KR20190138503A - 사이버 위협에 대비한 훈련 프로그램 제공 장치 - Google Patents

사이버 위협에 대비한 훈련 프로그램 제공 장치 Download PDF

Info

Publication number
KR20190138503A
KR20190138503A KR1020180065046A KR20180065046A KR20190138503A KR 20190138503 A KR20190138503 A KR 20190138503A KR 1020180065046 A KR1020180065046 A KR 1020180065046A KR 20180065046 A KR20180065046 A KR 20180065046A KR 20190138503 A KR20190138503 A KR 20190138503A
Authority
KR
South Korea
Prior art keywords
threat
packet
model
real
training
Prior art date
Application number
KR1020180065046A
Other languages
English (en)
Other versions
KR102118382B1 (ko
Inventor
이동환
김동화
김용현
Original Assignee
국방과학연구소
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 국방과학연구소 filed Critical 국방과학연구소
Priority to KR1020180065046A priority Critical patent/KR102118382B1/ko
Priority to US16/240,849 priority patent/US20190373017A1/en
Publication of KR20190138503A publication Critical patent/KR20190138503A/ko
Application granted granted Critical
Publication of KR102118382B1 publication Critical patent/KR102118382B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09BEDUCATIONAL OR DEMONSTRATION APPLIANCES; APPLIANCES FOR TEACHING, OR COMMUNICATING WITH, THE BLIND, DEAF OR MUTE; MODELS; PLANETARIA; GLOBES; MAPS; DIAGRAMS
    • G09B19/00Teaching not covered by other main groups of this subclass
    • G09B19/0053Computers, e.g. programming
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09BEDUCATIONAL OR DEMONSTRATION APPLIANCES; APPLIANCES FOR TEACHING, OR COMMUNICATING WITH, THE BLIND, DEAF OR MUTE; MODELS; PLANETARIA; GLOBES; MAPS; DIAGRAMS
    • G09B9/00Simulators for teaching or training purposes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/145Network analysis or design involving simulating, designing, planning or modelling of a network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Educational Administration (AREA)
  • Educational Technology (AREA)
  • Physics & Mathematics (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 사이버 환경 하의 정보 보호를 위한 각종 사이버 위협에 대비한 훈련 프로그램을 제공하는 장치에 관한 것으로 구성모의 모델을 이용한 사이버 훈련 프로그램을 제공하는 구성모의 훈련부와 실 가상 모델 기반의 사이버 훈련 프로그램을 제공하는 실가상 훈련부와 상기 구성모의 모델에 포함된 위협 필드에 근거하여, 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 위협 패킷 및 상기 적어도 하나의 위협 패킷과 관련된 정보를 추출하고, 상기 추출된 적어도 하나의 위협 패킷과 관련된 정보를 이용하여, 상기 구성모의 모델을 실 가상 모델로 변환하며, 상기 변환된 실 가상 모델을 상기 실가상 훈련부로 전달하는 모델 변환부를 포함한다.

