7 Результаты В результате данной работы:
сформулированы основные понятия;
описан предлагаемый метод обнаружения уязвимостей и обоснована идея использования математического метода обнаружения аномалий для анализа значений операций;
рассмотрены 4 математических метода обнаружения аномалий – приведены описания методов, возможное использование каждого метода в рамках общего метода обнаружения уязвимостей и автоматическое построение профилей нормального поведения для каждого метода;
сформулированы критерии для сравнительного анализа рассмотренных методов обнаружения аномалий, в результате которого выбран один метод для дальнейшей реализации в рамках предложенного метода обнаружения уязвимостей;
на основе метода разработан и реализован модуль обнаружения уязвимостей для СОА «Мониторинг-РВС» с функцией автоматического построения профилей нормального поведения;
проведены испытания на широко распространённых веб-приложениях.
8 Заключение В данной работе приведено описание метода обнаружения уязвимостей на основе контроля поведения и разработанного на его основе модуля обнаружения уязвимостей с функцией автоматического построения профилей нормального поведения. В основе метода обнаружения уязвимостей лежит обнаружение аномалий в поведении веб-приложения. Задача обнаружения аномалий в целом и обнаружения аномалий применительно к веб-приложениям в частности в последние годы становится всё более актуальной [1, 3, 6, 8]. Автоматическое построение профилей нормального поведения позволяет уйти от необходимости ручной настройки средства обеспечения безопасности под конкретное веб-приложение, что является трудоёмкой и затратной по времени задачей даже для опытного специалиста.
В ходе работы была выявлена техническая сложность задачи, проявляющаяся на этапе реализации программного средства. Для получения достаточной информации для возможно полного анализа поведения веб-приложения требуется создание поставщиков событий для каждого объекта окружения. Кроме того, программный интерфейс многих объектов окружения не позволяет получить нужные данные, что может потребовать модификацию программных библиотек объекта (как, например, это было сделано авторами в [3]) – это нарушает целостность и стабильность системы и весьма проблематично для программ с закрытым исходным кодом. Также требуется создание координирующей системы, сопоставляющей события от разных объектов окружения с HTTP-запросами и формирующей готовые для анализа записи трассы.
Таким образом, важными направлениями дальнейшей работы в данной области представляются:
усовершенствование алгоритмов обнаружения уязвимостей на основе контроля поведения;
интеграция этапов обучения и обнаружения уязвимостей без потери точности обнаружения и увеличения количества ложных предупреждений;
создание единой системы получения событий с подключаемыми по мере необходимости поставщиками событий для отдельных объектов окружения.
9 Литература [1] Kruegel C., Giovanny V. Anomaly Detection of Web-based Attacks // In Proceedings of the 10th ACM Conference on Computer and Communication Security (CCS ’03). 2003. P. 251–261.
[2] Vigna G., Robertson W., Kher V., Kemmerer. R. A. A Stateful Intrusion Detection System for World-Wide Web Servers // In Proceedings of the Annual Computer Security Applications Conference (ACSAC 2003). 2003. P. 34–43
[3] Valeur F., Mutz D., Vigna G. A Learning-Based Approach to the Detection of SQL Attacks // Intrusion and Malware Detection and Vulnerability Assessment. 2005.
[4] Ye N., Emran S. M., Chen Q., Vilbert S. Multivariate Statistical Analysis of Audit Trails for Host-Based Intrusion Detection // IEEE Transactions on Computers. 2002. № 7.
[5] Denning D. An Intrusion Detection Model // IEEE Transactions on Software Engineering. 1987. № 2. P. 222.
[6] Park Y. A Statistical Process Control Approach for Network Intrusion Detection // In partial fulfillment of the requirements for the degree doctor of philosophy in the school of industrial and systems engineering. 2005.
[7] Kohout L. J., Yasinsac A., McDuffie E. Activity Profiles for Intrusion Detection. Деп. в Dept. of Computer Science, Florida SU. 2003.
[8] Ye N. A Markov Chain Model of Temporal Behavior for Anomaly Detection // Proceedings of the 2000 IEEE Workshop on Information Assurance and Security United States Military Academy. West Point, NY. 2000.
[9] Технический проект системы обнаружения компьютерных атак для распределённых вычислительных сетей, разрабатываемой в рамках опытно-конструкторской работы «Создание системы обнаружения компьютерных атак для распределённых вычислительных сетей». ВМиК МГУ. 2003.
[10] Ристик И. Защита Web приложений с помощью Apache и mod_security [HTML] (http://www.securitylab.ru/analytics/216322.php)
[11] Maunder A., Van Rooyen R., Suleman H. Designing a ‘universal’ Web application server // Proceedings of SAICSIT 2005. 2005. P. 111 –113.
[12] Huang Y.-W., Lee D. T. Web Application Security – Past, Present, and Future // Institute of Information Science, Academia Sinica.
[13] Shah S. An Introduction to HTTP fingerprinting [HTML] (http://net-square.com/httprint/httprint_paper.html)
[14] Auronen L. Tool-Based Approach to Assessing Web Application Security // Helsinki University of Technology. 2002.
[15] Russell, Deborah, Gangemi Computer Security Basics. California: O’Reilly&Associates, Inc. 1991.
[16] Symantec Internet Security Threat Report. Trends for January 06–June 06. Vol. X. 2006.
[17] Научно-технический отчет. Разработка методов оценки защищенности скриптовых языков, обеспечивающих функционирование активных элементов Web-серверов. ВМиК, МГУ. 2004.
[18] Auger R. Web Application Firewall Evaluation Criteria // WASC. 2006.
[19] Huang Y.-W., Yu F., Hang C., Tsai C.-H., Lee D. T., Kuo S.-Y. Securing Web Application Code by Static Analysis and Runtime Protection. 2004.
[20] Ye N., Borror C., Zhang Y. EWMA Techniques for Computer Intrusion Detection Through Anomalous Changes in Event Intensity // Quality Reliability Int.. 2002. №18. P. 443-451.
[21] Borror C., Montgomery D., Runger G. Robustness of the EWMA control charts to non-normality // Journal of Quality Technology. 1998. № 30. P. 352-361.
[22] Конверс Т., Парк Д., Морган К. PHP 5 и MySQL. Библия пользователя. П.: Диалектика-Вильямс, 2006.
[23] RFC-2616: Hypertext Transfer Protocol - HTTP/1.1 [HTML] (http://www.w3.org/Protocols/rfc2616/rfc2616.html).
[24] Фридл Д. Регулярные выражения. П.: Питер, 2003. 2-е издание.
[25] Ryan J., Ling M.-J., Miikkulainen R. Intrusion Detection with Neural Networks // Advances in Neural Information Processing Systems.1998. № 10.
[26] Гнеденко Б. В. Курс теории вероятностей. УРСС, 2001.
[27] Drupal Community Plumbing [HTML] (http://www.drupal.org/).
[28] Invision Systems, Inc. [HTML] (http://www.invisionsystems.com/).
|