Метод EWMA (Exponentially Weighted Moving Average) - Автоматическое построение профилей нормального поведения веб-приложений

В основе метода EWMA лежит экспоненциальное сглаживание первого порядка [20, 21]:

(5.2.1)

Где 0<л?1 - константа сглаживания.

В роли начального значения может быть взято математическое ожидание по предварительным данным, т. е.

Z0 = (5.2.2)

Если раскрыть zI-1, получается:

Рекурсивно, для zI-j, j=2, 3, ..., t получается:

Вес элемента уменьшается геометрически, с ростом порядкового номера. Сумма весов стремится к 1, так как:

Если, к примеру, л=0.2, то вес, назначенный текущему элементу, равен 0.2, а веса, назначенные предыдущим элементам, равны 0.04, 0.128, 0.1024 и так далее.

Контрольные пределы для EWMA рассчитываются следующим образом (ВКП - верхний контрольный предел, НКП - нижний контрольный предел):

    (5.2.3) (5.2.4)

Где у2 - Дисперсия, а мX - математическое ожидание случайной величины xI.

В этих формулах L является шириной контрольного диапазона.

изменение веса образца в ходе работы ewma

Рисунок 5.2.1 Изменение веса образца в ходе работы EWMA

На практике часто используемыми значениями константы сглаживания являются л=0.05, л=0.10 и л=0.25. При меньших значениях л на значение статистики zI влияет большее количество значений xI, при больших - меньшее, что позволяет параметризовать формулу расчета zI (5.2.1) для учета краткосрочных или долгосрочных тенденций.

В общем случае формирование профиля нормального поведения производится следующим образом.

Получается набор учебных данных. Далее высчитывается математическое ожидание для анализируемой случайной величины, оно принимается в качестве начального значения статистики z0 (согласно формуле (5.2.2)). Затем по формуле (5.2.1) для каждого i-го значения случайной величины из тестового набора рассчитывается значение статистики zI. После этого высчитывается дисперсия для xI и контрольные пределы по формулам (5.2.3) и (5.2.4). Полученные данные сохраняются в профиле нормального поведения.

В режиме обнаружения аномалий поступающие значения используются для пересчета статистики zI. Получаемые значения zI сравниваются с контрольными пределами, зафиксированными в профиле нормального поведения. В случае, если очередное значение выходит за контрольные пределы - фиксируется аномалия.

В контексте предложенного метода обнаружения уязвимостей метод может быть использован следующим образом.

Рассматриваемый статистический метод является одномерным, следовательно, статистика будет высчитываться для каждой операции из набора операций по ее значению.

На этапе построения профилей нормального поведения наборы значений операций группируются по наборам HTTP-параметров. Далее, для каждой допустимой операции каждого набора HTTP-параметров по общей схеме, приведенной выше, высчитываются контрольные пределы и сохраняются в профиле нормального поведения.

В режиме обнаружения аномалий поступающие значения операций используются для расчета значения статистики по формуле (5.2.1), статистика считается для каждой допустимой операции каждого набора HTTP-параметров. При выходе значения статистики за контрольные пределы, указанные в профиле нормального поведения - фиксируется аномалия и предполагается уязвимость в веб-приложении, которому поступил запрос.

Похожие статьи




Метод EWMA (Exponentially Weighted Moving Average) - Автоматическое построение профилей нормального поведения веб-приложений

Предыдущая | Следующая