Description

사이버 위협에 대비한 훈련 프로그램 제공 장치{PROVIDING TRAINING DEVICE FOR CYBER THREAT}
본 발명은 사이버 환경 하의 정보 보호를 위한 각종 사이버 위협에 대비한 훈련 프로그램을 제공하는 장치에 관한 것이다.
통신 기술의 발달과 함께 사이버 정보체계 및 정보망 상에서 다양한 사이버 위협에 대비한 정보보호의 필요성이 증대되고 있다. 이에, 다양한 사이버 위협에 대비할 수 있는 우수한 정보보호 인력에 대한 수요가 갈수록 증가하고 있다. 우수한 정보보호 인력의 양성은 단순 이론 교육으로는 달성하기 힘든 목표로, 실제 또는 실제와 가까운 훈련 프로그램이 필수적이다. 이에, 최근 군 및 민간 영역에서는 각종 정보보호 훈련체계, 즉, 사이버 위협에 대비한 훈련 프로그램의 개발이 활발히 이루어지고 있다.
사이버 위협에 대비한 훈련 프로그램은 크게 두 가지로 볼 수 있다. 첫 번째로 주로 전투실험을 통해 거시적인 관점에서 사이버 전을 모의 및 훈련할 수 있는 구성모의 모델(Constructive Model) 기반의 사이버 훈련 프로그램, 두 번째로 실제와 거의 동일한 가상환경을 통하여, 세부적인 사이버 위협에 대비한 방어 행위를 훈련할 수 있는 실가상 모델(Live-Virtual Model) 기반의 사이버 훈련 프로그램으로 나누어 볼 수 있다.
구성모의 모델 기반의 사이버 훈련 프로그램에서는 실제 정보망 상에서 유통되는 일반 트래픽 및 위협 트래픽의 유통이 이루어지지 않는 대신, 이벤트 기반의 모의 일반 트래픽 및 모의 위협 트래픽의 유통이 이루어진다. 반면에, 실가상 모델 기반의 사이버 훈련 프로그램에서는 실제 정보망 상에서 유통되는 일반 트래픽 및 위협 트래픽의 유통이 가상 환경 하에서 이루어진다.
이러한 차이점 때문에 종래에는 양 프로그램 간의 호환성이 떨어지게 되었으며, 호환성 향상을 위한 연구는 초기 단계에 머물고 있다. 현재 일반적인 트래픽만을 제한적인 방법으로 유통할 수 있는 실정으로, 양 프로그램 간에 위협 트래픽을 공유할 수 있는 구체적인 방법론이 요구되는 상황이다.
본 발명은 구성모의 모델 기반의 사이버 훈련 프로그램과 실 가상 모델 기반의 사이버 훈련 프로그램 간의 호환성을 향상시키는 것을 일 목적으로 한다.
본 발명은 사이버 위협에 대응하기 위한 다양한 사이버 전의 제공이 가능한 훈련 프로그램을 제공하는 것을 또 다른 목적으로 한다.
본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치에 있어서, 구성모의 모델을 이용한 사이버 훈련 프로그램을 제공하는 구성모의 훈련부와 실 가상 모델 기반의 사이버 훈련 프로그램을 제공하는 실가상 훈련부와 상기 구성모의 모델에 포함된 위협 필드에 근거하여, 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 위협 패킷 및 상기 적어도 하나의 위협 패킷과 관련된 정보를 추출하고, 상기 추출된 적어도 하나의 위협 패킷과 관련된 정보를 이용하여, 상기 구성모의 모델을 실 가상 모델로 변환하며, 상기 변환된 실 가상 모델을 상기 실가상 훈련부로 전달하는 모델 변환부를 포함한다.
일 실시 예에 있어서, 상기 모델 변환부는 상기 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 모의 패킷을 검출하는 패킷검출부와 상기 검출된 적어도 하나의 모의 패킷에 포함된 위협 필드에 근거하여, 상기 검출된 적어도 하나의 위협 패킷을 일반 패킷과 위협 패킷 중 어느 하나로 분류하는 위협감지부와 상기 위협감지부에서 분류된 위협 패킷 중 이벤트 필드에 근거하여, 상기 위협 패킷을 실 가상 모델에서 사용되는 실위협 패킷으로 변환하는 위협패킷생성부 및 상기 변환된 실위협 패킷을 실가상 훈련부로 전달하는 실패킷 전송부를 포함한다.
일 실시 예에 있어서, 상기 모델 변환부는, 구성모의 모델에 포함된 적어도 하나의 위협 패킷 별로 실 가상 모델로의 변환을 위한 실패킷 모델을 각각 저장하는 패킷데이터베이스를 더 포함하고, 상기 위협패킷생성부는, 상기 패킷데이터베이스로부터 상기 위협감지부에서 분류된 위협 패킷에 대응되는 실 위협 패킷과 관련된 정보를 검색하고, 검색 결과를 이용하여, 상기 위협감지부에서 분류된 위협 패킷을 실위협패킷으로 변환하는 것을 특징으로 한다.
