| Русский Русский | English English |
   
Главная Текущий номер
20 | 10 | 2025
Главное меню
Сетевое приложение
10.14489/vkit.2025.10.pp.042-049

DOI: 10.14489/vkit.2025.10.pp.042-049

Лапсарь А. П., Черевань А. С.
ПРИМЕНЕНИЕ БАЗ ДАННЫХ ФСТЭК РОССИИ ДЛЯ ОЦЕНКИ ПРИНАДЛЕЖНОСТИ УЯЗВИМОСТЕЙ К КЛАССУ ПЛАВАЮЩИХ
(с.42-49)

Аннотация. Рассмотрена проблема идентификации плавающих уязвимостей – класса дефектов безопасности, отличающихся нестабильностью и контекстной зависимостью проявления. Такие уязвимости возникают спонтанно при определенных условиях и зависят, например, от специфических настроек системы, версии операционной системы или сетевого окружения, что затрудняет их обнаружение традиционными методами. Предложен метод анализа формальных характеристик уязвимостей на основе базы данных ФСТЭК России, включая метрики CVSS, класс уязвимости и семантический анализ описаний. Разработанный алгоритм оценивает принадлежность уязвимости к плавающему классу с помощью функции принадлежности, учитывающей взвешенные параметры: векторы CVSS (например, AV:N/AC:L), типы уязвимостей (кода или архитектуры) и контекстные признаки в описаниях. Пороговое значение функции установлено на уровне 0,7 для надежной классификации. Практический пример демонстрирует эффективность метода: уязвимость архитектуры идентифицирована как плавающая благодаря указаниям на зависимость от настроек сети и версии операционной системы. Результаты исследования позволяют интегрировать метод в системы управления уязвимостями для повышения точности выявления плавающих угроз. Особое внимание уделено анализу условий проявления уязвимостей, что способствует разработке превентивных мер и снижению риска неожиданных нарушений безопасности. Перспективные направления включают адаптацию метода для CI/CD-процессов, создание автоматизированных правил для статических анализаторов и расширение классификации плавающих уязвимостей.

Ключевые слова:  плавающие уязвимости; базы данных уязвимостей; ФСТЭК России; анализ уязвимостей; информационная безопасность; классификация угроз.


Lapsar A. P., Cherevan A. S.
APPLICATION OF FSTEC OF RUSSIA DATABASES FOR EVALUATING THE CLASS OF FLOATING VULNERABILITIES
(pp.42-49)

Abstract. This article addresses the challenge of identifying floating vulnerabilities – a class of security flaws characterized by instability and context-dependent behavior. Such vulnerabilities emerge unpredictably under specific conditions like unique system configurations, OS versions, or network environments, making them particularly difficult to detect using conventional methods. A novel analytical method is presented, leveraging the FSTEC Russia threat database to examine formal vulnerability characteristics including CVSS metrics, vulnerability classes, and semantic analysis of descriptions. The proposed algorithm employs a membership function to assess vulnerability classification, weighting key parameters such as CVSS vectors (e.g., AV:N/AC:L), vulnerability types (code or architecture flaws), and contextual indicators in descriptions. A threshold value of 0.7 ensures reliable classification. Practical validation demonstrates the method's effectiveness, with an architecture vulnerability successfully identified as floating based on its dependency on network settings and OS versions. The findings enable seamless integration of this approach into existing vulnerability management systems, significantly improving detection accuracy for floating threats. Special emphasis is placed on analyzing vulnerability manifestation conditions, facilitating the development of proactive mitigation strategies to reduce unexpected security breaches. Future research directions include method adaptation for CI/CD pipelines, development of automated rules for static analyzers, and expansion of the floating vulnerability classification framework.

Keywords: Floating vulnerabilities; Vulnerability databases; FSTEC of Russia; Vulnerability analysis; Information security; Threat classification.

+ - Информация об авторах (About the Authors) Click to collapse

Рус

А. П. Лапсарь, А. С. Черевань (Ростовский государственный экономический университет, Ростов-на-Дону, Россия) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  

Eng

A. P. Lapsar, A. S. Cherevan (Rostov State University of Economics (RSUE), Rostov-on-Don, Russia) E-mail: Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript  

+ - Библиографический список (References) Click to collapse

Рус

1. Кулаков А. Как эволюционировали уязвимости в приложениях для Android // Software-Testing.Ru. Август 2023. URL: https://www.software-testing.ru/library/testing/mobile-testing/4065-vulnerabilities-in-android?ysclid=mb6pkrzxcd128630094 (дата обращения: 22.07.2025).
2. Sallinger S., Weissenbacher G., Zuleger F. A formalization of heisenbugs and their causes // International Conference on Software Engineering and Formal Methods. Cham : Springer Nature Switzerland, 2023. P. 282–300. URL: https://link.springer.com/chapter/10.1007/978-3-031-47115-5_16 (дата обращения: 22.07.2025).
3. Musuvathi M., Qadeer S., Ball T., Basltr G. Finding and Reproducing Heisenburg in Concurrent Programs // 8th USENIX Symposium on Operating Systems Design and Implementation. P. 267–280. URL: https://www.usenix.org/legacy/event/osdi08/tech/full_papers/musuvathi/musuvathi.pdf (дата обращения: 22.07.2025).
4. Kilpatrick W. What Is Heisenbug? Cellularnews. December 2023. URL: https://cellularnews.com/definitions/what-is-heisenbug/ (дата обращения: 22.07.2025).
5. Трещев И. А., Прокофьев С. В. Обобщенный подход к анализу уязвимостей информационных систем // Международная научно-практическая конференция «Наука, инновации и технологии: от идей к внедрению». 7–11 февраля 2022 г. Комсомольск-на-Амуре, Россия. Косомольский-на-Амуре государственный университет, 2022. С. 152–154. EDN: CNBNUT
6. Грызунов В. В., Гришечко А. А., Сипович Д. Е. Выбор наиболее опасных уязвимостей для перспективных информационных систем критического применения // Вопросы кибербезопасности. 2022. № 1(47). С. 66–75. DOI: 10.21681/2311-3456-2022-1-66-75
7. Макарян А. С., Карманов М. А. Аспекты анализа защищенности и уязвимостей мобильных приложений // NBI-technologies. 2018. Т. 12, № 1. С. 30–33. DOI: 10.15688/NBIT.jvolsu.2018.1.5
8. Ярашов И., Ахмадалиев М. Современные технологии для обнаружения уязвимого кода в программах // Международная конференция академических наук. 2025. Т. 4, № 1. С. 66–70. DOI: 10.5281/zenodo.14685267
9. Григорьева Н. В. Открытые реестры уязвимостей. Анализ и сравнение // Фундаментальные проблемы информационной безопасности в условиях цифровой трансформации. 2020. С. 139–142. EDN: MUENAW
10. Нурдинов Р. А. Определение вероятности нарушения критических свойств информационного актива на основе CVSS метрик уязвимостей // Современные проблемы науки и образования. 2014. № 3. С. 70–70. EDN: SYZKMZ
11. Research and Analysis of Vulnerabilities in Intelligent Connected Vehicle Components / Shen S. Shiwen, Guo Z. Zhen, Liu T. Tianling et al. // 6th International Conference on Data Science and Information Technology (DSIT). 28–30 July 2023. Shanghai, China. 2023. P. 255–264. DOI: 10.1109/QRS54544.2021.00076
12. Черевань А.С., Лапсарь А.П. Проблемы плавающих уязвимостей при обеспечении безопасности мобильных приложений // Безопасность информационных технологий, [S.l.]. 2024. Т. 31, № 2. С. 111–120. DOI: 10.26583/bit.2024.2.07

Eng

1. Kulakov, A. (2023, August). How vulnerabilities in Android applications have evolved. Software-Testing. Retrieved July 22, 2025, from https://www.software-testing.ru/library/testing/mobile-testing/4065-vulnerabilities-in-android [in Russian language]
2. Sallinger, S., Weissenbacher, G., & Zuleger, F. (2023). A formalization of heisenbugs and their causes. In International Conference on Software Engineering and Formal Methods (pp. 282–300). Springer Nature Switzerland. https://doi.org/10.1007/978-3-031-47115-5_16
3. Musuvathi, M., Qadeer, S., Ball, T., & Basltr, G. (2008). Finding and reproducing heisenbugs in concurrent programs. In 8th USENIX Symposium on Operating Systems Design and Implementation (pp. 267–280). https://www.usenix.org/legacy/event/osdi08/tech/full_papers/musuvathi/musuvathi.pdf
4. Kilpatrick, W. (2023, December). What is heisenbug? Cellularnews. Retrieved July 22, 2025, from https://cellularnews.com/definitions/what-is-heisenbug/
5. Treshchev, I. A., & Prokofiev, S. V. (2022). A generalized approach to the analysis of information system vulnerabilities. In Science, innovations and technologies: from ideas to implementation (pp. 152–154). Komsomolsk-on-Amur State University. [in Russian language]
6. Gryzunov, V. V., Grishechko, A. A., & Sipovich, D. E. (2022). Selection of the most dangerous vulnerabilities for prospective critical information systems. Voprosy Kiberbezopasnosti, 1(47), 66–75. [in Russian language]. https://doi.org/10.21681/2311-3456-2022-1-66-75
7. Makaryan, A. S., & Karmanov, M. A. (2018). Aspects of security analysis and vulnerabilities of mobile applications. NBI-Technologies, 12(1), 30–33. [in Russian language]. https://doi.org/10.15688/NBIT.jvolsu.2018.1.5
8. Yarashov, I., & Akhmalaliev, M. (2025). Modern technologies for detecting vulnerable code in programs. International Conference on Academic Sciences, 4(1), 66–70. [in Russian language]. https://doi.org/10.5281/zenodo.14685267
9. Grigorieva, N. V. (2020). Open vulnerability registries. Analysis and comparison. In Fundamental problems of information security in the context of digital transformation (pp. 139–142). [in Russian language]
10. Nurdinov, R. A. (2014). Determining the probability of critical properties violation of an information asset based on CVSS vulnerability metrics. Sovremennye Problemy Nauki i Obrazovaniya, (3), 70. [in Russian language]
11. Shen, S. S., Guo, Z. Z., Liu, T. T., et al. (2023, July 28–30). Research and analysis of vulnerabilities in intelligent connected vehicle components. In 6th International Conference on Data Science and Information Technology (DSIT) (pp. 255–264). https://doi.org/10.1109/QRS54544.2021.00076
12. Cherevan, A. S., & Lapsar, A. P. (2024). Problems of floating vulnerabilities in ensuring the security of mobile applications. Bezopasnost Informatsionnykh Tekhnologiy, 31(2), 111–120. [in Russian language]. https://doi.org/10.26583/bit.2024.2.07

+ - Заказать электронную версию статьи (Purchase digital version of a single article) Click to collapse

Рус

Статью можно приобрести в электронном виде (PDF формат).

Стоимость статьи 700 руб. (в том числе НДС 20%). После оформления заказа, в течение нескольких дней, на указанный вами e-mail придут счет и квитанция для оплаты в банке.

После поступления денег на счет издательства, вам будет выслан электронный вариант статьи.

Для заказа скопируйте doi статьи:

10.14489/vkit.2025.10.pp.042-049

и заполните  форму 

Отправляя форму вы даете согласие на обработку персональных данных.

.

 

Eng

This article  is available in electronic format (PDF).

The cost of a single article is 700 rubles. (including VAT 20%). After you place an order within a few days, you will receive following documents to your specified e-mail: account on payment and receipt to pay in the bank.

After depositing your payment on our bank account we send you file of the article by e-mail.

To order articles please copy the article doi:

10.14489/vkit.2025.10.pp.042-049

and fill out the  form  

 

.

Назад

 

 
 
Поиск

Баннер
© ООО "Издательский дом "СПЕКТР"

Разработка концепции и создание сайта - ООО «Издательский дом «СПЕКТР»
Rambler's Top100 Яндекс цитирования