Анализ и моделирование уязвимостей безопасности информационных систем

DOI:

Технологии уже захватили повседневность – иррационально, но факт: в наш век цифровизации привычные методы защиты устаревают. Безопасность информационных систем превратилась в насущную потребность, ведь новые угрозы и уязвимости нередко показывают недоработки старых подходов. Исследования показывают, что многие инциденты происходят из-за человеческого фактора, а недостаточная осведомленность о киберугрозах остается серьезной проблемой и сегодня [1,2]. Даже если меры уже приняты, анализ уязвимости является ключевым шагом в разработке эффективных стратегий реагирования и предотвращения. Основной целью данного исследования является не только сбор данных, но и проведение системного анализа существующих уязвимостей и создание моделей прогнозирования потенциальных угроз, что предполагает количественную и качественную обработку данных. [3].

На сегодняшний день SQL-инъекции остаются одной из самых распространенных и опасных угроз для информационных систем, особенно веб-приложений, взаимодействующих с базами данных. Эта уязвимость позволяет злоумышленникам внедрять злонамеренный SQL-код в запросы к базе данных, что может привести к утечке конфиденциальной информации, несанкционированному изменению или удалению данных, а в некоторых случаях — к полному захвату системы [4,5,6,7]. Согласно отчету OWASP Top Ten, SQL-инъекции входят в число наиболее критичных уязвимостей вебприложений, и их распространенность объясняется недостаточной проработкой механизмов безопасности на этапе разработки [8,9].

Несмотря на существующие методы защиты, такие как валидация входных данных, использование параметризованных запросов и Web Application Firewall (WAF), проблема SQL-инъекций остается актуальной. Это связано с тем, что многие разработчики недооценивают риски или неправильно реализуют механизмы защиты [10]. Кроме того, усложнение архитектуры современных информационных систем и увеличение объема обрабатываемых данных создают новые вызовы для обеспечения безопасности [11].

Целью данной статьи является разработка математической модели, позволяющей оценить вероятность успешной SQL-инъекции на основе параметров системы, таких как уровень уязвимостей, сложность SQL-запросов и время реакции системы на атаку. Модель направлена на количественную оценку рисков и предоставление рекомендаций по улучшению защиты информационных систем.

Для достижения этой цели в работе решаются следующие задачи:

• •    Анализ существующих подходов к защите от SQL-инъекций.

• •    Формулировка математической постановки задачи, учитывающей ключевые параметры системы.

• •    Разработка модели, позволяющей оценить вероятность успешной атаки.

• •    Предложение мер по снижению рисков на основе результатов моделирования.

Новизна работы заключается в комплексном подходе к моделированию уязвимостей информационных систем. В отличие от традиционных методов, которые фокусируются на статическом анализе кода или использовании готовых    решений    (например,    WAF), предложенная модель учитывает динамические параметры системы, такие как сложность SQL-запросов и время реакции на атаку. Это позволяет более точно оценивать риски и разрабатывать адаптивные меры защиты [12].

Кроме того, модель включает функции для оценки уровня уязвимостей и сложности запросов, что делает ее универсальной и применимой    для    различных    типов информационных систем. Результаты работы могут быть использованы как для улучшения существующих механизмов безопасности, так и для разработки новых подходов к защите от SQL-инъекций [13,14].

МАТЕРИАЛЫ И МЕТОДЫ

SQL-инъекция — это одна из наиболее распространенных и опасных атак на вебприложения,    связанная с внедрением вредоносных SQL-запросов в систему обработки данных. Данная атака происходит, когда злоумышленник      вводит      специально сформированные SQL-команды в поля ввода, которые затем передаются в базу данных без надлежащей валидации и фильтрации. В результате этого он может получить несанкционированный       доступ       к конфиденциальной информации, изменять или удалять данные, а в некоторых случаях даже полностью компрометировать систему.

Исходя из этого, цели исследования были определены следующим образом:

• •   ооценивать вероятность успешной SQL-

• инъекции;

• •   учитыват параметры системы, такие как

уровень защиты, сложность запросов и уязвимости;

• •    позволят предложить меры по снижению рисков.

Постановка задачи

Рассмотрим систему S, представляющую собой комплекс информационных компонентов, включающий веб-приложение и базу данных. Данная    система    взаимодействует    с пользователями и обрабатывает входные данные, отправляя SQL-запросы в базу данных для выполнения различных операций, таких как аутентификация,    управление    учетными записями, обработка заказов и другие функции.

Задача     заключается     в     разработке математической модели, которая позволяет оценить вероятность успешной SQL-инъекции в информационной системе и предложить меры по снижению рисков. Для этого необходимо учитывать следующие аспекты:

• 1.    Уровень уязвимостей системы: наличие или отсутствие механизмов защиты, таких как валидация входных данных, использование параметризованных запросов и Web Application Firewall (WAF).

• 2.    Сложность SQL-запросов: чем сложнее запросы, тем выше вероятность наличия уязвимостей.

• 3.    Уровень защиты системы: эффективность механизмов защиты, таких как WAF, частота обновлений и мониторинг безопасности.

Цель модели — минимизировать вероятность успешной SQL-инъекции   Pattack   путем оптимизации параметров системы. Для этого необходимо:

• •    определить входные данные, такие как уровень уязвимостей У, сложность запросов Q и уровень защиты R;

• •    построить функции, связывающие эти параметры с вероятностью атаки;

• •    разработать методы решения задачи, включая оптимизацию и анализ данных.

Математическая модель

Математическая модель включает следующие компоненты:

• 1.    Функция оценки уязвимостей V

У = X^ i Wt ■ v_t ,

• V [ - параметры уязвимости (например, отсутствие валидации входных данных, использование динамических SQL-запросов);

• 2.    Функция сложности SQL-запросов Q Сложность запросов оценивается на основе их структуры:

• 3.    Функция вероятности атаки Pattack

W[ - весовые коэффициенты, отражающие значимость каждого параметра.

Q^icrv, где: qj - параметры сложности (например, количество    JOIN-операций,    вложенных подзапросов); Cj - весовые коэффициенты.

Вероятность успешной SQL-инъекции определяется как:

1 Pattack = V ■ Q ■ ~, где: R - уровень защиты системы (например, наличие WAF, частота обновлений).

Для ограничения вероятности в диапазоне [0,

• 1]    можно использовать логистическую функцию:

• 3.    Целевая функция

P        =----- .¹

^attack   i+^-k-ty ^—К)

где к - коэффициент, регулирующий крутизну функции.

Цель модели — минимизировать P_attack

Minimize Pattack при ограничениях:

V < Vminmax_m a _X

V max , Q max и R min - допустимые пределы для уровня уязвимостей, сложности запросов и уровня защиты соответственно.

РЕЗУЛЬТАТЫ И ОБСУЖДЕНИЕ

Для демонстрации работы модели рассмотрим пример веб-приложения, взаимодействующего с базой данных. Предположим, что система имеет несколько уязвимостей, и нам необходимо оценить вероятность успешной SQL-инъекции, а также предложить меры по снижению рисков.

Построение UML диаграммы процесса

Построим UML диаграмму иллюстрирующий процесс оценки уязвимостей информационной системы к SQL-инъекциям и принятия мер защиты на основе предложенной математической модели (см. рис. 1).

Администратор

Веб приложение

Модель оценки уязвимостей

База данных

Система мониторинга

Запрос данных

Выполнение SQL-запроса

Возврат данных

Отображение данных

Запуск оценки уязвимостей

Запрос параметров системы

Возврат параметров (Vr Q, R)

Расчет

Рааск = V ■ Q ■

R

Возврат Рааск

Запрос на интеграцию модели

Запрос данных для мрниторинга

Возврат P attack и рекЬмендаций

Анализ и предложение мер

Уведомление о рисках и

мерах

Внедрение мер защиты (WAF, валидация)

Выполнение защищенных запросов

Возврат данных

Отображение данных

Администратор

Веб приложение

Модель оценки уязвимостей

База данных

Система мониторинга

Рисунок 1. Процесс оценки уязвимостей информационной системы.

Figure 1. The process of assessing the vulnerabilities of an information system.

Диаграмма начинается с взаимодействия администратора с веб-приложением, которое выполняет SQL-запросы к базе данных и возвращает результаты.

Далее администратор инициирует запуск модели оценки уязвимостей, которая анализирует параметры системы (уровень уязвимостей V, сложность запросов Q и уровень защиты R) и рассчитывает вероятность успешной атаки P attack . После этого модель интегрируется с системой мониторинга, которая анализирует полученные данные и предлагает меры защиты, такие как внедрение Web Application Firewall

(WAF) и улучшение валидации входных данных. В заключение администратор применяет предложенные меры, что позволяет вебприложению выполнять защищенные запросы к базе данных, снижая вероятность успешной SQL-инъекции. Диаграмма наглядно демонстрирует последовательность шагов для оценки рисков и повышения безопасности системы.

Идентификация уязвимостей

Определим параметры уязвимостей vt и их весовые коэффициенты Wt:

Таблица 1. Параметры уязвимостей системы и их ВЕСОВЫЕ КОЭФФИЦИЕНТЫ .

Table 1. Parameters of system vulnerabilities and their weighting coefficients.

Параметр Vt	Описание	Вес W
V 1	Отсутствие валидации входных данных	0.4
V 2	Использование динамических SQL-запросов	0.3
V 3	Отсутствие параметризованных запросов	02.
V 4	Недостаточная настройка WAF	0.1

На основании таблицы рассчитываем уровень уязвимости v = ^ wt ■ vt = 0.4 ■ 1 + 0.3 ■ 1 + 0.2 ■ 1 + 0.1 ■ 1 = 1.0 i=1

Здесь предполагается, что все уязвимости присутствуют, поэтому V _t = 1

Оценка сложности запросов

Определим параметры сложности запросов 4 j и их весовые коэффициенты с₇-:

Таблица 2. Параметры сложности SQL- ЗАПРОСОВ и их ВЕСОВЫЕ КОЭФФИЦИЕНТЫ .

Table 2. SQL query complexity parameters and their weighting factors.

Параметр Ч ,	Описание	Вес с,
Ч 1	Количество JOIN-операций в запросе	0.5
Ч 2	Наличие вложенных подзапросов	0.3
Ч з	Использование сложных условий WHERE	0.2

Предположим, что в системе выполняются запросы средней сложности:

• •    количество JOIN-операций: 2 (ч 1 = 2);

• •    наличие вложенных подзапросов: 1 (ч₂ = 1);

• •    использование сложных условий WHERE: 1 ⁽Ч з = 1).

Рассчитаем сложность запросов Q:

m

Q = ^ с_у ■ Ч у = 0.5 ■ 2 + 0.3 ■ 1 + 0.2 ■ 1 = 1.5 у=1

Расчет вероятности атаки

Для расчета вероятности успешной SQL-инъекции P_a ttack используем функцию:

Pattack = V ■ Q ■ -

Предположим, что уровень защиты системы R может принимать следующие значения:

• •    Базовый уровень защиты (R = 1.0)

• •    После внедрения WAF (R = 2.0)

• •    После    улучшения    валидации    и

• параметризации запросов (R = 3.0)

Рассчитаем P _attack для каждого сценария:

• •    Базовый уровень защиты (R = 1.0)

Pattack = 1.0 ■ 1.5 ■ — = 1.5  (150%)

• •    После внедрения WAF (R = 2.0)

Pattack = 1.0 ■ 1.5 ■ — = 0.75  (75%)

• •    После    улучшения    валидации    и

• параметризации запросов (R = 3.0)

Pattack   1.0 ■ 1.5 ■ ^ (J 0.5  (50%)

Предложенная    модель    демонстрирует возможность     количественной     оценки вероятности успешной SQL-инъекции и разработки мер по снижению рисков. Результаты показывают, что комбинация мер защиты, таких как внедрение WAF, улучшение валидации и параметризация запросов, значительно снижает вероятность атаки. В дальнейшем планируется расширить модель для учета других типов уязвимостей и интеграции с реальными системами безопасности.

ЗАКЛЮЧЕНИЕ

В данной статье была предложена математическая модель для оценки вероятности успешной SQL-инъекции в информационных системах. Модель учитывает ключевые параметры системы, такие как уровень уязвимостей V, сложность SQL-запросов Q и уровень защиты R, что позволяет количественно оценить риски и предложить меры по их снижению.

Основные выводы:

• 1.    Эффективность      модели:      Модель

• 2.    Практическая значимость: Результаты работы могут быть использованы для разработки и внедрения мер защиты, таких как параметризация запросов, улучшение валидации входных данных и использование WAF.

• 3.    Необходимость нормализации: В базовом сценарии (R = 1.0) вероятность атаки превышает 100%, что указывает на необходимость использования логистической функции для ограничения Р_ац_ас ^ в диапазоне [0, 1].

продемонстрировала свою применимость для оценки вероятности успешной SQL-инъекции. На примере синтетических данных было показано, что увеличение уровня защиты R (например, внедрение WAF и улучшение валидации входных данных) значительно снижает вероятность атаки.

Для максимального снижения рисков рекомендуется применять комплексный подход, сочетающий несколько мер защиты, таких как улучшение        кода,        использование параметризованных запросов и повышение уровня защиты системы. Важно также регулярно обновлять параметры модели и проводить тестирование системы на наличие новых уязвимостей. Кроме того, предложенная модель может быть интегрирована с системами мониторинга безопасности для автоматического анализа    уязвимостей    и    оперативного предложения мер по их устранению, что позволит повысить устойчивость системы к кибератакам.

В заключение, предложенная модель представляет собой эффективный инструмент для анализа уязвимостей информационных систем и разработки мер по их устранению. Результаты работы могут быть использованы для повышения безопасности веб-приложений и баз данных, что особенно актуально в условиях роста числа кибератак.