CN114205153A - 一种面向复杂防御机制的自适应渗透测试方法 - Google Patents

一种面向复杂防御机制的自适应渗透测试方法 Download PDF

Info

Publication number
CN114205153A
CN114205153A CN202111513313.3A CN202111513313A CN114205153A CN 114205153 A CN114205153 A CN 114205153A CN 202111513313 A CN202111513313 A CN 202111513313A CN 114205153 A CN114205153 A CN 114205153A
Authority
CN
China
Prior art keywords
network
penetration
detection
defense
user network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202111513313.3A
Other languages
English (en)
Other versions
CN114205153B (zh
Inventor
任传伦
杨天长
张先国
徐军化
李宝静
董小雨
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cetc Cyberspace Security Research Institute Co ltd
CETC 15 Research Institute
CETC 30 Research Institute
Original Assignee
Cetc Cyberspace Security Research Institute Co ltd
CETC 15 Research Institute
CETC 30 Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cetc Cyberspace Security Research Institute Co ltd, CETC 15 Research Institute, CETC 30 Research Institute filed Critical Cetc Cyberspace Security Research Institute Co ltd
Priority to CN202111513313.3A priority Critical patent/CN114205153B/zh
Publication of CN114205153A publication Critical patent/CN114205153A/zh
Application granted granted Critical
Publication of CN114205153B publication Critical patent/CN114205153B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F18/00Pattern recognition
    • G06F18/20Analysing
    • G06F18/25Fusion techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Theoretical Computer Science (AREA)
  • Bioinformatics & Computational Biology (AREA)
  • Evolutionary Biology (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • Artificial Intelligence (AREA)
  • Bioinformatics & Cheminformatics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Vision & Pattern Recognition (AREA)
  • Health & Medical Sciences (AREA)
  • Evolutionary Computation (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种面向复杂防御机制的自适应渗透测试方法,包括:针对网络自动渗透拓展应用场景,得到目标环境感知、多层次融合的网络渗透工具定制化组装、基于辅助决策的自适应隐蔽渗透和目标防御机制的智能化识别与对抗技术的应用现状;形成面向异构用户网络的自动渗透拓展的技术体系架构,为用户提供目标环境感知、网络渗透工具组装、自适应隐蔽渗透、防御机制智能识别和对抗能力,为用户网络环境的智能化感染和防御机制优化升级提供技术支撑和数据支撑。

Description

一种面向复杂防御机制的自适应渗透测试方法
技术领域
本发明属于网络安全技术领域,特别涉及一种面向复杂防御机制的自适应渗透测试方法。
背景技术
综合利用精心伪装、定点渗透测试、长期潜伏、持续渗透等方式,伺机窃取网络信息系统核心资料和各类情报的渗透测试事件时有发生。一方面,在某些渗透测试案例中,传统安全防御设备甚至在长达数年的持续渗透测试中毫无察觉,从而在事关国民发展的能源、电力、金融、政治、军事、核设施等关键领域造成了难以评估的严重损失。另一方面,传统安全防御体系的框架一般包括:接入控制、安全隔离、边界检测/防御、终端防御、网络审计、访问控制等,所涉及的安全产品包括:防火墙、IDS/IPS、杀毒软件、桌面管理软件、网络审计、双因素认证Token等。这些传统安全防御体系的设备和产品,其最核心的思想是依靠渗透测试特征库的模式匹配完成对渗透测试行为的检测,而针对采用未知漏洞(0day)、未知恶意代码等未知行为的渗透测试手法和技术,依靠已知特征、已知行为模式检测策略的传统安全设备已经无法抵御复杂、隐蔽的渗透测试。
在渗透测试方面,学术研究以及产品方面均具有相关的理论成果和安全厂商产品应用,整体上渗透测试方法或产品存在如下特点:
(1)手段多变,涵盖社会工程学渗透测试、0day漏洞利用、免杀木马、定制化工具、逃逸技术、物理渗透测试、设备后门等;
(2)隐蔽性强,渗透测试能够针对不同的用户网络采用不同的策略,渗透时长多变并且均会使用高级免杀技术以逃避传统安全设备的特征检测,隐蔽性极强。其中,美空军研究实验室(AFRL)提出的网电飞行器具备基于大规模分布式多代理的模式执行自主网电空间任务、提供任务保障能力;国内在重要网络渗透测试工具以及网电渗透测试关键技术等方面有一定的研究基础,如态势感知技术、攻防靶场建设、渗透测试工具开发等,并在针对多种异构网络的控制和渗透测试技术、网络协议异构的网络穿梭技术研究等方面取得了一定成果。360等安全厂商发布了不少公开的渗透测试产品,但是各个产品之间功能相似、相互独立、技术封闭,对第三方产品和科研成果的指导性意义有限。
本发明主要是针对用户环境和防护体系多样、多变等对网络自动渗透测试带来的挑战,形成一套自动化渗透测试体系,结合网络自动渗透拓展知识库、网络环境感知、防御机制识别与对抗等技术手段,提供多层次融合的网络渗透工具定制化组装、用户防御机制的智能识别与对抗等渗透测试能力,能够突破用户防御机制,实现隐蔽地自动渗透扩展。
发明内容
本发明提出了一种面向复杂防御机制的自适应渗透测试方法,面向用户环境异构性和服务类型多样性带来的防御手段多变、防御策略复杂完备等特点,一方面,能够实现防御设备和防御策略的有效识别,另一方面,能够基于对抗反馈机制,自适应地采用预先模拟检测、证书伪装、协议伪装等手段,消除固定检测特征,提高网络渗透测试的行为隐蔽性、自保护能力和面向防御机制的对抗性,进而结合渗透测试工具的定制化组装和自动渗透决策,实现网络渗透测试的自主拓展和隐蔽执行。所述方法包括:
针对网络自动渗透拓展应用场景,基于网络自动渗透拓展知识库和目标防御机制的智能化识别与对抗技术,利用智能化目标环境感知探测用户网络环境,获取异构网络的多源数据信息,并基于多源异构数据融合的智能分析识别方法,构建用户网络环境全面感知与快速分析机理,识别用户网络平台类型、服务状态和安全状态,形成较为完整的用户网络环境态势;
结合感知到的用户网络环境相关信息、网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术,多层次融合的网络渗透工具定制化组装形成具有持续可用性和高度扩展性的网络渗透测试工具定制平台框架,基于自定义策略按需生成满足特定用户网络环境运行需求的网络渗透测试工具;
结合网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术和多层次融合的网络渗透工具定制化组装,进行基于辅助决策的自适应隐蔽渗透,形成具有策略统一描述、用户网络感知接口和增量式知识库的隐蔽渗透决策引擎,根据特定的用户网络环境特点,实现网络渗透测试工具的无感投递,提升渗透测试工具投递随物理环境变化的自适应能力,形成基于辅助决策模型的增量式自学习模式,积累面向不同用户网络环境和防护手段的动态渗透方法知识库;
