CN114143052B - 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 - Google Patents
基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 Download PDFInfo
- Publication number
- CN114143052B CN114143052B CN202111400843.7A CN202111400843A CN114143052B CN 114143052 B CN114143052 B CN 114143052B CN 202111400843 A CN202111400843 A CN 202111400843A CN 114143052 B CN114143052 B CN 114143052B
- Authority
- CN
- China
- Prior art keywords
- asset
- asset information
- instruction
- breakthrough
- information collection
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本公开的实施例提供了基于可控入侵模拟的网络防御体系风险评估方法、设备和计算机可读存储介质。所述方法包括向前置引擎发送资产信息收集指令;以便所述前置引擎根据所述资产信息收集指令,进行资产信息收集和模拟攻击;接收前置引擎上传的所述资产信息和模拟攻击结果并展示给安全管理人员;接收安全管理人员执行弱点利用的操作指令,向所述前置引擎发出突破指令;以便所述前置引擎利用资产弱点进行突破;突破成功后利用攻陷的资产安装Agent作为可控组件执行后续资产信息收集指令及突破指令。以此方式,安全管理人员能够通过所述Agent,安全可控进行深度干预弱点利用执行动作,保证弱点利用不会对资产业务造成任何影响。
Description
技术领域
本公开的实施例一般涉及网络防御体系风险评估技术领域,并且更具体地,涉及基于可控入侵模拟的网络防御体系风险评估方法。
背景技术
目前为了避免黑客利用内网中的漏洞对内网主机进行攻击,通常会定期对内网进行漏洞安全检测,以确定内网中存在哪些漏洞以及这些漏洞的类型等信息,从而便于及时进行漏洞修复,避免该漏洞被黑客利用而影响内网主机的安全性。
现有漏洞检测方案显然使得漏洞效率低而且漏洞检测方式比较机械、不够灵活。并且,自动化渗透测试技术应用模式为,自动识别指定资产范围内的资产指纹信息、资产弱点、验证资产漏洞存在、并通过EXP对资产弱点执行利用。在弱点利用执行过程,安全管理员只能采用半自动化的方式参与指令的交互,这种方式不能解决拿下目标资产控制权过程的100%安全可控的。同时,由于目标资产控制权限范围受限问题,无法基于该资产有效开展横向移动渗透。
发明内容
根据本公开的实施例,提供了一种基于可控入侵模拟的网络防御体系风险评估方案。
在本公开的第一方面,提供了一种基于可控入侵模拟的网络防御体系风险评估方法,所述方法包括向前置引擎发送资产信息收集指令;以便所述前置引擎根据所述资产信息收集指令,进行资产信息收集和模拟攻击;接收前置引擎上传的所述资产信息和模拟攻击结果并展示给安全管理人员;接收安全管理人员执行弱点利用的操作指令,向所述前置引擎发出突破指令;以便所述前置引擎利用资产弱点进行突破;突破成功后利用攻陷的资产安装Agent作为可控组件执行后续资产信息收集指令及突破指令。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括向前置引擎发送资产信息收集指令之前/之后/同时,向所述前置引擎发起身份认证。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述资产信息收集包括根据资产信息收集指令中包括的IP或URL目标范围进行资产信息收集,获取目标资产的资产指纹、资产弱点。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述安全管理人员执行弱点利用的操作指令为安全管理人员根据所展示的所述资产信息和模拟攻击结果进行判断,做出的利用所述资产弱点进行突破的操作指令。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述目标资产为一个或多个;所述突破指令为针对管理人员从中选择的一个或多个所述目标资产的突破指令。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,突破成功后利用攻陷的资产安装Agent作为可控组件执行后续资产信息收集指令及突破指令包括利用资产弱点突破成功后,利用攻陷的资产安装Agent;向所安装的Agent发送资产信息收集指令,以便所述Agent根据所述资产信息收集指令,进行资产信息收集和模拟攻击;接收所述Agent上传的所述资产信息和模拟攻击结果并展示给安全管理人员;接收安全管理人员执行弱点利用的操作指令,向所述Agent发出突破指令;以便所述Agent利用资产弱点进行突破;突破成功后利用攻陷的资产安装新的Agent作为可控组件执行后续资产信息收集指令及突破指令。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括Agent与管理平台或其它Agent的通讯采用身份认证,并通过Agent的身份进行白名单控制。
如上所述的方面和任一可能的实现方式,进一步提供一种实现方式,所述方法还包括根据前置引擎以及各Agent上传的资产信息和漏洞攻击结果,进行网络防御体系风险评估。
在本公开的第二方面,提供了一种电子设备。该电子设备包括:存储器和处理器,所述存储器上存储有计算机程序,所述处理器执行所述程序时实现如以上所述的方法。
在本公开的第三方面,提供了一种计算机可读存储介质,其上存储有计算机程序,所述程序被处理器执行时实现如根据本公开的第一方面和/或第二发面的方法。
而本公开通过上述技术方案可以实现如下技术效果:
可以在指定区域旁路部署模拟前置引擎,由所述模拟前置引擎自动寻找区域内的弱点作为攻击突破口,根据安全管理人员的指示,突破成功后利用攻陷的资产安装Agent作为可控组件,自动寻找目标方向上的所有可利用路径,迭代上一过程。在这一过程中,安全管理人员能够通过所述Agent,安全可控进行深度干预弱点利用执行动作,保证弱点利用不会对资产业务造成任何影响。
应当理解,发明内容部分中所描述的内容并非旨在限定本公开的实施例的关键或重要特征,亦非用于限制本公开的范围。本公开的其它特征将通过以下的描述变得容易理解。
附图说明
结合附图并参考以下详细说明,本公开各实施例的上述和其他特征、优点及方面将变得更加明显。在附图中,相同或相似的附图标记表示相同或相似的元素,其中:
图1示出了能够在其中实现本公开的实施例的示例性运行环境、的示意图;
图2示出了根据本公开的实施例的管理平台、前置引擎、Agent之间的交互方法的示意图;
图3示出了根据本公开的实施例的基于可控入侵模拟的网络防御体系风险评估方法的示意图;
图4示出了能够实施本公开的实施例的示例性电子设备的方框图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,下面将结合本公开实施例中的附图,对本公开实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本公开一部分实施例,而不是全部的实施例。基于本公开中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的全部其他实施例,都属于本公开保护的范围。
另外,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,一般表示前后关联对象是一种“或”的关系。
本公开中,可不断利用被攻陷的节点检测与其相通信的其他节点上的漏洞,从而提高漏洞检测的灵活性以及漏洞检测效率,避免只能通过待测试内网中的初始节点机器对与该初始节点机器直接相通信的节点进行漏洞检测。
图1示出了能够在其中实现本公开的实施例的示例性运行环境100的示意图。在运行环境100中包括管理平台102、前置引擎104、Agent106。
在一些实施例中,前置引擎104、Agent106部署在网络的不同安全域中。前置引擎104、Agent106也可以部署在网络的同一安全域中。管理平台102可以和前置引擎104、Agent106部署在网络的同一安全域中,也可部署在不同安全域中;可以通过预设信道与前置引擎104、Agent106进行通信及管理。
其中,Agent106为多个,Agent106之前可以进行通信。
在一些实施例中,管理平台102用于根据安全管理人员的指令,控制接收前置引擎104自动寻找区域内攻击突破口,突破成功后利用攻陷的资产安装Agent106,控制Agent106自动寻找目标方向上的所有可利用路径,迭待上一过程。
在一些实施例中,管理平台102用于控制前置引擎104根据预设IP或URL目标范围进行资产信息收集,包括资产指纹、资产弱点(弱口令、配置风险、漏洞),并接收前置引擎104上传的所述资产信息。管理平台102还用于控制前置引擎104进行模拟攻击,基于资产弱点信息执行POC和攻击载荷,以验证漏洞是否可利用;根据资产弱点和模拟攻击结果,生成可视化报告并向安全管理人员呈现;接收安全管理人员根据所述可视化报告下达的是否执行弱点利用的操作指令;根据安全管理人员执行弱点利用的操作指令,控制前置引擎104利用所述弱点进行突破,如根据预设的目标资产合法账号及口令进行登录,突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
在一些实施例中,前置引擎104用于根据管理平台102下发的控制指令,根据预设IP或URL目标范围进行资产信息收集,包括资产指纹、资产弱点(弱口令、配置风险、漏洞);并向管理平台102上传所述资产信息。接收前置引擎104还用于根据管理平台102的控制指令,进行模拟攻击,基于资产弱点信息执行POC和攻击载荷。前置引擎104还用于根据管理平台102的控制指令,利用所述弱点进行突破,如根据预设的目标资产合法账号及口令进行登录,突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
在一些实施例中,Agent106用于执行与前置引擎104相同的功能,自动寻找目标方向上的所有可利用路径,迭待上一过程。
图2示出了图1中所示的管理平台102、前置引擎104、Agent106之间的交互方法200的示意图。
该方法200可以包括:
在框202,管理平台102向前置引擎104发出资产信息收集指令;
在一些实施例中,管理平台102根据管理人员进行资产信息收集的控制指令,向前置引擎104发出资产信息收集指令。
在一些实施例中,在管理平台102向前置引擎104发送资产信息收集指令之前/之后/同时,向前置引擎104发起身份认证。
在一些实施例中,前置引擎104对所述指令进行认证。在一些实施例中,通过IP/MAC地址识别,仅接受地址白名单中的地址对应的管理平台102所发送的攻击指令。在一些实施例中,通过身份认证,待完成对管理平台102的访问身份鉴权后,接受管理平台102的所发送的指令。
在框204,前置引擎104接收所述资产信息收集指令,进行资产信息收集和模拟攻击。
在一些实施例中,进行资产信息收集和模拟攻击包括:识别资产指纹信息、资产弱点;验证资产漏洞存在。
在一些实施例中,所述资产信息收集指令为漏洞检测指令,所述漏洞检测包括漏洞扫描和/或漏洞攻击。
在一些实施例中,所述资产信息收集指令包括进行资产信息收集的IP或URL目标范围;前置引擎104根据所述IP或URL目标范围进行资产信息收集,包括资产指纹、资产弱点(弱口令、配置风险、漏洞);基于资产弱点信息执行POC和攻击载荷,验证漏洞是否可利用。
在框206中,前置引擎104向管理平台102上传所述资产信息和模拟攻击结果。
在一些实施例中,通过资产信息收集,前置引擎104可能会获取资产信息和模拟攻击结果,将一个或多个资产的资产指纹、资产弱点(弱口令、配置风险、漏洞),提供给管理平台102,以供管理人员从中选择是否对其中一个或多个资产进行突破。
在框208中,管理平台102接收前置引擎104上传的所述资产信息和模拟攻击结果;生成可视化报告。
在一些实施例中,管理平台102根据资产弱点和模拟攻击结果,生成可视化报告并向安全管理人员呈现,以便安全管理人员根据所述可视化报告判断是否利用所述资产弱点执行下一步动作,如控制前置引擎104利用所述弱点进行突破,突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
在一些实施例中,安全管理人员根据所述可视化报告判断是否利用所一个或多个资产的资产弱点对所述资产执行下一步动作,如控制前置引擎104利用所述弱点进行突破,突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
在框210中,管理平台102向前置引擎104发出突破指令;
在一些实施例中,管理平台102接收安全管理人员根据所述可视化报告做出的执行弱点利用的操作指令,向前置引擎104发出突破指令。
在一些实施例中,所述突破指令包括进行突破的目标资产的资产指纹、资产弱点(弱口令、配置风险、漏洞)。在一些实施例中,所述突破指令包括进行突破的目标资产的地址、资产弱点(弱口令、配置风险、漏洞)。
在框212中,前置引擎104接收所述突破指令,利用资产弱点进行突破;
在一些实施例中,前置引擎104利用资产弱点(弱口令、配置风险、漏洞),如利用预设的目标资产合法账号及口令进行登录。
在框214中,前置引擎104突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端,执行后续资产信息收集指令及突破指令。
在一些实施例中,前置引擎104突破成功后利用攻陷的资产安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
在一些实施例中,前置引擎104控制所述攻陷的资产下载Agent106的安装程序并进行安装。由于已经成功控制所述资产执行了下载及安装命令,因而,就算是对所述资产攻击成功,即所述资产被攻陷了。
需要说明的是:且本公开控制被攻陷的资产下载安装并运行Agent106的目的,并不是为了对该被攻陷的资产进行非法控制对其造成安全威胁,并不违背社会公德;而是在安全管理人员的控制下进行的,是为了在内网测试环节先行检测出其漏洞,以便于能够及时修复其漏洞而不被黑客非法利用。
在一些实施例中,Agent106的安装过程执行以下动作,以保障进行安装的目标资产不会影响实际业务:
获取并向管理平台102上传目标资产上运行的服务、进程、端口及性能指标;
Agent106的启动和运行端口设置,将自动规避与业务冲突的端口服务;
Agent106可根据目标资产的性能指标,自动优化发起横移任务的执行时间和性能需求,避免对业务运行的影响。
其中,所述横移任务为Agent106用于执行与前置引擎104相同的功能,自动寻找目标方向上的所有可利用路径,迭待上一过程,具体步骤与框202-框210类似,仅仅是将前置引擎104替换为Agent106,在此不再赘述。
在一些实施例中,Agent 106与管理平台102或其它Agent 106的通讯采用身份认证,并通过Agent106的身份进行白名单控制(白名单要素包括:Agent 106部署的主机MAC、IP、Agent ID)。
在一些实施例中,Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端,执行后续资产信息收集指令及突破指令包括:
在框216,管理平台102向Agent106发出资产信息收集指令;
在框218,Agent106根据管理平台102发出的资产信息收集指令;根据预设IP或URL目标范围进行资产信息收集,包括资产指纹、资产弱点(弱口令、配置风险、漏洞);模拟攻击,包括基于资产弱点信息执行POC和攻击载荷,验证漏洞是否可利用。
在框220,Agent106向管理平台102上传资产信息和模拟攻击结果。
在框222,管理平台102接收Agent106上传的所述资产信息和模拟攻击结果;生成可视化报告;
在框224,管理平台102向Agent106发出突破指令;
在框226,Agent106接收所述突破指令,接收所述突破指令,利用资产弱点进行突破;
例如
在框228,Agent106突破成功后利用攻陷的资产安装相同的Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端。
如此,可不断利用被攻陷的资产检测与其相通信的其他资产上的漏洞,并循环上述操作,从而可快速获得待测试内网中所有资产上的所有漏洞,提高漏洞检测的灵活性以及漏洞检测效率,避免只能通过待测试内网中的初始资产对与该初始资产直接相通信的节点进行漏洞检测,而无法通过待测试内网中已被攻陷的资产对其他资产进行漏洞检测的问题。
在一些实施例中,任一资产上安装的Agent106,向控制其安装Agent106的资产发送所述任一资产的第一资产信息和模拟攻击结果;并将从其他资产接收的第二资产信息和模拟攻击结果发送给所述控制其安装Agent106的资产。任一资产上安装的Agent106,通过管理平台102的地址(如IP地址、MAC地址),判断是否能够与所述管理平台102相连接,若是,则所述任一资产将所述第一资产信息和模拟攻击结果以及所述第二资产信息和模拟攻击结果直接发送至所述管理平台102。若否,则向所述控制其安装Agent106的资产发送所述第一资产信息和模拟攻击结果以及所述第二资产信息和模拟攻击结果。其中,所述资产信息和模拟攻击结果包括资产指纹、资产弱点(弱口令、配置风险、漏洞)、漏洞是否可利用。
在一些实施例中,任一资产上安装的Agent106,向管理平台102直接发送所述任一资产的第一资产信息和模拟攻击结果。
在一些实施例中,所述方法还包括以下步骤:
管理平台102根据前置引擎104以及各Agent106上传的资产信息和模拟攻击结果,进行网络防御体系风险评估。
在一些实施例中,管理平台102根据前置引擎104以及各Agent106上传的漏洞检测结果,进行多次网络防御体系风险评估。管理平台102可以根据预先获取的网络拓扑结构,根据前置引擎104以及各Agent106上传的资产信息和模拟攻击结果,确定进行多级、多次评估。
在一些实施例中,当资产已经被攻陷并安装Agent106作为可控组件进行后续资产信息收集及弱点利用的发起端,则不会再向后续其他Agent106下发对已攻陷的资产进行弱点利用的突破指令。
在一些实施例中,可覆盖的风险评估维度包括:
一、网络安全域间或域内的安全防护设备风险评估并给出风险评分,包括:
安全设备防护策略的缺陷评估,安全设备策略规则缺失,攻击载荷未能有效防护;
安全设备防护范围不完整,安全设备没有覆盖到应保护的资产范围。
二、资产漏洞(系统资产、web资产、安全设备资产)威胁利用风险评估,给出资产漏洞风险等级评分,包括:
资产脆弱性风险(漏洞)的识别。
资产漏洞可被利用的威胁类别、威胁发生时的攻击载荷,以及攻击载荷对资产的破坏等级。
三、网络纵深防御体系风险评估,对网络防御体系抵御威胁的能力进行验证,并对存在的风险进行评分。包括:
按网络域分段(互联网->DMZ->核心生产->数据中心)、分场景(安全防护设备、内网横向移动、主机入侵、内部数据外泄)评估威胁入侵风险,并对其进行评分。
基于网络纵深防御结构,可视化呈现攻击路径,展示最短攻击路径。
整体纵深防御风险评分。
四、数据安全防护风险评估,数据安全威胁模拟技术进行组织数据保护能力风险进行评估,包括:
数据泄露风险评估,评估组织对违规数据外泄行为的监测、阻断能力不足风险。
数据防护能力不足风险,评估组织对数据脱敏、水印、加密、访问控制策略不足风险。
在一些实施例中,网络防御体系风险评估评估结果包括:
风险评分,最高10分(高风险),最低0分(无风险)。
可视化呈现风险发生时的可利用攻击路径。带有最佳攻击路径的自动计算能力。
风险报告,总体评分、分场景评分、威胁分类统计、基于威胁分类的风险整改建议。
以此方式,可以在指定区域旁路部署模拟前置引擎,由所述模拟前置引擎自动寻找区域内的弱点作为攻击突破口,根据安全管理人员的指示,突破成功后利用攻陷的资产安装Agent作为可控组件,自动寻找目标方向上的所有可利用路径,迭代上一过程。在这一过程中,安全管理人员能够通过所述Agent,安全可控进行深度干预弱点利用执行动作,保证弱点利用不会对资产业务造成任何影响。
图3示出了根据本公开的实施例的基于可控入侵模拟的网络防御体系风险评估方法300的示意图;
该方法300可以包括:
在框302,向前置引擎发送资产信息收集指令;以便所述前置引擎根据所述资产信息收集指令,进行资产信息收集和模拟攻击;
在框304,接收前置引擎上传的所述资产信息和模拟攻击结果并展示给安全管理人员;
在框306,接收安全管理人员执行弱点利用的操作指令,向所述前置引擎发出突破指令;以便所述前置引擎利用资产弱点进行突破;突破成功后利用攻陷的资产安装Agent作为可控组件执行后续资产信息收集指令及突破指令。
所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,所述方法300,可以参考前述方法实施例中管理平台、前置引擎、Agent之间的交互方法200的对应过程,在此不再赘述。
图4示出了可以用来实施本公开的实施例的电子设备400的示意性框图。如图所示,设备400包括CPU401,其可以根据存储在ROM402中的计算机程序指令或者从存储单元408加载到RAM403中的计算机程序指令,来执行各种适当的动作和处理。在RAM 403中,还可以存储设备400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。I/O接口405也连接至总线404。
设备400中的多个部件连接至I/O接口405,包括:输入单元406,例如键盘、鼠标等;输出单元407,例如各种类型的显示器、扬声器等;存储单元408,例如磁盘、光盘等;以及通信单元409,例如网卡、调制解调器、无线通信收发机等。通信单元409允许设备400通过诸如因特网的计算机网络和/或各种电信网络与其他设备交换信息/数据。
CPU401执行上文所描述的各个方法和处理,例如方法200、300。例如,在一些实施例中,方法200、300可被实现为计算机软件程序,其被有形地包含于机器可读介质,例如存储单元408。在一些实施例中,计算机程序的部分或者全部可以经由ROM 402和/或通信单元409而被载入和/或安装到设备400上。当计算机程序加载到RAM 403并由CPU 401执行时,可以执行上文描述的方法200、300的一个或多个步骤。备选地,在其他实施例中,CPU 401可以通过其他任何适当的方式(例如,借助于固件)而被配置为执行方法200、300。
本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如,非限制性地,可以使用的示范类型的硬件逻辑部件包括:场可编程门阵列(FPGA)、专用集成电路(ASIC)、专用标准产品(ASSP)、片上系统(SOC)、复杂可编程逻辑器件(CPLD)等等。
用于实施本公开的方法的程序代码可以采用一个或多个编程语言的任何组合来编写。这些程序代码可以提供给通用计算机、专用计算机或其他可编程数据处理装置的处理器或控制器,使得程序代码当由处理器或控制器执行时使流程图和/或框图中所规定的功能/操作被实施。程序代码可以完全在机器上执行、部分地在机器上执行,作为独立软件包部分地在机器上执行且部分地在远程机器上执行或完全在远程机器或服务器上执行。
在本公开的上下文中,机器可读介质可以是有形的介质,其可以包含或存储以供指令执行系统、装置或设备使用或与指令执行系统、装置或设备结合地使用的程序。机器可读介质可以是机器可读信号介质或机器可读储存介质。机器可读介质可以包括但不限于电子的、磁性的、光学的、电磁的、红外的、或半导体系统、装置或设备,或者上述内容的任何合适组合。机器可读存储介质的更具体示例会包括基于一个或多个线的电气连接、便携式计算机盘、硬盘、RAM、ROM、EPROM、光纤、CD-ROM、光学储存设备、磁储存设备、或上述内容的任何合适组合。
此外,虽然采用特定次序描绘了各操作,但是这应当理解为要求这样操作以所示出的特定次序或以顺序次序执行,或者要求所有图示的操作应被执行以取得期望的结果。在一定环境下,多任务和并行处理可能是有利的。同样地,虽然在上面论述中包含了若干具体实现细节,但是这些不应当被解释为对本公开的范围的限制。在单独的实施例的上下文中描述的某些特征还可以组合地实现在单个实现中。相反地,在单个实现的上下文中描述的各种特征也可以单独地或以任何合适的子组合的方式实现在多个实现中。
尽管已经采用特定于结构特征和/或方法逻辑动作的语言描述了本主题,但是应当理解所附权利要求书中所限定的主题未必局限于上面描述的特定特征或动作。相反,上面所描述的特定特征和动作仅仅是实现权利要求书的示例形式。
Claims (10)
1.一种基于可控入侵模拟的网络防御体系风险评估方法,其特征在于,包括:
向前置引擎发送资产信息收集指令;以便所述前置引擎根据所述资产信息收集指令,进行资产信息收集和模拟攻击;
接收前置引擎上传的所述资产信息和模拟攻击结果并展示给安全管理人员;
接收安全管理人员执行弱点利用的操作指令,向所述前置引擎发出突破指令;以便所述前置引擎利用资产弱点进行突破;突破成功后利用攻陷的资产安装 Agent作为可控组件执行后续资产信息收集指令及突破指令。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
向前置引擎发送资产信息收集指令之前/之后/同时,向所述前置引擎发起身份认证。
3.根据权利要求1所述的方法,其特征在于,所述资产信息收集包括:
根据资产信息收集指令中包括的 IP 或 URL 目标范围进行资产信息收集,获取目标资产的资产指纹、资产弱点。
4.根据权利要求3所述的方法,其特征在于,所述安全管理人员执行弱点利用的操作指令为安全管理人员根据所展示的所述资产信息和模拟攻击结果进行判断,做出的利用所述资产弱点进行突破的操作指令。
5.根据权利要求4所述的方法,其特征在于,所述目标资产为一个或多个;所述突破指令为针对安全管理人员从中选择的一个或多个所述目标资产的突破指令。
6.根据权利要求5所述的方法,其特征在于,突破成功后利用攻陷的资产安装 Agent作为可控组件执行后续资产信息收集指令及突破指令包括:
利用资产弱点突破成功后,利用攻陷的资产安装 Agent;
向所安装的Agent发送资产信息收集指令,以便所述Agent根据所述资产信息收集指令,进行资产信息收集和模拟攻击;
接收所述Agent上传的所述资产信息和模拟攻击结果并展示给安全管理人员;
接收安全管理人员执行弱点利用的操作指令,向所述Agent发出突破指令;以便所述Agent利用资产弱点进行突破;突破成功后利用攻陷的资产安装新的 Agent作为可控组件执行后续资产信息收集指令及突破指令。
7.根据权利要求6所述的方法,其特征在于,所述方法还包括:
Agent与管理平台或其它 Agent的通讯采用身份认证,并通过 Agent的身份进行白名单控制。
8.根据权利要求1所述的方法,其特征在于,所述方法还包括:
根据前置引擎以及各Agent上传的资产信息和模拟攻击结果,进行网络防御体系风险评估。
9.一种电子设备,包括存储器和处理器,所述存储器上存储有计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1~8中任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1~8中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111400843.7A CN114143052B (zh) | 2021-11-19 | 2021-11-19 | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111400843.7A CN114143052B (zh) | 2021-11-19 | 2021-11-19 | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114143052A CN114143052A (zh) | 2022-03-04 |
| CN114143052B true CN114143052B (zh) | 2023-04-28 |
Family
ID=80391415
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111400843.7A Active CN114143052B (zh) | 2021-11-19 | 2021-11-19 | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114143052B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115150202B (zh) * | 2022-09-02 | 2022-11-25 | 北京云科安信科技有限公司 | 一种互联网it信息资产搜集及攻击探测的方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
| CN110868376A (zh) * | 2018-11-29 | 2020-03-06 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产序列的方法及装置 |
| CN111316272A (zh) * | 2017-07-20 | 2020-06-19 | Qomplx有限责任公司 | 使用行为和深度分析的先进网络安全威胁减缓 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10812516B2 (en) * | 2014-08-05 | 2020-10-20 | AttackIQ, Inc. | Cyber security posture validation platform |
-
2021
- 2021-11-19 CN CN202111400843.7A patent/CN114143052B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111316272A (zh) * | 2017-07-20 | 2020-06-19 | Qomplx有限责任公司 | 使用行为和深度分析的先进网络安全威胁减缓 |
| CN110868376A (zh) * | 2018-11-29 | 2020-03-06 | 北京安天网络安全技术有限公司 | 确定网络环境中易受攻击的资产序列的方法及装置 |
| CN110381092A (zh) * | 2019-08-29 | 2019-10-25 | 南京经纬信安科技有限公司 | 一种自适应闭环解决网络威胁的防御系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114143052A (zh) | 2022-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109361670B (zh) | 利用蜜罐有针对性的动态部署捕获恶意样本的装置及方法 | |
| US10873594B2 (en) | Test system and method for identifying security vulnerabilities of a device under test | |
| CN111490970A (zh) | 一种网络攻击的溯源分析方法 | |
| CN111245787A (zh) | 一种失陷设备识别与设备失陷度评估的方法、装置 | |
| CN107493256B (zh) | 安全事件防御方法及装置 | |
| CN105939311A (zh) | 一种网络攻击行为的确定方法和装置 | |
| CN112383503A (zh) | 一种网络安全事件处理方法 | |
| CN111049827A (zh) | 一种网络系统安全防护方法、装置及其相关设备 | |
| CN113079185B (zh) | 实现深度数据包检测控制的工业防火墙控制方法及设备 | |
| CN110880983A (zh) | 基于场景的渗透测试方法及装置、存储介质、电子装置 | |
| CN114143052B (zh) | 基于可控入侵模拟的网络防御体系风险评估方法、设备及存储介质 | |
| CN114143096A (zh) | 安全策略配置方法、装置、设备、存储介质及程序产品 | |
| KR20170091989A (ko) | 산업 제어 네트워크에서의 보안 관제 평가 시스템 및 방법 | |
| CN114428962A (zh) | 漏洞风险优先级处置方法和装置 | |
| CN114124531B (zh) | 基于旁路攻击模拟的网络防御体系风险评估方法、电子设备和存储介质 | |
| Mahajan et al. | Performance Analysis of Honeypots Against Flooding Attack | |
| CN115694965A (zh) | 一种电力行业网络安全密网系统 | |
| CN112104674B (zh) | 攻击检测召回率自动测试方法、装置和存储介质 | |
| US11108800B1 (en) | Penetration test monitoring server and system | |
| CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
| JP7111249B2 (ja) | 分析システム、方法およびプログラム | |
| CN109255243B (zh) | 一种终端内潜在威胁的修复方法、系统、装置及存储介质 | |
| CN109688159B (zh) | 网络隔离违规识别方法、服务器及计算机可读存储介质 | |
| CN113411288A (zh) | 设备安全的检测方法、装置和存储介质 | |
| KR102617219B1 (ko) | 악성 코드를 이용한 침투 테스트 방법 및 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |