호스트 기반 연결 역추적을 이용한 사용자 행위 추적 시스템 설계 및 개발

An User Behavior Traceback System Design and Implementation Using the Host-based Connection Traceback Method

Many traceback techniques have been proposed to protect against attacks and most traceback schemes were designed to work with the IP connection traceback method. But if incidents caused by misuse or abnomal behavior by internal users, the host-based connection traceback is more efficient than network-based connection traceback in computer forensics. This paper implements an user behavior traceback system using the host-based connection traceback method by collecting the user behavior logs at multiple server systems and composing connection chains for login path.

침해사고에 대응하기 위하여 많은 역추적 기법들이 연구되어 왔으며 대부분 역추적 기술들은 IP 연결 역추적 기술을 중심으로 연구되어 왔다. 그러나 내부 사용자에 의한 오남용이나 비정상행위일 경우 컴퓨터 포렌식 관점에서 네트워크 기반 연결 역추적보다 호스트 기반 연결 역추적이 사용자 행위 추적에 보다 효율적이다. 본 논문에서는 다수의 시스템으로부터 사용자 행위 로그를 통합적으로 수집하고 로그인 경로에 대한 체인을 연결하여 호스트 기반 연결 역추적 기법의 사용자 행위 추적시스템을 개발한다.