KR102223775B1 - 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 - Google Patents
사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 Download PDFInfo
- Publication number
- KR102223775B1 KR102223775B1 KR1020190146855A KR20190146855A KR102223775B1 KR 102223775 B1 KR102223775 B1 KR 102223775B1 KR 1020190146855 A KR1020190146855 A KR 1020190146855A KR 20190146855 A KR20190146855 A KR 20190146855A KR 102223775 B1 KR102223775 B1 KR 102223775B1
- Authority
- KR
- South Korea
- Prior art keywords
- control system
- terminal
- training
- threat
- simulated
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/145—Network analysis or design involving simulating, designing, planning or modelling of a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 사이버전 훈련에 사용되는 모의 사이버 위협 트래픽을 발생시키는 사이버전 모의 훈련 제어시스템 및 제어시스템의 제어 방법에 관한 것으로,
상기 제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 단계, 상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하는 단계, 상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 단말기들의 결과 정보를 수집하는 단계, 상기 수집된 상기 단말기들의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계를 포함하는 것을 특징으로 한다.
상기 제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 단계, 상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하는 단계, 상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 단말기들의 결과 정보를 수집하는 단계, 상기 수집된 상기 단말기들의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계를 포함하는 것을 특징으로 한다.
Description
본 발명은 사이버전 훈련에 사용되는 모의 사이버 위협 트래픽을 발생시키는 사이버전 모의 훈련 제어시스템 및 제어시스템의 제어 방법에 관한 것이다.
사이버전 훈련에서는 기본적으로 사이버 공격과 방어 능력의 향상을 도모한다. 사이버 공격에는 다양한 형태의 악성 코드 및 위협 코드들이 사용되는데 실세계에 존재하는 이러한 위협 코드 등을 이용하는 것이 가장 현실적인 훈련 방법이 된다. 그러나 실세계에서 확보하는 위협 코드 등을 훈련 환경에서 재사용하기 위해서는 기본적으로 분석을 통한 메타데이터화가 이루어져야 하는데 거의 대부분의 위협 코드 등은 암호화, 난독화가 되어 있어서 실질적인 분석이 매우 어려운 실정이다. 또한 훈련 목적에 적합한 위협 코드를 항상 확보할 수 있는 것도 아니다.
본 발명의 목적은 사이버전 훈련 환경에서 사이버 공격의 수단 및 방어의 대상이 되는 사이버 위협 트래픽을 모의 기술을 이용하여 훈련 소요에 적합하게 발생시키는 방법 및 장치를 제공하는데 있다.
본원 발명은 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법을 제공한다.
본 발명은, 상기 제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 단계, 상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하는 단계, 상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 단말기들의 결과 정보를 수집하는 단계, 상기 수집된 상기 단말기들의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계를 포함한다.
일 실시 예에 따르면, 상기 사용자가 작성한 훈련 시나리오에는 상기 모의 훈련 데이터의 출발, 도착, 중간 경유 지점을 포함하는 단계, 상기 출발, 도착, 경유 지점 각각에서 발생시키고자 하는 모의 훈련 데이터의 유형을 정의하는 단계, 상기 모의 훈련 데이터를 적용하여 상기 에이전트에서 실행된 결과의 조건 및 분기를 상기 제어 시스템으로 전송하는 단계, 상기 제어 시스템은 상기 전송 받은 조건 및 분기에 대응하는 상기 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계를 포함한다.
일 실시 예에 따르면, 상기 제어 시스템에서 상기 사용자가 작성한 훈련 시나리오와 상기 모의 훈련 데이터를 송신 받을 사이버전 훈련 환경에 대한 정보를 이용하여 프로세스를 생성하는 단계, 상기 데이터 생성부에서 상기 생성된 프로세스에 따라 상기 사용자가 선택한 훈련 시나리오에 대응하는 훈련 데이터를 생성하고, 상기 제어 시스템에서 상기 훈련 데이터를 상기 단말기 내에 설치된 에이전트로 전송하는 단계를 포함한다.
일 실시 예에 따르면, 상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집 받은 상기 결과 정보를 결과 수집 서버로 전송하는 단계, 상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 결과 정보를 이용하여 상기 훈련 시나리오에 따라 진행한 경로 정보를 획득하는 단계를 포함한다.
일 실시 예에 따르면, 상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 결과 정보를 송신 받는 단계, 상기 송신 받은 결과 정보를 이용하여 상기 모의 훈련 데이터의 다음 진행 분기를 결정하는 단계, 상기 제어 시스템에서 상기 결정된 다음 진행 분기에 대응하는 제어 신호를 상기 단말기 내에 설치된 에이전트에 전송하는 단계를 포함한다.
본 발명에 의하면, 사이버전 훈련 소요에 적합한 다양한 형태의 모의 위협 트래픽을 사용자 정의에 따라 자유롭게 생성할 수 있다. 기존의 사이버 공격에 대한 단순한 행위 절차를 작성하는 시나리오 모의에 그치는 것이라 스크립트 기반의 가상 페이로드를 이용하여 네트워크를 통해 실제의 트래픽 형태로 전달되는 모의 위협 트래픽을 확보함에 따라 실제의 환경 혹은 가상모의 환경에서도 모의 위협을 대상으로 하는 다양한 사이버전 훈련의 실시가 가능해진다. 적용 가능한 모의 위협 코드는 사이버전 훈련 소요에 따라 사용자의 요구를 반영해서 지속적으로 개발하여 추가할 수 있다.
이러한 방식을 채택하면 실세계에서 확보가 어려운 다양한 위협 코드에 대응하는 훈련용 위협 트래픽을 훈련 소요에 적합하게 발생시킬 수 있고, 또한 모의 사이버 위협 트래픽은 가상 페이로드를 탑재하고 있기 때문에 훈련 트래픽이 예기치 않은 상황에서 훈련 환경 외부로 유출되어도 실질적인 피해는 발생시키지 않게 되어 보안 안전성 확보가 가능해진다.
도 1은 위협 C&C 서버를 이용한 데이터셋 기반의 모의 위협 트래픽 발생의 전반적인 실행 개념을 나타낸다.
도2는 본 발명에 따른 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법을 설명하는 블록도이다.
도 3는 모의 위협 트래픽 유통 계획을 설명하기 위한 도면이다.
도4는 위협 행위 에이전트의 실행 기능을 나타낸다.
도 5는 위협 C&C 서버를 설명하기 위한 개념도이다.
도 6은 위협 C&C 서버의 설정 제어 기능을 설명하기 위한 도면이다.
도 7은 모의 위협 트래픽 유통 결과 수집 기능을 설명하기 위한 도면이다.
도 8은 모의 위협 트래픽 유통 계획 제어 기능을 설명하기 위한 도면이다.
도 9는 모의 위협 트래픽 유통 계획 제어 기능(330)을 구체적으로 설명하기 위한 도면이다.
도2는 본 발명에 따른 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법을 설명하는 블록도이다.
도 3는 모의 위협 트래픽 유통 계획을 설명하기 위한 도면이다.
도4는 위협 행위 에이전트의 실행 기능을 나타낸다.
도 5는 위협 C&C 서버를 설명하기 위한 개념도이다.
도 6은 위협 C&C 서버의 설정 제어 기능을 설명하기 위한 도면이다.
도 7은 모의 위협 트래픽 유통 결과 수집 기능을 설명하기 위한 도면이다.
도 8은 모의 위협 트래픽 유통 계획 제어 기능을 설명하기 위한 도면이다.
도 9는 모의 위협 트래픽 유통 계획 제어 기능(330)을 구체적으로 설명하기 위한 도면이다.
이하, 첨부된 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어(기술 및 과학적 용어를 포함)는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 사용될 수 있다. 또 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다. 본 명세서에서 사용된 용어는 실시예들을 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다.
도 1은 위협 C&C 서버를 이용한 데이터셋 기반의 모의 위협 트래픽 발생의 전반적인 실행 개념을 나타낸다.
구체적으로 설명하면, 사이버전 훈련에 필요한 사이버 위협을 즉 실제 현실의 위협 코드에 대응되는 위협을 모의 위협 트래픽 유통 계획 형태(110)로 작성하고,
해당 트래픽 유통 계획(110)을 이용해서 전달되는 각각의 위협 행위를 모의하는 가상 페이로드를 개발하여 이를 정상적인 트래픽 데이터셋(150)에 탑재하여 실제의 네트워크 트래픽을 발생시키게 되면 다양한 사이버 위협을 모의하는 훈련 트래픽을 발생시킬 수 있다.
위협 C&C(Command & Control) 서버(190)는 모의 위협 트래픽의 발생을 제어하는 역할을 담당한다. 위협 C&C 서버(190)는 모의가 이루어진 사이버 위협 트래픽 유통 계획(110)을 전달받아 각각의 가상 페이로드를 정상 트래픽 데이터셋에 탑재하여 위협 트래픽 유통 계획에 정의되어 있는 순서 및 방식, 그리고 시간에 따라 사이버 훈련 환경을 구성하고 있는 각각의 가상머신에 설치된 위협 행위 에이전트로(210) 실제의 트래픽으로 발생시켜 전송한다.
트래픽 발생기(170)는 사전에 배포된 정상 트래픽 데이터셋을 기반으로 위협 C&C 서버(190(의 제어 하에 사용자가 지정한 모의 위협 트래픽 유통 계획(110)에 따라 모의 위협 트래픽을 발생하여 훈련 환경으로 공급한다.
트래픽 유통 계획 초기화 과정을 통하여 정상 트래픽 데이터 셋이 사전에 배포된다. 상기 트래픽 유통 계획 초기화 과정은 실제로 트래픽을 유통하기 전 저작된 모의 위협 트래픽 유통 계획(110)과 데이터셋을 이용하여 훈련 데이터셋을 생성하고 이를 배포하는 과정이다. 위협 C&C 서버(190)와 외부의 트래픽 발생기(170)로 데이터셋을 배포하게 된다.
위협 행위 에이전트(210)는 모의 위협 트래픽을 수신하는 호스트에 존재하며, 트래픽에 탑재되어 전달된 가상 페이로드를 해석하여 위협 행위에 대응하는 효과를 발현한다. 즉, 위협 C&C 서버의 제어를 받는 위협 행위 에이전트(210)는 트래픽 데이터셋을 이용하여 모의 위협 트래픽의 가상 페이로드 형태로 전달되는 모의 위협 코드를 수신하면 이를 해석하여 모의 위협 코드에서 정의하고 있는 위협 행위의 실행 효과를 해당 호스트에 적용시킨다.
도2는 본 발명에 따른 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법을 설명하는 블록도이다.
제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 단계(S310), 상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하는 단계(S330), 상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 단말기들의 결과 정보를 수집하는 단계(S350), 상기 수집된 상기 단말기들의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어한다(S370).
상기 제어 시스템은 위협 C&C 서버(190), 사용자가 작성한 훈련 시나리오는 사이버전 훈련에 필요한 사이버 위협을 모의 위협 트래픽 유통 계획(110), 사이버전 모의훈련체계의 단말기는 모의 위협 트래픽을 수신하는 호스트로 이해할 수 있다.
상기 위협 C&C서버(190)가 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 단말기들의 결과 정보를 수집하는 단계(S350)는 전달받은 모의 위협 트래픽 유통 계획을 수행하면서 위협 C&C 서버(190)가 송신/수신하는 트래픽 량을 일정 주기마다 할당 IP 별로 합산하여 이를 결과 수집 서버로 전송하는 기능과 위협 행위 에이전트가 수행한 결과에 의해 위협 트래픽 유통 계획의 분기 조건을 체크하여 진행한 경로 정보를 수집하는 기능으로 이루어진다. 이렇게 수집된 유통 결과는 트래픽 생성/분석 매니저로 전달한다.
상기 수집된 상기 단말기들의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계(S370)은 각 가상머신에 설치된 위협 행위 에이전트에서 보내오는 위협 트래픽 유통 관련 로그를 받아 위협 트래픽의 다음 진행 분기를 결정하고 해당 분기에 대한 정보를 위협 행위 에이전트로 송신하기 위한 단계이다.
도 3는 모의 위협 트래픽 유통 계획을 설명하기 위한 도면이다.
도 3a을 참조하여 설명하면, 모의 위협 트래픽 유통 계획은 훈련이 이루어지는 네트워크 토폴로지(198)를 이용하여 모의 위협 트래픽의 출발 지점과 도착 지점, 그리고 필요한 경우 중간 경유 지점 등을 지정하고 각각의 구간에서 발생시키고자 하는 다양한 위협 트래픽의 유형을 정의하는 방식으로 작성된다.
모의 위협 트래픽 유통 계획은 동일한 가상 페이로드를 타깃이 되는 호스트에 연속적으로 전달하는 단순한 형태로부터 다양한 가상 페이로드를 구간마다 달리 정의하고 각각의 가상 페이로드의 실행 성공 및 실패에 따른 대안 설정 등과 같은 복잡한 형태에 이르기까지 훈련 소요에 따라 다양하게 작성할 수 있다.
또한, 모의 위협 트래픽 유통 계획은 각 모의 위협의 유입 결과 즉, 모의 위협 실행의 성공 및 실패에 따라 조건 및 분기를 설정하여 저작한다.
도3b를 참조하여 설명하면, 이때 위협 행위 에이전트(210)와 통신하여 위협 행위를 제어할 수 있는 명령 제어 서버로서 위협 C&C 서버(190)를 지정한다. 모의 위협 트래픽 유통 계획(110)에서는 위협 C&C 서버(190)가 위협 트래픽 유통 계획(110)에 지정된 제어를 수행할 수 있도록 성공/실패 조건 및 그에 따른 분기를 저작한다. 모의 위협 트래픽 유통 계획에서는 단위 위협 트래픽(230) 단위로 분기를 지정한다. 도면은 단위 위협 트래픽을 기반으로 모의 위협 트래픽을 저작하는 방안을 나타낸다.
도4는 위협 행위 에이전트(210)의 실행 기능을 나타낸다.
구체적으로 설명하면, 위협 행위 에이전트(210)는 각각의 가상 머시네 전달된 모의 위협을 해석하여 이를 실행하는 기능을 제공한다. 이를 위해 위협 행위 에이전트는 위협 트래픽을 통해 가상 페이로드 형태로 전달된 모의 위협 코드를 해석하고 해석한 결과에 맞는 위협 효과 적용 모듈을 호출하여 thread로 생성하여 구동 시킨다. 또한 모의 위협의 해석 및 그 실행 효과는 Plug-in 형태로 개발하여 새로운 모의 위협의 추가 및 변경 등을 용이하게 수행할 수 있도록 지원한다.
도 5는 위협 C&C 서버(190)를 설명하기 위한 개념도이다.
구체적으로 설명하면, 훈련 환경 외부에 구축되는 위협 C&C 서버의 개념을 나타낸다. 위협 C&C 서버는 사이버전 훈련의 훈련자에게는 보이지 않는 훈련 환경 외부(194)에 존재하면서 모의 위협 트래픽의 발생과 제어를 담당한다. 이를 위하여 위협 C&C 서버(190)는 히든(hidden) 라우터(192)를 이용하여 트래픽 발생기(170)와 연동되고 사이버전 훈련 환경을 구성하는 각각의 가상 머신에 존재하는 위협 행위 에이전트(210)를 제어한다.
상기 위협 C&C 서버(190)는 모의 위협 트래픽을 제어하기 위한 서버 기능을 제공하며 위협 트래픽 설정 제어, 위협 트래픽 유통 결과 수집, 위협 트래픽 유통 계획 제어 등의 기능을 수행한다.
도 6은 위협 C&C 서버의 설정 제어 기능을 설명하기 위한 도면이다.
설정 제어 기능은 연결된 사이버전 훈련 환경의 모의 위협 트래픽 유통 계획(110)을 전달받아 초기화 작업을 수행하고 트래픽 유통 중 수집할 정보를 설정하는 기능을 제공한다.
트래픽 유통 계획 초기화란, 실제로 트래픽을 유통하기 전 저작된 모의 위협 트래픽 유통 계획과 데이터셋을 이용하여 훈련 데이터셋을 생성하고 이를 배포하는 과정이다.
사용자가 트래픽 생성/분석 관리 도구에 접속하여 트래픽을 유통시킬 사이버전 훈련 환경과 모의 위협 트래픽 유통 계획을 선택하면 그 정보에 의해 트래픽 생성/분석 매니저 프로세스가 생성되고 해당 프로세스에서 위협 C&C 서버와 외부의 트래픽 발생기로 모의 위협 트래픽 유통 계획 및 데이터셋을 배포하게 된다. 위협 C&C 서버와 트래픽 발생기로 배포되는 데이터셋은 PCAP과 메타데이터의 형태를 갖는다.
상기 설정 제어 기능을 구체적으로 설명하면, 상기 위협 C&C 서버(190)의 설정 제어 기능은 상기 유통 계획 초기화 작업 이전에 하나의 훈련 환경을 제어하는 트래픽 생성/분석 매니저(250)와 위협 C&C 서버(190)간의 제어 채널을 연결하고 위협 C&C 서버의 버전을 체크한다.
또한, 위협 C&C 서버(190)는 위협 행위 에이전트(210)와 한 쌍으로 관리된다. 연결을 수행한 후, 위협 C&C 서버(190)는 해당 훈련 환경에서 운용할 모의 위협 트래픽 유통 계획 전부를 트래픽 생성/분석 매니저(250)로부터 전달받아 저장한다.
상기 전달받은 개별 위협 트래픽 유통 계획(110)을 실행할 thread를 생성하여 thread에 할당된 모의 위협 트래픽 유통 계획과 연관된 위협 행위 에이전트(210)와의 제어 채널 연결 작업을 수행한다.
또한, 위협 C&C 서버(190)는 트래픽 생성/분석 매니저(250)와 제어 채널로 연결된 후, 트래픽 유통 계획 초기화 작업 수행 시 위협 행위 에이전트(210)와의 제어 채널 연결 및 트래픽 유통 채널 구성을 수행한다.
상기 위협 행위 관련 절차는 트래픽 생성/분석 매니저(250)에서 위협 C&C 서버(190)로 전달되어 설정된다. 또한 위협 행위 관련 트래픽의 PCAP 형태 데이터셋은 트래픽 유통 계획에 의해 위협 행위 에이전트 및 위협 C&C 서버로 배포된다.
도 7은 모의 위협 트래픽 유통 결과 수집 기능을 설명하기 위한 도면이다.
구체적으로 설명하면, 위협 트래픽 유통 결과 수집 기능은 전달받은 모의 위협 트래픽 유통 계획(110)을 수행하면서 위협 C&C 서버(190)가 송신/수신하는 트래픽 량을 일정 주기마다 할당 IP 별로 합산하여 이를 결과 수집 서버로 전송하는 기능과 위협 행위 에이전트(210)가 수행한 결과에 의해 위협 트래픽 유통 계획의 분기 조건을 체크하여 진행한 경로 정보를 수집하는 기능으로 이루어진다.상기 수집된 유통 결과는 트래픽 생성/분석 매니저(250)로 전달한다.
도 8은 모의 위협 트래픽 유통 계획 제어 기능(330)을 설명하기 위한 도면이다.
구체적으로 설명하면, 위협 트래픽 유통 계획 제어 기능은 각 가상머신에 설치된 위협 행위 에이전트(210)에서 보내오는 위협 트래픽 유통 관련 로그(290)를 받아 위협 트래픽의 다음 진행 분기를 결정하고 해당 분기에 대한 정보를 위협 행위 에이전트(210)로 송신하기 위한 기능을 제공한다.
도 9는 모의 위협 트래픽 유통 계획 제어 기능(330)을 구체적으로 설명하기 위한 도면이다.
모의 위협 트래픽 유통 계획은 훈련이 이루어지는 네트워크 토폴로지를 이용하여 모의 위협 트래픽의 출발 지점과 도착 지점, 그리고 필요한 경우 중간 경유 지점 등을 지정하고 각각의 구간에서 발생시키고자 하는 다양한 위협 트래픽의 유형을 정의하는 방식으로 작성된다.
상기 각 가상머신에 설치된 위협 행위 에이전트(210)에서 사전에 사용자가 작성한 분기별 상기 모의 위협 트래픽 유통계획을 실행 시킨 결과에 따른 성공, 실패 여부에 대한 위협 트래픽 유통 관련(290)을 위협 C&C서버(190)에서 받아, 사전에 작성된 다음 분기에서의 모의 위협 트래픽 유통계획을 상기 위협 행위 에이전트(210)로 전송하여 제어 할 수 있다.
이상 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예 시적인 것이며 한정적인 것이 아닌 것으로 이해해야만 한다.
110 : 모의 위협 트래픽 유통 계획 생성
130 : 트래픽 생성, 분석 관리 도구
150 : 데이터셋 설정 및 배포
170 : 트래픽 발생기
190 : 위협 C&C 서버
192 : 히든 라우터
194 : 관리자 visible 영역
196 : 훈련자 visible 영역
198 : 네트워크 토폴로지
210 : 위협 에이전트
212 : 위협 행위
214 : 위협 트래픽 유통 계획통제를 위한 로그 송신부
230 : 단위 위협 트래픽
232 : 매니저 제어
250 : 트래픽 생성, 분석 매니저
270 : 실 유통 트래픽 정보
290 : 위협 트래픽 유통계획 분기 실행 관련 로그 기록
310 : 결과 수집
330 : 위협 행위 에이전트 내 트래픽 유통 제어
130 : 트래픽 생성, 분석 관리 도구
150 : 데이터셋 설정 및 배포
170 : 트래픽 발생기
190 : 위협 C&C 서버
192 : 히든 라우터
194 : 관리자 visible 영역
196 : 훈련자 visible 영역
198 : 네트워크 토폴로지
210 : 위협 에이전트
212 : 위협 행위
214 : 위협 트래픽 유통 계획통제를 위한 로그 송신부
230 : 단위 위협 트래픽
232 : 매니저 제어
250 : 트래픽 생성, 분석 매니저
270 : 실 유통 트래픽 정보
290 : 위협 트래픽 유통계획 분기 실행 관련 로그 기록
310 : 결과 수집
330 : 위협 행위 에이전트 내 트래픽 유통 제어
Claims (10)
- 사이버전 모의 훈련을 위한 제어 시스템의 제어 방법으로,
상기 제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 단계;
상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하는 단계;
상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 적어도 하나 이상의 사이버전 모의 훈련체계의 단말기의 결과 정보를 수집하는 단계; 및
상기 수집된 단말기의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 단계를 포함하고,
상기 모의 훈련 데이터는 위협 행위를 모의하는 가상의 페이로드를 탑재한 트래픽 데이터 셋을 포함하고,
상기 에이전트는 상기 가상의 페이로드를 해석하여 상기 위협 행위의 실행 효과를 상기 단말기에 적용하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어시스템의 제어 방법. - 제1 항에 있어서,
상기 사용자가 작성한 훈련 시나리오에는 상기 모의 훈련 데이터의 출발, 도착, 적어도 하나 이상의 중간 경유 지점을 포함하는 단계;
상기 출발, 도착, 적어도 하나 이상의 중간 경유 지점 각각에서 발생시키고자 하는 모의 훈련 데이터의 유형을 정의하는 단계;
상기 모의 훈련 데이터를 적용하여 상기 에이전트에서 실행된 결과를 상기 제어 시스템으로 전송하는 단계;
상기 제어 시스템은 전송받은 결과에 따라 상기 모의 훈련 데이터 유형을 재 정의하여 상기 단말기를 제어하는 단계를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어시스템의 제어 방법. - 제1 항에 있어서,
상기 제어 시스템에서 상기 사용자가 작성한 훈련 시나리오와 상기 모의 훈련 데이터를 송신 받을 사이버전 훈련 환경에 대한 정보를 이용하여 프로세스를 생성하는 단계; 및
상기 데이터 생성부에서 상기 생성된 프로세스에 따라 상기 사용자가 작성한 훈련 시나리오에 대응하는 상기 모의 훈련 데이터를 생성하고, 상기 제어 시스템에서 상기 모의 훈련 데이터를 상기 단말기 내에 설치된 에이전트로 전송하는 단계를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템의 제어 방법. - 제1 항에 있어서,
상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집 받은 상기 결과 정보를 결과 수집 서버로 전송하는 단계;
상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 결과 정보를 이용하여 상기 훈련 시나리오에 따라 진행한 경로 정보를 획득하는 단계를 포함하는 것을 특징으로 하는 사이버전 모의훈련을 위한 제어시스템의 제어 방법. - 제4 항에 있어서,
상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 결과 정보를 송신 받는 단계;
상기 송신 받은 결과 정보를 이용하여 상기 모의 훈련 데이터의 다음 진행 분기를 결정하는 단계;
