The method of selecting measures to protect the Web application against attacks
Дата
2018
Автори
ORCID
DOI
10.20998/2522-9052.2018.4.19
Науковий ступінь
Рівень дисертації
Шифр та назва спеціальності
Рада захисту
Установа захисту
Науковий керівник
Члени комітету
Назва журналу
Номер ISSN
Назва тому
Видавець
Національний технічний університет "Харківський політехнічний інститут"
Анотація
The subject matter of the paper is the process of ensuring the protection of Web applications against attacks aimed at obtaining unauthorized access to the functions of the content management system administrator. The goalis to create a method to select measures to protect the Web application against attacks. The tasks are: to determine a list of common web application security measures, to develop a method of selection the most efficient protective measures within a limited budget. The methods used are: attacks trees analysis, expert assessment method, methods for solving nonlinear integer programming problems with Boolean variables. The following results were obtained. The method for selecting Web application security measures based on the success rate estimation of a Web application attack has been developed.
Предметом дослідження є процеси забезпечення захисту Web-застосунка від атак, спрямованих на отримання несанкціонованого доступу до функцій адміністратора системи управління контентом. Метою є створення методу вибору заходів захисту Web-застосунка від атак. Завдання: визначити перелік найбільш поширених заходів захисту Web-застосунка, розробити метод вибору найбільш ефективних заходів захисту за умови обмеженого бюджету. Використовуваними методами є: аналіз дерев атак, метод експертних оцінок, методи розв'язання нелінійних задач цілочисельного програмування з булевими змінними. Отримані наступні результати. Розроблено метод вибору заходів захисту Web-застосунка, заснований на методі оцінювання показника успішності атаки Web-застосунка. Оскільки всі заходи захисту відрізняються вартістю, ефективністю і впливом на різні вектора атак, в результаті вибору визначається набір контрзаходів, який надає максимальне зниження показника успішності атаки. Тому до зміни набору контрзаходів призводить не тільки зміна параметрів контрзаходів, а й зміна параметрів дерева атак. Завдання вибору заходів захисту є нелінійним завданням цілочисельного програмування з булевими змінними. Наукова новизна отриманих результатів полягає в наступному: удосконалено метод вибору контрзаходів шляхом розв'язання оптимізаційної задачі, що дозволяє вибрати найбільш ефективні контрзаходи в умовах обмеженого бюджету. В якості цільової функції використовується мінімізація показника успішності атаки, бюджет послуг вказується в якості обмеження. Однак також можливо використовувати в якості цільової функції мінімізацію бюджету, а в якості обмеження встановити максимально допустиме значення показника успішності атаки.
Предметом дослідження є процеси забезпечення захисту Web-застосунка від атак, спрямованих на отримання несанкціонованого доступу до функцій адміністратора системи управління контентом. Метою є створення методу вибору заходів захисту Web-застосунка від атак. Завдання: визначити перелік найбільш поширених заходів захисту Web-застосунка, розробити метод вибору найбільш ефективних заходів захисту за умови обмеженого бюджету. Використовуваними методами є: аналіз дерев атак, метод експертних оцінок, методи розв'язання нелінійних задач цілочисельного програмування з булевими змінними. Отримані наступні результати. Розроблено метод вибору заходів захисту Web-застосунка, заснований на методі оцінювання показника успішності атаки Web-застосунка. Оскільки всі заходи захисту відрізняються вартістю, ефективністю і впливом на різні вектора атак, в результаті вибору визначається набір контрзаходів, який надає максимальне зниження показника успішності атаки. Тому до зміни набору контрзаходів призводить не тільки зміна параметрів контрзаходів, а й зміна параметрів дерева атак. Завдання вибору заходів захисту є нелінійним завданням цілочисельного програмування з булевими змінними. Наукова новизна отриманих результатів полягає в наступному: удосконалено метод вибору контрзаходів шляхом розв'язання оптимізаційної задачі, що дозволяє вибрати найбільш ефективні контрзаходи в умовах обмеженого бюджету. В якості цільової функції використовується мінімізація показника успішності атаки, бюджет послуг вказується в якості обмеження. Однак також можливо використовувати в якості цільової функції мінімізацію бюджету, а в якості обмеження встановити максимально допустиме значення показника успішності атаки.
Опис
Ключові слова
security, protection measure, cost minimization, атака, безпека, мінімізація витрат
Бібліографічний опис
Tetskyi A. The method of selecting measures to protect the web application against attacks / A. Tetskyi // Сучасні інформаційні системи = Advanced Information Systems. – 2018. – Т. 2, № 4. – С. 114-118.