بررسی مهاجمان برنامه های کاربردی تحت وب به وسیله ی ردگیری درخواست های HTTP

اتصال روزمره تعداد زیادی از مردم به اینترنت باعث شده است تا برنامه های کاربردی تحت وب به یک هدف جذاب برای خراب کاران و نفوذ گران رایانه ای تبدیل گردد. بر اساس تحقیقاتی که تیم X-Force شرکت IBM در سال ۲۰۱۰ انجام داده است، مشخص شده که برنامه های کاربردی تحت وب بیش از ۵۵٪ از آسیب پذیر ی های کشف شده تا امروز را به خود اختصاص داده اند. به عنوان مثال ممکن است یک سرویس وب مورد حمله واقع شود تا یک بد افزار مخرب به سرعت گسترش یابد و یا اعتبارنامه دسترسی کاربران را از سرویس های وب سرقت کنند. برای حفاظت از برنامه های کاربردی از این گونه فعالیت ها استفاده از یک سیستم تشخیص نفوذ ضروری می باشد. متاسفانه، حفاظت از برنامه های کاربردی تحت وب یک کار مشکل است چرا که آن ها به طور کلی بزرگ، پیچیده و به شدت سفارشی اند. سیستم های تشخیص نفوذ سنتی مبتنی بر امضا به دلیل ضعفشان در مقابل حملات جدید، به اندازه ی کافی حفاظت مناسبی را تضمین نمی کنند. از طرفی سیستم های مبتنی بر ناهنجاری هر چند این ضعف را پوشش دادند و جایگزین مناسبی برای سیستم های مبتنی بر امضاء می باشند، اما هشدارهای اشتباه فراوانی تولید می کنند.این امر باعث می شود به جای ایجاد یک تمایز تیز بین دو رفتار نرمال و حمله، به صورت انعطاف پذیری با الگوهایی که نزدیک مرز تصمیم گیری قرار دارند، رفتار شود. لایه ی دوم، برعکس لایه ی اول که الگوی خود را یک درخواست HTTP انتخاب کرد، رفتار یک کاربر را به عنوان الگوی خود معرفی می کند. این لایه پنجره ی زمانی در سابقه ی رفتاری کاربران مشکوک گشوده و بر اساس روند تعاملی که آن کاربر با کاربرد تحت وب داشته، تصمیم نهایی را اتخاذ می کند. در واقع لایه ی دوم، برچسب های خروجی لایه ی اول را در قالب یک سری زمانی به عنوان ورودی دریافت کرده و بر اساس مدل مخفی مارکوفی که در فاز آموزش از رفتار کاربران نرمال و مهاجمان بنا کرده بود، رفتارهای غیر نرمالی را که به یک حمله شباهت دارند، کشف و حتی پیش بینی می کندآزمایشات انجام شده روی درخواست های HTTP جمع آوری شده از سرور یک دانشگاه، نشان داده است که این سیستم با نرخ کشفی معادل ۹۸.۹۶% و نرخ مثبت کاذب ۰.۸۷% دارای کارایی بسیار مناسبی می باشد؛ همچنین توانسته ۱۴.۲% حملات را قبل از کامل شدن تراکنششان، پیش بینی کند.