Kẻ tấn công từ ngoài vào có thể thực hiện các tấn công vào website như dò quét mật khẩu hoặc tấn công SQL Injection, XSS vào web site. Các hành vi dò quét này đều bị website ghi nhận lại trong nhật ký máy chủ web (access_log). Tuy nhiên nhật ký máy chủ web không chứa bất kỳ dữ liệu nào được gửi trong trường header HTTP, như các tham số POST. Header HTTP có thể chứa giá trị dữ liệu, vì hầu hết các biểu mẫu và tham số của chúng được gửi bởi POST. Đây là một hạn chế của kỹ
thuật phân tích tấn công web chỉ sử dụng log của máy chủ web. Tuy nhiên kỹ thuật phân tích tấn công web từ log của máy chủ web có lợi thế hơn hẳn so với việc lấy request HTTP từ trên đường truyền mạng, đó là:
Dữ liệu từ log web rất dễ dàng để đọc và phân tích.
Dữ liệu từ một request HTTP là hoàn chỉnh, không gặp phải vấn đề ghép nối các gói tin khi một request HTTP bị chia thành nhiều gói tin nhỏ trên mạng.
Không gặp phải vấn đề giải mã các request HTTP (khi request đó sử dung SSL). Không ảnh hưởng nhiều tới performance của dịch vụ web, do không hứng trực tiếp dữ liệu trên đường truyền mạng.
Kỹ thuật phân tích tấn công web về cơ bản có thể chia thành hai kiểu là kỹ thuật phân tích dựa vào các rules có sẵn (rulebased) và kỹ thuật phân tích dựa vào các dấu hiệu bất thường (anomalybased)[8,10].
* Kỹ thuật phát hiện tấn công dựa vào dấu hiệu đã biết trước.
Tấn công web có thể được xác định dựa trên các tập luật đã được xây dựng từ trước. Các tập luật này có thể phát hiện các tấn công vào website từ một số dấu hiệu nhất định trong log của web. Có thể là quy tắc đơn giản như phát hiện một số ký tự nhất định (tấn công SQL Inject chẳng hạn) hoặc các quy tắc phức tạp (tấn công chiếm phiên của người dùng). Kỹ thuật phân tích tấn công này có thể được xây dựng từ hai cơ chế cơ bản: chủ động (Positive) và bị động (Negative)[8].
- Kỹ thuật phân tích bị động
Kỹ thuật phân tích tấn công bị động dựa trên các dấu hiệu từ một danh sách đen (black list hoặc rulebase) và một chính sách mặc định cho phép mọi thứ. Điều này có nghĩa là mọi request đều được chấp nhận. Danh sách đen này sẽ định nghĩa những dấu hiệu bị coi là không hợp lệ và được gắn cờ (dấu hiệu) là một cuộc tấn công web.
Kỹ thuật này khá đơn giản và dễ thực hiện, tuy nhiên đây không phải phương pháp tiếp cận hiệu quả do chỉ phụ thuộc vào những dấu hiệu đã được đánh dấu sẵn từ danh sách đen, sẽ khó khăn để phát hiện các kiểu tấn công mới hoặc các dấu hiệu tấn công liên hoàn. Tuy nhiên khả năng cảnh báo sai của kỹ thuật này rất thấp, do các dấu hiệu nhất biết đều là các cuộc tấn công đã biết trước[8].
- Kỹ thuật phân tích chủ động
Kỹ thuật phân tích tấn công chủ động ngược lại hoàn toàn với kỹ thuật phân tích bị động. Chính sách mặc định ở đây là từ chối tất cả và có một danh sách trắng (white list) các ký tự hợp lệ cho phép. Hầu hết các các tường lửa đều được cấu hình theo cách này[7].
* Kỹ thuật phát hiện tấn công dựa vào dấu hiệu bất thường
Kỹ thuật phát hiện tấn công dựa trên sự bất thường của các request tới website thông qua các bộ luật (rules) được tự động xây dựng thông qua quá trình tự học (learnmod). Trong quá trình này, các request tới website sẽ được coi là lưu lượng sạch, nó được sử dụng làm cơ sở các mẫu để kiểm tra tính bất thường của các request. Các request khi đạt tới một ngưỡng sai lệch trong bộ luật sẽ bị đánh dấu là các request bất thường[11].