KR20110070733A - Remote forensics system based on network - Google Patents

Remote forensics system based on network Download PDF

Info

Publication number
KR20110070733A
KR20110070733A KR1020100052027A KR20100052027A KR20110070733A KR 20110070733 A KR20110070733 A KR 20110070733A KR 1020100052027 A KR1020100052027 A KR 1020100052027A KR 20100052027 A KR20100052027 A KR 20100052027A KR 20110070733 A KR20110070733 A KR 20110070733A
Authority
KR
South Korea
Prior art keywords
forensic
remote terminal
analysis
unit
image
Prior art date
Application number
KR1020100052027A
Other languages
Korean (ko)
Inventor
이주영
홍도원
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020100108730A priority Critical patent/KR20110070767A/en
Priority to US12/971,177 priority patent/US20110153748A1/en
Publication of KR20110070733A publication Critical patent/KR20110070733A/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/08Protocols specially adapted for terminal emulation, e.g. Telnet
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/75Indicating network or usage conditions on the user display

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

PURPOSE: A network-based remote forensic system is provided to advance forensic investigation through a network anytime anywhere. CONSTITUTION: A forensic server system(320) supports connection and date communication with a remote terminal(310). The forensic server system offers a virtual forensic investigation tool to the remote terminal. According to the request of the remote terminal, a forensic analysis system(330) processes the analysis and search of a forensic image. The forensic analysis system offers an analysis result through the forensic server system to the remote terminal.

Description

네트워크 기반 원격 포렌식 시스템{Remote forensics system based on network}Remote forensics system based on network

본 발명은 디지털 방식으로 포렌식 분석을 수행하는 장치에 관한 것으로, 특히 원격지에서도 포렌식 분석 센터에 접속하여 포렌식 수사를 진행할 수 있도록 하는 네트워크 기반 원격 포렌식 시스템에 관한 것이다. The present invention relates to an apparatus for digitally performing forensic analysis, and more particularly, to a network-based remote forensic system that allows forensic investigation to be performed at a remote location.

본 발명은 지식경제부의 IT성장동력기술개발사업의 일환으로 수행한 연구로부터 도출된 것이다[과제관리번호: 2007-S-019-03, 과제명: 정보투명성 보장형 디지털 포렌식 시스템 개발].The present invention is derived from a study conducted as part of the IT growth engine technology development project of the Ministry of Knowledge Economy [Task management number: 2007-S-019-03, Task name: Development of a digital forensic type system ensuring information transparency].

종래에는 디지털 포렌식 분석을 위해 현장에서 증거를 압수해 포렌식 분석 센터로 가져가거나, 현장 분석을 위해 서류 가방 크기의 이동형 포렌식 툴킷(toolkit)을 현장으로 가지고 가는 방법을 취해왔다. Conventionally, it has been taken to take evidence from the field for digital forensic analysis and take it to a forensic analysis center, or take a briefcase sized portable forensic toolkit to the site for field analysis.

하지만, IT관련 범죄뿐 아니라 각종 범죄에서 디지털 매체를 사용하는 횟수가 증가함에 따라 분석돼야 할 데이터의 양 또한 급속히 늘어나고 있는 반면, 현장에서 확보된 증거는 여전히 확보 현장에서 포렌식 분석 센터까지 분석할 디바이스 및 시스템을 물리적으로 이동시킨 후, 포렌식 시스템에 접속해 이를 분석하도록 하고 있다. 이에 증거 이동에 시간적, 금전적 비용이 엄청나게 소요되고 있으며, 확보된 증거를 분석할 수 있는 인력에도 한계가 있어서 분석을 위한 대기에도 많은 시간이 허비되고 있다. However, as the number of digital media used in various crimes as well as IT-related crimes increases, the amount of data to be analyzed is rapidly increasing, while the evidence obtained on the site is still used to analyze the devices and the forensic analysis center. After physically moving the system, it connects to the forensic system and analyzes it. Therefore, the time and money cost of moving the evidence is enormous, and there is a limit to the manpower to analyze the obtained evidence, so much time is spent waiting for analysis.

한편, 이동형 포렌식 툴킷이 제안되어 현장에서 이미지 생성 및 휘발성 증거자료 확보 등에 이를 주로 사용하고 있지만, 이동형 포렌식 툴킷의 한정된 자원을 활용해 대용량의 데이터를 분석하거나 안티포렌식 기술이 적용된 데이터를 분석하는 데는 무리가 있다. On the other hand, a mobile forensic toolkit has been proposed and is mainly used for generating images and obtaining volatile evidence in the field.However, using a limited resource of the mobile forensic toolkit is difficult to analyze a large amount of data or analyze data applied with anti-forensic technology. There is.

이 외에 eDiscovery를 지원하는 포렌식 툴 등에서 사전에 감시의 대상이 되는 시스템에 에이전트 등을 설치하고 해당 시스템에 대한 모니터링을 수행하며, 필요 시 대상 데이터에 대한 이미지나 스냅샷을 생성해서 포렌식 서버 시스템으로 전송하는 기능을 제공하고 있다. 하지만 이런 툴의 경우, 모니터링 대상 시스템이 사전에 정의가 되어있고 이 시스템에 에이전트를 설치할 수 있는 환경이 되어야 적용이 가능하다. In addition, forensic tools that support eDiscovery install agents, etc., on the system to be monitored in advance, monitor the system, and generate images or snapshots of the target data if necessary and send them to the forensic server system. It provides a function. However, in case of such a tool, the system to be monitored must be defined in advance and the environment to install an agent on this system is applicable.

또한 분석 대상이 되는 데이터의 용량이 커지고 안티포렌식 기술의 발달로 이에 대응하기 위한 포렌식 시스템의 기능 및 자원(resource)에 대한 요구사항이 증가하고 있다. 이에 따라 랩 형태의 포렌식 시스템을 구축하거나, 고가의 하드웨어 장비를 증설하는 등 대용량의 데이터를 빠르게 처리할 수 있는 고도화된 시설을 갖춘 포렌식 분석 센터들이 개소되고 있다. In addition, the capacity of the data to be analyzed is increasing, and the demand for the function and resources of the forensic system to cope with the development of anti-forensic technology is increasing. As a result, forensic analysis centers with advanced facilities that can process large amounts of data quickly, such as building a lab-type forensic system or adding expensive hardware equipment, are opening.

하지만, 시설비 등에 많은 비용을 필요하므로 대부분 주요 지역의 한 두 곳에 설비를 갖출 수 있으며, 타 지역에서는 여전히 포렌식 분석이 불가능하거나, 분석 대상 증거를 센터로 전달하고 다시 결과를 수령해야 하는 복잡한 과정이 필요하다.However, due to the high cost of facilities, most of the facilities can be installed in one or two of the major regions, and forensic analysis is still impossible in other regions, or a complicated process of passing the evidence to be analyzed and receiving the results again is required. Do.

이와 같이 종래의 디지털 포렌식 수사 방법은 대용량의 데이터를 빠른 시간 내에 효율적으로 분석하는데 여러 가지 한계를 가진다. As described above, the conventional digital forensic investigation method has various limitations in efficiently analyzing a large amount of data in a short time.

도1은 종래의 기술에 따른 디지털 포렌식 장치를 도시한 도면이다. 1 is a view showing a digital forensic device according to the prior art.

도1을 참조하면, 상기 디지털 포렌식 장치(100)는 하나의 장치로 구현되며, 이미지 생성부(101), 저장장치(102), 분석부(103), 검색부(104), 출력부(105) 및 쓰기방치 장치(106) 등을 포함한다. Referring to FIG. 1, the digital forensic device 100 is implemented as a single device, and includes an image generator 101, a storage device 102, an analyzer 103, a searcher 104, and an outputter 105. ), And the write leaving apparatus 106 or the like.

이에 증거품으로 포렌식 분석 센터로 가져온 하드 디스크(200)가 쓰기방지 장치(106)에 연결되면, 이미지생성부(101)는 쓰기방지 장치(106)를 통해 읽어지는 데이터 스트림을 이용해 포렌식 이미지를 생성해 저장장치(102)에 저장한다. When the hard disk 200 brought to the forensic analysis center as evidence is connected to the write protection device 106, the image generating unit 101 generates a forensic image by using the data stream read through the write protection device 106. Store in the storage device 102.

그러면, 분석부(103)가 포렌식 이미지에 대한 파일 속성 별 분석, 타임라인 분석, 이메일 분석, 로그 분석 등을 수행하거나, 검색부(104)가 포렌식 이미지 내에 포함된 정상, 삭제 파일 등을 대상으로 질의어 및 패턴 검색 등을 수행하는 절차를 거쳐, 출력부(105)에서 보고서 및 화면 출력 등을 통해 포렌식 수사 결과를 사용자에 통보하도록 한다. Then, the analysis unit 103 performs file property analysis, timeline analysis, email analysis, log analysis, etc. on the forensic image, or the search unit 104 targets normal or deleted files included in the forensic image. Through the procedure of performing a query and pattern search, the output unit 105 may notify the user of the forensic investigation result through a report and a screen output.

이와 같이, 종래의 디지털 포렌식 장치(100)를 이용하고자 하는 경우, 분석 대상 디스크 또는 시스템을 포렌식 분석 센터로 이동시킨 후, 상기 디지털 포렌식 장치(100)을 통해 이미징 및 분석을 수행하거나, 상기 디지털 포렌식 장치(100)가 탑재된 이동식 시스템 또는 메모리를 현장에 직접 가지고 가서 분석을 수행하는 문제가 있다. As described above, when the conventional digital forensic device 100 is to be used, the analysis target disk or system is moved to a forensic analysis center, and the imaging and analysis are performed through the digital forensic device 100 or the digital forensic device is performed. There is a problem of carrying out the analysis by directly taking the mobile system or the memory on which the device 100 is mounted.

하지만 이러한 경우, 앞서 설명된 바와 같이 물리적인 이동에 따른 시간 및 비용이 불필요하게 소요될 뿐 만 아니라, 상기 디지털 포렌식 장치(100)에 포함된 한정된 자원만을 이용하여 포렌식 수사를 진행할 수 있어 처리 용량 및 속도가 한정되는 문제를 가지게 된다.
However, in this case, as described above, not only the time and cost associated with the physical movement is unnecessary, but also the forensic investigation can be performed using only limited resources included in the digital forensic device 100, thereby processing capacity and speed. Will have a limited problem.

이에 본 발명에서는 수사 현장 또는 원하는 장소 등 언제, 어디서나 자격을 갖춘 사람은 누구든지 네트워크를 통해 원격지의 포렌식 분석 센터에 접속하여 포렌식 수사를 진행할 수 있도록 하는 네트워크 기반 원격 포렌식 시스템을 제공하고자 한다.Accordingly, the present invention is to provide a network-based remote forensic system that allows anyone who is qualified anytime, anywhere, such as an investigation site or a desired place to access a forensic analysis center of a remote place through a network to perform a forensic investigation.

또한 분산 환경, 그리드 환경, 또는 클라우드 컴퓨터 환경 등에 포함된 자원을 활용할 수 있도록 함으로써, 처리 용량 및 속도를 유동적으로 증대시켜 줄 수 있도록 하는 네트워크 기반 원격 포렌식 시스템을 제공하고자 한다.
In addition, the present invention aims to provide a network-based remote forensic system that can flexibly increase processing capacity and speed by utilizing resources included in a distributed environment, a grid environment, or a cloud computer environment.

상기 과제를 해결하기 위한 수단으로서, 본 발명의 일 실시 형태에 따르면, 원격지 단말의 요구사항을 처리하는 포렌식 분석 시스템; 및 상기 원격지 단말에 상기 가상 포렌식 수사 툴을 제공하며, 상기 원격지 단말과 상기 포렌식 분석 시스템간 데이터 통신을 중계하는 포렌식 서버 시스템을 포함하는 네트워크 기반 원격 포렌식 시스템을 제공한다. As a means for solving the above problems, according to an embodiment of the present invention, forensic analysis system for processing the requirements of the remote terminal; And providing a virtual forensic investigation tool to the remote terminal, and a forensic server system for relaying data communication between the remote terminal and the forensic analysis system.

상기 네트워크 기반 원격 포렌식 시스템은 상기 포렌식 분석 시스템의 제어 하에 포렌식 수사를 위한 정보를 저장 및 관리하는 저장 장치를 더 포함할 수 있다.The network-based remote forensic system may further include a storage device that stores and manages information for forensic investigation under the control of the forensic analysis system.

상기 포렌식 서버 시스템은 상기 원격지 단말 및 상기 포렌식 분석 시스템과의 연결 및 데이터 통신을 지원하는 통신부; 상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 및 상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 수사 툴을 제공하는 가상화부를 포함할 수 있다.The forensic server system includes a communication unit for supporting connection and data communication with the remote terminal and the forensic analysis system; An access control unit controlling an access right of the remote terminal; And a virtualization unit providing the virtual forensic investigation tool only when the remote terminal has access authority.

상기 가상화부는 포렌식 수사를 지원하기 위한 사용자 인터페이스와 포렌식 수사 처리 결과를 시각화하여 제공하는 시각화 모듈; 및 포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함할 수 있다.The virtualization unit includes a visualization module for visualizing and providing a user interface for forensic investigation and a forensic investigation result; And a virtual file system module for parsing and managing the structure of the file system included in the forensic image.

상기 포렌식 서버 시스템은 상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 더 포함할 수 있다.The forensic server system may further include a processor controller supporting multiple access of the remote terminal.

상기 포렌식 분석 시스템은 상기 포렌식 서버 시스템과의 연결 및 데이터 통신을 지원하는 통신부; 상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부; 상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부; 상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및 상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 포렌식 서버 시스템을 통해 상기 원격지 단말로 반환하는 프로세스 제어부를 포함할 수 있다.The forensic analysis system includes a communication unit for supporting connection and data communication with the forensic server system; An image generator for generating and storing a forensic image using a data stream of the remote terminal transmitted through the forensic server system; An analysis unit for performing evidence analysis using the forensic image; A search unit for searching for evidence using the forensic image; And controlling the operation of the image generator, the analyzer, and the searcher according to a request message of the remote terminal transmitted through the forensic server system, and returning a control result to the remote terminal through the forensic server system. It may include a control unit.

상기 프로세서 제어부는 로컬 또는 광역 네트워크를 통해 연결된 랩형 또는 분산 시스템의 자원을 활용하여 상기 이미지 생성부, 상기 분석부 및 상기 검색부를 구동시킬 수 있다. The processor controller may drive the image generator, the analyzer, and the searcher by utilizing resources of a lab or distributed system connected through a local or wide area network.

상기 원격지 단말은 원격지에 위치하며, 네트워크를 통해 가상 포렌식 수사 툴을 제공받아 가상 포렌식 수사 툴을 이용한 포렌식 수사를 지원할 수 있다.
The remote terminal may be located at a remote location and may receive a virtual forensic investigation tool through a network to support forensic investigation using a virtual forensic investigation tool.

상기 과제를 해결하기 위한 수단으로서, 본 발명의 다른 실시 형태에 따르면, 원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부; 상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 수사 툴을 제공하는 가상화부; 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부; 상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부; 상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 원격지 단말로 반환하는 프로세스 제어부를 포함하는 확장형 포렌식 서버 시스템을 제공한다. As a means for solving the above problems, according to another embodiment of the present invention, a communication unit for supporting connection and data communication with a remote terminal; An access control unit controlling an access right of the remote terminal; A virtualization unit providing the virtual forensic investigation tool only when the remote terminal has access authority; An image generator for generating and storing a forensic image using a data stream of the remote terminal; An analysis unit for performing evidence analysis using the forensic image; A search unit for searching for evidence using the forensic image; And a process control unit controlling an operation of the image generation unit, the analysis unit, and the search unit according to a request message of the remote terminal, and returning a control result to the remote terminal.

상기 프로세서 제어부는 로컬 또는 광역 네트워크를 통해 연결된 랩형 또는 분산 시스템의 자원을 활용하여 상기 이미지 생성부, 상기 분석부 및 상기 검색부를 구동시킬 수 있다. The processor controller may drive the image generator, the analyzer, and the searcher by utilizing resources of a lab or distributed system connected through a local or wide area network.

상기 프로세서 제어부는 상기 원격지 단말의 다중 접속을 지원하는 기능을 더 포함할 수 있다.The processor controller may further include a function of supporting multiple access of the remote terminal.

상기 가상화부는 포렌식 수사를 지원하기 위한 사용자 인터페이스와 포렌식 수사 처리 결과를 시각화하여 제공하는 시각화 모듈; 및 포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함할 수 있다.The virtualization unit includes a visualization module for visualizing and providing a user interface for forensic investigation and a forensic investigation result; And a virtual file system module for parsing and managing the structure of the file system included in the forensic image.

상기 네트워크 기반 원격 포렌식 시스템은 상기 포렌식 분석 시스템의 제어 하에 포렌식 수사를 위한 정보를 저장 및 관리하는 저장 장치를 더 포함할 수 있다.The network-based remote forensic system may further include a storage device that stores and manages information for forensic investigation under the control of the forensic analysis system.

상기 원격지 단말은 원격지에 위치하며, 네트워크를 통해 가상 포렌식 수사 툴을 제공받아 가상 포렌식 수사 툴을 이용한 포렌식 수사를 지원할 수 있다.
The remote terminal may be located at a remote location and may receive a virtual forensic investigation tool through a network to support forensic investigation using a virtual forensic investigation tool.

본 발명의 네트워크 기반 원격 포렌식 시스템은 수사 현장뿐 만 아니라 언제, 어디서나 네트워크를 통해 포렌식 분석 센터에 접속하여 포렌식 수사를 진행할 수 있도록 함으로써, 물리적 거리 이용을 위한 비용을 절감시키고 기구축된 포렌식 시스템의 활용도를 높일 뿐 아니라, 수집된 증거 데이터를 축적하고 필요 시마다 쉽게 이용할 수 있도록 함으로써, 업무의 효율성을 증대시켜 줄 수 있도록 한다. The network-based remote forensic system of the present invention enables to perform forensic investigation by accessing a forensic analysis center through a network anytime, anywhere, as well as an investigation site, thereby reducing the cost for using physical distances and utilizing the structured forensic system. Not only does it increase the efficiency of the task, it also accumulates the collected evidence data and makes it readily available whenever needed.

또한, 본 발명의 네트워크 기반 원격 포렌식 시스템은 분산 환경, 그리드 환경, 또는 클라우드 컴퓨터 환경 등에 접속하여 가용 자원을 최대한 활용할 수 있도록 함으로써, 처리 용량 및 속도도 유동적으로 증대시켜 줄 수 있도록 해준다.
In addition, the network-based remote forensic system of the present invention can be used to access the distributed environment, grid environment, or cloud computer environment to maximize the available resources, thereby increasing the processing capacity and speed in a fluid manner.

도1은 종래의 기술에 따른 디지털 포렌식 장치를 도시한 도면이다.
도2는 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도3은 본 발명의 일 실시예에 따른 포렌식 서버 시스템을 도시한 도면이다.
도4는 본 발명의 일 실시예에 따른 가상화부를 도시한 도면이다.
도5는 본 발명의 일 실시예에 따른 포렌식 분석 시스템을 도시한 도면이다.
도6은 본 발명의 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다.
도7은 본 발명의 다른 실시예에 따른 확장형 포렌식 서버 시스템을 도시한 도면이다. 1 is a view showing a digital forensic device according to the prior art.
2 is a diagram illustrating a network-based remote forensic system according to an embodiment of the present invention.
3 is a diagram illustrating a forensic server system according to an exemplary embodiment of the present invention.
4 is a diagram illustrating a virtualization unit according to an embodiment of the present invention.
5 is a diagram illustrating a forensic analysis system according to an embodiment of the present invention.
6 is a diagram illustrating a network-based remote forensic system according to another embodiment of the present invention.
7 is a diagram illustrating an expanded forensic server system according to another embodiment of the present invention.

본 발명은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는 바, 특정 실시예들을 도면에 예시하고 상세하게 설명하고자 한다.As the present invention allows for various changes and numerous embodiments, particular embodiments will be illustrated in the drawings and described in detail in the written description.

그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다.However, this is not intended to limit the present invention to specific embodiments, it should be understood to include all modifications, equivalents, and substitutes included in the spirit and scope of the present invention.

제1, 제2 등의 용어는 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용된다. 예를들어, 본 발명의 권리 범위를 벗어나지 않으면서 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소도 제1 구성요소로 명명될 수 있다. 및/또는 이라는 용어는 복수의 관련된 기재된 항목들의 조합 또는 복수의 관련된 기재된 항목들 중의 어느 항목을 포함한다.The terms first, second, etc. may be used to describe various components, but the components should not be limited by the terms. The terms are used only for the purpose of distinguishing one component from another. For example, without departing from the scope of the present invention, the first component may be referred to as the second component, and similarly, the second component may also be referred to as the first component. And / or < / RTI > includes any combination of a plurality of related listed items or any of a plurality of related listed items.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다.When a component is referred to as being "connected" or "connected" to another component, it may be directly connected to or connected to that other component, but it may be understood that other components may be present in between. Should be. On the other hand, when a component is said to be "directly connected" or "directly connected" to another component, it should be understood that there is no other component in between.

본 출원에서 사용한 용어는 단지 특정한 실시예를 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 출원에서, "포함하다" 또는 "가지다" 등의 용어는 명세서상에 기재된 특징, 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것이 존재함을 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular example embodiments only and is not intended to be limiting of the present invention. Singular expressions include plural expressions unless the context clearly indicates otherwise. In this application, the terms "comprise" or "have" are intended to indicate that there is a feature, number, step, operation, component, part, or combination thereof described in the specification, and one or more other features. It is to be understood that the present invention does not exclude the possibility of the presence or the addition of numbers, steps, operations, components, components, or a combination thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가지고 있다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 가진 것으로 해석되어야 하며, 본 출원에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art. Terms such as those defined in the commonly used dictionaries should be construed as having meanings consistent with the meanings in the context of the related art, and shall not be construed in ideal or excessively formal meanings unless expressly defined in this application. Do not.

이하, 첨부한 도면들을 참조하여, 본 발명의 바람직한 실시예를 보다 상세하게 설명하고자 한다. 본 발명을 설명함에 있어 전체적인 이해를 용이하게 하기 위하여 도면상의 동일한 구성요소에 대해서는 동일한 참조부호를 사용하고 동일한 구성요소에 대해서 중복된 설명은 생략한다.
Hereinafter, with reference to the accompanying drawings, it will be described in detail a preferred embodiment of the present invention. In describing the present invention, in order to facilitate the overall understanding, the same reference numerals are used for the same elements in the drawings, and redundant description of the same elements is omitted.

도2는 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다. 2 is a diagram illustrating a network-based remote forensic system according to an embodiment of the present invention.

도2를 참조하면, 상기 네트워크 기반 원격 포렌식 시스템(300)은 원격지 단말(310), 포렌식 서버 시스템(320), 포렌식 분석 시스템(330), 및 저장장치(340) 등을 포함할 수 있다. 2, the network-based remote forensic system 300 may include a remote terminal 310, a forensic server system 320, a forensic analysis system 330, a storage device 340, and the like.

또한, 상기 네트워크 기반 원격 포렌식 시스템(300)은 증거품인 하드 디스크(200)에 저장된 내용이 비정상적으로 조작되는 것을 방지하기 위한 쓰기방지 장치(350)를 더 포함할 수 있다. In addition, the network-based remote forensic system 300 may further include a write protection device 350 to prevent the contents stored in the evidence hard disk 200 is abnormally manipulated.

이때, 포렌식 서버 시스템(320)과 포렌식 분석 시스템(330)은 포렌식 분석 센터 내에 구축된 로컬 네트워크로 연결되고, 포렌식 서버 시스템(320)과 원격지 단말(310)는 광역 네트워크로 연결될 수 있다. 또한, 시스템 활용성을 극대화시키기 위해 다수의 포렌식 분석 시스템(330)이 포렌식 서버 시스템(320)과 연동되어 사용될 수도 있다.
In this case, the forensic server system 320 and the forensic analysis system 330 may be connected to a local network established in the forensic analysis center, and the forensic server system 320 and the remote terminal 310 may be connected to a wide area network. In addition, a plurality of forensic analysis system 330 may be used in conjunction with the forensic server system 320 to maximize the system utilization.

이하, 각 구성요소의 기능을 살펴보면 다음과 같다. Hereinafter, the function of each component will be described.

상기 원격지 단말(310)는 컴퓨터, 웹북, 휴대폰 등과 같이 네트워크를 이용한 데이터 통신이 가능한 모든 전자 기기가 적용될 수 있다. 이에 상기 원격지 단말(310)은 포렌식 서버 시스템(320)로부터 가상 포렌식 수사 툴을 제공받아 원격지(예를 들어, 수사 현장)에 위치한 수사관이 가상 포렌식 수사 툴을 이용하여 포렌식 수사를 진행할 수 있도록 해준다. The remote terminal 310 may be any electronic device capable of data communication using a network such as a computer, a webbook, a mobile phone, and the like. Accordingly, the remote terminal 310 receives a virtual forensic investigation tool from the forensic server system 320 so that an investigator located at a remote site (for example, an investigation site) can perform a forensic investigation using a virtual forensic investigation tool.

이때, 가상 포렌식 수사 툴을 서블릿(Servlet) 형태로 제공될 수 있으며, 가상 포렌식 수사 툴을 이용한 포렌식 수사는 실제적으로 원격지 단말(310)과 포렌식 서버 시스템(320)간의 요청/응답 과정을 통해 이루어진다.In this case, the virtual forensic investigation tool may be provided in the form of a servlet, and the forensic investigation using the virtual forensic investigation tool is actually performed through a request / response process between the remote terminal 310 and the forensic server system 320.

상기 포렌식 서버 시스템(320)은 현장에 존재하는 원격지 단말(310)과의 연결 및 데이트 통신을 지원하고, 원격지 단말(310)이 접속되면 해당 원격지 단말(310)에 가상 포렌식 수사 툴을 제공한다. 이에 수사관이 가상 포렌식 수사 툴을 이용하여 포렌식 수사를 위한 다양한 요구사항을 발생하면, 상기 포렌식 서버 시스템(320)은 포렌식 분석 시스템(330)을 호출(invoke)해서 해당 요구사항을 처리하고, 처리 결과를 원격지 단말(310)에 반환해준다. 즉, 원격지 단말(310)과 포렌식 분석 시스템(330)간 데이터 통신을 중계해준다. The forensic server system 320 supports connection and data communication with the remote terminal 310 existing in the field, and provides a virtual forensic investigation tool to the corresponding remote terminal 310 when the remote terminal 310 is connected. Accordingly, when an investigator generates various requirements for forensic investigation using a virtual forensic investigation tool, the forensic server system 320 invokes the forensic analysis system 330 to process the requirements, and process the result. Return to the remote terminal 310. That is, it relays data communication between the remote terminal 310 and the forensic analysis system 330.

이에 현장에 출동한 수사관은 종래와 달리 증거품을 포렌식 분석 센터로 가져가거나 포렌식 툴킷을 현장으로 가지고 가는 번거로움 없이, 현장에 존재하는 원격지 단말(310)를 통해 포렌식 수사를 진행할 수 있게 되는 것이다. Therefore, investigators dispatched to the site will be able to proceed with the forensic investigation through the remote terminal 310 existing in the site, without the hassle of bringing the evidence to the forensic analysis center or taking the forensic toolkit to the site.

상기 포렌식 분석 시스템(330)은 종래의 포렌식 장치와 유사한 구조를 갖지만 통신 기능과 프로세스 제어 기능을 추가로 제공한다. 즉, 종래와 달리 포렌식 서버 시스템(320)과의 연결을 수행한다. 이에 포렌식 서버 시스템(320)를 통해 제공되는 데이터 스트림을 이용하여 포렌식 이미지(즉, 수사관이 획득한 증거품인 하드 디스크(200)의 복사본)를 생성 및 저장하거나, 원격지 단말(310)의 요청에 응답하여 포렌식 이미지에 대한 분석 및 검색 등을 처리한 후, 그 결과를 포렌식 서버 시스템(320)를 통해 원격지 단말(310)에 제공하는 등의 동작을 추가로 수행한다. The forensic analysis system 330 has a structure similar to that of a conventional forensic device, but additionally provides a communication function and a process control function. That is, unlike the conventional method, the connection with the forensic server system 320 is performed. The forensic image is generated and stored using the data stream provided through the forensic server system 320 (ie, a copy of the hard disk 200 which is evidence obtained by the investigator), or in response to a request from the remote terminal 310. After the analysis and search for the forensic image is processed, and the result is further provided to the remote terminal 310 through the forensic server system 320 and the like.

상기 저장장치(340)는 상기 포렌식 분석 시스템(330)의 제어 하에 포렌식 수사에 필요한 각종 정보를 저장 및 관리한다. 이러한 저장장치(340)는 시스템 구현 환경에 따라 상기 포렌식 분석 시스템(330)의 내부에 존재할 수도, 독립장치로써 상기 포렌식 분석 시스템(330)의 외부에 따로 존재할 수 있을 것이다.
The storage device 340 stores and manages various information required for forensic investigation under the control of the forensic analysis system 330. The storage device 340 may exist inside the forensic analysis system 330 according to a system implementation environment, or may exist separately outside the forensic analysis system 330 as an independent device.

이하, 본 발명의 일 실시예에 따른 네트워크 기반 원격 포렌식 시스템의 동작 방법을 설명하면 다음과 같다. Hereinafter, a method of operating a network-based remote forensic system according to an embodiment of the present invention will be described.

수사관이 현장에 도착하여 수사에 사용될 원격지 단말(310)를 확보한 후, 포렌식 서버 시스템(320)에 접속하면, 포렌식 서버 시스템(320)는 포렌식 수사를 지원하기 위한 가상 포렌식 수사 툴을 원격지 단말(310)에 제공한다. After the investigator arrives at the site and secures the remote terminal 310 to be used for the investigation, the forensic server system 320 connects the forensic server system 320 to the virtual forensic investigation tool for supporting the forensic investigation. 310).

원격지 단말(310)이 가상 포렌식 수사 툴을 제공받은 상태에서, 수사관이 하드 디스크(200)를 원격지 단말(310)에 연결하고 상기 가상 포렌식 수사 툴을 이용해 포렌식 이미지 생성, 포렌식 이미지 분석 및 검색 등을 위한 다양한 요구 사항을 발생하면, 포렌식 서버 시스템(320)은 광역 네트워크를 통해 이를 전달받게 된다. With the remote terminal 310 provided with the virtual forensic investigation tool, the investigator connects the hard disk 200 to the remote terminal 310 and uses the virtual forensic investigation tool to generate forensic images, forensic image analysis, and search. When various requirements are generated, the forensic server system 320 may receive it through a wide area network.

그러면, 포렌식 서버 시스템(320)은 포렌식 분석 시스템(330)을 호출해서 원격지 단말(310)의 요구사항을 처리하고, 처리 결과를 원격지 단말(310)에 알려준다.
Then, the forensic server system 320 calls the forensic analysis system 330 to process the requirements of the remote terminal 310 and informs the remote terminal 310 of the processing result.

이와 같이, 포렌식 시스템이 네트워크 기반으로 구축되는 경우, 수사관은 수사현장 또는 원하는 시간 및 장소에서 웹 브라우저 등을 통해 원격지에 위치한 포렌식 서버 시스템에 접속하여, 서블릿 형태로 제공되는 가상 포렌식 툴 환경을 사용할 수 있게 된다. As such, when the forensic system is built on a network, the investigator can access a forensic server system located at a remote location through a web browser at a crime scene or a desired time and place, and use a virtual forensic tool environment provided in the form of a servlet. Will be.

그 결과, 기구축된 포렌식 시스템의 활용성을 높이고 물리적 거리 이동에 따른 비용을 감소할 수 있게 되며, 증거품을 중앙 포렌식 분석 센터에 수집하여 많은 수사관이 언제, 어디서나 이를 활용할 수 있도록 함으로써, 업무의 효율성을 높이는 효과를 제공할 수 있게 된다.
As a result, you can increase the usability of your instrumented forensic system and reduce the cost of moving physical distances, and collect evidence at a central forensic analysis center so that many investigators can use it anywhere, anytime. It is possible to provide an effect of increasing the.

도3은 본 발명의 일 실시예에 따른 포렌식 서버 시스템을 도시한 도면이다. 3 is a diagram illustrating a forensic server system according to an exemplary embodiment of the present invention.

도3을 참조하면, 상기 포렌식 서버 시스템(320)은 통신부(321), 접근 제어부(322), 가상화부(323), 및 프로세스 제어부(324) 등을 포함할 수 있다. Referring to FIG. 3, the forensic server system 320 may include a communication unit 321, an access control unit 322, a virtualization unit 323, a process control unit 324, and the like.

상기 통신부(321)는 원격지 단말(310)과의 연결 및 데이터 통신을 지원하며, 상기 포렌식 서버 시스템(320)이 웹 기반으로 구현될 경우에는 웹 서버를 구동, 관리한다. 또한, 포렌식 센터 내에서 로컬 네트워크로 연결된 포렌식 분석 시스템(320)과의 연결 및 데이터 통신도 함께 지원한다. The communication unit 321 supports connection and data communication with a remote terminal 310, and when the forensic server system 320 is implemented on a web, drives and manages a web server. In addition, it supports connection and data communication with the forensic analysis system 320 connected to the local network in the forensic center.

상기 접근 제어부(322)는 사용자 아이디 및 비밀번호 등을 이용한 인증 동작을 수행하여 원격지 단말(210)의 접근 권한을 확인하고, 확인 결과에 따라 원격지 단말(210)의 데이터 및 기능에 대한 접근 권한을 제어한다. The access control unit 322 confirms the access authority of the remote terminal 210 by performing an authentication operation using a user ID and password, and controls the access authority for data and functions of the remote terminal 210 according to the result of the check. do.

상기 가상화부(323)는 접근 권한이 가지는 원격지 단말(310)에 한하여 가상 포렌식 수사 툴을 제공한다. 이때, 포렌식 서버 시스템(320)이 웹 기반으로 구현될 경우, 가상 포렌식 수사 툴은 서블릿 형태로 지원될 수도 있다. The virtualization unit 323 provides a virtual forensic investigation tool only for the remote terminal 310 having access authority. In this case, when the forensic server system 320 is implemented based on the web, the virtual forensic investigation tool may be supported in the form of a servlet.

이러한 가상화부(323)은 도4에서와 같이 포렌식 수사를 지원하기 위한 사용자 인터페이스, 포렌식 이미지, 포렌식 이미지의 분석 또는 검색 결과 등을 시각화하여 제공하는 시각화 모듈(410)과, 포렌식 이미지에 포함된 파일 시스템의 구조를 파싱하고, 이를 관리하는 가상파일 시스템(Virtual File System, VFS) 모듈(420)로 이루어진다. The virtualization unit 323 includes a visualization module 410 for visualizing and providing a user interface for forensic investigation, a forensic image, an analysis or search result of a forensic image, and a file included in the forensic image, as shown in FIG. It consists of a Virtual File System (VFS) module 420 that parses the structure of the system and manages it.

상기 프로세스 제어부(324)는 다수의 수사관이 다수의 원격지 단말(310)을 통해 동시 접속하더라도, 가상 포렌식 수사 툴을 이용한 포렌식 수사가 가능하도록 시스템 프로세스(미도시)를 제어하는 역할을 수행한다.
The process control unit 324 controls a system process (not shown) to enable forensic investigation using a virtual forensic investigation tool even though a plurality of investigators are simultaneously connected through a plurality of remote terminals 310.

도5는 본 발명의 일 실시예에 따른 포렌식 분석 시스템을 도시한 도면이다. 5 is a diagram illustrating a forensic analysis system according to an embodiment of the present invention.

도5를 참조하면, 상기 포렌식 분석 시스템(330)은 종래의 포렌식 장치와 달리 이미지 생성부(333), 분석부(334), 및 검색부(335) 이외에 통신부(331), 프로세스 제어부(332)를 더 포함할 수 있다. Referring to FIG. 5, the forensic analysis system 330 is different from the conventional forensic apparatus, in addition to the image generator 333, the analyzer 334, and the searcher 335, the communicator 331 and the process controller 332. It may further include.

통신부(331)는 포렌식 서버 시스템(320)과의 연결 및 데이터 통신을 지원한다. The communication unit 331 supports connection and data communication with the forensic server system 320.

프로세스 제어부(332)는 포렌식 서버 시스템(320)를 통해 입력되는 원격지 단말(310)의 데이터 및 요청 메시지에 따라 나머지 구성 요소(즉, 이미지 생성부(333), 분석부(334) 및 검색부(335))의 동작을 제어하여 포렌식 이미지를 생성 및 저장하며, 포렌식 이미지에 대한 분석 및 검색 등을 처리한 후, 처리 결과를 포렌식 서버 시스템(320)를 통해 원격지 단말(310)에 반환시켜 준다. The process control unit 332 according to the data and the request message of the remote terminal 310 input through the forensic server system 320 (that is, the image generating unit 333, analysis unit 334 and search unit ( 335)) generates and stores a forensic image by controlling the operation, and processes the analysis and search for the forensic image, and returns the processing result to the remote terminal 310 through the forensic server system 320.

이미지 생성부(333)는 원격지 단말(310)로부터 제공되는 데이터 스트림으로부터 하드 디스크(200)의 복사본이 포렌식 이미지를 생성하고, 이를 상기 저장장치(340)에 저장한다. The image generator 333 generates a forensic image by copying the hard disk 200 from a data stream provided from the remote terminal 310, and stores the forensic image in the storage device 340.

분석부(334)는 원격지 단말(310)로부터 전송되는 요청 메시지에 응답하여, 상기 포렌식 이미지에 대한 데이터 타입, 확장자, 시그니쳐, 크기 등의 파일 속성 별 분석, 타임 라인 분석, 이메일 분석, 로그 분석 등을 수행한다. In response to the request message transmitted from the remote terminal 310, the analysis unit 334 analyzes file attributes such as data type, extension, signature, and size of the forensic image, timeline analysis, email analysis, log analysis, and the like. Do this.

검색부(335)는 원격지 단말(310)로부터 전송되는 요청 메시지에 응답하여 상기 포렌식 이미지 내에 포함된 정상, 삭제 파일 등을 대상으로 수사관이 요청한 질의어 및 패턴 등에 대한 검색을 수행한다.
In response to the request message transmitted from the remote terminal 310, the search unit 335 searches for the query word and pattern requested by the investigator for the normal or deleted file included in the forensic image.

더하여, 본 발명의 네트워크 기반 원격 포렌식 시스템을 상기에서와 같이 포렌식 서버 시스템(320)과 포렌식 분석 시스템(330)으로 분리하여 구현할 수도 있지마, 이를 하나의 시스템으로 통합하여 구현할 수 도 있다. 즉, 도6에 도시된 바와 같이 포렌식 서버 시스템(320)과 포렌식 분석 시스템(330)을 기능을 통합하여 하나의 시스템으로 구현할 수 도 있다. In addition, the network-based remote forensic system of the present invention may be implemented separately from the forensic server system 320 and the forensic analysis system 330 as described above, but may be integrated into one system. That is, as shown in FIG. 6, the forensic server system 320 and the forensic analysis system 330 may be integrated into a single system.

도6 및 도7은 본 발명의 다른 실시예에 따른 네트워크 기반 원격 포렌식 시스템을 도시한 도면이다. 6 and 7 illustrate a network-based remote forensic system according to another embodiment of the present invention.

먼저 도6을 참조하면, 상기 네트워크 기반 원격 포렌식 시스템은 포렌식 서버 시스템(320)과 포렌식 분석 시스템(330)의 기능을 확장형 포렌식 서버 시스템(510)으로 통합할 수 있음을 알 수 있다. First, referring to FIG. 6, it can be seen that the network-based remote forensic system can integrate the functions of the forensic server system 320 and the forensic analysis system 330 into the extended forensic server system 510.

그리고 상기 확장형 포렌식 서버 시스템(510)는 도7에 도시된 바와 같이, 포렌식 서버 시스템(320)의 통신부(321), 접근 제어부(322) 및 가상화부(323)와 포렌식 분석 시스템(330)의 이미지 생성부(333), 분석부(334) 및 검색부(335)를 함께 구비하고, 포렌식 서버 시스템(320)의 프로세서 제어부(324)와 포렌식 분석 시스템(330)의 프로세서 제어부(322)를 하나의 프로세서 제어부(511)로 통합시켜 준다. As illustrated in FIG. 7, the scalable forensic server system 510 is an image of the communication unit 321, the access control unit 322, the virtualization unit 323, and the forensic analysis system 330 of the forensic server system 320. The generation unit 333, the analysis unit 334, and the search unit 335 are provided together, and the processor control unit 324 of the forensic server system 320 and the processor control unit 322 of the forensic analysis system 330 are provided as one unit. Integration into the processor control unit 511 is performed.

즉, 상기 확장형 포렌식 서버 시스템(510)의 프로세서 제어부(511)는 원격지 단말(310)로부터 전송되는 요청 메시지에 따라 이미지 생성부(333), 분석부(334) 및 검색부(335)의 동작을 제어하고, 제어 결과를 해당 원격지 단말(310)로 반환시켜 줄 뿐 아니라, 다수의 수사관이 다수의 원격지 단말(301)을 통해 동시에 접속하더라도 가상 포렌식 수사 툴을 이용한 포렌식 수사가 가능하도록 시스템 프로세서(미도시)를 제어하는 역할을 함께 제공한다.
That is, the processor controller 511 of the extended forensic server system 510 operates the image generator 333, the analyzer 334, and the searcher 335 according to a request message transmitted from the remote terminal 310. In addition to controlling and returning the control result to the corresponding remote terminal 310, the system processor (not shown) enables forensic investigation using a virtual forensic investigation tool even when a plurality of investigators simultaneously access through a plurality of remote terminals 301. It also serves to control the situation.

이에 더하여, 상기 확장형 포렌식 서버 시스템(510)의 프로세서 제어부(511)는 로컬 또는 광역 네트워크를 통해 상기 확장형 포렌식 서버 시스템(510)에 연결될 수 있는 랩형 또는 분산 시스템(520)의 자원을 활용하여 이미지 생성부(333), 분석부(334) 및 검색부(335)를 구동시켜 줄 수도 있다. In addition, the processor control unit 511 of the scalable forensic server system 510 generates an image by utilizing a resource of a lab or distributed system 520 that may be connected to the scalable forensic server system 510 through a local or wide area network. The unit 333, the analyzer 334, and the searcher 335 may be driven.

더욱 상세하게는, 이미지 생성부(333), 분석부(334) 및 검색부(335)를 스레드 혹은 프로세스 등의 실행 가능한 상태로 모듈화하고, 프로세스 제어부(324)에서 현재 포렌식 수사에 필요한 모듈을 랩형 또는 분산 시스템(520)에 탑재시켜 원격지 단말(310)의 요구 사항을 처리하도록 한다. More specifically, the image generation unit 333, the analysis unit 334 and the search unit 335 is modularized into an executable state such as a thread or a process, and the process control unit 324 modules necessary for the current forensic investigation are lab type. Or it is mounted on the distributed system 520 to process the requirements of the remote terminal 310.

이때, 상기 랩형 또는 분산시스템(520)으로는 포렌식 분석 센터 내의 로컬 시스템뿐 아니라, 다양한 분산 시스템 환경, 그리드(Grid) 환경, 클라우드 컴퓨팅 환경 등에 존재하는 사용 가능한 시스템이 적용될 수 있다. In this case, as the lab or distributed system 520, not only a local system in the forensic analysis center, but also a usable system existing in various distributed system environments, grid environments, cloud computing environments, and the like may be applied.

또한 이러한 기능은 상기 확장형 포렌식 서버 시스템(510)의 프로세서 제어부(511) 뿐 만 아니라 상기 포렌식 분석 시스템(330)의 프로세서 제어부(322)에서 동일하게 제공할 수 있을 것이다. In addition, such a function may be provided in the processor control unit 322 of the forensic analysis system 330 as well as the processor control unit 511 of the extended forensic server system 510.

이와 같이 본 발명에서는 기능별로 모듈화된 이미지 생성부(333), 분석부(334) 및 검색부(335)를 로컬 또는 광역 네트워크 상에 존재하는 다양한 자원을 활용해서 구동시킴으로써, 포렌식 시스템의 확장성(scalability)을 높일 수 있고, 이를 통해 포렌식 요구사항 중 가장 큰 이슈인 처리 속도가 크게 향상되도록 해준다.
As described above, in the present invention, the image generation unit 333, the analysis unit 334, and the retrieval unit 335, which are modularized according to functions, are driven using various resources existing on a local or wide area network, thereby expanding the forensic system. scalability can be increased, which greatly improves processing speed, the biggest issue of forensic requirements.

그리고 본 발명에 따른 네트워크 기반 원격 포렌식 시스템은 상술한 형태에 한정되지 않으며, 본 발명의 기술적 사상의 범위 내에서는 어떠한 변형 형태도 가능하다. 또한 네트워크 사용을 위한 프로토콜도 HTTP등의 웹 프로토콜 및 TCP, UDP 등 구축되는 환경에 따라 다양한 프로토콜이 이용될 수 있다.
In addition, the network-based remote forensic system according to the present invention is not limited to the above-described form, and any modification may be made within the scope of the technical idea of the present invention. In addition, as a protocol for network use, various protocols may be used depending on a web protocol such as HTTP and an environment such as TCP and UDP.

이상 실시예를 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구의 범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.Although described with reference to the embodiments above, those skilled in the art will understand that the present invention can be variously modified and changed without departing from the spirit and scope of the invention as set forth in the claims below. Could be.

310: 원격지 단말 320: 포렌식 서버 시스템
330: 포렌식 분석 시스템 340: 저장 장치
510: 확장형 포렌식 서버 시스템 520: 랩형 또는 분산 시스템310: remote terminal 320: forensic server system
330: forensic analysis system 340: storage device
510: scalable forensic server system 520: lab or distributed system

Claims (14)

원격지 단말의 요구사항을 처리하는 포렌식 분석 시스템; 및
상기 원격지 단말에 상기 가상 포렌식 수사 툴을 제공하며, 상기 원격지 단말과 상기 포렌식 분석 시스템간 데이터 통신을 중계하는 포렌식 서버 시스템을 포함하는 네트워크 기반 원격 포렌식 시스템.
Forensic analysis system for processing the requirements of the remote terminal; And
And a forensic server system providing the virtual forensic investigation tool to the remote terminal and relaying data communication between the remote terminal and the forensic analysis system.
제1항에 있어서,
상기 포렌식 분석 시스템의 제어 하에 포렌식 수사를 위한 정보를 저장 및 관리하는 저장 장치를 더 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 1,
And a storage device storing and managing information for forensic investigation under the control of the forensic analysis system.
제1항에 있어서, 상기 포렌식 서버 시스템은
상기 원격지 단말 및 상기 포렌식 분석 시스템과의 연결 및 데이터 통신을 지원하는 통신부;
상기 원격지 단말의 접근 권한을 제어하는 접근 제어부; 및
상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 수사 툴을 제공하는 가상화부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 1, wherein the forensic server system
A communication unit supporting connection and data communication with the remote terminal and the forensic analysis system;
An access control unit controlling an access right of the remote terminal; And
And a virtualization unit for providing the virtual forensic investigation tool only when the remote terminal has access authority.
제3항에 있어서, 상기 가상화부는
포렌식 수사를 지원하기 위한 사용자 인터페이스와 포렌식 수사 처리 결과를 시각화하여 제공하는 시각화 모듈; 및
포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 3, wherein the virtualization unit
A visualization module for visualizing and providing a user interface for forensic investigation and a result of forensic investigation; And
And a virtual file system module for parsing and managing the structure of the file system included in the forensic image.
제3항에 있어서, 상기 포렌식 서버 시스템은
상기 원격지 단말의 다중 접속을 지원하는 프로세서 제어부를 더 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 3, wherein the forensic server system
The network-based remote forensic system further comprises a processor control unit for supporting multiple access of the remote terminal.
제1항에 있어서, 상기 포렌식 분석 시스템은
상기 포렌식 서버 시스템과의 연결 및 데이터 통신을 지원하는 통신부;
상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부;
상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부;
상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및
상기 포렌식 서버 시스템을 거쳐 전송되는 상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 포렌식 서버 시스템을 통해 상기 원격지 단말로 반환하는 프로세스 제어부를 포함하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 1, wherein the forensic analysis system
A communication unit supporting connection and data communication with the forensic server system;
An image generator for generating and storing a forensic image using a data stream of the remote terminal transmitted through the forensic server system;
An analysis unit for performing evidence analysis using the forensic image;
A search unit for searching for evidence using the forensic image; And
A process control unit controlling the operation of the image generator, the analysis unit, and the search unit according to a request message of the remote terminal transmitted through the forensic server system, and returning a control result to the remote terminal through the forensic server system; Network-based remote forensic system comprising a.
제6항에 있어서, 상기 프로세서 제어부는
로컬 또는 광역 네트워크를 통해 연결된 랩형 또는 분산 시스템의 자원을 활용하여 상기 이미지 생성부, 상기 분석부 및 상기 검색부를 구동시키는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The processor of claim 6, wherein the processor controller is
A network-based remote forensic system, comprising: driving the image generator, the analyzer, and the searcher by utilizing resources of a lab or distributed system connected through a local or wide area network.
제1항에 있어서, 상기 원격지 단말은
원격지에 위치하며, 네트워크를 통해 가상 포렌식 수사 툴을 제공받아 가상 포렌식 수사 툴을 이용한 포렌식 수사를 지원하는 것을 특징으로 하는 네트워크 기반 원격 포렌식 시스템.
The method of claim 1, wherein the remote terminal is
A network-based remote forensic system, which is located at a remote location and receives a forensic investigation tool through a network to support forensic investigation using a virtual forensic investigation tool.
원격지 단말과의 연결 및 데이터 통신을 지원하는 통신부;
상기 원격지 단말의 접근 권한을 제어하는 접근 제어부;
상기 원격지 단말이 접근 권한을 가지는 경우에 한하여 상기 가상 포렌식 수사 툴을 제공하는 가상화부;
상기 원격지 단말의 데이터 스트림을 이용하여 포렌식 이미지를 생성 및 저장하는 이미지 생성부;
상기 포렌식 이미지를 이용한 증거 분석을 수행하는 분석부;
상기 포렌식 이미지를 이용한 증거 검색을 수행하는 검색부; 및
상기 원격지 단말의 요청 메시지에 따라 상기 이미지 생성부, 상기 분석부 및 상기 검색부의 동작을 제어하고, 제어 결과를 상기 원격지 단말로 반환하는 프로세스 제어부를 포함하는 확장형 포렌식 서버 시스템.
A communication unit supporting connection and data communication with a remote terminal;
An access control unit controlling an access right of the remote terminal;
A virtualization unit providing the virtual forensic investigation tool only when the remote terminal has access authority;
An image generator for generating and storing a forensic image using a data stream of the remote terminal;
An analysis unit for performing evidence analysis using the forensic image;
A search unit for searching for evidence using the forensic image; And
And a process controller for controlling operations of the image generator, the analyzer, and the searcher according to a request message of the remote terminal, and returning a control result to the remote terminal.
제9항에 있어서, 상기 프로세서 제어부는
로컬 또는 광역 네트워크를 통해 연결된 랩형 또는 분산 시스템의 자원을 활용하여 상기 이미지 생성부, 상기 분석부 및 상기 검색부를 구동시키는 것을 특징으로 하는 확장형 포렌식 서버 시스템.
The processor of claim 9, wherein the processor controller is
And the image generating unit, the analyzing unit, and the searching unit by using the resources of a lab or distributed system connected through a local or wide area network.
제9항에 있어서, 상기 프로세서 제어부는
상기 원격지 단말의 다중 접속을 지원하는 기능을 더 포함하는 것을 특징으로 하는 확장형 포렌식 서버 시스템.
The processor of claim 9, wherein the processor controller is
Extended forensic server system, characterized in that it further comprises a function for supporting multiple access of the remote terminal.
제9항에 있어서, 상기 가상화부는
포렌식 수사를 지원하기 위한 사용자 인터페이스와 포렌식 수사 처리 결과를 시각화하여 제공하는 시각화 모듈; 및
포렌식 이미지에 포함된 파일 시스템의 구조를 파싱 및 관리하는 가상 파일 시스템 모듈을 포함하는 것을 특징으로 하는 확장형 포렌식 서버 시스템.
The method of claim 9, wherein the virtualization unit
A visualization module for visualizing and providing a user interface for forensic investigation and a result of forensic investigation; And
Scalable forensic server system comprising a virtual file system module for parsing and managing the structure of the file system included in the forensic image.
제9항에 있어서,
상기 포렌식 분석 시스템의 제어 하에 포렌식 수사를 위한 정보를 저장 및 관리하는 저장 장치를 더 포함하는 것을 특징으로 하는 확장형 포렌식 서버 시스템.
10. The method of claim 9,
And a storage device configured to store and manage information for forensic investigation under the control of the forensic analysis system.
제9항에 있어서, 상기 원격지 단말은
원격지에 위치하며, 네트워크를 통해 가상 포렌식 수사 툴을 제공받아 가상 포렌식 수사 툴을 이용한 포렌식 수사를 지원하는 것을 특징으로 하는 확장형 포렌식 서버 시스템.10. The method of claim 9, wherein the remote terminal is
Located in a remote location, forensic investigation using a virtual forensic investigation tool by providing a virtual forensic investigation tool over a network, the extended forensic server system, characterized in that.
KR1020100052027A 2009-12-18 2010-06-01 Remote forensics system based on network KR20110070733A (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
KR1020100108730A KR20110070767A (en) 2009-12-18 2010-11-03 Remote forensics system based on network
US12/971,177 US20110153748A1 (en) 2009-12-18 2010-12-17 Remote forensics system based on network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020090127544 2009-12-18
KR20090127544 2009-12-18

Publications (1)

Publication Number Publication Date
KR20110070733A true KR20110070733A (en) 2011-06-24

Family

ID=44402203

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020100052027A KR20110070733A (en) 2009-12-18 2010-06-01 Remote forensics system based on network
KR1020100108730A KR20110070767A (en) 2009-12-18 2010-11-03 Remote forensics system based on network

Family Applications After (1)

Application Number Title Priority Date Filing Date
KR1020100108730A KR20110070767A (en) 2009-12-18 2010-11-03 Remote forensics system based on network

Country Status (1)

Country Link
KR (2) KR20110070733A (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101496318B1 (en) 2013-05-30 2015-03-03 한국전자통신연구원 Apparatus and method for providing security in remote digital forensics
KR101658043B1 (en) 2015-08-20 2016-09-20 주식회사 웨어밸리 Database forensic method using automation tool
KR101710426B1 (en) 2015-11-30 2017-02-27 동양대학교 산학협력단 Automated digital forensic system to identify the command history of the file

Also Published As

Publication number Publication date
KR20110070767A (en) 2011-06-24

Similar Documents

Publication Publication Date Title
US20110153748A1 (en) Remote forensics system based on network
US10042905B2 (en) Information processing apparatus, information processing system, and data conversion method
CN111522922A (en) Log information query method and device, storage medium and computer equipment
CN102708152A (en) Integrated management method for electronic evidence
CN114144798A (en) Security incident investigation event capture
CN112860479A (en) Data storage method and cloud data center
JP2006302170A (en) Log management method and device
Hadri et al. Overview of the KAUST’s Cray X40 system–Shaheen II
CN102819478A (en) Agent-free monitoring and managing method of data processing system
CN112199567A (en) Distributed data acquisition method, system, server and storage medium
CN114207614A (en) Safety investigation platform
CN114489622A (en) Js application, electronic device, and storage medium
CN107368407B (en) Information processing method and device
KR20110070733A (en) Remote forensics system based on network
CN114416169A (en) Data processing method, medium, device and computing equipment based on micro front end
US11924284B1 (en) Automated security, orchestration, automation, and response (SOAR) app generation based on application programming interface specification data
CN114175067A (en) Incident survey workspace generation and survey control
KR20150136369A (en) Integration control system using log security and big-data
KR100987064B1 (en) Digital forensic system by use of virtual environment and method therefor
JP2007018091A (en) Information processor, information processing system, application development support method and program
JP2009157461A (en) Document management system, document managing device, document management method, and program
JP2007200047A (en) Access log-displaying system and method
Han et al. Cloud-based active content collaboration platform using multimedia processing
CN113810475A (en) Wifi probe equipment management and control system based on big data architecture
CN115485677A (en) Secure data replication in a distributed data storage environment

Legal Events

Date Code Title Description
A201 Request for examination