Методы обнаружения аномалий в системах обнаружения вторжений для вебприложений

С ростом популярности веб-сервисов все большая доля уязвимостей приходится
на Веб-приложения. Обеспечение безопасности приложений может осуществляться
как на этапе их разработки, так и на этапе эксплуатации. На этапе эксплуатации
наиболее эффективными являются средства фильтрации трафика прикладного
уровня, специально ориентированные на веб-приложения (Web Application Firewall, или
сокращенно WAF). К сожалению являясь, по сути, сигнатурной системой обнаружения
и предотвращения вторжений WAF требует создания и поддержания в актуальном
состоянии большого количества правил. Кроме того как показывает практика правила детектирования часто требуют настройки на конкретное приложение.
Поэтому для более полной защиты WAF должны дополняться системами обнаружения аномалий.
К настоящему времени предложено ряд различных подходов к выявлению аномалий поведения пользователей веб-приложений, некоторые из которых описывается в
данной статье.