CC BY
81
Актуальные проблемы авиации и космонавтики. Информационные технологии
УДК 004.056
Д. В. Симбирцев Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
РАЗРАБОТКА АВТОМАТИЗИРОВАННОЙ СИСТЕМЫ АНАЛИЗА ЗАЩИЩЕННОСТИ
ВЕБ-РЕСУРСОВ
Рассматривается вопрос обнаружения уязвимостей веб-ресурсов в рамках автоматизированной среды анализа защищенности
Рассматривая вопрос безопасности веб-ресурсов, в первую очередь стоит отметить три важных свойства информации: конфиденциальность, целостность, доступность. Информационная атака на веб-ресурс направлена именно на нарушение этих свойств информации. В зависимости от значимости веб-ресурса в составе организации бизнеса и его выполняемых функций, владелец атакуемого веб-ресурса рискует потерять не только часть потенциальных клиентов или быть скомпрометированным, но и лишится своего бизнеса полностью.
Анализ веб-ресурса на предмет уязвимостей может осуществляться множеством различных способов, но чаще всего используются два наиболее распространенных подхода:
Динамический анализ - это метод тестирования работающего приложения извне. Этот метод взаимодействует с работающим экземпляром приложения и воспринимает исследуемый объект как закрытый. Данный принцип анализа защищенности часто называют принципом черного ящика.
Статический анализ - это процесс изучения статического кода приложения и бинарных файлов, создание математических моделей их работы и идентификация слабых в отношении безопасности участков кода путем анализа созданных моделей [1].
Динамический анализ имеет ряд преимуществ над статическим, а именно:
Не требуется исходный код исследуемого объекта: для данного метода нет необходимости в исходном коде, поэтому он поддерживает анализ готовых коммерческих приложений, приложений, полученных по аутсорсингу, сгенерированного компьютером кода и других сторонних компонентов, для которых исходный код может оказаться недоступным.
Прозрачность серверных технологий: тестирование извне позволяет обеспечить независимость динамического анализа от серверной технологии, в результате чего он может использоваться практически для любых платформ веб-приложений и языков программирования.
Небольшое количество необходимых условий: для осуществления анализа защищенности достаточно иметь удаленный доступ к работающему веб-ресурсу.
Небольшое количество ложнопозитивных реакций: проблемы являются достоверными, поскольку проверки выполняются в работающем объекте. В этом случае не возникает сомнений в реакции объекта, а выводы о возможном наличии уязвимости обычно достаточно точны.
Выявление самых критических проблем: поскольку функция динамического анализа выполняет проверки так, как это делал бы специалист по информационной безопасности, она обнаруживает те проблемы, которые, вероятнее всего, были бы обнаружены атакующими. Это именно те проблемы, которые необходимо исправить в первую очередь.
Проверка кода, компонентов интеграции и инфраструктуры: динамический анализ обнаруживает проблемы независимо от того, кроются ли они в пользовательском коде самого приложения, в компонентах интеграции, иных компонентах или в базовой инфраструктуре. Сначала он выявляет проблемы, а затем можно выяснить, почему они возникли [2].
Автоматизированная система анализа защищенности веб-ресурсов представляет собой программное средство, позволяющее путем осуществления различных проверок выявить уязвимости исследуемого объекта [3]. Разрабатываемая автором система использует динамический подход к обнаружению уязвимостей и решает следующие основные задачи:
- сбор информации об исследуемом объекте;
- аудит программного обеспечения веб-ресурса на предмет уязвимостей;
- выявление слабых мест системы и формирование рекомендаций по их устранению;
Общий алгоритм работы системы анализа защищенности сводится к последовательному выполнению следующих шагов:
1) сбор информации об исследуемом объекте;
2) проверка программного обеспечения на предмет уязвимостей по базе прецедентов;
3) изучение программного обеспечения с точки зрения информационной безопасности с использованием элементов интеллектуального анализа;
4) анализ полученных данных и их вывод;
5) формирование рекомендаций по устранению выявленных уязвимостей;
С архитектурной точки зрения система состоит из следующих компонентов:
Ядро. Данная структурная единица отвечает за взаимосвязь настроек системы и подсистемы модулей. А также выполняет проведение различных проверок и отображение результатов конечному пользователю.
Подсистема модулей. Данный компонент является расширением ядра. Каждый модуль решает отдельно поставленную задачу.
Веб-интерфейс управления. Предназначен для формирования параметров, передаваемых ядру и под-
Секция «Методы и средства зашиты информации»
системе модулей, выполняет функцию дружественного интерфейса управления.
Результатом работы системы является выявление уязвимостей веб-ресурса и указание возможных путей их устранения или нейтрализации с целью повышения защищенности веб-ресурса к информационным угрозам.
Библиографические ссылки
1. Shay Chen. Web Application Scanners Accuracy Assessment. URL: http://sectooladdict.blogspot.com/ 2010/12/web-application-scanner-benchmark.html.
2. Гай Поджарны. Разработка защищенных Web-приложений: Введение в IBM Rational AppScan Developer Edition. URL: http://www.ibm.com/developerworks/ ru/library/r-0916_podjarny/index.html.
3. Adam Doupe, Marco Cova, Giovanni Vigna. Why Johnny Can't Pentest: An Analysis of Black-box Web Vulnerability Scanners. URL: http://www.cs.ucsb.edu/ ~adoupe/static/black-box-scanners-dimva2010.pdf.
© Симбирцев Д. В., Жуков В. Г., 2011
УДК 004.056
Т. С. Хеирхабаров Научный руководитель - В. Г. Жуков Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева, Красноярск
ПРЕДОБРАБОТКА ИСХОДНЫХ ДАННЫХ ПРИ РЕШЕНИИ ЗАДАЧИ КЛАССИФИКАЦИИ
ЭЛЕКТРОННОЙ КОРРЕСПОНДЕНЦИИ
Рассматриваются методы обработки содержимого электронных писем до момента расчёта оценки, на основании которой выбирается класс письма.
Задача классификации электронной почты заключается в разделении всего потока входящей электронно почты на два класса: нежелательная (спам) и легитимная почта. При решении данной задачи обычно выделяют 3 этапа: предобработка исходных данных, расчёт оценки и непосредственно определение класса письма. В рамках данной работы рассмотрим этап предобработки исходных. Собственные исследования показали, что от качества данного этапа зависит эффективность классификатора в целом.
На этапе предобработки выполняются следующие операции:
- выделение заголовка и тела письма;
- токенизация;
- удаление стоп-слов;
- определение языка;
- обработка слов, при написании которых используются символы похожие по начертанию на символы оригинального алфавита;
- морфологический и синтаксический анализ.
Сначала из электронного письма необходимо выделить заголовок и тело письма. Сделать это достаточно просто, так как формат почтового сообщения четко определен в документе №0-2822 [1]. Затем заголовок и тело обрабатываются отдельно друг от друга. В рамках данной работы не рассматривается обработка заголовков электронного письма. В случае если тело письма представлено Ыш1-страницей или картинкой, то необходимо преобразовать его к текстовой форме.
После того как было выделено тело письма его необходимо разбить на набор слов (токенов) с учетом разнообразных случаев использования символов-разделителей. Если письмо является легитимным и оформлено в соответствии с правилами пунктуации, то данная задача решается просто - в качестве разделителей выступают пробелы, табуляция и знаки пунк-
туации. Использование сокращений, дефисного написания (Связь-Банк), пунктуации и цифр в именах собственных (заявочный комитет «Сочи-2014») усложняют задачу токенизации, но не настолько как в случае спама. Спамеры применяют различные методы для обхода фильтров. Среди таких методов разделение букв в словах знаками пунктуации или пробелами (например: р.е.кла.м.а или р е к л а м а). Человек в таких случаях поймёт, что имели ввиду авторы данного спам-письма, однако компьютеру становится гораздо сложнее определить границы слова. Задача то-кенизатора не только выделить отдельные слова, но и исключить из написания слов символы, используемые для запутывания фильтров. Результатом этапа токени-зации является список слов в порядке их следования в теле письма. Все операции в дальнейшем будут выполняться именно над этим списком, а не над исходным телом письма.
После этапа токенизации из полученного списка удаляются так называемые стоп-слова. Стоп-слова -слова, не несущие самостоятельной смысловой нагрузки. Как правило, к ним относятся предлоги, союзы, частицы, местоимения, вводные слова, междометия. Для уменьшения размера базы данных токенов стоп-слова в неё не включаются и не учитываются при расчёте оценки.
Список токенов разделяется на 3 отдельных списка: список английских токенов, русских токенов и список так называемых «неправильных слов». «Неправильными» называются слова, при написании которых используются буквы различных алфавитов, а также символы, похожие по начертанию на буквы оригинального алфавита языка написания слова (например «рассылк@», первая буква а - из английского алфавита). Этот метод называется «визуальный спу-финг» и также применяется спамерами для обхода фильтров. В данном случае на помощь спамерам
