1. ELARTU — Інституційний репозитарій ТНТУ імені Івана Пулюя
  2. Роботи студентів
  3. Магістр
  4. 125 — кібербезпека, Кібербезпека та захист інформації
Utilize este identificador para referenciar este registo: http://elartu.tntu.edu.ua/handle/lib/47595
Título: Дослідження застосування фреймворку Shennina для автоматизованого тестування на проникнення
Outros títulos: Research on the Application of the Shennina Framework for Automated Penetration Testing
Autor: Бурмістрова, Наталія Андріївна
Burmistrova, Nataliia
Affiliation: ТНТУ ім. І. Пулюя, Факультет комп’ютерно-інформаційних систем і програмної інженерії, Кафедра кібербезпеки, м. Тернопіль, Україна
Bibliographic description (Ukraine): Бурмістрова Н. А. Дослідження застосування фреймворку Shennina для автоматизованого тестування на проникнення : робота на здобуття кваліфікаційного ступеня магістра : спец. 125 - кібербезпека та захист інформації / наук. кер. Р. О. Козак. Тернопіль : Тернопільський національний технічний університет імені Івана Пулюя, 2024. 69 с.
Data: 23-Dez-2024
Date of entry: 19-Jan-2025
Editora: ТНТУ
Country (code): UA
Place of the edition/event: ТНТУ ім. І.Пулюя, ФІС, м. Тернопіль, Україна
Supervisor: Козак, Руслан Орестович
Kozak, Ruslan
Committee members: Марценко, Сергій Володимирович
Martsenko, Sergiy
Palavras-chave: автоматизоване тестування
automated testing
сканування
scanning
shennina
metasploit
vulnerability
detection
exploitation
Resumo: Кваліфікаційна робота присвячена дослідженню застосування фреймворку Shennina для автоматизованого тестування на проникнення інформаційних систем. У роботі проведено аналіз можливостей Shennina порівняно з популярним сканером вразливостей Nessus, зокрема щодо виявлення та реальної експлуатації вразливостей. Для практичної перевірки застосовано віртуальну машину Metasploitable 2, що містить навмисно вразливі сервіси. У ході дослідження налаштовано середовище тестування, розроблено алгоритм дослідження, а також визначено метрики порівняння ефективності інструментів. Особливу увагу приділено можливостям Shennina в контексті автоматизованої експлуатації знайдених вразливостей і моделювання реальних сценаріїв атак. Отримані результати підтверджують, що Shennina здатна не лише виявляти вразливості, а й успішно експлуатувати їх, адаптуючись до різних конфігураційних помилок у середовищі. Порівняльний аналіз із Nessus вказує на перспективність застосування Shennina для підвищення ефективності процесу тестування на проникнення, що може бути корисним для фахівців у сфері кібербезпеки. The qualification work is dedicated to researching the application of the Shennina framework for automated penetration testing of information systems. The study analyzes the capabilities of Shennina compared to the popular Nessus vulnerability scanner, particularly in terms of vulnerability detection and real exploitation. To practically verify these approaches, the Metasploitable 2 virtual machine, which contains deliberately vulnerable services, was employed. During the research, the testing environment was configured, a research algorithm was developed, and metrics for comparing the effectiveness of the tools were defined. Special attention was paid to Shennina’s capabilities in terms of automated exploitation of discovered vulnerabilities and modeling realistic attack scenarios. The obtained results confirm that Shennina can not only detect vulnerabilities but also successfully exploit them, adapting to various configuration errors in the environment. A comparative analysis with Nessus indicates the promise of using Shennina to enhance the efficiency of penetration testing processes, which may be beneficial for cybersecurity professionals.
Descrição: Дослідження застосування фреймворку Shennina для автоматизованого тестування на проникнення // ОР «Магістр» // Бурмістрова Наталія Андріївна // Тернопільський національний технічний університет імені Івана Пулюя, факультет комп’ютерно-інформаційних систем і програмної інженерії, кафедра кібербезпеки, група СБм-61 // Тернопіль, 2024 // С. 69, рис. – 6, табл. – 8 , кресл. – - , додат. – 1.
Content: ПЕРЕЛІК УМОВНИХ ПОЗНАЧЕНЬ, СИМВОЛІВ, ОДИНИЦЬ, СКОРОЧЕНЬ І ТЕРМІНІВ 7 ВСТУП 8 1 ПРОБЛЕМАТИКА ТА АВТОМАТИЗАЦІЯ ТЕСТУВАННЯ НА ПРОНИКНЕННЯ 10 1.1 Особливості та проблеми тестування на проникнення 10 1.2 Автоматизація тестування безпеки інформаційних систем 12 1.4 Огляд інструментів автоматизованого тестування безпеки 14 1.4.1 DeepExploit 14 1.4.2 Shennina 17 1.5 Порівняння інструментів автоматизованого тестування безпеки 20 2 МЕТОДОЛОГІЯ ДОСЛІДЖЕННЯ 24 2.1 Архітектура цільової системи для тестування 24 2.2 Налаштування сканера вразливостей Nessus 30 2.3 Алгоритм дослідження 38 2.4 Розробка метрик для порівняння 41 3 АНАЛІЗ РЕЗУЛЬТАТІВ ТЕСТУВАННЯ 43 3.1 Результати тестування з використанням сканера Nessus 43 3.2 Аналіз виявлених вразливостей за допомогою Shennina 50 3.3 Порівняльний аналіз можливостей інструментів 53 3.4 Висновки щодо можливостей і обмежень фреймворку Shennina 55 4 ОХОРОНА ПРАЦІ ТА БЕЗПЕКА В НАДЗВИЧАЙНИХ СИТУАЦІЯХ 58 4.1 Охорона праці 58 4.2 Фактори, що впливають на функціональний стан користувачів комп’ютерів 60 ВИСНОВКИ 65 СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ 67 Додаток А – Публікація 70
URI: http://elartu.tntu.edu.ua/handle/lib/47595
Copyright owner: © Бурмістрова Наталія Андріївна, 2024
References (Ukraine): 1. The Usage of Machine Learning on Penetration Testing Automation // Proceedings of the 2023 3rd International Conference on Electronic and Electrical Engineering and Intelligent System (ICE3IS). August 2023. р. 45–58.
2. Tymoshchuk, D., Yasniy, O., Mytnyk, M., Zagorodna, N., Tymoshchuk, V., (2024). Detection and classification of DDoS flooding attacks by machine learning methods. CEUR Workshop Proceedings, 3842, pp. 184 - 195.
3. Penetration Testing as a Service. IEEE Access, Volume 10, 2022. р. 32901–32917.
4. Challenges and Opportunities in Penetration Testing of Large-Scale IT Systems. Journal of Information Security and Applications, Volume 68, 2023. р. 1–15.
5. ТИМОЩУК, Д., & ЯЦКІВ, В. (2024). USING HYPERVISORS TO CREATE A CYBER POLYGON. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (3), 52-56.
6. ТИМОЩУК, Д., ЯЦКІВ, В., ТИМОЩУК, В., & ЯЦКІВ, Н. (2024). INTERACTIVE CYBERSECURITY TRAINING SYSTEM BASED ON SIMULATION ENVIRONMENTS. MEASURING AND COMPUTING DEVICES IN TECHNOLOGICAL PROCESSES, (4), 215-220.
7. Бекер, І., Тимощук, В., Маслянка, Т., & Тимощук, Д. (2023). МЕТОДИКА ЗАХИСТУ ВІД ПОВІЛЬНИХ ТА ШВИДКИХ BRUTE-FORCE АТАК НА IMAP СЕРВЕР. Матеріали конференцій МНЛ, (17 листопада 2023 р., м. Львів), 275-276.
8. Dynamic Threat Detection: Enhancing Penetration Testing with Artificial Intelligence. Computers & Security, Volume 117, 2023. р. 20–39.
9. Тимощук, В., Долінський, А., & Тимощук, Д. (2024). ЗАСТОСУВАННЯ ГІПЕРВІЗОРІВ ПЕРШОГО ТИПУ ДЛЯ СТВОРЕННЯ ЗАХИЩЕНОЇ ІТ-ІНФРАСТРУКТУРИ. Матеріали конференцій МЦНД, (24.05. 2024; Запоріжжя, Україна), 145-146.
10. Іваночко, Н., Тимощук, В., Букатка, С., & Тимощук, Д. (2023). РОЗРОБКА ТА ВПРОВАДЖЕННЯ ЗАХОДІВ ЗАХИСТУ ВІД UDP FLOOD АТАК НА DNS СЕРВЕР. Матеріали конференцій МНЛ, (3 листопада 2023 р., м. Вінниця), 177-178.
11. Security in IoT Networks: A Comprehensive Study on Vulnerability Assessment and Penetration Testing. IEEE Internet of Things Journal, Volume 9, Issue 11, 2022. р. 10565–10580.
12. Koroliuk, R., Nykytyuk, V., Tymoshchuk, V., Soyka, V., & Tymoshchuk, D. (2024). Automated monitoring of bee colony movement in the hive during winter season. CEUR Workshop Proceedings 3842, 184-195.
13. Penetration Testing and Regulatory Compliance in Modern Organizations. Journal of Cybersecurity, Volume 8, Issue 2, 2023. р. 1–12. DOI:10.1093/cybsec/tyad012.
14. Automating Penetration Testing for Improved Cyber Defense // Proceedings of the ACM Conference on Computer and Communications Security (CCS). October 2022. р. 88–98.
15. Vulnerability Scanners and Penetration Testing in the Cloud Era. Cloud Security Handbook, 3rd Edition, Springer, 2023. р. 112–130.
16. Tymoshchuk, D., Yasniy, O., Maruschak, P., Iasnii, V., & Didych, I. (2024). Loading Frequency Classification in Shape Memory Alloys: A Machine Learning Approach. Computers, 13(12), 339.
17. Artificial Intelligence in Cybersecurity: Applications in Penetration Testing. IEEE Transactions on Network and Service Management, Volume 19, Issue 2, 2023. р. 540–550.
18. Machine Learning Models for Vulnerability Assessment in IT Infrastructure. Journal of Machine Learning Research, Volume 24, Issue 1, 2023. р. 35–50.
19. ZAGORODNA, N., STADNYK, M., LYPA, B., GAVRYLOV, M., & KOZAK, R. (2022). Network Attack Detection Using Machine Learning Methods. Challenges to national defence in contemporary geopolitical situation, 2022(1), 55-61.
20. Advanced Techniques in Penetration Testing Using Deep Learning. Neural Computing and Applications, Volume 35, Issue 7, 2023. р. 4601–4615.
21. Reinforcement Learning in Penetration Testing Automation. Journal of Cyber Threat Intelligence, Volume 2, Issue 4, 2023. р. 29–40.
22. DeepExploit: Automated Penetration Testing Framework with Reinforcement Learning // Proceedings of the 2023 IEEE Conference on Artificial Intelligence and Cybersecurity (AICS). July 2023. р. 78–89.
23. Comparative Analysis of Penetration Testing Tools: Shennina vs. DeepExploit. Journal of Information Security and Applications, Volume 68, 2023. р. 12–30. DOI:10.1016/j.jisa.2023.103282.
24. Shennina Framework: Enhancing Automated Vulnerability Detection // Proceedings of the 2023 International Conference on Cybersecurity Technologies (ICCST). р. 56–72.
25. Integrating Metasploit for Enhanced Penetration Testing Automation. IEEE Transactions on Dependable and Secure Computing, Volume 20, Issue 1, 2023. р. 123–135.
26. MITRE ATT&CK-Based Realistic Scenarios for Penetration Testing. Journal of Cybersecurity Metrics, Volume 7, Issue 3, 2023. р. 98–110.
27. Rapid7. Metasploitable 2 - A Purposefully Vulnerable Linux Machine [Electronic resource]. Available at: https://sourceforge.net/projects/metasploitable/. Accessed on: Dec. 18, 2024.
28. UTM Virtualization: Running ARM-Based Virtual Machines on Apple M1 Processors [Electronic resource]. Available at: https://mac.getutm.app. Accessed on: Nov. 18, 2024.
29. Тимощук, В., & Тимощук, Д. (2022). Віртуалізація в центрах обробки даних-аспекти відмовостійкості. Матеріали Ⅹ науково-технічної конференції „Інформаційні моделі, системи та технології “Тернопільського національного технічного університету імені Івана Пулюя, 95-95.
30. Rapid7. Metasploitable 2 Vulnerable Linux Distribution Documentation [Electronic resource]. Available at: https://sourceforge.net/projects/metasploitable/. Accessed on: Nov. 18, 2024.
31. Nessus Vulnerability Scanner: Features, Benefits, and Usage [Electronic resource]. Available at: https://www.tenable.com/products/nessus. Accessed on: Nov. 20, 2024.
32. Nessus Advanced Scan Settings Documentation [Electronic resource]. Available at: https://docs.tenable.com/nessus/. Accessed on: Nov. 20, 2024.
33. Novell NetWare: Overview and Compatibility in Modern Systems [Electronic resource]. Available at: https://www.microfocus.com/en-us/products/open-enterprise-server/overview. Accessed on: Nov. 20, 2024.
34. SYN Scanning: A Key Method for Port State Verification [Electronic resource]. Available at: https://nmap.org/book/man-port-scanning-techniques.html. Accessed on: Nov. 20, 2024.
35. Shennina Framework: Automated Exploitation Using Metasploit [Electronic resource]. Available at: https://shennina.example.com/documentation. Accessed on: Dec. 3, 2024.
Content type: Master Thesis
Aparece nas colecções:125 — кібербезпека, Кібербезпека та захист інформації

Ficheiros deste registo:
Ficheiro Descrição TamanhoFormato 
Bachelor_Thesis_SB-61_Burmistrova_N_A_2024.pdf1,37 MBAdobe PDFVer/Abrir
Mostrar registo em formato completo Visualizar estatísticas


Todos os registos no repositório estão protegidos por leis de copyright, com todos os direitos reservados.

Ferramentas administrativas