تشخيص فازي حمله‌هاي مخرب به برنامه‌هاي تحت وب مبتني بر مدلهاي‌‌ مخفي ماركوف گروهي

Fuzzy Detection of Destructive Attacks on Web Applications Based on Hidden Markov Models Ensemble

در اين مقاله براي تشخيص درخواست‌هاي HTTP كه با هدف خرابكاري يا نفوذ به برنامه‌هاي تحت وب ارسال مي‌شوند، سيستم تشخيص نفوذي ارايه مي‌شود كه با نظارت بر آنها، با داشتن نرخ كشف حمله بالا، به ‌پايين‌ترين نرخ مثبت كاذب‌ دست‌ يابد. به اين منظور هر ويژگي استخراج شده از يك درخواست HTTP به‌وسيله تعدادي HMM، تحت عنوان يك گروه دسته‌بندي‌كننده، مدلسازي مي‌شود. سپس با ادغام خروجي‌هاي حاصل از HMM‌هاي درون يك گروه، مقدار احتمالي توليد مي‌شود كه نشان‌دهنده ميزان نرمال‌ بودن ويژگي مربوطه مي‌باشد. اين سيستم از استنتاج فازي براي برقراري مرز تصميم‌گيري انعطاف‌پذير بين درخواست‌هاي HTTP نرمال و غيرنرمال استفاده مي‌كند. به اين منظور، ابتدا مجموعه‌ها و قوانين فازي ماژول تصميم‌گيري به ‌صورت دستي و بر اساس برنامه ‌كاربردي و ارزش امنيتي هر ويژگي شكل مي‌گيرند؛ سپس خروجي احتمالي هر يك از گروه‌هاي HMM با توجه به مجموعه‌هاي فازي توليد شده، فازي مي‌شود. اين مقادير فازي توسط موتور استنتاج فازي به‌كار گرفته مي‌شود و به خروجي كه حاكي از نرمال و يا غير‌نرمال بودن درخواست HTTP مي‌باشد، تبديل مي‌گردد. آزمايش‌ها نشان مي‌دهد كه اين در تشخيص درخواست‌هايي كه نزديك به مرز تصميم‌گيري قرار گرفته‌اند، از دقت خوبي برخوردار است و براي مجموعه آزمايشي 550 درخواست HTTP با نرخ كشف حمله‌ %100، داراي نرخ مثبت كاذب %0.079 مي‌باشد.

This paper presents a system, which detects malicious HTTP request and obtains the lowest false-positive rate with high detection rate. For this purpose, each extracted feature of a HTTP request is modeled by multiple hidden Markov models as a classifier ensemble. HMMs outputs of an ensemble are fused to produce a probabilistic value, showing normalcy of corresponding feature. In this system, instead of a threshold, a fuzzy inference is applied to produce a flexible decision boundary. So, fuzzy sets and rules of decision module are formed manually; next, output of each HMM ensemble is converted into a fuzzy value with respect to fuzzy sets. Finally, a fuzzy inference engine uses these values to produce output that indicates whether the HTTP request is normal or abnormal. Experiments show that this approach is flexible and has acceptable accuracy in detecting requests close to the decision boundary, and false-positive rate is 0.79%.