• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.591-603
• /
• 2018

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2018년도 추계학술발표대회
• /
• pp.185-188
• /
• 2018

네트워크 환경 및 인터넷 활용폭이 다양해지면서 고도화되고 진보적인 보안위협이 발생되고 있으며 발생량도 점차 증가하고 있다. 이에 따라, 네트워크 침입탐지 시스템, 악성행위 탐지 시스템, 웹 방화벽, 안티바이러스 등도 점차 진보된 악성행위를 탐지하는 데 있어 불충분해짐에 따라 기업과 기관 및 보안담당자들은 직관적인 정보를 제공하는 End-Point 로그 수집 및 모니터링으로 변화를 시도하고 있다. 이에 따라, 본 논문에서는 Anti-Virus 및 침입 탐지 시스템(IDS), APT, 윈도우 감사로그를 상호 비교하여 보안분석 시스템보다 윈도우 감사로그가 보안위협 및 침해사고를 모니터링하는 면에서 더욱 직관적이고 빠른 대응이 가능하다는 것을 증명한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 춘계학술발표대회
• /
• pp.33-36
• /
• 2022

이벤트 로그(Event Log)는 윈도우 운영체제에서 시스템 로그를 기록하는 형식으로 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 그러한 이벤트 로그는 시스템의 시작과 종료뿐만 아니라 기업 보안 감사, 악성코드 탐지 등 행위의 근거로 사용될 수 있다. 본 논문에서는 PC 종료 관련 실험을 통해 이벤트 로그와 ID를 분석하였다. 분석 결과를 통해 PC의 정상 및 비정상 종료 여부를 판단하여, 현장 압수·수색 시 해당 저장매체에 대해 선별압수·매체압수의 해당 여부 식별이 가능하다. 본 연구는 현장수사관이 디지털증거 압수·수색 시 절차적 적법성과 증거능력 확보의 근거 활용에 기여할 수 있다.

• 정보과학회 컴퓨팅의 실제 논문지
• /
• 제22권7호
• /
• pp.332-337
• /
• 2016

각 조직의 시스템관리자 또는 보안 관리자는 보안 침해사고가 발생한 경우 사고의 원인 분석과 이를 통해 감염 및 피해를 입은 시스템 분석을 위해서 조직 및 기관에서 사용되고 있는 컴퓨팅 기기의 로그 정보를 지속적으로 수집하여야 하여야 한다. 그리고 수집된 로그는 취약성이 있는 기기를 식별하여 보안사고 예방 활동에도 활용 할 수 있다. 또한, 최근 많이 발생하고 있는 내부자를 통한 정보 유출을 사전에 예방하는 데에도 활용 할 수 있다. 이에 본 논문에서는 윈도우 시스템이 기본으로 제공하는 기능과 명령어를 사용 할 수 있는 오픈소스를 이용하여 로그 정보를 수집 시스템을 개발 하였다. 그리고 수집된 로그 정보를 다양한 관점에서 조회 및 분석이 가능 하도록 오픈소스 기반의 검색엔진 시스템과 연동할 수 있는 방안을 제시하고자 한다.

• 정보보호학회지
• /
• 제20권5호
• /
• pp.65-73
• /
• 2010

로그 데이터는 네트워크 및 보안장비, 서버시스템, DBMS, 서비스 등에서 사용자의 행위를 기록하여 보관하며 있으며, 이를 통해 시스템의 안정적인 운영을 지원하거나, 해킹 등의 불법 침해를 당하였을 때 침입경로 추적과 취약점을 찾아내어 보완할 수 있는 중요한 자료이다. 하지만 로그 데이터는 여러 시스템에 각각 다른 형태로 산재하며 일시적인 기간 동안 저장되어 있거나, 해커에 의해 고의적으로 삭제되기도 하며, 저장 용량 문제로 인해 필요시에 없을 경우가 많다. 본 연구에서는 네트워크 장비와 보안장비의 표준로그인 syslog와 유닉스/리눅스 시스템과 윈도우즈서버의 로그에 대한 특성을 고찰하였으며, 특히 서비스로그로서 아파치 웹서버와 IIS서버의 로그에 대한 특징을 정리하였다. 여러 종류의 시스템에서 발생되는 로그를 통합하여 관리하기 위해서는 이기종 로그 데이터의 생명주기 방법론을 제시하였다. 또한, 최근에 IT보안 사고에 대응하여 규제준수를 요구하고 있는 국내외의 IT컴플라이언스에서 로그에 대한 관련 내용을 살펴보고, 그 준수할 방안을 제시한다. 결론으로 IT 인프라의 보안강화적인 측면과 IT컴플라이언스 준수를 위해, 효율적인 로그에 대한 수집과 보관 및 활용성 측면에서의 이기종의 통합로그관리도입 필요성, 생명주기, 기술적 준비사항, 컴플라이언스 요구사항을 제시한다.

• 대한전자공학회논문지SD
• /
• 제42권9호
• /
• pp.73-80
• /
• 2005

로그 맵 복호 알고리즘 기반의 터보 디코더는 뛰어난 복호 성능에도 불구하고, 반복적 연산으로 인한 인터리버 크기에 비례하는 많은 양의 메모리와 높은 하드웨어 복잡도가 단점으로 지적된다. 이에 본 논문에서는 이전 연구 결과를 바탕으로 많은 양의 메모리의 절감과 하드웨어 복잡도를 감소시킨 3G W-CDMA 시스템에 적합한 터보 디코더를 설계하였다. 하드웨어 복잡도와 복호 성능간의 균형을 고려하여 수신정보, 사전정보, 상태 메트릭을 각각 5비트, 6비트 그리고 7비트로 할당하였고, 로그 맵 복호 알고리즘의 주연산인 $MAX^{*}$ 연산 중 계산도가 큰 오류 보정 함수를 근사화한 조합회로로 구성하여 하드웨어 부담을 감소하였으며 윈도우 블록의 길이가 32인 슬라이딩 윈도우 기법을 적용하였다. 본 논문에서 제안한 터보 디코더는 $0.35\mu$m Hynix CMOS technology로 합성한 합성 결과로부터 Eb/No가 1dB, 인터리버 크기가, 5번의 반복 복호에서 $10^{-6}$ 이하의 비트 오율을 달성하였으며, 이때 최고 9Mbps의 복호 성능을 발휘한다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2019년도 춘계학술발표대회
• /
• pp.212-215
• /
• 2019

Active Directory(AD)는 윈도우즈 환경 하에서 LDAP 디렉터리 서비스나 Keberos 기반의 컴퓨터 인증 등을 제공한다. 본 논문에서는 AD의 감사 기능을 이용하여 여러 컴퓨터들을 하나의 서버에서 로그를 관리하고 감사할 수 있는 2가지 방안을 제시한다. 이러한 로그를 이용하여 특정 컴퓨터에 대한 디지털 포렌식에 활용할 수 있을 것이다.

• 한국정보과학회논문지:컴퓨팅의 실제 및 레터
• /
• 제13권4호
• /
• pp.213-225
• /
• 2007

최근 디지털 카메라, MP3 플레이어, 핸드폰과 같이 이동성이 중요한 요소로 차지하는 기기들이 많이 등장하였다. 이에 따라 소형화, 대용량화, 저 전력화, 비휘발성, 고속화 그리고 충격에 강한 저장장치가 필요하게 되었다. 플래시 메모리는 이러한 요구사항을 만족시키는 저장장치이다. 플래시 메모리는 하드웨어적 특성으로 인해 쓰기 전 소거(erase-before-write)연산을 수행해야만 한다. 따라서 플래시 메모리를 효과적으로 동작시키기 위해서 FTL이 필요하다. FTL은 플래시 메모리의 단점을 보완해주면서 상위파일 시스템을 그대로 사용할 수 있는 장점을 가진다. 따라서 차후 디스크는 플래시 메모리로 대체될 것이다. 대부분의 PC에서 윈도우즈 기반의 OS를 사용하기 때문에 기존 FTL이 윈도우즈 기반의 OS에서 어떠한 성능을 보이는지 분석할 필요가 있다. 본 논문에서는 실험속도를 빠르게 하기 위해 FTL 성능분석도구를 개발한다. 이를 이용하여 여러 FTL 알고리즘들이 윈도우즈 기반의 OS의 디스크 I/O를 처리하는 성능을 분석한다. FTL의 성능은 매핑 방법, 한 블록 내에 섹터를 기록하는 방법과 덮어쓰기의 처리방법 둥을 분석하여 비교가 가능하다. 실험한 FTL중 개선된 로그 블록 기법이 실험 결과 중에 가장 좋은 성능을 보인다. 따라서 차후 디스크가 플래시 메모리로 대체 될 경우, 로그 블록 기법을 잘 적용 시켜야 할 것이다.

• 정보보호학회논문지
• /
• 제21권4호
• /
• pp.101-114
• /
• 2011

산업스파이 및 악의적인 내부 이용자에 의한 기업 내부 핵심 정보유출 사건이 증대되고 있는 현실을 반영하듯, 감사 및 로그 보안기술의 중요성이 한층 부각되고 있는 것이 현실이다. 본 논문에서는 기업의 중요 정보를 처리하는 운영체제에 접속한 사용자에 대한 행위를 면밀히 감시 및 분석하여, SOX 법안에서 요구하는 수준의 기업 내부통제를 위한 세션로깅시스템을 제안한다. 본 논문에서 제안하는 시스템은 운영체제에 접속한 사용자의 불법적인 행위를 모니터링하고, 그 행위 과정의 세부 로그를 통해 명확한 증거를 제시할 수 있도록 하고 있다. 이를 위해 논문에서 제안한 별도의 여러 서비스를 추가하여 운영체제를 변경하는데, 이러한 서비스는 기존의 운영체제가 제공하는 인터페이스를 이용하면서 접근을 제어하고 로그를 획득하기 위한 기능을 추가적으로 제공한다. 서버에 접속한 관리자 및 사용자의 행위에 대한 세션 로그를 중앙 집중적으로 저장, 관리하고 해당 로그에 대한 검색 및 조회 기능을 제공할 수 있도록 하여, SOX 법안에서 요구하는 수준의 기업 내부통제를 위한 컴퓨터 포렌식 시스템 및 로그 기술을 제안한다.

• 정보보호학회논문지
• /
• 제15권4호
• /
• pp.51-60
• /
• 2005

통신망과 저장장치의 발달에 따라 내부 사용자에 의한 중요 정보 자산의 외부 유출이 증가하고 있으므로 이에 대한 보안을 강화해야할 필요성이 증대되고 있다. 제안한 파일유출 모니터링시스템은 클라이언트에서 파일이 저장매체에 저장/복사되거나 파일이 종이문서로 인쇄되어 외부로 유출되는 경우에 로그를 발생시켜 서버에서 이를 모니터링한다. 모니터링 방법은 커널 레벨에서 I/O Manager에 의해 발생하는 IRP의 필터링과 Win32 API 후킹 기법을 사용하였다. 특히 파일을 저장매체에 저장하는 경우, 네트워크 공유를 통하여 파일을 저장하는 경우 및 파일의 인쇄를 통하여 유출하는 경우에 로그를 발생시키고 모니터링하는 방법을 구현하였다. 모니터링시스템은 윈도우즈 2000 및 XP 실험환경에서 파일의 복사와 인쇄 시 로그가 $100\%$ 발생되고 모니터링 기능이 수행됨을 확인하였다.