일 실시 예에 있어서, 상기 위협패킷생성부는 상기 변환된 실위협 패킷을 실가상 훈련부로 전달하는 것을 특징으로 한다.
일 실시 예에 있어서, 상기 실가상 훈련부는 상기 모델변환부로부터 전달된 실 가상 모델을 기반으로, 실 가상 모델 기반의 사이버 훈련 프로그램을 생성하는 것을 특징으로 한다.
본 발명은 사용자가 구성모의 모델 기반의 사이버 훈련 프로그램을 실 가상 모델 기반의 사이버 훈련 프로그램으로 변환함으로써, 훈련 시나리오의 확장을 가능하게 한다.
또한, 본 발명은 훈련 시나리오의 확장으로 인하여, 사이버 전에 대비한 훈련의 효과를 향상시킬 수 있다.
또한, 본 발명은 구성모의 기반의 사이버 훈련 프로그램 만으로 실제 사이버 전장에서의 사이버 위협의 효과를 알기 어려울 때, 구성모의 기반의 사이버 훈련 프로그램을 실 가상 모델 기반 사이버 훈련 프로그램으로 변환하여 실제 전장과 유사한 결과를 획득함으로써, 사이버 전에 대한 모의 실험 및 시험의 효과를 제고할 수 있다.
도 1은 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치의 구성 요소를 나타낸 블록도이다.
도 2는 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치의 모델 변환부의 구성을 나타낸 블록도이다.
도 3은 도 2의 모델 변환부가 구성모의 모델을 실 가상 모델로 변환하는 방법을 나타낸 흐름도이다.
이하에서는 첨부한 도면을 참조하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 본 발명의 실시 예를 상세히 설명한다. 그러나 본 발명은 이하의 실시 예에 한정되지 않으며, 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에게 효율적으로 설명하기 위한 수단일 뿐이다.
그리고 본 발명을 명확하게 설명하기 위하여, 본 발명과 관련된 공지 기술에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우, 그 상세한 설명은 생략하였다. 또한, 본 발명의 도면에서는, 명세서 전체를 통하여 동일한 구성 요소에 대하여, 동일한 도면 부호를 붙여 설명한다.
명세서 전체에서, 어떤 부분이 다른 부분과 "연결"되어 있다고 할 때, 이는 "직접적으로 연결"되어 있는 경우뿐 아니라, 그 중간에 다른 소자를 사이에 두고 "전기적으로 연결"되어 있는 경우도 포함한다. 또한, 어떤 부분이 어떤 구성요소를 "포함"한다고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 제외하는 것이 아니라 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 명세서에 있어서 '부(部)' 또는 모듈이란, 하드웨어 또는 소프트웨어에 의해 실현되는 유닛(unit), 양방을 이용하여 실현되는 유닛을 포함하며, 하나의 유닛이 둘 이상의 하드웨어를 이용하여 실현되어도 되고, 둘 이상의 유닛이 하나의 하드웨어에 의해 실현되어도 된다.
그리고, 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
정보 통신 기술이 발달함과 함께 전장에서의 중요한 군사 정보 등을 보호하기 위하여, 해킹 등과 같은 사이버 위협에 대응하기 위한 전문 인력의 필요성이 증대되고 있다. 이러한 전문 인력의 양성을 위하여, 실제 사이버 위협과 유사한 모의 위협 시나리오를 제공하는 훈련 프로그램의 개발이 필요하다.
종래의 훈련 프로그램 제공 장치는, 전투 실험과 같은 인위적인 환경을 조성하는 구성모의 모델을 통하여 훈련 프로그램을 제공하거나, 실제와 유사한 가상 환경을 조성하는 실 가상 모델 훈련 프로그램 중 어느 하나의 방법으로 훈련 프로그램을 제공하였다.
상기 훈련 프로그램은, 실제 사이버 위협에서 발생하는 공격 종류를 모의할 수 있다. 예를 들어, 사이버 위협에는 DDos(Distributed Denial of Service), APT(Advanced Persistent Threat), Stuxnet 등이 될 수 있다.
