KR102382317B1 - 사이버 훈련 도구 다운로드 시스템 및 방법 - Google Patents

사이버 훈련 도구 다운로드 시스템 및 방법 Download PDF

Info

Publication number
KR102382317B1
KR102382317B1 KR1020200137770A KR20200137770A KR102382317B1 KR 102382317 B1 KR102382317 B1 KR 102382317B1 KR 1020200137770 A KR1020200137770 A KR 1020200137770A KR 20200137770 A KR20200137770 A KR 20200137770A KR 102382317 B1 KR102382317 B1 KR 102382317B1
Authority
KR
South Korea
Prior art keywords
training
network
tool
training tool
management
Prior art date
Application number
KR1020200137770A
Other languages
English (en)
Inventor
김동화
조완수
김대식
이창원
류한얼
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020200137770A priority Critical patent/KR102382317B1/ko
Application granted granted Critical
Publication of KR102382317B1 publication Critical patent/KR102382317B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/95Retrieval from the web
    • G06F16/955Retrieval from the web using information identifiers, e.g. uniform resource locators [URL]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/09Mapping addresses
    • H04L61/25Mapping addresses of the same type
    • H04L61/2503Translation of Internet protocol [IP] addresses
    • H04L61/256NAT traversal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/06Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45595Network integration; Enabling network access in virtual machine instances

Abstract

훈련 도구 다운로드 방법 및 훈련 도구 다운로드 시스템이 개시된다. 본 발명의 일 실시예에 따른 훈련 도구 다운로드 방법은, 훈련자가 관리 네트워크 상의 도구 관리 웹서버를 이용하여 훈련 도구를 검색 및 선택하는 단계, 상기 훈련자가 상기 선택된 훈련 도구에 기초하여 훈련 네트워크 상의 다운로드 대상 가상 머신을 선택하는 단계 및 상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구를 다운로드하는 단계를 포함할 수 있다.

