CN112351021A - 资产风险探测方法、装置、可读存储介质及计算机设备 - Google Patents
资产风险探测方法、装置、可读存储介质及计算机设备 Download PDFInfo
- Publication number
- CN112351021A CN112351021A CN202011185722.0A CN202011185722A CN112351021A CN 112351021 A CN112351021 A CN 112351021A CN 202011185722 A CN202011185722 A CN 202011185722A CN 112351021 A CN112351021 A CN 112351021A
- Authority
- CN
- China
- Prior art keywords
- attack
- asset
- knowledge base
- model
- behavior knowledge
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种资产风险探测方法、装置、可读存储介质及计算机设备,所述资产风险探测方法包括:采集待评估的资产范围;采集攻击行为知识库和模型中攻击技术使用的脚本及工具;划分攻击技术在所述攻击行为知识库和模型中所属的类别;对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;对所述脚本及工具所属的类别进行风险等级划分;基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;对所述攻击链组合进行筛选,并创建攻击剧本;采用所述攻击剧本对所述资产范围进行自动化渗透测试;获取所述自动化渗透测试的测试结果。本发明能够解决现有技术测试效率低、测试成本高的问题。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种资产风险探测方法、装置、可读存储介质及计算机设备。
背景技术
“没有网络安全就没有国家安全,没有信息化就没有现代化”,伴随着网络攻击技术的日新月异,网络安全受到各个行业的持续且高度关注。
对于金融、政府、医疗、教育、军事、民生等各行各业,都有属于各自的门户网站以及功能型网站,伴随着业务增加,资产不可避免的增多。资产增多,相应地,管理难度也会加大,引起的安全问题也更加让人担忧。企业需要定时地对自己所属资产进行模拟渗透,安全评估,风险排查,现有技术主要是通过人工手段对资产进行手动渗透测试,测试效率低,且测试成本高。
发明内容
为此,本发明的一个目的在于提出一种资产风险探测方法,以解决现有技术测试效率低、测试成本高的问题。
本发明提供一种资产风险探测方法,包括:
采集待评估的资产范围;
采集攻击行为知识库和模型中攻击技术使用的脚本及工具;
划分攻击技术在所述攻击行为知识库和模型中所属的类别;
对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;
对所述脚本及工具所属的类别进行风险等级划分;
基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;
对所述攻击链组合进行筛选,并创建攻击剧本;
采用所述攻击剧本对所述资产范围进行自动化渗透测试;
获取所述自动化渗透测试的测试结果。
根据本发明提供的资产风险探测方法,通过应用ATT&CK(攻击行为知识库和模型)框架技术中每一个攻击技术Techniques,结合其所属的Tactic类别和Procedures过程,编排出可能的攻击链组合,创建攻击剧本,通过各类攻击剧本,自动化模拟攻击行为,实现了对资产风险的自动化探测和评估。在实际环境中,能够减少资产风险发现的投入,从而降低探测成本,且能够提升探测效率,及时并最大化地发现风险,提升企业资产管理的安全性。
另外,根据本发明上述的资产风险探测方法,还可以具有如下附加的技术特征:
进一步地,采集待评估的资产范围的步骤具体包括:
采集资产使用的内部主机IPv4地址;
采集资产使用的操作系统版本信息;
采集资产的端口开放信息以及对应的应用服务信息。
进一步地,基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合的步骤包括:
基于所述攻击行为知识库和模型中的过程,并结合攻击技术使用的脚本及工具,编排出可能的攻击链组合。
进一步地,基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合的步骤具体包括:
设置若干个所述攻击行为知识库和模型中的过程,查看本地用户或者域用户;
对所述本地用户或者域用户进行凭证转储;
通过凭证转储的得到的密码进行横向移动,以形成攻击链组合。
进一步地,对所述攻击链组合进行筛选,并创建攻击剧本的步骤具体包括:
通过编排出的可能的攻击链组合,筛选出多种攻击链;
根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
进一步地,获取所述自动化渗透测试的测试结果的步骤具体包括:
采集所述自动化渗透测试得到告警信息及原始日志;
根据所述告警信息及原始日志判断资产沦陷情况;
根据所述资产沦陷情况生成资产风险评估报告。
本发明的另一个目的在于提出一种资产风险探测装置,以解决现有技术测试效率低、测试成本高的问题。
本发明提供一种资产风险探测装置,包括:
第一采集模块,用于采集待评估的资产范围;
第二采集模块,用于采集攻击行为知识库和模型中攻击技术使用的脚本及工具;
类别划分模块,用于划分攻击技术在所述攻击行为知识库和模型中所属的类别;
