KR101410442B1 - 사용자 행위분석 기반 디지털 포렌식 감사 시스템 - Google Patents

사용자 행위분석 기반 디지털 포렌식 감사 시스템 Download PDF

Info

Publication number
KR101410442B1
KR101410442B1 KR1020120102263A KR20120102263A KR101410442B1 KR 101410442 B1 KR101410442 B1 KR 101410442B1 KR 1020120102263 A KR1020120102263 A KR 1020120102263A KR 20120102263 A KR20120102263 A KR 20120102263A KR 101410442 B1 KR101410442 B1 KR 101410442B1
Authority
KR
South Korea
Prior art keywords
file
event
document file
time
document
Prior art date
Application number
KR1020120102263A
Other languages
English (en)
Other versions
KR20140036444A (ko
Inventor
장태훈
이홍선
곽효근
전홍규
김종현
유봉석
박인현
김진학
함종성
Original Assignee
주식회사 더존정보보호서비스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 더존정보보호서비스 filed Critical 주식회사 더존정보보호서비스
Priority to KR1020120102263A priority Critical patent/KR101410442B1/ko
Priority to US13/905,816 priority patent/US20140082001A1/en
Publication of KR20140036444A publication Critical patent/KR20140036444A/ko
Application granted granted Critical
Publication of KR101410442B1 publication Critical patent/KR101410442B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/26Visual data mining; Browsing structured data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/90Details of database functions independent of the retrieved data types
    • G06F16/904Browsing; Visualisation therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Software Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Human Computer Interaction (AREA)
  • Mathematical Physics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

윈도우 시스템에 기록된 이미지인 사용 흔적과 파일을 스캔하여, 사용자 행위를 분석하기 위하여, 상기 이미지로부터 이벤트와 문서파일을 추출하고, 상기 이벤트와 문서파일을 분석하여 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 이미지로부터 논리적 레벨의 문서파일 및 상기 문서파일의 속성을 추출하는 문서파일 추출부; 상기 이미지로부터 발생시간을 포함하는 이벤트를 추출하고, 시간과 관련된 문서파일의 속성(이하 시간 속성)으로부터 이벤트를 추출하는 이벤트 추출부; 상기 문서파일 또는 이벤트를 속성 및 시간으로 분석하는 분석부; 및, 상기 분석된 결과(이하 분석결과)를 시간상 좌표 상에 표시하는 시각화부를 포함하는 구성을 마련한다.
상기와 같은 디지털 포렌식 감사 시스템에 의하여, 조직 내의 컴퓨터 단말의 저장매체에 저장된 각종 데이터를 간편하고 손쉽게 분석하고 시각화함으로써, 사용자 행위를 분석할 수 있고, 조직 내의 기밀정보나 개인정보의 고의적, 불법적 외부 유출을 항시 감시하고 사고 발생시 증거를 빠르게 획득할 수 있다.

Description

사용자 행위분석 기반 디지털 포렌식 감사 시스템 { A Digital Forensic Audit System for Analyzing User’s Behaviors }
본 발명은 윈도우 시스템에 기록된 사용 흔적과 파일을 스캔하여 사용자 행위를 분석하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 관한 것이다.
특히, 본 발명은 저장매체에 기록된 이미지를 스캔하여 상기 이미지로부터 이벤트와 문서파일을 추출하고, 상기 이벤트와 문서파일을 분석하여 시간상으로 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 관한 것이다.
최근 컴퓨터의 급속한 보급으로 인해 개인 생활의 많은 부분들이 컴퓨터와 연관성을 가지게 되었다. 이러한 추세에 따라 범죄 수사에 있어서도 여러 가지 중요한 증거들이 범죄자와 컴퓨터 시스템 혹은 이와 관련된 다양한 저장장치로부터 발견됨에 따라 관련 기관의 관심이 집중되고 있다. 이는 디지털 증거가 컴퓨터 해킹과 같은 컴퓨터 범죄 뿐만 아니라 일반 범죄를 수사하는 경우에도 요긴하게 사용되고 법적 증거로 채택될 가능성이 커지고 있음을 말해준다.
디지털 포렌식(Digital Forensic)은 절차상으로는 데이터를 수집/보관/분석/보고하는 과학적이고 논리적인 절차와 방법으로 정의할 수 있으며, 목적상으로는 주로 컴퓨터에 내장된 디지털 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법이다. 이를 위해 원본 디지털 자료를 훼손하지 않고 증거를 획득하여 컴퓨터 증거가 그 시간에 존재했었음을 증명하고, 증거를 분석한 후 법정에서 증거로 채택하기 위해 문서화할 필요가 있다. 따라서, 주요 국가의 주요 수사기관과 민감한 자료를 다루는 금융, 보험회사 등에서는 디지털 포렌식 분야의 중요성을 인식하고 전문가 및 다양한 관련 기술 확보 뿐만 아니라 디지털 증거의 수집 절차, 분석 방법, 및 검색 기술 개발 등에 박차를 가하고 있다. 그 중 디지털 증거 검색 기술은 디지털 포렌식의 핵심 기술 중 하나로서 수사관이 제한된 시간 내에 대용량의 저장매체로부터 범죄와 관련된 결정적인 혹은 연관된 정보를 찾아낼 수 있도록 하는데 있어서 중요한 역할을 한다.
지금까지 알려져 있는 디지털 포렌식 검색 툴들은 주어진 검색 키워드를 찾아내기 위해 물리적인 레벨에서 비트스트림 단위의 단순 매칭을 수행하거나 인덱스를 구축하는 방법을 사용하고 있다. 이들 방법은 주어진 질의어에 대해서 매체에 저장된 모든 매칭 패턴을 찾아오는 것을 목적으로 설계되어 있으며 그 결과로 관련이 없는 문서들을 포함해 상당한 양의 데이터를 산출한다. 디지털 포렌식에서 요구하는 모든 결과를 놓치지 않고 제시하는 것은 검색 툴(tool)의 중요한 요건 중 하나이다.
하지만, 기존의 검색 툴들은 그 결과에 대한 적절한 필터링(filtering)이나 그룹핑(grouping) 등을 수행하지 않고 단순히 그 결과들을 제시하기 때문에 수사관들은 검색된 문서 중에서 수사와 관련된 문서들을 찾기 위해 많은 시간을 소비해야만 했다.
특히, 로컬 디바이스로서 PC나 서버가 보유하고 있는 대용량의 저장 매체(하드 디스크, 데이터베이스 등)를 그 대상으로 하는 데스크탑 검색 기술 혹은 파일 시스템 검색 기술은 문서에 대한 인덱스를 구축하고 질의에 대해 인덱스를 기반으로 검색한다. 하지만 포렌식에서 필요로 하는 모든 데이터들을 찾을 수 있도록 하기 위해서는 초기 인덱스를 구축하는데 엄청난 시간이 소요되고, 인덱스를 저장하기 위해 상당한 크기의 디스크를 필요로 한다.
또한, 종래 기술은 레지스트리 분석에 있어 레지스트리 각 항목별로 레지스트리 정보를 나열식으로 화면에 표시하는 방법이 주로 사용되는데 이는 매체사용에 대한 파일 이동, 복사등에 대한 흐름 파악이 어렵고 또한 그 범위가 레지스트리 분석에 한정되어 있다. 따라서 분석의 난이도와 고비용에 의해, 종래의 포렌식 분석 기술을 일반적인 중소 업체(또는 조직)에 항시적으로 운영(적용)할 수 없다.
그러나 회사 내 주요 자산으로 가치를 가지는 사업계획서, 도면, 개발설계서, 연구보고서 등의 산업기밀 정보나 개인정보가 존재하는 파일을 대상으로 악의적이거나 고의적인 내부자에 의한 정보 유출 방지의 중요성이 커지고 있다. 내부자에 의한 일반적인 정보 유출 형태를 보면 이동형 저장 매체를 이용하는 방법으로서 외장형 하드디스크, CD-RW, USB저장장치 등이 해당된다. 예를 들어, 프린터등의 출력장치를 통하여 정보를 출력하여 외부로 가져나가는 형태, 전자우편, 웹-메일, FTP, P2P, 메신저 등을 통한 온라인 파일첨부를 통한 외부 유출 형태 등이 있을 수 있다
따라서 손쉽게 조직 내의 저장매체에 대하여 포렌식 감사를 실시할 수 있다면, 상기와 같은 디지털 자산의 외부 유출을 방지할 수 있을 것이다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 저장매체에 기록된 이미지를 스캔하여 상기 이미지로부터 이벤트와 문서파일을 추출하고, 상기 이벤트와 문서파일을 분석하여 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템을 제공하는 것이다.
또한, 본 발명의 목적은 기록된 이미지로부터 논리적 레벨의 문서파일 및 이벤트를 추출하되, 각기 시간상 속성을 추출하여 분석결과를 시간상 좌표 상에 표시하여 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 저장매체에 기록된 이미지를 스캔하여 상기 이미지로부터 이벤트와 문서파일을 추출하고, 상기 이벤트와 문서파일을 분석하여 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 관한 것으로서, 상기 기록된 이미지로부터 시스템 상태를 추출하는 상태 추출부; 상기 기록된 이미지로부터 문서파일 및 상기 문서파일의 속성을 추출하는 문서파일 추출부; 상기 기록된 이미지로부터 발생시간을 포함하는 이벤트를 추출하고, 시간과 관련된 문서파일의 속성(이하 시간 속성)으로부터 이벤트를 추출하는 이벤트 추출부; 상기 문서파일 또는 이벤트를 속성 및 시간으로 분석하는 분석부; 및, 상기 분석된 결과(이하 분석결과)를 시간상 좌표 상에 표시하는 시각화부를 포함하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 시각화부는 상기 좌표의 가로축을 시간의 축으로 정하고 세로축을 이벤트 또는 문서파일로 정하여 표시하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 시각화부는 상기 가로축의 구간을 표시하는 막대(이하 타임라인)를 표시하되, 상기 막대의 폭을 좌우로 조절함에 따라 상기 가로축의 범위를 조절하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 문서파일의 시간 속성은 파일생성일, 파일수정일을 포함하는 것을 특징으로 하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 문서파일 추출부는 상기 문서파일(이하 상위파일)이 문서파일(이하 하위파일)을 포함하면 상기 하위파일을 하나의 문서파일로 추출하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 이벤트 추출부는 상기 상위파일의 이벤트를 상기 하위파일의 이벤트로 추출하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 상위파일이 메일인 경우 하위파일은 메일에 첨부된 파일이고, 상기 상위파일이 압축파일인 경우 하위파일은 압축된 파일인 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 분석부는 적어도 2개의 이벤트의 발생시간이 동일하면 상기 이벤트들에 연관관계를 설정하고, 상기 이벤트로 추출된 문서파일에 상기 이벤트와 문서파일에 연관관계를 설정하는 것을 특징으로 한다.
또, 본 발명은 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서, 상기 분석부는 상기 이벤트의 파일명과 상기 문서파일의 파일명이 동일하면 상기 이벤트와 상기 문서파일에 연관관계를 설정하는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 의하면, 하드디스크 등 저장매체에 저장된 이미지를 자동으로 분석하여 시각화하여 표시함으로써, 일반적인 조직 내의 컴퓨터 단말의 저장매체에 대해 간편하고 손쉽게 포렌식 감사를 수행하여 사용자 행위를 분석할 수 있는 효과가 얻어진다.
특히, 본 발명에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 의하면, 포렌식 분석결과를 직관적으로 시각화함으로써, 소규모 조직이라도 비숙련 담당자라도 손쉽게 포렌식 분석을 수행할 수 있는 효과가 얻어진다.
궁극적으로, 본 발명에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 의하면, 조직 내에서 간편하게 기밀정보나 개인정보의 고의적, 불법적 외부 유출을 항시 감시하고 사고 발생시 증거를 빠르게 획득할 수 있는 효과가 얻어진다.
도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템의 구성에 대한 블록도이다.
도 3 내지 도 8은 본 발명의 일실시예에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템의 화면 예들을 도시한 것이다.

