References

tuzsut

Труды учебных заведений связи

Proceedings of Telecommunication Universities

1813-324X2712-8830

СПбГУТ

10.31854/1813-324X-2023-9-6-59-67

tuzsut-529

Research Article

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ

INFORMATION TECHNOLOGIES AND TELECOMMUNICATION

Предложения по построению универсального фаззера протоколов

Proposals for Universal Protocol Fuzzer Construction

https://orcid.org/0009-0004-7030-5421

Васинев

Д. А.

Vasinev

кандидат технических наук, доцент, cотрудник Академии ФСО России

vda33@academ.msk.rsnet.ru

https://orcid.org/0009-0006-6472-1167

Соловьев

М. В.

Solovev

cотрудник Академии ФСО России

saintsdertr@gmail.com

Академия Федеральной службы охраны Российской ФедерацииРоссияThe Academy of the Federal Guard Service of the Russian FederationRussian Federation

2023

25122023

965967

2023

Васинев Д.А., Соловьев М.В.

Vasinev D., Solovev M.

This work is licensed under a Creative Commons Attribution 4.0 License.

https://tuzs.sut.ru/jour/article/view/529

В статье исследуется проблема обеспечения информационной безопасности в сфере телекоммуникаций с использованием метода фаззинга. Проведен анализ современных программных продуктов, предназначенных для тестирования методом фаззинга, выявлены их недостатки и предложен подход к созданию универсального мутационного фаззера протоколов. Способ формирования тестовых данных позволяет автоматизировать процесс поиска уязвимостей в телекоммуникационных протоколах и программном обеспечении. Его новизна заключается в формировании тестовых конструкций на основе параметров полей телекоммуникационных протоколов. Предложенное решение фаззера позволяет формировать вектор атаки на основе известных параметров, представленных в банке данных угроз, так и модифицировать эти вектора атак.

The article studies the problem of ensuring information security in the field of telecommunications using the phasing method. The analysis of modern software products designed for testing by the fuzzing method is carried out, their disadvantages are revealed, and an approach to the creation of a universal mutation protocol fuzzer is proposed. The method of test data formation allows to automate the process of searching for vulnerabilities in telecommunication protocols and pro-software. Its novelty lies in the formation of test constructs on the basis of parameters of fields of telecommunication protocols. The proposed fuzzy solution allows to form an attack vector on the basis of known parameters presented in the threat database, as well as to modify these attack vectors.

информационная безопасностьфаззингуязвимостителекоммуникационные протоколыгенетический фаззер

information securityfuzzingvulnerabilitiestelecommunication protocolsgenetic fuzzing

References1

Девянин П.Н., Тележников В.Ю., Хорошилов А.В. Формирование методологии разработки безопасного системного программного обеспечения на примере операционных систем // Труды Института Системного Программирования РАН. 2021. Т. 33. № 5. С. 25−40.

Devyanin P.N., Telezhnikov V.Yu., Khoroshilov A.V. Formation of methodology of safe system software development on the example of operating systems. Proceedings of ISP RAS. 2021;33(5):25−40.

Вареница В.В., Марков А.С., Савченко В.В. Практические аспекты выявления уязвимостей при проведении сертификационных испытаний программных средств защиты информации // Вопросы Кибербезопасности. 2021. № 5 (45). С. 36−44.

Varenitsa V.V., Markov A.S., Savchenko V.V. Practical aspects of vulnerability detection during certification testing of information protection software. Voprosy Kiberbezopasnosti. 2021;5(45):36−44.

Манеев А.О., Спивак А.И. Стохастическое тестирование программного обеспечения для поиска уязвимостей // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21. № 6. С. 895−902.

Maneev A.O., Spivak A.I. Stochastic Software Testing for Vulnerability Analysis. Scientific and Technical Journal of Information Technologies, Mechanics and Optics, Mechanics and Optics. 2021;21(6):895−902.

Козачок А.В., Козачок В.И., Осипова Н.С., Пономарев Д.В. Обзор исследований по применению методов машинного обучения для повышения эффективности фаззинг-тестирования // Вестник Воронежского государственного университета. Серия: системный анализ и информационные технологии. 2021. №4. С. 83−106

Kozachok A.V., Kozachok V.I., Osipova N.S., Ponomarev D.V. Overview оf Studies оn the Application of Machine Learning Methods to Improve the Efficiency of Fusing Testing. Proceedings of Voronezh State University. Series: Systems Analysis and Information Technologies. 2021;4:83−106.

Саттон М., Амини П., Грин А. Fuzzing: исследование уязвимостей методом грубой силы. Пер. с англ. М.: Символ-Плюс, 2017. 554 с.

Sutton M., Amini P., Green A. Fuzzing: vulnerability research by brute force method. Translated from English. Moscow: Symbol-Plus Publ.; 2017. 554 p.

Gascon H., Wressnegger C., Yamaguchi F., Arp D., Rieck K. PULSAR: Stateful Black-Box Fuzzing of Proprietary Network Protocols // Proceedings of the 11th International Conference on Security and Privacy in Communication Networks (SecureComm. Dallas, USA, 26‒29 October 2015). Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Cham: Springer, 2015. Vol. 164. PP. 330–347. DOI:10.1007/978-3-319-28865-9_18

Gascon H., Wressnegger C., Yamaguchi F., Arp D., Rieck K. PULSAR: Stateful Black-Box Fuzzing of Proprietary Network Protocols. Proceedings of the 11th International Conference on Security and Privacy in Communication Networks, SecureComm, 26‒29 October 2015, Dallas, USA. Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, vol.164. Cham: Springer; 2015. p.330–347. DOI:10.1007/978-3-319-28865-9_18

Шарков И.В., Падарян В.А., Хенкин П.В. Об особенностях фаззинг-тестирования сетевых интерфейсов в условиях отсутствия исходных текстов // Труды Института Системного Программирования РАН. 2021. T. 33. № 4. С. 211–226.

Sharkov I.V., Padarian V.A., Henkin P.V. Eatures of Fuzzing Network Interfaces Without Source Codes. Proceedings of ISP RAS. 2021;33(4):211–226.

The authors declare that there are no conflicts of interest present.