상기 제어 시스템에서 상기 결정된 다음 진행 분기에 대응하는 제어 신호를 상기 단말기 내에 설치된 에이전트에 전송하는 단계를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어시스템의 제어 방법. - 사이버전 모의 훈련을 위한 제어 시스템으로서,
상기 제어 시스템에서 사용자가 작성한 훈련 시나리오를 이용하여 데이터 생성부에서 모의 훈련 데이터를 생성하는 데이터 생성부;
상기 생성된 모의 훈련 데이터를 적어도 하나 이상의 사이버전 모의훈련체계의 단말기에 전송하고, 상기 제어 시스템이 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 적어도 하나 이상의 사이버전 모의 훈련체계의 단말기의 결과 정보를 수집하여, 상기 수집된 단말기의 결과 정보에 따라 상기 제어 시스템에서 다음 진행 단계를 결정하여 상기 단말기를 제어하는 제어부를 포함하고,
상기 모의 훈련 데이터는 위협 행위를 모의하는 가상의 페이로드를 탑재한 트래픽 데이터 셋을 포함하고,
상기 에이전트는 상기 가상의 페이로드를 해석하여 상기 위협 행위의 실행 효과를 상기 단말기에 적용하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템. - 제6 항에 있어서,
상기 사용자가 작성한 훈련 시나리오에는 상기 모의 훈련 데이터의 출발, 도착, 적어도 하나 이상의 중간 경유 지점을 포함되며, 상기 출발, 도착, 적어도 하나 이상의 중간 경유 지점 각각에서 발생시키고자 하는 모의 훈련 데이터의 유형을 정의하고, 상기 모의 훈련 데이터를 적용하여 상기 에이전트에서 실행된 결과를 상기 제어 시스템으로 전송되며 상기 제어 시스템은 전송받은 결과에 따라 상기 모의 훈련 데이터 유형을 재 정의하여 상기 단말기를 제어하는 제어부를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템. - 제6 항에 있어서,
상기 제어 시스템에서 상기 사용자가 작성한 훈련 시나리오와 상기 모의 훈련 데이터를 송신 받을 사이버전 훈련 환경에 대한 정보를 이용하여 프로세스를 생성하는 상기 제어 시스템을 포함하고, 상기 데이터 생성부에서 상기 생성된 프로세스에 따라 상기 사용자가 작성한 훈련 시나리오에 대응하는 상기 모의 훈련 데이터를 생성하고, 상기 제어 시스템에서 상기 모의 훈련 데이터를 상기 단말기 내에 설치된 에이전트로 전송하는 제어부를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템. - 제6 항에 있어서,
상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집 받은 상기 결과 정보를 결과 수집 서버로 전송하고, 상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 수집되는 상기 결과 정보를 이용하여 상기 훈련 시나리오에 따라 진행한 경로 정보를 획득하는 제어부를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템. - 제9 항에 있어서,
상기 제어 시스템에서 상기 단말기 내에 설치된 에이전트를 통해 결과 정보를 송신 받은 결과 정보를 이용하여 상기 모의 훈련 데이터의 다음 진행 분기를 결정하며, 상기 제어 시스템에서 상기 결정된 다음 진행 분기에 대응하는 제어 신호를 상기 단말기 내에 설치된 에이전트에 전송하는 제어부를 포함하는 것을 특징으로 하는 사이버전 모의 훈련을 위한 제어 시스템.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190146855A KR102223775B1 (ko) | 2019-11-15 | 2019-11-15 | 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020190146855A KR102223775B1 (ko) | 2019-11-15 | 2019-11-15 | 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR102223775B1 true KR102223775B1 (ko) | 2021-03-05 |
Family
ID=75164187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020190146855A KR102223775B1 (ko) | 2019-11-15 | 2019-11-15 | 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR102223775B1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102617219B1 (ko) * | 2023-09-09 | 2023-12-27 | 주식회사 엔키 | 악성 코드를 이용한 침투 테스트 방법 및 장치 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003316248A (ja) * | 2002-04-22 | 2003-11-07 | Mitsubishi Heavy Ind Ltd | 訓練装置及び訓練シナリオ生成プログラム |
| KR20080072770A (ko) * | 2007-01-31 | 2008-08-07 | 성균관대학교산학협력단 | 취약점 분석을 위한 사이버 공격 시스템 및 그 공격 방법 |
| KR101534192B1 (ko) * | 2014-12-08 | 2015-07-08 | 한국인터넷진흥원 | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 |
-
2019
- 2019-11-15 KR KR1020190146855A patent/KR102223775B1/ko active IP Right Grant
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003316248A (ja) * | 2002-04-22 | 2003-11-07 | Mitsubishi Heavy Ind Ltd | 訓練装置及び訓練シナリオ生成プログラム |
| KR20080072770A (ko) * | 2007-01-31 | 2008-08-07 | 성균관대학교산학협력단 | 취약점 분석을 위한 사이버 공격 시스템 및 그 공격 방법 |
| KR101534192B1 (ko) * | 2014-12-08 | 2015-07-08 | 한국인터넷진흥원 | 사이버보안 실시간 공격대응 교육훈련을 제공하기 위한 시스템 및 그 방법 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102617219B1 (ko) * | 2023-09-09 | 2023-12-27 | 주식회사 엔키 | 악성 코드를 이용한 침투 테스트 방법 및 장치 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101460589B1 (ko) | 사이버전 모의 훈련 관제 서버 | |
| JP6818033B2 (ja) | ミッションベースの、ゲームによって実現されるサイバートレーニングシステム、および方法 | |
| Standen et al. | Cyborg: A gym for the development of autonomous cyber agents | |
| CN111327463B (zh) | 一种基于虚拟化的工业互联网安全实训平台 | |
| CN112153010B (zh) | 一种网络安全靶场系统及其运行方法 | |
| Korniyenko et al. | Design and research of mathematical model for information security system in computer network | |
| CN103701777A (zh) | 基于虚拟化和云技术的远程网络攻防虚拟仿真系统 | |
| Bratus et al. | Teaching the principles of the hacker curriculum to undergraduates | |
| CN107483484A (zh) | 一种攻击防护演练方法和装置 | |
| Formby et al. | Lowering the barriers to industrial control system security with {GRFICS} | |
| CN113489603B (zh) | 一种网络靶场中交互式背景流量发生方法与系统 | |
| CN111294333A (zh) | 一种开放式的自适应漏洞演练平台的构建系统 | |
| KR102223775B1 (ko) | 사이버전 모의 훈련을 위한 제어시스템 및 제어시스템의 제어 방법 | |
| CN108605264A (zh) | 网络管理 | |
| KR102118382B1 (ko) | 사이버 위협에 대비한 훈련 프로그램 제공 장치 | |
| CN112866036B (zh) | 云计算平台的网络流量仿真方法、系统及计算机存储介质 | |
| KR102139370B1 (ko) | 트래픽 발생 장치, 트래픽 에이전트 장치 및 이를 포함하는 트래픽 발생 시스템 | |
| CN112333025B (zh) | 网络安全模拟训练方法、装置及系统 | |
| CN116962057A (zh) | 多人协同的网络安全应急响应和演练平台及其操作方法 | |
| KR102381277B1 (ko) | 사이버 공격을 방어하기 위한 보안 방법 및 장치 | |
| Park et al. | Development of Incident Response Tool for Cyber Security Training Based on Virtualization and Cloud | |
| CN114758545A (zh) | 一种创造开放网络且内控感知用于网络空间研究实践方法 | |
| Chaskos | Cyber-security training: a comparative analysis of cyberranges and emerging trends | |
| Timmins et al. | Offensive cyber security trainer for platform management systems | |
| Damodaran et al. | CRIS Cyber Range Lexicon, Version 1.0 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |