KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

Digital Forensic Indicators of Compromise Format(DFIOC) and Its Application

디지털 포렌식 기반의 침해 지표 포맷 개발 및 활용 방안

  • Received : 2016.03.10
  • Accepted : 2016.04.11
  • Published : 2016.04.30
Download PDF
⟨ Previous Next ⟩

Abstract

Computer security incident such as confidential information leak and data destruction are constantly growing and it becomes threat to information in digital devices. To respond against the incident, digital forensic techniques are also developing to help digital incident investigation. With the development of digital forensic technology, a variety of forensic artifact has been developed to trace the behavior of users. Also, a diversity of forensic tool has been developed to extract information from forensic artifact. However, there is a issue that information from forensic tools has its own forms. To solve this problem, it needs to process data when it is output from forensic tools. Then it needs to compare and analyze processed data to identify how data is related each other and interpret the implications. To reach this, it calls for effective method to store and output data in the course of data processing. This paper aims to propose DFIOC (Digital Forensic Indicators Of Compromise) that is capable of transcribing a variety of forensic artifact information effectively during incident analysis and response. DFIOC, which is XML based format, provides "Evidence" to represent various forensic artifacts in the incident investigation. Furthermore, It provides "Forensic Analysis" to report forensic analysis result and also gives "Indicator" to investigate the trace of incidence quickly. By logging data into one sheet in DFIOC format for forensic analysis process, it is capable of avoiding unnecessary data processing. Lastly, since collected information is recorded in a normalized format, data input and output becomes much easier as well as it will be convenient to use for identification of collected information and analysis of data relationship.

기밀 정보 유출, 데이터 파괴 등 디지털 기기에 저장된 정보를 위협하는 침해사고가 계속해서 증가하고 있다. 이와 함께 디지털 침해 사고를 조사하기 위하여 디지털 포렌식 기술 또한 계속해서 발전해 왔다. 디지털 포렌식 기술의 발전으로 인하여 사용자의 행위를 추적할 수 있는 다양한 포렌식 아티팩트들이 발견되었으며, 포렌식 아티팩트로부터 정보를 추출하기 위한 다양한 포렌식 도구가 개발되었다. 하지만 포렌식 도구에서 출력하는 정보는 각기 다른 양식을 갖고 있다. 따라서 포렌식 도구에서 출력하는 정보를 다시 가공해야 하는 작업이 필요하다. 가공된 데이터는 데이터 간의 정보를 비교 분석하여 연관관계를 도출하고 그 의미를 파악해야 한다. 이를 위하여 데이터를 가공하는 작업에서 데이터의 저장과 출력을 효과적으로 하기 위한 방안이 필요하다. 본 논문에서는 침해사고 조사 분석시 필요한 다양한 포렌식 아티팩트 정보를 효과적으로 기술할 수 있는 디지털 포렌식 침해지표 작성 포맷 DFIOC(Digital Forensic Indicators Of Compromise)를 제안한다. DFIOC는 XML 기반의 포맷이며 침해사고 조사에 필요한 다양한 포렌식 아티팩트 정보를 Evidence로 표현하여 기술할 수 있다. 또한 포렌식 분석 결과를 기록하는 Forensic Analysis를 제공하고 있으며, 침해 흔적을 기록하기 위하여 Indicator 항목을 제공하고 있다. 포렌식 분석 과정에 필요한 데이터를 DFIOC 포맷의 문서 하나로 기록할 수 있게 됨으로써 불필요한 데이터 가공이 발생하지 않게 된다. 또한 정규화된 포맷을 통해 수집된 정보를 기록하기 때문에 입출력이 쉬워지며 수집된 정보를 확인하고 상호 연관관계 분석에 활용하기 쉬워진다.

Keywords

References

  1. Alessandro Guarino, "Digital Forensics as a Big Data Challenge," StudioAG, ISSE 2013 Securing Electronic Business Processes, Vol.6, pp.197-203, 2013.
  2. Yinghua Guo, Jill Slay, and Jason Beckett, "Validation and verification of computer forensic software, toolsdSearching Function," Digital Investigation, Vol.6, pp.S12-S22, Sep., 2009. https://doi.org/10.1016/j.diin.2009.06.015
  3. Karen Kent, Suzanne Chevalier, Tim Grance, and Hung Dang, "Guide to Integrating Forensic Techniques into Incident Response," NIST SP800-86 Notes, Aug., 2006.
  4. MITRE [Internet], https://cyboxproject.github.io.
  5. Eoghan Casey, Greg Back, and Sean Barnum, "Leveraging CybOX to standardize representation and exchange of digital forensic information," Digital Investication, Vol.12, pp.102-110, Mar., 2015. https://doi.org/10.1016/j.diin.2015.01.014
  6. Eoghan Casey, Greg Back, Sean Barnum [Internet], https://github.com/DFAX/dfax.
  7. Mandiant [Internet], http://www.openioc.org.
  8. Simson Garfinkel, "Digital forensics XML and the DFXML toolset," Vol.8. pp.161-174. Feb., 2012. https://doi.org/10.1016/j.diin.2011.11.002
  9. Simson Garfinkel [Internet], https://github.com/simsong/dfxml.
  10. Stephen Larson, "Book Review: The Basics of Digital Forensics: The Primer For Getting Started in Digital Forensics," Journal of Digital Forensics, Security and Law, Vol.9, No.1, pp.83-85, 2014.