ПРИКАСПИЙСКИЙ ЖУРНАЛ
УПРАВЛЕНИЕ И ВЫСОКИЕ ТЕХНОЛОГИИ
АВТОМАТИЗИРОВАННЫЙ ПОИСК УЯЗВИМОСТЕЙ ВЕБ-ПРИЛОЖЕНИЯ НА ОСНОВЕ МАШИННОГО ОБУЧЕНИЯ С ПОДКРЕПЛЕНИЕМ
 |
Читать | Выборнова Ольга Николаевна, Рыжиков Александр Николаевич АВТОМАТИЗИРОВАННЫЙ ПОИСК УЯЗВИМОСТЕЙ ВЕБ-ПРИЛОЖЕНИЯ НА ОСНОВЕ МАШИННОГО ОБУЧЕНИЯ С ПОДКРЕПЛЕНИЕМ // Прикаспийский журнал: управление и высокие технологии. — 2021. — №1. — Стр. 91-97. |
Выборнова Ольга Николаевна - Астраханский государственный университет, 414056, Российская Федерация, г. Астрахань, ул. Татищева, 20а
Рыжиков Александр Николаевич - Национальный исследовательский ядерный университет МИФИ, 115409, Российская Федерация, г. Москва, Каширское ш., 31
Проанализирована актуальность задачи создания более эффективного (по сравнению с аналогами) средства автоматизированного поиска уязвимостей на основе современных технологий. Показана схожесть процесса выявлений уязвимостей с марковским процессом принятия решения и обоснована целесообразность применения технологии машинного обучения с подкреплением для решения данной задачи. Поскольку анализ безопасности веб - приложений является в настоящее время наиболее приоритетным и востребованным, в рамках данной работы рассматривается приложение математического аппарата машинного обучения с подкреплением именно к этой предметной области. Представлена математическая модель, описана специфика процесса обучения и тестирования для задачи автоматизированного поиска уязвимостей веб-приложений. На основе анализа руководства по тестированию OWASP определено пространство действий и множество состояний среды. Описаны характеристики программной реализации предложенной модели: Q-обучение реализовано на языке программирования Python, для реализации политики обучения с помощью библиотеки tensorflow была создана нейронная сеть. Продемонстрированы результаты работы агента обучения с подкреплением на реальном веб-приложении, а также их сравнительный анализ с отчетом сканера уязвимостей Acunetix. Полученные данные свидетельствуют о перспективности предложенного решения.
Ключевые слова: уязвимость, автоматизированный поиск уязвимостей, пентестинг, обучение с подкреплением, Q-обучение