최근 사이버 범죄의 증가와 그 대상 시스템의 다양화로 인하여 디지털 포렌식의 중요성이 커지고 있다. 일부 시스템들은 전원이나 네트워크를 차단하지 않고 수사하는 live forensic의 방법을 채택하고 있는데, 인터넷 사용이 일반화됨에 따라 live forensic 방법이 채택되는 횟수가 증가하고 있다. 그러나 live forensic 기술이 상당한 발전을 거듭하였음에도 불구하고 원격으로 접근하여 행해지는 Anti-forensic 행위에는 여전히 취약한 실정이다. 이와 같은 문제를 해결하기 위하여 첫 번째로 우리는 Anti-forensic 행위를 5개의 계층으로 분류하고 각 계층별로 가능한 Anti-forensic 행위의 시나리오를 생성하는 방법을 제안하였다. 두 번째로 fuzzy전문가 시스템을 제안하여 효과적으로 Anti-forensic 행위를 탐지할 수 있도록 하였다. 몇몇 Anti-forensic 행위에 사용되는 명령어들은 일반적인 시스템 관리를 위하여 사용되는 명령어와 매우 유사하다. 따라서 우리는 fuzzy logic을 사용하여 모호한 데이터를 다룰 수 있도록 하였다. 미리 정의된 시나리오에서 명령어와 옵션 및 인자 값을 이용하여 룰을 생성하고 fuzzy 전문가 시스템에 이 룰을 학습하도록 하여 유사한 행위가 탐지되었을 때 추론을 통하여 수사관에게 얼마나 위험한 행위인지 알려준다. 이 시스템은 live forensic 수사가 진행될 때 발생할 수 있는 Anti-forensic 행위를 실시간으로 탐지할 수 있도록 하여 증거 데이터의 무결성을 유지하도록 한다.
최근 사이버 범죄의 증가와 그 대상 시스템의 다양화로 인하여 디지털 포렌식의 중요성이 커지고 있다. 일부 시스템들은 전원이나 네트워크를 차단하지 않고 수사하는 live forensic의 방법을 채택하고 있는데, 인터넷 사용이 일반화됨에 따라 live forensic 방법이 채택되는 횟수가 증가하고 있다. 그러나 live forensic 기술이 상당한 발전을 거듭하였음에도 불구하고 원격으로 접근하여 행해지는 Anti-forensic 행위에는 여전히 취약한 실정이다. 이와 같은 문제를 해결하기 위하여 첫 번째로 우리는 Anti-forensic 행위를 5개의 계층으로 분류하고 각 계층별로 가능한 Anti-forensic 행위의 시나리오를 생성하는 방법을 제안하였다. 두 번째로 fuzzy 전문가 시스템을 제안하여 효과적으로 Anti-forensic 행위를 탐지할 수 있도록 하였다. 몇몇 Anti-forensic 행위에 사용되는 명령어들은 일반적인 시스템 관리를 위하여 사용되는 명령어와 매우 유사하다. 따라서 우리는 fuzzy logic을 사용하여 모호한 데이터를 다룰 수 있도록 하였다. 미리 정의된 시나리오에서 명령어와 옵션 및 인자 값을 이용하여 룰을 생성하고 fuzzy 전문가 시스템에 이 룰을 학습하도록 하여 유사한 행위가 탐지되었을 때 추론을 통하여 수사관에게 얼마나 위험한 행위인지 알려준다. 이 시스템은 live forensic 수사가 진행될 때 발생할 수 있는 Anti-forensic 행위를 실시간으로 탐지할 수 있도록 하여 증거 데이터의 무결성을 유지하도록 한다.
Recently, the importance of digital forensic has been magnified because of the dramatic increase of cyber crimes and the increasing complexity of the investigation of target systems such as PCs, servers, and database systems. Moreover, some systems have to be investigated with live forensic techniqu...
Recently, the importance of digital forensic has been magnified because of the dramatic increase of cyber crimes and the increasing complexity of the investigation of target systems such as PCs, servers, and database systems. Moreover, some systems have to be investigated with live forensic techniques. However, even though live forensic techniques have been improved, they are still vulnerable to anti-forensic activities when the target systems are remotely accessible by criminals or their accomplices. To solve this problem, we first suggest a layer-based model and the anti-forensic scenarios which can actually be applicable to each layer. Our suggested model, the Anti-Forensic Activites layer-based model, has 5 layers - the physical layer, network layer, OS layer, database application layer and data layer. Each layer has possible anti-forensic scenarios with detailed commands. Second, we propose a fuzzy expert system for effectively detecting anti-forensic activities. Some anti-forensic activities are hardly distinguished from normal activities. So, we use fuzzy logic for handling ambiguous data. We make rule sets with extracted commands and their arguments from pre-defined scenarios and the fuzzy expert system learns the rule sets. With this system, we can detect anti-forensic activities in real time when performing live forensic.
Recently, the importance of digital forensic has been magnified because of the dramatic increase of cyber crimes and the increasing complexity of the investigation of target systems such as PCs, servers, and database systems. Moreover, some systems have to be investigated with live forensic techniques. However, even though live forensic techniques have been improved, they are still vulnerable to anti-forensic activities when the target systems are remotely accessible by criminals or their accomplices. To solve this problem, we first suggest a layer-based model and the anti-forensic scenarios which can actually be applicable to each layer. Our suggested model, the Anti-Forensic Activites layer-based model, has 5 layers - the physical layer, network layer, OS layer, database application layer and data layer. Each layer has possible anti-forensic scenarios with detailed commands. Second, we propose a fuzzy expert system for effectively detecting anti-forensic activities. Some anti-forensic activities are hardly distinguished from normal activities. So, we use fuzzy logic for handling ambiguous data. We make rule sets with extracted commands and their arguments from pre-defined scenarios and the fuzzy expert system learns the rule sets. With this system, we can detect anti-forensic activities in real time when performing live forensic.
* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.
문제 정의
본 논문에서 는 계층기반의 AFA모델을 제안하고 그에 따라 Anti-forensic 행위 시나리오를 생성하 였다. NFST를 구현하여 수사 대상 시스템에 대한 최적의 수사 환경을 제공하도록 하였으며, 침입 탐지 시스템과 fuzzy 전문가 시스템을 결합하여 실시간으로 Anti-forensic 행위를 탐지 할 수 있게 하였다.
본 연구에서는 자동화된 네트워크 환경 분석 프로그램을 개발하여 수사관에게 가장 적합한 packet 모니터링 방법을 제시하여 주도록 하였다. 모니터링 된 packet은 분석과정을 통해 악의적인 의도가 담긴 것인지 여부를 검증 받는다.
또한 명령어와 해당 명령어의 인자 값에 대한 다음 시퀀스까지 분석 하여 탐지의 정확도를 높일 수 있도록 하였다. 뿐만 아니라 실제 live forensic 환경에서 발생 할 수 있는 가능한 모든 Anti-forensic 행위를 탐지 할 수 있도록 하였다. 이는 실제 현업에서 우리가 제안한 시스템을 바로 적용할 수 있음을 시사한다.
기존의 디지털 포렌식 연구에서는 static analysis나 네트워크 포렌식만을 고려하고 있기 때문에 live forensic 환경에서 위와 같은 도구들이 사용되는 경우 어떻게 대응할 것인가에 대한 논의는 부족하다. 이러한 이유로 본 논문에서는 live forensic 환경에서의 Anti-forensic 행위에 주목하고 효율적인 대처 방안을 모색하여, 최대한 무결성을 유지하면서 증거 데이터를 수집할 수 있도록 하는 환경을 제공하는데 중점을 두었다.
이 시나리오는 ruleset으로 가공하여 fuzzy 기반의 전문가 시스템에 적용하였다. 이를 통해 실시간으로 Anti-forensic 행위를 탐지하고 즉각적인 대응이 가능하도록 하였다.
이전에 언급한 바와 같이 우리는 Anti-forensic 행위의 시나리오를 생성하여 미리 가능한 행위들을 예측할 수 있게 하는 것을 목적으로 한다. 이를 위하여 시나리오를 생성하기 전, 가능성 있는 행위들을 layer기반으로 모델링 하였다.
제안 방법
파일에 대한 정보를 변경하거나 시스템의 정보를 변경하는 행위도 데이터 훼손에 포함시켰다. 12개의 rule을 이용하여 추론해낸 위험도가 미리 지정해 둔 위험도와 얼마나 일치하였는가 하는 것으로 정확도를 계산한다.
본 연구에서는 모두 36가지의 시나리오를 생성하였으며, AFA모델에 기반을 두었다. Anti forensic 행위에 사용한 명령어를 가장 첫 번째 탐지 대상으로 하여 추가적으로 명령어의 옵션 및 대상 경로를 함께 탐지할 수 있도록 하였다. 이와 같은 접근 방식은 결국 audit data와 얼마나 유사한가를 보기보다 해당 명령어가 얼마나 위험한 것인가로 판단하게 하는 기초가 된다.
본 논문에서 는 계층기반의 AFA모델을 제안하고 그에 따라 Anti-forensic 행위 시나리오를 생성하 였다. NFST를 구현하여 수사 대상 시스템에 대한 최적의 수사 환경을 제공하도록 하였으며, 침입 탐지 시스템과 fuzzy 전문가 시스템을 결합하여 실시간으로 Anti-forensic 행위를 탐지 할 수 있게 하였다. 우리가 제안한 시스템의 이점은 다음과 같다.
본 논문에서 제안하는 시스템은 명령어 단위의 Anti-forensic 행위 및 접근을 탐지할 뿐만 아니라, 얼마나 위험한지, 어디에 영향을 끼칠 수 있는지에 대한 정보도 알려준다. fuzzy logic의 연산을 단순화하여 즉각적인 탐지와 대응이 가능하게 하였으며, 조사 대상 시스템의 네트워크 상태를 자동으로 검사하고 가장 적합한 트래픽 모니터링 방법을 제시 하여 줄 수 있도록 하였다.
두 번째, 정상적인 시스템 운용 명령어와 구분이 명확하게 지어지지 않는 모호한 명령어들까지 탐지가 가능하도록 하였다. 또한 명령어와 해당 명령어의 인자 값에 대한 다음 시퀀스까지 분석 하여 탐지의 정확도를 높일 수 있도록 하였다.
이들은 명령어와 해당 인자 값으로 구성되어 있다. 따라서 입력된 명령어와 인자 값을 확인하여 위험한 정도를 추론해 낼 수있도록 3가지 변수를 정의하였다. (1)은 3가지 변수의 집합을 나타낸 것이다.
본 연구에서는 위의 조건을 만족시키기 위하여 수사 대상 시스템으로 으로 inbound되는 네트워크 packet을 수집, 분석할 수 있는 도구로 ruleset을 최적화한 IDS(Intrusion Detection System)를 활용하였다. 또한 대상 시스템에 간접적으로 접근할 때 최적의 조건을 찾아 수사관에게 알려주는 네트워크 환경 분석 도구인 NFST를 구현하였다.
두 번째, 정상적인 시스템 운용 명령어와 구분이 명확하게 지어지지 않는 모호한 명령어들까지 탐지가 가능하도록 하였다. 또한 명령어와 해당 명령어의 인자 값에 대한 다음 시퀀스까지 분석 하여 탐지의 정확도를 높일 수 있도록 하였다. 뿐만 아니라 실제 live forensic 환경에서 발생 할 수 있는 가능한 모든 Anti-forensic 행위를 탐지 할 수 있도록 하였다.
본 논문에서는 이 같은 문제를 해결하기 위하여 다음과 같은 시스템을 제안하였다. 먼저 조사 대상 시스템의 네트워크 환경을 자동으로 탐색하여 가장 적합한 모니터링 환경을 제공하는 도구인 NFST(Network Forensic Support Tool)를 구현하였고, 미리 발생 가능한 Anti-forensic 행위를 layer기반으로 modeling하고 이를 토대로 Anti-forensic 행위 시나리오를 구성하였다. 이 시나리오는 ruleset으로 가공하여 fuzzy 기반의 전문가 시스템에 적용하였다.
fuzzy logic에서의 지식 베이스는 IF-THEN rule을따른다. 명령어에 해당하는 조건이 3가지, 인자 값에 해당하는 조건이 3가지, 결과인 위험도에 해당 하는 조건이 4가지로 총 36개의 rule이 생성가능하며, 그 중 12개의 rule을 학습에 사용하였다. 다음은본 연구에서 사용한 rule의 일부이며, X는 명령어를 Y는 인자 값을, Z는 위험도를 나타낸다.
본 논문에서 제안하는 시스템은 명령어 단위의 Anti-forensic 행위 및 접근을 탐지할 뿐만 아니라, 얼마나 위험한지, 어디에 영향을 끼칠 수 있는지에 대한 정보도 알려준다. fuzzy logic의 연산을 단순화하여 즉각적인 탐지와 대응이 가능하게 하였으며, 조사 대상 시스템의 네트워크 상태를 자동으로 검사하고 가장 적합한 트래픽 모니터링 방법을 제시 하여 줄 수 있도록 하였다.
직접법은 다시 mamdani추론 법, 선형 추론 법, 간략 추론 법, 변형된 선형(혼합)추론 법으로 나뉜다. 본 연구에서는 명령어와 인자 값에 해당하는 membership함수에서 겹치는 영역이 있는 경우 작은 값을 선택하여 위험도를 산출하는 방식을 선택하였다. 이와 같은 연산에 가장 적합하도록 고안된 것이 mamdani 추론법이다[8, 9].
따라서 Anti-forensic 행위를 제대로 탐지해 낼 수 있도록 ruleset을 최적화 할 필요가 있다. 본 연구에서는 모두 36가지의 시나리오를 생성하였으며, AFA모델에 기반을 두었다. Anti forensic 행위에 사용한 명령어를 가장 첫 번째 탐지 대상으로 하여 추가적으로 명령어의 옵션 및 대상 경로를 함께 탐지할 수 있도록 하였다.
추론에 사용되는 알고리즘은 매우 다양하게 존재하는데, 몇 가지 예로 인공 신경망 알고리즘, 유전자 알고리즘, fuzzy logic 등을 들 수 있다. 본 연구에서는 모호한 데이터들에 대한 판단을 필요로 하므로 그에 가장 적합한 fuzzy logic을 선택하였다.
결국 명령어 및 옵션의 위험도를 표현하는 fuzzy 집합에서 매우 위험하거나 위험함을 나타내는 집합에 속하는 비율이 위험하지 않음을 나타내는 집합에 속하는 비율 보다 훨씬 많아지게 되는 것이다. 본 연구에서는 이와 같은 분포를 정확하게 나타낼 수 있고 upper limit값과 lower limit값 그리고 mode값을 알고 있는 경우 가장 적합한 형태인 삼각형 모양의 membership함수를 선택하였다[29]. fuzzy logic의 범위는 [0.
만약 조사 대상 시스템의 관리자가 없거나 용의자가 묵비권을 행사하고 있다면 조사 대상 시스템의 환경을 조사하는데 소모되는 시간은 더 늘어나게 될 것이다. 우리는 이와 같이 의사결정에 소요되는 시간을 줄이고 가장 효율적인 방법으로 대상 시스템에 접근하여 수사를 진행 할 수 있도록 도와주는 NFST(Network Forensic Support Tool)를 구현하였다.
크게 Data layer, DB/Application layer, OS/Platform layer, Network layer, Physical layer의 5계층으로 분류하였으며, 이를 AFA(Anti-Forensic Activity)모델이라고 명명 하였다. 이 모델을 기반으로 live forensic 환경에서 발생할 수 있는 Anti-forensic 행위의 시나리오를 구성하여 효율성과 실효성을 도모하였다. (표 1)은 AFA 모델을 나타낸 것이다.
먼저 조사 대상 시스템의 네트워크 환경을 자동으로 탐색하여 가장 적합한 모니터링 환경을 제공하는 도구인 NFST(Network Forensic Support Tool)를 구현하였고, 미리 발생 가능한 Anti-forensic 행위를 layer기반으로 modeling하고 이를 토대로 Anti-forensic 행위 시나리오를 구성하였다. 이 시나리오는 ruleset으로 가공하여 fuzzy 기반의 전문가 시스템에 적용하였다. 이를 통해 실시간으로 Anti-forensic 행위를 탐지하고 즉각적인 대응이 가능하도록 하였다.
이전에 언급한 바와 같이 우리는 Anti-forensic 행위의 시나리오를 생성하여 미리 가능한 행위들을 예측할 수 있게 하는 것을 목적으로 한다. 이를 위하여 시나리오를 생성하기 전, 가능성 있는 행위들을 layer기반으로 모델링 하였다. 크게 Data layer, DB/Application layer, OS/Platform layer, Network layer, Physical layer의 5계층으로 분류하였으며, 이를 AFA(Anti-Forensic Activity)모델이라고 명명 하였다.
지금까지 논의한 원리들을 바탕으로 실제 시나리오들을 테스트 해 보았다. 전문가 시스템 이므로 해당 명령어와 옵션에 대한 위험도는 미리 정해 두었다.
첫 번째, 가변적인 수사 환경에서 가장 적합한 방법으로 Anti-forensic 행위를 탐지할 수 있도록 자동화 하였다. NFST프로그램은 기본적인 수사 정보 입력 과정만 거치면 수사 대상 시스템의 네트워크 환경을 자동으로 조사하여 그 결과를 알려준다.
대상 데이터
휘발성 데이터를 수집할 때에는 상대적으로 더 오래 지속되는 데이터를 나중에 수집하는 것을 원칙으로 하며 이와 관련한 정보는 RFC3227 ‘증거 수집과 저장에 대한 지침’에 나와 있다[1, 22]. 휘발성 정보에는 열려있는 파일목록, 네트워크 정보, 프로세스 정보, 메모리 정보 등이 있으며 수사관들은 주로 CLI(Command Line Interface) 기반의 자동화된 도구를 사용하여 이들 데이터를 수집한다. 일반적인 CLI기반 시스템 관리 명령어들도 사용할 수 있으며, 앞서 언급한 자동화된 도구들 역시 대부분이 명령어들에 기반하고 있다.
이론/모형
이는 수사 중에도 의도하지 않게 증거 데이터의 무결성을 훼손하게 되는 상황이 발생 할 수 있기 때문이다. 본 연구에서는 위의 조건을 만족시키기 위하여 수사 대상 시스템으로 으로 inbound되는 네트워크 packet을 수집, 분석할 수 있는 도구로 ruleset을 최적화한 IDS(Intrusion Detection System)를 활용하였다. 또한 대상 시스템에 간접적으로 접근할 때 최적의 조건을 찾아 수사관에게 알려주는 네트워크 환경 분석 도구인 NFST를 구현하였다.
성능/효과
세 번째, 비교적 간단한 fuzzy 연산을 사용하여 빠른 연산을 가능하게 하였다. 이는 신속하고 효율적인 모니터링을 가능하게 한다.
후속연구
앞으로의 연구는 유포중인 악성코드 탐지나 악의적인 스크립트 코드 업로드 등과 같이 사람이 수행하는 행위가 아닌, 네트워크 상에서 자동적으로 수행되는 행위도 함께 탐지 할 수 있도록 하는 방향으로 진행되어야 할 것이다.
질의응답
핵심어
질문
논문에서 추출한 답변
live forensic의 방법은 무엇을 차단하지 않고 수사하는 방법인가?
최근 사이버 범죄의 증가와 그 대상 시스템의 다양화로 인하여 디지털 포렌식의 중요성이 커지고 있다. 일부 시스템들은 전원이나 네트워크를 차단하지 않고 수사하는 live forensic의 방법을 채택하고 있는데, 인터넷 사용이 일반화됨에 따라 live forensic 방법이 채택되는 횟수가 증가하고 있다. 그러나 live forensic 기술이 상당한 발전을 거듭하였음에도 불구하고 원격으로 접근하여 행해지는 Anti-forensic 행위에는 여전히 취약한 실정이다.
live forensic 기법을 선택해야만 하는 경우는?
최근 수사관들은 포렌식을 할 때, live forensic 기법을 선택해야만 하는 경우가 증가하고 있다. 예를 들면, 조사대상 시스템이 핵심적인 서비스에 이용되고 있어 시스템을 정지시킬 수 없는 경우, 더불어 이 시스템을 조사하기 위해 시스템을 정지시킴으로 인해 발생하는 손해비용이 충분히 큰 경우, 또는 약관이나 SLA(Service Level Agreement)에 명시된 서비스가용성을 준수해야만 하여 시스템 가동을 중지시킬 수 없는 경우, 수사에 큰 제약이 되고 있다.
live forensic은 어떤 단계로 이뤄지는가?
live forensic은 휘발성 데이터 수집과, 분석의 두 단계로 이루어진다. 더 세부적으로 보면, 수집의 방법은 사용자 인터페이스를 이용하는 방법, imported utility를 사용하는 방법, modified system을 이용하는 방법, 추가적인 하드웨어를 사용하는 방법으로 나뉜다[27].
참고문헌 (29)
Harlen Carvey, "Windows Forensic Analysis", Syngress Publishing, ISBN 1597494224, 2009
Niandong Liao, Shengfeng Tian, Tinghua Wang, "Network forensic based on fuzzy logic and expert system", Computer Communications, vol.32, issue17, pp.1881-1892, 2009.
Emmanuel S.Phill, R.C.Joshi, Rajdeep Niyogi, "A Generic Framework for Network Forensic", International Journal of Computer Applications, vol.1. no.11, 2010.
Christian S.J. Peron, Michael Legary, "Digital Anti-Forensic: Emerging trends in data transformation techniques"
Frank Adelstein, "Live Forensic, Diagnosing your system without killing it first, Communications of the ACM, vol.49, no.2, 2006.
Stuart McClure, Joel Scambray, George Kurtz, "Hacking Exposed : Network Security Secrets and Solutions", Third Edition, McGraw-Hill, ISBN 007149426X, 2007
L.A. Zadeh, "The role of fuzzy logic in the management of uncertainty in expert system" Fuzzy Sets and Systems, vol.11, issue1-3, pp.197-198, 1983.
E.H. Mamdani, S. Assilian, "An Experiment in Linguistic Synthesis with a Fuzzy Logic Controller", International Journal of Man- Machine Studies, vol.7, issue1, pp.1-13, 1975
E.H. Mamdani, "Advances in The Linguistic Synthesis of Fuzzy Controllers", International Journal of Man-Machine Studies, vol.8, issue6, pp.669-678, 1976
Srinivas Mukkamala, Andrew H. Sung, "Identifying Significant Features for Network Forensic Analysis Using Artificial Intelligent Technologies" International Journal of Digital Evidence, vol.1, issue4, 2003.
Ryan Harris, "Arriving at an anti-forensic consensus: Examining how to define and control the anti-forensics problem", Digital Investigation, vol.3, supplement1, pp.44-49, 2006.
Jung-Sun Kim, Dong-Geun Kim, Bong-Nam Noh, "A Fuzzy Logic Based Expert System as a Network Forensic", 2004 IEEE International Conference on, vol.2, pp.879-884, 2004.
M.Saniee Abadeh, J.Habibi, C.Lucas, "Intrusion Detection using a Fuzzy genetics-based Learning Algorithm", Journal of Network and Computer Applications, vol.30, issue1, pp.414-428, 2007.
Adel Nadjaran Toosi, Mohsen Kahani, "A New Approach to Intrusion Detection Based on an Evolutionary Soft Computing Model Using Neuro-Fuzzy Classifiers", Computer Communications, vol.30, issue10, pp.2201- 2212, 2007.
※ AI-Helper는 부적절한 답변을 할 수 있습니다.