Розробка інструменту виявлення вразливостей за допомогою великих мовних моделей
DOI:
https://doi.org/10.15587/1729-4061.2025.325251Ключові слова:
великі мовні моделі, автоматизація виявлення вразливостей, штучний інтелект, мультивекторне тестуванняАнотація
Об'єктом дослідження є інструмент для автоматизації виявлення вразливостей за допомогою великих мовних моделей, розроблений для скорочення часу, витраченого на традиційне тестування на проникнення. Додатково було здійснено детальний аналіз, що порівнює ефективність автоматизованого підходу з класичним ручним тестуванням безпеки. Інструмент використовує програмний інтерфейс додатків до великих мовних моделей, що дозволяє аналізувати великі обсяги даних, виявляти складні взаємозв’язки між компонентами систем та забезпечувати інтерактивну підтримку фахівців під час тестування. Шляхом проведення експериментів інструмент показав здатність інтегруватися з популярними засобами тестування на проникнення та працювати з реальними загрозами, зокрема у сценаріях з активними атаками на мережі та веб-додатки. Автоматизація рутинних завдань (перевірка конфігурацій, аналіз вихідних даних інструментів, формування рекомендацій) дала змогу суттєво знизити навантаження на фахівців. У середньому інструмент скоротив час виконання тестування на 54.4 % порівняно з ручним підходом. Показники повноти сягали 94.7 % у сценаріях мережевого аналізу й знижувалися до 66.7 % під час тестування веб-додатків, а точність автоматизованого підходу коливалася в межах 80–90 %. Результати підтвердили, що застосування великих мовних моделей значно скорочує час на виконання завдань та покращує точність виявлення вразливостей. Інструмент може використовуватися як самостійно, так і у поєднанні з іншими засобами автоматизації, що робить його універсальним рішенням для організацій різного масштабу. Таким чином, запропоноване рішення є вагомим внеском у розвиток сучасних технологій кібербезпеки та демонструє перспективність інтеграції штучного інтелекту у процеси автоматизації
Посилання
- Tolkachova, A., Piskozub, A. (2024). Methods for testing the security of web applications. Electronic Professional Scientific Journal «Cybersecurity: Education, Science, Technique», 2 (26), 115–122. https://doi.org/10.28925/2663-4023.2024.26.668
- Li, Z., Dutta, S., Naik, M. (2024). LLM-assisted static analysis for detecting security vulnerabilities. arXiv. https://doi.org/10.48550/arXiv.2405.17238
- Saini, J., Bansal, A. (2024). Automated penetration testing: machine learning approach. CEUR Workshop Proceedings. Available at: https://ceur-ws.org/Vol-3682/Paper10.pdf
- Omar, M. (2023). Detecting software vulnerabilities using language models. arXiv. https://doi.org/10.48550/arXiv.2302.11773
- Purba, M. D., Ghosh, A., Radford, B. J., Chu, B. (2023). Software Vulnerability Detection using Large Language Models. 2023 IEEE 34th International Symposium on Software Reliability Engineering Workshops (ISSREW), 112–119. https://doi.org/10.1109/issrew60843.2023.00058
- Sultana, S., Afreen, S., Eisty, N. U. (2024). Code vulnerability detection: A comparative analysis of emerging large language models. arXiv. https://doi.org/10.48550/arXiv.2409.10490
- Goyal, D., Subramanian, S., Peela, A. (2024). Hacking, the lazy way: LLM augmented pentesting. arXiv. https://doi.org/10.48550/arXiv.2409.09493
- Pratama, D., Suryanto, N., Adiputra, A. A., Le, T.-T.-H., Kadiptya, A. Y., Iqbal, M., Kim, H. (2024). CIPHER: Cybersecurity Intelligent Penetration-Testing Helper for Ethical Researcher. Sensors, 24 (21), 6878. https://doi.org/10.3390/s24216878
- Aloraini, B., Nagappan, M., German, D. M., Hayashi, S., Higo, Y. (2019). An empirical study of security warnings from static application security testing tools. Journal of Systems and Software, 158, 110427. https://doi.org/10.1016/j.jss.2019.110427
- Singh, R., Kumar Gupta, M., Patil, D. R., Maruti Patil, S. (2024). Analysis of Web Application Vulnerabilities using Dynamic Application Security Testing. 2024 IEEE 9th International Conference for Convergence in Technology (I2CT), 1–6. https://doi.org/10.1109/i2ct61223.2024.10543484
- Mallissery, S., Wu, Y.-S. (2023). Demystify the Fuzzing Methods: A Comprehensive Survey. ACM Computing Surveys, 56 (3), 1–38. https://doi.org/10.1145/3623375
- Khaliq, S., Abideen Tariq, Z. U., Masood, A. (2020). Role of User and Entity Behavior Analytics in Detecting Insider Attacks. 2020 International Conference on Cyber Warfare and Security (ICCWS), 1–6. https://doi.org/10.1109/iccws48432.2020.9292394
- Mohammed, F., Rahman, N. A. A., Yusof, Y., Juremi, J. (2022). Automated Nmap Toolkit. 2022 International Conference on Advancements in Smart, Secure and Intelligent Computing (ASSIC), 1–7. https://doi.org/10.1109/assic55218.2022.10088375
- Choudhary, R., Rawat, J., Singh, G. (2023). Comprehensive Exploration of Web Application Security Testing with Burp Suite Tools. International Journal For Multidisciplinary Research, 5 (6). https://doi.org/10.36948/ijfmr.2023.v05i06.11297
- Narayana Rao, T. V., Shravan, V. (2019). Metasploit Unleashed Tool for Penetration Testing. International Journal on Recent and Innovation Trends in Computing and Communication, 7 (4), 16–20. https://doi.org/10.17762/ijritcc.v7i4.5285
- Suga, Y. (2014). Visualization of SSL Setting Status Such as the FQDN Mismatch. 2014 Eighth International Conference on Innovative Mobile and Internet Services in Ubiquitous Computing, 588–593. https://doi.org/10.1109/imis.2014.88
- Bhoir, H., Jayamalini, K. (2021). Web Crawling on News Web Page using Different Frameworks. International Journal of Scientific Research in Science and Technology, 513–519. Internet Archive. https://doi.org/10.32628/cseit2174120
##submission.downloads##
Опубліковано
Як цитувати
Номер
Розділ
Ліцензія
Авторське право (c) 2025 Anastasiia Zhuravchak, Andrian Piskozub, Bohdan Skorynovych, Yuriy Lakh, Danyil Zhuravchak, Pavlo Hlushchenko, Petro Venherskyi, Igor Beliaiev, Maksym Vorokhob, Ivan Kolbasynskyi
Ця робота ліцензується відповідно до Creative Commons Attribution 4.0 International License.
Закріплення та умови передачі авторських прав (ідентифікація авторства) здійснюється у Ліцензійному договорі. Зокрема, автори залишають за собою право на авторство свого рукопису та передають журналу право першої публікації цієї роботи на умовах ліцензії Creative Commons CC BY. При цьому вони мають право укладати самостійно додаткові угоди, що стосуються неексклюзивного поширення роботи у тому вигляді, в якому вона була опублікована цим журналом, але за умови збереження посилання на першу публікацію статті в цьому журналі.
Ліцензійний договір – це документ, в якому автор гарантує, що володіє усіма авторськими правами на твір (рукопис, статтю, тощо).
Автори, підписуючи Ліцензійний договір з ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР», мають усі права на подальше використання свого твору за умови посилання на наше видання, в якому твір опублікований. Відповідно до умов Ліцензійного договору, Видавець ПП «ТЕХНОЛОГІЧНИЙ ЦЕНТР» не забирає ваші авторські права та отримує від авторів дозвіл на використання та розповсюдження публікації через світові наукові ресурси (власні електронні ресурси, наукометричні бази даних, репозитарії, бібліотеки тощо).
За відсутності підписаного Ліцензійного договору або за відсутністю вказаних в цьому договорі ідентифікаторів, що дають змогу ідентифікувати особу автора, редакція не має права працювати з рукописом.
Важливо пам’ятати, що існує і інший тип угоди між авторами та видавцями – коли авторські права передаються від авторів до видавця. В такому разі автори втрачають права власності на свій твір та не можуть його використовувати в будь-який спосіб.