Description

사이버 훈련 도구 다운로드 시스템 및 방법{METHOD AND SYSTEM FOR DOWNLOADING CYBER TRAINING TOOL}
본 발명은 사이버 훈련 도구 다운로드 시스템 및 방법에 관한 것이다. 보다 구체적으로, 본 발명은 사이버 훈련을 위한 환경에서, 훈련 목적의 훈련 네트워크와 훈련 도구 다운로드를 위한 제어 네트워크가 분리된 훈련 도구 다운로드 시스템 및 방법에 관한 것이다.
정보화 기술의 발전으로 기존에 오프라인 영역에서 이루어지던 많은 활동들이 온라인 영역으로 옮겨지고 있다. 한편, 네트워크를 기반으로 하는 온라인 환경이 발전하는 것에 비례하여 사이버 공격 또한 지속적으로 증가하고 있으며, 그 파급력 또한 커지고 있다.
이러한 사이버 공간은 일상적인 생활 영역을 넘어서, 집단 혹은 국가 간의 대립이 이루어지는 장소이다. 따라서, 사이버 공격으로부터 집단의 이익, 국가의 이익을 보호하기 위해 다양한 민간 및 군 기관에서는 사이버 훈련을 위한 환경을 구축하고, 이에 대한 훈련을 시행하고 있다.
사이버 훈련 환경은 사이버 공격의 위험성으로 인해 통상적으로 인터넷에 연결되지 않은 독립적인 네트워크 환경으로 구성되며, 환경 구성 및 운영의 편의성을 고려하여 하이퍼바이저를 기반으로 하는 가상 환경으로 구축되고 있다. 가상 환경에서의 훈련을 위해서 사전에 훈련자에게 할당되는 가상 머신에, 훈련 도중 필요한 환경이 설정되고, 훈련 도구가 설치될 수 있다.
하지만, 훈련 중에도 필요한 도구를 다운로드 할 필요가 있고, 훈련자가 직접 필요한 도구를 찾고 선택하는 과정 또한 훈련의 한 과정이므로, 공격 및 방어가 이루어지는 환경 외에도 훈련 도구 제공 및 공급이 가능한 환경이 별도로 구축될 필요가 있다.
본 발명이 해결하고자 하는 과제는 사이버 훈련 도구 다운로드 시스템 및 방법을 제공하는 것이다.
또한, 본 발명이 해결하고자 하는 과제는, 훈련 목적의 훈련 네트워크와 훈련 도구 다운로드를 위한 제어 네트워크가 분리된 훈련 도구 다운로드 시스템 및 방법을 제공하는 것이다.
본 발명에서 이루고자 하는 기술적 과제들은 이상에서 언급한 기술적 과제들로 제한되지 않으며, 언급하지 않은 또 다른 기술적 과제들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
본 발명의 일 실시예에 따른 훈련 도구 다운로드 방법은, 훈련자가 관리 네트워크 상의 도구 관리 웹서버를 이용하여 훈련 도구를 검색 및 선택하는 단계, 상기 훈련자가 상기 선택된 훈련 도구에 기초하여 훈련 네트워크 상의 다운로드 대상 가상 머신을 선택하는 단계 및 상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구를 다운로드하는 단계를 포함할 수 있다.
상기 훈련 도구 다운로드 방법에 있어서, 상기 훈련 네트워크는 복수 개이며, 상기 복수 개의 훈련 네트워크는 VXLAN(Virtual Extensible Local Area Network)을 이용하여 동일한 IP 대역을 사용할 수 있다.
상기 훈련 도구 다운로드 방법에 있어서, 상기 다운로드하는 단계는, 상기 도구 관리 웹서버가 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보를 기반으로 메시지를 생성하는 단계를 포함할 수 있다.
상기 훈련 도구 다운로드 방법에 있어서, 상기 메시지를 생성하는 단계는, 제어 네트워크 상의 메시지 서버에서 수행될 수 있다.
상기 훈련 도구 다운로드 방법에 있어서, 상기 다운로드하는 단계는, 상기 훈련 네트워크 상의 에이전트가 상기 생성된 메시지에 기초하여 상기 메시지 서버로부터 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보를 획득하는 단계 및 상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보에 기초하여 상기 제어 네트워크 상의 훈련 도구 저장소로부터 상기 선택된 훈련 도구를 다운로드하는 단계를 더 포함할 수 있다.
상기 훈련 도구 다운로드 방법에 있어서, 상기 제어 네트워크 및 상기 관리 네트워크는 Edge 라우터에 기초하여 각각 다른 IP 대역이 할당되며, 상기 Edge 라우터는 NAT(Network Address Translation)를 사용할 수 있다.
본 발명의 다른 실시예에 따른 훈련 도구 다운로드 시스템은, 관리 네트워크 상의 도구 관리 웹서버를 포함하고, 상기 도구 관리 웹서버는, 훈련자가 훈련 도구를 검색 및 선택하고, 상기 훈련자가 상기 선택된 훈련 도구에 기초하여 훈련 네트워크 상의 다운로드 대상 가상 머신을 선택하는 데 이용될 수 있다.
