KR101085509B1 - Computer screen scanning system and method for digital forensics - Google Patents

Computer screen scanning system and method for digital forensics Download PDF

Info

Publication number
KR101085509B1
KR101085509B1 KR1020110046238A KR20110046238A KR101085509B1 KR 101085509 B1 KR101085509 B1 KR 101085509B1 KR 1020110046238 A KR1020110046238 A KR 1020110046238A KR 20110046238 A KR20110046238 A KR 20110046238A KR 101085509 B1 KR101085509 B1 KR 101085509B1
Authority
KR
South Korea
Prior art keywords
image
computer
screen
screen image
text
Prior art date
Application number
KR1020110046238A
Other languages
Korean (ko)
Inventor
이충렬
Original Assignee
주식회사 온마루
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 온마루 filed Critical 주식회사 온마루
Priority to KR1020110046238A priority Critical patent/KR101085509B1/en
Application granted granted Critical
Publication of KR101085509B1 publication Critical patent/KR101085509B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3003Monitoring arrangements specially adapted to the computing system or computing system component being monitored
    • G06F11/3041Monitoring arrangements specially adapted to the computing system or computing system component being monitored where the computing system component is an input/output interface

Abstract

PURPOSE: A computer screen scanning system and method for digital forensics is provided to prevent the generation of security accident by transmitting, collecting, and analyzing computer screen information in high speed. CONSTITUTION: A screen image receiver(131) reorganizes a screen image which is received from a network adaptor of a user computer by the user computer, a screen image identification number, and a transmission time. A screen image classifier(132) classifies the re-organized image and includes the classified image in an image group object. An image storage(134) changes the image group object into a file and stores the changed file to an image storage. A text extractor(135) extracts text from the image.

Description

디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템 및 방법{COMPUTER SCREEN SCANNING SYSTEM AND METHOD FOR DIGITAL FORENSICS}COMPUTER SCREEN SCANNING SYSTEM AND METHOD FOR DIGITAL FORENSICS}

본 발명은 디지털 포렌식에 관한 것으로서, 특히 정보통신분야의 보안사고 예방 및 수사를 수행하는 디지털 포렌식 과정에 필요한 사용자 컴퓨터의 스크린 정보를 고속으로 수집, 저장, 분석할 수 있는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템에 관한 것이다. BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to digital forensics, and in particular, computer screen scanning for digital forensics that can collect, store, and analyze screen information of a user's computer at high speed necessary for digital forensics, which performs security accident prevention and investigation in the information and communication field. It's about the system.

내부 사용자 및 외부 침입자에 의한 불법적인 정보 접근이나 정보 유출로 인한 보안 사고의 급속한 증가로 인해 개인/기업/공공기관들의 피해가 막대한 규모에 이르고 있으며, 이를 방지하기 위한 관련 보안관련 다양한 기술이 개발되고 있다.Due to the rapid increase in security incidents due to illegal information access or information leakage by internal users and external intruders, the damages to individuals, companies, and public institutions are enormous, and various security-related technologies have been developed to prevent them. have.

내부 자료 접근 및 유출을 예방하고 사후 추적하기 위한 방법의 하나로 사용자 컴퓨터 화면을 수집하기 위해 여러가지 기술적 방법들이 개발되어 도입되고 있는데, 이러한 기술들은 사용자 화면의 완전한 동시 전송 및 수집 능력에 중점을 두고 있다.Various technical methods have been developed and introduced to collect user computer screens as a means to prevent internal data access and leakage and to follow up, and these technologies focus on the ability to simultaneously transmit and collect user screens.

여러 방법들 중에서 화면 캡처 프로그램 API를 이용하는 방법에서는 화면 캡쳐 시 발생하는 시스템 부하로 인한 시스템이 지연되는 문제가 발생한다. 이로 인해 프로그램의 캡쳐 주기를 길게 설정함으로써, 빠짐없는 동시 전송이라는 목적에 근접하지 못하는 문제점이 있다. Among various methods, the method of using the screen capture program API causes a system delay caused by the system load generated during screen capture. For this reason, by setting a long capture period of the program, there is a problem that does not come close to the purpose of simultaneous simultaneous transmission.

그리고, 비디오 메모리 직접 접근을 통한 메모리 복사 방법에서는 시스템 부하를 일부 절감하였으나, 프로그램이 비디오 메모리 복사, 변경 검사, 화면 구획 분석하는 과정에서 발생하는 시스템 부하로 인해 완전한 동시 전송에는 제약이 따르는 문제점이 있다. In addition, the memory copy method through direct access to the video memory saves some of the system load, but there is a problem in that the simultaneous transmission is limited due to the system load that occurs during the program copying the memory, checking the screen, and analyzing the screen segment. .

그리고, 컴퓨터 모니터와 본체 사이에 스크린 신호 복제 및 전송 장치를 설치하는 방법에서는 설치, 유지 및 개선의 불편함을 감수해야 하는 문제점이 있다. In addition, there is a problem in that a method of installing the screen signal duplication and transmission device between the computer monitor and the main body must bear the inconvenience of installation, maintenance and improvement.

본 발명은 상기와 같은 문제점을 해결하기 위한 것으로서, 컴퓨터별 스크린 신호 복제 및 전송 장치 없이도 이와 동일한 수준으로 사용자가 컴퓨터를 이용하는데 지연 현상을 발생시키지 않으면서 컴퓨터 스크린의 완전한 동시 수집, 전송, 녹화하는 방법 및 그에 사용되는 시스템을 구현하여 보안 사고 예방 및 수사 과정에 관련 정보를 제공할 수 있도록 된 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템을 제공하는데 그 목적이 있다. SUMMARY OF THE INVENTION The present invention has been made to solve the above-mentioned problems, and it is possible to perform simultaneous simultaneous collection, transmission, and recording of computer screens without incurring a delay in using a computer at the same level without the need for computer-specific screen signal replication and transmission devices. It is an object of the present invention to provide a computer screen scanning system for digital forensics that can implement a method and a system used therein to provide related information in a security incident prevention and investigation process.

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템은, 하나 이상의 사용자 컴퓨터와; 상기 사용자 컴퓨터로부터 네트워크망을 통해 수신한 스크린 영상을 수집 저장하여 분석하기 위한 검사 컴퓨터를 포함하여 이루어지되, 상기 사용자 컴퓨터는, 실제 디스플레이 어댑터 및 실제 모니터가 컴퓨터 운영체제로부터 제공받는 스크린 영상과 동일한 스크린 영상을 분배받기 위해 가상으로 생성되는 가상 디스플레이 어댑터 및 가상 모니터와; 상기 가상 모니터에서 분배받은 스크린 영상을 패킷화하여 네트워크망을 통해 상기 검사 컴퓨터로 전송하기 위한 네트워크 어댑터를 구비한 것을 특징으로 한다. In order to achieve the above object, a computer screen scanning system for digital forensics according to the present invention comprises: at least one user computer; And a test computer for collecting, storing, and analyzing screen images received through the network from the user computer, wherein the user computer comprises a screen image identical to a screen image provided by a real display adapter and a real monitor from a computer operating system. A virtual display adapter and a virtual monitor virtually generated to receive the distribution; And a network adapter for packetizing the screen image distributed from the virtual monitor and transmitting the packetized screen image to the inspection computer through a network.

삭제delete

또한, 상기 검사 컴퓨터는, 상기 사용자 컴퓨터의 네트워크 어댑터로부터 수신한 스크린 영상을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 재구성하는 스크린 영상 수신부와; 상기 스크린 영상 수신부에서 재구성되어 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하고, 분류된 이미지를 사용자 컴퓨터 스크린 및 시간대별로 구분된 해당 이미지 그룹 객체에 포함시키는 스크린 영상 분류부와; 상기 이미지 그룹 객체를 감시하여 설정된 주기 또는 임계 용량을 기준으로 파일로 변환하여 이미지 저장소에 저장하는 이미지 저장부와; 상기 이미지 저장소에 저장된 이미지로부터 텍스트를 추출하는 텍스트 추출부와; 상기 텍스트 추출부에서 추출된 텍스트들을 해당 텍스트가 추출된 이미지, 텍스트 내용, 추출 횟수를 기초하여 색인화한 뒤 이미지-텍스트 연관 색인 저장소와 텍스트 색인 저장소에 구분하여 저장하는 텍스트 색인화부를 구비할 수 있다. The inspection computer may further include: a screen image receiver configured to reconstruct the screen image received from the network adapter of the user computer according to a user computer, a screen image identification number, and a transmission time using packet header information of the screen image; The reconstructed image generated by the screen image receiving unit is classified into image groups according to a user computer, a screen image identification number, and a transmission time by using tag information of the image, and the classified images are classified into user computer screens and time zones. A screen image classification unit included in the image group object; An image storage unit for monitoring the image group object and converting the image group object into a file based on a set period or threshold capacity and storing the image group object in an image storage; A text extraction unit for extracting text from an image stored in the image storage; The text extractor may include a text indexer configured to index text extracted from the text extractor based on an image, text content, and the number of times of extracting the text, and then classify the extracted text into an image-text associated index storage and a text index storage.

또한, 상기 이미지 저장부 또는 텍스트 추출부로부터 이미지를 제공받아 사용자 컴퓨터 스크린 또는 시간대의 기준에 따라 그룹으로 구성하여 이를 개별 파일로 압축하는 이미지 압축부를 더 구비할 수 있다. In addition, the image storage unit or the text extraction unit may further include an image compression unit for receiving the image from the user's computer screen or time zone to form a group and compress it into a separate file.

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템은, 하나 이상의 사용자 컴퓨터와; 상기 사용자 컴퓨터로부터 네트워크망을 통해 수신한 스크린 영상을 수집 저장하여 분석하기 위한 검사 컴퓨터와; 스크린 영상을 생성하는 RGB Matrix Switcher, DVI Matrix Switcher, CCTV, DVR 중 어느 하나 이상을 포함하는 스크린 영상 생성 장비를 포함하여 이루어지고, 상기 검사 컴퓨터는 상기 스크린 영상 생성 장비로부터 네트워크망을 통해 패킷 형태로 스크린 영상을 수신하거나, 영상 전용 케이블을 통해 스크린 영상을 수신하고 수신한 스크린 영상을 수집 저장하여 분석하는 것을 특징으로 한다. In order to achieve the above object, a computer screen scanning system for digital forensics according to the present invention comprises: at least one user computer; An inspection computer for collecting, storing and analyzing screen images received from the user computer through a network; It comprises a screen image generating device including any one or more of the RGB Matrix Switcher, DVI Matrix Switcher, CCTV, DVR to generate a screen image, the inspection computer in the form of a packet through the network from the screen image generation equipment Receiving a screen image, or receiving a screen image through an image dedicated cable, and collects and stores the received screen image, characterized in that for analysis.

상기와 같은 목적을 달성하기 위하여 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템은, 하나 이상의 사용자 컴퓨터와; 상기 사용자 컴퓨터로부터 네트워크망을 통해 수신한 스크린 영상을 수집 저장하여 분석하기 위한 검사 컴퓨터를 포함하여 이루어지되, 상기 컴퓨터 스크린 스캐닝 시스템은 검사 컴퓨터를 복수개 구비하고, 상기 사용자 컴퓨터와 검사 컴퓨터, 또는 복수개의 검사 컴퓨터는 서로 간에 UDP/IP 방식과 TCP/IP 방식 중 어느 한 방식으로 스크린 영상을 송수신하는 것을 특징으로 한다. In order to achieve the above object, a computer screen scanning system for digital forensics according to the present invention comprises: at least one user computer; And a test computer for collecting, storing and analyzing screen images received from the user computer through a network, wherein the computer screen scanning system includes a plurality of test computers, and the user computer and the test computer, or a plurality of test computers. The inspection computer is characterized in that the screen image transmission and reception between each other by any one of the UDP / IP method and the TCP / IP method.

또한, 상기 하나의 검사 컴퓨터는 상기 사용자 컴퓨터로부터 전송받은 스크린 영상을 다른 검사 컴퓨터로 복사 또는 분배하는 기능을 구비할 수 있다. In addition, the one test computer may have a function of copying or distributing the screen image received from the user computer to another test computer.

또한, 상기 사용자 컴퓨터는 전송되는 스크린 영상의 압축 여부, 스크린 영상 중 갱신 픽셀만 전송, 스크린 영상 전송 차단을 위한 권한 획득 인증 및 스크린 영상 실시간 동시 녹화를 통지하는 기능을 구비할 수 있다. In addition, the user computer may have a function of notifying whether the transmitted screen image is compressed, transmitting only an update pixel of the screen image, obtaining authorization for blocking screen image transmission, and notifying real-time simultaneous recording of the screen image.

또한, 상기 검사 컴퓨터는 검사자에 의한 검색 시 스크린 영상 생성 시간, 스크린 영상이 생성된 사용자 컴퓨터, 스크린 영상이 생성된 사용자 컴퓨터 모니터 식별 번호 및 스크린 영상과 연계하여 색인화된 텍스트 중 하나 이상을 검색어 또는 검색 조건으로 제공하는 기능을 구비할 수 있다. In addition, the inspection computer may search for or search for one or more of the screen image generation time, the user computer on which the screen image is generated, the user computer monitor identification number on which the screen image is generated, and the indexed text in association with the screen image. It can be provided with the function provided on condition.

또한, 상기 검사 컴퓨터는 상기 사용자 컴퓨터의 스크린 영상에 대한 스캐닝 여부, 스캐닝 주기, 스캐닝 화질 및 스캐닝 영역 중 하나 이상을 제어하는 기능을 구비할 수 있다. In addition, the inspection computer may include a function of controlling whether one or more of a screen image of the user computer is scanned, a scanning period, a scanning quality, and a scanning area.

한편, 상기와 같은 목적을 달성하기 위하여 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 방법은, 하나 이상의 사용자 컴퓨터의 실제 모니터에 제공되는 스크린 영상과 동일한 스크린 영상을 분배하여 검사 컴퓨터로 전송하는 단계와; 상기 검사 컴퓨터에서 상기 전송된 스크린 영상을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 재구성하는 단계와; 상기 검사 컴퓨터에서 상기 재구성하여 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하여 저장하는 단계와; 상기 검사 컴퓨터에서 상기 저장된 이미지로부터 텍스트를 추출하는 단계와; 상기 검사 컴퓨터에서 상기 추출된 텍스트와 해당 텍스트가 추출된 이미지, 텍스트 내용, 추출 횟수를 기초하여 색인화한 뒤 저장하는 단계와; 상기 검사 컴퓨터에 사용자 컴퓨터, 사용자 컴퓨터의 모니터, 스크린 영상 생성 시간 및 색인화된 텍스트 중 어느 하나 이상의 검색 조건을 입력하여 사용자 컴퓨터를 검색 조회하는 단계를 포함하여 이루어진 것을 특징으로 한다. Meanwhile, in order to achieve the above object, the computer screen scanning method for digital forensics according to the present invention includes the steps of distributing the same screen image as the screen image provided on the actual monitor of at least one user computer and transmitting the same to the inspection computer; ; Reconstructing the transmitted screen image by the inspection computer according to a user computer, a screen identification number, and a transmission time using packet header information of the screen image; Classifying and storing the reconstructed image generated by the inspection computer into image groups according to a user computer, a screen identification number, and a transmission time by using tag information of the image; Extracting text from the stored image at the inspection computer; Indexing and storing the extracted text on the basis of the extracted text, the extracted image, the text content, and the number of times of extraction; And inputting a search condition of at least one of a user computer, a monitor of the user computer, a screen image generation time, and indexed text to the inspection computer to search and search the user computer.

본 발명에 따르면, 별도의 수집장치나 컴퓨터 성능 저하 없이도 다수의 컴퓨터 스크린 정보에 대한 고속 상시 전송, 수집 및 분석하는 기능을 제공함으로써 정보 보안 사고 예방 및 수사 과정을 보다 용이하게 수행할 수 있는 이점이 있다.According to the present invention, it is possible to more easily perform the information security incident prevention and investigation process by providing a function of high-speed, continuous transmission, collection and analysis of a plurality of computer screen information without a separate collection device or computer performance degradation. have.

도 1은 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템의 개념도.
도 2는 본 발명에 따른 사용자 컴퓨터의 블록도.
도 3은 본 발명에 따른 검사 컴퓨터의 블록도.
도 4는 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 방법을 설명하는 흐름도. 1 is a conceptual diagram of a computer screen scanning system for digital forensics according to the present invention.
2 is a block diagram of a user computer in accordance with the present invention.
3 is a block diagram of an inspection computer according to the invention.
4 is a flow chart illustrating a computer screen scanning method for digital forensics in accordance with the present invention.

이하, 본 발명의 바람직한 실시예를 첨부된 도면들을 참조하여 상세히 설명한다. Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

먼저, 첨단 기술, 국가 기밀, 군사 보안 등 관리 대상 정보에 대한 불법적인 접근 및 유출을 차단하기 위해서는 "사용자와 컴퓨터 간의 정보 교환" 또는 "컴퓨터와 자료매체 간의 정보 교환"을 감시 추적해야 한다. 그 중에서 본 발명은 "사용자와 컴퓨터 간의 정보 교환" 에 관한 것으로서, 사용자와 컴퓨터 간의 정보 교환을 감시하는 여러 방법의 기술적인 목표는 감시과정에서 사용자 컴퓨터 성능과 통신망 등 전반적인 시스템에 영향을 미치지 않으면서도 감시범위나 방법에 있어서 보안 취약 지점이 존재하지 않도록 하는데 있다. First, in order to prevent illegal access and leakage of managed information such as high technology, state secrets and military security, it is necessary to monitor and track "exchange between user and computer" or "exchange between computer and data medium." Among them, the present invention relates to the "exchange of information between a user and a computer", and the technical goal of the various methods of monitoring the exchange of information between a user and a computer is to monitor the user's computer performance and communication system without affecting the overall system. There is no point of security vulnerability in the scope or method of surveillance.

도 1은 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템의 개념도, 도 2는 본 발명에 따른 사용자 컴퓨터의 블록도, 도 3은 본 발명에 따른 검사 컴퓨터의 블록도이다. 1 is a conceptual diagram of a computer screen scanning system for digital forensics according to the present invention, FIG. 2 is a block diagram of a user computer according to the present invention, and FIG. 3 is a block diagram of an inspection computer according to the present invention.

도면에 도시한 바와 같이, 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템은 크게 사용자 컴퓨터(110), 사용자 컴퓨터(110)에 내부망 또는 인터넷망 등으로 구성되는 네트워크망(120)으로 연결된 검사 컴퓨터(130) 및 검사 컴퓨터(130)에 네트워크망(120) 또는 영상 전용 케이블(151)로 연결된 스크린 영상 생성 장비(150)를 포함하여 이루어진다. As shown in the figure, the computer screen scanning system for digital forensics according to the present invention is largely connected to the user computer 110, the user computer 110 connected to a network network 120 consisting of an internal network or the Internet network, etc. It comprises a screen image generating equipment 150 connected to the computer 130 and the inspection computer 130 by a network 120 or an image dedicated cable 151.

상기 사용자 컴퓨터(110)는 관리 대상 정보에 접근 가능한 하나 이상의 컴퓨터를 의미한다. The user computer 110 refers to one or more computers accessible to management target information.

상기 검사 컴퓨터(130)는 상기 사용자 컴퓨터(110)로부터 네트워크망(120)을 통해 패킷 형태로 스크린 영상을 수신하고 수집 저장하여 분석하기 위한 컴퓨터를 의미한다. The inspection computer 130 refers to a computer for receiving, collecting, storing, and analyzing screen images in a packet form from the user computer 110 through the network 120.

그리고, 상기 검사 컴퓨터(130)는 상기 스크린 영상 생성 장비(150)로부터 네트워크망(120)을 통해 패킷 형태로 스크린 영상을 수신하거나, 영상 전용 케이블(151)을 통해 스크린 영상을 수신하고 수신한 스크린 영상 정보를 수집 저장하여 분석할 수도 있다. The inspection computer 130 receives the screen image in the form of a packet from the screen image generating apparatus 150 through the network 120 or receives the screen image through the image-only cable 151 and receives the screen image. Image information may be collected and stored for analysis.

상기 스크린 영상 생성 장비(150)는 스크린 영상을 생성할 수 있는 RGB Matrix Switcher, DVI Matrix Switcher, CCTV, DVR 등을 의미한다.
The screen image generating device 150 refers to an RGB matrix switcher, a DVI matrix switcher, a CCTV, a DVR, etc., capable of generating a screen image.

한편, 상기 사용자 컴퓨터(110)는, 구체적으로 컴퓨터 운영체제(111), 키보드/마우스(112), 고속 데이터버스(113), 실제 디스플레이 어댑터(114) 및 실제 모니터(115) 이외에, 실제 디스플레이 어댑터(114) 및 실제 모니터(115)가 컴퓨터 운영체제(111)로부터 제공받는 스크린 영상과 동일한 해상도와 색상수를 갖는 스크린 영상을 분배받기 위해 가상으로 생성되는 가상 디스플레이 어댑터(116), 가상 모니터(117) 및 상기 가상 모니터(117)에서 분배받은 스크린 영상을 패킷화하여 네트워크망(120)을 통해 상기 검사 컴퓨터(130)로 전송하기 위한 네트워크 어댑터(118)를 포함하여 이루어진다. 상기 가상 디스플레이 어댑터(116), 가상 모니터(117)의 경우, 스크린 영상을 분배받기 위하여 소프트웨어적으로 생성되는 것이다. On the other hand, the user computer 110, specifically, in addition to the computer operating system 111, keyboard / mouse 112, high-speed data bus 113, the actual display adapter 114 and the actual monitor 115, the actual display adapter ( The virtual display adapter 116, the virtual monitor 117, and the virtual monitor 115, which are virtually generated so that the screen image having the same resolution and number of colors as the screen image provided from the computer operating system 111 is provided by the computer 110. And a network adapter 118 for packetizing the screen image distributed by the virtual monitor 117 and transmitting the packetized screen image to the inspection computer 130 through the network 120. In the case of the virtual display adapter 116 and the virtual monitor 117, it is generated in software to receive the screen image.

상기 컴퓨터 운영체제(111)는 가상 디스플레이 어댑터(116)에 실제 디스플레이 어댑터(114)와 동일한 스크린 영상을 제공할 수 있도록 가상 디스플레이 어댑터(116)를 클론 모니터(Clon Monitor)로 인식한다. 그러므로, 컴퓨터 운영체제(111)는 실제 디스플레이 어댑터(114)로 전송하는 스크린 영상과 동일한 스크린 영상을 가상 디스플레이 어댑터(116)로 고속 데이터버스(113)를 통해 분배하게 된다. 상기 고속 데이터버스(113)는 사용자 컴퓨터(110)의 메인보드에 있는 PCI-Express, PCI, AGP 또는 이와 유사한 역할인 CPU, 메모리 및 다른 디바이스와 디스플레이 어댑터 간의 연결을 제공하는 데이터버스이다. The computer operating system 111 recognizes the virtual display adapter 116 as a clone monitor to provide the same screen image as the actual display adapter 114 to the virtual display adapter 116. Therefore, the computer operating system 111 distributes the same screen image to the virtual display adapter 116 via the high speed data bus 113, which is transmitted to the actual display adapter 114. The high speed data bus 113 is a data bus that provides a connection between a CPU, memory, and other devices and display adapters that are PCI-Express, PCI, AGP, or the like in the main board of the user computer 110.

이때, 상기 컴퓨터 운영체제(111)에서 가상 디스플레이 어댑터(116)로 스크린 영상을 전송하는 방법은 화면 캡쳐 프로그램 API 방법 및 이를 개선한 방법인 비디오 메모리 직접 접근을 통한 복사방법에 비해 컴퓨터 자원을 더 적은 수준으로 사용하면서도 컴퓨터 모니터와 본체 사이에 하드웨어 방식의 스크린 신호 복제 및 전송장치를 설치하는 방법과 동일한 스크린 전송 수준을 제공하는 것이 바람직하다. In this case, the method of transmitting the screen image from the computer operating system 111 to the virtual display adapter 116 has a lower level of computer resources than the screen capture program API method and the copy method through direct access to the video memory, which is an improved method. It is desirable to provide the same level of screen transmission as the method of installing a hardware-based screen signal replication and transmission device between the computer monitor and the main body.

참고적으로, 상기 사용자 컴퓨터(110)는 스크린 영상 전송시 스크린의 픽셀수와 색상수를 변환하지 않도록 하여 증거자료로서의 보존가치를 높이도록 하는 것이 바람직하다. 단, 전송효율 향상을 위해 동일 픽셀정보 중복방지를 목적으로 제한된 수준에서의 이미지 압축방법 또는 변경 스크린 픽셀정보만을 전송하는 방법을 적용하는 것이 바람직하다. For reference, the user computer 110 may not convert the number of pixels and the number of colors of the screen during screen image transmission to increase the preservation value as evidence. However, in order to improve transmission efficiency, it is preferable to apply an image compression method or a method of transmitting only changed screen pixel information at a limited level in order to prevent overlapping of the same pixel information.

그리고, 상기 사용자 컴퓨터(110)는 전송되는 스크린 영상의 압축 여부, 스크린 영상 중 갱신 픽셀만 전송, 스크린 영상 전송 차단을 위한 권한 획득 인증 및 스크린 영상 실시간 동시 녹화를 통지하는 기능 등을 구비하는 것이 바람직하다. In addition, the user computer 110 may include a function of compressing the transmitted screen image, transmitting only an update pixel of the screen image, obtaining authorization for blocking screen image transmission, and notifying real-time simultaneous recording of the screen image. Do.

예를 들면, 상기 사용자 컴퓨터(110)를 이용하는 사용자가 보안관리권한을 가진 관리자의 승인 또는 검사 컴퓨터(130)의 승인없이 임의로 이용하는 사용자 컴퓨터(110)의 스크린 영상 전송을 차단하지 못하도록 작동해제 권한검사를 위한 보안기능을 구비하는 것이다. For example, the authority check to prevent the user using the user computer 110 from blocking the screen image transmission of the user computer 110 that is arbitrarily used without the approval of the administrator with the security management authority or the approval of the inspection computer 130. It is to have a security function for.

그리고, 컴퓨터 운영체제(111) 로그인 후 또는 설정된 주기단위로 사용자에게 컴퓨터 스크린 영상이 실시간으로 동시녹화되고 있음을 통지하여 사용자가 불법적인 의도를 가지고 있을 경우 이를 포기하도록 유도하는 기능을 구비하는 것이 바람직하다.
In addition, it is preferable to have a function of informing the user that the computer screen image is simultaneously recorded in real time after logging in to the computer operating system 111 or at a set interval, and inducing the user to give up when the user has an illegal intention. .

상기 검사 컴퓨터(130)는, 스크린 영상 수신부(131), 스크린 영상 분류부(132), 이미지 저장부(134), 텍스트 추출부(135), 이미지 압축부(136), 이미지 저장소(137), 텍스트 색인화부(138), 이미지-텍스트 연관 색인 저장소(139) 및 텍스트 색인 저장소(140)를 포함하여 이루어진다. The inspection computer 130 may include a screen image receiver 131, a screen image classifier 132, an image storage unit 134, a text extractor 135, an image compressor 136, an image storage unit 137, Text indexing unit 138, image-text associative index storage 139, and text index storage 140.

상기 스크린 영상 수신부(131)는 상기 사용자 컴퓨터(110)의 네트워크 어댑터(118)로부터 수신한 스크린 영상을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 재구성한다. The screen image receiving unit 131 reconstructs the screen image received from the network adapter 118 of the user computer 110 according to the user computer, the screen image identification number, and the transmission time using the packet header information of the screen image. .

상기 스크린 영상 분류부(132)는 상기 스크린 영상 수신부(131)에서 재구성되어 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터 스크린 영상과 생성 시점 등을 확인하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하고, 분류된 이미지를 해당되는 이미지 그룹 객체(133)에 포함시킨다. 결과적으로, 이미지 그룹 객체(133)는 사용자 컴퓨터 스크린 영상 및 시간대별로 구분된 별도의 객체로 구성되므로, 각 이미지 그룹 객체(133)에는 하나 이상의 스크린 영상들이 시간 순서별로 배치되어 구성된다. The screen image classifying unit 132 checks the user computer screen image and the generation time using the image information of the image reconstructed by the screen image receiving unit 131 by using the tag information of the image. The images are classified by image groups according to the transmission time, and the classified images are included in the corresponding image group object 133. As a result, since the image group object 133 is composed of a user computer screen image and separate objects divided by time zones, one or more screen images are arranged in each image group object 133 in chronological order.

상기 이미지 저장부(134)는 상기 이미지 그룹 객체(133)를 실시간 감시하여 사전에 설정된 주기 또는 임계 용량을 기준으로 파일로 변환하여 이미지 저장소(137)에 저장한다. The image storage unit 134 monitors the image group object 133 in real time, converts the file into a file based on a preset period or threshold capacity, and stores the image group object 133 in the image storage 137.

상기 텍스트 추출부(135)는 상기 이미지 저장소(137)에 저장된 이미지로부터 텍스트를 추출한다. 예를 들면, 저장된 이미지를 형태학적 특성, 색상, 신경망 이론 및 통계학적 방법이 감안된 광학문자인식(Optical Character Recognition) 알고리즘을 이용하여 텍스트를 추출할 수 있다. The text extractor 135 extracts text from an image stored in the image storage 137. For example, the text may be extracted from the stored image using an optical character recognition algorithm in which morphological characteristics, colors, neural network theory, and statistical methods are considered.

상기 텍스트 색인화부(138)는 상기 텍스트 추출부(135)에서 추출된 텍스트들을 해당 텍스트가 추출된 이미지, 텍스트 내용, 추출 횟수 등을 감안하여 색인화한 뒤 이미지-텍스트 연관 색인 저장소(139)와 텍스트 색인 저장소(140)에 구분하여 저장한다. 구체적으로, 색인화된 데이터 중에서 개별 텍스트의 식별자, 텍스트 내용, 텍스트 식별 횟수, 텍스트 위험도, 텍스트 식별 시간은 텍스트 색인 저장소(140)에 저장하며, 이미지 저장소(137)의 개별 이미지와 텍스트 색인 저장소(140)의 개별 텍스트 간의 연관 관계는 이미지-텍스트 연관 색인 저장소(139)에 저장한다. The text indexer 138 indexes the text extracted by the text extractor 135 in consideration of the image, text content, and the number of times the text is extracted, and then the image-text association index storage 139 and the text. The index storage 140 stores them separately. Specifically, among the indexed data, the identifier, the text content, the number of text identification, the text risk, and the text identification time of the individual text are stored in the text index storage 140, and the individual images and the text index storage 140 of the image storage 137 are stored. Associations between the individual texts of < RTI ID = 0.0 >) < / RTI >

상기 텍스트 추출부(135)와 텍스트 색인화부(138)는 이미지 저장부(134)와 동시에 작동될 수도 있으며, 보안사고 사후분석 시 또는 기타 목적으로 관리자가 요구한 시점에서만 작동될 수도 있다. 상기 이미지 저장부(134)와 동시에 작동될 경우 상시작동 방식조건에 따른 작동방식, 픽셀변화 패턴방식 또는 설정주기 방식등과 같이 작동방법을 별도로 설정할 수도 있다. The text extraction unit 135 and the text indexing unit 138 may be operated simultaneously with the image storage unit 134, or may be operated only at the time required by the administrator for post-security analysis or other purposes. When operated simultaneously with the image storage unit 134, an operation method such as an operation method, a pixel change pattern method, or a setting cycle method according to a constant operation method condition may be separately set.

상기 이미지 압축부(136)는 상기 이미지 저장부(134) 또는 텍스트 추출부(135)로부터 이미지를 제공받아 사용자 컴퓨터 스크린 정보 또는 시간대의 기준에 따라 그룹으로 구성하여 이를 개별 파일로 압축한다. The image compressing unit 136 receives an image from the image storing unit 134 or the text extracting unit 135 and organizes the image into individual files according to user computer screen information or time zone criteria.

즉, 상기 이미지 압축부(136)는 이미지 저장부(134) 또는 텍스트 추출부(135)로부터 제공받은 이미지를 사용자 컴퓨터 스크린 정보 또는 시간대 또는 기타의 기준에 따라 그룹으로 구성하여 이를 개별 파일로 압축하는 기능을 수행하는데, 이 기능은 검사 컴퓨터(130)의 디스크 자원을 절감하는 효과를 제공하기 위함이다. That is, the image compression unit 136 is configured to group the images received from the image storage unit 134 or the text extraction unit 135 into groups according to user computer screen information or time zone or other criteria, and compress them into individual files. This function is to provide an effect of saving disk resources of the inspection computer 130.

본 발명에 따른 컴퓨터 스크린 스캐닝 시스템은 이미지 분석 처리에 따른 시스템 부하와 무중단 서비스를 제공하기 위해 상기 검사 컴퓨터(130)를 복수개 구비할 수 있다. 이 경우, 하나의 감시 컴퓨터(130)는 수신한 스크린 영상을 복사 또는 분배하는 형태로 다른 감시 컴퓨터(130)로 전달한다. 이때, 상기 사용자 컴퓨터(110)와 검사 컴퓨터(130), 또는 복수개의 검사 컴퓨터(130)는 서로 간에 UDP/IP 방식과 TCP/IP 방식 중 어느 한 방식으로 스크린 영상을 송수신할 수 있다. The computer screen scanning system according to the present invention may be provided with a plurality of inspection computers 130 to provide a system load and an uninterrupted service according to an image analysis process. In this case, one surveillance computer 130 transmits the received screen image to another surveillance computer 130 in the form of copying or distributing the screen image. In this case, the user computer 110 and the test computer 130, or the plurality of test computers 130 may transmit and receive the screen image between any one of the UDP / IP method and the TCP / IP method.

상기 TCP/IP 전송방식은 Three Way Handshake 원리로 수신 오류 시 데이터의 재전송을 요구할 수 있는 장점이 있다. 그러나, 단방향 고속 데이터 전송특성을 가진 UDP/IP 방식이 제공하는 높은 전송효율 특성이 컴퓨터 스크린 스캐너 시스템의 작동개념에 더 부합하기 때문에 UDP/IP 방식을 기본선택사항으로 제공하는 것이 바람직하다. 단, UDP/IP 방식 적용 시 전송오류를 보정하기 위해 스크린 전송 개념에 부합하는 스크린 픽셀 보정 알고리즘을 적용하는 것이 보다 바람직하다. The TCP / IP transmission method has an advantage of requesting retransmission of data in the case of a reception error using the Three Way Handshake principle. However, it is desirable to provide the UDP / IP method as a basic option because the high transmission efficiency characteristics provided by the UDP / IP method with unidirectional high-speed data transmission are more in line with the operation concept of the computer screen scanner system. However, it is more preferable to apply a screen pixel correction algorithm conforming to the screen transmission concept in order to correct transmission errors when the UDP / IP method is applied.

상기 검사 컴퓨터(130)는 검사자에 의한 검색 시 스크린 영상 생성 시간, 스크린 영상이 생성된 사용자 컴퓨터, 스크린 영상이 생성된 사용자 컴퓨터 모니터 식별 번호 및 스크린 영상과 연계하여 색인화된 텍스트 중 하나 이상을 검색어 또는 검색 조건으로 제공하는 기능을 구비하는 것이 바람직하다. The inspection computer 130 may search for one or more of the screen image generation time, the user computer on which the screen image is generated, the user computer monitor identification number on which the screen image is generated, and the indexed text in association with the screen image. It is desirable to have a function for providing a search condition.

그리고, 상기 검사 컴퓨터(130)는 상기 사용자 컴퓨터(110)의 스크린 영상에 대한 스캐닝 여부, 스캐닝 주기, 스캐닝 화질 및 스캐닝 영역 중 하나 이상을 제어하는 기능을 구비하는 것이 바람직하다.
In addition, the inspection computer 130 preferably has a function of controlling whether one or more of a screen image of the user computer 110 is scanned, a scanning period, a scanning quality, and a scanning area.

도 4는 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 방법을 설명하는 흐름도이다.4 is a flowchart illustrating a computer screen scanning method for digital forensics according to the present invention.

먼저, 사용자 컴퓨터(110)의 실제 모니터에 제공되는 스크린 영상과 동일한 스크린 영상을 분배하여 검사 컴퓨터(130)로 전송한다(S110). First, a screen image identical to the screen image provided on the actual monitor of the user computer 110 is distributed and transmitted to the test computer 130 (S110).

계속해서, 스크린 영상을 수신한 상기 검사 컴퓨터(130)에서 수신한 스크린 영상을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 재구성한다(S120). Subsequently, the screen image received by the inspection computer 130 receiving the screen image is reconstructed according to the user computer, the screen identification number, and the transmission time by using the packet header information of the screen image (S120).

계속해서, 상기 검사 컴퓨터(130)에서 상기 재구성하여 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하여 저장한다(S130). Subsequently, the inspection computer 130 classifies and reconstructs the image generated by reconstructing the image group according to a user computer, a screen identification number, and a transmission time by using tag information of the image (S130).

계속해서, 상기 검사 컴퓨터(130)에서 상기 저장된 이미지로부터 텍스트를 추출한다(S140). Subsequently, the inspection computer 130 extracts text from the stored image (S140).

계속해서, 상기 검사 컴퓨터(130)에서 상기 추출된 텍스트와 해당 텍스트가 추출된 이미지, 텍스트 내용, 추출 횟수를 기초하여 색인화한 뒤 저장한다(S150). Subsequently, the inspection computer 130 indexes and stores the extracted text on the basis of the extracted text, the extracted image, the text content, and the number of times of extraction (S150).

마지막으로, 검사자가 상기 검사 컴퓨터(130)에 사용자 컴퓨터, 사용자 컴퓨터의 모니터, 스크린 영상 생성 시간 및 색인화된 텍스트 중 어느 하나 이상의 검색 조건을 입력하여 사용자 컴퓨터를 검색 조회한다(S160). Finally, the inspector inputs one or more search conditions among the user computer, the monitor of the user computer, the screen image generation time, and the indexed text to the test computer 130 to search and search the user computer (S160).

즉, 검사자가 보안사건 추적 분석 또는 증거자료 수집 등의 목적으로 검색 조건 즉, 검색 선택사항을 검사 컴퓨터(130)에 입력하게 되면 검사 컴퓨터(130)에서 검색 선택사항 조건을 충족하는 검색 결과를 검사자에게 제공하는 것이다. That is, when an inspector inputs a search condition, that is, a search option, to the inspection computer 130 for the purpose of analyzing a security incident or collecting evidence data, the inspector checks the search result that satisfies the search selection condition on the inspection computer 130. To provide.

상기 검사 컴퓨터(130)는 검색 옵션에 해당되는 스캐닝 자료를 자체 보유여부를 판단하여 자체 보유하였을 경우, 이미지 저장소(137), 이미지-텍스트 연관 색인 저장소(139) 및 텍스트 색인 저장소(140)를 검색하여 검색결과를 검사자에게 제공하게 된다. 이 과정에서 스캐닝 자료를 다른 검사 컴퓨터(130)가 보유하였을 경우, 검색 선택사항을 다른 검사 컴퓨터(130)로 중계하고 다른 검사 컴퓨터(130)는 검색결과를 검색 선택사항을 중계한 검사 컴퓨터(130)로 회신하게 된다. The inspection computer 130 searches the image storage 137, the image-text associative index storage 139, and the text index storage 140 when the inspection computer 130 determines whether it owns the scanning material corresponding to the search option. The search results are provided to the inspector. In the process, when the other inspection computer 130 retains the scanning data, the inspection option is relayed to the other inspection computer 130 and the other inspection computer 130 relays the search results to the inspection computer 130. Will reply.

한편, 본 발명에 따른 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템을 한정된 실시예에 따라 설명하였지만, 본 발명의 범위는 특정 실시예에 한정되는 것은 아니며, 본 발명과 관련하여 통상의 지식을 가진자에게 자명한 범위내에서 여러 가지의 대안, 수정 및 변경하여 실시할 수 있다. On the other hand, while the computer screen scanning system for digital forensics according to the present invention has been described according to a limited embodiment, the scope of the present invention is not limited to a specific embodiment, it will be apparent to those skilled in the art in connection with the present invention. Various alternatives, modifications, and changes can be made within the scope of this.

따라서, 본 발명에 개시된 실시예 및 첨부된 도면들은 본 발명의 기술 사상을 한정하기 위한 것이 아니라 설명하기 위한 것이고, 이러한 실시예 및 첨부된 도면에 의하여 본 발명의 기술 사상의 범위가 한정되는 것은 아니다. 본 발명의 보호 범위는 아래의 청구범위에 의하여 해석되어야 하며, 그와 동등한 범위 내에 있는 모든 기술 사상은 본 발명의 권리범위에 포함되는 것으로 해석되어야 할 것이다.Accordingly, the embodiments disclosed in the present invention and the accompanying drawings are not intended to limit the technical spirit of the present invention but to describe the present invention, and the scope of the technical idea of the present invention is not limited by the embodiments and the accompanying drawings. . The protection scope of the present invention should be interpreted by the following claims, and all technical ideas within the equivalent scope should be interpreted as being included in the scope of the present invention.

110 : 사용자 컴퓨터 111 : 운영체제
112 : 키보드/마우스 113 : 고속 데이터버스
114 : 실제 디스플레이 어댑터 115 : 실제 모니터
116 : 가상 디스플레이 어댑터 117 : 가상 모니터
118 : 네트워크 어댑터 120 : 네트워크망
130 : 검사 컴퓨터 131 : 스크린 영상 수신부
132 : 스크린 영상 분류부 133 : 이미지 그룹 객체
134 : 이미지 저장부 135 : 텍스트 추출부
136 : 이미지 압축부 137 : 이미지 저장소
138 : 텍스트 색인화부 139 : 이미지-텍스트 연관 색인 저장소
140 : 텍스트 색인 저장소 150 : 스크린 영상 생성 장비
151 : 영상 전용 케이블110: user computer 111: operating system
112: keyboard / mouse 113: high-speed data bus
114: real display adapter 115: real monitor
116: virtual display adapter 117: virtual monitor
118: network adapter 120: network
130: inspection computer 131: screen image receiving unit
132: screen image classification unit 133: image group object
134: image storage unit 135: text extraction unit
136: image compression unit 137: image storage
138: text indexing unit 139: image-text association index storage
140: text index storage 150: screen image generating equipment
151: Video dedicated cable

Claims (11)

삭제delete 컴퓨터 스크린 스캐닝 시스템으로서,
하나 이상의 사용자 컴퓨터(110)와;
상기 사용자 컴퓨터(110)로부터 네트워크망(120)을 통해 수신한 스크린 영상 을 수집 저장하여 분석하기 위한 검사 컴퓨터(130)를 포함하여 이루어지되,
상기 사용자 컴퓨터(110)는,
실제 디스플레이 어댑터(114) 및 실제 모니터(115)가 컴퓨터 운영체제(111)로부터 제공받는 스크린 영상과 동일한 스크린 영상을 분배받기 위해 가상으로 생성되는 가상 디스플레이 어댑터(116) 및 가상 모니터(117)와;
상기 가상 모니터(117)에서 분배받은 스크린 영상을 패킷화하여 네트워크망(120)을 통해 상기 검사 컴퓨터(130)로 전송하기 위한 네트워크 어댑터(118)를 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. A computer screen scanning system,
One or more user computers 110;
Including the inspection computer 130 for collecting and storing the screen image received through the network 120 from the user computer 110,
The user computer 110,
A virtual display adapter 116 and a virtual monitor 117, wherein the real display adapter 114 and the real monitor 115 are virtually generated to receive the same screen image as the screen image provided from the computer operating system 111;
A computer screen for digital forensics comprising a network adapter 118 for packetizing the screen image distributed from the virtual monitor 117 and transmitting the packetized screen image to the inspection computer 130 through the network 120. Scanning system. 청구항 2에 있어서 상기 검사 컴퓨터(130)는,
상기 사용자 컴퓨터(110)의 네트워크 어댑터(118)로부터 수신한 스크린 영상 을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 재구성하는 스크린 영상 수신부(131)와;
상기 스크린 영상 수신부(131)에서 재구성되어 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터, 스크린 영상 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하고, 분류된 이미지를 사용자 컴퓨터 스크린 및 시간대별로 구분된 해당 이미지 그룹 객체(133)에 포함시키는 스크린 영상 분류부(132)와;
상기 이미지 그룹 객체(133)를 감시하여 설정된 주기 또는 임계 용량을 기준으로 파일로 변환하여 이미지 저장소(137)에 저장하는 이미지 저장부(134)와;
상기 이미지 저장소(137)에 저장된 이미지로부터 텍스트를 추출하는 텍스트 추출부(135)와;
상기 텍스트 추출부(135)에서 추출된 텍스트들을 해당 텍스트가 추출된 이미지, 텍스트 내용, 추출 횟수를 기초하여 색인화한 뒤 이미지-텍스트 연관 색인 저장소(139)와 텍스트 색인 저장소(140)에 구분하여 저장하는 텍스트 색인화부(138)를 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The inspection computer 130 of claim 2,
A screen image receiver 131 for reconstructing the screen image received from the network adapter 118 of the user computer 110 according to the user computer, the screen image identification number, and the transmission time by using the packet header information of the screen image;
The reconstructed image generated by the screen image receiving unit 131 is classified into image groups according to a user computer, a screen image identification number, and a transmission time by using tag information of the image, and the classified images are divided into user computer screens and time zones. A screen image classifier 132 to include the divided image group object 133;
An image storage unit 134 for monitoring the image group object 133 and converting the image group object 133 into a file based on a set period or a threshold capacity and storing the image group object in the image storage 137;
A text extraction unit 135 for extracting text from an image stored in the image storage unit 137;
The text extracted by the text extractor 135 is indexed based on the extracted image, text content, and the number of extractions of the text, and then separately stored in the image-text associated index storage 139 and the text index storage 140. And a text indexing unit (138) for digital forensics. 청구항 3에 있어서,
상기 이미지 저장부(134) 또는 텍스트 추출부(135)로부터 이미지를 제공받아 사용자 컴퓨터 스크린 또는 시간대의 기준에 따라 그룹으로 구성하여 이를 개별 파일로 압축하는 이미지 압축부(136)를 더 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The method according to claim 3,
The image storage unit 134 or the text extraction unit 135 is provided with an image compression unit 136 for compressing them into individual files by grouping according to the criteria of the user computer screen or time zone, characterized in that it further comprises Screen scanning system for digital forensics. 컴퓨터 스크린 스캐닝 시스템으로서,
하나 이상의 사용자 컴퓨터(110)와;
상기 사용자 컴퓨터(110)로부터 네트워크망(120)을 통해 수신한 스크린 영상 을 수집 저장하여 분석하기 위한 검사 컴퓨터(130)와;
스크린 영상을 생성하는 RGB Matrix Switcher, DVI Matrix Switcher, CCTV, DVR 중 어느 하나 이상을 포함하는 스크린 영상 생성 장비(150)를 포함하여 이루어지고,
상기 검사 컴퓨터(130)는 상기 스크린 영상 생성 장비(150)로부터 네트워크망(120)을 통해 패킷 형태로 스크린 영상을 수신하거나, 영상 전용 케이블(151)을 통해 스크린 영상을 수신하고 수신한 스크린 영상을 수집 저장하여 분석하는 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. A computer screen scanning system,
One or more user computers 110;
An inspection computer (130) for collecting and storing screen images received from the user computer (110) through the network (120);
Including a screen image generating device 150 including any one or more of RGB Matrix Switcher, DVI Matrix Switcher, CCTV, DVR to generate a screen image,
The inspection computer 130 receives the screen image in the form of a packet from the screen image generating device 150 through the network 120 or receives the screen image through the image-only cable 151 and receives the received screen image. Computer screen scanning system for digital forensic, characterized in that the collection and storage to analyze. 컴퓨터 스크린 스캐닝 시스템으로서,
하나 이상의 사용자 컴퓨터(110)와;
상기 사용자 컴퓨터(110)로부터 네트워크망(120)을 통해 수신한 스크린 영상 을 수집 저장하여 분석하기 위한 검사 컴퓨터(130)를 포함하여 이루어지되,
상기 컴퓨터 스크린 스캐닝 시스템은 검사 컴퓨터(130)를 복수개 구비하고,
상기 사용자 컴퓨터(110)와 검사 컴퓨터(130), 또는 복수개의 검사 컴퓨터(130)는 서로 간에 UDP/IP 방식과 TCP/IP 방식 중 어느 한 방식으로 스크린 영상 을 송수신하는 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. A computer screen scanning system,
One or more user computers 110;
Including the inspection computer 130 for collecting and storing the screen image received through the network 120 from the user computer 110,
The computer screen scanning system is provided with a plurality of inspection computer 130,
The user computer 110 and the test computer 130, or a plurality of test computer 130 is a digital forensics characterized in that the screen image transmission and reception between each other by any one of the UDP / IP method and the TCP / IP method Computer screen scanning system. 청구항 6에 있어서,
상기 하나의 검사 컴퓨터(130)는 상기 사용자 컴퓨터(110)로부터 전송받은 스크린 영상을 다른 검사 컴퓨터(130)로 복사 또는 분배하는 기능을 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The method of claim 6,
The one inspection computer 130 has a function of copying or distributing the screen image received from the user computer (110) to another inspection computer (130). 청구항 2에 있어서,
상기 사용자 컴퓨터(110)는 전송되는 스크린 영상의 압축 여부, 스크린 영상 중 갱신 픽셀만 전송, 스크린 영상 전송 차단을 위한 권한 획득 인증 및 스크린 영상 실시간 동시 녹화를 통지하는 기능을 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The method according to claim 2,
The user computer 110 has a function of notifying whether the transmitted screen image is compressed, transmitting only an update pixel of the screen image, obtaining authorization for blocking screen image transmission, and notifying real-time simultaneous recording of the screen image. Computer screen scanning system for forensics. 청구항 3에 있어서,
상기 검사 컴퓨터(130)는 검사자에 의한 검색 시 스크린 영상 생성 시간, 스크린 영상이 생성된 사용자 컴퓨터, 스크린 영상이 생성된 사용자 컴퓨터 모니터 식별 번호 및 스크린 영상과 연계하여 색인화된 텍스트 중 하나 이상을 검색어 또는 검색 조건으로 제공하는 기능을 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The method according to claim 3,
The inspection computer 130 may search for one or more of the screen image generation time, the user computer on which the screen image is generated, the user computer monitor identification number on which the screen image is generated, and the indexed text in association with the screen image. A computer screen scanning system for digital forensics characterized in that it has a function of providing a search condition. 청구항 3에 있어서,
상기 검사 컴퓨터(130)는 상기 사용자 컴퓨터(110)의 스크린 영상에 대한 스캐닝 여부, 스캐닝 주기, 스캐닝 화질 및 스캐닝 영역 중 하나 이상을 제어하는 기능을 구비한 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 시스템. The method according to claim 3,
The inspection computer 130 has a function of controlling whether one or more of a screen image of the user computer 110 is scanned, a scanning cycle, a scanning quality, and a scanning area. The computer screen scanning for digital forensics may be performed. system. 컴퓨터 스크린 스캐닝 방법으로서,
하나 이상의 사용자 컴퓨터의 실제 모니터에 제공되는 스크린 영상과 동일한 스크린 영상을 분배하여 검사 컴퓨터로 전송하는 단계와;
상기 검사 컴퓨터에서 상기 전송된 스크린 영상을, 스크린 영상의 패킷 헤더 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 재구성하는 단계와;
상기 검사 컴퓨터에서 상기 재구성하여 생성된 이미지를, 이미지의 태그 정보를 활용하여 사용자 컴퓨터, 스크린 식별 번호, 전송 시간에 따라 이미지 그룹별로 분류하여 저장하는 단계와;
상기 검사 컴퓨터에서 상기 저장된 이미지로부터 텍스트를 추출하는 단계와;
상기 검사 컴퓨터에서 상기 추출된 텍스트와 해당 텍스트가 추출된 이미지 , 텍스트 내용, 추출 횟수를 기초하여 색인화한 뒤 저장하는 단계와;
상기 검사 컴퓨터에 사용자 컴퓨터, 사용자 컴퓨터의 모니터, 스크린 영상 생성 시간 및 색인화된 텍스트 중 어느 하나 이상의 검색 조건을 입력하여 사용자 컴퓨터를 검색 조회하는 단계를 포함하여 이루어진 것을 특징으로 하는 디지털 포렌식을 위한 컴퓨터 스크린 스캐닝 방법. As a computer screen scanning method,
Distributing the same screen image as the screen image provided on the actual monitor of the one or more user computers and transmitting the same to the test computer;
Reconstructing the transmitted screen image by the inspection computer according to a user computer, a screen identification number, and a transmission time using packet header information of the screen image;
Classifying and storing the reconstructed image generated by the inspection computer into image groups according to a user computer, a screen identification number, and a transmission time by using tag information of the image;
Extracting text from the stored image at the inspection computer;
Indexing and storing the extracted text on the basis of the extracted text, the extracted image, the text content, and the number of times of extraction;
And searching the user computer by inputting a search condition of at least one of the user computer, the monitor of the user computer, the screen image generation time, and the indexed text to the inspection computer. Scanning method.
KR1020110046238A 2011-05-17 2011-05-17 Computer screen scanning system and method for digital forensics KR101085509B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110046238A KR101085509B1 (en) 2011-05-17 2011-05-17 Computer screen scanning system and method for digital forensics

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110046238A KR101085509B1 (en) 2011-05-17 2011-05-17 Computer screen scanning system and method for digital forensics

Publications (1)

Publication Number Publication Date
KR101085509B1 true KR101085509B1 (en) 2011-11-22

Family

ID=45398024

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110046238A KR101085509B1 (en) 2011-05-17 2011-05-17 Computer screen scanning system and method for digital forensics

Country Status (1)

Country Link
KR (1) KR101085509B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101243043B1 (en) 2012-09-11 2013-03-18 대한민국 Call history detection-tracking system based on call source data and a method executing the system
KR20200053877A (en) 2018-11-09 2020-05-19 코닉오토메이션 주식회사 IoT supporting apparatus for measuring equipment that is difficult to implement IoT function

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178521A (en) 2004-12-20 2006-07-06 Ubic:Kk Digital forensic method and forensic it security system
KR100987064B1 (en) * 2009-09-11 2010-10-11 유앤아이비즈니스솔루션 (주) Digital forensic system by use of virtual environment and method therefor

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006178521A (en) 2004-12-20 2006-07-06 Ubic:Kk Digital forensic method and forensic it security system
KR100987064B1 (en) * 2009-09-11 2010-10-11 유앤아이비즈니스솔루션 (주) Digital forensic system by use of virtual environment and method therefor

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101243043B1 (en) 2012-09-11 2013-03-18 대한민국 Call history detection-tracking system based on call source data and a method executing the system
KR20200053877A (en) 2018-11-09 2020-05-19 코닉오토메이션 주식회사 IoT supporting apparatus for measuring equipment that is difficult to implement IoT function

Similar Documents

Publication Publication Date Title
CN111698470B (en) Security video monitoring system based on cloud edge cooperative computing and implementation method thereof
CN208227074U (en) Electric power monitoring system network security monitors terminal
CN203689590U (en) Personnel identity recognition equipment
CN112667717B (en) Transformer substation inspection information processing method and device, computer equipment and storage medium
CN104867217A (en) Community monitoring and management system
CN107403165B (en) Data management architecture of intelligent face recognition system and use method
CN114584405B (en) Electric power terminal safety protection method and system
Luo et al. Edgebox: Live edge video analytics for near real-time event detection
CN109635099A (en) Case-involving electronic data evidence obtaining management system
CN107690051A (en) One kind alarm video recording method and device
Actoriano et al. Forensic Investigation on WhatsApp Web Using Framework Integrated Digital Forensic Investigation Framework Version 2
CN205507061U (en) Radar is synthesized and is taken notes appearance
Alotaibi et al. A novel forensic readiness framework applicable to the drone forensics field
KR101085509B1 (en) Computer screen scanning system and method for digital forensics
CN103986882A (en) Method for image classification, transmission and processing in real-time monitoring system
CN117061165A (en) Safety protection system based on space-time data lake technology of monitoring and control system
CN115883789B (en) System for monitoring railway infrastructure and protecting information safety based on 5G
KR102192039B1 (en) Method and system for managing traffic violation using video/image device
CN210274298U (en) Robot body security system based on camera array image analysis
CN114546957A (en) Intelligent centralized data processing service platform
CN106210651A (en) A kind of intelligent safety monitoring system
Sultana et al. Reliability analysis of Io VT based intelligent video surveillance system
CN111209464A (en) Automatic device and method for verifying and obtaining evidence for content of specific channel
CN110809138A (en) Video one-way transmission system based on no feedback light
CN103561215A (en) People collection snapshot system

Legal Events

Date Code Title Description
A201 Request for examination
A302 Request for accelerated examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140822

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151111

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20161110

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180829

Year of fee payment: 8