Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

Описание метода

В основе метода лежит идея анализа связей между наборами параметров, поступающих в веб-приложение через HTTP-запросы, и операциями над объектами окружения, совершаемыми веб-приложениями в ответ на данные запросы. Метод предполагает функционирование реализующего его средства в двух режимах - в режиме обучения и в режиме обнаружения уязвимостей. При работе средства в любом из режимов формируется трасса веб-приложения (трасса) - последовательность записей трассы, описывающих поступившие в HTTP-запросах наборы параметров и наборы совершённых веб-приложением операций над объектами окружения в ответ на запросы. Каждому набору HTTP-параметров соответствует набор совершённых в ходе обработки HTTP-запроса операций над объектами окружения.

В зависимости от реализации, трасса может формироваться для отложенного по времени анализа и для анализа в режиме реального времени. В первом варианте трасса веб-приложения может представлять собой набор записей трассы, сохранённых в виде файла или в базе данных. Во втором варианте записи трассы веб-приложения могут поступать для анализа в режиме реального времени. Для работы самого метода выбор способа формирования трассы не является существенным.

Режим обучения предназначен для автоматического построения профилей нормального поведения веб-приложений. В режиме обучения веб-приложение используется легитимным пользователем строго по назначению. На этапе обучения трасса анализируется, и в результате анализа формируется профиль нормального поведения веб-приложения. В нём фиксируются наборы HTTP-параметров и соответствующие наборы операций. Таким образом, профиль несёт в себе информацию об ожидаемых (или допустимых) операциях в ответ на каждый набор HTTP-параметров. Подробнее алгоритм построения профиля нормального поведения описывается в Подразделе 6.4.3.

Очевидно, для построения максимально подробного и адекватного профиля нормального поведения, функционирование веб-приложения в режиме обучения должно охватывать возможно большее количество вариантов использования. При этом также встаёт традиционная для включающих в себя этап обучения методов обнаружения аномалий проблема «чистоты» учебного периода - необходимо оградить веб-приложение от возможного использования злоумышленниками, так как иначе в профиле нормального поведения в качестве допустимых будут зафиксированы действия, потенциально таковыми не являющиеся [4, 6].

В режиме обнаружения уязвимостей происходит анализ фактических действий веб-приложения в ответ на поступающие HTTP-запросы. Ищется профиль нормального поведения для данного веб-приложения, содержащий информацию о допустимых операциях для текущего набора HTTP-параметров. Проверяется наличие в наборе фактически совершённых операций элементов, не входящих во множество допустимых операций. Если такие операции были совершены - предполагается уязвимость. Подробнее алгоритм обнаружения аномалий описывается в Подразделе 6.4.4.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

СКАЧАТЬ ОРИГИНАЛ
Автоматическое построение профилей нормального поведения веб-приложений
1. Проблема работы2. Постановка задачи3. Определения и основные понятия4. Метод обнаружения уязвимостей веб-приложений4.1 Применение метода4.2 Описание метода4.3 Использование значений операций для более точного обнаружения отклонений в поведении4.4 Отклонения в поведении с точки зрения метода4.5 Сравнение наборов HTTP-параметров5. Выбор методов обнаружения аномалий5.1 Метод Хотеллинга (тест Хотеллинга)5.2 Метод EWMA (Exponentially Weighted Moving Average)5.3 Метод цепей Маркова5.4 Нейросетевой метод5.5 Сравнительный анализ методов обнаружения аномалий и обоснование выбора метода6. Модуль обнаружения уязвимостей6.1 Требования к модулю6.2 Структура профиля нормального поведения6.2.1 Секция мета-информации6.2.2 Секция HTTP-параметров6.2.3 Секция информации об операциях над объектами окружения6.2.4 Пример записи профиля нормального поведения6.3 Программная архитектура модуля6.4 Описание подсистем модул6.4.1 Консоль управления6.4.2 Подсистема предварительной обработки трассы6.4.3 Подсистема построения профиля нормального поведения6.4.4 Подсистема обнаружения аномалий7. РезультатыЗаключениеЛитература