Управление процессом тестирования веб-приложений методом фаззинга на основе динамических байесовских сетей
Автор: Баркалов Сергей Алексеевич, Азарнова Татьяна Васильевна, Полухин Павел Валерьевич
Рубрика: Информатика и вычислительная техника
Статья в выпуске: 2 т.17, 2017 года.
Бесплатный доступ
В настоящий период времени ведутся интенсивные исследования в области создания результативных технологий тестирования веб-приложений на наличие уязвимостей; одной из таких технологий, позволяющих проводить комплексное тестирование на всех этапах жизненного цикла приложения, является тестирование методом фаззинга. Актуальным направлением развития данной технологии является разработка математического и программного обеспечения, реализующего интеллектуальные компоненты фаззинга, внедрение которых позволит существенно повысить его результативность и ресурсную эффективность. В статье представлена концептуальная модель применения аппарата динамических байесовских сетей для управления тестированием веб-приложений методом фаззинга. В рамках построенной концептуальной модели разработаны динамические байесовские модели для основных OWASP - классов уязвимостей веб-приложений и соответствующее алгоритмическое и программное обеспечение для проведения тестирования.
Owasp - классы уязвимостей веб-приложений, управление тестированием веб-приложений, динамическая байесовская сеть, алгоритмы обучения и вероятностного вывода
Короткий адрес: https://sciup.org/147155190
IDR: 147155190 | УДК: 519.6 | DOI: 10.14529/ctcr170205
Management of the process of web applications testing by the fuzzing method based on dynamic Bayesov networks
Nowadays, intensive research is being conducted in the field of developing effective technologies for testing web applications for vulnerabilities, one of such technologies that allowing to hold complex testing at all stages of the application life cycle is fuzzing testing. The actual direction of development this technology is the development of mathematical and software that realizes intellectual components of fuzzing, the implementation of which will significantly improve its effectiveness and resource efficiency. In article the conceptual model of the application dynamic Bayesian networks to control web application testing by fuzzing is provided. Within the framework of the constructed conceptual model, dynamic Bayesian models for the main OWASP - vulnerability classes of Web applications and corresponding algorithmic and software for testing were developed.
Список литературы Управление процессом тестирования веб-приложений методом фаззинга на основе динамических байесовских сетей
- Азарнова, Т.В. Расширение функциональных возможностей фаззинга веб-приложений на основе динамических сетей Байеса/Т.В. Азарнова, П.В. Полухин//Научно-техническая информация. Серия 2. Информ. процессы и системы. -2014. -№ 9. -С. 12-19.
- Кельберт, М.Я. Вероятность и статистика в примерах и задачах. Т. 1: Основные понятия теории вероятностей и математической статистики/М.Я. Кельберт, Ю.М. Сухов. -М.: МЦНМО, 2007. -456 с.
- Масленников, Е.Д. Предсказания на основе байесовских сетей доверия: алгоритм и программная реализация/Е.Д. Масленников, В.Б. Сулимов//Вычислительные методы и программирование. -2010. -№ 11. -С. 94-107.
- Микаэльян, С.В. Методы фильтрации на основе многоточечной аппроксимации плотности вероятности оценки в задаче определения параметров движения цели при помощи измерителя с нелинейной характеристикой/С.В. Микаэльян//Наука и Образование. -2011. -№ 10. -С. 2-14.
- Полухин, П.В. Интеграция динамических байесовских сетей в процесс тестирования веб-приложений для выявления уязвимостей межсайтингового скриптинг/П.В. Полухин//Научное обозрение. -2014. -№ 9. -С. 414-422.
- Соболь, И.М. Численные методы Монте-Карло. -М.: Наука, 1973. -312 с.
- Тихонов, В.И. Марковские процессы/В.И. Тихонов, М.А. Миронов. -М.: Сов. радио, 1977. -488 c.
- Торопова, А.В. Подходы к диагностике согласованности данных в байесовских сетях доверия/А.В. Торопова//Труды СПИИРАН. -2015. -№ 43. -С. 156-178.
- Тулупьев, А.Л. Байесовские сети доверия: логико-вероятностный вывод в ациклических направленных графах/А.Л. Тулупьев, А.В. Сироткин, С.И. Николенко. -СПб.: Изд-во С.-Петерб. ун-та, 2009. -400 с.
- Russel, S. Artificial Intelligence: A Modern Approach/S. Russel, P. Norvig. -Boston: Prentice Hall, 2009 -1095 p.
- Sutton, M. Fuzzing: Brute Force Vulnerability Discovery/M. Sutton, A. Greene, P. Amini. -Addison Wesley, 2007. -527 p.
