KR100995582B1 - 대량 데이터 유출 방지를 통한 db 보안방법 및 장치 - Google Patents

대량 데이터 유출 방지를 통한 db 보안방법 및 장치 Download PDF

Info

Publication number
KR100995582B1
KR100995582B1 KR1020080075667A KR20080075667A KR100995582B1 KR 100995582 B1 KR100995582 B1 KR 100995582B1 KR 1020080075667 A KR1020080075667 A KR 1020080075667A KR 20080075667 A KR20080075667 A KR 20080075667A KR 100995582 B1 KR100995582 B1 KR 100995582B1
Authority
KR
South Korea
Prior art keywords
client
server
result data
amount
query
Prior art date
Application number
KR1020080075667A
Other languages
English (en)
Other versions
KR20100013918A (ko
Inventor
이창하
Original Assignee
주식회사 바넷정보기술
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 바넷정보기술 filed Critical 주식회사 바넷정보기술
Priority to KR1020080075667A priority Critical patent/KR100995582B1/ko
Publication of KR20100013918A publication Critical patent/KR20100013918A/ko
Application granted granted Critical
Publication of KR100995582B1 publication Critical patent/KR100995582B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/3089Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents
    • G06F11/3096Monitoring arrangements determined by the means or processing involved in sensing the monitored data, e.g. interfaces, connectors, sensors, probes, agents wherein the means or processing minimize the use of computing system or of computing system component resources, e.g. non-intrusive monitoring which minimizes the probe effect: sniffing, intercepting, indirectly deriving the monitored data from other directly available data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/23Updating
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/27Replication, distribution or synchronisation of data between databases or within a distributed database system; Distributed database system architectures therefor

Abstract

대량 데이터 유출 방지를 통한 DB 보안방법 및 장치가 제공된다. 본 DB 보안방법은, DB-서버에서 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량이 기준 분량을 초과하는 것으로 판단되면, DB-클라이언트와 DB-서버의 세션을 강제로 종료시킨다. 이에 의해, 부정한 목적으로 DB에서 대량의 데이터를 유출하려는 시도를 실시간으로 감시함은 물론, 데이터가 대량으로 유출되는 것을 방지할 수 있게 된다.
Figure R1020080075667
DB, 보안, 데이터, 중계, 스니핑, 세션, 강제 종료

Description

대량 데이터 유출 방지를 통한 DB 보안방법 및 장치{DB security method and apparatus for mass data loss prevention}
본 발명은 DB 보안방법 및 장치에 관한 것으로, 더욱 상세하게는 DB에 수록되어 있는 데이터가 부정한 목적으로 외부로 유출되는 것을 방지하기 위한 보안방법 및 장치에 관한 것이다.
최근 정보통신 기술이 급속도로 발전되고 웹을 이용한 서비스가 널리 보급되어 사용되고 있다. 이러한 모든 서비스 제공을 위해서는 각 공급자는 대량의 고객정보를 DB에 관리하고 있으며 이를 기반으로 금융, 쇼핑, 교육 등 다양한 지식기반 컨텐츠를 유통시키고 있다.
반면, 네트워크상에 오픈되어 있는 이러한 웹 서비스의 취약성을 공격하여 비인가된 자가 DB에 수록되어 있는 데이터에 접근하려는 비정상적인 시도를 위한 기술은 다양화되고 고급화됨으로써 웹보안 등의 보안 시스템만으로는 완전한 보안이 불가능한 것이 현실이다.
이는 최근에 심각한 사회적 문제를 일으켰었던 국내 유명 경매사이트의 대규모 해킹 사건을 통해 현실로 나타났다.
한편, 최근 보고되고 있는 웹 어플리케이션의 취약성을 이용한 공격의 대표적인 방법 중 하나인 SQL Injection은, 웹 어플리케션이 요구하는 입력 데이터에 SQL명령어의 일 부분을 입력하여 특정 데이터를 조회하는 어플리케이션의 검색조건 오류를 발생시킴으로써 대량의 데이터를 유출할 수 있도록 시도하는 공격의 유형으로써, 웹보안 시스템 등이 이에 대응하기 위한 기능을 구현하고 있으나 다양한 공격시도에 대하여 가능성을 줄일 수 있을 뿐, 완전한 대응은 불가능한 실정이다.
이때, 웹 어플리케이션은 DB에 대량의 데이터를 조회하는 SQL을 실행하게 되며, DB는 이에 대하여 대량의 데이터를 반환하게 된다. 이러한 어플리케이션의 논리적 오류를 발생시키는 공격에 대응하기 위해서는 새로운 방식의 대량데이터 유출을 방지하기 위한 기술이 절실히 요구된다.
반면, 기존의 데이터베이스 보안 솔루션의 경우 외부망에 오픈되어 있는 웹서비스의 취약성 공격으로 인한 대량 데이터 유출을 방지할 수 있는 제품이 전무하고, 모두 내부망에서 Golden, sqlplus, toad 등의 2-Tier 비정형 어플리케이션으로 DB에 직접 접속하여 특정 데이터를 조회하는 행위에 대하여 IP대역이나 DB계정, 접속시간 등의 요소를 기준으로 접근을 통제하고 접근 이력을 로깅하여 사후감사에 대비하기 위한 시스템으로 구현되어 있는 것이 현실이다.
본 발명은 상기와 같은 문제점을 해결하기 위하여 안출된 것으로서, 본 발명의 목적은, DB 보안의 패러다임을 접근통제 및 사후감사의 차원에서 실현 가능하도 록 외부로부터의 해킹공격 등으로 인한 대량의 고객정보 유출을 탐지하기 위한 DB 보안방법 및 장치를 제공함에 있다.
본 발명의 다른 목적은, 1차적인 보안시스템이 처리하지 못한 해킹시도에 대하여 최종적으로 고객정보를 저장하는 DB의 앞단에서 대량의 데이터유출을 2차적으로 탐지하고 차단함으로써 대량의 고객데이터를 한번에 유출하는 것을 방지하기 위한 DB 보안방법 및 장치를 제공함에 있다.
한편, 본 발명의 또 다른 목적은, DB가 연동되어 있는 네트워크 구간에 Gateway 또는 Sniffing 방식으로 수집된 패킷을 분석하여 사용자의 요청 내용과 DB 서버의 응답 패킷을 실시간 분석하여 대량데이터 조회를 탐지하기 위한 DB 보안방법 및 장치를 제공함에 있다.
상기 목적을 달성하기 위한 본 발명에 따른, DB 보안방법은, DB-클라이언트의 DB 조회요청에 응답으로, DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량을 측정하는 단계; 상기 측정단계에서 측정된 DB 조회결과 데이터의 분량이 기준 분량을 초과하는지 판단하는 단계; 및 상기 판단단계에서 상기 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션을 강제로 종료시키는 단계;를 포함한다.
그리고, 상기 측정 단계는, 상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량을 측정하고, 상기 판단단계는, 상기 측정단계에서 측정된 상기 현재까지 전달된 DB 조회결과 데이터의 분량이 기준 분량을 초 과하는지 판단하는 것이 바람직하다.
또한, 상기 DB 조회결과 데이터는, 다수의 패킷으로 분할되어 상기 DB-서버에서 상기 DB-클라이언트로 전달되고, 상기 측정 단계는, 상기 DB-서버에서 상기 DB-클라이언트로 전달되는 패킷의 크기를 측정하고 측정되는 패킷의 크기를 누적시킨 누적값을 상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량으로 측정하는 것이 바람직하다.
그리고, 상기 DB 조회결과 데이터는, 다수의 패킷으로 분할되어 상기 DB-서버에서 상기 DB-클라이언트로 전달되고, 상기 측정 단계는, 상기 DB-서버에서 상기 DB-클라이언트로 전달되는 패킷에 수록되어 있는 Row의 개수를 측정하고, 측정되는 Row의 개수를 누적시킨 누적값을 상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량으로 측정할 수 있다.
또한, 본 DB 보안방법은, 상기 DB-서버에서 출력되는 상기 DB 조회결과 데이터를 수신하고, 수신된 상기 DB 조회결과 데이터를 상기 DB-클라이언트로 전달하는 단계;를 더 포함하고, 상기 측정 단계는, 상기 전달 단계에서 수신되는 상기 DB 조회결과 데이터의 분량을 측정할 수 있다.
그리고, 본 DB 보안방법은, 상기 DB-서버에서 상기 DB-클라이언트로 전달되는 상기 DB 조회결과 데이터를 스니핑하는 단계;를 더 포함하고, 상기 측정 단계는, 상기 스니핑 단계에서 스니핑된 상기 DB 조회결과 데이터의 분량을 측정할 수 있다.
또한, 본 DB 보안방법은, 상기 DB 조회요청을 전송한 상기 DB-클라이언트의 어플리케이션에 대한 정보를 추출하는 단계; 및 추출된 상기 어플리케이션에 대한 정보를 기초로, 상기 기준 분량을 설정하는 단계;를 더 포함할 수 있다.
그리고, 본 DB 보안방법은, 상기 판단단계에서 상기 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 초과 사실에 대한 정보를 기록하거나 관리자에게 전달하는 단계;를 더 포함할 수 있다.
한편, 본 발명에 따른, DB 보안장치는, DB-클라이언트와 DB-서버의 클라이언트의 세션을 종료시킬 수 있는 통신 모듈; 및 상기 DB-클라이언트의 DB 조회요청에 응답으로, 상기 DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량이 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션이 강제로 종료되도록 상기 통신 모듈을 제어하는 제어 모듈;를 포함한다.
한편, 본 발명에 따른, 컴퓨터로 읽을 수 있는 기록매체에는, DB-클라이언트의 DB 조회요청에 응답으로, DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량을 측정하는 단계; 상기 측정단계에서 측정된 DB 조회결과 데이터의 분량이 기준 분량을 초과하는지 판단하는 단계; 및 상기 판단단계에서 상기 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션을 강제로 종료시키는 단계;를 포함하는 것을 특징으로 하는 DB 보안방법을 수행할 수 있는 프로그램이 기록된다.
이상 설명한 바와 같이, 본 발명에 따르면, DB 보안의 패러다임을 접근통제 및 사후감사의 차원에서 외부로부터의 해킹공격 등으로 인한 대량의 고객정보 유출을 탐지할 수 있게 된다.
또한, 1차적인 보안시스템이 처리하지 못한 해킹시도에 대하여 최종적으로 고객정보를 저장하는 DB의 앞단에서 대량의 데이터 유출을 2차적으로 탐지하고 차단함으로써 대량의 고객데이터를 한번에 유출하는 것을 방지할 수 있게 된다.
아울러, DB가 연동되어 있는 네트워크 구간에 Gateway 또는 Sniffing 방식으로 수집된 패킷을 분석하여 사용자의 요청 내용과 DB 서버의 응답 패킷을 실시간 분석하여 대량데이터 조회를 탐지할 수 있게 된다.
이하에서는 도면을 참조하여 본 발명을 보다 상세하게 설명한다.
도 1은 본 발명의 일 실시예에 따른, Gateway 방식의 DB 보안 서버의 개념을 도시한 도면이다. 본 실시예에 따른 DB 보안 서버(100)는 보안이 요구되는 DB-서버(20)에서 대량 데이터 유출 시도가 있는지를 탐지하고, 이를 차단한다.
도 1에서는 이해와 설명의 편의를 위해, 본 실시예에 따른 DB 보안서버(100) 외에, DB-클라이언트(10), DB-서버(20), 관리자-클라이언트(30) 및 정책/로그 저장 DB(35)를 더 도시하였다.
DB-클라이언트(10)는 SQL(Structured Query Language)를 이용하여 DB-서버(20)에 DB 조회를 요청한다. DB 조회요청에 응답으로, DB-서버(20)는 DB 조회결과를 생성하여 DB-클라이언트(10)에 전달한다.
관리자-클라이언트(30)는 관리자가 보안정책들을 입력/관리하고, 적발된 보 안정책 위반사실을 관리자에게 알리기 위한 수단이다. 보안정책들(특히, 조회가능한 데이터의 크기)은 사용자의 IP 주소, 어플리케이션, DB계정 등을 기초로 각기 다르게 결정된다. 예를 들어, 다량의 DB 조회가 빈번한 어플리케이션에 대한 조회가능한 데이터의 크기는, 주로 소량의 DB 조회가 빈번한 어플리케이션에 대한 조회가능한 데이터의 크기 보다 크게 설정하는 것이 가능하다. 정책/로그 저장 DB(35)는 관리자의 보안정책들이 저장되는 DB이다.
한편, 본 실시예에 따른 DB 보안서버(100)는 도 1에 도시된 바와 같이, 통신중계 모듈(110), DBMS-프로토콜 분석 모듈(120), 제어 모듈(130), 관리자통보 모듈(140), 로그생성 모듈(150), 정책제공 모듈(160) 및 보안관리 모듈(170)을 구비한다.
통신중계 모듈(110)은 DB-클라이언트(10)와 DB-서버(20)를 통신가능하도록 연결하는 Gateway로 기능하는 통신 관련 모듈의 일종이다. 이를 위해, DB-클라이언트(10)는 네트워크(N)를 통해 통신중계 모듈(110)에 소켓 통신 가능하도록 연결되고, 통신중계 모듈(110)은 DB-서버(20)의 리스너와 통신가능하도록 연결된다.
이에 따라, 통신중계 모듈(110)은 DB-클라이언트(10)가 전송하는 접속요청을 DB-서버(20)로 전달한다.
또한, 통신중계 모듈(110)은 SQL로 작성된 DB-클라이언트(10)의 DB 조회요청을 수신하여 DB-서버(20)로 전달하고, DB 조회요청에 대한 응답인 DB-서버(20)의 DB 조회결과를 수신하여 DB-클라이언트(10)로 전달한다.
한편, 통신중계 모듈(110)은 DB-클라이언트(10)와 DB-서버(20) 간에 전달되 는, 접속요청, DB 조회요청 및 DB 조회결과를 DBMS-프로토콜 분석 모듈(120)에도 전달한다.
또한, 통신중계 모듈(110)은 DB-클라이언트(10)와 DB-서버(20)의 세션을 강제로 종료시킬 수 있다. 구체적으로, 통신중계 모듈(110)은 DB-클라이언트(10)와의 소켓 통신을 차단하여, DB-클라이언트(10)와 DB-서버(20)의 세션을 강제로 종료시킬 수 있다.
DBMS-프로토콜 분석 모듈(120)은 통신중계 모듈(110)을 통해 전달되는 접속요청, DB 조회요청 및 DB 조회결과를 분석하여 필요한 정보를 추출한다.
구체적으로, DBMS-프로토콜 분석 모듈(120)은 접속요청을 분석하여, 1) DB-클라이언트(10)를 사용하는 사용자의 DB계정과 2) DB 조회요청을 전송한 DB-클라이언트(10)의 어플리케이션에 대한 정보를 추출한다.
또한, DBMS-프로토콜 분석 모듈(120)은 DB 조회요청에 수록되어 있는 SQL로 작성된 DB 조회내용을 추출한다.
한편, DB 조회결과 데이터는 DB-서버(20)에서 DB-클라이언트(10)로 한번에 전달될 수 없고, 다수의 패킷으로 분할되어 전달된다.
이때, DBMS-프로토콜 분석 모듈(120)은 DB-서버(20)에서 DB-클라이언트(10)로 패킷이 전달될 때마다, 전달되는 패킷의 크기에 대한 정보를 추출한다.
DBMS-프로토콜 분석 모듈(120)은 추출한 정보들을 후술할 제어 모듈(130)로 전달한다.
관리자통보 모듈(140)은 보안정책 위반 적발 사실을 보안관리 모듈(170)을 통해 관리자-클라이언트(30)로 전달한다. 그러면, 관리자-클라이언트(30)는 보안관리 모듈(170)을 통해 관리자통보 모듈(140)로부터 전달받은 보안정책 위반사실을 GUI를 이용하여 팝업으로 관리자에게 알린다.
로그생성 모듈(150)은 보안정책을 위반한 내역, 일시, 조회내용, 전송된 DB 조회결과, 대응조치 등이 수록된 로그 파일을 생성하여, 정책/로그 저장 DB(35)에 저장한다.
정책제공 모듈(160)은 정책/로그 저장 DB(35)에 저장되어 있는 보안정책을 제어 모듈(130)에 제공한다.
보안관리 모듈(170)은 관리자-클라이언트(30)로부터 전달받은 관리자의 보안정책을 정책/로그 저장 DB(35)에 저장한다. 또한, 보안관리 모듈(170)은 정책/로그 저장 DB(35)에 저장된 보안정책, 로그 파일을 관리자-클라이언트(30)로 전송할 수도 있다. 그러면, 관리자-클라이언트(30)는 보안관리 모듈(170)로부터 전달받은 보안정책 및 로그 파일에 수록된 내용을 GUI를 이용하여 팝업으로 관리자에게 알릴 수 있다.
한편, 관리자는 관리자-클라이언트(30) 외에도 보안관리 모듈(170)을 통해 보안정책을 입력할 수도 있다. 이 경우, 보안관리 모듈(170)는 관리자가 입력한 보안정책을 정책/로그 저장 DB(35)에 저장한다.
제어 모듈(130)은 DB-클라이언트(10)가 DB-서버(20)로 요청하는 DB 조회가 보안정책에 위반된 것으로 판단된 경우, 이를 차단하기 위한 대응조치를 수행하는데, 이하에서 도 2를 참조하여 상세히 설명한다.
보안정책은 1) 위반조건과 2) 위반시 대응조치로 구성되는데, 이하에서 이해의 편의를 위해, 1) 위반조건은 'DB 조회결과 데이터 패킷의 누적 크기가 기준을 초과한 경우'로 상정하고, 2) 위반시 대응조치는 '세션 강제 종료 및 관리자 통보'로 상정한다.
도 2에 도시된 바와 같이, 먼저 DB-클라이언트(10)로부터 접속요청이 수신되면(S205-Y), 통신중계 모듈(110)은 수신된 접속요청을 DB-서버(20)로 전달한다(S210).
한편, DBMS-프로토콜 분석 모듈(120)은 통신중계 모듈(110)로부터 DB-클라이언트(10)의 접속요청을 전달받고, 전달받은 접속요청에서 사용자의 DB계정, IP 주소 및 어플리케이션에 대한 정보를 추출한다(S215).
그러면, 제어 모듈(130)은 추출된 DB계정, IP 주소 및 어플리케이션에 해당하는 보안정책을 로딩하도록 정책제공 모듈(160)을 제어한다(S220).
이후, DB-클라이언트(10)로부터 DB 조회요청이 수신되면(S225-Y), 통신중계 모듈(110)은 수신된 DB 조회요청을 DB-서버(20)로 전달한다(S230).
한편, DBMS-프로토콜 분석 모듈(120)은 통신중계 모듈(110)로부터 DB-클라이언트(10)의 DB 조회요청을 전달받고, 전달받은 DB 조회요청에서 DB 조회내용을 추출하여 제어 모듈(130)로 전달한다(S235).
DB-클라이언트(10)의 DB 조회요청에 대한 DB 조회결과 데이터는 다수의 패킷으로 분할되어 DB-서버(20)에서 DB-클라이언트(10)로 전달된다.
DB-서버(20)로부터 DB 조회결과 데이터 패킷이 수신되면(S240-Y), 통신중계 모듈(110)은 수신된 DB 조회결과 데이터 패킷을 DB-클라이언트(10)로 전달한다(S245).
한편, DBMS-프로토콜 분석 모듈(120)은 통신중계 모듈(110)로부터 DB-클라이언트(10)로 전달되는 DB 조회결과 데이터 패킷을 전달받고, 전달받은 DB 조회결과 데이터 패킷의 크기에 대한 정보를 추출하여 제어 모듈(130)로 전달한다(S250).
그러면, 제어 모듈(130)은 DB 조회결과 데이터 패킷의 크기를 누적시키고(S255), 누적된 크기가 기준 크기를 초과하는지 여부를 판단한다(S260).
S255단계와 S260단계는 현재까지 DB-서버(20)에서 DB-클라이언트(10)로 전달된 DB 조회결과 데이터의 분량이 대량인지 여부를 판단함으로써, DB-서버(20)에서 DB-클라이언트(10)로 대량의 DB 조회결과 데이터 유출이 있었는지를 감시하는 절차에 해당한다.
여기서, 기준 크기는 DB의 종류와 DB의 보안 정도에 따라 설정할 수 있다. 예를 들어, 높은 보안이 요구되는 DB의 경우는 기준 크기를 작게 설정하고, 낮은 보안이 요구되는 DB의 경우는 기준 크기를 크게 설정할 수 있다.
S260단계에서 누적 크기가 기준 크기를 초과하는 것으로 판단되면(S260-Y), 제어 모듈(130)은 DB-클라이언트(10)와 DB-서버(20)의 세션을 강제로 종료시키도록, 통신중계 모듈(110)을 제어한다(S265).
이에 따라, 통신중계 모듈(110)은 DB-클라이언트(10)와 DB-서버(20)의 세션을 강제로 종료시킨다.
그리고, 제어 모듈(130)은 보안정책 위반사실이 적발되었음을 관리자-클라이 언트(30)로 통보하도록, 관리자통보 모듈(140)을 제어한다(S270). 이에 따라, 관리자는 관리자-클라이언트(30)를 통해 보안정책 위반사실을 인지하게 된다.
한편, 제어 모듈(130)은 보안정책 위반사실에 대한 로그 파일을 생성하여 정책/로그 저장 DB(35)에 저장하도록 로그생성 모듈(150)을 제어한다(S275).
로그 파일에는 보안정책을 위반한 내역, 일시, 전송된 DB 조회결과, 대응조치 등이 수록된다. 여기서, 1) 보안정책을 위반한 내역에는, 대량의 DB 데이터 조회가 있었다는 사실, S215단계에서 추출된 사용자의 DB계정, DB-클라이언트(10) 및 DB-서버(20)에 대한 정보가 수록되고, 2) 일시에는, S205단계의 접속요청이 수신된 시점, S225단계의 DB 조회요청이 수신된 시점 및 S260단계에서 누적 크기가 기준 크기를 초과한 시점에 대한 정보들이 수록되며, 3) 조회내용에는 S235단계에서 추출한 DB 조회내용에 대한 정보가 수록되고, 4) 전송된 DB 조회결과에에는 S255단계를 통해 현재까지 누적된 크기에 대한 정보가 수록되며, 5) 대응조치에는 S265단계에서 수행된 세션 강제 종료, S270단계에서 수행된 보안정책 위반사실 통보에 대한 정보가 수록된다.
이후에, 관리자-클라이언트(30)는 로그생성 모듈(150)에 의해 생성되어 정책/로그 저장 DB(35)에 저장된 로그 파일을 보안관리 모듈(170)에 요청할 수 있다.
한편, S260단계에서 누적 크기가 기준 크기를 초과하지 않는 것으로 판단되면(S260-N), 제어 모듈(130)은 DB 조회결과 데이터 전달이 완료되었는지 여부를 판단한다(S280).
S280단계에서 DB 조회결과 데이터 전달이 완료된 것으로 판단되면(S280-Y), 절차가 종료된다. 하지만, S280단계에서 DB 조회결과 데이터 전달이 완료되지 않은 것으로 판단되면(S280-N), S240단계부터 반복된다.
도 3은 본 발명의 다른 실시예에 따른, 스니핑(Sniffing) 방식의 DB 보안 서버의 개념을 도시한 도면이다. 본 실시예에 따른 DB 보안 서버(300)는 보안이 요구되는 DB-서버(50)에서 대량 데이터 유출 시도가 있는지를 탐지하고, 이를 차단한다.
도 3에서는 이해와 설명의 편의를 위해, 본 실시예에 따른 DB 보안서버(300) 외에, DB-클라이언트(40), DB-서버(50), 관리자-클라이언트(60) 및 정책/로그 저장 DB(65)를 더 도시하였다.
DB-클라이언트(40)와 DB-서버(50)는 네트워크(N)를 통해 상호 통신가능하도록 연결된다. DB-클라이언트(40)는 SQL를 이용하여 DB-서버(50)에 DB 조회를 요청한다. DB 조회요청에 응답으로, DB-서버(50)는 DB 조회결과를 생성하여 DB-클라이언트(40)에 전달한다.
관리자-클라이언트(60)는 관리자가 보안정책들을 입력/관리하고, 적발된 보안정책 위반사실을 관리자에게 알리기 위한 수단이다. 보안정책들(특히, 조회가능한 데이터량)은 사용자의 IP 주소, 어플리케이션, DB계정을 기초로 각기 다르게 결정된다. 예를 들어, 다량의 DB 조회가 빈번한 어플리케이션에 대한 조회가능한 데이터의 크기는, 주로 소량의 DB 조회가 빈번한 어플리케이션에 대한 조회가능한 데이터의 크기 보다 크게 설정하는 것이 가능하다. 정책/로그 저장 DB(65)는 관리자의 보안정책들이 저장되는 DB이다.
한편, 본 실시예에 따른 DB 보안서버(300)는 도 3에 도시된 바와 같이, 스니핑 모듈(305), 세션제어 모듈(310), DBMS-프로토콜 분석 모듈(320), 제어 모듈(330), 관리자통보 모듈(340), 로그생성 모듈(350), 정책제공 모듈(360) 및 보안관리 모듈(370)을 구비한다.
스니핑 모듈(305)은 네트워크(N)를 통해 DB-클라이언트(40)와 DB-서버(50) 간에 전달되는 정보를 스니핑하여 DBMS-프로토콜 분석 모듈(320)로 전달하는 통신 관련 모듈의 일종이다.
구체적으로, 스니핑 모듈(305)은 DB-클라이언트(40)와 DB-서버(50) 간에 전달되는, 접속요청, DB 조회요청 및 DB 조회결과를 스니핑하여 DBMS-프로토콜 분석 모듈(320)에 전달한다.
세션제어 모듈(310)은 후술할 제어 모듈(330)의 제어에 따라, DB-클라이언트(40)와 DB-서버(50)의 세션을 강제로 종료시키는 통신 관련 모듈의 일종이다. 구체적으로, 세션제어 모듈(310)은 TCP_RESET 패킷을 생성하여 DB-클라이언트(40)와 DB-서버(50)에 전송함으로서, DB-클라이언트(40)와 DB-서버(50)의 세션을 강제로 종료시킬 수 있다.
DBMS-프로토콜 분석 모듈(320)은 스니핑 모듈(305)을 통해 전달되는 접속요청, DB 조회요청 및 DB 조회결과를 분석하여 필요한 정보를 추출한다.
구체적으로, DBMS-프로토콜 분석 모듈(320)은 접속요청을 분석하여, 1) DB-클라이언트(40)를 사용하는 사용자의 DB계정과 2) DB 조회요청을 전송한 DB-클라이언트(40)의 어플리케이션에 대한 정보를 추출한다.
또한, DBMS-프로토콜 분석 모듈(320)은 DB 조회요청에 수록되어 있는 SQL로 작성된 DB 조회내용을 추출한다.
한편, DB 조회결과 데이터는 DB-서버(50)에서 DB-클라이언트(40)로 한번에 전달될 수 없고, 다수의 패킷으로 분할되어 전달된다.
이때, DBMS-프로토콜 분석 모듈(320)은 DB-서버(50)에서 DB-클라이언트(40)로 패킷이 전달될 때마다, 전달되는 패킷의 크기에 대한 정보를 추출한다.
DBMS-프로토콜 분석 모듈(320)은 추출한 정보들을 후술할 제어 모듈(330)로 전달한다.
관리자통보 모듈(340)은 보안정책 위반 적발 사실을 보안관리 모듈(370)을 통해 관리자-클라이언트(60)로 전달한다. 그러면, 관리자-클라이언트(60)는 보안관리 모듈(370)을 통해 관리자통보 모듈(340)로부터 전달받은 보안정책 위반사실을 GUI를 이용하여 팝업으로 관리자에게 알린다.
로그생성 모듈(350)은 보안정책을 위반한 내역, 일시, 조회내용, 전송된 DB 조회결과, 대응조치 등이 수록된 로그 파일을 생성하여, 정책/로그 저장 DB(65)에 저장한다.
정책제공 모듈(360)은 정책/로그 저장 DB(65)에 저장되어 있는 보안정책을 제어 모듈(330)에 제공한다.
보안관리 모듈(370)은 관리자-클라이언트(60)로부터 전달받은 관리자의 보안정책을 정책/로그 저장 DB(65)에 저장한다. 또한, 보안관리 모듈(370)은 정책/로그 저장 DB(65)에 저장된 보안정책, 로그 파일을 관리자-클라이언트(60)로 전송할 수도 있다. 그러면, 관리자-클라이언트(60)는 보안관리 모듈(370)로부터 전달받은 보안정책 및 로그 파일에 수록된 내용을 GUI를 이용하여 팝업으로 관리자에게 알릴 수 있다.
한편, 관리자는 관리자-클라이언트(60) 외에도 보안관리 모듈(370)을 통해 보안정책을 입력할 수도 있다. 이 경우, 보안관리 모듈(370)은 관리자가 입력한 보안정책을 정책/로그 저장 DB(65)에 저장한다.
제어 모듈(330)은 DB-클라이언트(40)가 DB-서버(50)로 요청하는 DB 조회가 보안정책에 위반된 것으로 판단된 경우, 이를 차단하기 위한 대응조치를 수행하는데, 이하에서 도 4를 참조하여 상세히 설명한다.
보안정책은 1) 위반조건과 2) 위반시 대응조치로 구성되는데, 이하에서 이해의 편의를 위해, 1) 위반조건은 'DB 조회결과 데이터 패킷의 누적 크기가 기준을 초과한 경우'로 상정하고, 2) 위반시 대응조치는 '세션 강제 종료 및 관리자 통보'로 상정한다.
도 4에 도시된 바와 같이, 스니핑 모듈(305)이 DB-클라이언트(40)에서 DB-서버(50)로 전달되는 접속요청을 스니핑하면(S405), DBMS-프로토콜 분석 모듈(320)은 스니핑 모듈(305)이 스니핑한 DB-클라이언트(40)의 접속요청에서 사용자의 DB계정, IP 주소 및 어플리케이션에 대한 정보를 추출한다(S410).
그러면, 제어 모듈(330)은 추출된 DB계정, IP 주소 및 어플리케이션에 해당하는 보안정책을 로딩하도록 정책제공 모듈(360)을 제어한다(S415).
이후, 스니핑 모듈(305)이 DB-클라이언트(40)에서 DB-서버(50)로 전달되는 DB 조회요청을 스니핑하면(S420-Y), DBMS-프로토콜 분석 모듈(320)은 스니핑 모듈(305)이 스니핑한 DB 조회요청에서 DB 조회내용을 추출하여 제어 모듈(330)로 전달한다(S425).
DB-클라이언트(40)의 DB 조회요청에 대한 DB 조회결과 데이터는 다수의 패킷으로 분할되어 DB-서버(50)에서 DB-클라이언트(40)로 전달된다.
이후, 스니핑 모듈(305)이 DB-서버(50)로부터 DB-클라이언트(40)로 전달되는 DB 조회결과 데이터 패킷을 스니핑하면(S430-Y), DBMS-프로토콜 분석 모듈(320)은 스니핑 모듈(305)이 스니핑한 DB 조회결과 데이터 패킷의 크기에 대한 정보를 추출하여 제어 모듈(330)로 전달한다(S435).
그러면, 제어 모듈(330)은 DB 조회결과 데이터 패킷의 크기를 누적시키고(S440), 누적된 크기가 기준 크기를 초과하는지 여부를 판단한다(S445).
S440단계와 S445단계는 현재까지 DB-서버(50)에서 DB-클라이언트(40)로 전달된 DB 조회결과 데이터의 분량이 대량인지 여부를 판단함으로써, DB-서버(50)에서 DB-클라이언트(40)로 대량의 DB 조회결과 데이터 유출이 있었는지를 감시하는 절차에 해당한다.
여기서, 기준 크기는 DB의 종류와 DB의 보안 정도에 따라 설정할 수 있다. 예를 들어, 높은 보안이 요구되는 DB의 경우는 기준 크기를 작게 설정하고, 낮은 보안이 요구되는 DB의 경우는 기준 크기를 크게 설정할 수 있다.
S450단계에서 누적 크기가 기준 크기를 초과하는 것으로 판단되면(S445-Y), 제어 모듈(330)은 DB-클라이언트(40)와 DB-서버(50)의 세션을 강제로 종료시키도 록, 세션제어 모듈(310)을 제어한다(S450).
이에 따라, 세션제어 모듈(310)은 DB-클라이언트(40)와 DB-서버(50)의 세션을 강제로 종료시킨다.
그리고, 제어 모듈(330)은 보안정책 위반사실이 적발되었음을 관리자-클라이언트(60)로 통보하도록, 관리자통보 모듈(340)을 제어한다(S455). 이에 따라, 관리자는 관리자-클라이언트(60)를 통해 보안정책 위반사실을 인지하게 된다.
한편, 제어 모듈(330)은 보안정책 위반사실에 대한 로그 파일을 생성하여 정책/로그 저장 DB(65)에 저장하도록 로그생성 모듈(350)을 제어한다(S460).
로그 파일에는 보안정책을 위반한 내역, 일시, 전송된 DB 조회결과, 대응조치 등이 수록된다. 여기서, 1) 보안정책을 위반한 내역에는, 대량의 DB 데이터 조회가 있었다는 사실, S410단계에서 추출된 사용자의 DB계정, DB-클라이언트(40) 및 DB-서버(50)에 대한 정보가 수록되고, 2) 일시에는, S405단계의 접속요청이 스니핑된 시점, S420단계의 DB 조회요청이 스니핑된 시점 및 S445단계에서 누적 크기가 기준 크기를 초과한 시점에 대한 정보들이 수록되며, 3) 조회내용에는 S425단계에서 추출한 DB 조회내용에 대한 정보가 수록되고, 4) 전송된 DB 조회결과에에는 S440단계를 통해 현재까지 누적된 크기에 대한 정보가 수록되며, 5) 대응조치에는 S450단계에서 수행된 세션 강제 종료, S455단계에서 수행된 보안정책 위반사실 통보에 대한 정보가 수록된다.
이후에, 관리자-클라이언트(60)는 로그생성 모듈(350)에 의해 생성되어 정책/로그 저장 DB(65)에 저장된 로그 파일을 보안관리 모듈(370)에 요청할 수 있다.
한편, S445단계에서 누적 크기가 기준 크기를 초과하지 않는 것으로 판단되면(S445-N), 제어 모듈(330)은 DB 조회결과 데이터 전달이 완료되었는지 여부를 판단한다(S465).
S465단계에서 DB 조회결과 데이터 전달이 완료된 것으로 판단되면(S465-Y), 절차가 종료된다. 하지만, S465단계에서 DB 조회결과 데이터 전달이 완료되지 않은 것으로 판단되면(S465-N), S430단계부터 반복된다.
지금까지, Gateway 방식의 DB 보안 서버와 Sniffing 방식의 DB 보안 서버를 이용한 DB 보안에 대해, 바람직한 실시예들을 들어 상세히 설명하였다.
Gateway 방식과 Sniffing 방식은 이해와 설명의 편의를 위한 일 예에 불과하므로, 이와 다른 방식의 DB 보안 서버에도 본 발명의 기술적 사상이 적용될 수 있다.
또한, 본 실시예들에서는, DB-서버(20)에서 DB-클라이언트(10)로 전달된 총 DB 조회결과 데이터 패킷의 누적 크기가 기준을 초과하는 경우에 이를 제지하는 것으로 상정하였다. 하지만, 이 역시 설명의 편의를 위한 일 예에 해당하는 것으로, 이와 달리 구현하는 경우에도 본 발명의 기술적 사상이 적용될 수 있다.
예를 들어, DB-서버(20)에서 DB-클라이언트(10)로 전달된 DB 테이블의 Row(행)의 누적 개수가 기준을 초과하는 경우에 이를 제지하는 것으로 구현하는 것도 가능하다. 즉, DB-서버(20)에서 DB-클라이언트(10)로 전달된 총 DB 조회결과 데이터 패킷에 수록되어 있는 Row의 누적 개수가 기준을 초과하는 경우에 이를 제지하는 것도 가능하다.
또한, 본 실시예들에서 상정한 보안정책은 일 예에 불과하다. 따라서, 보안정책은 이와 다르게 상정할 수 있음은 물론이다.
한편, 도 1과 도 3에서 제시한 DB 보안서버를 구성하는 모듈들은, 소프트웨어는 물론 하드웨어로 구현할 수 있다. 또한, 도 2와 도 4에서 제시한 DB 보안과정 역시 소프트웨어로 구현하는 것도 가능함은 물론이다.
또한, 이상에서는 본 발명의 바람직한 실시예에 대하여 도시하고 설명하였지만, 본 발명은 상술한 특정의 실시예에 한정되지 아니하며, 청구범위에서 청구하는 본 발명의 요지를 벗어남이 없이 당해 발명이 속하는 기술분야에서 통상의 지식을 가진자에 의해 다양한 변형실시가 가능한 것은 물론이고, 이러한 변형실시들은 본 발명의 기술적 사상이나 전망으로부터 개별적으로 이해되어져서는 안될 것이다.
도 1은 본 발명의 일 실시예에 따른, Gateway 방식의 DB 보안 서버의 개념을 도시한 도면,
도 2는, 도 1에 도시된 DB 보안 서버에 의한 DB 보안 절차의 설명에 제공되는 흐름도,
도 3은 본 발명의 다른 실시예에 따른, 스니핑 방식의 DB 보안 서버의 개념을 도시한 도면, 그리고,
도 4는, 도 3에 도시된 DB 보안 서버에 의한 DB 보안 절차의 설명에 제공되는 흐름도이다.
* 도면의 주요 부분에 대한 부호의 설명 *
10 : DB-클라이언트 20 : DB-서버
30 : 관리자-클라이언트 100, 300 : DB 보안서버
110 : 통신중계 모듈 120, 320 : DBMS-프로토콜 분석 모듈
130, 330 : 제어 모듈 140, 340 : 관리자통보 모듈
150, 350 : 로그생성 모듈 160, 360 : 정책제공 모듈
170, 370 : 보안관리 모듈 35, 65 : 정책/로그 저장 DB
305 : 스니핑 모듈 310 : 세션제어 모듈

Claims (10)

  1. DB-클라이언트의 DB 조회요청에 응답으로, DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량을 측정하는 단계;
    상기 DB 조회요청을 전송한 상기 DB-클라이언트의 어플리케이션에 대한 정보를 추출하는 단계;
    추출된 상기 어플리케이션에 대한 정보를 기초로, 기준 분량을 설정하는 단계;
    상기 측정단계에서 측정된 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는지 판단하는 단계; 및
    상기 판단단계에서 상기 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션을 강제로 종료시키는 단계; 를 포함하는 것을 특징으로 하는 DB 보안방법.
  2. 제 1항에 있어서,
    상기 측정 단계는,
    상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량을 측정하고,
    상기 판단단계는,
    상기 측정단계에서 측정된 상기 현재까지 전달된 DB 조회결과 데이터의 분량이 기준 분량을 초과하는지 판단하는 것을 특징으로 하는 DB 보안방법.
  3. 제 2항에 있어서,
    상기 DB 조회결과 데이터는,
    다수의 패킷으로 분할되어 상기 DB-서버에서 상기 DB-클라이언트로 전달되고,
    상기 측정 단계는,
    상기 DB-서버에서 상기 DB-클라이언트로 전달되는 패킷의 크기를 측정하고 측정되는 패킷의 크기를 누적시킨 누적값을 상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량으로 측정하는 것을 특징으로 하는 DB 보안방법.
  4. 제 2항에 있어서,
    상기 DB 조회결과 데이터는,
    다수의 패킷으로 분할되어 상기 DB-서버에서 상기 DB-클라이언트로 전달되고,
    상기 측정 단계는,
    상기 DB-서버에서 상기 DB-클라이언트로 전달되는 패킷에 수록되어 있는 행(Row)의 개수를 측정하고, 측정되는 행(Row)의 개수를 누적시킨 누적값을 상기 DB-서버에서 상기 DB-클라이언트로 현재까지 전달된 DB 조회결과 데이터의 분량으로 측정하는 것을 특징으로 하는 DB 보안방법.
  5. 제 1항에 있어서,
    상기 DB-서버에서 출력되는 상기 DB 조회결과 데이터를 수신하고, 수신된 상기 DB 조회결과 데이터를 통신중계 모듈이 상기 DB-클라이언트로 전달하는 단계;를 더 포함하고,
    상기 측정 단계는,
    상기 전달 단계에서 수신되는 상기 DB 조회결과 데이터의 분량을 측정하는 것을 특징으로 하는 DB 보안방법.
  6. 제 1항에 있어서,
    상기 DB-서버에서 상기 DB-클라이언트로 전달되는 상기 DB 조회결과 데이터를 스니핑 모듈이 스니핑하는 단계;를 더 포함하고,
    상기 측정 단계는,
    상기 스니핑 단계에서 스니핑된 상기 DB 조회결과 데이터의 분량을 측정하는 것을 특징으로 하는 DB 보안방법.
  7. 삭제
  8. 제 1항에 있어서,
    상기 판단단계에서 상기 DB 조회결과 데이터의 분량이 상기 기준 분량을 초 과하는 것으로 판단되면, 초과 사실에 대한 정보를 기록하거나 관리자에게 전달하는 단계;를 더 포함하는 것을 특징으로 하는 DB 보안방법.
  9. DB-클라이언트로부터의 DB 조회요청을 수신하여 DB-서버로 전달하고 DB 조회요청에 대한 조회결과를 DB-서버로부터 수신하여 DB-클라이언트로 전달하는 통신 중계 모듈;
    상기 DB-클라이언트의 DB 조회요청에 대하여, 상기 DB 조회요청을 전송한 상기 DB-클라이언트의 어플리케이션에 대한 정보를 추출하고, 추출한 상기 어플리케이션에 대한 정보를 기초로, 기준 분량을 설정하는 DBMS-프로토콜 분석 모듈; 및
    상기 DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션이 강제로 종료되도록 상기 통신중계 모듈을 제어하는 제어 모듈;을 포함하는 것을 특징으로 하는 DB 보안장치.
  10. DB-클라이언트로부터의 DB 조회요청을 수신하여 DB-서버로 전달하고 DB 조회요청에 대한 조회결과를 DB-서버로부터 수신하여 DB-클라이언트로 전달하는 단계;
    상기 DB-클라이언트의 DB 조회요청에 대하여, 상기 DB 조회요청을 전송한 상기 DB-클라이언트의 어플리케이션에 대한 정보를 추출하고, 추출한 상기 어플리케이션에 대한 정보를 기초로, 기준 분량을 설정하는 단계; 및
    상기 DB-서버에서 상기 DB-클라이언트로 전달되는 DB 조회결과 데이터의 분량이 상기 기준 분량을 초과하는 것으로 판단되면, 상기 DB-클라이언트와 상기 DB-서버의 세션을 강제로 종료시키는 단계;를 프로그램이 기록된 컴퓨터로 읽을 수 있는 기록매체.
KR1020080075667A 2008-08-01 2008-08-01 대량 데이터 유출 방지를 통한 db 보안방법 및 장치 KR100995582B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020080075667A KR100995582B1 (ko) 2008-08-01 2008-08-01 대량 데이터 유출 방지를 통한 db 보안방법 및 장치

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020080075667A KR100995582B1 (ko) 2008-08-01 2008-08-01 대량 데이터 유출 방지를 통한 db 보안방법 및 장치

Publications (2)

Publication Number Publication Date
KR20100013918A KR20100013918A (ko) 2010-02-10
KR100995582B1 true KR100995582B1 (ko) 2010-11-25

Family

ID=42087845

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020080075667A KR100995582B1 (ko) 2008-08-01 2008-08-01 대량 데이터 유출 방지를 통한 db 보안방법 및 장치

Country Status (1)

Country Link
KR (1) KR100995582B1 (ko)

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003281008A (ja) 2002-03-26 2003-10-03 Toshiba Corp サーバー計算機負荷分配装置、サーバー計算機負荷分配方法、サーバー計算機負荷分配プログラム及びサーバー計算機システム
KR100424724B1 (ko) 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
KR100545677B1 (ko) * 2003-11-12 2006-01-24 지니네트웍스(주) 네트워크 인프라 장애 방지 시스템 및 방법
JP2006314077A (ja) 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100424724B1 (ko) 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
JP2003281008A (ja) 2002-03-26 2003-10-03 Toshiba Corp サーバー計算機負荷分配装置、サーバー計算機負荷分配方法、サーバー計算機負荷分配プログラム及びサーバー計算機システム
KR100545677B1 (ko) * 2003-11-12 2006-01-24 지니네트웍스(주) 네트워크 인프라 장애 방지 시스템 및 방법
JP2006314077A (ja) 2005-04-06 2006-11-16 Alaxala Networks Corp ネットワーク制御装置と制御システム並びに制御方法

Also Published As

Publication number Publication date
KR20100013918A (ko) 2010-02-10

Similar Documents

Publication Publication Date Title
CN101924757B (zh) 追溯僵尸网络的方法和系统
US20190281084A1 (en) Service overload attack protection based on selective packet transmission
CN107465651A (zh) 网络攻击检测方法及装置
CN103391216A (zh) 一种违规外联报警及阻断方法
CN104767757A (zh) 基于web业务的多维度安全监测方法和系统
US20200106790A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic
KR100745044B1 (ko) 피싱 사이트 접속 방지 장치 및 방법
CN113691566B (zh) 基于空间测绘和网络流量统计的邮件服务器窃密检测方法
CN114145004A (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
CN113992444A (zh) 一种基于主机防御的网络攻击溯源与反制系统
US10728267B2 (en) Security system using transaction information collected from web application server or web server
CN109347847A (zh) 一种智慧城市信息安全保障系统
CN105743880A (zh) 一种数据分析系统
KR102160950B1 (ko) 보안취약점 점검 시 데이터 분산처리 시스템 및 그 방법
CN111314381A (zh) 安全隔离网关
US20200106791A1 (en) Intelligent system for mitigating cybersecurity risk by analyzing domain name system traffic metrics
CN108989294A (zh) 一种准确识别网站访问的恶意用户的方法及系统
CN116340943A (zh) 应用程序保护方法、装置、设备、存储介质和程序产品
Yamada et al. RAT-based malicious activities detection on enterprise internal networks
KR101658450B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보 및 고유세션 id 통한 사용자 식별을 이용한 보안장치.
CN112434304A (zh) 防御网络攻击的方法、服务器及计算机可读存储介质
KR101658456B1 (ko) 웹 애플리케이션 서버로부터 수집된 트랜잭션 정보를 이용한 보안장치
CN110381047A (zh) 一种网络攻击面追踪的方法、服务器和系统
CN111786990B (zh) 一种针对web主动推送跳转页面的防御方法和系统
CN109600395A (zh) 一种终端网络接入控制系统的装置及实现方法

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20131115

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141110

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20151210

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20161110

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20171110

Year of fee payment: 8

FPAY Annual fee payment

Payment date: 20181112

Year of fee payment: 9

FPAY Annual fee payment

Payment date: 20191114

Year of fee payment: 10