DDoS(Distributed Denial of Service)는, '분산 서비스 거부' 또는 '분산 서비스 거부 공격'이라고도 하며, 서비스 공격을 위한 도구들을 여러 대의 컴퓨터에 심어놓고 공격 목표인 사이트의 컴퓨터시스템이 처리할 수 없을 정도로 엄청난 분량의 패킷을 동시에 범람시킴으로써 네트워크의 성능을 저하시키거나 시스템을 마비시키는 해킹 공격 방법이다.
APT(Advanced Persistent Threat)는, 공격자가 악성코드를 심은 이메일을 보내 사용자가 열도록 하는 방식으로 PC를 감염시킨 후, 감염된 좀비 PC가 증가하면서 서버가 파괴되도록 만들고, 내부 시스템에 잠복한 악성코드들이 데이터베이스 정보를 빼내는 방식의 해킹공격 방법이다.
Stuxnet은, 발전소ㆍ공항ㆍ철도 등 기간시설을 파괴할 목적으로 제작된 컴퓨터바이러스로서, 작동 원리가 완전히 규명되지 않았으며, 스스로 비밀 서버에 접속해 업데이트를 하는 방식의 정교하게 제작된 컴퓨터 바이러스다. 직원들이 바이러스에 감염된 USB 저장장치나 MP3 플레이어를 회사 컴퓨터에 연결할 때 침투한다.
한편, 종래의 훈련 프로그램 제공 장치에서는, 구성모의 모델 기반의 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램으로 변환하는데 어려움이 있었다. 이에, 본 발명에서는, 구성모의 모델 기반의 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램으로 변환하는 방법을 제안하고자 한다.
도 1은 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치의 구성 요소를 나타낸 블록도이다.
본 발명에 따른 훈련 프로그램 제공 장치는, 구성 모의 훈련부(100), 실 가상 훈련부(200), 모델 변환부(300), 제어부(400)를 포함할 수 있다.
상기 구성모의 훈련부(100)는 구성모의 모델 기반의 훈련 프로그램을 생성할수 있다. 구성모의 모델은, 전투 실험과 같이, 인위적인 사이버 전장 환경을 모의한 모델이다. 이에, 구성모의 훈련부(100)는 실제 공격자가 존재하지 아니하고, 특정 사이버 전장 상황을 방어자(훈련자)에게 제공하여, 훈련을 수행하도록 할 수 있다. 이러한 구성모의 모델은 각종 사이버 위협의 공격 형태로 구분된 이벤트 단위별로 훈련 시나리오를 제공하도록 구성될 수 있다.
상기 실 가상 훈련부(200)는 실 가상 모델을 기반으로 훈련 프로그램을 생성할 수 있다. 실 가상 모델은 실제 사이버 전장과 같은 환경을 제공할 수 있다. 사이버 공격을 수행하는 공격 단말기와 사이버 공격에 방어하는 방어 단말기는, 실 가상 모델이 제공하는 환경 하에서 사이버 전에 대비한 훈련을 수행할 수 있다.
모델 변환부(300)는 구성모의 훈련부(100)로부터 수신된 구성모의 모델 기반의 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램으로 변환하는 역할을 수행할 수 있다.
제어부(400)는, 상기 구성모의 훈련부, 실 가상 훈련부 및 모델 변환부를 제어할 수 있다. 예를 들어, 제어부(400)는 구성모의 모델 기반의 훈련 프로그램, 실 가상 모델 기반의 훈련 프로그램 중 어느 하나의 훈련 프로그램을 제공하도록 구성모의 훈련부(100) 또는 실 가상 훈련부(200)를 제어할 수 있다. 또는, 제어부(400)는 구성모의 훈련부에서 생성한 구성모의 모델에 기반한 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램을 변환하도록 모델 변환부(300)를 제어할 수 있다.
이상에서는, 사이버 위협에 대비한 훈련 프로그램을 제공하는 훈련 프로그램 제공 장치에 대하여 설명하였다.
이하에서는 본 발명에 따른 훈련 프로그램 제공 장치가 구성모의 모델을 실 가상 모델로 변환하는 방법에 대하여 보다 구체적으로 살펴본다. 도 2는 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치의 모델 변환부의 구성을 나타낸 블록도이다.
도 2를 참조하면, 본 발명에 따른 훈련 프로그램 제공 장치의 모델 변환부(300)는 패킷 검출부(310), 위협 감지부(320), 위협 패킷 생성부(330), 일반 패킷 생성부(340), 패킷데이터베이스부(350), 및 실패킷 전송부(350)을 포함한다.
