈련 데이터 세트의 소정의 패킷을 상기 트래픽 에이전트에 송신하고, 상기 트래픽 에이전트로부터 수신한 패킷에 대응하여 상기 송수신하는 순서에 의해 미리 정해진 패킷을 상기 트래픽 에이전트에 송신하는 트래픽 송수신부를 포함하며,
    상기 트래픽 에이전트는,
    상기 트래픽 발생 장치에 의해 제공된 상기 훈련 데이터 세트 중 상기 적어도 일부를 저장하는 저장부; 및
    상기 송수신하는 순서에 따라 상기 트래픽 발생 장치에 의해 송신되는 소정의 패킷을 수신하고, 상기 수신된 패킷에 응답하여 상기 송수신하는 순서에 따라 미리 정해진 패킷을 상기 트래픽 발생 장치에 송신하는 트래픽 송수신부를 포함하고,
    상기 트래픽 에이전트는 복수 개를 포함하고, 상기 복수개의 트래픽 에이전트는 수신한 패킷을 시나리오에 따라 미리 정해진 순서로 상기 트래픽 송수신부에 송신하고,
    상기 트래픽 생성부는 상기 시나리오에 따라 복수의 단위 트래픽을 혼합하여 상기 훈련 데이터 세트를 생성하고, 상기 훈련 데이터 세트를 각 트래픽 유통을 위한 주체 별로 분할하고, 상기 분할된 훈련 데이터 세트는 상기 트래픽 송수신부를 이용하여 배포되는 트래픽 발생 시스템.
  9. 제 8 항에 있어서,
    상기 시나리오는
    상기 훈련 대상 네트워크 중 테스트하고자 하는 세션의 소스와 데스티네이션에 대한 정보 및 상기 소스와 데스티네이션 사이의 트래픽의 양에 관한 정보를 포함하는
    트래픽 발생 시스템.
  10. 제 8 항에 있어서,
    상기 시나리오는 복수 개이고
    각각의 시나리오는 상기 훈련 대상 네트워크에서 시뮬레이션하고자 하는 상황에 따라 달리 저작되는
    트래픽 발생 시스템.
  11. 삭제
KR1020180129937A 2018-10-29 2018-10-29 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 KR102111748B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180129937A KR102111748B1 (ko) 2018-10-29 2018-10-29 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180129937A KR102111748B1 (ko) 2018-10-29 2018-10-29 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템

Related Child Applications (1)

Application Number Title Priority Date Filing Date
KR1020200055925A Division KR102139370B1 (ko) 2020-05-11 2020-05-11 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템

Publications (2)

Publication Number Publication Date
KR20200048172A KR20200048172A (ko) 2020-05-08
KR102111748B1 true KR102111748B1 (ko) 2020-05-15

Family

ID=70678137

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180129937A KR102111748B1 (ko) 2018-10-29 2018-10-29 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템

Country Status (1)

Country Link
KR (1) KR102111748B1 (ko)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100962532B1 (ko) * 2007-12-18 2010-06-14 한국전자통신연구원 부하 테스트를 위한 패킷의 부하 재생성 시스템 및 그 방법
KR101407057B1 (ko) 2010-10-29 2014-06-12 한국전자통신연구원 트래픽 생성 방법 및 트래픽 생성 장치
KR101854981B1 (ko) * 2016-06-10 2018-05-04 국방과학연구소 사이버전 훈련 및 기술검증을 위한 데이터셋 생성 방법 및 이의 장치

Also Published As

Publication number Publication date
KR20200048172A (ko) 2020-05-08

Similar Documents

Publication Publication Date Title
US8554536B2 (en) Information operations support system, method, and computer program product
Ahrenholz et al. CORE: A real-time network emulator
US7379857B2 (en) Method and system for simulating computer networks to facilitate testing of computer network security
US7523198B2 (en) Integrated testing approach for publish/subscribe network systems
CN112153010B (zh) 一种网络安全靶场系统及其运行方法
CN101447898B (zh) 一种用于网络安全产品的测试系统及测试方法
CN111327463B (zh) 一种基于虚拟化的工业互联网安全实训平台
US7099797B1 (en) System and method of testing software and hardware in a reconfigurable instrumented network
CN112448857A (zh) 靶场的构建方法、装置、设备及存储介质
US8352223B1 (en) Network communications testbed
EP2939932B1 (en) Testing onboard aircraft systems
KR102139370B1 (ko) 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템
Hoffman et al. Blowtorch: a framework for firewall test automation
Berger et al. Does my bft protocol implementation scale?
KR102111748B1 (ko) 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템
Schwab et al. Cybersecurity experimentation at program scale: Guidelines and principles for future testbeds
Clausen et al. Evading stepping-stone detection with enough chaff
CN115225347B (zh) 靶场资源监控的方法和装置
KR102223775B1 (ko) 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법
US11349774B2 (en) Methods, systems and computer readable media for diagnosing network function virtualization performance
JP2013254492A (ja) 制御装置のバス通信に影響を及ぼす方法
JP7074188B2 (ja) セキュリティ対処能力測定システム、方法及びプログラム
CN114978768B (zh) 一种基于Conpot的网络化控制系统蜜罐
CN108768969A (zh) 一种网络穿透系统及穿透方法
Kacem et al. Security Requirements Analysis of ADS-B Networks.

Legal Events

Date Code Title Description
A107 Divisional application of patent
GRNT Written decision to grant