МЕТОД АВТОМАТИЗАЦІЇ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ВЕБАТАК

УДК:004.056.5

DOI:10.25140/2411-5363-2020-1(19)-98-103

Автор:

Стеценко Інна Вячеславівна, Національний технічний університет України «Київський політехнічний інститут імені І. Сікорського» (просп. Перемоги, 37, м. Київ, 03056, Україна)

Савчук Вікторія Володимирівна , Національний технічний університет України «Київський політехнічний інститут імені І. Сікорського» (просп. Перемоги, 37, м. Київ, 03056, Україна)

Мова статті: українська

Анотація:

Актуальність теми дослідження. Збільшення можливості для розширення мереж та вибір у використанні сервісів у сучасному світі, призводить до прогалин у безпеці. З цієї причини виконується моделювання системи, що дозволяє відтворити характеристики інформаційної атаки, а також провести оцінювання рівня її небезпеки. 

Постановка проблеми. Нині немає програмного застосунку, що дозволяє автоматизовано моделювати та оцінювати захищеність власної інформаційної системи без втручання в саму систему.

Аналіз останніх досліджень і публікацій. Процес моделювання атак за допомогою мереж Петрі розглядався в декількох роботах закордонних авторів.

Виділення недосліджених частин загальної проблеми. Наявні моделі графових атак створювались лише на прикладі певної архітектури мережі, проблемою залишилось створення універсального автоматизованого застосування, на основі вхідних даних про зв’язки та архітектуру мережі.

Постановка завдання. Автоматизація виявлення зовнішніх вразливостей для аналізу захищеності інформаційної системи, шляхом розробки програмного забезпечення, що моделює за допомогою мереж Петрі розповсюдження атаки залежно від її архітектури.

Виклад основного матеріалу. Програмне забезпечення розроблено на основі мови програмування Java, включає графічну оболонку Java FX, для пошуку сервісів хосту використовується Shodan REST API, для ідентифікації вразливостей ресурси NVD і CVE details. Зібрані дані використовує окремий програмний модуль, що працює зі створенням моделі на основі мережі Петрі.

Висновки відповідно до статті. Запропонований метод дозволяє автоматизувати перевірку інформаційної системи на вразливість до хакерських атак. 

Ключові слова:

моделювання кібератак; тест на проникнення; уразливості; мережа Петрі

Список використаних джерел:

1. McDermott J. P. Attack Net Penetration Testing. Proc. of the 2000 Workshop on New Security Paradigm. 2000. URL: https://www.nspw.org/papers/2000/nspw2000-mcdermott.pdf.

2. Yang L., Yang X. The effect of network topology on the spread of computer viruses: A modeling study. International Journal of Computer Mathematic. 2017. Vol. 94, № 8. P. 1–19.

3. Guo H., Cheng H. K., Kelley K. Impact of Network Structure on Malware Propagation: A Growth Curve Perspective. Journal of Management Information Systems. 2016. Vol. 33, № 1. P. 296–325.

4. Xinlei Li, Di Li. A Network Attack Model based on Colored Petri Net. Journal of networks. 2014. Vol. 9, № 7. P. 1883–1891. URL: https://pdfs.semanticscholar.org/003a/05bc845716439 ed2c1ef494ac1e8ae7585bb.pdf.

5. Stetsenko I. V., Dyfuchyn A., Leshchenko K., Davies J. Web application for visual modeling of discrete event systems. Proceedings of the Seventh International Conference on Internet Technologies and Applications (ITA2017) / Picking R., Cunningham S., Houlden N., Oram D., Grout V., Mayers J. (eds). Wrexham, UK, 2017. Р. 86–91. 

6. Shodan. URL: https://www.shodan.io.

7. Shodan REST API Documentation. URL: https://developer.shodan.io/api/.

8. Common Platform Enumeration (CPE). URL: https://csrc.nist.gov/Projects/Security-ContentAutomation-Protocol/Specifications/cpe.

9. National Vulnerability Database. URL: https://nvd.nist.gov.

10. A Complete Guide to the Common Vulnerability Scoring System Common Vulnerabilities and Exposures. URL: https://www.first.org/cvss/v2/guide.

11. CVE official. URL: https://cve.mitre.org.

12. CVE format. URL: https://nvd.nist.gov/vuln/detail/CVE.

13. CVE Details – the ultimate security. URL: https://www.cvedetails.com. 

Завантажити