상기 훈련 도구 다운로드 시스템에 있어서, 상기 훈련 네트워크는 복수 개이며, 상기 복수 개의 훈련 네트워크는 VXLAN(Virtual Extensible Local Area Network)을 이용하여 동일한 IP 대역을 사용할 수 있다.
상기 훈련 도구 다운로드 시스템에 있어서, 상기 시스템은 제어 네트워크 상의 메시지 서버를 더 포함하고, 상기 도구 관리 웹서버가 상기 메시지 서버를 이용해 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보를 기반으로 메시지를 생성할 수 있다.
상기 훈련 도구 다운로드 시스템에 있어서, 상기 제어 네트워크 및 상기 관리 네트워크는 Edge 라우터에 기초하여 각각 다른 IP 대역이 할당되며, 상기 Edge 라우터는 NAT(Network Address Translation)를 사용할 수 있다.
본 발명의 일 실시예에 따르면, 사이버 훈련 도구 다운로드 시스템 및 방법이 제공될 수 있다.
또한, 본 발명의 일 실시예에 따르면, 훈련 목적의 훈련 네트워크와 훈련 도구 다운로드를 위한 제어 네트워크가 분리된 훈련 도구 다운로드 시스템 및 방법이 제공될 수 있다.
또한, 본 발명의 일 실시예에 따르면, 훈련 네트워크와 제어 네트워크가 구분되어, 가상 훈련 환경에서 발생될 수 있는 위험성이 차단되는 훈련 도구 다운로드 시스템 및 방법이 제공될 수 있다.
본 발명의 실시예에서 얻을 수 있는 효과는 이상에서 언급한 효과들로 제한되지 않으며, 언급하지 않은 또 다른 효과들은 아래의 기재로부터 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 명확하게 이해될 수 있을 것이다.
도 1은 본 발명의 일 실시예에 따른 훈련 도구 다운로드 시스템을 설명하기 위한 도면이다.
도 2는 본 발명의 일 실시예에 따른 훈련자가 도구 관리 웹서버를 통해 훈련 도구 다운로드를 요청하는 과정을 설명하기 위한 도면이다.
도 3은 본 발명의 일 실시예에 따른 훈련 네트워크 상의 에이전트가 메시지 서버를 이용하여 훈련 도구를 다운로드 받는 과정을 설명하기 위한 도면이다.
도 4는 본 발명의 일 실시예에 따른 훈련 도구 다운로드 방법을 설명하기 위한 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 도면부호는 동일 구성 요소를 지칭한다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
이하 사용되는 '…부', '…기' 등의 용어는 적어도 하나의 기능이나 동작을 처리하는 단위를 의미하며, 이는 하드웨어나 소프트웨어, 또는, 하드웨어 및 소프트웨어의 결합으로 구현될 수 있다.
사이버 훈련을 위한 독립된 네트워크 환경 내에서, 훈련 도구가 제공되기 위한 파일 서버 형태의 환경이 구축될 수도 있다. 그러나, 이렇게 훈련 환경과 직접 연결된 네트워크를 통해 훈련 도구 제공 환경이 구성될 경우, 도구 제공 환경이 훈련에 의해 영향을 받을 수 있다. 또한, 두 개 이상의 훈련 세션이 운영될 경우, 각 훈련 세션이 파일 서버를 통해 연결되므로, 독립된 네트워크 환경이라고 할 수 없다.
따라서, 본 발명의 일 실시예에 의하면, 훈련 목적의 네트워크와 도구 다운로드 등에 사용되는 제어 네트워크가 분리되어, 가상의 훈련 환경에서 발생할 수 있는 위험성이 차단되는 환경이 구축되고, 제어 네트워크를 통해 위협/방어 훈련 도구가 제공되는 시스템이 제공될 수 있다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 상세히 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 훈련 도구 다운로드 시스템을 설명하기 위한 도면이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 훈련 도구 다운로드 시스템은, 적어도 하나 이상의 훈련 네트워크(110), 제어 네트워크(120) 및 관리 네트워크(130)를 포함하는 네트워크 환경에서 훈련 도구 다운로드 방법을 수행할 수 있다. 이때, 각 훈련 네트워크(110) 환경은, 독립된 네트워크 환경으로 구성될 수 있으며, 훈련에는 사이버 공격 훈련 및 사이버 공격에 대응한 방어 훈련을 포함할 수 있으나 반드시 이에 제한되는 것은 아니다.
한편, 일 실시예에 따른 훈련 도구 다운로드 시스템은, 메시지 서버(140), 훈련도구 저장소(150), 도구 관리 웹서버(160), 네트워크 스위치 및 Edge 라우터 등을 포함할 수 있다. 상술한 각 모듈은 가상 환경 상에서 가상 머신, 가상 스위치 또는 가상 라우터 형태로 구성될 수 있다.
훈련 네트워크(110) 환경에는, 사이버 공격/방어 훈련을 위한 적어도 하나 이상의 서버 및 단말 등의 노드들이 포함될 수 있다. 사이버 훈련 환경에 포함될 수 있는 일반적인 서버 및 단말들은 공지된 기술이므로 설명을 생략하도록 한다.
각 훈련 네트워크(110) 환경은 다른 훈련 네트워크의 영향을 받지 않도록 독립된 네트워크 환경으로 구성될 수 있다. 인터넷에 연결되지 않는 독립된 환경이므로 공인 IP 대역이 사용되어 훈련 대상이 되는 네트워크 대역이 그대로 가상 환경에 구축될 수 있다. 또한, 훈련 네트워크(110) 환경에는 오버레이 네트워크 기술인 VXLAN(Virtual Extensible Local Area Network)이 활용되어 동일한 IP가 사용되는 훈련 환경들이 동시에 독립된 환경으로 구축되어 활용될 수 있다.
훈련 네트워크(110) 환경에 포함되는 서버 및 단말 등의 노드는 훈련 네트워크(110) 대역에 연결됨과 동시에 훈련 데이터 수집, 에이전트 제어, 훈련 도구 제공 등을 위한 제어 네트워크(120)에 연결될 수 있다. 제어 네트워크(120)는 훈련 외적인 부분으로, 훈련자가 활용 및 접근할 수 있는 대상에서는 제외된다.
메시지 서버(140)는 Publish-Subcribe 모델을 기반으로 메시지를 처리하는 서버를 의미할 수 있다. 도 1에 도시된 바와 같이, 메시지 서버(140)는 제어 네트워크(120) 상에 연결될 수 있다.
훈련자가 훈련 도구의 다운로드를 요청하는 메시지를 Publish할 경우, 해당 메시지가 메시지 서버(140)에 저장되고, 훈련 환경에 존재하는 훈련 에이전트는 메시지 서버(140)로부터 훈련 도구 다운로드 요청 메시지를 Subscription할 수 있다.
훈련 도구 저장소(150)는 사이버 훈련에 필요한 공격 및 방어 도구들이 파일 서버 형태로 구축된 노드를 의미할 수 있다. 도 1에 도시된 바와 같이, 훈련 도구 저장소(150)는 제어 네트워크(120) 상에 연결될 수 있다.
한편, 훈련자가 특정 경로에 위치한 훈련 도구를 다운로드 요청할 경우, 훈련 환경에 존재하는 훈련 에이전트가 FTP(File Transfer Protocol) 프로토콜을 통해 훈련 도구 저장소(150)로부터 해당 도구를 다운로드할 수 있다.
도구 관리 웹서버(160)는 훈련자가 웹 인터페이스를 통해 훈련 도구 저장소(150)에 구축된 훈련 도구들의 목록을 확인하고, 도구를 추가, 수정 및/또는 삭제할 수 있도록 관리 기능을 제공할 수 있다. 훈련 관리자는 도구 관리 웹서버(160)를 통해 인터넷에서 확보가 가능한 훈련 도구를 포함하여 사이버 훈련에 필요한 훈련 도구를 관리할 수 있다. 훈련자가 도구 관리 웹서버(160)를 통해 훈련 도구 다운로드를 요청하는 과정에 대하여는 도 2에서 설명한다.
한편, 네트워크 스위치 및 Edge 라우터는 독립된 훈경 환경으로 구성된 훈련 네트워크(110), 훈련 외적인 부분을 처리하는 제어 네트워크(120) 및 관리 네트워크(130)를 구분하는 데 사용될 수 있다.
훈련 네트워크(110)는 훈련 환경 구성에 따라 다양한 IP 대역을 가질 수 있으며, 가상 스위치 및 가상 라우터를 포함한 형태의 네트워크로 구성될 수 있으나, 반드시 이에 제한되는 것은 아니다.
제어 네트워크(120)는 제어 네트워크 스위치를 기반으로 훈련 환경의 서버 및 단말과 연결될 수 있고, 메시지 서버(140) 및 훈련 도구 저장소(150)와도 연결되어 훈련 도구를 제공하는 통로 역할을 할 수 있다. 도 1을 참조하면, 상기 제어 네트워크 스위치는 예를 들어 10.10.0.0/16 대역의 IP를 가질 수 있다.
관리 네트워크(130)는 훈련 환경의 외부에 위치하며, 관리 네트워크 스위치를 기반으로 도구 관리 웹서버(160) 등 훈련 환경을 전반적으로 관리하기 위한 시스템과 연결될 수 있다. 도 1을 참조하면, 상기 관리 네트워크 스위치는 예를 들어 172.168.0.0/24 대역의 IP를 가질 수 있다.
