РОССИЙСКАЯ ФЕДЕРАЦИЯ ФЕДЕРАЛЬНАЯ СЛУЖБА ПО ИНТЕЛЛЕКТУАЛЬНОЙ СОБСТВЕННОСТИ ГОСУДАРСТВЕННАЯ РЕГИСТРАЦИЯ ПРОГРАММЫ ДЛЯ ЭВМ Номер регистрации (свидетельства): 2016616336 Дата регистрации: 09.06.2016 Номер и дата поступления заявки: 2016613611 13.04.2016 Дата публикации: 20.07.2016 Контактные реквизиты: 394006, г. Воронеж, Университетская площадь, 1, ФГБОУ ВО «ВГУ», Центр коммерциализации технологий Авторы: Азарнова Татьяна Васильевна, Полухин Павел Валерьевич Правообладатель: федеральное государственное бюджетное образовательное учреждение высшего образования «Воронежский государственный университет» Название программы для ЭВМ: «Математические модели, методы и алгоритмы тестирования раскрытия персональных данных с помощью фаззинга» Реферат: Программа предназначена для организаций, специализирующихся на разработке программных продуктов на этапах тестирования, а также компаний, предоставляющих услуги по аудиту и анализу защищённости приложений. Тестирование раскрытия персональных данных, реализованное в программе, инкапсулирует ряд важных подходов к процессу тестирования данного типа уязвимостей. В рамках первого подхода производится анализ защищённости протокола взаимодействия клиента и веб-приложений, в особенности детально проверяются наиболее критичные функциональные части тестовой программы. К таким функциональным частям относятся система аутентификации, система управления ролями. Для приложений, использующих инструментарий денежных и финансовых операции, все действия должны быть проворены на передачу параметров только по защищенному протоколу SSL/TLS. Во втором подходе рассматривается анализ так называемых кросс-запросных хранилищ: cookie, которые ассоциируются с переменной сеанса сервера, и переменные состояние (ViewState). Тестирование ViewState особенно важно, если анализируемое приложение написано на Фреймворке ASP.NET или использует контейнер сервлетов Java. Данные контейнеры могут использоваться для передачи дополнительных параметров, в частности раскрывающих, как технические особенности функционирования приложений, так и параметры аутентификации, авторизации, специальные сеансовые идентификаторы и т.д. Третий подход предусматривает выявление элементов разметки браузера, позволяющих сохранять историю, в частности формы с автозаполнением, показывающие все комбинации данных, которые когда-то вводились, что приводит к возможности кражи аутентификационных и иных критичных данных, например, с помощью межсайтового скриптинга. Результатом работы программы является комплексная многогранная оценка и прогнозирование появления уязвимостей на основе имеющихся накопленных тестовых данных. Для прогнозирования уязвимостей раскрытия персональных данных в программе используется математический аппарат динамических сетей Байеса (ДБС), при этом прогнозирование и фильтрация происходят с помощью вероятностного вывода. Построение ДБС происходит из вероятностных данных, полученных в результате тестирования целевых приложений. Программа использует многокритериальный параметр, позволяющий объединять тестируемые приложений со сходным набором программных компонентов и зависимостей в группы, что даёт возможность тестировать как единичные несвязанные приложения, так и приложения, имеющие сходные признаки, к примеру, одинаковые фреймворки, системы управления сайтами, программные библиотеки или среду исполнения. Под построением ДБС в рамках работы алгоритма программы подразумеваются вычисления апостериорных вероятностей тестовой подсистемы, в общем случае, для момента времени t-1 за счет тестирования методом черного ящика, а также получения модели перехода и восприятия. Для получения прогнозируемого выбора в программе используется алгоритм фильтрации частиц, который позволяет получить наиболее правдоподобные выборки, в полной мере согласующиеся со свидетельством. Под свидетельством в контексте тестирования понимается некоторая эпизодическая переменная, связанная в той или иной мере с некоторым событием. В ходе тестирования свидетельствами будут являться некоторые исходы этапов процесса тестирования, а именно, целевые угрозы безопасности, которые могут возникнуть при наличии данного типа уязвимостей. Тип реализующей ЭВМ: IBM РС-совмест. ПК Язык программирования: Java Вид и версия операционной системы: Windows, Linux, MacOS X Объем программы для ЭВМ: 378 Кб