Multitier 웹 어플리케이션 환경에서 사용자 추적을 위한 Http Request - SQL Query 매핑 기법

Abstract

지속적으로 증가하는 인터넷 서비스 요구사항을 만족하기 위하여 인터넷 서비 스를 제공하는 시스템은 웹 서버와 DB (database) 서버로 구성된 multitier 구조로 변화되어왔다. 이러한 multitier 웹 어플리케이션 환경에서 기존의 IDS (intrusion detection system) 는 웹 서버와 DB 서버에서 misused traffic pattern들이나 signature들을 매칭하여 이미 알려진 공격을 검출하고 해당 접속을 차단하는 방식으로 동작한다. 하지만이러한방식의 IDS는정상적인HTTP (hypertext transfer protocol) request를이용하여악의적으로 DB 서버의내용의변조를시도하는 attacker의 공격을 DB 서버단에서제대로검출하지못한다. 그이유는 DB 서버는웹서버로부 터 받은 SQL (structured query language) query가 어떤 사용자의 HTTP request 에 의해 발생한 것인지 알지 못하는 상태에서 처리하며, 웹 서버는 SQL query 처리 결과중어떤것이악의적으로 DB 서버 변조를시도한 SQL query에의한결과인지 알 수 없기 때문이다. 이런 공격을 검출하기 위해서는 HTTP request와 SQL query 사이의 상호작용관계를 명확히 파악하고, 이를 이용하여 악의적인 SQL query를 발생시킨 사용자를 추적해야 한다. 이를 위해서는 해당 시스템의 소스코드를 분석하거나 application logic을 완벽하게 파악해야 하므로 현실적으로 불가능하다. 본 논문에서는 웹 서버와 DB 서버에서 제공하는 로그만을 이용하여 모든 HTTP request와 SQL query간의 mapping 관계를찾아내고, 이를이용하여특정 SQL query 를 발생시킨 HTTP request를 추정하는 기법을 제안한다. 모의실험을 통하여 94% 의 정확도로 HTTP request를 추정할 수 있음을 확인 하였다.