* 도면의 주요 부분에 대한 부호의 설명 *
10 : 컴퓨터 단말 11 : 저장매체
12 : 외장 저장매체 20 : 네트워크
30 : 포렌식 감사 시스템 31 : 스캐닝부
32 : 문서파일 추출부 33 : 이벤트 추출부
34 : 분석부 35 : 시각화부
36 : 상태 추출부 40 : 데이터베이스
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
다음, 본 발명을 실시하기 위한 전체 시스템 구성의 예들을 도 1을 참조하여 설명한다. 도 1a 내지 도 1c에서 보는 바와 같이, 본 발명에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템은 컴퓨터 단말 또는 외장 저장매체 상의 프로그램 시스템, 또는 네트워크 상의 서버 시스템으로 실시될 수 있다.
도 1a에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 일례는 컴퓨터 단말(10)과 상기 컴퓨터 단말(10)에 설치되는 디지털 포렌식 감사 시스템(30)으로 구성될 수 있다. 즉, 포렌식 감사 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 단말(10)에 설치된다. 포렌식 감사 시스템(30)은 컴퓨터 단말(10)의 저장매체(11), 예를 들어, 하드디스크, 외장 디스크, USB메모리 등의 저장매체 이미지를 대상으로 포렌식 분석을 수행한다.
이때, 저장매체(11)에 기록된 전체 데이터 이미지를 포렌식 이미지라 부르기로 한다. 포렌식 감사 시스템(30)은 저장매체를 스캐닝하여 포렌식 이미지를 얻어서 상기 포렌식 이미지를 대상으로 검사를 수행한다.
또한, 도 1b에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 다른 예는 컴퓨터 단말(10)과 상기 외장 저장매체(12)에 설치되는 디지털 포렌식 감사 시스템(30)으로 구성될 수 있다. 이때 외장 저장매체(12)에 설치된 시스템(30)은 컴퓨터 단말(10)에 의해 실행된다.
이때, 포렌식 감사 시스템(30)은 컴퓨터 단말의 저장매체(11)에 기록된 이미지를 스캐닝하여, 분석에 필요한 데이터(문서파일 또는 이벤트 등)를 추출하고, 추출된 데이터를 외장 저장매체(12)에 기록한다. 이 경우, 포렌식 감사 시스템(30)은 컴퓨터 단말(10)에 자신이 설치되지 않음으로써, 이전의 컴퓨터 단말(10)의 상태를 분석할 수 있다.
다음으로, 도 1c에서 보는 바와 같이, 본 발명을 실시하기 위한 전체 시스템의 또 다른 예는 컴퓨터 단말(10)과 포렌식 감사 시스템(30)으로 구성되고 서로 네트워크(20)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다.
컴퓨터 단말(10)은 조직 내의 사용자가 이용하는 PC, 노트북, 넷북 등의 통상의 컴퓨팅 단말기이다.
포렌식 감사 시스템(30)은 통상의 서버로서 네트워크(20)에 연결되어 컴퓨터 단말(10)의 저장매체(11)에 직접 접근하여 기록된 데이터를 스캐닝하여, 포렌식 이미지에 대하여 분석을 수행한다. 포렌식 감사 시스템(30)은 분석에 필요한 데이터(문서파일 또는 이벤트 등)를 추출하고, 추출된 데이터를 데이터베이스(40)에 기록한다.
데이터베이스(40)는 포렌식 감사 시스템(30)에서 필요한 데이터를 저장하는 통상의 저장매체로서, 포렌식 이미지에서 추출한 이벤트, 문서파일, 분석결과 등을 저장한다. 상기 데이터베이스(40)에 저장하는 데이터들은 앞서의 도 1(a)와 도 1(b)의 예의 경우 각각 저장매체(11)나 외장 저장매체(12)에 저장된다.
다음으로, 본 발명의 일실시예에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 대하여, 도 2를 참조하여 보다 구체적으로 설명한다.
도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 포렌식 감사 시스템(30)은 스캐닝부(31), 문서파일 추출부(32), 이벤트 추출부(33), 분석부(34), 및, 시각화부(35)를 포함한다.
스캐닝부(31)는 저장매체(11)의 기록된 이미지(또는 포렌식 이미지)를 스캐닝한다. 기록된 이미지(또는 포렌식 이미지)는 크게 파일 시스템과 파일 자체로 구분된다. 파일 시스템은 디렉토리 구조와 각 파일에 대한 정보(메타 정보)들을 포함한다. 파일 시스템을 통해 저장매체(11)에 기록된 파일들을 검색하여 추출한다.
또한, 파일 자체에는 일반적인 문서파일, 실행파일, 로그 파일, 레지스트리 파일 등으로 구분된다. 문서파일은 텍스트, 문서, 이미지, 음성, 동영상 등 데이터 파일을 말하며, 실행파일은 응용프로그램 또는 시스템 프로그램 등 실행되는 파일들을 말한다. 로그 파일은 시스템 또는 각 응용 프로그램이 수행한 로그를 기록하는 파일이다. 레지스트리 파일은 시스템의 상태를 기록하는 파일로서, 시스템의 상태 또는 각 응용 프로그램의 상태 또는 로그 등이 기록된 파일이다.
스캐닝부(31)는 파일 시스템 정보, 문서파일, 로그 파일, 레지스트리 파일을 추출하여 저장한다. 스캐닝부(31)는 문서파일 자체를 저장하는 것이 바람직하다. 따라서 실행을 위한 실행파일 등은 별도로 저장하지 않는 것이 바람직하다. 다만, 시스템에 설치된 실행파일에 대한 정보는 레지스트리 분석 등을 통해 추출된다.
또한, 스캐닝부(31)는 파일 시스템을 이용하지 않고, 저장매체(11)의 기록된 이미지를 스캐닝하여 지워진 파일 등을 검색하여 복구할 수 있다.
문서파일 추출부(32)는 스캐닝한 이미지로부터 논리적 레벨의 문서파일 및 상기 문서파일의 속성을 추출한다.
앞서 설명한 바와 같이, 스캐닝한 이미지란 파일 시스템 정보, 문서파일, 로그 파일, 레지스트리 파일을 의미한다. 따라서 문서파일 추출부(32)는 파일 시스템 정보, 문서파일, 로그 파일, 레지스트리 파일들로부터 문서파일 및 그 속성을 추출한다.
문서파일은 텍스트, 문서, 이미지, 음성, 동영상 등 데이터 파일뿐만 아니라, 메일, 인터넷 임시파일 등도 포함한다.
한편, 문서파일 추출부(32)는 상기 문서파일(이하 상위파일)이 문서파일(이하 하위파일)을 포함하면 상기 하위파일을 하나의 문서파일로 추출한다.
문서파일이 메일 파일이면, 하나의 메시지가 하나의 파일인 경우와, 다수의 메시지가 하나의 파일로 구성되는 경우가 있다. 이때, 후자의 경우는 하나의 메일 파일에 다수의 메시지 파일을 포함하는 경우이다. 따라서 이 경우, 각각의 메시지 파일을 하나의 문서파일로 저장할 수 있다. 메일 파일이 상위파일이고, 메일 파일의 하위파일이 메시지 파일이다. 또한, 각 메시지는 첨부파일을 포함할 수 있다. 이때, 첨부파일은 하위파일이고, 첨부파일의 상위파일이 메시지 파일이다.
문서파일이 압축 파일이면, 압축된 파일들이 하위파일이고 압축한 파일이 상위파일이다. 앞서 메시지를 송수신할 때 압축파일을 첨부하는 경우, 메일 파일 - 메시지 파일 - 첨부 파일 - 압축된 파일 등은 계층적 구조로 구성된다.
문서파일의 속성은 파일의 크기, 파일명, 저장위치, 생성일, 저장일, 수정일 등을 포함한다. 또한, 메시지 파일은 발송일 또는 수신일, 발송인과 수신인, 제목 등을 속성으로 갖는다.
이들 속성 중 시간과 관련된 속성을 시간 속성이라 부르기로 한다. 시간 속성은 저장위치, 생성일, 저장일, 수정일, 발송일 또는 수신일 등이다.
다음으로, 상태 추출부(36)는 상기 기록된 이미지로부터 시스템 상태 정보를 추출한다. 시스템 상태는 컴퓨터 단말(10)의 컴퓨터 시스템에 설치된 하드웨어 또는 소프트웨어 설치정보 등을 포함한다.
다음으로, 이벤트 추출부(33)는 상기 기록된 이미지로부터 발생시간을 포함하는 이벤트를 추출하고, 시간과 관련된 문서파일의 속성(이하 시간 속성)으로부터 이벤트를 추출한다.
이벤트에는 컴퓨터 시스템에서 어떤 사건이 발생된 것을 말한다. 순수한 이벤트에는 시스템이 온(on)/오프(off)되는 것, 어떤 응용프로그램이 시작되거나 종료되는 것, 응용프로그램이 설치되거나 제거되는 것, USB 메모리 등 외장 메모리가 삽입 또는 이탈되는 것, 네트워크에 연결 또는 차단되는 것 등이 있다.
또한, 이벤트는 시간과 관련된 문서파일의 속성에 의해서도 추출될 수 있다. 문서파일의 속성에 의해 추출되는 이벤트는 문서파일을 생성하거나 수정하는 것, 메일이 송신 또는 수신되는 것 등이 이벤트로 추출될 수 있다.
또한, 이벤트는 시간과 관련된 시스템 상태정보에 의해서도 추출될 수 있다. 응용 프로그램 또는 하드웨어 장치(또는 드라이버)가 설치되거나 언인스트롤(uninstall)되는 경우가 이벤트로 추출될 수 있다.
한편, 이벤트 추출부(33)는 상기 상위파일의 이벤트를 상기 하위파일의 이벤트로 추출한다.
예를 들어, 메일 메시지에 대하여 송신일 또는 수신일에 의해 메일 송수신의 이벤트가 추출되며, 상기 메시지에 첨부된 문서파일은 메시지의 하위파일이므로 첨부된 문서파일에 대하여 송수신일에 의해 메일 송수신의 이벤트가 추출된다.
분석부(34)는 상기 문서파일 또는 이벤트를 속성 및 시간으로 분석한다.
특히, 분석부(34)는 적어도 2개의 이벤트의 발생시간이 동일하면 상기 이벤트들에 연관관계를 설정한다.
이때, 이벤트의 발생시간은 시간의 범위로 정해질 수 있다. 예를 들어, USB 메모리가 컴퓨터 단말(10)에 삽입되어 제거될 때까지의 시간을 USB 삽입에 대한 이벤트의 발생시간으로 정할 수 있다.
또는, 이벤트 발생시간이 특정시각인 경우, 전후 일정한 시간을 포함하여 시간의 범위로 정할 수 있다. 예를 들어, 문서파일의 생성 이벤트(생성일로부터 추출된 이벤트)이면, 생성일로부터 전후 10분 간을 이벤트의 발생시간으로 정할 수도 있다.
분석부(34)는 2개의 이벤트의 발생시간(또는 시간범위)이 서로 겹치면, 발생시간이 동일한 것으로 판단한다. 예를 들어, 워드프로세서 문서(문서파일)의 생성시간은 2:50 - 3:10 이고, USB가 삽입된 시간이 3:05 - 4:00 이면, 3:05부터 5분간 시간이 겹치므로 이벤트의 발생시간이 동일한 것으로 판단한다.
따라서 이 문서파일의 생성 이벤트와 USB 메모리 삽입 이벤트는 서로 연관관계를 갖는다.
다음으로, 분석부(34)는 문서파일(이하 제1 문서파일)에 의해 추출된 이벤트(제1 이벤트)가 다른 이벤트(이하 제2 문서파일)와 연관관계를 갖으면, 상기 제1 문서파일과 상기 제2 이벤트와도 연관관계를 설정한다.
앞서의 예에서, 워드프로세서 문서는 USB 메모리 삽입 이벤트와 연관관계가 설정된다.
또한, 분석부(34)는 이벤트의 파일명과 문서파일의 파일명이 동일하면 상기 이벤트와 상기 문서파일에 연관관계를 설정한다.
시각화부(35)는 상기 분석된 결과(이하 분석결과)를 시간상 좌표 상에 표시한다. 특히, 시각화부(35)는 상기 좌표의 가로축을 시간의 축으로 정하고 세로축을 이벤트 또는 문서파일로 정하여 표시한다.
세로축에는 이벤트 또는 문서파일의 종류(또는 분류) 등으로 구분하여 표시한다. 세로축의 이벤트 또는 문서파일의 종류에 해당하는 이벤트가 발생된 경우, 상기 시간상 좌표에 발생된 이벤트를 표시한다. 이때, 가로축(또는 시간의 축)은 단위 시간 간격으로 구분한다. 바람직하게는 1일이 하나의 단위로 정한다. 또는 시간, 주, 월 단위로 정할 수도 있다.
해당일에 적어도 하나의 이벤트가 발생되면 해당일의 좌표에 박스 형상 등으로 이벤트가 있었음을 표시한다. 해당일에 다수의 이벤트가 발생될 수 있으므로, 해당 박스를 클릭하거나 마우스로 갖다 대면 다수의 이벤트의 내용을 화면에 표시하는 것이 바람직하다.
또한, 시각화부(35)는 상기 가로축의 구간을 표시하는 막대(이하 타임라인)를 표시하되, 상기 막대의 폭을 좌우로 조절함에 따라 상기 가로축의 범위를 조절한다. 앞서 시간 상 좌표에서 가로축의 전체 범위를 상기 타임라인에서 표시된 막대의 범위에 맞춘다. 즉, 해당 막대구간에 대응되는 시간에만 발생되는 이벤트만 표시된다.
타임라인이 좁아지면 표시되는 좌표의 전체 시간범위는 작아지고, 좌표 상에는 보다 자세하게 이벤트들이 표시된다. 예를 들어, 시간축의 단위가 1일에서 1시간으로 변경될 수 있다. 반대로 타임라인이 넓어지면 표시되는 좌표의 전체 시간범위는 넓어지고 이벤트들은 축약되어 표시된다.
다음으로, 본 발명의 일실시예에 따른 사용자 행위분석 기반 디지털 포렌식 감사 시스템의 화면의 예들를 도 3 내지 도 8을 참조하여 보다 구체적으로 설명한다.
도 3에서 보는 바와 같이, 포렌식 감사 시스템(30)을 실행하면, 포렌식 조사를 할 대상 저장매체를 선택한다.
도 4는 포렌식 감사 시스템(30)에서 자동으로 분석하는 옵션을 선택하는 화면이다. 분석할 저장매체의 파티션을 선택하거나, 인터넷 또는 메일 등을 분석할지 여부를 선택한다.
도 5는 포렌식 감사 시스템의 분석결과를 시각화한 화면의 일례이다. 도 5의 중간부터 위부분 사이에 시간상 좌표가 표시되고 있다. 메일, 연결된 외부저장장치, 휴지통 삭제 파일, 최근 실행 프로그램 등 문서파일의 종류(속성에 따른 종류) 또는 이벤트를 세로축에 나열하고, 가로축에는 시간을 표시한다. 해당 시간 구간 내에 발생한 이벤트들을 표시한다. 화면에서 빨간색의 네모칸들이 이벤트가 발생한 부분을 표시한다.
도 5의 중간에는 타임라인이 표시되고 있다. 타임라인은 막대 모양으로 양쪽의 위치를 움직일 수 있도록 되어 있다. 양쪽의 위치가 정해지면 양쪽 위치 사이가 표시 구간이 된다. 시간상 좌표의 가로축의 전체 범위가 상기 표시구간으로 변경된다.
도 5의 하단에는 시간상 좌표의 가로축에 표시된 문서파일 또는 이벤트 그룹에 속하는 구체적인 문서파일 또는 이벤트들이 표시된다. 이때, 좌측에 각 문서파일 또는 이벤트가 계층구조로 분류되고, 우측에는 각 문서파일 또는 이벤트의 세부 내용이 표시된다.
도 6은 각 문서파일 중에서 텍스트를 포함하는 파일인 경우, 해당 텍스트를 미리보기로 보여주는 화면이다.
도 7은 문서파일 또는 이벤트를 시간상 좌표로 표시하되, 가로축과 세로축이 모두 시간으로 정한 좌표이다. 즉, 가로축은 1일을 단위로, 세로축은 시간 단위로 정하여, 각 단위시간에 발생된 이벤트들을 표시한다.
도 8은 문서파일이 텍스트를 포함하는 경우, 각 텍스트 내에 일정한 패턴을 갖는 문서파일 또는 해당 텍스트 부분을 검색하여 표시하는 화면이다. 예를 들어, 주민등록번호, 메일주소, 은행계좌 등의 패턴과 매치되는 정보가 있는 경우, 이들 정보를 표시한다.
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.

Claims (9)

  1. 저장매체에 기록된 이미지를 스캔하여 상기 이미지로부터 이벤트와 문서파일을 추출하고, 상기 이벤트와 문서파일을 분석하여 시각화하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템에 있어서,
    상기 기록된 이미지로부터 시스템 상태를 추출하는 상태 추출부;
    상기 기록된 이미지로부터 문서파일 및, 상기 문서파일의 속성(attribute)을 추출하는 문서파일 추출부;
    상기 기록된 이미지로부터 발생시간을 포함하는 이벤트를 추출하고, 시간과 관련된 문서파일의 속성(이하 시간 속성)으로부터 이벤트를 추출하는 이벤트 추출부;
    상기 문서파일 또는 이벤트를 속성(attribute) 및 시간을 기준으로 분류하여 분석하는 분석부; 및,
    상기 분석된 결과(이하 분석결과)를 시간상 좌표 상에 표시하는 시각화부를 포함하고,
    상기 분석부는 적어도 2개의 이벤트의 발생시간이 동일하면 해당 이벤트들에 연관관계를 설정하고, 해당 이벤트로 추출된 문서파일에 해당 이벤트와 문서파일에 연관관계를 설정하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  2. 제1항에 있어서,
    상기 시각화부는 상기 좌표의 가로축을 시간의 축으로 정하고 세로축을 이벤트 또는 문서파일로 정하여 표시하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  3. 제2항에 있어서,
    상기 시각화부는 상기 가로축의 구간을 표시하는 막대(이하 타임라인)를 표시하되, 상기 막대의 폭을 좌우로 조절함에 따라 상기 가로축의 범위를 조절하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  4. 제1항에 있어서,
    상기 문서파일의 시간 속성은 파일생성일, 파일수정일을 포함하는 것을 특징으로 하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  5. 제1항에 있어서,
    상기 문서파일 추출부는 상기 문서파일(이하 상위파일)이 문서파일(이하 하위파일)을 포함하면 상기 하위파일을 하나의 문서파일로 추출하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  6. 제5항에 있어서,
    상기 이벤트 추출부는 상기 상위파일의 이벤트를 상기 하위파일의 이벤트로 추출하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  7. 제6항에 있어서,
    상기 상위파일이 메일인 경우 하위파일은 메일에 첨부된 파일이고, 상기 상위파일이 압축파일인 경우 하위파일은 압축된 파일인 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
  8. 삭제
  9. 제1항에 있어서,
    상기 분석부는 상기 이벤트의 파일명과 상기 문서파일의 파일명이 동일하면 상기 이벤트와 상기 문서파일에 연관관계를 설정하는 것을 특징으로 하는 사용자 행위분석 기반 디지털 포렌식 감사 시스템.
KR1020120102263A 2012-09-14 2012-09-14 사용자 행위분석 기반 디지털 포렌식 감사 시스템 KR101410442B1 (ko)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020120102263A KR101410442B1 (ko) 2012-09-14 2012-09-14 사용자 행위분석 기반 디지털 포렌식 감사 시스템
US13/905,816 US20140082001A1 (en) 2012-09-14 2013-05-30 Digital forensic audit system for analyzing user's behaviors

