DOI: https://doi.org/10.20998/2522-9052.2018.4.19

Метод вибору заходів захисту WEB-застосунка від атак

Artem Tetskyi

Анотація


Предметом дослідження є процеси забезпечення захисту Web-застосунка від атак, спрямованих на отримання несанкціонованого доступу до функцій адміністратора системи управління контентом. Метою є створення методу вибору заходів захисту Web-застосунка від атак. Завдання: визначити перелік найбільш поширених заходів захисту Web-застосунка, розробити метод вибору найбільш ефективних заходів захисту за умови обмеженого бюджету. Використовуваними методами є: аналіз дерев атак, метод експертних оцінок, методи розв'язання нелінійних задач цілочисельного програмування з булевими змінними. Отримані наступні результати. Розроблено метод вибору заходів захисту Web-застосунка, заснований на методі оцінювання показника успішності атаки Web-застосунка. Оскільки всі заходи захисту відрізняються вартістю, ефективністю і впливом на різні вектора атак, в результаті вибору визначається набір контрзаходів, який надає максимальне зниження показника успішності атаки. Тому до зміни набору контрзаходів призводить не тільки зміна параметрів контрзаходів, а й зміна параметрів дерева атак. Завдання вибору заходів захисту є нелінійним завданням цілочисельного програмування з булевими змінними. Висновки. Наукова новизна отриманих результатів полягає в наступному: удосконалено метод вибору контрзаходів шляхом розв'язання оптимізаційної задачі, що дозволяє вибрати найбільш ефективні контрзаходи в умовах обмеженого бюджету. В якості цільової функції використовується мінімізація показника успішності атаки, бюджет послуг вказується в якості обмеження. Однак також можливо використовувати в якості цільової функції мінімізацію бюджету, а в якості обмеження встановити максимально допустиме значення показника успішності атаки.


Ключові слова


атака; безпека; захід захисту; Web-застосунок; мінімізація витрат

Повний текст:

PDF (English)

Посилання


Atashzar, H., Torkaman, A., Bahrololum, M. and Tadayon, M.H. (2011), “A survey on web application vulnerabilities and countermeasures”, Proc. of the 2011 6th Int.Conf. on Computer Sciences and Convergence Information Technology, pp. 647-652.

Lepofsky, R. (2014), The manager's guide to web application security: a concise guide to the weaker side of the web, Apress, 232 p., DOI: https://doi.org/10.1007/978-1-4842-0148-0.

Shah, S. and Mehtre, B. M. (2015), “An overview of vulnerability assessment and penetration testing techniques”, Journal of Computer Virology and Hacking Techniques, vol. 11, no. 1, pp. 27-49,

DOI: https://doi.org/10.1007/s11416-014-0231-x.

Han, Y., Sakai, A., Hori, Y. and Sakurai, K. (2009), “Improving the Quality of Protection of Web Application Firewalls by a Simplified Taxonomy of Web Attacks”, Advances in Information Security and Its Application. ISA 2009. Communications in Computer and Inf. Science, Vol. 36, Springer, Berlin, Heidelberg, pp. 105-110, DOI: https://doi.org/10.1007/978-3-642-02633-1_14.

McClure, S., Shah, S. and Shah, S. (2002), Web hacking: Attacks and defense, Addison-Wesley Professional, 528 p.

Tetskyi, A.G. (2018), “Applying of attack trees for estimation the probability of a successful attack of the web-application”, Radioelektronni i komp'uterni sistemi, no. 3, pp. 74-79, DOI: https://doi.org/10.32620/reks.2018.3.08.

Usage of Default protocol https for websites, available at: https://w3techs.com/technologies/details/ce-httpsdefault/all/all.

Solver in Excel, available at: https://www.excel-easy.com/data-analysis/solver.html.




Copyright (c) 2021 Artem Tetskyi