KR101266930B1 - 포렌식 감사 데이터 시각화 시스템 - Google Patents

포렌식 감사 데이터 시각화 시스템 Download PDF

Info

Publication number
KR101266930B1
KR101266930B1 KR1020110008283A KR20110008283A KR101266930B1 KR 101266930 B1 KR101266930 B1 KR 101266930B1 KR 1020110008283 A KR1020110008283 A KR 1020110008283A KR 20110008283 A KR20110008283 A KR 20110008283A KR 101266930 B1 KR101266930 B1 KR 101266930B1
Authority
KR
South Korea
Prior art keywords
data
time
program
type
audit
Prior art date
Application number
KR1020110008283A
Other languages
English (en)
Other versions
KR20120086926A (ko
Inventor
김점구
이인용
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020110008283A priority Critical patent/KR101266930B1/ko
Publication of KR20120086926A publication Critical patent/KR20120086926A/ko
Application granted granted Critical
Publication of KR101266930B1 publication Critical patent/KR101266930B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/40Information retrieval; Database structures therefor; File system structures therefor of multimedia data, e.g. slideshows comprising image and additional audio data
    • G06F16/44Browsing; Visualisation therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/248Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Computational Linguistics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

컴퓨터 단말에 설치되어, 컴퓨터 단말에서 사용되는 데이터를 수집하고, 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 컴퓨터 단말에서 사용되고 있는 데이터를 실시간으로 수집하는 데이터 수집부; 수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부; 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부; 상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및, 상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 구성을 마련한다.
상기와 같은 시스템에 의하여, 컴퓨터 단말에서 사용된 데이터를 사용자 행위 분석이 가능하도록 포렌식 감사 데이터를 생성하고, 이를 사용시간 및 프로그램별로 데이터를 시각화함으로써, 분석가가 직관적으로 데이터를 분석하여 컴퓨터 사용자의 행위를 추적하고, 이상 행위를 신속하게 탐지할 수 있다.

Description

포렌식 감사 데이터 시각화 시스템 { A visualization system for Forensics audit data }
본 발명은 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템에 관한 것이다.
특히, 본 발명은 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것이다.
일반적으로, 컴퓨터 기술의 발전과 사용의 대중화로 인하여 컴퓨터를 이용한 범죄가 증가하게 되었고, 이로 인하여 컴퓨터의 사용 목적과 사용자의 행위를 분석하는 컴퓨터 포렌식 기술이 등장하고 발달되었다. 컴퓨터 포렌식은 디지털 증거(Digital Evidence)를 확보하여 분석하는 것이 목적이며, 이러한 증거는 디지털 데이터로부터 확보한다. 디지털 데이터는 메모리, 스왑 및 디스크상에 존재하는 파일 시스템과 운영체제 및 어플리케이션의 정보를 저장하고 있는 물리적 저장 매체의 데이터와 네트워크상에 송 수신되는 네트워크 데이터로 나누어진다. 최근 다양한 사이버 범죄의 증가로 인하여 법적 증거가 될 수 있는 디지털 데이터의 중요성이 부각되고 있으며, 디지털 데이터를 보다 체계적이고 효율적으로 수집하고 감사할 수 있도록 데이터를 가공하여 보관하는 감사 데이터 기법도 다양하게 개발되고 있다.
하지만, 이렇게 수집된 포렌식 감사 데이터는 디지털 저장 매체의 발달로 인하여 수십 또는 수백 GB가 넘기 때문에 최근 데이터의 수집 방법보다는 수집된 데이터를 효과적이면서 정확하게 분석가가 분석할 수 있는 기술이 요구되고 있다. 이를 위해서 최근 다양한 분석 기법들이 존재하고 있으며, 그 중 하나가 본 발명이 사용하고 있는 데이터 시각화 기법을 이용한 포렌식 데이터 분석이다. 데이터 시각화 기법(Data Visualization)은 수천 또는 수천 만개의 데이터를 하나의 이미지로 표현한 방법으로, 단순 데이터 분석에서 찾을 수 없는 패턴을 시각적으로 찾는 방법이다.
데이터 시각화 기법은 대량의 데이터도 신속하게 처리하고 보여줄 수 있으며, 어떠한 패턴을 찾는데 있어서 시각적 분석이 다른 방법보다 직관적으로 빨리 찾을 수 있는 장점이 있다. 하지만, 이런 패턴을 찾기 위해서는 시각화 기법을 사용하는 사용자의 학습이 우선적으로 선행되어야 한다.
본 발명은 다양한 시각화 방법 중 하나의 방법으로 수집된 포렌식 데이터를 컴퓨터를 사용하고 있는 사용자의 관점에서 시간의 흐름에 따라 사용자가 사용한 컴퓨터 자원(하드웨어 및 소프트웨어) 사용과 데이터를 시각적으로 보여주는 방법이다. 본 발명은 수집된 모든 자원을 시간적 순서로 재배열하고, 시스템 자원 사용과 데이터 사용의 상관성 분석을 통하여 시스템 자원과 데이터의 연관성을 찾는다. 이렇게 가공된 데이터는 시각화 기법을 통하여 사용자의 컴퓨터 자원과 데이터 사용을 시간에 따라 시각적으로 추적하고 분석할 수 있게 된다. 본 발명을 통하여 수동적인 포렌식 데이터 분석을 넘어서 사용자 행위를 분석하고 감사할 수 있는 휴먼 포렌식이 가능하다.
본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템을 제공하는 것이다.
즉, 미디어 매체의 진보적인 발전으로 인하여 저장 매체의 용량은 기하급수적으로 증가하고 있으며, 이로 인하여 디지털 포렌식을 수행하는데 많은 시간이 소요되며 분석 방법에 있어서 많은 애로사항을 가지고 있다. 본 발명은 컴퓨터 디지털 데이터를 수집하여 포렌식 감사 데이터를 만들고, 이를 데이터 시각화 기법을 통하여 사용자의 이상 행위를 분석하고 판단하는데 있다.
특히, 본 발명의 목적은 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 포렌식 감사 데이터 시각화 시스템을 제공하는 것이다.
상기 목적을 달성하기 위해 본 발명은 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것으로서, 상기 컴퓨터 단말에서 사용되고 있는 데이터를 실시간으로 수집하는 데이터 수집부; 수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부; 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부; 상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및, 상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 한다.
또한, 본 발명은 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것으로서, 상기 컴퓨터 단말에서 사용되고 있는 데이터 정보를 특정 시간에 수집하는 데이터 수집부; 수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부; 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부; 상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및, 상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 한다.
또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시간 테이블은 시간의 흐름을 표시하는 열과 프로그램을 표시하는 행으로 구성되는 것을 특징으로 한다.
또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시하는 것을 특징으로 한다.
또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결하는 것을 특징으로 한다.
또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 데이터를 저장매체의 종류에 따라 묶어 표시하되, 상기 저장매체의 종류는 물리적 저장 장치 데이터 유형 및 네트워크 데이터유형으로 구분되고, 상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분되고, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분되고, 상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분되는 것을 특징으로 한다.
상술한 바와 같이, 본 발명에 따른 포렌식 감사 데이터 시각화 시스템에 의하면, 컴퓨터 단말에서 사용된 데이터를 사용자 행위 분석이 가능하도록 포렌식 감사 데이터를 생성하고, 이를 사용시간 및 프로그램별로 데이터를 시각화함으로써, 분석가가 직관적으로 데이터를 분석하여 컴퓨터 사용자의 행위를 추적하고, 이상 행위를 신속하게 탐지할 수 있는 효과가 얻어진다.
즉, 포렌식 감사를 위해 수집되는 데이터(이하 포렌식 감사 데이터)는 수십 또는 수백 GB가 넘기 때문에, 분석가가 이를 분석하는 데는 많은 인적 시간적 자원이 소요된다. 본 발명의 시각화 시스템을 통하면 직관적으로 사용자 행위를 추적하고 감사할 수 있으며, 최종적으로 사용자 이상 행위를 분석하고 판단할 수 있는 휴먼 포렌식이 가능하다.
도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 포렌식 감사 데이터 시각화 시스템의 구성에 대한 블록도이다.
도 3은 본 발명의 일실시예에 따른 디지털 데이터의 종류를 도시한 도면이다.
도 4는 본 발명에 따른 포렌식 감사 데이터의 일례를 도시한 도면이다.
도 5는 본 발명에 따른 포렌식 감사 데이터의 시각화 일례를 도시한 도면이다.

* 도면의 주요 부분에 대한 부호의 설명 *
10 : 컴퓨터 시스템 20 : 네트워크
30 : 데이터 시각화 시스템 31 : 데이터 수집부
32 : 데이터 필터부 33 : 감사데이터 생성부
34 : 비주얼 변환부 35 : 시각화 모듈부
40 : 영구보관 저장소 50 : 디지털 데이터
이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.
또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
먼저, 본 발명을 실시하기 위한 전체 시스템의 구성의 예들에 대하여 도 1을 참조하여 설명한다.
도 1a 또는 도 1b에서 보는 바와 같이, 본 발명에 따른 포렌식 감사 데이터 시각화 시스템은 네트워크상의 서버 시스템 또는 컴퓨터 시스템 상의 프로그램 시스템으로 실시될 수 있다.
도 1a와 같이, 본 발명의 실시를 위한 전체 시스템의 일례는 컴퓨터 시스템(10)과 감사 데이터 시각화 시스템(30)으로 구성되고 서로 네트워크(20)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다.
컴퓨터 시스템(10)은 일반 사용자가 이용하는 PC, 노트북, 넷북, PDA, 모바일 등의 통상의 컴퓨팅 단말기이다.
데이터 시각화 시스템(30)은 통상의 서버로서 네트워크(20)를 통해 컴퓨터 시스템(10)에 접속하여, 단말에 저장된 데이터 등 운영되거나 사용자에 의해 사용된 정보 등을 수집한다. 시각화 시스템(30)은 사용자가 사용한 컴퓨터 시스템(10)을 조사하고, 수집된 데이터를 분석하여, 이로부터 사용자의 행위를 분석한다.
데이터베이스(40)는 컴퓨터 시스템(10)에서 수집된 데이터를 저장하거나, 수집된 데이터를 조사하여 분석한 자료 등을 저장한다.
도 1b와 같이, 본 발명의 실시를 위한 전체 시스템의 다른 예는 컴퓨터 시스템(10)에 설치되는 프로그램 형태의 데이터 시각화 시스템(30)으로 구성될 수 있다. 즉, 데이터 시각화 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 시스템(10)에 설치되어, 실시간으로 컴퓨터 시스템(10)의 사용 상태를 수집하거나, 특정시점에서 컴퓨터 시스템(10)의 사용 상태를 수집한다.
이때, 컴퓨터 시스템의 사용 상태의 수집은 주로 하드 디스크 등 저장매체, 메모리, 스왑 메모리, 네트워크 메모리 등에 저장된 데이터를 수집하는 것이다. 이렇게 수집된 데이터는 외부 데이터베이스(또는 저장매체)에 저장되거나, 컴퓨터 시스템(10)의 사전에 정해진 저장공간에 저장된다. 이러한 저장공간을 영구보관 저장소(40)라 부르기로 한다.
다음으로, 본 발명의 일실시예에 따른 포렌식 감사 데이터 시각화 시스템(30)의 구성을 도 2를 참조하여 구체적으로 설명한다.
도 2와 같은 구성에 의해, 시각화 시스템(30)은 컴퓨터의 디지털 데이터를 수집하여 포렌식 감사 데이터를 만들며, 이를 데이터 시각화 기법을 통하여 데이터를 시각화한다.
도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 데이터 시각화 시스템(30)은 데이터 수집부(31), 데이터 필터부(32), 감사데이터 생성부(33), 비주얼 변환부(34), 및, 시각화 모듈부(35)를 포함하여 구성된다.
데이터 수집부(31)는 컴퓨터 시스템(10)의 디지털 데이터를 수집한다.
데이터 수집부(31)는 해당 컴퓨터 시스템(10)에 설치되어, 디지털 데이터를 실시간으로 수집한다. 실시간으로 데이터를 수집하면, 보다 다양하고 자세한 데이터와 정보를 수집할 수 있다.
다른 실시예로서, 데이터 수집부(31)는 일시적인 데이터를 수집한다. 이때, 수집되는 디지털 데이터는 제한적이고 풍부하지 못하다.
따라서 본 발명의 데이터 시각화는 수집된 데이터의 정보의 내용과 용량에 따라 시각화 될 수 있는 정보가 다르기 때문에 본 발명에서는 수집 방법과 절차에 대해서는 배제하지만, 실시간 데이터와 일시적 데이터를 모두 시각화할 수는 있다.
도 3에서 보는 바와 같이, 데이터 수집부(31)에서 수집되는 디지털 데이터는 저장장소(또는 저장매체)에 따라 구분될 수 있다. 즉, 사용자에 의해 사용되는 컴퓨터 시스템(10)의 디지털 데이터는 크게 물리적 저장 장치 데이터 유형과 네트워크 데이터 유형으로 구분된다. 물리적 저장장치 데이터 유형은 하드 디스크, SSD(Solid State Disk), USB메모리 등 물리적 저장매체에 저장되는 데이터를 말한다. 네트워크 데이터 유형은 인터넷, 근거리 통신망 등 네트워크와 연결되어 송수신되는 패킷 등의 데이터를 말한다.
상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분된다. 또한, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분된다. 파일시스템 데이터 유형은 파일 시스템에 의한 데이터이고, 스왑 데이터 유형은 메모리 등에 기록된 데이터를 스왑하기 위해 임시 저장된 데이터들을 말한다.
상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분된다. 패킷 데이터 유형은 패킷 등 실제로 네트워크를 통해 송수신되는 데이터이고, 네트워크 로그 유형은 네트워크의 상태를 시간상으로 기록하여 저장하는 로그 데이터를 말한다.
데이터 수집부(31)는 이렇게 수집된 디지털 데이터를 데이터베이스(또는 영구보관 저장소)(40)에 저장한다. 이는 디지털 포렌식에 있어서 원본 데이터 손상을 예방할 수 있다. 이렇게 수집된 디지털 데이터는 수십 또는 수백 GB가 되며, 디지털 데이터의 범주가 매우 다양하기 때문에 적절한 데이터의 선별과 데이터의 시각화를 위한 전처리 작업이 요구된다.
데이터 필터부(32)는 수집된 데이터로부터 불필요한 정보를 제거하고 필요한 정보를 선별한다. 이때, 데이터 필터부(32)는 사전에 정해진 규칙에 의하여 불필요한 데이터를 제거한다. 예를 들어, 데이터 필터부(32)는 규칙에 의해, 운영체제와 소프트웨어에서 사용하는 라이브러리 및 시스템 파일 등은 불필요한 정보로서 제외된다.
한편, 데이터 필터부(32)는 직접 분석가로부터 불필요한 파일을 지정하는 입력을 받아 데이터를 제외할 수 있다. 즉, 데이터 필터부(32)는 분석가가 직접 선택 지정할 수 있도록 한다.
감사데이터 생성부(33)는 앞서 데이터 필터부(32)에 의해 선택된 데이터들 간의 상관관계를 분석하고, 시간에 따른 사용자의 행위 분석이 가능하도록 포렌식 감사 데이터를 생성한다. 특히, 감사데이터 생성부(33)는 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터(Forensics audit data)를 생성한다.
특히, 감사데이터 생성부(33)는 각 선별 데이터를 사용하는 프로그램을 검색하여, 선별 데이터와 프로그램 사이의 상관관계를 형성시킨다. 즉, 특정 시간에 사용된 선별 데이터를 특정 프로그램이 사용(열기, 수정, 참조 등)하였으면, 상기 특정 프로그램과 상기 선별 데이터는 서로 상관관계를 갖는다고 말한다.
포렌식 감사 데이터의 구조는 도 4와 같이 구성되어 있다.
도 4에서 보는 바와 같이, 모든 포렌식 감사 데이터(Forensics audit data)에는 사용 시간을 알 수 있도록 타임스탬프(Timestamp)가 저장되어 있다. 그리고 각 감사 데이터가 어느 프로그램과 상관관계를 갖는지를 표시하고, 데이터 종류 등이 표시된다. 또한, 데이터 명 등 데이터를 식별할 수 있는 정보도 포함된다.
한편, 감사데이터 생성부(33)는 프로그램의 시작 시간과 종료시간, 감사 데이터의 사용시간 등을 정한다. 데이터 수집부(31)에서 이러한 시간 정보를 실시간으로 수집할 수도 있고, 특정 시간에 수집된 데이터를 분석하여 상기와 같은 시간 정보를 추정할 수도 있다.
먼저, 실시간으로 데이터를 수집하는 경우의 예를 설명한다.
프로그램의 시작 및 종료 시간 추정은 해당 컴퓨터에 감시 프로그램(에이전트)을 설치하면 실시간으로 프로그램이 시작된 시간과 종료된 시간을 알 수 있다.
모든 프로그램에 하드 디스크(윈도우 경우 C:\programfiles)에 저장이 되며, 사용자에 의해서 실행이 되면 해당 프로그램은 하나의 프로세스로 되어 실행이 된다. 현재 실행되고 있는 프로세스는 윈도우의 경우 작업 관리자를 통하여 확인할 수 있으며, 리눅스의 경우 프로세스 상태 명령어(PS 명령어)를 통하여 확인할 수 있다. 이러한 정보는 시스템 프로그래밍(시스템 라이브러리를 이용하여 정보 추출)을 통하여 충분히 구현할 수 있으며, 일부 소스코드와 프로그램 방법이 나와 있다.
네트워크의 경우도 모든 프로그램에서 사용되는 네트워크 패킷에는 데이터가 나가고 들어오는 시간을 알 수가 있도록 타임스탬프(timestamp)가 기록되며, 이는 운영체제에 의해서 기록된다. 이를 중간에 확인할 수 있는 방법은 시스템 프로그래밍을 이용하면 충분히 가능하다. 즉, 일반적으로 raw 소켓 프로그래밍이나 PCAP(패킷 캡쳐 프로그램)을 이용한 프로그래밍을 통하여 개발이 이루어진다.
시스템 프로그래밍은 운영체제에서 제공하는 라이브러리를 이용하여 시스템 정보를 얻거나 제어하는 방법으로 이를 통하여 운영체제에서 사용하는 프로세스 및 네트워크 정보와 파일 시스템 정보 등을 다양한 정보를 수집할 수가 있다. 모든 모니터링 프로그램이나 감시 및 백신 프로그램(v3 등)과 같은 예방 프로그램들이 시스템 프로그래밍을 통하여 개발되고 있다.
다음으로, 일시적으로(또는 특정 시간에만) 데이터를 수집하는 경우를 설명한다. 일시적인 데이터의 경우, 작동되고 있는 컴퓨터의 정보를 포렌식 툴(too)과 같은 도구를 이용하여 포렌식 데이터를 수집한다. 이러한 데이터에는 실시간 데이터에 비해 많은 정보를 확인할 수 없지만, 일부 데이터를 이용하여 정보를 확인할 수가 있다.
우선 일시적인 데이터에서 실행되고 있던 프로세스의 시작 시간과 종료 시간은 확인할 수 있는 방법으로서, 예로 들면, 프로그램이 사용한 데이터(파일, 임시파일, 로그, 쿠키 등)를 이용하여 그 시간 때를 추정한다.
즉, 사용자가 워드 프로세스를 사용할 경우 이 사용자는 분명 하나의 문서 파일을 생성하던지 기존에 있던 문서 파일을 열었을 것이다. 이 시간은 마지막 액세스(접근) 시간을 확인하면 알 수가 있다. 그리고 파일의 시스템 정보를 확인하면 마지막 수정 시간을 알 수 있다.
또, 파일이 특정제품의 워드프로세서를 이용한 것이면, 확장자와 설치된 프로그램(C:\Program Files)의 목록을 조사하여 어떠한 프로그램에 의해서 사용이 되었는지 알아낼 수 있다. 즉, 마지막 액세스한 날짜를 이용하여 언제쯤 파일이 열렸는지 추정을 할 수 있다. 프로그램의 정확한 시작 시간과 종료 시간을 확인할 수는 없지만 마지막 접근 시간을 통하여 확인할 수 있다.
또한 네트워크 접근의 경우 한 사용자가 웹브라우저를 통하여 특정 사이트를 방문하고 사용했다면, 웹브라우저에서 접근한 모든 정보는 웹 임시 폴더에 저장이 되며, 여기에는 접속한 사이트 정보와 이미지 파일, 쿠키 및 ActiveX 정보 등을 확인할 수 있다.
또한, 일시적인 데이터의 경우 윈도우의 다양한 명령어를 통하여 메모리에 있는 운영체제의 운영 정보를 확인할 수 있다. 한 예로 netstat -b -v 명령어의 경우 현재 프로세스에서 사용하고 있는 네트워크 연결 정보를 확인할 수가 있다.
다양한 수집 시스템 정보 수집도구 등 종래의 어플리케이션(EnCase)을 이용하며 보다 다양한 정보를 수집할 수 있다. 다만, 실시간 데이터 수집에 비하여, 일시적인 데이터 수집은 시스템의 모든 상황을 감시할 수 있는 정보 수집을 하기 어렵다. 따라서 상기와 같은 일례와 같이, 특정한 규칙을 사전에 만들고, 만들어진 규칙에 따라 프로그램 또는 파일의 존속기간 등을 찾아내거나 추정한다.
비주얼 변환부(34)는 감사데이터 생성부(33)에 의해 생성된 포렌식 감사 데이터를 시간의 순서에 따라 데이터를 정렬하되, 특히, 특정 시간에 따른 사용된 프로그램을 기준으로 데이터를 정렬하게 된다. 이때, 프로그램은 감사 데이터와 상관관계를 갖는 데이터들이다.
모든 컴퓨터에서 발생되는 데이터는 컴퓨터 사용자에 의해서 생성되며, 사용자의 행동은 프로그램을 통하여 이루지게 된다. 따라서 시간에 따른 운영 프로그램을 정렬하고 운영 프로그램과 관련된 데이터를 추적하게 되면 사용자가 그 일련의 시간 동안의 행위를 분석하고 추적할 수 있게 된다.
시각화 모듈부(35)는 이렇게 처리가 완료된 데이터를 시각화하여, 분석가가 데이터를 직관적으로 분석할 수 있게 된다. 즉, 시각화 모듈부(35)는 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시한다.
최종 분석가 분석할 수 있게 되는 시각화의 구성의 일례는 도 5와 같다.
도 5에서 보는 바와 같이, 시간의 따른 구분을 컴퓨터의 시작 시간과 종료 시간에 따라 나눈다. 즉, 컴퓨터는 총 3번 켜져서 작동된 것을 알 수 있다. 컴퓨터 운용 시간에 따라 시간을 크게 구분한 후 각각을 t 시간으로 나눈다. 그리고 각 구간마다 특정 시간에 프로그램들이 작동된 시간을 막대 그래프(700)로 나타내며, 막대 그래프의 크기는 프로그램이 작동된 시간을 나타낸다.
또한, 시각화 모듈부(35)는 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결한다.
또한, 시각화 모듈부(35)는 데이터를 저장매체의 종류에 따라 묶어 표시한다. 즉, 막대 그래프에는 프로그램이 작동된 시간에 따른 사용된 디스크 데이터(800), 메모리 데이터(900), 네트워크 데이터(1000)가 표시되게 되며, 각각의 데이터는 영구 보관 저장소(40)에 저장된 원본 데이터가 링크(연결)되어 있다. 이렇게 함으로써, 분석가는 시간에 따른 사용자의 행위와 각각의 정보를 직관적으로 분석할 수 있게 된다.
다음으로, 본 발명의 효과를 보다 구체적으로 설명한다.
앞서 본 바와 같이, 본 발명에 따른 시각화 시스템(30)은 다양한 시각화 방식 중 하나의 방식으로 수집된 포렌식 데이터를, 사용자의 관점에서 시간의 흐름에 따라 시각화하여 표시한다. 즉, 사용자가 사용한 컴퓨터 자원(하드웨어 및 소프트웨어) 사용과 데이터를 시각적으로 보여주는 것이다.
즉, 시각화 시스템(30)은 수집된 모든 자원을 시간적 순서로 재배열하고, 시스템 자원 사용과 데이터 사용의 상관성 분석을 통하여 시스템 자원과 데이터의 연관성을 찾는다. 이렇게 가공된 데이터는 시각화 기법을 통하여 사용자의 컴퓨터 자원과 데이터 사용을 시간에 따라 시각적으로 추적하고 분석할 수 있다.
이를 통해, 본 발명에 따른 시각화 시스템(30)은 수동적인 포렌식 데이터 분석을 넘어서 사용자 행위를 분석하고 감사할 수 있는 휴먼 포렌식이 가능하다.
이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.
본 발명은 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템을 개발하는 데 유용하다.

Claims (6)

  1. 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 있어서,
    상기 컴퓨터 단말에서 사용되고 있는 데이터를 실시간으로 수집하는 데이터 수집부;
    수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부;
    선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부;
    상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및,
    상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하고,
    상기 시간 테이블은 시간의 흐름을 표시하는 열과 프로그램을 표시하는 행으로 구성되고,
    상기 시각화 모듈부는, 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시하고,
    상기 시각화 모듈부는, 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결하고,
    상기 시각화 모듈부는, 데이터를 저장매체의 종류에 따라 묶어 표시하되, 상기 저장매체의 종류는 물리적 저장 장치 데이터 유형 및 네트워크 데이터유형으로 구분되고, 상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분되고, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분되고, 상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분되는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
  2. 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 있어서,
    상기 컴퓨터 단말에서 사용되고 있는 데이터 정보를 특정 시간에 수집하는 데이터 수집부;
    수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부;
    선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부;
    상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및,
    상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하고,
    상기 시간 테이블은 시간의 흐름을 표시하는 열과 프로그램을 표시하는 행으로 구성되고,
    상기 시각화 모듈부는, 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시하고,
    상기 시각화 모듈부는, 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결하고,
    상기 시각화 모듈부는, 데이터를 저장매체의 종류에 따라 묶어 표시하되, 상기 저장매체의 종류는 물리적 저장 장치 데이터 유형 및 네트워크 데이터유형으로 구분되고, 상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분되고, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분되고, 상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분되는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
  3. 삭제
  4. 삭제
  5. 삭제
  6. 삭제
KR1020110008283A 2011-01-27 2011-01-27 포렌식 감사 데이터 시각화 시스템 KR101266930B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110008283A KR101266930B1 (ko) 2011-01-27 2011-01-27 포렌식 감사 데이터 시각화 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110008283A KR101266930B1 (ko) 2011-01-27 2011-01-27 포렌식 감사 데이터 시각화 시스템

Publications (2)

Publication Number Publication Date
KR20120086926A KR20120086926A (ko) 2012-08-06
KR101266930B1 true KR101266930B1 (ko) 2013-05-28

Family

ID=46872601

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110008283A KR101266930B1 (ko) 2011-01-27 2011-01-27 포렌식 감사 데이터 시각화 시스템

Country Status (1)

Country Link
KR (1) KR101266930B1 (ko)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410442B1 (ko) * 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 사용자 행위분석 기반 디지털 포렌식 감사 시스템
US9633134B2 (en) 2012-12-26 2017-04-25 Fireeye, Inc. Timeline wrinkling system and method
KR20140117811A (ko) 2013-03-27 2014-10-08 한국전자통신연구원 기록 데이터 시각화 방법 및 장치
KR101487608B1 (ko) * 2013-07-12 2015-01-29 재단법인대구경북과학기술원 스마트 기기 모니터링 시스템 및 방법
CN107832021B (zh) * 2017-11-29 2020-09-22 厦门市美亚柏科信息股份有限公司 一种电子证据固定方法、终端设备及存储介质
KR102457824B1 (ko) * 2020-12-11 2022-10-24 한국전자통신연구원 스마트팜 데이터셋 유효성 검증을 위한 수집 데이터 선별 장치 및 그 방법
CN116665909B (zh) * 2023-04-11 2024-05-24 柏瑞康(深圳)健康管理有限公司 一种基于大数据的保健信息处理系统

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
대한인간공학회 2008 춘계학술대회(2008.5. 제목 : 효율적인 컴퓨터 포렌식 수사를 위한 정보 시각화 기법 연구)
정보보호학회 논문지 제20권 제3호(2010.6. 제목 : 파일 조작에 따른 시간 변화 분석)

Also Published As

Publication number Publication date
KR20120086926A (ko) 2012-08-06

Similar Documents

Publication Publication Date Title
KR101266930B1 (ko) 포렌식 감사 데이터 시각화 시스템
US10540358B2 (en) Telemetry data contextualized across datasets
US9590880B2 (en) Dynamic collection analysis and reporting of telemetry data
US8694621B2 (en) Capture, analysis, and visualization of concurrent system and network behavior of an application
Fittkau et al. ExplorViz: Visual runtime behavior analysis of enterprise application landscapes
EP2932393B1 (en) Automated correlation and analysis of callstack and context data
KR101797185B1 (ko) 분산 환경에서 효율적으로 트랜젝션-분리 메트릭들을 수집하는 방법
Prasanthi Cyber forensic tools: a review
US7908239B2 (en) System for storing event data using a sum calculator that sums the cubes and squares of events
Sutherland et al. Acquiring volatile operating system data tools and techniques
US20100198796A1 (en) Treemap visualizations of database time
CN112131571B (zh) 威胁溯源方法及相关设备
CN114528457A (zh) Web指纹检测方法及相关设备
Böhm et al. Visual decision-support for live digital forensics
KR101830936B1 (ko) 데이터베이스와 애플리케이션을 위한 웹기반 성능개선 시스템
Schmerl et al. Explorative visualization of log data to support forensic analysis and signature development
JP2008257482A (ja) 計算機操作の可視化方法
CN112685376A (zh) 海量日志数据分析方法及系统
CN112347068A (zh) 基于elk的日志分析方法及系统
Grégio et al. Interactive, visual-aided tools to analyze malware behavior
Huang et al. Anomaly detection by monitoring filesystem activities
Fessi et al. Data collection for information security system
Rafique et al. Profiling software applications for forensic analysis
Song et al. Visible forensic investigation for android applications by using attack scenario reconstruction
Janloy et al. The Comparison of Web History Forensic Tools with ISO and NIST Standards

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170427

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee