Phát hiện truy nhập bất thường vào máy chủ web (tt)

Phát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ webPhát hiện truy nhập bất thường vào máy chủ web

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

Nguyễn Quốc Trung

PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO MÁY CHỦ WEB

Chuyên ngành: Khoa học máy tính

Mã số: 8.48.01.01

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – NĂM 2018

MỞ ĐẦU

Trong bối cảnh khoa học công nghệ ngày càng phát triển, phòng chống tội phạm khủng bố mạng, chiến tranh mạng và ứng phó với những nguy cơ mới từ không gian mạng là vấn đề toàn cầu được nhiều quốc gia xác định là một trong những nhiệm vụ trọng tâm trong bảo vệ, phát triển đất nước Việt Nam không phải ngoại lệ [1]

Phát hiện truy cập bất thường là bước quan trọng để phát hiện ra tấn công vào máy chủ Web Đây là bước cơ sở để thực hiện các bước tiếp theo trong việc đảm bảo an toàn dịch vụ Web, phát hiện các hành động xâm nhập trái phép, các tấn công vào máy chủ Web

Trên cơ sở yêu cầu thực tiễn đặt ra, tôi đã chọn đề tài: “Phát hiện truy nhập bất thường vào máy chủ Web” Đây là một đề tài có ý nghĩa đối với lĩnh vực an toàn thông

tin và an ninh mạng nói chung và bảo đảm an toàn cho máy chủ Web nói riêng Hiện tại, những cuộc tấn công vào các hệ thống mạng nói chung và hệ thống máy chủ Web nói riêng đang diễn ra hàng ngày, hàng giờ, thậm chí hàng phút trên toàn thế giới Chính vì vậy, đây là một vấn đề có tính cấp thiết, cần được nghiên cứu

Bài luận văn gồm 3 chương chính với các nội dung sau:

Chương 1: Máy chủ web và vấn đề an toàn web

Chương 2: Phát hiện truy nhập bất thường vào máy chủ web

Chương 3: Thử nghiệm

CHƯƠNG 1 MÁY CHỦ WEB VÀ VẤN ĐỀ AN TOÀN WEB 1.1 Máy chủ Web và giao thức HTTP

1.1.1 Giới thiệu máy chủ web

Máy chủ web (Web server) được dùng để chỉ phần mềm máy chủ, hoặc phần cứng dành riêng để chạy các phần mềm trên máy chủ, có thể cung cấp các dịch vụ World Wide Web Một máy chủ web xử lí các yêu cầu (request) từ các client (trong mô hình server - client) thông qua giao thức HTTP và một số giao thức liên quan khác

Các loại máy chủ Web phổ biến bao gồm:

- Apache: Đây là máy chủ Web thường được cài đặt trên Linux Hầu hết các trang web PHP được lưu trữ trên máy chủ Apache

- Internet Information Services (IIS): là máy chủ Web được phát triển bởi Microsoft Hầu hết các trang web asp và aspx được lưu trữ trên máy chủ IIS

- Apache Tomcat: Hầu hết các trang web Java (jsp) được lưu trữ trên máy chủ

- Các máy chủ web khác: bao gồm Web Server của Novell và máy chủ Lotus Domino của IBM, Nginx, v.v.[8]

1.1.2 Các thành phần cơ bản của máy chủ web

Hình 1.1 Kiến trúc hệ thống máy chủ web

Trên hình 1.1 là kiến trúc đơn giản cho một hệ thống máy chủ Web Web server bao gồm thành phần giao diện Web (Presentation layer hay Web interface), thành phần giao diện CSDL (Database interface) Máy chủ CSDL có thể đặt ngoài máy tính cài Web Server, được kết nối với nhau qua giao diện TCP/IP Giao diện giữa máy chủ Web và trình duyệt của người dùng (Web Browser) được thực hiện qua kết nối HTTP hoặc HTTPS Toàn bộ hoạt động của máy chủ Web được ghi vào nhật ký (Log file) phục vụ cho việc theo dõi, giám sát hoạt động và tìm lỗi)

1.1.3 Nguyên tắc hoạt động

Kết nối HTTP/ HTTPS

TCP / IP

Máy trạm Trình duyệt web

Máy chủ web

Lớp trình bày (Giao diện web)

Giao diện cơ sở dữ liệu Tệp

nhật kí

Máy chủ CSDL

Cơ sở dữ liệu

MySQL

Người dùng

Bàn phím/Màn hình

Để trang web có thể hiển thị được thì cơ chế hoạt động của máy chủ web được thể hiện qua các bước cơ bản trong tiến trình truyền tải trang web đến màn hình người dùng như sau

Các tiến trình cơ bản

Trình tự từng bước cơ bản xảy ra như sau:

* Trình duyệt web tách địa chỉ website làm 3 phần:

- Tên giao thức: “http”

- Tên miền của máy chủ web: “http://maychuvietnam.com.vn”

- Tên tệp HTML: “web-server.htm”

* Trình duyệt gửi yêu cầu kết nối tới máy chủ Web (bản tin HTTP request)

* Máy chủ Web trả lời bằng bản tin HTTP response

* Căn cứ thông tin trong bản tin yêu cầu, máy chủ Web liên hệ với máy chủ tên miền (DNS Server) để chuyển đổi tên miền “http://maychuvietnam.com.vn” ra địa chỉ

IP tương ứng

Hình 1.2 Các bước cơ bản trong tiến trình truyền tải web

1.1.4 Ghi nhật ký (Web Log)

Web log file chính là các tệp nhật ký tự động tạo và duy trì bởi một máy chủ web Mỗi lần truy cập vào trang Web, bao gồm mỗi lần xem một tài liệu HTML, hình ảnh hoặc các đối tượng của website đều được web server ghi nhận Các máy chủ web như IIS, Apache hay Nginx đều có các web log file để ghi lại các nhật ký hoạt động của website[9]

1.1.5 Giao thức HTTP

HTTP (HyperText Transfer Protocol) là giao thức truyền tải siêu văn bản

Cơ chế hoạt động chính của HTTP là Request-Response: Web Client sẽ gửi Request đến Web Server, Web Server xử lý và trả về Response cho Web Client

1.1.6 Một số nền tảng Apache, IIS, Ngin

* Nền tảng Apache

Apache Web Server là lựa chọn ưu việt để tạo ra một website ổn định và có thể tùy chỉnh linh hoạt

* Nền tảng IIS

IIS là viết tắt của từ (Internet Information Services ), được đính kèm với các phiên bản của Windows IIS gồm các dịch vụ máy chủ chạy trên nền hệ điều hành Window, cung cấp và phân phối các thông tin lên mạng IIS gồm có nhiều dịch vụ khác nhau như

Web Server, FTP Server…

* Nền tảng Nginx

Nginx là một nền tảng máy chủ Web sử dụng phổ biến giao thức HTTP, HTTPS, SMTP, POP3, IMAP đồng thời tạo cân bằng tải Nginx tập trung vào việc phục vụ số lượng lớn kết nối đồng thời, hiệu suất cao và sử dụng bộ nhớ thấp Nginx có sự ổn định cao, nhiều tính năng, cấu hình đơn giản và tiết kiệm tài nguyên

1.2 Các lỗ hổng bảo mật Web

1.2.1 Khái niệm lỗ hổng bảo mật

Lỗ hổng bảo mật (Security Vulnerability): Một điểm yếu trong một hệ thống

cho phép kẻ tấn công khai tác gây tổn hại đến an ninh, an toàn hệ thống[21]

1.2.2 Các loại lỗ hổng phổ biến của Web

Có 3 loại lỗ hổng phổ biến hiện nay:

+ Lỗ hổng loại C

+ Lỗ hổng loại B

+ Lỗ hổng loại A

Hình 1.3 Các lỗ hổng và mối đe dọa với máy chủ web

* Phân loại theo OWASP[18]

- Chèn mã (Injection)

- Lỗi xác thực, quản lý phiên (Broken Authentication and Session Management)

- Lỗi chéo trang-XSS (Cross-Site Scripting)

- Tham chiếu trực tiếp đối tượng không an toàn (Insecure Direct Object References)

- Cấu hình bảo mật kém (Security Misconfigtiration)

- Lộ dữ liệu nhạy cảm (Sensitive Data Exposure)

- Thiếu kiểm soát truy cập mức chức năng

- Giả mạo yêu cầu liên kết trang (Cross-Site Request Forgery - CSRF)

- Sử dụng lỗ hổng đã biết (Using Known Vulnerable Components)

- Chuyển hướng không an toàn (Unvalidated Redirects and Forwards)

1.2.3 Phương pháp kiểm thử lỗ hổng

* Phương pháp kiểm thử hộp đen

Kiểm thử hộp đen (Black Box Testing) là phương pháp dựa trên đầu vào và đầu

ra của hệ thống để kiểm thử mà không quan tâm tới code bên trong

* Phương pháp kiểm thử hộp trắng

Kiểm thử hộp trắng (White Box Testing) là phương pháp dựa vào thuật toán, cấu trúc code bên trong của chương trình với mục đích đảm bảo rằng tất cả các câu lệnh và điều kiện sẽ được thực hiện ít nhất một lần

* Phương pháp kiểm thử hộp xám

Kiểm thử hộp xám (Grey Box Testing) được sử dụng để kiểm thử khi những thông tin được biết bên trong hệ thống mang tính hạn chế Đây là phương pháp kết hợp giữa kiểm thử Black Box Testing và White Box Testing

Lỗ hổng Web Server

- Lỗ hổng HĐH

- Không cập nhật bản vá lỗi IIS,…

- Các dịch vụ được cài đặt mặc định

Browser

SQL Server Thu thập

thông tin

Mã độc:

virut trojan…

Firewall

Tấn công từ chối dịch vụ

Tấn công tiêm mã

(XSS, SQLi,

Bof,…)

Firewall

Web Server

1.3 Tấn công vào máy chủ Web

1.3.1 Giới thiệu về tấn công vào máy chủ Web

Tấn công vào máy chủ Web là hình thức kẻ tấn công tìm cách khai thác các lỗ hổng đã biết hoặc chưa biết trên máy chủ Web nhằm đánh cắp thông tin từ máy chủ, phá rối hoạt động hoặc gây gián đoạn, ngưng trệ dịch vụ Web Đối tượng bị tấn công có thể

là cá nhân, doanh nghiệp, tổ chức hoặc cơ quan nhà nước[12]

1.3.2 Một số loại tấn công điển hình vào máy chủ Web

- Tấn công chuyển dịch thư mục (Directory traversal attacks)

- Tấn công từ chối dịch vụ (Denial of Service Attacks)

- Tấn công chiếm giữ hệ thống tên miền (Domain Name System Hijacking)

- Tấn công nghe lén (Sniffing)

- Tấn công giả mạo (Phishing)

- Tấn công đầu độc (Pharming)

- Tấn công thay giao diện (Defacement)

* Công cụ tấn công máy chủ Web: Metasploit, Mpack, Zeus, Neosplit…

1.3.3 Thống kê tấn công máy chủ Web điển hình hiện nay

* Khảo sát các loại tấn công điển hình vào trang tin / cổng TTĐT

Báo cáo của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) cho biết trong năm 2016, tại Việt Nam ghi nhận 134.375 sự cố tấn công mạng của cả 3 loại hình Phishing (lừa đảo), Malware (mã độc) và Deface (thay đổi giao diện), tăng hơn 4,2 lần so với năm 2015[4]

1.3.4 Một số biện pháp điển hình chống tấn công vào máy chủ Web

Nhìn chung, một số biện pháp cơ bản có thể liệt kê gồm:

- Cài đặt các bản vá lỗi thường xuyên để giúp đảm bảo các máy chủ

- Bảo mật các cài đặt và cấu hình của hệ điều hành

- Bảo mật các cài đặt và cấu hình của phần mềm máy chủ web

- Sử dụng các công cụ như Snort, Nmap, Scanner Access Now Easy (SANE)

- Sử dụng tường lửa

- Phần mềm diệt virus, mã độc

- Vô hiệu hóa quản trị từ xa

- Tài khoản mặc định và các tài khoản không sử dụng phải được xóa khỏi hệ thống

- Cổng và cài đặt mặc định

1.4 Phát hiện truy nhập bất thường vào máy chủ Web

Có hai cách để phát hiện truy nhập bất thường vào máy chủ Web Phương pháp truyền thống là sử dụng hệ thống phát hiện xâm nhập (IDS – Intrusion Detection Systems)

Cách thứ hai là phát hiện các hành vi bất thường

1.5 Kết luận chương

Trong chương này luận văn đã trình bày về các nội dung: giới thiệu về máy chủ Web, các thành phần cơ bản của máy chủ Web, nguyên lý hoạt động, việc ghi nhật ký Weblog, giao thức HTTP, các nền tảng máy chủ Web như IIS, Apache, Nginx Ngoài ra luận văn cũng đã trình bày về các lỗ hổng bảo mật Web, các loại tấn công vào máy chủ Web, vấn đề phát hiện truy nhập bất thường vào máy chủ Web và khả năng phân tích, phát hiện tấn công thông qua phân tích tệp nhật ký hoạt động của máy chủ Web (Web

Log)

CHƯƠNG 2 PHÁT HIỆN TRUY NHẬP BẤT THƯỜNG VÀO

MÁY CHỦ WEB 2.1 Phạm vi phân tích, phát hiện truy nhập bất thường vào máy chủ Web

Để thực hiện nhiệm vụ phát hiện truy nhập bất thường vào máy chủ Web, cần thu thập dữ liệu từ Weblog Về nguyên tắc, có thể thu thập được các nhật ký (access log, error log, v.v sau đây gọi chung là Weblog) từ máy chủ Web, trang tin, mạng nói chung

và các log truy cập các dịch vụ mạng Tuy nhiên, trong khuôn khổ của bài, luận văn chỉ tập trung vào thu thập và phân tích Weblog để phát hiện truy nhập bất thường vào máy chủ Web

2.2 Kiến trúc hệ thống phát hiện truy nhập bất thường

2.2.1 Tham khảo một số mô hình kiến trúc hệ thống

* IBM QRadar SIEM

QRadar SIEM (Security Information and Event Management) là hệ thống quản

lý các thông tin và sự cố an ninh được phát triển và cung cấp bởi hãng IBM

Hình 2.1 Mô hình kiến trúc hệ thống IBM QRadar SIEM

Các tính năng tiêu biểu của QRadar SIEM như sau:

+ Khả năng phát hiện giả mạo, các nguy cơ bên trong và bên ngoài;

+ Thực hiện việc chuẩn hóa và tương quan các sự kiện tức thời;

+ Khả năng theo dõi và liên kết các sự cố và nguy cơ;

+ Có thể dễ dàng mở rộng tính năng lưu trữ, xử lý

* Splunk

Splunk là một nền tảng xử lý và phân tích log rất mạnh, được cung cấp bởi hãng Splunk Inc, Hoa Kỳ Splunk có thể xử lý, phân tích log phục vụ đảm bảo an toàn thông tin, cũng như trích rút thông tin hỗ trợ cho các hoạt động kinh doanh Splunk cung cấp các công cụ tìm kiếm và biểu đồ cho phép biểu diễn kết qua đầu ra theo nhiều dạng Hình 2.2 biểu diễn màn hình thống kê của Splunk

Hình 2.2 Thống kê của Splunk

* Sumo Logic

Sumo Logic là một dịch vụ xử lý, phân tích và quản lý log trên nền tảng điện toán đám mây Ưu điểm của Sumo Logic là cung cấp nhiều tính năng và có khả năng xử lý nhiều loại log, đồng thời việc cài đặt cũng tương đối dễ dàng do Sumo Logic dựa trên nền tảng điện toán đám mây, không đòi hỏi thiết bị chuyên dụng

* Hệ thống giám sát Web của VNCS

VNCS Web monitoring là giải pháp cho phép giám sát nhiều Website đồng thời dựa trên thu thập, xử lý và phân tích log truy cập sử dụng nền tảng Splunk do Công ty

cổ phần Công nghệ An ninh không gian mạng Việt Nam phát triển

Hình 2.3 Thống kê thu thập Web log từ các máy chủ cần giám sát của VNCS

* Một số hệ thống mã nguồn mở

Hiện có khá nhiều hệ thống mã nguồn mở cho phép thu thập, xử lý và quản lý các file log, điển hình như Logtash, Graylog, LOGalyze, Webalizer, FireStats, Open Web Analytics, Go Access, Web Forensik, Weblog Expert,…

2.2.2 Kiến trúc hệ thống phát hiện truy nhập bất thường

Sơ đồ thiết kế hệ thống phân tích, phát hiện truy nhập bất thường vào máy chủ Web được đề xuất như sau:

Hình 2.4 Hệ thống phân tích, phát hiện truy nhập bất thường

Khối phân tích log

Thống kê, cảnh báo

Weblog

Parser

- Weblog: Khối này đặc tả ghi weblog, ghi lại thông tin về các sự kiện xảy ra trong truy nhập máy chủ, bao gồm các sự kiện truy nhập bất thường

- Parse: Là khối xử lý sơ bộ, loại bỏ thông tin không liên quan, tạo thành tệp nhật ký gốc, định dạng Weblog và truyền về trung tâm phân tích.Mục đích chính của việc xử lý trước là cải thiện chất lượng và độ chính xác của dữ liệu

- Khối phân tích Log: Phân tích dấu hiệu bất thường của Weblog

- Khối thống kê, cảnh báo: Đưa ra thống kê, cảnh báo Sau khi đã phân tích filelog đưa ra thống kê các truy nhập bất thường bằng địa chỉ IP…từ đó cảnh báo tấn công máy chủ web[14]

2.3 Cấu trúc Weblog

Tệp nhật ký Weblog có định dạng chuẩn CLF (Common Log File), chứa các dòng thông điệp cho mỗi một gói HTTP request, cấu tạo như sau[9,18]:

Host Ident Authuser Date Request Status Bytes

Trong đó:

- Host: Tên miền đầy đủ của client hoặc IP

- Ident: Nếu chỉ thị IdentityCheck được kích hoạt và client chạy identd, thì đây

là thông tin nhận dạng được client báo cáo

- Authuser: Nếu URL yêu cầu xác thực HTTP thì tên người dùng là giá trị của

mã thông báo này

- Date: Ngày và giờ yêu cầu

- Request: Dòng yêu cầu của client, được đặt trong dấu ngoặc kép (“”)

- Status: Mã trạng thái (gồm ba chữ số)

- Bytes: số bytes trong đối tượng trả về cho client, ngoại trừ các HTTP header

2.4 Nguyên tắc hoạt động của khối xử lý Parse

Về cơ bản, dịch vụ Parse cung cấp cho chúng ta các tác vụ chính sau:

- Core: Đây là nơi chúng ta quản lý những dữ liệu đã được upload lên thông qua

service của Parse

- Push: Gửi push notification tới các thiết bị đa nền tảng, lọc tin nhắn theo từng

đối tượng khách hàng

- Analytics: Đây là nơi chúng ta quản lý và thống kê các thông tin về việc sử

dụng service trong app: Phân tích việc sử dụng dữ liệu của người dùng, phân tích việc hiệu quả của sử dụng các push notification, tìm và fix các lỗi của ứng dụng

- Settings: Đây là nơi lưu các keys của tất cả API Ngoài ra, chúng ta có thể chỉnh

setting cho ứng dụng của chúng ta tại đây, quản lý bảo mật, xuất dữ liệu,

- Docs: Đây là nơi cung cấp các tài liệu về API để chúng ta tham khảo và sử dụng

trong ứng dụng

2.5 Thu thập thông tin Weblog cho phát hiện bất thường

2.5.1 Thu thập thông tin từ logfile hệ thống

Trong một hệ thống mạng lớn như VCCorp, quản trị viên thường thu tập một lượng lớn dữ liệu như log thiết bị, log hệ thống, các thông tin cảnh báo, thông điệp điều khiển được tạo ra trên mạng lưới bởi các ứng dụng hoặc thiết bị

2.5.2.Thu thập thông tin từ công cụ

Các phương pháp phân tích tập tin nhật ký thủ công và phát hiện tấn công theo dấu hiệu luôn là các phương pháp hiệu quả về mặt kết quả, tuy nhiên sẽ mất rất nhiều thời gian và công sức để phân tích log file, vì log file thường chứa rất rất nhiều dòng nhật ký Vì vậy Regular expression là lựa chọn phù hợp

Regular (Regex) cho phép xử lý các chuỗi ký tự linh hoạt, hiệu quả và mạnh mẽ Regex cho phép mô tả và phân tích chuỗi ký tự với các bản mẫu tương tự như một ngôn ngữ lập trình nho nhỏ Regex có trong nhiều dạng công cụ, nhưng sức mạnh của nó chỉ được thể hiện tối đa khi là 1 phần của một ngôn ngữ lập trình

2.6 Phương pháp trích chọn đặc trưng dữ liệu

Về cơ bản việc bóc tách các thuộc tính đặc trưng bao gồm hai phần là xây dựng các thuộc tính và lựa chọn các thuộc tính đặc trưng Lựa chọn thuộc tính được xem như

là sự tổng hợp của ba thành phần chính: tìm kiếm, đánh giá, chọn lựa mô hình

* Chiến lược tìm kiếm

Lựa chọn thuộc tính có thể được xem như là một vấn đề tìm kiếm, trong đó mỗi bước trong không gian tìm kiếm xác định ra một tập con thuộc tính liên quan Một phương pháp tìm kiếm là tìm ra tập con tối ưu bắt đầu từ một tập rỗng các thuộc tính

* Tiêu chuẩn lựa chọn

Tất cả các chiến lược tìm kiếm đều có nhu cầu đánh giá một thuộc tính hoặc một tập con thuộc tính để xác định thuộc tính/tập con đó là tốt hay không tốt Việc đánh giá này thường là phức tạp và có nhiều chiều đánh giá

* Các mô hình Filter và Wrapper

- Mô hình Wrapper

- Mô hình Filter

* Một số thuật toán trích chọn thuộc tính

• Tìm kiếm toàn bộ

- Phương pháp Focus

Phương pháp này xem xét tất cả các kết hợp có thể của N các thuộc tính, bắt đầu

từ một tập con rỗng các thuộc tính: là tập con thứ nhất, là tập con thứ hai,… Khi Focus tìm ra một tập con thỏa mãn tiêu chí đo lường độ ổn định, giải thuật sẽ dừng lại

- Phương pháp AAB

Giải thuật ABB bắt đầu với một tập tất cả các thuộc tính, ABB thực hiện chiến lược tìm kiếm theo chiều rộng Tại mỗi bước giải thuật lần lượt loại bỏ một thuộc tính cho đến khi không còn một thuộc tính nào có thể được loại bỏ mà vẫn thỏa mãn tiêu chí

độ ổn định Cuối cùng, một tập với số lượng các thuộc tính nhỏ nhất được chọn lựa nếu

nó thỏa mãn tiêu chí đo lường U[10,13]

• Tìm kiếm theo kinh nghiệm

Phương pháp đơn giản nhất trong các phương pháp tìm kiếm theo kinh nghiệm

là “trích” ra một bộ phân lớp và thực hiện việc chọn lựa các thuộc tính bằng cách sử dụng bộ phân lớp được tạo ra trước đó

• Tìm kiếm xác suất

Phương pháp LVF bao gồm một thủ tục có thể tạo ra tạo ra các tập con thuộc tính một cách ngẫu nhiên và một thủ tục nhằm đánh giá xem mỗi tập con được tạo ra có thỏa mãn tiêu chuẩn chọn lựa hay không

2.7 Cách thức phân tích Weblog phát hiện bất thường

* Kỹ thuật phát hiện tấn công dựa vào dấu hiệu đã biết trước

- Kỹ thuật phân tích bị động

Kỹ thuật phân tích tấn công bị động dựa trên các dấu hiệu từ một danh sách đen (black list hoặc rulebase) và một chính sách mặc định cho phép mọi thứ Điều này có nghĩa là mọi request đều được chấp nhận Danh sách đen này sẽ định nghĩa những dấu hiệu bị coi là không hợp lệ và được gắn cờ (dấu hiệu) là một cuộc tấn công web

- Kỹ thuật phân tích chủ động