Управление процессом тестирования веб-приложений методом фаззинга на основе динамических байесовских сетей

Сергей Алексеевич Баркалов, Татьяна Васильевна Азарнова, Павел Валерьевич Полухин

Аннотация


В настоящий период времени ведутся интенсивные исследования в области создания результативных технологий тестирования веб-приложений на наличие уязвимостей; одной из таких технологий, позволяющих проводить комплексное тестирование на всех этапах жизненного цикла приложения, является тестирование методом фаззинга. Актуальным направлением развития данной технологии является разработка математического и программного обеспечения, реализующего интеллектуальные компоненты фаззинга, внедрение которых позволит существенно повысить его результативность и ресурсную эффективность. В статье представлена концептуальная модель применения аппарата динамических байесовских сетей для управления тестированием веб-приложений методом фаззинга. В рамках построенной концептуальной модели разработаны динамические байесовские модели для основных OWASP – классов уязвимостей веб-приложений и соответствующее алгоритмическое и программное обеспечение для проведения тестирования.

Ключевые слова


OWASP – классы уязвимостей веб-приложений; управление тестированием веб-приложений; динамическая байесовская сеть; алгоритмы обучения и вероятностного вывода

Полный текст:

PDF

Литература


Азарнова, Т.В. Расширение функциональных возможностей фаззинга веб-приложений на основе динамических сетей Байеса / Т.В. Азарнова, П.В. Полухин // Научно-техническая информация. Серия 2. Информ. процессы и системы. – 2014. – № 9. – С. 12–19.

Кельберт, М.Я. Вероятность и статистика в примерах и задачах. Т. 1: Основные понятия теории вероятностей и математической статистики / М.Я. Кельберт, Ю.М. Сухов. – М.: МЦНМО, 2007. – 456 с.

Масленников, Е.Д. Предсказания на основе байесовских сетей доверия: алгоритм и программная реализация / Е.Д. Масленников, В.Б. Сулимов // Вычислительные методы и программирование. – 2010. – № 11. – С. 94–107.

Микаэльян, С.В. Методы фильтрации на основе многоточечной аппроксимации плотности вероятности оценки в задаче определения параметров движения цели при помощи измерителя с нелинейной характеристикой / С.В. Микаэльян // Наука и Образование. – 2011. – № 10. – С. 2–14.

Полухин, П.В. Интеграция динамических байесовских сетей в процесс тестирования вебприложений для выявления уязвимостей межсайтингового скриптинг / П.В. Полухин // Научное обозрение. – 2014. – № 9. – С. 414–422.

Соболь, И.М. Численные методы Монте-Карло. – М.: Наука, 1973. – 312 с.

Тихонов, В.И. Марковские процессы / В.И. Тихонов, М.А. Миронов. – М.: Сов. радио, 1977. – 488 c.

Торопова, А.В. Подходы к диагностике согласованности данных в байесовских сетях доверия / А.В. Торопова // Труды СПИИРАН. – 2015. – № 43. – С. 156–178.

Тулупьев, А.Л. Байесовские сети доверия: логико-вероятностный вывод в ациклических направленных графах / А.Л. Тулупьев, А.В. Сироткин, С.И. Николенко. – СПб.: Изд-во С.-Петерб. ун-та, 2009. – 400 с.

Russel, S. Artificial Intelligence: A Modern Approach / S. Russel, P. Norvig. – Boston: Prentice Hall, 2009 – 1095 p.

Sutton, M. Fuzzing: Brute Force Vulnerability Discovery / M. Sutton, A. Greene, P. Amini. – Addison Wesley, 2007. – 527 p.




DOI: http://dx.doi.org/10.14529/ctcr170205

Ссылки

  • На текущий момент ссылки отсутствуют.