АНАЛІЗ АВТОМАТИЗАЦІЇ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ ЗА ДОПОМОГОЮ МАРКОВСЬКИХ ПРОЦЕСІВ ПРИЙНЯТТЯ РІШЕНЬ
DOI: 10.31673/2409-7292.2025.017625
Анотація
З розвитком кіберзагроз тестування на проникнення стає критично важливим для забезпечення
інформаційної безпеки. У статті досліджується автоматизація цього процесу з використанням Марковських
процесів прийняття рішень і алгоритму Q-навчання. Застосування MDP дозволяє моделювати сценарії атак,
передбачати ризики та автоматизувати прийняття рішень у стохастичних середовищах. Основними
компонентами дослідження стали формулювання марковського середовища, створення алгоритму для аналізу
шляху до вразливостей і впровадження інтерактивного веб-додатку, який інтегрується з сучасними технологіями,
такими як Spring Boot, React та MySQL. Запропонований інструмент моделює процес пошуку вразливостей,
оптимізуючи його через алгоритм Q-навчання, що визначає оптимальні політики. Інтеграція з хмарними
платформами забезпечує масштабованість і зручність використання. Експериментальні результати
підтверджують ефективність запропонованого підходу, зокрема зменшення часу на тестування, підвищення
точності та адаптивності системи. Стаття аналізує інші сучасні дослідження у сфері автоматизації пентесту,
акцентуючи увагу на використанні глибокого навчання з підкріпленням і графових моделей атак. У роботі
розглядаються обмеження, зокрема потреба у значних обчислювальних ресурсах, та пропонуються шляхи їх
подолання, наприклад, навчання алгоритмів на основі реальних користувацьких даних. Загалом дослідження
демонструє високу перспективність автоматизації тестування на проникнення, сприяючи підвищенню точності
аналізу інформаційних систем та їхньої захищеності. У майбутньому планується оптимізувати алгоритми
навчання, інтегрувати нові джерела даних, такі як CVE-звіти та платформи bug bounty, що сприятиме
розширенню функціональних можливостей інструменту.
Ключові слова: Марковські процеси прийняття рішень, Штучний Інтелект, кібербезпека.
Перелік посилань
1. Tolkachova, A., & Piskozub, A. (2024). Methods for testing the security of web applications. Cybersecurity:
Education, Science, Technique, 2(26), 115–122. https://doi.org/10.28925/2663-4023.2024.26.668
2. Gore, R., Padilla, J., & Diallo, S. (2017). Markov chain modeling of cyber threats. The Journal of Defense
Modeling and Simulation: Applications, Methodology, Technology, 14(3), 233–244. https://doi.org/10.1177
/1548512916683451
3. Wang, Y., Li, Y., Xiong, X., Zhang, J., Yao, Q., & Shen, C. (2023). DQfD-AIPT: An intelligent penetration
testing framework incorporating expert demonstration data. Security and Communication Networks, 2023, 1–15.
https://doi.org/10.1155/2023/5834434
4. Yi, J., & Liu, X. (2023). Deep reinforcement learning for intelligent penetration testing path design. Applied
Sciences, 13(16), 9467. https://doi.org/10.3390/app13169467
5. Cody, T. (2022). A layered reference model for penetration testing with reinforcement learning and attack
graphs. In 2022 IEEE 29th Annual Software Technology Conference (STC). IEEE. https://doi.org/10.1109
/stc55697.2022.00015
6. Tolkachova, A., & Posuvailo, M.-M. (2024). Penetration testing using deep reinforcement learning.
Cybersecurity: Education, Science, Technique, 17–30. https://doi.org/10.28925/2663-4023.2024.23.1730
7. Spring Boot. (n.d.). Spring Boot. Retrieved from https://spring.io/projects/spring-boot
8. React. (n.d.). React. Retrieved from https://react.dev/
9. Cloud Application Platform | Heroku. (n.d.). Cloud Application Platform | Heroku. Retrieved from
https://www.heroku.com/
10. MySQL. (n.d.). Retrieved from https://www.mysql.com/
11. CVE - CVE. (n.d.). CVE - CVE. Retrieved from https://cve.mitre.org/
12. Unsupported Browser | HackerOne. (n.d.). HackerOne | #1 Trusted Security Platform and Hacker Program.
Retrieved from https://hackerone.com/bug-bounty-programs
