Меню
Главная
Авторизация/Регистрация
 
Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

Подсистема обнаружения аномалий

Задачей подсистемы обнаружения аномалий является анализ трассы, полученной в режиме обнаружения аномалий, на предмет аномалий в поведении веб-приложений. Под аномалиями понимаются как аномалии с точки зрения метода обнаружения уязвимостей (Подраздел 4.4), так и дополнительные виды аномалий - о них будет рассказано ниже.

Подсистема активизируется при запуске модуля в режиме обнаружения уязвимостей. После запуска подсистема производит загрузку профилей нормального поведения веб-приложений из базы данных профилей. При этом во внутреннем представлении формируется дерево профилей нормального поведения (далее «дерево профилей»), практически аналогичное дереву запросов. Разница состоит в том, что каждая вершина глубины 2 (то есть, каждый набор HTTP-параметров) имеет только одну дочернюю вершину глубины 3 (то есть, только один набор операций) - и эта вершина содержит множество всех допустимых операций для данного набора HTTP-параметров. Для каждой операции в дереве профилей сохраняются дополнительные параметры, используемые методом EWMA. После загрузки профилей нормального поведения подсистема переходит в режим обнаружения аномалий.

Подсистема получает на вход очередную запись трассы во внутреннем представлении, проанализированную и преобразованную предобработчиком трассы.

Обнаружение аномалий осуществляется по следующему алгоритму:

  • 1. Получение очередной записи трассы.
  • 2. В дереве профилей ищется вершина глубины 1 с совпадающим URL. Если такая вершина есть - переход на шаг 3, иначе на консоль управления подаются:
    • o предупреждение об обнаруженной аномалии;
    • o сообщение: «Для веб-приложения, которому адресован данный запрос, отсутствуют профили нормального поведения; возможно обращение по несуществующему адресу»;
    • o данные, содержащиеся в записи трассы.
  • 3. Проверяется, есть ли среди дочерних вершин глубины 2 данной вершины глубины 1 вершина с набором HTTP-параметров, совпадающим с набором HTTP-параметров, извлечённым из записи трассы. Если такая вершина есть - переход на шаг 4, иначе на консоль управления подаются:
    • o предупреждение об обнаруженной аномалии;
    • o сообщение «Для набора HTTP-параметров, извлечённого из данной записи трассы, отсутствует профиль нормального поведения»;
    • o данные, содержащиеся в записи трассы.

Но так как основной задачей является обнаружение уязвимостей, необходимо произвести пересчёт значений операций, так как, возможно, набор HTTP-параметров из поступившей записи трассы не соответствует описанным как раз из-за наличия значений параметров, не соответствующих ожидаемому типу или значению, и занесённым в HTTP-запрос с целью воздействия на уязвимость. Пересчёт статистик операций необходимо произвести для всех вершин глубины 3, дочерних к вершинам глубины 2 с совпадающим набором HTTP-параметров безотносительно типов или значений. Для каждой операции обновлённое значение статистики проверяется на предмет выхода за контрольные пределы. При выходе значения статистики за контрольные пределы на консоль управления подаются:

  • o предупреждение об аномалии;
  • o сообщение «Обнаружен выход статистики значений операции за контрольные пределы для недопустимого набора HTTP-параметров» с уточнением операции, объекта окружения и значения операции;
  • o данные, содержащиеся в записи трассы.
  • 4. Для каждой операции из набора операций над объектами окружения, извлечённого из записи трассы, проверяется её наличие в наборе допустимых операций в дочерней вершине глубины 3. Для каждой операции, не входящей во множество допустимых операций, на консоль управления подаются:
    • o предупреждение об аномалии;
    • o сообщение «Для набора HTTP-параметров, извлечённого из данной записи трассы, обнаружена недопустимая операция» с уточнением операции и объекта окружения;
    • o данные, содержащиеся в записи трассы.

Для каждой операции, входящей в набор допустимых операций, обновляется значение статистики по формуле (5.2.1), параметры для которой берутся из дерева профилей (то есть, из соответствующей записи профиля нормального поведения). Обновлённое значение статистики проверяется на предмет выхода за контрольные пределы. При выходе значения статистики за контрольные пределы на консоль управления подаются:

  • o предупреждение об аномалии;
  • o сообщение «Обнаружен выход статистики значений операции за контрольные пределы» с уточнением операции, объекта окружения и значения операции;
  • o данные, содержащиеся в записи трассы.
 
Если Вы заметили ошибку в тексте выделите слово и нажмите Shift + Enter
< Предыдущая   СОДЕРЖАНИЕ   Следующая >
 

СКАЧАТЬ ОРИГИНАЛ
Автоматическое построение профилей нормального поведения веб-приложений
1. Проблема работы2. Постановка задачи3. Определения и основные понятия4. Метод обнаружения уязвимостей веб-приложений4.1 Применение метода4.2 Описание метода4.3 Использование значений операций для более точного обнаружения отклонений в поведении4.4 Отклонения в поведении с точки зрения метода4.5 Сравнение наборов HTTP-параметров5. Выбор методов обнаружения аномалий5.1 Метод Хотеллинга (тест Хотеллинга)5.2 Метод EWMA (Exponentially Weighted Moving Average)5.3 Метод цепей Маркова5.4 Нейросетевой метод5.5 Сравнительный анализ методов обнаружения аномалий и обоснование выбора метода6. Модуль обнаружения уязвимостей6.1 Требования к модулю6.2 Структура профиля нормального поведения6.2.1 Секция мета-информации6.2.2 Секция HTTP-параметров6.2.3 Секция информации об операциях над объектами окружения6.2.4 Пример записи профиля нормального поведения6.3 Программная архитектура модуля6.4 Описание подсистем модул6.4.1 Консоль управления6.4.2 Подсистема предварительной обработки трассы6.4.3 Подсистема построения профиля нормального поведения6.4.4 Подсистема обнаружения аномалий7. РезультатыЗаключениеЛитература