• 정보보호학회논문지
• /
• 제28권3호
• /
• pp.591-603
• /
• 2018

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업 보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트 로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성, DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트 로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기 어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2022년도 춘계학술발표대회
• /
• pp.33-36
• /
• 2022

이벤트 로그(Event Log)는 윈도우 운영체제에서 시스템 로그를 기록하는 형식으로 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 그러한 이벤트 로그는 시스템의 시작과 종료뿐만 아니라 기업 보안 감사, 악성코드 탐지 등 행위의 근거로 사용될 수 있다. 본 논문에서는 PC 종료 관련 실험을 통해 이벤트 로그와 ID를 분석하였다. 분석 결과를 통해 PC의 정상 및 비정상 종료 여부를 판단하여, 현장 압수·수색 시 해당 저장매체에 대해 선별압수·매체압수의 해당 여부 식별이 가능하다. 본 연구는 현장수사관이 디지털증거 압수·수색 시 절차적 적법성과 증거능력 확보의 근거 활용에 기여할 수 있다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2008년도 춘계학술발표대회
• /
• pp.211-214
• /
• 2008

(주)알티베이스에서 개발한 메모리상주형 관계형 DBMS인 ALTIBASE는 로그 정보를 자체 로그파일에 기록한다. 하지만 로그 발생 모듈과 중요도로 각각 분류되어 별개의 로그 파일에 기록되기 때문에 사용자가 참조하는데 불편함이 따른다. 본 논문에서는 윈도 운영체제의 이벤트 로그 기능을 데이터베이스 시스템의 로그 기록 방법으로 구현하여 사용자 편의성을 제공하는 방법을 제시한다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2008년도 한국컴퓨터종합학술대회논문집 Vol.35 No.1 (B)
• /
• pp.186-190
• /
• 2008

최근 카메라를 비롯한 다양한 센서 기술 및 디지털 저장장치의 발달로 사용자의 일상생활의 기록인 라이프 로그를 수집하고 분석하는 연구가 활발히 이루어지고 있다. 라이프 로그는 모바일 디바이스에 포함된 다양한 센서를 통해 실외에서 수집되는 경우와 실내에 카메라를 중심으로 한 센서를 설치하여 수집되는 경우로 나누어 볼 수 있으며, 수집된 로그는 다양한 방법을 통해 분석하여 사용자에게 요약이나 검색과 같은 서비스 제공에 활용될 수 있다. 본 논문은 오피스 환경에 다수의 카메라를 설치하여 수집한 실내 비디오 로그 데이터를 대상으로 하며, 사용자의 어플리케이션 로그를 분석하여 요약을 위해 활용한다. 다수의 카메라는 오피스의 가운데 부분을 비추도록 하여, 발생한 하나의 이벤트에 대한 다양한 시점의 영상을 얻을 수 있도록 하였다. 전체 요약 과정은 크게 데이터 어노테이션, 사용자 로그분석을 이용한 이벤트 시퀀스 요약, 도메인 지식을 이용한 카메라 뷰의 선택으로 나뉘어 수행된다. 최종적으로 실험을 통해 제안하는 요약 방법이 좋은 결과를 보임을 확인하였다.

• 인터넷정보학회논문지
• /
• 제11권6호
• /
• pp.73-86
• /
• 2010

최근 웹 공격 기술의 발달로 인하여 기존 웹 로그 분석에 통한 공격 탐지 기술뿐만 아니라 웹 방화벽 로그, 웹 IDS 및 시스템 이벤트 로그 등과 같이 다수의 웹 관련 감사 자료를 이용하여 웹 시스템에 대한 공격 이벤트를 분석하고 비정상 행위를 탐지할 필요가 있다. 따라서 본 연구에서는 웹 서버에서 생성되는 IIS 웹 로그 정보와 웹 방화벽 및 웹 IDS 시스템에서 생성되는 이벤트 로그 정보 등을 이용하여 일차적으로 통합 로그를 생성하고 이를 이용하여 웹 공격을 탐지할 수 있는 시스템을 설계 및 구현하였다. 본 연구에서 제안한 시스템은 다중 웹 세션에 대한 분석 과정을 수행하고 웹 시스템 공격과 관련된 연관성을 분석하여 대용량의 웹 로그 및 웹 IDS/방화벽 정보를 대상으로 효율적 공격 탐지 기능을 제공하도록 하였다. 본 연구에서 제시한 시스템을 사용할 경우 능동적이고 효율적인 웹 로그 공격 이벤트 분석 및 웹 공격을 탐지할 수 있는 장점이 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2000년도 봄 학술발표논문집 Vol.27 No.1 (B)
• /
• pp.408-410
• /
• 2000

이 논문에서는 협력적 가상환경에서 이벤트의 내용에 기반한 동적 이벤트 통지 시스템을 제안한다. 제안된 시스템은 이벤트 송신자와 수신자 사이에 투명성을 제공하며, 다른 시스템에 영향을 주지 않고, 이벤트 수신자를 동적으로 추가, 삭제할 수 있는 노티파이어 모델을 구성한다. 시스템은 기본적인 이벤트 형태들을 정의하고, 다른 환경을 구성하고 있는 특정 응용에 독립적으로 동작하도록 하기 위해서 이벤트들을 XML로 표현한다. 본 시스템은 XML을 사용하여 이벤트를 표현하기 때문에 발생된 이벤트를 로그데이터에 저장할 수 있고, 로그 데이터를 사용하여 이벤트들을 검색하고 필터링할 수 있도록 하여 시스템의 효율성을 향상시켰다. 또한 사용자로 하여금 관심있는 이벤트들을 등록할 수 있도록 하여 필터링의 효율을 높였으며 XML 기반 애플리케이션뿐만 아니라 다른 가상환경의 애플리케이션들 사이의 상호 작용을 가능하게 하는 이벤트 통지 시스템을 설계하였다.

• 한국빅데이터학회지
• /
• 제4권1호
• /
• pp.11-27
• /
• 2019

컨테이너터미널 경영환경이 악화됨에 따라 컨테이너터미널의 수익률은 점차 감소하고 있다. 컨테이너터미널 운영자는 전반적인 컨테이너터미널의 문제점을 분석하고 개선함으로써 컨테이너터미널의 글로벌 경쟁력을 높이고자 한다. 이를 위해 컨테이너터미널은 운영 중 생성되는 데이터를 실시간으로 수집 및 저장하고 있으며, 운영자는 저장된 데이터를 활용하여 운영 문제를 분석하고자 많은 노력을 기울여왔다. 본 연구에서는 컨테이너터미널 운영 프로세스의 특성을 분석하고 컨테이너터미널 운영을 효과적으로 분석하기 위한 컨테이너 프로세스 및 CKO(container keeping object) 프로세스를 제안한다. 또한 TOS(terminal operating system)에 저장된 데이터로부터 본 연구에서 제안된 프로세스를 생성하기 위한 이벤트 로그를 정의한다. 제안된 프로세스를 활용하여 비정상적인 프로세스를 만드는 불완전한 이벤트 로그가 어떻게 효과적으로 정제되는지 설명한다. 이벤트 로그를 쉽고 빠르게 수정하기 위한 프레임워크를 제안하였으며, 이를 검증하기 위해 python2.7을 이용하여 해당 프레임워크를 구현하였다. 또한 실제 컨테이너터미널에서 수집된 데이터를 입력 데이터로 사용하여 제안된 프레임워크의 타당성을 검증하였다. 그 결과, 이벤트 로그 정제를 통해 컨테이너터미널의 비정상적인 프로세스가 크게 개선되었음을 확인할 수 있었다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2001년도 봄 학술발표논문집 Vol.28 No.1 (B)
• /
• pp.460-462
• /
• 2001

