Nhận dạng sự bất thường theo phương pháp phân tích dữ liệu đầu ra

Một phần của tài liệu Luận văn thạc sĩ công nghệ thông tin Hệ thống tường lửa thông minh cho các ứng dụng web iwaf (Trang 38)

6. Bố cục của luận văn

2.2 Nhận dạng sự bất thường theo phương pháp phân tích dữ liệu đầu ra

ra

Các công trình nghiên cứu thuật toán và các sản phẩm bảo mật ứng dụng web đã quá tập trung vào phân tích dữ liệu đầu vào cho các HTTP request, mà cơ bản bỏ qua các dữ liệu HTTP response gửi đi từ máy chủ. Lý do cơ bản là các nhà bảo mật cho rằng nếu có thể xác định và ngăn chặn tất cả các cuộc tấn công từ ngoài vào trong, thì không cần phải lo lắng các vấn đề bảo mật từ trong ra bên ngoài, cũng như cho rằng các giao dịch chủ động từ bên trong ra ngoài là an toàn. Tuy nhiên, đây là một nhận định sai bởi vì chỉ đơn giản là không thể ngăn chặn tất cả các phương pháp tấn công có thể có thể ảnh hưởng đến các ứng dụng web.

Ví dụ: trường hợp các máy tính của người dùng cuối bị nhiễm phần mềm độc hại lấy cấp thông tin tài khoản đăng nhập FTP. Sau đó, kẻ tấn công sẽ nhận được các thông tin quan trọng từ phần mềm độc hại và đăng nhập vào FTP server bằng cách sử dụng tài khoản nạn nhân. Lúc này, kẻ tấn công có thể tải phần mềm độc hại khác lên máy chủ hoặc thay đổi giao diện trang web. Trong trường hợp này, kênh bị tấn công là FTP nhưng kết quả hoặc tác động của các cuộc tấn công lại những thay đổi liên quan đến dữ liệu HTTP gửi đi ra ngoài từ webserver. Nếu hệ thống bảo mật không phân tích các dữ liệu phản hồi ra bên ngoài, thì có thể bỏ lỡ dấu hiệu cho thấy các cuộc tấn công đã thành công.

Ví dụ: trường hợp các máy tính của người dùng cuối bị nhiễm phần mềm độc hại lấy cấp thông tin tài khoản đăng nhập FTP. Sau đó, kẻ tấn công sẽ nhận được các thông tin quan trọng từ phần mềm độc hại và đăng nhập vào FTP server bằng cách sử dụng tài khoản nạn nhân. Lúc này, kẻ tấn công có thể tải phần mềm độc hại khác lên máy chủ hoặc thay đổi giao diện trang web. Trong trường hợp này, kênh bị tấn công là FTP nhưng kết quả hoặc tác động của các cuộc tấn công lại những thay đổi liên quan đến dữ liệu HTTP gửi đi ra ngoài từ webserver. Nếu hệ thống bảo mật không phân tích các dữ liệu phản hồi ra bên ngoài, thì có thể bỏ lỡ dấu hiệu cho thấy các cuộc tấn công đã thành công. ban đầu và cố gắng tấn công của hacker.

Một phần của tài liệu Luận văn thạc sĩ công nghệ thông tin Hệ thống tường lửa thông minh cho các ứng dụng web iwaf (Trang 38)

Tải bản đầy đủ (PDF)

(108 trang)