FC2ブログ

プロフィール

大山恵弘

  • Author:大山恵弘
  • 公式なサイトはこちら

最近の記事

最近のコメント

最近のトラックバック

月別アーカイブ

ブロとも申請フォーム

ブログ内検索

RSSフィード

リンク

FC2カウンター

スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

【異常検知】 Anomaly Detection of Web-based Attacks 【Webアプリケーション】

In CCS '03.
http://doi.acm.org/10.1145/948109.948144

Webアプリケーションのための学習ベース異常検知システムの提案。

Webサーバのアクセスログが対象。各要求に異常スコアを与える。
複数の異常検知手法による異常スコアを重みづけ加算して、全体の異常スコアを決定する。

述べられている手法は6個。

その1。属性の長さ。属性の文字列の長さは、ふつう、固定長だったり、短かかったり、そう大きく変化しない。正常な要求の属性文字列はだいたい標準的な分散にしたがう。変に長い文字列は攻撃の可能性が高い。

その2。属性の文字列の分散。属性に読めない文字が含まれてるのはあやしいとか、アルファベットの各文字の出現確率を利用するとか。

その3。正常な属性の構造を推論。パラメタの構造を確率的正規文法で表現。そして非決定性有限オートマトンを作る。

その4。値集合から選ぶタイプの属性については、ちゃんとその集合の中の値になっているかどうかをチェック。

その5。属性があるかないかをチェック。攻撃者による要求は、脆弱性に関係ない属性を省略して埋めないことがあるので。

その6。属性の順番をチェック。その5と関係。

一つ一つはスタンダードな方法だし小ネタという気がするが、たくさん集めて組み合わせて、実験もしてるあたりがすごいかも。合わせ技一本か。文章も読みやすいと思う。
スポンサーサイト

<< 【プロファイル】 Framework for Instruction-level Tracing and Analysis of Program Executions 【instrumentation】 | ホーム | 【セキュリティ】 Secure and Practical Defense Against Code-injection 【乱数化】 >>


コメント

コメントの投稿


管理者にだけ表示を許可する

 BLOG TOP 


上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。