МЕТОД АВТОМАТИЗАЦІЇ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ВЕБАТАК
DOI:
https://doi.org/10.25140/2411-5363-2020-1(19)-98-103Ключові слова:
моделювання кібератак, тест на проникнення, уразливості, мережа ПетріАнотація
Актуальність теми дослідження. Збільшення можливості для розширення мереж та вибір у використанні сервісів у сучасному світі, призводить до прогалин у безпеці. З цієї причини виконується моделювання системи, що дозволяє відтворити характеристики інформаційної атаки, а також провести оцінювання рівня її небезпеки.
Постановка проблеми. Нині немає програмного застосунку, що дозволяє автоматизовано моделювати та оцінювати захищеність власної інформаційної системи без втручання в саму систему.
Аналіз останніх досліджень і публікацій. Процес моделювання атак за допомогою мереж Петрі розглядався в декількох роботах закордонних авторів.
Виділення недосліджених частин загальної проблеми. Наявні моделі графових атак створювались лише на прикладі певної архітектури мережі, проблемою залишилось створення універсального автоматизованого застосування, на основі вхідних даних про зв’язки та архітектуру мережі.
Постановка завдання. Автоматизація виявлення зовнішніх вразливостей для аналізу захищеності інформаційної системи, шляхом розробки програмного забезпечення, що моделює за допомогою мереж Петрі розповсюдження атаки залежно від її архітектури.
Виклад основного матеріалу. Програмне забезпечення розроблено на основі мови програмування Java, включає графічну оболонку Java FX, для пошуку сервісів хосту використовується Shodan REST API, для ідентифікації вразливостей ресурси NVD і CVE details. Зібрані дані використовує окремий програмний модуль, що працює зі створенням моделі на основі мережі Петрі.
Висновки відповідно до статті. Запропонований метод дозволяє автоматизувати перевірку інформаційної системи на вразливість до хакерських атак.
Посилання
McDermott J. P. Attack Net Penetration Testing. Proc. of the 2000 Workshop on New Security Paradigm. 2000. URL: https://www.nspw.org/papers/2000/nspw2000-mcdermott.pdf.
Yang L., Yang X. The effect of network topology on the spread of computer viruses: A modeling study. International Journal of Computer Mathematic. 2017. Vol. 94, № 8. P. 1–19.
Guo H., Cheng H. K., Kelley K. Impact of Network Structure on Malware Propagation: A Growth Curve Perspective. Journal of Management Information Systems. 2016. Vol. 33, № 1. P. 296–325.
Xinlei Li, Di Li. A Network Attack Model based on Colored Petri Net. Journal of networks. 2014. Vol. 9, № 7. P. 1883–1891. URL: https://pdfs.semanticscholar.org/003a/05bc845716439 ed2c1ef494ac1e8ae7585bb.pdf.
Stetsenko I. V., Dyfuchyn A., Leshchenko K., Davies J. Web application for visual modeling of discrete event systems. Proceedings of the Seventh International Conference on Internet Technologies and Applications (ITA2017) / Picking R., Cunningham S., Houlden N., Oram D., Grout V., Mayers J. (eds). Wrexham, UK, 2017. Р. 86–91.
Shodan. URL: https://www.shodan.io.
Shodan REST API Documentation. URL: https://developer.shodan.io/api/.
Common Platform Enumeration (CPE). URL: https://csrc.nist.gov/Projects/Security-ContentAutomation-Protocol/Specifications/cpe.
National Vulnerability Database. URL: https://nvd.nist.gov.
A Complete Guide to the Common Vulnerability Scoring System Common Vulnerabilities and Exposures. URL: https://www.first.org/cvss/v2/guide.
CVE official. URL: https://cve.mitre.org.
CVE format. URL: https://nvd.nist.gov/vuln/detail/CVE.
CVE Details – the ultimate security. URL: https://www.cvedetails.com.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2020 Чернігівський національний технологічний університет, 2015
Ця робота ліцензується відповідно до Creative Commons Attribution-NonCommercial 4.0 International License.