JP6655731B2 - システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法 - Google Patents

システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法 Download PDF

Info

Publication number
JP6655731B2
JP6655731B2 JP2018547246A JP2018547246A JP6655731B2 JP 6655731 B2 JP6655731 B2 JP 6655731B2 JP 2018547246 A JP2018547246 A JP 2018547246A JP 2018547246 A JP2018547246 A JP 2018547246A JP 6655731 B2 JP6655731 B2 JP 6655731B2
Authority
JP
Japan
Prior art keywords
client
command
database
security
database system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018547246A
Other languages
English (en)
Other versions
JP2019503021A (ja
Inventor
ユン、ソクグ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nod Bizware Co ltd
Original Assignee
Nod Bizware Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nod Bizware Co ltd filed Critical Nod Bizware Co ltd
Publication of JP2019503021A publication Critical patent/JP2019503021A/ja
Application granted granted Critical
Publication of JP6655731B2 publication Critical patent/JP6655731B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Social Psychology (AREA)
  • Virology (AREA)
  • Automation & Control Theory (AREA)
  • Quality & Reliability (AREA)
  • Data Mining & Analysis (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明の実施形態は、データベース保安装置とその作動方法とに係り、特に、保安強化のために、システムの状況とユーザのパターンとに基づいてユーザが要請した命令に対する事前分析を行うデータベース保安装置とその作動方法とに関する。
情報の集積度が日増しに高度化される趨勢によって、企業内に存在するデータベースに蓄積された情報の量も、これに比例して増加している。これにより、各種のハッキングやユーザなどの不注意によって、データベースに保存されたデータが消失または変更されるか、外部に流出される保安事故が頻繁に発生している。
特に、実際、最近起こった保安事故、例えば、管理者が誤って要請したデータ削除命令が実行されることによって、一定期間のユーザ取引情報がいずれも消失されて、銀行業務が中断された事例や、真夜中に数回にわたったユーザの非正常な口座振込み命令が実行されることによって、数億ウォンに至る資金が口座から引き出されてしまった事例などを見れば、保安事故のほとんどが、ユーザまたは管理者が要請した命令を何らの分析なしにそのまま実行することによって、発生していることが見られる。
したがって、ユーザまたは管理者が要請した命令に対する実行に先立って、多角的な分析を試み、分析の結果によって、適切な対応ができる保安技術が早急に設けられる必要がある。
本発明が解決しようとする技術的課題は、システムの状況とユーザパターンとに基づいてユーザまたは管理者が要請した命令に対する事前分析を行うことによって、保安を強化させたデータベース保安装置とその作動方法とを提供するところにある。
本発明の実施形態による保安装置の作動方法は、データベースシステムで管理されるデータベースと関連した命令をクライアントから受信する段階と、前記データベースシステムのサービス状態を確認する段階と、前記確認の結果によって、前記データベースシステムに関する保安政策を変更する段階と、前記クライアントから伝送された前記命令が、前記変更された保安政策を満足するか否かを判断する段階と、前記判断の結果によって、前記命令の実行如何に対する確認要請を管理者クライアントに伝送する段階と、を含みうる。
前記サービス状態は、設定された条件によって少なくとも2つ以上の状態に区分され、それぞれの状態で互いに異なる保安政策が適用可能である。前記実際サービス状態にあるか否かは、前記データベースシステムのサービス状態を示す状態フラグを参照して確認することができる。
前記実際サービス状態にあるか否かは、前記データベースに保存された累積データ情報、前記データベースについてのログ情報、及び前記データベースシステムに対する要請状態のうちの少なくとも1つに基づいて確認することができる。
前記保安政策は、前記クライアントが、前記データベースと関連した命令のうちの一部命令を使用しないように変更されうる。
前記命令が、基準データ量を超過するデータの削除、変更または照会を要請する時、前記命令は、前記変更された保安政策を満足していないと判断する保安装置の作動方法。
前記保安装置の作動方法は、前記クライアントの前記データベースシステムに対する接続及びアクセスをモニタリングし、前記モニタリングを通じて獲得された情報に関するログを生成して保存する段階と、前記ログに基づいて、前記クライアントの行動パターンを分析する段階と、前記クライアントから伝送された前記命令が、前記クライアントの行動パターンとマッチングされるか否かを判断する段階と、をさらに含みうる。
前記ログは、接続IP情報、ユーザID情報、端末機情報、アプリケーション情報、時間情報、クエリー情報、及び命令情報のうちの少なくとも1つを含みうる。
前記保安装置の作動方法は、前記命令が、前記クライアントの行動パターンとマッチングされない時、前記クライアントの接続を強制終了させる段階をさらに含みうる。
本発明の実施形態によるデータベース保安装置は、データベースシステムで管理されるデータベースと関連した命令をクライアントから受信する通信モジュールと、前記データベースシステムのサービス状態を確認するサービス状態分析モジュールと、前記確認の結果によって、前記データベースシステムに関する保安政策を変更する保安政策管理モジュールと、前記クライアントから伝送された前記命令が、前記変更された保安政策を満足するか否かを判断する制御モジュールと、前記判断の結果によって、前記命令の実行如何に対する確認要請を管理者クライアントに伝送する管理者報知モジュールと、を含みうる。
前記データベース保安装置は、前記クライアントの前記データベースシステムに対する接続及びアクセスをモニタリングし、前記モニタリングを通じて獲得された情報に関するログを生成して保存するログ生成モジュールと、前記ログに基づいて、前記クライアントの行動パターンを分析するユーザ行動分析モジュールと、をさらに含み、前記制御モジュールは、前記クライアントから伝送された前記命令が、前記クライアントの行動パターンとマッチングされるか否かを判断することができる。
本発明の実施形態によるデータベース保安方法は、データベースシステムのサービス進行状態によって保安政策を変更して適用することによって、それぞれの状態で最適化された保安を提供することができる。
また、本発明の実施形態によるデータベース保安方法は、ユーザの行動パターンに基づいて命令を分析することによって、ハッキングなどによる非正常な命令に対する実行を根本的に遮断し、保安をより強化することができる。
本発明の実施形態によるデータベース保安システムの概略的な構成を示すブロック図である。 本発明の実施形態による保安サーバの具体的な構成を示すブロック図である。 本発明の実施形態による保安サーバの作動方法を示すフローチャートである。 本発明の実施形態による保安サーバの作動方法を示すフローチャートである。
本明細書でのモジュール(module)とは、本明細書で説明されるそれぞれの名称による機能と作動とを行えるハードウェアを意味し、特定の機能と作動とを行えるコンピュータプログラムコードを意味し、特定の機能と作動とを行わせるコンピュータプログラムコードが搭載された電子的記録媒体、例えば、プロセッサを意味する。言い換えれば、モジュールとは、本発明の技術的思想を行うためのハードウェア及び/または前記ハードウェアを駆動するためのソフトウェアの機能的及び/または構造的結合を意味する。
以下、本明細書に添付された図面を参照して、本発明の実施形態を詳しく説明する。
図1は、本発明の実施形態によるデータベース保安システムの概略的な構成を示すブロック図である。図1を参照すれば、データベース保安システム10は、クライアント100、保安サーバ200、データベースシステム300、及び管理者クライアント400を含みうる。また、データベースシステム300は、データベースサーバ310とデータベース320とを含みうる。
クライアント100は、ネットワーク(例えば、有線ネットワークまたは無線ネットワーク)を通じて保安サーバ200と接続してデータベースシステム300で提供するサービスを要請し、サービス結果を受信することができる。例えば、クライアント100は、データベースサーバ310に接続のための要請及びデータベース320にアクセスするための多様な命令またはクエリー(query)を保安サーバ200に伝送しうる。
クライアント100は、ユーザが保安サーバ200に接続した時、前記ユーザを称し、前記ユーザのコンピュータを指し、また、前記ユーザのコンピュータで作動するプログラムを意味する。
クライアント100が、前記ユーザのコンピュータを指す時、前記コンピュータは、PC(personal computer)、携帯用電子装置(または、モバイル機器)として具現可能である。前記携帯用電子装置は、ノート型パソコン(laptop computer)、携帯電話、スマートフォン(smartphone)、タブレット(tablet)PC、PDA(personal digital assistant)、EDA(enterprise digital assistant)、デジタルスチルカメラ(digital still camera)、デジタルビデオカメラ(digital video camera)、PMP(portable multimedia player)、PND(personal navigation deviceまたはportable navigation device)、携帯用ゲームコンソール(handheld game console)、モバイルインターネット装置(mobile internet device:MID)、ウェアラブル装置(または、ウェアラブルコンピュータ)、モノのインターネット(internet of things:IoT)装置、万物のインターネット(internet of everything:IoE)装置、または電子ブック(e−book)として具現可能である。
たとえ図1では、ネットワークを通じて保安サーバ200と接続する1つのクライアント100のみが示されているとしても、データベース保安システム10が複数のクライアントで構成されるということはいうまでもない。
保安サーバ200は、データベースシステム300の状況分析とクライアント100の行動分析とに基づいて、クライアント100がデータベース320にアクセスするあらゆる作動に対する保安機能を行うことができる。
保安サーバ200は、データベースシステム300のサービス状態によって保安政策を変更し、該変更された保安政策に基づいてデータベースシステム300に対する保安を行うことができる。
実施形態によって、保安サーバ200は、設定された条件によってデータベースシステム300のサービス状態を2つ以上の状態に区分し、それぞれの状態で互いに異なる保安政策を設定することができる。
例えば、保安サーバ200は、データベースシステム300のサービス状態をサービス開始時点を基準に開発状態と実際サービス状態とに区分することができる。また、保安サーバ200は、データベースに蓄積されたデータの量や重要度による保安等級、または、クライアント100の接続回数などの利用状況を基準に第1サービス状態ないし第Nサービス状態に区分することができる。ここで、Nは、2よりも大きな自然数を意味する。
以下の明細書では、説明の便宜上、サービス状態が、「開発及びテスト状態」と「実際サービス状態」とに区分されることを仮定して説明されるが、前述したように、本発明の技術的思想が、これに限定されるものではない。
開発及びテスト状態では、クライアント100にデータベース320アクセスと関連したあらゆる命令(または、クエリー)を許容することができるが、実際サービス状態では、データ全体削除またはデータ全体照会などの一部命令に対する使用を制限することができる。
保安サーバ200は、クライアント100から伝送された命令が現在適用される保安政策を満足していないと判断すれば、当該命令に対する実行如何に対して管理者クライアント400に確認を要請し、管理者クライアント400の確認応答によって、前記命令をデータベースサーバ310に伝送するか、前記命令を削除することができる。
保安サーバ200は、クライアント100のデータベースシステム300に対する接続及びアクセス情報と関連したログを生成して保存し、前記ログに基づいて、クライアント100の行動パターンを分析し、クライアント100から伝送された命令が分析された行動パターンとマッチングされるか否かを判断することができる。
保安サーバ200は、クライアント100から伝送された命令とクライアント100の行動パターンとがマッチングされないと判断すれば、判断の結果を管理者クライアント400に伝送して実行如何を確認するか、クライアント100の接続を強制に終了させることができる。
データベースシステム300は、データベース管理プログラム(database management system:DBMS)が備えられたデータベースサーバ310の制御によって、サービス提供に必要なデータをデータベース320に保存管理し、保安サーバ200を通じてクライアント100から要請された作業を行い、その結果をクライアント100に提供することができる。
データベースシステム300は、関係データベースシステムであり、クライアント100とのインターフェースのための標準言語として、SQL(structured query language)を使用することができる。
管理者クライアント400は、保安サーバ200に接続してデータベースシステム300に対する複数の保安政策を提供し、前記複数の保安政策のうちからデータベースシステム300のサービス進行程度によって適用される保安政策を選択することができる。
管理者クライアント400は、クライアント100の保安政策違反と関連した確認要請を保安サーバ200から受信し、前記確認要請に対する応答メッセージを保安サーバ200に伝送しうる。
図2は、本発明の実施形態による保安サーバの具体的な構成を示すブロック図である。図1と図2とを参照すれば、保安サーバ200は、制御モジュール210、通信モジュール220、サービス状態分析モジュール230、保安政策管理モジュール240、管理者報知モジュール250、ログ生成モジュール260、及びユーザ行動分析モジュール270を含みうる。また、保安サーバ200は、データ保存のためのメモリ235、保安政策DB245、及びログDB265を含みうる。
制御モジュール210は、通信モジュール220、サービス状態分析モジュール230、保安政策管理モジュール240、管理者報知モジュール250、ログ生成モジュール260、及びユーザ行動分析モジュール270のうちの少なくとも1つを制御することによって、保安サーバ200の全般的な作動を制御することができる。
制御モジュール210は、クライアント100から受信された命令が、現在適用中である保安政策を満足するか否かを判断することができる。判断の結果、前記命令が保安政策を満足していない場合、制御モジュール210は、前記命令を削除するか、前記命令が保安政策に違反することを示す指示信号を管理者報知モジュール250に提供することができる。
管理者報知モジュール250は、制御モジュール210から受信された指示信号によって、多様な表出手段(例えば、画面表出、メッセンジャー、SMS、またはメールなど)を通じて管理者クライアント400に、前記命令に対する実行如何に関する確認を要請することができる。
通信モジュール220は、クライアント100からデータベースサーバ310に対する接続要請及びデータベース320に対するアクセス要請(例えば、命令またはクエリー)を受信して、データベースサーバ310に伝送し、データベースサーバ310から前記要請に対する応答を受信して、クライアント100に伝送しうる。また、通信モジュール220は、クライアント100とデータベースサーバ310との接続を強制に終了させることができる。
サービス状態分析モジュール230は、データベースシステム300のサービス進行状態、例えば、データベースシステム300が、現在、開発及びテスト状態にあるか、それとも実際サービス状態にあるかを判断することができる。
実施形態によって、データベースシステム300のサービス進行状態を示す情報は、メモリ235に保存され、サービス状態分析モジュール230は、メモリ235を参照して判断することができる。
データベースシステム300のサービス進行状態は、管理者クライアント400から提供された指示信号によって設定しうる。例えば、管理者は、開発及びテスト状態で保安サーバ200内のメモリ235に保存された状態フラグをロジック「0」に設定し、実際サービス段階で、前記状態フラグをロジック「1」に設定することができる。
メモリ235は、レジスタ、DRAM(dynamic random access memory)、SRAM(static random access memory)などの揮発性メモリ及び/またはフラッシュ基盤メモリなどの不揮発性メモリとして具現可能である。
実施形態によって、データベースシステム300のサービス進行状態は、データベース320に保存されたデータの量、データベース320についてのログ情報、及びデータベースシステムに対する現在要請状態のうちの少なくとも1つから判断される。
例えば、サービス状態分析モジュール230は、データベース320に保存されたデータの量が基準値を超過した場合、現在データベースシステム300が、実際サービス状態にあると判断することができる。また、サービス状態分析モジュール230は、クライアント100のデータベースサーバ310に対する接続及びデータベース320に対するアクセス回数を基準値と比較して、データベースシステム300が、現在実際サービス状態にあるか否かを判断することができる。
すなわち、サービス状態分析モジュール230は、メモリ235に保存された状態フラグを確認する以外に、データベース320に保存されたデータの量などに基づいてデータベースシステム300のサービス進行状態を判断することができるので、ハッキングによって状態フラグが変更された場合にも、サービス進行状態に関する正確な情報を提供させうる。
保安政策管理モジュール240は、サービス状態分析モジュール230から分析された現在データベースシステム300のサービス進行状態によって、データベースシステム300に関する保安政策を変更し、該変更された保安政策を制御モジュール210に提供することができる。
例えば、データベースシステム300が、開発及びテスト状態にある時、保安政策管理モジュール240は、データベースシステム300に関する第1保安政策を適用し、データベースシステム300が、実際サービス状態にある時、データベースシステム300に関する第2保安政策を適用することができる。前記第1保安政策と前記第2保安政策は、保安政策DB245に保存され、互いに異なる政策を含みうる。
実施形態によって、前記第2保安政策は、第1保安政策とは異なって、クライアント100にデータベース320アクセスと関連した命令(または、クエリー)のうちの一部命令に対する使用を制限する政策と、ユーザ行動パターンとマッチングされないユーザに対するデータベースサーバ310の接近を制限する政策と、を含みうる。
前記データベース320アクセスと関連した命令は、データ処理と関連してレコードに新たな行の追加(INSERT)、変更(UPDATE)、削除(DELETE)に使われるDML(data manipulation language)、データ定義と関連してテーブルやユーザの生成(CREATE)及び削除(DROP)に使われるDDL(data definition language)、データ制御と関連してユーザを生成した後、権限の付与(GRANT)に使われるDCL(data control language)、及びデータ照会と関連してレコードが有した値の獲得に使われるクエリーなどの命令語を含みうる。
この場合、第2保安政策は、前記命令語のうち、データベース320に保存されたデータの削除と関連した命令語(例えば、DELETE、DROPなど)に対する使用を制限することができる。また、第2保安政策は、基準データ量を超過してデータ削除、変更または照会を要請する命令に対する使用を制限することができる。
ログ生成モジュール260は、クライアント100のデータベースシステム300に対する接続及びアクセスをモニタリングし、該モニタリングを通じて獲得した情報と関連したログを生成し、該生成されたログをログDB265に保存管理することができる。
ログDB265は、接続IP情報、ユーザID情報、端末機情報、アプリケーション情報、時間情報、クエリー情報、及び命令情報のうちの少なくとも1つを含みうる。
ログ生成モジュール260は、ログDB265で特定IDを使用するユーザに対する接続IP、接続時間帯、端末機名称、及び要請した命令などについての情報を検索し、該検索された情報をユーザ行動分析モジュール270に提供することができる。
ユーザ行動分析モジュール270は、ログ生成モジュール260から提供されたクライアント100に関するログ情報に基づいて、クライアント100の行動パターンを分析し、該分析されたクライアント100の行動パターンを制御モジュール210に提供することができる。
図3は、本発明の実施形態による保安サーバの作動方法を示すフローチャートである。図1ないし図3を参照すれば、保安サーバ200は、ネットワークを通じて接続されたクライアント100からデータベース320と関連した命令を受信することができる(ステップS110)。
保安サーバ200は、前記命令をデータベースサーバ310に伝送するのに先立って、データベースシステム300の状況を分析し、これにより、前記命令に対する実行如何を決定する一連の保安過程を経ることができる。
まず、保安サーバ200は、データベースシステム300のサービス状態を確認することができる(ステップS120)。例えば、前記サービス状態は、開発状態と実際サービス状態とに区分されうる。
段階S120での前記確認のために、保安サーバ200は、保安サーバ内に保存された状態フラグを参照することができる。前記状態フラグは、データベースシステム300のサービス進行程度による状態を表示したものであって、前記開発状態でロジック「0」に設定され、前記実際サービス状態でロジック「1」に設定しうる。
また、段階S120での前記確認のために、保安サーバ200は、データベース320に保存されたデータの量、データベース320についてのログ情報、及び/またはデータベースシステムに対する要請状態を参照することができる。
段階S120で確認した結果、データベースシステム300が、開発状態から実際サービス状態に変更されたと確認した場合、保安サーバ200は、前記データベースシステム300に関する保安政策を変更することができる(ステップS130)。
すなわち、前記実際サービス状態での保安政策は、前記開発生態での保安政策とは異なるものであって、データベース320と関連した命令のうちの前記開発状態で使用可能であった一部命令に対してクライアント100の使用を制限することができる。ここで、前記一部命令は、データ全体削除命令またはデータ全体照会命令のようにデータベース320に保存された大量のデータを削除するか、流出することができる命令を含みうる。
段階S130で、データベースシステム300に関する保安政策が変更された後、保安サーバ200は、クライアント100から受信された前記命令が、前記変更された保安政策を満足するか否かを判断することができる(ステップS140)。
段階S140で判断した結果、クライアント100から受信された前記命令が、前記変更された保安政策を満足していない場合、保安サーバ200は、前記命令の実行如何に対する確認を管理者クライアント400に要請することができる(ステップS150)。
段階S150での確認要請は、画面表出、メッセンジャー、SMS、またはメールを通じて行われ、保安サーバ200は、前記確認要請に対する応答を、管理者クライアント400から受信して、前記命令を処理することができる(ステップS160)。
例えば、保安サーバ200は、前記命令の実行可能という応答によって、前記命令をデータベースサーバ310に伝送するか、前記命令の実行不可という応答によって、前記命令を削除し、相応するメッセージをクライアント100に伝送しうる。
図4は、本発明の実施形態による保安サーバの作動方法を示すフローチャートである。図1、図2、及び図4を参照すれば、保安サーバ200は、ネットワークを通じて接続されたクライアント100からデータベース320と関連した命令を受信することができる(ステップS210)。
保安サーバ200は、前記命令をデータベースサーバ310に伝送するのに先立って、ユーザの行動を分析し、これにより、前記命令に対する実行如何を決定する一連の保安過程を経ることができる。まず、保安サーバ200は、クライアント100のデータベースシステム300に対する接続及びアクセスをモニタリングし、該モニタリングを通じて獲得された情報に関するログを生成して保存することができる(ステップS220)。
前記ログは、接続IP情報、ユーザID情報、端末機情報、アプリケーション情報、時間情報、クエリー情報、及び命令情報のうちの少なくとも1つを含みうる。
保安サーバ200は、段階S230から生成された前記ログに基づいて、クライアント100の行動パターンを分析し、クライアント100から受信された命令が分析されたクライアント100の行動パターンとマッチングされるか否かを判断することができる(ステップS230)。
段階S230での判断の結果、前記命令が、前記行動パターンと比較する時、些細な変動がある場合(例えば、ユーザが以前と異なるIPまたは端末機を通じて接続して命令を伝送した場合)、保安サーバ200は、それに相応する報知メッセージのみを管理者クライアント400に伝送しうる。
また、段階S230での判断の結果、前記命令が、前記行動パターンと比較する時、重大な変動がある場合(例えば、ユーザが1年間勤務時間のみに接続しながら、突然夜12時に連続接続して命令を伝送するか、自身の銀行口座にある資金全部に対して振込みを要請する命令を伝送するか、全体データに対する一括削除を要請する命令を伝送した場合)、保安サーバ200は、前記命令を削除し、クライアント100とデータベースサーバ310との間の接続を強制に遮断することができる(ステップS240)。
本発明は、データベース保安装置とデータベースシステムの保安管理のための保安装置の作動方法とに使われる。

Claims (11)

  1. データベースシステムの保安管理のための保安サーバの作動方法において、
    前記データベースシステムで管理されるデータベースと関連した命令をクライアントから受信する段階と、
    前記命令が前記データベースシステムに送信される前に、前記データベースシステムのサービス状態を確認する段階と、
    前記データベースシステムのサービス状態が変更された場合に、前記データベースシステムに関する保安政策を変更する段階と、
    前記データベースシステムに関する保安政策が変更された後、前記クライアントから伝送された前記命令が、前記変更された保安政策を満足するか否かを判断する段階と、
    前記判断の結果によって前記命令が前記変更された保安政策を満足していない場合に前記命令が処理される前に、前記命令の実行如何に対する確認要請を管理者クライアントに伝送する段階と、
    前記命令の実行可能な応答に従って、前記命令を、前記データベースを管理するデータベースサーバに送信するか、または前記命令の実行不可能な応答に従って、前記命令を削除し、前記クライアントに、対応するメッセージを送信する段階を含む保安サーバの作動方法。
  2. 前記サービス状態は、設定された条件によって少なくとも2つ以上の状態に区分され、それぞれの状態で互いに異なる保安政策が適用され、
    前記少なくとも2つ以上の状態は、サービス開始時点を基準に開発状態と実際のサービス状態を含み、
    該実際のサービス状態の保安政策は、前記クライアントに前記データベースに対するアクセスと関連した命令またはクエリーのうちの一部命令に対する使用を制限する第1の保安政策と、前記クライアントの行動パターンとマッチングされない前記クライアントのデータベースに対するアクセスを制限する第2の保安政策と、を含む、請求項1に記載の保安サーバの作動方法。
  3. 前記確認する段階は、前記データベースシステムのサービス状態を示す状態フラグを参照して確認する請求項1に記載の保安サーバの作動方法。
  4. 前記確認する段階は、前記データベースに保存された累積データ情報、前記データベースについてのログ情報、及び前記データベースシステムに対する要請状態のうちの少なくとも1つに基づいて確認する請求項1に記載の保安サーバの作動方法。
  5. 前記変更する段階は、前記クライアントが、前記データベースと関連した命令のうちの一部命令を使用しないように、前記保安政策を変更する請求項1に記載の保安サーバの作動方法。
  6. 前記判断する段階は、前記命令が、基準データ量を超過するデータの削除、変更または照会を要請する時、前記命令は、前記変更された保安政策を満足していないと判断する請求項1に記載の保安サーバの作動方法。
  7. 前記クライアントの前記データベースシステムに対する接続及びアクセスをモニタリングし、前記モニタリングを通じて獲得された情報に関するログを生成して保存する段階と、
    前記ログに基づいて、前記クライアントの行動パターンを分析する段階と、
    前記クライアントから伝送された前記命令が、前記クライアントの行動パターンとマッチングされるか否かを判断する段階と、
    をさらに含む請求項1に記載の保安サーバの作動方法。
  8. 前記ログは、接続IP情報、ユーザID情報、端末機情報、アプリケーション情報、時間情報、クエリー情報、及び命令情報のうちの少なくとも1つを含む請求項7に記載の保安サーバの作動方法。
  9. 前記命令が、前記クライアントの行動パターンとマッチングされない時、前記クライアントの接続を強制終了させる段階をさらに含む請求項7に記載の保安サーバの作動方法。
  10. データベースシステムで管理されるデータベースと関連した命令をクライアントから受信する通信モジュールと、
    前記命令が前記データベースシステムに送信される前に、前記データベースシステムのサービス状態を確認するサービス状態分析モジュールと、
    前記データベースシステムのサービス状態が変更された場合に、前記データベースシステムに関する保安政策を変更する保安政策管理モジュールと、
    前記データベースシステムに関する保安政策が変更された後、前記クライアントから伝送された前記命令が、前記変更された保安政策を満足するか否かを判断する制御モジュールと、
    前記命令が前記変更された保安政策を満足していない場合に前記命令が処理される前に、前記命令の実行如何に対する確認要請を管理者クライアントに伝送する管理者報知モジュールと、
    を含み、
    前記命令の実行可能な応答に従って、前記命令を、前記データベースを管理するデータベースサーバに送信するか、または前記命令の実行不可能な応答に従って、前記命令を削除し、前記クライアントに、対応するメッセージを送信するように構成されているデータベース保安サーバ
  11. 前記クライアントの前記データベースシステムに対する接続及びアクセスをモニタリングし、前記モニタリングを通じて獲得された情報に関するログを生成して保存するログ生成モジュールと、
    前記ログに基づいて、前記クライアントの行動パターンを分析するユーザ行動分析モジュールと、をさらに含み、
    前記制御モジュールは、前記クライアントから伝送された前記命令が、前記クライアントの行動パターンとマッチングされるか否かを判断し、
    前記サービス状態は、設定された条件によって少なくとも2つ以上の状態に区分され、それぞれの状態で互いに異なる保安政策が適用され、
    前記少なくとも2つ以上の状態は、サービス開始時点を基準に開発状態と実際のサービス状態を含み、
    該実際のサービス状態の保安政策は、前記クライアントに前記データベースに対するアクセスと関連した命令またはクエリーのうちの一部命令に対する使用を制限する第1の保安政策と、前記クライアントの行動パターンとマッチングされない前記クライアントのデータベースに対するアクセスを制限する第2の保安政策と、を含む、請求項10に記載のデータベース保安サーバ
JP2018547246A 2016-01-29 2017-01-06 システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法 Active JP6655731B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020160011807A KR101905771B1 (ko) 2016-01-29 2016-01-29 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 서버와 이의 작동 방법
KR10-2016-0011807 2016-01-29
PCT/KR2017/000204 WO2017131355A1 (ko) 2016-01-29 2017-01-06 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 장치와 이의 작동 방법

Publications (2)

Publication Number Publication Date
JP2019503021A JP2019503021A (ja) 2019-01-31
JP6655731B2 true JP6655731B2 (ja) 2020-02-26

Family

ID=59398442

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2018547246A Active JP6655731B2 (ja) 2016-01-29 2017-01-06 システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法

Country Status (5)

Country Link
US (1) US20190005252A1 (ja)
JP (1) JP6655731B2 (ja)
KR (1) KR101905771B1 (ja)
SG (1) SG11201804011VA (ja)
WO (1) WO2017131355A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11196757B2 (en) 2019-08-21 2021-12-07 International Business Machines Corporation Suspending security violating-database client connections in a database protection system
CN111125728A (zh) * 2019-12-04 2020-05-08 深圳昂楷科技有限公司 一种治理数据库安全问题的方法、装置及治理设备
CN112202727B (zh) * 2020-09-11 2023-01-10 苏州浪潮智能科技有限公司 一种服务端验证用户管理方法、系统、终端及存储介质
CN114640527B (zh) * 2022-03-21 2023-03-24 重庆市规划和自然资源信息中心 基于日志审计的不动产登记业务网络安全风险识别方法及系统
KR102497464B1 (ko) * 2022-10-11 2023-02-08 (주)케이스마텍 보안 강화를 위한 클라우드 hsm 시스템

Family Cites Families (125)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5323444A (en) * 1991-08-16 1994-06-21 U S West Advanced Technologies, Inc. Emergency call system with call capacity/last chance routing feature
US5379337A (en) * 1991-08-16 1995-01-03 U S West Advanced Technologies, Inc. Method and system for providing emergency call service
DE69232542T2 (de) * 1991-09-27 2002-11-21 Bmc Software Inc Definitionsänderungssprache für ein Datenbankrechnersystem
US5410693A (en) * 1994-01-26 1995-04-25 Wall Data Incorporated Method and apparatus for accessing a database
CA2138830A1 (en) * 1994-03-03 1995-09-04 Jamie Joanne Marschner Real-time administration-translation arrangement
JPH08123672A (ja) * 1994-10-26 1996-05-17 Hitachi Ltd 蓄積情報のアクセス管理を行うシステム
US7133845B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. System and methods for secure transaction management and electronic rights protection
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
CN1912885B (zh) * 1995-02-13 2010-12-22 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US6948070B1 (en) * 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US7095854B1 (en) * 1995-02-13 2006-08-22 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US20030191719A1 (en) * 1995-02-13 2003-10-09 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6438544B1 (en) * 1998-10-02 2002-08-20 Ncr Corporation Method and apparatus for dynamic discovery of data model allowing customization of consumer applications accessing privacy data
US6578037B1 (en) * 1998-10-05 2003-06-10 Oracle Corporation Partitioned access control to a database
US6530024B1 (en) * 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6473794B1 (en) * 1999-05-27 2002-10-29 Accenture Llp System for establishing plan to test components of web based framework by displaying pictorial representation and conveying indicia coded components of existing network framework
US6519571B1 (en) * 1999-05-27 2003-02-11 Accenture Llp Dynamic customer profile management
AU6104800A (en) * 1999-07-16 2001-02-05 Intertrust Technologies Corp. Trusted storage systems and methods
US6704873B1 (en) * 1999-07-30 2004-03-09 Accenture Llp Secure gateway interconnection in an e-commerce based environment
US7100195B1 (en) * 1999-07-30 2006-08-29 Accenture Llp Managing user information on an e-commerce system
US6405212B1 (en) * 1999-09-27 2002-06-11 Oracle Corporation Database system event triggers
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US7716077B1 (en) * 1999-11-22 2010-05-11 Accenture Global Services Gmbh Scheduling and planning maintenance and service in a network-based supply chain environment
US6820082B1 (en) * 2000-04-03 2004-11-16 Allegis Corporation Rule based database security system and method
US7225244B2 (en) * 2000-05-20 2007-05-29 Ciena Corporation Common command interface
JP2002007195A (ja) * 2000-06-20 2002-01-11 Fujitsu Ltd アクセス制御システムおよび記録媒体
US20110219035A1 (en) * 2000-09-25 2011-09-08 Yevgeny Korsunsky Database security via data flow processing
US20020073089A1 (en) * 2000-09-29 2002-06-13 Andrew Schwartz Method and system for creating and managing relational data over the internet
US7412721B2 (en) * 2000-12-20 2008-08-12 Fujitsu Limited Method of and system for managing information, and computer product
KR100422327B1 (ko) * 2001-03-09 2004-03-10 문지환 사용자 브라우저의 실시간 제어 시스템 및 방법
US20020157020A1 (en) * 2001-04-20 2002-10-24 Coby Royer Firewall for protecting electronic commerce databases from malicious hackers
US7640006B2 (en) * 2001-10-03 2009-12-29 Accenture Global Services Gmbh Directory assistance with multi-modal messaging
US20030088546A1 (en) * 2001-10-12 2003-05-08 Brown Douglas P. Collecting and/or presenting demographics information in a database system
US7499907B2 (en) * 2001-10-12 2009-03-03 Teradata Us, Inc. Index selection in a database system
US6801903B2 (en) * 2001-10-12 2004-10-05 Ncr Corporation Collecting statistics in a database system
DE60130902T2 (de) * 2001-11-23 2008-07-17 Protegrity Research & Development Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
US8316051B1 (en) * 2001-11-30 2012-11-20 Oralce International Corporation Techniques for adding multiple security policies to a database system
US7685173B2 (en) * 2001-12-13 2010-03-23 International Business Machines Corporation Security and authorization development tools
JP2003216497A (ja) * 2002-01-25 2003-07-31 Casio Comput Co Ltd データベース管理装置及びプログラム
CA2384259A1 (en) * 2002-04-29 2003-10-29 Ibm Canada Limited-Ibm Canada Limitee Access concurrency for cached authorization information in relational database systems
JP4467257B2 (ja) * 2002-06-28 2010-05-26 株式会社日立製作所 データベース管理方法および装置並びにその処理プログラム
US20040030697A1 (en) * 2002-07-31 2004-02-12 American Management Systems, Inc. System and method for online feedback
US7240046B2 (en) * 2002-09-04 2007-07-03 International Business Machines Corporation Row-level security in a relational database management system
US7454785B2 (en) * 2002-12-19 2008-11-18 Avocent Huntsville Corporation Proxy method and system for secure wireless administration of managed entities
US7155612B2 (en) * 2003-04-30 2006-12-26 International Business Machines Corporation Desktop database data administration tool with row level security
JP2004341623A (ja) * 2003-05-13 2004-12-02 Hitachi Ltd セキュリティ仕様書作成支援装置、および、セキュリティ仕様書作成支援方法
JP2005038124A (ja) * 2003-07-18 2005-02-10 Hitachi Information Systems Ltd ファイルアクセス制御方法及び制御システム
US20050039002A1 (en) * 2003-07-29 2005-02-17 International Business Machines Corporation Method, system and program product for protecting a distributed application user
JP4756821B2 (ja) * 2003-11-19 2011-08-24 キヤノン株式会社 文書管理装置及びその制御方法、プログラム
US7506371B1 (en) * 2004-01-22 2009-03-17 Guardium, Inc. System and methods for adaptive behavior based access control
US7711750B1 (en) * 2004-02-11 2010-05-04 Microsoft Corporation Systems and methods that specify row level database security
US7661141B2 (en) * 2004-02-11 2010-02-09 Microsoft Corporation Systems and methods that optimize row level database security
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US8146160B2 (en) * 2004-03-24 2012-03-27 Arbor Networks, Inc. Method and system for authentication event security policy generation
KR100593661B1 (ko) * 2004-04-03 2006-06-26 주식회사 피앤피시큐어 데이터베이스 감시 및 보안 방법 및 장치
US20070180490A1 (en) * 2004-05-20 2007-08-02 Renzi Silvio J System and method for policy management
US7321893B1 (en) * 2004-07-29 2008-01-22 Emc Corporation System and method for the configuration of resources in resource groups
US7383430B1 (en) * 2004-07-29 2008-06-03 Emc Corporation System and method for validating resource groups
US7398471B1 (en) * 2004-07-29 2008-07-08 Emc Corporation System and method for the administration of resource groups
US7814075B2 (en) * 2004-12-30 2010-10-12 Oracle International Corporation Dynamic auditing
US8732856B2 (en) * 2004-12-30 2014-05-20 Oracle International Corporation Cross-domain security for data vault
US7593942B2 (en) * 2004-12-30 2009-09-22 Oracle International Corporation Mandatory access control base
US7814076B2 (en) * 2004-12-30 2010-10-12 Oracle International Corporation Data vault
US7831570B2 (en) * 2004-12-30 2010-11-09 Oracle International Corporation Mandatory access control label security
US7962513B1 (en) * 2005-10-31 2011-06-14 Crossroads Systems, Inc. System and method for defining and implementing policies in a database system
US8180762B2 (en) * 2005-12-13 2012-05-15 International Business Machines Corporation Database tuning methods
US20070208857A1 (en) * 2006-02-21 2007-09-06 Netiq Corporation System, method, and computer-readable medium for granting time-based permissions
JP4904886B2 (ja) * 2006-03-30 2012-03-28 富士通株式会社 保守プログラムおよび保守方法
US8924335B1 (en) * 2006-03-30 2014-12-30 Pegasystems Inc. Rule-based user interface conformance methods
US7853624B2 (en) * 2006-05-02 2010-12-14 International Business Machines Corporation System and method for optimizing distributed and hybrid queries in imperfect environments
US20080022386A1 (en) * 2006-06-08 2008-01-24 Shevchenko Oleksiy Yu Security mechanism for server protection
US8768966B2 (en) * 2006-09-04 2014-07-01 Db Maestro Ltd. Method for managing simultaneous modification of database objects during development
US20080120286A1 (en) * 2006-11-22 2008-05-22 Dettinger Richard D Method and system for performing a clean operation on a query result
US8027993B2 (en) * 2006-12-28 2011-09-27 Teradota Us, Inc. Techniques for establishing and enforcing row level database security
US7831621B1 (en) * 2007-09-27 2010-11-09 Crossroads Systems, Inc. System and method for summarizing and reporting impact of database statements
US8234299B2 (en) * 2008-01-11 2012-07-31 International Business Machines Corporation Method and system for using fine-grained access control (FGAC) to control access to data in a database
US8886564B2 (en) * 2008-09-16 2014-11-11 Ca, Inc. Program for resource security in a database management system
CN101854340B (zh) * 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US20100287597A1 (en) * 2009-05-07 2010-11-11 Microsoft Corporation Security policy trigger for policy enforcement
KR101039698B1 (ko) * 2009-06-12 2011-06-08 (주)소만사 애플리케이션을 경유한 db접근을 보호하기 위한 데이터베이스 보안 시스템, 서버 및 방법
US20100325685A1 (en) * 2009-06-17 2010-12-23 Jamie Sanbower Security Integration System and Device
WO2011115839A2 (en) * 2010-03-15 2011-09-22 DynamicOps, Inc. Computer relational database method and system having role based access control
WO2011126911A1 (en) * 2010-03-30 2011-10-13 Authentic8, Inc Disposable browsers and authentication techniques for a secure online user environment
US20120110011A1 (en) * 2010-10-29 2012-05-03 Ihc Intellectual Asset Management, Llc Managing application access on a computing device
US8578487B2 (en) * 2010-11-04 2013-11-05 Cylance Inc. System and method for internet security
AU2011332881B2 (en) * 2010-11-24 2016-06-30 LogRhythm Inc. Advanced intelligence engine
US9780995B2 (en) * 2010-11-24 2017-10-03 Logrhythm, Inc. Advanced intelligence engine
KR101226693B1 (ko) * 2010-12-03 2013-01-25 주식회사 웨어밸리 접근 제어 시스템으로 가상 패치하여 공개된 보안 취약점을 제거하는 데이터베이스 보안 관리 방법
KR101134091B1 (ko) * 2011-01-12 2012-04-13 주식회사 피앤피시큐어 데이터베이스로의 우회 접근을 방지하는 데이터베이스 보안시스템
EP2689353B1 (en) * 2011-03-22 2019-11-06 Informatica LLC System and method for data masking
SG11201403482TA (en) * 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management
US9286475B2 (en) * 2012-02-21 2016-03-15 Xerox Corporation Systems and methods for enforcement of security profiles in multi-tenant database
US20130227352A1 (en) * 2012-02-24 2013-08-29 Commvault Systems, Inc. Log monitoring
US9264395B1 (en) * 2012-04-11 2016-02-16 Artemis Internet Inc. Discovery engine
US9264449B1 (en) * 2012-05-01 2016-02-16 Amazon Technologies, Inc. Automatic privilege determination
US9177172B2 (en) * 2012-11-15 2015-11-03 Microsoft Technology Licensing, Llc Single system image via shell database
US20140230070A1 (en) * 2013-02-14 2014-08-14 Microsoft Corporation Auditing of sql queries using select triggers
WO2014151061A2 (en) * 2013-03-15 2014-09-25 Authentic8, Inc. Secure web container for a secure online user environment
US9426226B2 (en) * 2013-05-03 2016-08-23 Secureworks Corp. System and method for as needed connection escalation
US10481981B2 (en) * 2013-06-19 2019-11-19 Virtual Forge GmbH System and method for automatic correction of a database configuration in case of quality defects
US9251355B2 (en) * 2013-07-30 2016-02-02 International Business Machines Corporation Field level database encryption using a transient key
US20150142852A1 (en) * 2013-11-15 2015-05-21 Anett Lippert Declarative authorizations for sql data manipulation
US9350714B2 (en) * 2013-11-19 2016-05-24 Globalfoundries Inc. Data encryption at the client and server level
US9740870B1 (en) * 2013-12-05 2017-08-22 Amazon Technologies, Inc. Access control
US9692789B2 (en) * 2013-12-13 2017-06-27 Oracle International Corporation Techniques for cloud security monitoring and threat intelligence
US10757133B2 (en) * 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US9866581B2 (en) * 2014-06-30 2018-01-09 Intuit Inc. Method and system for secure delivery of information to computing environments
TW201537378A (zh) * 2014-03-31 2015-10-01 Ibm 電腦裝置以及與電腦裝置通訊連結的安全性管理裝置
SG10201913041VA (en) * 2014-04-17 2020-03-30 Ab Initio Technology Llc Integrated monitoring and control of processing environment
US9613224B2 (en) * 2014-06-25 2017-04-04 Oracle International Corporation Integrating a user's security context in a database for access control
US10049205B2 (en) * 2014-06-25 2018-08-14 Oracle International Corporation Asserting identities of application users in a database system based on delegated trust
US9882930B2 (en) * 2014-07-02 2018-01-30 Waratek Limited Command injection protection for java applications
US20160180248A1 (en) * 2014-08-21 2016-06-23 Peder Regan Context based learning
US10438008B2 (en) * 2014-10-30 2019-10-08 Microsoft Technology Licensing, Llc Row level security
SG11201703004XA (en) * 2014-11-05 2017-05-30 Ab Initio Technology Llc Database security
US10122757B1 (en) * 2014-12-17 2018-11-06 Amazon Technologies, Inc. Self-learning access control policies
US10108791B1 (en) * 2015-03-19 2018-10-23 Amazon Technologies, Inc. Authentication and fraud detection based on user behavior
EP3295359B1 (en) * 2015-05-15 2020-08-26 Virsec Systems, Inc. Detection of sql injection attacks
US10043006B2 (en) * 2015-06-17 2018-08-07 Accenture Global Services Limited Event anomaly analysis and prediction
EP3320447A4 (en) * 2015-07-07 2019-05-22 Private Machines Inc. REMOVABLE, SHARABLE, SECURE REMOTE STORAGE SYSTEM AND METHOD THEREOF
US10587671B2 (en) * 2015-07-09 2020-03-10 Zscaler, Inc. Systems and methods for tracking and auditing changes in a multi-tenant cloud system
US10454963B1 (en) * 2015-07-31 2019-10-22 Tripwire, Inc. Historical exploit and vulnerability detection
US20170093910A1 (en) * 2015-09-25 2017-03-30 Acalvio Technologies, Inc. Dynamic security mechanisms
US20170178025A1 (en) * 2015-12-22 2017-06-22 Sap Se Knowledge base in enterprise threat detection
US10565214B2 (en) * 2017-03-22 2020-02-18 Bank Of America Corporation Intelligent database control systems with automated request assessments

Also Published As

Publication number Publication date
WO2017131355A1 (ko) 2017-08-03
KR101905771B1 (ko) 2018-10-11
SG11201804011VA (en) 2018-06-28
US20190005252A1 (en) 2019-01-03
KR20170090874A (ko) 2017-08-08
JP2019503021A (ja) 2019-01-31

Similar Documents

Publication Publication Date Title
JP6655731B2 (ja) システム環境及びユーザ行動分析基盤の自己防御保安装置とその作動方法
US11544154B2 (en) Systems and methods for monitoring distributed database deployments
US10673866B2 (en) Cross-account role management
US10567381B1 (en) Refresh token for credential renewal
US9081978B1 (en) Storing tokenized information in untrusted environments
US20190073483A1 (en) Identifying sensitive data writes to data stores
WO2016034068A1 (zh) 一种敏感信息处理方法、装置、服务器及安全判定系统
US20100235495A1 (en) Methods and systems for reducing a load on a multi-tenant database
US11379601B2 (en) Detection of sensitive database information
US11829796B2 (en) Automated rollback
US10333918B2 (en) Automated system identification, authentication, and provisioning
US11720825B2 (en) Framework for multi-tenant data science experiments at-scale
EP3471010B1 (en) Generic runtime protection for transactional data
US8897451B1 (en) Storing secure information using hash techniques
CN102316152A (zh) 分布式服务授权管理
US11416631B2 (en) Dynamic monitoring of movement of data
CN114422197A (zh) 一种基于策略管理的权限访问控制方法及系统
US10721236B1 (en) Method, apparatus and computer program product for providing security via user clustering
CN113342775A (zh) 基于云的计算环境中的集中式多租户即服务
EP3704844B1 (en) Data generation for data protection
US20220255970A1 (en) Deploying And Maintaining A Trust Store To Dynamically Manage Web Browser Extensions On End User Computing Devices
KR20180109823A (ko) 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 장치와 이의 작동 방법
US11334557B2 (en) Method and system for deriving metadata characteristics of derivative assets
US20240184914A1 (en) Multiple synonymous identifiers in data privacy integration protocols
JP7268742B2 (ja) ポリシー評価装置、制御方法、及びプログラム

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20180529

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20190410

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20190521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190819

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20200128

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200203

R150 Certificate of patent or registration of utility model

Ref document number: 6655731

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

S631 Written request for registration of reclamation of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313631

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250