Inventory number IRN Number of state registration
0222РК00574 AP06851400-OT-22 0120РК00186
Document type Terms of distribution Availability of implementation
Заключительный Gratis Number of implementation: 0
Not implemented
Publications
Native publications: 3
International publications: 1 Publications Web of science: 0 Publications Scopus: 0
Number of books Appendicies Sources
1 4 124
Total number of pages Patents Illustrations
87 0 10
Amount of funding Code of the program Table
31783000 AP06851400 1
Name of work
Разработка способа и автоматизация поиска уязвимостей в машинном коде телекоммуникационных устройств
Report title
Type of work Source of funding The product offerred for implementation
Applied Метод, способ
Report authors
Коньшин Сергей Владимирович , Голубева Татьяна Викторовна , Тайлаков Виктор Александрович , Фазылова Алина Ринатовна , Василенко Кирилл Денисович , Якубова Екатерина Антоновна , Османов Бакир Исрафильевич , Филимонова Арина Андреевна ,
0
2
1
0
Customer МОАП РК
Information on the executing organization
Short name of the ministry (establishment) МЦРОАП РК
Full name of the service recipient
Некоммерческое акционерное общество "Алматинский университет энергетики и связи имени Гумарбека Даукеева"
Abbreviated name of the service recipient НАО АУЭС имени Гумарбека Даукеева
Abstract

способы и средства автоматизации экспертного анализа машинного кода телекоммуникационных устройств

телекоммуникациялық құрылғылардың машиналық кодына сараптамалық талдауды автоматтандыру әдістері мен құралдары

разработка способа и средств автоматизации экспертного анализа машинного кода телекоммуникационных устройств в интересах повышения эффективности поиска уязвимостей в условиях отсутствия исходных кодов

бастапқы кодтар болмаған кезде осалдықтарды іздеу тиімділігін арттыру мақсатында телекоммуникациялық құрылғылардың машиналық кодына сараптамалық талдауды автоматтандыру әдісі мен құралдарын әзірлеу

Для достижения целей и решения задач планируется использование как классических, так и современных методов исследования, а именно: - для решения всех задач: системный, причинно-следственный и сравнительный анализ; - для разработки модели машинного кода и классификации уязвимостей: сбор, систематизация и анализ научно-технической информации; - для создания метода и методик поиска уязвимостей предлагаемым методом: функциональный и структурный синтез; - для реализации программных средств: общая методология программирования, теории компиляции и графов, компьютерное моделирование.

Мақсаттарға жету және мәселелерді шешу үшін зерттеудің классикалық және қазіргі әдістерін қолдану жоспарлануда, атап айтқанда: - барлық мәселелерді шешу: жүйелік, себептік және салыстырмалы талдау; - осалдықтардың классификациясы мен машиналық код моделін жасау: ғылыми-техникалық ақпаратты жинау, жүйелеу және талдау; - ұсынылған әдісті қолдана отырып осалдықтарды іздеу әдісі мен тәсілдерін құру: функционалдық және құрылымдық синтез; - бағдарламалық жасақтаманы іске асыруға арналған: бағдарламалаудың жалпы әдістемесі, графика және компиляция теориясы, компьютерлік модельдеу.

1) программный комплекс автоматизации поиска уязвимостей, позволяющий выявлять в программном обеспечении сложно-обнаруживаемые уязвимости без предоставления исходного кода; является результатом решения задач разработки модели машинного кода, разработки синтаксиса языка описания представления алгоритмов и архитектуры, а также создания прототипов программных средств; 2) тестовый стенд комплекса и отчет о результатах тестирования; является промежуточным решением задачи по проведению испытаний по поиску типовых уязвимостей; 3) документация на программное обеспечение комплекса по поиску уязвимостей в машинном коде телекоммуникационных устройств разработанным способом; является результатом решения задач по созданию прототипов программных средств и создания метода поиск уязвимостей по классам; 4) перечень типовых уязвимостей (программных закладок) и рекомендации для их поиска с помощью комплекса; является результатом решения задачи классификации уязвимостей в машинном коде.

1) бастапқы кодын берместен бағдарламалық қамтамасыз етуді қиындықсыз анықтауға мүмкіндік беретін осалдықтарды іздестіруді автоматтандыру үшін бағдарламалық кешен; машина коды моделін құру проблемаларын шешудің, алгоритмдер мен архитектураның тұсаукесерін сипаттауға арналған синтаксисті әзірлеу және бағдарламалық қамтамасыз етудің прототипін жасаудың нәтижесі болып табылады; 2) кешеннің сынақ стенділері және тестілеу нәтижелері туралы есеп; типтік осалдықтарды іздестіру міндетін аралық шешу болып табылады; 3) әзірленген әдісті қолдана отырып телекоммуникациялық құрылғылардың компьютерлік кодының осалдықтарын іздеуге арналған бағдарламалық қамтамасыздандыру туралы құжаттама; прототипті бағдарламалық қамтамасыз ету проблемаларын шешудің және сабақтар бойынша осалдықтарды табу әдісін жасаудың нәтижесі болып табылады; 4) әдеттегі осалдықтардың тізімі (бағдарлама бетбелгілері) және оларды кешенді пайдалана отырып іздеу бойынша ұсынымдар; машиналық кодтағы осалдықтарды жіктеу мәселесін шешудің нәтижесі болып табылады.

Практическая значимость проекта заключается в том, что полученный способ поиска (состоящий их метода, программных средств и автоматизированной формы его выполнения) позволит локализовать уязвимости в машинном коде, которые не только принципиально невозможно обнаружить автоматическими средствами (из-за отсутствия их формализации), но которые также являются не просто ошибками при разработке (например, на уровне базовых операций), а заложены туда сознательно (например, на уровне нарушения в работе алгоритмов и наличия «бэкдор» в архитектуре) и, следовательно, обладают высокой угрозой деструктивных действий. Особым статусом обладает область автоматизированных систем управления технологическими производствами и стратегическими объектами, где последствия от реализации киберугроз вследствие использования уязвимостей в программном обеспечении может носить физический характер.

Жобаның практикалық маңыздылығы алынған іздеу әдісі (әдістен, бағдарламалық жасақтамадан және оны орындаудың автоматтандырылған түрінен тұратын) машиналық кодтағы осалдықтарды оқшаулауға мүмкіндік беретіндігінде, оларды автоматты түрде табу мүмкін емес (формаландырудың болмауына байланысты) Олар сондай-ақ дамудағы қателіктер ғана емес (мысалы, негізгі операциялар деңгейінде), бірақ оны әдейі қояды (мысалы, алгоритмдердің жұмысындағы бұзушылық деңгейінде және архитектурада «артқы есіктің» болуы), сондықтан жойқын әрекеттердің жоғары қаупі бар. Технологиялық өндіріс пен стратегиялық объектілерді басқарудың автоматтандырылған жүйелерінің аймағы ерекше мәртебеге ие, мұнда бағдарламалық қамтамасыздандырудағы осалдықтарды қолдану салдарынан болатын киберқауіптерді жүзеге асырудың салдары физикалық болуы мүмкін.

начальная

бастауыш

Применение разработанных методологического и программного решения позволит осуществлять поиск уязвимостей в машинном коде телекоммуникационных устройств, требующих участия эксперта из-за отсутствия возможности формализации последние.

Әзірленген әдістемелік және бағдарламалық шешімдерді қолдану телекоммуникациялық құрылғылардың машиналық кодының осалдықтарын іздеуге мүмкіндік береді, бұл сарапшының соңғы қатысушыларды ресімдеу мүмкіндігі болмағандықтан қатысуын талап етеді.

предлагаемый метод и программные средства будут крайне востребованы в Республике Казахстан, поскольку позволят существенно повысить безопасность ее информационного пространства, для работы с которым используются телекоммуникационные устройства без исходного кода и в особенности иностранного производства

ұсынылған әдіс пен бағдарламалық қамтамасыздандыру Қазақстан Республикасында үлкен сұранысқа ие болады, өйткені ол өзінің ақпараттық кеңістігінің қауіпсіздігін едәуір арттырады, ол үшін бастапқы коды жоқ телекоммуникациялық құрылғылар, әсіресе шетелдік өндіріс қолданылады

UDC indices
654.028.3, 004.56
International classifier codes
49.37.00; 50.41.27;
Readiness of the development for implementation
Key words in Russian
телекоммуникации; информационная безопасность; анализ программ; поиск уязвимостей; мультисервисные сети и системы;
Key words in Kazakh
байланыс; ақпараттық қауіпсіздік; бағдарламаларды талдау; осалдығын тексеру; мультисервистік желілер мен жүйелер;
Head of the organization Саухимов Алмаз Абжалиевич Доктор философии (PhD) / нет
Head of work Коньшин Сергей Владимирович Кандидат технических наук / Доцент
Native executive in charge Голубева Татьяна Викторовна нет