[go: up one dir, main page]

KR20190102937A - Method and apparatus for managing digital information using digital forensic - Google Patents

Method and apparatus for managing digital information using digital forensic Download PDF

Info

Publication number
KR20190102937A
KR20190102937A KR1020180024063A KR20180024063A KR20190102937A KR 20190102937 A KR20190102937 A KR 20190102937A KR 1020180024063 A KR1020180024063 A KR 1020180024063A KR 20180024063 A KR20180024063 A KR 20180024063A KR 20190102937 A KR20190102937 A KR 20190102937A
Authority
KR
South Korea
Prior art keywords
abnormal behavior
analyzing
digital
predetermined
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
KR1020180024063A
Other languages
Korean (ko)
Other versions
KR102488337B1 (en
Inventor
최운영
Original Assignee
한국디지털포렌식센터 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국디지털포렌식센터 주식회사 filed Critical 한국디지털포렌식센터 주식회사
Priority to KR1020180024063A priority Critical patent/KR102488337B1/en
Publication of KR20190102937A publication Critical patent/KR20190102937A/en
Application granted granted Critical
Publication of KR102488337B1 publication Critical patent/KR102488337B1/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Data Mining & Analysis (AREA)
  • Quality & Reliability (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

Disclose are a method for managing digital information using digital forensics and an apparatus thereof. The method for managing digital information using digital forensics detects and analyzes an abnormal behavior in a predetermined computer, determines a grade in accordance with predetermined criteria based on the analyzed abnormal behavior, and transmits information related to the determined grade to the outside.

Description

디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치{Method and apparatus for managing digital information using digital forensic}Method for managing digital information using digital forensic method and apparatus therefor {Method and apparatus for managing digital information using digital forensic}

본 발명은 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치에 관한 것으로, 더욱 상세하게는 디지털포렌식 일련의 과정에서 발생되고 활용되는 증거물 등 디지털포렌식 조사지원 정보를 축척 및 관리하여 법적 증거능력을 보장하고, 상호 공유를 통하여 디지털포렌식 조사활동을 지원하는 디지털포렌식을 이용한 디지털정보 관리 방법 및 그 장치에 관한 것이다.The present invention relates to a digital information management method and apparatus using digital forensics, and more particularly, to ensure legal evidence capacity by accumulating and managing digital forensic research support information such as evidence generated and utilized in a series of digital forensic processes. The present invention relates to a digital information management method and apparatus using digital forensics that support digital forensic research activities through mutual sharing.

디지털포렌식(digital forensic)은 PC나 노트북, 휴대폰 등 각종 저장매체 또는 인터넷 상에 남아 있는 각종 디지털 정보를 분석해 범죄 단서를 찾는 수사기법을 의미한다. 구체적으로, 디지털포렌식은 범죄수사에서 적용되고 있는 과학적 증거 수집 및 분석기법의 일종으로, 각종 디지털 데이터 및 통화기록, 이메일 접속기록 등의 정보를 수집ㆍ분석하여 DNAㆍ지문ㆍ핏자국 등 범행과 관련된 증거를 확보하는 수사기법을 의미한다.Digital forensic refers to an investigation technique that finds a clue by analyzing various digital information remaining on various storage media such as a PC, a laptop, a mobile phone, or the Internet. Specifically, digital forensics is a type of scientific evidence collection and analysis method used in criminal investigations. It collects and analyzes various digital data, call records, e-mail access records, etc., and evidences related to crimes such as DNA, fingerprints, and blood traces. Means investigative technique to secure.

최근에는 클라우드, BYOD, 스마트워크 등 업무의 형태가 다양해지면서 정보유출 위험은 더욱 높아만 가고 있는 실정이다. 업무 편의성이 증대된만큼 관리가 늘어나고, 관리가 되지 않은 보안 취약점도 함께 증가하고 잇다. 업무를 위한 데이터의 이동 경계가 사라지면서 특정 포인트만 보호하는 기존의 방식으로는 데이터를 안전하게 보호할 수 없으며, 유출 경로조차 모르고 있는 실정이다.In recent years, the risk of information leakage is increasing as the work types such as cloud, BYOD, and smart work are diversified. As business convenience increases, management increases, and unmanaged security vulnerabilities also increase. As the boundary of data movement for work disappears, the existing method of protecting only a certain point cannot secure the data and does not know the leakage route.

따라서, 기업의 영업 비밀을 단순히 보호하는 수동적인 관리 방식에서 벗어나 사전에 영업비밀 유출행위를 미연에 예방할 수 있는 능동적인 사전 유출 탐지 및 예방 시스템에 필요한 시점이다.Therefore, it is time for active proactive leak detection and prevention system to prevent trade secret leaks in advance, rather than passive management that simply protects company's trade secrets.

이러한 문제점을 해결하기 위하여, 본 발명은 디지털포렌식을 이용하여 사전에 유출행위를 탐지하여 대응함으로써 디지털 정보를 관리하는 방법을 제공하는데 있다.In order to solve this problem, the present invention is to provide a method for managing digital information by detecting and responding to leaks in advance using digital forensics.

상기 기술적 과제를 해결하기 위한 본 발명의 일 실시예에 따라, 디지털포렌식을 이용한 디지털정보 관리 방법은 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계; 상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 단계; 및 상기 결정된 등급관련 정보를 외부로 전송하는 단계를 포함한다.According to an embodiment of the present invention for solving the above technical problem, the digital information management method using a digital forensic step of detecting and analyzing abnormal behavior in a predetermined computer; Determining a grade based on a predetermined criterion based on the analyzed abnormal behavior; And transmitting the determined grade related information to the outside.

상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계를 포함할 수 있다.The detecting and analyzing abnormal behavior in the predetermined computer may include detecting and analyzing abnormal behavior in the predetermined computer by setting a predetermined period of time.

상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 및 디지털포렌식 회피 용어 검색 웹기록 분석하는 단계 중 적어도 하나를 포함할 수 있다.Determining and analyzing abnormal behavior in a predetermined computer by setting the predetermined period of time may include: deleting, copying, moving, or recording data in a predetermined computer by analyzing the predetermined period, deleting or adding an operating program. The method may include analyzing the installation data, analyzing the unauthorized external device connection type data, analyzing the authorized and unauthorized external device connection count data, and analyzing the digital forensic avoidance term search web record.

상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 단계를 포함할 수 있다.Detecting and analyzing abnormal behavior in the predetermined computer may include detecting and analyzing abnormal behavior by monitoring the predetermined computer in real time.

디지털포렌식을 이용한 디지털정보 관리 방법은 상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 단계를 더 포함할 수 있다.The digital information management method using the digital forensic may further include blocking an operation of the computer exceeding the threshold when the determined grade exceeds a preset threshold.

상기 기술적 과제를 해결하기 위한 본 발명의 다른 실시예에 따라, 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 이상행위 검출분석부; 상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 제어부; 및 상기 결정된 등급관련 정보를 외부로 전송하는 이상행위 정보제공부를 포함한다.According to another embodiment of the present invention for solving the technical problem, an abnormal behavior detection analysis unit for detecting and analyzing abnormal behavior in a predetermined computer; A controller which determines a grade based on a predetermined criterion based on the analyzed abnormal behavior; And abnormal behavior information providing unit for transmitting the determined grade related information to the outside.

본 발명에 의하면, 영업비밀 및 기술 유출에 관하여 사전에 탐지 및 예방을 함으로써, 산업기반 또는 국가 핵심기술을 타 경쟁업체 또는 해외로 유출되는 것을 방지할 수 있는 효과가 있다.According to the present invention, by detecting and preventing in advance the trade secrets and technology leakage, there is an effect that can prevent the industrial base or national core technology from being leaked to other competitors or overseas.

또한, 퇴사자 또는 퇴사 예정자의 컴퓨터를 관리함으로써, 영업비밀 및 기술 유출에 관한 법적 증거자료를 사전에 확보할 수 있는 장점이 있다.In addition, by managing the computer of the retiree or prospective retiree, there is an advantage that can be obtained in advance legal evidence on trade secrets and technical leakage.

나아가, 범죄와 관련된 보험사기, 회계부정 및 기업내부 비위행위를 사전에 탐지할 수 있어, 모든 기업의 인프라에 활용과 확대가 가능하다.Furthermore, insurance fraud, accounting fraud, and corporate misconduct related to crime can be detected in advance, making it possible to utilize and expand the infrastructure of any company.

도 1은 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 방법에 관한 흐름도를 나타내는 도면이다.
도 2는 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 장치에 관한 블록다이어그램을 나타내는 도면이다.1 is a flowchart illustrating a digital information management method using digital forensics according to an embodiment of the present invention.
2 is a block diagram of an apparatus for managing digital information using a digital forensics according to an embodiment of the present invention.

첨부된 도면을 참조하여 본 발명의 바람직한 실시예를 상세히 설명하기로 한다.Hereinafter, exemplary embodiments of the present invention will be described in detail with reference to the accompanying drawings.

도 1은 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 방법에 관한 흐름도를 나타내는 도면이다.1 is a flowchart illustrating a digital information management method using digital forensics according to an embodiment of the present invention.

도 1을 참조하면, 단계 110에서, 디지털포렌식을 이용한 디지털정보 관리 방법을 수행하는 장치(이하, '장치'라고 칭함)는 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석한다.Referring to FIG. 1, in operation 110, an apparatus (hereinafter, referred to as an "device") that performs a digital information management method using digital forensics detects and analyzes abnormal behavior in a predetermined computer.

본 발명의 일 실시예에 따라, 장치는 소정의 기간(예를 들어, 사용자의 퇴사 시점부터 6개월 이전의 기간)을 정하여 이상행위를 검출하여 분석할 수도 있다.According to an embodiment of the present invention, the device may detect and analyze abnormal behavior by setting a predetermined period (for example, a period six months before the user's resignation).

본 발명의 일 실시예에 따라, 소정의 기간을 정하여 이상행위를 검출 및 분석하는 방법은 문서 삭제/복사/이동 기록 데이터 분석, 운영프로그램 삭제 추가설치 데이터 분석, 비인가 외장장치 접속 종류 데이터 분석, 인가/비인가 외장장치 접속 횟수 데이터 분석, 영업비밀유출,법적책임,삭제방법 등 디지털포렌식 회피 용어 검색 웹기록 분석 기술 등이 있다.According to an embodiment of the present invention, a method for detecting and analyzing abnormal behavior by setting a predetermined period of time may include document deletion / copying / moving recording data analysis, operation program deletion additional installation data analysis, unauthorized external device connection type data analysis, and authorization. Digital Forensic Avoidance Terminology Search Web History Analysis Technology such as data analysis, unauthorized trade secrets, legal liability, and deletion method.

문서 삭제/복사/이동 기록 데이터 분석 기술은 MFT(마스터 파일 테이블) 엔트리와 Bitmap(볼륨 비트맵)을 인식한 후, 객체의 상태에 따라 삭제된 파일, 덮어쓰기 등의 파일의 접근, 생성, 수정 상태를 확인하고 특정 날짜의 파일 상태(예를 들어, 대량 삭제, 덮어 쓰기, 특정 장소로의 이동)를 확인하여 컴퓨터에서의 행위를 파악하고 분석한다.Document Delete / Copy / Move History Data analysis technology recognizes MFT (Master File Table) entries and Bitmaps (volume bitmaps), and then accesses, creates, and modifies files that are deleted or overwritten, depending on the state of the object. Identify and analyze behavior on a computer by checking its status and checking the status of files on a specific date (for example, bulk deletion, overwriting, or moving to a specific location).

MFT(마스터 파일 테이블)는 NFTS 볼륨 상의 모든 파일에 대하여 적어도 한 개의 엔트리를 가지고 있으며, 파일 크기, 작성 일자, 사용 권한, 데이터 내용 등, 파일에 관한 모든 정보를 저장하고 관리하며, MFT 엔트리는 NTFS 볼륨에 저장된 객체의 목록과 그 객체와 연관된 특정 속성 및 그러한 객체의 "부모-자녀" 관계를 제공한다. The Master File Table (MFT) has at least one entry for every file on the NFTS volume. It stores and manages all information about the file, including file size, creation date, permissions, and data contents. The MFT entry is NTFS It provides a list of objects stored on the volume, the specific attributes associated with those objects, and the "parent-child" relationship of those objects.

Bitmap은 NTFS 볼륨 내의 클러스터 상태를 제공하며, FAT 파일 시스템과 마찬가지로 2개의 영역을 통해 객체의 상태를 결정한다.Bitmap provides cluster state within an NTFS volume and, like the FAT file system, determines the state of an object through two areas.

운영프로그램 삭제 추가설치 데이터 분석 기술은 소프트웨어의 레지스트리, 예를 들어, HKEY_LOCAL_MACHINE\System Registry hive, 정보를 분석하여 현재 운영체제에 설치되었거나 삭제된 프로그램의 목록을 분석한다.Deleting operating programs Additional installation data analysis technology analyzes the registry of the software, for example, HKEY_LOCAL_MACHINE \ System Registry hive, to analyze the list of programs installed or deleted on the current operating system.

비인가 외장장치 접속 종류 데이터 분석 기술은 로그파일, 레지스트리 파일 등을 분석하여 외장저장장치 종류, 접속 날짜, 시리얼 번호 등을 분석한다.Unauthorized external device connection type data analysis technology analyzes log files, registry files, etc. to analyze external storage device types, access dates, and serial numbers.

SETUPAPI.DEV.LOG 파일에서는 장치의 설치와 삭제를 기록하기 위해 사용되며, 장치가 언제 설치되었는지와 제거되어졌는지 확인될 수 있다. Windows System EventLog 파일에는 이동형 USB 장치의 설치가 기록된다. HKEY_LOCAL_MACHINE\System Registry hive 레지스트리에는 USB 장치와 관련있는 많은 데이터가 저장된다. Enum\USB, Enum\USBSTOR, Enum\STORAGE에서는 장치 VID, PID를 포함한 subkey가 확인된다.The SETUPAPI.DEV.LOG file is used to record the installation and removal of the device and can be used to determine when the device was installed and when it was removed. The Windows System EventLog file records the installation of removable USB devices. HKEY_LOCAL_MACHINE \ System Registry The hive registry stores a lot of data related to USB devices. In Enum \ USB, Enum \ USBSTOR, Enum \ STORAGE, the subkey including the device VID and PID is checked.

인가/비인가 외장장치 접속 횟수 데이터 분석 기술은 인가된 시리얼 넘버와 시스템의 로그파일, 레지스트리 파일에 접속한 시리얼 넘버를 비교하여 인가/비인가 외장저장장치의 접속 여부 및 접속 날짜 등을 분석한다.The number of authorized / unlicensed external device access data analysis techniques analyzes whether the authorized / unlicensed external storage device is connected and the date by comparing the serial number connected to the system log file and the registry file.

영업비밀유출, 법적책임, 삭제방법 등 디지털포렌식 회피 용어 검색 웹기록 분석 기술은 웹 브라우저(예를 들어, Internet Explorer, Mozilla(Netscape, Firefox), Opera, Chrome, Safari 등등)에서는 Index.dat 파일을 사용해서 브라우저 사용에 관련된 정보를 저장하는데, 이를 쿠키, 히스토리, 임시 인터넷 파일 폴더에서 확인할 수 있여, 이를 분석하여 접속 사이트, 검색어, 방문날짜, 방문 횟수 등을 분석한다.Digital forensic evasion terminology such as trade secret leakage, legal liability, and deletion methods. Web history analysis technology uses Index.dat files in web browsers (e.g., Internet Explorer, Mozilla (Netscape, Firefox), Opera, Chrome, Safari, etc.). It stores information related to browser usage, which can be found in cookies, history, and temporary Internet file folders, and analyzes it for access sites, search terms, visit dates, and visit times.

본 발명의 다른 실시예에 따라, 장치는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석할 수도 있다.According to another embodiment of the present invention, the device may monitor and determine anomalous behavior by monitoring a predetermined computer in real time.

본 발명의 다른 실시예에 따라, 실시간으로 이상행위를 검출 및 분석하는 방법은 사용자 정보유출 이상행위 분석(User Behavior Analytics), 보안 문서 이상행위 탐지 및 추적(Security Document Detection and Trace), 엔드 포인트 침해 탐지 분석(End point Detection) 등이 있다. According to another embodiment of the present invention, a method for detecting and analyzing anomalous behaviors in real time includes user behavior analysis, security document detection and trace, and endpoint infringement. End point detection.

사용자 정보유출 이상행위 분석 기술은 망 내의 모든 사용자의 엔드 포인트 단에서 발생하는 비정상 행위를 보안 위반 패턴 분석과 보안 위반 행동 분석을 통하여 정보 유출 이상행위를 사전에 검출하여 분석하는 기술입니다. 사용자 정보유출 이상행위 분석 기술의 종류로는 보안문서 및 외부장치 이동행위 패턴 분석, 보안문서 출력행위 패턴분석, 보안문서에 비정상 접근행위 분석, 미등록 어플리케이션 실행행위 탐지 및 차단, 의심스러운 네트워크로의 접속행위 분석, 내부 및 외부망 동시 접속행위 탐지, 비인가 단말장치 연결행위 탐지 기술 등이 있다.User information leakage anomaly analysis technology detects and analyzes anomalous behaviors occurring at the endpoints of all users in the network through security violation pattern analysis and security violation behavior analysis. Types of user information leakage anomaly analysis technologies include security document and external device movement behavior pattern analysis, security document output behavior pattern analysis, abnormal access behavior analysis on security documents, unregistered application execution behavior detection and blocking, and access to suspicious networks. Behavior analysis, internal and external network simultaneous connection detection, unauthorized terminal device connection behavior detection technology, etc.

보안 문서 이상행위 탐지 및 추적 기술은 최초 문서 생성 시 내부 보안규정에 따라 자동 분류된 보안 문서의 문서 식별 정보가 관리 서버에 등록된 이후에는 엔드 포인트 단에서 발생하는 모든 프로세스의 행동을 모니터링하여 취약점을 감시하고 파일 저장 및 접근 경로인 입출력단 감시와 정보 유출의 통로가 되는 네트워크 및 외부 장치를 실시간으로 감시하여 등록된 보안 문서의 비정상 유통 행위를 탐지한다. 보안 문서 이상행위로는 보안 문서 메일 첨부 행위, 보안 문서 USB 저장 행위, 보안 문서 인쇄 행위, 보안 문서 압축/임베딩 행위, 보안 문서 삭제 행위 등이 있다.The security document anomaly detection and tracking technology monitors the behavior of all processes occurring at the endpoint level after document identification information of security documents that are automatically classified according to internal security regulations at the time of initial document creation is registered with the management server. It monitors the input / output stage, which is a file storage and access path, and the network and external devices that are the paths for information leakage in real time to detect abnormal distribution behavior of registered security documents. Security document abnormalities include secure document mail attachment, secure document USB storage, secure document printing, secure document compression / embedding, and secure document deletion.

보안 문서는 정책에 따라 소정의 기준, 예를 들어, 자연어 보안 문구, 개인정보 패턴 문구 또는 보안 문서 확장자 등을 이용하여 미리 설정되어 있어야 한다.The security document should be set in advance using a predetermined standard according to the policy, for example, a natural language security phrase, a privacy pattern phrase, or a security document extension.

엔드 포인트 침해 탐지 분석 기술은 엔드 포인트에서 실행되는 프로세스의 비정상 행위를 정밀하게 탐지하고 분석하여 대응을 하는 기능으로 각종 사이버 공격이나 변종 악성코드에 대응할 수 있는 기술이다.Endpoint intrusion detection analysis technology is a technology that detects, analyzes and responds to abnormal behaviors of processes running on endpoints to cope with various cyber attacks and mutant malware.

단계 120, 장치는 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여한다. 지정된 기준에 따라 위험 등급을 미리 결정되고, 장치는 각각의 컴퓨터에 분석된 이상행위에 따라 위험 등급을 결정한다.Step 120, the device assigns a rating according to a predetermined criterion based on the analyzed anomaly. The risk level is predetermined in accordance with the specified criteria, and the device determines the risk level according to the abnormality analyzed in each computer.

단계 130에서, 장치는 부여된 등급관련 정보를 외부로 전송한다. 장치는 부여된 등급을 시각적인 수단(예를 들어, 챠트 등)을 이용하여 디스플레이하거나, 부여된 등급을 관리자에게 송신할 수도 있다. 또는, 장치는 사용자의 정보 유출 행위 등의 이상 행위의 현황을 대쉬 보드를 통하여 제공할 수도 있으며, 이상행위를 해당 행위 별로 추적하여 해당 행위에 대한 로그 감사 자료를 제공할 수도 있다.In operation 130, the device transmits the assigned grade related information to the outside. The device may display the assigned grade using visual means (eg, a chart, etc.) or send the grade granted to the administrator. Alternatively, the device may provide a status of an abnormal behavior such as a user's information leakage through a dashboard, and may provide log audit data for the corresponding behavior by tracking the abnormal behavior for each corresponding behavior.

본 발명의 일 실시예에 따라, 장치는 부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송할 수도 있다.According to an embodiment of the present invention, the device may transmit the information to the outside only when the given grade exceeds a predetermined threshold.

단계 140에서, 등급이 미리 설정된 임계치를 초과하는 경우, 임계치를 초과한 컴퓨터의 동작을 차단할 수도 있다. 본 단계는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 경우를 위한 것으로, 이상행위가 위험하다고 판단되는 경우, 해당 컴퓨터의 프로세서를 정지시킬 수 있으며, 경우에 따라 역으로 추적할 수도 있다.In step 140, if the rating exceeds a preset threshold, operation of the computer that exceeded the threshold may be blocked. This step is for detecting and analyzing abnormal behavior by monitoring a predetermined computer in real time. If it is determined that the abnormal behavior is dangerous, the processor of the computer can be stopped, and sometimes reversed. have.

도 2는 본 발명의 일 실시예에 따른 디지털포렌식을 이용한 디지털정보 관리 장치에 관한 블록다이어그램을 나타내는 도면이다.2 is a block diagram of an apparatus for managing digital information using a digital forensics according to an embodiment of the present invention.

도 2를 참조하면, 디지털포렌식을 이용한 디지털정보 관리 장치(200)는 이상행위 검출분석부(210), 제어부(220), 이상행위 정보제공부(230), 차단부(240) 및 저장부(250)를 포함한다.Referring to FIG. 2, the digital information management apparatus 200 using the digital forensics may include an abnormal behavior detection and analysis unit 210, a controller 220, an abnormal behavior information provider 230, a blocking unit 240, and a storage unit ( 250).

이상행위 검출분석부(210)는 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석한다.The abnormal behavior detection and analysis unit 210 detects and analyzes abnormal behavior in a predetermined computer.

본 발명의 일 실시예에 따라, 이상행위 검출분석부(210)는 소정의 기간(예를 들어, 사용자의 퇴사 시점부터 6개월 이전의 기간)을 정하여 이상행위를 검출하여 분석할 수도 있다.According to an embodiment of the present invention, the abnormal behavior detection and analysis unit 210 may detect and analyze abnormal behavior by setting a predetermined period (for example, a period of six months before the user's leaving time).

본 발명의 일 실시예에 따라, 이상행위 검출분석부(210)는 소정의 기간을 정하여 문서 삭제/복사/이동 기록 데이터를 분석하고, 운영프로그램 삭제 추가설치 데이터를 분석하고, 비인가 외장장치 접속 종류 데이터를 분석하고, 인가/비인가 외장장치 접속 횟수 데이터를 분석하고, 영업비밀유출, 법적 책임, 삭제 방법 등 디지털포렌식 회피 용어 검색 웹기록을 분석할 수 있다.According to an embodiment of the present invention, the abnormal behavior detection and analysis unit 210 sets a predetermined period of time to analyze document deletion / copying / moving record data, analyze operation program deletion additional installation data, and type of unauthorized external device connection. Analyze the data, analyze the number of authorized / unauthorized external device access data, and analyze digital forensic avoidance term search web records such as trade secret leakage, legal liability, and deletion method.

이상행위 검출분석부(210)는 MFT(마스터 파일 테이블) 엔트리와 Bitmap(볼륨 비트맵)을 인식한 후, 객체의 상태에 따라 삭제된 파일, 덮어쓰기 등의 파일의 접근, 생성, 수정 상태를 확인하고 특정 날짜의 파일 상태(예를 들어, 대량 삭제, 덮어 쓰기, 특정 장소로의 이동)를 확인하여 컴퓨터에서의 행위를 파악하고 분석한다.The anomaly detection and analysis unit 210 recognizes a master file table (MFT) entry and a bitmap (volume bitmap), and then accesses, creates, and modifies a file such as a deleted file or an overwrite according to the object's state. Identify and analyze behavior on your computer by checking and checking the status of files on a specific date (for example, bulk deletion, overwriting, or moving to a specific location).

MFT(마스터 파일 테이블)는 NFTS 볼륨 상의 모든 파일에 대하여 적어도 한 개의 엔트리를 가지고 있으며, 파일 크기, 작성 일자, 사용 권한, 데이터 내용 등, 파일에 관한 모든 정보를 저장하고 관리하며, MFT 엔트리는 NTFS 볼륨에 저장된 객체의 목록과 그 객체와 연관된 특정 속성 및 그러한 객체의 "부모-자녀" 관계를 제공한다. The Master File Table (MFT) has at least one entry for every file on the NFTS volume. It stores and manages all information about the file, including file size, creation date, permissions, and data contents. The MFT entry is NTFS It provides a list of objects stored on the volume, the specific attributes associated with those objects, and the "parent-child" relationship of those objects.

Bitmap은 NTFS 볼륨 내의 클러스터 상태를 제공하며, FAT 파일 시스템과 마찬가지로 2개의 영역을 통해 객체의 상태를 결정한다.Bitmap provides cluster state within an NTFS volume and, like the FAT file system, determines the state of an object through two areas.

이상행위 검출분석부(210)는 소프트웨어의 레지스트리, 예를 들어, HKEY_LOCAL_MACHINE\System Registry hive, 정보를 분석하여 현재 운영체제에 설치되었거나 삭제된 프로그램의 목록을 분석한다.The anomaly detection and analysis unit 210 analyzes a registry of software, for example, HKEY_LOCAL_MACHINE \ System Registry hive, information to analyze a list of programs installed or deleted in the current operating system.

이상행위 검출분석부(210)는 로그파일, 레지스트리 파일 등을 분석하여 외장저장장치 종류, 접속 날짜, 시리얼 번호 등을 분석한다.The abnormal behavior detection analysis unit 210 analyzes a log file, a registry file, and the like, and analyzes an external storage device type, an access date, and a serial number.

SETUPAPI.DEV.LOG 파일에서는 장치의 설치와 삭제를 기록하기 위해 사용되며, 장치가 언제 설치되었는지와 제거되어졌는지 확인될 수 있다. Windows System EventLog 파일에는 이동형 USB 장치의 설치가 기록된다. HKEY_LOCAL_MACHINE\System Registry hive 레지스트리에는 USB 장치와 관련있는 많은 데이터가 저장된다. Enum\USB, Enum\USBSTOR, Enum\STORAGE에서는 장치 VID, PID를 포함한 subkey가확인된다.The SETUPAPI.DEV.LOG file is used to record the installation and removal of the device and can be used to determine when the device was installed and when it was removed. The Windows System EventLog file records the installation of removable USB devices. HKEY_LOCAL_MACHINE \ System Registry The hive registry stores a lot of data related to USB devices. In Enum \ USB, Enum \ USBSTOR, Enum \ STORAGE, the subkey including the device VID and PID is checked.

이상행위 검출분석부(210)는 인가/비인가 외장장치 접속 횟수 데이터 분석 기술은 인가된 시리얼 넘버와 시스템의 로그파일, 레지스트리 파일에 접속한 시리얼 넘버를 비교하여 인가/비인가 외장저장장치의 접속 여부 및 접속 날짜 등을 분석한다.The abnormal behavior detection and analysis unit 210 determines whether the authorized / unauthorized external device is connected or not by accessing the authorized / unauthorized external storage device by comparing the serial number connected to the system log file and the registry file. Analyze access date.

이상행위 검출분석부(210)는 웹 브라우저(예를 들어, Internet Explorer, Mozilla(Netscape, Firefox), Opera, Chrome, Safari 등등)에서는 Index.dat 파일을 사용해서 브라우저 사용에 관련된 정보를 저장하는데, 이를 쿠키, 히스토리, 임시 인터넷 파일 폴더에서 확인할 수 있여, 이를 분석하여 접속 사이트, 검색어, 방문날짜, 방문 횟수 등을 분석한다.The anomaly detection and analysis unit 210 stores information related to browser use using an Index.dat file in a web browser (for example, Internet Explorer, Mozilla (Netscape, Firefox), Opera, Chrome, Safari, etc.), This can be checked in the cookie, history, and temporary Internet file folders, and analyzed by analyzing the access site, search term, date of visit, and number of visits.

본 발명의 다른 실시예에 따라, 이상행위 검출분석부(210)는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석할 수도 있다.According to another embodiment of the present invention, the abnormal behavior detection and analysis unit 210 may detect and analyze abnormal behavior by monitoring a predetermined computer in real time.

본 발명의 다른 실시예에 따라, 이상행위 검출분석부(210)는 사용자 정보유출 이상행위 분석(User Behavior Analytics), 보안 문서 이상행위 탐지 및 추적(Security Document Detection and Trace), 엔드 포인트 침해 탐지 분석(End point Detection) 등을 할 수가 있다.According to another embodiment of the present invention, the anomaly detection analysis unit 210 is a user information leakage analysis (User Behavior Analytics), security document detection and tracking (Security Document Detection and Trace), endpoint intrusion detection analysis (End point Detection) and so on.

이상행위 검출분석부(210)는 사용자 정보유출 이상행위 분석 기술은 망 내의 모든 사용자의 엔드 포인트 단에서 발생하는 비정상 행위를 보안 위반 패턴 분석과 보안 위반 행동 분석을 통하여 정보 유출 이상행위를 사전에 검출하여 분석할 수 있다. 사용자 정보유출 이상행위 분석 기술의 종류로는 보안문서 및 외부장치 이동행위 패턴 분석, 보안문서 출력행위 패턴분석, 보안문서에 비정상 접근행위 분석, 미등록 어플리케이션 실행행위 탐지 및 차단, 의심스러운 네트워크로의 접속행위 분석, 내부 및 외부망 동시 접속행위 탐지, 비인가 단말장치 연결행위 탐지 기술 등이 있다.The abnormal behavior detection and analysis unit 210 detects the information leakage abnormal behavior in advance through the security violation pattern analysis and the security violation behavior analysis of abnormal behaviors occurring at the endpoints of all users in the network. Can be analyzed. Types of user information leakage anomaly analysis technologies include security document and external device movement behavior pattern analysis, security document output behavior pattern analysis, abnormal access behavior analysis on security documents, unregistered application execution behavior detection and blocking, and access to suspicious networks. Behavior analysis, internal and external network simultaneous connection detection, unauthorized terminal device connection behavior detection technology, etc.

또한, 이상행위 검출분석부(210)는 최초 문서 생성 시 내부 보안규정에 따라 자동 분류된 보안 문서의 문서 식별 정보가 관리 서버에 등록된 이후에는 엔드 포인트 단에서 발생하는 모든 프로세스의 행동을 모니터링하여 취약점을 감시하고 파일 저장 및 접근 경로인 입출력단 감시와 정보 유출의 통로가 되는 네트워크 및 외부 장치를 실시간으로 감시하여 등록된 보안 문서의 비정상 유통 행위를 탐지할 수 있다. 보안 문서 이상행위로는 보안 문서 메일 첨부 행위, 보안 문서 USB 저장 행위, 보안 문서 인쇄 행위, 보안 문서 압축/임베딩 행위, 보안 문서 삭제 행위 등이 있다.In addition, the anomaly detection and analysis unit 210 monitors the behavior of all processes occurring at the endpoint after document identification information of security documents automatically classified according to internal security regulations is registered at the management server when the document is first generated. It can detect abnormal distribution behavior of registered security documents by monitoring vulnerabilities and monitoring real-time network and external devices, which are channels for input and output, file storage and access paths, and information leakage. Security document abnormalities include secure document mail attachment, secure document USB storage, secure document printing, secure document compression / embedding, and secure document deletion.

보안 문서는 정책에 따라 소정의 기준, 예를 들어, 자연어 보안 문구, 개인정보 패턴 문구 또는 보안 문서 확장자 등을 이용하여 미리 설정되어 있어야 한다.The security document should be set in advance using a predetermined standard according to the policy, for example, a natural language security phrase, a privacy pattern phrase, or a security document extension.

또한, 이상행위 검출분석부(210)는 엔드 포인트에서 실행되는 프로세스의 비정상 행위를 정밀하게 탐지하고 분석하여 대응을 하는 기능으로 각종 사이버 공격이나 변종 악성코드에 대응할 수 있다.In addition, the anomaly detection and analysis unit 210 may respond to various cyber attacks or mutant malware by accurately detecting, analyzing, and responding to an abnormal action of a process executed at an endpoint.

제어부(220)는 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 부여한다. 지정된 기준에 따라 위험 등급을 미리 결정되고, 제어부(220)는 각각의 컴퓨터에 분석된 이상행위에 따라 위험 등급을 결정한다.The controller 220 assigns a grade based on a predetermined criterion based on the analyzed abnormal behavior. The risk level is determined in advance according to a designated criterion, and the controller 220 determines the risk level according to the abnormal behavior analyzed by each computer.

이상행위 정보제공부(230)는 부여된 등급관련 정보를 외부로 전송한다. 이상행위 정보제공부(230)는 부여된 등급을 시각적인 수단(예를 들어, 챠트 등)을 이용하여 디스플레이하거나, 부여된 등급을 관리자에게 송신할 수도 있다. 또는, 이상행위 정보제공부(230)는 사용자의 정보 유출 행위 등의 이상 행위의 현황을 대쉬 보드를 통하여 제공할 수도 있으며, 이상행위를 해당 행위 별로 추적하여 해당 행위에 대한 로그 감사 자료를 제공할 수도 있다.The abnormal behavior information providing unit 230 transmits the grade related information to the outside. The abnormal behavior information providing unit 230 may display the assigned grade using visual means (for example, a chart or the like) or transmit the grade to the administrator. Alternatively, the abnormal behavior information providing unit 230 may provide a current status of abnormal behavior such as information leakage behavior of the user through the dashboard, and provide log audit data on the corresponding behavior by tracking the abnormal behavior by the corresponding behavior. It may be.

본 발명의 일 실시예에 따라, 이상행위 정보제공부(230)는 부여된 등급이 소정의 임계치를 초과하는 경우에만, 해당 정보를 외부로 전송할 수도 있다.According to an embodiment of the present invention, the abnormal behavior information providing unit 230 may transmit the corresponding information to the outside only when the given grade exceeds a predetermined threshold.

차단부(240)는 등급이 미리 설정된 임계치를 초과하는 경우, 임계치를 초과한 컴퓨터의 동작을 차단할 수도 있다. 이는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 경우를 위한 것으로, 이상행위가 위험하다고 판단되는 경우, 해당 컴퓨터의 프로세서를 정지시킬 수 있으며, 경우에 따라 역으로 추적할 수도 있다.The blocking unit 240 may block the operation of the computer that exceeds the threshold when the grade exceeds a preset threshold. This is for detecting and analyzing abnormal behavior by monitoring a predetermined computer in real time. When abnormal behavior is determined to be dangerous, the processor of the corresponding computer may be stopped, and in some cases, reverse tracking may be performed.

이상 행위 분석 결과 및 각각의 프로세스들은 저장부(250)에 저장된다.The abnormal behavior analysis result and each process are stored in the storage 250.

이상 설명한 바와 같은 디지털포렌식을 이용한 디지털정보 관리 방법은 또한 컴퓨터로 읽을 수 있는 기록매체에 컴퓨터가 읽을 수 있는 코드로서 구현하는 것이 가능하다. 컴퓨터가 읽을 수 있는 기록매체는 컴퓨터 시스템에 의하여 읽혀질 수 있는 데이터가 저장되는 모든 종류의 기록 매체를 포함한다. 컴퓨터가 읽을 수 있는 기록매체의 예로는 ROM, RAM, CD-ROM, 자기 테이프, 플로피디스크, 광 데이터 저장장치 등이 있다. 또한 컴퓨터가 읽을 수 있는 기록매체는 네트워크로 연결된 컴퓨터 시스템에 분산되어, 분산방식으로 컴퓨터가 읽을 수 있는 코드가 저장되고 실행될 수 있다. 그리고, 상기 디스크 관리 방법을 구현하기 위한 기능적인(function) 프로그램, 코드 및 코드 세그먼트들은 본 발명이 속하는 기술분야의 프로그래머들에 의해 용이하게 추론될 수 있다. The digital information management method using digital forensics as described above can also be embodied as computer readable codes on a computer readable recording medium. Computer-readable recording media include all kinds of recording media on which data that can be read by a computer system is stored. Examples of computer-readable recording media include ROM, RAM, CD-ROM, magnetic tape, floppy disks, optical data storage devices, and the like. The computer readable recording medium can also be distributed over network coupled computer systems so that the computer readable code is stored and executed in a distributed fashion. In addition, functional programs, codes, and code segments for implementing the disk management method may be easily inferred by programmers in the art to which the present invention belongs.

이제까지 본 발명에 대하여 그 바람직한 실시예들을 중심으로 살펴보았다. 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자는 본 발명이 본 발명의 본질적인 특성에서 벗어나지 않는 범위에서 변형된 형태로 구현될 수 있음을 이해할 수 있을 것이다. 그러므로 개시된 실시예들은 한정적인 관점이 아니라 설명적인 관점에서 고려되어야 한다. 본 발명의 범위는 전술한 설명이 아니라 특허청구범위에 나타나 있으며, 그와 동등한 범위 내에 있는 모든 차이점은 본 발명에 포함된 것으로 해석되어야 할 것이다.So far I looked at the center of the preferred embodiment for the present invention. Those skilled in the art will appreciate that the present invention can be implemented in a modified form without departing from the essential features of the present invention. Therefore, the disclosed embodiments should be considered in descriptive sense only and not for purposes of limitation. The scope of the present invention is shown in the claims rather than the foregoing description, and all differences within the scope will be construed as being included in the present invention.

200: 디지털포렌식을 이용한 디지털정보 관리 장치
210: 이상행위 검출분석부 220: 제어부
230: 이상행위 정보제공부 240: 차단부
250: 저장부200: digital information management device using digital forensics
210: abnormal behavior detection and analysis unit 220: control unit
230: abnormal behavior information providing unit 240: blocking unit
250: storage

Claims (10)

미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계;
상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 단계; 및
상기 결정된 등급관련 정보를 외부로 전송하는 단계를 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.Detecting and analyzing abnormal behavior in a predetermined computer;
Determining a grade based on a predetermined criterion based on the analyzed abnormal behavior; And
Digital information management method using a digital forensic comprising the step of transmitting the determined rating information to the outside. 제 1 항에 있어서,
상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계를 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.The method of claim 1,
The detecting and analyzing abnormal behavior in the predetermined computer may include detecting and analyzing abnormal behavior in a predetermined computer by setting a predetermined period of time. 제 2 항에 있어서,
상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 및 디지털포렌식 회피 용어 검색 웹기록 분석하는 단계 중 적어도 하나를 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.The method of claim 2,
Determining and analyzing abnormal behavior in a predetermined computer by setting the predetermined period of time may include: deleting, copying, moving, or recording data in a predetermined computer by analyzing the predetermined period, deleting or adding an operating program. And analyzing at least one of installation data, analyzing an unauthorized external device connection type data, analyzing an authorized and unauthorized external device connection count data, and analyzing a digital forensic avoidance term search web record. Digital information management method using a digital forensic formula. 제 1 항에 있어서,
상기 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 단계는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 단계를 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.The method of claim 1,
And detecting and analyzing abnormal behavior in the predetermined computer comprises detecting and analyzing abnormal behavior in real time by monitoring the predetermined computer in real time. 제 4 항에 있어서,
상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 단계를 더 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 방법.The method of claim 4, wherein
And blocking the operation of the computer exceeding the threshold when the determined grade exceeds a preset threshold. 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 이상행위 검출분석부;
상기 분석된 이상행위에 기초하여, 소정의 기준에 따라 등급을 결정하는 제어부; 및
상기 결정된 등급관련 정보를 외부로 전송하는 이상행위 정보제공부를 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.An abnormal behavior detection and analysis unit configured to detect and analyze abnormal behavior in a predetermined computer;
A controller which determines a grade based on a predetermined criterion based on the analyzed abnormal behavior; And
Digital forensics using the digital forensics, characterized in that it comprises an abnormal behavior information providing unit for transmitting the determined rating-related information to the outside. 제 6 항에 있어서,
상기 이상행위 검출분석부는 소정의 기간을 정하여 미리 결정된 컴퓨터에서 이상행위를 검출하여 분석하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.The method of claim 6,
The abnormal behavior detection and analysis unit sets a predetermined period of time and detects and analyzes abnormal behavior in a predetermined computer. 제 7 항에 있어서,
상기 이상행위 검출분석부는 상기 소정의 기간을 정하여 미리 결정된 컴퓨터에서 문서의 삭제, 복사, 이동 또는 기록된 데이터를 분석하는 단계, 운영프로그램 삭제 또는 추가설치 데이터를 분석하는 단계, 비인가 외장장치 접속 종류 데이터를 분석하는 단계, 인가 및 비인가 외장장치 접속 횟수 데이터를 분석하는 단계 또는 디지털포렌식 회피 용어 검색 웹기록 분석하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.The method of claim 7, wherein
The abnormal behavior detection analysis unit sets the predetermined period of time to analyze data deleted, copied, moved or recorded in a predetermined computer, analyzing operating data deleted or additionally installed data, unauthorized external device connection type data Analyzing digital data, analyzing the number of times of authorized and unauthorized external device connection data, or digital forensic avoidance term search web record analysis. 제 6 항에 있어서,
상기 이상행위 검출분석부는 실시간으로 미리 결정된 컴퓨터를 모니터링하여 이상행위를 검출하여 분석하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.The method of claim 6,
The abnormal behavior detection and analysis unit detects and analyzes abnormal behavior by monitoring a predetermined computer in real time, and digital information management apparatus using digital forensics. 제 9 항에 있어서,
상기 결정된 등급이 미리 설정된 임계치를 초과하는 경우, 상기 임계치를 초과한 컴퓨터의 동작을 차단하는 차단부를 더 포함하는 것을 특징으로 하는 디지털포렌식을 이용한 디지털정보 관리 장치.The method of claim 9,
And a blocking unit which blocks an operation of the computer exceeding the threshold when the determined grade exceeds a preset threshold.
KR1020180024063A 2018-02-27 2018-02-27 Method and apparatus for managing digital information using digital forensic Active KR102488337B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020180024063A KR102488337B1 (en) 2018-02-27 2018-02-27 Method and apparatus for managing digital information using digital forensic

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020180024063A KR102488337B1 (en) 2018-02-27 2018-02-27 Method and apparatus for managing digital information using digital forensic

Publications (2)

Publication Number Publication Date
KR20190102937A true KR20190102937A (en) 2019-09-04
KR102488337B1 KR102488337B1 (en) 2023-01-13

Family

ID=67950413

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020180024063A Active KR102488337B1 (en) 2018-02-27 2018-02-27 Method and apparatus for managing digital information using digital forensic

Country Status (1)

Country Link
KR (1) KR102488337B1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN119228330A (en) * 2024-08-28 2024-12-31 国网湖北省电力有限公司宜昌供电公司 A digital archives management system
KR102764936B1 (en) * 2024-04-24 2025-02-11 (주)아톤 Method, apparatus and computer program for determining safety grade of use of user devices

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20250043035A (en) 2023-09-21 2025-03-28 단국대학교 산학협력단 Heterogeneous data storage and analysis system for digital forensics

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110110431A (en) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 Information security device and method
KR20120065819A (en) * 2010-12-13 2012-06-21 한국전자통신연구원 Digital forensic apparatus for analyzing the user activities and method thereof
KR101256507B1 (en) * 2012-11-13 2013-04-19 국방과학연구소 An malicious insider detection system via user behavior analysis and method thereof

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20110110431A (en) * 2010-04-01 2011-10-07 에스케이 텔레콤주식회사 Information security device and method
KR20120065819A (en) * 2010-12-13 2012-06-21 한국전자통신연구원 Digital forensic apparatus for analyzing the user activities and method thereof
KR101256507B1 (en) * 2012-11-13 2013-04-19 국방과학연구소 An malicious insider detection system via user behavior analysis and method thereof

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102764936B1 (en) * 2024-04-24 2025-02-11 (주)아톤 Method, apparatus and computer program for determining safety grade of use of user devices
CN119228330A (en) * 2024-08-28 2024-12-31 国网湖北省电力有限公司宜昌供电公司 A digital archives management system

Also Published As

Publication number Publication date
KR102488337B1 (en) 2023-01-13

Similar Documents

Publication Publication Date Title
US12481777B2 (en) Centralized event detection
CN101401061B (en) Cascading security architecture
US10154066B1 (en) Context-aware compromise assessment
JP2003233521A (en) File protection system
CN117150453B (en) Network application detection method, device, equipment, storage medium and program product
EP4338075B1 (en) Abnormally permissive role definition detection systems
RU2581559C2 (en) System and method of using security policy to storage in network
GB2592132A (en) Enterprise network threat detection
KR102488337B1 (en) Method and apparatus for managing digital information using digital forensic
CN114707144B (en) Virtual machine escape behavior detection method and device
JP5293151B2 (en) Content protection apparatus and content protection program
JP4843546B2 (en) Information leakage monitoring system and information leakage monitoring method
KR102182397B1 (en) Web Service Protection and Automatic Recovery Method and System Thereof
KR101040765B1 (en) Process and File Tracking System and Process and File Tracking Method Using Extended Security Labels
KR102222008B1 (en) A remote monitoring system for measuring equipment based on access control to prevent data forgery and alteration
US20200259855A1 (en) Information processing apparatus, information processing system, security assessment method, and security assessment program
CN115774864B (en) Code leakage protection method and device based on git hook script
CN119363367A (en) Method and system for safely detecting information access
CN115085956B (en) Intrusion detection method, intrusion detection device, electronic equipment and storage medium
KR20180135601A (en) Method and apparatus for real-time detection and prevention of Ransomware of computer system
CN116186675A (en) Risk terminal management method, device, storage medium and server
KR101278317B1 (en) Method and Apparatus for file maintain using content inspection based
JP7047537B2 (en) Information management equipment, information management methods, and information management programs
KR102792533B1 (en) Security analysis method for detecting abnormal behavior in financial environment and apparatus
CN116578994B (en) Data security operation method, computer device and computer storage medium

Legal Events

Date Code Title Description
PA0109 Patent application

St.27 status event code: A-0-1-A10-A12-nap-PA0109

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

P22-X000 Classification modified

St.27 status event code: A-2-2-P10-P22-nap-X000

P22-X000 Classification modified

St.27 status event code: A-2-2-P10-P22-nap-X000

PG1501 Laying open of application

St.27 status event code: A-1-1-Q10-Q12-nap-PG1501

R17-X000 Change to representative recorded

St.27 status event code: A-3-3-R10-R17-oth-X000

R18-X000 Changes to party contact information recorded

St.27 status event code: A-3-3-R10-R18-oth-X000

R17-X000 Change to representative recorded

St.27 status event code: A-3-3-R10-R17-oth-X000

PA0201 Request for examination

St.27 status event code: A-1-2-D10-D11-exm-PA0201

E902 Notification of reason for refusal
PE0902 Notice of grounds for rejection

St.27 status event code: A-1-2-D10-D21-exm-PE0902

E13-X000 Pre-grant limitation requested

St.27 status event code: A-2-3-E10-E13-lim-X000

P11-X000 Amendment of application requested

St.27 status event code: A-2-2-P10-P11-nap-X000

P13-X000 Application amended

St.27 status event code: A-2-2-P10-P13-nap-X000

E701 Decision to grant or registration of patent right
PE0701 Decision of registration

St.27 status event code: A-1-2-D10-D22-exm-PE0701

GRNT Written decision to grant
PR0701 Registration of establishment

St.27 status event code: A-2-4-F10-F11-exm-PR0701

PR1002 Payment of registration fee

St.27 status event code: A-2-2-U10-U11-oth-PR1002

Fee payment year number: 1

PG1601 Publication of registration

St.27 status event code: A-4-4-Q10-Q13-nap-PG1601

PR1001 Payment of annual fee

St.27 status event code: A-4-4-U10-U11-oth-PR1001

Fee payment year number: 4

U11 Full renewal or maintenance fee paid

Free format text: ST27 STATUS EVENT CODE: A-4-4-U10-U11-OTH-PR1001 (AS PROVIDED BY THE NATIONAL OFFICE)

Year of fee payment: 4