KR102186212B1 - Apparatus and methdo for providing a phased attack classification map - Google Patents

Apparatus and methdo for providing a phased attack classification map Download PDF

Info

Publication number
KR102186212B1
KR102186212B1 KR1020140048327A KR20140048327A KR102186212B1 KR 102186212 B1 KR102186212 B1 KR 102186212B1 KR 1020140048327 A KR1020140048327 A KR 1020140048327A KR 20140048327 A KR20140048327 A KR 20140048327A KR 102186212 B1 KR102186212 B1 KR 102186212B1
Authority
KR
South Korea
Prior art keywords
attack
classification map
attack classification
user terminal
point corresponding
Prior art date
Application number
KR1020140048327A
Other languages
Korean (ko)
Other versions
KR20150122009A (en
Inventor
김영수
김익균
조현숙
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020140048327A priority Critical patent/KR102186212B1/en
Publication of KR20150122009A publication Critical patent/KR20150122009A/en
Application granted granted Critical
Publication of KR102186212B1 publication Critical patent/KR102186212B1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/308Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information retaining data, e.g. retaining successful, unsuccessful communication attempts, internet access, or e-mail, internet telephony, intercept related information or call content

Abstract

본 발명의 일 실시예에 다른 공격 분류맵 제공 장치는 사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스, 미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서, 상기 명령어를 적재하는 메모리 및 상기 공격 분류맵을 저장하는 스토리지를 포함하되, 상기 명령어는 상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 한다.Another apparatus for providing an attack classification map according to an embodiment of the present invention includes a communication interface connected to a user terminal to transmit and receive data, a processor performing a process of providing an attack classification map to the user terminal according to a preset command, and the command. A command for performing a step of receiving an attack classification map request signal from the user terminal and transmitting the attack classification map to the user terminal including a memory to be loaded and a storage storing the attack classification map, wherein the command Including, the attack classification map is characterized in that the image representing the attack point corresponding to the preliminary preparation step, the internal network penetration step, the internal action step, and the final achievement step in a tree form.

Description

공격 분류 맵 제공 장치{APPARATUS AND METHDO FOR PROVIDING A PHASED ATTACK CLASSIFICATION MAP}Attack classification map providing device {APPARATUS AND METHDO FOR PROVIDING A PHASED ATTACK CLASSIFICATION MAP}

본 발명은 보안 기술에 관한 것으로, 보다 상세하게는 사이버 표적 공격(APT, Advanced Persistent Threat) 탐지를 위한 공격 분류 맵을 제공하는 기술에 관한 것이다.
The present invention relates to a security technology, and more particularly, to a technology for providing an attack classification map for detecting a cyber target attack (APT, Advanced Persistent Threat).

2009년 7월과 2011년 3월에 각각 발생하였던 7.7 DDoS 공격과 3.4 DDoS 공격은 청와대와 포털 등 국내 주요 홈페이지를 대상으로 한 사이버 테러의 예로, 400억 가량의 경제적 손실이 발생하였다. 1년 이상의 장기간 침투를 통해 공격이 이루어졌던 농협 전산망 장애 공격은 서비스 정상화가 며칠 동안 차질을 빚으면서 세간의 이슈가 되었고, 포렌식 준비도(Forensic Readiness)의 필요성이 제기되는 계기가 되었다.
The 7.7 DDoS attacks and the 3.4 DDoS attacks, which occurred in July 2009 and March 2011, respectively, were examples of cyber terrors targeting major domestic homepages such as the Blue House and portals, and resulted in economic losses of about 40 billion won. Nonghyup's computer network failure attack, which had been attacked through long-term penetration for more than a year, became a public issue as service normalization was disrupted for several days, and the need for forensic readiness was raised.

본 발명이 해결하고자 하는 과제는 사이버 표적 공격을 사전 준비, 내부망 침투, 내부 행위, 그리고 최종 목적 달성 등 4단계로 구분하고 각 단계별로 발생 가능한 공격 방법들을 분류함으로써 공격을 다양한 포인트에서 탐지할 수 있도록 하는 공격 분류 맵을 제공하는 장치를 제공하는 것을 목적으로 한다.
The problem to be solved by the present invention is to detect attacks at various points by dividing cyber-targeted attacks into four stages, including preliminary preparation, internal network penetration, internal actions, and achievement of the final purpose, and classifying possible attack methods in each stage. It is an object of the present invention to provide an apparatus that provides an attack classification map that enables it.

본 발명의 일 측면에 따르면, 사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스; 미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서; 상기 명령어를 적재하는 메모리; 및 상기 공격 분류맵을 저장하는 스토리지를 포함하되, 상기 명령어는 상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계; 를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 장치가 제공된다.According to an aspect of the present invention, there is provided a communication interface connected to a user terminal to transmit and receive data; A processor for providing an attack classification map to the user terminal according to a preset command; A memory for loading the command; And a storage storing the attack classification map, wherein the command comprises: receiving an attack classification map request signal from the user terminal; And transmitting the attack classification map to the user terminal. Provides an attack classification map, characterized in that the attack classification map is an image representing attack points corresponding to a preliminary preparation step, an internal network penetration step, an internal action step, and a final achievement step in a tree form. A device is provided.

상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함할 수 있다.The attack point corresponding to the preliminary preparation step of the attack classification map may include collecting and analyzing target site information, collecting and analyzing SNS information, securing a command & control (C&C) server, and inducing malicious code infection.

상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함할 수 있다.Attack points corresponding to the step of infiltrating the internal network of the attack classification map may include acquiring user rights and infection with malicious codes.

상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함할 수 있다.Attack points corresponding to the internal action stage of the attack classification map may include obtaining additional rights, collecting additional information, controlling a system, and distributing malicious codes.

상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함할 수 있다.
Attack points corresponding to the stage of achieving the final goal of the attack classification map may include major information reduction, system destruction, strategic utilization research, and system interruption.

본 발명의 다른 측면에 따르면, 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정에 있어서, 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계; 및 상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계; 를 수행하기 위한 명령어를 포함하되, 상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 방법이 제공된다.According to another aspect of the present invention, in the process of providing an attack classification map by an attack classification map providing apparatus, the method comprising: receiving an attack classification map request signal from a user terminal; And transmitting the attack classification map to the user terminal. Provides an attack classification map, characterized in that the attack classification map is an image representing attack points corresponding to a preliminary preparation step, an internal network penetration step, an internal action step, and a final achievement step in a tree form. A method is provided.

상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함할 수 있다.The attack point corresponding to the preliminary preparation step of the attack classification map may include collecting and analyzing target site information, collecting and analyzing SNS information, securing a command & control (C&C) server, and inducing malicious code infection.

상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함할 수 있다.Attack points corresponding to the step of infiltrating the internal network of the attack classification map may include obtaining user rights and infection with malicious codes.

상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함할 수 있다.Attack points corresponding to the internal action stage of the attack classification map may include obtaining additional rights, collecting additional information, controlling a system, and distributing malicious codes.

상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유축, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함할 수 있다.
Attack points corresponding to the stage of achieving the final goal of the attack classification map may include major information reduction, system destruction, strategic utilization research, and system interruption.

상술한 바와 같이 본 발명에 따르면, 사이버 표적 공격을 단계별로 나누고 각 단계별로 가능한 공격 방법들을 분류한 맵을 통하여 다양한 시나리오를 도출함으로써 사이버 표적 공격을 다양한 공격 포인트에서 탐지하는 것을 용이하게 할 수 있다.As described above, according to the present invention, it is possible to easily detect cyber-targeted attacks at various attack points by deriving various scenarios through a map in which cyber-targeted attacks are divided into stages and possible attack methods are classified in each stage.

또한, 본 발명에 따르면, 사이버 표적 공격을 공격 분류맵을 통해 정형화된 형태로 표현할 수 있다.
In addition, according to the present invention, cyber target attacks can be expressed in a standardized form through an attack classification map.

도 1은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치를 예시한 도면.
도 2는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정을 예시한 도면.
도 3은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면.
도 4는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면.
도 5는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면.
도 6은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면.
도 7은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면.
도 8은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면.
도 9는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면.
도 10은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면.1 is a diagram illustrating an attack classification map providing apparatus according to an embodiment of the present invention.
2 is a diagram illustrating a process of providing an attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.
3 is a diagram illustrating an attack point corresponding to a preliminary preparation step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.
4 is a diagram illustrating an attack point corresponding to an internal network intrusion step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.
5 is a diagram illustrating an attack point corresponding to an internal action stage among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.
6 is a diagram illustrating an attack point corresponding to a final goal achievement step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.
7 is a diagram illustrating an attack point corresponding to a preliminary preparation step among an updated attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.
FIG. 8 is a diagram illustrating an attack point corresponding to an internal network penetration step among an updated attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.
9 is a diagram illustrating an attack point corresponding to an internal action stage in an updated attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.
10 is a diagram illustrating an attack point corresponding to a final goal achievement step among an updated attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 이를 상세한 설명을 통해 상세히 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.In the present invention, various modifications may be made and various embodiments may be provided. Specific embodiments are illustrated in the drawings and will be described in detail through detailed description. However, this is not intended to limit the present invention to a specific embodiment, it is to be understood to include all changes, equivalents, and substitutes included in the spirit and scope of the present invention.

또한, 본 명세서에서, 일 구성요소가 다른 구성요소로 신호를 “전송한다”로 언급된 때에는, 상기 일 구성요소가 상기 다른 구성요소와 직접 연결되어 신호를 전송할 수 있지만, 특별히 반대되는 기재가 존재하지 않는 이상, 중간에 또 다른 구성요소를 매개하여 신호를 전송할 수도 있다고 이해되어야 할 것이다.
In addition, in the present specification, when one component is referred to as “transmitting” a signal to another component, the one component may be directly connected to the other component to transmit a signal, but there is a particularly opposite description. Unless otherwise, it should be understood that a signal may be transmitted via another component in the middle.

도 1은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치를 예시한 도면이다.1 is a diagram illustrating an attack classification map providing apparatus according to an embodiment of the present invention.

도 1을 참조하면, 데이터 통신 장치는 통신 인터페이스(110), 프로세서(120), 메모리(130) 및 스토리지(140) 를 포함한다.Referring to FIG. 1, a data communication device includes a communication interface 110, a processor 120, a memory 130, and a storage 140.

통신 인터페이스(110)는 사용자 단말과 통신망을 통해 연결되어 데이터를 송수신한다. The communication interface 110 is connected to a user terminal through a communication network to transmit and receive data.

프로세서(120)는 메모리(130)에 적재된 명령어에 따라 공격 분류맵을 제공하는 과정을 수행한다.The processor 120 performs a process of providing an attack classification map according to the instructions loaded in the memory 130.

메모리(130)는 데이터 전송을 위한 명령어를 스토리지(140)로부터 적재하고, 적재된 명령어를 프로세서(120)로 제공한다.The memory 130 loads an instruction for data transmission from the storage 140 and provides the loaded instruction to the processor 120.

스토리지(140)는 데이터 전송을 위한 명령어를 저장한다. 또한, 스토리지(140)는 사이버 표적 공격 탐지를 위한 공격 분류맵을 저장한다. 공격 분류맵에 대해서는 추후 도 3 내지 10을 참조하여 상세히 설명하도록 한다.
The storage 140 stores a command for data transmission. In addition, the storage 140 stores an attack classification map for detecting cyber target attacks. The attack classification map will be described in detail with reference to FIGS. 3 to 10 later.

이하, 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 미리 지정된 명령어에 따라 공격 분류맵을 제공하는 과정을 상세히 설명하도록 한다.Hereinafter, a process in which the apparatus for providing an attack classification map according to an embodiment of the present invention provides an attack classification map according to a predetermined command will be described in detail.

도 2는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정을 예시한 도면이다.FIG. 2 is a diagram illustrating a process of providing an attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention.

도 2를 참조하면, 단계 210에서 공격 분류맵 제공 장치는 사용자 단말로부터 공격 분류맵을 요청하는 공격 분류맵 요청 신호를 수신한다.2, in step 210, the attack classification map providing apparatus receives an attack classification map request signal from a user terminal for requesting an attack classification map.

단계 220에서 공격 분류맵 제공 장치는 사용자 단말로 스토리지(140)에 저장된 공격 분류맵을 통신 인터페이스(110)를 통해 전송한다. In step 220, the attack classification map providing apparatus transmits the attack classification map stored in the storage 140 to the user terminal through the communication interface 110.

단계 230에서 공격 분류맵 제공 장치는 사용자 단말로부터 공격 포인트를 선택하는 공격 포인트 선택 정보를 수신한다. In step 230, the attack classification map providing apparatus receives attack point selection information for selecting an attack point from the user terminal.

단계 240에서 공격 분류맵 제공 장치는 사용자 단말로부터 수신한 공격 포인트 선택 정보에 따라 선택된 공격 포인트 이외의 공격 포인트를 단계 220에서 전송한 공격 분류맵에서 삭제 또는 비활성화시킨 갱신 공격 분류맵을 생성한다. In step 240, the attack classification map providing apparatus generates an updated attack classification map in which attack points other than the selected attack point are deleted or deactivated from the attack classification map transmitted in step 220 according to the attack point selection information received from the user terminal.

단계 250에서 공격 분류맵 제공 장치는 갱신 공격 분류맵을 사용자 단말로 전송한다.In step 250, the attack classification map providing apparatus transmits the updated attack classification map to the user terminal.

따라서, 상술한 바와 같이 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치는 공격 분류맵을 사용자 단말로 제공할 뿐만 아니라, 사용자 단말로부터 수신한 공격 포인트 선택 정보에 따라 현재 공격되지 않은 포인트를 공격 분류맵에서 삭제 또는 비활성화 시켜 사용자가 공격 분류맵을 확인하여 현재 대비 또는 대응하여야 하는 공격 포인트를 용이하게 확인하도록 할 수 있다.
Therefore, as described above, the apparatus for providing an attack classification map according to an embodiment of the present invention not only provides the attack classification map to the user terminal, but also attacks points that are not currently attacked according to the attack point selection information received from the user terminal. By deleting or deactivating from the classification map, the user can check the attack classification map and easily check the attack points to be prepared for or respond to.

상술한 공격 분류맵은 이하 도 3을 참조하여 상세히 설명하도록 한다.The above-described attack classification map will be described in detail with reference to FIG. 3 below.

도 3은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면이다.3 is a diagram illustrating an attack point corresponding to a preliminary preparation step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.

도 3을 참조하면, 공격 분류맵은 사전 준비, 내부망 침투, 내부 행위 및 최종 목적 달성의 단계로 구분되는 각 공격 포인트를 트리 형태로 표시한다. 이 때, 특정 공격 포인트는 하위 공격 포인트를 포함할 수 있고, 각 공격 포인트의 포함 관계에 따라 특정 공격 포인트를 타 공격 포인트에 상응하는 상위 노드의 하위 노드로 표시할 수 있다.Referring to FIG. 3, the attack classification map displays each attack point divided into stages of preparation, penetration of an internal network, internal actions, and achievement of a final purpose in a tree form. In this case, the specific attack point may include a lower attack point, and according to the inclusion relationship of each attack point, the specific attack point may be displayed as a lower node of an upper node corresponding to the other attack point.

예를 들어, 도 3의 사전 준비의 상위 노드인 '타겟 사이트 정보 수집/분석'은 '홈페이지 취약점 파악' 및 'URL(Uniform Resource Locator) 변조(사용자 정보)'인 공격 포인트가 될 수 있다. 따라서, 공격 분류맵은 타겟 사이트 정보 수집/분석을 상위 노드로 표시하고, '홈페이지 취약점 파악' 및 'URL 변조(사용자 정보)'를 '타겟 사이트 정보 수집/분석'의 하위 노드로 포함한다. 이 때, 공격 분류맵은 각 공격 포인트에 상응하는 분류 코드를 포함할 수 있다. 사용자 단말은 사용자의 공격 포인트를 선택하는 입력에 따라 각 선택된 공격 포인트에 상응하는 분류 코드를 포함하는 공격 포인트 선택 입력을 당해 공격 분류맵 제공 장치로 전송할 수 있다. For example, the'target site information collection/analysis' which is the upper node of the preliminary preparation of FIG. 3 may be an attack point such as'identification of homepage vulnerability' and'Uniform Resource Locator (URL) modulation (user information)'. Accordingly, the attack classification map displays target site information collection/analysis as a higher node, and includes'identification of homepage vulnerability' and'URL modification (user information)' as lower nodes of'target site information collection/analysis'. In this case, the attack classification map may include a classification code corresponding to each attack point. The user terminal may transmit an attack point selection input including a classification code corresponding to each selected attack point to the attack classification map providing apparatus according to an input for selecting the attack point of the user.

이하 도 3을 참조하여, 사전 준비 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.Hereinafter, with reference to FIG. 3, a classification code of each attack point corresponding to a preliminary preparation step, a name and description of the attack point are as follows.

- (G-1-1) 공격 대상 홈페이지 취약점 파악: 공격 대상 홈페이지들에 대한 취약점을 검색한다. -(G-1-1) Identification of vulnerabilities of attack target homepages: Search for vulnerabilities of target homepages.

- (G-1-2) 공격 대상 홈페이지에 대한 URL 변조로 사용자 정보 수집: 공격 대상 홈페이지의 URL을 변조하여 사용자 정보를 획득한다.-(G-1-2) Collection of user information by altering the URL of the attack target homepage: User information is obtained by altering the URL of the attack target homepage.

- (G-2-1) 웹크롤러/봇을 이용한 SNS 정보 수집: 웹페이지들을 돌아다니며 정보를 수집하는 웹크롤러/봇을 이용하여 공격 대상과 관련한 SNS(Facebook, Twitter, Blogs, Internet Cafe) 정보를 수집/분석한다.-(G-2-1) Collecting SNS information using web crawler/bot: SNS (Facebook, Twitter, Blogs, Internet Cafe) information related to the attack target using a web crawler/bot that collects information while moving around web pages Collect/analyze.

- (G-2-2) 메타 검색 엔진을 이용한 SNS 정보 수집: 여러 검색 엔진들을 연결시켜 작업하는 메타 검색 엔진을 이용하여 공격 대상과 관련한 SNS 정보를 수집/분석한다-(G-2-2) Collecting SNS information using meta search engines: Collecting/analyzing SNS information related to the attack target using a meta search engine that works by connecting multiple search engines.

- (G-3) C&C 서버 확보: 게시판, 메일 솔루션 등을 이용하여 C&C(Command & Control) 서버를 확보한다.-(G-3) Secure C&C Server: Secure C&C (Command & Control) server by using bulletin board, mail solution, etc.

- (G-4-1) 악성 코드 첨부 메일 발송을 통한 악성 코드 감염 유도: 악성 코드 감염을 유도하기 위해 공격 대상 관련 사용자들에게 악성 코드가 첨부된 메일을 발송한다.-(G-4-1) Induction of malicious code infection by sending malicious code attached mail: To induce malicious code infection, an email with malicious code attached to the attack target users is sent.

- (G-4-2) 외부 게시판에 악성 코드를 첨부하여 악성 코드 감염 유도: 악성 코드 감염 유도를 위해 각종 외부 게시판에 악성 코드를 첨부한다.-(G-4-2) Inducing malicious code infection by attaching malicious code to external bulletin board: Attach malicious code to various external bulletin boards to induce malicious code infection.

- (G-4-3) 외부 업데이트 서버의 업데이트 SW(소프트웨어) 변조를 통한 악성 코드 감염 유도: 외부 업데이트 서버의 업데이트 SW를 변조하여 사용자 설치 시 악성 코드가 감염되도록 유도한다.-(G-4-3) Induction of malicious code infection through alteration of update SW (software) of external update server: By altering update SW of external update server, malicious code is induced to be infected during user installation.

- (G-4-4) 외부 게시판에 악성 스크립트 삽입(Stored XSS)을 통한 악성 코드 감염 유도: 웹사이트 취약점을 통해 게시판에 악성 스크립트를 삽입한 게시글을 올려 감염을 유도한다.-(G-4-4) Induction of malicious code infection through malicious script insertion (Stored XSS) on external bulletin board: Through website vulnerability, malicious script is inserted on bulletin board to induce infection.

- (G-4-5) 악성 스크립트가 삽입된 메일 발송(Reflected XSS)을 통한 악성 코드 감염 유도: 악성 스크립트 URL을 메일로 발송 후 사용자들이 해당 URL을 방문 시 감염되도록 유도한다.-(G-4-5) Induction of malicious code infection through mail sending (Reflected XSS) with malicious script inserted: After sending malicious script URL by e-mail, it induces infection when users visit the URL.

- (G-4-6) USB(Universal Serial Bus) 저장 장치에 악성 코드를 삽입하여 악성 코드 감염을 유도: USB 접속 시 악성 코드가 감염될 수 있도록 악성 코드에 감염된 USB를 준비한다.-(G-4-6) Inducing malicious code infection by inserting malicious code into USB (Universal Serial Bus) storage device: Prepare a USB infected with malicious code so that malicious code can be infected when connecting to USB.

- (G-4-7) 읽지 않은 웹메일의 첨부 파일을 변조하여 악성 코드 감염을 유도: 미리 수집한 특정 사용자의 계정/패스워드로 접속한 후 읽지 않은 메일 중 첨부 파일을 악성 코드 파일로 대체한다.
-(G-4-7) Induce malicious code infection by altering unread webmail attachments: After accessing a specific user's account/password collected in advance, the attachment of the unread mail is replaced with a malicious code file. .

도 4는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면이다.4 is a diagram illustrating an attack point corresponding to an internal network intrusion step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.

이하 도 4를 참조하여, 내부망 침투 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.Hereinafter, with reference to FIG. 4, a classification code of each attack point corresponding to the step of infiltrating the internal network, the name and description of the attack point are as follows.

- (P-1-1) URL 변조를 통한 계정/패스워드 획득으로 사용자 권한 획득: 공격 대상 홈페이지의 URL을 변조하여 사용자들의 계정/패스워드를 획득한다.-(P-1-1) Acquisition of user rights by acquiring account/password through URL falsification: Acquires users' accounts/passwords by falsifying the URL of the target website.

- (P-1-2) 취약 패스워드를 통한 로그인으로 사용자 권한 획득: 패스워드를 알아내는 도구를 이용하여 취약한 패스워드를 획득한 후, 로그인한다.-(P-1-2) Acquiring user authority by logging in through a weak password: After obtaining a weak password using a password finding tool, log in.

- (P-1-3) Command Injection을 통한 사용자 권한 획득: 변수 입력 값에 대한 검증 미흡으로 내부 시스템 명령어를 외부에서 실행 가능한 취약점을 이용한 공격 방법으로, URL에 시스템 명령어를 삽입하여 접속한 후 노출된 시스템 명령어 정보를 획득한다.-(P-1-3) Acquisition of user rights through command injection: This is an attack method using a vulnerability that can execute internal system commands from outside due to insufficient verification of the variable input value, and exposes after accessing by inserting system commands into the URL. Obtained system command information.

- (P-1-4) SQL Injection을 통한 사용자 권한 획득: 응용 프로그램 보안 상의 허점을 의도적으로 이용해 SQL(Structured Query Language) 문을 실햄함으로써 데이터베이스를 비정상적으로 조작하는 방법으로, 로그인 창에 특수 문자 입력이 가능한지 확인 후 계정 입력 창에 SQL문을 입력하여 사용자 권한을 획득한다.-(P-1-4) Acquisition of user rights through SQL Injection: This is a method of abnormally manipulating the database by intentionally using a loophole in application security to open a SQL (Structured Query Language) statement, and enter special characters in the login window. After checking whether this is possible, enter the SQL statement in the account input window to obtain user rights.

- (P-2-1) 메일 첨부된 악성 파일을 실행함으로써 악성 코드에 감염: 사용자는 악성 코드 파일이 첨부된 이메일을 수신한 후 첨부 파일을 다운 받아 실행함으로써 악성 코드에 감염된다.-(P-2-1) Infecting malicious code by executing malicious file attached to e-mail: A user is infected with malicious code by downloading and executing the attached file after receiving an e-mail with a malicious code file attached.

- (P-2-2) 게시글에 첨부된 악성 파일을 실행함으로써 악성 코드에 감염: 각종 외부 게시판에 첨부되어 있는 악성 코드 파일을 실행함으로써 악성 코드에 감염된다.-(P-2-2) Infecting malicious code by executing malicious files attached to postings: Infecting malicious codes by executing malicious code files attached to various external bulletin boards.

- (P-2-3) 외부 업데이트 서버를 통한 SW 업데이트 시 악성 코드에 감염: 자동 업데이트 실행 시 사전에 변조된 업데이트 SW를 통하여 악성 코드에 감염된다.-(P-2-3) Infecting malicious code when updating SW through external update server: When executing automatic update, malicious code is infected through pre-modified update software.

- (P-2-4) 게시글에 삽입된 악성 스크립트를 실행함으로써 악성 코드에 감염 (Stored XSS): 악성 스크립트가 삽입된 게시글 열람으로 악성 코드에 감염된다.-(P-2-4) Infecting malicious code by executing malicious script inserted in post (Stored XSS): Infecting malicious code by viewing post with malicious script inserted.

- (P-2-5) 악성 스크립트가 삽입된 메일을 실햄함으로써 악성 코드에 감염 (Reflected XSS(cross-site scriptin)): 악성 스크립트 링크 URL을 포함하는 메일을 수신한 사용자가 해당 URL을 클릭하면 악성 스크립트가 실행되어 감염된다.-(P-2-5) Infected by malicious code by displaying mail containing malicious script (Reflected XSS (cross-site scriptin)): When a user who receives an email containing a malicious script link URL clicks the URL Malicious script is executed and infected.

- (P-2-6) 악성 코드가 포함된 비인가 USB를 사용함으로써 악성 코드에 감염: 감염되어 있는 비인가 USB를 내부로 반입 및 실행하여 내부 시스템이 악성 코드에 감염된다.-(P-2-6) Infecting malicious code by using unauthorized USB containing malicious code: The internal system is infected with malicious code by importing and executing the infected unauthorized USB.

- (P-2-7) 웹메일의 변조된 첨부 파일을 실햄함으로써 악성 코드에 감염: 악성 코드로 변조된 웹 메일 첨부 파일을 실행하여 악성 코드에 감염된다.
-(P-2-7) Infecting malicious code by showing modified attachment file of webmail: Infecting malicious code by executing webmail attachment modified with malicious code.

도 5는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면이다.5 is a diagram illustrating an attack point corresponding to an internal action stage among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.

이하 도 5를 참조하여, 내부 행위 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.Hereinafter, with reference to FIG. 5, a classification code of each attack point corresponding to an internal action step, a name and description of the attack point are as follows.

- (C-1-1) 공유 폴더의 취약점을 이용한 추가 권한 획득: 내부에 침입한 해커는 공유폴더의 취약점을 이용하여 감염 PC의 계정/패스워드로 공유된 PC를 공격한다. 공유된 PC의 계정/패스워드가 감염 PC의 그것과 동일할 경우, 공유 PC의 권한을 획득하게 되고, 권한 획득 후 공유 PC에 스케쥴러(at.exe)를 등록하여 매 시간마다 에이전트 서버로 접속 가능하도록 할 수 있게 된다.-(C-1-1) Acquisition of additional privileges by using the vulnerability of the shared folder: A hacker who invades the inside exploits the vulnerability of the shared folder to attack the shared PC with the account/password of the infected PC. If the shared PC's account/password is the same as that of the infected PC, the shared PC's authority is acquired, and after the authority is acquired, the scheduler (at.exe) is registered in the shared PC so that access to the agent server is possible every hour. You can do it.

- (C-1-2) 키로거를 이용한 서버 계정/패스워드 확보로 추가 권한 획득: 감염 PC에서 키 로깅 도구를 실행하여 사용자의 모든 입력이 실시간으로 저장되어 파일로 생성되도록 한다.-(C-1-2) Obtaining additional authority by securing server account/password using a keylogger: Execute a key logging tool on the infected PC so that all user inputs are saved in real time and created as files.

- (C-2-1) DB를 포함하여 애플리케이션들의 취약점 파악을 통한 추가 정보 수집: 웹 애플리케이션들의 취약점을 다방면으로 분석 및 파악 후 추가 정보를 수집한다.-(C-2-1) Collecting additional information by identifying vulnerabilities of applications including DB: After analyzing and identifying vulnerabilities of web applications in various ways, additional information is collected.

- (C-2-2) PC 내 암호화되지 않은 정보들을 발견 및 수집: 감염 PC에 접속하여 암호화되지 않은 폴더 및 문서 등을 탐색하여 추가적으로 정보를 수집한다.-(C-2-2) Discovery and collection of unencrypted information in the PC: Access the infected PC and search for unencrypted folders and documents to collect additional information.

- (C-2-3) NAC(Network Access Control) 취약점 파악을 통한 추가 정보 수집: 보안 정책 및 보안 솔루션 점검을 통해 NAC(Network Access Control) 취약점을 파악하여, 접근 통제 우회를 통한 내부 네트워크로의 비인가 접근을 가능하도록 한다.-(C-2-3) Collecting additional information by identifying NAC (Network Access Control) vulnerabilities: By identifying NAC (Network Access Control) vulnerabilities through security policy and security solution check, access control bypass to internal network Make unauthorized access possible.

- (C-2-4) 공지된 Nmap 등과 같은 포트 스캔을 이용한 추가 정보 수집: 감염 PC에 접속하여 포트들의 열림/닫힘 상태를 확인한다.-(C-2-4) Collecting additional information using a port scan such as known Nmap: Connect to the infected PC and check the open/closed status of the ports.

- (C-2-5) 공지된 nbtscan, nbtstat 등의 스캐닝 방법을 통한 내부망 탐색으로 추가 정보 수집: nbtscan 프로토콜을 이용, 특정 IP 대역대 PC들을 대량 스캔하여 PC들의 on/off 상태와 그룹핑 상태를 파악한다.-(C-2-5) Collecting additional information by searching the internal network through known scanning methods such as nbtscan, nbtstat, etc.: Using the nbtscan protocol, mass scans of PCs in a specific IP band are used to scan PCs on/off status and grouping status To grasp.

- (C-2-6) 최종 목적이 되는 타겟 정보 수집: 최종 목적 달성과 관련된 타겟 정보들을 수집한다.-(C-2-6) Collecting target information that is the final goal: Collect target information related to the achievement of the final goal.

- (C-3-1) 백도어 설치를 통한 대상 시스템 제어: 감염PC에 접속하여 백도어 파일들을 미리 숨겨 놓고, 일반 사용자 계정으로 접속 후, 백도어 파일을 동작시켜 Root 권한을 획득하는 방법으로 쉽게 시스템을 제어한다.-(C-3-1) Target system control through backdoor installation: By accessing the infected PC, hiding the backdoor files in advance, accessing it with a general user account, and operating the backdoor file to obtain the root authority. Control.

- (C-3-2) 윈도우 원격 데스크탑 터미널 등 거점 PC에 GUI를 설치하여 대상 시스템에 대한 제어권을 획득: 24시간 가동중인 거점PC를 발견하여 윈도우/터미널 원격프로그램 및 DB 접속 관련 도구 설치 후 로그인하여 시스템을 제어한다.-(C-3-2) Obtaining control over the target system by installing a GUI on a base PC such as a Windows remote desktop terminal: Find a base PC running 24 hours and log in after installing Windows/terminal remote programs and DB access related tools To control the system.

- (C-3-3) 화면캡쳐기술(VNC) 등을 이용한 실시간 모니터링을 통해 대상 시스템 제어: 감염PC에 VNC(Virtual Network Computing)를 설치하여 실시간 모니터링 수행하면서, 서버/DB 등 중요 정보를 탈취하고 시스템을 제어한다.-(C-3-3) Target system control through real-time monitoring using screen capture technology (VNC), etc.: Install VNC (Virtual Network Computing) on the infected PC to perform real-time monitoring while stealing important information such as server/DB And control the system.

- (C-3-4) 웹셸(Web-shell) 업로드 공격을 통한 공격 시스템 제어: 웹셸은 원격으로 대상 웹서버에 명령을 수행할 수 있도록 작성한 웹 스크립트(asp,jsp,php,cgi)파일로서, 공격자는 악의적으로 제작된 스크립트 파일인 웹셸을 업로드하여 제어권을 획득한다.-(C-3-4) Attack system control through web-shell upload attack: Web-shell is a web script (asp, jsp, php, cgi) file created to remotely execute commands on the target web server. , The attacker gains control by uploading a web shell, which is a maliciously crafted script file.

- (C-3-5) 공격자나 C&C 서버와의 통신을 통해 추가 악성 코드를 다운받거나 새로운 명령을 하달: 감염PC에 명령을 내리거나 추가적인 악성코드를 배포하고, 감염PC로부터 공격 대상 시스템의 정보를 수신하는 등, 해킹의 목적 달성을 위해 감염PC와 공격자/C&C 서버 사이의 통신을 수행한다.-(C-3-5) Download additional malicious code or issue new command through communication with attacker or C&C server: Command the infected PC or distribute additional malicious code, and information of the target system from the infected PC In order to achieve the purpose of hacking, such as receiving a message, communication between the infected PC and the attacker/C&C server is performed.

- (C-4-1) 대상 시스템 전체에 대한 악성 코드 감염을 위해 내부 업데이트 서버를 통한 악성 코드 전파: 변조된 업데이트 SW가 포함된 내부 업데이트 서버를 통하여 악성 코드를 전파한다. 자동 업데이트를 실행한 PC는 모두 감염된다.-(C-4-1) Dissemination of malicious code through the internal update server to infect the entire target system with malicious code: The malicious code is spread through the internal update server including the modified update software. All PCs running automatic update are infected.

- (C-4-2) 악성 코드를 포함한 웹사이트 추가를 통해 악성 코드를 전체로 전파: 사내 웹사이트에 악성코드가 포함된 배너나 새로운 페이지를 추가 생성하여 내부 사용자들이 접속 및 클릭을 통해 악성코드에 감염되도록 한다.
-(C-4-2) Spreading malicious code as a whole by adding a website containing malicious code: By creating a banner or a new page containing malicious code on the company's website, internal users access and click malicious code. Infect your code.

도 6은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 제공하는 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면이다.6 is a diagram illustrating an attack point corresponding to a final goal achievement step among attack classification maps provided by an attack classification map providing apparatus according to an embodiment of the present invention.

이하 도 6을 참조하여, 최종 목적 달성 단계에 상응하는 각 공격 포인트의 분류 코드, 공격 포인트의 이름 및 설명은 하기와 같다.Hereinafter, with reference to FIG. 6, the classification code of each attack point corresponding to the final goal achievement step, the name and description of the attack point are as follows.

- (F-1-1) 원격 명령으로 파일을 복사하여 중요 정보 유출: 내부 감염PC들을 제어하면서 원격 scp(secure copy) 명령으로 중요 정보 파일들을 유출한다.-(F-1-1) Copy files with remote command to leak important information: Control internal infected PCs and leak important information files with remote scp (secure copy) command.

- (F-1-2) 웹메일을 통하여 중요 정보 유출: 내부 감염PC들을 제어하면서 웹 메일을 통해 중요 파일들을 유출한다.-(F-1-2) Leakage of important information through webmail: While controlling internal infected PCs, important files are leaked through webmail.

- (F-1-3) 암호화된 패킷 전송을 통한 중요 정보 유출: 패킷 추출 명령어/도구를 이용하여 중요 정보에 대한 패킷을 추출하고 이를 암호화하여 전송한다.-(F-1-3) Outflow of important information through encrypted packet transmission: A packet for important information is extracted using a packet extraction command/tool, and the packet is encrypted and transmitted.

- (F-2-1) MBR(Master Boot Record)/VBR(Volume Boot Record) 파괴를 통한 시스템 파괴: 감염PC에 MBR/VBR 파괴 명령을 실행하여 부팅이 불가능하도록 한다.-(F-2-1) Destruction of system by destroying MBR(Master Boot Record)/VBR(Volume Boot Record): Execute the MBR/VBR destruction command on the infected PC to make booting impossible.

- (F-3-1) 지속적 분석을 통해 전략적으로 활용: 감염PC를 지속적으로 관찰 및 분석하여 향후 전략적 기회 포착에 활용한다.-(F-3-1) Strategic use through continuous analysis: Infected PCs are continuously observed and analyzed to be utilized for future strategic opportunities.

- (F-4-1) SW나 HW(하드웨어)를 자동으로 종료하여 시스템 중단: 감염PC 제어를 통해 특정 SW나 HW를 자동으로 종료하는 명령을 실행하여 시스템을 중단시킨다.-(F-4-1) Shut down the system by automatically shutting down the SW or HW (hardware): Stops the system by executing a command to automatically terminate a specific SW or HW through the control of an infected PC.

- (F-4-2) 원격 시동을 통한 시스템 중단: 원격 시동 명령을 통해 시스템을 중단시킨다.
-(F-4-2) System shutdown via remote start: Shut down the system via remote start command.

도 3 내지 도 6을 참조하여 상술한 공격 분류맵은 하나의 이미지 파일이나 미리 설정된 형태의 파일로 각 사용자 단말로 전송될 수 있다.
The attack classification map described above with reference to FIGS. 3 to 6 may be transmitted to each user terminal as a single image file or a preset type file.

도 7은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 사전 준비 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 8은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부망 침투 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 9는 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 내부 행위 단계에 해당하는 공격 포인트를 예시한 도면이고, 도 10은 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치가 갱신 공격 분류맵 중 최종 목적 달성 단계에 해당하는 공격 포인트를 예시한 도면이다. 이 때, 도 7 내지 도 10은 3.20 사이버 테러의 동작 과정에 따른 공격 포인트를 선택함에 따라 생성된 갱신 공격 분류맵이다.7 is a diagram illustrating an attack point corresponding to a preliminary preparation step among an updated attack classification map by an attack classification map providing apparatus according to an embodiment of the present invention, and FIG. 8 is an attack classification map according to an embodiment of the present invention. The providing device is a diagram illustrating an attack point corresponding to the internal network penetration stage among the updated attack classification maps, and FIG. 9 is a diagram illustrating the attack classification map providing apparatus according to an embodiment of the present invention corresponding to the internal action stage of the updated attack classification map. FIG. 10 is a diagram illustrating an attack point corresponding to a final goal achievement step of an updated attack classification map by the apparatus for providing an attack classification map according to an embodiment of the present invention. In this case, FIGS. 7 to 10 are updated attack classification maps generated by selecting an attack point according to an operation process of 3.20 cyber terrorism.

도 7 내지 도 10과 같이 공격 분류맵 제공 장치는 공격 포인트 선택 입력에 따라 각 단계별 선택된 공격 포인트를 제외한 나머지 공격 포인트를 비활성화한 갱신 공격 분류맵을 생성할 수 있다. 예를 들어, 도 7 및 도 8에 활성화된 공격 포인트까지 현재 공격이 이루어지고 내부 행위 및 최종 목성 달성 단계의 공격 포인트에 대한 공격 행위가 이루어지지 않은 경우, 도 7 및 도8과 도 5 및 도 6을 포함하는 공격 분류맵을 사용자 단말에 제공될 수 있다.As shown in FIGS. 7 to 10, the apparatus for providing an attack classification map may generate an updated attack classification map in which the remaining attack points excluding the attack points selected for each stage are deactivated according to the attack point selection input. For example, when the current attack is performed up to the attack point activated in FIGS. 7 and 8 and the attack action against the attack point in the internal action and the final Jupiter achievement stage is not performed, FIGS. 7 and 8 and FIG. 5 and FIG. An attack classification map including 6 may be provided to the user terminal.

따라서, 사용자는 갱신 공격 분류맵을 확인하고, 현재 공격이 진행된 공격 포인트의 확인 및 추후 공격이 이루어질 가능성이 있는 공격 포인트를 모두 확인할 수 있다.Accordingly, the user can check the updated attack classification map, check the attack points on which the current attack has progressed, and all attack points that may be attacked later.

이 때, 공격 분류맵 제공 장치는 상술한 도 7 내지 도 10과 같이 일부 공격 포인트를 비활성화하는 것이 아닌 공격 분류맵에서 삭제하는 형식으로 갱신 공격 분류맵을 생성되도록 변경될 수 있다.
In this case, the apparatus for providing an attack classification map may be changed to generate an updated attack classification map in a format in which some attack points are not deactivated but deleted from the attack classification map as shown in FIGS. 7 to 10 described above.

따라서, 본 발명의 일 실시예에 따른 공격 분류맵 제공 장치는 공격 포인트 선택 입력에 따라 사이버 표적 공격을 정형화된 공격 분류맵을 통해 표현할 수 있다. 따라서, 각 보안 관리자들은 과거의 사이버 표적 공격에 대한 공격 분류맵을 확인함으로써, 해당 사이버 표적 공격에 대비한 보안 시스템을 용이하게 구축할 수 있다.
Accordingly, the apparatus for providing an attack classification map according to an embodiment of the present invention may express a cyber target attack through a standardized attack classification map according to an attack point selection input. Therefore, each security manager can easily build a security system against the cyber target attack by checking the attack classification map for the past cyber target attack.

이제까지 본 발명에 대하여 그 실시 예를 중심으로 살펴보았다. 전술한 실시 예 외의 많은 실시 예들이 본 발명의 특허청구범위 내에 존재한다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시 예는 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far, the present invention has been looked at centering on the embodiment. Many embodiments other than the above-described embodiments exist within the scope of the claims of the present invention. Those of ordinary skill in the art to which the present invention pertains will be able to understand that the present invention can be implemented in a modified form without departing from the essential characteristics of the present invention. Therefore, the disclosed embodiments should be considered from an illustrative point of view rather than a limiting point of view. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope equivalent thereto should be construed as being included in the present invention.

Claims (10)

