KR20070090460A - Computer and network forensics system - Google Patents

Computer and network forensics system Download PDF

Info

Publication number
KR20070090460A
KR20070090460A KR1020060020194A KR20060020194A KR20070090460A KR 20070090460 A KR20070090460 A KR 20070090460A KR 1020060020194 A KR1020060020194 A KR 1020060020194A KR 20060020194 A KR20060020194 A KR 20060020194A KR 20070090460 A KR20070090460 A KR 20070090460A
Authority
KR
South Korea
Prior art keywords
information
network
forensic
log information
volatile
Prior art date
Application number
KR1020060020194A
Other languages
Korean (ko)
Inventor
최용락
고은주
장재혁
박영신
임의열
김지영
정병옥
오세민
Original Assignee
최용락
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최용락 filed Critical 최용락
Priority to KR1020060020194A priority Critical patent/KR20070090460A/en
Publication of KR20070090460A publication Critical patent/KR20070090460A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

A forensics system integrating computers and the network is provided quickly/efficiently to estimate attack by collecting, analyzing, and estimating volatile and non-volatile log information, and network packet information, and make a report to enable digital evidence for the attack to be effected as forensics data in a court. An agent system(200) collects the volatile and non-volatile log information, and the network packet information of a system. A transceiver transceives the collected digital evidence by guaranteeing integrity and confidentiality. A digital evidence database normalizes different file formats from the collected information, contracts the digital evidences into correlation, and stores the correlation. A forensics server(300) provides a countermeasure against an attacker after analyzing an attack type and intrusion information from the collected information through a GUI(Graphic User Interface), and provides a security infringement accident analysis report.

Description

컴퓨터·네트워크 통합 포렌식스 시스템{Computer and Network Forensics System}Computer and Network Forensics System

도 1은 본 발명에 따른 컴퓨터·네트워크 통합 포렌식스 시스템이 적용된 네트워크 구성 개략도,1 is a schematic diagram of a network configuration to which a computer-network integrated forensic system according to the present invention is applied;

도 2는 본 발명에 따른 에이전트 시스템의 내부 블록도 및 작용을 설명하는 개념도,2 is a conceptual diagram illustrating an internal block diagram and an operation of an agent system according to the present invention;

도 3은 본 발명에 따른 포렌식스 서버의 내부 블록도 및 작용을 설명하는 개념도,3 is a conceptual diagram illustrating an internal block diagram and operation of a forensic server according to the present invention;

도 4는 본 발명에 따른 디지털 증거의 무결성과 기밀성을 보장하기 위한 컴퓨터·네트워크 통합 포렌식스 시스템의 동작 과정을 도시한 블록도,4 is a block diagram showing an operation process of a computer-network integrated forensic system for ensuring the integrity and confidentiality of digital evidence according to the present invention;

도 5는 본 발명에 따른 포렌식스 서버에서 디지털 증거를 데이터베이스에 저장하기 위한 방법을 설명하는 블록도이다.5 is a block diagram illustrating a method for storing digital evidence in a database in a forensic server according to the present invention.

<도면의 주요부분에 대한 부호의 설명>    <Description of the symbols for the main parts of the drawings>

100. 인터넷 110. 라우터     100. Internet 110. Router

120. 방화벽 130. 스위칭 허브     120. Firewall 130. Switching Hub

200. 에이전트 시스템 210. 디지털 증거 수집기     200. Agent System 210. Digital Evidence Collector

220. 비휘발성 로그정보 수집 230. 휘발성 로그정보 수집     220. Collecting nonvolatile log information 230. Collecting volatile log information

240. 패킷정보 수집 250. 디지털 증거 전송 모듈     240. Packet information collection 250. Digital evidence transmission module

251. 디지털 증거 252. MD5 체크섬 데이터     251. Digital Evidence 252. MD5 Checksum Data

253. 암호화 254. 합 연산     253.Encryption 254. Sum Operations

255. 결합 256. netcat를 통한 데이터의 안전한 전송     255. Combined 256. Secure transmission of data via netcat

300. 포렌식스 서버 400. 증거저장 모듈     300. Forensic Server 400. Evidence Storage Module

410. 디지털 증거 수신 모듈 411. 복호화     410. Digital Evidence Receiving Module 411. Decryption

412. 디지털 증거 413. MD5 체크섬 데이터     412. Digital Evidence 413. MD5 Checksum Data

414. MD5 연산 415. MD5 체크섬 데이터     414. MD5 Operation 415. MD5 Checksum Data

416. 비교 연산 420. 증거 저장소     416. Comparative Operations 420. Evidence Store

430. 비휘발성 로그 440. 휘발성 로그     430. Nonvolatile Logs 440. Volatile Logs

450. 패킷정보 460. 정규화 모듈     450. Packet information 460. Normalization module

470. 데이터 축약 및 데이터베이스 저장 모듈 500. 증거분석 모듈     470. Data Reduction and Database Storage Modules 500. Evidence Analysis Modules

본 발명은 컴퓨터·네트워크 통합 포렌식스 시스템에 관한 것으로, 보다 자세하게는 각종 보안침해사고로부터 중요 서버 컴퓨터 및 네트워크 차원의 통합적인 로그정보 및 패킷정보를 수집하여 침해사고에 대한 조사 종합적인 분석과 효율적인 사고대응이 가능한 통합 포렌식스 시스템에 관한 것이다.The present invention relates to a computer-network integrated forensic system, and more specifically, to collect comprehensive log information and packet information of important server computers and networks from various security intrusion incidents, and to investigate comprehensive analysis and efficient accidents for infringement accidents. An integrated forensic system is available.

컴퓨터 시스템과 네트워크 기술의 발달과 더불어 이의 역기능으로 해킹, 바이러스와 같은 보안침해사고가 더욱 증가하고 있다. 이에 따라 기존 침입 탐지/차단/방지 시스템과 같은 일반적인 보안강화 도구에서부터 현재의 통합관리시스템인 ESM(Enterprise Security Management)에 이르기까지 침해사고에 대한 보안기술은 점차 다양화 되었다.With the development of computer system and network technology, its dysfunction is increasing the number of security breaches such as hacking and viruses. As a result, security technologies for intrusion accidents have gradually diversified from general security enhancement tools such as intrusion detection / blocking / prevention systems to enterprise security management (ESM).

그러나 이러한 기술은 침입에 대한 증거 미확보와 네트워크의 비효율성 문제 등이 발생하고 있으며, 공격자에 대한 적절한 대응이 부족하다는 단점이 있다. 그러므로 침입자의 디지털 증거를 수집, 분석하여 법적 효력을 갖는 증거물로 제시할 수 있는 컴퓨터 포렌식스 기술이 요구된다. However, these technologies have inadequate evidence of intrusion and inefficiency of the network, and have the disadvantage of lacking proper response to attackers. Therefore, computer forensic technology is required to collect, analyze and present intruders' digital evidence as legal evidence.

현재 컴퓨터 포렌식스 도구로써 증거물의 수집과 분석을 위해 일반적으로 SpyAgent, eTrust Network Forensics, FinalData 등과 같은 단일 포렌식스 도구들과 DEAS, TCT, Encase 등과 같은 부분 통합적인 포렌식스 도구들을 사용하고 있다.Currently, computer forensics tools typically use single forensics tools, such as SpyAgent, eTrust Network Forensics, and FinalData, and partially integrated forensics tools, such as DEAS, TCT, and Encase, for the collection and analysis of evidence.

그러나, 이러한 도구들은 대부분 디스크 포렌식스에 편중된 부분적인 기능을 제공하는 도구들로써 침해사고 분석에 많은 인력과 시간이 소요되고, 침해사고 발생 후 증거를 획득한 다음 분석이 이루어지므로 증거물의 무결성과 휘발성 정보를 수집할 수 없는 문제점이 존재한다. 또한, 시스템 로그정보와 네트워크 패킷정보의 단편적인 분석으로 인해 침입에 대한 종합적인 분석과 공격판단 능력이 부족한 문제가 있다.However, these tools are mostly tools that provide partial functions centered on disk forensics, which require a lot of manpower and time to analyze infringement incidents, and after the evidence is obtained and analyzed, the integrity and volatility of the evidence There is a problem that cannot collect information. In addition, due to the fragmentary analysis of system log information and network packet information, there is a problem that the comprehensive analysis of the intrusion and the ability of attack determination are insufficient.

따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 휘발성 로그정보 및 비휘발성 로그정보, 그리고 네트워크 패킷정보를 수집, 통합 분석하여 공격평가를 신속하고 효율적으로 수행할 수 있는 컴퓨터·네트워크 통합 포렌식스 시스템을 제공하는데 본 발명의 목적이 있다.Accordingly, the present invention is to solve the above disadvantages and problems of the prior art, it is possible to perform the attack evaluation quickly and efficiently by collecting and analyzing the volatile log information, non-volatile log information, and network packet information It is an object of the present invention to provide a computer-network integrated forensic system.

본 발명의 다른 목적은 보안침해사고에서 법적 대응이 필요한 경우 공격에 대한 디지털 증거가 법정에서 증거자료로써 효력을 갖도록 보고서를 작성할 수 있는 컴퓨터·네트워크 통합 포렌식스 시스템을 제공하는 것이다.Another object of the present invention is to provide a computer-network integrated forensics system that can prepare a report so that digital evidence of an attack is effective as evidence in a court of law when a legal response is required in a security breach.

본 발명의 상기 목적은 중요 서버나 단말기에서 디지털 증거를 수집하는 에이전트 시스템; 네트워크 및 시스템에 대한 악의적인 공격을 탐지하고 공격정보를 제공하는 침입탐지시스템; 수집한 정보에서 상이한 정보 형태를 정규화 및 상호 관계로 통합하여 분석한 후 공격에 대응할 수 있는 포렌식스 서버를 포함하여 이루어진 컴퓨터·네트워크 통합 포렌식스 시스템에 의해 달성된다.The above object of the present invention is an agent system for collecting digital evidence from an important server or terminal; An intrusion detection system for detecting malicious attacks on networks and systems and providing attack information; This is achieved by a computer-network integrated forensics system that includes forensics servers that can respond to attacks after integrating and analyzing different forms of information from normalized and correlated relations.

본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용효과에 관한 자세한 사항은 본 발명의 바람직한 실시예를 도시하고 있는 도면을 참조한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.Details of the above object and technical configuration of the present invention and the effects thereof according to the present invention will be more clearly understood by the following detailed description with reference to the drawings showing preferred embodiments of the present invention.

도 1은 본 발명에 따른 컴퓨터·네트워크 통합 포렌식스 시스템이 적용된 네 트워크 구성 개략도로서, 에이전트 시스템(200), 포렌식스 서버(300), 침입탐지시스템(600)이 연결되어 네트워크를 구성한다.1 is a schematic diagram illustrating a network to which a computer-network integrated forensic system according to the present invention is applied, and an agent system 200, a forensic server 300, and an intrusion detection system 600 are connected to form a network.

여기서, 에이전트 시스템(200)은 보안침해사고로부터 보호하기 위한 중요한 서버나 단말기를 말하며, 공격자의 디지털 증거를 수집하여 포렌식스 서버(300)에 제공한다. 그리고 침입탐지시스템(600)은 네크워크 및 시스템에 대한 비정상적인 침입을 탐지하고, 공격정보를 포렌식스 서버(300)에 제공한다. 포렌식스 서버(300)는 디지털 증거를 정규화 및 데이터 축약 과정을 통해 데이터베이스(470)에 저장하고, 이를 종합 분석하여 공격을 판단하는 기능을 제공하며, 공격에 대한 대응을 총체적으로 수행한다.In this case, the agent system 200 refers to an important server or terminal for protecting from a security breach, and collects digital evidence of an attacker and provides it to the forensic server 300. The intrusion detection system 600 detects abnormal intrusions into the network and the system, and provides attack information to the forensic server 300. The forensic server 300 stores the digital evidence in the database 470 through normalization and data reduction process, provides a comprehensive analysis to determine the attack, and performs a response to the attack as a whole.

도 2는 본 발명에 따른 에이전트 시스템의 내부 블록도 및 작용을 설명하는 개념도로서, 공격정보 수집을 위한 비활성 로그정보 수집 모듈(220), 휘발성 로그정보 수집 모듈(230), 네트워크 패킷정보 수집 모듈(240)과 수집한 모든 디지털 증거를 포렌식스 서버(300)로 전송하기 위한 디지털 증거 전송 모듈(250)로 구성된다.2 is a conceptual diagram illustrating the internal block diagram and operation of the agent system according to the present invention, inactive log information collection module 220, volatile log information collection module 230, network packet information collection module ( 240 and a digital evidence transmission module 250 for transmitting all collected digital evidence to the forensic server 300.

비활성 로그정보 수집 모듈(220)은 프로그램으로 운영되는 모든 시스템에서 기본적으로 자동 생성되는 로그정보를 수집하고, 휘발성 로그 정보 수집 모듈(230)은 침해사고 이후 사라지기 쉬운 운영중인 프로세스, 열려진 포트, 버퍼 안의 내용 등의 데이터를 수집한다. 이러한 휘발성 정보는 침해사고 당시의 상황을 파악할 수 있는 중요한 정보이다. 네트워크 패킷정보 수집 모듈(240)은 네트워크상에서 송수신 되는 패킷을 캡쳐하여 네트워크 문제 해결뿐만 아니라 침해사고에 대한 침입정 보를 제공한다. 그리고 디지털 증거 전송 모듈(250)은 수집한 디지털 증거의 무결성을 보장하고 안전한 전송을 담당한다.Inactive log information collection module 220 collects log information that is automatically generated by default in all systems operated as a program, volatile log information collection module 230 is a running process, open ports, buffers that are easy to disappear after the breach Collect data such as the contents. This volatile information is important information to understand the situation at the time of the infringement accident. The network packet information collecting module 240 captures the packets transmitted and received on the network and provides intrusion information on infringement incidents as well as solving network problems. The digital evidence transmission module 250 is responsible for ensuring the integrity of the digital evidence collected and for safe transmission.

도 3은 본 발명에 따른 포렌식스 서버의 내부 블록도 및 작용을 설명하는 개념도로서, 포렌식스 서버(300)는 에이전트 시스템(200)에서 수집한 정보들과 침입탐지시스템(600)에서 탐지한 침입정보를 디지털 증거 수신 모듈을 통해 증거 저장소에 저장한다. 3 is a conceptual diagram illustrating the internal block diagram and operation of the forensic server according to the present invention, the forensics server 300 is the intrusion detected by the intrusion detection system 600 and the information collected from the agent system 200 The information is stored in the evidence repository through the digital evidence receiving module.

증거분석 모듈(500)에서는 GUI 환경에서 간단한 질의를 통해 누가, 언제, 어디서, 무엇을, 어떻게 했는지에 대한 침해사고 분석이 이루어지며, 분석한 정보를 통해 공격자에 대한 적절한 대응을 수행한다. 또한 향후 법적 대응이 필요할 시 법적 효력을 갖는 보안침해사고 분석 보고서를 제공한다.The evidence analysis module 500 analyzes infringement incidents of who, when, where, what, and how through simple queries in the GUI environment, and performs appropriate responses to attackers through the analyzed information. In addition, it provides a report on the analysis of security violations that has a legal effect when a legal response is required in the future.

도 4는 본 발명에 따른 디지털 증거의 무결성과 기밀성을 보장하기 위한 컴퓨터·네트워크 통합 포렌식스 시스템의 동작 과정을 도시한 블록도로서, 디지털 증거 전송 모듈(250)에서 무결성을 보장하기 위해 각 디지털 증거(251)에 해당하는 MD5 데이터(252)를 생성하고, 기밀성을 보장하기 위해 디지털 증거(251)와 MD5 데이터(252)를 각각 암호화(253)하고, 결합(254)한 결과를 NC(256)를 통해 디지털 증거 수신 모듈(410)로 전송한다.4 is a block diagram illustrating an operation process of a computer-network integrated forensic system for ensuring the integrity and confidentiality of digital evidence according to the present invention. The MD5 data 252 corresponding to 251 is generated, and the digital evidence 251 and MD5 data 252 are encrypted 253 and combined 254 to ensure confidentiality. Through the digital evidence receiving module 410 is transmitted.

디지털 증거 수신 모듈(410)에서는 수신한 파일을 복호화(411)한 다음 디지털 증거(412)에 MD5 연산을 수행한 결과와 복호화한 MD5 데이터(413)를 비교하여 변경 여부를 확인하므로 디지털 증거의 무결성을 보장할 수 있다. The digital evidence receiving module 410 decrypts the received file 411 and then compares the result of performing the MD5 operation on the digital evidence 412 with the decrypted MD5 data 413 to confirm whether the digital evidence has changed. Can be guaranteed.

도 5는 본 발명에 따른 포렌식스 서버에서 디지털 증거를 데이터베이스에 저 장하기 위한 방법을 설명하는 블록도로서, 에이전트 시스템(200)에서 수집한 디지털 증거들은 서로 다른 형태로 저장되어 있으므로 사건 통합을 위해 모든 정보를 동일한 형태로 정규화(460)하고, 데이터의 중복을 줄이기 위해 각 정보에서 공통점인 사용자 ID, 시간, IP 주소를 기준으로 데이터를 축약(470)하여 데이터베이스에 저장한다. FIG. 5 is a block diagram illustrating a method for storing digital evidence in a database in a forensic server according to the present invention. Since the digital evidence collected by the agent system 200 is stored in different forms, it is possible to integrate events. All information is normalized to the same form (460), and in order to reduce data duplication, data is reduced (470) based on a user ID, a time, and an IP address which are common in each information, and stored in a database.

본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.Although the present invention has been shown and described with reference to the preferred embodiments as described above, it is not limited to the above embodiments and those skilled in the art without departing from the spirit of the present invention. Various changes and modifications will be possible.

따라서, 본 발명의 컴퓨터·네트워크 통합 포렌식스 시스템은 각종 침해사고에서 발생하는 모든 휘발성 및 비휘활성 로그정보, 그리고 네트워크 패킷정보를 통합 분석함으로써 공격을 신속하고 정확하게 판단할 수 있는 장점이 있고, 수집한 디지털 증거는 무결성이 보장되므로 법정에서 공격사실을 입증할 수 있는 증거로써 제시할 수 있는 효과가 있다.Accordingly, the computer-network integrated forensic system of the present invention has the advantage of quickly and accurately determining an attack by integrating and analyzing all volatile and non-volatile log information and network packet information generated from various infringement incidents. Since digital evidence is guaranteed integrity, there is an effect that can be presented as evidence to prove the attack in court.

Claims (3)

각종 보안침해사고에서 보호 대상이 되는 중요 서버나 단말기를 포함하는 시스템에 있어서,In a system including a critical server or a terminal to be protected in various security incidents, 시스템의 비휘발성 로그정보, 휘발성 로그정보 그리고 네트워크 패킷정보를 수집하는 에이전트 시스템;An agent system for collecting non-volatile log information, volatile log information, and network packet information of the system; 상기 에이전트 시스템에서 수집한 디지털 증거의 무결성과 기밀성을 보장하여 전송 및 수신하는 송수신부;Transmitting and receiving unit for ensuring the integrity and confidentiality of the digital evidence collected by the agent system to transmit and receive; 상기 수집한 정보에서 상이한 파일 형식을 정규화하고, 디지털 증거들을 상호연관 관계로 축약하여 저장하는 디지털 증거 데이터베이스;A digital evidence database for normalizing different file formats from the collected information and for abbreviating and storing digital evidences in a correlation; 상기 수집한 정보를 GUI를 통해 공격유형 및 침입정보를 분석한 후, 공격자에 대한 대응이 이루어지고 보안침해사고 분석 보고서를 제공하는 포렌식스 서버를 포함하여 구성된 것을 특징으로 하는 컴퓨터·네트워크 통합 포렌식스 시스템.After analyzing the attack type and intrusion information through the collected information through the GUI, forensic integrated computer, characterized in that it comprises a forensic server that responds to the attacker and provides a security incident analysis report system. 제 1항에 있어서, The method of claim 1, 상기 에이전트 시스템은 프로그램으로 운영되는 모든 시스템에서 기본적으로 자동 생성되는 비휘발성 로그정보, 침해사고 이후 사라지기 쉬운 휘발성 로그정보, 그리고 네트워크상에서 송수신 되는 패킷정보를 모두 수집하는 모듈을 포함하는 것을 특징으로 하는 컴퓨터·네트워크 통합 포렌식스 시스템.The agent system is characterized in that it comprises a module for collecting all the non-volatile log information that is automatically generated automatically in all the system operated as a program, volatile log information easy to disappear after the incident, and packet information transmitted and received on the network Computer and Network Integrated Forensic System. 제 1항에 있어서, The method of claim 1, 상기 포렌식스 서버는 상이한 형태로 저장된 비휘발성 로그정보, 휘발성 로그정보, 네트워크 패킷정보를 상호연관 관계를 형성하도록 하기 위해 데이터를 정규화하고, 각 정보의 공통점인 사용자 ID, 시간, IP 주소에 따라 데이터를 축약하여 저장하고, 증거분석 기능을 제공하는 포렌식스 서버를 포함하는 것을 특징으로 하는 컴퓨터·네트워크 통합 포렌식스 시스템.The forensic server normalizes data in order to form a correlation between nonvolatile log information, volatile log information, and network packet information stored in different forms, and according to user ID, time, and IP address which are common to each information. Computer for network integrated forensic system, characterized in that it comprises a forensic server for shortening, storing, and providing evidence analysis function.
KR1020060020194A 2006-03-03 2006-03-03 Computer and network forensics system KR20070090460A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020060020194A KR20070090460A (en) 2006-03-03 2006-03-03 Computer and network forensics system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020060020194A KR20070090460A (en) 2006-03-03 2006-03-03 Computer and network forensics system

Publications (1)

Publication Number Publication Date
KR20070090460A true KR20070090460A (en) 2007-09-06

Family

ID=38688859

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020060020194A KR20070090460A (en) 2006-03-03 2006-03-03 Computer and network forensics system

Country Status (1)

Country Link
KR (1) KR20070090460A (en)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100986479B1 (en) * 2008-07-01 2010-10-08 경북대학교 산학협력단 System and method for digital evidence acquisition
KR101648078B1 (en) * 2015-04-01 2016-08-12 주식회사 실리콘큐브 Manipulation detection system of digital file and method thereof
KR20190047464A (en) * 2017-10-27 2019-05-08 국민대학교산학협력단 Analysis System and Method of iOS System Log
CN112507264A (en) * 2020-11-11 2021-03-16 中科金审(北京)科技有限公司 System and method for automatically realizing network electronic evidence obtaining through traceability

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100986479B1 (en) * 2008-07-01 2010-10-08 경북대학교 산학협력단 System and method for digital evidence acquisition
KR101648078B1 (en) * 2015-04-01 2016-08-12 주식회사 실리콘큐브 Manipulation detection system of digital file and method thereof
KR20190047464A (en) * 2017-10-27 2019-05-08 국민대학교산학협력단 Analysis System and Method of iOS System Log
CN112507264A (en) * 2020-11-11 2021-03-16 中科金审(北京)科技有限公司 System and method for automatically realizing network electronic evidence obtaining through traceability

Similar Documents

Publication Publication Date Title
US10917417B2 (en) Method, apparatus, server, and storage medium for network security joint defense
US11032294B2 (en) Dynamic decryption of suspicious network traffic based on certificate validation
JP5844938B2 (en) Network monitoring device, network monitoring method, and network monitoring program
KR100351306B1 (en) Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof
KR100609170B1 (en) system of network security and working method thereof
US7669239B2 (en) Secure network system and associated method of use
US20030084318A1 (en) System and method of graphically correlating data for an intrusion protection system
KR102222377B1 (en) Method for Automatically Responding to Threat
CN112217835A (en) Message data processing method and device, server and terminal equipment
US11916945B2 (en) Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity
US20140344931A1 (en) Systems and methods for extracting cryptographic keys from malware
KR102501372B1 (en) AI-based mysterious symptom intrusion detection and system
KR20070090460A (en) Computer and network forensics system
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
KR20070072835A (en) Web hacking responses through real time web log collection
Nithiyanandam et al. Advanced framework of defense system for prevetion of insider's malicious behaviors
CN113923021A (en) Sandbox-based encrypted flow processing method, system, device and medium
Kishore et al. Intrusion Detection System a Need
Parate et al. A review of network forensics techniques for the analysis of web based attack
Huang et al. A logging scheme for database audit
Sandhu et al. A study of the novel approaches used in intrusion detection and prevention systems
KR102432835B1 (en) Security Event De-Identification System and Its Method
Sourour et al. Collaboration between security devices toward improving network defense
Kakade et al. JAVA based honeypot: Intrusion detection system
Siahaan Intrusion Detection System in Network Forensic Analysis and Investigation

Legal Events

Date Code Title Description
WITN Withdrawal due to no request for examination