1 |
1
서버 및 로그서버에 저장된 유저의 행위 데이터를 기반으로 유저의 포렌식 행위를 정의하고 상기 정의된 포렌식 행위를 선별하고, 상기 선별된 포렌식 행위에 따라 생성된 증거를 기반으로 현재 시점의 포렌식 행위에서 다음 시점의 포렌식 행위가 발생할 확률로 구성된 전이행렬을 구성하는 단계;
상기 구성된 전이 행렬을 시간에 따른 포렌식 행위의 상태 변화를 나타내는 마르코프 체인에 대입하여 소정의 포렌식 행위가 발생할 최종적인 확률인 최종 확률 벡터값을 산출한 후, 상기 산출된 최종 확률 벡터값을 구성하는 요소 벡터값들의 크기에 따라 상기 포렌식 행위의 우선 순위를 설정하는 단계;
상기 설정된 우선 순위에 상기 포렌식 행위에 대한 잡음 페이지를 제거하여 우선 순위를 재설정하는 단계;
상기 재설정된 우선 순위를 기반으로 몬테카를로 시뮬레이션을 수행하여 상기 우선 순위의 신뢰성을 검증하는 단계; 및
상기 검증된 포렌식 행위에 대한 시나리오를 데이터베스에 저장하는 단계를 포함하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
2 |
2
제 1 항에 있어서,
상기 정의된 포렌식 행위는
상기 유저, 상기 유저의 접속 정보를 저장하는 로그 서버, 및 상기 유저에 의한 어플리케이션 수행 정보를 포함하는 상호 접근 정보에 기반하여 선별된 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
3 |
3
제 2 항에 있어서,
상기 전이행렬은
상기 상호 접근 정보에 따라 구성되는 쌍대 행렬에 의해 구성되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
4 |
4
제 1 항에 있어서,
상기 포렌식 행위의 우선 순위를 설정하는 단계는
상기 포렌식 행위의 분류에 따라 다른 가중치 벡터를 생성하고, 상기 생성된 가중치 벡터를 상기 마르코프 체인에 대입하여 상기 최종 확률 벡터값인 행렬 의 최종 확률 벡터값 열벡터 를 산출한 후, 상기 산출된 최종 확률 벡터값 열벡터 를 구성하는 요소 벡터값들의 크기에 따라 상기 포렌식 행위의 우선 순위를 설정하며,
상기 포렌식 행위는 우선 순위 기반의 포렌식 행위, 습관 기반의 포렌식 행위 및 반습관 기반의 포렌식 행위로 분류되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
5 |
5
제 1 항에 있어서,
상기 잡음 페이지의 제거는
특이값 분해에 따라 잡음 페이지가 제거되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
6 |
6
제 1 항에 있어서,
상기 전이행렬을 구성하는 단계는
상기 선별된 포렌식 행위에 대하여 데이터 마이닝을 수행하는 단계를 포함하되,
상기 선별된 포렌식 행위는 XML 또는 AXML의 계층적 문서 형태로 저장되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
7 |
7
제 6 항에 있어서,
상기 최종 확률 벡터값 는
상기 데이터 마이닝에 따라 미리 결정된 초기값(initial value)을 라 하고, 상기 유저의 행위 데이터에 기반한 전이 행렬을 라 하고, 상기 유저에 의해 수행되는 포렌식 행위 데이터의 총 수를 이라고 할 때, 하기의 식 1에 의해 구성되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
8 |
8
제 1 항에 있어서,
상기 검증된 포렌식 행위에 대한 시나리오를 데이터베스에 저장하는 단계는
유저별 데이터 베이스를 별도로 구성하고, 상기 유저별 로그 데이터에 변경이 발생할 경우 실시간으로 상기 데이터 베이스를 삭제 및 수정을 수행하는 단계를 포함하는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법
|
9 |
9
제 1 항 내지 제 8 항 중 어느 한 항의 방법을 컴퓨터에서 수행할 수 있도록 프로그램으로 기록된 기록매체
|
10 |
10
유저의 포렌식 행위를 정의하고, 상기 정의된 포렌식 행위를 선별하는 포렌식 행위 정의부;
상기 선별된 포렌식 행위에 따라 생성된 증거를 기반으로 현재 시점의 포렌식 행위에서 다음 시점의 포렌식 행위가 발생할 확률로 구성된 전이행렬을 구성하는 전이행렬 구성부;
상기 구성된 전이 행렬을 시간에 따른 포렌식 행위의 상태 변화를 나타내는 마르코프 체인에 대입하여 소정의 포렌식 행위가 발생할 최종적인 확률인 최종 확률 벡터값을 산출한 후, 상기 산출된 최종 확률 벡터값을 구성하는 요소 벡터값들의 크기에 따라 상기 포렌식 행위의 우선 순위를 설정하는 우선 순위 설정부;
상기 설정된 우선 순위에 상기 포렌식 행위에 대한 잡음 페이지를 제거하여 우선 순위를 재설정하는 잡음 페이지 제거부;
상기 재설정된 우선 순위를 기반으로 몬테카를로 시뮬레이션을 수행하여 상기 우선 순위의 신뢰성을 검증하는 검증부; 및
상기 검증된 포렌식 행위에 대한 시나리오를 데이터베스에 저장하는 데이터베이스를 포함하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
11 |
11
제 10 항에 있어서,
상기 포렌식 행위 정의부는
상기 유저, 상기 유저의 접속 정보를 저장하는 로그 서버, 및 상기 유저에 의한 어플리케이션 수행 정보를 포함하는 상호 접근 정보에 기반하여 포렌식 행위를 선별하는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
12 |
12
제 11 항에 있어서,
상기 전이행렬은
상기 상호 접근 정보에 따라 구성되는 쌍대 행렬에 의해 구성되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
13 |
13
제 10 항에 있어서,
상기 우선 순위 설정부는
상기 포렌식 행위의 분류에 따라 다른 가중치 벡터를 생성하고, 상기 생성된 가중치 벡터를 상기 마르코프 체인에 대입하여 상기 최종 확률 벡터값인 행렬 의 최종 확률 벡터값 열벡터 를 산출한 후, 상기 산출된 최종 확률 벡터값 열벡터 를 구성하는 요소 벡터값들의 크기에 따라 상기 포렌식 행위의 우선 순위를 설정하며,
상기 포렌식 행위는 우선 순위 기반의 포렌식 행위, 습관 기반의 포렌식 행위 및 반습관 기반의 포렌식 행위로 분류되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
14 |
14
제 10 항에 있어서,
상기 잡음 페이지 제거부는
특이값 분해에 따라 잡음 페이지를 제거하는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
15 |
15
제 10 항에 있어서,
상기 전이행렬 구성부는
상기 선별된 포렌식 행위에 대하여 데이터 마이닝을 수행하는 데이터 마이닝 모듈을 포함하되,
상기 선별된 포렌식 행위는 XML 또는 AXML의 계층적 문서 형태로 저장되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|
16 |
16
제 15 항에 있어서,
상기 최종 확률 벡터값 는
상기 데이터 마이닝에 따라 미리 결정된 초기값(initial value)을 라 하고, 상기 유저의 행위 데이터에 기반한 전이 행렬을 라 하고, 상기 유저에 의해 수행되는 포렌식 행위 데이터의 총 수를 이라고 할 때, 하기의 식 2에 의해 구성되는 것을 특징으로 하는 마르코프 체인을 이용한 사이버 범죄 행위 분석 장치
|