Предложения по построению универсального фаззера протоколов

В статье исследуется проблема обеспечения информационной безопасности в сфере телекоммуникаций с использованием метода фаззинга. Проведен анализ современных программных продуктов, предназначенных для тестирования методом фаззинга, выявлены их недостатки и предложен подход к созданию универсального мутационного фаззера протоколов. Способ формирования тестовых данных позволяет автоматизировать процесс поиска уязвимостей в телекоммуникационных протоколах и программном обеспечении. Его новизна заключается в формировании тестовых конструкций на основе параметров полей телекоммуникационных протоколов. Предложенное решение фаззера позволяет формировать вектор атаки на основе известных параметров, представленных в банке данных угроз, так и модифицировать эти вектора атак.

1. Девянин П.Н., Тележников В.Ю., Хорошилов А.В. Формирование методологии разработки безопасного системного программного обеспечения на примере операционных систем // Труды Института Системного Программирования РАН. 2021. Т. 33. № 5. С. 25−40.

2. Вареница В.В., Марков А.С., Савченко В.В. Практические аспекты выявления уязвимостей при проведении сертификационных испытаний программных средств защиты информации // Вопросы Кибербезопасности. 2021. № 5 (45). С. 36−44.

3. Манеев А.О., Спивак А.И. Стохастическое тестирование программного обеспечения для поиска уязвимостей // Научно-технический вестник информационных технологий, механики и оптики. 2021. Т. 21. № 6. С. 895−902.

4. Козачок А.В., Козачок В.И., Осипова Н.С., Пономарев Д.В. Обзор исследований по применению методов машинного обучения для повышения эффективности фаззинг-тестирования // Вестник Воронежского государственного университета. Серия: системный анализ и информационные технологии. 2021. №4. С. 83−106

5. Саттон М., Амини П., Грин А. Fuzzing: исследование уязвимостей методом грубой силы. Пер. с англ. М.: Символ-Плюс, 2017. 554 с.

6. Gascon H., Wressnegger C., Yamaguchi F., Arp D., Rieck K. PULSAR: Stateful Black-Box Fuzzing of Proprietary Network Protocols // Proceedings of the 11th International Conference on Security and Privacy in Communication Networks (SecureComm. Dallas, USA, 26‒29 October 2015). Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Institute for Computer Sciences, Social Informatics and Telecommunications Engineering. Cham: Springer, 2015. Vol. 164. PP. 330–347. DOI:10.1007/978-3-319-28865-9_18

7. Шарков И.В., Падарян В.А., Хенкин П.В. Об особенностях фаззинг-тестирования сетевых интерфейсов в условиях отсутствия исходных текстов // Труды Института Системного Программирования РАН. 2021. T. 33. № 4. С. 211–226.