우선 패킷 검출부(310)는 구성모의 훈련부(100)로부터 구성모의 모델에서 생성된 모든 모의 패킷들을 수신할 수 있다. 여기에서 패킷은 네트워크 상의 트래픽의 구성 요소이다. 이러한 복수의 패킷의 흐름이 트래픽을 구성할 수 있다.
패킷 검출부(310)는 상기 구성모의 훈련부(100)로부터 수신된 모의 패킷들 중 변환의 대상이 되는 적어도 하나의 모의 패킷을 검출할 수 있다. 변환의 대상이 되는 모의 패킷은 구성모의 모델을 실 가상 모델로 변환할 시에 변환이 필요하다고 미리 설정된 패킷들이다. 이러한 정보는 메모리에 기 저장되어 있을 수 있다.
위협 감지부(320)는 상기 패킷 검출부(310)로부터 변환의 대상이 되는 모의 패킷 및 상기 모의 패킷과 관련된 정보를 수신할 수 있다. 즉, 위협 감지부(320)는 상기 검출된 적어도 하나의 모의 패킷을 수신할 수 있다. 상기 검출된 적어도 하나의 모의 패킷과 관련된 정보는 위협 필드를 포함할 수 있다. 위협 필드는 위협의 명칭 및 위협 관련 파라미터 정보를 포함할 수 있다.
상기 위협 감지부(320)는 상기 검출된 적어도 하나의 모의 패킷의 위협 필드에 근거하여, 상기 검출된 적어도 하나의 모의 패킷을 일반 패킷 또는 위협 패킷으로 분류할 수 있다. 예를 들어, 상기 위협 감지부(320)는 각 모의 패킷마다 위협 필드에 포함된 위협 명칭을 확인하고, 기 저장된 위협 명칭인 경우, 위협 패킷으로 분류하고, 그렇지 않은 경우, 일반 패킷으로 분류할 수 있다.
상기 위협 감지부(320)는 상기 분류된 모의 패킷들을 위협 패킷 생성부(330) 및 일반 패킷 생성부(340) 중 어느 하나로 전달할 수 있다.
위협 패킷 생성부(330)는 상기 위협 감지부(320)로부터 위협 패킷으로 분류된 모의 패킷을 수신할 수 있다. 상기 위협 패킷 생성부(330)는 상기 위협 패킷으로 분류된 모의 패킷의 이벤트 필드에 근거하여, 상기 위협 패킷으로 분류된 모의 패킷을 실 가상 모델에서 사용 가능한 실 위협 패킷으로 변환할 수 있다. 상기 이벤트 필드에는 위협 명칭과 위협 패킷 관련 파라미터들이 포함될 수 있다.
보다 구체적으로, 상기 위협 패킷 생성부(330)는 모의 패킷의 이벤트 필드로부터 모의 패킷의 위협 명칭을 검출할 수 있다. 그리고, 패킷 데이터베이스부(350)로부터 상기 검출된 위협 명칭에 대응되는 실 위협 패킷의 생성을 위한 정보들을 검색할 수 있다. 이에, 상기 위협 패킷 생성부(330)는 상기 모의 패킷을 상기 검색된 실 위협 패킷을 위한 정보들을 이용하여, 실 위협 패킷으로 변환할 수 있다. 상기 위협 패킷 생성부(330)는 상기 변화된 실 위협 패킷을 실패킷 전송부(360)로 전송할 수 있다.
상기 패킷 데이터베이스부(350)에는 위협 명칭마다 실 위협 패킷들의 생성을 위한 정보들이 미리 저장되어 있을 수 있다. 상기 실 위협 패킷들의 생성을 위한 정보들에는, 위협 페이로드가 포함될 수 있다.
일반 패킷 생성부(340)는 상기 위협 감지부(320)로부터 일반 패킷으로 분류된 모의 패킷을 수신할 수 있다. 그리고, 상기 일반 패킷 생성부(340)는 상기 일반 패킷으로 분류된 모의 패킷을 실 일반 패킷으로 변환할 수 있다. 보다 구체적으로, 일반 패킷 생성부(340)는 모의 패킷의 이벤트 필드에 근거하여, 모의 피캣을 실 일반 패킷으로 변환할 수 있다. 여기에서 이벤트 필드에는 프로토콜 종류, 목적지 IP 주소 등의 정보들이 포함될 수 있다. 상기 일반 패킷 생성부(340)는 상기 변환된 실 일반 패킷을 실패킷 전송부(360)로 전송할 수 있다.
실패킷 전송부(360)는 실가상 훈련부(200)와 연동되어, 실 가상 모델을 생성하도록 형성될 수 있다. 구체적으로 실패킷 전송부(360)는 상기 위협 패킷 생성부(330)에서 생성된 실 위협 패킷 및 일반 패킷 생성부(340)에서 생성된 실 일반 패킷을 수신할 수 있다. 그리고, 실 패킷 전송부(360)는 실 가상 모델이 생성되도록 수신된 실 위협 패킷 및 실 일반 패킷을 실가상 훈련부(200)로 전달할 수 있다.
