KR20120086926A - A visualization system for Forensics audit data - Google Patents

A visualization system for Forensics audit data Download PDF

Info

Publication number
KR20120086926A
KR20120086926A KR1020110008283A KR20110008283A KR20120086926A KR 20120086926 A KR20120086926 A KR 20120086926A KR 1020110008283 A KR1020110008283 A KR 1020110008283A KR 20110008283 A KR20110008283 A KR 20110008283A KR 20120086926 A KR20120086926 A KR 20120086926A
Authority
KR
South Korea
Prior art keywords
data
time
program
audit
forensic
Prior art date
Application number
KR1020110008283A
Other languages
Korean (ko)
Other versions
KR101266930B1 (en
Inventor
김점구
이인용
Original Assignee
한남대학교 산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한남대학교 산학협력단 filed Critical 한남대학교 산학협력단
Priority to KR1020110008283A priority Critical patent/KR101266930B1/en
Publication of KR20120086926A publication Critical patent/KR20120086926A/en
Application granted granted Critical
Publication of KR101266930B1 publication Critical patent/KR101266930B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/40Information retrieval; Database structures therefor; File system structures therefor of multimedia data, e.g. slideshows comprising image and additional audio data
    • G06F16/44Browsing; Visualisation therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/248Presentation of query results
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/451Execution arrangements for user interfaces

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Human Computer Interaction (AREA)
  • Multimedia (AREA)
  • Computational Linguistics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

PURPOSE: A forensics audit data visualizing system is provided to monitor the behavior of a user through an intuitive data analysis and quickly detect abnormal behavior by generating forensics audit data from data used in a computer terminal and visualizing the forensics audit data according to each program and use time. CONSTITUTION: A data collecting unit(31) collects data used in a computer terminal in real time. A data filtering unit(32) sorts data obtained by removing data conforming to a fixed rule from the data used in the terminal. An audit data generating unit(33) generates forensic audit data including correlation between a program and the sorted data by obtaining information of the program using the data. A visual converting unit(34) aligns the forensic audit data according to time sequencing. A visualizing module(35) displays the use time the forensic audit data on a time table according to each program using the data.

Description

포렌식 감사 데이터 시각화 시스템 { A visualization system for Forensics audit data }A visualization system for Forensics audit data}

본 발명은 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템에 관한 것이다.The present invention relates to a forensic audit data visualization system that visually analyzes a user's behavior using data visualization techniques of forensic audit data collected from computer digital data and audit data.

특히, 본 발명은 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것이다.
In particular, the present invention relates to a forensic audit data visualization system that displays a time when data is used in a time table and displays the program data using the data.

일반적으로, 컴퓨터 기술의 발전과 사용의 대중화로 인하여 컴퓨터를 이용한 범죄가 증가하게 되었고, 이로 인하여 컴퓨터의 사용 목적과 사용자의 행위를 분석하는 컴퓨터 포렌식 기술이 등장하고 발달되었다. 컴퓨터 포렌식은 디지털 증거(Digital Evidence)를 확보하여 분석하는 것이 목적이며, 이러한 증거는 디지털 데이터로부터 확보한다. 디지털 데이터는 메모리, 스왑 및 디스크상에 존재하는 파일 시스템과 운영체제 및 어플리케이션의 정보를 저장하고 있는 물리적 저장 매체의 데이터와 네트워크상에 송 수신되는 네트워크 데이터로 나누어진다. 최근 다양한 사이버 범죄의 증가로 인하여 법적 증거가 될 수 있는 디지털 데이터의 중요성이 부각되고 있으며, 디지털 데이터를 보다 체계적이고 효율적으로 수집하고 감사할 수 있도록 데이터를 가공하여 보관하는 감사 데이터 기법도 다양하게 개발되고 있다.In general, computer crime has increased due to the development of computer technology and the popularization of its use. As a result, computer forensic technology for analyzing the purpose of computer use and user's behavior has appeared and developed. Computer forensics aims to acquire and analyze digital evidence, which is obtained from digital data. Digital data is divided into data of a physical storage medium that stores information of a file system, an operating system, and an application in memory, swap, and disk, and network data transmitted and received on a network. Recently, due to the increase of various cyber crimes, the importance of digital data, which can be legal evidence, has been highlighted, and various audit data techniques have been developed to process and store data to collect and audit digital data more systematically and efficiently. It is becoming.

하지만, 이렇게 수집된 포렌식 감사 데이터는 디지털 저장 매체의 발달로 인하여 수십 또는 수백 GB가 넘기 때문에 최근 데이터의 수집 방법보다는 수집된 데이터를 효과적이면서 정확하게 분석가가 분석할 수 있는 기술이 요구되고 있다. 이를 위해서 최근 다양한 분석 기법들이 존재하고 있으며, 그 중 하나가 본 발명이 사용하고 있는 데이터 시각화 기법을 이용한 포렌식 데이터 분석이다. 데이터 시각화 기법(Data Visualization)은 수천 또는 수천 만개의 데이터를 하나의 이미지로 표현한 방법으로, 단순 데이터 분석에서 찾을 수 없는 패턴을 시각적으로 찾는 방법이다.However, because the collected forensic audit data is more than tens or hundreds of GB due to the development of digital storage media, there is a demand for a technology capable of analyzing the collected data more effectively and accurately than the recent data collection method. To this end, various analysis techniques exist in recent years, and one of them is forensic data analysis using the data visualization technique used by the present invention. Data Visualization is a method of representing tens or tens of millions of data as an image, and visually finding patterns that cannot be found in simple data analysis.

데이터 시각화 기법은 대량의 데이터도 신속하게 처리하고 보여줄 수 있으며, 어떠한 패턴을 찾는데 있어서 시각적 분석이 다른 방법보다 직관적으로 빨리 찾을 수 있는 장점이 있다. 하지만, 이런 패턴을 찾기 위해서는 시각화 기법을 사용하는 사용자의 학습이 우선적으로 선행되어야 한다.Data visualization techniques can quickly process and display large amounts of data, and the advantage of visual analysis is to find any pattern more intuitively than other methods. However, in order to find such a pattern, the learning of a user using a visualization technique should be preceded first.

본 발명은 다양한 시각화 방법 중 하나의 방법으로 수집된 포렌식 데이터를 컴퓨터를 사용하고 있는 사용자의 관점에서 시간의 흐름에 따라 사용자가 사용한 컴퓨터 자원(하드웨어 및 소프트웨어) 사용과 데이터를 시각적으로 보여주는 방법이다. 본 발명은 수집된 모든 자원을 시간적 순서로 재배열하고, 시스템 자원 사용과 데이터 사용의 상관성 분석을 통하여 시스템 자원과 데이터의 연관성을 찾는다. 이렇게 가공된 데이터는 시각화 기법을 통하여 사용자의 컴퓨터 자원과 데이터 사용을 시간에 따라 시각적으로 추적하고 분석할 수 있게 된다. 본 발명을 통하여 수동적인 포렌식 데이터 분석을 넘어서 사용자 행위를 분석하고 감사할 수 있는 휴먼 포렌식이 가능하다.
The present invention is a method of visually showing the use of computer resources (hardware and software) and data used by a user over time from the perspective of a user using a computer using forensic data collected by one of various visualization methods. The present invention rearranges all collected resources in a chronological order and finds an association between system resources and data through correlation analysis between system resource usage and data usage. The processed data can be visually tracked and analyzed over time through user visualization of computer resources and data usage. The present invention enables human forensics to analyze and audit user behavior beyond passive forensic data analysis.

본 발명의 목적은 상술한 바와 같은 문제점을 해결하기 위한 것으로, 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템을 제공하는 것이다.SUMMARY OF THE INVENTION An object of the present invention is to solve the problems described above, and provides a forensic audit data visualization system that visually analyzes a user's behavior using data visualization techniques of forensic audit data collected from computer digital data and audit data. It is.

즉, 미디어 매체의 진보적인 발전으로 인하여 저장 매체의 용량은 기하급수적으로 증가하고 있으며, 이로 인하여 디지털 포렌식을 수행하는데 많은 시간이 소요되며 분석 방법에 있어서 많은 애로사항을 가지고 있다. 본 발명은 컴퓨터 디지털 데이터를 수집하여 포렌식 감사 데이터를 만들고, 이를 데이터 시각화 기법을 통하여 사용자의 이상 행위를 분석하고 판단하는데 있다.In other words, due to the advancement of the media, the capacity of the storage media is increasing exponentially. Therefore, it takes a lot of time to perform digital forensics and has many difficulties in the analysis method. The present invention collects computer digital data to create forensic audit data, and analyzes and determines abnormal behavior of a user through data visualization techniques.

특히, 본 발명의 목적은 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 포렌식 감사 데이터 시각화 시스템을 제공하는 것이다.
In particular, it is an object of the present invention to provide a forensic audit data visualization system for displaying the time the data is used in a time table, for each program using the data.

상기 목적을 달성하기 위해 본 발명은 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것으로서, 상기 컴퓨터 단말에서 사용되고 있는 데이터를 실시간으로 수집하는 데이터 수집부; 수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부; 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부; 상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및, 상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 한다.In order to achieve the above object, the present invention relates to a forensic audit data visualization system installed in a computer terminal, collecting data used in the computer terminal, and visualizing and displaying the data according to the time used. A data collector for collecting data used in real time; A data filter unit for removing data in accordance with a predetermined rule from the collected data and selecting the remaining data; An audit data generator for acquiring program information using the screening data with respect to screened data (hereinafter, screening data) and generating forensic audit data including a correlation between the screening data and a program; A visual converter for sorting the forensic audit data according to a time sequence and sorting the program information with a correlation; And a visualization module unit displaying a time for which the forensic audit data is used in a time table and displaying the program for each program using the data.

또한, 본 발명은 컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 관한 것으로서, 상기 컴퓨터 단말에서 사용되고 있는 데이터 정보를 특정 시간에 수집하는 데이터 수집부; 수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부; 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부; 상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및, 상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 한다.The present invention also relates to a forensic audit data visualization system installed in a computer terminal and collecting data used in the computer terminal and visualizing and displaying the data according to the time used. A data collecting unit collecting information at a specific time; A data filter unit for removing data in accordance with a predetermined rule from the collected data and selecting the remaining data; An audit data generator for acquiring program information using the screening data with respect to screened data (hereinafter, screening data) and generating forensic audit data including a correlation between the screening data and a program; A visual converter for sorting the forensic audit data according to a time sequence and sorting the program information with a correlation; And a visualization module unit displaying a time for which the forensic audit data is used in a time table and displaying the program for each program using the data.

또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시간 테이블은 시간의 흐름을 표시하는 열과 프로그램을 표시하는 행으로 구성되는 것을 특징으로 한다.The present invention is a forensic audit data visualization system, characterized in that the time table is composed of a column for displaying the passage of time and a row for displaying a program.

또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시하는 것을 특징으로 한다.The present invention provides a forensic audit data visualization system, wherein the visualization module unit displays a bar between a time at which a program starts and an end time (hereinafter, referred to as a duration) in a row of the time table, and displays the program on the bar. It is characterized in that the information of the data used by the program is displayed within the duration of time.

또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결하는 것을 특징으로 한다.In addition, the present invention is a forensic audit data visualization system, the visualization module, characterized in that when the pointer on the bar displays the data used by the program corresponding to the bar during the corresponding time and connects to the original data and links .

또, 본 발명은 포렌식 감사 데이터 시각화 시스템에 있어서, 상기 시각화 모듈부는, 데이터를 저장매체의 종류에 따라 묶어 표시하되, 상기 저장매체의 종류는 물리적 저장 장치 데이터 유형 및 네트워크 데이터유형으로 구분되고, 상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분되고, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분되고, 상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분되는 것을 특징으로 한다.
In another aspect, the present invention provides a forensic audit data visualization system, wherein the visualization module unit displays the data according to the type of storage medium, the type of the storage medium is divided into physical storage device data type and network data type, The physical storage device data type is divided into a disk data type and a memory data type, the disk data type is divided into a file system data type and a swap data type, and the network data type is divided into a packet data type and a network log type. It features.

상술한 바와 같이, 본 발명에 따른 포렌식 감사 데이터 시각화 시스템에 의하면, 컴퓨터 단말에서 사용된 데이터를 사용자 행위 분석이 가능하도록 포렌식 감사 데이터를 생성하고, 이를 사용시간 및 프로그램별로 데이터를 시각화함으로써, 분석가가 직관적으로 데이터를 분석하여 컴퓨터 사용자의 행위를 추적하고, 이상 행위를 신속하게 탐지할 수 있는 효과가 얻어진다.As described above, according to the forensic audit data visualization system according to the present invention, by analyzing forensic audit data to enable the user behavior analysis of the data used in the computer terminal, the analyst by visualizing the data for each use time and program, Intuitively, the data can be analyzed to track the behavior of computer users and to quickly detect anomalies.

즉, 포렌식 감사를 위해 수집되는 데이터(이하 포렌식 감사 데이터)는 수십 또는 수백 GB가 넘기 때문에, 분석가가 이를 분석하는 데는 많은 인적 시간적 자원이 소요된다. 본 발명의 시각화 시스템을 통하면 직관적으로 사용자 행위를 추적하고 감사할 수 있으며, 최종적으로 사용자 이상 행위를 분석하고 판단할 수 있는 휴먼 포렌식이 가능하다.
In other words, the data collected for forensic audits (hereafter forensic audit data) is more than tens or hundreds of gigabytes, which requires much human and time resources for analysts to analyze them. Through the visualization system of the present invention, it is possible to intuitively track and audit user behaviors, and finally, human forensics that can analyze and determine user abnormal behaviors.

도 1은 본 발명을 실시하기 위한 전체 시스템 구성의 일례를 도시한 도면이다.
도 2는 본 발명의 일실시예에 따른 포렌식 감사 데이터 시각화 시스템의 구성에 대한 블록도이다.
도 3은 본 발명의 일실시예에 따른 디지털 데이터의 종류를 도시한 도면이다.
도 4는 본 발명에 따른 포렌식 감사 데이터의 일례를 도시한 도면이다.
도 5는 본 발명에 따른 포렌식 감사 데이터의 시각화 일례를 도시한 도면이다.

* 도면의 주요 부분에 대한 부호의 설명 *
10 : 컴퓨터 시스템 20 : 네트워크
30 : 데이터 시각화 시스템 31 : 데이터 수집부
32 : 데이터 필터부 33 : 감사데이터 생성부
34 : 비주얼 변환부 35 : 시각화 모듈부
40 : 영구보관 저장소 50 : 디지털 데이터1 is a diagram showing an example of the overall system configuration for implementing the present invention.
2 is a block diagram of the configuration of a forensic audit data visualization system according to an embodiment of the present invention.
3 is a diagram illustrating types of digital data according to an embodiment of the present invention.
4 is a diagram illustrating an example of forensic audit data according to the present invention.
5 is a diagram illustrating an example of visualization of forensic audit data according to the present invention.

Description of the Related Art [0002]
10: computer system 20: network
30: data visualization system 31: data collector
32: data filter unit 33: audit data generation unit
34: visual transformation unit 35: visualization module unit
40: permanent storage 50: digital data

이하, 본 발명의 실시를 위한 구체적인 내용을 도면에 따라서 설명한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS Hereinafter, the present invention will be described in detail with reference to the drawings.

또한, 본 발명을 설명하는데 있어서 동일 부분은 동일 부호를 붙이고, 그 반복 설명은 생략한다.
In addition, in describing this invention, the same code | symbol is attached | subjected and the repeated description is abbreviate | omitted.

먼저, 본 발명을 실시하기 위한 전체 시스템의 구성의 예들에 대하여 도 1을 참조하여 설명한다.First, examples of the configuration of the entire system for implementing the present invention will be described with reference to FIG.

도 1a 또는 도 1b에서 보는 바와 같이, 본 발명에 따른 포렌식 감사 데이터 시각화 시스템은 네트워크상의 서버 시스템 또는 컴퓨터 시스템 상의 프로그램 시스템으로 실시될 수 있다.As shown in FIG. 1A or 1B, the forensic audit data visualization system according to the present invention may be implemented as a server system on a network or a program system on a computer system.

도 1a와 같이, 본 발명의 실시를 위한 전체 시스템의 일례는 컴퓨터 시스템(10)과 감사 데이터 시각화 시스템(30)으로 구성되고 서로 네트워크(20)로 연결된다. 또, 필요한 데이터를 저장하기 위한 데이터베이스(40)를 더 구비할 수 있다.As shown in FIG. 1A, one example of a complete system for practicing the present invention is composed of a computer system 10 and an audit data visualization system 30 and connected to each other via a network 20. In addition, a database 40 for storing necessary data may be further provided.

컴퓨터 시스템(10)은 일반 사용자가 이용하는 PC, 노트북, 넷북, PDA, 모바일 등의 통상의 컴퓨팅 단말기이다.The computer system 10 is a conventional computing terminal such as a PC, a notebook, a netbook, a PDA, a mobile, and the like used by a general user.

데이터 시각화 시스템(30)은 통상의 서버로서 네트워크(20)를 통해 컴퓨터 시스템(10)에 접속하여, 단말에 저장된 데이터 등 운영되거나 사용자에 의해 사용된 정보 등을 수집한다. 시각화 시스템(30)은 사용자가 사용한 컴퓨터 시스템(10)을 조사하고, 수집된 데이터를 분석하여, 이로부터 사용자의 행위를 분석한다.The data visualization system 30 connects to the computer system 10 via the network 20 as a conventional server, and collects information such as data stored in the terminal or the like used by the user. The visualization system 30 examines the computer system 10 used by the user, analyzes the collected data, and analyzes the user's behavior therefrom.

데이터베이스(40)는 컴퓨터 시스템(10)에서 수집된 데이터를 저장하거나, 수집된 데이터를 조사하여 분석한 자료 등을 저장한다. The database 40 stores data collected by the computer system 10 or data collected by analyzing the collected data.

도 1b와 같이, 본 발명의 실시를 위한 전체 시스템의 다른 예는 컴퓨터 시스템(10)에 설치되는 프로그램 형태의 데이터 시각화 시스템(30)으로 구성될 수 있다. 즉, 데이터 시각화 시스템(30)의 각 기능들은 컴퓨터 프로그램으로 구현되어 컴퓨터 시스템(10)에 설치되어, 실시간으로 컴퓨터 시스템(10)의 사용 상태를 수집하거나, 특정시점에서 컴퓨터 시스템(10)의 사용 상태를 수집한다.As illustrated in FIG. 1B, another example of the entire system for implementing the present invention may be configured as a data visualization system 30 in the form of a program installed in the computer system 10. That is, each function of the data visualization system 30 is implemented as a computer program and installed in the computer system 10 to collect the use state of the computer system 10 in real time, or to use the computer system 10 at a specific point in time. Collect the state.

이때, 컴퓨터 시스템의 사용 상태의 수집은 주로 하드 디스크 등 저장매체, 메모리, 스왑 메모리, 네트워크 메모리 등에 저장된 데이터를 수집하는 것이다. 이렇게 수집된 데이터는 외부 데이터베이스(또는 저장매체)에 저장되거나, 컴퓨터 시스템(10)의 사전에 정해진 저장공간에 저장된다. 이러한 저장공간을 영구보관 저장소(40)라 부르기로 한다.
In this case, the usage state of the computer system is mainly to collect data stored in a storage medium such as a hard disk, a memory, a swap memory, a network memory, and the like. The collected data is stored in an external database (or storage medium) or in a predetermined storage space of the computer system 10. This storage space will be referred to as permanent storage (40).

다음으로, 본 발명의 일실시예에 따른 포렌식 감사 데이터 시각화 시스템(30)의 구성을 도 2를 참조하여 구체적으로 설명한다.Next, the configuration of the forensic audit data visualization system 30 according to an embodiment of the present invention will be described in detail with reference to FIG. 2.

도 2와 같은 구성에 의해, 시각화 시스템(30)은 컴퓨터의 디지털 데이터를 수집하여 포렌식 감사 데이터를 만들며, 이를 데이터 시각화 기법을 통하여 데이터를 시각화한다.2, the visualization system 30 collects digital data of a computer to generate forensic audit data, and visualizes the data through a data visualization technique.

도 2에서 보는 바와 같이, 본 발명의 일실시예에 따른 데이터 시각화 시스템(30)은 데이터 수집부(31), 데이터 필터부(32), 감사데이터 생성부(33), 비주얼 변환부(34), 및, 시각화 모듈부(35)를 포함하여 구성된다.As shown in FIG. 2, the data visualization system 30 according to an exemplary embodiment of the present invention may include a data collector 31, a data filter unit 32, an audit data generator 33, and a visual converter 34. And a visualization module unit 35.

데이터 수집부(31)는 컴퓨터 시스템(10)의 디지털 데이터를 수집한다.The data collector 31 collects digital data of the computer system 10.

데이터 수집부(31)는 해당 컴퓨터 시스템(10)에 설치되어, 디지털 데이터를 실시간으로 수집한다. 실시간으로 데이터를 수집하면, 보다 다양하고 자세한 데이터와 정보를 수집할 수 있다.The data collection unit 31 is installed in the computer system 10 to collect digital data in real time. Collecting data in real time allows you to collect more diverse and detailed data and information.

다른 실시예로서, 데이터 수집부(31)는 일시적인 데이터를 수집한다. 이때, 수집되는 디지털 데이터는 제한적이고 풍부하지 못하다.In another embodiment, the data collector 31 collects temporary data. At this time, the collected digital data is limited and not rich.

따라서 본 발명의 데이터 시각화는 수집된 데이터의 정보의 내용과 용량에 따라 시각화 될 수 있는 정보가 다르기 때문에 본 발명에서는 수집 방법과 절차에 대해서는 배제하지만, 실시간 데이터와 일시적 데이터를 모두 시각화할 수는 있다.Therefore, the data visualization of the present invention can be visualized according to the content and capacity of the collected data, so the present invention excludes the collection method and procedure, but it is possible to visualize both real-time and temporary data. .

도 3에서 보는 바와 같이, 데이터 수집부(31)에서 수집되는 디지털 데이터는 저장장소(또는 저장매체)에 따라 구분될 수 있다. 즉, 사용자에 의해 사용되는 컴퓨터 시스템(10)의 디지털 데이터는 크게 물리적 저장 장치 데이터 유형과 네트워크 데이터 유형으로 구분된다. 물리적 저장장치 데이터 유형은 하드 디스크, SSD(Solid State Disk), USB메모리 등 물리적 저장매체에 저장되는 데이터를 말한다. 네트워크 데이터 유형은 인터넷, 근거리 통신망 등 네트워크와 연결되어 송수신되는 패킷 등의 데이터를 말한다.As shown in FIG. 3, the digital data collected by the data collector 31 may be classified according to a storage location (or a storage medium). That is, the digital data of the computer system 10 used by the user is largely divided into physical storage device data type and network data type. The physical storage data type refers to data stored in a physical storage medium such as a hard disk, a solid state disk (SSD), or a USB memory. The network data type refers to data such as packets transmitted and received by connecting to a network such as the Internet or a local area network.

상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분된다. 또한, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분된다. 파일시스템 데이터 유형은 파일 시스템에 의한 데이터이고, 스왑 데이터 유형은 메모리 등에 기록된 데이터를 스왑하기 위해 임시 저장된 데이터들을 말한다.The physical storage device data type is divided into a disk data type and a memory data type. In addition, the disk data type is divided into a file system data type and a swap data type. The file system data type is data by the file system, and the swap data type refers to data temporarily stored for swapping data recorded in a memory or the like.

상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분된다. 패킷 데이터 유형은 패킷 등 실제로 네트워크를 통해 송수신되는 데이터이고, 네트워크 로그 유형은 네트워크의 상태를 시간상으로 기록하여 저장하는 로그 데이터를 말한다.The network data type is divided into a packet data type and a network log type. The packet data type is data actually transmitted / received through a network such as a packet, and the network log type refers to log data that records and stores the state of the network in time.

데이터 수집부(31)는 이렇게 수집된 디지털 데이터를 데이터베이스(또는 영구보관 저장소)(40)에 저장한다. 이는 디지털 포렌식에 있어서 원본 데이터 손상을 예방할 수 있다. 이렇게 수집된 디지털 데이터는 수십 또는 수백 GB가 되며, 디지털 데이터의 범주가 매우 다양하기 때문에 적절한 데이터의 선별과 데이터의 시각화를 위한 전처리 작업이 요구된다.The data collection unit 31 stores the digital data thus collected in the database (or permanent storage) 40. This can prevent original data corruption in digital forensics. The digital data collected is tens or hundreds of gigabytes, and the range of digital data is so diverse that pre-processing for screening and visualizing the appropriate data is required.

데이터 필터부(32)는 수집된 데이터로부터 불필요한 정보를 제거하고 필요한 정보를 선별한다. 이때, 데이터 필터부(32)는 사전에 정해진 규칙에 의하여 불필요한 데이터를 제거한다. 예를 들어, 데이터 필터부(32)는 규칙에 의해, 운영체제와 소프트웨어에서 사용하는 라이브러리 및 시스템 파일 등은 불필요한 정보로서 제외된다.The data filter unit 32 removes unnecessary information from the collected data and selects necessary information. At this time, the data filter unit 32 removes unnecessary data according to a predetermined rule. For example, the data filter unit 32 excludes libraries and system files used in the operating system and software as unnecessary information by the rule.

한편, 데이터 필터부(32)는 직접 분석가로부터 불필요한 파일을 지정하는 입력을 받아 데이터를 제외할 수 있다. 즉, 데이터 필터부(32)는 분석가가 직접 선택 지정할 수 있도록 한다.On the other hand, the data filter unit 32 may receive the input to specify the unnecessary file directly from the analyst can exclude the data. That is, the data filter unit 32 allows the analyst to directly select and designate.

감사데이터 생성부(33)는 앞서 데이터 필터부(32)에 의해 선택된 데이터들 간의 상관관계를 분석하고, 시간에 따른 사용자의 행위 분석이 가능하도록 포렌식 감사 데이터를 생성한다. 특히, 감사데이터 생성부(33)는 선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터(Forensics audit data)를 생성한다.The audit data generator 33 analyzes the correlation between the data previously selected by the data filter 32 and generates forensic audit data so that the user's behavior can be analyzed over time. In particular, the audit data generation unit 33 obtains program information using the screening data with respect to the screened data (hereinafter, screening data), and includes forensic audit data (Forensics) including a correlation between the screening data and the program. create audit data).

특히, 감사데이터 생성부(33)는 각 선별 데이터를 사용하는 프로그램을 검색하여, 선별 데이터와 프로그램 사이의 상관관계를 형성시킨다. 즉, 특정 시간에 사용된 선별 데이터를 특정 프로그램이 사용(열기, 수정, 참조 등)하였으면, 상기 특정 프로그램과 상기 선별 데이터는 서로 상관관계를 갖는다고 말한다.In particular, the audit data generating unit 33 searches for a program using each screening data to form a correlation between the screening data and the program. That is, if a specific program uses (opens, modifies, references, etc.) the screening data used at a specific time, the specific program and the screening data are said to be correlated with each other.

포렌식 감사 데이터의 구조는 도 4와 같이 구성되어 있다.The structure of forensic audit data is configured as shown in FIG.

도 4에서 보는 바와 같이, 모든 포렌식 감사 데이터(Forensics audit data)에는 사용 시간을 알 수 있도록 타임스탬프(Timestamp)가 저장되어 있다. 그리고 각 감사 데이터가 어느 프로그램과 상관관계를 갖는지를 표시하고, 데이터 종류 등이 표시된다. 또한, 데이터 명 등 데이터를 식별할 수 있는 정보도 포함된다.As shown in FIG. 4, all forensic audit data stores a timestamp so as to know a use time. In addition, the program indicates which program the audit data correlates with, and displays the data type and the like. It also includes information that can identify the data, such as the data name.

한편, 감사데이터 생성부(33)는 프로그램의 시작 시간과 종료시간, 감사 데이터의 사용시간 등을 정한다. 데이터 수집부(31)에서 이러한 시간 정보를 실시간으로 수집할 수도 있고, 특정 시간에 수집된 데이터를 분석하여 상기와 같은 시간 정보를 추정할 수도 있다.On the other hand, the audit data generating unit 33 determines the start time and end time of the program, the use time of the audit data, and the like. The data collection unit 31 may collect such time information in real time, or may analyze the data collected at a specific time to estimate such time information.

먼저, 실시간으로 데이터를 수집하는 경우의 예를 설명한다.First, an example of collecting data in real time will be described.

프로그램의 시작 및 종료 시간 추정은 해당 컴퓨터에 감시 프로그램(에이전트)을 설치하면 실시간으로 프로그램이 시작된 시간과 종료된 시간을 알 수 있다.Estimation of start and end time of a program can be done by installing a monitoring program (agent) on the computer and knowing when the program started and ended.

모든 프로그램에 하드 디스크(윈도우 경우 C:\programfiles)에 저장이 되며, 사용자에 의해서 실행이 되면 해당 프로그램은 하나의 프로세스로 되어 실행이 된다. 현재 실행되고 있는 프로세스는 윈도우의 경우 작업 관리자를 통하여 확인할 수 있으며, 리눅스의 경우 프로세스 상태 명령어(PS 명령어)를 통하여 확인할 수 있다. 이러한 정보는 시스템 프로그래밍(시스템 라이브러리를 이용하여 정보 추출)을 통하여 충분히 구현할 수 있으며, 일부 소스코드와 프로그램 방법이 나와 있다.All programs are stored in the hard disk (C: \ programfiles in Windows). When executed by the user, the program is executed as one process. The currently running process can be checked through the task manager in Windows and process status command (PS command) in Linux. This information can be fully implemented through system programming (information extraction using system libraries), and some source code and programming methods are shown.

네트워크의 경우도 모든 프로그램에서 사용되는 네트워크 패킷에는 데이터가 나가고 들어오는 시간을 알 수가 있도록 타임스탬프(timestamp)가 기록되며, 이는 운영체제에 의해서 기록된다. 이를 중간에 확인할 수 있는 방법은 시스템 프로그래밍을 이용하면 충분히 가능하다. 즉, 일반적으로 raw 소켓 프로그래밍이나 PCAP(패킷 캡쳐 프로그램)을 이용한 프로그래밍을 통하여 개발이 이루어진다.In the case of a network, a timestamp is recorded in a network packet used in all programs so that the data can be known to go out and in. This is recorded by an operating system. A way to see this in the middle is enough with system programming. In other words, development is generally achieved through raw socket programming or programming using PCAP (packet capture program).

시스템 프로그래밍은 운영체제에서 제공하는 라이브러리를 이용하여 시스템 정보를 얻거나 제어하는 방법으로 이를 통하여 운영체제에서 사용하는 프로세스 및 네트워크 정보와 파일 시스템 정보 등을 다양한 정보를 수집할 수가 있다. 모든 모니터링 프로그램이나 감시 및 백신 프로그램(v3 등)과 같은 예방 프로그램들이 시스템 프로그래밍을 통하여 개발되고 있다.System programming is a method of obtaining or controlling system information by using a library provided by the operating system. Through this, various information such as process and network information and file system information used by the operating system can be collected. Prevention programs such as all monitoring programs and surveillance and vaccine programs (v3, etc.) are being developed through system programming.

다음으로, 일시적으로(또는 특정 시간에만) 데이터를 수집하는 경우를 설명한다. 일시적인 데이터의 경우, 작동되고 있는 컴퓨터의 정보를 포렌식 툴(too)과 같은 도구를 이용하여 포렌식 데이터를 수집한다. 이러한 데이터에는 실시간 데이터에 비해 많은 정보를 확인할 수 없지만, 일부 데이터를 이용하여 정보를 확인할 수가 있다.Next, the case of collecting data temporarily (or only at a specific time) will be described. In the case of temporary data, forensic data is collected using a tool such as a forensic tool from the information of the computer in operation. Such data cannot be found much compared to real-time data, but information can be confirmed using some data.

우선 일시적인 데이터에서 실행되고 있던 프로세스의 시작 시간과 종료 시간은 확인할 수 있는 방법으로서, 예로 들면, 프로그램이 사용한 데이터(파일, 임시파일, 로그, 쿠키 등)를 이용하여 그 시간 때를 추정한다.First, the start time and the end time of a process executed in the temporary data can be checked. For example, the time of the time is estimated using data (file, temporary file, log, cookie, etc.) used by the program.

즉, 사용자가 워드 프로세스를 사용할 경우 이 사용자는 분명 하나의 문서 파일을 생성하던지 기존에 있던 문서 파일을 열었을 것이다. 이 시간은 마지막 액세스(접근) 시간을 확인하면 알 수가 있다. 그리고 파일의 시스템 정보를 확인하면 마지막 수정 시간을 알 수 있다.In other words, if the user uses a word process, the user must have created a single document file or opened an existing document file. This time can be found by checking the last access (access) time. Then check the file's system information to see the last modified time.

또, 파일이 특정제품의 워드프로세서를 이용한 것이면, 확장자와 설치된 프로그램(C:\Program Files)의 목록을 조사하여 어떠한 프로그램에 의해서 사용이 되었는지 알아낼 수 있다. 즉, 마지막 액세스한 날짜를 이용하여 언제쯤 파일이 열렸는지 추정을 할 수 있다. 프로그램의 정확한 시작 시간과 종료 시간을 확인할 수는 없지만 마지막 접근 시간을 통하여 확인할 수 있다.In addition, if the file uses a word processor of a specific product, you can examine the extension and the list of installed programs (C: \ Program Files) to find out which program was used. In other words, you can use the last accessed date to estimate when the file was opened. The exact start and end times of the program cannot be determined, but can be confirmed by the last access time.

또한 네트워크 접근의 경우 한 사용자가 웹브라우저를 통하여 특정 사이트를 방문하고 사용했다면, 웹브라우저에서 접근한 모든 정보는 웹 임시 폴더에 저장이 되며, 여기에는 접속한 사이트 정보와 이미지 파일, 쿠키 및 ActiveX 정보 등을 확인할 수 있다.In addition, in the case of network access, if a user visits and uses a specific site through a web browser, all the information accessed by the web browser is stored in a web temporary folder, which includes the site information, image files, cookies, and ActiveX information. Etc. can be confirmed.

또한, 일시적인 데이터의 경우 윈도우의 다양한 명령어를 통하여 메모리에 있는 운영체제의 운영 정보를 확인할 수 있다. 한 예로 netstat -b -v 명령어의 경우 현재 프로세스에서 사용하고 있는 네트워크 연결 정보를 확인할 수가 있다.In the case of temporary data, the operating information of the operating system in the memory can be checked through various commands of Windows. For example, in the case of the netstat -b -v command, you can check the network connection information used by the current process.

다양한 수집 시스템 정보 수집도구 등 종래의 어플리케이션(EnCase)을 이용하며 보다 다양한 정보를 수집할 수 있다. 다만, 실시간 데이터 수집에 비하여, 일시적인 데이터 수집은 시스템의 모든 상황을 감시할 수 있는 정보 수집을 하기 어렵다. 따라서 상기와 같은 일례와 같이, 특정한 규칙을 사전에 만들고, 만들어진 규칙에 따라 프로그램 또는 파일의 존속기간 등을 찾아내거나 추정한다.Various collection system information can be collected using a conventional application (EnCase), such as a tool. However, compared to real-time data collection, temporary data collection is difficult to collect information that can monitor all the situation of the system. Therefore, as in the above example, specific rules are made in advance, and the duration or the like of the program or file is found or estimated according to the created rules.

비주얼 변환부(34)는 감사데이터 생성부(33)에 의해 생성된 포렌식 감사 데이터를 시간의 순서에 따라 데이터를 정렬하되, 특히, 특정 시간에 따른 사용된 프로그램을 기준으로 데이터를 정렬하게 된다. 이때, 프로그램은 감사 데이터와 상관관계를 갖는 데이터들이다.The visual converter 34 sorts the data of the forensic audit data generated by the audit data generator 33 according to the order of time. In particular, the visual converter 34 sorts the data based on a used program according to a specific time. At this time, the program is data correlated with the audit data.

모든 컴퓨터에서 발생되는 데이터는 컴퓨터 사용자에 의해서 생성되며, 사용자의 행동은 프로그램을 통하여 이루지게 된다. 따라서 시간에 따른 운영 프로그램을 정렬하고 운영 프로그램과 관련된 데이터를 추적하게 되면 사용자가 그 일련의 시간 동안의 행위를 분석하고 추적할 수 있게 된다.Data generated by all computers is generated by computer users, and their actions are performed through programs. Thus, sorting the operating program over time and tracking the data associated with the operating program allows the user to analyze and track the behavior during that series of time.

시각화 모듈부(35)는 이렇게 처리가 완료된 데이터를 시각화하여, 분석가가 데이터를 직관적으로 분석할 수 있게 된다. 즉, 시각화 모듈부(35)는 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시한다.The visualization module 35 visualizes the processed data so that the analyst can intuitively analyze the data. That is, the visualization module 35 displays a bar between the time when the program is started and the time when the program is ended (hereinafter, referred to as a duration) in the row of the time table, and is used by the program within the duration of the program on the bar. Display information about the generated data.

최종 분석가 분석할 수 있게 되는 시각화의 구성의 일례는 도 5와 같다.An example of the configuration of the visualization that the final analyst can analyze is shown in FIG. 5.

도 5에서 보는 바와 같이, 시간의 따른 구분을 컴퓨터의 시작 시간과 종료 시간에 따라 나눈다. 즉, 컴퓨터는 총 3번 켜져서 작동된 것을 알 수 있다. 컴퓨터 운용 시간에 따라 시간을 크게 구분한 후 각각을 t 시간으로 나눈다. 그리고 각 구간마다 특정 시간에 프로그램들이 작동된 시간을 막대 그래프(700)로 나타내며, 막대 그래프의 크기는 프로그램이 작동된 시간을 나타낸다.As shown in FIG. 5, the time division is divided according to the start time and the end time of the computer. In other words, the computer is turned on and operated three times in total. Divide the time by the computer's operating time and divide each by t hours. In each section, the bar graph 700 represents a time when the programs are operated at a specific time, and the size of the bar graph represents the time when the program is operated.

또한, 시각화 모듈부(35)는 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결한다.In addition, the visualization module 35 displays the data used by the program corresponding to the bar during the corresponding time when the pointer is placed on the bar, and links the original data with the link.

또한, 시각화 모듈부(35)는 데이터를 저장매체의 종류에 따라 묶어 표시한다. 즉, 막대 그래프에는 프로그램이 작동된 시간에 따른 사용된 디스크 데이터(800), 메모리 데이터(900), 네트워크 데이터(1000)가 표시되게 되며, 각각의 데이터는 영구 보관 저장소(40)에 저장된 원본 데이터가 링크(연결)되어 있다. 이렇게 함으로써, 분석가는 시간에 따른 사용자의 행위와 각각의 정보를 직관적으로 분석할 수 있게 된다.In addition, the visualization module 35 bundles and displays the data according to the type of storage medium. That is, the bar graph displays the used disk data 800, the memory data 900, and the network data 1000 according to the time when the program is operated. Each data is stored in the permanent storage 40. Is linked. This allows the analyst to intuitively analyze the user's behavior and each piece of information over time.

다음으로, 본 발명의 효과를 보다 구체적으로 설명한다.Next, the effect of this invention is demonstrated more concretely.

앞서 본 바와 같이, 본 발명에 따른 시각화 시스템(30)은 다양한 시각화 방식 중 하나의 방식으로 수집된 포렌식 데이터를, 사용자의 관점에서 시간의 흐름에 따라 시각화하여 표시한다. 즉, 사용자가 사용한 컴퓨터 자원(하드웨어 및 소프트웨어) 사용과 데이터를 시각적으로 보여주는 것이다.As described above, the visualization system 30 according to the present invention visualizes and displays the forensic data collected by one of various visualization methods over time from the user's point of view. It is a visual representation of the computer resource (hardware and software) usage and data used by the user.

즉, 시각화 시스템(30)은 수집된 모든 자원을 시간적 순서로 재배열하고, 시스템 자원 사용과 데이터 사용의 상관성 분석을 통하여 시스템 자원과 데이터의 연관성을 찾는다. 이렇게 가공된 데이터는 시각화 기법을 통하여 사용자의 컴퓨터 자원과 데이터 사용을 시간에 따라 시각적으로 추적하고 분석할 수 있다.That is, the visualization system 30 rearranges all collected resources in a chronological order and finds an association between system resources and data through correlation analysis between system resource usage and data usage. This processed data can be visually tracked and analyzed over time through the visualization of the user's computer resources and data usage.

이를 통해, 본 발명에 따른 시각화 시스템(30)은 수동적인 포렌식 데이터 분석을 넘어서 사용자 행위를 분석하고 감사할 수 있는 휴먼 포렌식이 가능하다.
Through this, the visualization system 30 according to the present invention is capable of human forensics that can analyze and audit user behavior beyond passive forensic data analysis.

이상, 본 발명자에 의해서 이루어진 발명을 실시 예에 따라 구체적으로 설명하였지만, 본 발명은 실시 예에 한정되는 것은 아니고, 그 요지를 이탈하지 않는 범위에서 여러 가지로 변경 가능한 것은 물론이다.As mentioned above, although the invention made by this inventor was demonstrated concretely according to the Example, this invention is not limited to an Example and can be variously changed in the range which does not deviate from the summary.

본 발명은 컴퓨터 디지털 데이터와 감사 데이터를 수집한 포렌식 감사 데이터를 데이터 시각화 기법을 이용하여 사용자의 행위를 시각적으로 분석하는 포렌식 감사 데이터 시각화 시스템을 개발하는 데 유용하다.
The present invention is useful for developing a forensic audit data visualization system that visually analyzes user behavior using forensic audit data collected from computer digital data and audit data.

Claims (6)

컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 있어서,
상기 컴퓨터 단말에서 사용되고 있는 데이터를 실시간으로 수집하는 데이터 수집부;
수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부;
선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부;
상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및,
상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
In the forensic audit data visualization system installed in the computer terminal, collecting the data used in the computer terminal, and visualized and displayed according to the time used for the data,
A data collector configured to collect data used in the computer terminal in real time;
A data filter unit for removing data in accordance with a predetermined rule from the collected data and selecting the remaining data;
An audit data generator for acquiring program information using the screening data with respect to screened data (hereinafter, screening data) and generating forensic audit data including a correlation between the screening data and a program;
A visual converter for sorting the forensic audit data according to a time sequence and sorting the program information with a correlation; And,
Forensic audit data visualization system, characterized in that it comprises a visualization module for displaying the time the forensic audit data is used in a time table, for each program using the data.
컴퓨터 단말에 설치되어, 상기 컴퓨터 단말에서 사용되는 데이터를 수집하고, 상기 데이터가 사용되는 시간에 따라 시각화하여 표시하는 포렌식 감사 데이터 시각화 시스템에 있어서,
상기 컴퓨터 단말에서 사용되고 있는 데이터 정보를 특정 시간에 수집하는 데이터 수집부;
수집된 데이터로부터 사전에 정해진 규칙에 맞는 데이터를 제거하고 남은 데이터를 선별하는 데이터 필터부;
선별된 데이터(이하 선별 데이터)에 대하여, 상기 선별 데이터를 사용하는 프로그램 정보를 획득하여, 상기 선별 데이터와 프로그램과의 상관관계를 포함하는 포렌식 감사 데이터를 생성하는 감사데이터 생성부;
상기 포렌식 감사 데이터를 시간의 순서에 따라 정렬하되, 상관관계를 갖는 프로그램 기준으로 정렬하는 비주얼 변환부; 및,
상기 포렌식 감사 데이터가 사용되는 시간을 시간 테이블에 표시하되, 상기 데이터를 사용하는 프로그램별로 표시하는 시각화 모듈부를 포함하는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
In the forensic audit data visualization system installed in the computer terminal, collecting the data used in the computer terminal, and visualized and displayed according to the time used for the data,
A data collector configured to collect data information used in the computer terminal at a specific time;
A data filter unit for removing data in accordance with a predetermined rule from the collected data and selecting the remaining data;
An audit data generator for acquiring program information using the screening data with respect to screened data (hereinafter, screening data) and generating forensic audit data including a correlation between the screening data and a program;
A visual converter for sorting the forensic audit data according to a time sequence and sorting the program information with a correlation; And,
Forensic audit data visualization system, characterized in that it comprises a visualization module for displaying the time the forensic audit data is used in a time table, for each program using the data.
제1항 또는 제2항에 있어서,
상기 시간 테이블은 시간의 흐름을 표시하는 열과 프로그램을 표시하는 행으로 구성되는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
The method according to claim 1 or 2,
The forensic audit data visualization system, characterized in that the time table is composed of a column for displaying the passage of time and a row for displaying a program.
제3항에 있어서,
상기 시각화 모듈부는, 상기 시간 테이블의 행에는 프로그램이 시작되는 시간과 종료되는 시간 사이(이하 존속시간)를 막대로 표시하고, 상기 막대에 상기 프로그램의 존속시간 내에 상기 프로그램에 의해 사용된 데이터의 정보를 표시하는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
The method of claim 3,
The visualization module unit displays, in a row of the time table, a bar between a time at which a program starts and a time at which it ends (hereinafter, referred to as a duration), and information on data used by the program within the duration of the program on the bar. Forensic audit data visualization system, characterized in that for displaying.
제4항에 있어서,
상기 시각화 모듈부는, 상기 막대에 포인터를 대면 상기 막대에 해당하는 프로그램이 해당 시간 동안 사용한 데이터를 표시하고 원본 데이터와 링크로 연결하는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
The method of claim 4, wherein
The forensic audit data visualization system, wherein the visualization module unit displays the data used by the program corresponding to the bar during the corresponding time when the pointer is placed on the bar and links the original data with a link.
제1항 또는 제2항에 있어서,
상기 시각화 모듈부는, 데이터를 저장매체의 종류에 따라 묶어 표시하되,
상기 저장매체의 종류는 물리적 저장 장치 데이터 유형 및 네트워크 데이터유형으로 구분되고, 상기 물리적 저장 장치 데이터 유형은 디스크 데이터 유형 및 메모리 데이터 유형으로 구분되고, 상기 디스크 데이터 유형은 파일시스템 데이터 유형 및 스왑 데이터 유형으로 구분되고, 상기 네트워크 데이터 유형은 패킷 데이터 유형 및 네트워크 로그 유형으로 구분되는 것을 특징으로 하는 포렌식 감사 데이터 시각화 시스템.
The method according to claim 1 or 2,
The visualization module unit bundles and displays data according to the type of storage medium,
The type of storage medium is divided into a physical storage device data type and a network data type, the physical storage device data type is divided into a disk data type and a memory data type, and the disk data type is a file system data type and a swap data type. And the network data type is divided into a packet data type and a network log type.
KR1020110008283A 2011-01-27 2011-01-27 A visualization system for Forensics audit data KR101266930B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020110008283A KR101266930B1 (en) 2011-01-27 2011-01-27 A visualization system for Forensics audit data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020110008283A KR101266930B1 (en) 2011-01-27 2011-01-27 A visualization system for Forensics audit data

Publications (2)

Publication Number Publication Date
KR20120086926A true KR20120086926A (en) 2012-08-06
KR101266930B1 KR101266930B1 (en) 2013-05-28

Family

ID=46872601

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020110008283A KR101266930B1 (en) 2011-01-27 2011-01-27 A visualization system for Forensics audit data

Country Status (1)

Country Link
KR (1) KR101266930B1 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410442B1 (en) * 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors
WO2014105960A1 (en) * 2012-12-26 2014-07-03 Mandiant Corporation Timeline wrinkling system and method
KR101487608B1 (en) * 2013-07-12 2015-01-29 재단법인대구경북과학기술원 System and method for monitoring smart device
US9185236B2 (en) 2013-03-27 2015-11-10 Electronics And Telecommunications Research Institute Method and apparatus for visualizing record data
CN107832021A (en) * 2017-11-29 2018-03-23 厦门市美亚柏科信息股份有限公司 A kind of electronic evidence fixing means, terminal device and storage medium
KR20220083181A (en) * 2020-12-11 2022-06-20 한국전자통신연구원 Apparatus and method for selecting collected data for smart farm dataset validation
CN116665909A (en) * 2023-04-11 2023-08-29 北京宝通利达科技有限公司 Health care information processing system based on big data

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101410442B1 (en) * 2012-09-14 2014-06-20 주식회사 더존정보보호서비스 A Digital Forensic Audit System for Analyzing User’s Behaviors
WO2014105960A1 (en) * 2012-12-26 2014-07-03 Mandiant Corporation Timeline wrinkling system and method
US9633134B2 (en) 2012-12-26 2017-04-25 Fireeye, Inc. Timeline wrinkling system and method
US9185236B2 (en) 2013-03-27 2015-11-10 Electronics And Telecommunications Research Institute Method and apparatus for visualizing record data
KR101487608B1 (en) * 2013-07-12 2015-01-29 재단법인대구경북과학기술원 System and method for monitoring smart device
CN107832021A (en) * 2017-11-29 2018-03-23 厦门市美亚柏科信息股份有限公司 A kind of electronic evidence fixing means, terminal device and storage medium
CN107832021B (en) * 2017-11-29 2020-09-22 厦门市美亚柏科信息股份有限公司 Electronic evidence fixing method, terminal equipment and storage medium
KR20220083181A (en) * 2020-12-11 2022-06-20 한국전자통신연구원 Apparatus and method for selecting collected data for smart farm dataset validation
CN116665909A (en) * 2023-04-11 2023-08-29 北京宝通利达科技有限公司 Health care information processing system based on big data
CN116665909B (en) * 2023-04-11 2024-05-24 柏瑞康(深圳)健康管理有限公司 Health care information processing system based on big data

Also Published As

Publication number Publication date
KR101266930B1 (en) 2013-05-28

Similar Documents

Publication Publication Date Title
CN110245078B (en) Software pressure testing method and device, storage medium and server
KR101266930B1 (en) A visualization system for Forensics audit data
US9590880B2 (en) Dynamic collection analysis and reporting of telemetry data
JP6919569B2 (en) Log analysis systems, methods, and recording media
Fittkau et al. ExplorViz: Visual runtime behavior analysis of enterprise application landscapes
Sindhu et al. Digital forensics and cyber crime datamining
EP2932393B1 (en) Automated correlation and analysis of callstack and context data
Bhat et al. Can computer forensic tools be trusted in digital investigations?
US7908239B2 (en) System for storing event data using a sum calculator that sums the cubes and squares of events
CN114528457A (en) Web fingerprint detection method and related equipment
Böhm et al. Visual decision-support for live digital forensics
CN114116872A (en) Data processing method and device, electronic equipment and computer readable storage medium
Nagappan Analysis of execution log files
AfzaliSeresht et al. An explainable intelligence model for security event analysis
CN115509851A (en) Page monitoring method, device and equipment
Schmerl et al. Explorative visualization of log data to support forensic analysis and signature development
CN112685376A (en) Massive log data analysis method and system
JP2008257482A (en) Visualizing method for computer operation
CN112347068A (en) Log analysis method and system based on ELK
Grégio et al. Interactive, visual-aided tools to analyze malware behavior
Fessi et al. Data collection for information security system
Huang et al. Anomaly detection by monitoring filesystem activities
Li et al. Stage-based process performance analysis
Rafique et al. Profiling software applications for forensic analysis
Song et al. Visible forensic investigation for android applications by using attack scenario reconstruction

Legal Events

Date Code Title Description
A201 Request for examination
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170427

Year of fee payment: 5

LAPS Lapse due to unpaid annual fee