Нейросетевой метод - Автоматическое построение профилей нормального поведения веб-приложений

Нейросетевой метод обнаружения аномалий рассматривается на примере экспериментальной системы обнаружения аномалий NNID (Neural Network Intrusion Detection) [25].

В основе метода лежит нейросеть с количеством слоев от трех до пяти. Входы используются для подачи входных данных, значения на выходах анализируются для обнаружения аномалий.

В контексте предложенного метода обнаружения уязвимостей данная модель может быть использована следующим образом.

Количество входов нейросети делается равным сумме количества всех возможных GET и POST параметров и количества всех операций над всеми объектами окружения. Количество выходов устанавливается равным количеству веб-приложений. В режиме обнаружения аномалий на входы нейросети, соответствующие GET и POST параметрам подаются: 1, если данный параметр присутствовал в HTTP-запросе, и 0, если не присутствовал. На входы, соответствующие операциям над объектами окружения, подаются соответствующие значения операций. Значение на выходах варьируется от 0 до 1 с шагом 0.1. Считается, что значение на некотором выходе большее 0.5 однозначно идентифицирует веб-приложение, которому может принадлежать такая комбинация HTTP-параметров и значений операций. Если более чем на одном выходе обнаружено значение большее 0.5, или ни на одном выходе нет значения большего 0.5 - фиксируется аномалия и предполагается уязвимость в веб-приложении, которому поступил запрос.

На этапе построения профиля нормального поведения проводится настройка весов нейросети при помощи некоторого автоматического алгоритма обучения, например при помощи алгоритма с обратным распространением. На входы нейросети подается очередная комбинация, характеризующая набор HTTP-параметров и набор значений операций, полученных в ходе обработки данного HTTP-запроса. Значение выхода, соответствующий запрашиваемому веб-приложению, устанавливается в 1, после чего алгоритмом обучения производится настройка весов. Полученная конфигурация сети сохраняется в профиле нормального поведения.

Похожие статьи

• Сравнительный анализ методов обнаружения аномалий и обоснование выбора метода - Автоматическое построение профилей нормального поведения веб-приложений

  Исходя из контекста решаемой задачи, для сравнительного анализа рассмотренных математических моделей обнаружения аномалий можно выбрать следующие...

• Отклонения в поведении с точки зрения метода - Автоматическое построение профилей нормального поведения веб-приложений

  Таким образом, с точки зрения описываемого метода, возможны два класса аномалий: - Аномалии, связанные с обнаружением недопустимых операций. - Аномалии,...

• Подсистема обнаружения аномалий - Автоматическое построение профилей нормального поведения веб-приложений

  Задачей подсистемы обнаружения аномалий является анализ трассы, полученной в режиме обнаружения аномалий, на предмет аномалий в поведении веб-приложений....

• Секция мета-информации, Секция HTTP-параметров - Автоматическое построение профилей нормального поведения веб-приложений

  Секция мета-информации содержит набор основных и вспомогательных данных профиля нормального поведения. Основными полями являются: - WAProfile_URL -...

• Использование значений операций для более точного обнаружения отклонений в поведении - Автоматическое построение профилей нормального поведения веб-приложений

  Описанный метод, по сути, анализирует поведение веб-приложения на предмет совершения недопустимых относительно профиля нормального поведения операций....

• Метод EWMA (Exponentially Weighted Moving Average) - Автоматическое построение профилей нормального поведения веб-приложений

  В основе метода EWMA лежит экспоненциальное сглаживание первого порядка [20, 21]: (5.2.1) Где 0<л?1 - константа сглаживания. В роли начального...

• Сравнение наборов HTTP-параметров - Автоматическое построение профилей нормального поведения веб-приложений

  Необходимо дополнительно рассмотреть вопрос о сравнении наборов HTTP-параметров. Параметры могут быть переданы в веб-приложение методами GET и POST [22,...

• Постановка задачи, Определения и основные понятия - Автоматическое построение профилей нормального поведения веб-приложений

  1. Провести обзор методов автоматического построения профиля нормального поведения веб-приложения. 2. Сформулировать требования к методу, провести...

• Модуль обнаружения уязвимостей, Требования к модулю, Структура профиля нормального поведения - Автоматическое построение профилей нормального поведения веб-приложений

  В данном разделе описывается разработанный модуль обнаружения уязвимостей. Сначала формулируются требования к модулю. Далее описывается структура профиля...

• Описание подсистем модул, Консоль управления, Подсистема предварительной обработки трассы - Автоматическое построение профилей нормального поведения веб-приложений

  В данном подразделе приводятся описания основных подсистем модуля обнаружения уязвимостей. Консоль управления Задачами консоли управления являются...

• Секция информации об операциях над объектами окружения - Автоматическое построение профилей нормального поведения веб-приложений

  Секция содержит информацию об операциях из набора допустимых операций над объектами окружения, определенного для набора HTTP-параметров, которому...

• Выбор методов обнаружения аномалий, Метод Хотеллинга (тест Хотеллинга) - Автоматическое построение профилей нормального поведения веб-приложений

  В данном разделе приводятся описания четырех математических методов обнаружения аномалий. Далее проводится сравнительный анализ и выбирается один метод....

• Результаты, Заключение - Автоматическое построение профилей нормального поведения веб-приложений

  В результате данной работы: - сформулированы основные понятия; - описан предлагаемый метод обнаружения уязвимостей и обоснована идея использования...

• Проблема работы - Автоматическое построение профилей нормального поведения веб-приложений

  В настоящий момент продолжается бурный рост количества компьютерных информационных систем в мире. Все большее количество важных данных и операций в...

• Подсистема построения профиля нормального поведения - Автоматическое построение профилей нормального поведения веб-приложений

  Задачей подсистемы построения профиля нормального поведения является анализ трассы, полученной в режиме обучения, и построение на ее основе профилей...

• Описание метода - Автоматическое построение профилей нормального поведения веб-приложений

  В основе метода лежит идея анализа связей между наборами параметров, поступающих в веб-приложение через HTTP-запросы, и операциями над объектами...

• Программная архитектура модуля - Автоматическое построение профилей нормального поведения веб-приложений

  В данном подразделе описывается программная архитектура разработанного модуля обнаружения уязвимостей. Модуль состоит из следующих основных подсистем: -...

• Метод обнаружения уязвимостей веб-приложений, Применение метода - Автоматическое построение профилей нормального поведения веб-приложений

  В данном разделе описывается предлагаемый метод обнаружения уязвимостей веб-приложений на основе контроля поведения веб-приложения. Применение метода Как...

• Пример записи профиля нормального поведения - Автоматическое построение профилей нормального поведения веб-приложений

  Ниже приводится пример одной записи профиля нормального поведения. Запись определяет две допустимые операции ("SELECT" и "INSERT") к одному объекту...

• Литература - Автоматическое построение профилей нормального поведения веб-приложений

  1. Kruegel C., Giovanny V. Anomaly Detection of Web-based Attacks // In Proceedings of the 10th ACM Conference on Computer and Communication Security...

• Метод цепей Маркова - Автоматическое построение профилей нормального поведения веб-приложений

  Определение [26]: Маркова цепь - марковский процесс с дискретным временем, заданный в измеримом пространстве. Стохастический процесс в дискретные моменты...

• Описание языка программирования - Учебно-демонстрационный стенд "Система автоматического управления инженерными системами помещения"

  CoDeSys -- универсальный инструмент разработки прикладных программ для программируемых логических контроллеров на языках стандарта IEC 61131-3. Данный...

• Ожидаемые результаты, Возможные проблемы, Размен - Программа расчета агрегатов по накапливающимся данным для построения отчетов

  Ожидается, что предлагаемая библиотека даст большой прирост в производительности операций чтения, заполнив собственную нишу среди решений проблем...

• Ключевые предложения и проблема автоматического реферирования текста, Роль ключевых предложений в построении текста - Роль ключевых предложений в построении текста

  Роль ключевых предложений в построении текста В первую очередь введем несколько базовых понятий рассматриваемой предметной области: текст, сложное...

• Теоретические основы KPI и методы их построения, Понятие KPI - Разработка ключевых показателей эффективности для ИТ-отдела организации

  Понятие KPI "Ключевые показатели эффективности (англ. Key Performance Indicators, KPI) -- показатели деятельности подразделения (предприятия), которые...

• Понятие автоматического реферирования текста - Роль ключевых предложений в построении текста

  Реферирование является одним из основных способов анализа текстовой информации. Его конечным продуктом является реферат - "краткое изложение содержания...

• Применение методов интеллектуального анализа данных, Задача поведенческой сегментации, формирование портретов клиентов по поведению - Интеллектуальный анализ данных, который способствует поддержке маркетинга в компании

  Задача поведенческой сегментации, формирование портретов клиентов по поведению Одними из основных задач анализа являлись: поведенческая сегментация...

• Лучевые методы построения оптических эффектов - Моделирование эффектов

  Для решения задач построения оптических эффектов: тени, отражения и преломления, - применяются методы прямой и обратной трассировки лучей. Отмечают...

• Блоки канала ввода-вывода, Данные текут в модель, Блок REQNUMARRAY, Описание, Вход/выход - Библиотека функциональных модулей системы EXP PKS

  Как в существующем Experion PKS блоки модуля ввода - вывода, данные контроля (управления) не сделаны доступными через блок модуля. Вместо этого, блоки...

• Метод аннотированного суффиксного дерева - Сравнение моделей представления слов в задаче очистки текста от обесцененной лексики

  Шестой метод - построение суффиксных деревьев. Среди большого количества методов анализа текста метод аннотированного суффиксного дерева выделяется тем,...

• Онлайн исследования в социологии: новые методы анализа данных - Распространение новостной информации

  На сегодняшний день анализ социальных сетей и медиа, Интернет-сообществ, пользователей в целом используется в основном в маркетинге. Компания может...

• Принцип метода линейного предсказания - Вокодеры с линейным предсказанием

  Вокодер информация кодирование синтезатор В вокодерах с линейным предсказанием при анализе речевого сигнала в передающем устройстве определяются...

• Общее представление задачи интеграции, Методы интеграции данных - Метод интеграции сторонних систем анализа и обработки данных в существующую ИС-архитектуру компании

  Для того, чтобы разработать оптимальный метод интеграции сторонних систем в существующую ИТ-инфраструктуру систем компании, требуется точно поставить...

• Анализ существующих методов интеграции - Метод интеграции сторонних систем анализа и обработки данных в существующую ИС-архитектуру компании

  Известно, что создание систем "с нуля" приводит к глобальным затратам компании на фонд оплаты труда, на поддержание созданного решения. К тому же, чем...

• Стратегии - Программа построения равновесных стратегий для игры

  Так как игра случайная, платежная матрица будет состоять из математических ожиданий возможных сочетаний стратегий. Стратегия в данной игре определяет...

• Выбор предметной области и обзор реализаций методов машинного обучения с учителем в этой области - Исследование алгоритмов

  В работе возникает необходимость выбора предметной области, в которой будет тестироваться каскадный классификатор. Главными вопросами на данном этапе...

• Разработка СППР на основе методов интеллектуального анализа данных, Предложенный подход к решению задач исследования - Интеллектуальный анализ данных, который способствует поддержке маркетинга в компании

  Предложенный подход к решению задач исследования Используя в качестве основы присутствующее в наличии программное обеспечение, которое применимо к...

• Описание используемых методов и алгоритмов - Выбор оптимального маршрута для строительства дороги

  В данном пункте нужно проанализировать используемый алгоритм поиска кратчайшего пути. Алгоритм Дейкстры Находит кратчайший путь от одной из вершин графа...

• Разработка программы извлечения ключевых предложений из текста, Алгоритм извлечения КП - Роль ключевых предложений в построении текста

  В данном разделе выпускной квалификационной работы описывается процесс разработки программы извлечения КП текста, а также производится оценка качества ее...

• Методологические основы применения метода имитационного моделирования - Имитационные модели информационных систем

  По Р. Шеннону (Robert E . Shannon - профессор университета в Хантсвилле, штат Алабама, США ), "имитационное моделирование - Есть процесс конструирования...

Нейросетевой метод - Автоматическое построение профилей нормального поведения веб-приложений

Предыдущая | Следующая