ання інформаційної безпеки. У розглянутому випадку пропонується аналіз значень операцій за допомогою деякого математичного методу виявлення аномалій. У наступному розділі проводиться порівняльний аналіз математичних методів виявлення аномалій і вибирається один метод для подальшої реалізації в модулі виявлення аномалій.
4.4 Відхилення у поведінці з погляду методу
Таким чином, з точки зору описуваного методу, можливі два класи аномалій:
Аномалії, пов'язані з виявленням неприпустимих операцій.
Аномалії, пов'язані зі значеннями операцій.
Перший клас аномалій, як було сказано вище, може бути пов'язаний з наявністю в записі траси операції, що не входить в набір допустимих операцій для даного набору HTTP-параметрів, що визначається профілем нормальної поведінки.
Другий клас аномалій пов'язаний зі значеннями операцій, які є допустимими з погляду профілю нормальної поведінки. Цей тип аномалій виявляється за допомогою математичного методу, вибору якого присвячений наступний розділ.
При виявленні аномалії, що відноситься до будь-якого з цих класів, висувається припущення про уразливість, так як виконання веб-додатком операцій, несподіваних і неприпустимих з точки зору профілю нормального поведінки, може бути пов'язано з діями зловмисника - а це узгоджується з визначенням уразливості, наведеними в Розділі 3. Аномалії, пов'язані зі значеннями операцій, також можуть бути результатом впливу зловмисника на веб-додаток за допомогою деякої уразливості, як показано в підрозділі 4.3.
4.5 Порівняння наборів HTTP-параметрів
Необхідно додатково розглянути питання про порівняння наборів HTTP-параметрів.
Параметри можуть бути передані в веб-додаток методами GET і POST [22, 23], визначеними в стандарті протоколу HTTP. При використанні методу GET параметри передаються в URL-адресу виду:// lt; адреса додатки gt ;? параметр1=значення1 amp; параметр2=значення2
Так як довжина URL обмежена, метод GET застосуємо для передачі даних невеликого об'єму. Cогласно стандарту HTTP [23], запити типу GET вважаються ідемпотентними lt; # center gt; 5. Вибір методів виявлення аномалій
У даному розділі приводяться описи чотирьох математичних методів виявлення аномалій. Далі проводиться порівняльний аналіз і вибирається один метод. Обраний метод буде використаний в розробляється модулі для виявлення аномалій у значеннях операцій, тому після опису кожного методу наводиться варіант використання методу в термінах розв'язуваної задачі.
Розглянуті методи були обрані з таких міркувань:
кожен метод є представником класу методів;
кожен метод часто згадується в статтях, присвячених завданню виявлення аномалій.
У цьому розділі та далі терміни модель виявлення аномалій і метод виявлення аномалій будуть вважатися рівнозначними і взаємозамінними. Також рівнозначними будуть вважатися поняття етап навчання і етап побудови профілів нормальної поведінки .
5.1 Метод Хотеллінга (тест Хотеллінга)
Метод Хотеллінга являє собою багатовимірний статистичний метод виявлення аномалій [4]. Нехай X i =(X i1 , X i2 , ..., X ip ) - значення p параметрів процесу або системи в певний момент часу i . Передбачається, що при нормальному функціонуванні процесу аналізоване безліч векторів X володіє нормальним розподілом з вектором математичних очікувань ? і ковариационной матрицею ? . Для зразка даних розміру n вектор математичних очікувань X і коваріаційна матриця S зазвичай розраховуються наступним чином:
Значення тесту Хотеллінга T2 для спостереження X i розраховується наступним чином:
Велике значення T2 означає велике відхилення значень спостереження X i від математичних очікувань аналізованої сукупності спостережень.
Зазвичай невідомо, яким розподілом володіє безліч значень кожної такої змінної, а значить, висувати припущення про те, що воно є нормальним, не можна. Однак, якщо p випадкових величин незалежні і p досить велика (приблизно більше 30), то T2 має розподіл близьке до нормального відповідно до центральної граничної теореми незал...
