Các truy nhập bất thường vào một máy chủ Web tiềm ẩn một nguy cơ tấn công, do vậy việc phát hiện truy nhập bất thường vào một máy chủ Web có vai trò quan trọng trong việc phát hiện sớm tấn công vào máy chủ Web [1, 7].
Một truy nhập bất thường được định nghĩa là một hành vi “khác biệt” so với các hành vi truy nhập bình thường khác [1]. Theo định nghĩa này, toàn bộ truy nhập bình thường vào một máy chủ Web được định nghĩa từ trước thông qua các chính sách truy nhập được thiết lập trong cấu hình máy chủ. Những chính sách này quy định cấu hình máy chủ, cấu trúc thư mục và các tệp, các dịch vụ có thể cung cấp bởi hệ thống, các giao thức có thể sử dụng, các cổng kết nối được mở cho từng loại dịch vụ tương ứng, các quyền truy nhập được cung cấp cho từng phân lớp người dùng và người quản trị. Mọi truy cập vi phạm các chính sách trên được gọi là truy nhập bất thường vào máy chủ Web.
Một số ví dụ về truy nhập bất thường vào máy chủ Web như sau.
Ví dụ 1: Máy chủ Web ghi nhận một hành vi nhập các dữ liệu bất thường vào phần đăng nhập, ví dụ quá số lượng ký tự cho phép. Hành vi bất thường này có thể là một dấu hiệu tấn công chèn mã (SQL Injection).
Ví dụ 2: Máy chủ Web có thể ghi nhận hàng loạt truy cập vào các địa chỉ và các cổng khác nhau của hệ thống. Đây là dấu hiệu rà quét hệ thống để khai thác thông tin, là giai đoạn bắt đầu của một cuộc tấn công footprinting.
Ví dụ 3: Máy chủ Web ghi nhận hiện tượng một đoạn mã script được cài vào bản tin POST/ Request gửi đến từ trình duyệt người dùng. Đây là dấu hiệu của một cuộc tấn công mã độc.
Về nguyên tắc, có hai cách để phát hiện truy nhập bất thường vào máy chủ Web. Phương pháp truyền thống là sử dụng hệ thống phát hiện xâm nhập (IDS – Intrusion Detection Systems). Theo cách này, hệ thống IDS được cấu hình với một tập luật (tập dấu hiệu – còn gọi là Signature) hỗ trợ cho việc phát hiện xâm nhập trái phép [2, 4]. Tuy nhiên, hạn chế của phương pháp này là phải biết các dấu hiệu tấn công từ trước. Mặt khác, với sự gia tăng của các tấn công mới, tập dấu hiệu sẽ phải cập nhật liên tục theo thời gian.
Cách thứ hai là phát hiện các hành vi bất thường, nghĩa là các hành vi vi phạm chính sách an ninh của hệ thống. Hệ thống phát hiện có thể được huấn luyện theo một số mẫu có sẵn và tự cập nhật theo quá trình phát hiện các hành vi vi phạm mới. Một cách khác, hệ thống có thể duy trì việc phát hiện trên cơ sở phát hiện các vi phạm đối với các chính sách an ninh đã đặt trước. Theo cách này, hệ thống phát hiện có thể sử dụng các tập nhật ký ghi lỗi truy nhập do máy chủ Web ghi liên tục theo thời gian và thực hiện phân tích để phát hiện các truy nhập bất thường. Những hành vi bất thường là dấu hiệu tiềm ẩn của một tấn công máy chủ Web.