KIPS Transactions on Computer and Communication Systems (정보처리학회논문지:컴퓨터 및 통신 시스템)

Korea Information Processing Society (한국정보처리학회)
권호 표지
DOI QR코드

DOI QR Code

The Recovery Method for MySQL InnoDB Using Feature of IBD Structure

IBD 구조적특징을이용한 MySQL InnoDB의레코드복구기법

  • 장지원 (고려대학교 정보보호대학원 정보보호학과) ;
  • 정두원 (고려대학교 정보보호대학원 정보보호학과) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2016.08.02
  • Accepted : 2016.11.21
  • Published : 2017.02.28
Download PDF
⟨ Previous Next ⟩

Abstract

MySQL database is the second place in the market share of the current database. Especially InnoDB storage engine has been used in the default storage engine from the version of MySQL5.5. And many companies are using the MySQL database with InnoDB storage engine. Study on the structural features and the log of the InnoDB storage engine in the field of digital forensics has been steadily underway, but for how to restore on a record-by-record basis for the deleted data, has not been studied. In the process of digital forensic investigation, database administrators damaged evidence for the purpose of destruction of evidence. For this reason, it is important in the process of forensic investigation to recover deleted record in database. In this paper, We proposed the method of recovering deleted data on a record-by-record in database by analyzing the structure of MySQL InnoDB storage engine. And we prove this method by tools. This method can be prevented by database anti forensic, and used to recover deleted data when incident which is related with MySQL InnoDB database is occurred.

MySQL 데이터베이스는 현재 데이터베이스 시장 점유율에서 2위를 차지하고 있다. 특히 InnoDB 스토리지 엔진은 MySQL 5.5 버전부터 디폴트 스토리지 엔진으로 사용되어 왔으며, 많은 기업에서 InnoDB 스토리지 엔진으로 MySQL 데이터베이스를 사용하고 있다. 디지털 포렌식 분야에서 InnoDB 스토리지 엔진에 대한 구조적 특징과 로그에 관한 연구는 꾸준히 진행되어 왔으나, 삭제된 데이터에 대해 레코드 단위로 복구하는 방법에 대해서는 연구되지 않았다. 기업 조사 시 데이터베이스 관리자가 사전에 증거 인멸을 목적으로 데이터를 훼손하는 경우가 많으므로 이를 복구하는 것은 포렌식 수사 과정에서 중요하다. 본 논문에서는 MySQL InnoDB 스토리지 엔진의 구조를 분석하여 삭제된 데이터를 레코드 단위로 복구하는 기법을 제안하고 제작한 도구를 활용하여 이를 검증한다. 이는 디지털 포렌식 관점에서 데이터베이스 안티포렌식 행위에 대해 대비할 수 있으며, MySQL InnoDB 데이터베이스와 관련된 사건 발생시, 고의로 삭제된 데이터를 복구하는데 활용할 수 있다.

Keywords

References

  1. K. S. Lim, D. C. Lee, J. H. Park, and S. J. Lee, "A Novel Database Forensic Technique Using Table Relationship Analysis," Korea Multimedia Society Fall Conference Proceedings, pp. 65-68, 2009.
  2. D. C. Lee and S. J. Lee, "Research of organized data extraction method for digital investigation in relational detabase system," Journal of the Korea Institute of Information Security and Cryptology, Vol. 22, No. 3, PP.565-573, 2012.
  3. P. Fruhwirt and M. Huber, "InnoDB database forensics," 24th IEEE International Conference on Advanced Information Net Working and Applications (AINA). pp. 1028-1036, Apr., 2010.
  4. P. Fruhwirt, P. Kieseberg, S. Schrittwieser, M. Huber, and E. Weippl, "InnoDB database forensics: Reconstructing data mani pulation queries from redo logs," Seventh International Conference on Availability, Reliability and Security (ARES), pp. 625-633, Aug., 2012
  5. W. S. Noh, S. M. Jang, C. H. Kang, K. M. Lee, and S. J. Lee, "The Method of Deleted Record Recovery for MySQL MyISAM Database," Journal of the Korea Institute of Information Security and Cryptology, Vol. 26, No. 1, pp. 125-134, 2016. https://doi.org/10.13089/JKIISC.2016.26.1.125
  6. Paul DuBois, MySQL Developer's Library, 4th Ed., Addison-Wesley Professional, Aug., 2008.
  7. Oracle, SHOW COLLATION Syntax [Internet], https://dev.mysql.com/doc/refman/5.0/en /show-collation.html.