KR20120073841A - 포렌식 데이터의 데이터테이블 생성 장치 및 방법 - Google Patents
포렌식 데이터의 데이터테이블 생성 장치 및 방법 Download PDFInfo
- Publication number
- KR20120073841A KR20120073841A KR1020100135730A KR20100135730A KR20120073841A KR 20120073841 A KR20120073841 A KR 20120073841A KR 1020100135730 A KR1020100135730 A KR 1020100135730A KR 20100135730 A KR20100135730 A KR 20100135730A KR 20120073841 A KR20120073841 A KR 20120073841A
- Authority
- KR
- South Korea
- Prior art keywords
- data table
- data
- forensic
- generating
- attribute
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 28
- 238000001914 filtration Methods 0.000 claims abstract description 8
- 238000012986 modification Methods 0.000 claims description 23
- 230000004048 modification Effects 0.000 claims description 23
- 238000010586 diagram Methods 0.000 description 25
- 230000009471 action Effects 0.000 description 20
- 238000012217 deletion Methods 0.000 description 18
- 230000037430 deletion Effects 0.000 description 18
- 230000006870 function Effects 0.000 description 10
- 238000012800 visualization Methods 0.000 description 9
- 238000013079 data visualisation Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 230000000007 visual effect Effects 0.000 description 5
- 238000004590 computer program Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 2
- 230000014509 gene expression Effects 0.000 description 2
- 238000013480 data collection Methods 0.000 description 1
- 238000013501 data transformation Methods 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000003384 imaging method Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 230000002194 synthesizing effect Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000007794 visualization technique Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/25—Integrating or interfacing systems involving database management systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/21—Design, administration or maintenance of databases
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/22—Indexing; Data structures therefor; Storage structures
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
본 발명은 포렌식 데이터의 데이터테이블 생성 장치 및 방법에 관한 것으로, 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집된 원시 데이터로부터 직관적이고 효율적인 가시화 표현이 가능하도록 하는 정형화된 포맷의 데이터테이블을 생성함으로써, 정형화된 포맷의 데이터테이블로부터 다양한 방법의 가시화 표현이 가능하며, 서로간의 관계를 표시하는 네트워크 형태 및 트리 형태 등 다양한 형태의 표현이 가능하고, 두 개 이상의 데이터테이블로부터 새로운 데이터테이블을 생성함으로써 전혀 새로운 데이터에 대한 표현도 가능하며, 텍스트 기반의 포렌식 데이터 표현이 그래픽 기반의 시각화 표현으로 가능한 이점이 있다.
Description
본 발명은 포렌식 데이터의 데이터테이블에 관한 것으로, 더욱 상세하게는 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집한 데이터를 사용자에게 보여주는 가시화 또는 시각화에 사용되는 데이터테이블을 생성하는 포렌식 데이터의 데이터테이블 생성 장치 및 방법에 관한 것이다.
주지하는 바와 같이, 컴퓨터 포렌식 도구는 컴퓨터로부터 데이터를 수집하여 이를 분석하고 사용자에게 보여주는 도구이다. 특히, 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구는 범죄사건현장 또는 신속한 데이터 수집이 필요한 경우 이미징 과정 없이 빠른 시간 내에 컴퓨터로부터 데이터를 수집하여 분석하는 도구이다.
라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집 가능한 데이터는 시스템 시작/종료 기록 데이터, 웹 방문/검색/계정 기록 데이터, USB 접속 기록 데이터, 프로세서 실행 기록 데이터, 명령어 실행 기록 데이터, 파일 검색 기록 데이터, 메신저 기록 데이터, 문서 생성/수정/삭제 기록 데이터, 파일 생성/수정/삭제 기록 데이터, IP 주소 등의 네트워크 정보 데이터, 로그인 계정 등의 사용자 정보 데이터, 운영체제 버전과 디스크 정보 등의 시스템 정보 데이터, 레지스트리 데이터 등이 있다.
한편, 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집할 수 있는 원시 데이터(raw data)는 도구들마다 고유한 형태를 가지며 단일 포맷으로 정해진 것이 없어서 수집된 데이터를 표현하는 방법도 도구마다 서로 다르다.
이러한 원시 데이터를 분석, 종합, 체계화하여 사용자에게 직관적이고 효율적인 정보로 보여 줄 수 있도록 업그레이드 시키는 작업을 데이터 시각화 또는 데이터 가시화라고 말한다. 일반적으로 데이터 시각화는 원시 데이터 수집, 데이터 변형(data transformation)을 통한 데이터테이블(data table) 생성, 비주얼 매핑(visual mapping)을 통한 비주얼 구조(visual structure) 생성, 뷰 변형(view transformation)을 통한 가시화(view) 과정을 통해서 가능하다.
종래 기술에 따른 대부분의 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구의 데이터 시각화 또는 데이터 가시화 방법은 단순히 데이터를 나열하는 방법을 사용한다. 예를 들어, 문서접근 기록을 표현하는 방법은 접근한 시간과 경로를 모든 접근 시간에 대해서 모두 텍스트 방식으로 나열한다. 마찬가지로 웹 접속기록도 방문한 시간과 방문한 웹 페이지를 모든 접속에 대하여 하나하나 모두 리스트하는 방법을 사용한다. 특히, 사용자가 특정날짜나 특정 키워드에 대해서만 나타내기를 원할 경우 현재의 도구는 이를 사용자에게 제대로 보여주지 못한다. 또한, 대량의 데이터가 수집된 경우 사용자에게 보여지는 데이터는 동일한 패턴이 반복되어서 원하는 데이터를 찾지 못하거나 효율적인 분석이 이루어지기 어려운 문제점이 있었다.
본 발명은 이와 같은 종래 기술의 문제점을 해결하기 위해 제안한 것으로서, 휴대용 포렌식 데이터 시각화를 위해 수집된 원시 데이터로부터 다양한 데이터데이블을 구성하는 방법을 제공한다.
본 발명의 실시 예에 따른 데이터테이블은 원시 데이터를 효율적으로 표현하기 위해 고유한 속성(attribute)을 포함하며 각 속성 또한 고유한 형식을 가진다. 정형화된 형식의 데이터테이블이 생성되면 이 테이블로부터 다양한 방법의 가시화 표현이 가능하다. 단순한 나열식 표현뿐 아니라 다양한 형태의 그래프 표현이 가능하며 사용자와의 상호작용(interaction)을 통해 특정 조건을 만족하는 데이터만 찾아서 표현하는 것도 가능하다.
아울러, 본 발명의 실시 예에 따른 데이터테이블은 특정 필드(field)나 특정 속성(attribute)만 선택하여 원하는 데이터만 가시화하는 것도 가능하다.
또한, 본 발명의 실시 예에 따른 데이터테이블은 txt, csv, xls 파일 형식을 가지므로 상용 또는 공개용 데이터 포렌식 도구의 입력으로 임포트(import)하여 사용할 수 있다.
본 발명의 제 1 관점으로서 포렌식 데이터의 데이터테이블 생성 장치는, 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 파싱하여 기 설정된 키워드의 고유한 속성을 포함하며 각 속성이 고유한 정형화된 형식을 가지는 데이터테이블1을 생성하는 데이터 파싱부를 포함할 수 있다.
여기서, 상기 데이터테이블 생성 장치는, 상기 데이터테이블1 중에서 적어도 하나 이상의 데이터테이블로부터 특정 필드나 상기 속성을 필터링 또는 수집하여 새로운 데이터테이블2를 생성하는 데이터 필터링 수집부를 더 포함할 수 있다.
상기 데이터 파싱부는, 시스템 시작/종료 데이터테이블, 웹 방문/검색/계정 데이터테이블, USB 접속 데이터테이블, 프로세서 실행 데이터테이블, 명령어 실행 데이터테이블, 파일 검색 데이터테이블, 메신저 데이터테이블, 문서 생성/수정/삭제 데이터테이블 또는 파일 생성/수정/삭제 데이터테이블 중에서 적어도 하나 이상의 데이터테이블을 생성할 수 있다.
본 발명의 제 2 관점으로서 포렌식 데이터의 데이터테이블 생성 방법은, 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 파싱하여 기 설정된 키워드의 고유한 속성을 포함하며 각 속성이 고유한 정형화된 형식을 가지는 데이터테이블1을 생성하는 단계와, 상기 데이터테이블1 중에서 적어도 하나 이상의 데이터테이블로부터 특정 필드나 상기 속성을 필터링 또는 수집하여 새로운 데이터테이블2를 생성하는 단계를 더 포함할 수 있다.
여기서, 상기 데이터테이블1을 생성하는 단계는, 시스템 시작/종료 데이터테이블, 웹 방문/검색/계정 데이터테이블, USB 접속 데이터테이블, 프로세서 실행 데이터테이블, 명령어 실행 데이터테이블, 파일 검색 데이터테이블, 메신저 데이터테이블, 문서 생성/수정/삭제 데이터테이블 또는 파일 생성/수정/삭제 데이터테이블 중에서 적어도 하나 이상의 데이터테이블을 생성할 수 있다.
상기 데이터테이블 생성 방법은, 상기 데이터테이블1로부터 데이터간의 관계를 분석하여 새로운 데이터테이블3을 생성하는 단계를 더 포함할 수 있다.
본 발명의 실시 예에 의하면, 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집된 원시 데이터로부터 직관적이고 효율적인 가시화 표현이 가능하도록 하는 정형화된 포맷의 데이터테이블을 생성함으로써, 정형화된 포맷의 데이터테이블로부터 다양한 방법의 가시화 표현이 가능하도록 한다.
예를 들어, 종래에는 웹 방문기록과 문서 접근 기록을 각각의 창이나 탭으로 보여주지만, 본 발명의 실시 예에 따른 웹 방문 데이터테이블과 문서 접근 데이터테이블이 있으면 수집한 모든 날짜에 대하여 웹 방문과 문서 접근 기록을 각각 보여주는 것도 가능하고, 특정 날짜구간에 대해서만 표현 가능하며, 특정 키워드를 포함하는 기록만 표현하는 것도 가능하다.
아울러, 가시화 방법도 엑셀형식과 같은 나열형, 서로간의 관계를 표시하는 네트워크 형태 및 트리 형태 등 다양한 형태의 표현이 가능하고, 두 개 이상의 데이터테이블로부터 새로운 데이터테이블을 생성함으로써 전혀 새로운 데이터에 대한 표현도 가능하다.
또한, 본 발명의 실시 예에 따른 데이터테이블로부터 텍스트 기반의 포렌식 데이터 표현이 그래픽 기반의 시각화 표현으로 가능하다. 그래서, 복수의 데이터에 대한 다양한 시각화 모델링과 이들 데이터간의 연관관계 도출 및 특정현상에 대한 관련 데이터, 트랜드, 또는 패턴의 효율적인 이해가 가능한 효과가 있다.
도 1은 본 발명의 실시 예에 따른 포렌식 데이터 시각화를 위한 데이터테이블 생성 장치의 구성도이다.
도 2는 시스템 시작/종료 데이터테이블을 나타낸 구성도이다.
도 3은 웹 방문/검색/계정 데이터테이블을 나타낸 구성도이다.
도 4는 USB 접속 데이터테이블을 나타낸 구성도이다.
도 5는 프로세서 실행 데이터테이블을 나타낸 구성도이다.
도 6은 명령어 실행 데이터테이블을 나타낸 구성도이다.
도 7은 파일 검색 데이터테이블을 나타낸 구성도이다.
도 8은 메신저 데이터테이블을 나타낸 구성도이다.
도 9는 문서 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 10은 파일 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 11은 본 발명의 실시 예에 따라 적어도 하나 이상의 데이터테이블로부터 특정 필드나 속성을 선택하여 생성한 새로운 데이터테이블을 나타낸 구성도이다.
도 2는 시스템 시작/종료 데이터테이블을 나타낸 구성도이다.
도 3은 웹 방문/검색/계정 데이터테이블을 나타낸 구성도이다.
도 4는 USB 접속 데이터테이블을 나타낸 구성도이다.
도 5는 프로세서 실행 데이터테이블을 나타낸 구성도이다.
도 6은 명령어 실행 데이터테이블을 나타낸 구성도이다.
도 7은 파일 검색 데이터테이블을 나타낸 구성도이다.
도 8은 메신저 데이터테이블을 나타낸 구성도이다.
도 9는 문서 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 10은 파일 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 11은 본 발명의 실시 예에 따라 적어도 하나 이상의 데이터테이블로부터 특정 필드나 속성을 선택하여 생성한 새로운 데이터테이블을 나타낸 구성도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시 예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시 예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시 예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시 예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시 예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
첨부된 블록도의 각 블록과 각 단계의 조합들은 컴퓨터 프로그램 인스트럭션들에 의해 수행될 수도 있다. 이들 컴퓨터 프로그램 인스트럭션들은 범용 컴퓨터, 특수용 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서에 탑재될 수 있으므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비의 프로세서를 통해 수행되는 그 인스트럭션들이 블록도의 각 블록의 각 단계에서 설명된 기능들을 수행하는 수단을 생성하게 된다. 이들 컴퓨터 프로그램 인스트럭션들은 특정 방식으로 기능을 구현하기 위해 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 지향할 수 있는 컴퓨터 이용 가능 또는 컴퓨터 판독 가능 메모리에 저장되는 것도 가능하므로, 그 컴퓨터 이용가능 또는 컴퓨터 판독 가능 메모리에 저장된 인스트럭션들은 블록도의 각 블록에서 설명된 기능을 수행하는 인스트럭션 수단을 내포하는 제조 품목을 생산하는 것도 가능하다. 컴퓨터 프로그램 인스트럭션들은 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에 탑재되는 것도 가능하므로, 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비 상에서 일련의 동작 단계들이 수행되어 컴퓨터로 실행되는 프로세스를 생성해서 컴퓨터 또는 기타 프로그램 가능한 데이터 프로세싱 장비를 수행하는 인스트럭션들은 블록도의 각 블록에서 설명된 기능들을 실행하기 위한 단계들을 제공하는 것도 가능하다.
또한, 각 블록은 특정된 논리적 기능(들)을 실행하기 위한 하나 이상의 실행 가능한 인스트럭션들을 포함하는 모듈, 세그먼트 또는 코드의 일부를 나타낼 수 있다. 또, 몇 가지 대체 실시 예들에서는 블록들에서 언급된 기능들이 순서를 벗어나서 발생하는 것도 가능함을 주목해야 한다. 예컨대, 잇달아 도시되어 있는 두 개의 블록들은 사실 실질적으로 동시에 수행되는 것도 가능하고 또는 그 블록들이 때때로 해당하는 기능에 따라 역순으로 수행되는 것도 가능하다.
도 1은 본 발명의 실시 예에 따른 포렌식 데이터의 시각화에 사용되는 데이터테이블 생성 장치의 구성도이다.
이에 나타낸 바와 같이 데이터테이블 생성 장치(100)는, 데이터 파싱부(110), 데이터 필터링 수집부(120), 데이터 관계 분석부(130) 등을 포함할 수 있다.
이러한 본 발명의 실시 예에 따른 데이터테이블 생성 장치(100)는 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집한 원시 데이터를 이용하여 포렌식 데이터 시각화에 사용되는 데이터테이블로 변환할 수 있다.
입력값인 원시 데이터(10)는 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구로부터 수집한 시스템 시작/종료 기록 데이터, 웹 방문/검색/계정 기록 데이터, USB 접속 기록 데이터, 프로세서 실행 기록 데이터, 명령어 실행 기록 데이터, 파일 검색 기록 데이터, 메신저 기록 데이터, 문서 생성/수정/삭제 기록 데이터, 파일 생성/수정/삭제 기록 데이터 이다.
휴대용 포렌식 도구는 네트워크 정보, 시스템 정보 등의 다른 데이터도 수집 가능하지만 휴대용 포렌식 데이터의 의미 있는 가시화 표현에는 적합하지 않다. 하지만, 본 발명의 타겟인 원시 데이터와 마찬가지로 데이터테이블을 생성하는 것은 가능하다. 물론, 휴대용 포렌식 도구마다 출력하는 데이터 종류가 다르므로 특정 도구에서 원시 데이터 중 일부를 출력하지 않는다면 그것에 해당되는 데이터테이블은 생성되지 않는다.
데이터 파싱부(parser)(110)는 라이브데이터 포렌식 도구 또는 휴대용 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 기 설정된 키워드를 가지는 복수의 속성(attribute)으로 구성된 데이터테이블1(data table 1)(101)을 생성하는 역할을 한다. 즉 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 파싱하여 기 설정된 키워드의 고유한 속성을 포함하며 각 속성이 고유한 정형화된 형식을 가지는 데이터테이블1(101)을 생성한다.
예컨대, 키워드는 '타임(Time)', '액션(Action)', '콘텐츠(Content)', '디테일(Detail)'로 설정할 수 있으며, 이러한 4가지의 속성 키워드는 다른 키워드로 대체할 수 있다.
도 2 내지 도 10은 데이터 파싱부(110)가 각 원시 데이터를 이용하여 생성할 수 있는 데이터테이블1(101)을 예시한 것이다.
도 2 내지 도 10의 데이터테이블1(101)에서 '타임' 속성은 "yyy-mm-dd hh:mm" 형식을 가질 수 있다. "2010-08-10 19:35"가 그 예이다. 경우에 따라 '타임' 속성값이 없는 경우도 있다.
'액션' 속성은 각각 'System', 'WebVisit/WebSearch/WebAccount', 'USB', 'Process', 'Command', 'FileSearch', 'Messenger', 'DocumentCreated/DocumentModified/DocumentDeleted', 'FileCreated/FileModified/FileDeleted' 등의 키워드를 가질 수 있다. '액션' 속성값을 가리키는 키워드는 동일한 의미를 가지는 다른 키워드로 대체될 수도 있다.
'액션' 속성에 따른 '콘텐츠'와 '디테일' 속성은 각 데이터테이블마다 다르다.
도 2는 시스템 시작/종료 데이터테이블을 나타낸 구성도이다.
도 2에 나타낸 시스템 시작/종료 데이터테이블은 시스템 시작/종료 기록을 가지는 원시 데이터를 이용하여 생성된다. 시스템을 파워온(On) 하거나 파워오프(Off)할 때 시스템은 자체적으로 시간정보와 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 온(On), 오프(Off) 정보만 파싱해서 도 2와 같은 테이블을 구성한다. 도 2의 '타임' 속성값은 시스템을 온(On)하거나 오프(Off)했을 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'System'으로 정의한다. '콘텐츠' 속성값은 'On' 또는 'Off' 둘 중 하나이다. 시스템 시작/종료 데이터테이블의 '디테일' 속성값은 없다.
도 3은 웹 방문/검색/계정 데이터테이블을 나타낸 구성도이다.
도 3에 나타낸 웹 방문/검색/계정 데이터테이블은 웹 방문/검색/계정 기록을 가지는 원시 데이터를 이용하여 생성된다. 웹브라우저를 이용하여 웹페이지를 방문하면 시스템은 방문시간과 방문한 웹페이지 주소(URL), 그리고 기타 다른 정보를 기록한다. 또한, 웹페이지에서 검색을 하면 시스템은 방문시간과 검색 웹페이지 주소(URL), 검색어, 그리고 기타 다른 정보를 기록한다, 또한, 로그인이 필요한 웹페이지에서 로그인을 하면 시스템은 방문시간과 로그인 웹페이지 주소, 로그인 아이디, 로그인 패스워드, 그리고 기타 다른 정보를 기록한다. 데이터 파싱부(110)는 다양한 형식과 기록정보를 가진 원시 데이터 중 시간정보와 URL 정보와 검색어 정보와 로그인 아이디 및 패스워드 정보만 파싱해서 도 3과 같은 테이블을 구성한다. 도 3의 데이터테이블에서 '타임' 속성값은 웹 방문, 검색, 로그인 했을 때의 시간값으로 앞서 설명한 형식을 갖는다. 웹방문인 경우 '액션' 속성값은 'WebVisit'로 정의하고, '콘텐츠' 속성값은 방문한 웹주소를 나타내는 'URL'이며, '디테일' 속성값은 없다. 웹검색인 경우 '액션' 속성값은 'WebSearch'로 정의하고, '콘텐츠' 속성값은 방문한 웹주소를 나타내는 'URL'이며, '디테일' 속성값은 검색어이다. 웹계정인 경우 '액션' 속성값은 'WebAccount'로 정의하고, '콘텐츠' 속성값은 로그인한 웹주소를 나타내는 'URL'이며, '디테일' 속성값은 '로그인 아이디/로그인 패스워드'이다. 로그인 아이디와 패스워드는 '/'로 구분하며 아이디와 패스워드가 없으면 'null'로 표시한다. 'kimlee/null'가 그 예이다.
도 4는 USB 접속 데이터테이블을 나타낸 구성도이다.
도 4의 USB 접속 데이터테이블은 USB 접속 기록을 가지는 원시 데이터를 이용하여 생성된다. 시스템에 USB 디스크를 연결하면 시스템은 접속한 시간정보와 USB 제조사 및 시리얼넘버와 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 제조사 정보만 파싱해서 도 4와 같은 테이블을 구성한다. 도 4의 '타임' 속성값은 USB를 접속한 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'USB'로 정의한다. '콘텐츠' 속성값은 제조사이며, '디테일' 속성값은 없다.
도 5는 프로세서 실행 데이터테이블을 나타낸 구성도이다.
도 5의 프로세서 실행 데이터테이블은 프로세서 실행 기록을 가지는 원시 데이터를 이용하여 생성된다. 어떤 프로세서가 실행되면 시스템은 실행한 시간정보와 실행한 프로세서 이름과 실행 경로 및 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 실행한 프로세서 이름과 실행경로 정보만 파싱해서 도 5와 같은 테이블을 구성한다. 도 5의 '타임' 속성값은 프로세서를 실행한 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'Process'로 정의한다. '콘텐츠' 속성값은 실행한 프로세서 이름이며 '디테일' 속성값은 실행경로이다. 실행경로의 디렉토리는 '\'로 구분하며, 경로가 없는 것도 있다.
도 6은 명령어 실행 데이터테이블을 나타낸 구성도이다.
도 6의 명령어 실행 데이터테이블은 명령어 실행 기록을 가지는 원시 데이터를 이용하여 생성된다. 콘솔 프로그램 등을 이용하여 시스템에 명령을 내리면 시스템은 명령을 실행한 시간정보와 실행한 명령정보 및 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 실행한 명령어 정보만 파싱해서 도 6과 같은 테이블을 구성한다. 도 6의 '타임' 속성값은 명령어를 이용하여 명령을 내렸을 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'Command'로 정의한다. '콘텐츠' 속성값은 실행한 명령어 이름이며, '디테일' 속성값은 없다.
도 7은 파일검색 데이터테이블을 나타낸 구성도이다.
도 7의 파일검색 데이터테이블은 파일검색 기록을 가지는 원시 데이터를 이용하여 생성된다. 시스템 내에서 파일을 찾기 위해서 파일이름을 입력하고 검색 명령을 내리면 시스템은 검색을 실행한 시간정보와 검색어 정보 및 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 검색어 정보만 파싱해서 도 7과 같은 테이블을 구성한다. 도 7의 '타임' 속성값은 검색을 실행했을 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'FileSearch'로 정의한다. '콘텐츠' 속성값은 검색어이며, '디테일' 속성값은 없다.
도 8은 메신저 데이터테이블을 나타낸 구성도이다.
도 8의 메신저 데이터테이블은 메신저 사용 기록을 가지는 원시 데이터를 이용하여 생성된다. 인스턴트 메시지를 송수신할 수 있는 메신저 프로그램을 사용하여 상대방과 대화하면 시스템은 대화시각, 메신저종류, 자신의 아이디, 자신의 로그인 패스워드, 상대방의 아이디 정보 및 기타 다른 정보를 기록하는데 휴대용 포렌식 도구들은 이런 정보를 수집하는 기능이 있다. 데이터 파싱부(110)는 다양한 형식과 기록 정보를 가진 원시 데이터 중 시간정보와 메신저종류, 자신의 아이디, 자신의 로그인 패스워드, 상대방의 아이디 정보만 파싱해서 도 8과 같은 테이블을 구성한다. 도 8의 '타임' 속성값은 메신저를 이용하여 대화를 시작했을 때의 시간값으로 앞서 설명한 형식을 갖는다. '액션' 속성값은 'Messenger'로 정의한다. '콘텐츠' 속성값은 사용한 메신저 종류이며, '디테일' 속성값은 '로그인 아이디/로그인 패스워드/상대방 아이디' 이다. 'honggd/ghdrlfehd/bangja80' 이 예이다. '디테일' 속성값에서 구분은 '/'로 하며, 아이디나 패스워드 정보가 없으면 null로 표시한다.
도 9는 문서 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 9의 문서 생성/수정/삭제 데이터테이블은 문서 생성/수정/삭제 기록을 가지는 원시 데이터를 이용하여 생성된다. 워드프로세스용 문서, 프리젠테이션용 문서, 설계용 문서, 텍스트 문서와 같은 문서파일을 생성하고 이를 수정하거나 삭제하면 시스템은 문서 생성/수정/삭제 시간과 문서명과 문서가 위치한 경로, 그리고 기타 다른 정보를 기록한다. 데이터 파싱부(110)는 다양한 형식과 기록정보를 가진 원시 데이터 중 문서 생성/수정/삭제 시간과 문서명과 문서가 위치한 경로 정보만 파싱해서 도 9와 같은 테이블을 구성한다. 도 9의 데이터테이블에서 '타임' 속성값은 문서를 생성/수정/삭제 했을 때의 시간값으로 앞서 설명한 형식을 갖는다. 문서 생성인 경우 '액션' 속성값은 'DocumentCreated'로 정의하고, 문서 수정인 경우 '액션' 속성값은 'DocumentModified'로 정의하며, 문서 삭제인 경우 '액션' 속성값은 'DocumentDeleted'로 정의한다. '콘텐츠' 속성값은 생성/수정/삭제한 문서파일명이며, '디테일' 속성값은 문서파일이 위치한 경로명이다.
도 10은 파일 생성/수정/삭제 데이터테이블을 나타낸 구성도이다.
도 10의 파일 생성/수정/삭제 데이터테이블은 파일 생성/수정/삭제 기록을 가지는 원시 데이터를 이용하여 생성된다. 문서파일을 제외한 음악파일, 동영상파일, 기타 일반파일을 생성하고 이를 수정하거나 삭제하면 시스템은 파일 생성/수정/삭제 시간과 파일명과 파일이 위치한 경로, 그리고 기타 다른 정보를 기록한다. 데이터 파싱부(110)는 다양한 형식과 기록정보를 가진 원시 데이터 중 파일 생성/수정/삭제 시간과 파일명과 파일이 위치한 경로 정보만 파싱해서 도 10과 같은 테이블을 구성한다. 도 10의 데이터테이블에서 '타임' 속성값은 파일을 생성/수정/삭제 했을 때의 시간값으로 앞서 설명한 형식을 갖는다. 파일 생성인 경우 '액션' 속성값은 'FileCreated'로 정의하고, 파일 수정인 경우 '액션' 속성값은 'FileModified'로 정의하며, 파일 삭제인 경우 '액션' 속성값은 'FileDeleted'로 정의한다. '콘텐츠' 속성값은 생성/수정/삭제한 파일명이며, '디테일'은 파일이 위치한 경로명이다.
데이터 필터링 수집부(data filter/collector)(120)는 데이터테이블1(101) 중에서 적어도 하나 이상의 데이터테이블로부터 특정 필드나 속성을 필터링 또는 수집하여 새로운 데이터테이블2(Data table 2)(103)을 생성하는 역할을 한다. 예컨대, 도 11에 나타낸 바와 같이 시스템 시작/종료 데이터테이블, 웹 방문 데이터테이블, 파일 검색 데이터테이블, USB 접속 데이터테이블, 프로세서 실행 데이터테이블, 문서 삭제 데이터테이블, 파일 삭제 데이터테이블 등으로부터 특정 필드나 속성을 선택하여 새롭게 데이터테이블2(103)을 생성할 수 있다.
도 11의 도면부호 201구간은 특정 필드, 즉 특정 시간대만의 데이터를 가시화하기 위한 데이터들이다. 또한, 도면부호 203구간은 특정 속성, 즉 특정 '액션'에 해당하는 데이터만 추출하여 시각화에 이용할 수 있다. 또한, 도면부호 205구간은 사용자가 원하는 특정 키워드에만 해당하는 데이터만 추출하여 시각화에 이용할 수 있다. 이처럼, 휴대용 포렌식 도구로부터 수집한 데이터를 단순나열식으로 보여주지 않고, 다수의 데이터와 서로 다른 데이터의 동시표현 및 선택한 데이터만 표현하는 것이 가능하다.
데이터 관계 분석부(data relation analyzer)(130)는 데이터간의 관계를 분석하여 새로운 데이터테이블3(data table 3)(105)을 구성하는 역할을 한다. 예를 들어, 방문 빈도가 높은 웹 페이지, 같은 날에 문서 수정 후 USB 접속한 기록, 메신저 사용 후 파일 검색 후 USB 접속 기록 등을 분석하여 이를 시각화 할 수 있게 한다. 이들 정보는 문서 유출의 가능성이 있는 증거가 될 수 있다. 이처럼 시스템 구성을 통해 데이터 관계표현을 위한 가시화가 가능하다.
110 : 데이터 파싱부
120 : 데이터 필터링 수집부
130 : 데이터 관계 분석부
120 : 데이터 필터링 수집부
130 : 데이터 관계 분석부
Claims (8)
- 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 파싱하여 기 설정된 키워드의 고유한 속성을 포함하며 각 속성이 고유한 정형화된 형식을 가지는 데이터테이블1을 생성하는 데이터 파싱부를 포함하는
포렌식 데이터의 데이터테이블 생성 장치. - 제 1 항에 있어서,
상기 데이터테이블 생성 장치는, 상기 데이터테이블1 중에서 적어도 하나 이상의 데이터테이블로부터 특정 필드나 상기 속성을 필터링 또는 수집하여 새로운 데이터테이블2를 생성하는 데이터 필터링 수집부를 더 포함하는
포렌식 데이터의 데이터테이블 생성 장치. - 제 1 항 또는 제 2 항에 있어서,
상기 데이터 파싱부는, 시스템 시작/종료 데이터테이블, 웹 방문/검색/계정 데이터테이블, USB 접속 데이터테이블, 프로세서 실행 데이터테이블, 명령어 실행 데이터테이블, 파일 검색 데이터테이블, 메신저 데이터테이블, 문서 생성/수정/삭제 데이터테이블 또는 파일 생성/수정/삭제 데이터테이블 중에서 적어도 하나 이상의 데이터테이블을 생성하는
포렌식 데이터의 데이터테이블 생성 장치. - 제 1 항 또는 제 2 항에 있어서,
상기 데이터테이블 생성 장치는, 상기 데이터테이블1로부터 데이터간의 관계를 분석하여 새로운 데이터테이블3을 생성하는 데이터 관계 분석부를 더 포함하는
포렌식 데이터의 데이터테이블 생성 장치. - 포렌식 도구마다 서로 다른 포맷을 가진 원시 데이터를 파싱하여 기 설정된 키워드의 고유한 속성을 포함하며 각 속성이 고유한 정형화된 형식을 가지는 데이터테이블1을 생성하는 단계를 포함하는
포렌식 데이터의 데이터테이블 생성 방법. - 제 5 항에 있어서,
상기 데이터테이블 생성 방법은, 상기 데이터테이블1 중에서 적어도 하나 이상의 데이터테이블로부터 특정 필드나 상기 속성을 필터링 또는 수집하여 새로운 데이터테이블2를 생성하는 단계를 더 포함하는
포렌식 데이터의 데이터테이블 생성 방법. - 제 5 항 또는 제 6 항에 있어서,
상기 데이터테이블1을 생성하는 단계는, 시스템 시작/종료 데이터테이블, 웹 방문/검색/계정 데이터테이블, USB 접속 데이터테이블, 프로세서 실행 데이터테이블, 명령어 실행 데이터테이블, 파일 검색 데이터테이블, 메신저 데이터테이블, 문서 생성/수정/삭제 데이터테이블 또는 파일 생성/수정/삭제 데이터테이블 중에서 적어도 하나 이상의 데이터테이블을 생성하는
포렌식 데이터의 데이터테이블 생성 방법. - 제 5 항 또는 제 6 항에 있어서,
상기 데이터테이블 생성 방법은, 상기 데이터테이블1로부터 데이터간의 관계를 분석하여 새로운 데이터테이블3을 생성하는 단계를 더 포함하는
포렌식 데이터의 데이터테이블 생성 방법.
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100135730A KR20120073841A (ko) | 2010-12-27 | 2010-12-27 | 포렌식 데이터의 데이터테이블 생성 장치 및 방법 |
| US13/338,147 US20120166456A1 (en) | 2010-12-27 | 2011-12-27 | Method and apparatus for creating data table of forensics data |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020100135730A KR20120073841A (ko) | 2010-12-27 | 2010-12-27 | 포렌식 데이터의 데이터테이블 생성 장치 및 방법 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20120073841A true KR20120073841A (ko) | 2012-07-05 |
Family
ID=46318303
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020100135730A KR20120073841A (ko) | 2010-12-27 | 2010-12-27 | 포렌식 데이터의 데이터테이블 생성 장치 및 방법 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20120166456A1 (ko) |
| KR (1) | KR20120073841A (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102345890B1 (ko) * | 2021-06-11 | 2022-01-03 | 주식회사 사이람 | 정형 데이터의 그래프 모델링 방법 및 그래프 모델링 장치 |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10354062B2 (en) * | 2014-07-24 | 2019-07-16 | Schatz Forensic Pty Ltd | System and method for simultaneous forensic, acquisition, examination and analysis of a computer readable medium at wire speed |
| US9851998B2 (en) * | 2014-07-30 | 2017-12-26 | Microsoft Technology Licensing, Llc | Hypervisor-hosted virtual machine forensics |
| US10440036B2 (en) * | 2015-12-09 | 2019-10-08 | Checkpoint Software Technologies Ltd | Method and system for modeling all operations and executions of an attack and malicious process entry |
| KR102372732B1 (ko) * | 2016-01-18 | 2022-03-14 | 한국전자통신연구원 | 에뮬레이션 기반의 포렌식 분석을 수행하는 전자 장치 및 그것을 이용하여 포렌식 분석을 수행하는 방법 |
| CN107688664B (zh) * | 2017-09-25 | 2020-04-03 | 平安科技(深圳)有限公司 | 图表生成方法、装置、计算机设备和存储介质 |
| US11966502B2 (en) | 2020-03-17 | 2024-04-23 | Forensifile, Llc | Digital file forensic accounting and management system |
| US20230023798A1 (en) * | 2021-07-15 | 2023-01-26 | Grayshift, Llc | Digital forensics tool and method |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8458805B2 (en) * | 2003-06-23 | 2013-06-04 | Architecture Technology Corporation | Digital forensic analysis using empirical privilege profiling (EPP) for filtering collected data |
| US7779032B1 (en) * | 2005-07-13 | 2010-08-17 | Basis Technology Corporation | Forensic feature extraction and cross drive analysis |
| US7603344B2 (en) * | 2005-10-19 | 2009-10-13 | Advanced Digital Forensic Solutions, Inc. | Methods for searching forensic data |
| US8640056B2 (en) * | 2007-07-05 | 2014-01-28 | Oracle International Corporation | Data visualization techniques |
| KR100911377B1 (ko) * | 2007-10-05 | 2009-08-10 | 한국전자통신연구원 | 디지털 포렌식에서 데이터를 검색하기 위한 장치 및 방법 |
| US20080065811A1 (en) * | 2007-11-12 | 2008-03-13 | Ali Jahangiri | Tool and method for forensic examination of a computer |
| US20090164522A1 (en) * | 2007-12-20 | 2009-06-25 | E-Fense, Inc. | Computer forensics, e-discovery and incident response methods and systems |
| US20120011590A1 (en) * | 2010-07-12 | 2012-01-12 | John Joseph Donovan | Systems, methods and devices for providing situational awareness, mitigation, risk analysis of assets, applications and infrastructure in the internet and cloud |
-
2010
- 2010-12-27 KR KR1020100135730A patent/KR20120073841A/ko not_active IP Right Cessation
-
2011
- 2011-12-27 US US13/338,147 patent/US20120166456A1/en not_active Abandoned
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102345890B1 (ko) * | 2021-06-11 | 2022-01-03 | 주식회사 사이람 | 정형 데이터의 그래프 모델링 방법 및 그래프 모델링 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20120166456A1 (en) | 2012-06-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR20120073841A (ko) | 포렌식 데이터의 데이터테이블 생성 장치 및 방법 | |
| Drosos et al. | Wrex: A unified programming-by-example interaction for synthesizing readable code for data scientists | |
| US11797532B1 (en) | Dashboard display using panel templates | |
| US20210034650A1 (en) | Distinguishing between fields in field value extraction | |
| US11354308B2 (en) | Visually distinct display format for data portions from events | |
| US11698900B2 (en) | Leveraging search query history in a search interface | |
| KR20100072214A (ko) | 문서 검색 도구 | |
| Hartmann et al. | HyperSource: bridging the gap between source and code-related web sites | |
| CN103544298B (zh) | 组件的日志分析方法和分析装置 | |
| JP2008077611A (ja) | ログ統合管理システム | |
| JP5185402B2 (ja) | 文書検索装置、文書検索方法、及び文書検索プログラム | |
| KR20190058141A (ko) | 문서로부터 추출되는 데이터를 생성하는 방법 및 그 장치 | |
| CN103198078A (zh) | 一种互联网新闻事件报道趋势分析方法及*** | |
| Al-Msie'deen | Tag clouds for object-oriented source code visualization | |
| JP5271920B2 (ja) | オンライン検索のために構造化データを用いる方法 | |
| JP4539438B2 (ja) | トラックバック元のコメント・トラックバックの集約方法及び装置及びプログラム及びプログラムを格納したコンピュータ読み取り可能な記憶媒体 | |
| US8856152B2 (en) | Apparatus and method for visualizing data | |
| CN112699642B (zh) | 复杂医疗文书的索引提取方法及装置、介质及电子设备 | |
| JP2008234559A (ja) | ドキュメント絞り込み検索装置、方法及びプログラム | |
| CN114297443A (zh) | 图数据查询语句的处理方法、装置、设备及存储介质 | |
| JP6122742B2 (ja) | 仕様変更支援装置、情報処理方法、およびプログラム | |
| JP2016539415A (ja) | テーブルによるビッグデータ量処理方法および装置 | |
| JP2014002563A (ja) | 検索支援装置と検索支援プログラム | |
| Hargreaves | Visualisation of allocated and unallocated data blocks in digital forensics. | |
| Woodruff et al. | MultiLog: a tool for the control and output merging of multiple logging applications |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| SUBM | Surrender of laid-open application requested |