х значеннях ? на значення статистики z i впливає більшу кількість значень x i , при великих - найменше, що дозволяє параметризованим формулу розрахунку z i (5.2.1) для обліку короткострокових або довгострокових тенденцій.
У загальному випадку формування профілю нормальної поведінки проводиться таким чином.
Виходить набір навчальних даних. Далі вираховується математичне очікування для аналізованої випадкової величини, воно приймається в якості початкового значення статистики z 0 ( згідно з формулою (5.2.2)). Потім за формулою (5.2.1) для кожного i-го значення випадкової величини з тестового набору розраховується значення статистики z i . Після цього вираховується дисперсія для x i і контрольні межі за формулами (5.2.3) і (5.2.4). Отримані дані зберігаються у профілі нормальної поведінки.
У режимі виявлення аномалій надходять значення використовуються для перерахунку статистики z i . Одержувані значення z i порівнюються з контрольними межами, зафіксованими в профілі нормальної поведінки. У випадку, якщо чергове значення виходить за контрольні межі - фіксується аномалія.
У контексті запропонованого методу виявлення вразливостей метод може бути використаний таким чином.
Розглянутий статистичний метод є одновимірним, отже, статистика буде вираховуватися для кожної операції з набору операцій по її значенню.
На етапі побудови профілів нормальної поведінки набори значень операцій групуються за розділами HTTP-параметрів. Далі, для кожної допустимої операції кожного набору HTTP-параметрів за загальною схемою, приведеною вище, вираховуються контрольні межі і зберігаються у профілі нормальної поведінки.
У режимі виявлення аномалій надходять значення операцій використовуються для розрахунку значення статистики за формулою (5.2.1), статистика вважається для кожної допустимої операції кожного набору HTTP-параметрів. При виході значення статистики за контрольні межі, зазначені в профілі нормального поведінки - фіксується аномалія і передбачається уразливість в веб-додатку, якому надійшов запит.
5.3 Метод ланцюгів Маркова
Визначення [26]: Маркова ланцюг - марковский процес з дискретним часом, заданий в вимірному просторі.
Стохастичний процес в дискретні моменти часу показує, як змінюється значення випадкової змінної в дані моменти часу. Нехай X t - деяка випадкова змінна, що представляє стан системи в момент часу t , де t=0, 1, ... Стаціонарна ланцюг Маркова - це стохастичний процес з дискретним часом, для якого передбачається наступне:
розподіл ймовірності перебування системи в деякому стані в момент часу t + 1 залежить від стану в момент часу t і не залежить від станів, в яких знаходилася система в моменти часу, що передують моменту t ;
перехід зі стану в момент часу t в стан моментів часу t + 1 є миттєвим.
Позначимо через p ij ймовірність того, що система знаходиться в стані j в момент часу t + 1 і в стані i в момент часу t [8]. Якщо безліч можливих станів системи звичайно (1, 2, ..., s), то стаціонарна ланцюг Маркова може бути визначена матрицею ймовірностей переходів
і вектором початкового розподілу вірогідності: Q=(q 1 q 2 ... q s ), де q i - ймовірність перебування системи в стані i в момент часу 0 і.
Імовірність появи послідовності станів X 1 , X 2 , ..., X T в моменти часу 1, 2, ..., T в контексті ланцюгової моделі Маркова розраховується наступним чином:
Матриця ймовірностей переходів і вектор початкового розподілу вірогідності можуть бути побудовані шляхом аналізу станів системи в попередні моменти часу. Якщо є набір спостережень за станами системи X 0 , X 1 , ..., X N - 1 в моменти часу 0, 1, ..., N - 1, то компоненти матриці ймовірностей переходів і вектора початкового розподілу вірогідності розраховуються наступним чином:
(5.3.1)
де
N ij - кількість спостережуваних пар станів X t і X < i> t + 1 , рівних i і j відповідно.
N j.- кі...
