The method of selecting measures to protect the Web application against attacks

Abstract

Предметом дослідження є процеси забезпечення захисту Web-застосунка від атак, спрямованих на отримання несанкціонованого доступу до функцій адміністратора системи управління контентом. Метою є створення методу вибору заходів захисту Web-застосунка від атак. Завдання: визначити перелік найбільш поширених заходів захисту Web-застосунка, розробити метод вибору найбільш ефективних заходів захисту за умови обмеженого бюджету. Використовуваними методами є: аналіз дерев атак, метод експертних оцінок, методи розв'язання нелінійних задач цілочисельного програмування з булевими змінними. Отримані наступні результати. Розроблено метод вибору заходів захисту Web-застосунка, заснований на методі оцінювання показника успішності атаки Web-застосунка. Оскільки всі заходи захисту відрізняються вартістю, ефективністю і впливом на різні вектора атак, в результаті вибору визначається набір контрзаходів, який надає максимальне зниження показника успішності атаки. Тому до зміни набору контрзаходів призводить не тільки зміна параметрів контрзаходів, а й зміна параметрів дерева атак. Завдання вибору заходів захисту є нелінійним завданням цілочисельного програмування з булевими змінними. Наукова новизна отриманих результатів полягає в наступному: удосконалено метод вибору контрзаходів шляхом розв'язання оптимізаційної задачі, що дозволяє вибрати найбільш ефективні контрзаходи в умовах обмеженого бюджету. В якості цільової функції використовується мінімізація показника успішності атаки, бюджет послуг вказується в якості обмеження. Однак також можливо використовувати в якості цільової функції мінімізацію бюджету, а в якості обмеження встановити максимально допустиме значення показника успішності атаки.