Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат наук Мясников Алексей Владимирович

  • Мясников Алексей Владимирович
  • кандидат науккандидат наук
  • 2021, ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого»
  • Специальность ВАК РФ05.13.19
  • Количество страниц 93
Мясников Алексей Владимирович. Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения: дис. кандидат наук: 05.13.19 - Методы и системы защиты информации, информационная безопасность. ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого». 2021. 93 с.

Оглавление диссертации кандидат наук Мясников Алексей Владимирович

ОСНОВНОЕ СОДЕРЖАНИЕ РАБОТЫ

1 СОВРЕМЕННЫЕ ПОДХОДЫ К ПРОВЕДЕНИЮ ТЕСТИРОВАНИЯ БЕЗОПАСНОСТИ ИС

1.1 Атаки на современные ИС

1.2 Уязвимости сетевой инфраструктуры ИС. Подходы к оценке уязвимостей

1.2.1 Стандарт оценки уязвимостей С1/55 и его развитие

1.2.2 Базы данных уязвимостей

1.3 Базы средств эксплуатации уязвимостей

1.4 Подходы к проведению тестирования на проникновение

1.4.1 Этап тестирования на проникновение - сбор информации

1.4.2 Этап тестирования на проникновение - получение доступа к целевому

узлу

1.5 Основной инструментарий тестирования на проникновение ИС

1.6 Автоматизация тестирования на проникновение

1.7 Концепция графов атак

1.8 Выводы

2 СОВРЕМЕННЫЕ ПОДХОДЫ К ТЕСТИРОВАНИЮ НА ПРОНИКНОВЕНИЕ С ПРИМЕНЕНИЕМ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ

2.1 Применения машинного обучения для задачи тестирования на проникновение

2.2 Применение машинного обучения для решения подзадач информационной безопасности

2.2.1 Автоматизация фишинговых атак при помощи машинного обучения

2.2.2 Применение машинного обучения для автоматического поиска уязвимостей

2.2.3 Применение машинного обучения для автоматической эксплуатации уязвимостей

2.3 Выводы

3 ФОРМАЛИЗАЦИЯ ПРОЦЕССА ТЕСТИРОВАНИЯ НА ПРОНИКНОВЕНИЯ ИС С ПОМОЩЬЮ МАРКОВСКОГО ПРОЦЕССА ПРИНЯТИЯ РЕШЕНИЙ

3.1 Марковский процесс принятия решений

3.2 Частично-наблюдаемый марковский процесс принятия решения

3.3 Автоматизированное тестирование на проникновение с неизвестной моделью

3.4 Модели тестирования алгоритмов

3 . 5 Построение модели ИС

3.5.1 Построение модели сети

3.5.2 Построение графовой модели состояний среды

3.6 Выводы

4 ТЕСТИРОВАНИЕ НА ПРОНИКНОВЕНИЕ С ПРИМЕНЕНИЕМ ОБУЧЕНИЯ С ПОДКРЕПЛЕНИЕМ

4.1 Обучение с подкреплением

4.2 Задача тестирования на проникновение с применением методов машинного обучения с подкреплением

4.2.1 Архитектура средства автоматизации тестирования на проникновение

4.2.2 Конфигурирование тестовой среды/

4.3 Тестирование метода автоматизации

4. 3 . 1 Сценарии тестирования

4. 3 . 2 Детали тренировки

4. 3 . 3 Процедура оценки

4. 4 Выводы

ЗАКЛЮЧЕНИЕ

ВВЕДЕНИЕ

Рекомендованный список диссертаций по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Введение диссертации (часть автореферата) на тему «Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения»

Актуальность работы.

Одним из методов обеспечения безопасности ИС является процесс тестирования на проникновение. Тестирование на проникновение - проактивный способ оценки безопасности цифровых активов путем планирования и проведения контролируемых атак на исследуемую ИС.

На данный момент существует множество стандартов проведения мероприятий по тестированию на проникновение, в том числе стандарты, характерные для ИС определенных отраслей (Банковские системы, объекты промышленности и.т.д.). Несмотря на наличие регламентирующих документов, сам процесс тестирования на проникновение представляет собой комплексную техническую задачу и требует высокого уровня квалификации от исполняющей стороны.

Отсутствует единый подход к оценке безопасности ИС посредством тестирования на проникновение, кроме того, существующие подходы не учитывают все возрастающую сложность и объем алгоритмов тестирования ИС. Современные методики тестирования на проникновение дают рекомендации по проведению процесса тестирования, но не отвечают на вопрос о минимально требуемом объеме испытаний для определения защищенности ИС против набора атак.

Существующие программные комплексы по автоматизации подзадач тестирования на проникновение требуют непосредственного контроля специалиста, проводящего тестирование.

Данная научно-исследовательская работа направлена на решение проблемы обоснования необходимого объема тестирования, что позволит определить временные и технические ресурсы, необходимые для проведения тестирования. В работе рассмотрена возможность объединения аппарата машинного обучения с подкреплением и задачи автоматического тестирования и планирования контролируемых атак на ИС. Предложенные решения позволяют повысить эффективность оценки безопасности ИС, что делает актуальной тему настоящего исследования.

Степень разработанности темы исследования.

Проблеме автоматизированного анализа безопасности ИС посвящено множество исследований таких российских и иностранных исследователей как К. Филлипс, Л. Свилер, П. Амман, С. Каушик, однако предложенные ими подходы основаны на предположении о полном знании исследуемой сети и конфигурации всех узлов. В работах Д. Хоффмана предложен подход к построению модели исследуемой сети в терминах марковского процесса принятия решений, но полностью игнорируется конфигурация узлов сети. Вместо этого неопределенность атакующего моделируется путем вероятности успеха проведения атаки.

Объектом исследования является процесс тестирования на проникновение в контексте формирования необходимой выборки атак.

Предметом исследования является формализация методов тестирования на проникновение с применением методов и алгоритмов машинного обучения.

Цель и задачи исследования.

Целью работы является сокращения технологических и временных затрат при проведении тестирования ИС на проникновение на основе разработки Марковской модели процесса тестирования и определении необходимого

количества тестов с применением машинного обучения для формирования последовательности тестов.

Для достижения поставленной цели в работе необходимо было решить следующие задачи:

1. Формализовать процесс тестирования на проникновение с использованием Марковского процесса принятия решений, позволяющий оценить объем и последовательность тестов, необходимых для компрометации системы.

2. Построить графовую модель состояний исследуемой ИС, позволяющую в виртуальном режиме определить требуемый объем тестирования для достижения компрометации ИС.

3. Разработать методику, использующую машинное обучение с подкреплением для определения последовательности применения тестов и минимизирующую их количество.

4. Разработать подход к оценке безопасности на основе показателя устойчивости ИС к набору атак, основанный на достижимости состояний, связанных с полной или частичной компрометацией сети ИС.

5. Разработать архитектуру системы автоматизации тестирования информационных систем на проникновения с применением методов машинного обучения.

Методы исследования составили методы анализа данных, математической логики, теории искусственного интеллекта и машинного обучения, теории графов, теория Марковских процессов, теория информационной безопасности.

Научная новизна.

1. Построена формальная модель процесса тестирования на проникновение, позволяющая оценить количество и последовательность тестов.

2. Предложена графовая модель, позволяющая оценить сложность и объем тестирования для полной компрометации исследуемой системы.

3. Разработан метод автоматизации тестирования на проникновение в виде метода определения последовательности тестов на основе машинного обучения с подкреплением, опирающийся на формальную модель тестирования на проникновение.

4. Построена система показателей, оценивающих ресурсоемкость тестирования на проникновение и степень защищённости исследуемой ИС. Теоретическую значимость работы составляет предложенный метод

формализации задачи тестирования на проникновение с использованием Марковского процесса принятия решений, позволяющий оценить необходимый объем испытаний и временных ресурсов, необходимый и достаточный для полной компрометации целевых узлов исследуемой ИС.

Практическая значимость результатов работы определяется положительным опытом применения метода автоматизации тестирования на проникновение, а также созданием и совершенствованием существующих средств автоматизации, что подтверждается актом об использовании в проектной деятельности ООО «Акрибия. Исследования и разработки». Положения, выносимые на защиту:

1. Формальная модель тестирования ИС на проникновение, представленная в форме Марковского процесса принятия решений, позволяющая оценить объем и последовательность тестирования.

2. Графовая модель состояний ИС для оценки минимально необходимого объема тестирования для достижения полной или частичной компрометации ИС.

3. Метод автоматизации тестирования ИС на проникновение с использованием машинного обучения с подкреплением с уточнением шагов тестирования.

4. Подход к оценке безопасности ИС, основанный на обосновании необходимого и достаточного набора путей атаки.

Соответствие специальности научных работников.

Полученные научные результаты соответствуют следующим пунктам раздела 2 «Области исследования» паспорта специальности научных работников 05.13.19 «Методы и системы защиты информации, информационная безопасность»: методы, модели и средства выявления, идентификации и классификации угроз нарушения информационной безопасности объектов различного вида и класса (п. 3); принципы и решения (технические, математические, организационные и др.) по созданию новых и совершенствованию существующих средств защиты информации и обеспечения информационной безопасности (п. 13).

Достоверность и обоснованность результатов, представленных в диссертации, подтверждается всесторонним анализом предшествующих научных работ в данной области, полученными экспериментальными данными и апробацией результатов в научных публикациях и докладах на конференциях.

Внедрение результатов работы.

Полученные основные научные результаты диссертационного исследования нашли свое отражение в учебном процессе Института Кибербезопасности и Защиты информации и ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра Великого» при организации дисциплины «Безопасность современных информационных технологий», что подтверждается соответствующими актами о внедрении.

Апробация результатов работы.

Основные результаты исследований и научных разработок докладывались и обсуждались на следующих конференциях: научно-практическая конференция «РусКрипто» (Москва, 2017, 2018 гг.), научно-техническая конференция «Методы и технические средства обеспечения безопасности информации» (Санкт-Петербург, 2016, 2017, 2018, 2019 и 2020 гг.), научная конференция «Информатика и кибернетика (ComCon-2017)» (Санкт-Петербург, 2017 г.), международная конференция «Региональная информатика (РИ-2017, РИ-2020)» (Санкт-Петербург, 2017, 2020 гг.), межрегиональная конференция «Информационная безопасность регионов России (ИБРР-2017)» (Санкт-Петербург, 2017 г.), межрегиональная научно-практическая конференция «Перспективные направления развития отечественных информационных технологий» (Севастополь, 2018 г.), международная конференция secur'IT CUPV 17 (Прага, Чехия, 2017), международная конференция Huawei SPBaW-18 (Санкт-Петербург, 2018).

Публикации по теме работы.

Результаты диссертационной работы отражены в 7 публикациях, в том числе 3 публикаций в рецензируемых журналах из перечня ВАК РФ, 4 публикаций в изданиях из перечня РИНЦ.

Объем и структура диссертации. Диссертация состоит из введения, четырех глав, заключения и списка литературы из 41 наименования. Общий объем работы составляет 93 страниц, в том числе 34 рисунка и 9 таблиц.

Основное содержание работы

Во введении обоснована актуальность темы исследования, сформулированы цели и задачи работы, изложены основные научные результаты исследований и положения, выносимые на защиту, показана их новизна, теоретическая и практическая значимость. Представлены сведения по апробациям и публикация по теме исследований в рецензируемых источниках. Приведено

краткое содержание диссертации по главам. Рассмотрена возможность практического применения предложенных в работе подходов и методов.

В первой главе приведены результаты исследования современных подходов к проведению практической оценки безопасности ИС. Приведено описание основных этапов процесса тестирования на проникновение, приведен перечень существующих программных средств автоматизации процесса тестирования на проникновение, рассмотрены существующие международные и отечественные базы уязвимостей, классификация уязвимостей с точки зрения критичности, эволюция метрик оценки уязвимостей.

Также рассмотрены существующие базы публично доступных эксплоитов, их классификация. Рассмотрены актуальные методологии проведения тестирования на проникновение, их особенности и недостатки. В главе рассмотрены разрабатываемые ранее подходы к автоматизации тестирования на основе построения графов атак

Во второй главе рассмотрены существующие подходы к тестированию на проникновение с использованием машинного обучения. Определены основные особенности, позволяющие использовать машинное обучение к подзадачам практической оценки информационной безопасности. Приведена классификация средств автоматизации по типу прикладной задачи тестирования на проникновение, решаемой данными алгоритмами.

Рассмотрены существующие средства, использующие машинное обучение для проведения целевых фишинг-атак, для проведения атак на рабочие станции, для автоматизации социальной инженерии.

В третьей главе описан процесс формализации процесса тестирования на проникновение с применением Марковского процесса принятия решений. Описан процесс построения графовой модели состояний исследуемой системы.

В четвертой главе приводится описание предложенного метода автоматизации на основе обучения с подкреплением. Обучение с подкреплением основано на взаимодействии агента с некоторой средой и выработке оптимальной политики, на основе получаемых от среды данных о вознаграждении за переход из состояний.

В заключении приведены основные результаты и выводы, полученные в ходе выполнения работы.

1 СОВРЕМЕННЫЕ ПОДХОДЫ К ПРОВЕДЕНИЮ ТЕСТИРОВАНИЯ

БЕЗОПАСНОСТИ ИС

В данной главе приведены результаты исследования современных подходов к проведению практической оценки безопасности ИС. Приведено описание основных этапов процесса тестирования на проникновение, приведен перечень существующих программных средств автоматизации процесса тестирования на проникновение, рассмотрены существующие международные и отечественные базы уязвимостей, классификация уязвимостей с точки зрения критичности, эволюция метрик оценки уязвимостей.

Также рассмотрены существующие базы публично доступных эксплоитов, их классификация. Рассмотрены актуальные методологии проведения тестирования на проникновение, их особенности и недостатки. В главе рассмотрены разрабатываемые ранее подходы к автоматизации тестирования на основе построения графов атак

1.1 Атаки на современные ИС

Сетевая инфраструктура - совокупность различного оборудования, а также программного обеспечения, которая формирует особую среду для эффективного процесса обмена данными, а также для работы бизнес-приложений. Любая составляющая сетевой инфраструктуры может стать причиной компрометации безопасности сети посредством проведения сетевой атаки или цепочки сетевых атак.

Под сетевой атакой принято понимать действия нарушителя, нацеленные на компрометацию безопасности сети. Мотивацией злоумышленника может являться:

— Получение контроля над узлом ИС;

— Дестабилизация работы узлов ИС;

— Повышение прав на пограничном узле ИС;

— Получение персональных данных пользователей, хранящихся в информационной системе.

Сетевые атаки разнообразны, как по происхождению, так и по эффекту, оказываемому на атакуемую ИС. Особенность сетевых атак в наше время состоит в том, что реализовать их способен человек, не владеющий большим запасом знаний в области информационной безопасности (далее ИБ). Все это стало возможно благодаря распространению большого количества свободно-распространяемых утилит для эксплуатации. На рисунке 1 представлена количественная статистика по различным сетевым атакам за август 2020 [1]. Как видно на примере только одной компании разработчика в области ИБ, количество атак за день может доходить до цифры свыше 7 млн.

Рисунок 1 - Количественная статистика по проведенным сетевым атакам за август 2020 года по данным Лаборатории Касперского

По информации о типе проводимых атак можно наблюдать, что наиболее популярными типами атак являются попытки эксплуатации сетевых узлов с уязвимыми версиями сервисов, а также попытки подбора паролей к сервисам удаленного доступа, что может быть обусловлено ростом популярности введения удаленного рабочего режима крупными компаниями.

1 Intru5i.on.Hln.HS 17 -016.0 41.37*

2 B rutefo rce.Cene ric.Rdp.d 36.24%

3 B rutefo rce.Cene ric.Rdp.a 6.4%

4 Sean. Cene ric. Po rtScan. TCP 6.14%

5 Int rusion.Hin.HS17-010.p

6 Sean. Cene ric. Po rtScan. UDP 1611

7 B rutefo rce.Cene ric.RDP 6.93*

8 BoS.Ceneric.Flood.TCPSVN 6.66*

9 Bruteforce.Ceneric.Rdp.c 6.48*

1В Intru5ion.Hin.HS17-616.cf 6.2*

Рисунок 2 - Процентное соотношение по проведенным сетевым атакам за

август 2020 года

Учитывая, что наиболее распространенной эксплуатируемой уязвимостью является недостаток SMB-протокола (суммарный объем трафика для различных версий данной атаки достигает почти 50% в рассматриваемом трафике), патч к которому был выпущен еще в 2017 году [2], можно сделать вывод, что большинство ИС, имеющих доступ в сеть Интернет, находятся под угрозой. Избежать сценария со взломом сети можно внедрением практик патч-менеджмента внутри организации, использующей ИС, а идентифицировать подобные недочеты можно с помощью практической оценки безопасности -тестирования на проникновение.

1.2 Уязвимости сетевой инфраструктуры ИС. Подходы к оценке

уязвимостей.

Под уязвимостью в информационной безопасности подразумевается любой недочет ИС, используя который злоумышленник может провести успешную атаку на систему. Уязвимость может быть результатом ошибок программирования или проектирования отдельной программы, протокола или запроса, слабых паролей или ненадежных политик доступа. В рамках данного исследования опускаются проблемы физической безопасности.

Наиболее частой причиной возникновения уязвимостей становятся:

— ошибки проектирования, разработки программного продукта, протокола или запроса;

— недостаточно строгая парольная политика;

— применение бэкдоров;

— некорректная конфигурация сетевого оборудования;

— некорректные политики доступа;

— несанкционированные действия пользователей ИС.

По уровню опасности уязвимости принято делить на 3 большие группы:

— известные уязвимости;

— 1^ау уязвимости;

— 0^ау уязвимости.

Известные уязвимости хорошо задокументированы исследователями, а соответствующие программные продукты имеют исправления от официального разработчика, устраняющие недочеты, приводящие к возможности эксплуатации

данных уязвимостей. 1-day уязвимости имеют индикаторы компрометации, про них уже известно разработчикам, но официального патча от разработчика еще не существует, хотя это не исключает наличия патчей от сторонних исследователей или организаций. Термином 0-day обозначают любую уязвимость, которая была обнаружена впервые.

Угроза - потенциальная возможность каким-либо образом нарушить информационную безопасность. Атакой называется реализация такой угрозы посредством существующей уязвимости.[3]

В начале 90-х годов стало очевидно, что для хранения всего объема записей о найденных уязвимостях необходимо провести их классификацию и систематизацию. Актуальность данной задачи обуславливалась появлением большого числа нового программного обеспечения: операционных систем, программ, платформ разработки; увеличением количества версий программных продуктов, а также частотой нахождения уязвимостей.

Важно было определить критичность данной уязвимости, например, по таким критериям как простота эксплуатации и последствия эксплуатации. Данная информации впоследствии могла быть дополнена рекомендациями по устранению уязвимости, а также информацией об версиях программного обеспечения.

Оценка критичности уязвимостей проводится по CVSS - Common Vulnerability Scoring System.

Базы данных уязвимостей широко используются специалистами по информационной безопасности для оценки защищенности информационных систем, а также нарушителями, осуществляющими попытки их компрометации.

1.2.1 Стандарт оценки уязвимостей CVSS и его развитие

CVSS впервые была опубликована 23 февраля 2005 года исследовательской группой NIAC. Данная система должна была обеспечить универсальность и открытость оценки критичности уязвимостей программного обеспечения, однако, первая версия не была проанализирована коммерческими организациями, вследствие чего имела ряд недостатков. Основным недостатком CVSS было слишком малое число критериев, по которым проводилась оценка из-за чего существовало множество уязвимостей с одинаковой оценкой. Чтобы избежать подобных недостатков в будущем, была собрана группа CVSS-SIG, задача которой заключалась в выявлении и исправлении всех недостатков CVSS.

1 июня 2007 года было опубликовано описание системы CVSS 2.0, которая в дальнейшем получила широкое распространение. До 2011 года она вошла в следующие стандарты:

— PCI DSS - стандарт безопасности данных платежных карт;

— NIST (National Institute of Standards and Technology);

— ITU-T X.1521 - международный стандарт оценки уязвимостей.

CVSS 2.0 оценивает уязвимости по степени серьёзности угрозы. Основу данной методологии оценки составляют три группы метрик [4]: базовая, временная и контекстная. Каждая группа состоит из множества метрик, представленных на рисунке 3.

Base Metric Group

Vedar ^

I I ln""ct ■

CAc'icsi Ccr^i: ÜAILV

J '■... ImpJtt

Г ivaHiWlltv

Impact J

С

^üthi;ntÍCJt¡Dn

r1

Temporal Metric Group

ExptaiLrtilrty

RjtmediaL on Lewi

С

Report Cotriidwm J

Environ mental Metric Group

Ctfijtcrjl Lijr'.'FC- \ ■ ([Kifidrntlality 'i Pctcniul y ^ ftequirerrMnt J

С

с

Tarj¡rt bktributiHi

"Л / irritant ч ^ j ■. ftcquin-rrwit }

С

AVJ JbiHT Sequi'errí-nt

Рисунок 3 - Группы метрик CVSS

Базовые метрики определяют основные свойства уязвимости, что позволяет исследователю получить четкое представление об уязвимости. Затем происходит определение временных и контекстных метрик, которые позволяют произвести оценку уязвимости для конкретной среды. CVSS 2.0 подход помогает принять более контекстно-обоснованные действия в целях снизить ущербы от уязвимостей.

Для оценки уязвимостей с точки зрения внешнего нарушителя достаточно рассматривать исключительно базовую группу метрик, создающую общее представление об уязвимостях, так как при оценке защищенности системы зачастую отсутствует возможность получения информации о стоимости активов, потенциальном ущербе в результате эксплуатации уязвимости и т. п.

Базовая группа состоит из 6 метрик:

- Доступ: локальный, удаленный через локальную сеть, удаленный через глобальную сеть. При этом, чем дальше нарушитель, тем выше базовая оценка;

- Сложность атаки: низкая, средняя, высокая;

- Показатель аутентификации: не требуется, единственная, множественная. Показатель аутентификации отражает сложность проведения атаки с точки зрения предоставляемых злоумышленником валидных данных;

- Воздействие уязвимости на триаду конфиденциальности, целостности и доступности (отсутствует, в некоторой степени, в полной мере).

Частичным считается влияние на актив, которое может быть ограничено. При наличии физического доступа к системе или прав root, система считается полностью компрометированной.

Данные показатели подставляются в базовое уравнение, представленное на рисунке 4.

ESaseScore = round_to_l_decimal( С (0.6*Impact)+(0.4+Exploitabil ity) -1. 5)+f{Impact))

Impact = 10.41+(l-(1-ConfImpact)*(1-Integlmpact)*(1-AvailImpact))

Exploitability = 20* AccessVector+AccessComplexity^-Authentication

f(impact)= 0 if lmpact=0, 1.176 otherwise

AccessVector = case AccessVector of

requires "local access: 0.395 adjacent network accessible: 0.646 network accessible: 1.0

AccessComplexity = case AccessComplexity of

high: 0.35 medium: 0.61 low: 0.71

Authentication = case Authentication of

requires multiple instances of authentication: 0.45 requires single instance of authentication: 0.56 requires no authentication: 0.704

Conflmpact = case Confidentialitylmpact of

none: 0.0

partial: 0.275

complete: 0.660

Integlmpact = case Integritylmpact of

none: 0.0

partial: 0.275

complete: 0.660

Availlmpact = case Availabilitylmpact of

none: 0.0

partial: 0.275

complete: 0.660

Рисунок 4 - Расчет показателей для CVSS 2.0

В табл.1 приводится сопоставление качественных и количественных характеристик базовых метрик.

Таблица 1 - Шкала оценок базовых метрик

Метрика Качественная характеристика Количественная характеристика

Способ получения доступа Локальный 0.395

Удаленный через локальную сеть 0.646

Удаленный через глобальную сеть 1.0

Сложность атаки Высокая 0.35

Средняя 0.61

Низкая 0.71

Показатель аутентификации Множественная 0.45

Единственная 0.56

Не требуется 0.704

Влияние на конфиденциальность, целостность и доступность Нет 0

Частичная 0.275

Полная 0.660

Однако, со временем и в CVSS 2.0 был обнаружен ряд недостатков:

— Неоднозначная трактовка исследователями различных показателей CVSS 2.0 приводила к тому, что в различных базах уязвимостей одни и те же уязвимости могли иметь разную оценку критичности, в виду выбора разных значений метрики сложности эксплуатации;

— Ряд известных компаний, такие как Oracle, IBM, Cisco и другие помимо CVSS 2.0 начали использовать оценки собственной разработки, которые являлись более информативными;

В 2015 году была предложена версия стандарта CVSS 3.0, в которой были учтены проблемы CVSS 2.0. В неё были внесены следующие изменения:

1. Введен дополнительный уровень доступа: физический;

2. Удален средний уровень сложности эксплуатации уязвимости. В данном стандарте любое дополнительное условие, неподконтрольное нарушителю, приводит к повышению уровня сложности до высокого;

3. Добавлена метрика взаимодействия с пользователем: требуется, не требуется;

4. Метрика аутентификации заменена показатель уровня привилегий, который может принимать значения: отсутствует, низкий, высокий. Первый уровень эквивалентно отсутствию аутентификации, второе - аутентификации от имени обычного пользователя, а третий - аутентификации от имени администратора;

5. Изменены коэффициенты в уравнениях для уменьшения зависимости оценки от сложности эксплуатации и повышения её зависимости от причиняемого ущерба;

6. Определено понятие цепочки уязвимостей. Эксплуатация одной отдельной уязвимости может нести низкую угрозу, однако в цепочке с другими уязвимостями опасность уязвимостей значительно повышается;

7. Метрики воздействия изменены с частичной и полной на низкую и высокую;

8. Добавлена метрика Scope. Данная метрика показывает, влияет ли уязвимость в данной системе на другие системы. Данный показатель может принимать значения: без изменения, с изменением.

Нововведенная версия CVSS 3.0 позволяет более точно определить опасность уязвимости для системы, однако, и в ней могут быть найдены неоднозначные трактовки, например, при определении влияния уязвимости на целостность, конфиденциальность и доступность информации.

Общая схема оценки уязвимостей по стандарту CVSS представлена на рисунке 5.

Рисунок 5 - Оценка уязвимости по стандарту CVSS

1.2.2 Базы данных уязвимостей

Для проверки критичности найденных уязвимостей используются базы уязвимостей. Они хранят такую информацию как: идентификатор уязвимости, её краткое описание, подверженные уязвимости версии программного продукта. Основные из современных баз данных уязвимостей [4]:

- БДУ ФСТЭК России [6];

- MITRE CVE [7] и NVD [8];

- OSVDB [9];

- Secunia Vulnerability Database [10].

1.2.2.1 БДУ ФСТЭК России

Начиная с 2014 года ФСТЭК России поддерживает собственную базу угроз информационной безопасности - БДУ ФСТЭК. Основным вектором внимания записей БДУ ФСТЭК являются уязвимости из перечня программного обеспечения, используемого в государственных органах Российской Федерации. Наполнение базы происходит из общедоступных источников. Объем базы на начало 2020 года составляет 28000 записей. Формат записей БДУ ФСТЭК схож со многими базами данных и состоит из:

- описание деталей обнаруженной уязвимости;

- дата обнаружения уязвимости;

- название ПО, уязвимые версии, вендор;

Похожие диссертационные работы по специальности «Методы и системы защиты информации, информационная безопасность», 05.13.19 шифр ВАК

Список литературы диссертационного исследования кандидат наук Мясников Алексей Владимирович, 2021 год

СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ

1 Cyber threat map [Электронный ресурс]. - Режим доступа: https://cybermap.kaspersky.com/stats - (дата обращения 01.09.2020).

2 MS17-010 Security Vulnerability Bulletin [Электронный ресурс]. -Режим доступа: https://support.microsoft.com/ru-ru/help/4013389/title - (дата обращения 01.09.2020).

3 ГОСТ Р 53114-2008 Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения [Электронный ресурс]. - Режим доступа: http://docs.cntd.ru/document/1200075565 -(дата обращения 01.09.2020).

4 Mell P.S. Complete Guide to the Common Vulnerability Scoring System Version 2.0 [Электронный ресурс]. - Режим доступа: https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=51198. - (дата обращения 01.09.2020).

5 Федорченко А. В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных систем и сетей // Информационно-управляющие системы. - 2014. - № 5. - С. 7279.

6 Банк данных угроз безопасности информации [Электронный ресурс]. - 2019. - Режим доступа: https://bdu.fstec.ru/vul. - (дата обращения 01.09.2020).

7 About CVE [Электронный ресурс]. - 1999. - Режим доступа: https://cve.mitre.org/about/. - (дата обращения 01.09.2020).

8 Bellis E. Using database to automate Assessment and Remediation [Электронный ресурс]. - 2013. - Режим доступа:

https://www.kennasecurity.com/blog/ using-databases-automate-assessment-

remediation/. - (дата обращения 01.09.2020).

9 Mansourov N. System assurance: beyond detecting vulnerabilities. -Burlington: Elsevier, 2010. - P 161.

10 Secunia Research [Электронный ресурс]. - 2019. - Режим доступа: https://www.flexera.com/products/operations/software-vulnerability-research/secu nia-research.html. - (дата обращения 01.09.2020).

11 J. Hoffmann, "Simulated penetration testing: From 'dijkstra' to 'turing test++,'" presented at the Proceedings International Conference on Automated Planning and Scheduling, ICAPS, 2015, vol. 2015-January, pp. 364-372

12 C. Sarraute, O. Buffet, and J. Hoffmann, "POMDPs Make Better Hackers: Accounting for Uncertainty in Penetration Testing," AAAI, 2012.

13 G. E. Monahan, "State of the art—a survey of partially observable Markov

dec

heory, models, and algorithms," Manage. Sci., vol. 28, no. 1, pp. 1-16, 1982

14 A. R. Cassandra, Exact and approximate algorithms for partially observable Markov decision processes. Brown University, 1998

15 M. G. Bellemare, Y. Naddaf, J. Veness, and M. Bowling, "The Arcade Learning Environment: An Evaluation Platform for General Agents," 1, vol. 47, pp. 253-279, Jun. 2013.

16 J. Deng, W. Dong, R. Socher, L. Li, K. Li, and L. Fei-Fei, "ImageNet: A large-scale hierarchical image database," in 2009 IEEE Conference on Computer Vision and Pattern Recognition, 2009, pp. 248-255.

17 OpenAI Gym [Электронный ресурс]. - Режим доступа: https://gym.openai.com/ - (дата обращения 01.09.2020).

18 G. F. Riley and T. R. Henderson, "The ns-3 Network Simulator," in Modeling and Tools for Network Simulation, K. Wehrle, M. Gune§, and J. Gross, Eds. Berlin, Heidelberg: Springer Berlin Heidelberg,

2010, pp. 15-34.

19 B. Lantz, B. Heller, and N. McKeown, "A network in a laptop: rapid prototyping for software-defined networks," in Proceedings of the 9th ACM SIGCOMM Workshop on Hot Topics in Networks, 2010, p. 19.

20 A. Futoransky, F. Miranda, J. Orlicki, and C. Sarraute, Simulating Cyber-Attacks for Fun and Profit. 2010.

21 F. Holik, J. Horalek, O. Marik, S. Neradova, and S. Zitta, "Effective penetration testing with Metasploit framework and methodologies," presented at the CINTI 2014 - 15th IEEE International

Symposium on Computational Intelligence and Informatics, Proceedings, 2014, pp. 237-242

22 G. Lyon, Nmap Network Scanning: Official Nmap Project Guide to Network Discovery and Security Scanning

. Insecure.Com, LLC, 2008.

23 Seymour J., Tully P. Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter // Black Hat USA, 2016

24 R. S. Sutton and A. G. Barto, "Reinforcement learning: An introduction,"

2011.

25 Ingols K. Practical attack graph generation for network defense // Proceedings of 22nd Annual Conference on the Computer Security Applications (Miami Beach, FL, 2006). - IEEE, 2006. - P. 121.

26 Top 10 Exploit Databases for Finding Vulnerabilities [Электронный ресурс]. - 2018. - Режим доступа: https://null-byte.wonderhowto.com/how-to/top-10-exploit-databases-for-finding-vulnerabilities-0189314/. - (дата обращения 01.10.2020).

27 Гнедин Е. Сценарий для взлома. Разбираем типовые сценарии атак на корпоративные сети [Электронный ресурс]. - 2017 - Режим доступа: https://xakep.ru/2017/04/10/hacking-attack-types/. - (дата обращения 01.09.2020).

28 Муханова А. А. Классификация угроз и уязвимостей информационной безопасности в корпоративных системах // Вестник НГУ. Сер.: Информационные технологии. - 2013. - Т. 11. - № 2. - С. 55-72.

29 Mansourov N. System assurance: beyond detecting vulnerabilities. -Burlington: Elsevier, 2010. - P 161.

30 Secunia Research [Электронный ресурс]. - 2019. - Режим доступа: https://www.flexera.com/products/operations/software-vulnerability-research/secu nia-research.html. - (дата обращения 01.09.2020).

31 Брюховецкая Н.Е. Методология оценки рисков предприятия // Стратегия и механизмы регулирования промышленного развития. - 2011. - С. 58.

32 Seymour J., Tully P. Weaponizing data science for social engineering: Automated E2E spear phishing on Twitter // Black Hat USA, 2016

33 Godefroid P., Peleg H., Singh R. Learn&Fuzz: machine learning for input fuzzing // Urbana-Champaign, IL, USA — October 30 - November 03, 2017

34 Deep Exploit: Fully Automatic Penetration Test Tool Using Machine Learning, 2018. [Электронный ресурс]. - Режим доступа: https://www.blackhat.com/eu-18/arsenal/schedule/#deep-exploit-fully-automatic-penetration-test-tool-using-machine-learning-13320 (Дата обращения: 01.09.2020)

35 C. Sarraute, O. Buffet, and J. Hoffmann, "Penetration Testing == POMDP Solving?," in SecArt, 2011

36 C. Sarraute, O. Buffet, and J. Hoffmann, "POMDPs Make Better Hackers: Accounting for Uncertainty in Penetration Testing," AAAI, 2012.

37 J. Hoffmann, "Simulated penetration testing: From 'dijkstra' to 'turing test++,'" presented at the Proceedings International Conference on Automated Planning and Scheduling, ICAPS, 2015, vol. 2015-January, pp. 364-372

38 R. S. Sutton and A. G. Barto, "Reinforcement learning: An introduction,"

2011

39 M. Mundhenk, J. Goldsmith, C. Lusena, and E. Allender, "Complexity of finite-horizon Markov decision process problems," J. ACM, vol. 47, no. 4, pp. 681-720, 2000.

40 J. Kober, J. A. Bagnell, and J. Peters, "Reinforcement learning in robotics: A survey," Int. J. Rob. Res., vol. 32, no. 11, pp. 1238-1274, Sep. 2013

41 В.Е. Аверкиев. Цифровые двойники как новая парадигма цифрового проектирования // Актуальные аспекты модернизации российской экономики. Сборник научных трудов по материалам VI Всероссийской научно-практической конференции студентов, аспирантов и молодых ученых. 2019. С. 164-166.

ПРИЛОЖЕНИЕ А

МИНОБРНАУКИ РОССИИ

фса^ральн:* гасудйрсггаевное автономное ойраюватиьнае учрйнденйе внешня oßp^ESiMa nölHKKHweciCMft yV'MECp-.KTCf I liTp^t Велико«»*

(ФГАОУ ВО iUWiys)

ИНК 7804040077, ОП"Н 1P;730IS052?9. окпо020бе: м Памааачюш ул.. И. Сают-пи»рби>г,т»1 reit t7(i 12)297 lOn,tmr.'l<ßiili}l «OSO

AKT

Об использовании научных и практических результатов диссертации

Мясникова A.B. на тему «Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения»

Настоящим актом подтверждается, что результаты диссертационной работы Мясникова Алексей Владимировича «Применение методом машинного обучения для автоматизации тестирования информационных систем на проникновения», представленной на соискание ученой степени кандидата технических наук используются в учебном процессе Института кибербезопасности и защиты информации ФГАОУ ВО «Санкт-Петербургский политехнический университет Петра великого» при организации дисциплин «Безопасность современных информационных технологий», «Введение в мобильные технологии и средства связи» а виде методических рекомендаций по проведению лекционных, практических и лабораторных занятий.

Директор Института Кибербезопасности и защиты инф

ФГАОУ ВО «СПбПУ»,

д-р. тех. наук, профессор, профессор РАН

Дмитрий Петрович Зегжда

j

ПРИЛОЖЕНИЕ Б

УТВЕРЖДАЮ

Генеральный директор ООО «Акрибия. Исследования и разработки»

^_С А. Иванов

« ц^ё&Мту- 2020 г.

АКТ

об использовании результатов диссертационной работы Мясникова Алексея Владимировича на тему

«ПРИМЕНЕНИЕ МЕТОДОВ МАШИННОГО ОБУЧЕНИЯ ДЛЯ АВТОМАТЗАЦИИ ТЕСТИРОВАНИЯ ИНФОРМАЦИОННЫХ СИСТЕМ НА ПРОНИКНОВЕНИЯ»

Настоящим актом удостоверяется, что результаты диссертационной работы Мясникова Алексея Владимировича на тему «Применение методов машинного обучения для автоматизации тестирования информационных систем на проникновения», представленной на соискание ученой степени кандидата технических наук по специальности 05.13.19 «Методы и системы защиты информации, информационная безопасность»:

Формальная модель тестирования ИС на проникновение (глава 3 диссертационной работы, параграф 3.3);

Метод автоматизации тестирования ИС на проникновение с использованием машинного обучения с подкреплением с уточнением шагов тестирования (глава 4 диссертационной работы, параграф 4.2);

Подход к оценке к ресурсоемкости тестирования на

проникновение, (глава 4 диссертационной работы, параграф 4.4)

используются в проектной деятельности ООО «Акрибия. Исследования и разработки».

Результаты исследования имеют большое практическое значение для сложной и крупномасштабной сетевой инфраструктуры. Разработанные методы и модели используются в проектной деятельности ООО «Акрибия. Исследования и разработки» для оценки защищенности информационных систем; для обеспечения требуемого уровня информационной безопасности телекоммуникационных сетей, автоматизированных систем управления и их элементов; а также при создании интеллектуальных алгоритмов управления защищенностью сетевой инфраструктуры.

Руководитель направления Threat

Intelligence

Александр Андреевич Минин

2020 г.

Обратите внимание, представленные выше научные тексты размещены для ознакомления и получены посредством распознавания оригинальных текстов диссертаций (OCR). В связи с чем, в них могут содержаться ошибки, связанные с несовершенством алгоритмов распознавания. В PDF файлах диссертаций и авторефератов, которые мы доставляем, подобных ошибок нет.