分类标记模块,用于对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;
等级划分模块,用于对所述脚本及工具所属的类别进行风险等级划分;
编排模块,用于基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;
筛选创建模块,用于对所述攻击链组合进行筛选,并创建攻击剧本;
测试模块,用于采用所述攻击剧本对所述资产范围进行自动化渗透测试;
获取模块,用于获取所述自动化渗透测试的测试结果。
根据本发明提供的资产风险探测装置,通过应用ATT&CK(攻击行为知识库和模型)框架技术中每一个攻击技术Techniques,结合其所属的Tactic类别和Procedures过程,编排出可能的攻击链组合,创建攻击剧本,通过各类攻击剧本,自动化模拟攻击行为,实现了对资产风险的自动化探测和评估。在实际环境中,能够减少资产风险发现的投入,从而降低探测成本,且能够提升探测效率,及时并最大化地发现风险,提升企业资产管理的安全性。
另外,根据本发明上述的资产风险探测装置,还可以具有如下附加的技术特征:
进一步地,所述第一采集模块包括:
第一采集单元,用于采集资产使用的内部主机IPv4地址;
第二采集单元,用于采集资产使用的操作系统版本信息;
第三采集单元,用于采集资产的端口开放信息以及对应的应用服务信息。
进一步地,所述编排模块用于:
基于所述攻击行为知识库和模型中的过程,并结合攻击技术使用的脚本及工具,编排出可能的攻击链组合。
进一步地,所述编排模块具体用于:
设置若干个所述攻击行为知识库和模型中的过程,查看本地用户或者域用户;
对所述本地用户或者域用户进行凭证转储;
通过凭证转储的得到的密码进行横向移动,以形成攻击链组合。
进一步地,所述筛选创建模块具体用于:
通过编排出的可能的攻击链组合,筛选出多种攻击链;
根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
进一步地,所述获取模块包括:
第四采集单元,用于采集所述自动化渗透测试得到告警信息及原始日志;
判断单元,用于根据所述告警信息及原始日志判断资产沦陷情况;
生成单元,用于根据所述资产沦陷情况生成资产风险评估报告。
本发明还提出一种可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述资产风险探测方法的步骤。
本发明还提出一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述资产风险探测方法的步骤。
本发明的附加方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实施例了解到。
附图说明
本发明实施例的上述和/或附加的方面和优点从结合下面附图对实施例的描述中将变得明显和容易理解,其中:
图1是根据本发明一实施例的资产风险探测方法的流程图;
图2是图1中步骤S101的详细流程图;
图3是图1中步骤S109的详细流程图;
图4是根据本发明一实施例的资产风险探测装置的结构框图;
图5是根据本发明一实施例中计算机设备的内部结构图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
请参阅图1,本发明一实施例提出的资产风险探测方法,至少包括步骤S101~S108。
在S101中,采集待评估的资产范围。其中,需要根据不同业务,进行资产划分,确定资产范围,定义资产信息,资产信息包含操作系统版本信息,端口开放信息,应用服务信息。
请参阅图2,步骤S101具体包括:
S1011,采集资产使用的内部主机IPv4地址;
S1012,采集资产使用的操作系统版本信息;
S1013,采集资产的端口开放信息以及对应的应用服务信息。
在S102中,采集攻击行为知识库和模型中攻击技术使用的脚本及工具。其中,攻击行为知识库和模型(Adversarial Tactics,Techniques,and Common Knowledge,简称ATT&CK)主要应用于评估攻防能力覆盖、APT情报分析、威胁狩猎及攻击模拟等领域。
ATT&CK框架中的Techniques(技术),Tactic(类别),Procedures(过程)检测TTP。
具体的,采集攻击技术Techniques运用到的脚本以及工具时,可以根据ATT&CK框架中总结的已知技术,对每种攻击技术Techniques所运用的脚本以及工具进行收集并定义名称。
例如:攻击技术Techniques编号为T1021的Remote Services技术,其所属子技术编号为T1021.006的Windows Remote Management中,列出了winrm工具在其中的应用,便可将其定义为T1021.006-winrm名称。
在S103中,划分攻击技术在所述攻击行为知识库和模型中所属的类别。
其中,划分攻击技术Techniques所属Tactic类别时,可以根据ATT&CK框架中总结的已知技术,对每种攻击技术Techniques所属Tactic类别进行划分。
例如:攻击技术Techniques编号为T1021的Remote Services技术,其所属Tactic类别为Enterprise。
在S104中,对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记。
其中,分类、标记脚本以及工具所属Tactic类别时,可以根据ATT&CK框架中总结的已知技术,对每种攻击技术Techniques所运用的脚本以及工具依照Tactic类别划分,定义脚本和工具所属Tactic类别。
例如:攻击技术Techniques编号为T1021的Remote Services技术,其所属Tactic类别为Enterprise。故将其所属子技术编号为T1021.006的Windows Remote Management中使用的winrm工具定义为Enterprise的Tactic类别。
在S105中,对所述脚本及工具所属的类别进行风险等级划分。
划分不同Tactic类别的风险等级时,可以根据ATT&CK框架中总结的已知Tactic类别,自定义划分评定的风险等级。
例如:根据ATT&CK框架中总结的已知Tactic类别有12种:Initial Access、Execution、Persistence、Privilege Escalation、Defense Evasion、Credential Access、Discovery、Lateral Movement、Collection、Command and Control、Exfiltration、Impact。然后可根据经验或其他因素,划分为不同的风险等级。
在S106中,基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合。具体的,根据ATT&CK框架中总结的已知Procedures过程,并结合攻击技术Techniques所利用工具,编排出可能的攻击链组合。
例如:
设置若干个所述攻击行为知识库和模型中的Procedures过程,查看本地用户或者域用户;
对所述本地用户或者域用户进行凭证转储;
通过凭证转储的得到的密码进行横向移动,以形成攻击链组合。
具体的攻击链有:
查看本地用户或者域用户:
命令行操作:net user、net user/domain等命令行;
所属子技术:T1087.001-Local Account、T1087.002-Domain Account;
所属Techniques技术:均为T1087-Account Discovery;
所属Tactic类别:Discovery。
对机器用户进行凭证转储:
命令行操作:reg save HKLM\system system-y、reg save HKLM\sam sam-y以及mimikatz.exe lsadump::sam/sam:.\sam/system:.\system、mimikatz.exe privilege::debug sekurlsa::logonpasswords等命令行;
所属子技术:T1003.002-Security Account Manager;
所属Techniques技术:T1003-OS Credential Dumping;
所属Tactic类别:Credential Access。
通过凭证转储的得到的密码进行横向移动:
命令行操作:winrs-r:http://10.50.1.180:5985-u:administrator-p:Test#20162016@@whoami等命令行;
所属子技术:T1021.006-Windows Remote Management;
所属Techniques技术:T1021-Remote Services;
所属Tactic类别:Lateral Movement。
在S107中,对所述攻击链组合进行筛选,并创建攻击剧本。
具体的,通过编排出的可能的攻击链组合,筛选出多种攻击链;
根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
例如:通过步骤S106中列出的查看本地用户或者域用户,对机器用户进行凭证转储,通过凭证转储的得到的密码进行横向移动的攻击链进行编排,具体编排的攻击链有以下:
查看本地用户或者域用户:
命令行操作:net user/domain;
所属子技术:T1087.002-Domain Account;
所属Techniques技术:T1087-Account Discovery;
所属Tactic类别:Discovery。
对机器用户进行凭证转储:
命令行操作:reg save HKLM\system system-y、reg save HKLM\sam sam-y以及mimikatz.exe lsadump::sam/sam:.\sam/system:.\system;
所属子技术:T1003.002-Security Account Manager;
所属Techniques技术:T1003-OS Credential Dumping;
所属Tactic类别:Credential Access。
通过凭证转储的得到的密码进行横向移动:
命令行操作:winrs-r:http://10.50.1.180:5985-u:administrator-p:Test#20162016@@whoami;
所属子技术:T1021.006-Windows Remote Management;
所属Techniques技术:T1021-Remote Services;
所属Tactic类别:Lateral Movement。
最终得出攻击剧本:T1087.002-Domain Account->T1003-OS CredentialDumping->T1021.006-Windows Remote Management。
上述的工作原理为:通过net user/domain先获取域用户的基本信息(查看本地用户或者域用户),然后通过reg save HKLM\system system-y、reg save HKLM\sam sam-y以及mimikatz.exe lsadump::sam/sam:.\sam/system:.\system三条命令进行用户密码的获取(对机器用户进行凭证转储),最后通过winrs-r:http://[ip]-u:[username]-p:[password][command]命令对其他主机进行横向移动等其他操作(通过凭证转储的得到的密码进行横向移动)。其中[ip]为进行横向移动的主机ip,[username]为进行横向移动中使用的用户,[password]为进行横向移动中使用的用户密码,[command]为横向移动过程中执行的远程命令。
在S108中,采用所述攻击剧本对所述资产范围进行自动化渗透测试。其中,通过制定的攻击剧本,即可进行自动化渗透测试。
在S109中,获取所述自动化渗透测试的测试结果。
请参阅图3,步骤S109具体包括:
S1091,采集所述自动化渗透测试得到告警信息及原始日志;
S1092,根据所述告警信息及原始日志判断资产沦陷情况;
S1093,根据所述资产沦陷情况生成资产风险评估报告。
具体的,通过判断步骤S108中资产沦陷情况,根据攻击链中攻击技术的执行情况,划定资产风险等级,最终得出资产风险评估报告。
综上,根据本实施例提供的资产风险探测方法,通过应用ATT&CK(攻击行为知识库和模型)框架技术中每一个攻击技术Techniques,结合其所属的Tactic类别和Procedures过程,编排出可能的攻击链组合,创建攻击剧本,通过各类攻击剧本,自动化模拟攻击行为,实现了对资产风险的自动化探测和评估。在实际环境中,能够减少资产风险发现的投入,从而降低探测成本,且能够提升探测效率,及时并最大化地发现风险,提升企业资产管理的安全性。
请参阅图4,本发明一实施例提出的资产风险探测装置,所述装置包括:
第一采集模块10,用于采集待评估的资产范围;
第二采集模块20,用于采集攻击行为知识库和模型中攻击技术使用的脚本及工具;
类别划分模块30,用于划分攻击技术在所述攻击行为知识库和模型中所属的类别;
分类标记模块40,用于对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;
等级划分模块50,用于对所述脚本及工具所属的类别进行风险等级划分;
编排模块60,用于基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;
筛选创建模块70,用于对所述攻击链组合进行筛选,并创建攻击剧本;
测试模块80,用于采用所述攻击剧本对所述资产范围进行自动化渗透测试;
获取模块90,用于获取所述自动化渗透测试的测试结果。
本实施例中,所述第一采集模块10包括:
第一采集单元,用于采集资产使用的内部主机IPv4地址;
第二采集单元,用于采集资产使用的操作系统版本信息;
第三采集单元,用于采集资产的端口开放信息以及对应的应用服务信息。
本实施例中,所述编排模块50用于:
基于所述攻击行为知识库和模型中的过程,并结合攻击技术使用的脚本及工具,编排出可能的攻击链组合。
本实施例中,所述编排模块具体50用于:
设置若干个所述攻击行为知识库和模型中的过程,查看本地用户或者域用户;
对所述本地用户或者域用户进行凭证转储;
通过凭证转储的得到的密码进行横向移动,以形成攻击链组合。
本实施例中,所述筛选创建模块60具体用于:
通过编排出的可能的攻击链组合,筛选出多种攻击链;
根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
本实施例中,所述获取模块90包括:
第四采集单元,用于采集所述自动化渗透测试得到告警信息及原始日志;
判断单元,用于根据所述告警信息及原始日志判断资产沦陷情况;
生成单元,用于根据所述资产沦陷情况生成资产风险评估报告。
根据本实施例提供的资产风险探测装置,通过应用ATT&CK(攻击行为知识库和模型)框架技术中每一个攻击技术Techniques,结合其所属的Tactic类别和Procedures过程,编排出可能的攻击链组合,创建攻击剧本,通过各类攻击剧本,自动化模拟攻击行为,实现了对资产风险的自动化探测和评估。在实际环境中,能够减少资产风险发现的投入,从而降低探测成本,且能够提升探测效率,及时并最大化地发现风险,提升企业资产管理的安全性。
关于资产风险探测装置的具体限定可以参见上文中对于资产风险探测方法的限定,在此不再赘述。上述资产风险探测装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中,也可以以软件形式存储于计算机设备中的存储器中,以便于处理器调用执行以上各个模块对应的操作。
在一个实施例中,提供了一种计算机设备,该计算机设备可以是终端,其内部结构图可以如图5所示。该计算机设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中,该计算机设备的处理器用于提供计算和控制能力。该计算机设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该计算机设备的通信接口用于与外部的终端进行有线或无线方式的通信,无线方式可通过WIFI、运营商网络、NFC(近场通信)或其他技术实现。该计算机程序被处理器执行时以实现一种视频帧预测方法。该计算机设备的显示屏可以是液晶显示屏或者电子墨水显示屏,该计算机设备的输入装置可以是显示屏上覆盖的触摸层,也可以是计算机设备外壳上设置的按键、轨迹球或触控板,还可以是外接的键盘、触控板或鼠标等。
本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
在一个实施例中,提供了一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上述资产风险探测方法的步骤。
上述实施例提供的计算机设备,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
在一个实施例中,提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述资产风险探测方法的步骤。
上述实施例提供的计算机可读存储介质,其实现原理和技术效果与上述方法实施例类似,在此不再赘述。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的计算机程序可存储于一非易失性计算机可读取存储介质中,该计算机程序在执行时,可包括如上述各方法的实施例的流程。其中,本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用,均可包括非易失性和易失性存储器中的至少一种。非易失性存储器可包括只读存储器(Read-Only Memory,ROM)、磁带、软盘、闪存或光存储器等。易失性存储器可包括随机存取存储器(Random Access Memory,RAM)或外部高速缓冲存储器。作为说明而非局限,RAM可以是多种形式,比如静态随机存取存储器(Static Random Access Memory,SRAM)或动态随机存取存储器(Dynamic Random Access Memory,DRAM)等。
以上实施例的各技术特征可以进行任意的组合,为使描述简洁,未对上述实施例中的各个技术特征所有可能的组合都进行描述,然而,只要这些技术特征的组合不存在矛盾,都应当认为是本说明书记载的范围。
以上所述实施例仅表达了本申请的几种实施方式,其描述较为具体和详细,但并不能因此而理解为对发明专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请专利的保护范围应以所附权利要求为准。
Claims (10)
1.一种资产风险探测方法,其特征在于,包括:
采集待评估的资产范围;
采集攻击行为知识库和模型中攻击技术使用的脚本及工具;
划分攻击技术在所述攻击行为知识库和模型中所属的类别;
对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;
对所述脚本及工具所属的类别进行风险等级划分;
基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;
对所述攻击链组合进行筛选,并创建攻击剧本;
采用所述攻击剧本对所述资产范围进行自动化渗透测试;
获取所述自动化渗透测试的测试结果。
2.根据权利要求1所述的资产风险探测方法,其特征在于,采集待评估的资产范围的步骤具体包括:
采集资产使用的内部主机IPv4地址;
采集资产使用的操作系统版本信息;
采集资产的端口开放信息以及对应的应用服务信息。
3.根据权利要求1所述的资产风险探测方法,其特征在于,基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合的步骤包括:
基于所述攻击行为知识库和模型中的过程,并结合攻击技术使用的脚本及工具,编排出可能的攻击链组合。
4.根据权利要求3所述的资产风险探测方法,其特征在于,基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合的步骤具体包括:
设置若干个所述攻击行为知识库和模型中的过程,查看本地用户或者域用户;
对所述本地用户或者域用户进行凭证转储;
通过凭证转储的得到的密码进行横向移动,以形成攻击链组合。
5.根据权利要求1所述的资产风险探测方法,其特征在于,对所述攻击链组合进行筛选,并创建攻击剧本的步骤具体包括:
通过编排出的可能的攻击链组合,筛选出多种攻击链;
根据攻击链所使用的工具或者命令行不同,定义不同的攻击剧本。
6.根据权利要求1所述的资产风险探测方法,其特征在于,获取所述自动化渗透测试的测试结果的步骤具体包括:
采集所述自动化渗透测试得到告警信息及原始日志;
根据所述告警信息及原始日志判断资产沦陷情况;
根据所述资产沦陷情况生成资产风险评估报告。
7.一种资产风险探测装置,其特征在于,包括:
第一采集模块,用于采集待评估的资产范围;
第二采集模块,用于采集攻击行为知识库和模型中攻击技术使用的脚本及工具;
类别划分模块,用于划分攻击技术在所述攻击行为知识库和模型中所属的类别;
分类标记模块,用于对所述脚本及工具在所述攻击行为知识库和模型中所属的类别进行分类、标记;
等级划分模块,用于对所述脚本及工具所属的类别进行风险等级划分;
编排模块,用于基于所述攻击行为知识库和模型中的过程,编排出可能的攻击链组合;
筛选创建模块,用于对所述攻击链组合进行筛选,并创建攻击剧本;
测试模块,用于采用所述攻击剧本对所述资产范围进行自动化渗透测试;
获取模块,用于获取所述自动化渗透测试的测试结果。
8.根据权利要求7所述的资产风险探测装置,其特征在于,所述第一采集模块包括:
第一采集单元,用于采集资产使用的内部主机IPv4地址;
第二采集单元,用于采集资产使用的操作系统版本信息;
第三采集单元,用于采集资产的端口开放信息以及对应的应用服务信息。
9.一种可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-6任意一项所述的方法。
10.一种计算机设备,包括存储器、处理器以及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011185722.0A CN112351021B (zh) | 2020-10-30 | 2020-10-30 | 资产风险探测方法、装置、可读存储介质及计算机设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011185722.0A CN112351021B (zh) | 2020-10-30 | 2020-10-30 | 资产风险探测方法、装置、可读存储介质及计算机设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112351021A true CN112351021A (zh) | 2021-02-09 |
| CN112351021B CN112351021B (zh) | 2023-04-07 |
Family
ID=74356603
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011185722.0A Active CN112351021B (zh) | 2020-10-30 | 2020-10-30 | 资产风险探测方法、装置、可读存储介质及计算机设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112351021B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113824736A (zh) * | 2021-11-22 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
| CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN116112253A (zh) * | 2023-01-30 | 2023-05-12 | 网易(杭州)网络有限公司 | 资产风险探测方法、介质、装置及计算设备 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017566A1 (en) * | 2009-08-05 | 2011-02-10 | Core Sdi, Incorporated | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy |
| CN103748992B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于时间自动机的网络攻击意图动态识别系统 |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
| CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
| CN111083126A (zh) * | 2019-12-05 | 2020-04-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于专家知识库的渗透测试风险评估方法以及模型 |
| CN111475818A (zh) * | 2020-04-17 | 2020-07-31 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统的渗透攻击方法 |
| CN111581643A (zh) * | 2020-05-07 | 2020-08-25 | 中国工商银行股份有限公司 | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 |
| US20200327224A1 (en) * | 2019-04-15 | 2020-10-15 | Qualys, Inc. | Attack Kill Chain Generation and Utilization for Threat Analysis |
-
2020
- 2020-10-30 CN CN202011185722.0A patent/CN112351021B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011017566A1 (en) * | 2009-08-05 | 2011-02-10 | Core Sdi, Incorporated | System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy |
| CN103748992B (zh) * | 2010-06-09 | 2012-02-08 | 北京理工大学 | 基于时间自动机的网络攻击意图动态识别系统 |
| US20200327224A1 (en) * | 2019-04-15 | 2020-10-15 | Qualys, Inc. | Attack Kill Chain Generation and Utilization for Threat Analysis |
| CN110380896A (zh) * | 2019-07-04 | 2019-10-25 | 湖北央中巨石信息技术有限公司 | 基于攻击图的网络安全态势感知模型和方法 |
| CN110430190A (zh) * | 2019-08-05 | 2019-11-08 | 北京经纬信安科技有限公司 | 基于att&ck的欺骗性防御系统、构建方法及全链路防御实现方法 |
| CN110851841A (zh) * | 2019-11-26 | 2020-02-28 | 西安四叶草信息技术有限公司 | 渗透测试方法、设备及存储介质 |
| CN111083126A (zh) * | 2019-12-05 | 2020-04-28 | 国网浙江省电力有限公司电力科学研究院 | 一种基于专家知识库的渗透测试风险评估方法以及模型 |
| CN111475818A (zh) * | 2020-04-17 | 2020-07-31 | 北京墨云科技有限公司 | 一种基于ai的自动化渗透测试系统的渗透攻击方法 |
| CN111581643A (zh) * | 2020-05-07 | 2020-08-25 | 中国工商银行股份有限公司 | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 李爱生,张素宏,武伟: ""虚拟黑客机器人技术及应用"", 《应用技术学报》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113824736A (zh) * | 2021-11-22 | 2021-12-21 | 杭州安恒信息技术股份有限公司 | 一种资产风险处置方法、装置、设备及存储介质 |
| CN114598504A (zh) * | 2022-02-21 | 2022-06-07 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN114598504B (zh) * | 2022-02-21 | 2023-11-03 | 烽台科技(北京)有限公司 | 一种风险评估方法、装置、电子设备及可读存储介质 |
| CN116112253A (zh) * | 2023-01-30 | 2023-05-12 | 网易(杭州)网络有限公司 | 资产风险探测方法、介质、装置及计算设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112351021B (zh) | 2023-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112351021B (zh) | 资产风险探测方法、装置、可读存储介质及计算机设备 | |
| US8499353B2 (en) | Assessment and analysis of software security flaws | |
| US20100281248A1 (en) | Assessment and analysis of software security flaws | |
| DE112012002718T5 (de) | Erkennen von Sicherheitsschwachstellen in Web-Anwendungen | |
| US20170220805A1 (en) | Determine secure activity of application under test | |
| Jiménez‐Ramírez et al. | Automated testing in robotic process automation projects | |
| CN104579830B (zh) | 服务监控方法及装置 | |
| Seifert et al. | Capture–A behavioral analysis tool for applications and documents | |
| CN114036059A (zh) | 面向电网系统的自动化渗透测试系统、方法和计算机设备 | |
| CN114626069A (zh) | 威胁建模方法及装置 | |
| Subedi et al. | Secure paradigm for web application development | |
| CN115952081A (zh) | 一种软件测试方法、装置、存储介质及设备 | |
| Antunes et al. | SOA-Scanner: an integrated tool to detect vulnerabilities in service-based infrastructures | |
| Accorsi et al. | SWAT: a security workflow analysis toolkit for reliably secure process-aware information systems | |
| Alghamdi | Effective penetration testing report writing | |
| Paydar | An empirical study on the effectiveness of monkey testing for android applications | |
| Wert | Performance problem diagnostics by systematic experimentation | |
| CN117370701A (zh) | 浏览器风险检测方法、装置、计算机设备和存储介质 | |
| CN116719736A (zh) | 一种用于测试软件界面的测试用例生成方法及装置 | |
| Liu et al. | Empirical relation between coupling and attackability in software systems: a case study on DOS | |
| CN113590461B (zh) | 一种基于fidder实现汽车用户数据越权的测试方法 | |
| CN117056918A (zh) | 一种代码分析方法及相关设备 | |
| Flores et al. | Runtime vulnerability discovery as a service on industrial Internet of Things (IIoT) systems | |
| CN117421253B (zh) | 接口安全测试方法、装置、设备及存储介质 | |
| Nanayakkara et al. | Software for IT project quality management |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |