ІНТЕЛЕКТУАЛЬНА КОМП'ЮТЕРНА СИСТЕМА АВТОМАТИЧНОГО ВИЯВЛЕННЯ ВРАЗЛИВОСТЕЙ ВЕБ-ЗАСТОСУНКІВ ТА КЛАСИФІКАЦІЇ ЗАГРОЗ

Анотація

У цій статті досліджується проблема автоматизованого виявлення та класифікації вразливостей веб-застосунків із використанням інтелектуальних комп’ютерних систем в умовах безперервного циклу розробки. Здійснено системний аналіз сучасних підходів до виявлення шкідливого програмного забезпечення та кібератак (SAST, DAST, SCA), зокрема архітектури систем децепції та методів машинного навчання, на основі фундаментальних досліджень вітчизняних та зарубіжних науковців.

Розглянуто актуальні загрози згідно з міжнародними стандартами OWASP Top 10:2021 та таксономією CWE. Особливу увагу приділено застосуванню великих мовних моделей (LLM) та архітектур на основі трансформерів (Transformers) для підвищення точності виявлення логічних вразливостей у вихідному коді, що є перспективним напрямком порівняно з традиційними статичними сканерами.

Авторами запропоновано концептуальну архітектуру інтелектуальної системи, яка базується на синергії графових нейронних мереж (GNN) та великих мовних моделей (LLM) для забезпечення семантичного аналізу та контекстної пріоритизації загроз із використанням розширених метрик CVSS. Обґрунтовано доцільність запровадження модуля нормалізації даних із гетерогенних сканерів у єдиний ознаковий простір. Експериментальні результати демонструють суттєве зниження рівня хибних спрацювань (False Positives) та підвищення метрики F1-score при використанні гібридної моделі. Робота становить практичний інтерес для фахівців з кібербезпеки, DevSecOps-інженерів та розробників засобів автоматизованого аудиту.