윈도우 이벤트 로그 기반 기업 보안 감사 및 악성코드 행위 탐지 연구

Vol. 28, No. 3, pp. 591-603, 5월. 2018
10.13089/JKIISC.2018.28.3.591, Full Text:
Keywords: Windows Event Log, digital forensic, Anti-forensic
Abstract

윈도우 이벤트 로그는 윈도우 운영체제에서 시스템 로그를 기록하는 형식이며, 시스템 운영에 대한 정보를 체계적으로 관리한다. 이벤트는 시스템 자체 또는 사용자의 특정 행위로 인해 발생할 수 있고, 특정 이벤트 로그는 기업보안 감사, 악성코드 탐지 등에 사용될 수 있다. 본 논문에서는 기업 보안 감사 및 악성코드 탐지와 관련된 이벤트로그(외부장치 연결, 응용 프로그램 설치, 공유 폴더 사용, 프린터 사용, 원격 연결/해제, PC 시작/종료, 로그온/오프, 절전모드, 네트워크 연결/해제, 이벤트 로그 삭제, 시스템 시간 변경, 파일/레지스트리 조작, 프로세스 생성,DNS 질의, 윈도우 서비스 추가)들을 선정하고, 발생하는 이벤트 ID를 분류 및 분석하였다. 또한, 기존의 이벤트로그 분석도구는 EVTX 파싱 기능만을 포함하고 있어 이를 포렌식 수사에 이용할 경우 사용자의 행적을 추적하기어렵다. 이에 본 연구에서 새로운 분석도구를 구현하였으며, EVTX 파싱과 행위 분석이 가능하다.

Statistics
Show / Hide Statistics

Statistics (Cumulative Counts from December 1st, 2017)
Multiple requests among the same browser session are counted as one view.
If you mouse over a chart, the values of data points will be shown.


Cite this article
[IEEE Style]
강세림, 김소람, 박명서, 김종성, "Study on Windows Event Log-Based Corporate Security Audit and Malware Detection," Journal of The Korea Institute of Information Security and Cryptology, vol. 28, no. 3, pp. 591-603, 2018. DOI: 10.13089/JKIISC.2018.28.3.591.

[ACM Style]
강세림, 김소람, 박명서, and 김종성. 2018. Study on Windows Event Log-Based Corporate Security Audit and Malware Detection. Journal of The Korea Institute of Information Security and Cryptology, 28, 3, (2018), 591-603. DOI: 10.13089/JKIISC.2018.28.3.591.