123 "Комп'ютерна інженерія"
Постійне посилання колекціїhttps://repository.kpi.kharkov.ua/handle/KhPI-Press/48900
Переглянути
Документ Метод підвищення безпеки програмного забезпечення на основі технологій тестування на проникнення(Національний технічний університет "Харківський політехнічний інститут", 2023) Цао, ВейліньДисертація на здобуття наукового ступеня доктора філософії зі спеціальністі 123 «Комп'ютерна інженерія». – Національний технічнийуніверситет «Харківський політехнічний інститут». – Харків, 2023. Предмет дослідження – метод підвищення безпеки програмного забезпечення. Об'єкт дослідження – процес забезпечення безпеки програмного забезпечення. Дисертаційна робота присвячена вирішенню актуальної науково-технічної задачі розробки методу підвищення безпеки програмного забезпечення (ПЗ) з урахуванням можливостей синтезу технологій автоматизованого тестування безпеки ПЗ та глибокого машинного навчання. Дослідження життєвого циклу програмного забезпечення та процесів тестування, що супроводжують цей цикл, виконано за допомогою теорії графів(GERT modeling). Розробка і дослідження методу автоматизованого тестування безпеки проводилися з використанням методу глибокого навчання з підкріпленням. Удосконалення методу оцінки ефективності розробленого методу здійснювалося з використанням методу динаміки середніх величин. Оцінка достовірності теоретичних і практичних результатів проводилася з використанням положень теорії ймовірностей і математичної статистики. Наукова новизна отриманих результатів обумовлена теоретичним узагальненням і новим вирішенням важливої науково-технічної проблеми, що полягає в розробці методу підвищення безпеки програмного забезпечення на основі технологій тестування на проникнення. Отримано такі наукові результати: – вперше був розроблений метод автоматизованого тестування вторгнень з використанням пошукової системи Shodan, платформи аналізу мережевої безпеки MulVal та даних вразливостей програмного забезпечення CVE для введення та побудови реалістичних сценаріїв атаки та перевірки для глибокого навчання за допомогою технології підкріплення. Це дозволило згенерувати дерево атак для різних навчальних процедур, оптимізувати відповідні сценарії автоматичного тестування безпеки програмного забезпечення, і таким чином підвищити ефективність процесу безпеки програмного забезпечення; – удосконалена математична модель процесу тестування на проникнення в комп'ютерні системи, відмінна від відомих можливостей тестування захищеності спеціалізованих інформаційних платформ комп'ютерних систем, що дозволило оцінити ймовірність тестування часу на проникнення в заданий інтервал; – математична модель процесу тестування на проникнення в комп'ютерні системи отримала подальший розвиток. Відмінною особливістю цієї моделі є використання розподілу Ерланга в якості основного при математичній формалізації процесів переходу від стану до стану. Це дозволило, з одного боку, уніфікувати математичну модель і представити процес тестування на більш високому рівні ієрархії тестування, з іншого – спростити його. Практична значимість отриманих результатів полягає в адаптації процесу тестування програмного забезпечення до підвищених вимог безпеки і можливостей тестування засобів автоматизації, з використанням технологій глибокого навчання з підкріпленням. Практичне значення отриманих результатів полягає в наступному: – комплекс математичних моделей процесу тестування на проникнення в комп'ютерних системах з використанням мережевого підходу моделювання GERT спростив схему тестування на проникнення в 1,7 рази з урахуванням можливих змін процедур (включаючи додавання нових процедур і послуг) для оцінки імовірнісно-часових характеристик і можливостей його масштабування при збільшенні обсягу і складності розв'язуваних задач; – синтез основних компонентів методу автоматичного тестування на проникнення дозволив підвищити ефективність процесу безпеки програмного забезпечення (знизити відносні пошкодження на всіх етапах життєвого циклу програмного забезпечення до 6 разів). Результати дисертації впроваджені та використовуються в діяльності Компанії "Line Up", Науково-дослідного центру судової експертизи з питань інтелектуальної власності, а також використовується в навчальному процесі Національного технічного університету «Харківський політехнічний інститут»". У вступі обґрунтовується актуальність теми дисертації, формулюються основна мета і завдання роботи, викладається наукова новизна і практична цінність отриманих результатів. Перший розділ присвячено аналізу та порівняльним дослідженням методів тестування на проникнення програмного забезпечення. У другому розділі описаний процес тестування на проникнення складних математичних моделей.У третьому розділі розроблено метод автоматизованого тестування на проникнення з використанням технології глибокого машинного навчання. Четвертий розділ присвячено дослідженню ефективності методупідвищення безпеки програмного забезпечення та обґрунтуванню практичних рекомендацій щодо його використання.