рофілю нормальної поведінки складається з секцій мета-інформації, секції HTTP-параметрів, яка поділяється на підсекції GET і POST параметрів, і секції інформації про операції над об'єктами оточення.
Запис профілю нормальної поведінки відкривається ключовим словом WAProfile_Begin і закінчується ключовим словом WAProfile_End .
6.2.1 Секція мета-інформації
Секція мета-інформації містить набір основних і допоміжних даних профілю нормальної поведінки.
Основними полями є:
WAProfile_URL - дане поле містить базовий URL-адреса веб-додатки.
Допоміжними полями є:
WAProfile_UserAgent - дане поле може містити значення User-Agent HTTP-запиту. Поле є необов'язковим. Якщо значення поля задана, то в режимі виявлення аномалій буде проводитися додаткова перевірка. Значення * в даному полі відключає перевірку, семантично відповідаючи будь-якому значенню.
6.2.2 Секція HTTP-параметрів
Секція HTTP-параметрів містить перерахування параметрів і їх значень з набору HTTP-параметрів, якому відповідає дана запис профілю нормальної поведінки.
Секція HTTP-параметрів складається з підсекцій GET і POST параметрів. Підсекції ідентичні і мають наступну структуру:
Підсекція відкривається ключовим словом WAProfile_RequestSectionBegin .
Першим полем підсекції є поле WRA_RequestMethod, має два можливі значення - GET і POST . Значення даного поля визначає, які параметри описуються даної підсекції.
Список GET або POST параметрів, залежно від підсекції.
Підсекція закривається ключовим словом WAProfile_RequestSectionEnd.
Кожен HTTP-параметр описується парою полів:
WAProfile_ParameterName - дане поле містить ім'я параметра;
WAProfile_ParameterValue - дане поле містить значення параметра або його тип (, див. Підрозділ 6.4.2).
У розробленому модулі в якості типів використовуються символьні класи регулярних виразів стандарту POSIX [24]:
[: alnum:] - буквено-цифрові символи;
[: alpha:] - літерні символи;
[: blank:] - прогалини і знаки табуляції;
[: cntrl:] - керуючі символи;
[: digit:] - цифри;
[: graph:] - символи, які й друковано, і одночасно видимі;
[: lower:] - букви нижнього регістра;
[: print:] - друковані символи (символи, які не є керуючими);
[: punct:] - знаки пунктуації;
[: space:] - пробільні символи;
[: upper:] - літери верхнього регістру;
[: xdigit:] - шістнадцяткові цифри.
Для перевірки відповідності типу параметра використовується відповідне регулярний вираз.
Проте, для GET-параметрів можливі винятки - замість збіги значення для деяких параметрів доцільніше перевіряти збіг типів. Приміром, значення GET-параметра showforum системи управління форумом Invision Power Board варіюється, але логіка роботи системи при наявності цього параметра в URL залишається незмінною. Аналогічно, для POST-параметрів можливі винятки - замість збіги типів для деяких параметрів доцільніше перевіряти збіг значень. Приміром, значення POST-параметра act системи управління форумом Invision Power Board є вказівкою до дії системі - і впливає на логіку роботи системи при обробці інших POST-даних. Формат опису винятків для розробленого модуля наводиться в ПІДРОЗДІЛИ 6.4.2.
6.2.3 Секція інформації про операції над об'єктами оточення
Секція містить інформацію про операції з набору допустимих операцій над об'єктами оточення, визначеного для набору HTTP-параметрів, якому відповідає дана запис профілю нормальної поведінки.
Секція складається з підсекцій, що описують операції над об'єктами оточення. Підсекції мають наступну структуру:
Підсекція відкривається ключовим словом WAProfile_ObjectRequestStart.
Набір полів, що описують операцію над об'єктом оточення і містять додаткові дані для використання математичною моделлю виявлення аномалій.
Підсекція закривається ключовим словом
