Полная версия

Главная arrow Информатика arrow Автоматическое построение профилей нормального поведения веб-приложений

  • Увеличить шрифт
  • Уменьшить шрифт


<<   СОДЕРЖАНИЕ   >>

Подсистема обнаружения аномалий

Задачей подсистемы обнаружения аномалий является анализ трассы, полученной в режиме обнаружения аномалий, на предмет аномалий в поведении веб-приложений. Под аномалиями понимаются как аномалии с точки зрения метода обнаружения уязвимостей (Подраздел 4.4), так и дополнительные виды аномалий - о них будет рассказано ниже.

Подсистема активизируется при запуске модуля в режиме обнаружения уязвимостей. После запуска подсистема производит загрузку профилей нормального поведения веб-приложений из базы данных профилей. При этом во внутреннем представлении формируется дерево профилей нормального поведения (далее «дерево профилей»), практически аналогичное дереву запросов. Разница состоит в том, что каждая вершина глубины 2 (то есть, каждый набор HTTP-параметров) имеет только одну дочернюю вершину глубины 3 (то есть, только один набор операций) - и эта вершина содержит множество всех допустимых операций для данного набора HTTP-параметров. Для каждой операции в дереве профилей сохраняются дополнительные параметры, используемые методом EWMA. После загрузки профилей нормального поведения подсистема переходит в режим обнаружения аномалий.

Подсистема получает на вход очередную запись трассы во внутреннем представлении, проанализированную и преобразованную предобработчиком трассы.

Обнаружение аномалий осуществляется по следующему алгоритму:

  • 1. Получение очередной записи трассы.
  • 2. В дереве профилей ищется вершина глубины 1 с совпадающим URL. Если такая вершина есть - переход на шаг 3, иначе на консоль управления подаются:
    • o предупреждение об обнаруженной аномалии;
    • o сообщение: «Для веб-приложения, которому адресован данный запрос, отсутствуют профили нормального поведения; возможно обращение по несуществующему адресу»;
    • o данные, содержащиеся в записи трассы.
  • 3. Проверяется, есть ли среди дочерних вершин глубины 2 данной вершины глубины 1 вершина с набором HTTP-параметров, совпадающим с набором HTTP-параметров, извлечённым из записи трассы. Если такая вершина есть - переход на шаг 4, иначе на консоль управления подаются:
    • o предупреждение об обнаруженной аномалии;
    • o сообщение «Для набора HTTP-параметров, извлечённого из данной записи трассы, отсутствует профиль нормального поведения»;
    • o данные, содержащиеся в записи трассы.

Но так как основной задачей является обнаружение уязвимостей, необходимо произвести пересчёт значений операций, так как, возможно, набор HTTP-параметров из поступившей записи трассы не соответствует описанным как раз из-за наличия значений параметров, не соответствующих ожидаемому типу или значению, и занесённым в HTTP-запрос с целью воздействия на уязвимость. Пересчёт статистик операций необходимо произвести для всех вершин глубины 3, дочерних к вершинам глубины 2 с совпадающим набором HTTP-параметров безотносительно типов или значений. Для каждой операции обновлённое значение статистики проверяется на предмет выхода за контрольные пределы. При выходе значения статистики за контрольные пределы на консоль управления подаются:

  • o предупреждение об аномалии;
  • o сообщение «Обнаружен выход статистики значений операции за контрольные пределы для недопустимого набора HTTP-параметров» с уточнением операции, объекта окружения и значения операции;
  • o данные, содержащиеся в записи трассы.
  • 4. Для каждой операции из набора операций над объектами окружения, извлечённого из записи трассы, проверяется её наличие в наборе допустимых операций в дочерней вершине глубины 3. Для каждой операции, не входящей во множество допустимых операций, на консоль управления подаются:
    • o предупреждение об аномалии;
    • o сообщение «Для набора HTTP-параметров, извлечённого из данной записи трассы, обнаружена недопустимая операция» с уточнением операции и объекта окружения;
    • o данные, содержащиеся в записи трассы.

Для каждой операции, входящей в набор допустимых операций, обновляется значение статистики по формуле (5.2.1), параметры для которой берутся из дерева профилей (то есть, из соответствующей записи профиля нормального поведения). Обновлённое значение статистики проверяется на предмет выхода за контрольные пределы. При выходе значения статистики за контрольные пределы на консоль управления подаются:

  • o предупреждение об аномалии;
  • o сообщение «Обнаружен выход статистики значений операции за контрольные пределы» с уточнением операции, объекта окружения и значения операции;
  • o данные, содержащиеся в записи трассы.
 
Перейти к загрузке файла
<<   СОДЕРЖАНИЕ   >>