Программная архитектура модуля

В данном подразделе описывается программная архитектура разработанного модуля обнаружения уязвимостей.

Модуль состоит из следующих основных подсистем:

  • · консоль управления;
  • · подсистема предварительной обработки трассы веб-приложения;
  • · подсистема построения профиля нормального поведения;
  • · подсистема обнаружения аномалий.

Подробное описание каждой подсистемы модуля проводится в соответствующих подразделах Раздела 6.4. Ниже приводится краткое описание задач, решаемых каждой подсистемой.

Задачами консоли управления является:

  • · общее управление модулем;
  • · загрузка параметров конфигурации;
  • · настройка и запуск подсистем.

Задачами подсистемы предварительной обработки трассы являются:

  • · получение записей трассы от поставщиков событий СОА «Мониторинг-РВС»;
  • · анализ и преобразование записей трассы во внутреннее представление для дальнейшей передачи подсистемам построения профиля нормального поведения и обнаружения аномалий.

Задачами подсистемы построения профиля нормального поведения являются:

  • · анализ поступающих от подсистемы предварительной обработки трассы записей трассы и построение дерева запросов;
  • · формирование и сохранение профилей нормального поведения на основе дерева запросов.

Задачами подсистемы обнаружения аномалий являются:

  • · загрузка профилей нормального поведения и формирование дерева профилей;
  • · анализ поступающих от подсистемы предварительной обработки трассы записей трассы и выявление аномалий;
  • · подача сообщений о выявленных аномалиях на консоль управления.

Модуль может функционировать в двух основных режимах: режиме построения профилей нормального поведения и режиме обнаружения аномалий.

На рисунке 6.3.1 показана схема работы модуля в режиме построения профиля нормального поведения. Данные от поставщиков событий (на схеме обозначены аббревиатурой «ПС»), перехватывающих HTTP-запросы к веб-приложению и обращения веб-приложения к объектам окружения, попадают в подсистему предварительной обработки трассы, где анализируются и преобразовываются к внутреннему представлению записи трассы. Далее преобразованная запись трассы передаётся в подсистему построения профилей нормального поведения, где происходит анализ и добавление содержащихся в записях трассы данных в строящееся дерево запросов. По команде отключения режима построения профилей нормального поведения с консоли управления, подсистема построения профилей нормального поведения формирует на основе построенного дерева запросов профили нормального поведения и сохраняет их в базу данных профилей нормального поведения (на схеме помечена аббревиатурой «БД»).

Схема функционирования модуля в режиме построения профиля нормального поведения

Рисунок 6.3.1 Схема функционирования модуля в режиме построения профиля нормального поведения

На рисунке 6.3.2 показана схема работы модуля в режиме обнаружения аномалий. Данные от поставщиков событий (на схеме обозначены аббревиатурой «ПС»), перехватывающих HTTP-запросы к веб-приложению и обращения веб-приложения к объектам окружения, попадают в подсистему предварительной обработки трассы, где анализируются и преобразовываются к внутреннему представлению записи трассы. Далее преобразованная запись трассы передаётся в подсистему обнаружения аномалий, где происходит анализ и выявление аномалий относительно профилей нормального поведения. Профили нормального поведения загружаются подсистемой обнаружения из базы данных профилей нормального поведения (на схеме помечена аббревиатурой «БД») в начальный момент времени и формируют дерево профилей нормального поведения.

Схема функционирования модуля в режиме обнаружения аномалий

Рисунок 6.3.2 Схема функционирования модуля в режиме обнаружения аномалий
 
< Пред   СОДЕРЖАНИЕ   Загрузить   След >