Edge 라우터는 내부 훈련 환경과 외부 훈련 환경을 구분하는 경계 지점 역할을 할 수 있다. 이때, Edge 라우터에는 네트워크 주소 변환(NAT, Network Address Translation) 기능이 적용될 수 있다. NAT는 IP 패킷의 TCP/UDP 포트 번호와 소스 및 목적 지의 IP 주소를 변경하여 라우터를 통해 네트워크 트래픽을 주고 받는 기술을 의미할 수 있다. 또한, NAT는 예를 들어 주로 인터넷과 사설 네트워크 사이에서 사설 네트워크에 속한 여러 개의 호스트가 하나의 공인 IP 주소를 사용하여 인터넷에 접속하기 위한 용도로 사용될 수 있다. 한편, 사설 네트워크에서 외부의 인터넷에 위치한 공인 IP로 접근 시, Source IP 변경이 이루어지므로 외부에서는 사설 네트워크에 위치한 노드의 IP를 알 수 없어, 사이버 공격이 난무하는 인터넷으로부터 사설 네트워크의 자산을 보호하는 효과가 있다.
본 발명의 일 실시예에서는, 위험성이 높은 사이버 위협/방어 훈련이 시행되는 훈련 환경으로부터 훈련 환경 외부에 위치한 관리 네트워크를 보호하기 위해 NAT 설정을 적용하였다.
본 발명의 일 실시예에 따르면, 관리 네트워크(130)에서 제어 네트워크(120)로 접근 시, Source NAT가 적용되어 Source IP인 관리 네트워크 IP가 제어 네트워크(120)의 GW(Gateway) IP로 변경될 수 있다. 이를 통해, 사이버 훈련 환경에서 악성 코드 등이 제어 네트워크(120)로 전파된다고 하더라도 Edge 라우터에 적용된 NAT로 인해 훈련 환경 외부에 위치한 관리 네트워크(130)의 자산이 보호될 수 있다. 이러한 네트워크 구성 환경 상에서 훈련 도구 다운로드 요청 메시지는 Edge 라우터를 거쳐 Source IP가 변경되어 제어 네트워크(120)에 위치한 메시지 서버(140)로 전달되어 저장될 수 있다.
도 2는 본 발명의 일 실시예에 따른 훈련자가 도구 관리 웹서버를 통해 훈련 도구 다운로드를 요청하는 과정을 설명하기 위한 도면이다.
도 2를 참조하면, 훈련자는 관리 네트워크(130) 상의 도구 관리 웹서버(160)에서 제공하는 도구 관리 웹사이트에 접속할 수 있다(S201). 그리고, 훈련자는 키워드 검색 기능을 이용해 다양한 훈련 도구를 검색 및 선택할 수 있다(S202 및 S203). 또한, 훈련자는 선택된 훈련 도구에 기초하여 본인에게 할당된 훈련 대상인 대상 가상 머신을 선택하고(S204), 훈련 도구 다운로드를 요청할 수 있다(S205).
훈련자가 다운로드를 요청한 경우, 도구 관리 웹서버(160)는 메시지 서버(140)에 접속하여 다운로드 대상 훈련 도구의 파일 경로 및 다운로드 대상 가상머신에 대한 정보를 기반으로 메시지를 생성하고, 메시지 서버로 메시지를 Publish할 수 있다.
도 3은 본 발명의 일 실시예에 따른 훈련 네트워크 상의 에이전트가 메시지 서버를 이용하여 훈련 도구를 다운로드 받는 과정을 설명하기 위한 도면이다.
도 3을 참조하면, 훈련 환경 상의 각 가상 머신에 위치한 훈련 에이전트는 메시지 서버(140)에 접속하여 자신이 Subscription할 메시지를 설정 및 등록할 수 있다(S301 및 S302). 이때, 상기 메시지에는 훈련 도구의 파일 경로 및 다운로드 대상 가상 머신에 대한 정보가 포함될 수 있다.
그리고, 훈련 에이전트는 주기적으로 메시지 서버(140) 조회를 통해 자신에게 할당된 메시지가 있는지 조회할 수 있다(S303).
이때, 상기 S303단계에서 자신에게 할당된 메시지가 존재하는 경우(S304 - 'Y'), 메시지 서버(140)로부터 메시지를 Subscribe(S305)하여 다운로드할 도구의 경로를 획득하고(S306), 훈련 도구 저장소(150)에 접속하여(S307), FTP 프로토콜을 통해 상기 경로에 위치한 훈련 도구를 자동으로 다운로드할 수 있다(S308). 이후, 훈련 에이전트는 다시 메시지 서버(140) 조회를 통해 자신에게 할당된 메시지가 있는지 조회할 수 있다(S303).
반면, 상기 S303단계에서 자신에게 할당된 메시지가 존재하지 않는 경우(S304 - 'N'), 훈련 에이전트는 다시 메시지 서버(140) 조회를 통해 자신에게 할당된 메시지가 있는지 조회할 수 있다(S303). 이하, 도 4와 관련된 설명에서 본 발명의 일 실시예에 따른 훈련 도구 다운로드 방법을 설명하도록 한다.
도 4는 본 발명의 일 실시예에 따른 훈련 도구 다운로드 방법을 설명하기 위한 도면이다.
도 4를 참조하면, 훈련 도구 다운로드 방법은 상술한 훈련 도구 다운로드 시스템에 의해 수행될 수 있다.
훈련자는 관리 네트워크(130) 상의 도구 관리 웹서버(160)를 이용하여 훈련 도구를 검색 및 선택할 수 있다(S401). 이때, 상기 훈련 도구 검색에는 키워드 검색 등이 이용될 수 있다.
또한, 상기 훈련자가 상기 선택된 훈련 도구에 기초하여 훈련 네트워크(110) 상의 다운로드 대상 가상 머신을 선택할 수 있다(S402). 이때, 상기 훈련 네트워크는 복수 개이며, 상기 복수 개의 훈련 네트워크는 VXLAN(Virtual Extensible Local Area Network)을 이용하여 동일한 IP 대역을 사용할 수 있다.
그리고, 상기 선택된 대상 가상 머신은, 상기 선택된 훈련 도구를 다운로드할 수 있다(S403). 상기 S403단계는, 상기 도구 관리 웹서버(160)가 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보를 기반으로 메시지를 생성하는 단계를 포함할 수 있다. 이때, 상기 메시지를 생성하는 단계는, 제어 네트워크(120) 상의 메시지 서버(140)에서 수행될 수 있다.
한편, 상기 제어 네트워크(120) 및 상기 관리 네트워크(130)는 Edge 라우터에 기초하여 각각 다른 IP 대역이 할당되며, 상기 Edge 라우터에는 NAT(Network Address Translation) 기능이 적용될 수 있다.
또한, 상기 S403 단계는, 상기 훈련 네트워크(110) 상의 훈련 에이전트가 상기 생성된 메시지에 기초하여 상기 메시지 서버(140)로부터 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보를 획득하는 단계 및 상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 가상 머신에 대한 정보에 기초하여 상기 제어 네트워크(120) 상의 훈련 도구 저장소(150)로부터 상기 선택된 훈련 도구를 다운로드하는 단계를 더 포함할 수 있다.
본 발명의 실시예에 따른 훈련 도구 다운로드 시스템 및 방법은, 사이버 훈련에 필요한 훈련 도구들이 관리되면서, 훈련 환경과는 독립된 형태의 네트워크가 구성되어 훈련 트래픽에 영향 없이 훈련 도구가 훈련 대상 가상머신으로 다운로드될 수 있다.
예를 들어, 훈련자가 가상머신의 플랫폼에 관계없이 도구 관리 웹서버(160)로부터 훈련 도구의 다운로드 요청을 할 경우, 훈련 환경 상의 훈련 에이전트는 윈도우, 리눅스 및 유닉스 등 다양한 머신에서 상기 훈련 도구를 자동적으로 다운로드할 수 있다. 따라서, 훈련자는 가상머신의 OS(Operating System) 및 파일 전송 방식과 무관하게 윈도우, 리눅스 또는 유닉스 가상머신 등에도 훈련 도구를 용이하게 다운로드할 수 있다.
한편, 전술한 다양한 실시예들에 따른 훈련 도구 다운로드 방법은 이러한 방법의 각 단계를 수행하도록 프로그램된 컴퓨터 판독가능한 기록매체에 저장된 컴퓨터 프로그램의 형태로 구현 가능하고, 또한 이러한 방법의 각 단계를 수행하도록 프로그램된 컴퓨터 프로그램을 저장하는 컴퓨터 판독가능한 기록매체의 형태로 구현될 수도 있다.
본 명세서에 첨부된 블록도의 각 블록과 흐름도의 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록 또는 흐름도의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록 또는 흐름도 각 단계에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록 및 흐름도의 각 단계에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록 또는 각 단계는 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시예들에서는 블록들 또는 단계들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들 또는 단계들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들 또는 단계들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
이상의 설명은 본 발명의 기술 사상을 예시적으로 설명한 것에 불과한 것으로서, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자라면 본 발명의 본질적인 품질에서 벗어나지 않는 범위에서 다양한 수정 및 변형이 가능할 것이다. 따라서, 본 명세서에 개시된 실시예들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 균등한 범위 내에 있는 모든 기술사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.
110: 훈련 네트워크
120: 제어 네트워크
130: 관리 네트워크
140: 메시지 서버
150: 훈련도구 저장소
160: 도구 관리 웹서버

Claims (10)

  1. 훈련 네트워크, 제어 네트워크 및 관리 네트워크를 포함하는 훈련 도구 다운로드 시스템에서 수행되는 훈련 도구 다운로드 방법에 있어서,
    상기 관리 네트워크 상의 도구 관리 웹서버가, 훈련자에게 도구 관리 웹사이트를 제공하는 단계;
    상기 도구 관리 웹사이트에서 상기 훈련자로부터 선택된 훈련 도구를 기초로 훈련 네트워크 상의 다운로드 대상 가상 머신을 할당하는 단계; 및
    상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구를 다운로드하는 단계를 포함하고,
    상기 다운로드하는 단계는,
    상기 관리 네트워크 상의 도구 관리 웹서버가, 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보를 기반으로 제어 네트워크 상의 메시지 서버에서 메시지를 생성하는 단계와,
    상기 훈련 네트워크 상의 에이전트가, 주기적으로 상기 메시지 서버를 조회하여 자신에게 할당된 메시지의 존재 여부를 확인하는 단계와,
    상기 훈련 네트워크 상의 에이전트가 자신에게 할당된 메시지가 존재하는 경우, 상기 생성된 메시지에 기초하여 상기 메시지 서버로부터 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보를 획득하는 단계와,
    상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보에 기초하여 상기 제어 네트워크 상의 훈련 도구 저장소로부터 상기 선택된 훈련 도구를 다운로드하는 단계를 포함하는 훈련 도구 다운로드 방법.
  2. 제1항에 있어서,
    상기 훈련 네트워크는 복수 개이며,
    상기 복수 개의 훈련 네트워크는 VXLAN(Virtual Extensible Local Area Network)을 이용하여 동일한 IP 대역을 사용하는 훈련 도구 다운로드 방법.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 제1항에 있어서,
    상기 제어 네트워크 및 상기 관리 네트워크는 Edge 라우터에 기초하여 각각 다른 IP 대역이 할당되며,
    상기 Edge 라우터는 NAT(Network Address Translation)를 사용하는 훈련 도구 다운로드 방법.
  7. 훈련 네트워크, 제어 네트워크 및 관리 네트워크를 포함하는 훈련 도구 다운로드 시스템에 있어서,
    상기 시스템은 상기 관리 네트워크 상의 도구 관리 웹서버를 포함하고,
    상기 도구 관리 웹서버는, 훈련자에게 도구 관리 웹사이트를 제공하고, 상기 훈련자로부터 선택된 훈련 도구를 기초로 훈련 네트워크 상의 다운로드 대상 가상 머신을 할당하고,
    상기 관리 네트워크 상의 도구 관리 웹서버는, 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보를 기반으로 제어 네트워크 상의 메시지 서버에서 메시지를 생성하고,
    상기 훈련 네트워크 상의 에이전트는, 주기적으로 상기 메시지 서버를 조회하여 자신에게 할당된 메시지의 존재 여부를 확인하고, 자신에게 할당된 메시지가 존재하는 경우, 상기 생성된 메시지에 기초하여 상기 메시지 서버로부터 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보를 획득하고,
    상기 선택된 대상 가상 머신이 상기 선택된 훈련 도구의 파일 경로 및 상기 선택된 대상 가상 머신에 대한 정보에 기초하여 상기 제어 네트워크 상의 훈련 도구 저장소로부터 상기 선택된 훈련 도구를 다운로드하는 훈련 도구 다운로드 시스템.
  8. 제7항에 있어서,
    상기 훈련 네트워크는 복수 개이며,
    상기 복수 개의 훈련 네트워크는 VXLAN(Virtual Extensible Local Area Network)을 이용하여 동일한 IP 대역을 사용하는 훈련 도구 다운로드 시스템.
  9. 삭제
  10. 제7항에 있어서,
    상기 제어 네트워크 및 상기 관리 네트워크는 Edge 라우터에 기초하여 각각 다른 IP 대역이 할당되며,
    상기 Edge 라우터는 NAT(Network Address Translation)를 사용하는 훈련 도구 다운로드 시스템.
KR1020200137770A 2020-10-22 2020-10-22 사이버 훈련 도구 다운로드 시스템 및 방법 KR102382317B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200137770A KR102382317B1 (ko) 2020-10-22 2020-10-22 사이버 훈련 도구 다운로드 시스템 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200137770A KR102382317B1 (ko) 2020-10-22 2020-10-22 사이버 훈련 도구 다운로드 시스템 및 방법

Publications (1)

Publication Number Publication Date
KR102382317B1 true KR102382317B1 (ko) 2022-04-04

Family

ID=81182650

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200137770A KR102382317B1 (ko) 2020-10-22 2020-10-22 사이버 훈련 도구 다운로드 시스템 및 방법

Country Status (1)

Country Link
KR (1) KR102382317B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20200087853A (ko) * 2017-11-22 2020-07-21 아마존 테크놀로지스, 인크. 네트워크 액세스 가능한 머신 러닝 모델 훈련 및 호스팅 시스템
JP6737965B2 (ja) * 2016-11-22 2020-08-12 アマゾン・テクノロジーズ・インコーポレーテッド 仮想ネットワーク検証サービス
KR20200106036A (ko) * 2017-12-08 2020-09-10 넷-썬더, 엘엘씨 자동 배포되는 정보 기술(it) 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP6737965B2 (ja) * 2016-11-22 2020-08-12 アマゾン・テクノロジーズ・インコーポレーテッド 仮想ネットワーク検証サービス
KR20200087853A (ko) * 2017-11-22 2020-07-21 아마존 테크놀로지스, 인크. 네트워크 액세스 가능한 머신 러닝 모델 훈련 및 호스팅 시스템
KR20200106036A (ko) * 2017-12-08 2020-09-10 넷-썬더, 엘엘씨 자동 배포되는 정보 기술(it) 시스템 및 방법

Similar Documents

Publication Publication Date Title
US11700273B2 (en) Rule-based network-threat detection
US11563681B2 (en) Managing communications using alternative packet addressing
US9571523B2 (en) Security actuator for a dynamically programmable computer network
EP3646549B1 (en) Firewall configuration manager
US8988983B1 (en) Managing failure behavior for computing nodes of provided computer networks
EP3788755B1 (en) Accessing cloud resources using private network addresses
US11050787B1 (en) Adaptive configuration and deployment of honeypots in virtual networks
US10298720B1 (en) Client-defined rules in provider network environments
Urias et al. Computer network deception as a moving target defense
Etxezarreta et al. Low delay network attributes randomization to proactively mitigate reconnaissance attacks in industrial control systems
KR102382317B1 (ko) 사이버 훈련 도구 다운로드 시스템 및 방법
KR102628251B1 (ko) 네트워크 토폴로지 난독화 방법 및 그 장치
Kothapalli Measurement, Analysis, and System Implementation of Internet Proxy Servers
KR20210012902A (ko) I2nsf 등록 인터페이스 yang 데이터 모델
CN114679290A (zh) 一种网络安全管理方法及电子设备
Charbonneau et al. Security Incident Origin Discovery (SIOD): IP Transaction Tracking for Centralized Cyber Defense
Hoogendoorn Multi-Site Network and Security Services with NSX-T

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant