CN114091034A - 一种安全渗透测试方法、装置、电子设备及存储介质 - Google Patents
一种安全渗透测试方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114091034A CN114091034A CN202111336109.9A CN202111336109A CN114091034A CN 114091034 A CN114091034 A CN 114091034A CN 202111336109 A CN202111336109 A CN 202111336109A CN 114091034 A CN114091034 A CN 114091034A
- Authority
- CN
- China
- Prior art keywords
- penetration
- target
- permeation
- path
- test
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/36—Preventing errors by testing or debugging software
- G06F11/3668—Software testing
- G06F11/3672—Test management
- G06F11/3688—Test management for test execution, e.g. scheduling of test suites
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/30—Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
- G06F16/36—Creation of semantic tools, e.g. ontology or thesauri
- G06F16/367—Ontology
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Software Systems (AREA)
- Life Sciences & Earth Sciences (AREA)
- Animal Behavior & Ethology (AREA)
- Computational Linguistics (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Quality & Reliability (AREA)
- Computing Systems (AREA)
- Debugging And Monitoring (AREA)
Abstract
本发明公开了一种安全渗透测试方法、装置、电子设备及存储介质,所述方法包括:通过不同来源的外部数据构建渗透测试知识图谱;获取渗透目标,根据所述渗透目标进行目标环境的信息收集;根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;根据所述目标渗透路径对所述渗透目标进行安全渗透测试。利用了知识图谱对数据进行关联分析的特点,当对渗透目标进行渗透测试时,基于渗透测试知识图谱确定目标渗透路径,进而根据目标渗透路径对渗透目标进行安全渗透测试。实现了智能发现攻击路径,提高了渗透测试的性能。
Description
技术领域
本发明涉及网络安全测试技术领域,尤其涉及一种安全渗透测试方法、装置、电子设备及存储介质。
背景技术
安全渗透测试是一项在计算机系统上进行的授权模拟攻击,旨在对其安全性进行评估。安全渗透测试使用与攻击者相同的工具、技术和流程,来查找和展示系统弱点对业务带来的影响。安全渗透测试通常会模拟各种可能威胁业务和应用服务的攻击。安全渗透测试可以检查系统是否足够稳定,能否抵抗来自经过认证和未经认证的攻击,以及一系列系统角色发起的攻击。
早期通过手工渗透进行安全渗透测试,也就是依赖测试人员进行安全渗透测试,手工渗透方法一方面消耗人力资源较大,另一方面测试效率低下,渐渐无法满足客户的测试需求。为了解决早期手工渗透方法存在的问题,出现了基于自动化渗透测试工具进行安全渗透测试的技术方案,目前成熟的自动化渗透测试工具包括APT2渗透测试套件、Autosploit渗透测试工具和Awesome-HackingTools等。这些渗透测试工具提高了渗透测试效率,但这些渗透测试工具只是单纯地集成了已有的网络攻击工具,无法实现智能发现攻击路径,渗透测试的性能还是较差的。
发明内容
本发明实施例提供了一种安全渗透测试方法、装置、电子设备及存储介质,用以解决现有技术无法实现智能发现攻击路径,渗透测试的性能较差的问题。
本发明实施例提供了一种安全渗透测试方法,所述方法包括:
通过不同来源的外部数据构建渗透测试知识图谱;
获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
进一步地,所述通过不同来源的外部数据构建渗透测试知识图谱包括:
获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息;
根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。
进一步地,所述根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径包括:
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的子知识图谱;
根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径,从所述每个候选渗透路径中选取目标渗透路径。
进一步地,从所述每个候选渗透路径中选取目标渗透路径包括:
根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径。
进一步地,所述根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径包括:
根据所述渗透测试知识图谱确定所述每个候选渗透路径对应的渗透测试成功率,选取渗透测试成功率最高的候选渗透路径作为目标渗透路径;或计算所述每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径;或根据所述每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定所述每个候选渗透路径对应的评价值,选取评价值最高的候选渗透路径作为目标渗透路径。
进一步地,所述根据所述目标渗透路径对所述渗透目标进行安全渗透测试包括:
获取所述目标渗透路径关联的攻击条件和攻击方式,根据所述攻击条件和攻击方式对所述渗透目标进行安全渗透测试。
进一步地,所述方法还包括:
对所述渗透目标进行安全渗透测试之后,获取测试报告;
根据所述测试报告对所述渗透测试知识图谱进行更新。
另一方面,本发明实施例提供了一种安全渗透测试装置,所述装置包括:
渗透测试知识图谱构建模块,用于通过不同来源的外部数据构建渗透测试知识图谱;
信息收集模块,用于获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
确定模块,用于根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
渗透测试模块,用于根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
所述渗透测试知识图谱构建模块,具体用于获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息;根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。
所述确定模块,具体用于根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的子知识图谱;根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径,从所述每个候选渗透路径中选取目标渗透路径。
所述确定模块,具体用于根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径。
所述确定模块,具体用于根据所述渗透测试知识图谱确定所述每个候选渗透路径对应的渗透测试成功率,选取渗透测试成功率最高的候选渗透路径作为目标渗透路径;或计算所述每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径;或根据所述每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定所述每个候选渗透路径对应的评价值,选取评价值最高的候选渗透路径作为目标渗透路径。
所述渗透测试模块,具体用于获取所述目标渗透路径关联的攻击条件和攻击方式,根据所述攻击条件和攻击方式对所述渗透目标进行安全渗透测试。
所述装置还包括:
更新模块,用于对所述渗透目标进行安全渗透测试之后,获取测试报告;根据所述测试报告对所述渗透测试知识图谱进行更新。
另一方面,本发明实施例提供了一种电子设备,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现上述任一项所述的方法步骤。
另一方面,本发明实施例提供了一种计算机可读存储介质,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现上述任一项所述的方法步骤。
本发明实施例提供了一种安全渗透测试方法、装置、电子设备及存储介质,所述方法包括:通过不同来源的外部数据构建渗透测试知识图谱;获取渗透目标,根据所述渗透目标进行目标环境的信息收集;根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
上述的技术方案具有如下优点或有益效果:
本发明实施例中,通过不同来源的外部数据构建渗透测试知识图谱,获取渗透目标,并根据渗透目标进行目标环境的信息收集之后,结合渗透测试知识图谱,确定渗透目标对应的目标渗透路径。利用了知识图谱对数据进行关联分析的特点,当对渗透目标进行渗透测试时,基于渗透测试知识图谱确定目标渗透路径,进而根据目标渗透路径对渗透目标进行安全渗透测试。实现了智能发现攻击路径,提高了渗透测试的性能。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例提供的安全渗透测试过程示意图;
图2为本发明实施例提供的安全渗透测试流程图;
图3为本发明实施例提供的关系信息示意图;
图4为本发明实施例提供的安全渗透测试装置结构示意图;
图5为本发明实施例提供的电子设备结构示意图。
具体实施方式
下面将结合附图对本发明作进一步地详细描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
实施例1:
图1为本发明实施例提供的安全渗透测试过程示意图,该过程包括以下步骤:
S101:通过不同来源的外部数据构建渗透测试知识图谱。
S102:获取渗透目标,根据所述渗透目标进行目标环境的信息收集。
S103:根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径。
S104:根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
本发明实施例提供的安全渗透测试方法应用于电子设备,该电子设备可以是PC、平板电脑等设备,也可以是服务器。
本发明实施例中,电子设备首先获取不同来源的外部数据,然后通过不同来源的外部数据构建渗透测试知识图谱。外部数据来自如互联网上公开漏洞库者(包括公共漏洞和暴露CVE、美国国家漏洞数据库NVD、中国国家信息安全漏洞共享平台CNVD)等、企业建立的漏洞信息库、渗透测试报告、威胁情报库、应急响应中心、安全论坛等。
电子设备构建渗透测试知识图谱之后,获取渗透目标。其中,渗透目标可以是用户输入到电子设备的。电子设备获取渗透目标,根据渗透目标进行目标环境的信息收集。其中,电子设备可以采用已知的渗透信息收集技术进行目标环境的信息收集,本发明实施例不对进行目标环境的信息收集的过程进行限定。
根据收集到的目标环境的信息和渗透测试知识图谱,确定渗透目标对应的目标渗透路径。收集到的目标环境的信息和渗透测试知识图谱进行自动关联,确定出渗透目标对应的目标渗透路径。然后根据目标渗透路径对渗透目标进行安全渗透测试。
本发明实施例中,通过不同来源的外部数据构建渗透测试知识图谱,获取渗透目标,并根据渗透目标进行目标环境的信息收集之后,结合渗透测试知识图谱,确定渗透目标对应的目标渗透路径。利用了知识图谱对数据进行关联分析的特点,当对渗透目标进行渗透测试时,基于渗透测试知识图谱确定目标渗透路径,进而根据目标渗透路径对渗透目标进行安全渗透测试。实现了智能发现攻击路径,提高了渗透测试的性能。
本发明实施例中,所述通过不同来源的外部数据构建渗透测试知识图谱包括:
获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息;
根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。
电子设备获取到不同来源的外部数据之后,具体获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息。然后根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。例如,通过Neo4j ETL(Extract-Transform-Load)工具将不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息加载到图数据库中,进而完成渗透测试知识图谱的构建。
实施例2:
为了提高确定渗透目标对应的目标渗透路径的效率,在上述实施例的基础上,在本发明实施例中,所述根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径包括:
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的子知识图谱;
根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径,从所述每个候选渗透路径中选取目标渗透路径。
本发明实施例中,电子设备收集到目标环境的信息之后,根据收集到的目标环境的信息和渗透测试知识图谱,确定渗透目标对应的子知识图谱。即在渗透测试知识图谱中获取与目标环境的信息相关的信息,相关的信息构成的子知识图谱即为渗透目标对应的子知识图谱。然后再从根据子知识图谱确定出的渗透目标对应的每个候选渗透路径中选取目标渗透路径。相较于从整个渗透测试知识图谱中确定目标渗透路径提高了效率。
本发明实施例中,从所述每个候选渗透路径中选取目标渗透路径包括:
根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径。
根据子知识图谱确定出渗透目标对应的每个候选渗透路径之后,用户可以根据需要制定路径选取规则,然后根据用户制定规则确定出每个候选渗透路径对应的评价值,然后选取评价值最高的候选渗透路径作为目标渗透路径。可选的,根据制定规则的不同,也可以选取评价值最低的候选渗透路径作为目标渗透路径。
本发明实施例中,所述根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径包括:
根据所述渗透测试知识图谱确定所述每个候选渗透路径对应的渗透测试成功率,选取渗透测试成功率最高的候选渗透路径作为目标渗透路径;或计算所述每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径;或根据所述每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定所述每个候选渗透路径对应的评价值,选取评价值最高的候选渗透路径作为目标渗透路径。
本发明实施例中,可以以渗透测试成功率为规则选取目标渗透路径。根据渗透测试知识图谱可以确定出每个候选渗透路径对应的渗透测试成功率,然后选取渗透测试成功率最高的候选渗透路径作为目标渗透路径。或者也可以以攻击收益值为规则选取目标渗透路径。计算每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径。其中,每个候选渗透路径对应的攻击收益值可以是每个候选渗透路径对应的投入与产出比。再或者,可以兼顾渗透测试成功率和攻击收益值为规则选取目标渗透路径。此时根据每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定每个候选渗透路径对应的评价值,然后选取评价值最高的候选渗透路径作为目标渗透路径。在根据每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定每个候选渗透路径对应的评价值时,可以分别为渗透测试成功率和攻击收益值配置不同的权重值,若对于渗透测试成功率的关注度更高,则渗透测试成功率的权重值大于攻击收益值的权重值;若对于攻击收益值的关注度更高,则渗透测试成功率的权重值小于攻击收益值的权重值。进而根据每个候选渗透路径对应的渗透测试成功率和攻击收益值以及各自的权重值,确定每个候选渗透路径对应的评价值。
需要说明的是,本发明实施例中根据指定规则计算所述每个候选渗透路径对应的评价值,根据每个候选渗透路径对应的评价值确定目标渗透路径的方案包括但不限于上述方案。用户根据需要自行设置的规则同样适用。
本发明实施例中,所述根据所述目标渗透路径对所述渗透目标进行安全渗透测试包括:
获取所述目标渗透路径关联的攻击条件和攻击方式,根据所述攻击条件和攻击方式对所述渗透目标进行安全渗透测试。
获取目标渗透路径关联的攻击条件和攻击方式,转换为渗透攻击具体利用攻击,并按目标渗透路径一键启动执行安全渗透测试。
所述方法还包括:
对所述渗透目标进行安全渗透测试之后,获取测试报告;
根据所述测试报告对所述渗透测试知识图谱进行更新。
电子设备对渗透目标进行安全渗透测试之后,会获取到测试报告,然后将测试报告作为一份安全数据对渗透测试知识图谱进行丰富和更新,对于后续的基于渗透测试知识图谱确定渗透目标对应的目标渗透路径提供便利。
本发明实施例提供的安全渗透测试流程如图2所示,通过不同来源外部数据构建的渗透测试知识图谱,结合渗透测试知识图谱和渗透测试收集的全面信息进行攻防知识推理,通过智能规划进行智能发现攻击路径,转换完渗透动作序列,最后通过一键启动渗透执行和自动生成渗透报告,生成渗透报告的内容可以进一步更新前面的渗透测试知识图谱。
本发明实施例提供的安全渗透测试方法具体过程如下:
步骤1:从不同外部数据源的数据构建渗透测试知识图谱,以形成渗透测试知识图谱的数据层。通过从已有不同外部数据源的数据中抽取实体和属性信息,并对实体间可能具有的关系进行抽取。外部数据来自如互联网上公开漏洞库者(包括公共漏洞和暴露CVE、美国国家漏洞数据库NVD、中国国家信息安全漏洞共享平台CNVD)等、企业建立的漏洞信息库、渗透测试报告、威胁情报库、应急响应中心、安全论坛等。漏洞库中收录的漏洞包含了漏洞编号、影响范围、威胁等级、利用方式、利用收益等信息。互联网上的硬件、软件、漏洞、攻击条件、攻击方式等安全相关信息进行关键属性抽取和关联分析。这方面已有很多成熟的方法和工具,实体抽取包括条件随机场CRF、隐马尔可夫模型、最大熵模型等机器学习方法,关系抽取包括模式匹配、面向开放域的信息抽取框架、条件随机场等。知识图谱多源数据融合的特点使其有能力整合各类渗透测试知识库中的信息,以便实践渗透测试尽可能全面且结构化地掌握安全信息。用知识图谱技术的多源信息融合特性将来自不同外部数据源的同一漏洞的相关信息进行互相印证或驳斥,避免错误评估漏洞的影响程度。同时及时发现互联网上公开的新漏洞和新攻击方法,并指导知识图谱的更新,提高其时效性。图谱构建通过对获取到的海量信息进行信息抽取和推理,来实现信息的关联分析,并以图形化结构存储信息处理结果。渗透测试知识图谱是一种在语义网络基础之上实现智能化语义检索和关联分析的技术。提供一种渗透测试的检索模式,使渗透测试人员可以很容易地获取与所检索内容相关联的渗透信息。
步骤2:基于数据层中数据,进行实体建模和关系建模,学习构建渗透测试的攻击模式,形成渗透测试知识图谱的模式层。实体建模和关系建模:实体通常由顶点表示,关系由边表示。实体包括资产、漏洞和攻击;实体按不同标准定义或厂家自定义规范进行属性提取,可参考国际标准举例:资产CPE、漏洞CVE、CWE和攻击CAPEC等。CPE中有资产对应软硬件类型、产品名称、版本号等。CVE、CWE包括漏洞编号、影响信息,漏洞类型、配置信息,漏洞评分、攻击名称、常见后果、检测方法等。CAPEC中有对应攻击名称、攻击类型、攻击条件、攻击方式和后果等信息。如图3所示,关系包括存在和利用,资产包括软件和硬件等,不同软硬件通过扫描存在漏洞,这些漏洞有可能别利用而发起攻击。建模完成自动关联,就可从知识图谱中学习到了上述渗透攻击模式。
步骤3:渗透测试开始时,需要输入渗透目标。
步骤4:根据渗透目标进行目标环境的信息全面收集(借用目前已有渗透信息收集技术)。
步骤5:渗透路径智能发现:
收集信息结合步骤1和2中知识图谱和攻击模式进行自动关联,攻击条件和攻击方式来对攻击成功率和攻击收益进行推理;通过扫描到资产信息自动关联漏洞的影响信息,漏洞信息自动关联到攻击名称和后果等。攻击中给出攻击条件和攻击方式等。上述信息通过自动关联构成了针对目标环境渗透测试的知识图谱子图,从子图中找出资产到漏洞到攻击每一条连接路径,并进行计算和推理:攻击成功率根据攻击者在一条攻击路径上成功完成全部攻击行为来计算概率;攻击收益计算每条攻击路径的投入与产出比。上述连接路径根据攻击成功率或攻击收益进行路径排序,可以单独考虑攻击成功率或攻击收益,或者通过两者加权综合考虑,从而完成渗透路径的发现。
步骤6:渗透动作序列转换:把渗透路径中可关联到的攻击条件和攻击方式,从而转换为渗透攻击具体利用攻击,并按路径一键启动执行。
步骤7:执行完毕按渗透测试结果生成测试报告,报告数据转到步骤1,可以作为渗透测试知识图谱的输入,从而起到图谱更新作用。
实施例3:
图4为本发明实施例提供的安全渗透测试装置结构示意图,该装置包括:
渗透测试知识图谱构建模块41,用于通过不同来源的外部数据构建渗透测试知识图谱;
信息收集模块42,用于获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
确定模块43,用于根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
渗透测试模块44,用于根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
所述渗透测试知识图谱构建模块41,具体用于获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息;根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。
所述确定模块43,具体用于根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的子知识图谱;根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径,从所述每个候选渗透路径中选取目标渗透路径。
所述确定模块43,具体用于根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径。
所述确定模块43,具体用于根据所述渗透测试知识图谱确定所述每个候选渗透路径对应的渗透测试成功率,选取渗透测试成功率最高的候选渗透路径作为目标渗透路径;或计算所述每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径;或根据所述每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定所述每个候选渗透路径对应的评价值,选取评价值最高的候选渗透路径作为目标渗透路径。
所述渗透测试模块44,具体用于获取所述目标渗透路径关联的攻击条件和攻击方式,根据所述攻击条件和攻击方式对所述渗透目标进行安全渗透测试。
所述装置还包括:
更新模块45,用于对所述渗透目标进行安全渗透测试之后,获取测试报告;根据所述测试报告对所述渗透测试知识图谱进行更新。
实施例4:
在上述各实施例的基础上,本发明实施例中还提供了一种电子设备,如图5所示,包括:处理器301、通信接口302、存储器303和通信总线304,其中,处理器301,通信接口302,存储器303通过通信总线304完成相互间的通信;
所述存储器303中存储有计算机程序,当所述程序被所述处理器301执行时,使得所述处理器301执行如下步骤:
通过不同来源的外部数据构建渗透测试知识图谱;
获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
基于同一发明构思,本发明实施例中还提供了一种电子设备,由于上述电子设备解决问题的原理与安全渗透测试方法相似,因此上述电子设备的实施可以参见方法的实施,重复之处不再赘述。
本发明实施例提供的电子设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、网络侧设备等。
上述电子设备提到的通信总线可以是外设部件互连标准(Peripheral ComponentInterconnect,PCI)总线或扩展工业标准结构(Extended Industry StandardArchitecture,EISA)总线等。该通信总线可以分为地址总线、数据总线、控制总线等。为便于表示,图中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
通信接口302用于上述电子设备与其他设备之间的通信。
存储器可以包括随机存取存储器(Random Access Memory,RAM),也可以包括非易失性存储器(Non-Volatile Memory,NVM),例如至少一个磁盘存储器。可选地,存储器还可以是至少一个位于远离前述处理器的存储装置。
上述处理器可以是通用处理器,包括中央处理器、网络处理器(NetworkProcessor,NP)等;还可以是数字信号处理器(Digital Signal Processing,DSP)、专用集成电路、现场可编程门陈列或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。
实施例5:
在上述各实施例的基础上,本发明实施例还提供了一种计算机存储可读存储介质,所述计算机可读存储介质内存储有可由电子设备执行的计算机程序,当所述程序在所述电子设备上运行时,使得所述电子设备执行时实现如下步骤:
通过不同来源的外部数据构建渗透测试知识图谱;
获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
基于同一发明构思,本发明实施例中还提供了一种计算机可读存储介质,由于处理器在执行上述计算机可读存储介质上存储的计算机程序时解决问题的原理与安全渗透测试方法相似,因此处理器在执行上述计算机可读存储介质存储的计算机程序的实施可以参见方法的实施,重复之处不再赘述。
上述计算机可读存储介质可以是电子设备中的处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器如软盘、硬盘、磁带、磁光盘(MO)等、光学存储器如CD、DVD、BD、HVD等、以及半导体存储器如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD)等。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种安全渗透测试方法,其特征在于,所述方法包括:
通过不同来源的外部数据构建渗透测试知识图谱;
获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
2.如权利要求1所述的方法,其特征在于,所述通过不同来源的外部数据构建渗透测试知识图谱包括:
获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息;
根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。
3.如权利要求1所述的方法,其特征在于,所述根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径包括:
根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的子知识图谱;
根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径,从所述每个候选渗透路径中选取目标渗透路径。
4.如权利要求3所述的方法,其特征在于,从所述每个候选渗透路径中选取目标渗透路径包括:
根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径。
5.如权利要求4所述的方法,其特征在于,所述根据指定规则计算所述每个候选渗透路径对应的评价值,根据所述每个候选渗透路径对应的评价值确定目标渗透路径包括:
根据所述渗透测试知识图谱确定所述每个候选渗透路径对应的渗透测试成功率,选取渗透测试成功率最高的候选渗透路径作为目标渗透路径;或计算所述每个候选渗透路径对应的攻击收益值,选取攻击收益值最大的候选渗透路径作为目标渗透路径;或根据所述每个候选渗透路径对应的渗透测试成功率和攻击收益值,确定所述每个候选渗透路径对应的评价值,选取评价值最高的候选渗透路径作为目标渗透路径。
6.如权利要求1所述的方法,其特征在于,所述根据所述目标渗透路径对所述渗透目标进行安全渗透测试包括:
获取所述目标渗透路径关联的攻击条件和攻击方式,根据所述攻击条件和攻击方式对所述渗透目标进行安全渗透测试。
7.如权利要求1所述的方法,其特征在于,所述方法还包括:
对所述渗透目标进行安全渗透测试之后,获取测试报告;
根据所述测试报告对所述渗透测试知识图谱进行更新。
8.一种安全渗透测试装置,其特征在于,所述装置包括:
渗透测试知识图谱构建模块,用于通过不同来源的外部数据构建渗透测试知识图谱;
信息收集模块,用于获取渗透目标,根据所述渗透目标进行目标环境的信息收集;
确定模块,用于根据收集到的目标环境的信息和所述渗透测试知识图谱,确定所述渗透目标对应的目标渗透路径;
渗透测试模块,用于根据所述目标渗透路径对所述渗透目标进行安全渗透测试。
9.一种电子设备,其特征在于,包括处理器、通信接口、存储器和通信总线,其中,处理器,通信接口,存储器通过通信总线完成相互间的通信;
存储器,用于存放计算机程序;
处理器,用于执行存储器上所存放的程序时,实现权利要求1-7任一项所述的方法步骤。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现权利要求1-7任一项所述的方法步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111336109.9A CN114091034A (zh) | 2021-11-12 | 2021-11-12 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111336109.9A CN114091034A (zh) | 2021-11-12 | 2021-11-12 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114091034A true CN114091034A (zh) | 2022-02-25 |
Family
ID=80300136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111336109.9A Pending CN114091034A (zh) | 2021-11-12 | 2021-11-12 | 一种安全渗透测试方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114091034A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900346A (zh) * | 2022-04-28 | 2022-08-12 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 基于知识图谱的网络安全测试方法及系统 |
CN115801400A (zh) * | 2022-11-14 | 2023-03-14 | 北京天融信网络安全技术有限公司 | 一种自动渗透方法及装置 |
CN116015881A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
CN116260637A (zh) * | 2023-02-15 | 2023-06-13 | 中国电子技术标准化研究院 | 渗透测试的路径规划方法、装置、电子设备及存储介质 |
WO2024032032A1 (zh) * | 2022-08-09 | 2024-02-15 | 华为云计算技术有限公司 | 云平台测试方法、装置、服务节点及云平台 |
-
2021
- 2021-11-12 CN CN202111336109.9A patent/CN114091034A/zh active Pending
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114900346A (zh) * | 2022-04-28 | 2022-08-12 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 基于知识图谱的网络安全测试方法及系统 |
CN114900346B (zh) * | 2022-04-28 | 2023-09-19 | 上海微波技术研究所(中国电子科技集团公司第五十研究所) | 基于知识图谱的网络安全测试方法及系统 |
WO2024032032A1 (zh) * | 2022-08-09 | 2024-02-15 | 华为云计算技术有限公司 | 云平台测试方法、装置、服务节点及云平台 |
CN115801400A (zh) * | 2022-11-14 | 2023-03-14 | 北京天融信网络安全技术有限公司 | 一种自动渗透方法及装置 |
CN116015881A (zh) * | 2022-12-27 | 2023-04-25 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
CN116015881B (zh) * | 2022-12-27 | 2023-08-29 | 北京天融信网络安全技术有限公司 | 渗透测试方法、装置、设备及存储介质 |
CN116260637A (zh) * | 2023-02-15 | 2023-06-13 | 中国电子技术标准化研究院 | 渗透测试的路径规划方法、装置、电子设备及存储介质 |
CN116260637B (zh) * | 2023-02-15 | 2023-11-07 | 中国电子技术标准化研究院 | 渗透测试的路径规划方法、装置、电子设备及存储介质 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN114091034A (zh) | 一种安全渗透测试方法、装置、电子设备及存储介质 | |
CN108718310B (zh) | 基于深度学习的多层次攻击特征提取及恶意行为识别方法 | |
CN107153847A (zh) | 预测用户是否存在恶意行为的方法和计算设备 | |
Paulavičius et al. | A systematic review and empirical analysis of blockchain simulators | |
CN110881050A (zh) | 安全威胁检测方法及相关产品 | |
CN116405246A (zh) | 一种基于攻防结合的漏洞利用链构建技术 | |
Xiong et al. | A method for assigning probability distributions in attack simulation languages | |
Daubner et al. | Towards verifiable evidence generation in forensic-ready systems | |
CN117376228B (zh) | 一种网络安全测试工具确定方法及装置 | |
CN117240632B (zh) | 一种基于知识图谱的攻击检测方法和系统 | |
CN110457009B (zh) | 基于数据分析的软件安全需求推荐模型的实现方法 | |
CN115834251B (zh) | 基于超图Transformer威胁狩猎模型建立方法 | |
CN114579765B (zh) | 一种基于开源情报分析的网络靶场武器库构建方法 | |
CN109636627B (zh) | 基于区块链的保险产品管理方法、装置、介质及电子设备 | |
Whitaker | Generating cyberattack model components from an attack pattern database | |
CN115333806A (zh) | 渗透测试攻击路径规划方法、装置、电子设备及存储介质 | |
CN110457600B (zh) | 查找目标群体的方法、装置、存储介质和计算机设备 | |
CN114581086A (zh) | 基于动态时序网络的钓鱼账户检测方法及系统 | |
CN114817928A (zh) | 网络空间数据融合分析方法、系统、电子设备及存储介质 | |
CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
Wu et al. | Vulnerability time series prediction based on multivariable LSTM | |
CN109857779A (zh) | 查找欺诈账号的方法和装置,存储介质和电子设备 | |
Maxwell | Selecting and composing cyberattack component models | |
CN115086059B (zh) | 基于欺骗域特定语言的欺骗场景描述文件生成方法、装置 | |
CN116841650B (zh) | 样本构建方法、装置、设备以及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |