Программная архитектура модуля
В данном подразделе описывается программная архитектура разработанного модуля обнаружения уязвимостей.
Модуль состоит из следующих основных подсистем:
- · консоль управления;
- · подсистема предварительной обработки трассы веб-приложения;
- · подсистема построения профиля нормального поведения;
- · подсистема обнаружения аномалий.
Подробное описание каждой подсистемы модуля проводится в соответствующих подразделах Раздела 6.4. Ниже приводится краткое описание задач, решаемых каждой подсистемой.
Задачами консоли управления является:
- · общее управление модулем;
- · загрузка параметров конфигурации;
- · настройка и запуск подсистем.
Задачами подсистемы предварительной обработки трассы являются:
- · получение записей трассы от поставщиков событий СОА «Мониторинг-РВС»;
- · анализ и преобразование записей трассы во внутреннее представление для дальнейшей передачи подсистемам построения профиля нормального поведения и обнаружения аномалий.
Задачами подсистемы построения профиля нормального поведения являются:
- · анализ поступающих от подсистемы предварительной обработки трассы записей трассы и построение дерева запросов;
- · формирование и сохранение профилей нормального поведения на основе дерева запросов.
Задачами подсистемы обнаружения аномалий являются:
- · загрузка профилей нормального поведения и формирование дерева профилей;
- · анализ поступающих от подсистемы предварительной обработки трассы записей трассы и выявление аномалий;
- · подача сообщений о выявленных аномалиях на консоль управления.
Модуль может функционировать в двух основных режимах: режиме построения профилей нормального поведения и режиме обнаружения аномалий.
На рисунке 6.3.1 показана схема работы модуля в режиме построения профиля нормального поведения. Данные от поставщиков событий (на схеме обозначены аббревиатурой «ПС»), перехватывающих HTTP-запросы к веб-приложению и обращения веб-приложения к объектам окружения, попадают в подсистему предварительной обработки трассы, где анализируются и преобразовываются к внутреннему представлению записи трассы. Далее преобразованная запись трассы передаётся в подсистему построения профилей нормального поведения, где происходит анализ и добавление содержащихся в записях трассы данных в строящееся дерево запросов. По команде отключения режима построения профилей нормального поведения с консоли управления, подсистема построения профилей нормального поведения формирует на основе построенного дерева запросов профили нормального поведения и сохраняет их в базу данных профилей нормального поведения (на схеме помечена аббревиатурой «БД»).

Рисунок 6.3.1 Схема функционирования модуля в режиме построения профиля нормального поведения
На рисунке 6.3.2 показана схема работы модуля в режиме обнаружения аномалий. Данные от поставщиков событий (на схеме обозначены аббревиатурой «ПС»), перехватывающих HTTP-запросы к веб-приложению и обращения веб-приложения к объектам окружения, попадают в подсистему предварительной обработки трассы, где анализируются и преобразовываются к внутреннему представлению записи трассы. Далее преобразованная запись трассы передаётся в подсистему обнаружения аномалий, где происходит анализ и выявление аномалий относительно профилей нормального поведения. Профили нормального поведения загружаются подсистемой обнаружения из базы данных профилей нормального поведения (на схеме помечена аббревиатурой «БД») в начальный момент времени и формируют дерево профилей нормального поведения.

Рисунок 6.3.2 Схема функционирования модуля в режиме обнаружения аномалий