Будь ласка, використовуйте цей ідентифікатор, щоб цитувати або посилатися на цей матеріал: https://er.chdtu.edu.ua/handle/ChSTU/1595
Назва: Моделі та методи розроблення безпечного програмного забезпечення комп’ютерних систем
Інші назви: Models and methods of developing secure software for computer systems
Автори: Коваленко, Олександр Володимирович
Ключові слова: безпечне програмне забезпечення;ідентифікація вразливостей;якісний та кількісний аналіз вразливостей;безпека даних;оптимізація розподілу ресурсів розроблення програмного забезпечення;алгоритми тестування безпеки;масштабування;імітаційна модель;GERT-мережі
Дата публікації: 26-жов-2020
Короткий огляд (реферат): Дисертаційна робота спрямована на вирішення актуальної науково-технічної проблеми, що полягає в синтезі моделей та методів розроблення безпечного ПЗ КС. У роботі проведено аналіз сучасних тенденцій розвитку методологій розроблення програмного забезпечення і вимог до програмних засобів, показників і критеріїв оптимізації, а також підходів математичної формалізації відповідних інформаційних процесів який показав, що в умовах впровадження комп'ютерних технологій в системи критичного застосування, збільшення інформації, що зберігається, обробляється і циркулює в них, а також підвищеної вразливості несанкціонованого доступу до ПЗ з боку зловмисників, використовувані нині моделі та методи розроблення ПЗ КС не дозволяють забезпечити необхідний рівень безпеки даних. На основі проведеного аналізу і міжнародних та державних стандартів сформовано загальну схему характеристик і показників, що відносяться до якості програмного забезпечення. Аналіз методологій розроблення програмного забезпечення і факторів, що впливають на безпеку, дозволив виділити протиріччя між підвищеними вимогами до безпеки ПЗ (врахуванням усіх вразливостей безпеки) і необхідністю адаптації до існуючих об'єктивно-суб'єктивних факторів, властивих сучасному світу IT-індустрії. Проведені порівняльні дослідження основних підходів математичної формалізації дозволили визначити основні напрями дисертаційного дослідження і сформулювати оптимізаційне завдання синтезу моделей та методів розроблення ПЗ. Удосконалено метод якісного аналізу вразливостей розроблення програмного забезпечення, що відрізняється від відомих врахуванням факторів експлуатаційних вразливостей, особливо вразливості невиявлення загроз безпеки ПЗ КС, і оцінкою довільного несуперечливого кінцевого набору "квантів інформації". В основу синтезованого методу покладена структурна ідентифікація вразливостей розроблення ПЗ, що відрізняється від відомих побудовою оцінки вразливостей розроблення ПЗ «зверху» у вигляді множини, за наявності довільного несуперечливого кінцевого набору "квантів інформації". Це дозволило до 55% звузити сукупність множин Парето та більш точно обирати пріоритетністьність напрямків фінансування профілактичних заходів. Удосконалено метод кількісної оцінки вразливостей розроблення ПЗ. Його відмінною особливістю є комплексне використання "Аналізу дерева відмов" і способу оцінки показника чистої приведеної вартості проекту розроблення ПЗ з урахуванням негативних факторів можливого невиявлення загроз безпеки ПЗ. Використання вдосконаленого "Аналізу дерева відмов" дозволить до 20% підвищити точність кількісної оцінки вразливостей розроблення ПЗ. В той же час, використання способу оцінки показника чистої приведеної вартості проекту розроблення ПЗ дозволяє розглядати проект комплексно, з урахуванням необхідності врахування безпеки і тестування вразливості ПЗ, із залученням інструментів, які дозволяють здолати складність, невизначеність і довгостроковість проектів. Удосконалено метод оптимізації розподілу ресурсів розроблення безпечного ПЗ. В основу цього методу було покладено напівмарківську модель прийняття рішень для керованого марківського процесу у безперервному часі. Відмінною особливістю запропонованого методу є використання псевдобулевих методів бівалентного програмування з нелінійною цільовою функцією і лінійними обмеженнями для визначення оптимальної стратегії усунення експлуатаційних помилок. Це дозволило оптимізувати процес проектування стратегії управління вразливостями. Розроблено математичну модель технології тестування комплексу DOM XSS вразливостей, яка відрізняється від відомих урахуванням специфіки комплексного аналізу різних типів XSS вразливості ("stored XSS", "reflected XSS" і DOM Based XSS), а також включенням в алгоритм процедур автоматичного аудиту DOM Based XSS окремо. Це надало можливість провести аналітичну оцінку часових витрат тестування вказаних вразливостей в умовах реалізації стратегії розроблення безпечного програмного забезпечення. Удосконалено математичну модель технології тестування вразливості до SQL-ін'єкцій, яка відрізняється від відомих вдосконаленим способом визначення відстані між результатами ін'єкції. Використання в запропонованому методі критерію Джаро-Вінклера для порівняння результатів ін'єкції SQL-коду і введення порогового значення дозволить підвищити точність результатів тестування безпеки ПЗ. Розроблено метод математичного моделювання технологій тестування DOM XSS вразливості і вразливості до SQL-ін'єкцій, в основу якого покладено підхід мережевого GERT моделювання. Це дозволить досліджувати процеси в комп'ютеризованих системах при розробці нових засобів і протоколів захисту даних, а також від 1,05 до 1,5 разів зменшити час тестування безпеки. Отримано подальший розвиток імітаційної моделі технології тестування безпеки на основі положень теорії масштабування імітаційних моделей. Відмінною особливістю розробленої імітаційної моделі є адаптація вибору вхідних операторів управління і даних до підвищення вимог оперативності розроблення і реалізації моделі, виражена в реалізації процедури взаємодії з реальним браузером з використанням засобів автоматизації браузеру і формуванні даних для атаки на декількох діалектах. Це дозволило знизити обчислювальну складність реалізованих алгоритмів до 1,5 разів. Отримано подальший розвиток методу передтестової компіляції і розподілу доступу, що відрізняється від відомих врахуванням профілів користувача при синтезі застосунку, а також використанням ресурсів "хмарних сховищ" в процесі отримання інсталяційних версій ПЗ. Це дозволило підвищити рівень безпеки розроблених застосунків. Проведено порівняльну оцінку ефективності застосування розроблених моделей та методів, а також достовірності отриманих результатів. В цілому проведені дослідження показали, що показник безпеки ПЗ КС збільшився до 15%, що дозволяє зробити висновок про підвищення рівня захисту інформації за допомогою синтезованих моделей та методів розроблення безпечного ПЗ. Після проведених експериментів результат показав, що статистична величина довірчої ймовірність відхилення для видів даних що розглядаються складає , тобто значення статистичної величини від математичного сподівання «не відхилиться» більше, ніж на одиницю. Результати дисертаційної роботи впроваджено в діяльність комерційних підприємств та навчальних закладах України.
The dissertation is aimed at solving the current scientific and technical problem of development, improvement and selection of methods and models that provide maximum software security. The paper analyzes the current trends in software development methodologies and software requirements, indicators and optimization criteria, as well as approaches to mathematical formalization of relevant information processes, which showed that in the introduction of computer technology in critical applications, increasing information that stored, processed and circulated in them, as well as the increased vulnerability of unauthorized access to software by attackers, currently used models and methods of software development of the COP do not allow to ensure the required level of data security. On the basis of the conducted analysis and the international and state standards the general scheme of the characteristics and indicators concerning quality of the software is formed. The analysis of software development methodologies and factors influencing security allowed to identify contradictions between increased software security requirements (taking into account all security vulnerabilities) and the need to adapt to existing objective and subjective factors inherent in the modern world of the IT industry. The conducted comparative researches of the basic approaches of mathematical formalization allowed to define the basic directions of dissertation research and to formulate the optimization problem of synthesis of models and methods of software development. The method of qualitative analysis of software development vulnerabilities has been improved, which differs from the known ones by taking into account operational vulnerabilities, especially vulnerabilities of non-detection of security threats to CS software, and estimation of arbitrary consistent finite set of "information quanta". The synthesized method is based on the method of structural identification of software development vulnerabilities, which differs from the known by constructing an assessment of software development vulnerabilities "from above" in the form of a set, in the presence of an arbitrary consistent finite set of "information quanta". This allowed to narrow the set of Pareto sets to 55% and more precisely to choose the priority of areas of funding for preventive measures. The method of quantitative assessment of software development vulnerabilities has been improved. Its distinctive feature is the integrated use of the method of "Failure Tree Analysis" and the method of estimating the net present value of the software development project, taking into account the negative factors of possible non-detection of software security threats. The use of an improved "Failure Tree Analysis" methodology will increase the accuracy of quantifying vulnerabilities in software development by up to 20%. At the same time, the use of the method of estimating the net present value of the software development project allows to consider the project comprehensively, taking into account the need to take into account security and vulnerability testing, using tools to overcome the complexity, uncertainty and long-term projects. The method of optimizing the allocation of resources for the development of secure software has been improved. This method was based on the semi-Markov model of decision-making for a controlled Markov process in continuous time. A distinctive feature of the proposed method is the use of pseudo-Boolean methods of bivalent programming with nonlinear objective function and linear constraints to determine the optimal strategy for eliminating operational errors. This allowed to optimize the process of designing a vulnerability management strategy. A mathematical model of DOM XSS complex vulnerability testing technology has been developed, which differs from the known ones taking into account the specifics of complex analysis of different types of XSS vulnerabilities ("stored XSS", "reflected XSS" and DOM Based XSS), as well as inclusion of DOM Based XSS automatic audit procedures separately . This provided an opportunity to conduct an analytical assessment of the time spent testing these vulnerabilities in terms of implementing a strategy for developing secure software. An improved mathematical model of technology for testing vulnerability to SQL injection, which differs from the known advanced method of determining the distance between the results of the injection. The use of the Jaro-Winkler test in the proposed method to compare the results of the injection of SQL code and the introduction of a threshold value will improve the accuracy of the results of software security testing. A method of mathematical modeling of technologies for testing DOM XSS vulnerabilities and vulnerabilities to SQL-injections has been developed, which is based on the network GERT modeling approach. This will allow to study the processes in computer systems in the development of new tools and protocols for data protection, as well as from 1.05 to 1.5 times to reduce the time of security testing. Further development of the simulation model of security testing technology based on the provisions of the theory of scaling of simulation models is obtained. A distinctive feature of the developed simulation model is the adaptation of the choice of input control operators and data to increase the efficiency of model development and implementation, expressed in the implementation of the procedure of interaction with a real browser using browser automation and data generation to attack multiple dialects. This allowed to reduce the computational complexity of the implemented algorithms to 1.5 times. Further development of the method of pre-test compilation and distribution of access, which differs from the known ones by taking into account user profiles in the synthesis of the application, as well as the use of "cloud storage" resources in the process of obtaining installation versions of software. This allowed to increase the level of security of the developed applications. A comparative assessment of the effectiveness of the developed models and methods, as well as the reliability of the results. In general, studies have shown that the security index of the software of the COP has increased to 15%, which allows us to conclude that the level of information protection is increased using synthesized models and methods of developing secure software. After the experiments, the result showed that the statistical value of the confidence interval for the types of data under consideration is, ie the value of the statistical value from the mathematical expectation "will not deviate" by more than one. The results of the dissertation are implemented in the activities of commercial enterprises and educational institutions of Ukraine.
URI (Уніфікований ідентифікатор ресурсу): https://er.chdtu.edu.ua/handle/ChSTU/1595
Кількість сторінок: 304
Спеціальність: 05.13.05 – комп'ютерні системи та компоненти
Розташовується у зібраннях:05.13.05 – комп'ютерні системи та компоненти



Усі матеріали в архіві електронних ресурсів захищено авторським правом, усі права збережено.