6 Модуль обнаружения уязвимостей
В данном разделе описывается разработанный модуль обнаружения уязвимостей. Сначала формулируются требования к модулю. Далее описывается структура профиля нормального поведения, программная архитектура модуля и описание всех подсистем, входящих в модуль.
Модуль реализован в виде набора классов на языке C++, предназначенных для использования в рамках СОА «Мониторинг-РВС».
6.1 Требования к модулю
В данном подразделе формулируются требования к разрабатываемому модулю обнаружения уязвимостей.
К модулю предъявляются следующие требования:
модуль должен содержать независимые подсистемы для построения профилей нормального поведения веб-приложений и для обнаружения уязвимостей на основе построенных профилей;
профили нормального поведения должны храниться во внешних по отношению к модулю структурах данных, например, в файлах или в базе данных;
модуль должен осуществлять корректную работу вне зависимости от того, поступают записи трассы в режиме реального времени, или анализ происходит пост-фактум на основе сформированной трассы.
6.2 Структура профиля нормального поведения
В данном подразделе описывается структура профиля нормального поведения. Профиль нормального поведения представляет собой совокупность записей, описывающих соответствие между наборами HTTP-параметров и наборами допустимых операций над объектами окружения. Точнее, каждому набору HTTP-параметров соответствует набор допустимых операций над объектами окружения. Так как, как было сказано в описании предложенного метода обнаружения уязвимостей, помимо обнаружения аномалий, связанных с выполнением недопустимых с точки зрения профиля нормального поведения операций, будет производиться ещё и анализ значений операций при помощи математического метода обнаружения аномалий (таковым по результатам сравнительного анализа был выбран метод EWMA), то в описании каждой операции из набора операций должны быть указаны дополнительные данные для дальнейшего использования методом при обнаружении аномалий в значениях операций. Профили нормального поведения хранятся в файлах на жёстком диске.
Каждая запись профиля нормального поведения состоит из секций мета-информации, секции HTTP-параметров, которая подразделяется на подсекции GET и POST параметров, и секции информации об операциях над объектами окружения.
Запись профиля нормального поведения открывается ключевым словом WAProfile_Begin и заканчивается ключевым словом WAProfile_End.
6.2.1 Секция мета-информации
Секция мета-информации содержит набор основных и вспомогательных данных профиля нормального поведения.
Основными полями являются:
WAProfile_URL – данное поле содержит базовый URL-адрес веб-приложения.
Вспомогательными полями являются:
WAProfile_UserAgent – данное поле может содержать значение User-Agent HTTP-запроса. Поле является необязательным. Если значение поля задано, то в режиме обнаружения аномалий будет проводиться дополнительная проверка. Значение «*» в данном поле отключает проверку, семантически соответствуя любому значению.
6.2.2 Секция HTTP-параметров
Секция HTTP-параметров содержит перечисление параметров и их значений из набора HTTP-параметров, которому соответствует данная запись профиля нормального поведения.
Секция HTTP-параметров состоит из подсекций GET и POST параметров. Подсекции идентичны и имеют следующую структуру:
Подсекция открывается ключевым словом WAProfile_RequestSectionBegin.
Первым полем подсекции является поле WRA_RequestMethod, имеющее два возможных значения – GET и POST. Значение данного поля определяет, какие параметры описываются данной подсекцией.
Список GET или POST параметров, в зависимости от подсекции.
Подсекция закрывается ключевым словом WAProfile_RequestSectionEnd.
Каждый HTTP-параметр описывается парой полей:
WAProfile_ParameterName – данное поле содержит имя параметра;
WAProfile_ParameterValue – данное поле содержит значение параметра либо его тип (см. Подраздел 6.4.2).
В разработанном модуле в качестве типов используются символьные классы регулярных выражений стандарта POSIX [24]:
[:alnum:] - буквенно-цифровые символы;
[:alpha:] - буквенные символы;
[:blank:] - пробелы и знаки табуляции;
[:cntrl:] - управляющие символы;
[:digit:] – цифры;
[:graph:] - символы, которые и печатны, и одновременно видимы;
[:lower:] - буквы нижнего регистра;
[:print:] - печатные символы (символы, не являющиеся управляющими);
[:punct:] - знаки пунктуации;
[:space:] – пробельные символы;
[:upper:] - буквы верхнего регистра;
[:xdigit:] - шестнадцатеричные цифры.
Для проверки соответствия типа параметра используется соответствующее регулярное выражение.
Тем не менее, для GET-параметров возможны исключения – вместо совпадения значения для некоторых параметров целесообразнее проверять совпадение типов. К примеру, значение GET-параметра showforum системы управления форумом Invision Power Board варьируется, но логика работы системы при наличии этого параметра в URL остаётся неизменной. Аналогично, для POST-параметров возможны исключения – вместо совпадения типов для некоторых параметров целесообразнее проверять совпадение значений. К примеру, значение POST-параметра act системы управления форумом Invision Power Board является указанием к действию системе – и влияет на логику работы системы при обработке остальных POST-данных. Формат описания исключений для разработанного модуля приводится в Подразделе 6.4.2.
6.2.3 Секция информации об операциях над объектами окружения
Секция содержит информацию об операциях из набора допустимых операций над объектами окружения, определённого для набора HTTP-параметров, которому соответствует данная запись профиля нормального поведения.
Секция состоит из подсекций, описывающих операции над объектами окружения. Подсекции имеют следующую структуру:
Подсекция открывается ключевым словом WAProfile_ObjectRequestStart.
Набор полей, описывающих операцию над объектом окружения и содержащих дополнительные данные для использования математической моделью обнаружения аномалий.
Подсекция закрывается ключевым словом WAProfile_ObjectRequestEnd.
Операция описывается следующими полями:
WAProfile_ObjectId – данное поле содержит строку-идентификатор объекта окружения, которому принадлежит описываемая операция;
WAProfile_ObjectName – данное поле содержит текстовую строку-описание объекта окружения, которому принадлежит описываемая операция;
WAProfile_ObjectOp – данное поле содержит строку-идентификатор операции
WAProfile_ObjectOpMean- данное поле содержит вещественное значение, представляющее математическое ожидание статистики, рассчитываемой по формуле (5.2.1);
WAProfile_ObjectOpLambda – данное поле содержит вещественное значение константы сглаживания λ, используемого при расчёте статистики по формуле (5.2.1);
WAProfile_ObjectOpUCL – данное поле содержит вещественное значение верхнего контрольного предела, рассчитываемое по формуле (5.2.3);
WAProfile_ObjectOpLCL - данное поле содержит вещественное значение нижнего контрольного предела, рассчитываемое по формуле (5.2.4).
6.2.4 Пример записи профиля нормального поведения
Ниже приводится пример одной записи профиля нормального поведения. Запись определяет две допустимые операции («SELECT» и «INSERT») к одному объекту окружения (сервер MySQL версии 4.1.8) для набора параметров, состоящего из одного GET-параметра q и четырёх POST параметров title, changed, body, format.
WAProfile_Begin
WAProfile_RequestURL : http://localhost/mrvs/
WAProfile_UserAgent : *
WAProfile_RequestSectionBegin
WAProfile_RequestMethod : GET
WAProfile_VariableName : q
WAProfile_VariableValue : node/edit
WAProfile_RequestSectionEnd
WAProfile_RequestSectionBegin
WAProfile_RequestMethod : POST
WAProfile_VariableName : title
WAProfile_VariableValue : [:alnum:]
WAProfile_VariableName : changed
WAProfile_VariableValue : [:digit:]
WAProfile_VariableName : body
WAProfile_VariableValue : [:alnum:]
WAProfile_VariableName : format
WAProfile_VariableValue : [:alnum:]
WAProfile_RequestSectionEnd
WAProfile_ObjectRequestStart
WAProfile_ObjectId : mysql418
WAProfile_ObjectName : MySQL 4.1.8
WAProfile_ObjectOp : SELECT
WAProfile_ObjectOpMean : 43
WAProfile_ObjectOpLambda : 0.2
WAProfile_ObjectOpUCL : 44.6
WAProfile_ObjectOpVCL : 42.4
WAProfile_ObjectRequestEnd
WAProfile_ObjectRequestStart
WAProfile_ObjectId : mysql418
WAProfile_ObjectName : MySQL 4.1.8
WAProfile_ObjectOp : INSERT
WAProfile_ObjectOpMean : 6
WAProfile_ObjectOpLambda : 0.2
WAProfile_ObjectOpUCL : 7
WAProfile_ObjectOpVCL : 5
WAProfile_ObjectRequestEnd
WAProfile_End
|