사용자 단말과 연결되어 데이터를 송수신하는 통신 인터페이스;
미리 설정된 명령어에 따라 공격 분류맵을 상기 사용자 단말로 제공하는 과정을 수행하는 프로세서;
상기 명령어를 적재하는 메모리; 및
상기 공격 분류맵을 저장하는 스토리지
를 포함하되,
상기 명령어는
상기 사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계;
상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계;
사용자 단말로부터 공격 포인트 선택 정보를 수신하는 단계;
수신한 공격 포인트 선택 정보에 따라 선택된 공격 포인트 이외의 공격 포인트를 공격 분류맵에서 삭제 또는 비활성화시킨 갱신 공격 분류맵을 생성하는 단계; 및
갱신 공격 분류맵을 사용자 단말로 전송하는 단계를 수행하기 위한 명령어를 포함하되,
상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 목적 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 장치.
A communication interface connected to a user terminal to transmit and receive data;
A processor for providing an attack classification map to the user terminal according to a preset command;
A memory for loading the command; And
Storage to store the attack classification map
Including,
The above command is
Receiving an attack classification map request signal from the user terminal;
Transmitting the attack classification map to the user terminal;
Receiving attack point selection information from a user terminal;
Generating an updated attack classification map in which attack points other than the selected attack points are deleted or deactivated from the attack classification map according to the received attack point selection information; And
Including a command for performing the step of transmitting the updated attack classification map to the user terminal,
The attack classification map is an image representing an attack point corresponding to a preliminary preparation step, an internal network penetration step, an internal action step, and a final goal achievement step in a tree form.
 제1 항에 있어서,
상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
The method of claim 1,
Attack classification, characterized in that the attack point corresponding to the preliminary preparation step of the attack classification map includes target site information collection and analysis, SNS information collection and analysis, C&C (Command & Control) server acquisition, and malicious code infection induction. Map providing device.
 제1 항에 있어서,
상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
The method of claim 1,
Attack classification map providing apparatus, characterized in that the attack point corresponding to the step of infiltrating the internal network of the attack classification map includes acquiring user rights and infection with malicious codes.
 제1 항에 있어서,
상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
The method of claim 1,
Attack classification map providing apparatus, characterized in that the attack point corresponding to the internal action step of the attack classification map includes obtaining additional authority, collecting additional information, controlling a system, and distributing malicious code.
 제1 항에 있어서,
상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유출, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함하는 것을 특징으로 하는 공격 분류맵 제공 장치.
The method of claim 1,
Attack classification map providing apparatus, characterized in that the attack point corresponding to the final goal achievement step of the attack classification map includes major information leakage, system destruction, strategic utilization research, and system interruption.
 공격 분류맵 제공 장치가 공격 분류맵을 제공하는 과정에 있어서,
사용자 단말로부터 공격 분류맵 요청 신호를 수신하는 단계;
상기 공격 분류맵을 상기 사용자 단말로 전송하는 단계;
사용자 단말로부터 공격 포인트 선택 정보를 수신하는 단계;
수신한 공격 포인트 선택 정보에 따라 선택된 공격 포인트 이외의 공격 포인트를 공격 분류맵에서 삭제 또는 비활성화시킨 갱신 공격 분류맵을 생성하는 단계; 및
갱신 공격 분류맵을 사용자 단말로 전송하는 단계를 포함하되,
상기 공격 분류맵은 사전 준비 단계, 내부망 침투 단계, 내부 행위 단계 및 최종 목적 달성 단계에 상응하는 공격 포인트를 트리 형태로 표현한 이미지인 것을 특징으로 하는 공격 분류맵 제공 방법.
In the process of the attack classification map providing device providing the attack classification map,
Receiving an attack classification map request signal from a user terminal;
Transmitting the attack classification map to the user terminal;
Receiving attack point selection information from a user terminal;
Generating an updated attack classification map in which attack points other than the selected attack point are deleted or deactivated from the attack classification map according to the received attack point selection information; And
Including the step of transmitting the updated attack classification map to the user terminal,
The attack classification map is an image representing an attack point corresponding to a preliminary preparation step, an internal network penetration step, an internal action step, and a final goal achievement step in a tree form.
 제6 항에 있어서,
상기 공격 분류맵의 상기 사전 준비 단계에 상응하는 공격 포인트는 타겟 사이트 정보 수집 및 분석, SNS 정보 수집 및 분석, C&C(Command & Control) 서버 확보 및 악성 코드 감염 유도를 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
The method of claim 6,
Attack classification, characterized in that the attack point corresponding to the preliminary preparation step of the attack classification map includes target site information collection and analysis, SNS information collection and analysis, C&C (Command & Control) server acquisition, and malicious code infection induction. How to provide a map.
 제6 항에 있어서,
상기 공격 분류맵의 상기 내부망 침투 단계에 상응하는 공격 포인트는 사용자 권한 획득 및 악성코드 감염을 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
The method of claim 6,
Attack classification map providing method, characterized in that the attack point corresponding to the step of infiltrating the internal network of the attack classification map includes acquiring user rights and infection with malicious codes.
 제6 항에 있어서,
상기 공격 분류맵의 상기 내부 행위 단계에 상응하는 공격 포인트는 추가 권한 획득, 추가 정보 수집, 시스템 제어, 악성코드 전파를 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.
The method of claim 6,
The attack point corresponding to the internal action step of the attack classification map includes obtaining additional authority, collecting additional information, controlling a system, and distributing malicious code.
 제6 항에 있어서,
상기 공격 분류맵의 상기 최종 목적 달성 단계에 상응하는 공격 포인트는 주요 정보 유출, 시스템 파괴, 전략적 활용 연구 및 시스템 중단을 포함하는 것을 특징으로 하는 공격 분류맵 제공 방법.The method of claim 6,
Attack classification map providing method, characterized in that the attack point corresponding to the final goal achievement step of the attack classification map includes major information leakage, system destruction, strategic utilization research, and system interruption.
KR1020140048327A 2014-04-22 2014-04-22 Apparatus and methdo for providing a phased attack classification map KR102186212B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020140048327A KR102186212B1 (en) 2014-04-22 2014-04-22 Apparatus and methdo for providing a phased attack classification map

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020140048327A KR102186212B1 (en) 2014-04-22 2014-04-22 Apparatus and methdo for providing a phased attack classification map

Publications (2)

Publication Number Publication Date
KR20150122009A KR20150122009A (en) 2015-10-30
KR102186212B1 true KR102186212B1 (en) 2020-12-03

Family

ID=54430966

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020140048327A KR102186212B1 (en) 2014-04-22 2014-04-22 Apparatus and methdo for providing a phased attack classification map

Country Status (1)

Country Link
KR (1) KR102186212B1 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102167644B1 (en) * 2018-11-13 2020-10-19 국방과학연구소 Multi-Level Scenario Authoring Method for Threat in Cyber Training Environment

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011192105A (en) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100892415B1 (en) * 2006-11-13 2009-04-10 한국전자통신연구원 Cyber Threat Forecasting System and Method therefor

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011192105A (en) * 2010-03-16 2011-09-29 Mitsubishi Electric Information Systems Corp System for support of creating security countermeasure standard, program, and security countermeasure standard creation support method

Also Published As

Publication number Publication date
KR20150122009A (en) 2015-10-30

Similar Documents

Publication Publication Date Title
Balduzzi et al. A security analysis of amazon's elastic compute cloud service
US9681304B2 (en) Network and data security testing with mobile devices
US20170163675A1 (en) Distributed split browser content inspection and analysis
Cheng et al. Towards a first step to understand the cryptocurrency stealing attack on ethereum
US10033761B2 (en) System and method for monitoring falsification of content after detection of unauthorized access
EP2998901B1 (en) Unauthorized-access detection system and unauthorized-access detection method
Setiawan et al. Web vulnerability analysis and implementation
US11805147B2 (en) Domain-specific language simulant for simulating a threat-actor and adversarial tactics, techniques, and procedures
US10965712B2 (en) Domain specific language for defending against a threat-actor and adversarial tactics, techniques, and procedures
US20230376587A1 (en) Online command injection attacks identification
Velu Mastering Kali Linux for advanced penetration testing
KR102186212B1 (en) Apparatus and methdo for providing a phased attack classification map
Marczak et al. Missing Link: Tibetan Groups Targeted with 1-Click Mobile Exploits
Dahlmanns et al. Secrets Revealed in Container Images: An Internet-wide Study on Occurrence and Impact
Jain Lateral movement detection using ELK stack
Sharif Web Attacks Analysis and Mitigation Techniques
US10958686B2 (en) Domain specific language for threat-actor deception
Delgado Developing an adaptive threat hunting solution: The elasticsearch stack
Mugisha Android Application Malware Analysis
RU2778635C1 (en) System and method for outside control of the cyberattack surface
Bernardo Targeted Attack Detection by Means of Free and Open Source Solutions
NL2030861B1 (en) System and method for external monitoring a cyberattack surface
CN116170243B (en) POC (point-of-care) -based rule file generation method and device, electronic equipment and medium
PÎRNĂU General Aspects of Some Causes of Web Application Vulnerabilities
Nkwetta Honey-System: Design, Implementation and Attack Analysis

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right