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020120102263A KR101410442B1 (ko) 2012-09-14 2012-09-14 사용자 행위분석 기반 디지털 포렌식 감사 시스템

Publications (2)

Publication Number Publication Date
KR20140036444A KR20140036444A (ko) 2014-03-26
KR101410442B1 true KR101410442B1 (ko) 2014-06-20

Family

ID=50275560

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020120102263A KR101410442B1 (ko) 2012-09-14 2012-09-14 사용자 행위분석 기반 디지털 포렌식 감사 시스템

Country Status (2)

Country Link
US (1) US20140082001A1 (ko)
KR (1) KR101410442B1 (ko)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101710426B1 (ko) 2015-11-30 2017-02-27 동양대학교 산학협력단 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템
KR20210017839A (ko) * 2019-08-09 2021-02-17 한국디지털포렌식센터 주식회사 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
KR20210104525A (ko) * 2020-02-17 2021-08-25 한국디지털포렌식센터 주식회사 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템
KR20230159186A (ko) 2022-05-13 2023-11-21 (주)플레인비트 아티팩트 및 패킷 데이터 분석 기반 사용자 행위 재구성이 가능한 디지털 포렌식 분석 시스템 및 방법
KR20230159185A (ko) 2022-05-13 2023-11-21 (주)플레인비트 포렌식 분석 기반 사이버 침해사고 분석 시스템 및 방법

Families Citing this family (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9536252B2 (en) * 2013-08-29 2017-01-03 Adobe Systems Incorporated Method and apparatus for enabling targeted messages based on usage of a document accessed within an internet browser
CN104021227B (zh) * 2014-06-26 2015-06-17 麦永浩 一种面向数字取证的异常隐写检测分析方法及***
KR101490984B1 (ko) * 2014-08-05 2015-02-06 주식회사 위엠비 이벤트 정보 제공방법 및 이를 실행하는 통합 관제 시스템, 컴퓨터 프로그램, 그 기록매체
US10616245B2 (en) * 2014-11-26 2020-04-07 Palo Alto Networks, Inc. Real-time remediation respective of security incidents
CA3023877A1 (en) 2016-05-20 2017-11-23 Roman Czeslaw Kordasiewicz Systems and methods for graphical exploration of forensic data
US10740409B2 (en) * 2016-05-20 2020-08-11 Magnet Forensics Inc. Systems and methods for graphical exploration of forensic data
CN106685966B (zh) * 2016-12-29 2020-08-04 北京奇虎科技有限公司 泄露信息的检测方法、装置及***
KR101968539B1 (ko) * 2017-02-16 2019-04-12 동명대학교산학협력단 타임 라인 기반의 라이브 포렌식 시각화 시스템 및 방법
KR20190059055A (ko) * 2017-11-22 2019-05-30 한화정밀기계 주식회사 데이터 시각화 시스템, 방법 및 컴퓨터 판독 가능한 기록매체
KR102406403B1 (ko) * 2019-05-14 2022-06-08 조선대학교산학협력단 블럭체인장치, 블럭체인제공장치, 블럭체인화방법, 및 블럭체인의 데이터구조

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070068162A (ko) * 2005-12-26 2007-06-29 주식회사 케이티 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법
KR20120072119A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 대용량 포렌식 이미지의 정보 추출 장치
KR20120086926A (ko) * 2011-01-27 2012-08-06 한남대학교 산학협력단 포렌식 감사 데이터 시각화 시스템

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7765592B2 (en) * 2004-01-10 2010-07-27 Microsoft Corporation Changed file identification, software conflict resolution and unwanted file removal
US9111253B2 (en) * 2005-04-22 2015-08-18 Sap Se Groupware time tracking
US7680991B2 (en) * 2007-05-31 2010-03-16 International Business Machines Corporation Correlated analysis of wasted space and capacity efficiency in complex storage infrastructures
US8745523B2 (en) * 2007-06-08 2014-06-03 Apple Inc. Deletion in electronic backups
US8656095B2 (en) * 2010-02-02 2014-02-18 Cylance, Inc. Digital forensic acquisition kit and methods of use thereof
US20110289161A1 (en) * 2010-05-21 2011-11-24 Rankin Jr Claiborne R Apparatuses, Methods and Systems For An Intelligent Inbox Coordinating HUB
US8495656B2 (en) * 2010-10-15 2013-07-23 Attivio, Inc. Ordered processing of groups of messages
US8978136B2 (en) * 2011-02-17 2015-03-10 Terremark Worldwide, Inc. Systems and methods for detection and suppression of abnormal conditions within a networked environment

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20070068162A (ko) * 2005-12-26 2007-06-29 주식회사 케이티 호스트 침해 발생 시점에서의 포렌식 증거자료 수집 시스템및 그 방법
KR20120072119A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 대용량 포렌식 이미지의 정보 추출 장치
KR20120086926A (ko) * 2011-01-27 2012-08-06 한남대학교 산학협력단 포렌식 감사 데이터 시각화 시스템

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101710426B1 (ko) 2015-11-30 2017-02-27 동양대학교 산학협력단 파일의 명령이력을 판별하는 자동화된 디지털 포렌식 시스템
KR20210017839A (ko) * 2019-08-09 2021-02-17 한국디지털포렌식센터 주식회사 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
KR102294926B1 (ko) 2019-08-09 2021-08-27 한국디지털포렌식센터 주식회사 원본 데이터의 자동 추출을 통한 분석 데이터 자동 형성 시스템
KR20210104525A (ko) * 2020-02-17 2021-08-25 한국디지털포렌식센터 주식회사 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템
KR102432530B1 (ko) 2020-02-17 2022-08-16 한국디지털포렌식센터 주식회사 대상 디스크의 데이터 선별 수집을 통한 전자증거목록 리포팅 시스템
KR20230159186A (ko) 2022-05-13 2023-11-21 (주)플레인비트 아티팩트 및 패킷 데이터 분석 기반 사용자 행위 재구성이 가능한 디지털 포렌식 분석 시스템 및 방법
KR20230159185A (ko) 2022-05-13 2023-11-21 (주)플레인비트 포렌식 분석 기반 사이버 침해사고 분석 시스템 및 방법

Also Published As

Publication number Publication date
US20140082001A1 (en) 2014-03-20
KR20140036444A (ko) 2014-03-26

Similar Documents

Publication Publication Date Title
KR101410442B1 (ko) 사용자 행위분석 기반 디지털 포렌식 감사 시스템
US9792289B2 (en) Systems and methods for file clustering, multi-drive forensic analysis and data protection
Shaw et al. A practical and robust approach to coping with large volumes of data submitted for digital forensic examination
JP2009075655A (ja) ファイル管理システム、ファイル管理方法、およびファイル管理プログラム
Quick et al. Big forensic data management in heterogeneous distributed systems: quick analysis of multimedia forensic data
KR20120044002A (ko) 인터넷을 통해 수집한 데이터의 분석과 증거화 방법 및 이를 이용한 데이터 분석과 증거화 시스템
Prasanthi et al. Cyber forensic science to diagnose digital crimes-a study
Kaur et al. A literature review on cyber forensic and its analysis tools
Quick et al. Big Digital Forensic Data: Volume 1: Data Reduction Framework and Selective Imaging
Bassett et al. Computer forensics: An essential ingredient for cyber security.
KR101264792B1 (ko) 개인정보 보호 시스템
Toldinas et al. Suitability of the digital forensic tools for investigation of cyber crime in the internet of things and services
Didriksen Forensic analysis of OOXML documents
Fei Data visualisation in digital forensics
Abdalla et al. Guideline model for digital forensic investigation
Schroader et al. Alternate data storage forensics
George et al. Applying data mining principles in the extraction of digital evidence
Carranza et al. Software validation and daubert standard compliance of an open digital forensics model
Singh et al. Working efficiency of the sleuth kit in forensic data recovery: a review
Studiawan et al. Anomaly Detection on Drone Forensic Timeline with Sigma Rules
Marrington Computer profiling for forensic purposes
Laurenson Automated Digital Forensic Triage: Rapid Detection of Anti-Forensic Tools
KR20230112310A (ko) 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템
Lehrfeld Insider Risk: Finding Sensitive Files in the Enterprise Using a PC's Master File Table.
Ramírez Sanabria Guidelines and tools for a digital evidence investigation process: a case study for a business data leak

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170529

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180612

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190613

Year of fee payment: 6