Полная версия

Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ   >>

Описание метода

В основе метода лежит идея анализа связей между наборами параметров, поступающих в веб-приложение через HTTP-запросы, и операциями над объектами окружения, совершаемыми веб-приложениями в ответ на данные запросы. Метод предполагает функционирование реализующего его средства в двух режимах - в режиме обучения и в режиме обнаружения уязвимостей. При работе средства в любом из режимов формируется трасса веб-приложения (трасса) - последовательность записей трассы, описывающих поступившие в HTTP-запросах наборы параметров и наборы совершённых веб-приложением операций над объектами окружения в ответ на запросы. Каждому набору HTTP-параметров соответствует набор совершённых в ходе обработки HTTP-запроса операций над объектами окружения.

В зависимости от реализации, трасса может формироваться для отложенного по времени анализа и для анализа в режиме реального времени. В первом варианте трасса веб-приложения может представлять собой набор записей трассы, сохранённых в виде файла или в базе данных. Во втором варианте записи трассы веб-приложения могут поступать для анализа в режиме реального времени. Для работы самого метода выбор способа формирования трассы не является существенным.

Режим обучения предназначен для автоматического построения профилей нормального поведения веб-приложений. В режиме обучения веб-приложение используется легитимным пользователем строго по назначению. На этапе обучения трасса анализируется, и в результате анализа формируется профиль нормального поведения веб-приложения. В нём фиксируются наборы HTTP-параметров и соответствующие наборы операций. Таким образом, профиль несёт в себе информацию об ожидаемых (или допустимых) операциях в ответ на каждый набор HTTP-параметров. Подробнее алгоритм построения профиля нормального поведения описывается в Подразделе 6.4.3.

Очевидно, для построения максимально подробного и адекватного профиля нормального поведения, функционирование веб-приложения в режиме обучения должно охватывать возможно большее количество вариантов использования. При этом также встаёт традиционная для включающих в себя этап обучения методов обнаружения аномалий проблема «чистоты» учебного периода - необходимо оградить веб-приложение от возможного использования злоумышленниками, так как иначе в профиле нормального поведения в качестве допустимых будут зафиксированы действия, потенциально таковыми не являющиеся [4, 6].

В режиме обнаружения уязвимостей происходит анализ фактических действий веб-приложения в ответ на поступающие HTTP-запросы. Ищется профиль нормального поведения для данного веб-приложения, содержащий информацию о допустимых операциях для текущего набора HTTP-параметров. Проверяется наличие в наборе фактически совершённых операций элементов, не входящих во множество допустимых операций. Если такие операции были совершены - предполагается уязвимость. Подробнее алгоритм обнаружения аномалий описывается в Подразделе 6.4.4.

 
Перейти к загрузке файла
<<   СОДЕРЖАНИЕ   >>