L'analyse comportementale basée sur les spécifications est une stratégie de détection d'intrusion ayant de nombreux atouts reconnus par rapport à l'analyse à partir d'une base de signatures pourtant largement plus utilisée. Nous avions montré le bénéfice de cette approche dans le projet DALI1 en imaginant le Shield [1]. Cet outil crée de manière semi-automatisée une liste blanche de règles décrivant le comportement normal de l'application via des contraintes. Toute requête client non conforme à ces contraintes sera identifiée et lèvera une alerte. Le but du projet RoCaWeb est de construire ces contraintes à partir de flux réseau sain, permettant de spécifier les requêtes autorisées d'une application web, en considérant toujours le serveur comme une boîte noire (donc sans accès au code source de l'application web). L'ensemble des contraintes est donc construit en utilisant des méthodes d'analyse des protocoles web et des techniques de génération automatique de règles à base d'expression régulières.