лькість спостережуваних пар станів X t і X t + 1 , де перше одно i будь-яким з 1, 2, ..., s.
N j - кількість станів X t , рівних i
N - загальна кількість спостережень.
Для аналізу відкривається вікно спостереження розміру N - беруться N останніх подій до теперішнього моменту часу t E t - ( N - 1)= t - N +1, ..., E t .
Кожному події зіставляється тип з кінцевого безлічі типів подій. Далі аналізується вийшла послідовність станів - типів подій X t -N, ..., X t ( X i - тип події E i ).
Імовірність приналежності даної послідовності станів нормальній поведінці системи визначається за наступною формулою:
(5.3.2)
Послідовність аномальних дій матиме меншу ймовірність (меншу підтримку моделі).
Випробування на реальних системах показали, що між значеннями мінімальної ймовірності нормального поведінки системи та максимальної можливості дій зловмисників був досить великий пробіл, який можна вважати порогом для прийняття рішення про нормальність поведінки.
У контексті запропонованого методу виявлення вразливостей метод може бути використаний таким чином.
На етапі побудови профілів нормальної поведінки для кожного набору HTTP-параметрів надходять значення операцій формують послідовність станів (послідовність формується відповідно до хронологічним порядком надходження значень операцій), тобто - кожне значення вважається станом. Далі розраховуються матриця ймовірностей переходів і вектор початкового розподілу вірогідності і фіксуються в профілі нормальної поведінки.
У режимі виявлення аномалій для кожного набору HTTP-параметрів відкривається вікно спостереження, що охоплює послідовність значень операцій, що надходять для даного набору HTTP-параметрів. На основі витягнутих з профілю нормальної поведінки матриці ймовірностей переходів і вектора початкового розподілу вірогідності за формулою (5.3.2) перераховується загальна ймовірність послідовності значень операцій, зафіксованої в поточний момент часу у вікні спостереження. При падінні ймовірності нижче контрольного межі - фіксується аномалія і передбачається уразливість в веб-додатку, якому надійшов запит.
5.4 Нейромережевий метод
Нейромережевий метод виявлення аномалій розглядається на прикладі експериментальної системи виявлення аномалій NNID (Neural Network Intrusion Detection) [25].
В основі методу лежить нейросеть з кількістю шарів від трьох до п'яти. Входи використовуються для подачі вхідних даних, значення на виходах аналізуються для виявлення аномалій.
У контексті запропонованого методу виявлення вразливостей дана модель може бути використана таким чином.
Кількість входів нейромережі робиться рівним сумі кількості всіх можливих GET і POST параметрів і кількості всіх операцій над усіма об'єктами оточення. Кількість виходів встановлюється рівною кількості веб-додатків. У режимі виявлення аномалій на входи нейромережі, відповідні GET і POST параметрах подаються: 1, якщо цей параметр присутній в HTTP-запиті, і 0, якщо не був присутній. На входи, відповідні операціями над об'єктами оточення, подаються відповідні значення операцій. Значення на виходах варіюється від 0 до 1 з кроком 0.1. Вважається, що значення на деякому виході більшу 0.5 однозначно ідентифікує веб-додаток, якому може належати така комбінація HTTP-параметрів і значень операцій. Якщо більш ніж на одному виході виявлено значення більше 0.5, або на жодному виході немає значення більшого 0.5 - фіксується аномалія і передбачається уразливість в веб-додатку, якому надійшов запит.
На етапі побудови профілю нормальної поведінки проводиться настройка ваг нейромережі за допомогою деякого автоматичного алгоритму навчання, наприклад за допомогою алгоритму зі зворотним поширенням. На входи нейромережі подається чергова комбінація, що характеризує набір HTTP-параметрів і набір значень операцій, отриманих в ході обробки даного HTTP-запиту. Значення виходу, відповідний запитуваній веб-додатком, встановлюється в 1, після чого алгоритмом навчання проводиться настройка вагів. Отримана конфігурація мережі зберігається в профілі нормальної поведінки.
5.5 Порівняльний аналіз методів виявлення аномалій і обґрунтування вибору методу
Виходячи з контексту розв'язуваної задачі, для порівняльного аналізу розглянутих математичних моделей виявлення аномалій можна вибрати наступні критерії.
. Нечутливість методу до ненормальності розподілу аналізованої випадкової величини.
