Метод підтримки прийнятих рішень щодо безпеки програмного забезпечення

Abstract

Дисертація на здобуття наукового ступеня доктора філософії зі спеціальністю 123 «Комп'ютерна інженерія». – Національний технічний університет «Харківський політехнічний інститут», Харків, 2023. Предмет дослідження – метод підтримки прийняття рішень щодо безпеки програмного забезпечення. Об’єкт дослідження – процес захисту програмного забезпечення. Дисертаційна робота присвячена вирішенню актуальної науково-технічної задачі розробки методу підтримки прийняття рішень щодо безпеки прорамного забезпечення (ПЗ) з урахуванням факторів невизначеності вхідних та проміжних даних тестування. Широкий попит на програмне забезпечення комп'ютерних систем різного рівня та призначення викликає необхідність додаткових заходів, спрямованих на підвищення якості. Ціна помилки у програмних продуктах зростає, що потребує додаткових перевірок та тестування. Особливо важливою дана проблема виглядає у питаннях та завданнях інформаційної безпеки. Наукова новизна отриманих результатів обумовлена теоретичним узагальненням і новим вирішенням важливої науково-технічної проблеми, яка полягає в розробці програмного забезпечення безпеки підтримки прийняття рішень для підвищення точності тестування результатів. Отримано такі наукові результати: – вперше розроблено нечітку GERT-модель для вивчення вразливостей програмного забезпечення. Відмінною особливістю цієї моделі є те, що вона враховує імовірнісні характеристики переходів зі стану в стан поряд з часовими характеристиками. Це дозволило знизити нечіткість вихідних характеристик часу на проведення досліджень вразливостей програмного забезпечення і підвищити точність моделювання; – удосконалено математичну модель процесу підготовки до тестування безпеки, яка відрізняється від відомих теоретично обґрунтованим вибором генеруючих функцій моментів при описі переходів зі стану в стан, а також з урахуванням етапу перевірки вихідного коду на криптографічні та інші методи захисту даних, що дозволило отримати аналітичні вирази для розрахунку імовірнісних характеристик для дослідницьких і більш складних комп'ютерних систем математичними методами; – метод підтримки прийняття рішень з безпеки програмного забезпечення отримав подальший розвиток. Відмінною особливістю методу є синтез вдосконаленого методу генерації навчальної вибірки в процесі навчання штучної нейронної мережі. Це дозволило підвищити ефективність методу і підвищити точність класифікації та прийняття рішень з безпеки програмного забезпечення. Практична значимість отриманих результатів полягає в підвищенні точності прийняття рішень з приводу безпеки програмного забезпечення, використовуючи технології нечіткого моделювання і нечіткої множини. Практичне значення отриманих результатів полягає в наступному: – процес дослідження вразливостей програмного забезпечення, використання нечіткої моделі GERT дозволив підвищити точність моделювання до 13%. – cпрощення еквівалентних перетворень, удосконалене використання алгоритму в моделюванні дозволило знизити нечіткість вихідних характеристик часу на проведення досліджень вразливостей програмного забезпечення до 1,12 рази; – впровадження методу навчання штучних нейронних мереж в загальний метод підтримки прийняття рішень з програмної безпеки дозволило підвищити точність класифікації та прийняття рішень в 1,6 рази для позитивних елементів у вибірці та в 1,2 рази для негативних елементів у вибірці. – використання методу підтримки прийняття рішень дозволило підвищити ефективність оцінки безпеки програмного забезпечення до 1,2 рази. Результати дисертації впроваджені та використовуються в діяльностіКомпанії "Line Up", Науково-дослідного центру судової експертизи з питань інтелектуальної власності, а також використовується в навчальному процесі Національного технічного університету «Харківський політехнічний інститут»". У вступі обґрунтовується актуальність теми дисертації, формулюються основна мета і завдання роботи, викладається наукова новизна і практична цінність отриманих результатів. Перший розділ присвячено аналізу та порівняльним дослідженням методів підвищення безпеки програмного забезпечення. У другому розділі розпочато розробку математичної моделі длятестування безпеки програмного забезпечення першого етапу. У третьому розділі розробляється нечітка GERT модель для дослідження поширених вразливостей програмного забезпечення. Четвертий розділ присвячений розробці методу підтримки прийняття рішень з безпеки програмного забезпечення.

Dissertation for obtaining a scientific degree PHD in the speciality 123 – "Computer Engineering". – National technical university "Kharkiv polytechnic institute". – Kharkiv, 2023. The subject of research – Method for supporting decision making on software security. The object of research – Software security process. The dissertation work is devoted to solving the actual scientific and technical problem of developing a method of supporting decision-making regarding the security of software (software) taking into account the uncertainty factors of input and intermediate testing data. The scientific novelty of the results obtained is due to the theoretical generalization and a new solution to an important scientific and technical problem, which consists in the development of software security decision support to improve the accuracy of testing results. The following scientific results have been obtained. 1. For the first time, a fuzzy GERT model for studying software vulnerabilities has been developed. A distinctive feature of this model is that it takes into account the probabilistic characteristics of transitions from state to state along with temporal characteristics. This made it possible to reduce the fuzziness of the output characteristics of the time for conducting software vulnerability studies and improve the accuracy of modeling. 2. The mathematical model of the process of preparing for security testing has been improved, which differs from the known ones by the theoretically justified choice of generating functions of moments when describing transitions from state to state, as well as taking into account the stage of checking the source code for cryptographic and other methods of data protection, which made it possible to obtain analytical expressions for calculating probabilistic characteristics for research and more complex computer systems by mathematical methods. 3. The method of supporting decision making on software security has been further developed. A distinctive feature of the method is the synthesis of an improved method for generating a training sample in the process of training an artificial neural network. This made it possible to increase the efficiency of the method and increase the accuracy of classification and decision-making on software security. The practical significance of the results obtained is to improve the accuracy of decision-making about software security, using fuzzy modeling technologies and fuzzy sets. The practical significance of the results obtained is as follows. 1. The software vulnerability research process fuzzy GERT model use has improved the accuracy of modeling up to 13%. 2. The simplifying equivalent transformations improved algorithm use in modeling allowed to reduce the fuzziness of the output characteristics of the time for conducting software vulnerability studies up to 1.12 times. 3. The artificial neural network training method introduction into the general method for supporting decision-making on software security made it possible to increase the accuracy of classification and decision-making by 1.6 times for positive elements in the sample and 1.2 times for negative elements in the sample. 4. The decision support method use made it possible to increase the efficiency of software safety assessment up to 1.2 times. The results of the dissertation are implemented and used in the activities of the company "Line Up", the Research Center for Forensic Examination on Intellectual Property, and are also used in the educational process of the National Technical University "Kharkiv Polytechnic Institute". The relevance of the thesis topic is justified in the introduction, the main goal and task of the work are formulated, and the scientific novelty and practical value of the obtained results are presented.The first section is devoted to the analysis and comparative researches of methods for improving the software security. In the second section, the development a mathematical model for the software security testing first stage. In the third section, development of a fuzzy gert model for investigating common software vulnerabilities are developed. The fourth section is devoted to the the software security decision support method development.