Details

Целью работы является повышение точности при автоматическом тестировании на проникновение внешнего периметра организации за счет применения больших языковых моделей (БЯМ) в условиях ограниченных вычислительных ресурсов. Объектом работы является тестирование на проникновение. Задачи, решаемые в ходе исследования: 1. Исследовать методы и средства проведения тестирования на проникновение. 2. Проанализировать применимость БЯМ в задачах проведения тестирования на проникновение. 3. Проанализировать существующие реализации БЯМ и ИИ-агентов, применяемые для тестирования на проникновение. 4. Разработать способ автоматизации проведения тестирования с использованием БЯМ и ИИ-агентов для повышения точности анализа за счёт улучшенной архитектуры принятия решений. 5. Разработать и провести оценку эффективности программного прототипа, осуществляющего тестирование на проникновение с использованием предложенного способа. В ходе работы были проанализированы источники информации о тестировании на проникновение и методы улучшения эффективности БЯМ для выполнения определённых задач. В результате работы был разработан прототип системы для автоматического тестирования на проникновение, использующий большую языковую модель Phi-3-mini. Для тестирования использовались задания с платформ Burp Suite Web Security Academy и HackTheBox.

The purpose of the study is to increase the accuracy of automated external perimeter penetration testing in condition of limited computing resources. The object of the work is penetration testing. The research set the following goals: 1. Study methods and tools for conducting penetration testing. 2. Analysis the applicability of LLMs for penetration testing tasks. 3. Analysis existing implementations of LLMs and AI agents used for penetration testing. 4. Develop a method for automating penetration testing using LLMs and AI agents to improve analysis accuracy through an enhanced decision-making architecture. 5. Develop and evaluate the effectiveness of a software prototype that conducts penetration testing using the proposed method. During the work, information sources about security threats were analyzed. Methods for improving the efficiency of large language models for performing specific tasks were investigated. The work resulted in development of a prototype system for automated penetration testing using Phi-3-mini large language model. For testing, tasks from the Burp Suite Web Security Academy and HackTheBox platforms were used.