Розробка математичної моделі першого етапу тестування безпеки програмного забезпечення
DOI:
https://doi.org/10.15587/1729-4061.2021.233417Ключові слова:
програмне забезпечення, тестування безпеки, графоаналітична модель, кіберзагрози, безпека програмного забезпечення, захист данихАнотація
Проведено аналіз методик тестування безпеки програмного забезпечення, а також моделей і методів виявлення вразливостей. Виявлено проблему аргументованого вибору підходів моделювання на різних етапах процесу тестування безпеки програмного забезпечення і виявлення його вразливостей, що знижує в цілому точність отриманих результатів моделювання. Визначено два етапи процесу виявлення вразливостей програмного забезпечення. Розроблена математична модель процесу підготовки до тестування безпеки, яка відрізняється від відомих теоретично обґрунтованим вибором виробляючої функцій моментів, при описі переходів зі стану в стан. Також, в математичної моделі враховані можливості та ризики етапу перевірки вихідного коду на предмет криптографічних та інших способів захисту даних. Зазначені особливості в цілому підвищують точність результатів моделювання і знижують невизначеність вхідних даних на другому етапі тестування безпеки програмного забезпечення. Розроблено вдосконалений алгоритм перевірки відповідності за критерієм безпеки, відмітною особливістю якого є вибір законів і параметрів розподілу, що описують окремі переходи зі стану в стан для окремих гілок Graphical Evaluation and Review Technique – мереж (GERT-мереж). Розроблено GERT-мережу процесу підготовки до тестування безпеки. Розроблено GERT-мережу процесу перевірки вихідного коду на предмет криптографічних та інших способів захисту даних. Розроблено графоаналітичну GERT-модель першого етапу тестування програмного забезпечення на безпеку. Представлені в статті вираження можуть бути використані для надання попередніх рекомендацій і можливих шляхів підвищення ефективності алгоритмів тестування безпеки програмного забезпечення.
Посилання
- Felderer, M., Büchler, M., Johns, M., Brucker, A. D., Breu, R., Pretschner, A. (2016). Security Testing: A Survey. Advances in Computers. Elsevier Ltd., 1–51. doi: http://doi.org/10.1016/bs.adcom.2015.11.003
- Felderer, M., Agreiter, B., Zech, P., Breu, R. (2011). A classification for model-based security testing. Advances in System Testing and Validation Lifecycle (VALID 2011), 109–114.
- El Far, I. K., Whittaker, J. A.; Marciniak, J. J. (Ed.) (2002). Model based software testing. Encyclopedia of Software Engineering. Wiley. doi: http://doi.org/10.1002/0471028959.sof207
- Atoum, I., Otoom, A. (2017). A Classification Scheme for Cybersecurity Models. International Journal of Security and Its Applications, 11 (1), 109–120. doi: http://doi.org/10.14257/ijsia.2017.11.1.10
- Dalalana Bertoglio, D., Zorzo, A. F. (2017). Overview and open issues on penetration test. Journal of the Brazilian Computer Society, 23 (1). doi: http://doi.org/10.1186/s13173-017-0051-1
- Minaev, V. A., Korolev, I. D., Mazin, A. V., Konovalenko, S. A. (2018). Model of vulnerability identification in unstable network interactions with automated system. Radio Industry, 2, 48–57. doi: http://doi.org/10.21778/2413-9599-2018-2-48-57
- Kostadinov, D. (2016). Introduction: Intelligence Gathering & Its Relationship to the Penetration Testing Process. Available at: https://resources.infosecinstitute.com/penetration-testing-intelligence-gathering
- Adebiyi, A., Arreymbi, J., Imafidon, C. (2013). A Neural Network Based Security Tool for Analyzing Software. Technological Innovation for the Internet of Things. Portugal, 80–87. doi: http://doi.org/10.1007/978-3-642-37291-9_9
- Semenov, S., Sira, O., Kuchuk, N. (2018). Development of graphicanalytical models for the software security testing algorithm. Eastern-European Journal of Enterprise Technologies, 2(4 (92)), 39–46. doi: http://doi.org/10.15587/1729-4061.2018.127210
- Semenov, S. G., Gavrylenko, S. Y., Chelak, V. V. (2016). Developing parametrical criterion for registering abnormal behavior in computer and telecommunication systems on the basis of economic tests. Actual Problems of Economics, 4 (178), 451–459.
- Yan, D., Liu, F., Jia, K. (2019). Modeling an information-based advanced persistent threat attack on the internal network. ICC 2019-2019 IEEE International Conference on Communications (ICC). Shanghai: IEEE. doi: http://doi.org/10.1109/icc.2019.8761077
- Tian-Yang, G., Yin-Sheng, S., You-Yuan, F. (2010). Research on software security testing. World Academy of science, engineering and Technology. International Journal of Computer and Information Engineering, 4 (9), 1446–1450.
- Semenov, S. H., Sur, O. O. (2012). Matematychna model systemy kryptohrafichnoho zakhystu elektronnykh povidomlen na osnovi GERT-merezhi. Systemy upravlinnia, navihatsiyi ta zviazku, 1 (1 (21)), 131–137.
- Dybach, A. M., Nosovskiy, A. V. (2015). Otsenka veroyatnosti prevysheniya kriteriev bezopasnosti. Yaderna ta radіatsіyna bezpeka, 4, 9–13. Available at: http://nbuv.gov.ua/UJRN/ydpb_2015_4_4
- Ango, A. (1964). Matematika dlya elektro- i radioinzhenerov. Moscow: Nauka, 772.
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2021 Сергей Геннадьевич Семенов, Zhang Liqiang, Cao Weiling, Вячеслав Вадимович Давыдов
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.
Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.