УДК
004.4'2
ИНСТРУМЕНТАЛЬНОЕ СРЕДСТВО АНАЛИЗА УЯЗВИМОСТЕЙ
«НУЛЕВОГО ДНЯ»
В.Г. Мзоков*, студент 535ст1 гр.; А.Ю. Белобородов, аспирант каф. 503
Национальный аэрокосмический университет им. Н.Е. Жуковского «ХАИ»
Уязвимости прикладного и системного ПО – одна из наиболее частых причин проникновения в системы. На сегодняшний день информация об уязвимостях доступна в открытых источниках, таких как базы данных уязвимостей и эксплойтов (NVD, CVE, OSVDB, EDB и др.).
Базы данных отличаются своевременностью и полнотой представляемой в них информации. CVE содержит первичную информацию об уязвимости − только идентификатор и описание, а NVD − более систематизирована, потому что содержит информацию об идентификаторе уязвимости, об уязвимых продуктах и описание каждой уязвимости. Для выявления уязвимостей «нулевого дня», нам требуется база CVE, т.к. в ней информация публикуется раньше, чем в NVD.
Алгоритм работы инструментального средства анализа уязвимостей «нулевого дня» состоит из нескольких этапов:
- на первом этапе нужно сформировать обучающую выборку. Для этого выбираются группы записей об уязвимостях из базы данных NVD по нескольким интересующим нас продуктам;
- далее выбирается из каждой записи поле Summary и присваивается номер категории каждому описанию. Для каждого из исследуемых продуктов присваивается свой номер категории;
- на следующем этапе результаты предыдущего этапа используются как набор входных данных для алгоритма статистического анализа данных библиотеки R.
Теперь наш инструмент готов категоризировать текст, т.е. сопоставлять любому описанию уязвимости программный продукт, к которому данное описание относится. В этом случае могут происходить так называемые ошибки первого, второго рода.
Ошибки первого рода («ложное срабатывание») возникают, если описание уязвимости было отнесено к тому программному продукту, который на самом деле не содержит данной уязвимости. Ошибки второго рода («пропуск события») возникают когда некоторая уязвимость относится к рассматриваемому программному продукту, однако результаты работы алгоритм не верно классифицирует описание уязвимости.
Для реализации инструментального средства выбрана библиотека статистического анализа R – это программная библиотека, в которой алгоритмы категоризации текстов уже реализованы.
*Научный руководитель – д.т.н., профессор А.В.Горбенко.