인터넷 사용자가 급증하고, 인터넷을 통한 비즈니스에 수익 모델에 대한 관심이 높아지면서 방문자별로 맞춤 정보를 제공하는 퍼스널라이제이션이 인터넷 개발자 및 사용자들의 관심을 모으고 있다. 이러한 퍼스널라이제이션을 위해서 전처리과정인 사용자 프로파일 생성과정을 확장된 웹 로그 처리 시스템을 통해서 구현해본다. 웹사이트 서버의 확장된 이벤트 처리, 즉 사용자의 행위정보를 로그에 포함시켜 로그정보를 웹 로그 서버에 전송하도록 설계하였다. 그리고 이 웹 로그 정보를 쉽게 분석할 수 있다. 이때 데이터베이스 저장 기술로 OLE DB Provider상에서 수행되는 ADO 기술을 사용함으로써 확장된 웹 로그 처리 시스템을 설계하였다. 확장된 웹 로그 DB를 패턴분석, 군집분석 등의 마이닝(Mining) 기법을 통하여 맞춤 서비스에 대한 사용자 프로파일을 구축할 수 있다.

• 한국정보과학회:학술대회논문집
• /
• 한국정보과학회 2010년도 한국컴퓨터종합학술대회논문집 Vol.37 No.1(C)
• /
• pp.66-71
• /
• 2010

BPMS, ERP, SCM 등 프로세스 인식 정보시스템들이 널리 쓰이게 되면서 프로세스 마이닝에 대한 연구가 활발하게 이루어지고 있다. 프로세스 마이닝은 프로세스가 실행되는 동안 저장된 이벤트 로그로부터 정보를 추출하는 기법이다. 추출된 로그정보는 비즈니스 프로세스의 분석 및 재설계에 사용될 프로세스 모델을 생성하게 된다. 프로세스 마이닝 기법은 프로세스의 자동화 및 기업의 업무정보들을 관리하는 프로세스 기반 정보시스템의 정확성 및 효율성을 위한 중요한 부분을 차지하지만 현재까지의 연구는 생성된 이벤트 로그로부터 프로세스 모델을 재설계하는 프로세스 발견 기법 (Process Discovery Technique)을 적용한 부분에서만 활발히 진행되었다. 프로세스 마이닝은 프로세스 발견 기법 외에도 프로세스 적합성검사 기법 (Process Conformance Checking Technique) 및 프로세스 확장 기법 (Process Extension Technique)이 존재한다. 이들은 많은 프로세스 발견 기법에 대한 연구들이 진행되고 나서야 최근 프로세스 마이닝의 이슈로 떠오르고 있다. 본 논문에서는 프로세스 적합성 검사를 위해 수집된 이벤트 로그와 기존에 나와 있는 여러 가지 프로세스 발견 알고리즘을 통해 생성된 프로세스를 수치적으로 비교할 수 있는 두 가지 애트리뷰트를 제시하였다.

• 한국전자거래학회지
• /
• 제20권4호
• /
• pp.41-59
• /
• 2015

시스템이 다양화 되면서 동시에 저장된 로그도 다양하게 분석할 필요가 생겼다. 이러한 로그 데이터 분석에 관한 필요성이 강해지는 환경이 시간 순으로 발생하는 이벤트 단위의 로그로부터 프로세스 모델을 도출하고, 시스템을 개선시키는 활동에 이바지하도록 요구하고 있다. 기존에는 개별 이벤트 단위의 로그를 분석하면서 속성들의 관계를 파악하는 연구가 활발했다. 본 논문에서는 로그 데이터를 활용한 예외적인 형태의 프로세스 인스턴스를 판별하는 방법으로 LAPID(Local Anomaly Process Instance Detection)를 제안한다. LAPID는 액티비티-릴레이션 매트릭스(Activity relation matrix)를 사용해서 계산된 거리 값을 활용하여, API(Anomaly Process Instance)를 탐색한다. 제시한 방법의 유용성을 검증하기 위하여 항만 물류에서 발생하는 컨테이너 이동에 대한 트레이스(Trace)를 포함하는 로그 데이터에서 예외적인 상황의 프로세스 실행이 가지는 특징을 도출하였다. 이를 위하여 본 논문에서는 국내의 실제 항만에서 발생한 이벤트 로그를 이용하여 사례연구를 수행하였다.