검색 상세

멀티미디어 데이터에 중점을 둔 DVR 시스템에서의 디지털 증거 분석 절차

Digital Forensics Procedure in DVR System focus on Multimedia Data


디지털 포렌식은 컴퓨터와 같은 다양한 디지털 저장매체에 남아있는 사건과 관련된 디지털 증거를 과학적이고 적법한 절차를 통하여 증거를 수집하고 보관 및 이송하여 분석하는 일련의 과정으로 정의한다. 현대의 다양한 디지털 장비의 발달로 인해 디지털 증거 수집대상의 폭이 광범위해짐에 따라 임베디드 포렌식의 대한 관심이 높아지고 있으며, 다양한 연구가 활발히 진행 중이다. 본 논문에서는 디지털 CCTV에 저장되어 있는 영상 자료를 확보하여 분석, 복구하는 DVR 포렌식의 분석 절차와 그에 따른 분석 기법을 제안한다. 먼저 DVR 시스템내의 여러 데이터들 중에서 디지털 증거로써 가치 있는 녹화된 영상 데이터, 시간 데이터의 유형을 정의하고 정의된 유형을 분석하기 위한 분석 절차를 제안한다. 제시한 절차에 따라 DVR에 녹화되어 있는 영상 데이터는 시스템의 운영 방식, 운영체제의 종류, 영상 데이터의 생성단위에 따라 구분하고 그에 따른 데이터 형식을 파악한 후 데이터 카빙기법을 적용하여 분석한다. 또한 DVR에 저장되어 있는 시간 데이터는 정의하는 위치를 파악한 후 정의 규칙에 의한 검색을 통해 분석한다. 본 논문에서 제안한 DVR 포렌식 분석 절차와 그에 따른 분석 기법을 검증하기 위해 실제 발생한 사례를 중심으로 실험 한 결과, DVR의 제조자별 모델과 독자적으로 모든 모델에 절차에 따라 분석이 가능함을 보였으며, 더불어 영상 데이터와 시간 데이터를 분석한 결과, 기존의 포렌식 프로그램에 비하여 비연속 할당에 의해 생성된 동영상 파일이 복구율이 더 높음을 보였다.



Digital forensic is defined as a series of processes that collect, store, transmit and analyze digital evidence which is related to remaining events in various digital storage media like computers through scientific and appropriate procedures. As the range of digital evidence collection objects due to today's various digital equipment, interest in embedded forensic has been increased and various researches are under way. This thesis suggests analysis procedures of DVR forensic that analyzes and restores visual data which are stored in digital CCTV and analysis technique in accordance with analysis procedures. First, among many data in DVR system, I define the type of recorded visual data and time data which has value as digital evidence and suggest analysis procedures that are used to analyze defined types. According to suggested procedures, visual data that are recorded in DVR are classified in accordance with system operation method, the kinds of operation system, and generation unit of visual data and data form according to them are examined and analyze them by applying data carving technique. Time data which are stored in DVR are analyzed through search in accordance with definition rules after defined location is found . According to the experiment that examined mainly actual cases to verify DVR forensic analysis procedures and analysis technique, analysis is possible in accordance with procedures in all models irrespective of manufacturer classified each DVR's model. In addition, according to the result that has analyzed visual data and time data, visual image file that is generated by discontinuation assignment shows higher recovery rates than existing forensic program.
