KR20070090460A - Computer and network forensics system - Google Patents
Computer and network forensics system Download PDFInfo
- Publication number
- KR20070090460A KR20070090460A KR1020060020194A KR20060020194A KR20070090460A KR 20070090460 A KR20070090460 A KR 20070090460A KR 1020060020194 A KR1020060020194 A KR 1020060020194A KR 20060020194 A KR20060020194 A KR 20060020194A KR 20070090460 A KR20070090460 A KR 20070090460A
- Authority
- KR
- South Korea
- Prior art keywords
- information
- network
- forensic
- log information
- volatile
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
Description
도 1은 본 발명에 따른 컴퓨터·네트워크 통합 포렌식스 시스템이 적용된 네트워크 구성 개략도,1 is a schematic diagram of a network configuration to which a computer-network integrated forensic system according to the present invention is applied;
도 2는 본 발명에 따른 에이전트 시스템의 내부 블록도 및 작용을 설명하는 개념도,2 is a conceptual diagram illustrating an internal block diagram and an operation of an agent system according to the present invention;
도 3은 본 발명에 따른 포렌식스 서버의 내부 블록도 및 작용을 설명하는 개념도,3 is a conceptual diagram illustrating an internal block diagram and operation of a forensic server according to the present invention;
도 4는 본 발명에 따른 디지털 증거의 무결성과 기밀성을 보장하기 위한 컴퓨터·네트워크 통합 포렌식스 시스템의 동작 과정을 도시한 블록도,4 is a block diagram showing an operation process of a computer-network integrated forensic system for ensuring the integrity and confidentiality of digital evidence according to the present invention;
도 5는 본 발명에 따른 포렌식스 서버에서 디지털 증거를 데이터베이스에 저장하기 위한 방법을 설명하는 블록도이다.5 is a block diagram illustrating a method for storing digital evidence in a database in a forensic server according to the present invention.
<도면의 주요부분에 대한 부호의 설명> <Description of the symbols for the main parts of the drawings>
100. 인터넷 110. 라우터 100.
120. 방화벽 130. 스위칭 허브 120.
200. 에이전트 시스템 210. 디지털 증거 수집기 200.
220. 비휘발성 로그정보 수집 230. 휘발성 로그정보 수집 220. Collecting
240. 패킷정보 수집 250. 디지털 증거 전송 모듈 240.
251. 디지털 증거 252. MD5 체크섬 데이터 251.
253. 암호화 254. 합 연산 253.
255. 결합 256. netcat를 통한 데이터의 안전한 전송 255. Combined 256. Secure transmission of data via netcat
300. 포렌식스 서버 400. 증거저장 모듈 300.
410. 디지털 증거 수신 모듈 411. 복호화 410. Digital
412. 디지털 증거 413. MD5 체크섬 데이터 412.
414. MD5 연산 415. MD5 체크섬 데이터 414. MD5 Operation 415. MD5 Checksum Data
416. 비교 연산 420. 증거 저장소 416. Comparative Operations 420. Evidence Store
430. 비휘발성 로그 440. 휘발성 로그 430. Nonvolatile
450. 패킷정보 460. 정규화 모듈 450.
470. 데이터 축약 및 데이터베이스 저장 모듈 500. 증거분석 모듈 470. Data Reduction and
본 발명은 컴퓨터·네트워크 통합 포렌식스 시스템에 관한 것으로, 보다 자세하게는 각종 보안침해사고로부터 중요 서버 컴퓨터 및 네트워크 차원의 통합적인 로그정보 및 패킷정보를 수집하여 침해사고에 대한 조사 종합적인 분석과 효율적인 사고대응이 가능한 통합 포렌식스 시스템에 관한 것이다.The present invention relates to a computer-network integrated forensic system, and more specifically, to collect comprehensive log information and packet information of important server computers and networks from various security intrusion incidents, and to investigate comprehensive analysis and efficient accidents for infringement accidents. An integrated forensic system is available.
컴퓨터 시스템과 네트워크 기술의 발달과 더불어 이의 역기능으로 해킹, 바이러스와 같은 보안침해사고가 더욱 증가하고 있다. 이에 따라 기존 침입 탐지/차단/방지 시스템과 같은 일반적인 보안강화 도구에서부터 현재의 통합관리시스템인 ESM(Enterprise Security Management)에 이르기까지 침해사고에 대한 보안기술은 점차 다양화 되었다.With the development of computer system and network technology, its dysfunction is increasing the number of security breaches such as hacking and viruses. As a result, security technologies for intrusion accidents have gradually diversified from general security enhancement tools such as intrusion detection / blocking / prevention systems to enterprise security management (ESM).
그러나 이러한 기술은 침입에 대한 증거 미확보와 네트워크의 비효율성 문제 등이 발생하고 있으며, 공격자에 대한 적절한 대응이 부족하다는 단점이 있다. 그러므로 침입자의 디지털 증거를 수집, 분석하여 법적 효력을 갖는 증거물로 제시할 수 있는 컴퓨터 포렌식스 기술이 요구된다. However, these technologies have inadequate evidence of intrusion and inefficiency of the network, and have the disadvantage of lacking proper response to attackers. Therefore, computer forensic technology is required to collect, analyze and present intruders' digital evidence as legal evidence.
현재 컴퓨터 포렌식스 도구로써 증거물의 수집과 분석을 위해 일반적으로 SpyAgent, eTrust Network Forensics, FinalData 등과 같은 단일 포렌식스 도구들과 DEAS, TCT, Encase 등과 같은 부분 통합적인 포렌식스 도구들을 사용하고 있다.Currently, computer forensics tools typically use single forensics tools, such as SpyAgent, eTrust Network Forensics, and FinalData, and partially integrated forensics tools, such as DEAS, TCT, and Encase, for the collection and analysis of evidence.
그러나, 이러한 도구들은 대부분 디스크 포렌식스에 편중된 부분적인 기능을 제공하는 도구들로써 침해사고 분석에 많은 인력과 시간이 소요되고, 침해사고 발생 후 증거를 획득한 다음 분석이 이루어지므로 증거물의 무결성과 휘발성 정보를 수집할 수 없는 문제점이 존재한다. 또한, 시스템 로그정보와 네트워크 패킷정보의 단편적인 분석으로 인해 침입에 대한 종합적인 분석과 공격판단 능력이 부족한 문제가 있다.However, these tools are mostly tools that provide partial functions centered on disk forensics, which require a lot of manpower and time to analyze infringement incidents, and after the evidence is obtained and analyzed, the integrity and volatility of the evidence There is a problem that cannot collect information. In addition, due to the fragmentary analysis of system log information and network packet information, there is a problem that the comprehensive analysis of the intrusion and the ability of attack determination are insufficient.
따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 휘발성 로그정보 및 비휘발성 로그정보, 그리고 네트워크 패킷정보를 수집, 통합 분석하여 공격평가를 신속하고 효율적으로 수행할 수 있는 컴퓨터·네트워크 통합 포렌식스 시스템을 제공하는데 본 발명의 목적이 있다.Accordingly, the present invention is to solve the above disadvantages and problems of the prior art, it is possible to perform the attack evaluation quickly and efficiently by collecting and analyzing the volatile log information, non-volatile log information, and network packet information It is an object of the present invention to provide a computer-network integrated forensic system.
본 발명의 다른 목적은 보안침해사고에서 법적 대응이 필요한 경우 공격에 대한 디지털 증거가 법정에서 증거자료로써 효력을 갖도록 보고서를 작성할 수 있는 컴퓨터·네트워크 통합 포렌식스 시스템을 제공하는 것이다.Another object of the present invention is to provide a computer-network integrated forensics system that can prepare a report so that digital evidence of an attack is effective as evidence in a court of law when a legal response is required in a security breach.
본 발명의 상기 목적은 중요 서버나 단말기에서 디지털 증거를 수집하는 에이전트 시스템; 네트워크 및 시스템에 대한 악의적인 공격을 탐지하고 공격정보를 제공하는 침입탐지시스템; 수집한 정보에서 상이한 정보 형태를 정규화 및 상호 관계로 통합하여 분석한 후 공격에 대응할 수 있는 포렌식스 서버를 포함하여 이루어진 컴퓨터·네트워크 통합 포렌식스 시스템에 의해 달성된다.The above object of the present invention is an agent system for collecting digital evidence from an important server or terminal; An intrusion detection system for detecting malicious attacks on networks and systems and providing attack information; This is achieved by a computer-network integrated forensics system that includes forensics servers that can respond to attacks after integrating and analyzing different forms of information from normalized and correlated relations.
본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용효과에 관한 자세한 사항은 본 발명의 바람직한 실시예를 도시하고 있는 도면을 참조한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.Details of the above object and technical configuration of the present invention and the effects thereof according to the present invention will be more clearly understood by the following detailed description with reference to the drawings showing preferred embodiments of the present invention.
도 1은 본 발명에 따른 컴퓨터·네트워크 통합 포렌식스 시스템이 적용된 네 트워크 구성 개략도로서, 에이전트 시스템(200), 포렌식스 서버(300), 침입탐지시스템(600)이 연결되어 네트워크를 구성한다.1 is a schematic diagram illustrating a network to which a computer-network integrated forensic system according to the present invention is applied, and an
여기서, 에이전트 시스템(200)은 보안침해사고로부터 보호하기 위한 중요한 서버나 단말기를 말하며, 공격자의 디지털 증거를 수집하여 포렌식스 서버(300)에 제공한다. 그리고 침입탐지시스템(600)은 네크워크 및 시스템에 대한 비정상적인 침입을 탐지하고, 공격정보를 포렌식스 서버(300)에 제공한다. 포렌식스 서버(300)는 디지털 증거를 정규화 및 데이터 축약 과정을 통해 데이터베이스(470)에 저장하고, 이를 종합 분석하여 공격을 판단하는 기능을 제공하며, 공격에 대한 대응을 총체적으로 수행한다.In this case, the
도 2는 본 발명에 따른 에이전트 시스템의 내부 블록도 및 작용을 설명하는 개념도로서, 공격정보 수집을 위한 비활성 로그정보 수집 모듈(220), 휘발성 로그정보 수집 모듈(230), 네트워크 패킷정보 수집 모듈(240)과 수집한 모든 디지털 증거를 포렌식스 서버(300)로 전송하기 위한 디지털 증거 전송 모듈(250)로 구성된다.2 is a conceptual diagram illustrating the internal block diagram and operation of the agent system according to the present invention, inactive log
비활성 로그정보 수집 모듈(220)은 프로그램으로 운영되는 모든 시스템에서 기본적으로 자동 생성되는 로그정보를 수집하고, 휘발성 로그 정보 수집 모듈(230)은 침해사고 이후 사라지기 쉬운 운영중인 프로세스, 열려진 포트, 버퍼 안의 내용 등의 데이터를 수집한다. 이러한 휘발성 정보는 침해사고 당시의 상황을 파악할 수 있는 중요한 정보이다. 네트워크 패킷정보 수집 모듈(240)은 네트워크상에서 송수신 되는 패킷을 캡쳐하여 네트워크 문제 해결뿐만 아니라 침해사고에 대한 침입정 보를 제공한다. 그리고 디지털 증거 전송 모듈(250)은 수집한 디지털 증거의 무결성을 보장하고 안전한 전송을 담당한다.Inactive log
도 3은 본 발명에 따른 포렌식스 서버의 내부 블록도 및 작용을 설명하는 개념도로서, 포렌식스 서버(300)는 에이전트 시스템(200)에서 수집한 정보들과 침입탐지시스템(600)에서 탐지한 침입정보를 디지털 증거 수신 모듈을 통해 증거 저장소에 저장한다. 3 is a conceptual diagram illustrating the internal block diagram and operation of the forensic server according to the present invention, the
증거분석 모듈(500)에서는 GUI 환경에서 간단한 질의를 통해 누가, 언제, 어디서, 무엇을, 어떻게 했는지에 대한 침해사고 분석이 이루어지며, 분석한 정보를 통해 공격자에 대한 적절한 대응을 수행한다. 또한 향후 법적 대응이 필요할 시 법적 효력을 갖는 보안침해사고 분석 보고서를 제공한다.The
도 4는 본 발명에 따른 디지털 증거의 무결성과 기밀성을 보장하기 위한 컴퓨터·네트워크 통합 포렌식스 시스템의 동작 과정을 도시한 블록도로서, 디지털 증거 전송 모듈(250)에서 무결성을 보장하기 위해 각 디지털 증거(251)에 해당하는 MD5 데이터(252)를 생성하고, 기밀성을 보장하기 위해 디지털 증거(251)와 MD5 데이터(252)를 각각 암호화(253)하고, 결합(254)한 결과를 NC(256)를 통해 디지털 증거 수신 모듈(410)로 전송한다.4 is a block diagram illustrating an operation process of a computer-network integrated forensic system for ensuring the integrity and confidentiality of digital evidence according to the present invention. The
디지털 증거 수신 모듈(410)에서는 수신한 파일을 복호화(411)한 다음 디지털 증거(412)에 MD5 연산을 수행한 결과와 복호화한 MD5 데이터(413)를 비교하여 변경 여부를 확인하므로 디지털 증거의 무결성을 보장할 수 있다. The digital
도 5는 본 발명에 따른 포렌식스 서버에서 디지털 증거를 데이터베이스에 저 장하기 위한 방법을 설명하는 블록도로서, 에이전트 시스템(200)에서 수집한 디지털 증거들은 서로 다른 형태로 저장되어 있으므로 사건 통합을 위해 모든 정보를 동일한 형태로 정규화(460)하고, 데이터의 중복을 줄이기 위해 각 정보에서 공통점인 사용자 ID, 시간, IP 주소를 기준으로 데이터를 축약(470)하여 데이터베이스에 저장한다. FIG. 5 is a block diagram illustrating a method for storing digital evidence in a database in a forensic server according to the present invention. Since the digital evidence collected by the
본 발명은 이상에서 살펴본 바와 같이 바람직한 실시예를 들어 도시하고 설명하였으나, 상기한 실시예에 한정되지 아니하며 본 발명의 정신을 벗어나지 않는 범위 내에서 당해 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 다양한 변경과 수정이 가능할 것이다.Although the present invention has been shown and described with reference to the preferred embodiments as described above, it is not limited to the above embodiments and those skilled in the art without departing from the spirit of the present invention. Various changes and modifications will be possible.
따라서, 본 발명의 컴퓨터·네트워크 통합 포렌식스 시스템은 각종 침해사고에서 발생하는 모든 휘발성 및 비휘활성 로그정보, 그리고 네트워크 패킷정보를 통합 분석함으로써 공격을 신속하고 정확하게 판단할 수 있는 장점이 있고, 수집한 디지털 증거는 무결성이 보장되므로 법정에서 공격사실을 입증할 수 있는 증거로써 제시할 수 있는 효과가 있다.Accordingly, the computer-network integrated forensic system of the present invention has the advantage of quickly and accurately determining an attack by integrating and analyzing all volatile and non-volatile log information and network packet information generated from various infringement incidents. Since digital evidence is guaranteed integrity, there is an effect that can be presented as evidence to prove the attack in court.
Claims (3)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060020194A KR20070090460A (en) | 2006-03-03 | 2006-03-03 | Computer and network forensics system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020060020194A KR20070090460A (en) | 2006-03-03 | 2006-03-03 | Computer and network forensics system |
Publications (1)
Publication Number | Publication Date |
---|---|
KR20070090460A true KR20070090460A (en) | 2007-09-06 |
Family
ID=38688859
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020060020194A KR20070090460A (en) | 2006-03-03 | 2006-03-03 | Computer and network forensics system |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR20070090460A (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100986479B1 (en) * | 2008-07-01 | 2010-10-08 | 경북대학교 산학협력단 | System and method for digital evidence acquisition |
KR101648078B1 (en) * | 2015-04-01 | 2016-08-12 | 주식회사 실리콘큐브 | Manipulation detection system of digital file and method thereof |
KR20190047464A (en) * | 2017-10-27 | 2019-05-08 | 국민대학교산학협력단 | Analysis System and Method of iOS System Log |
CN112507264A (en) * | 2020-11-11 | 2021-03-16 | 中科金审(北京)科技有限公司 | System and method for automatically realizing network electronic evidence obtaining through traceability |
-
2006
- 2006-03-03 KR KR1020060020194A patent/KR20070090460A/en not_active Application Discontinuation
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100986479B1 (en) * | 2008-07-01 | 2010-10-08 | 경북대학교 산학협력단 | System and method for digital evidence acquisition |
KR101648078B1 (en) * | 2015-04-01 | 2016-08-12 | 주식회사 실리콘큐브 | Manipulation detection system of digital file and method thereof |
KR20190047464A (en) * | 2017-10-27 | 2019-05-08 | 국민대학교산학협력단 | Analysis System and Method of iOS System Log |
CN112507264A (en) * | 2020-11-11 | 2021-03-16 | 中科金审(北京)科技有限公司 | System and method for automatically realizing network electronic evidence obtaining through traceability |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10917417B2 (en) | Method, apparatus, server, and storage medium for network security joint defense | |
US11032294B2 (en) | Dynamic decryption of suspicious network traffic based on certificate validation | |
JP5844938B2 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
KR100351306B1 (en) | Intrusion Detection System using the Multi-Intrusion Detection Model and Method thereof | |
KR100609170B1 (en) | system of network security and working method thereof | |
US7669239B2 (en) | Secure network system and associated method of use | |
US20030084318A1 (en) | System and method of graphically correlating data for an intrusion protection system | |
KR102222377B1 (en) | Method for Automatically Responding to Threat | |
CN112217835A (en) | Message data processing method and device, server and terminal equipment | |
US11916945B2 (en) | Method and apparatus for combining a firewall and a forensics agent to detect and prevent malicious software activity | |
US20140344931A1 (en) | Systems and methods for extracting cryptographic keys from malware | |
KR102501372B1 (en) | AI-based mysterious symptom intrusion detection and system | |
KR20070090460A (en) | Computer and network forensics system | |
US20050086512A1 (en) | Worm blocking system and method using hardware-based pattern matching | |
KR20070072835A (en) | Web hacking responses through real time web log collection | |
Nithiyanandam et al. | Advanced framework of defense system for prevetion of insider's malicious behaviors | |
CN113923021A (en) | Sandbox-based encrypted flow processing method, system, device and medium | |
Kishore et al. | Intrusion Detection System a Need | |
Parate et al. | A review of network forensics techniques for the analysis of web based attack | |
Huang et al. | A logging scheme for database audit | |
Sandhu et al. | A study of the novel approaches used in intrusion detection and prevention systems | |
KR102432835B1 (en) | Security Event De-Identification System and Its Method | |
Sourour et al. | Collaboration between security devices toward improving network defense | |
Kakade et al. | JAVA based honeypot: Intrusion detection system | |
Siahaan | Intrusion Detection System in Network Forensic Analysis and Investigation |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
WITN | Withdrawal due to no request for examination |