МЕТОД АВТОМАТИЗАЦІЇ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ВЕБАТАК

Інна Вячеславівна Стеценко; Вікторія Володимирівна Савчук

doi:10.25140/2411-5363-2020-1(19)-98-103

Автор(и)

Інна Вячеславівна Стеценко НТУУ «КПІ ім. Ігоря Сікорського», Ukraine https://orcid.org/0000-0002-4601-0058
Вікторія Володимирівна Савчук НТУУ «КПІ ім. Ігоря Сікорського», Ukraine

DOI:

https://doi.org/10.25140/2411-5363-2020-1(19)-98-103

Ключові слова:

моделювання кібератак, тест на проникнення, уразливості, мережа Петрі

Анотація

Актуальність теми дослідження. Збільшення можливості для розширення мереж та вибір у використанні сервісів у сучасному світі, призводить до прогалин у безпеці. З цієї причини виконується моделювання системи, що дозволяє відтворити характеристики інформаційної атаки, а також провести оцінювання рівня її небезпеки.

Постановка проблеми. Нині немає програмного застосунку, що дозволяє автоматизовано моделювати та оцінювати захищеність власної інформаційної системи без втручання в саму систему.

Аналіз останніх досліджень і публікацій. Процес моделювання атак за допомогою мереж Петрі розглядався в декількох роботах закордонних авторів.

Виділення недосліджених частин загальної проблеми. Наявні моделі графових атак створювались лише на прикладі певної архітектури мережі, проблемою залишилось створення універсального автоматизованого застосування, на основі вхідних даних про зв’язки та архітектуру мережі.

Постановка завдання. Автоматизація виявлення зовнішніх вразливостей для аналізу захищеності інформаційної системи, шляхом розробки програмного забезпечення, що моделює за допомогою мереж Петрі розповсюдження атаки залежно від її архітектури.

Виклад основного матеріалу. Програмне забезпечення розроблено на основі мови програмування Java, включає графічну оболонку Java FX, для пошуку сервісів хосту використовується Shodan REST API, для ідентифікації вразливостей ресурси NVD і CVE details. Зібрані дані використовує окремий програмний модуль, що працює зі створенням моделі на основі мережі Петрі.

Висновки відповідно до статті. Запропонований метод дозволяє автоматизувати перевірку інформаційної системи на вразливість до хакерських атак.

Біографії авторів

Інна Вячеславівна Стеценко, НТУУ «КПІ ім. Ігоря Сікорського»

доктор технічних наук, професор

Вікторія Володимирівна Савчук, НТУУ «КПІ ім. Ігоря Сікорського»

студентка

Посилання

McDermott J. P. Attack Net Penetration Testing. Proc. of the 2000 Workshop on New Security Paradigm. 2000. URL: https://www.nspw.org/papers/2000/nspw2000-mcdermott.pdf.

Yang L., Yang X. The effect of network topology on the spread of computer viruses: A modeling study. International Journal of Computer Mathematic. 2017. Vol. 94, № 8. P. 1–19.

Guo H., Cheng H. K., Kelley K. Impact of Network Structure on Malware Propagation: A Growth Curve Perspective. Journal of Management Information Systems. 2016. Vol. 33, № 1. P. 296–325.

Xinlei Li, Di Li. A Network Attack Model based on Colored Petri Net. Journal of networks. 2014. Vol. 9, № 7. P. 1883–1891. URL: https://pdfs.semanticscholar.org/003a/05bc845716439 ed2c1ef494ac1e8ae7585bb.pdf.

Stetsenko I. V., Dyfuchyn A., Leshchenko K., Davies J. Web application for visual modeling of discrete event systems. Proceedings of the Seventh International Conference on Internet Technologies and Applications (ITA2017) / Picking R., Cunningham S., Houlden N., Oram D., Grout V., Mayers J. (eds). Wrexham, UK, 2017. Р. 86–91.

Shodan. URL: https://www.shodan.io.

Shodan REST API Documentation. URL: https://developer.shodan.io/api/.

Common Platform Enumeration (CPE). URL: https://csrc.nist.gov/Projects/Security-ContentAutomation-Protocol/Specifications/cpe.

National Vulnerability Database. URL: https://nvd.nist.gov.

A Complete Guide to the Common Vulnerability Scoring System Common Vulnerabilities and Exposures. URL: https://www.first.org/cvss/v2/guide.

CVE official. URL: https://cve.mitre.org.

CVE format. URL: https://nvd.nist.gov/vuln/detail/CVE.

CVE Details – the ultimate security. URL: https://www.cvedetails.com.