<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE article PUBLIC "-//NLM//DTD JATS (Z39.96) Journal Publishing DTD v1.3 20210610//EN" "JATS-journalpublishing1-3.dtd">
<article article-type="research-article" dtd-version="1.3" xmlns:mml="http://www.w3.org/1998/Math/MathML" xmlns:xlink="http://www.w3.org/1999/xlink" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xml:lang="ru"><front><journal-meta><journal-id journal-id-type="publisher-id">vdgtu</journal-id><journal-title-group><journal-title xml:lang="ru">Вестник Дагестанского государственного технического университета. Технические науки</journal-title><trans-title-group xml:lang="en"><trans-title>Herald of Dagestan State Technical University. Technical Sciences</trans-title></trans-title-group></journal-title-group><issn pub-type="ppub">2073-6185</issn><issn pub-type="epub">2542-095X</issn><publisher><publisher-name>Daghestan State Technical University</publisher-name></publisher></journal-meta><article-meta><article-id pub-id-type="doi">10.21822/2073-6185-2023-50-3-72-82</article-id><article-id custom-type="elpub" pub-id-type="custom">vdgtu-1343</article-id><article-categories><subj-group subj-group-type="heading"><subject>Research Article</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="ru"><subject>ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ТЕЛЕКОММУНИКАЦИИ</subject></subj-group><subj-group subj-group-type="section-heading" xml:lang="en"><subject>INFORMATION TECHNOLOGY AND TELECOMMUNICATIONS</subject></subj-group></article-categories><title-group><article-title>Прогнозирование количества выявляемых уязвимостей информационной безопасности на основе теории «серых систем»</article-title><trans-title-group xml:lang="en"><trans-title>Forecasting the number of identified information security vulnerabilities based on the theory of “Gray Systems”</trans-title></trans-title-group></title-group><contrib-group><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Ефимов</surname><given-names>А. О.</given-names></name><name name-style="western" xml:lang="en"><surname>Efimov</surname><given-names>A. O.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Ефимов Алексей Олегович, адъюнкт очной формы обучения,</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Aleksey O. Efimov, full-time adjunct,</p><p>53 Patriotov St., Voronezh 394065</p></bio><email xlink:type="simple">ea.aleksei@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Мишин</surname><given-names>С. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Mishin</surname><given-names>S. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Мишин Сергей Александрович, кандидат технических наук, доцент, заместитель начальника кафедры автоматизированных информационных систем органов внутренних дел,</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Mishin Sergey Alexandrovich, Candidate of Technical Sciences, Associate Professor, Deputy Head of the Department of Automated Information Systems of Internal Affairs Bodies,</p><p>53 Patriotov St., Voronezh 394065</p></bio><email xlink:type="simple">samishin@bk.ru</email><xref ref-type="aff" rid="aff-1"/></contrib><contrib contrib-type="author" corresp="yes"><name-alternatives><name name-style="eastern" xml:lang="ru"><surname>Рогозин</surname><given-names>Е. А.</given-names></name><name name-style="western" xml:lang="en"><surname>Rogozin</surname><given-names>E. A.</given-names></name></name-alternatives><bio xml:lang="ru"><p>Рогозин Евгений Алексеевич, доктор технических наук, профессор, профессор кафедрыавтоматизированных информационных систем органов внутренних дел,</p><p>394065, г. Воронеж, пр. Патриотов, 53</p></bio><bio xml:lang="en"><p>Evgeny A. Rogozin, Dr. Sci. (Eng.), Prof., Prof., Department of Automated Information Systems of Internal Affairs Bodies,</p><p>53 Patriotov St., Voronezh 394065</p></bio><email xlink:type="simple">evgenirogozin@yandex.ru</email><xref ref-type="aff" rid="aff-1"/></contrib></contrib-group><aff-alternatives id="aff-1"><aff xml:lang="ru"><institution>Воронежский институт МВД России</institution><country>Россия</country></aff><aff xml:lang="en"><institution>Voronezh Institute of the Ministry of Internal Affairs of Russia</institution><country>Russian Federation</country></aff></aff-alternatives><pub-date pub-type="collection"><year>2023</year></pub-date><pub-date pub-type="epub"><day>28</day><month>10</month><year>2023</year></pub-date><volume>50</volume><issue>3</issue><fpage>72</fpage><lpage>82</lpage><permissions><copyright-statement>Copyright &amp;#x00A9; Ефимов А.О., Мишин С.А., Рогозин Е.А., 2023</copyright-statement><copyright-year>2023</copyright-year><copyright-holder xml:lang="ru">Ефимов А.О., Мишин С.А., Рогозин Е.А.</copyright-holder><copyright-holder xml:lang="en">Efimov A.O., Mishin S.A., Rogozin E.A.</copyright-holder><license xml:lang="ru" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>Данная работа распространяется под лицензией Creative Commons Attribution 4.0.</license-p></license><license xml:lang="en" license-type="creative-commons-attribution" xlink:href="https://creativecommons.org/licenses/by/4.0/" xlink:type="simple"><license-p>This work is licensed under a Creative Commons Attribution 4.0 License.</license-p></license></permissions><self-uri xlink:href="https://vestnik.dgtu.ru/jour/article/view/1343">https://vestnik.dgtu.ru/jour/article/view/1343</self-uri><abstract><sec><title>Цель</title><p>Цель. Целью работы является оценка возможности применения теории «серых систем» для построения методики прогнозирования количества выявляемых уязвимостей в условиях неопределенности воздействующих факторов и недостатка исходных данных, включая сравнительный анализ результатов указанного прогнозирования, полученных с помощью традиционной и улучшенной моделей теории «серых систем», а также модели машинного обучения.</p></sec><sec><title>Метод</title><p>Метод. В работе описывается методика построения «серой модели» прогнозирования количества выявляемых уязвимостей на основе теории «серых систем». Исходными данными для прогнозирования является информация, получаемая из базы данных уязвимостей CVE (Common Vulnerabilities and Exposures). Анализируются результаты прогнозирования, полученные при использовании разработанной «серой модели» и модели линейной регрессии, реализованной на базе библиотеки scikit-learn и языка программирования Python.</p></sec><sec><title>Результат</title><p>Результат. Применение модели линейной регрессии и моделей, построенных на базе теории «серых систем», для прогнозирования количества выявляемых уязвимостей позволяет получить близкие значения прогноза. Согласно данным, полученным из базы данных уязвимостей CVE, за 1 квартал 2023 года опубликована информация о 7015 выявленных уязвимостях. Ближе всего к опубликованному значению оказался прогноз, полученный на основе традиционной модели теории «серых систем». Прогноз «серой модели» построен лишь на значениях исходных данных и не зависит от обстоятельств, возникающих в сфере информационной безопасности, что является ограничением в использовании предлагаемой методики.</p></sec><sec><title>Вывод</title><p>Вывод. Результаты проведенного исследования свидетельствуют о возможности применения теории «серых систем» для краткосрочного прогнозирования количества обнаруживаемых уязвимостей. Применение разработанной методики позволяет осуществлять указанное прогнозирование с ограниченным числом исходных данных.</p></sec></abstract><trans-abstract xml:lang="en"><sec><title>Objective</title><p>Objective. The aim of the work is to assess the possibility of applying the theory of “gray systems” to build a methodology for predicting the number of identified vulnerabilities in conditions of uncertainty of influencing factors and lack of initial data, including a comparative analysis of the results of this prediction obtained using traditional and improved models of the theory of “gray systems”, as well as machine learning models.</p></sec><sec><title>Method</title><p>Method. The paper describes a technique for constructing a “gray model” for predicting the number of identified vulnerabilities based on the theory of “gray systems”. The initial data for forecasting is information obtained from the CVE (Common Vulnerabilities and Exposures) vulnerability database. In the course of the study, the results of forecasting obtained using the developed “gray model” and the linear regression model implemented on the basis of the scikit-learn library and the Python programming language are analyzed.</p></sec><sec><title>Result</title><p>Result. The use of a linear regression model and models based on the theory of “gray systems” to predict the number of identified vulnerabilities allows you to get close forecast values. According to data obtained from the CVE vulnerability database, information on 7,015 identified vulnerabilities was published for the 1st quarter of 2023. The forecast obtained on the basis of the traditional model of the theory of “gray systems” turned out to be the closest to the published value. It should be noted that the forecast of the “gray model” is based only on the values of the initial data and does not depend on the circumstances arising in the field of information security, which is a limitation in the use of the proposed methodology.</p></sec><sec><title>Conclusion</title><p>Conclusion. The results of the study indicate the possibility of applying the theory of “gray systems” for short-term forecasting of the number of detected vulnerabilities. The application of the developed methodology makes it possible to carry out the specified forecasting with a limited number of initial data.</p></sec></trans-abstract><kwd-group xml:lang="ru"><kwd>информационная безопасность</kwd><kwd>защита информации</kwd><kwd>серые системы</kwd><kwd>количество уязвимостей</kwd><kwd>уязвимость</kwd><kwd>прогнозирование</kwd></kwd-group><kwd-group xml:lang="en"><kwd>information security</kwd><kwd>protection of information</kwd><kwd>gray systems</kwd><kwd>number of vulnerabilities</kwd><kwd>vulnerability</kwd><kwd>forecasting</kwd></kwd-group></article-meta></front><back><ref-list><title>References</title><ref id="cit1"><label>1</label><citation-alternatives><mixed-citation xml:lang="ru">Ван, Ю. Прогнозирование объемов перевозок пассажиров на основе теории «серых систем» / Ю. Ван // Вестник Белорусского государственного университета транспорта: наука и транспорт. – 2021. – № 1(42). – С. 77-81. – EDN OKGSXG.</mixed-citation><mixed-citation xml:lang="en">Wang, Yu. Forecasting passenger traffic volumes based on the theory of “gray systems” Bulletin of the Belarusian State University of Transport: Science and Transport. 2021;1(42): 77-81. – EDN OKGSXG. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit2"><label>2</label><citation-alternatives><mixed-citation xml:lang="ru">Deng, J. L. Introduction to grey system theory / J. L. Deng // J Grey System. - 1989; 1:1-24.</mixed-citation><mixed-citation xml:lang="en">Deng, J. L. Introduction to grey system theory. J Grey System. 1989; 1:1-24.</mixed-citation></citation-alternatives></ref><ref id="cit3"><label>3</label><citation-alternatives><mixed-citation xml:lang="ru">Common Vulnerabilities and Exposures. URL: https://cve.mitre.org// (дата обращения: 01.03.2023).</mixed-citation><mixed-citation xml:lang="en">Common Vulnerabilities and Exposures. URL: https://cve.mitre.org // (accessed 01.03.2023).</mixed-citation></citation-alternatives></ref><ref id="cit4"><label>4</label><citation-alternatives><mixed-citation xml:lang="ru">Bindhu, B. K. Application of grey system theory on the influencing parameters of aerobic granulation in SBR / B. K. Bindhu, G. Madhu // Environ Technol. - 2017. - Sep; 38(17):2143-2152.</mixed-citation><mixed-citation xml:lang="en">Bindhu, B. K. Application of grey system theory on the influencing parameters of aerobic granulation in SBR / B. K. Bindhu, G. Madhu. Environ Technol. 2017; 38(17):2143-2152.</mixed-citation></citation-alternatives></ref><ref id="cit5"><label>5</label><citation-alternatives><mixed-citation xml:lang="ru">Дровникова И.Г., Етепнев А.С., Рогозин Е.А. Основные виды уязвимостей и взаимосвязь компонентов безопасности при обосновании показателей надёжности системы защиты информации от несанкционированного доступа в автоматизированных системах // Приборы и системы. Управление, контроль, диагностика. 2019. № 3. С. 59–64.</mixed-citation><mixed-citation xml:lang="en">Drovnikova I.G., Etepnev A.S., Rogozin E.A. Main types vulnerabilities and the relationship of security components in substantiating the reliability indicators of the information protection system against unauthorized access in automated systems. Devices and systems. Management, control, diagnostics. 2019; 3:. 59-64. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit6"><label>6</label><citation-alternatives><mixed-citation xml:lang="ru">Кубарев, А. В. Подход к формализации уязвимостей информационных систем на основе их классификационных признаков / А. В. Кубарев // Вопросы кибербезопасности. – 2013. – № 2(2). – С. 29-33. – EDN SZEDHH.</mixed-citation><mixed-citation xml:lang="en">Kubarev, A.V. Approach to formalization of vulnerabilities of information systems based on their classification features. Issues of cybersecurity. 2013;2(2):29-33. – EDN SZEDHH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit7"><label>7</label><citation-alternatives><mixed-citation xml:lang="ru">База данных уязвимостей. ФСТЭК России. URL: https://bdu.fstec.ru/vul (дата обращения: 04.03.2023).</mixed-citation><mixed-citation xml:lang="en">Vulnerability database. FSTEC of Russia. URL: https://bdu.fstec.ru/vul (accessed: 03/04/2023).</mixed-citation></citation-alternatives></ref><ref id="cit8"><label>8</label><citation-alternatives><mixed-citation xml:lang="ru">Коноваленко, С. А. Выявление уязвимостей информационных систем посредством комбинированного метода анализа параметрических данных, определяемых системами мониторинга вычислительных сетей / С. А. Коноваленко, И. Д. Королев // Альманах современной науки и образования. – 2016. – № 11(113). – С. 60-66. – EDN XEEDXH.</mixed-citation><mixed-citation xml:lang="en">Konovalenko, S. A. Identification of vulnerabilities of information systems by means of a combined method of analysis of parametric data determined by monitoring systems of computer networks. S. A. Konovalenko, I. D. Korolev. Almanac of modern science and education. 2016;1(113): 60-66. – EDN XEEDXH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit9"><label>9</label><citation-alternatives><mixed-citation xml:lang="ru">Карты источников, содержащих сведения об уязвимостях программного обеспечения / А. Л. Сердечный, М. А. Тарелкин, А. А. Ломов, К. В. Симонов // Информация и безопасность. – 2019. – Т. 22, № 3. – С. 411-422. – EDN ZOUMGN.</mixed-citation><mixed-citation xml:lang="en">Maps of sources containing information about software vulnerabilities. A. L. Serdny, M. A. Tarelkin, A. A. Lomov, K. V. Simonov. Information and security. 2019; 22( 3): 411-422. – EDN ZOUMGN. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit10"><label>10</label><citation-alternatives><mixed-citation xml:lang="ru">Федорченко, А. В. Исследование открытых баз уязвимостей и оценка возможности их применения в системах анализа защищенности компьютерных сетей / А. В. Федорченко, А. А. Чечулин, И. В. Котенко // Информационно-управляющие системы. – 2014. – № 5(72). – С. 72-79. – EDN SXXXKH.</mixed-citation><mixed-citation xml:lang="en">Fedorchenko, A.V. Research of open databases of vulnerabilities and assessment of the possibility of their application in systems of security analysis of computer networks / A.V. Fedorchenko, A. A. Chechulin, I. V. Kotenko. Information and control systems. 2014; 5(72): 72-79. – EDN SXXXKH. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit11"><label>11</label><citation-alternatives><mixed-citation xml:lang="ru">Сердечный А.Л.,. Герасимов И.В,. Макаров О.Ю и др. Технология выявления сведений об уязвимостях сторонних компонентов программного обеспечения с открытым исходным кодом. Информация и безопасность. 2020, т. 23, № 3, с. 347–364. DOI: http://dx.doi.org/10.36622/VSTU.2020.23.3.003. – EDN PYXOUT.</mixed-citation><mixed-citation xml:lang="en">Serdechnyj A.L., Gerasimov I.V., Makarov O.YU. i dr. Technology for identifying information about vulnerabilities of third-party components of open source software. Informaciya i bezopasnost’. 2020;. 23(3):347–364 – EDN PYXOUT. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit12"><label>12</label><citation-alternatives><mixed-citation xml:lang="ru">Аветисян А.И., Белеванцев А.А., Чукляев И.И. Технологии статического и динамического анализа уязвимостей программного обеспечения. Вопросы кибербезопасности. 2014, № 3(4), с. 20–28. – EDN SSYPXV.</mixed-citation><mixed-citation xml:lang="en">Avetisyan A.I., Belevancev A.A., Chuklyaev I.I. Technologies of static and dynamic analysis of software vulnerabilities. Voprosy kiberbezopasnosti. 2014; 3(4): 20–28 – EDN SSYPXV. (In Russ)</mixed-citation></citation-alternatives></ref><ref id="cit13"><label>13</label><citation-alternatives><mixed-citation xml:lang="ru">Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018, p. 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation><mixed-citation xml:lang="en">Russell R. et al. Automated Vulnerability Detection in Source Code Using Deep Representation Learning. 17th IEEE International Conference on Machine Learning and Applications (ICMLA), Orlando, FL, USA. 2018; 757–762. DOI: http://dx.doi.org/10.1109/ICMLA.2018.00120.</mixed-citation></citation-alternatives></ref><ref id="cit14"><label>14</label><citation-alternatives><mixed-citation xml:lang="ru">Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010, p. 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation><mixed-citation xml:lang="en">Wang T., Wei T., Gu G. and Zou W. TaintScope: A Checksum-Aware Directed Fuzzing Tool for Automatic Software Vulnerability Detection. IEEE Symposium on Security and Privacy, Oakland, CA, USA. 2010; 497–512. DOI: http://dx.doi.org/10.1109/SP.2010.37.</mixed-citation></citation-alternatives></ref><ref id="cit15"><label>15</label><citation-alternatives><mixed-citation xml:lang="ru">Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020, vol. 108, no. 10, p. 1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation><mixed-citation xml:lang="en">Lin G., Wen S., Han Q. -L., Zhang J. and Xiang Y. Software Vulnerability Detection Using Deep Neural Networks: A Survey in Proceedings of the IEEE. Oct. 2020;108(10):1825–1848. DOI: http://dx.doi.org/10.1109/JPROC.2020.2993293.</mixed-citation></citation-alternatives></ref></ref-list><fn-group><fn fn-type="conflict"><p>The authors declare that there are no conflicts of interest present.</p></fn></fn-group></back></article>
