6. Bố cục của luận văn
2.1.2 Nhận dạng bất thường trên dãy yêu cầu đầu vào
a) Access frequency: Theo Krügel [11] các chức năng khác nhau trong một ứng dụng web thường được truy xuất với tần suất khác nhau, nhưng nhìn chung trong một khoảng thời gian cụ thể mức độ truy cập chung cho các chức năng này vẫn tương đối ổn định. Ví dụ: các ứng dụng web liên quan đến tin tức thì tần suất truy cập của người làm việc văn phòng cao, thường rơi vào thời điểm 8:00 đến 9:00, nếu trong khoảng 9:00 đến 11:00 lượng truy cập tăng cao thì có thể đó là dấu hiệu bất thường. Tần suất truy cập cho mỗi chức năng ứng dụng web có thể chia thành 02 loại:
- Một là trong những tần suất của ứng dụng được truy cập từ một client nào đó (dựa trên địa chỉ IP).
- Hai là là tổng tần suất của tất cả các truy cập.
b) Inter-request time delay: Theo Krügel [11] các mẫu truy cập của client (bao gồm dãy các yêu cầu) thường là một dấu hiệu cho thấy máy chủ web hoặc các ứng dụng web là mục tiêu của rà soát hoặc tấn công hay không. Ví dụ: một mẫu truy cập bình thường là một tập hợp các yêu cầu đến máy chủ sẽ có sự chậm trễ giữa các yêu cầu thành công. Ngược lại, với các dạng tấn công mang tính thăm dò hoặc các cuộc tấn công DoS thường sử dụng các đoạn script tự động hay các công
cụ, do đó độ trể về thời gian giữa các yêu cầu sẽ rút ngắn. Mô hình này cố gắng để phát hiện độ lệch độ trể thời gian giữa tập các yêu cầu thực tế với độ trể phân phối dự đoán cho mỗi ứng dụng web được bảo vệ để phát hiện các cuộc tấn công. Ví dụ: khi người dùng nhấn chọn chức năng đăng ký tài khoản trên trang web, webserver sẽ gởi trở lại Form HTML để yêu cầu người dùng nhập liệu, sau khi nhập thông tin người dùng sẽ submit thông tin về webserver. Như vậy, giữa 02 lần gởi request của người dùng sẽ có khoảng thời gian chờ. Ngược lại, khi sử dụng các công cụ tấn công thời gian chờ giữa 02 request là rất nhỏ.
c) Invocation order: Theo Krügel [11] các ứng dụng dựa trên web thường bao gồm một tập hợp các chương trình phía máy chủ, các chương trình này thực hiện các chức năng của ứng dụng web. Ví dụ, một ứng dụng mua sắm phải có một chương trình đảm nhận chức năng đăng nhập để xác thực người dùng, một chương trình để truy cập vào một cửa hàng, một chương trình để thêm các mục vào một giỏ hàng ảo, và một chương trình để thực hiện thanh toán, ... . Bản chất của một ứng dụng dựa trên web có thể áp đặt thứ tự thực hiện các chương trình chức năng thành phần trong cấu trúc của nó. Mô hình này ghi lại thứ tự gọi các chức năng trong ứng dụng web với một client cụ thể (dựa trên địa chỉ IP). Bằng cách mô tả thứ tự yêu cầu chức năng trên mỗi client, mô hình cố gắng để suy ra các quy luật của cấu trúc cho một phiên làm việc. Mô hình này có thể được sử dụng để phát hiện các cuộc tấn công kiểm tra tính logic các ứng dụng web.
d) Analysis of the HTTP Payload: Theo Ariu & Giacinto [1] nếu tài nguyên được bảo vệ là một máy chủ web (bao gồm cả các ứng dụng web có liên quan) hành vi bình thường của nó có thể được thể hiện bằng cách sử dụng mô hình thống kê về sự phân bố của byte trong HTTP payload, là một phần của các gói dữ liệu mạng có chứa các yêu cầu gửi bởi trình duyệt web đến máy chủ web. Ý tưởng quan trọng là số liệu thống kê phần payload của một cuộc tấn công khác với một hợp pháp. Ý tưởng về hệ thống phát hiện xâm nhập dựa trên thống kê Payload đã được đề xuất bởi Wang và Stolfo (2004).