Журнал "Information Security/ Информационная безопасность" #4, 2020

На протяжении последних нескольких лет уязвимость по типу "инъекция кода" возглав- ляет список самых опас- ных угроз безопасности для веб-приложений 1 . SQL-injection занимает лидирующую позицию среди этого вида атак 2 , что обусловлено широ- ким применением SQL- запросов к базам дан- ных в коде приложений на основе пользователь- ского ввода без его должного контроля. Стандартным способом выявления атак, организованных с помощью "инъекции кода", является анализ сигнатур, но известными недостатками этого спо- соба оказываются тру- доемкость написания сигнатур и временной зазор от момента обнаружения уязвимо- сти до пополнения базы для масштабного применения сете- вой атаки. Для обнаружения атак SQL- injection путем выявления ано- малий во входящем из Интер- нета трафике многие исследо- ватели предлагают алгоритмы машинного обучения. Но мы уверены, что совместный ана- лиз входных и выходных данных позволяет решить эту задачу более эффективно. Главные принципы анализа данных для обнаружения SQL-injection Корректное функционирова- ние сетевого сервера может быть описано множеством пар "запрос-ответ", соответствую- щих всем возможным штатным сценариям обработки серве- ром входных данных. Построе- ние такого множества позволит проверять каждый "запрос- ответ" на соответствие эталону и выявлять сетевые атаки, ответ на которые выходил бы за рамки этого множества. Значимыми признаками для идентификации штатных запросов и ответов является их размер и тайминг обмена данными в процессе обработки запроса. Чтобы описать тайминг во взаимосвязи с размерами дан- ных, которыми обмениваются сервер с клиентом, воспользу- емся функцией взаимной кор- реляции (ФВК) временных рядов интенсивности входящего и исходящего трафика сервера. Существует предположение, что форма ФВК выражает уникаль- ность обработки конкретным сервером каждого типового шаблона "запрос-ответ". Опре- делив пространство нормаль- ных ФВК ограниченной размер- ности, можно выявлять ано- мальные ФВК, выходящие за его пределы. На рис. 1 изобра- жена условная схема метода обнаружения аномалий на осно- ве ФВК, на которой также пока- зано отличие вида функций вза- имной корреляции при обра- ботке сервером нормальных и аномальных запросов – атак. При этом многомерное про- странство образуется функция- ми взаимных корреляций, интерпретируемыми как векто- ры значений. Дополнительную информа- цию о характере обработки дан- ных, осуществляемой сервером, можно извлечь из вычислитель- ных ресурсов, потребляемых сервером, что позволит расши- рить размерность пространства за счет характеристик загру- женности сервера обработкой запроса. Применение метода для обнаружения атак SQL- injection на веб-сервер Для апробации метода обна- ружения аномалий был выбран веб-сервер с развернутым сай- 42 • ТЕХНОЛОГИИ Обнаружение атак SQL-injection на веб-сервер без инспекции трафика асколько эффективна нейросеть, анализирующая динамический отклик сетевого сервера, в обнаружении атак типа SQL-injection? В этой статье мы рассказываем о своем опыте применения метода совместного анализа входных и выходных данных для обнаружения самой опасной уязвимости. Н Анастасия Гурина, аспирантка кафедры УИТ НИУ “МЭИ” Владимир Елисеев, доцент кафедры УИТ НИУ “МЭИ” Рис. 1. Схема обнаружения аномальных откликов сервера на запросы 1 OWASP Top Ten, 2020: https://owasp.org/www-project-top-ten/ 2 Lowis L., Accorsi R., On a Classification Approach for SOA Vulnerabilities. Computer Software and Applications Conference (COMPSAC '09). 33rd Annual.