KR101608221B1 - 과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 - Google Patents
과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 Download PDFInfo
- Publication number
- KR101608221B1 KR101608221B1 KR1020140146392A KR20140146392A KR101608221B1 KR 101608221 B1 KR101608221 B1 KR 101608221B1 KR 1020140146392 A KR1020140146392 A KR 1020140146392A KR 20140146392 A KR20140146392 A KR 20140146392A KR 101608221 B1 KR101608221 B1 KR 101608221B1
- Authority
- KR
- South Korea
- Prior art keywords
- database
- access pattern
- client
- pattern
- security server
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Quality & Reliability (AREA)
- Debugging And Monitoring (AREA)
Abstract
본 발명은 과거 DB 접근 패턴(Pattern)을 분석하여 이상 징후(Threat)를 감지하는 방법 및 시스템에 관한 것이다. 본 발명의 시스템은 운영서버내의 데이터베이스; 상기 데이터베이스에 접근하여 작업하는 복수의 클라이언트 단말기; 각 클라이언트별 이전 접근패턴이 저장되어 있는 접근패턴 데이터베이스; 및 각 클라이언트 단말기에서 데이터베이스 서버로 접근하고 작업하는 행위를 네트워크에서 수집하여 상기 접근 데이터베이스에 저장하고, 각 클라이언트 단말기의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트 단말기에서 수행하였던 이전의 패턴과 다를 경우, 이상 징후라 판단하는 DB 보안 서버로 구성된다.
따라서 본 발명에 따른 데이터베이스에 대한 위협 감지 기술은, 데이터베이스에 접근한 이력을 네트워크를 통해 수집하여 이를 분석하여 패턴을 파악한 뒤에 새로이 데이터베이스에 접근하는 패턴과 실시간으로 비교하여, 다른 패턴일 경우 위협(혹은 이상 징후) 공격으로 판단할 수 있어 데이터베이스 시스템에 접속하는 사용자나 시스템으로부터 발생할 수 있는 악의적인 공격을 탐지해 내는 효과가 있다.
따라서 본 발명에 따른 데이터베이스에 대한 위협 감지 기술은, 데이터베이스에 접근한 이력을 네트워크를 통해 수집하여 이를 분석하여 패턴을 파악한 뒤에 새로이 데이터베이스에 접근하는 패턴과 실시간으로 비교하여, 다른 패턴일 경우 위협(혹은 이상 징후) 공격으로 판단할 수 있어 데이터베이스 시스템에 접속하는 사용자나 시스템으로부터 발생할 수 있는 악의적인 공격을 탐지해 내는 효과가 있다.
Description
본 발명은 데이터베이스에 대한 접근을 감시하는 보안 기술에 관한 것으로, 더욱 상세하게는 과거 DB 접근 패턴(Pattern)을 분석하여 이상 징후(Threat)를 감지하는 방법 및 시스템에 관한 것이다.
일반적으로, 하나의 정보처리시스템은 데이터베이스를 포함하는 다수의 운영서버와, 네트워크를 통해 상기 운영서버의 데이터베이스와 연결되는 다수의 클라이언트 단말기 등으로 이루어져 있다. 또한, 통상 상기 데이터베이스는 데이터베이스 관리시스템(DBMS)을 포함하며, 클라이언트 단말기들은 상기 데이터베이스에 데이터를 생성/저장/삭제/변경 등 다양한 데이터 처리 작업을 수행하고 있다.
통상적으로, 상기한 정보처리시스템에서 상기 클라이언트 단말기의 응용 프로그램(Application)들이 상기 데이터베이스 시스템에 접속하게 되면, 데이터베이스 내에는 수 많은 데이터들이 저장되고 변경된다. 이러한 데이터 처리 작업들은 정상적인 업무형태에 따라 일정기간 동안의 주기(일/주/월/분기/년)로 반복적인 처리 작업 패턴을 가지게 된다. 특정 클라이언트 단말기에서 이러한 주기적인 작업 패턴과 다른 패턴의 작업이 수행되면 악의적인 사용자에 의해 데이터베이스 내의 민감한 정보를 대량으로 유출하거나 데이터베이스에 위협을 가할 수 있는 행위로 판단하게 된다.
따라서, 종래의 데이터베이스에 대한 이상 징후 감지는 보안규칙에 따른 이력에 대한 로그 검색에 의존하였으므로 접근패턴 변경에 대한 이상 징후를 실시간으로 감지할 수 없었다.
본 발명은 상기와 같은 문제점들을 해결하기 위해 제안된 것으로, 본 발명의 목적은, DB 보안서버에 저장된 클라이언트의 단말기의 접근 및 작업 이력들에 대한 접근 패턴을 추출하여 이 접근 패턴과 클라이언트의 신규 데이터 처리 작업을 비교 분석하여 패턴이 다른 경우 이상 징후라고 판단하는 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템을 제공하는데 있다.
상기와 같은 목적을 이루기 위한 본 발명의 방법은, DB 보안서버가 네트워크에서 데이터베이스(DB)에 접근하고 작업하는 각 클라이언트들의 이력을 추출하여 접근패턴 데이터베이스를 구축하는 제 1 단계; 각 클라이언트가 데이터베이스에 접근하여 작업하면, DB 보안서버가 각 클라이언트의 작업이력을 추출하여 현재 접근패턴을 분석하는 단계; DB 보안서버가 상기 접근패턴 데이터베이스에서 각 클라이언트의 이전 접근패턴을 가져오는 단계; 및 DB 보안서버가 각 클라이언트의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트에서 수행하였던 이전의 패턴과 다를 경우 이상 징후라 판단하는 단계를 포함하는 것을 특징으로 한다.
상기 이상 징후 감지 방법, 이상 징후라 판단되면, 관련기관에 경보를 발생시키고 해당 클라이언트의 작업을 차단하거나 추적하는 단계를 더 포함할 수 있고, 상기 접근패턴은 각 클라이언트별로 일정기간 동안의 주기(일/주/월/분기/년)로 반복적인 처리 작업 패턴 형태를 갖는 것이다.
또한 상기와 같은 목적을 이루기 위한 본 발명의 시스템은, 운영서버내의 데이터베이스; 상기 데이터베이스에 접근하여 작업하는 복수의 클라이언트 단말기; 각 클라이언트별 이전 접근패턴이 저장되어 있는 접근패턴 데이터베이스; 및 각 클라이언트 단말기에서 데이터베이스 서버로 접근하고 작업하는 행위를 네트워크에서 수집하여 상기 접근 데이터베이스에 저장하고, 각 클라이언트 단말기의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트 단말기에서 수행하였던 이전의 패턴과 다를 경우, 이상 징후라 판단하는 DB 보안 서버를 포함하는 것을 특징으로 한다.
상기 DB 보안서버는 각 클라이언트 단말기에서 운영서버 내의 데이터베이스에 접근하는 이력을 네트워크에서 추출하여 DB 보안서버내의 접근패턴 데이터베이스에 저장하고, 새로운 접근 이력이 발생할 경우 상기 접근패턴 데이터베이스를 갱신하는 것이다.
본 발명에 따른 과거 DB 접근 패턴에 활용한 이상 징후 감지 방법에 의하면, 클라이언트 단말기에서 상기의 데이터베이스에 접속하여 데이터 처리작업에 대한 패턴을 실시간으로 갱신하고 신규 패턴과 비교하여 비정상적인 데이터베이스 작업 행위나 악의적인 정보유출 등을 실시간으로 판단할 수 있는 효과가 있다.
도 1은 본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 시스템의 전체 구성을 도시한 개략도,
도 2는 본 발명에 따라 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법을 설명하기 위한 도면,
도 3은 본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 절차를 도시한 순서도이다.
도 2는 본 발명에 따라 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법을 설명하기 위한 도면,
도 3은 본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 절차를 도시한 순서도이다.
본 발명과 본 발명의 실시에 의해 달성되는 기술적 과제는 다음에서 설명하는 본 발명의 바람직한 실시예들에 의하여 보다 명확해질 것이다. 다음의 실시예들은 단지 본 발명을 설명하기 위하여 예시된 것에 불과하며, 본 발명의 범위를 제한하기 위한 것은 아니다.
도 1은 본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 시스템의 전체 구성을 도시한 개략도로서, 본 발명의 시스템(1)은 운영서버(10)내의 데이터베이스(20)와, 데이터베이스(20)에 접근하는 클라이언트 단말기(40)와, 클라이언트 단말기(40)에서 데이터베이스 서버로 접근하고 작업하는 행위를 네트워크에서 수집하는 DB 보안 서버(70)와, DB 보안서버 내부의 접근패턴 데이터베이스(60)로 구성된다.
도 1을 참조하면, 네트워크(30)를 통해 운영서버(10)와 클라이언트 단말기들(40)과 DB 보안 서버(70)가 연결되어 있고, 각 클라이언트 단말기들(40)의 데이터베이스 접근은 DB 보안 서버(70)에 의해 감시되고 있다.
클라이언트 단말기들(40)에는 클라이언트 단말기 프로세스(50)가 실행되고 있으며, 각 클라이언트 단말기들(40)의 데이터베이스 접근은 DB 보안 서버(70)에 의해 모니터링되어 각 클라이언트 단말기들(40)의 접근패턴이 접근패턴 데이터베이스(60)에 저장되어 있다.
따라서 DB 보안서버(70)는 클라이언트 단말기(40)에서 데이터베이스(20)에 접속하여 데이터 처리작업에 대한 패턴을 실시간으로 갱신하고, 신규 패턴과 비교하여 비정상적인 데이터베이스 작업 행위나 악의적인 정보유출 등을 실시간으로 판단할 수 있다.
도 2는 본 발명에 따라 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법을 설명하기 위한 도면으로서, DB 보안서버(70)가 운영서버(10)에 존재하는 데이터베이스(20)에 접속하는 클라이언트 단말기(40)의 접근 및 작업 이력을 네트워크(30)에서 추출(패킷 복사 혹은 관통)하여 DB 보안서버(70)내의 접근패턴 데이터베이스(60)에 저장하는 것을 보여주고 있다.
도 2를 참조하면, DB 보안서버(70)에 저장된 접근패턴 데이터베이스(60)는 클라이언트 단말기(40)가 운영서버(10)내의 데이터베이스(20)에 접근할 때마다 갱신되고, 기존의 접근패턴 데이터베이스(60)는 DB 보안서버(70)에 의해 새로 수집한 클라이언트 단말기(40)의 데이터 처리 작업 행위와 비교함으로써, 기존의 패턴과 다를 경우 이상 징후라고 판단한다.
도 3은 본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 절차를 도시한 순서도이다.
본 발명에 따른 과거 DB 접근 패턴에 기반한 이상 징후 감지 절차는 도 3에 도시된 바와 같이, DB 보안서버(70)가 네트워크에서 데이터베이스(DB;20)에 접근하고 작업하는 각 클라이언트들의 이력을 추출하여 접근패턴 데이터베이스(60)를 구축하는 단계(S1)와, 각 클라이언트가 데이터베이스에 접근하여 작업하면, DB 보안서버가 상기 접근패턴 데이터베이스에서 각 클라이언트의 이전 접근패턴을 가져오는 단계(S2,S3)와, DB 보안서버(70)가 각 클라이언트의 작업이력을 추출하여 현재 접근패턴을 분석하는 단계(S4)와, DB 보안서버(70)가 각 클라이언트의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트에서 수행하였던 이전의 패턴과 다를 경우 이상 징후라 판단하는 단계(S5~S8)와, 이상 징후라 판단되면, 관련기관에 경보를 발생시키고 해당 클라이언트의 작업을 차단하거나 추적하는 단계로 구성된다.
이때 접근패턴은 각 클라이언트별로 일정기간 동안의 주기(일/주/월/분기/년)로 반복적인 처리 작업 패턴 형태를 갖는다.
이와 같이 본 발명은 과거 DB 접근 패턴(Pattern)을 분석하여 이상 징후(Threat)를 감지하는 기술로서, DB 보안 서버(70)로 하여금 DB에 접근하고 작업하는 이력을 네트워크(30)로부터 추출하여 DB 보안 서버(70)가 접근패턴 데이터베이스(60)에 저장하고, 새로이 데이터베이스(20)에 접근하는 형태와 작업행위를 접근패턴 데이터베이스(60)와 실시간 비교하여, 각 클라이언트 단말기(40)에서 수행하였던 이전의 패턴과 다를 경우 이상 징후라 판단하는 것이다.
이상에서 본 발명은 기재된 구체 예에 대해서만 상세히 설명하였지만 본 발명의 기술사상 범위 내에서 다양한 변형 및 수정이 가능함은 당업자에게 있어서 명백한 것이며, 이러한 변형 및 수정이 첨부된 특허 청구범위에 속함은 당연한 것이다.
1: 정보처리시스템 10: 운영서버
20: 데이터베이스 시스템 30: 네트워크
40: 클라이언트 단말기 50: 클라이언트 단말기 프로세스
60: 접근패턴 데이터베이스 70: DB 보안서버
20: 데이터베이스 시스템 30: 네트워크
40: 클라이언트 단말기 50: 클라이언트 단말기 프로세스
60: 접근패턴 데이터베이스 70: DB 보안서버
Claims (5)
- 운영서버(10) 내의 데이터베이스(20)와, 상기 데이터베이스(20)에 접근하는 클라이언트 단말기(40)와, 상기 클라이언트 단말기(40)에서 상기 데이터베이스(20)로 접근하고 작업하는 행위를 네트워크에서 수집하는 DB 보안 서버(70)와, 상기 DB 보안서버 내부의 접근패턴 데이터베이스(60)로 이루어진 시스템의 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법에 있어서,
상기 DB 보안서버(70)가 네트워크에서 상기 데이터베이스(DB)에 접근하고 작업하는 각 클라이언트들의 이력을 추출하여 접근패턴 데이터베이스를 구축하는 제 1 단계;
각 클라이언트가 데이터베이스(20)에 접근하여 작업하면, 상기 DB 보안서버(70)가 각 클라이언트의 이력을 추출하여 현재 접근패턴을 분석하는 제 2 단계;
상기 DB 보안서버(70)가 상기 접근패턴 데이터베이스(60)에서 각 클라이언트의 이전 접근패턴을 가져오는 제 3 단계;
상기 DB 보안서버(70)가 각 클라이언트의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트에서 수행하였던 이전의 접근패턴과 다를 경우 이상 징후라 판단하는 제 4 단계; 및
이상 징후라 판단되면, 관련기관에 경보를 발생시키고, 해당 클라이언트의 작업을 차단하거나 추적하는 제 5 단계를 포함하여
상기 운영서버(10)는 일체 간섭하지 아니한 채 그대로 두고 별도의 DB 보안서버(70)에서 이상 징후를 감시하는 것을 특징으로 하는 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법. - 삭제
- 제1항에 있어서, 상기 접근패턴은
각 클라이언트별로 일정기간 동안의 주기(일/주/월/분기/년)로 반복적인 처리 작업 패턴 형태를 갖는 것을 특징으로 하는 과거 DB 접근 패턴에 기반한 이상 징후 감지 방법. - 운영서버내의 데이터베이스;
상기 데이터베이스에 접근하여 작업하는 복수의 클라이언트 단말기;
각 클라이언트별 이전 접근패턴이 저장되어 있는 접근패턴 데이터베이스; 및
각 클라이언트 단말기에서 운영서버 내의 데이터베이스에 접근하고 작업하는 이력을 네트워크에서 수집하여 DB 보안서버내의 접근패턴 데이터베이스에 저장하고, 새로운 접근 이력이 발생할 경우 상기 접근패턴 데이터베이스를 갱신하며, 각 클라이언트 단말기의 현재 접근패턴과 이전 접근패턴을 실시간 비교하여, 각 클라이언트 단말기에서 수행하였던 이전의 접근패턴과 다를 경우 이상 징후라 판단하여 관련기관에 경보를 발생시키고, 해당 클라이언트의 작업을 차단하거나 추적하는 DB 보안 서버를 포함하여
상기 운영서버(10)는 일체 간섭하지 아니한 채 그대로 두고 별도의 DB 보안서버(70)에서 이상 징후를 감시하는 것을 특징으로 하는 과거 DB 접근 패턴에 기반한 이상 징후 감지 시스템. - 삭제
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140146392A KR101608221B1 (ko) | 2014-10-27 | 2014-10-27 | 과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020140146392A KR101608221B1 (ko) | 2014-10-27 | 2014-10-27 | 과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR101608221B1 true KR101608221B1 (ko) | 2016-04-01 |
Family
ID=55799406
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020140146392A KR101608221B1 (ko) | 2014-10-27 | 2014-10-27 | 과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (1) | KR101608221B1 (ko) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110222530A (zh) * | 2019-05-27 | 2019-09-10 | 北京奇艺世纪科技有限公司 | 一种数据库拖库行为的检测方法、装置及电子设备 |
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
| KR102021082B1 (ko) | 2018-10-22 | 2019-11-04 | 주식회사 라인웍스 | 인덱스기반 블록체인을 이용한 네트워크 이상감지시스템 및 그 방법 |
-
2014
- 2014-10-27 KR KR1020140146392A patent/KR101608221B1/ko active IP Right Grant
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102024142B1 (ko) * | 2018-06-21 | 2019-09-23 | 주식회사 넷앤드 | 사용자의 서버접근 패턴 기반 이상 사용자를 탐지 및 제어하는 접근통제 시스템 |
| KR102021082B1 (ko) | 2018-10-22 | 2019-11-04 | 주식회사 라인웍스 | 인덱스기반 블록체인을 이용한 네트워크 이상감지시스템 및 그 방법 |
| CN110222530A (zh) * | 2019-05-27 | 2019-09-10 | 北京奇艺世纪科技有限公司 | 一种数据库拖库行为的检测方法、装置及电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3484118B1 (en) | Detection of adversary lateral movement in multi-domain iiot environments | |
| US10148685B2 (en) | Event correlation across heterogeneous operations | |
| US11848966B2 (en) | Parametric analysis of integrated operational technology systems and information technology systems | |
| US9742788B2 (en) | Event correlation across heterogeneous operations | |
| CN104753946A (zh) | 一种基于网络流量元数据的安全分析框架 | |
| CN107241296A (zh) | 一种Webshell的检测方法及装置 | |
| US20130318609A1 (en) | Method and apparatus for quantifying threat situations to recognize network threat in advance | |
| CN115225386B (zh) | 基于事件序列关联融合的业务识别与风险分析方法及系统 | |
| CN108092985B (zh) | 网络安全态势分析方法、装置、设备及计算机存储介质 | |
| CN112416872A (zh) | 一种基于大数据的云平台日志管理系统 | |
| KR101608221B1 (ko) | 과거 db 접근 패턴에 기반한 이상 징후 감지 방법 및 시스템 | |
| EP2936772A1 (en) | Network security management | |
| Chiu et al. | Frequent pattern based user behavior anomaly detection for cloud system | |
| CN105825130B (zh) | 一种信息安全预警方法及装置 | |
| CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
| CN115189963A (zh) | 异常行为检测方法、装置、计算机设备及可读存储介质 | |
| CN117879961A (zh) | 一种态势感知系统的威胁预警分析模型 | |
| CN107579944A (zh) | 基于人工智能和MapReduce安全攻击预测方法 | |
| CN113114675B (zh) | 基于工业控制的安全审计系统及方法 | |
| KR101650445B1 (ko) | 커널 기반의 파일이벤트감사 기능을 이용한 실시간 웹셀 탐지 장치 및 방법 | |
| EP4332804A2 (en) | System for automatically evaluating the quality of network traffic signatures | |
| Khan et al. | Cyber Threat Hunting: A Cognitive Endpoint Behavior Analytic System | |
| CN117093985A (zh) | 一种api的安全检测方法、装置、电子设备和存储介质 | |
| Stadler et al. | Improved CPSOS Security: An Enhanced Anomaly-Based Intrusion Detection | |
| Costa | Implementing AI-Driven Backup and Recovery Strategies in Modern Database Systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |