ренастроювання мережі.
. Аналіз значень, а не послідовності їх появи.
Недоліком статистичних методів вважається нечутливість до аномалій в послідовності подій. Існує ряд методів, які призначені для виявлення аномалій саме в послідовності подій, наприклад - метод попереджувального генерування шаблонів (Predictive Pattern Generation) [6] і описаний вище метод ланцюгів Маркова. По суті, такі методи припускають перехід системи зі стану в стан залежно від вступників значень і на етапі навчання визначають ймовірності переходів. Відправною точкою служить припущення про те, що безліч станів системи звичайно, інакше виникають проблеми з визначенням моменту завершення етапу навчання, так як система буде продовжувати переходити в нові стани. Реалізація методів цього класу ґрунтується на аналізі послідовності значень з кінцевого безлічі значень. Прикладом може служити послідовність системних викликів операційної системи. Однак у розглянутій задачі аналізовані послідовності містять значення операцій, і про кінцівки безлічі їх значень апріорі нічого сказати не можна. Тому аналіз самих значень, а не послідовності їх появ, видається більш перспективним в контексті даної задачі.
Таким чином, даним критерієм не задовольняє метод ланцюгів Маркова. Для розглянутої задачі застосування методу ланцюгів Маркова видається проблематичним, оскільки, як було показано в ПІДРОЗДІЛИ 5.3, в якості типів подій передбачається використовувати значення операцій. Безліч значень операцій може бути як завгодно великим, в той час як розмірність матриці ймовірностей переходів і, отже, складність розрахунку значень її елементів, залежить від кількості елементів множини.
З розглянутих методів наступні методи аналізують значення випадкових величин, а не послідовність появи цих значень:
метод Хотеллінга - в основі лежить багатовимірний статистичний метод, на результати роботи якого впливають самі значення, а не їх послідовність;
метод EWMA - в основі лежить одновимірний статистичний метод, на результати роботи якого впливають самі значення, а не їх послідовність;
нейромережевої метод - в основі методу лежить нейросеть, на результати роботи якої впливають самі значення, а не їх послідовність.
Таким чином, з урахуванням співвідношення методів за наведеними критеріями, найбільш підходящим методом для виявлення аномалій у значеннях операцій з розглянутих є метод EWMA.
6. Модуль виявлення вразливостей
У даному розділі описується розроблений модуль виявлення вразливостей. Спочатку формулюються вимоги до модулю. Далі описується структура профілю нормальної поведінки, програмна архітектура модуля і опис всіх підсистем, що входять в модуль.
Модуль реалізований у вигляді набору класів на мові C ++, призначених для використання в рамках СОА Моніторинг-РВС .
6.1 Вимоги до модуля
У даному підрозділі формулюються вимоги до розробляється модулю виявлення вразливостей.
До модуля пред'являються наступні вимоги:
модуль повинен містити незалежні підсистеми для побудови профілів нормальної поведінки веб-додатків і для виявлення вразливостей на основі побудованих профілів;
профілі нормальної поведінки повинні зберігатися у зовнішніх по відношенню до модулю структурах даних, наприклад, в файлах або в базі даних;
модуль повинен здійснювати коректну роботу незалежно від того, надходять записи траси в режимі реального часу, або аналіз відбувається пост-фактум на основі сформованої траси.
6.2 Структура профілю нормальної поведінки
У даному підрозділі описується структура профілю нормальної поведінки. Профіль нормальної поведінки являє собою сукупність записів, що описують відповідність між наборами HTTP-параметрів і наборами допустимих операцій над об'єктами оточення. Точніше, кожному набору HTTP-параметрів відповідає набір допустимих операцій над об'єктами оточення. Бо, як було сказано в описі запропонованого методу виявлення вразливостей, крім виявлення аномалій, пов'язаних з виконанням неприпустимих з точки зору профілю нормальної поведінки операцій, проводитиметься ще й аналіз значень операцій за допомогою математичного методу виявлення аномалій (таким за результатами порівняльного аналізу було обрано метод EWMA), то в описі кожної операції з набору операцій повинні бути вказані додаткові дані для подальшого використання методом при виявленні аномалій у значеннях операцій. Профілі нормальної поведінки зберігаються у файлах на жорсткому диску.
Кожен запис п...
