KR20170098348A - 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템 - Google Patents

사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템 Download PDF

Info

Publication number
KR20170098348A
KR20170098348A KR1020160019616A KR20160019616A KR20170098348A KR 20170098348 A KR20170098348 A KR 20170098348A KR 1020160019616 A KR1020160019616 A KR 1020160019616A KR 20160019616 A KR20160019616 A KR 20160019616A KR 20170098348 A KR20170098348 A KR 20170098348A
Authority
KR
South Korea
Prior art keywords
file
virtual volume
integrity
stored
cyber
Prior art date
Application number
KR1020160019616A
Other languages
English (en)
Inventor
백승태
김태완
Original Assignee
(주)소만사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by (주)소만사 filed Critical (주)소만사
Priority to KR1020160019616A priority Critical patent/KR20170098348A/ko
Publication of KR20170098348A publication Critical patent/KR20170098348A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

본 발명에 따른 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템은, 보존 데이터의 무결성 보장을 위해 가상볼륨에 저장된 보존 데이터의 위변조를 방지하는 파일시스템 기능으로, 가상볼륨 기반 WORM(Write Once Read Many) 스토리지 기능을 제공하고, 저장소 관리를 위해서 보존 데이터 보호 파일시스템의 가상볼륨을 생성하거나 폐기하는 기능을 제공한다.

Description

사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템{Integrity assurance system for mass log data of cyber blackbox}
본 발명은 사이버 공격의 사전·사후 대응을 위하여 대용량 네트워크 트래픽 데이터를 저장하는 사이버 블랙박스에 관한 것으로, 보다 상세하게는 대용량 로그 데이터에 대한 삭제 또는 변경 등의 접근을 제한하고 무결성을 유지할 수 있도록 하는 대용량 로그데이터에 대한 무결성 보장 시스템에 관한 것이다.
최근 특정 기업이나 기관 및 주요시설 등을 겨냥한 지능형 표적공격(Advanced Persistent Threat, APT)의 위협이 심화되고 방송, 통신 마비 등과 같은 사회·국가적 위협으로 가시화됨에 따라, 네트워크 트래픽의 휘발성, 비휘발성 정보를 장기간 보존하고 이에 대한 무결성을 확보함으로써 사이버 침해 공격 발생 시 신속하게 사고의 원인을 파악하고 대응하는 것이 중요해지고 있다.
이에 따라, 사이버 공격의 사전·사후 대응을 위한 네트워크 트래픽의 증거화와 보존 및 이를 이용한 원인 분석을 통해 공격 시나리오 재현이 가능한 사이버 블랙박스 장치에 대한 기술 개발이 이루어지고 있다.
구체적으로는 지속적인 네트워크 트래픽 수집, 수집된 데이터에 대한 증거화 보존, 보존 데이터에 대한 효율적 사용을 위한 처리 및 사이버 블랙박스의 중단 없는 운영을 위한 관리, 침해 사고에 대한 원인 분석 및 논리적 재현을 수행하는 장치로 형상화된다.
특히 사이버 블랙박스 장치는 매체에 저장된 형태가 아닌 네트워크 트래픽 데이터를 수집하고 증거화하는 과정에서 데이터의 진정성, 무결성, 신뢰성, 원본성 등을 확보함으로써 증거가 법적 효력을 갖도록 하는 것과 저장된 데이터를 기반으로 보안 관리자가 능동적인 침해 공격 원인 분석을 할 수 있도록 지원할 수 있는 다양한 분석 기능을 수행하는 데 중점을 두고 있다.
또한, 사이버 블랙박스 및 통합 사이버 보안 상황분석 시스템에서 사이버 블랙박스에 의해 수집·보존되는 네트워크 데이터의 무결성을 보장하기 위해, 한번 저장된 데이터의 변경(Modification) 및 사용자에 의한 임의 삭제가 불가능한 특성을 제공할 필요가 있다.
본 발명이 이루고자 하는 기술적 과제는 사이버 블랙박스 및 통합 사이버 보안 상황분석 시스템에서 사이버 블랙박스에 의해 수집·보존되는 네트워크 데이터의 무결성을 보장하는 방법과 그 시스템을 제공하는 데 있다.
상기 기술적 과제를 해결하기 위한 본 발명에 따른 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템은, 보존 데이터의 무결성 보장을 위해 가상볼륨에 저장된 보존 데이터의 위변조를 방지하는 파일시스템 기능으로, 가상볼륨 기반 WORM(Write Once Read Many) 스토리지 기능을 제공하고, 저장소 관리를 위해서 보존 데이터 보호 파일시스템의 가상볼륨을 생성하거나 폐기하는 기능을 제공한다.
상기 무결성 보장 시스템은, EvidenceLock 가상볼륨, EvidenceLock 관리 모듈, 파일저장모듈, 및 파일조회모듈을 포함할 수 있다.
상기 EvidenceLock 관리 모듈은 생성/폐기와 같은 수행에 대하여 상기 가상볼륨을 관리할 수 있다.
상기 파일저장모듈은 상기 가상볼륨에 대해 파일쓰기를 수행할 수 있는 API를 제공하고, 제공되는 API를 통해 상기 가상볼륨 내에 파일 생성 및 쓰기, 이어쓰기 등을 수행할 수 있다.
상기 파일조회모듈은 상기 가상볼륨에 저장된 파일들에 대해 조회할 수 있는 기능을 제공하고, 기존에 저장되어 있는 메타정보와 바이너리 정보의 파일을 읽어서 요구사항에 맞게 출력을 수행할 수 있다.
상기된 본 발명에 의하면, 가상볼륨 기반 WORM 스토리지를 이용함으로써, 사이버 블랙박스 및 통합 사이버 보안 상황분석 시스템에서 사이버 블랙박스에 의해 수집·보존되는 네트워크 데이터의 무결성을 보장할 수 있다.
도 1은 본 발명의 일 실시예에 따른 사이버 블랙박스 장치의 구성을 나타낸다.
도 2는 본 발명의 일 실시예에 따른 사이버 블랙박스 장치에서의 데이터 저장 방법의 흐름도를 나타낸다.
도 3은 본 발명의 일 실시예에 따른 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템의 구성을 나타낸다.
도 4는 본 발명의 일 실시예에 따른 가상볼륨 구성시 사용하는 파일 구성의 예를 나타낸다.
이하에서는 도면을 참조하여 본 발명의 바람직한 실시예들을 상세히 설명한다. 이하 설명 및 첨부된 도면들에서 실질적으로 동일한 구성요소들은 각각 동일한 부호들로 나타냄으로써 중복 설명을 생략하기로 한다. 또한 본 발명을 설명함에 있어 관련된 공지기능 혹은 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우 그에 대한 상세한 설명은 생략하기로 한다.
도 1은 본 발명의 일 실시예에 따른 사이버 블랙박스 장치의 구성을 나타낸다.
사이버 블랙박스 장치(100)는 예컨대 네트워크 스위치(200) 등의 네트워크 장치를 통하여 인터넷과 연결되며, 네트워크 스위치(200)를 통해 송수신되는 네트워크 트래픽 데이터를 수집하고 이를 증거화 보존하는 기능을 수행한다.
사이버 블랙박스 장치(100)는 고유한 식별값인 블랙박스 ID를 가진다. 블랙박스 ID는 예컨대 24Byte의 고유한 식별값일 수 있다.
사이버 블랙박스 장치(100)는 사이버 블랙박스 장치의 무결성을 인증하는 인증기관(300)과 인터넷을 통하여 연결되며, 인증기관(300)에는 사이버 블랙박스 장치(100)의 블랙박스 ID가 사전에 등록된다. 인증기관(300)은 예컨대 한국인터넷진흥원과 같은 공인된 인증기관일 수 있다.
사이버 블랙박스 장치(100)는 무결성 관리부(110), 암호키 관리부(120), 패킷 캡쳐부(130), 해쉬값 생성부(140), 저장부(150), 파일 저장소(160), 가상볼륨 관리부(170), 가상볼륨 접근제어부(180) 등을 포함한다.
무결성 관리부(110)는 인증기관(300)에 1일 주기로 1일 사용 패스워드(One-Day Password, ODP)를 요청한다. 1일 사용 패스워드란 해당 패스워드의 사용 개시 시점으로부터 1일(24시간) 동안 사용할 패스워드를 의미한다. 무결성 관리부(110)는 인증기관(300)에 1일 사용 패스워드를 요청할 때 사이버 블랙박스 장치(100)의 블랙박스 ID를 함께 전송한다.
인증기관(300)은 사이버 블랙박스 장치(100)로부터 1일 사용 패스워드의 요청을 받으면, 해당 블랙박스 ID에 대하여 1일 사용 패스워드를 생성하여 사이버 블랙박스 장치(100)에 전송한다. 이때 인증기관(300)은 인증기관(300)의 공인인증서로 전자서명된 1일 사용 패스워드를 전송할 수 있다.
인증기관(300)은 이처럼 일별로 생성한 1일 사용 패스워드를 암호화하고 이를 해당 블랙박스 ID와 매칭하여 저장하여 둔다. 저장된 일별 1일 사용 패스워드는, 향후에 인가된 블랙박스 분석장치(또는 분석요원)에 의하여 사이버 블랙박스 장치(100)의 데이터를 조회하거나 분석하는 것이 필요한 경우에, 인증기관(300)에 이를 요청하여 발급받아 사용할 수 있다.
무결성 관리부(110)는 인증기관(300)으로부터 1일 사용 패스워드를 수신하여 저장한다. 무결성 관리부(110)는 1일 주기로 인증기관(300)에 1일 사용 패스워드를 요청하므로, 매일마다 새로운 1일 사용 패스워드를 수신하여 저장하게 된다. 인증기관(300)의 공인인증서로 전자서명된 1일 사용 패스워드가 수신되는 경우, 무결성 관리부(110)는 전자서명 유효성 검증을 수행한 후에 1일 사용 패스워드를 저장할 수 있다. 인증기관(300)으로부터 새로 수신한 1일 사용 패스워드는 후술할 암호키 관리부(120) 및 가상볼륨 관리부(170)와 공유된다.
무결성 관리부(110)는 새로운 1일 사용 패스워드를 저장한 후(혹은 저장과 동시에), 기 저장된 전일자 1일 사용 패스워드를 파기할 수 있다. 이때 무결성 관리부(110)는 전일자 1일 사용 패스워드를 예컨대 난수를 이용하여 3회 이상 덮어쓰기하는 방식으로 완전히 삭제할 수 있다.
암호키 관리부(120)는 새로 수신된 1일 사용 패스워드를 이용하여 1일 사용 암호키를 생성하여 저장한다. 여기서 1일 사용 암호키는 해당 암호키의 사용 개시 시점으로부터 1일(24시간) 동안 사용할 암호키를 의미한다. 암호키의 생성은 예컨대 패스워드 기반 암호화 표준인 PKCS#5 등을 이용할 수 있다. 암호키 관리부(120)에서 새로 생성된 1일 사용 암호키는 후술할 저장부(150)와 공유된다.
암호키 관리부(120)는 새로 1일 사용 암호키를 생성하여 저장한 후(혹은 저장과 동시에), 기 저장된 1일 사용 암호키를 파기할 수 있다. 이때 암호키 관리부(120)는 전일자 1일 사용 암호키를 예컨대 난수를 이용하여 3회 이상 덮어쓰기하는 방식으로 완전히 삭제할 수 있다.
패킷 캡쳐부(130)는 네트워크 스위치(200) 등의 네트워크 장치를 통해 송수신되는 네트워크 트래픽을 계속적으로 수집한다. 네트워크 장치의 모든 네트워크 트래픽을 수집하는 것은 예컨대 네트워크 장치에서 포트 미러링을 이용하여 수행될 수 있다. 패킷 캡쳐부(130)는 계속적으로 수집되는 네트워크 트래픽을 4-tuple(출발지 IP 주소, 출발지 포트 번호, 목적지 IP 주소, 목적지 포트 번호) 기반의 세션 단위로 구분하고, 구분된 네트워크 트래픽으로부터 소정 크기(예컨대, 10MByte) 단위로 패킷 캡쳐 파일(예를 들면, pcap 파일)을 생성한다. 패킷 캡쳐부(130)에서 생성되는 패킷 캡쳐 파일은 후술할 해쉬값 생성부(140)로 전달된다.
해쉬값 생성부(140)는 패킷 캡쳐부(130)에서 생성된 패킷 캡쳐 파일로부터 메타정보들을 추출한다. 추출되는 메타정보들은, 5-tuple 기반의 세션 메타정보들로서 해당 네트워크 트래픽의 출발지 IP 주소, 출발지 포트 번호, 목적지 IP 주소, 목적지 포트 번호, 프로토콜 유형, 그리고 해당 네트워크 트래픽의 처음 시간값과 마지막 시간값을 포함하는 7개의 메타정보를 포함할 수 있다.
그리고 해쉬값 생성부(140)는 위 7개의 메타정보들 각각에 대한 해쉬값들(예컨대, sha2{출발지 IP 주소}, sha2{출발지 포트 번호}, sha2{목적지 IP 주소}, sha2{목적지 포트 번호}, sha2{프로토콜 유형}, sha2{처음 시간값}, sha2{마지막 시간값})과, 7개의 메타정보들 전체에 대한 해쉬값(예컨대, 7개의 메타정보들을 더한 값에 대한 해쉬값, 즉 sha2{출발지 IP 주소+출발지 포트 번호+목적지 IP 주소+목적지 포트 번호+프로토콜 유형+처음 시간값+마지막 시간값}), 그리고 패킷 캡쳐 파일에 대한 해쉬값(예컨대, sha2{pcap 파일})을 각각 생성한다. 7개의 메타정보들 각각에 대한 해쉬값들, 7개의 메타정보들 전체에 대한 해쉬값, 그리고 패킷 캡쳐 파일에 대한 해쉬값은 원본 패킷 캡쳐 파일과 함께 저장부(150)로 전달된다.
저장부(150)는 해쉬값 생성부(140)로부터 전달된 패킷 캡쳐 파일을 암호키 관리부(120)에서 생성된 1일 사용 암호키를 이용하여 소정의 암호화 알고리즘으로 암호화한다. 예컨대 암호화 알고리즘으로 AES128, CBC 모드 블록 암호화 알고리즘 등이 사용될 수 있다. 결국, 패킷 캡쳐 파일은 일 별로 다른 1일 사용 암호키를 이용하여 암호화된다.
저장부(150)는 암호화된 패킷 캡쳐 파일을, 해쉬값 생성부(140)에서 생성한 메타정보들에 대한 해쉬값, 패킷 캡쳐 파일에 대한 해쉬값과 함께 파일 저장소(160)에 저장한다.
파일 저장소(160)는 도시된 바와 같이, n개의 가상볼륨들(160_1, ..., 160_n)을 포함한다. 그리고 각 가상볼륨은 파일 원본 저장소(161), 파일 해쉬값 저장소(162), 파일 인덱스 저장소(163)를 포함한다.
저장부(150)는 암호화된 패킷 캡쳐 파일을 n번째 가상볼륨(160_n)의 파일 원본 저장소(161_n)에 저장한다. 이때 암호화된 패킷 캡쳐 파일은 그 파일명을 해쉬값 생성부(140)에서 생성된 7개 메타정보들 전체에 대한 해쉬값으로 하여 저장될 수 있다.
전술한 바와 같이 새로운 1일 사용 패스워드가 수신되고 그에 따른 1일 사용 암호키가 생성되면 전일자 1일 사용 패스워드와 1일 사용 암호키는 파기되므로, 파일 원본 저장소(161_1~n)에 저장된 과거의 패킷 캡쳐 파일을 복호화하기 위해서는 인증기관(300)에 해당 일자의 1일 사용 패스워드를 요청하여 발급받아야 한다.
또한 저장부(150)는 해당 패킷 캡쳐 파일에 대한 해쉬값을, 파일 원본 저장소(161_n)에 저장된 암호화된 패킷 캡쳐 파일의 파일명(즉, 7개 메타정보들 전체에 대한 해쉬값)과 매핑하여 n번째 가상볼륨(160_n)의 파일 해쉬값 저장소(162_n)에 저장한다. 예컨대 파일 해쉬값 저장소(162_n)에 저장되는 정보는, [sha2{출발지 IP 주소+출발지 포트 번호+목적지 IP 주소+목적지 포트 번호+프로토콜 유형+처음 시간값+마지막 시간값} : sha2{pcap 파일}]이 될 수 있다.
또한 저장부(150)는 7개의 메타정보들 각각에 대한 해쉬값들을, 파일 원본 저장소(161_n)에 저장된 암호화된 패킷 캡쳐 파일의 파일명(즉, 7개 메타정보들 전체에 대한 해쉬값)과 매핑하여 n번째 가상볼륨(160_n)의 파일 인덱스 저장소(163_n)에 저장한다. 예컨대 파일 인덱스 저장소(163_n)에 저장되는 정보는, [sha2{출발지 IP 주소+출발지 포트 번호+목적지 IP 주소+목적지 포트 번호+프로토콜 유형+처음 시간값+마지막 시간값} : sha2{출발지 IP 주소} : sha2{출발지 포트 번호} : sha2{목적지 IP 주소} : sha2{목적지 포트 번호} : sha2{프로토콜 유형} : sha2{처음 시간값} : sha2{마지막 시간값}]이 될 수 있다.
위와 같이 파일 해쉬값 저장소(162_1~n)와 파일 인덱스 저장소(163_1~n)에 암호화된 패킷 캡쳐 파일의 파일명과 매핑하여 해당 패킷 캡쳐 파일에 대한 해쉬값과 7개의 메타정보들 각각에 대한 해쉬값들을 저장하므로, 향후 사이버 침해의 사전·사후 분석시에 7개의 메타정보들을 기반으로 원하는 네트워크 트래픽을 세션 단위로 효율적이고 빠르게 검색 및 재구성할 수 있다.
가상볼륨 관리부(170)는 파일 저장소(160)의 가상볼륨들(160_1, ..., 160_n)을 생성 및 관리하는 역할을 한다.
예를 들어, 가상볼륨 관리부(170)는 (n-1)번째 가상볼륨(160_n-1)의 저장 여유 공간이 30% 이하가 되는 경우에 n번째 가상볼륨(160_n)을 생성한다. 가상볼륨은 소정 크기(예컨대, 10GByte) 단위로 생성되며, 볼륨명은 해당 가상볼륨 생성 시의 시간값과 상기 무결성 관리부(110)의 1일 사용 패스워드를 이용하여 정해질 수 있다. 예컨대 시간값 YYYY-MM-DD HH:MM과 ODP를 조합한 값의 해쉬값, 즉 [sha2{YYYY-MM-DD HH:MM+ODP}]가 볼륨명이 될 수 있다.
또한 가상볼륨 관리부(170)는 전체 파일 저장소(160)의 저장 여유 공간이 10% 이하가 되는 경우에 생성 시점을 기준으로 가장 오래된 가상볼륨을 삭제할 수 있다.
가상볼륨 접근제어부(180)는 저장부(150)와 가상볼륨 관리부(170) 이외의 파일 저장소(160)로의 비인가된 접근을 차단하고, 저장부(150)를 통하여서만 파일 저장소(160)의 가상볼륨에 새로운 데이터를 저장하는 것이 가능하도록 통제함으로써, 파일 저장소(160)에 저장된 데이터의 위/변조를 방지한다.
도 2는 본 발명의 일 실시예에 따른 사이버 블랙박스 장치에서의 데이터 저장 방법의 흐름도를 나타낸다. 본 실시예에 따른 데이터 저장 방법은 전술한 사이버 블랙박스 장치(100)에서 처리되는 단계들로 이루어진다. 따라서 이하 생략된 내용이라 하더라도 사이버 블랙박스 장치(100)에 관하여 이상에서 기술된 내용은 본 실시예에 따른 데이터 저장 방법에도 적용된다.
410단계에서, 무결성 관리부(110)는 인증기관(300)에 1일 사용 패스워드를 요청한다.
420단계에서, 무결성 관리부(110)는 인증기관(300)으로부터 1일 사용 패스워드를 수신하여 저장한다.
430단계에서, 무결성 관리부(110)는 기 저장된 전일자 1일 사용 패스워드를 파기한다.
440단계에서, 암호키 관리부(120)는 430단계에서 수신된 1일 사용 패스워드를 이용하여 1일 사용 암호키를 생성하여 저장한다.
450단계에서, 암호키 관리부(120)는 기 저장된 전일자 1일 사용 암호키를 파기한다.
460단계에서 1일이 경과되면 상기된 410단계 내지 450단계가 반복 수행된다.
한편, 510단계에서 패킷 캡쳐부(130)는 네트워크 스위치(200) 등의 네트워크 장치를 통해 송수신되는 네트워크 트래픽을 수집한다.
520단계에서, 패킷 캡쳐부(130)는 수집된 네트워크 트래픽으로부터 소정 크기 단위로 패킷 캡쳐 파일을 생성한다.
530단계에서, 해쉬값 생성부(140)는 상기 520단계에서 생성된 패킷 캡쳐 파일로부터 메타정보들을 추출한다.
540단계에서, 해쉬값 생성부(140)는 상기 메타정보들에 대한 해쉬값 및 상기 패킷 캡쳐 파일에 대한 해쉬값을 생성한다.
550단계에서, 저장부(150)는 상기 패킷 캡쳐 파일을 상기 440단계에서 생성된 1일 사용 암호키를 이용하여 암호화한다.
560단계에서, 저장부(150)는 상기 암호화된 패킷 캡쳐 파일, 상기 메타정보들에 대한 해쉬값, 상기 패킷 캡쳐 파일에 대한 해쉬값을 파일 저장소(160)에 저장한다.
상기 510단계 내지 560단계는 계속적, 반복적으로 수행된다.
도 3은 본 발명의 일 실시예에 따른 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템의 구성을 나타낸다.
본 발명의 실시예에 따른 무결성 보장 시스템은 보존 데이터의 무결성 보장을 위해 가상볼륨에 저장된 보존 데이터의 위변조를 방지하는 파일시스템 기능으로, 가상볼륨 기반 WORM(Write Once Read Many) 스토리지 기능을 제공하고, 저장소 관리를 위해서 보존 데이터 보호 파일시스템의 가상볼륨을 생성하거나 폐기하는 기능을 제공한다.
도 3을 참조하면 본 발명의 실시예에 따른 무결성 보장 시스템은, EvidenceLock 가상볼륨(510), EvidenceLock 관리 모듈(520), 파일저장모듈(530), 파일조회모듈(540)을 포함하여 이루어진다.
EvidenceLock 가상볼륨(510)은 EvidenceLock 파일시스템, EvidenceLock 라이브러리/API, EvidenceLock 이미지를 포함한다.
EvidenceLock 관리 모듈(520)은 생성/폐기와 같은 수행에 대하여 가상볼륨(510)을 관리한다.
파일저장모듈(530)은 가상볼륨(510)에 대해 파일쓰기를 수행할 수 있는 API를 제공한다. 제공되는 API를 통해 가상볼륨(510) 내에 파일 생성 및 쓰기, 이어쓰기 등을 수행할 수 있도록 한다. 데이터 핸들링 측면에서 빠른 데이터 처리를 위해 별도로 구현된 API를 통해 쓰기(writing)을 수행한다. 쓰기 수행 시에 메타정보와 바이너리 정보를 분류하여 별도의 파일로 저장 처리한다.
파일조회모듈(540)은 가상볼륨(510)에 저장된 파일들에 대해 조회할 수 있는 기능을 제공한다. 접근할 수 있는 방법은, 파일 변경 및 삭제를 제외하고, 일반 리눅스(Linux) 내 파일에 접근하는 것과 동일하다. 기존에 저장되어 있는 메타정보와 바이너리 정보의 파일을 읽어서 요구사항에 맞게 출력을 수행한다.
도 4는 본 발명의 일 실시예에 따른 가상볼륨 구성시 사용하는 파일 구성의 예를 나타낸다.
도 4를 참조하면, 메타정보 이미지 파일은 가상볼륨(510)에 저장된 파일들의 메타정보(파일 이름, 파일 생성 시간 등)와 데이터 이미지 파일에 저장되는 위치의 오프셋(offset) 정보를 저장한다.
데이터 이미지 파일은 가상볼륨(510)에 파일 저장시 파일에 포함되어 있는 바이너리 정보를 포함한다. 각 파일별 오프셋 정보는 메타정보에 포함되어 있다.
한편, 상술한 본 발명의 실시예들은 컴퓨터에서 실행될 수 있는 프로그램으로 작성가능하고, 컴퓨터로 읽을 수 있는 기록매체를 이용하여 상기 프로그램을 동작시키는 범용 디지털 컴퓨터에서 구현될 수 있다. 상기 컴퓨터로 읽을 수 있는 기록매체는 마그네틱 저장매체(예를 들면, 롬, 플로피 디스크, 하드 디스크 등), 광학적 판독 매체(예를 들면, 시디롬, 디브이디 등)와 같은 저장매체를 포함한다.
이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.

Claims (5)

  1. 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템에 있어서,
    보존 데이터의 무결성 보장을 위해 가상볼륨에 저장된 보존 데이터의 위변조를 방지하는 파일시스템 기능으로, 가상볼륨 기반 WORM(Write Once Read Many) 스토리지 기능을 제공하고, 저장소 관리를 위해서 보존 데이터 보호 파일시스템의 가상볼륨을 생성하거나 폐기하는 기능을 제공하는 무결성 보장 시스템.
  2. 제1항에 있어서,
    EvidenceLock 가상볼륨, EvidenceLock 관리 모듈, 파일저장모듈, 및 파일조회모듈을 포함하는 무결성 보장 시스템.
  3. 제2항에 있어서,
    상기 EvidenceLock 관리 모듈은 생성/폐기에 대하여 상기 가상볼륨을 관리하는 무결성 보장 시스템.
  4. 제2항에 있어서,
    상기 파일저장모듈은 상기 가상볼륨에 대해 파일쓰기를 수행할 수 있는 API를 제공하고, 제공되는 API를 통해 상기 가상볼륨 내에 파일 생성 및 쓰기, 이어쓰기를 수행할 수 있도록 하는 무결성 보장 시스템.
  5. 제2항에 있어서,
    상기 파일조회모듈은 상기 가상볼륨에 저장된 파일들에 대해 조회할 수 있는 기능을 제공하고, 기존에 저장되어 있는 메타정보와 바이너리 정보의 파일을 읽어서 요구사항에 맞게 출력을 수행하는 무결성 보장 시스템.
KR1020160019616A 2016-02-19 2016-02-19 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템 KR20170098348A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020160019616A KR20170098348A (ko) 2016-02-19 2016-02-19 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160019616A KR20170098348A (ko) 2016-02-19 2016-02-19 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템

Publications (1)

Publication Number Publication Date
KR20170098348A true KR20170098348A (ko) 2017-08-30

Family

ID=59760759

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160019616A KR20170098348A (ko) 2016-02-19 2016-02-19 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템

Country Status (1)

Country Link
KR (1) KR20170098348A (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210143459A (ko) * 2020-05-20 2021-11-29 주식회사 소테리아 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210143459A (ko) * 2020-05-20 2021-11-29 주식회사 소테리아 로그 무결성 검사 및 이를 통한 로그 위변조 행위 증빙 시스템 및 그 방법

Similar Documents

Publication Publication Date Title
CN107947922B (zh) 一种基于区块链技术的数字档案管理方法及系统
JP6542962B2 (ja) 遅延データアクセス
US20210258146A1 (en) Verifiable redactable audit log
CN105191207B (zh) 联合密钥管理
Damshenas et al. Forensics investigation challenges in cloud computing environments
EP2957063B1 (en) Policy enforcement with associated data
KR102055116B1 (ko) 데이터 보안 서비스
US9613038B2 (en) Digital data retention management
JP6678457B2 (ja) データセキュリティサービス
US7340610B1 (en) Trusted time stamping storage system
US9824231B2 (en) Retention management in a facility with multiple trust zones and encryption based secure deletion
O’shaughnessy et al. Impact of cloud computing on digital forensic investigations
US10467422B1 (en) Automatic key rotation
RU2697953C2 (ru) Система и способ вынесения решения о компрометации данных
US9734346B2 (en) Device and method for providing security in remote digital forensic environment
Ćosić et al. (Im) proving chain of custody and digital evidence integrity with time stamp
Gao et al. Haddle: a framework for investigating data leakage attacks in Hadoop
KR102013415B1 (ko) 개인정보 접속기록 무결성 검증시스템 및 검증방법
CN110493011B (zh) 基于区块链的证书颁发管理方法以及装置
KR20170098348A (ko) 사이버 블랙박스의 대용량 로그데이터에 대한 무결성 보장 시스템
KR101786783B1 (ko) 사이버 블랙박스에서의 데이터 저장 방법
Tezuka et al. ADEC: Assured deletion and verifiable version control for cloud storage
US20160092886A1 (en) Methods of authorizing a computer license
Das et al. Cryptolog: A new approach to provide log security for digital forensics
Ibrahim et al. A secure storage model to preserve evidence in network forensics