350 руб
Журнал «Радиотехника» №2 за 2024 г.
Статья в номере:
Разработка метода фаззинг-тестирования почтовых сервисов на базе интеллектуальной мутации входных параметров
Тип статьи: научная статья
DOI: https://doi.org/10.18127/j00338486-202402-08
УДК: 621.373.826:315.61
Ключевые слова: Информационная безопасность фаззинг почтовые сервисы мутация входных данных сети с долгой краткосрочной па-мятью
Авторы:

Н.Н. Самарин

Аннотация:

Постановка проблемы. На сегодняшний день к наиболее распространенным почтовым протоколам относятся протоколы POP, IMAP и SMTP. Многообразие доступных расширений для этих протоколов при необходимости их реализации приводит к серьезным угрозам для безопасности почтовых сервисов. Причем ошибки, обуславливающие эксплуатацию уязвимостей в реализациях расширений, могут быть внесены как на этапе разработки конкретных модулей, так и на этапе проектирования архитектуры. Для поиска таких ошибок используется фаззинг-тестирование, в процессе которого на вход тестируемой программы подаются входные данные, способные привести к нарушению ее работы. Несмотря на то, что данный процесс во многом автоматизирован, при генерации входных данных по однотипным правилам фаззинг-тестирование может зацикливаться, что влечет за собой снижение как качественных (из-за нахождения одной и той же ошибки несколько раз), так и количественных (из-за прохождения одной и той же трассы) показателей.

Цель. Представить метод фаззинг-тестирования почтовых сервисов на базе интеллектуальной мутации входных параметров.

Результаты. Предложен метод фаззинг-тестирования почтовых сервисов на базе интеллектуальной мутации входных параметров, который применим не только к стандартным протоколам электронной почты, но и к их расширенным версиям. Рассмотрены основные расширения протоколов POP, IMAP и SMTP. Для оценки эффективности представленного метода выполнено его сравнение с традиционным методом фаззинг-тестирования в лабораторных условиях. Результаты проведенного исследования подтвердили возможность применения этого метода при фаззинг-тестировании не только клиентов электронной почты, но и серверов.

Практическая значимость. Проведение дальнейших исследований будет направлено на создание интеллектуальных методов для оценки покрытия тестирования при отсутствии предварительной инструментации исходного кода клиентов и серверов электронной почты.

Страницы: 53-61
Для цитирования

Самарин Н.Н. Разработка метода фаззинг-тестирования почтовых сервисов на базе интеллектуальной мутации входных параметров // Радиотехника. 2024. Т. 88. № 2. С. 53−61. DOI: https://doi.org/10.18127/j00338486-202402-08

Список источников
  1. Гаврилюк В.И. Протоколы POP, IMAP, SMTP: основные принципы и применение // Молодой ученый. 2020. № 19(309).
    С. 119-121.
  2. Клюева Е.Г., Шорин А.Н. Анализ безопасности почтовых серверов, функционирующих под управлением операционных систем Linux/Windows // Информационные технологии в образовании и науке: Сб. материалов науч.-практич. межвузов. интернет-конференции с международным участием, посвящ. 70-летию Атырауского гос. ун-та им. Халела Досмухамедова, Атырау (8 октября 2019 г.). Атырау: Атырауский гос. ун-т им. Халела Досмухамедова. 2019. С. 156-159.
  3. Лобов И.Ж. Анализ устойчивости почтового сервера Microsoft exchange к сетевым угрозам на основе результатов моделирования // Вопросы устойчивого развития общества. 2022. № 9. С. 334-343.
  4. Головина Е.Ю., Фархутдинова А.И. Разработка программного средства проверки электронных писем для почтового сервера предприятия // Информационные технологии. Проблемы и решения. 2022. № 2(19). С. 62-67.
  5. Чернышов М.К. Использование механизма Split DNS при развертывании корпоративного почтового сервера // Информатика: проблемы, методы, технологии: Материалы XX Междунар. науч.-методич. конф. (г. Воронеж, 13–14 февраля 2020 г.) / Под ред. А.А. Зацаринного, Д.Н. Борисова. Воронеж: ООО «Вэлборн». 2020. С. 210-214.
  6. Mahmoud A.B., Grigoriou N., Fuxman L., et al. Email is evil ! Behavioural responses towards permission-based direct email marketing and gender differences // Journal of Research in Interactive Marketing. 2019. V. 13. № 2. P. 227-248. DOI: 10.1108/JRIM-09-2018-0112.
  7. Sobotta N. Why forwarded email threads are hard to read: The Email format as an antecedent of Email overload // Communications of the Association for Information Systems. 2016. V. 39. № 1. P. 16-31. DOI: 10.17705/1cais.03902.
  8. Gan S., Qin X., Tu X., et al. Path Sensitive Fuzzing for Native Applications // IEEE Transactions on Dependable and Secure Computing. 2022. V. 19. № 3. P. 1544-1561. DOI: 10.1109/TDSC.2020.3027690.
  9. Zakeri Nasrabadi M., Parsa S., Kalaee A. Format-aware learn&fuzz: deep test data generation for efficient fuzzing // Neural Computing & Applications. 2021. V. 33. № 5. P. 1497-1513. DOI: 10.1007/s00521-020-05039-7.
  10. Зимин Е.Е. Методика фаззинг-тестирования кода с помощью AFL // Безопасные информационные технологии: Сб. трудов XI Междунар. науч.-технич. конф. (Москва, 6–7 апреля 2021 г.). М.: МГТУ имени Н.Э. Баумана (НИУ). 2021. С. 124-129.
  11. Тронов К.А., Белов Ю.С. Оптимизация инструментария afl для лучшего покрытия кода при работе со специфичными данными // E-Scio. 2021. № 5(56). С. 566-571.
  12. Алексеев Д.М., Иваненко К.Н., Убирайло В.Н. Fuzzing как метод тестирования программ: преимущества и недостатки // Наука в современном обществе: закономерности и тенденции развития: Сб. статей междунар. науч.-практич. конф. (г. Пермь, 25 февраля 2017 г.) В 2-х частях. Ч. 2. Пермь: ООО «Аэтерна». 2017. С. 18-19.
  13. Язов Ю.К., Кадыков В.Б., Енютин А.Ю., Суховеpхов А.С. Использование технологии фаззинга для поиска уязвимостей в программно-аппаратных средствах автоматизированных систем управления технологическими процессами // Программная инженерия. 2011. № 6. С. 44-47.
  14. Cummins C., Petoumenos P., Leather H., Murray A. Compiler fuzzing through deep learning // ISSTA 2018. Proceedings of the 27th ACM SIGSOFT International Symposium on Software Testing and Analysis. Amsterdam. 2018. P. 95-105. DOI: 10.1145/3213846.3213848.
  15. Azarnova T.V., Polukhin P.V. Dynamic Bayesian Networks as a Testing Tool for Fuzzing Web Applications // Computational Mathematics and Mathematical Physics. 2021. V. 61. № 7. P. 1118-1128. DOI: 10.1134/S0965542521070058.
  16. Chen J., Wang X., Xu X. GC-LSTM: graph convolution embedded LSTM for dynamic network link prediction // Applied Intelligence. 2021. DOI: 10.1007/s10489-021-02518-9.
  17. Якименко В.В. Архитектура модели LSTM для прогнозирования временных рядов редких событий // Актуальные проблемы авиации и космонавтики: Сб. материалов VIII Междунар. науч.-практич. конф., посвящ. Дню космонавтики (г. Красноярск, 11–15 апреля 2022 г.). В 3-х томах. Т. 2. Красноярск: ФГБУ ВО «Сибирский государственный университет науки и технологий им. акад. М.Ф. Решетнева». 2022. С. 533-535.
  18. Liu Y.C., Tsai Y.C., Li K.Y. Spindle thermal error prediction based on lstm deep learning for a cnc machine tool / Applied Sciences (Switzerland). 2021. V. 11. № 12. DOI: 10.3390/app11125444.
  19. Кондратьева Т.Н. Прогнозирование с помощью многослойной рекуррентной нейронной сети LSTM // Обозрение прикладной и промышленной математики. 2017. Т. 24. № 1. С. 73-74.
  20. Духан Е.И., Воеводин С.В., Сазонов В.Ю., Звежинский С.С. Обобщенная методика оценки потенциальных характеристик средств обнаружения на основе метода машинного эксперимента // Радиотехника. Т. 86. № 1. 2022. С. 41-48. DOI: https://doi.org/10.18127/j00338486-202201-07 (in Russian).
Дата поступления: 26.12.2023
Одобрена после рецензирования: 10.01.2024
Принята к публикации: 29.01.2024