KR100987064B1 - Digital forensic system by use of virtual environment and method therefor - Google Patents
Digital forensic system by use of virtual environment and method therefor Download PDFInfo
- Publication number
- KR100987064B1 KR100987064B1 KR1020090086061A KR20090086061A KR100987064B1 KR 100987064 B1 KR100987064 B1 KR 100987064B1 KR 1020090086061 A KR1020090086061 A KR 1020090086061A KR 20090086061 A KR20090086061 A KR 20090086061A KR 100987064 B1 KR100987064 B1 KR 100987064B1
- Authority
- KR
- South Korea
- Prior art keywords
- evidence
- virtual
- analysis
- user terminal
- data
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3438—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Landscapes
- Engineering & Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Quality & Reliability (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
본 발명은 디지털 포렌식 서버(digital forensic server)에 관한 것으로, 특히 워크 스테이션(work station) 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버(virtual server) 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크(network)를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있도록 하는 가상 환경을 이용한 디지털 포렌식 시스템 및 방법에 관한 것이다.BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a digital forensic server, and more particularly to a cost-effective evidence analysis device for evidence analysis that is provided independently in the form of a work station, a virtual server of a digital forensic system. By virtually implementing logical partitioning on the network, it can be used by a large number of user terminals through a network, enabling evidence analysis without the need for an expensive evidence analysis device independently and improving the efficiency of evidence analysis. The present invention relates to a digital forensic system and method using a virtual environment.
최근 들어, 컴퓨터(computer)의 급속한 보급으로 인해 개인 생활의 많은 부분들이 컴퓨터와 연관성을 가지게 되었다. 이러한 추세에 따라 범죄 수사에 있어서도 여러 가지 중요한 증거들이 범죄자와 컴퓨터 시스템 혹은 이와 관련된 다양한 저장장치로부터 발견됨에 따라 관련 기관의 관심이 집중되고 있다.In recent years, the rapid spread of computers has led many parts of personal life to be associated with computers. In response to this trend, the attention of related agencies is attracting attention as criminal evidence is found in criminals and computer systems or various storage devices.
디지털 포렌식(digital forensic)은 컴퓨터, PDA(personal digital assistant) 및 휴대전화(mobile phone) 등에 내장된 디지털 자료를 근거로 사건에서 발생한 사실 관계를 증명하는 첨단 수사방식을 말하는 것으로, 일반적으로 컴퓨터 등에 내장된 디지털 저장매체(digital storing media)에서 디지털 데이터 자료를 수집하는 단계로부터 이를 분석하고 분석된 자료에 대한 보고서를 작성하며 수집된 증거물의 원본 일치성을 보증하는 일련의 과정을 말한다.Digital forensic is a state-of-the-art investigative method that proves the facts that occurred in an event based on digital data embedded in computers, personal digital assistants, and mobile phones. It is a series of processes to analyze digital data from the digital storing media and to prepare a report on the analyzed data and to ensure the original correspondence of the collected evidence.
즉, 디지털 포렌식은 컴퓨터 등에 내장된 디지털 데이터 자료를 근거로 삼아 그 컴퓨터를 매개체로 해서 일어난 어떤 행위의 사실 관계를 규명하고 증명하는 기법으로, 주로 국가의 주요 수사기관과 금융, 보험회사 등에서 디지털 증거를 수집하고 이를 분석하는데 이용되고 있다.In other words, digital forensics is a technique that identifies and proves the facts of an action that takes place on the basis of digital data stored in a computer, mainly through major investigative agencies, finance and insurance companies in the country. Is used to collect and analyze them.
위와 같은 디지털 포렌식 기법이 적용되는 디지털 포렌식 시스템은 도 1에서 보여지는 바와 같이, 크게 디지털 데이터 자료로부터 원본 데이터를 변경하지 않도록 데이터를 이미징(imaging)을 통해 복제하여 수집하는 증거 수집 장치(A)와, 증거 수집 장치(A)로부터 수집된 증거 자료를 이용하여 사실 관계의 확인을 위한 다양한 증거 분석을 수행할 수 있는 증거 분석 장치(B)를 포함한다. As shown in FIG. 1, the digital forensic system to which the digital forensic technique is applied includes an evidence collecting device A for replicating and collecting data through imaging so as not to change the original data from the digital data material. And an evidence analysis device (B) capable of performing various evidence analyzes to confirm facts using evidence data collected from the evidence collection device (A).
그러나, 위 도 1에서 보여지는 바와 같은, 종래 증거 수집 장치(A) 및 증거 분석 장치(B)는 통상적으로 워크 스테이션 형태의 독립적인 장치로 구성되어, 사무실 등과 같은 제한된 영역에서 많은 공간을 차지하며, 또한 각 장치가 고가의 장치 여서 디지털 포렌식 시스템을 구성하는 비용이 높게 소요되는 문제점이 있었다.However, the conventional evidence collection device (A) and evidence analysis device (B), as shown in FIG. 1 above, are typically composed of independent devices in the form of workstations, and take up a lot of space in a limited area such as an office. In addition, since each device is an expensive device, there is a problem in that the cost of constructing a digital forensic system is high.
따라서, 본 발명은 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있도록 하는 가상 환경을 이용한 디지털 포렌식 시스템 및 방법을 제공하고자 한다.Accordingly, the present invention provides a cost-effective evidence analysis apparatus for evidence analysis that is independently provided in the form of a workstation, by virtually implementing logical partitioning on a virtual server of a digital forensic system, thereby enabling a plurality of user terminals through a network. The present invention aims to provide a digital forensic system and method using a virtual environment that enables the analysis of evidence without the need for an expensive evidence analysis device independently, thereby increasing the efficiency of the evidence analysis.
상술한 본 발명은 가상 환경을 이용한 디지털 포렌식 시스템으로서, 증거 자료를 복제하여 디지털 포렌식 데이터로 수집하는 증거 수집부와, 상기 증거 수집부에서 수집된 디지털 포렌식 데이터를 이용하여 상기 증거 자료를 분석하는 증거 분석부와, 사용자 단말과 상기 다수의 증거 분석부를 연결하는 가상 스위치와, 상기 사용자 단말과 네트워크를 통해 연결되며, 각 사용자 단말로부터 상기 증거 자료의 분석을 위한 작업 요청 수신 시, 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하고, 상기 가상 스위치를 통해 상기 증거 분석부에 연결하여 상기 요청된 분석을 수행한 후, 분석 결과를 상기 가상 작업 환경으로 제공하는 가상 서버를 포함한다.The present invention described above is a digital forensic system using a virtual environment, the evidence collecting unit for replicating the evidence data collected as digital forensic data, and the evidence for analyzing the evidence data using the digital forensic data collected by the evidence collection unit An analysis unit, a virtual switch connecting the user terminal and the plurality of evidence analyzers, and a network connected to the user terminal, upon receiving a work request for analyzing the evidence data from each user terminal, on the user terminal. And a virtual server generating a virtual working environment for analyzing the evidence data, connecting to the evidence analyzing unit through the virtual switch, performing the requested analysis, and providing an analysis result to the virtual working environment. .
또한, 본 발명은 디지털 포렌식 시스템의 가상 서버에서 가상 환경을 이용하여 증거 자료를 분석하는 방법으로서, 디지털 저장매체로부터 증거 자료를 복제하 여 디지털 포렌식 데이터로 수집하는 단계와, 네트워크로 연결되는 사용자 단말로부터 상기 증거 자료의 분석 요청을 수신하는 단계와, 상기 증거 자료의 분석 요청 수신 시 상기 사용자 단말 상에 상기 증거 자료의 분석을 위한 가상 작업 환경을 생성하는 단계와, 상기 가상 작업 환경에서 상기 증거 자료의 분석을 위해 선택되는 가상의 증거 분석부로 연결하여 상기 증거 자료의 분석을 수행하는 단계와, 상기 분석 결과를 상기 사용자 단말 상 구현된 가상 작업 환경으로 제공하는 단계를 포함한다.In addition, the present invention is a method for analyzing the evidence data using a virtual environment in a virtual server of the digital forensic system, the step of replicating the evidence data from the digital storage medium to collect the digital forensic data, and the user terminal connected to the network Receiving a request for analyzing the evidence from the document; generating a virtual working environment for analyzing the evidence on the user terminal upon receiving the request for analyzing the evidence; and generating the evidence in the virtual working environment. Connecting to the virtual evidence analysis unit selected for the analysis of the data, and performing the analysis of the evidence data, and providing the analysis result to the virtual working environment implemented on the user terminal.
본 발명에서는 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 고비용의 증거 분석 장치에 대해서, 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 고비용의 증거 분석 장치를 독립적으로 구비하지 않고도 증거 분석이 가능하며, 증거 분석의 효율성을 높일 수 있는 이점이 있다. 또한, 고비용의 증거 분석 장치를 별도로 구비하지 않아도 되어 공간과 비용을 절약할 수 있는 이점이 있다.In the present invention, the expensive evidence analysis device for evidence analysis provided in the form of a workstation independently, by virtually implemented by logical partitioning on a virtual server of the digital forensic system, can be used in a plurality of user terminals through the network By doing so, it is possible to analyze evidence without having an expensive evidence analysis device independently, and to increase the efficiency of evidence analysis. In addition, there is an advantage in that space and cost can be saved by not having to separately provide an expensive evidence analysis device.
또한, 가상 시스템의 구현을 통해 긴급 사건 해결을 위한 프로젝트 구성 시 30분 정도의 시간만으로도 증거 자료의 분석을 위한 시스템을 구성할 수 있어 보다 신속한 증거 분석 작업이 가능하며, 증거 분석 장치의 듀얼 구성을 통해 수사기관의 특성상 폐쇄된 네트워크에서 여러 가지 다른 매체에 의한 바이러스 감염 시 감 염된 가상 분석 장치를 삭제하고 듀얼로 구성된 다른 가상 분석 장치로 절체하도록 함으로써 5∼10분 안에 시스템을 복구시킬 수 있어 시스템의 안정성을 높일 수 있는 이점이 있다.In addition, the implementation of the virtual system allows the system to analyze the evidence data in only 30 minutes when constructing a project for resolving an emergency case, enabling faster analysis of evidence, and dual configuration of the evidence analysis device. Due to the nature of the investigating agency, it is possible to recover the system in 5 to 10 minutes by deleting the infected virtual analysis device in case of virus infection by various other media in a closed network and transferring to another virtual analysis device that is configured in dual. There is an advantage to increase the stability.
이하, 첨부된 도면을 참조하여 본 발명의 동작 원리를 상세히 설명한다. 하기에서 본 발명을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다. Hereinafter, with reference to the accompanying drawings will be described in detail the operating principle of the present invention. In the following description of the present invention, if it is determined that a detailed description of a known function or configuration may unnecessarily obscure the subject matter of the present invention, the detailed description thereof will be omitted. The following terms are defined in consideration of the functions of the present invention, and may be changed according to the intentions or customs of the user, the operator, and the like. Therefore, the definition should be made based on the contents throughout the specification.
도 2는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템의 네트워크 구성을 도시한 것이다.2 illustrates a network configuration of a digital forensic system using a virtual environment according to an embodiment of the present invention.
이하, 도 2를 참조하여 가상 환경을 이용한 디지털 포렌식 시스템의 각 구성 요소에서의 동작을 상세히 설명하기로 한다.Hereinafter, an operation of each component of the digital forensic system using the virtual environment will be described in detail with reference to FIG. 2.
사용자 단말(100)은 증거 자료를 분석하기 위해 가상 서버(102)에 접속하기 위한 사용자 인터페이스 장치(interface device)로, PC 등의 단말 장치가 될 수 있다. 즉, 압수된 증거 자료를 분석하는 수사관 등의 사용자는 사용자 단말(100)을 이용하여 네트워크를 통해 가상 서버(102)에 접속한 후, 가상 서버(102)에서 제공하는 증거 분석 작업을 위한 가상 작업 환경 상에서 가상 서버(102)내 논리적 분할을 통해 가상으로 구현되는 증거 분석부(104)에 연결하여 증거 자료에 대한 증거 분석을 수행한다.The
증거 수집부(106)는 압수된 하드디스크(hard disk), USB(universal serial bus) 메모리, CD(compact disk) 등의 디지털 저장매체(108)로부터 증거 자료를 복제하여 디지털 포렌식 데이터로 수집한다. 이때, 증거 수집부(106)는 증거 자료를 복제함에 있어서 어떤 데이터의 변경 없이 디지털 저장매체(108)에 저장된 원본 데이터를 그대로 복제하여 데이터의 무결성을 유지시킨다.The
증거 분석부(104)는 종래 워크 스테이션 형태의 독립적인 장치로 제작되어 부피가 크며 높은 비용이 소요되는 것과는 달리, 본 발명에서는 가상 서버(102)의 높은 CPU(central processor unit)성능을 논리적으로 분할하여 가상 서버(102) 상에 가상으로 구현되며, 사용자 단말(100)로부터 증거 자료에 대한 분석 요청이 있는 경우 가상 스위치(105)를 통해 사용자 단말(100)과 연결되어 사용자 단말(100)로부터 요청에 따라 증거 자료에 대한 분석을 수행하고, 분석 결과를 가상 서버(102)를 통해 사용자 단말(100) 상 구현된 가상 작업 환경으로 제공한다.
또한, 위와 같은 증거 분석부(104)는 증거 자료의 분석을 위한 구동 시 증거 자료 내 존재하는 바이러스(virus) 등으로 인해 증거 분석 과정에서 증거 분석부(104)가 바이러스 감염되는 등과 같이 정상적인 동작이 어려운 경우를 대비하여 도 3에서 보여지는 바와 같이, 동일한 증거 분석부(104, 104')가 듀얼(dual)로 구 현되어, 하나의 증거 분석부(104)의 이상 동작 발생 시 듀얼로 구비된 다른 증거 분석부(104')가 대체되어 동작됨으로써, 증거 분석부(104)의 이상 동작 발생 시에도 빠른 복구가 가능하게 된다.In addition, the
가상 스위치(105)는 네트워크를 통해 가상 서버(102)에 접속하는 다수의 사용자 단말(100)과 해당되는 증거 분석부(104)를 연결한다.The
가상 서버(102)는 종래 독립적인 장치로 구현되는 증거 분석 장치(B)에 사용되는 CPU보다 상대적으로 훨씬 높은 성능을 가지는 고성능의 CPU가 탑재되며, CPU의 성능을 논리적으로 다수개로 분할하여 증거 분석 기능을 구현함으로써, 종래 워크 스테이션 형태로 독립적으로 구현되던 고가의 증거 분석 장치(B)를 대체하는 가상의 증거 분석부(104)를 구현한다. 이와 같은 가상의 증거 분석부(104)는 가상 서버(102)에 접속하여 증거 분석을 수행하고자 하는 사용자 단말(100) 상 가상 작업 환경에서 표시되어 사용자는 마치 종래와 같이 독립적인 증거 분석 장치(B)에 접속하여 증거 분석 작업을 수행하듯이 동일하게 증거 분석 작업을 수행하게 되며, 이와 같은 사용자의 증거 분석 요청은 실제로는 가상 서버(102)내 가상으로 구현된 가상의 증거 분석부(104)에서 작업이 수행되게 된다.The
즉, 가상 서버(102)는 다수의 사용자 단말(100)과 네트워크를 통해 연결되며, 각 사용자 단말(100)로부터 증거 자료의 분석을 위한 작업 요청 수신 시, 사용자 단말(100) 상에 증거 자료의 분석을 위한 가상 분석 화면을 생성하고, 가상 스위치(105)를 통해 해당 증거 분석 작업을 수행할 가상 분석부(104)에 연결하여 사용자 단말(100)로부터 요청된 분석을 수행한 후, 분석 결과를 해당 사용자 단 말(100)의 가상 분석 화면으로 제공하여 사용자가 증거 분석 결과를 확인할 수 있도록 한다.That is, the
또한, 위와 같은 가상 서버(102)는 증거 분석부(104)와 증거 수집부(106)로부터 입력되는 증거 자료 또는 증거 분석 결과 데이터의 저장을 위해 예를 들어 300TB(terra bite) 정도의 대용량 저장부(110)를 구비하며, 대용량 저장부(110)에는 영역이 분리되어 증거 수집부(106)로부터 수집된 증거 자료가 저장되고, 증거 분석부(104)로부터 분석된 증거 분석 결과 데이터가 구분되어 저장된다. In addition, the
또한, 가상 서버(102)는 가상 서버(102)에 장애가 발생하는 경우를 대비하여 도 4에서 보여지는 바와 같이, 동일한 가상 서버(102, 102')가 듀얼로 구현되어, 기존 동작 중인 가상 서버(102)의 이상 동작 발생 시 듀얼로 구비된 다른 가상 서버(102')로 증거 분석부(104)에 대한 제어 사항이 절체되도록 함으로써, 가상 서버(102)의 안정성을 보장하게 된다.In addition, the
관리부(112)는 가상 서버(102)에 연결되는 운용자의 단말장치로, 운용자는 가상 서버(102)에 연결되는 단말장치를 이용하여 가상 서버(102)의 동작을 모니터링(monitoring)하여 이상 동작 여부를 검사하는 등 가상 서버(102)에 대한 관리를 수행한다.The
도 5는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템에서 증거 분석을 위한 동작 흐름을 도시한 것이며, 도 6은 디지털 포렌식 시스템에서 증거 분석 동작의 개념을 설명하는 도면이다. 이하, 도 1, 도 2, 도 3 및 도 4를 참조하여 본 발명의 실시 예를 상세히 설명하기로 한다.FIG. 5 illustrates an operation flow for evidence analysis in a digital forensic system using a virtual environment according to an embodiment of the present invention, and FIG. 6 is a view illustrating a concept of evidence analysis operation in a digital forensic system. Hereinafter, embodiments of the present invention will be described in detail with reference to FIGS. 1, 2, 3, and 4.
먼저, 예를 들어 수사기관 등의 각 수사관은 종래 워크 스테이션 형태로 구비되는 증거 분석 장치(B)로 이동하여 증거 분석을 수행하는 것과는 달리, 컴퓨터 등과 같은 자신의 사용자 단말(100)을 이용하여 네트워크를 통해 가상 환경을 이용한 본 발명의 디지털 포렌식 시스템의 가상 서버(102)에 접속한다. First, for example, each investigator, such as an investigative agency, moves to the evidence analyzing apparatus B provided in the form of a conventional workstation and performs the analysis of evidence, using a
그러면, 가상 서버(102)는 (S500)단계에서 네트워크를 통해 사용자 단말(100)로부터의 접속을 인식하고, 가상 서버(102)로의 접속을 위한 사용자 단말(100)의 인증을 수행한다. 이때 사용자 단말(100)의 인증 수행은 각 사용자 단말(100)에 대해 미리 등록된 아이디(ID)와 패스워드(password)의 입력을 통해 수행될 수 있다. Then, the
즉, 사용자 단말(100)은 가상 서버(102)로의 접속 시 요구되는 아이디와 패스워드를 입력하게 되며, 가상 서버(102)는 (S502)단계에서 사용자 단말(100)로부터 입력되는 아이디와 패스워드를 검사하여 접속 요구한 사용자 단말(100)이 디지털 포렌식 시스템의 사용이 인가된 단말인지 여부를 검사한다. That is, the
이때 만일, 입력된 사용자 단말(100)의 아이디 및 패스워드가 디지털 포렌식 시스템에 대한 사용이 인가된 단말로 인증되는 경우 가상 서버(102)는 (S504)단계에서 (S506)단계로 진행해서 사용자 단말(100) 상 증거 분석 작업이 가능하도록 하는 가상 작업 환경을 생성하여 증거 분석을 위한 다양한 메뉴가 구비된 가상 증거 분석 화면을 디스플레이시킨다.At this time, if the input ID and password of the
즉, 예를 들어 수사기관 등에서 디지털 포렌식 시스템에 접속하여 증거 분석을 수행할 수 있는 각 수사관의 컴퓨터 등과 같은 사용자 단말(100)은 전원 온 시 도 6에서 보여지는 바와 같이, 컴퓨터 부팅시의 일반적인 초기화면(600)을 디스플레이하며, 이와 같은 초기화면(600)상에 가상 서버(102)와의 접속을 위해 구비되는 특정 아이콘(icon)(602)을 선택하는 경우 가상 서버(102)와의 접속을 위한 인증키 입력 화면이 형성된다. That is, for example, the
이에 따라, 사용자 단말(100)을 이용하여 디지털 포렌식 시스템의 가상 서버(102)에 접속하고자 하는 수사관 등의 사용자는 인증키 입력 화면에서 자신에게 부여된 아이디와 패스워드를 입력시키게 되며, 이때 입력한 아이디와 패스워드가 가상 서버(102)로부터 인증되는 경우 사용자 단말(100)의 표시부(604) 화면상에 디지털 포렌식 시스템에서 증거 분석 등의 작업을 수행할 수 있도록 가상 서버(102)로부터 제공되는 가상 분석 화면(606)이 디스플레이되는 것이다. 이에 따라 수사관 등의 사용자는 자신의 사용자 단말(100) 상 별도의 가상 분석 화면(606)에 구현되는 증거 분석을 위한 아이콘(608) 또는 각종 메뉴 아이콘을 선택하여 증거 분석을 요청할 수 있게 된다.Accordingly, a user such as an investigator who wants to access the
그러면, 가상 서버(102)는 (S508)단계에서 사용자 단말(100) 상 생성시킨 가상 분석 화면(606) 상에서 사용자 단말(100)로부터 선택되는 분석하고자 하는 증거 자료를 인식하고, 해당 증거 자료를 대용량 저장부(110)로부터 리드(read)하여 사용자 단말(100)에서 해당 증거 자료를 검색하여 볼 수 있도록 제공하며, 또한 (S510)단계에서 해당 증거 자료를 분석할 수 있는 가상으로 구현된 다수의 증거 분석부(104) 중 하나를 선택하여 사용자 단말(100)로 연결시킴으로써 증거 분석 작업이 수행될 수 있도록 한다.Then, the
이에 따라, 수사관 등의 사용자는 도 6에서 보여지는 바와 같이, 사용자 단말(100)의 가상 분석 화면(606) 내 표시되는 증거 분석 아이콘(608) 등을 선택하고, 증거 분석 아이콘(608) 선택에 의해 제공되는 증거 분석 화면에서 분석하고자 하는 증거 자료에 대해 다양한 검색어 기능을 설정하는 등의 동작을 통해 증거 분석을 요청하게 된다. Accordingly, a user such as an investigator selects the
그러면, 가상 서버(102)는 (S512)단계에서 사용자 단말(100) 상에서 입력되는 증거 분석을 위한 키입력 요청을 수신하고, 이를 사용자 단말(100)과 연결되도록 할당된 증거 분석부(104)로 전달하여 증거 분석 작업을 수행시키게 된다.Then, the
이어, 증거 분석부(104)로부터 요청된 증거 자료에 대한 증거 분석 작업이 완료되는 경우, 가상 서버(102)는 (S514)단계에서 증거 분석부(104)로부터 작업이 완료된 증거 분석 결과를 사용자 단말(100) 상 구현된 가상 분석 화면(606)으로 제공하여 수사관 등의 사용자가 사용자 단말(100)의 가상 분석 화면(606)을 통해 증거 분석 결과를 확인할 수 있도록 한다.Subsequently, when the evidence analysis task for the evidence data requested from the
즉, 증거 분석부(104)로부터 분석 요청된 증가 자료에 대해 수사관 등의 사용자가 입력한 검색 조건에 따른 증거 분석 작업이 완료되어 증거 분석 결과가 산출되는 경우, 이는 가상 서버(102)를 통해 사용자 단말(100)로 전송되며, 이와 같은 증거 분석 결과는 도 6에서 보여지는 바와 같이 사용자 단말(100)의 표시부(604) 상 증거 분석 결과 화면(610)으로 표시됨으로써 수사관 등의 사용자가 증거 분석 결과를 확인할 수 있게 되는 것이다.That is, when the evidence analysis operation according to the search condition input by the user, such as an investigator, is completed on the increase data requested for analysis from the
위와 같이, 증거 분석이 완료되는 경우 가상 서버(102)는 (S516)단계에서 증 거 분석 결과 정보를 대용량 저장부(110)내 각 증거 분석부(104)에 할당된 영역에 저장하여 추후, 해당 사용자 단말(100)이 증거 분석된 결과를 확인하고자 할 때 해당 증거 분석 결과를 제공하게 된다.As described above, when the evidence analysis is completed, the
상기한 바와 같이, 본 발명은 가상 환경을 이용한 디지털 포렌식 시스템에 있어서, 종래 워크 스테이션 형태로 독립적으로 구비되는 증거 분석을 위한 장치에 대해 디지털 포렌식 시스템의 가상 서버 상에 논리적 분할을 통해 가상으로 구현함으로써, 네트워크를 통해 다수의 사용자 단말에서 사용 가능하도록 하여 증거 분석의 효율성을 높일 수 있으며, 고비용의 증거 분석 장치를 별도로 구비하지 않아도 되어 공간과 비용을 절약할 수 있다.As described above, the present invention provides a digital forensic system using a virtual environment, by virtually implementing a logical partition on a virtual server of the digital forensic system for the device for evidence analysis provided in the form of a conventional workstation independently. As a result, the efficiency of evidence analysis can be increased by making it available to a large number of user terminals through a network, and space and cost can be saved by not having to provide an expensive evidence analysis device.
한편 상술한 본 발명의 설명에서는 구체적인 실시 예에 관해 설명하였으나, 여러 가지 변형이 본 발명의 범위에서 벗어나지 않고 실시될 수 있다. 따라서 발명의 범위는 설명된 실시 예에 의하여 정할 것이 아니고 특허청구범위에 의해 정하여져야 한다.While the invention has been shown and described with reference to certain preferred embodiments thereof, it will be understood by those skilled in the art that various changes and modifications may be made without departing from the spirit and scope of the invention. Accordingly, the scope of the invention should not be limited by the described embodiments but should be defined by the appended claims.
도 1은 종래 독립적 장치로 구비되는 증거 수집 장치와 증거 분석 장치의 예시도,1 is an exemplary diagram of an evidence collecting device and an evidence analyzing device provided as a conventional independent device;
도 2는 본 발명의 실시 예에 따른 가상 환경을 이용한 디지털 포렌식 시스템의 네트워크 구성도,2 is a network configuration diagram of a digital forensic system using a virtual environment according to an embodiment of the present invention;
도 3은 본 발명의 실시 예에 따른 가상의 증거 분석부간 절체 예시도,3 is a diagram illustrating a transfer between virtual evidence analysis units according to an embodiment of the present invention;
도 4는 본 발명의 실시 예에 따른 가상 서버의 절체 예시도,4 is a view illustrating a switching example of a virtual server according to an embodiment of the present invention;
도 5는 본 발명의 실시 예에 따른 가상 환경을 이용한 증거 분석 동작 제어 흐름도,5 is a flowchart illustrating an evidence analysis operation control using a virtual environment according to an embodiment of the present invention;
도 6은 본 발명의 실시 예에 따른 가상 환경에서 증거 분석 동작의 개념도.6 is a conceptual diagram of an evidence analysis operation in a virtual environment according to an embodiment of the present invention.
<도면의 주요 부호에 대한 간략한 설명><Brief description of the major symbols in the drawings>
100 : 사용자 단말 102 : 가상 서버100: user terminal 102: virtual server
104 : 증거 분석부 105 : 가상 스위치104: evidence analysis unit 105: virtual switch
106 : 증거 수집부 108 : 디지털 저장매체106: evidence collection unit 108: digital storage media
110 : 대용량 저장부 112 : 관리부110: mass storage unit 112: management unit
Claims (13)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090086061A KR100987064B1 (en) | 2009-09-11 | 2009-09-11 | Digital forensic system by use of virtual environment and method therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
KR1020090086061A KR100987064B1 (en) | 2009-09-11 | 2009-09-11 | Digital forensic system by use of virtual environment and method therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
KR100987064B1 true KR100987064B1 (en) | 2010-10-11 |
Family
ID=43135325
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020090086061A KR100987064B1 (en) | 2009-09-11 | 2009-09-11 | Digital forensic system by use of virtual environment and method therefor |
Country Status (1)
Country | Link |
---|---|
KR (1) | KR100987064B1 (en) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101085509B1 (en) * | 2011-05-17 | 2011-11-22 | 주식회사 온마루 | Computer screen scanning system and method for digital forensics |
KR101300093B1 (en) * | 2011-11-04 | 2013-08-30 | 유앤아이비즈니스솔루션 (주) | Dual forensic apparatus and method thereof |
WO2014193058A1 (en) * | 2013-05-30 | 2014-12-04 | 한국전자통신연구원 | Device and method for providing security in remote digital forensic environment |
KR20240071870A (en) | 2022-11-16 | 2024-05-23 | 켐아이넷(주) | Patient diagnosis system based on lung sounds |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05220094A (en) * | 1992-02-10 | 1993-08-31 | Aisin Seiki Co Ltd | Bathtub washer |
KR20090064699A (en) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | Digital forensic server for investigating digital evidence and method therefor |
-
2009
- 2009-09-11 KR KR1020090086061A patent/KR100987064B1/en not_active IP Right Cessation
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05220094A (en) * | 1992-02-10 | 1993-08-31 | Aisin Seiki Co Ltd | Bathtub washer |
KR20090064699A (en) * | 2007-12-17 | 2009-06-22 | 한국전자통신연구원 | Digital forensic server for investigating digital evidence and method therefor |
Non-Patent Citations (3)
Title |
---|
"Fight crime. Unravel incidents... one byte at a time - GCFA Practical Assignment V 1.4", (Jeff McGurk 저, SANS Institute, 2004.04.28일 발행)* |
International Journal of Digital Evidence, (Bem et al. "Computer Forensic Analysis in a Virtual Environment", Vol. 6, Issue 2, 2007 fall). |
한국정보기술학회논문지, (권태석 등 공저. "가상화 환경에서의 디지털 포렌식 조사 방법론 연구", 제5권, 제2호, 2009년 4월). |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR101085509B1 (en) * | 2011-05-17 | 2011-11-22 | 주식회사 온마루 | Computer screen scanning system and method for digital forensics |
KR101300093B1 (en) * | 2011-11-04 | 2013-08-30 | 유앤아이비즈니스솔루션 (주) | Dual forensic apparatus and method thereof |
WO2014193058A1 (en) * | 2013-05-30 | 2014-12-04 | 한국전자통신연구원 | Device and method for providing security in remote digital forensic environment |
US9734346B2 (en) | 2013-05-30 | 2017-08-15 | Electronics And Telecommunications Research Institute | Device and method for providing security in remote digital forensic environment |
KR20240071870A (en) | 2022-11-16 | 2024-05-23 | 켐아이넷(주) | Patient diagnosis system based on lung sounds |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI726749B (en) | Method for diagnosing whether network system is breached by hackers and related method for generating multiple associated data frames | |
US20110153748A1 (en) | Remote forensics system based on network | |
US9906548B2 (en) | Mechanism to augment IPS/SIEM evidence information with process history snapshot and application window capture history | |
US11182478B2 (en) | Systems and methods for tracking and recording events in a network of computing systems | |
US9917853B2 (en) | Correlating event logs to identify a potential security breach | |
CN114144798A (en) | Security incident investigation event capture | |
KR100987064B1 (en) | Digital forensic system by use of virtual environment and method therefor | |
CN114222990A (en) | Automatic lasso software detection with on-demand file system locking and automatic repair | |
CN114207614A (en) | Safety investigation platform | |
Prasanthi et al. | Cyber forensic science to diagnose digital crimes-a study | |
CN114817969A (en) | Method, device, terminal and storage medium for previewing network disk drive letter file | |
JP7451476B2 (en) | System and method for cross-referencing forensic snapshots over time for root cause analysis | |
CN104903865A (en) | Restoring a previous version of a virtual machine image | |
US8738905B2 (en) | Third party secured storage for web services and web applications | |
US20170228383A1 (en) | Active archive bridge | |
CN114175067A (en) | Incident survey workspace generation and survey control | |
KR20110070767A (en) | Remote forensics system based on network | |
KR20210017839A (en) | Automated system for forming analyzed data by extracting original data | |
US9588706B2 (en) | Selective memory dump using usertokens | |
JP2007200047A (en) | Access log-displaying system and method | |
KR101300093B1 (en) | Dual forensic apparatus and method thereof | |
JP2017162142A (en) | Information processing device and information processing program | |
Singh et al. | A Novel Memory Forensics Technique for Windows 10. | |
US20220067183A1 (en) | Information processing apparatus and non-transitory computer readable medium | |
Varenkamp | iPhone Acquisition Using Jailbreaking Techniques |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A201 | Request for examination | ||
A302 | Request for accelerated examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20130812 Year of fee payment: 4 |
|
FPAY | Annual fee payment |
Payment date: 20140901 Year of fee payment: 5 |
|
FPAY | Annual fee payment |
Payment date: 20150924 Year of fee payment: 6 |
|
FPAY | Annual fee payment |
Payment date: 20160810 Year of fee payment: 7 |
|
LAPS | Lapse due to unpaid annual fee |