1 |
1
시나리오 기반의 사이버 공격 또는 실시간 사이버 공격에 의해 발생하는 흔적정보인 공격정보를 공격자단말(200)에서 훈련관리서버(300)로 입력하는 단계(S100);상기 입력하는 단계(S100) 후, 상기 공격정보를 상기 훈련관리서버(300)에 저장하고, 상기 훈련관리서버(300)로부터 각각의 공격대상단말(100)에 설치된 호스트에이전트(110)에 상기 공격정보를 전송하는 단계(S200);상기 호스트에이전트(110)가 상기 공격대상단말(100)을 모니터링하여, 상기 공격정보와 동일한 내용의 공격을 탐지하는 단계(S300);상기 공격정보와 동일한 내용의 공격에 대한 정보인 탐지정보 및 상기 탐지정보에 대한 배경정보를 상기 호스트에이전트(110)로부터 상기 훈련관리서버(300)로 전송하는 단계(S400); 상기 훈련관리서버(300)에서 상기 탐지정보 및 상기 배경정보로부터, 상기 공격대상단말(100)에 대한 상기 공격자단말(200)의 공격단계 및 공격진행상황을 파악하는 단계(S500); 및 상기 공격대상단말(100)에 대한 상기 공격자단말(200)의 공격단계 및 공격진행상황을 표시하는 단계(S600);를 포함하며,상기 공격자단말(200)이 시나리오 기반의 사이버 공격 또는 실시간 사이버 공격을 설계하고, 상기 공격정보에는 공격단계와 공격진행상황이 파악되는 정보가 포함되는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 방법
|
2 |
2
제 1항에 있어서,상기 공격정보는 공격단계 및 공격진행상황에 따른 특정 파일의 생성정보, 특정 파일의 삭제정보, 특정 파일의 수정정보, 특정 대상과 연결(IP, Port) 정보, 특정 패턴의 패킷 정보, 특정 프로세스 실행 정보, 특정 프로세스의 특정 파라미터 정보, 특정 윈도우 레지스트리의 생성 정보, 특정 윈도우 레지스트리의 삭제 정보 또는 특정 윈도우 레지스트리의 수정 정보 중 어느 하나 이상을 포함하는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 방법
|
3 |
3
제 1항에 있어서,상기 배경정보는 공격시간 또는 호스트에이전트의 ID 중 어느 하나 이상을 포함하는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 방법
|
4 |
4
복수 개의 공격대상단말(100);상기 공격대상단말(100)에 대한 시나리오 기반의 사이버 공격 또는 실시간 사이버 공격을 수행하는 공격자단말(200);상기 공격대상단말(100)에 대한 상기 공격자단말(200)의 사이버 공격의 공격단계 및 공격진행상황을 파악하는 훈련관리서버(300);상기 공격대상단말(100), 상기 공격자단말(200) 및 상기 훈련관리서버(300)를 연결하는 네트워크(400); 및상기 훈련관리서버(300)에서 파악한 상기 공격대상단말(100)에 대한 상기 공격자단말(200)의 사이버 공격의 공격단계 및 공격진행상황을 표시하는 표시부(500);를 포함하며,상기 공격자단말(200)은 시나리오 기반의 사이버 공격 또는 실시간 사이버 공격을 설계하고, 공격단계와 공격진행상황이 파악되는 정보를 상기 훈련관리서버로 제공하는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 시스템
|
5 |
5
제 4항에 있어서,상기 공격대상단말(100)에는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 모니터링하는 호스트에이전트(110)가 설치되는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 시스템
|
6 |
6
제 4항에 있어서,상기 네트워크(400)는상기 공격대상단말(100), 상기 공격자단말(200) 및 상기 훈련관리서버(300)를 동시에 연결하는 사이버 공격 훈련 네트워크(410); 및상기 공격대상단말(100)과 상기 훈련관리서버(300)를 개별적으로 연결하고, 상기 공격자단말(200)과 상기 훈련관리서버(300)를 개별적으로 연결하는 훈련 관리 네트워크(420);를 포함하는 것을 특징으로 하는 사이버 훈련 환경에서의 공격단계 및 공격진행상황을 인지하는 시스템
|