실 가상 훈련부(200)는 상기 수신된 실 위협 패킷 및 실 일반 패킷을 이용하여 실 가상 모델을 생성할 수 있다. 이를 통하여, 본 발명은 구성모의 모델 기반의 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램으로 변환할 수 있다.
이상에서는 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치의 구성 요소들에 대하여 설명하였다.
이하에서는, 본 발명에 따른 사이버 위협에 대비한 훈련 프로그램 제공 장치에서 구성모의 모델 기반의 훈련 프로그램을 실 가상 모델 기반의 훈련 프로그램으로 변환하는 제어 방법에 대하여 보다 구체적으로 살펴본다. 도 3은 도 2의 모델 변환부가 구성모의 모델을 실 가상 모델로 변환하는 방법을 나타낸 흐름도이다.
우선 도 3을 참조하면, 모델 변환부(300)의 패킷 검출부(310)는 구성모의 훈련부(100)로부터 구성모의 모델을 수신할 수 있다(S310). 그리고, 상기 패킷 검출부(310)는 구성모의 훈련부(100)로부터 수신된 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 모의 패킷을 검출할 수 있다(S320). 상기 패킷 검출부(310)는 상기 모든 모의 패킷들 중 실가상 모델로의 변환의 대상이 되는 적어도 하나의 모의 패킷을 추출할 수 있다. 상기 패킷 검출부(310)는 이렇게 추출된 적어도 하나의 패킷을 위협 감지부(320)로 전달할 수 있다.
상기 위협 감지부(320)는 상기 검출된 적어도 하나의 모의 패킷을 위협 패킷 또는 일반 패킷으로 분류할 수 있다(S330).
상기 위협 감지부(320)는 상기 추출된 적어도 하나의 패킷의 위협 필드에 근거하여, 상기 추출된 적어도 하나의 패킷을 위협 패킷 또는 일반 패킷으로 분류할 수 있다. 예를 들어, 위협 필드에 위협 명칭이 포함된 경우, 위협 패킷으로 분류하고, 그렇지 않은 경우, 일반 패킷으로 분류할 수 있다.
상기 분류된 위협 패킷 및 일반 패킷은 서로 다른 방식으로 실 위협 패킷 및 실 일반 패킷으로 생성될 수 있다(S340).
상기 위협 감지부(320)는 상기 분류된 위협 패킷이 실 위협 패킷으로 변환되도록 위협 패킷 생성부(330)에 상기 분류된 위협 패킷을 전송할 수 있다. 위협 패킷 생성부(330)는 상기 분류된 위협 패킷의 이벤트 필드에 근거하여, 위협 패킷을 실 위협 패킷으로 변환할 수 있다. 이에 대한 구체적인 설명은 도 2의 설명으로 대체한다.
유사하게, 상기 위협 감지부(320)는 상기 분류된 일반 패킷이 실 일반 패킷으로 변환되도록 일반 패킷 생성부(340)에 상기 분류된 일반 패킷을 전송할 수 있다. 그리고, 일반 패킷 생성부(340)는 상기 분류된 일반 패킷의 이벤트 필드에 근거하여, 일반 패킷을 실 일반 패킷으로 변환할 수 있다. 이에 대한 구체적인 설명은 도 2의 설명으로 대체한다.
상기 실패킷 전송부(360)는 실 위협 패킷과 실 일반패킷을 이용하여 실가상 모델을 생성할 수 있다(S340). 상기 실패킷 전송부(360)는 실가상 훈련부(200)와 모델 변환부(300) 사이의 통로 역할을 수행할 수 있다. 실 패킷 전송부(360)는 상기 실 위협 패킷 및 실 일반 패킷을 실 가상 훈련부(200)로 전달하고, 실 가상 훈련부(200)를 이를 이용하여, 실가상 모델 기반의 훈련 프로그램을 생성할 수 있다.
본 발명은 사용자가 구성모의 모델 기반의 사이버 훈련 프로그램을 실 가상 모델 기반의 사이버 훈련 프로그램으로 변환함으로써, 훈련 시나리오의 확장을 가능하게 한다.
또한, 본 발명은 훈련 시나리오의 확장으로 인하여, 사이버 전에 대비한 훈련의 효과를 향상시킬 수 있다.
또한, 본 발명은 구성모의 기반의 사이버 훈련 프로그램 만으로 실제 사이버 전장에서의 사이버 위협의 효과를 알기 어려울 때, 구성모의 기반의 사이버 훈련 프로그램을 실 가상 모델 기반 사이버 훈련 프로그램으로 변환하여 실제 전장과 유사한 결과를 획득함으로써, 사이버 전에 대한 모의 실험 및 시험의 효과를 제고할 수 있다.
본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 균등 개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.

Claims (5)

  1. 구성모의 모델을 이용한 사이버 훈련 프로그램을 제공하는 구성모의 훈련부;
    실 가상 모델 기반의 사이버 훈련 프로그램을 제공하는 실가상 훈련부;
    상기 구성모의 모델에 포함된 위협 필드에 근거하여, 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 위협 패킷 및 상기 적어도 하나의 위협 패킷과 관련된 정보를 추출하고,
    상기 추출된 적어도 하나의 위협 패킷과 관련된 정보를 이용하여, 상기 구성모의 모델을 실 가상 모델로 변환하며,
    상기 변환된 실 가상 모델을 상기 실가상 훈련부로 전달하는 모델 변환부를 포함하는 사이버 위협에 대비한 훈련 프로그램 제공 장치.
  2. 제1항에 있어서,
    상기 모델 변환부는
    상기 구성모의 모델로부터 변환의 대상이 되는 적어도 하나의 모의 패킷을 검출하는 패킷검출부 ;
    상기 검출된 적어도 하나의 모의 패킷에 포함된 위협 필드에 근거하여, 상기 검출된 적어도 하나의 위협 패킷을 일반 패킷과 위협 패킷 중 어느 하나로 분류하는 위협감지부 ;
    상기 위협감지부에서 분류된 위협 패킷 중 이벤트 필드에 근거하여, 상기 위협 패킷을 실 가상 모델에서 사용되는 실위협 패킷으로 변환하는 위협패킷생성부 ; 및
    상기 변환된 실위협 패킷을 실가상 훈련부로 전달하는 실패킷 전송부를 포함하는 사이버 위협에 대비한 훈련 프로그램 제공 장치.
  3. 제2항에 있어서,
    상기 모델 변환부는,
    구성모의 모델에 포함된 적어도 하나의 위협 패킷 별로 실 가상 모델로의 변환을 위한 실패킷 모델을 각각 저장하는 패킷데이터베이스를 더 포함하고,
    상기 위협패킷생성부는,
    상기 패킷데이터베이스로부터 상기 위협감지부에서 분류된 위협 패킷에 대응되는 실 위협 패킷과 관련된 정보를 검색하고,
    검색 결과를 이용하여, 상기 위협감지부에서 분류된 위협 패킷을 실위협패킷으로 변환하는 것을 특징으로 하는 사이버 위협에 대비한 훈련 프로그램 장치.
  4. 제2항에 있어서,
    상기 위협패킷생성부는
    상기 변환된 실위협 패킷을 실가상 훈련부로 전달하는 것을 특징으로 하는 사이버 위협에 대비한 훈련 프로그램 장치.
  5. 제1항에 있어서,
    상기 실가상 훈련부는
    상기 모델변환부로부터 전달된 실 가상 모델을 기반으로, 실 가상 모델 기반의 사이버 훈련 프로그램을 생성하는 것을 특징으로 하는 사이버 위협에 대비한 훈련 프로그램 장치.


KR1020180065046A 2018-06-05 2018-06-05 사이버 위협에 대비한 훈련 프로그램 제공 장치 KR102118382B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020180065046A KR102118382B1 (ko) 2018-06-05 2018-06-05 사이버 위협에 대비한 훈련 프로그램 제공 장치
US16/240,849 US20190373017A1 (en) 2018-06-05 2019-01-07 Apparatus for providing training program against cyber threat

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180065046A KR102118382B1 (ko) 2018-06-05 2018-06-05 사이버 위협에 대비한 훈련 프로그램 제공 장치

Publications (2)

Publication Number Publication Date
KR20190138503A true KR20190138503A (ko) 2019-12-13
KR102118382B1 KR102118382B1 (ko) 2020-06-03

Family

ID=68693278

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180065046A KR102118382B1 (ko) 2018-06-05 2018-06-05 사이버 위협에 대비한 훈련 프로그램 제공 장치

Country Status (2)

Country Link
US (1) US20190373017A1 (ko)
KR (1) KR102118382B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210090044A (ko) * 2020-01-09 2021-07-19 국방과학연구소 실제 위협 트래픽을 모의 위협 트래픽으로 변환하는 장치 및 그 방법
KR20220017289A (ko) * 2020-08-04 2022-02-11 국방과학연구소 사이버 정보 변환 방법 및 장치

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11113887B2 (en) * 2018-01-08 2021-09-07 Verizon Patent And Licensing Inc Generating three-dimensional content from two-dimensional images

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060058788A (ko) * 2004-11-25 2006-06-01 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060058788A (ko) * 2004-11-25 2006-06-01 한국전자통신연구원 이상 트래픽 분석을 위한 네트워크 시뮬레이션 장치 및 그방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210090044A (ko) * 2020-01-09 2021-07-19 국방과학연구소 실제 위협 트래픽을 모의 위협 트래픽으로 변환하는 장치 및 그 방법
KR20220017289A (ko) * 2020-08-04 2022-02-11 국방과학연구소 사이버 정보 변환 방법 및 장치

Also Published As

Publication number Publication date
KR102118382B1 (ko) 2020-06-03
US20190373017A1 (en) 2019-12-05

Similar Documents

Publication Publication Date Title
Urias et al. Supervisory Command and Data Acquisition (SCADA) system cyber security analysis using a live, virtual, and constructive (LVC) testbed
US9680867B2 (en) Network stimulation engine
KR101460589B1 (ko) 사이버전 모의 훈련 관제 서버
Davis et al. A Survey of Cyber Ranges and Testbeds.
Johnson et al. Assessing DER network cybersecurity defences in a power‐communication co‐simulation environment
Kotenko et al. Agent‐based simulation of cooperative defence against botnets
Disso et al. A plausible solution to SCADA security honeypot systems
KR102118382B1 (ko) 사이버 위협에 대비한 훈련 프로그램 제공 장치
Bodenheim Impact of the Shodan computer search engine on internet-facing industrial control system devices
Xiao et al. S7commtrace: A high interactive honeypot for industrial control system based on s7 protocol
Balyk et al. Using graphic network simulator 3 for DDoS attacks simulation
Hussain et al. An adaptive SYN flooding attack mitigation in DDOS environment
Salazar et al. Enhancing the resiliency of cyber-physical systems with software-defined networks
Ameen et al. Design and implementation of e-laboratory for information security training
Park et al. Development of incident response tool for cyber security training based on virtualization and cloud
Al-Mousa et al. cl-CIDPS: A cloud computing based cooperative intrusion detection and prevention system framework
Savaglia et al. CYBERSECURITY VULNERABILITY ANALYSIS VIA VIRTUALIZATION.
CN103368972A (zh) 基于诱导分析的高级网络攻击检测分析方法及其系统
Pandey et al. Introduction to the Cyber Ranges
Kaniewski et al. Usability of the CBEST Framework for Protection of Supervisory Control and Acquisition Data Systems (SCADA) in the Energy Sector
KR20210090044A (ko) 실제 위협 트래픽을 모의 위협 트래픽으로 변환하는 장치 및 그 방법
Shaw et al. Poster: Evaluating reflective deception as a malware mitigation strategy
Mooi et al. Context for the SA NREN Computer Security Incident Response Team
Kiravuo et al. Weapons against cyber-physical targets
Akbarzadeh et al. Decoding the Human Element in APT Attacks: Unveiling Attention Diversion Techniques in Cyber-Physical System Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant