5W1H based Information Expression Standard for efficient digital forensic investigation

효율적인 디지털 포렌식 조사를 위한 육하원칙 중심의 정보 처리 규격

  • Published : 20190600

Abstract

The process of identifying system behavior or user behavior from data collected during the digital forensics investigation is essential. In the case of PCs, there are many different types of system behavior or remaining logs depending on the operating system, and the analysis results of the de facto forensics tools that analyze the data are different. Because the reliability of a tool in the digital forensics field is an important factor, cross-analysis is usually performed with multiple tools for one digital evidence, and if the analysis results differ from one tool to the other, it is difficult to aggregate the analysis results. Therefore, a standard for processing information centered on the land-to-ground principle is proposed to facilitate sharing and intuitively identifying the analysis results of digital evidence collected. It also proposes a way to use it as an indicator to verify the reliability of an analysis tool by comparing the performance of a digital forensics analysis tool.

디지털 포렌식 조사 과정에서 수집한 데이터로부터 시스템 동작이나 사용자 행위를 파악하는 과정은 필수적이다. PC의 경우 운영체제에 따라서 시스템의 동작이나 남는 로그의 종류가 매우 다양하고, 데이터를 분석해주는 디직털 포렌식 도구들의 분석 결과가 서로 상이하다. 한편, 디지털 포렌식 분야에서 도구의 신뢰성은 중요한 요소이기 때문에 보통 하나의 디지털 증거에 대해서 여러 개의 도구로 분석하며 교차 분석을 실시하는데, 분석 결과가 도구마다 다른 경우, 분석 결과를 종합하는 것이 어렵다. 이러한 문제점을 개선하는 방안으로 수집한 디지털 증거의 분석 결과를 쉽게 공유하고 직관적으로 파악할 수 있도록 육하원칙 중심의 정보 처리 규격을 제안한다. 또한 이를 사용하여 디지털 포렌식 분석 도구의 성능을 비교하여 분석 도구의 신뢰성을 검증할 수 있는 지표로 활용할 수 있는 방법을 제안한다.

Keywords