所述网络自动渗透拓展知识库包括:节点属性库、指纹库、漏洞库、防御策略库、渗透工具库、渗透策略库。
智能化目标环境感知,包括:面向异构网络的节点信息隐蔽探测和基于多源异构数据融合的智能分析识别;
利用面向异构网络的节点信息隐蔽探测感知用户网络环境,获取异构网络的多源数据信息,通过IP探测、端口扫描、协议逆向和深度交互手段,针对异构网络暴露在互联网上的服务器、终端、云和移动终端进行节点信息隐蔽探测,收集服务器、终端、云和移动终端的平台、OS、开放端口、服务平台类型及版本、防护机制和防护策略信息;
面向异构网络的节点信息隐蔽探测包括网络对象节点信息探测和云服务器资源探测;
网络对象节点信息探测,包括:
采用ICMP PING、TCP PING和ARP PING技术进行节点存活性探测,初步确定用户网络主机是否可达;
采用TCP全连接、TCP SYN和TCP FIN端口扫描技术进行节点端口扫描,发现用户网络主机网络协议和各种应用的开放端口;
在端口探测扫描结果基础上,根据默认端口定义或根据应用协议特征,进行节点服务类型和版本的智能化探测和判断;
根据各个OS在TCP/IP协议栈实现上的不同特点,进行节点操作系统类型探测识别;
通过模拟用户网络服务的正常登录流程,使用用户名和口令字方式对用户网络服务进行访问并尝试登录,根据用户网络返回的信息判断其可用的用户名口令,获取与主机或网络的安全性相关的共享目录和文件信息,实现节点敏感信息探测。
云服务器资源探测,包括:
针对云服务隐藏后端服务对象的问题,分析云服务对象特征,利用网络扫描和探测技术,基于大规模服务对象指纹匹配技术,识别后端原始服务对象的网络IP,实现后端服务对象的识别和瞄准;
针对全球范围内大量存在的云服务节点,利用大规模网络扫描技术,基于服务节点指纹匹配技术,实现对云服务节点的识别、瞄准和网络结构的探测。
基于多源异构数据融合的智能分析识别:通过融合分析第三方情报数据、公开数据和互联网主动探测数据,形成用户网络节点的基础设施数据库,完成对节点的识别定性分析、单点信息分析和多源信息融合分析,实现对用户网络环境探测感知信息的高效利用。
所述目标防御机制的智能化识别与对抗技术,包括:基于协议伪装和模拟检测的入侵检测对抗、基于隐蔽通信信道边界防护规避、基于沙箱模拟检测的防御对抗、基于审计规则规避的防御对抗、目标防御机制的智能化识别,准确识别用户网络防御机制并规避多种安全防护系统,以支撑渗透测试工具的隐蔽渗透;
所述基于协议伪装和模拟检测的入侵检测对抗,包括:针对用户入侵检测措施,从基于网络的入侵检测和基于模拟检测运行两个方面进行入侵检测对抗,其中基于网络的入侵检测主要针对基于特征和流量行为分析的入侵检测机制,通过流量协议伪装,消除恶意流量特征和行为特征;基于模拟检测运行的方法通过提取在用户各个入侵检测系统中的预执行,基于检测执行结果反馈,进行自身保护机制变换,从而成功规避用户的入侵检测;
所述基于隐蔽通信信道边界防护规避,包括:针对用户网络边界防护措施,通过基于协议伪装的合法流量伪装、基于合法流量注入的流量隐藏、基于通信加密的加密流量生成等手段,对边界防护设备进行协议混淆、流量隐藏和流量分析对抗,从而绕过边界防护检测规则,从通信信道隐藏角度实现防御机制的对抗;
所述基于沙箱模拟检测的防御对抗,包括:针对杀毒软件的病毒查杀,通过在沙箱环境中模拟执行,基于反馈执行结果,经过训练学习,提高网络渗透拓展中相关程序的反调试能力、反虚拟执行能力和 Rootkit隐藏能力,以应对基于虚拟机环境的检测和动态调试检测,规避主机杀毒软件和主动防御机制的查杀;
所述基于审计规则规避的防御对抗,包括:针对用户网络内网审计软件的行为审计,通过变换通信协议和渗透方法、基于证书伪装的审计规避技术、基于代理应用软件的行为审计规避等手段,通过通信行为协议混淆、渗透方法适变对审计软件的行为审计阻断进行扰乱,通过伪装证书规避审计软件基于合法证书认证的行为审计策略,通过使用代理软件实现基于审计通信阻断和代理欺骗的行为审计对抗;
所述目标防御机制的智能化识别,包括:在用户网络环境的基础之上,实现基于指纹库的防御设备识别,同时,基于用户网络控守手段,通过获取配置文件,实现防御策略识别。
多层次融合的网络渗透工具定制化组装,包括:加载载荷目录下的所有载荷,获取各载荷的信息获取函数,初始化各载荷数据结构,提供一种注册机制,为每种载荷提供一个特定ID,根据本次的网络渗透拓展任务,基于获取的用户网络环境态势中的用户网络漏洞、防御机制、防御策略、平台和服务类型等信息,决定渗透测试工具定制组织的具体方式,包括代码嵌入和模块组合,最终通过压缩、加密、混淆等对生成的渗透测试工具进行变换加固。
所述基于辅助决策的自适应隐蔽渗透,包括:基于实际感知到的用户网络环境平台类型、服务状态和安全状态信息,确定具体的渗透用户网络类型、隐蔽渗透方法、用户网络注入点和渗透通道,使用辅助决策模型提供的决策引擎接口和增量式学习模式,构建面向决策问题的知识库。
本发明的有益效果为:
(1)引入自适应渗透概念,能够结合各种渗透测试技术手段,实现用户网络的自动渗透拓展;
(2)构建了一套自动化渗透测试体系,考虑用户网络自动化渗透测试的各个阶段,结合自定义策略、动态渗透知识库、自主传播决策、用户网络防御机制检测识别等手段,能够准确识别用户网络防御机制并规避多种安全防护系统,以实现网络渗透拓展的自主感染和渗透工具的隐蔽渗透,以反向提升用户网络防御安全性;
(3)扩展性好。自动化渗透测试方法支持本发明之外的用户网络防御机制识别和隐蔽渗透技术,同时作为用户网络防御安全性检测的辅助手段,能够在渗透测试结果的提炼、归并、攻防转化等处理基础之上,利于转化形成用户网络防御机制安全性的评估要素。
附图说明
图1为本发明的技术体系架构;
图2为本发明智能化目标网络环境感知的工作流程;
图3为本发明多层次融合的网络渗透工具定制化组装的工作流程;
图4为本发明基于辅助决策的自适应隐蔽渗透的工作流程;
图5为本发明基于沙箱模拟检测的防御对抗的工作流程。
具体实施方式
下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
图1为本发明的技术体系架构,针对网络自动渗透拓展应用场景,基于网络自动渗透拓展知识库和目标防御机制的智能化识别与对抗技术,利用智能化目标环境感知探测用户网络环境,获取异构网络的多源数据信息,并基于多源异构数据融合的智能分析识别方法,构建用户网络环境全面感知与快速分析机理,识别用户网络平台类型、服务状态和安全状态,形成较为完整的用户网络环境态势;
结合感知到的用户网络环境相关信息、网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术,多层次融合的网络渗透工具定制化组装形成具有持续可用性和高度扩展性的网络渗透测试工具定制平台框架,基于自定义策略按需生成满足特定用户网络环境运行需求的网络渗透测试工具;
结合网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术和多层次融合的网络渗透工具定制化组装,进行基于辅助决策的自适应隐蔽渗透,形成具有策略统一描述、用户网络感知接口和增量式知识库的隐蔽渗透决策引擎,根据特定的用户网络环境特点,实现网络渗透测试工具的无感投递,提升渗透测试工具投递随物理环境变化的自适应能力,形成基于辅助决策模型的增量式自学习模式,积累面向不同用户网络环境和防护手段的动态渗透方法知识库;
网络自动渗透拓展知识库包括:节点属性库、指纹库、漏洞库、防御策略库、渗透工具库、渗透策略库。
智能化目标环境感知主要针对用户网络环境的高混杂和非确定性导致的用户网络发现识别精确度不高、状态和功能角色感知不全面、防护手段识别难度大等问题,综合利用被动监听、基于接入式的节点信息获取、基于控守式的信息获取等用户网络环境感知技术手段,全面深入探测感知用户网络环境,获取异构网络的多源数据信息;并基于多源异构数据融合的智能分析识别方法,构建用户网络环境全面感知与快速分析机理,识别用户网络平台类型、服务状态、安全状态等多域信息并进行有机整合,形成较为完整的用户网络环境态势,进而为用户网络环境的渗透拓展提供有力支撑和数据基础,以提高渗透拓展的精准性与时效性。
智能化目标环境感知具体实现流程如图2所示,首先需要完成面向异构网络的节点信息隐蔽探测,然后分别进行网络对象节点信息探测和云服务器资源探测,再根据探测的信息完成多源异构数据融合与分析识别;
当进行网络对象节点信息探测时,首先根据ICMP/TCP/ARP协议对节点进行存活性探测,接着对节点端口进行TCP全连接扫描或者FIN扫描;扫描完成后,进行基于端口的节点服务类型和版本探测,同时进行基于应用协议特征的节点服务类型和版本智能化判定;根据服务类型和版本探测结果进行基于协议栈特征的操作系统类型探测,然后进行基于服务登录模拟的节点敏感信息探测;
当进行云服务器资源探测时,首先需要对云服务对象特征进行分析,然后进行网络扫描和探测,网络扫描和探测之后完成后端服务对象IP的精准识别、云服务节点的瞄准和云服务网络结构探测。
最后需要对探测到的节点敏感信息、后端服务对象IP信息、云服务节点信息和云服务网络结构信息进行多源异构数据融合,进行基于多源异构数据融合的智能分析识别;首先需要搭建多维度多粒度分析模型,利用该模型进行数据融合和综合处理,结合基础设施、政企等第三方数据的节点属性识别和功能定位结果得到目标环境分析结果,并且将目标环境分析结果进行自学习反馈增量优化,反馈给多维度多粒度分析模型。
多层次融合的网络渗透测试工具定制化组装主要结合感知到的用户网络环境相关信息和防御对抗技术,形成具有持续可用性和高度扩展性的网络渗透测试工具定制平台框架,基于自定义策略按需生成满足特定用户网络环境运行需求的网络渗透测试工具,提升网络渗透测试工具定制组装随用户网络环境变化的动态适变能力。
对于网络渗透测试工具定制组装平台的构建,具体需要从顶层设计的角度规划好网络渗透拓展中所需要的各种渗透测试工具功能载荷,制定一套统一的渗透测试工具规范来统一命名规则、接口标准,使得渗透测试工具真正做到即插即用、统一管理。各载荷需按载荷规范设计载荷,具体包括两种载荷,一种是以源码形式存在的功能载荷插件,另一种是以可执行文件形式存在的功能载荷模块。网络渗透测试工具定制组装平台需要根据具体的用户网络环境、渗透方法、感染模式等,选择装配、卸载、加固何种载荷。
多层次融合的网络渗透工具定制化组装的工作流程如图3所示。首先加载载荷目录下的所有载荷,获取各载荷的信息获取函数,初始化各载荷数据结构,同时提供一种注册机制,注册工具功能函数到函数指针数组、填充工具数据结构,接下来注册工具ID,为每种载荷提供一个特定ID;然后根据本次的网络渗透拓展任务,基于获取的用户网络漏洞、防御机制、防御策略、平台和服务类型等用户目标环境态势信息,决定渗透测试工具定制组织的具体方式,判断是否进行源码级组装,如果是,进行基于功能代码嵌入的网络渗透工具生成,如果否,进行基于模块组合定制的网络渗透工具生成。
基于辅助决策的自适应隐蔽渗透在执行任务时,其工作流程如图 4所示,首先基于智能化目标环境感知获得的用户网络环境平台类型、服务状态以及安全状态等多维用户网络信息,调用辅助决策引擎,推理决策,确定具体的渗透用户网络类型、隐蔽渗透方法、用户网络注入点及渗透通道等具体策略,然后执行隐蔽渗透决策,判断是否成果,如果是,进入知识库增量式学习,构建面向决策问题的知识库,如果否,隐蔽渗透失败,反馈信息到推理决策环节。
目标防御机制的智能化识别与对抗技术主要通过基于协议伪装和模拟检测的入侵检测对抗、基于隐蔽通信信道边界防护规避、基于沙箱模拟检测的防御对抗、基于审计规则规避的防御对抗、目标防御机制的智能化识别等对抗技术,实现防御设备和防御策略的有效识别,并通过预先模拟检测、证书伪装、协议伪装等手段,消除固定检测特征,提高网络渗透的行为隐蔽性、自保护能力和面向防御机制的对抗性,以防止防御机制发现自身的存在和行踪,从而准确识别用户网络防御机制并规避多种安全防护系统,以支撑渗透测试工具的隐蔽渗透。图5为基于沙箱模拟检测的防御对抗工作流程:首先启动保护模式,检测是否处于虚拟机环境,如是,调用处理函数,如否,判断是否突破主机安防;如果没有突破主机安防,则调用处理函数,如果突破主机安防,则调用Rootkit隐藏自身,接着检测是否处于虚拟机环境,如是,调用处理函数,如否,检测是否被动调试;如检测到被动调试,则调用处理函数,如检测没有被动调试,则继续检测是否处于虚拟机环境。

Claims (7)

1.一种面向复杂防御机制的自适应渗透测试方法,其特征在于,所述方法包括:
针对网络自动渗透拓展应用场景,基于网络自动渗透拓展知识库和目标防御机制的智能化识别与对抗技术,利用智能化目标环境感知探测用户网络环境,获取异构网络的多源数据信息,并基于多源异构数据融合的智能分析识别方法,构建用户网络环境全面感知与快速分析机理,识别用户网络平台类型、服务状态和安全状态,形成用户网络环境态势;
结合感知到的用户网络环境相关信息、网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术,多层次融合的网络渗透工具定制化组装形成网络渗透测试工具定制平台框架,基于自定义策略按需生成满足特定用户网络环境运行需求的网络渗透测试工具;
结合网络自动渗透拓展知识库、目标防御机制智能化识别与对抗技术和多层次融合的网络渗透工具定制化组装,进行基于辅助决策的自适应隐蔽渗透,形成具有策略统一描述、用户网络感知接口和增量式知识库的隐蔽渗透决策引擎,根据特定的用户网络环境特点,实现网络渗透测试工具的无感投递,提升渗透测试工具投递随物理环境变化的自适应能力,形成基于辅助决策模型的增量式自学习模式,积累面向不同用户网络环境和防护手段的动态渗透方法知识库;
所述网络自动渗透拓展知识库包括:节点属性库、指纹库、漏洞库、防御策略库、渗透工具库、渗透策略库。
2.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述智能化目标环境感知,包括:面向异构网络的节点信息隐蔽探测和基于多源异构数据融合的智能分析识别;
所述面向异构网络的节点信息隐蔽探测,包括:网络对象节点信息探测和云服务器资源探测;
利用面向异构网络的节点信息隐蔽探测感知用户网络环境,获取异构网络的多源数据信息;
利用多源异构数据融合的智能分析识别对多源数据信息进行分析识别;
所述基于多源异构数据融合的智能分析识别,包括:融合分析第三方情报数据、公开数据和互联网主动探测数据,形成用户网络节点的基础设施数据库,完成对节点的识别定性分析、单点信息分析和多源信息融合分析,实现对用户网络环境探测感知信息的高效利用。
3.根据权利要求2所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述网络对象节点信息探测,包括:
采用ICMP PING、TCP PING和ARP PING技术进行节点存活性探测,初步确定用户网络主机是否可达;
采用TCP全连接、TCP SYN和TCP FIN端口扫描技术进行节点端口扫描,发现用户网络主机网络协议和各种应用的开放端口;
在端口探测扫描结果基础上,根据默认端口定义或根据应用协议特征,进行节点服务类型和版本的智能化探测和判断;
根据各个OS在TCP/IP协议栈实现上的不同特点,进行节点操作系统类型探测识别;
通过模拟用户网络服务的正常登录流程,使用用户名和口令字方式对用户网络服务进行访问并尝试登录,根据用户网络返回的信息判断其可用的用户名口令,获取与主机或网络的安全性相关的共享目录和文件信息,实现节点敏感信息探测。
4.根据权利要求2所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述云服务器资源探测,包括:
针对云服务隐藏后端服务对象的问题,分析云服务对象特征,利用网络扫描和探测技术,基于大规模服务对象指纹匹配技术,识别后端原始服务对象的网络IP,实现后端服务对象的识别和瞄准;
针对全球范围内大量存在的云服务节点,利用大规模网络扫描技术,基于服务节点指纹匹配技术,实现对云服务节点的识别、瞄准和网络结构的探测。
5.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述目标防御机制的智能化识别与对抗技术,包括:基于协议伪装和模拟检测的入侵检测对抗、基于隐蔽通信信道边界防护规避、基于沙箱模拟检测的防御对抗、基于审计规则规避的防御对抗、目标防御机制的智能化识别,准确识别用户网络防御机制并规避多种安全防护系统,以支撑渗透测试工具的隐蔽渗透;
所述基于协议伪装和模拟检测的入侵检测对抗,包括:针对用户入侵检测措施,从基于网络的入侵检测和基于模拟检测运行两个方面进行入侵检测对抗;
所述基于网络的入侵检测,包括:针对基于特征和流量行为分析的入侵检测机制,通过流量协议伪装,消除恶意流量特征和行为特征;
所述基于模拟检测运行的方法,包括:提取在用户各个入侵检测系统中的预执行,基于检测执行结果反馈,进行自身保护机制变换,从而成功规避用户的入侵检测;
所述基于隐蔽通信信道边界防护规避,包括:针对用户网络边界防护措施,通过基于协议伪装的合法流量伪装、基于合法流量注入的流量隐藏和基于通信加密的加密流量生成手段,对边界防护设备进行协议混淆、流量隐藏和流量分析对抗,实现防御机制的对抗;
所述基于沙箱模拟检测的防御对抗,包括:针对杀毒软件的病毒查杀,在沙箱环境中模拟执行,基于反馈执行结果,经过训练学习,提高网络渗透拓展中相关程序的反调试能力、反虚拟执行能力和Rootkit隐藏能力,以应对基于虚拟机环境的检测和动态调试检测,规避主机杀毒软件和主动防御机制的查杀;
所述基于审计规则规避的防御对抗,包括:
通过变换通信协议和渗透方法、基于证书伪装的审计规避技术和基于代理应用软件的行为审计规避手段,针对用户网络内网审计软件的行为审计;
通过通信行为协议混淆和渗透方法适变,对审计软件的行为审计阻断进行扰乱;
通过伪装证书规避审计软件基于合法证书认证的行为审计策略;
通过使用代理软件实现基于审计通信阻断和代理欺骗的行为审计对抗;
所述目标防御机制的智能化识别,包括:在用户网络环境的基础上,实现基于指纹库的防御设备识别;
基于用户网络控守手段,通过获取配置文件,实现防御策略识别。
6.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述多层次融合的网络渗透工具定制化组装,包括:加载载荷目录下的所有载荷,获取各载荷的信息获取函数,初始化各载荷数据结构,提供一种注册机制,为每种载荷提供一个特定ID;
根据网络渗透拓展任务,基于获取的用户网络环境态势中的用户网络漏洞、防御机制、防御策略、平台和服务类型信息,决定渗透测试工具定制组织的方式;
所述渗透测试工具定制组织的方式包括:代码嵌入和模块组合;
所述渗透测试工具需要进行变换加固;
所述变换加固方式包括:压缩、加密和混淆。
7.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法,其特征在于,所述基于辅助决策的自适应隐蔽渗透,包括:基于实际感知到的用户网络环境平台类型、服务状态和安全状态信息,确定具体的渗透用户网络类型、隐蔽渗透方法、用户网络注入点和渗透通道,使用辅助决策模型提供的决策引擎接口和增量式学习模式,构建面向决策问题的知识库。
CN202111513313.3A 2021-12-12 2021-12-12 一种面向复杂防御机制的自适应渗透测试方法 Active CN114205153B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111513313.3A CN114205153B (zh) 2021-12-12 2021-12-12 一种面向复杂防御机制的自适应渗透测试方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111513313.3A CN114205153B (zh) 2021-12-12 2021-12-12 一种面向复杂防御机制的自适应渗透测试方法

Publications (2)

Publication Number Publication Date
CN114205153A true CN114205153A (zh) 2022-03-18
CN114205153B CN114205153B (zh) 2023-01-24

Family

ID=80652652

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111513313.3A Active CN114205153B (zh) 2021-12-12 2021-12-12 一种面向复杂防御机制的自适应渗透测试方法

Country Status (1)

Country Link
CN (1) CN114205153B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116861418A (zh) * 2023-09-05 2023-10-10 北京华云安信息技术有限公司 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035803A1 (en) * 2009-08-05 2011-02-10 Core Security Technologies System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy
CN105068925A (zh) * 2015-07-29 2015-11-18 北京理工大学 软件安全缺陷发现系统
CN108809951A (zh) * 2018-05-16 2018-11-13 南京大学 一种适用于工业控制系统的渗透测试框架
CN111026660A (zh) * 2019-12-05 2020-04-17 国网浙江省电力有限公司电力科学研究院 一种基于专家系统知识库的渗透测试方法

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20110035803A1 (en) * 2009-08-05 2011-02-10 Core Security Technologies System and method for extending automated penetration testing to develop an intelligent and cost efficient security strategy
CN105068925A (zh) * 2015-07-29 2015-11-18 北京理工大学 软件安全缺陷发现系统
CN108809951A (zh) * 2018-05-16 2018-11-13 南京大学 一种适用于工业控制系统的渗透测试框架
CN111026660A (zh) * 2019-12-05 2020-04-17 国网浙江省电力有限公司电力科学研究院 一种基于专家系统知识库的渗透测试方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116861418A (zh) * 2023-09-05 2023-10-10 北京华云安信息技术有限公司 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质
CN116861418B (zh) * 2023-09-05 2023-12-22 北京华云安信息技术有限公司 面向32位Windows沙盒的渗透测试方法、装置、设备及存储介质

Also Published As

Publication number Publication date
CN114205153B (zh) 2023-01-24

Similar Documents

Publication Publication Date Title
Sachidananda et al. Let the cat out of the bag: A holistic approach towards security analysis of the internet of things
Martins et al. Towards a systematic threat modeling approach for cyber-physical systems
Holm et al. Sved: Scanning, vulnerabilities, exploits and detection
CN106022113A (zh) 经由沙盒检测恶意文件感染
US20070107058A1 (en) Intrusion detection using dynamic tracing
Rivera et al. ROSploit: Cybersecurity tool for ROS
Xiao et al. VulHunter: A Discovery for unknown Bugs based on Analysis for known patches in Industry Internet of Things
Johari et al. Penetration testing in IoT network
Wang et al. Hidden web crawling for SQL injection detection
CN113901475A (zh) 一种针对工控终端设备的输入验证漏洞的模糊挖掘方法
CN108959936B (zh) 一种基于路径分析的缓冲区溢出漏洞自动利用方法
Pendleton et al. A dataset generator for next generation system call host intrusion detection systems
CN114205153B (zh) 一种面向复杂防御机制的自适应渗透测试方法
Li et al. An approach to model network exploitations using exploitation graphs
Yadav et al. Penetration testing framework for iot
Zhu et al. Research on security detection technology for internet of things terminal based on firmware code genes
CN115361203A (zh) 一种基于分布式扫描引擎的脆弱性分析方法
Landauer et al. Maintainable log datasets for evaluation of intrusion detection systems
Shi et al. Analysis of web security comprehensive evaluation tools
CN116318783B (zh) 基于安全指标的网络工控设备安全监测方法及装置
Zhang et al. Diversity-by-design for dependable and secure cyber-physical systems: A survey
Ma et al. Communication-based attacks detection in android applications
Kumar et al. Intrusion detection system for grid computing using SNORT
Antoniol Keynote paper: Search based software testing for software security: Breaking code to make it safer
Chang et al. Vulnerable service invocation and countermeasures

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant