본문 바로가기
HOME> 논문 > 논문 검색상세

논문 상세정보

호스트 침해 발생 시점에서의 효율적 Forensics 증거 자료 수집 방안
An Efficient Method of Forensics Evidence Collection at the Time of Infringement Occurrence

최윤호   (서울대학교 전기컴퓨터 공학부UU0000691  ); 박종호   (서울대학교 전기컴퓨터 공학부UU0000691  ); 김상곤   (서울대학교 전기컴퓨터 공학부UU0000691  ); 강유   (KTCC0187145  ); 최진기   (KTCC0187145  ); 문호건   (KTCC0187145  ); 이명수   (KTCC0187145  ); 서승우   (서울대학교 전기컴퓨터 공학부UU0000691  );
  • 초록

    컴퓨터 Forensics는 급증하고 다양화 되어 가는 컴퓨터 관련 범죄가 발생할 시, 침입에 대한 전자 증거자료를 수집하고 분석함으로써 악의적 사용자를 찾아내는 분야로서, 최근 이에 관한 많은 연구가 진행되고 있다. 그러나 지금까지는 사건 발생 접수 후 전자 증거자료를 수집하는 방안에 대한 연구가 이루어져왔다. 본 논문에서는 사이버 범죄에 적절하게 대응하기 위해 악의적 사용자에 의해 고의적으로 시스템이 침해된 경우, 사건 발생 시점에 기초하여 양질의 증거자료를 효과적으로 수집하기 위한 방안에 대해 제안한다. 이를 위해 침입 탐지시스템(IDS)의 로그와 분석(감시 및 보호)대상 호스트에서의 로그 및 환경 설정 정보의 상관관계를 분석하는 기법을 제시한다. 제안한 기법은 이종 시스템 로그 간 상관관계 분석을 통해 범죄 대응을 위한 자료 손실을 최소화하기 위해, 감시 및 보호 대상 호스트들의 공격에 대한 침해 위험도를 계산하고 이를 기초로 호스트의 침해(실제 시스템이 위험에 노출)발생 시점에서 증거자료를 수집한다. 이를 통해, 침해 분석에 사용되는 분석 대상 자료의 양을 줄일 뿐만 아니라 침해 판단에 사용되는 자료의 손상을 최소화하여 판단의 정확성을 보장한다. 또한 정상적인 사용자나 공격자에 의한 전자증거자료의 훼손을 최소화한다.


    The Computer Forensics is a research area that finds the malicious users by collecting and analyzing the intrusion or infringement evidence of computer crimes such as hacking. Many researches about Computer Forensics have been done so far. But those researches have focussed on how to collect the forensic evidence for both analysis and poofs after receiving the intrusion or infringement reports of hosts from computer users or network administrators. In this paper, we describe how to collect the forensic evidence of good quality from observable and protective hosts at the time of infringement occurrence by malicious users. By correlating the event logs of Intrusion Detection Systems(IDSes) and hosts with the configuration information of hosts periodically, we calculate the value of infringement severity that implies the real infringement possibility of the hosts. Based on this severity value, we selectively collect the evidence for proofs at the time of infringement occurrence. As a result, we show that we can minimize the information damage of the evidence for both analysis and proofs, and reduce the amount of data which are used to analyze the degree of infringement severity.


  • 주제어

    Computer Forensics .   Infringement Severity .   Evidence Collection.  

  • 참고문헌 (10)

    1. HerveDebar, Andreas Wespi, 'Aggregation and Correlation of Intrusion Detection Alerts', in proceedings of RAID 2001 
    2. Benjamin Morin and al., 'M2D2: a formal data model for IDS Alert Correlation', Proceedings of RAID 2002, Zurich, Switzerland, October 2002 
    3. iplog 2.2.3, a TCP/IP traffic logger, http://www.freshports.org/net/iplog 
    4. P. A. Porras and P. G. Neumann, 'EMERALD: Event Monitoring Enabling Responses to Anomalous Live Disturbances', National Information Systems Security Conference, 1997 
    5. Rootkit identifier, http://www.chkrootkit.org 
    6. Frederic Cuppens, Alexandre Miege, 'Alert Correlation in a Cooperative Intrusion Detection Framework', in proceedings of IEEE S&P, 2002 
    7. '월간 정보보호 뉴스', 한국정보보호진흥원 정기간행물, 10, 2005 
    8. Mariusz Burdach, 'Forensic Analysis of a Live Linux System, Pt. 1,2', http://www.securityfocus.com 
    9. Nessus 2.2.8, the network vulnerability scanner, http://www.nessus.org 
    10. Snort v2.0, an open source network intrusion detection system, http://www. snort.org 

 저자의 다른 논문

 활용도 분석

  • 상세보기

    amChart 영역
  • 원문보기

    amChart 영역

원문보기

무료다운로드
  • NDSL :
유료다운로드

유료 다운로드의 경우 해당 사이트의 정책에 따라 신규 회원가입, 로그인, 유료 구매 등이 필요할 수 있습니다. 해당 사이트에서 발생하는 귀하의 모든 정보활동은 NDSL의 서비스 정책과 무관합니다.

원문복사신청을 하시면, 일부 해외 인쇄학술지의 경우 외국학술지지원센터(FRIC)에서
무료 원문복사 서비스를 제공합니다.

NDSL에서는 해당 원문을 복사서비스하고 있습니다. 위의 원문복사신청 또는 장바구니 담기를 통하여 원문복사서비스 이용이 가능합니다.

이 논문과 함께 출판된 논문 + 더보기