Скачать 0.55 Mb.
|
4.3 Использование значений операций для более точного обнаружения отклонений в поведенииОписанный метод, по сути, анализирует поведение веб-приложения на предмет совершения недопустимых относительно профиля нормального поведения операций. Однако, в ряде случаев такого анализа может оказаться недостаточно. Операция может быть допустима с точки зрения профиля нормального поведения, в то время как характер самой операции, если в качестве такового рассматривать значение операции, может измениться, что не будет обнаружено. Можно привести следующий пример. Уязвимость в файле modules.php распространённого веб-приложения CMS PHP-Nuke v 7.5 позволяет провести атаку типа класса SQL injection [3]. При атаках этого класса злоумышленник заставляет веб-приложение выдать СУБД изменённый или модифицированный запрос. Атаки класса SQL injection являются как распространёнными, так и особенно опасными в связи с тем, что могут потенциально приводить к потере всех данных в базе данных. Не менее опасными представляются кража или подмена данных в базе данных. Уязвимости, позволяющие проведение атак класса SQL injection, обычно связаны с недостаточной проверкой и очисткой вводимых пользователем данных при динамическом формировании SQL-запроса с использованием этих данных. Уязвимость позволяет получить список всех пользователей системы. Исходный запрос используется для получения информации о используемой пользовательской записи. Атака реализуется следующим образом: 1-й POST-параметр: name=Your_Account 2-й POST-параметр: op=userinfo 3-й POST-параметр: username=’ OR username LIKE ‘%’; -- Результирующий SQL-запрос: SELECT uname FROM nuke_session WHERE uname=’’ OR username LIKE ‘%’; --' Таким образом, с точки зрения описанного метода в ходе атаки веб-приложение совершит допустимую операцию «SELECT» над объектом окружения «сервер MySQL». Аномалия будет заключаться в изменении значения операции. При обычном функционировании значение данной операции будет равно 1, в то время как в результате проведения атаки значение операции будет равно количеству строк в таблице nuke_session. Можно привести также следующий пример уязвимости, приводящий к атаке класса SQL injection [3]. В ходе выполнения скрипта выполняется запрос, показывающий пользователю список его кредитных карт. В результате атаки злоумышленник может получить список кредитных карт интересующего его пользователя. Атака реализуется следующим образом: 1-й POST-параметр: user=Bob 2-й POST-параметр: card_type=’ OR user=’Alice Результирующий SQL-запрос: SELECT card_id FROM creditcards WHERE user=’Bob’ AND type=‘’ OR user=’Alice’ Таким образом, с точки зрения описанного метода в ходе атаки веб-приложение совершит допустимую операцию «SELECT» над объектом окружения «сервер MySQL». Аномалия будет заключаться в изменении значения операции. При обычном функционировании значение данной операции будет равно количеству кредитных карт пользователя Bob, информация о которых содержится в таблице creditcards, в то время как в результате проведения атаки значение операции будет равно совокупному количеству кредитных карт пользователей Bob и Alice. Ряд авторов [4, 6, 8] описывает и обосновывает целесообразность использования математических моделей для обнаружения аномалий в значениях случайных величин, порождаемых некоторым процессом, в частности, для задачи информационной безопасности. В рассматриваемом случае предлагается анализ значений операций при помощи некоторого математического метода обнаружения аномалий. В следующем разделе проводится сравнительный анализ математических методов обнаружения аномалий и выбирается один метод для дальнейшей реализации в модуле обнаружения аномалий. 4.4 Отклонения в поведении с точки зрения методаТаким образом, с точки зрения описываемого метода, возможны два класса аномалий:
Первый класс аномалий, как было сказано выше, может быть связан с наличием в записи трассы операции, не входящей в набор допустимых операций для данного набора HTTP-параметров, что определяется профилем нормального поведения. Второй класс аномалий связан со значениями операций, которые являются допустимыми с точки зрения профиля нормального поведения. Этот тип аномалий выявляется при помощи математического метода, выбору которого посвящён следующий раздел. При обнаружении аномалии, относящейся к любому из этих классов, выдвигается предположение об уязвимости, так как выполнение веб-приложением операций, неожиданных и недопустимых с точки зрения профиля нормального поведения, может быть связано с действиями злоумышленника – а это согласуется с определением уязвимости, приведённым в Разделе 3. Аномалии, связанные со значениями операций, также могут быть результатом воздействия злоумышленника на веб-приложение при помощи некоторой уязвимости, как показано в Подразделе 4.3. |
Министерство образования и науки российской федерации томский государственный... Государственное общеобразовательное учреждение-средняя общеобразовательная школа | Московский государственный университет имени м. В. Ломоносова юридический факультет ... | ||
Московский государственный университет имени м. В. Ломоносова факультет... Федеральное государственное образовательное бюджетное учреждение высшего профессионального образования | Московский Государственный Университет им. М. В. Ломоносова Географический... Объекты наследия как демонстрационная площадка использования возобновляемых источников энергии на Северо-западе Европейской части... | ||
Мужчина и женщина в обществе: история, культура, современность Кандидат политических наук, старший научный сотрудник, лаборатория развития гендерного образования, факультет педагогического образования,... | Министерство образования и науки российской федерации томский государственный... Целью дисциплины является ознакомление студентов с базовыми понятиями следующих разделов информатики: теория информации, технические... | ||
Московский государственный университет имени М. В. Ломоносова Краева К. В. К вопросу о специфике экзаменационного стресса у студентов // Вестник Университета. Государственный университет управления... | Сборник задач и тестов по психологии и педагогике./ Под общей редакцией... Московский государственный университет тонких химических технологий им. М. В. Ломоносова | ||
Московский государственный институт электроники и математики (технический университет) Сервер — один из основных компонентов модели клиент-сервер, программный компонент вычислительной системы, выполняющий сервисные функции... | В. ломоносова юридический факультет материалы международной конференции... Краева К. В. К вопросу о специфике экзаменационного стресса у студентов // Вестник Университета. Государственный университет управления... | ||
Изменения в гиа 2012 Московский государственный университет тонких химических технологий им. М. В. Ломоносова | Московский Государственный Университет им. М. В. Ломоносова Механико-математический... Именно сейчас от того, насколько современным и интеллектуальным нам удастся сделать общее образование, зависит благосостояние наших... | ||
Программа по формированию навыков безопасного поведения на дорогах... Имический факультет мгу имени М. В. Ломоносова,Московский областной государственный университет, редакция журнала"Вестник образования... | Договор Федеральное государственное бюджетное образовательное учреждение высшего образования «Московский государственный университет имени... | ||
Книга стихов как проблема жанрологии на современном этапе Белова... Настоящее Положение определяет цели, задачи, порядок проведения, критерии оценки, механизм подведения итогов областного общественного... | Санкт-Петербургский Государственный Электротехнический Университет... «Эксплуатация водного транспорта и транспортного оборудования»/ 140600 «Электротехника, электромеханика и электротехнологии» |