дження про аномалії;
повідомлення Виявлений вихід статистики значень операції за контрольні межі з уточненням операції, об'єкта оточення і значення операції;
дані, що містяться в записі траси.
7. Результати
У результаті даної роботи:
сформульовані основні поняття;
описаний пропонований метод виявлення вразливостей і обгрунтована ідея використання математичного методу виявлення аномалій для аналізу значень операцій;
розглянуті 4 математичних методу виявлення аномалій - наведені описи методів, можливе використання кожного методу в рамках загального методу виявлення вразливостей і автоматичне побудова профілів нормальної поведінки для кожного методу;
сформульовані критерії для порівняльного аналізу розглянутих методів виявлення аномалій, в результаті якого обраний один метод для подальшої реалізації в рамках запропонованого методу виявлення вразливостей;
на основі методу розроблено та реалізовано модуль виявлення вразливостей для СОА Моніторинг-РВС з функцією автоматичного побудови профілів нормальної поведінки;
проведені випробування на широко поширених веб-додатках.
8. Висновок
У даній роботі наведено опис методу виявлення вразливостей на основі контролю поведінки та розробленого на його основі модуля виявлення вразливостей з функцією автоматичного побудови профілів нормальної поведінки. В основі методу виявлення вразливостей лежить виявлення аномалій у поводженні веб-додатки. Завдання виявлення аномалій в цілому і виявлення аномалій стосовно до веб-додатків зокрема останні роки стає все більш актуальною [1, 3, 6, 8]. Автоматична побудова профілів нормального поведінки дозволяє піти від необхідності ручного налаштування засоби забезпечення безпеки під конкретне веб-додаток, що є трудомісткою і витратною за часом завданням навіть для досвідченого фахівця.
У ході роботи була виявлена ??технічна складність завдання, що виявляється на етапі реалізації програмного засобу. Для отримання достатньої інформації для можливо повного аналізу поведінки веб-додатки потрібне створення постачальників подій для кожного об'єкта оточення. Крім того, програмний інтерфейс багатьох об'єктів оточення не дозволяє отримати потрібні дані, що може зажадати модифікацію програмних бібліотек об'єкта (як, наприклад, це було зроблено авторами в [3]) - це порушує цілісність і стабільність системи і вельми проблематично для програм із закритим вихідним кодом. Також потрібно створення координуючої системи, сопоставляющей події від різних об'єктів оточення з HTTP-запитами і формуючої готові для аналізу запису траси.
Таким чином, важливими напрямками подальшої роботи в даній області представляються:
удосконалення алгоритмів виявлення вразливостей на основі контролю поведінки;
інтеграція етапів навчання і виявлення вразливостей без втрати точності виявлення і збільшення кількості помилкових попереджень;
створення єдиної системи отримання подій з підключаються в міру необхідності постачальниками подій для окремих об'єктів оточення.
9. Література
[1] Kruegel C., Giovanny V. Anomaly Detection of Web-based Attacks//In Proceedings of the 10th ACM Conference on Computer and Communication Security (CCS 03). 2003. P.251-261.
[2] Vigna G., Robertson W., Kher V., Kemmerer. RA A Stateful Intrusion Detection System for World-Wide Web Servers//In Proceedings of the Annual Computer Security Applications Conference (ACSAC 2003). 2003. P.34-43
[3] Valeur F., Mutz D., Vigna G. A Learning-Based Approach to the Detection of SQL Attacks//Intrusion and Malware Detection and Vulnerability Assessment. 2 005.
[4] Ye N., Emran SM, Chen Q., Vilbert S. Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection//IEEE Transactions on Computers. 2002. № 7.
[5] Denning D. An Intrusion Detection Model//IEEE Transactions on Software Engineering. 1987. № 2. P.222.
[6] Park Y. A Statistical Process Control Approach for Network Intrusion Detection//In partial fulfillment of the requirements for the degree doctor of philosophy in the school of industrial and systems engineering. 2 005.
[7] Kohout LJ, Yasinsac A., McDuffie E. Activity Profiles for Intrusion Detection. Деп. в Dept. of Computer Science, Florida SU. 2 003.
[8] Ye N. A Markov Chain Model of Temporal Behavior for Anomaly De...
