Полная версия

Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

  • Увеличить шрифт
  • Уменьшить шрифт
<<   СОДЕРЖАНИЕ   >>

Модуль обнаружения уязвимостей

В данном разделе описывается разработанный модуль обнаружения уязвимостей. Сначала формулируются требования к модулю. Далее описывается структура профиля нормального поведения, программная архитектура модуля и описание всех подсистем, входящих в модуль.

Модуль реализован в виде набора классов на языке C++, предназначенных для использования в рамках СОА «Мониторинг-РВС».

Требования к модулю

В данном подразделе формулируются требования к разрабатываемому модулю обнаружения уязвимостей.

К модулю предъявляются следующие требования:

  • · модуль должен содержать независимые подсистемы для построения профилей нормального поведения веб-приложений и для обнаружения уязвимостей на основе построенных профилей;
  • · профили нормального поведения должны храниться во внешних по отношению к модулю структурах данных, например, в файлах или в базе данных;
  • · модуль должен осуществлять корректную работу вне зависимости от того, поступают записи трассы в режиме реального времени, или анализ происходит пост-фактум на основе сформированной трассы.

Структура профиля нормального поведения

В данном подразделе описывается структура профиля нормального поведения. Профиль нормального поведения представляет собой совокупность записей, описывающих соответствие между наборами HTTP-параметров и наборами допустимых операций над объектами окружения. Точнее, каждому набору HTTP-параметров соответствует набор допустимых операций над объектами окружения. Так как, как было сказано в описании предложенного метода обнаружения уязвимостей, помимо обнаружения аномалий, связанных с выполнением недопустимых с точки зрения профиля нормального поведения операций, будет производиться ещё и анализ значений операций при помощи математического метода обнаружения аномалий (таковым по результатам сравнительного анализа был выбран метод EWMA), то в описании каждой операции из набора операций должны быть указаны дополнительные данные для дальнейшего использования методом при обнаружении аномалий в значениях операций. Профили нормального поведения хранятся в файлах на жёстком диске.

Каждая запись профиля нормального поведения состоит из секций мета-информации, секции HTTP-параметров, которая подразделяется на подсекции GET и POST параметров, и секции информации об операциях над объектами окружения.

Запись профиля нормального поведения открывается ключевым словом WAProfile_Begin и заканчивается ключевым словом WAProfile_End.
 
Перейти к загрузке файла
<<   СОДЕРЖАНИЕ   >>