Analysis and comparative research of the main approaches to the mathematical formalization of the penetration testing process

Ескіз

Файли

SUNZ_2021_2_64_Liqiang_Analysis.pdf (560.37 KB)

Дата

2021

Автори

ORCID

DOI

Науковий ступінь

Рівень дисертації

Шифр та назва спеціальності

Рада захисту

Установа захисту

Науковий керівник

Члени комітету

Видавець

ФОП Петров В. В.

Анотація

In dynamic models, threats (vulnerabilities) can be viewed as a flow of temporary events. If the intervals of real-ized cyber threats are recorded, then a continuous log-list of events related to software security can be formed. In some cases and models, only the number of realized cyber threats for an arbitrary time interval can be recorded. In this case, the software response to threats can be represented only at discrete points. In static models, the implementation of cyber threats is not related to time, but the dependence of the number of errors or the number of implemented test cases (models by error area) on the characteristics of the input data (models by data area) is taken into account. The article analyzes the methods of mathematical formalization of the software penetration testing process. This software testing method is one of many approaches to testing the security of computer systems. The article substantiates the importance of the processes of preliminary prototyping and mathematical formalization. The classification is carried out and the advantages and disadvantages of the main approaches of mathematical modeling are highlighted. The list and main characteristics of dynamic and static models are presented. One of the negative factors of formalization is indicated - the neglect of the factors of a priori uncertainty in the safety parameters in static models.
У динамічних моделях загрози (уразливості) Software можна розглядати як потік тимчасових подій. Якщо фіксуються інтервали реалізованих кіберзагроз, то може сформуватися безперервний log-лист подій, відносящіхся до безпеки Software. У ряді випадків і моделей може фіксуватися тільки число реалізованих кіберугроз за довільний інтервал часу. У цьому випадку реакція Software на загрози може бути представлена тільки в дискретних точках. У статичних моделях реалізацію кіберзагроз не пов'язують з часом, при цьому враховують завиності кількості помилок або число реалізованих тест-кейсів (моделі по області помилок) від характеристики вхідних даних (моделі по області даних).У статті проаналізовано методи математичної формалізації процесу тестування на проникнення програмного забезпечення. Цей метод тестування програмного забезпечення є одним із багатьох підходів до перевірки безпеки комп’ютерних систем. У статті обґрунтовано важливість процесів попереднього прототипування та математичної формалізації. Проведено класифікацію та висвітлено переваги та недоліки основних підходів математичного моделювання. Представлено перелік та основні характеристики динамічних та статичних моделей. Вказується один із негативних факторів формалізації - нехтування факторами апріорної невизначеності параметрів безпеки в статичних моделях.

Опис

Ключові слова

information security, vulnerable software, security testing, penetration, інформаційна безпека, програмне забезпечення, математичне моделювання, інформаційні технології

Бібліографічний опис

Analysis and comparative research of the main approaches to the mathematical formalization of the penetration testing process / Z. Liqiang [et al.] // Системи управління, навігації та зв'язку = Control, navigation and communication systems : зб. наук. пр. / ред. кол.: С. В. Козелков [та ін.] ; Полт. нац. техн. ун-т ім. Юрія Кондратюка. – Харків : Петров В. В., 2021. – Т. 2, № 64. – С. 70-73.

URI

https://repository.kpi.kharkov.ua/handle/KhPI-Press/55021

Зібрання

Кафедра "Комп'ютерна інженерія та програмування"