KR20110010244A - 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법 - Google Patents

운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법 Download PDF

Info

Publication number
KR20110010244A
KR20110010244A KR1020090067697A KR20090067697A KR20110010244A KR 20110010244 A KR20110010244 A KR 20110010244A KR 1020090067697 A KR1020090067697 A KR 1020090067697A KR 20090067697 A KR20090067697 A KR 20090067697A KR 20110010244 A KR20110010244 A KR 20110010244A
Authority
KR
South Korea
Prior art keywords
log
user
event
file
login
Prior art date
Application number
KR1020090067697A
Other languages
English (en)
Other versions
KR101078375B1 (ko
Inventor
임연호
정창성
박재성
강민규
김대청
Original Assignee
티에스온넷(주)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 티에스온넷(주) filed Critical 티에스온넷(주)
Priority to KR1020090067697A priority Critical patent/KR101078375B1/ko
Publication of KR20110010244A publication Critical patent/KR20110010244A/ko
Application granted granted Critical
Publication of KR101078375B1 publication Critical patent/KR101078375B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/535Tracking the activity of the user

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Debugging And Monitoring (AREA)

Abstract

본 발명은 서버에 로그인하여 로그아웃까지 수행된 사용자의 작업 행위를 운영체제를 이용하여 추적하고 그 작업 내역을 로그로 기록하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법에 관한 것이다. 본 발명에 따르는 사용자 행위 추적 시스템은, 사용자의 로그인 및 로그아웃 이벤트가 발생하면, 이벤트 정보로부터 발생 시간, 사용자 ID, 사용자 IP를 추출하여 로그로 기록하는 수단; 로그인 사용자에 의하여 입력 이벤트가 발생하면, 키보드 이벤트 정보로부터 입력 내용을 추출하여 로그로 기록하고, 마우스 이벤트 정보로부터 버튼 클릭 및 선택 파일의 정보를 추출하여 로그로 기록하는 수단; FTP(File Transfer Protocol)/텔넷 통신의 포트를 설정받고, 상기 포트에서 FTP/텔넷 이벤트가 발생하면 포트로 들어오는 패킷을 분석하여 명령어를 포함하는 사용자 작업 내역을 로그로 기록하는 수단; 및 추적 대상의 폴더 및 파일을 설정받고, 파일 변경 이벤트가 발생하면, 파일 변경 이벤트 정보로부터 명령, 대상 파일, 파일 변경 정보를 추출하여 로그로 기록하는 수단을 포함한다.

Description

운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법{System for tracing user activity using operating system and method thereof}
본 발명은 사용자가 시스템에 로그인하여 로그아웃까지 수행한 전체 작업 내용에 대하여, 운영체제를 이용하여 추적하고자 하는 이벤트를 등록하고, 당해 이벤트가 발생하면 그 작업 내용을 로그로 저장하여 사용자 행위를 추적하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법에 관한 것이다.
컴퓨터 단말은 전원 온 이후로부터 전원 오프까지 운영체제의 제어하에서 모든 작업이 처리된다. 이 과정에서 사용자 또는 프로그램은 컴퓨터 단말의 실행 주체가 되고, 운영체제는 실행 주체의 작업 요청을 처리하여 실행 주체에게 결과를 응답한다.
최근 들어 컴퓨터 단말에서 사용자의 불법적인 행위를 추적하기 위해서 프로세스, 쓰레드, 메시지, 대기 가능 개체, 키 입력, 파일시스템, 디스크 그리고 네트워크와 같은 다양한 종류의 시스템 개체를 추적하기 위한 연구가 진행되고 있다. 이러한 추적 시스템은 사용자 데이터의 기밀을 보호하는 동시에 사용자가 자신의 시스템을 추적하도록 허용하도록 하고 있다. 이러한 시스템의 필요성이 증가하면서 보안 로그의 다양성은 급격하게 증가하였다. 이로 인해 컴퓨터 보안 로그의 생성, 전송, 저장, 분석과 처리과정을 포함하는 컴퓨터 보안 로그 관리의 필요성이 대두되었다. 로그는 문제점을 해결하기 위해 이용되어 왔지만 최근에는 시스템이나 네트워크의 효율을 최적화하거나 사용자들의 행동을 기록하거나 또는 악의적인 행위들을 조사하기 위한 유용한 데이터로 사용되고 있다. 주기적인 로그 검토 및 분석을 통해 보안사건이나 정책의 위반, 부정한 행위와 운영상의 문제들이 발생한 직후에 이들을 식별해 내고 해결할 수 있다. 로그는 또한 기관의 내부적인 조사를 지원하고 토대를 확립하며 운영상의 흐름과 장기적인 문제점들을 구별해 냄으로써 감사를 실시하거나 포렌식 분석을 실시하는데 매우 유용하게 이용될 수 있다.
또한, 다수의 접속 사용자들을 대상으로 서비스하는 서버 컴퓨터의 경우는 제도적으로 로그 관리를 하도록 법률로 규정하고 있는 실정이다. 예를 들면, 미국 연방 정부의 정보 보안 관리 결의(FISMA), 미국 금융 기관의 보안 결의(GLBA), 미국 의료 데이터 보안 기준(HIPAA) 등이 있다.
본 발명은 전술한 바와 같은 점에 착안하여 창출된 것으로서, 사용자의 컴퓨터 단말 이용 과정에서 발생하는 로그온/로그오프, 키보드 및 마우스 작업 내역, FTP/Telnet 작업 내역 및 파일 시스템 작업 내역을 추적하여 사용자 세션에서 수행된 모든 작업 내용을 로그로 기록하는 것을 목적으로 한다.
전술한 바와 같은 목적을 달성하기 위한 본 발명의 운영체제를 이용하는 사용자 행위 추적 시스템에 따르면, 사용자의 로그인부터 로그아웃까지 수행된 사용자 행위 및 프로세스를 추적하기 위하여 운영체제로부터 추적 대상의 이벤트 발생시마다 로그 기록 여부를 판단한 후 로그로 기록하는 사용자 행위 추적 시스템에 있어서, 사용자의 로그인 및 로그아웃 이벤트가 발생하면, 이벤트 정보로부터 발생 시간, 사용자 ID, 사용자 IP를 추출하여 로그로 기록하는 수단; 로그인 사용자에 의하여 입력 이벤트가 발생하면, 키보드 이벤트 정보로부터 입력 내용을 추출하여 로그로 기록하고, 마우스 이벤트 정보로부터 버튼 클릭 및 선택 파일의 정보를 추출하여 로그로 기록하는 수단; FTP(File Transfer Protocol)/텔넷 통신의 포트를 설정받고, 상기 포트에서 FTP/텔넷 이벤트가 발생하면 포트로 들어오는 패킷을 분석하여 명령어를 포함하는 사용자 작업 내역을 로그로 기록하는 수단; 및 추적 대상의 폴더 및 파일을 설정받고, 파일 변경 이벤트가 발생하면, 파일 변경 이벤트 정보로부터 명령, 대상 파일, 파일 변경 정보를 추출하여 로그로 기록하는 수단을 포함하는 것을 특징으로 한다.
본 발명의 바람직한 특징에 따르면, 특정 이벤트 발생시 화면 캡쳐하여 로그로 기록하는 수단을 더 포함하는 것을 특징으로 한다.
바람직하게, 사용자 로그인부터 로그아웃까지 사용자 세션에 대한 로그 조회 요청을 받으면, 로그인/로그아웃 로그, 키보드/마우스 로그, 파일 변경 로그를 통합하여 시간순으로 정렬된 세션 로그를 제공하는 수단을 더 포함하는 것을 특징으로 한다.
나아가, 상기 로그의 기록 여부를 판단할 때, 사용자, 시각, 세션 및 이벤트 정보를 포함하는 예외 정보와 비교하여 당해 발생 이벤트가 예외 정보에 해당되면 로그 기록을 생략하는 것을 특징으로 한다.
더 나아가, 사용자의 행위를 추적하여 저장된 로그는 로그인 사용자의 조회 요청에 의하여 제공되는 것을 특징으로 한다.
바람직하게, 추적 대상의 이벤트 발생시마다 통보받기 위하여, 운영체제에 시스템 함수를 이용하여 이벤트 통보를 미리 등록하고, 이벤트 발생이 통보되면 이벤트 필터링을 수행하여 로그 기록 여부를 판단하는 것을 특징으로 한다.
나아가, 운영체제는 윈도우즈(Windows) 계열의 운영체제로서, 운영체제에 시스템 함수가 등록되고, 시스템 함수로부터 이벤트 발생시마다 메시지를 통보받는 것을 특징으로 한다.
한편, 본 발명의 운영체제를 이용하는 사용자 행위 추적 방법에 따르면, 사용자의 로그인부터 로그아웃까지 수행된 사용자 행위 및 프로세스를 추적하기 위하 여 운영체제로부터 추적 대상의 이벤트 발생시마다 로그 기록 여부를 판단한 후 로그로 기록하는 컴퓨터 단말의 사용자 행위 추적 방법에 있어서, (S21)상기 컴퓨터 단말이 사용자의 로그인 및 로그아웃 이벤트가 발생하면, 이벤트 정보로부터 발생 시간, 사용자 ID, 사용자 IP를 추출하여 로그로 기록하는 단계; (S22)로그인 사용자에 의하여 입력 이벤트가 발생하면, 키보드 이벤트 정보로부터 입력 내용을 추출하여 로그로 기록하고, 마우스 이벤트 정보로부터 버튼 클릭 및 선택 파일의 정보를 추출하여 로그로 기록하는 단계; (S23)FTP(File Transfer Protocol)/텔넷 통신의 포트를 설정받고, 상기 포트에서 FTP/텔넷 이벤트가 발생하면 포트로 들어오는 패킷을 분석하여 명령어를 포함하는 사용자 작업 내역을 로그로 기록하는 단계; 및 (S24)추적 대상의 폴더 및 파일을 설정받고, 파일 변경 이벤트가 발생하면, 파일 변경 이벤트 정보로부터 명령, 대상 파일, 파일 변경 정보를 추출하여 로그로 기록하는 단계를 포함하는 것을 특징으로 한다.
본 발명에 따르면, 서버에 접속하는 사용자들을 대상으로 사용자의 작업 행위를 추적하여 로그로 기록함으로써 서버 자원의 보안을 유지할 수 있고, 기록된 사용자 로그를 통하여 서버의 작업 행위에 대한 모니터링이 가능하다.
이하, 첨부도면을 참조하여 본 발명의 바람직한 일 실시예의 구성을 상세하게 살펴본다.
<1. 시스템 구성>
도 1은 본 발명의 일 실시예에 따른 사용자 행위 추적 시스템(1)의 개략적 구성을 도시한다.
본 발명의 사용자 행위 추적 시스템(1)은 복수의 사용자 단말(2)을 대상으로 서버 서비스를 제공하는 과정에서 사용자 행위를 로그로 기록하는 컴퓨터 단말(2) 및 상기 컴퓨터 단말(2)에 유, 무선네트워크 접속하여 서버 자원을 이용하는 사용자 단말(3)을 포함하여 구성된다.
본 발명에서의 상기 유,무선 네트워크는 대표적으로 이동통신망, 인터넷과 같은 유,무선 공중망이나 전용망 등과 같이 다양한 프로토콜을 이용하여 데이터 통신이 가능한 모든 통신망을 포괄한다.
본 발명의 일 실시예에 따른 컴퓨터 단말(2)은 운영체제(예 : 윈도우즈)가 탑재되어 서버 기능을 제공한다. 사용자는 직접 컴퓨터 단말(2)의 주변 입력 장치를 이용하여 컴퓨터 단말(2)의 자원을 이용할 수 있고, 사용자 단말(3)을 이용하여 원격 접속한 후 컴퓨터 단말(2)의 자원을 이용할 수 있다.
컴퓨터 단말(2)에는 로그 기록 프로그램이 설치되어 로컬 접속 또는 원격 접속하는 사용자들을 대상으로 로그인 후 로그아웃까지의 세션 설정 과정에서 사용자의 모든 행위(프로세스 행위 포함)를 추적하고 추적 대상으로 설정된 이벤트별로 로그 기록을 저장한다. 로그 기록 프로그램은 사용자 행위를 추적할 수 있도록 복수개 모듈로 구성된다. 예를 들면, 사용자 로그인/로그아웃 로깅 모듈, 키보드 및 마우스 로깅 모듈, FTP/텔넷 로깅 모듈, 파일 시스템 로깅 모듈 등이 있다. 결과적으로, 로그로 저장된 데이터를 조회하면, 어느 사용자가 컴퓨터 단말(2)에서 언제 로그인했고, 어떤 명령을 입력했고, 어떤 자원을 이용했고, 어떤 처리를 수행했고, 언제 로그아웃 했는지를 일목요연하게 확인할 수 있다. 즉, 로그 기록의 저장은 서버 자원의 보안과 부정 행위를 추적하기 위한 것으로서 정당한 권한을 가진 사용자로부터 조회된다.
로그 기록 프로그램은 관리자로부터 추적 대상 이벤트와 예외 조건을 설정받는다. 추적 대상 이벤트가 설정되면, 당해 이벤트가 발생할 때마다 로그 기록 프로그램이 이벤트 메시지로 통보받기 위하여 시스템 함수를 이용하여 운영체제에 미리 등록한다. 예외 조건은 추적 대상 이벤트가 발생하더라도 로그 기록을 예외하는 사용자 계정, 사용자 세션, 시간, 파일 대상 등으로 구성된다. 이벤트 메시지를 통보받으면 메시지 구조체를 분석하여 추적 대상의 이벤트인지를 필터링하고, 예외 조건이 아닐 경우 추적 대상의 이벤트라고 판단하여 로그 파일로 실시간 기록한다.
본 발명의 일 실시예에 따른 사용자 단말(3)은 유무선 네트워크를 이용하여 컴퓨터 단말(2)에 직접 사용자 로그인하거나 또는 FTP/텔넷 사용자로 로그인한다. 로그인 이후의 사용자 행위는 컴퓨터 단말(2)에 로그 파일로 기록된다.
도 2는 본 발명의 일 실시예에 따른 컴퓨터 단말(2)의 개략적 내부 구조를 도시한다.
컴퓨터 단말(2)은 운영체제(200)가 설치되고, 이 운영체제(200)는 컴퓨터 단말(2)의 모든 처리를 제어한다. 따라서, 컴퓨터 단말(2)에서의 사용자 행위를 추적하기 위해서는 운영체제(200)에 미리 추적하고자 하는 사용자 행위를 등록하고, 추적 대상의 사용자 행위로부터 이벤트가 발생할 경우 이벤트 메시지로 통보받는다.
본 발명에 따른 컴퓨터 단말(2)은 사용자의 로그인 및 로그아웃 이벤트를 수집하여 로그로 기록하는 로그인/로그아웃 로그 기록 수단(21), 로그인 사용자의 키보드 입력 또는 마우스 입력 이벤트를 수집하여 로그로 기록하는 입력 로그 기록 수단(22), FTP(File Transfer Protocol)/텔넷 로그인 사용자의 명령 이벤트를 수집하여 로그로 기록하는 FTP/텔넷 로그 기록 수단(23), 로그인 사용자의 파일 변경(생성, 수정, 삭제, 변경) 이벤트를 수집하여 로그로 기록하는 파일 변경 로그 기록 수단(24)을 포함하여 구성된다.
바람직하게, 상기 이벤트들에 대하여 사용자 화면 캡쳐 정보를 수집하여 로그로 기록하는 화면 로그 기록 수단(25)을 더 포함할 수 있다.
나아가, 상기 이벤트들은 각각의 이벤트 종류에 따라서 분류되어 로그로 기록되는데, 사용자의 로그인부터 로그아웃까지 모든 이벤트를 시간순으로 분류하여 조회하기 위하여 세션 로그 제공 수단(26)을 더 포함할 수 있다.
이상의 도 2에서 도시된 운영체제를 이용하여 사용자 행위를 추적하는 컴퓨터 단말(2)의 개별 구성 요소들의 상세한 기능과 동작은 후술하는 사용자 행위 추적 방법을 통하여 설명한다.
<2. 방법 구성>
본 발명의 일 실시예에 따른 운영체제를 이용하는 사용자 행위 추적 방법은 전술한 시스템(1)의 구축을 통하여 바람직하게 실현될 수 있다.
도 3은 본 발명의 일 실시예에 따른 사용자 행위 추적 방법의 개념 모델을 도시한다.
컴퓨터 단말(2)은 운영 체제에 시스템 함수를 이용하여 추적 대상의 이벤트를 등록한다(S201). 이벤트가 등록된 후 추적 대상의 사용자 행위가 발생되면 자동으로 이벤트 메시지가 발생된다.
이벤트가 발생되면, 컴퓨터 단말(2)은 당해 메시지 구조체를 분석하여 메시지가 어떤 종류의 이벤트인지를 분석한다(S202). 이벤트 분석 과정에서 예외 조건과 비교되고 예외 조건에 해당할 경우 로그 기록을 생략한다.
로그 기록 대상의 이벤트이면, 컴퓨터 단말(2)은 당해 이벤트의 종류별로 분류하여 로그를 기록하고 파일로 저장한다(S203).
도 4는 본 발명의 일 실시예에 다른 사용자 행위 추적 방법의 개략적 기능 순서를 도시한다.
①먼저, 로그인/로그아웃 로그 기록 수단(21)이 수행하는 로깅 과정을 설명하면 다음과 같다. 설명의 편의상 윈도우즈 운영체제라 가정하여 설명한다. 윈도우즈 서버 운영체제에는 사용자 접속을 담당하는 로그온 모듈이 존재한다. 사용자가 접속을 시도하면 로그온 모듈은 구동되어 사용자에게 로그인 인터페이스를 제공한다.
사용자가 접속을 시도하면 로그온 모듈을 초기화하고, 사용자에게 로그오프 상태임을 사용자에게 알려준다. 로그오프 상태에서 [Ctrl]+[Alt]+[Del] 키를 동시에 입력하면 로그온 요청상태가 되고, 사용자에게 인증 요청 화면을 출력한다(단, 네트워크를 이용하는 원격 접속 시에는 로그오프 상태를 알리지 않으며, 바로 로그 온 요청 상태가 되어 인증 요청 화면이 출력된다).
로그온 요청 화면에서 사용자 이름과 암호를 입력한 후 확인 버튼을 클릭하면 로그온 모듈에게 인증을 요청한다. 로그온 모듈의 인증 요청 처리에 따라 인증에 성공하면 사용자 쉘이 활성화 되고 로그온 상태가 되며, 인증에 실패하면 다시 로그오프 상태가 된다. 윈도우즈 서버의 로그온 모듈은 사용자 이름과 암호 이외에 계정 잠금 상태에 따라서 사용자의 접속 여부를 결정한다.
로그온 제어 모듈은 윈도우즈 서버의 로그온 기본 조건을 확장하여 날짜, 시간, 요일, 접속한 클라이언트 IP 등의 다양한 조건에 따라 좀 더 세부적으로 서버에 접속하는 사용자의 로그온을 제어하여 윈도우즈 서버의 로그온 시스템을 강화할 수 있다.
이상과 같은 모듈을 이용하여 언제 어떤 사용자가 어디에서 로그온하였는지 정보를 획득할 수 있으며, 사용자가 언제 로그오프하였는지도 알 수 있다.
이를 위하여 로그인/로그아웃 로그 기록 수단(21)은 로그인, 로그오프, 시스템 종료, 비밀번호 변경 등의 이벤트가 발생할 때 발생되는 이벤트 함수를 등록하여 당해 이벤트 메시지를 가져오고, 당해 메시지 구조체로부터 세부 정보를 추출하여 로그 파일로 기록한다(S21).
②입력 로그 기록 수단(22)이 수행하는 키보드 입력 및 마우스 입력의 로깅 과정을 설명하면 다음과 같다.
전술한 사용자 로그온 과정에서 사용자가 컴퓨터 단말(2)로 로그온할 때 사용자의 행위를 추적하는 모듈이 실행되면서 추적 대상 사용자인지 비교한다. 추적 대상 사용자일 경우에는 사용자 로그인 시간을 구하고, 사용자 이름, 세션 ID, 세션 이름, 원격이라면 클라이언트 IP와 컴퓨터 단말(2)의 IP 정보를 획득한다. 그리고 유일한 세션 정보를 얻기 위해 시간, 프로세스 ID, 세션 ID 정보를 이용하여 다른 세션과 구분이 되는 값을 생성하기 위해 해쉬함수인 sha256으로 세션 구분자(SID, Primary Key)를 생성한다.
사용자의 입력 이벤트 후킹은 글로벌 후킹으로 동적 적재 라이브러리 형태의 후킹 프로시저를 이용한다. 후킹 함수는 SetWindowsHookEx로 실행하며, 그 결과 사용자의 키보드 및 마우스 입력을 추적할 수 있다. 사용자에 의해 키보드, 마우스 입력 시 프로세스 ID, 프로세스 이름, 윈도우 타이틀 제목을 구하여 어떤 프로그램을 실행 중인지 알아낼 수 있다. 획득한 데이터는 내부적으로 메시지를 통한 통신으로 정보를 교환하며, 획득한 데이터를 로그에 기술할 것인지 판단하기 위해, 프로세스 이름을 통한 예외 정책, 키보드 및 화면 로깅의 여부 등을 비교하여 로그 데이터의 생성을 결정한다. 로그는 사용자의 키보드 입력을 로그로 남기는 키보드 로그와 마우스의 입력을 통해 사용자의 화면을 로그로 남기는 화면 로그가 있다. 화면 로그는 사용자의 화면을 비트맵으로 잡아 JPG로 저장하여 파일의 크기를 최소화한다. 화면 로그의 크기를 고려하여 전체 화면 또는 사용자 화면에서 가장 앞의 창을 로그로 남길 수 있다.
사용자가 로그아웃할 때 운영체제에서 모든 프로세스에 종료 시그널을 보내 시그널을 받는 함수를 통해 사용자의 로그아웃을 알 수 있다. 이 시그널을 받으면 종료 시간을 구하고, 로깅을 종료하게 된다.
이상과 같은 내용으로 입력 로그 기록 수단(21)은 추적 대상 사용자가 컴퓨터 단말(2)에 접속하여 입력한 데이터 내역을 로그로 기록한다(S22). 그 결과 특정 파일의 변경 내역과 사용자의 행위를 확인할 수 있다. 물론, 사용자가 로컬에서 직접 로그온하거나 사용자 단말(3)을 이용하여 네트워크 원격 로그온할 때에도 모두 로깅할 수 있다.
③FTP/텔넷 로그 기록 수단(23)이 수행하는 FTP/텔넷 작업의 로깅 과정을 설명하면 다음과 같다.
패킷을 분석하는 라이브러리를 이용하여 Promiscuous 모드로 네트워크 인터페이스를 통해 해당 네트워크의 패킷을 모두 열람하여 볼 수 있는 모드에서 목적지가 컴퓨터 단말(2)이며, 설정된 포트(FTP 서비스의 경우 21번 포트)로 들어오는 패킷을 분석한다. 여기서, FTP 서비스 포트는 변경될 수 있으므로 사용 전에 서비스 포트를 미리 등록받아 저장한다. 일반적으로 라이브러리에서 제공하는 네트워크 인터페이스를 구하여 Promiscuous 모드로 설정하고, 포트에 대한 필터를 설정하면 콜백으로 패킷이 넘어오게 된다. 넘어온 패킷의 데이터를 보고 FTP 통신 규약(FTP COMMANDS)을 통해 사용자의 행위를 로깅할 수 있다. 예로 "USER"가 패킷으로부터 검출되면 사용자 이름, "LIST"가 검출되면 파일의 리스트, "DELETE"가 검출되면 파일 삭제와 같은 식으로 구분한다.
이상과 같은 내용으로 FTP/텔넷 로그 기록 수단(23)은 FTP 서비스에 접속한 사용자가 업로드 혹은 다운로드 등과 같이 작업한 내역을 세부적으로 로그 파일로 저장한다(S23). 텔넷(telnet) 서비스에 접속한 사용자의 작업 내역도 유사한 방식 으로 획득할 수 있기에 그 설명은 생략한다.
④파일 변경 로그 기록 수단(24)이 수행하는 파일 시스템의 변경 로깅 과정을 설명하면 다음과 같다.
고정 드라이브의 핸들을 얻어 파일 시스템 변경 통지 함수(예 : ReadDirectoryChangesW)를 운영체제에 등록하여 파일 변경 이벤트가 발생될 때마다 파일의 작업 내역을 구조체로 받게 된다. 이 구조체에는 파일의 생성(create), 삭제(delete), 재명명(rename), 수정(update, 보안속성변경, 크기변경, 생성시간변경, 마지막엑세스시간변경, 마지막쓰기시간변경, 속성변경(읽기, 숨김))의 정보가 담겨져 파일의 변경 내역을 추적할 수 있다.
이상과 같은 내용으로 파일 변경 로그 기록 수단(24)은 파일을 대상으로 작업한 변경 내역을 로그 파일로 저장한다(S24).
⑤화면 로그 기록 수단(25)은 사용자가 지정한 특정 이벤트에 대하여 사용자 화면 정보를 캡쳐하여 로그 파일로 저장한다(S25). 위에서 마우스 이벤트 발생시 화면을 캡쳐하는 것을 예시하였으나 특정 키 입력시 또는 기타 다른 이벤트(예 : 로그인, 파일 변경, FTP 접속 후 특정 명령 실행시 등)에 사용자에게 제공되는 화면을 캡쳐하여 저장하는 것도 가능하다.
⑥세션 로그 제공 수단(26)은 사용자가 로그온한 후 로그아웃까지의 세션 설정 동안에 작업한 모든 이벤트를 사용자 요청에 의하여 제공한다(S26). 세션 로그 제공은 별도로 세션 로그 파일을 저장하여 제공하거나 또는 사용자의 조회 요청을 받은 후 기존에 로그(로그인/로그아웃 로그, 입력 로그, FTP/텔넷 로그, 파일 변경 로그, 화면 캡쳐 로그)로부터 이벤트들을 실시간 수집하여 사용자에게 제공하는 것이 가능하다. 세션 로그 파일을 저장하는 경우 동일한 개별 이벤트는 중복 저장될 수 있다.
<3. 화면 예시>
도 5 내지 도 13은 본 발명의 일 실시예에 따른 컴퓨터 단말(2)에 설치되어 사용자 행위를 추적 및 기록하는 로그 기록 프로그램의 화면을 도시한다.
도 5 내지 도 7은 관리자가 환경 설정하는 화면을 도시한다. 도 5를 참조하면, 로그 기록 프로그램의 환경 설정 화면으로서 관리자는 추적 대상의 로그(키보드 로그, 화면 로그, FTP 실행 로그 등)를 선택한다. 관리자의 로그 선택에 의하여 대응하는 사용자 행위 이벤트는 로그 파일로 기록된다. 또한, 화면 캡쳐 설정 정보, 감시할 키보드 이벤트 및 마우스 이벤트 등을 설정한다. 화면 캡쳐 로그를 설정할 경우, 사용자 전체 화면을 캡쳐할 것인지 아니면 현재 사용자가 작업하는 최상위 윈도우만 캡쳐할 것인지 선택할 수 있다. 물론, 최상위 윈도우 캡쳐시 전체 사용자 화면에서 당해 실행 윈도우만 캡쳐되므로 파일 사이즈를 줄일 수 있다. 또한, 캡쳐 화면의 파일 사이즈에 대한 저장 용량을 고려하여 화면 캡쳐 이미지의 품질, 해상도, 크기, 저장 경로 등을 설정할 수 있다.
도 6을 참조하면. 관리자가 감시하고자 하는 사용자 계정이나 프로세스를 등록하고, 등록된 사용자 계정이 로그인하면 로그아웃하기 전까지 추적 대상이 된다. 또한, 등록된 프로세스의 실행은 추적 대상이 된다.
도 7을 참조하면, 관리자는 추적하고자 하는 파일 시스템의 경로와 추적하고자 하는 파일 이벤트(생성, 변경, 이름변경, 삭제)를 등록할 수 있다. 즉, 추적 대상의 사용자가 로그인한 이후 추적 대상의 파일 변경 이벤트를 발생시키면 당해 파일 변경 정보가 로그로 기록된다.
도 8을 참조하면, 세션 로그를 검색하는 화면으로서, 컴퓨터 단말(2)에 접속했거나 접속 중인 세션 정보를 상단 윈도우에 표시하고, 특정 세션을 선택하면 하단 윈도우에 당해 사용자의 작업 행위 이벤트가 발생 시간 순으로 윈도우 제목, 프로세스명, 프로세스 ID 항목과 함께 나열된다.
도 9를 참조하면, 관리자가 파일 생성 이벤트 발생시 사용자 전체 화면을 캡쳐하는 것으로 설정한 경우, 사용자가 "새 텍스트 문서.txt"를 만든 후 파일 생성 이벤트가 검출되어 캡쳐된 사용자 전체 화면이다.
도 10을 참조하면, 도 9의 텍스트 파일에서 사용자 키보드 입력하는 경우, 키보드 이벤트를 감지하여 사용자 입력 데이터가 기록된 로그 파일을 예시한다. 로그 파일을 열어보면, 사용자가 한글키를 누른 후 "문사"를 입력 후 차례로 F2, End, Backspce 키를 누르고 다시 "서"를 입력한 것을 알 수 있다.
도 11을 참조하면, 파일 시스템 로그로부터 검색되어 사용자가 폴더를 이동하며 텍스트 파일의 작업을 하는 과정에서 발생된 이벤트 내역임을 알 수 있다.
도 12를 참조하면, "비밀번호 정책" 화면으로서 사용자 계정의 비밀번호 정책을 도시한다.
도 13을 참조하면, "로그인 정책" 화면으로서 로그인 허용되는 계정, 로그인 허용 시간 등을 정의하고, 정의된 내용에 부합할 경우에만 사용자 로그인을 허용하는 것임을 알 수 있다.
상술한 바와 같이, 본 발명에 따른 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법의 실시예가 구성된다. 본 발명은 비록 한정된 실시예와 도면에 의해 설명되었으나, 본 발명은 이것에 의해 한정되지 않으며 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에 의해 본 발명의 기술사상과 아래에 기재될 특허청구범위의 균등범위 내에서 다양한 수정 및 변형이 가능함은 물론이다.
본 명세서에 첨부되는 다음의 도면들은 본 발명의 바람직한 실시예를 예시하는 것이며, 전술한 발명의 상세한 설명과 함께 본 발명의 기술사상을 더욱 이해시키는 역할을 하는 것이므로, 본 발명은 그러한 도면에 기재된 사항에만 한정되어 해석되지 않아야 한다.
도 1은 본 발명의 일 실시예에 따른 사용자 행위 추적 시스템의 개략적 구성도.
도 2는 본 발명의 일 실시예에 따른 컴퓨터 단말의 개략적 내부 구조도.
도 3은 본 발명의 일 실시예에 따른 사용자 행위 추적 방법의 개략적 순서도.
도 4는 본 발명의 일 실시예에 다른 사용자 행위 추적 방법의 개략적 기능 순서도.
도 5 내지 도 13은 본 발명의 일 실시예에 따른 컴퓨터 단말의 화면 캡쳐도.

Claims (14)

  1. 사용자의 로그인부터 로그아웃까지 수행된 사용자 행위 및 프로세스를 추적하기 위하여 운영체제로부터 추적 대상의 이벤트 발생시마다 로그 기록 여부를 판단한 후 로그로 기록하는 사용자 행위 추적 시스템에 있어서,
    사용자의 로그인 및 로그아웃 이벤트가 발생하면, 이벤트 정보로부터 발생 시간, 사용자 ID, 사용자 IP를 추출하여 로그로 기록하는 수단;
    로그인 사용자에 의하여 입력 이벤트가 발생하면, 키보드 이벤트 정보로부터 입력 내용을 추출하여 로그로 기록하고, 마우스 이벤트 정보로부터 버튼 클릭 및 선택 파일의 정보를 추출하여 로그로 기록하는 수단;
    FTP(File Transfer Protocol)/텔넷 통신의 포트를 설정받고, 상기 포트에서 FTP/텔넷 이벤트가 발생하면 포트로 들어오는 패킷을 분석하여 명령어를 포함하는 사용자 작업 내역을 로그로 기록하는 수단; 및
    추적 대상의 폴더 및 파일을 설정받고, 파일 변경 이벤트가 발생하면, 파일 변경 이벤트 정보로부터 명령, 대상 파일, 파일 변경 정보를 추출하여 로그로 기록하는 수단
    을 포함하는 것을 특징으로 하는 사용자 행위 추적 시스템.
  2. 제 1항에 있어서,
    특정 이벤트 발생시 화면 캡쳐하여 로그로 기록하는 수단을 더 포함하는 것 을 특징으로 하는 사용자 행위 추적 시스템.
  3. 제 2항에 있어서,
    사용자 로그인부터 로그아웃까지 사용자 세션에 대한 로그 조회 요청을 받으면, 로그인/로그아웃 로그, 키보드/마우스 로그, 파일 변경 로그를 통합하여 시간순으로 정렬된 세션 로그를 제공하는 수단을 더 포함하는 것을 특징으로 하는 사용자 행위 추적 시스템.
  4. 제 1항 내지 제 3항 중 어느 한 항에 있어서,
    상기 로그의 기록 여부를 판단할 때, 사용자, 시각, 세션 및 이벤트 정보를 포함하는 예외 정보와 비교하여 당해 발생 이벤트가 예외 정보에 해당되면 로그 기록을 생략하는 것을 특징으로 하는 사용자 행위 추적 시스템.
  5. 제 4항에 있어서,
    사용자의 행위를 추적하여 저장된 로그는 로그인 사용자의 조회 요청에 의하여 제공되는 것을 특징으로 하는 사용자 행위 추적 시스템.
  6. 제 5항에 있어서,
    추적 대상의 이벤트 발생시마다 통보받기 위하여, 운영체제에 시스템 함수를 이용하여 이벤트 통보를 미리 등록하고, 이벤트 발생이 통보되면 이벤트 필터링을 수행하여 로그 기록 여부를 판단하는 것을 특징으로 하는 사용자 행위 추적 시스템.
  7. 제 6항에 있어서,
    운영체제는 윈도우즈(Windows) 계열의 운영체제로서, 운영체제에 시스템 함수가 등록되고, 시스템 함수로부터 이벤트 발생시마다 메시지를 통보받는 것을 특징으로 하는 사용자 행위 추적 시스템.
  8. 사용자의 로그인부터 로그아웃까지 수행된 사용자 행위 및 프로세스를 추적하기 위하여 운영체제로부터 추적 대상의 이벤트 발생시마다 로그 기록 여부를 판단한 후 로그로 기록하는 컴퓨터 단말의 사용자 행위 추적 방법에 있어서,
    (S21)상기 컴퓨터 단말이 사용자의 로그인 및 로그아웃 이벤트가 발생하면, 이벤트 정보로부터 발생 시간, 사용자 ID, 사용자 IP를 추출하여 로그로 기록하는 단계;
    (S22)로그인 사용자에 의하여 입력 이벤트가 발생하면, 키보드 이벤트 정보로부터 입력 내용을 추출하여 로그로 기록하고, 마우스 이벤트 정보로부터 버튼 클릭 및 선택 파일의 정보를 추출하여 로그로 기록하는 단계;
    (S23)FTP(File Transfer Protocol)/텔넷 통신의 포트를 설정받고, 상기 포트에서 FTP/텔넷 이벤트가 발생하면 포트로 들어오는 패킷을 분석하여 명령어를 포함하는 사용자 작업 내역을 로그로 기록하는 단계; 및
    (S24)추적 대상의 폴더 및 파일을 설정받고, 파일 변경 이벤트가 발생하면, 파일 변경 이벤트 정보로부터 명령, 대상 파일, 파일 변경 정보를 추출하여 로그로 기록하는 단계
    를 포함하는 것을 특징으로 하는 사용자 행위 추적 방법.
  9. 제 8항에 있어서,
    (S25)특정 이벤트 발생시 화면 캡쳐하여 로그로 기록하는 단계를 더 포함하는 것을 특징으로 하는 사용자 행위 추적 방법.
  10. 제 9항에 있어서,
    (S26)사용자 로그인부터 로그아웃까지 사용자 세션에 대한 로그 조회 요청을 받으면, 로그인/로그아웃 로그, 키보드/마우스 로그, 파일 변경 로그를 통합하여 시간순으로 정렬된 세션 로그를 제공하는 단계를 더 포함하는 것을 특징으로 하는 사용자 행위 추적 방법.
  11. 제 8항 내지 제 10항 중 어느 한 항에 있어서,
    상기 로그의 기록 여부를 판단할 때, 사용자, 시각, 세션 및 이벤트 정보를 포함하는 예외 정보와 비교하여 당해 발생 이벤트가 예외 정보에 해당되면 로그 기록을 생략하는 것을 특징으로 하는 사용자 행위 추적 방법.
  12. 제 11항에 있어서,
    사용자의 행위를 추적하여 저장된 로그는 로그인 사용자의 조회 요청에 의하여 제공되는 것을 특징으로 하는 사용자 행위 추적 방법.
  13. 제 12항에 있어서,
    추적 대상의 이벤트 발생시마다 통보받기 위하여, 운영체제에 시스템 함수를 이용하여 이벤트 통보를 미리 등록하고, 이벤트 발생이 통보되면 이벤트 필터링을 수행하여 로그 기록 여부를 판단하는 것을 특징으로 하는 사용자 행위 추적 방법.
  14. 제 13항에 있어서,
    운영체제는 윈도우즈(Windows) 계열의 운영체제로서, 운영체제에 시스템 함수가 등록되고, 시스템 함수로부터 이벤트 발생시마다 메시지를 통보받는 것을 특징으로 하는 사용자 행위 추적 방법.
KR1020090067697A 2009-07-24 2009-07-24 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법 KR101078375B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020090067697A KR101078375B1 (ko) 2009-07-24 2009-07-24 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020090067697A KR101078375B1 (ko) 2009-07-24 2009-07-24 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법

Publications (2)

Publication Number Publication Date
KR20110010244A true KR20110010244A (ko) 2011-02-01
KR101078375B1 KR101078375B1 (ko) 2011-10-31

Family

ID=43770809

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020090067697A KR101078375B1 (ko) 2009-07-24 2009-07-24 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법

Country Status (1)

Country Link
KR (1) KR101078375B1 (ko)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108475128A (zh) * 2015-08-21 2018-08-31 雷蛇(亚太)私人有限公司 信息分配方法、计算机可读取介质及信息分配服务器
KR20180115582A (ko) * 2017-04-13 2018-10-23 양보륜 사용자 행위분석에 의해 컴퓨터 저장장치를 실시간 보호하는 시스템 및 그 제어방법
CN109446170A (zh) * 2018-09-13 2019-03-08 北京米文动力科技有限公司 一种配置文件数据同步方法及设备
CN111931465A (zh) * 2020-08-14 2020-11-13 中国工商银行股份有限公司 基于用户操作自动生成用户手册的方法及系统

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104537285A (zh) * 2014-12-10 2015-04-22 微梦创科网络科技(中国)有限公司 一种网络用户注册防刷方法及装置
KR101754197B1 (ko) * 2015-12-09 2017-07-06 충북대학교 산학협력단 원격제어 로그기록 관리 시스템

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100653120B1 (ko) * 2005-08-31 2006-12-01 학교법인 대전기독학원 한남대학교 윈도우 시스템에서의 해킹 피해 분석 시스템 및 그 방법

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108475128A (zh) * 2015-08-21 2018-08-31 雷蛇(亚太)私人有限公司 信息分配方法、计算机可读取介质及信息分配服务器
CN108475128B (zh) * 2015-08-21 2021-12-10 雷蛇(亚太)私人有限公司 信息分配方法、计算机可读取介质及信息分配服务器
KR20180115582A (ko) * 2017-04-13 2018-10-23 양보륜 사용자 행위분석에 의해 컴퓨터 저장장치를 실시간 보호하는 시스템 및 그 제어방법
CN109446170A (zh) * 2018-09-13 2019-03-08 北京米文动力科技有限公司 一种配置文件数据同步方法及设备
CN109446170B (zh) * 2018-09-13 2024-01-19 北京米文动力科技有限公司 一种配置文件数据同步方法及设备
CN111931465A (zh) * 2020-08-14 2020-11-13 中国工商银行股份有限公司 基于用户操作自动生成用户手册的方法及系统
CN111931465B (zh) * 2020-08-14 2023-09-15 中国工商银行股份有限公司 基于用户操作自动生成用户手册的方法及系统

Also Published As

Publication number Publication date
KR101078375B1 (ko) 2011-10-31

Similar Documents

Publication Publication Date Title
US10122575B2 (en) Log collection, structuring and processing
US9825973B2 (en) Website security
US10616254B2 (en) Data stream surveillance, intelligence and reporting
KR102095334B1 (ko) 로그 정보 생성장치 및 기록매체와 로그 정보 추출장치 및 기록매체
KR101078375B1 (ko) 운영체제를 이용하는 사용자 행위 추적 시스템 및 사용자 행위 추적 방법
US9916442B2 (en) Real-time recording and monitoring of mobile applications
US11632320B2 (en) Centralized analytical monitoring of IP connected devices
US20110314148A1 (en) Log collection, structuring and processing
WO2015180291A1 (zh) 监控服务器集群的方法和系统
US11962611B2 (en) Cyber security system and method using intelligent agents
Spyridopoulos et al. Incident analysis & digital forensics in SCADA and industrial control systems
US20080256399A1 (en) Software event recording and analysis system and method of use thereof
Madani et al. Log management comprehensive architecture in Security Operation Center (SOC)
CN102571476B (zh) 一种实时监控终端命令行的方法和装置
TW202009768A (zh) 用於產生多個連動式資料圖框的多圖框網路安全分析裝置與相關的電腦程式產品
CN114077525A (zh) 异常日志处理方法、装置、终端设备、云服务器及系统
WO2022257226A1 (zh) 基于网络空间测绘的蜜罐识别方法、装置、设备及介质
EP3647982B1 (en) Cyber attack evaluation method and cyber attack evaluation device
JP6636605B1 (ja) 履歴監視方法、監視処理装置および監視処理プログラム
KR20020012855A (ko) 통합로그 분석 및 관리 시스템 및 그 방법
JP2006221327A (ja) 計算機システムおよびストレージ装置
KR20150136369A (ko) 로그 보안 및 빅 데이터를 이용한 통합 관리 시스템
KR100906389B1 (ko) 802.1x 인증기반 통합로그 분석 기능을 제공하는통합로그분석시스템, 통합로그 서버, 및 방법
KR20140055103A (ko) 탐지 서버 및 그의 이상 징후 탐지 방법
Zhu et al. A security analysis method for supercomputing users’ behavior

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20141023

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20151023

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee