• 문화기술의 융합
• /
• 제6권4호
• /
• pp.693-701
• /
• 2020

본 논문에서는 현재 운영되는 수강신청 시스템에서의 데이터베이스 성능을 향상시키기 위하여 SQL문 분석을 하였다. 수강신청 업무와 관련된 트랜잭션들에서 사용 중인 SQL문장들을 실행계획을 통하여 현행 데이터베이스 성능을 측정하였으며, SQL 분석을 통하여 보완한 SQL문장들이 성능이 향상된 결과를 확인하였다. 전반적으로 실행계획 분석을 통하여 수강신청 데이터베이스 시스템의 성능을 향상시켰으며, 수강신청 SQL 의 일부 개선방법을 시험결과로 보였다. 개선된 방법은 데이터베이스 튜닝 작업을 통하여 수강신청과 관련된 테이블들과 인덱스 테이블들을 재조정하고, SQL의 기능을 활용함으로서 성능이 향상된 수강신청 데이터베이스 시스템으로 진화한 최적화된 시스템을 구현할 수 있게 되었다. 제안된 방법으로 재조정된 수강신청 시스템은 이전에 운영하던 수강신청시스템에 비하여 성능적 측면에서 우수한 결과를 나타내었으며, 통합 성능 시험 결과 1.8배 ~ 18배의 응답시간 단축을 가져왔다.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제5권9호
• /
• pp.425-432
• /
• 2016

정보시스템 감리의 중요성이 커지면서 공공기관이나 기업에서 높은 품질의 시스템을 구축하기 위해 많은 비용을 투자하고 있으며 효율적인 감리 작업을 수행할 수 있는 도구에 관한 연구도 많이 진행되고 있다. 정보시스템의 핵심인 데이터베이스 관련 감리 작업에서 다양한 모니터링 도구를 활용해 많은 검사항목에 대해 감리할 수 있지만, 데이터베이스 성능에 많은 영향을 미칠 수 있는 SQL 감리에는 기능적으로 부족한 면이 존재한다. 대다수의 모니터링 도구들은 메타 정보 기반으로 검사하기 때문에 메타 정보가 없거나 정확하지 않으면 SQL 감리 작업을 수행하기가 어렵고 SQL 문장의 구체적인 문제점을 도출할 수도 없다. 따라서 본 연구에서는 ANTLR를 활용한 SQL 검사기를 설계하고 구현한다. 구현된 SQL 검사기를 통해 기존의 수작업으로 SQL을 검사하는 것보다 효율적으로 수행할 수 있다. 그리고 기능적인 측면에서 다른 모니터링 도구에 비해 더 많은 검사 규칙을 SQL 검사 작업에 적용할 수 있다. 본 연구에서 제시한 SQL 검사기는 개발 단계부터 운영단계까지 감리 작업을 수행하여 정보시스템의 안정성을 높일 수 있다고 기대한다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권6호
• /
• pp.2576-2590
• /
• 2020

The fundamental reason why most SQL injection detection methods are difficult to use in practice is the low reusability of the implementation code. This paper presents a reusable SQL injection detection method for Java Web applications based on AOP (Aspect-Oriented Programming) and dynamic taint analysis, which encapsulates the dynamic taint analysis processes into different aspects and establishes aspect library to realize the large-grained reuse of the code for detecting SQL injection attacks. A metamodel of aspect library is proposed, and a management tool for the aspect library is implemented. Experiments show that this method can effectively detect 7 known types of SQL injection attack such as tautologies, logically incorrect queries, union query, piggy-backed queries, stored procedures, inference query, alternate encodings and so on, and support the large-grained reuse of the code for detecting SQL injection attacks.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2022년도 추계학술대회
• /
• pp.337-340
• /
• 2022

SQL Injection 공격은 오래된 공격기법 중 하나로 웹 서비스에 대한 해킹 시도 유형 중에서도 높은 비중을 차지하고 있다. SQL Injection 공격은 데이터 노출 및 권한획득 등의 방법으로 현재까지도 해킹 시도가 많이 발생하고 있으며, 본 논문에서는 오픈소스인 ELK Stack을 활용하여 실시간으로 SQL Injection 공격 대응할 수 있는 로그 분석시스템을 구현하였다. 구현한 시스템을 통해 SQL Injection 공격에 대한 로그 데이터를 시각화하여 제공함으로써, 사용자는 공격의 위험도를 쉽게 파악할 수 있으며 신속하게 공격에 대비할 수 있을 것으로 기대한다.

• 전자공학회논문지
• /
• 제53권2호
• /
• pp.76-86
• /
• 2016

최근 들어 급증하고 있는 보안 관련 사고들로 인하여 개인정보 및 기업정보의 관리에 대한 대책 마련이 시급한 가운데 있다. 보안 관련 사고 가운데 SQL Injection 공격은 가장 널리 악용되고, 오래된 전통적인 해킹 기법 중 하나이다. 최근까지도 웹 해킹을 시도하는 유형 중에서 높은 비중을 차지하고 있으며 그 공격 형태 또한 복잡해지고 있다. 많은 site에서 SQL Injection 공격에 대한 보완을 하여 이전보다 피해가 많이 줄어들기는 했으나 SQL Injection 공격에 의한 악의적인 관리자 권한 획득 및 비정상적인 로그인 등으로 인하여 여전히 많은 피해가 발생하고 있다. 더욱이 향후 사물인터넷 및 센서 빅데이터 환경이 널리 보급되면 수많은 디바이스들과 센서들이 연결되고 데이터의 양이 폭발적으로 증가하게 될 것이다. 그렇게 되면 현재보다 SQL Injection 공격에 의한 피해 규모는 더욱 커질 것이다. SQL Injection 공격에 대응하기 위해서는 많은 시간과 비용이 발생하게 되므로 시스템의 성능을 떨어뜨리지 않으면서도 신속정확하게 SQL Injection 공격을 판별하여 방어해야 할 것이다. 본 논문에서는 SQL Injection 공격에 대응하기 위하여 데이터 분석 및 기계학습을 통하여 웹로그 데이터를 검사하여 비정상적인 패턴의 입력값인 경우 SQL 명령어의 실행 계획을 분석하여 정상적인 SQL 명령어와 비정상적인 SQL 명령어를 판별하는 방안을 제시한다. 실험 및 성능 평가를 위해 사용자의 입력 또는 SQL Injection 공격툴에 의하여 입력되는 값을 실시간으로 실행계획을 분석하여 효과적으로 차단할 수 있음을 보여주었다.

• 정보보호학회논문지
• /
• 제18권5호
• /
• pp.135-148
• /
• 2008

인터넷이 발전함에 따라 웹 애플리케이션을 이용한 서비스가 대중화되었고, 웹 애플리케이션의 취약점을 목표로 하는 공격들도 증가하게 되었다. 많은 웹 공격 중의 하나인 SQL Injection 공격은 민감한 데이터를 처리하는 곳에서는 매우 치명적이고 위험하기 때문에 이를 탐지하고 예방하기 위한 연구들이 다양하게 이루어져 왔다. 이로 인하여 SQL Injection 공격들이 많이 감소했지만 아직도 이를 우회하는 방법들이 존재하며, 기존의 연구 방법들 또한 매우 복잡하여 실제 웹 애플리케이션에 적용하여 사용하기 어렵다. 따라서 본 논문에서는 SQL Injection 공격 탐지를 위해 웹 애플리케이션에 고정되어 있는 정적 SQL 질의와 사용자로부터 생성되는 동적 SQL 질의의 애트리뷰트 값을 제거한 정적 및 동적 분석 방법을 제안하고, 실험을 통하여 효율성을 검증하였다.

• 한국멀티미디어학회논문지
• /
• 제21권8호
• /
• pp.934-941
• /
• 2018

There are some limits on cost and efficiency for large amount of data in RDBMS, and NoSQL is starting to gain popularity. In medical institutions, data forms are different between organizations, and that makes difficulty for interoperability between organizations. In this paper we focused on performance issues between RDMBS and NoSQL in medical documents. We had built two different environment and had experiment comparative analysis of NoSQL with RDBMS based on medical data. We used medical HL7 FHIR as a medical data standard. Also YCSB benchmark tool was used for performance comparison. Experiments shows that NoSQL has better performance in large amounts of medical data processing systems that have over 10,000~100,000 records.

• 한국정보통신학회:학술대회논문집
• /
• 한국정보통신학회 2014년도 춘계학술대회
• /
• pp.631-634
• /
• 2014

웹과 클라우드 컴퓨팅 환경 구축시에 필수적으로 사용되는 것이 데이터베이스 시스템이다. 이러한 데이터베이스 시스템에는 오라클과 MS-SQL 등과 같은 상용 프로그램도 있지만, 상용 프로그램에 필적할 성능을 가진 무료 프로그램도 다수 존재한다. 특히, PostgreSQL, MySQL, MariaDB 등은 비용도 들지 않지만, 소스도 공개되어 있어서 다양한 환경에 적용할 수 있다. 본 논문에서는 소스가 공개된 관계형 데이터베이스 관리 시스템의 동향에 대해 알아본다.

• 한국컴퓨터정보학회논문지
• /
• 제10권3호
• /
• pp.259-265
• /
• 2005

정보 통신의 확산으로 일반 사용자도 정보 제공 매체 등을 통해 데이터베이스의 정보를 주고 받는 일련의 행위가 일상화되도록 변화되었다. 이러한 환경 변화는 데이터베이스에 대한 사용이 증가되고 사용의 편리성에 상반된 보안의 취약성을 야기한다. 본 논문에서는 이러한 문제점을 해결하기 위하여 패킷 분석을 통해 내부인 불법 질의를 탐지하는 방법을 제안한다. SQL 구문에 관련된 패킷을 분석 자료로 구축하기 위해서 네트워크 상의 패킷을 읽어 들여 각 프로토콜별로 헤더를 분석하였다. 패킷 중에서 TCP 세그먼트의 데이터부분에 SQL구문이 있는 경우 SQL 구문을 사용자 권한 정보와 사용자 하드웨어 정보를 이용하여 분석하므로 사용된 SQL 구문이 사용자의 접근 통제 범위내의 질의가 입력되었는지를 탐지할 수 있는 방법을 제안하고자 한다.

• 전자통신동향분석
• /
• 제9권4호
• /
• pp.157-169
• /
• 1994

본 고에서는 ISO/IEC JTC1/SC21 WG3(Database)에서 표준화하고 있는 SQL Multimedia and Application Packages (SQL/MM)에 대해 표준화의 동향과 이 표준에서 정의하고 있는 기술적인 내용을 분석한다. SQL/MM은 데이터베이스 언어의 표준인 SQL을 확장한 새로운 표준으로서, 멀티미디어 응용에서 필요로 하는 여러 가지 요구 사항을 만족시킬 수 있도록 하기 위한 새로운 기능들이 추가된 형태이다. 이 표준은 SQL3라는 객체 지향 데이터베이스를 위한 표준 질의 언어의 기본 기능 위에 멀티미디어적 요소들을 첨가하는 방법으로 표준 제정이 진행되고 있다. 우선적으로 다루고 있는 분야는 문서에 대한 full-text 검색 분야와 공간 및 시간 관계를 이용한 검색 분야 등이며, 다양한 데이터 타입들 중에서 여러 종류의 응용에서 공통적으로 사용되는 범용의 것들을 체계적으로 정리하는 분야도 병행하고 있다.