[논문 정리] ElasticSearch와 Kibana를 이용한 웹 아티팩트 시각화

https://www.dbpia.co.kr/Journal/articleDetail?nodeId=NODE08762254 

 

내용 정리

최근 디지털 포렌식 기법을 이용한 과학 수사가 많이 이루어지고 있는 추세이며 여러 아티팩트 분석을 통해 범죄 증거를 찾아낸다. 수사 과정에서 사용되는 아티팩트는 각각의 경로를 가지고 PC에 저장되는데 이는 한 눈에 보기 어렵다는 단점이 존재한다. 따라서 이 논문에서는 수사의 효율성을 높이기 위해 웹 아티팩트를 통합하는 서비스를 제안했다. 포렌식 수사 과정에서는 웹 아티팩트를 특정 컴퓨터에서 수집하고 분석하며 해당 사건의 피해의 근원을 찾아낸다. 네트워크 범죄와 이에 따른 피해 사례는 증가하고 있기 때문에 본 논문에서는 이러한 범죄를 수사하는 과정에 도움을 주기 위해 웹 아티팩트를 통합하는 서비스 구현하는데에 중점을 두고 연구하였다.

 

이 연구에서는 분산형 RESTful 검색 및 분석 엔진인 ElasticSearch와 데이터 파일을 업로드 하기 위한 파이썬 플러그인 elasitcsearch_loader, 오픈 소스 데이터 시각화 플랫폼 Kibana를 사용했다고 한다.

 

웹 아티팩트를 수집하기 위해 여러 시스템 환경 중 Window OS - Google Chrome과 Ubuntu OS - Mozilla Firefox의 웹 아티팩트를 선택하여 연구하였다.

각 아티팩트의 저장 경로에 접근한 후 SQLite에서 table 값을 확인하고 이를 가장 일반적인 CSV 파일 형식으로 파싱 하였다. 그리고 CSV파일로 파싱한 웹 아티팩트를 JSON파일로 변환하여 ElasticSearch에 업로드하였고, 이 후 필요한 데이터의 인덱스와 필드를 토글하여 하나의 테이블로 모아서 볼 수 있도록 시각화하였다.

 

[그림 1]의 왼쪽 부분은 쿠키 아티팩트 데이터 중에서 지정된 Field 번호와 쿠키의 이름(name), 도메인(host_key), 쿠키 생성 시간(creation_utc), 쿠키 만료시간(expires_utc), 쿠키가 마지막으로 접근한 시간(last_access_utc) 필드를 선정하여 테이블 형태로 표현한 것이다. 오른쪽 부분은 히스토리 아티팩트 데이터 중에서 지정된 id 값과 title, url, 방문 횟수, 마지막 방문 시간 필드를 선정하여 테이블 형태로 표현했다.

 

[그림2]의 왼쪽은 히스토리 아티팩트 데이터 중 id_값과 title, url, visit_count, last_visit_time를 필드로 선정하여 테이블 형태로 표현한 것이고, 오른쪽은 쿠키 아티팩트 데이터로써, Field 번호, name, 도메인, 생성 시간, 만료 시간, 마지막 액세스 시간을 선정하여 테이블 형태로 표현했다.

 

[그림 3]의 왼쪽은 히스토리에 관한 아티팩트 그래프이며 동일한 웹 사이트 내에서 특정 URL의 방문 횟수를 나타내고 있다. 오른쪽의 쿠키에 관한 아티팩트를 나타낸 그래프는 도메인, 쿠키가 생성되고 만료되는 시간부터 쿠키의 마지막 접근 시간까지 나타내고 있다. 

 

[그림 4]의 상단은 히스토리에 관한 아티팩트 시각화 자료들이며 차트를 보면 URL에대한 Hash 값들이 조회된다. 하단은 쿠키에 관한 아티팩트 시각화 자료들이며 차트를 통해 해당 쿠키에 대한 Host 명, 도메인, 만료 시간 및 마지막으로 액세스된 시간까지 조회된다. 

 

Python과 ElasticSearch, Kibana를 사용하여 Window – Google Chrome, Ubuntu – Mozilla Firefox 환경에서 구현했으며 서비스를 시작하기 전에 사용자의 운영체제와 웹 아티팩트의 브라우저를 선택하여 해당 브라우저의 아티팩트 경로를 설정했다. 서비스를 시작하면 설정된 경로를 통해 아티팩트를 수집하고 하나의 CSV 파일로 저장하고  json파일로 변화하여 데이터베이스에 업로드하고 원하는 정보만 토글하였다. 그리고 대시보드에서 시각화된 아티팩트를 한꺼번에 볼 수 있도록 했다고 한다.

 

결론

구조화된 파일인 JSON 파일을 이용하여 업로드하고 원하는 데이터를 토글 하여 다양한 시각화 자료로 나타내게 되면 신속한 과학수사가 이루어지는데 기여할 수 있는 기대 효과를 가져올 수 있다. 또한 웹 아티팩트를 한 눈에 보기 어렵다는 단점까지 해결이 가능하다.