KR20230112310A - System of forensic for selectively extracting and analyzing of target data by remote networking. - Google Patents

System of forensic for selectively extracting and analyzing of target data by remote networking. Download PDF

Info

Publication number
KR20230112310A
KR20230112310A KR1020220008423A KR20220008423A KR20230112310A KR 20230112310 A KR20230112310 A KR 20230112310A KR 1020220008423 A KR1020220008423 A KR 1020220008423A KR 20220008423 A KR20220008423 A KR 20220008423A KR 20230112310 A KR20230112310 A KR 20230112310A
Authority
KR
South Korea
Prior art keywords
data
unit
selectively
target data
analysis
Prior art date
Application number
KR1020220008423A
Other languages
Korean (ko)
Inventor
최운영
Original Assignee
최운영
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 최운영 filed Critical 최운영
Priority to KR1020220008423A priority Critical patent/KR20230112310A/en
Publication of KR20230112310A publication Critical patent/KR20230112310A/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/12Arrangements for remote connection or disconnection of substations or of equipment thereof

Abstract

본 발명은 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템에 관한 것으로서, 원본 저장소와 원격으로 네트워킹 연결되어 원본 저장소로부터 타깃 데이터를 선별하여 선택적으로 분석하여 분석 데이터를 산출하는 데이터 매니징 유닛; 원본 저장소를 구비하여, 데이터 매니징 유닛과 원격으로 네트워킹 연결되어, 타깃 데이터가 원격으로 선택적 추출되는 유저 단말 유닛; 및 데이터 매니징 유닛과 네트워킹 연결되어, 분석 데이터를 제공받아, 선택적으로 모니터링하는 모니터링 유닛을 포함하는 기술적 사상을 개시한다.The present invention relates to a forensic system capable of selectively extracting and analyzing target data through remote networking, comprising: a data management unit that is networked remotely connected to an original repository, selects target data from the original repository, and selectively analyzes it to produce analysis data; a user terminal unit having an original storage, remotely networked with the data management unit, and remotely and selectively extracting target data; and a monitoring unit that is connected to the data management unit via networking, receives analysis data, and selectively monitors the monitoring unit.

Description

원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템{System of forensic for selectively extracting and analyzing of target data by remote networking.}System of forensic for selectively extracting and analyzing of target data by remote networking.}

본 발명은 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템에 관한 것이다. 보다 자세하게는, 원본 저장소로부터 타깃 데이터를 선별하기 위해 원격으로 네트워킹 되어, 타깃 데이터를 분석하고 모니터링하기 위한 시스템에 관한 기술분야이다.The present invention relates to a forensic system capable of selectively extracting and analyzing target data through remote networking. More specifically, it is a technical field related to a system for analyzing and monitoring target data by being networked remotely to select target data from an original storage.

IT 기술의 발전으로 인해 정보화 사회가 고도화됨에 따라 스마트폰, 태블릿, PC 등을 이용하한 전자 문서의 활용이 증대되고 있다.BACKGROUND OF THE INVENTION [0002] As the information society is advanced due to the development of IT technology, the use of electronic documents using smartphones, tablets, PCs, etc. is increasing.

컴퓨터를 통해 작성된 전자 문서는 복사와 수정이 매우 쉬우며 대용량의 기록을 삭제하는 것도 마우스 클릭 한 번으로 해결된다. 또한, 전자문서는 컴퓨터에서 파일을 다른 위치로 복사하면 사본 파일과 원본 파일은 내용상으로는 차이가 없는 같은 파일로 보인다는 특징이 있다. Electronic documents created through a computer are very easy to copy and modify, and deleting a large amount of records can be solved with a single mouse click. In addition, when a file is copied from a computer to another location, the electronic document has a characteristic in that the copy file and the original file appear to be the same file with no difference in content.

그러나, 전자 문서의 기술력이 고도화됨에 관련 범죄가 증가하였고, 그뿐만 아니라 일반 범죄에서도 중요 단서를 컴퓨터를 포함한 디지털 정보기기에 보관하는 경우가 증가함에 따라, 증거 수집 및 분석을 위한 전문적인 디지털 포렌식 기술이 요구되고 있다. However, as the technology of electronic documents has advanced, related crimes have increased, and as the case of storing important clues in digital information devices including computers also increases in general crimes, professional digital forensic technology for collecting and analyzing evidence is required.

디지털 포렌식은 정보기기에 내장된 디지털 자료를 근거로 삼아 그 정보기기를 매개체로 하여 발생한 어떤 행위의 사실 관계를 규명하고 증명하는 신규 보안서비스분야이다.Digital forensic is a new security service field that identifies and proves the factual relationship of an action that has occurred through the medium of the information device based on the digital data embedded in the information device.

디지털 포렌식은 범죄수사, 민사분쟁, 침해사고 등에 대해 매우 유용하게 쓰이고 있다. 최근 기업 내 정보 감사 및 산업기술 유출 방지를 위한 활동에 도입되는 추세가 확산되고 있다. 산업기술 유출을 막기 위해 디지털 증거의 학보 방안으로 기업 내에 디지털 포렌식과 관련한 기술의 도입이 권장되고 있다. 예로써 포렌식 기술은 보험사기 및 인터넷 뱅킹 피해보상에 대한 법적 증거 자료 수집 및 내부 정보 유출 방지, 회계 감사 등의 내부 보안 강화에 활용이 가능하다.Digital forensic is very useful for criminal investigations, civil disputes, and infringement accidents. Recently, the trend of being introduced into activities for auditing information within companies and preventing leakage of industrial technology is spreading. In order to prevent the leakage of industrial technology, the introduction of technology related to digital forensics within the company is recommended as a way to keep track of digital evidence. For example, forensic technology can be used to strengthen internal security, such as collecting legal evidence for insurance fraud and Internet banking damage compensation, preventing leakage of internal information, and auditing.

디지털 포렌식은 보통 증거물 획득, 보관 및 이송, 분석 및 조사, 보고서 작성 등의 절차를 따른다. 증거물 획득이란 사건 현장에서 디지털 증거물을 수집하는 절차이다. 보관 및 이송은 증거물을 분석실로 이송하여 디지털 증거물의 이미지를 만드는 작업을 하는 단계로 분석 및 조사를 위한 준비 절차이다. 분석 및 조사는 증거물로 쓰이는 데이터를 복구하고 파일 검색, 암호 해독, 해시 분석, 시그니쳐 분석 등 다양한 포렌식 분석 기법을 이용하여 디지털 데이터를 분석한다. 마지막으로 보고서 작성 절차에서는 디지털 증거물의 전문가 입장에서 분석 및 조사에서의 결과를 일반인들이 알기 쉽게 설명하여 법정 등에 제출한다.Digital forensics usually follows procedures such as acquisition of evidence, storage and transfer, analysis and investigation, and report writing. Evidence acquisition is the process of collecting digital evidence at the scene of an incident. Storage and transfer is a step in which the evidence is transferred to the analysis room and images of the digital evidence are created, and it is a preparation procedure for analysis and investigation. Analysis and investigation recovers data used as evidence and analyzes digital data using various forensic analysis techniques such as file search, decryption, hash analysis, and signature analysis. Finally, in the report preparation process, the results of the analysis and investigation are explained in an easy-to-understand manner to the general public from the standpoint of experts in digital evidence, and submitted to the court.

또한, 디지털 기록이 증거물로 사용되기 위해서는 입수 과정 및 분석과정 등의 디지털 포렌식 전 과정에서 위조와 변조의 가능성을 없애기 위한 다양한 장치를 두고 증거물이 변조되지 않았음을 증명하기 위한 다양한 방법을 사용한다.In addition, in order for digital records to be used as evidence, various methods are used to prove that the evidence has not been tampered with with various devices to eliminate the possibility of forgery and falsification in the entire digital forensic process, such as the acquisition and analysis processes.

관련된 선행 특허문헌의 예로서 "디지털 증거 분석 시스템 및 그 방법" (등록번호 제10-1288034호, 이하 특허문헌1이라 한다.)"이 존재한다.As an example of related prior patent documents, "Digital Evidence Analysis System and Method" (Registration No. 10-1288034, hereinafter referred to as Patent Document 1)" exists.

특허문헌1에 따른 발명은 디지털 증거 분석 시스템은 업무관리 시스템에 접속된 사용자 단말기에 대해 사용자 인증을 수행하는 제1 네트워크, 디지털 포렌식 중 확보된 디지털 증거 파일에 대한 분석을 위하여 분석망에 접속된 사용자 단말기가 디지털 증거 분석 시스템에 접속하는 제2 네트워크, 및 상기 분석망에 접속된 사용자 단말기에 대해 VLAN(Virtual LAN) ID를 개별적으로 할당하고, 상기 할당된 VLAN ID에 대응되는 독립된 가상 데스크톱을 생성하여 사용자 단말기에 제공하는 제3 네트워크를 포함한다. 이러한 구성을 통해 본 발명은 디지털 증거 분석 시스템의 접속 영역(네트워크 망)을 공용망과 사설망으로 구분하되, 상기 공용망에 접속된 사용자 단말기에 대해 VLAN(Virtual LAN ID를 개별적으로 할당하여 사용자 단말기에 제공함으로써 보안성을 향상시키는 효과가 있는 것을 특징으로 한다.In the invention according to Patent Document 1, the digital evidence analysis system includes a first network for performing user authentication on a user terminal connected to a business management system, a second network for allowing user terminals connected to the analysis network to access the digital evidence analysis system for analysis of digital evidence files obtained during digital forensics, and a third network for individually allocating VLAN (Virtual LAN) IDs to user terminals connected to the analysis network, generating an independent virtual desktop corresponding to the allocated VLAN ID, and providing the user terminal with the provided. Through this configuration, the present invention divides the access area (network) of the digital evidence analysis system into a public network and a private network, but individually assigns a VLAN (Virtual LAN ID) to the user terminal connected to the public network and provides it to the user terminal. It is characterized by an effect of improving security.

또 다른 개시된 선행 특허문헌으로는 "디지털 포렌식 기반의 디지털 데이터를 수집하는 장치 및 방법"(등록번호 제10-1870670호, 이하 특허문헌2라 한다.)"이 존재한다.Another disclosed prior patent document is “Apparatus and method for collecting digital data based on digital forensics” (Registration No. 10-1870670, hereinafter referred to as Patent Document 2)”.

특허문헌2에 따른 발명은 디지털 포렌식 기반의 디지털 데이터를 수집하는 장치 및 방법을 개시한다. 본 발명의 일실시예에 따르면 디지털 포렌식 기반의 데이터 수집 장치는 수집 대상 장치의 동작을 제어하여 상기 제어된 수집 대상 장치로부터 증거 데이터를 수집하는 증거 수집부, 상기 제어된 수집 대상 장치가 상기 제어된 동작에 기초하여 상기 제어된 수집 대상 장치의 화면 상에 표시하고 있는 제1 영상을 표시하는 표시부, 상기 제어된 수집 대상 장치의 주변 환경과 관련된 제2 영상을 촬영하는 영상 촬영부; 상기 표시된 제1 영상, 상기 촬영된 제2 영상, 및 제3 영상 중 적어도 하나 이상을 결합하여 영상 데이터를 생성하는 영상 생성부, 상기 생성된 영상 데이터에 대한 제1해시값을 계산하는 해시 계산부, 상기 계산된 제1 해시값과 상기 영상 데이터의 영상 정보를 결합하여 사용자 데이터를 생성하는 사용자 데이터 생성부, 및 상기 생성된 영상 데이터와 상기 생성된 사용자 데이터를 포함하는 컨테이너 파일을 저장하는 컨테이너 파일 저장부를 포함하는 것을 특징으로 한다.The invention according to Patent Document 2 discloses an apparatus and method for collecting digital data based on digital forensics. According to an embodiment of the present invention, a data collection device based on digital forensics includes an evidence collection unit that collects evidence data from the controlled collection target device by controlling the operation of the collection target device, a display unit that displays a first image displayed by the controlled collection target device on the screen of the controlled collection target device based on the controlled operation, and an image capture unit that captures a second image related to the surrounding environment of the controlled collection target device; It is characterized by comprising: an image generator to generate image data by combining at least one of the displayed first image, the captured second image, and the third image; a hash calculator to calculate a first hash value for the generated image data; a user data generator to generate user data by combining the calculated first hash value with image information of the image data; and a container file storage unit to store a container file including the generated image data and the generated user data.

특허문헌1, 특허문헌2의 경우, 디지털 포렌식 기반의 증거 데이터 수집과 분석에 대한 기술적 사상을 개시하고 있다.In the case of Patent Document 1 and Patent Document 2, the technical idea for digital forensic-based evidence data collection and analysis is disclosed.

그러나, 특허문헌1의 기술의 경우, 제1네트워크, 제2네트워크, 제3네트워크를 포함하며 각각 네트워크에 따른 접속 영역을 구분하게 되므로 복잡한 형태를 가진 디지털 증거 분석 시스템이며, 디지털 데이터를 자동 추출하고 분석한다는 기술적 사상이 미비하다.However, in the case of the technology of Patent Document 1, since it includes the first network, the second network, and the third network, and separates the access area according to each network, it is a digital evidence analysis system with a complex form, and automatically extracts and analyzes digital data. The technical idea is insufficient.

특허문헌2의 경우, 디지털 포렌식 기반의 디지털 데이터를 수집하기 위한 환경을 설정하고, 수집된 디지털 데이터를 함께 관리하는 장치 및 방법에 관한 것으로, 단순히 디지털 포렌식 기반의 데이터를 수집하는 장치에 초점을 두고 있으며, 디지털 데이터를 복제하고 분석하는 일련의 과정들에 대한 기술적 사상이 존재하지 않는다.In the case of Patent Document 2, it relates to a device and method for setting up an environment for collecting digital data based on digital forensics and managing the collected digital data together, and focuses on a device that simply collects data based on digital forensics. There is no technical idea about a series of processes for copying and analyzing digital data.

또한, 기존의 선행 문헌들의 경우, 디지털 기기에 담긴 증거 데이터를 수집하기 위해 필요한 타깃 데이터를 선별하지 못하여, PC 전체를 가져와서 방대한 양의 데이터를 분석하고 분류하므로 증거 확보에 많은 시간이 소요된다는 문제점이 존재한다. In addition, in the case of existing prior literature, it is not possible to select target data necessary to collect evidence data contained in digital devices, and it takes a lot of time to secure evidence because the entire PC is brought in to analyze and classify a vast amount of data. There is a problem.

등록번호 제10-1288034호Registration No. 10-1288034 등록번호 제10-1870670호Registration No. 10-1870670

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 상기한 바와 같은 종래 문제점을 해결하기 위해 안출된 것으로서, 다음과 같은 해결하고자 하는 과제를 제시한다.The forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention has been devised to solve the above-mentioned conventional problems, and presents the following problems to be solved.

첫째, 현장에 직접가지 않고 원격 네트워킹을 통해 타깃 데이터를 선별하고자 한다.First, we want to select target data through remote networking without going to the field.

둘째, 선별된 타깃 데이터를 소정의 분석 밸류에 따라 선택적으로 분석하고 솔팅하여 효율적인 분석을 진행하고자 한다.Second, efficient analysis is performed by selectively analyzing and salting the selected target data according to a predetermined analysis value.

셋째, 구독하고자 하는 타깃 데이터를 선택적으로 지정하고 분석하여 분석 데이터를 모니터링하고자 한다.Third, the target data to be subscribed to is selectively designated and analyzed to monitor the analyzed data.

본 발명의 해결 과제는 이상에서 언급된 것들에 한정되지 않으며, 언급되지 아니한 다른 해결과제들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The problems to be solved in the present invention are not limited to those mentioned above, and other problems not mentioned will be clearly understood by those skilled in the art from the description below.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 상기의 해결하고자 하는 과제를 위하여 다음과 같은 과제 해결 수단을 가진다.The forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention has the following means for solving the above problems.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 원본 저장소와 원격으로 네트워킹 연결되어 상기 원본 저장소로부터 타깃 데이터를 선별하여 상기 타깃 데이터를 선택적으로 분석하여 분석 데이터를 산출하는 데이터 매니징 유닛; 상기 원본 저장소를 구비하여, 상기 데이터 매니징 유닛과 원격으로 네트워킹 연결되어, 상기 데이터 매니징 유닛에 의해 상기 타깃 데이터가 원격으로 선택적 추출되는 유저 단말 유닛; 및 상기 데이터 매니징 유닛과 네트워킹 연결되어, 상기 분석 데이터를 제공받아, 상기 분석 데이터를 선택적으로 모니터링하는 모니터링 유닛을 포함하는 것을 특징으로 할 수 있다.A forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention includes a data management unit that is networked remotely connected to an original repository, selects target data from the original repository, and selectively analyzes the target data to calculate analysis data; a user terminal unit having the source storage, remotely networked to the data management unit, and remotely and selectively extracting the target data by the data management unit; and a monitoring unit connected to the data management unit through a network, receiving the analysis data, and selectively monitoring the analysis data.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 데이터 매니징 유닛은, 상기 유저 단말 유닛의 상기 원본 저장소로의 접근 권한를 받으면, 상기 원본 저장소와 상호 연결되는 것을 특징으로 할 수 있다.The data management unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention may be interconnected with the original storage when the user terminal unit receives an access right to the original storage.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 데이터 매니징 유닛은, 상기 유저 단말 유닛에 존재하는 데이터 중 복제하고자 하는 상기 타깃 데이터를 선택적으로 로딩하는 로딩부; 및 상기 로딩부로부터 선택적으로 로딩된 상기 타깃 데이터를 복제하여 이미지 데이터를 생성하는 이미징부를 포함하는 것을 특징으로 할 수 있다.The data management unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention includes a loading unit that selectively loads the target data to be duplicated among data existing in the user terminal unit; and an imaging unit generating image data by duplicating the target data selectively loaded from the loading unit.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 이미징부는, 미리 설정된 사이클마다 상기 타깃 데이터를 복제하여, 상기 이미지 데이터를 상기 미리 설정된 사이클마다 생성하는 것을 특징으로 할 수 있다.The imaging unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention may copy the target data at preset cycles and generate the image data at preset cycles.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 데이터 매니징 유닛은,The data management unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention,

상기 이미징부로부터 생성된 상기 이미지 데이터를 미리 설정된 분석 리스팅 정보를 토대로 선택적으로 분석하여, 상기 분석 데이터를 산출하는 애널라이징부를 더 포함하는 것을 특징으로 할 수 있다.The method may further include an analyzing unit configured to selectively analyze the image data generated by the imaging unit based on preset analysis listing information and calculate the analysis data.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 유저 단말 유닛은, 상기 타깃 데이터 중 시큐리티 데이터를 임의 설정하여, 상기 데이터 매니징 유닛으로부터 상기 시큐리티 데이터의 접근을 선택적으로 제한하는 것을 포함하는 것을 특징으로 할 수 있다.The user terminal unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention may optionally set security data among the target data and selectively restrict access to the security data from the data management unit.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 유저 단말 유닛은, 상기 시큐리티 데이터의 엑스포트(export) 정보를 선택적으로 추출하여, 상기 데이터 매니징 유닛으로 제공하는 것을 특징으로 할 수 있다.The user terminal unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention selectively extracts export information of the security data and provides it to the data management unit.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 모니터링 유닛은, 상기 데이터 매니징 유닛으로부터 접근 허가 받으면, 상기 데이터 매니징 유닛과 상호 연동되어, 상기 리포팅부로부터 산출된 상기 분석 데이터를 제공받는 것을 특징으로 할 수 있다.When the monitoring unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention receives access permission from the data management unit, it interworks with the data management unit and receives the analysis data calculated from the reporting unit.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 모니터링 유닛은, 구독하고자 하는 상기 유저 단말 유닛을 선택적으로 지정하여, 지정된 상기 유저 단말 유닛의 상기 분석 데이터만을 선택적으로 제공받는 지정 모니터링부를 포함하는 것을 특징으로 할 수 있다.The monitoring unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention may include a designated monitoring unit that selectively designates the user terminal unit to be subscribed to and selectively receives only the analysis data of the designated user terminal unit.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 상기 모니터링 유닛은, 상기 분석 데이터로부터 상기 유저 단말 유닛을 이용하는 유저의 액션 패턴을 선택적으로 분석하여 미리 분석된 액션 패턴을 산출하는 패턴 모니터링부를 더 포함하는 것을 특징으로 할 수 있다.The monitoring unit of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention may further include a pattern monitoring unit that calculates a pre-analyzed action pattern by selectively analyzing an action pattern of a user using the user terminal unit from the analysis data.

이상과 같은 구성의 본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 다음과 같은 효과를 제공한다.The forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention configured as described above provides the following effects.

첫째, 원본 저장소와 원격으로 네트워킹 연결되어 원본 저장소로부터 타깃 데이터를 선별하고 분석할 수 있게 된다.First, it is networked remotely with the original repository, and it is possible to select and analyze target data from the original repository.

둘째, 원본 저장소는 보호가 필요한 데이터를 선택적으로 지정하고 접근을 제한하여, 정보 유출이 우려되는 데이터를 선택적으로 보호할 수 있게 된다.Second, the original repository can selectively protect data that is concerned about information leakage by selectively designating data that needs protection and restricting access.

셋째, 구독하고자 하는 유저 단말 유닛을 선택적으로 지정하여, 원하는 분석 데이터를 선택적으로 모니터링할 수 있게 된다.Third, it is possible to selectively monitor desired analysis data by selectively designating a user terminal unit to be subscribed to.

넷째, 데이터 분석을 통해 유저의 미리 분석된 액션 패턴을 산출하고, 미리 분석된 액션 패턴에서 벗어날 경우를 모니터링할 수 있게 된다. Fourth, it is possible to calculate the pre-analyzed action pattern of the user through data analysis, and to monitor the case of deviation from the pre-analyzed action pattern.

본 발명의 효과는 이상에서 언급한 것들에 한정되지 않으며, 언급되지 아니한 다른 효과들은 아래의 기재로부터 당업자에게 명확하게 이해될 수 있을 것이다.The effects of the present invention are not limited to those mentioned above, and other effects not mentioned will be clearly understood by those skilled in the art from the description below.

도1은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 개념도이다.
도2는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 로딩부와 이미징부의 개념도이다.
도3은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 애널라이징부의 개념도이다.
도4는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 차트 생성부의 개념도이다.
도5는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 유저 단말 유닛의 개념도이다.
도6은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 지정 모니터링부의 개념도이다.
도7은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 블록도이다.1 is a conceptual diagram of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
2 is a conceptual diagram of a loading unit and an imaging unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
3 is a conceptual diagram of an analyzing unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
4 is a conceptual diagram of a chart generating unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
5 is a conceptual diagram of a user terminal unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
6 is a conceptual diagram of a designated monitoring unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.
7 is a block diagram of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 다양한 변경을 가할 수 있고 여러 가지 실시예를 가질 수 있는바, 특정 실시예들을 도면에 예시하고 상세한 설명에 상세하게 설명하고자 한다. 그러나, 이는 본 발명을 특정한 실시 형태에 대해 한정하려는 것이 아니며, 본 발명의 기술적 사상 및 기술 범위에 포함되는 모든 변경, 균등물 내지 대체물을 포함하는 것으로 이해되어야 한다. Since the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention can have various changes and various embodiments, specific embodiments will be illustrated in the drawings and described in detail in the detailed description. However, this is not intended to limit the present invention to specific embodiments, and should be understood to include all modifications, equivalents, or substitutes included in the technical spirit and scope of the present invention.

도1은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 개념도이다. 도2는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 로딩부와 이미징부의 개념도이다. 도3은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 애널라이징부의 개념도이다. 도4는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 차트 생성부의 개념도이다. 도5는 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 유저 단말 유닛의 개념도이다. 도6은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 지정 모니터링부의 개념도이다. 도7은 본 발명의 일 실시예에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 블록도이다.1 is a conceptual diagram of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 2 is a conceptual diagram of a loading unit and an imaging unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 3 is a conceptual diagram of an analyzing unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 4 is a conceptual diagram of a chart generating unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 5 is a conceptual diagram of a user terminal unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 6 is a conceptual diagram of a designated monitoring unit of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention. 7 is a block diagram of a forensic system capable of selectively extracting and analyzing target data through remote networking according to an embodiment of the present invention.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템은 도1에 도시된 바와 같이, 원본 저장소와 원격으로 네트워킹 연결되어 타깃 데이터를 송수신 받고, 모니터링하기 위한 시스템에 관한 것이다.As shown in FIG. 1, a forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention relates to a system for transmitting, receiving, receiving, and monitoring target data by being networked remotely to an original repository.

예컨대, 불특정 다수의 서버에 네트워킹 연결되어, 해당 서버에 존재하는 원본 저장소에 원격으로 접속할 수 있도록 한다. 여기서 말하는 원본 저장소는 기업이나 정부에서 사용하는 네트워크, 데이터베이스, 서버, 디스크 장치, 모바일 단말기(개인컴퓨터, PC, 랩톱, 노트북, 태블릿 PC, 스마트폰), 허브, 스위치, 라우터 등의 장치로 정의하는 것이 바람직하다.For example, it is network-connected to an unspecified number of servers, allowing remote access to original storage existing in the servers. It is preferable to define the original storage as devices such as networks, databases, servers, disk devices, mobile terminals (personal computers, PCs, laptops, notebooks, tablet PCs, smartphones), hubs, switches, and routers used by companies or governments.

본 발명에서 원본 저장소와 네트워킹으로 연결되는 것은 분석 단말기, 분석 서버 또는 분석 클라우드가 될 수 있으며, 원본 저장소로부터 송수신되는 타깃 데이터의 모든 물리적 섹터를 사본으로 이미징하여 이미지 파일을 생성할 수 있으며, 타깃 데이터의 원본을 확보할 수 있게 된다.In the present invention, an analysis terminal, an analysis server, or an analysis cloud may be connected to the original storage by networking, and an image file may be created by imaging all physical sectors of target data transmitted and received from the original storage as copies, and the original of the target data may be secured.

이와 같은 분석 단말기, 분석 서버 또는 분석 클라우드는 기존에 출원된 선행 특허, 등록번호 제10-2294926호(2020 중소기업 기술혁신 대전 기술 보호 부문 대통령상 수상)에 서술된 분석 데이터 자동 형성 시스템을 차용하였으며, 본 발명의 분석 단말기의 용도와 기능 및 기술적 특징은 기존에 출원된 선행 특허에 이미 공지되어 있는 것으로 여기서는 구체적인 설명을 생략하도록 한다.Such an analysis terminal, analysis server, or analysis cloud borrowed the analysis data automatic generation system described in a previously filed patent, Registration No. 10-2294926 (2020 Small and Medium Business Technology Innovation Competition, Presidential Prize in Technology Protection). The purpose, function, and technical characteristics of the analysis terminal of the present invention are already known in prior patents filed previously, and detailed descriptions will be omitted here.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 경우, 도1에 도시된 바와 같이, 데이터 매니징 유닛(data managing unit, 100), 유저 단말 유닛(200), 및 모니터링 유닛(monitoring unit, 300)을 포함하게 된다.In the case of a forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention, as shown in FIG. 1, it includes a data managing unit (100), a user terminal unit (200), and a monitoring unit (300).

먼저 데이터 매니징 유닛(100)의 경우, 원본 저장소와 원격으로 네트워킹 연결되어, 원본 저장소로부터 타깃 데이터를 선별하여, 타깃 데이터를 선택적으로 분석하여 분석 데이터를 산출하는 구성이다.First, in the case of the data management unit 100, it is configured to be networked remotely to the original storage, select target data from the original storage, and selectively analyze the target data to calculate analysis data.

데이터 매니징 유닛(100)은 타깃 데이터를 분석하기 위한 분석 단말기, 분석 서버, 또는 분석 클라우드에 구비되어, 원본 저장소로부터 타깃 데이터를 송수신 받게 된다.The data management unit 100 is provided in an analysis terminal for analyzing target data, an analysis server, or an analysis cloud, and transmits/receives target data from an original storage.

여기서 말하는 타깃 데이터란 원본 저장소에 존재하는 모든 데이터를 말하는 동시에 원본 저장소로부터 분석 대상이 되는 데이터로서, 분석 과정에서 처리할 데이터의 종류와 양이 많고 필요한 조사 데이터가 상황에 따라 다르므로, 조사에 필요한 데이터만을 선별하는 것이다.Target data here refers to all data existing in the source repository and data to be analyzed from the source repository. Since the type and amount of data to be processed in the analysis process is large and the required survey data varies depending on the situation, only the data necessary for the survey is selected.

또한, 데이터 매니징 유닛(100)은 유저 단말 유닛(200)의 원본 저장소로의 접근 권한을 받으면, 원본 저장소와 상호 연결되는 것이 바람직하다.In addition, when the data management unit 100 is authorized to access the original storage of the user terminal unit 200, it is preferable to interconnect with the original storage.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 데이터 매니징 유닛(100)의 경우, 로딩부(110), 이미징부(120), 애널라이징부(130), 솔팅부(140), 및 리포팅부(150)를 포함하게 된다.The data management unit 100 of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention includes a loading unit 110, an imaging unit 120, an analyzing unit 130, a salting unit 140, and a reporting unit 150.

먼저, 로딩부(110)의 경우, 도2에 도시된 바와 같이, 유저 단말 유닛(200)에 존재하는 데이터 중 복제하고자 하는 타깃 데이터를 선택적으로 로딩하는 구성이다.First, in the case of the loading unit 110, as shown in FIG. 2, it is configured to selectively load target data to be duplicated among data existing in the user terminal unit 200.

이미징부(120)의 경우, 도2에 도시된 바와 같이, 로딩부(110)로부터 선택적으로 로딩된 타깃 데이터를 복제하여 이미지 데이터를 생성하는 구성이다.In the case of the imaging unit 120, as shown in FIG. 2, it is a configuration for generating image data by duplicating target data selectively loaded from the loading unit 110.

이미징부(120)는 타깃 데이터의 변경이 가해지는 것을 방지하기 위해 타깃 데이터는 물리적으로 동일한 형태로 다른 장치에 복제하거나, 이미지 파일을 생성할 수 있다. 타깃 데이터의 모든 물리적 섹터를 사본으로 이미징하여 이미지 파일을 생성할 수 있으며, 타깃 데이터의 원본을 확보하는 것이 바람직하다.The imaging unit 120 may physically copy the target data in the same form to another device or create an image file to prevent the target data from being changed. An image file can be created by imaging all physical sectors of the target data as copies, and it is desirable to secure the original of the target data.

이미징부(120)에서 이미지 데이터를 생성하기 위해서 타깃 데이터의 해시함수를 매개로 하여 해시 테이블에 매핑하고, 해시함수를 매개로 하여 어느 일 데이터를 로딩하는 것이며, 해쉬 함수는 복제본과 원본이 동일함을 입증하고 데이터의 무결성을 검증하는데 사용하는 사용되는 것으로 위에서 상술한 기존에 출원된 선행 특허에 이미 공지되어 있는 것으로 자세한 기작은 생략하도록 한다.In order to generate image data in the imaging unit 120, the target data is mapped to a hash table via a hash function, and one day data is loaded via the hash function. The hash function is used to prove that the duplicate and the original are the same and to verify the integrity of the data, which is already known in the previously filed patents mentioned above, and detailed mechanisms will be omitted.

또한, 이미징부(120)는 미리 설정된 사이클마다 타깃 데이터를 복제하여 이미지 데이터를 미리 설정된 사이클마다 생성할 수 있도록 한다. In addition, the imaging unit 120 copies target data at each preset cycle to generate image data at each preset cycle.

여기서 말하는 미리 설정된 사이클은 일정한 주기마다 타깃 데이터를 복제하기 위한 것으로 정의할 수 있다. 예컨대, 미리 설정된 사이클이 1분일 경우, 이미징부(120)는 1분마다 원본 저장소로부터 타깃 데이터를 복제하여, 1분 마다 새로운 이미지 데이터를 생성할 수 있는 것이다.The preset cycle referred to here may be defined as copying target data at regular intervals. For example, when the preset cycle is 1 minute, the imaging unit 120 may copy target data from the original storage every 1 minute and generate new image data every 1 minute.

애널라이징부(130)의 경우, 이미징부(120)로부터 생성된 이미지 데이터를 미리 설정된 분석 리스팅 정보를 토대로 선택적으로 분석하여 분석 데이터를 산출하는 구성이다.In the case of the analyzing unit 130, the image data generated by the imaging unit 120 is selectively analyzed based on preset analysis listing information to calculate analysis data.

미리 설정된 분석 리스팅 정보는 데이터 분석 과정에서 처리할 데이터의 종류와 양이 많고 필요에 따라서 조사할 데이터가 다르므로, 조사에 필요한 데이터를 미리 선별함으로써 분석할 데이터의 양을 줄이고 효율적이고 신속한 분석을 가능하게 한다. 일반적으로 미리 설정된 분석 리스팅 정보는 시간 정보에 따른 분류, 위조와 변조 데이터 분류, 응용 프로그램 파일 별 분류, 소유자에 따른 분류 방법으로 나누어 지며 분류된 결과를 토대로 상세한 분석을 진행할 수 있게 된다.Since the type and amount of data to be processed in the data analysis process is large and the data to be investigated is different as needed, the pre-set analysis listing information reduces the amount of data to be analyzed and enables efficient and rapid analysis by selecting the data necessary for the investigation in advance. In general, preset analysis listing information is divided into classification according to time information, forgery and alteration data classification, application program file classification, and classification method according to owner, and detailed analysis can be performed based on the classified result.

애널라이징부(130)는 옵션 분석부(131), 키워드 분석부(132), 및 확장자 분석부(133)를 포함하게 된다.The analyzing unit 130 includes an option analysis unit 131, a keyword analysis unit 132, and an extension analysis unit 133.

먼저, 옵션 분석부(131)의 경우, 도3에 도시된 바와 같이, 데이터를 분석하기 전, 미리 설정된 분석 옵션 중 적어도 하나 이상의 옵션을 지정하여, 원본 저장소로부터 수집된 타깃 데이터를 인덱싱하고 선택적으로 리스팅하여 분석 데이터를 산출하는 구성이다.First, in the case of the option analysis unit 131, as shown in FIG. 3, before analyzing data, at least one or more of the preset analysis options are specified to index target data collected from the original storage and selectively list to calculate analysis data.

여기서 말하는 미리 설정된 분석 옵션이란, 타깃 데이터를 분석하기 위한 분석 조건으로서, 미리 설정된 분석 옵션에는 예컨대, 레지스트리, 이벤트로그, 활동캐시, 링크파일, 점프파일, 웹 브라우저, 스티커메모, 메신저, 파일시스템 로그, 이메일이 있다. Here, the preset analysis options are analysis conditions for analyzing target data, and the preset analysis options include, for example, registry, event log, activity cache, link file, jump file, web browser, sticky note, messenger, file system log, and e-mail.

옵션 분석부(131)는 타깃 데이터를 분석하기 위해서 적어도 하나 이상의 미리 설정된 분석 옵션을 선택한 후, 타깃 데이터를 인덱싱하고 선택적으로 리스팅할 수 있도록 한다.The option analyzer 131 selects at least one or more preset analysis options to analyze the target data, indexes the target data, and selectively lists the target data.

또한, 옵션 분석부(131)는 타깃 데이터를 인덱싱하기 위한 수집 옵션 예컨대, 분석 대상 저장, 해시 저장, 삭제 데이터 카빙 등의 추가적인 옵션을 선택할 수 있도록 하는 것이 바람직하다.In addition, it is preferable that the option analyzer 131 select additional options such as collection options for indexing target data, such as storage of analysis targets, storage of hashes, and carving of deleted data.

키워드 분석부(132)의 경우, 도3에 도시된 바와 같이, 데이터 분석 전에 미리 설정된 분석 키워드 중 적어도 하나 이상의 키워드를 지정하여 원본 저장소로부터 수집된 타깃 데이터를 인덱싱하고 선택적으로 리스팅하여 분석 데이터를 산출하는 구성이다.In the case of the keyword analysis unit 132, as shown in FIG. 3, analysis data is calculated by specifying at least one or more keywords among preset analysis keywords prior to data analysis to index target data collected from the source storage and selectively listing them.

미리 설정된 분석 키워드의 경우, 타깃 데이터를 인덱싱하기 위한 키워드로서, 필요한 데이터에 대한 키워드를 적어도 하나 이상 지정하여 설정할 수 있도록 한다. In the case of a preset analysis keyword, as a keyword for indexing target data, at least one keyword for necessary data can be designated and set.

아울러, 키워드 분석부(132)에서 미리 설정된 분석 키워드가 두 개 이상일 경우, 논리 연산자(and, or, not), 인접 연산자(adj, near), 절단 연산자(*,?) 등을 선택적으로 활용하여 미리 설정된 분석 키워드를 설정하는 것이 바람직하다.In addition, when there are two or more analysis keywords preset in the keyword analysis unit 132, a logical operator (and, or, not), an adjacency operator (adj, near), a truncation operator (*, ?), etc. are selectively used to set a preset analysis keyword. It is preferable to set.

확장자 분석부(133)의 경우, 도3에 도시된 바와 같이, 데이터 분석 전에 미리 설정된 분석 확장자 중 적어도 하나 이상의 확장자를 지정하여, 원본 저장소로부터 수집된 타깃 데이터를 인덱싱하고 선택적으로 리스팅하여 분석 데이터를 산출하는 구성이다.In the case of the extension analyzer 133, as shown in FIG. 3, by specifying at least one or more of the preset analysis extensions before data analysis, target data collected from the original storage is indexed and selectively listed to calculate analysis data.

미리 설정된 분석 확장자의 경우, 타깃 데이터 중 분석이 필요한 확장자의 파일만을 인덱싱하기 위한 것으로 미리 설정된 분석 확장자에는 bmp, gif, jpg, png, psd, raw, tiff, avi, mkw, mov, mp3, mp4, wma, doc, docx, html, hwp, pdf, txt, exe, zip, ppt, xls 등의 확장자를 설정할 수 있으며, 이외에도 원본장치에 저장된 파일의 확장자 중 적어도 하나 이상을 미리 설정된 분석 확장자로 지정하여 타깃 데이터를 분석할 수 있도록 한다.Preset analysis extensions are for indexing only files with extensions that require analysis among target data. Preset analysis extensions include bmp, gif, jpg, png, psd, raw, tiff, avi, mkw, mov, mp3, mp4, wma, doc, docx, html, hwp, pdf, txt, exe, zip, ppt, xls, etc. Designate as an analysis extension to analyze target data.

아울러, 확장자 분석부(133)에서 미리 설정된 분석 확장자가 두 개 이상일 경우, 논리 연산자(and, or, not), 인접 연산자(adj, near), 절단 연산자(*,?) 등을 선택적으로 활용하여 미리 설정된 분석 확장자를 설정하는 것이 바람직하다.In addition, when there are two or more preset analysis extensions in the extension analysis unit 133, it is preferable to set a preset analysis extension by selectively using a logical operator (and, or, not), an adjacency operator (adj, near), a truncation operator (*, ?), and the like.

또한, 애널라이징부(130)에서는 이미지 데이터의 이미징 작업과 분석 작업이 동시에 가능하며, 각각의 작업 내용을 리스팅화하여 작업 현황을 실시간으로 모니터링할 수 있는 것이 바람직하다.In addition, in the analyzing unit 130, imaging and analysis of image data can be performed at the same time, and it is preferable to list the contents of each job and monitor the job status in real time.

솔팅부(140)의 경우, 애널라이징부(130)로부터 산출된 분석 데이터로부터 소정의 분석 밸류를 추출하여, 분석 데이터를 선택적으로 솔팅하는 구성이다.In the case of the salting unit 140, a predetermined analysis value is extracted from the analysis data calculated by the analysis unit 130, and the analysis data is selectively salted.

솔팅부(140) 또한, 분석 단말기에 구비되어 분석 데이터로부터 추출할 수 있는 결과 값, 수치, 통계, 오차, 범주, 사용량, 일자, 명칭, 확장자, 키워드 등의 소정의 분석 밸류를 솔팅하여 시각화하기 위한 것이다.The salting unit 140 is also provided in the analysis terminal to salt and visualize predetermined analysis values such as result values, numerical values, statistics, errors, categories, usage amounts, dates, names, extensions, and keywords that can be extracted from analysis data.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 솔팅부(140)의 경우, 테이블 생성부(141) 및 차트 생성부(142)를 포함하게 된다.In the case of the salting unit 140 of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention, a table generator 141 and a chart generator 142 are included.

테이블 생성부(141)는, 애널라이징부(130)로부터 산출된 분석 데이터를 미리 세팅된 조건으로 필터링하여 소정의 분석 밸류를 추출하고, 소정의 분석 밸류를 소정의 테이블에 선택적으로 솔팅하는 구성이다.The table generating unit 141 is a component that filters the analysis data calculated from the analyzing unit 130 under preset conditions, extracts predetermined analysis values, and selectively salts the predetermined analysis values into a predetermined table.

여기서 말하는 미리 세팅된 조건에는, 분석 대상 기간, 프로그램 설치 기록, 분석대상 저장장치, 분석 대상 볼륨, 분석 대상 확장자, 키워드, 사용 기록, 등의 조건으로 정의할 수 있다.Here, the pre-set conditions may be defined as conditions such as analysis target period, program installation record, analysis target storage device, analysis target volume, analysis target extension, keyword, usage record, and the like.

테이블 생성부(141)는 미리 세팅된 조건이 지정되면, 분석 데이터를 소정의 테이블에 세팅할 수 있도록 한다.The table generating unit 141 allows analysis data to be set in a predetermined table when a pre-set condition is specified.

예컨대, 소정의 테이블에 프로그램 설치기록 데이터를 설치 일시, 프로그램명, 배포자 등으로 솔팅하여 분석 결과를 나타낼 수 있다.For example, an analysis result may be displayed by salting program installation record data with installation date, program name, distributor, and the like in a predetermined table.

차트 생성부(142)의 경우, 도4에 도시된 바와 같이, 애널라이징부(130)로부터 산출된 분석 데이터를 미리 세팅된 조건으로 필터링하여 소정의 분석 밸류를 추출하고, 소정의 분석 밸류를 소정의 차트에 선택적으로 솔팅하는 구성이다.In the case of the chart generating unit 142, as shown in FIG. 4, a predetermined analysis value is extracted by filtering the analysis data calculated from the analyzing unit 130 under preset conditions, and a predetermined analysis value is selectively salted to a predetermined chart.

차트 생성부(142)는 분석 데이터를, 분석 대상 기간, 프로그램 설치 기록, 분석대상 저장장치, 분석 대상 볼륨, 분석 대상 확장자, 키워드, 사용 기록, 중 적어도 하나 이상의 미리 세팅된 조건을 선택하여 데이터를 필터링하며, 필터링된 분석 데이터를 x축은 날짜, y축은 시간으로 설정된 소정의 차트를 형성하도록 한다.The chart generation unit 142 filters the data by selecting at least one preset condition among analysis target period, program installation record, analysis target storage device, analysis target volume, analysis target extension, keyword, and usage record, and forms a predetermined chart in which the x-axis is the date and the y-axis is the time.

예컨대, 도4에 도시된 바와 같이, 소정의 차트는 거품형 또는 버블형 차트로 형성되는 것이 바람직하며, 소정의 날짜를 기준으로 소정의 분석 밸류를 버블 포인트로 맵핑할 수 있게 된다.For example, as shown in FIG. 4, a predetermined chart is preferably formed as a bubble or bubble chart, and a predetermined analysis value can be mapped to a bubble point based on a predetermined date.

버블 포인트를 통해 소정의 분석 밸류의 액션 타입, 파일 타입 또는 스토리지 타입 중 적어도 하나 이상의 타입을 소정의 차트에 선택적으로 맵핑할 수 있다.At least one type of an action type, a file type, or a storage type of a predetermined analysis value may be selectively mapped to a predetermined chart through bubble points.

여기서 발하는 액션 타입에는 분석 데이터의 실행, 동작, 이동, 삭제, 수정, 변경, 복사, 복제, 변조, 내보내기, 접근 기록, 접근 횟수, 설치, 배치, 열기, 로그 기록 등이 존재한다. 파일 타입에는 bmp, gif, jpg, png, psd, raw, tiff, avi, mkw, mov, mp3, mp4, wma, doc, docx, html, hwp, pdf, txt, exe, zip, ppt, xls 등의 파일 확장자가 존재하며, 스토리지 타입은 저장 장소, 저장소, 저장 장치 등으로, 예컨대 D드라이브, C드라이브, usb, 하드디스크, 클라우드 등이 존재한다.The action types generated here include execution, operation, movement, deletion, modification, alteration, copying, copying, falsification, exporting, access recording, access count, installation, arrangement, opening, log recording, etc. of the analyzed data. File types include file extensions such as bmp, gif, jpg, png, psd, raw, tiff, avi, mkw, mov, mp3, mp4, wma, doc, docx, html, hwp, pdf, txt, exe, zip, ppt, and xls. Storage types include storage locations, storage devices, and the like, such as D drive, C drive, USB, hard disk, and cloud.

차트 생성부(142)는 소정의 분석 밸류의 액션 타입, 파일 타입, 스토리지 타입 각각의 볼륨에 따라서 버블 포인트의 사이즈가 선택적으로 조절하여 소정의 차트에 맵핑할 수 있다.The chart generator 142 may selectively adjust the size of bubble points according to the volume of each action type, file type, and storage type of a predetermined analysis value, and map the bubble points to a predetermined chart.

차트 생성부(142)는 분석 대상 확장자에 대한 날짜별로 시간에 따른 소정의 차트를 형성할 수 있다. 이때, 버블 포인트는 분석 대상의 파일 타입이 차지하는 볼륨에 따라 버블 포인트의 사이즈를 선택적으로 조절할 수 있으며, 날짜별로 시간에 따른 파일타입의 볼륨(사용량, 이용량, 활동량)에 따라서 크기가 상이하게 맵핑될 수 있다. The chart generator 142 may form a predetermined chart according to time by date for the analysis target extension. At this time, the size of the bubble point can be selectively adjusted according to the volume occupied by the file type of the analysis target, and the size can be mapped differently according to the volume (usage amount, amount of use, amount of activity) of the file type according to time and date.

예컨대, 도4에 도시된 바와 같이, 1900-01-01일자 기준 10-12시의 파일 타입의 볼륨과 14시의 파일 타입의 볼륨이 상이한 사이즈로 맵핑된 것은 DOC 파일이 10-12시에 사용량 또는 활동량이 더 많이 감지되었다고 분석할 수 있다.For example, as shown in FIG. 4, since the volume of the file type at 10-12 o'clock and the file type volume at 14 o'clock on the date of 1900-01-01 are mapped to different sizes, it can be analyzed that the amount of usage or activity of the DOC file is greater at 10-12 o'clock.

아울러, 차트 생성부(142)에서 소정의 분석 밸류의 액션 타입, 파일 타입, 또는 스토리지 타입 각각에 따라 미리 설정된 파장대의 전자기파를 선택적으로 방출하도록 맵핑할 수 있다.In addition, the chart generation unit 142 may map electromagnetic waves of a preset wavelength band according to each action type, file type, or storage type of a predetermined analysis value to be selectively emitted.

여기서 말하는 미리 설정된 파장대의 전자기파는 밸류의 액션 타입, 파일 타입, 또는 스토리지 타입에 따라 방출하고자 하는 전자기파의 파장을 선택적으로 지정할 수 있다.In the electromagnetic wave of the preset wavelength range referred to here, the wavelength of the electromagnetic wave to be emitted can be selectively designated according to the action type, file type, or storage type of the value.

예컨대, 도4에 도시된 바와 같이, 분석 대상의 스토리지 타입 중, E;는 450-495nm영역의 전자기파, H;는 570-590nm영역의 전자기파, J:는 495-570nm 영역의 전자기파로 미리 설정된 파장대의 전자기파를 지정하여 각각 상이한 영역대의 전자기파를 방출하도록 하며, 미리 설정된 파장대의 전자기파는 가시광선 영역의 전자기파인 것이 바람직하다.For example, as shown in FIG. 4, among the storage types to be analyzed, E; is an electromagnetic wave in a 450-495 nm region, H; is an electromagnetic wave in a 570-590 nm region, and J: is an electromagnetic wave in a 495-570 nm region.

차트 생성부(142)는 분석 대상의 액션 타입, 파일 타입, 스토리지 타입의 종류에 따라서 상이한 전자기파를 방출하여 맵핑함으로써 각각의 타입이 시각적으로 구분될 수 있도록 하는 효과를 얻을 수 있다.The chart generation unit 142 emits and maps different electromagnetic waves according to the types of action types, file types, and storage types of the analysis target, so that each type can be visually distinguished.

리포팅부(150)의 경우, 솔팅부(140)로부터 미리 세팅된 조건에 따라 솔팅된 운영체제 정보, 시스템 이벤트 기록, 프로그램 설치 기록, 저장장치 사용 기록, 저장장치 리스트, 웹 기록, 링크파일 기록, 쉘백 기록, 또는 활동 캐시 중 적어도 하나 이상의 분석 데이터를 미리 설정된 형식의 파일로 추출하여 선택적으로 내보낼 수 있다.In the case of the reporting unit 150, analysis data of at least one of operating system information, system event records, program installation records, storage device usage records, storage device lists, web records, link file records, shellback records, or activity caches salted according to conditions set in advance by the salting unit 140 can be extracted into a file in a preset format and selectively exported.

리포팅부(150)는 각각의 분석 데이터 중 원하는 정보를 원하는 파일의 형식으로 추출하여 생성하며, 외부로 내보낼 수도 있다.The reporting unit 150 extracts and generates desired information from among each analysis data in a desired file format, and may export the information to the outside.

리포팅부(150)에서 형성하는 분석 데이터는 위에서 상술한 기존에 출원된 선행 특허에 이미 공지되어 있는 것으로 여기서는 구체적인 설명을 생략하도록 한다.The analysis data generated by the reporting unit 150 is already known in the previously filed patents, and a detailed description thereof will be omitted here.

아울러, 리포팅부(150)에서 생성되는 분석 데이터는 분석 결과 데이터는 전문가뿐만 아니라 일반인들도 알기 쉽게 이해할 수 있도록 가독성 있는 형태로 출력되는 것이 바람직하다.In addition, the analysis result data generated by the reporting unit 150 is preferably outputted in a readable format so that not only experts but also ordinary people can easily understand.

유저 단말 유닛(200)의 경우, 도5에 도시된 바와 같이, 원본 저장소를 구비하여 데이터 매니징 유닛(100)과 원격으로 네트워킹 연결되어, 데이터 매니징 유닛(100)에 의해 타깃 데이터가 원격으로 선택적 추출되는 구성이다.In the case of the user terminal unit 200, as shown in FIG. 5, it has an original storage and is networked remotely to the data management unit 100, and the target data is remotely and selectively extracted by the data management unit 100.

유저 단말 유닛(200)은 위에서 상술한 바와 같이, 기업이나 정부, 각종 단체의 서버, 클라우드, 네트워킹과 상호 연동된 복수 개의 원본 저장소로서 정의할 수 있다.As described above, the user terminal unit 200 may be defined as a plurality of original storage interworking with servers, clouds, and networking of companies, governments, and various organizations.

유저 단말 유닛(200)은 타깃 데이터 중, 시큐리티 데이터를 임의 설정하여, 데이터 매니징 유닛(100)으로부터 시큐리티 데이터의 접근을 선택적으로 제한할 수 있도록 한다. 외부 유출 방지를 위해 원본 저장소의 유저가 선택적으로 설정할 수 있다.The user terminal unit 200 arbitrarily sets security data among target data so that access to the security data from the data management unit 100 can be selectively restricted. To prevent external leakage, the user of the original storage can selectively set it.

대신, 유저 단말 유닛(200)에서는 시큐리티 데이터의 엑스포트 정보를 선택적으로 추출하여 데이터 매니징 유닛(100)으로 제공할 수 있다.Instead, the user terminal unit 200 may selectively extract export information of security data and provide it to the data management unit 100 .

여기서 말하는 엑스포트 정보는 시큐리티 데이터의 실행, 동작, 이동, 삭제, 수정, 변경, 복사, 복제, 변조, 내보내기, 접근 기록, 접근 횟수, 설치, 배치, 열기, 로그 기록 등을 엑스포트 정보라고 정의하게 된다.The export information referred to herein is defined as the execution, operation, movement, deletion, modification, change, copy, duplication, tampering, export, access record, number of times of access, installation, arrangement, opening, log record, etc. of security data.

유저 단말 유닛(200)이 데이터 매니징 유닛(100)으로 시큐리티 데이터를 제공하지 않는 대신 엑스포트 정보를 제공함으로써, 유저로 하여금 시큐리티 데이터가 유출되는 것을 감시하기 위한 것으로, 기업 또는 정부의 비밀 정보가 또 다른 루트로 유출되는 것을 방지하기 위한 것이다.The user terminal unit 200 does not provide security data to the data management unit 100, but instead provides export information so that the user can monitor security data being leaked, and corporate or government confidential information. It is to prevent leakage through another route.

모니터링 유닛(300)의 경우, 데이터 매니징 유닛(100)과 네트워킹 연결되어, 분석 데이터를 제공받아, 분석 데이터를 선택적으로 모니터링하는 구성이다.In the case of the monitoring unit 300, it is a component that is connected to the data management unit 100 through networking, receives analysis data, and selectively monitors the analysis data.

모니터링 유닛(300)은 권한이 부여된 관리자의 단말기에 구비되어, 관리자가 원본 저장소를 모니터링할 수 있도록 하기 위함이다.The monitoring unit 300 is provided in the terminal of an authorized administrator so that the administrator can monitor the source storage.

또한, 모니터링 유닛(300)은 데이터 매니징 유닛(100)으로부터 접근 허가를 받으면, 데이터 매니징 유닛(100)과 상호 연동되어, 애널라이징부(130)로부터 산출된 분석 데이터를 제공받을 수 있게 된다.In addition, when the monitoring unit 300 receives access permission from the data management unit 100, it can interoperate with the data management unit 100 and receive analysis data calculated from the analyzing unit 130.

본 발명에 따른 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템의 모니터링 유닛(300)의 경우, 지정 모니터링부(310) 및 패턴 모니터링부(320)를 포함하게 된다.In the case of the monitoring unit 300 of the forensic system capable of selectively extracting and analyzing target data through remote networking according to the present invention, a designated monitoring unit 310 and a pattern monitoring unit 320 are included.

지정 모니터링부(310)의 경우, 도6에 도시된 바와 같이, 구독하고자 하는 유저 단말 유닛(200)을 선택적으로 지정하여, 유저 단말 유닛(200)의 분석 데이터만을 선택적으로 제공받는 구성이다.In the case of the designated monitoring unit 310, as shown in FIG. 6, it is configured to selectively designate a user terminal unit 200 to be subscribed to and selectively receive only analysis data of the user terminal unit 200.

지정 모니터링부(310)는 데이터 매니징 유닛(100)과 네트워킹 하는 복수 개의 유저 단말 유닛(200)의 정보 중 적어도 하나 이상의 유저 단말 유닛(200)을 선택적으로 지정할 수 있도록 한다. The designated monitoring unit 310 enables selective designation of at least one user terminal unit 200 among information on a plurality of user terminal units 200 networking with the data management unit 100 .

예컨대, 지정 모니터링부(310)는 복수 개의 유저 단말 유닛(200) 중, 영업 비밀의 유출이나 내부 직원의 정보 유출이 의심될 경우, 특정 유저 단말 유닛(200)만을 모니터링하여 특정 유저 단말 유닛(200)의 타깃 데이터를 효율적으로 모니터링하기 위한 것이다.For example, the designated monitoring unit 310 monitors only the specific user terminal unit 200 to efficiently monitor target data of the specific user terminal unit 200, when leakage of trade secrets or internal employee information is suspected among a plurality of user terminal units 200.

패턴 모니터링부(320)의 경우, 분석 데이터로부터 유저 단말 유닛(200)을 이용하는 유저의 액션 패턴을 선택적으로 분석하여 미리 분석된 액션 패턴을 산출하는 구성이다.In the case of the pattern monitoring unit 320, it is a component that selectively analyzes an action pattern of a user using the user terminal unit 200 from analysis data and calculates a pre-analyzed action pattern.

패턴 모니터링부(320)에서의 미리 분석된 액션 패턴은 일정 기간 동안 유저 단말 유닛(200)을 이용하는 유저가 자주 사용하는 저장 장치, 파일, 확장자, 웹 브라우저, 메신저, 이메일, 링크 파일 기록, 쉘백 기록, 활동 기록, 활동 시간, 이용 시간, 이용 내역 등을 액션 패턴으로 패턴화 하는 것이다.The pre-analyzed action pattern in the pattern monitoring unit 320 is to pattern a storage device, file, extension, web browser, messenger, e-mail, link file record, shellback record, activity record, activity time, usage time, usage history, etc. frequently used by the user using the user terminal unit 200 for a certain period into an action pattern.

패턴 모니터링부(320)는 분석 데이터가 미리 분석된 액션 패턴을 벗어날 경우, 오드 패턴으로 인식함으로써, 유저의 액션 패턴이 평소와 다르다는 것을 확인하여, 원본 저장소로부터 데이터가 외부로 유출되는 것을 미연에 방지할 수 있게 된다.The pattern monitoring unit 320 recognizes the analyzed data as an odd pattern when it deviates from the pre-analyzed action pattern, thereby confirming that the user's action pattern is different from the usual one, and preventing data from being leaked from the original storage to the outside in advance.

본 발명의 권리 범위는 특허청구범위에 기재된 사항에 의해 결정되며, 특허 청구범위에 사용된 괄호는 선택적 한정을 위해 기재된 것이 아니라, 명확한 구성요소를 위해 사용되었으며, 괄호 내의 기재도 필수적 구성요소로 해석되어야 한다.The scope of rights of the present invention is determined by the matters described in the claims, and parentheses used in the claims are not described for selective limitation, but are used for clear components, and descriptions in parentheses are also essential components. It should be interpreted.

100: 데이터 매니징 유닛
110: 로딩부
120: 이미징부
130: 애널라이징부
131: 옵션 분석부
132: 키워드 분석부
133: 확장자 분석부
140: 솔팅부
141: 테이블 생성부
142: 차트 생성부
150: 리포팅부
200: 유저 단말 유닛
300: 모니터링 유닛
310: 지정 모니터링부
320: 패턴 모니터링부100: data management unit
110: loading unit
120: imaging unit
130: analyzing unit
131: option analysis unit
132: keyword analysis unit
133: extension analysis unit
140: salting part
141: table creation unit
142: chart generator
150: reporting unit
200: user terminal unit
300: monitoring unit
310: designated monitoring unit
320: pattern monitoring unit

Claims (10)

원본 저장소와 원격으로 네트워킹 연결되어 상기 원본 저장소로부터 타깃 데이터를 선별하여 상기 타깃 데이터를 선택적으로 분석하여 분석 데이터를 산출하는 데이터 매니징 유닛;
상기 원본 저장소를 구비하여, 상기 데이터 매니징 유닛과 원격으로 네트워킹 연결되어, 상기 데이터 매니징 유닛에 의해 상기 타깃 데이터가 원격으로 선택적 추출되는 유저 단말 유닛; 및
상기 데이터 매니징 유닛과 네트워킹 연결되어, 상기 분석 데이터를 제공받아, 상기 분석 데이터를 선택적으로 모니터링하는 모니터링 유닛을 포함하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
a data management unit remotely connected to an original storage by networking, selecting target data from the original storage, selectively analyzing the target data, and calculating analysis data;
a user terminal unit having the source storage, remotely networked to the data management unit, and remotely and selectively extracting the target data by the data management unit; and
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it comprises a monitoring unit connected to the data management unit through networking, receiving the analysis data, and selectively monitoring the analysis data.
 제1항에 있어서, 상기 데이터 매니징 유닛은,
상기 유저 단말 유닛의 상기 원본 저장소로의 접근 권한를 받으면, 상기 원본 저장소와 상호 연결되는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 1, wherein the data management unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that when the user terminal unit receives access rights to the original storage, it is interconnected with the original storage.
 제2항에 있어서, 상기 데이터 매니징 유닛은,
상기 유저 단말 유닛에 존재하는 데이터 중 복제하고자 하는 상기 타깃 데이터를 선택적으로 로딩하는 로딩부; 및
상기 로딩부로부터 선택적으로 로딩된 상기 타깃 데이터를 복제하여 이미지 데이터를 생성하는 이미징부를 포함하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 2, wherein the data management unit,
a loading unit selectively loading the target data to be duplicated among data existing in the user terminal unit; and
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it comprises an imaging unit generating image data by replicating the target data selectively loaded from the loading unit.
 제3항에 있어서, 상기 이미징부는,
미리 설정된 사이클마다 상기 타깃 데이터를 복제하여, 상기 이미지 데이터를 상기 미리 설정된 사이클마다 생성하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 3, wherein the imaging unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that the target data is copied at each preset cycle and the image data is generated at each preset cycle.
 제3항에 있어서, 상기 데이터 매니징 유닛은,
상기 이미징부로부터 생성된 상기 이미지 데이터를 미리 설정된 분석 리스팅 정보를 토대로 선택적으로 분석하여, 상기 분석 데이터를 산출하는 애널라이징부를 더 포함하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 3, wherein the data management unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it further comprises an analyzing unit that selectively analyzes the image data generated from the imaging unit based on preset analysis listing information and calculates the analysis data.
 제1항에 있어서, 상기 유저 단말 유닛은,
상기 타깃 데이터 중 시큐리티 데이터를 임의 설정하여, 상기 데이터 매니징 유닛으로부터 상기 시큐리티 데이터의 접근을 선택적으로 제한하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 1, wherein the user terminal unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that by arbitrarily setting security data among the target data to selectively restrict access to the security data from the data management unit.
 제6항에 있어서, 상기 유저 단말 유닛은,
상기 시큐리티 데이터의 엑스포트(export) 정보를 선택적으로 추출하여, 상기 데이터 매니징 유닛으로 제공하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.

The method of claim 6, wherein the user terminal unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that the export information of the security data is selectively extracted and provided to the data management unit.

 제5항에 있어서, 상기 모니터링 유닛은,
상기 데이터 매니징 유닛으로부터 접근 허가 받으면, 상기 데이터 매니징 유닛과 상호 연동되어, 상기 애널라이징부로부터 산출된 상기 분석 데이터를 제공받는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 5, wherein the monitoring unit,
When access permission is received from the data management unit, the forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it interworks with the data management unit and receives the analysis data calculated from the analyzing unit.
 제8항에 있어서, 상기 모니터링 유닛은,
구독하고자 하는 상기 유저 단말 유닛을 선택적으로 지정하여, 지정된 상기 유저 단말 유닛의 상기 분석 데이터만을 선택적으로 제공받는 지정 모니터링부를 포함하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 8, wherein the monitoring unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it includes a designated monitoring unit that selectively designates the user terminal unit to be subscribed to and selectively receives only the analysis data of the designated user terminal unit.
 제8항에 있어서, 상기 모니터링 유닛은,
상기 분석 데이터로부터 상기 유저 단말 유닛을 이용하는 유저의 액션 패턴을 선택적으로 분석하여 미리 분석된 액션 패턴을 산출하는 패턴 모니터링부를 더 포함하는 것을 특징으로 하는, 원격 네트워킹을 통한 타깃 데이터의 선택적 추출 및 분석이 가능한 포렌식 시스템.
The method of claim 8, wherein the monitoring unit,
A forensic system capable of selectively extracting and analyzing target data through remote networking, characterized in that it further comprises a pattern monitoring unit that selectively analyzes an action pattern of a user using the user terminal unit from the analysis data and calculates a pre-analyzed action pattern.
KR1020220008423A 2022-01-20 2022-01-20 System of forensic for selectively extracting and analyzing of target data by remote networking. KR20230112310A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020220008423A KR20230112310A (en) 2022-01-20 2022-01-20 System of forensic for selectively extracting and analyzing of target data by remote networking.

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020220008423A KR20230112310A (en) 2022-01-20 2022-01-20 System of forensic for selectively extracting and analyzing of target data by remote networking.

Publications (1)

Publication Number Publication Date
KR20230112310A true KR20230112310A (en) 2023-07-27

Family

ID=87433261

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020220008423A KR20230112310A (en) 2022-01-20 2022-01-20 System of forensic for selectively extracting and analyzing of target data by remote networking.

Country Status (1)

Country Link
KR (1) KR20230112310A (en)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101288034B1 (en) 2012-09-25 2013-07-22 대한민국 Digital evidence analysis system and a method for executing the system
KR101870670B1 (en) 2017-04-20 2018-06-25 주식회사 한컴지엠디 Apparatus and method for collecting digital data based on digital forensics

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101288034B1 (en) 2012-09-25 2013-07-22 대한민국 Digital evidence analysis system and a method for executing the system
KR101870670B1 (en) 2017-04-20 2018-06-25 주식회사 한컴지엠디 Apparatus and method for collecting digital data based on digital forensics

Similar Documents

Publication Publication Date Title
US8131677B2 (en) System and method for effecting information governance
US8484737B1 (en) Techniques for processing backup data for identifying and handling content
CN104778420B (en) The safety management view method for building up of unstructured data Life cycle
KR101410442B1 (en) A Digital Forensic Audit System for Analyzing User’s Behaviors
Sindhu et al. Digital forensics and cyber crime datamining
Ho et al. Following the breadcrumbs: Timestamp pattern identification for cloud forensics
Berrueta et al. Open repository for the evaluation of ransomware detection tools
US11803461B2 (en) Validation of log files using blockchain system
CN113034028A (en) Responsibility traceability confirmation system
Alazab et al. A Review on the Internet of Things (IoT) Forensics: Challenges, Techniques, and Evaluation of Digital Forensic Tools
Khader et al. HDFS file operation fingerprints for forensic investigations
KR20230112310A (en) System of forensic for selectively extracting and analyzing of target data by remote networking.
Tabona et al. Forensic cloud environment: a solution for big data forensics
KR20230112309A (en) System of forensic for analyzing target data by selectively sorting and mapping
Roussev The cyber security body of knowledge
Richard III et al. Forensic discovery auditing of digital evidence containers
KR102432530B1 (en) System for reporting of digital evidence by sorting data collection from object disk
KR102294926B1 (en) Automated system for forming analyzed data by extracting original data
KR102656871B1 (en) Data management device, data management method and a computer-readable storage medium for storing data management program
Schroader et al. Alternate data storage forensics
KR102657160B1 (en) Data management device, data management method and a computer-readable storage medium for storing data management program
US11966502B2 (en) Digital file forensic accounting and management system
Chen et al. Application Research of electronic authorized steganographic seal management and control platform based on invisible watermark
KR102657161B1 (en) Data management device, data management method and a computer-readable storage medium for storing data management program
Ieong et al. Deriving cse-specific live forensics investigation procedures from FORZA