Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

Нейросетевой метод

Нейросетевой метод обнаружения аномалий рассматривается на примере экспериментальной системы обнаружения аномалий NNID (Neural Network Intrusion Detection) [25].

В основе метода лежит нейросеть с количеством слоёв от трёх до пяти. Входы используются для подачи входных данных, значения на выходах анализируются для обнаружения аномалий.

В контексте предложенного метода обнаружения уязвимостей данная модель может быть использована следующим образом.

Количество входов нейросети делается равным сумме количества всех возможных GET и POST параметров и количества всех операций над всеми объектами окружения. Количество выходов устанавливается равным количеству веб-приложений. В режиме обнаружения аномалий на входы нейросети, соответствующие GET и POST параметрам подаются: 1, если данный параметр присутствовал в HTTP-запросе, и 0, если не присутствовал. На входы, соответствующие операциям над объектами окружения, подаются соответствующие значения операций. Значение на выходах варьируется от 0 до 1 с шагом 0.1. Считается, что значение на некотором выходе большее 0.5 однозначно идентифицирует веб-приложение, которому может принадлежать такая комбинация HTTP-параметров и значений операций. Если более чем на одном выходе обнаружено значение большее 0.5, или ни на одном выходе нет значения большего 0.5 - фиксируется аномалия и предполагается уязвимость в веб-приложении, которому поступил запрос.

На этапе построения профиля нормального поведения проводится настройка весов нейросети при помощи некоторого автоматического алгоритма обучения, например при помощи алгоритма с обратным распространением. На входы нейросети подаётся очередная комбинация, характеризующая набор HTTP-параметров и набор значений операций, полученных в ходе обработки данного HTTP-запроса. Значение выхода, соответствующий запрашиваемому веб-приложению, устанавливается в 1, после чего алгоритмом обучения производится настройка весов. Полученная конфигурация сети сохраняется в профиле нормального поведения.

 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

СКАЧАТЬ ОРИГИНАЛ
Автоматическое построение профилей нормального поведения веб-приложений
1. Проблема работы2. Постановка задачи3. Определения и основные понятия4. Метод обнаружения уязвимостей веб-приложений4.1 Применение метода4.2 Описание метода4.3 Использование значений операций для более точного обнаружения отклонений в поведении4.4 Отклонения в поведении с точки зрения метода4.5 Сравнение наборов HTTP-параметров5. Выбор методов обнаружения аномалий5.1 Метод Хотеллинга (тест Хотеллинга)5.2 Метод EWMA (Exponentially Weighted Moving Average)5.3 Метод цепей Маркова5.4 Нейросетевой метод5.5 Сравнительный анализ методов обнаружения аномалий и обоснование выбора метода6. Модуль обнаружения уязвимостей6.1 Требования к модулю6.2 Структура профиля нормального поведения6.2.1 Секция мета-информации6.2.2 Секция HTTP-параметров6.2.3 Секция информации об операциях над объектами окружения6.2.4 Пример записи профиля нормального поведения6.3 Программная архитектура модуля6.4 Описание подсистем модул6.4.1 Консоль управления6.4.2 Подсистема предварительной обработки трассы6.4.3 Подсистема построения профиля нормального поведения6.4.4 Подсистема обнаружения аномалий7. РезультатыЗаключениеЛитература