CN116405325B - 基于安全知识图谱的网络安全测试方法以及相关设备 - Google Patents

基于安全知识图谱的网络安全测试方法以及相关设备 Download PDF

Info

Publication number
CN116405325B
CN116405325B CN202310666040.9A CN202310666040A CN116405325B CN 116405325 B CN116405325 B CN 116405325B CN 202310666040 A CN202310666040 A CN 202310666040A CN 116405325 B CN116405325 B CN 116405325B
Authority
CN
China
Prior art keywords
target
network
security
knowledge graph
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310666040.9A
Other languages
English (en)
Other versions
CN116405325A (zh
Inventor
张家伟
陈睿
贾焰
方滨兴
张彦春
韩伟红
黄珺
吉青利
杨杰
吴志良
李宗哲
杨明盛
殷丽华
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peng Cheng Laboratory
Original Assignee
Peng Cheng Laboratory
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Peng Cheng Laboratory filed Critical Peng Cheng Laboratory
Priority to CN202310666040.9A priority Critical patent/CN116405325B/zh
Publication of CN116405325A publication Critical patent/CN116405325A/zh
Application granted granted Critical
Publication of CN116405325B publication Critical patent/CN116405325B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/30Information retrieval; Database structures therefor; File system structures therefor of unstructured textual data
    • G06F16/35Clustering; Classification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Environmental & Geological Engineering (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请涉及网络安全技术领域,提供了一种基于安全知识图谱的网络安全测试方法以及相关设备,该方法根据目标网络对应的网络场景类型从安全知识图谱中解构出目标场景知识图谱,再基于目标场景知识图谱在网络仿真环境中对目标网络进行分阶段的网络安全测试,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具,既可以实现自动化的网络安全测试,极大地提高网络安全测试的完整性和高效性,通过解构出目标场景知识图谱,又能够提高图谱匹配的速度和精确度,且在每个安全测试阶段中,能够根据不同情况和需求为当前阶段提供个性化的测试技战术指导,实时适应测试对象的防御措施,从而提高测试效果。

Description

基于安全知识图谱的网络安全测试方法以及相关设备
技术领域
本申请涉及网络安全技术领域,尤其涉及一种基于安全知识图谱的网络安全测试方法以及相关设备。
背景技术
网络靶场可以模拟真实的网络环境,包括网络拓扑、应用程序、安全防护措施等,从而可以更真实地模拟网络攻防场景。因此,制定面向网络靶场的网络安全测试方法,可以更好地帮助安全团队了解渗透者可能采取的方法和技术,从而更好地保护真实网络环境的安全。
传统的网络安全测试中,需要人工分析当前系统的漏洞和弱点并依据分析结果人工生成测试方案,容易受到人的主观性和经验的限制,无法利用某些隐蔽的漏洞和弱点,且通常只能针对单个漏洞或者单个系统进行评测,存在测试完整性差、测试效率低、无法实现自动化测试等诸多缺点。
发明内容
本申请实施例的主要目的在于针对现有技术的缺陷,提出一种基于安全知识图谱的网络安全测试方法、装置、电子设备及计算机可读存储介质。
为实现上述目的,本申请实施例的第一方面提出了一种基于安全知识图谱的网络安全测试方法,所述方法包括:
采集网络安全数据并对所述网络安全数据进行预处理;
根据预处理后的所述网络安全数据构建安全知识图谱;
利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络;
根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱;
基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试;
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,所述安全知识图谱包括多个维度的安全信息实体,各个维度的所述安全信息实体包括多个安全信息节点,所述安全知识图谱还包括各个维度之间的所述安全信息节点的节点对应关系;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱,包括:
根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点;
根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,所述安全信息实体包括资产维度实体、漏洞维度实体、测试方式维度实体和测试工具维度实体;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点,包括:
根据所述资产维度实体所包括的多个资产节点与所述网络场景类型的资产信息之间的关联性确定目标资产节点;
根据所述漏洞维度实体所包括的多个漏洞节点在所述网络场景类型的出现频率确定目标漏洞节点;
根据所述测试方式维度实体所包括的多个测试方式节点在所述网络场景类型的出现频率确定目标测试方式节点;
根据所述测试工具维度实体所包括的多个渗透工具节点在所述网络场景类型中的使用频率确定目标渗透工具节点。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,所述根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱,包括:
基于所述目标资产节点、所述目标漏洞节点和所述目标资产节点与所述目标漏洞节点之间的节点对应关系生成第一场景知识图谱;
在所述第一场景知识图谱的基础上,基于所述目标漏洞节点、所述目标测试方式节点和所述目标漏洞节点与所述目标测试方式节点之间的节点对应关系生成第二场景知识图谱;
在所述第二场景知识图谱的基础上,基于所述目标测试方式节点、所述目标渗透工具节点和所述目标测试方式节点与所述目标渗透工具节点之间的节点对应关系生成目标场景知识图谱。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,在所述信息扫描阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述网络场景类型的扫描探测工具,并利用所述扫描探测工具对所述网络仿真环境进行扫描以得到至少一个目标靶机的目标资产。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,在所述靶机渗透阶段中,所述方法包括:
基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,并利用所述渗透工具对所述目标靶机进行渗透测试以取得所述目标靶机的管理员权限。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,所述基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,包括:
根据所述目标资产节点与所述目标漏洞节点之间的节点对应关系,在所述目标场景知识图谱中确定所述目标资产存在的漏洞;
根据所述目标漏洞节点与所述测试方式节点之间的节点对应关系,在所述目标场景知识图谱中确定用于利用所述漏洞渗透所述目标靶机的测试方式;
根据所述测试方式节点与所述渗透工具节点之间的节点对应关系,在所述目标场景知识图谱中确定用于执行所述测试方式的渗透工具。
为实现上述目的,本申请实施例的第二方面提出了一种基于安全知识图谱的网络安全测试装置,所述装置包括:
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,在所述远程控制阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述目标靶机的远程控制工具,并利用所述远程控制工具对所述目标靶机进行远程控制。
根据本申请一些实施例提供的基于安全知识图谱的网络安全测试方法,在所述信息利用阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述目标靶机的信息获取工具,并在远程连接所述目标靶机的基础上利用所述信息获取工具获取所述目标靶机的设备信息,所述设备信息包括网络连接信息和系统信息。
为实现上述目的,本申请实施例的第二方面提出了一种基于安全知识图谱的网络安全测试装置,所述装置包括:
数据采集模块,用于采集网络安全数据并对所述网络安全数据进行预处理;
图谱构建模块,用于根据预处理后的所述网络安全数据构建安全知识图谱;
网络构建模块,用于利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络;
图谱解构模块,用于根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱;
安全测试模块,用于基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试;
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具。
为实现上述目的,本申请实施例的第三方面提出了一种电子设备,所述电子设备包括存储器、处理器、存储在所述存储器上并可在所述处理器上运行的计算机程序,所述计算机程序被所述处理器执行时实现上述第一方面所述的方法。
为实现上述目的,本申请实施例的第四方面提出了一种存储介质,所述存储介质为计算机可读存储介质,用于计算机可读存储,所述存储介质存储有一个或者多个计算机程序,所述一个或者多个计算机程序可被一个或者多个处理器执行,以实现上述第一方面所述的方法。
本申请提出一种基于安全知识图谱的网络安全测试方法、装置、电子设备以及计算机可读存储介质,该方法包括采集网络安全数据并对网络安全数据进行预处理,之后根据预处理后的网络安全数据构建安全知识图谱,利用网络仿真平台构建网络仿真环境,网络仿真环境包括待测试的目标网络,根据目标网络对应的网络场景类型从安全知识图谱中解构出目标场景知识图谱,再基于目标场景知识图谱在网络仿真环境中对目标网络进行分阶段的网络安全测试,其中,分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具。相比于传统的网络安全测试很大程度依赖个人的经验和知识,本申请通过安全知识图谱指导对目标网络的网络安全测试,能够充分利用网络安全数据,在网络安全测试中自动推荐测试工具,既可以实现自动化的网络安全测试,又极大地提高网络安全测试的完整性和高效性,同时,本申请根据目标网络对应的网络场景类型从整体的安全知识图谱中解构目标场景知识图谱,能够减少后期图谱匹配的范围,提高匹配响应的速度,也能够筛选出更精确的目标范围,从而提高匹配的精确度。此外,本申请中的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具,根据不同情况和需求,为当前阶段提供个性化的测试技战术指导,能够实时适应测试对象的防御措施,从而提高测试效果。
附图说明
图1是本申请实施例提供的一种基于安全知识图谱的网络安全测试方法的流程示意图;
图2是图1中步骤S140的子步骤流程示意图;
图3是图2中步骤S210的子步骤流程示意图;
图4是图2中步骤S220的子步骤流程示意图;
图5是本申请实施例提供的一种分阶段网络安全测试的流程示意图;
图6是是本申请另一实施例提供的一种基于安全知识图谱的网络安全测试方法的流程示意图;
图7是本申请实施例提供的一种场景知识图谱中多维实体的示意图;
图8是本申请实施例提供的一种基于安全知识图谱的网络安全测试装置的结构示意图;
图9是本申请实施例提供的一种电子设备的硬件结构示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,除非另有定义,本文所使用的所有的技术和科学术语与属于本申请的技术领域的技术人员通常理解的含义相同。本文中所使用的术语只是为了描述本申请实施例的目的,不是旨在限制本申请。
网络靶场可以模拟真实的网络环境,包括网络拓扑、应用程序、安全防护措施等,从而可以更真实地模拟网络攻防场景。因此,制定面向网络靶场的网络安全测试方法,可以更好地帮助安全团队了解渗透者可能采取的方法和技术,从而更好地保护真实网络环境的安全。
传统的网络安全测试中,需要人工分析当前系统的漏洞和弱点并依据分析结果人工生成测试方案,容易受到人的主观性和经验的限制,无法利用某些隐蔽的漏洞和弱点,且通常只能针对单个漏洞或者单个系统进行评测,存在测试完整性差、测试效率低、无法实现自动化测试等诸多缺点。
基于此,本申请实施例提供了一种基于安全知识图谱的网络安全测试方法、装置、电子设备及计算机可读存储介质,首先描述本申请实施例中的基于安全知识图谱的网络安全测试方法。
请参见图1,图1示出了本申请实施例提供的一种基于安全知识图谱的网络安全测试方法的流程示意图,如图1所示,该基于安全知识图谱的网络安全测试方法包括但不限于步骤S110至步骤S150。
步骤S110,采集网络安全数据并对所述网络安全数据进行预处理。
应能理解,在采集网络安全数据之前,首先确定安全知识图谱所包含的范围,包括安全概念、技术、渗透方式和防御策略等方面,同时确定安全知识图谱的目的,包括提供网络安全培训、帮助安全专业人员解决实际问题或进行安全威胁分析等方面,之后基于安全知识图谱所包含的范围以及目标,采用爬虫技术从网络安全方面的文献、安全专家的博客、安全厂商的报告、安全漏洞库等途径获取,并对采集得到的网络安全数据进行清洗和处理,去除重复的网络安全数据,并处理后的对网络安全数据进行归类整理,筛选出有价值的网络安全数据。
步骤S120,根据预处理后的所述网络安全数据构建安全知识图谱。
可以理解的是,对预处理后的网络安全数据进行分析,基于规则匹配技术对实体和关系完成抽取与融合,建立知识图谱的结构和关系,将各个安全概念、技术、渗透方式和防御策略等元素之间的关系进行建模,形成安全知识图谱的结构。
在本申请实施例中,还包括对安全知识图谱的验证和调整,在根据预处理后的网络安全数据构建安全知识图谱后,为了确保知识图谱的准确性和完整性,对构建好的安全知识图谱进行验证和调整,并不断更新和完善安全知识图谱,以适应不断变化的安全威胁。
应能理解,相比于传统的网络安全测试很大程度依赖个人的经验和知识,通过安全知识图谱指导对目标网络的网络安全测试,能够充分利用网络安全数据,在网络安全测试中自动推荐测试工具,既可以实现自动化的网络安全测试,又极大地提高网络安全测试的完整性和高效性。
步骤S130,利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络。
在本申请实施例中,利用网络仿真平台构建包括网络仿真环境,可以采用灵活便捷的方式快速设计和部署大型目标网络,对目标网络的节点内部程序提供多种方式进行灵活配置,能够提供网络设备虚拟化、虚拟交换机流量镜像等多种方式提高目标网络的逼真程度,提供丰富的互联接入方式使目标网络与异域的设备和网络或互联网互联互通,并提供统一的资源管理支撑目标网络的构建。
步骤S140,根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱。
应能理解,安全知识图谱基于公开数据源构建,往往包含多个网络场景的网络安全信息,在安全知识图谱中存在许多冗余的实体和关系,根据目标网络对应的网络场景类型从整体的安全知识图谱中解构目标场景知识图谱,能够减少后期图谱匹配的范围,提高匹配响应的速度,也能够筛选出更精确的目标范围,从而提高匹配的精确度。
在一些实施例中,所述安全知识图谱包括多个维度的安全信息实体,各个维度的所述安全信息实体包括多个安全信息节点,所述安全知识图谱还包括各个维度之间的所述安全信息节点的节点对应关系。
参见图2,图2示出了图1中步骤S140的子步骤流程示意图,如图2所示,所述根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱,包括但不限于步骤S210和步骤S220。
步骤S210,根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点。
步骤S220,根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱。
在本申请实施例中,安全知识图谱中包括多个网络场景的多维安全信息实体,其中各个维度的安全信息实体中包括多个安全信息节点,例如资产维度实体中包括应用程序、服务器,网络设备或数据库等安全信息节点,各个维度之间的安全信息节点的节点对应关系,例如资产维度实体中的节点“应用程序”与漏洞维度实体中的节点“认证绕过”存在对应关系,表征该应用程序存在认证绕过漏洞。
可以理解的是,在解构出目标场景知识图谱的过程中,首先根据目标网络对应的网络场景类型从安全知识图谱各个维度的安全信息实体中确定多个目标安全信息节点,最后根据目标安全信息节点以及节点对应关系生成目标场景知识图谱。
在一些实施例中,所述安全信息实体包括资产维度实体、漏洞维度实体、测试方式维度实体和测试工具维度实体。
参见图3,图3示出了图2中步骤S210的子步骤流程示意图,如图3所示,所述根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点,包括但不限于步骤S310至步骤S340。
步骤S310,根据所述资产维度实体所包括的多个资产节点与所述网络场景类型的资产信息之间的关联性确定目标资产节点。
步骤S320,根据所述漏洞维度实体所包括的多个漏洞节点在所述网络场景类型的出现频率确定目标漏洞节点。
步骤S330,根据所述测试方式维度实体所包括的多个测试方式节点在所述网络场景类型的出现频率确定目标测试方式节点。
步骤S340,根据所述测试工具维度实体所包括的多个渗透工具节点在所述网络场景类型中的使用频率确定目标渗透工具节点。
在本申请实施例中,参见图7,图7示出了本申请实施例提供的一种场景知识图谱中多维实体的示意图,如图7所示,目标场景知识图谱中包括资产维度实体(例如应用程序、网络设备、数据库等资产节点)、漏洞维度实体(漏洞和弱点例如越界写入、认证绕过、释放后使用、授权机制缺失等漏洞节点)、测试方式维度实体(例如端口扫描、拒绝服务攻击、僵尸网络、Web攻击、暴力破解)、测试工具维度实体(例如Nmap、Dirbuster、MSF、Hydra和Metasploit等)。其中,各个维度之间的安全信息节点存在节点对应关系。
可以理解的是,首先确定测试对象的场景,即目标网络的网络场景类型,并根据网络场景类型从安全知识图谱中解构出目标场景知识图谱,具体的,根据网络类型的资产信息与资产维度实体所包括的多个资产节点之间的关联性,确定目标资产节点,例如教育网场景中存在较多的数据库,即与资产维度实体中的数据库存在较大的关联性,因此将资源维度实体中的数据库节点确定为目标资产节点;之后根据漏洞维度实体所包括的多个漏洞节点以及测试方式维度实体所包括的多个测试方式节点在目标网络对应的网络场景类型中的出现频率,分别确定目标漏洞节点和目标测试方式节点,最后根据测试工具维度实体所包括的多个渗透工具节点在目标网络对应的网络场景类型中的使用频率确定目标渗透工具节点。例如,确定目标安全信息节点包括:资产节点、漏洞节点、测试方式节点、测试工具节点。
在一些实施例中,参见图4,图4示出了图2中步骤S220的子步骤流程示意图,如图4所示,所述根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱,包括但不限于步骤S410至步骤S430。
步骤S410,基于所述目标资产节点、所述目标漏洞节点和所述目标资产节点与所述目标漏洞节点之间的节点对应关系生成第一场景知识图谱。
步骤S420,在所述第一场景知识图谱的基础上,基于所述目标漏洞节点、所述目标测试方式节点和所述目标漏洞节点与所述目标测试方式节点之间的节点对应关系生成第二场景知识图谱。
步骤S430,在所述第二场景知识图谱的基础上,基于所述目标测试方式节点、所述目标渗透工具节点和所述目标测试方式节点与所述目标渗透工具节点之间的节点对应关系生成目标场景知识图谱。
可以理解的是,安全知识图谱中包括资产维度实体、漏洞维度实体、测试方式维度实体和测试工具维度实体等实体之间的节点对应关系,根据选取的目标安全信息节点以及各个维度之间的安全信息节点的节点对应关系即可生成目标场景知识图谱,具体的,首先基于目标资产节点、目标漏洞节点以及节点之间的对应关系生成第一场景知识图谱,之后基于目标漏洞节点、目标测试方法节点以及节点之间的对应关系在第一场景知识图谱的基础上生成第二场景知识图谱,最后基于目标测试方式节点、目标渗透工具以及节点之间的对应关系生成目标场景知识图谱。
步骤S150,基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试。
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具。
在本申请实施例中,利用从安全知识图谱中解构得到的目标场景知识图谱指导对目标网络进行分阶段的网络安全测试,其中,在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具,根据不同情况和需求,为当前阶段提供个性化的测试技战术指导,能够实时适应测试对象的防御措施,从而提高测试效果。
在一个具体实施例中,在信息扫描阶段中,对目标网络进行信息扫描以获取目标靶机的资产信息;在靶机渗透阶段中,对目标靶机进行渗透测试仪获取目标靶机的管理员权限;在远程控制阶段中,对目标靶机进行远程控制,在信息利用阶段中,则模拟从目标靶机中获取高价值数据等。
在一些实施例中,参见图5,图5示出了本申请实施例提供的一种多阶段网络安全测试的流程示意图,如图5所示,在所述信息扫描阶段中,所述方法包括步骤S510。
步骤S510,在所述目标场景知识图谱中确定适用于所述网络场景类型的扫描探测工具,并利用所述扫描探测工具对所述网络仿真环境进行扫描以得到至少一个目标靶机的目标资产。
应能理解,目标场景知识图谱的测试工具维度实体中还包括扫描探测工具,从而在信息扫描阶段,在目标场景知识图谱中确定适用于目标网络的网络场景类型的扫描探测工具,利用扫描探测工作对网络仿真环境进行自动化扫描,得到目标网络中至少一个目标靶机的目标资产,例如对目标靶机开放的端口、端口上运行的服务及其版本、有效的URL进行扫描并收集汇总。
需要说明的是,针对目标网络的网络场景类型,可以根据网络场景类型中扫描探测工具的使用频率,确定适用于该网络场景类型的扫描探测工具。
在一些实施例中,如图5所示,在所述靶机渗透阶段中,所述方法包括步骤S520。
步骤S520,基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,并利用所述渗透工具对所述目标靶机进行渗透测试以取得所述目标靶机的管理员权限。
应能理解,根据收集的资产信息在目标场景知识图谱中进行子图匹配,基于资产维度实体中的节点与其他维度实体中的节点之间节点对应关系确定适用于目标靶机的渗透工具,并利用该渗透工具对目标靶机进行渗透测试以取得目标靶机的管理员权限。
在一些实施例中,参见图6,图6示出了本申请实施例提供的一种基于安全知识图谱的网络安全测试方法,如图6所示,在所述基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,包括但不限于步骤S610至步骤S630。
步骤S610,根据所述目标资产节点与所述目标漏洞节点之间的节点对应关系,在所述目标场景知识图谱中确定所述目标资产存在的漏洞。
步骤S620,根据所述目标漏洞节点与所述测试方式节点之间的节点对应关系,在所述目标场景知识图谱中确定用于利用所述漏洞渗透所述目标靶机的测试方式。
步骤S630,根据所述测试方式节点与所述目标渗透工具节点之间的节点对应关系,在所述目标场景知识图谱中确定用于执行所述测试方式的渗透工具。
可以理解的是,目标场景知识图谱中包括了资产维度实体、漏洞维度实体、测试方式维度实体以及测试工具维度实体,且至少包括了资产和漏洞之间的节点对应关系,漏洞和测试方法之间的对应关系,测试方式和测试工具之间的对应关系。因此,基于目标靶机的目标资产和目标场景知识图谱中各个维度之间的节点对应关系可以逐步确定适用于渗透目标靶机的渗透工具,具体的,根据目标资产节点和目标漏洞节点之间的节点对应关系,即可在目标场景知识图谱中确定目标靶机的目标资产存在的漏洞,进一步的,根据目标漏洞节点和测试方式节点之间的节点对应关系,即可在目标场景知识图谱中确定用于利用该漏洞渗透目标靶机的测试方式,最后,根据目标测试方式和目标渗透工具节点之间的对应关系,即可在目标场景知识图谱中确定用于执行该测试方式的渗透工具。最终可以生成场景知识图谱推荐的网络安全测试方案,网络安全测试方案包括目标靶机的目标资产、目标资产存在的漏洞、用于利用漏洞的测试方式,用于执行测试方式的测试工具等内容。
示例性的,通过扫描探测工具获取目标靶机上开放了端口Port1并在端口Port1上运行版本为V1的程序Program1,在场景知识图谱中进行匹配,根据目标资产节点与目标漏洞节点之间的节点对应关系,可知作为资产节点的版本V1的程序 Program1对应着作为漏洞节点的漏洞1,即版本V1的程序 Program1存在漏洞Bug1;根据目标漏洞节点与目标测试方式节点之间的节点对应关系,可知作为漏洞节点的漏洞Bug1对应着作为测试方式节点的测试方式Method1,即针对该漏洞Bug1可以通过测试方式Method1进行渗透;根据目标测试方式节点与目标测试工具节点之间的节点对应关系,可知作为测试方式节点的测试方式Method1对应着作为测试工具节点的测试工具Tool1,即可以通过测试工具Tool1执行该测试方式Method1以渗透目标靶机,最终可以生成针对目标靶机的网络安全测试方案,网络安全测试方案包括目标靶机开放了端口Port1并在端口Port1上运行版本为V1的程序Program1,版本V1的程序 Program1存在漏洞Bug1、用于利用漏洞Bug1进行渗透的测试方式Method1以及用于执行测试方式Method1的测试工具Tool1等内容。
在一些实施例中,如图5所示,在所述远程控制阶段中,所述方法包括步骤S530。
步骤S530,在所述目标场景知识图谱中确定适用于所述目标靶机的远程控制工具,并利用所述远程控制工具对所述目标靶机进行远程控制。
应能理解,当利用渗透工具取得目标靶机的管理员权限后,为了进一步加强对目标靶机的控制,在目标场景知识图谱中确定适用于目标靶机的远程控制工具,并利用该远程控制工具对目标靶机进行远程控制,例如,通过建立远程连接并对远程主机的软件信息,硬件信息,外部网络连接,数据库的进行扫描并收集汇总,或将远程主机上的文件下载到本地,或将本地程序上传到远程主机执行,或开启监听后门对远程主机进行文件操作和指令执行。
在本申请实施例中,当利用渗透工具取得目标靶机的管理员权限后,通过目标场景知识图谱推荐的远程控制工具进一步加强对目标靶机的控制,模拟渗透者在取得管理员权限后的下一步操作,提高网络安全测试的完整性。
在一些实施例中,如图6所示,在所述信息利用阶段中,所述方法包括步骤S540。
步骤S540,在所述目标场景知识图谱中确定适用于所述目标靶机的信息获取工具,并在远程连接所述目标靶机的基础上利用所述信息获取工具获取所述目标靶机的设备信息,所述设备信息包括网络连接信息和系统信息。
应能理解,针对常见的四种信息利用的手段,例如数据获取,功能盗用,篡改破环,在目标场景知识图谱中确定适用的信息获取工具,例如,通过信息获取工具获取到目标靶机的网络连接信息和系统信息,从而发现更多潜在可渗透的靶机,或者以当前靶机为跳板机,横向移动到当前靶机后对该子网中的其他靶标进行渗透。
在本申请实施例中,当利用渗透工具取得目标靶机的管理员权限后,通过目标场景知识图谱推荐的信息利用工具进一步从目标靶机中获取数据,模拟渗透者在目标靶机渗透完成之后的下一步操作,提高网络安全测试的完整性。
在一个示例性实施例中,当完全对目标网络的网络安全测试之后,生成网络安全测试报告,包括本次网络安全测试中发现的服务、漏洞、使用的测试工具(例如扫描探测工具、渗透工具、远程控制工具以及信息利用工具)以及过程等,使得网络管理员依据本次网络安全测试的测试报告以及测试结果进行分析和总结,帮助网络管理员改进测试用例和自动化测试框架,提高测试效率和准确性。
下面以一个具体实施例描述本申请提供的一种基于安全知识图谱的网络安全测试方法:
采集网络安全数据并对网络安全数据进行预处理,根据预处理后的网络安全数据构建安全知识图谱,其中,安全知识图谱包括资产维度实体,漏洞维度实体、测试方式维度实体和测试工具维度实体,各个维度的安全信息实体包括多个安全信息节点,安全知识图谱还包括各个维度的安全信息实体之间的节点对应关系。
针对目标网络的网络场景类型,根据从资产维度实体所包括的多个资产节点与网络场景类型之间关联性确定目标资产节点,根据漏洞维度实体所包括的多个漏洞节点在网络场景类型的出现频率确定目标漏洞节点,根据测试方式维度实体所包括的多个测试方式节点在网络场景类型的出现频率确定目标测试方式节点,根据测试工具维度实体所包括的多个渗透工具节点在网络场景类型中的使用频率确定目标渗透工具节点,基于目标资产节点、目标漏洞节点和目标资产节点与目标漏洞节点之间的节点对应关系生成第一场景知识图谱,在第一场景知识图谱的基础上,基于目标漏洞节点、测试方式节点和目标漏洞节点与测试方式节点之间的节点对应关系生成第二场景知识图谱,在第二场景知识图谱的基础上,基于测试方式节点、渗透工具节点和测试方式节点与渗透工具节点之间的节点对应关系生成目标场景知识图谱。
利用网络仿真平台构建网络仿真环境,网络仿真环境包括待测试的目标网络,之后基于目标场景知识图谱在网络仿真环境中对目标网络进行分阶段的网络安全测试,其中,分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具。
其中,在信息扫描阶段中,在目标场景知识图谱中确定适用于网络场景类型的扫描探测工具,并利用扫描探测工具对网络仿真环境进行扫描以得到至少一目标靶机的目标资产。在靶机渗透阶段中,基于目标资产在目标场景知识图谱中确定适用于目标靶机的渗透工具,并利用渗透工具对目标靶机进行渗透测试以取得目标靶机的管理员权限。在远程控制阶段中,在目标场景知识图谱中确定适用于目标靶机的远程控制工具,并利用远程控制工具对目标靶机进行远程控制。在信息利用阶段中,在目标场景知识图谱中确定适用于目标靶机的信息获取工具,并在远程连接目标靶机的基础上利用信息获取工具获取目标靶机的设备信息,设备信息包括网络连接信息和系统信息。
本申请提出一种基于安全知识图谱的网络安全测试方法,该方法包括采集网络安全数据并对网络安全数据进行预处理,之后根据预处理后的网络安全数据构建安全知识图谱,利用网络仿真平台构建网络仿真环境,网络仿真环境包括待测试的目标网络,根据目标网络对应的网络场景类型从安全知识图谱中解构出目标场景知识图谱,再基于目标场景知识图谱在网络仿真环境中对目标网络进行分阶段的网络安全测试,其中,分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具。相比于传统的网络安全测试很大程度依赖个人的经验和知识,本申请通过安全知识图谱指导对目标网络的网络安全测试,能够充分利用网络安全数据,在网络安全测试中自动推荐测试工具,既可以实现自动化的网络安全测试,又极大地提高网络安全测试的完整性和高效性,同时,本申请根据目标网络对应的网络场景类型从整体的安全知识图谱中解构目标场景知识图谱,能够减少后期图谱匹配的范围,提高匹配响应的速度,也能够筛选出更精确的目标范围,从而提高匹配的精确度。此外,本申请中的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在目标场景知识图谱中确定当前阶段适用的测试工具,根据不同情况和需求,为当前阶段提供个性化的测试技战术指导,能够实时适应测试对象的防御措施,从而提高测试效果。
下面以教育网场景为例描述本申请提供的一种基于安全知识图谱的网络安全测试方法:
目标网络为教育网场景,分为互联网区域、分校区域、高校内部网络三大区域。
互联网区域包含路由器、防火墙、外网网络等,并配置有模拟黑客组织的渗透机。在外网区域模拟了黑客组织,设有Kali(192.168.1.3/2X)和win7(192.168.1.4/2X)两台主机作为渗透者操作主机,黑客组织出口为互联网路由,在本场景中同时具备防火墙功能,两台主机通过NAT访问高校网络,同时在防火墙上设有目标地址转化策略对Kali及Win7系统进行端口映射,用于渗透过程后门及会话建立。
高校内部网络处于防火墙右侧,划分有服务器区域、办公楼、餐厅等内网区域,其中,在服务器区域中通过防火墙进行统一防护,内部办公楼、餐厅、图书馆等区域通过防火墙访问服务器区域设备,在服务器区域下设有运维区域、外网区域、隔离区域、内网区域,运维区域没有访问限制,可以访问到校园网络的任何区域及设备。外网区域部署对外直接提供服务的应用,隔离区域存放数据库等服务器设备,内网区域存放学校内部服务及应用,如人资系统、选课系统等。分校区域通过专线对业务系统进行访问。
教育网场景的目标网络局域描述如表1所示,教育网场景的相关主机如表2所示:
表1
表2
针对当前渗透模拟对象中的一条推荐线路中一个节点(靶机Target1:192.168.8.X/2X),基于安全知识图谱的网络安全测试方法包括以下步骤。
一、安全知识图谱生成
根据教育网场景在安全知识图谱中依据资产节点的相关性、漏洞节点和测试方式节点在教育网场景的出现频率、以及测试工具节点在教育网场景的使用频率,选择相应的节点资产节点、漏洞节点、测试方式节点、测试工具节点和关系生成教育网场景的场景安全知识图谱。
二、信息扫描阶段
在信息扫描阶段中,在教育网场景的场景知识图谱中确定适用于教育网场景的多个扫描探测工具,包括用于扫描靶机IP开放的端口及其上运行的服务、有效URL等信息的扫描探测工具、用于扫描漏洞的扫描探测工具等。
扫描探测工具运行后,获取得到靶机Target1(192.168.8.X/24)的操作各位Linux,同时,扫描到靶机Target1开放了端口Port1并运行了版本为V1的程序Program1,开放了端口Port2并运行了版本为V2的程序Program2,开放了端口Port3并运行了版本为V3的程序Program3。开放了端口Port4但没有任何服务信息。
三、靶机渗透阶段
在靶机渗透阶段中,通过查询教育网场景的场景知识图谱得知版本V1的程序Program1可能存在弱口令弱点,可以通过暴力破解方式进行渗透,最终在场景知识图谱中确定多个用于SSH口令暴力破解的口令爆破工具;以及通过查询教育网场景的场景知识图谱得知版本V2的程序Program2可能存在漏洞Bug2,漏洞Bug2是一个远程命令行认证绕过漏洞,通过修改SSH请求报文中的认证状态来跳过SSH认证阶段,从而在靶机上进行命令行操作,最终在场景知识图谱中确定多个用于绕过身份认证执行后门的后门工具,包括用于生成后门程序的后门工具、用于上传添加有木马或者后门的路径的数据包的后门工具以及漏洞利用脚本的后门工具等。
渗透工具运行后,获取靶机Target1(192.168.8.X/24)的管理员权限。
四、远程控制阶段
在远程控制阶段中,在教育网场景的场景知识图谱中确定适用于教育网场景的多个远程控制工具,包括具备数据管理功能的远程控制工具、用于开启监听后门的远程控制工具以及用于远程上传和下载文件的远程控制工具等。
远程控制工具运行后,结合管理员权限,横向移动到靶机Target1上,并利用远程控制工具获取了对目标进行文件管理、虚拟终端控制、数据库管理功能。
五、信息利用阶段
在信息利用阶段,当靶机审查完成之后,根据常见的渗透目标如数据获取,功能盗用、篡改破坏等,在教育网场景的场景知识图谱中确定多个信息利用工具。
在信息利用工具运行后,获取得到当前靶机的网络连接信息和系统信息,从而发现更多潜在可渗透的靶机,同时,通过扫描当前控制的靶机Target1的网络连接,发现靶机Target1的两个数据库存放于两个不同的网段,可能存在不同的安全区域,从而发现对当前局域网进一步渗透的路径。
完成全部测试之后,基于安全知识图谱的网络安全测试方法还包括生成网络安全测试报告,测试报告包括本次网络安全测试中发现的服务、漏洞、使用的测试工具(例如扫描探测工具、渗透工具、远程控制工具以及信息利用工具)以及过程等,使得网络管理员依据本次网络安全测试的测试报告以及测试结果进行分析和总结,帮助网络管理员改进测试用例和自动化测试框架,提高测试效率和准确性。
请参见图8,本申请实施例还提供了一种基于安全知识图谱的网络安全测试装置100,该基于安全知识图谱的网络安全测试装置100包括:
数据采集模块110,用于采集网络安全数据并对所述网络安全数据进行预处理;
图谱构建模块120,用于根据预处理后的所述网络安全数据构建安全知识图谱;
网络构建模块130,用于利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络;
图谱解构模块140,用于根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱;
安全测试模块150,用于基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试;
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具。
需要说明的是,上述装置的模块之间的信息交互、执行过程等内容,由于与本申请方法实施例基于同一构思,其具体功能及带来的技术效果,具体可参见方法实施例部分,此处不再赘述。
请参见图9,图9示出本申请实施例提供的一种电子设备的硬件结构,电子设备包括:
处理器210,可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集合成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集合成电路等方式实现,用于执行相关计算机程序,以实现本申请实施例所提供的技术方案;
存储器220,可以采用只读存储器(Read Only Memory,ROM)、静态存储设备、动态存储设备或者随机存取存储器(Random Access Memory,RAM)等形式实现。存储器220可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器220中,并由处理器210来调用执行本申请实施例的基于安全知识图谱的网络安全测试方法;
输入/输出接口230,用于实现信息输入及输出;
通信接口240,用于实现本设备与其他设备的通信交互,可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信;和总线250,在设备的每个组件(例如处理器210、存储器220、输入/输出接口230和通信接口240)之间传输信息;
其中处理器210、存储器220、输入/输出接口230和通信接口240通过总线250实现彼此之间在设备内部的通信连接。
本申请实施例还提供了一种存储介质,存储介质为计算机可读存储介质,用于计算机可读存储,存储介质存储有一个或者多个计算机程序,一个或者多个计算机程序可被一个或者多个处理器执行,以实现上述基于安全知识图谱的网络安全测试方法。
存储器作为一种计算机可读存储介质,可用于存储软件程序以及计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该处理器。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请实施例描述的实施例是为了更加清楚的说明本申请实施例的技术方案,并不构成对于本申请实施例提供的技术方案的限定,本领域技术人员可知,随着技术的演变和新应用场景的出现,本申请实施例提供的技术方案对于类似的技术问题,同样适用。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、系统、设备中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述或记载的部分,可以参见其它实施例的相关描述。
本申请的说明书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
应当理解,在本申请中,“至少一个(项)”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,用于描述关联对象的关联关系,表示可以存在三种关系,例如,“A和/或B”可以表示:只存在A,只存在B以及同时存在A和B三种情况,其中A,B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达,是指这些项中的任意组合,包括单项(个)或复数项(个)的任意组合。例如,a,b或c中的至少一项(个),可以表示:a,b,c,“a和b”,“a和c”,“b和c”,或“a和b和c”,其中a,b,c可以是单个,也可以是多个。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,上述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集合成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
上述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请每个实施例中的各功能单元可以集合成在一个处理单元中,也可以是每个单元单独物理存在,也可以两个或两个以上单元集合成在一个单元中。上述集合成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集合成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括多指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请每个实施例的方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(Read-Only Memory,简称ROM)、随机存取存储器(Random Access Memory,简称RAM)、磁碟或者光盘等各种可以存储程序的介质。
以上参照附图说明了本申请实施例的优选实施例,并非因此局限本申请实施例的权利范围。本领域技术人员不脱离本申请实施例的范围和实质内所作的任何修改、等同替换和改进,均应在本申请实施例的权利范围之内。

Claims (10)

1.一种基于安全知识图谱的网络安全测试方法,其特征在于,所述方法包括:
采集网络安全数据并对所述网络安全数据进行预处理;
根据预处理后的所述网络安全数据构建安全知识图谱;
利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络;
根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱;
基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试;
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具;
所述安全知识图谱包括多个维度的安全信息实体,各个维度的所述安全信息实体包括多个安全信息节点,所述安全知识图谱还包括各个维度之间的所述安全信息节点的节点对应关系,所述安全信息实体包括资产维度实体、漏洞维度实体、测试方式维度实体和测试工具维度实体;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱,包括:
根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点;
根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点,包括:
根据所述资产维度实体所包括的多个资产节点与所述网络场景类型的资产信息之间的关联性确定目标资产节点;
根据所述漏洞维度实体所包括的多个漏洞节点在所述网络场景类型的出现频率确定目标漏洞节点;
根据所述测试方式维度实体所包括的多个测试方式节点在所述网络场景类型的出现频率确定目标测试方式节点;
根据所述测试工具维度实体所包括的多个渗透工具节点在所述网络场景类型中的使用频率确定目标渗透工具节点。
2.根据权利要求1所述的网络安全测试方法,其特征在于,所述根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱,包括:
基于所述目标资产节点、所述目标漏洞节点和所述目标资产节点与所述目标漏洞节点之间的节点对应关系生成第一场景知识图谱;
在所述第一场景知识图谱的基础上,基于所述目标漏洞节点、所述目标测试方式节点和所述目标漏洞节点与所述目标测试方式节点之间的节点对应关系生成第二场景知识图谱;
在所述第二场景知识图谱的基础上,基于所述目标测试方式节点、所述目标渗透工具节点和所述目标测试方式节点与所述目标渗透工具节点之间的节点对应关系生成目标场景知识图谱。
3.根据权利要求1所述的网络安全测试方法,其特征在于,在所述信息扫描阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述网络场景类型的扫描探测工具,并利用所述扫描探测工具对所述网络仿真环境进行扫描以得到至少一个目标靶机的目标资产。
4.根据权利要求3所述的网络安全测试方法,其特征在于,在所述靶机渗透阶段中,所述方法包括:
基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,并利用所述渗透工具对所述目标靶机进行渗透测试以取得所述目标靶机的管理员权限。
5.根据权利要求4所述的网络安全测试方法,其特征在于,所述基于所述目标资产在所述目标场景知识图谱中确定适用于所述目标靶机的渗透工具,包括:
根据所述目标资产节点与所述目标漏洞节点之间的节点对应关系,在所述目标场景知识图谱中确定所述目标资产存在的漏洞;
根据所述目标漏洞节点与所述测试方式节点之间的节点对应关系,在所述目标场景知识图谱中确定用于利用所述漏洞渗透所述目标靶机的测试方式;
根据所述测试方式节点与所述渗透工具节点之间的节点对应关系,在所述目标场景知识图谱中确定用于执行所述测试方式的渗透工具。
6.根据权利要求3所述的网络安全测试方法,其特征在于,在所述远程控制阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述目标靶机的远程控制工具,并利用所述远程控制工具对所述目标靶机进行远程控制。
7.根据权利要求6所述的网络安全测试方法,其特征在于,在所述信息利用阶段中,所述方法包括:
在所述目标场景知识图谱中确定适用于所述目标靶机的信息获取工具,并在远程连接所述目标靶机的基础上利用所述信息获取工具获取所述目标靶机的设备信息,所述设备信息包括网络连接信息和系统信息。
8.一种基于安全知识图谱的网络安全测试装置,其特征在于,所述装置包括:
数据采集模块,用于采集网络安全数据并对所述网络安全数据进行预处理;
图谱构建模块,用于根据预处理后的所述网络安全数据构建安全知识图谱;
网络构建模块,用于利用网络仿真平台构建网络仿真环境,所述网络仿真环境包括待测试的目标网络;
图谱解构模块,用于根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱;
安全测试模块,用于基于所述目标场景知识图谱在所述网络仿真环境中对所述目标网络进行分阶段的网络安全测试;
其中,所述分阶段的网络安全测试包括信息扫描阶段、靶机渗透阶段、远程控制阶段和信息利用阶段,且在每个安全测试阶段中,根据上一阶段获取的测试信息在所述目标场景知识图谱中确定当前阶段适用的测试工具;
所述安全知识图谱包括多个维度的安全信息实体,各个维度的所述安全信息实体包括多个安全信息节点,所述安全知识图谱还包括各个维度之间的所述安全信息节点的节点对应关系,所述安全信息实体包括资产维度实体、漏洞维度实体、测试方式维度实体和测试工具维度实体;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱中解构出目标场景知识图谱,包括:
根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点;
根据所述目标安全信息节点以及各个维度之间的所述安全信息节点的节点对应关系生成目标场景知识图谱;
所述根据所述目标网络对应的网络场景类型从所述安全知识图谱各个维度的所述安全信息实体中确定多个目标安全信息节点,包括:
根据所述资产维度实体所包括的多个资产节点与所述网络场景类型的资产信息之间的关联性确定目标资产节点;
根据所述漏洞维度实体所包括的多个漏洞节点在所述网络场景类型的出现频率确定目标漏洞节点;
根据所述测试方式维度实体所包括的多个测试方式节点在所述网络场景类型的出现频率确定目标测试方式节点;
根据所述测试工具维度实体所包括的多个渗透工具节点在所述网络场景类型中的使用频率确定目标渗透工具节点。
9.一种电子设备,其特征在于,包括:
至少一个处理器;以及,
与所述至少一个处理器通信连接的存储器;其中,
所述存储器存储有计算机程序,所述计算机程序被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1至7中任一项所述的方法。
10.一种计算机可读存储介质,存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求1至7中任一项所述的方法。
CN202310666040.9A 2023-06-07 2023-06-07 基于安全知识图谱的网络安全测试方法以及相关设备 Active CN116405325B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310666040.9A CN116405325B (zh) 2023-06-07 2023-06-07 基于安全知识图谱的网络安全测试方法以及相关设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310666040.9A CN116405325B (zh) 2023-06-07 2023-06-07 基于安全知识图谱的网络安全测试方法以及相关设备

Publications (2)

Publication Number Publication Date
CN116405325A CN116405325A (zh) 2023-07-07
CN116405325B true CN116405325B (zh) 2023-09-12

Family

ID=87009098

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310666040.9A Active CN116405325B (zh) 2023-06-07 2023-06-07 基于安全知识图谱的网络安全测试方法以及相关设备

Country Status (1)

Country Link
CN (1) CN116405325B (zh)

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112817855A (zh) * 2021-02-03 2021-05-18 鹏城实验室 系统的众测方法、设备及计算机存储介质
CN113901466A (zh) * 2021-09-17 2022-01-07 四川大学 面向开源社区的安全工具知识图谱构建方法及装置
CN114036314A (zh) * 2021-11-15 2022-02-11 全球能源互联网研究院有限公司 一种基于知识图谱的渗透路径识别方法及系统
CN114205154A (zh) * 2021-12-12 2022-03-18 中国电子科技集团公司第十五研究所 一种针对隔离安全机制的网络安全测试方法
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法
CN114676061A (zh) * 2022-04-07 2022-06-28 宁波送变电建设有限公司 一种基于知识图谱自动化固件检测方法
CN115883180A (zh) * 2022-11-28 2023-03-31 中京天裕科技(杭州)有限公司 一种基于知识图谱的自动化渗透测试方法
CN116170224A (zh) * 2023-02-20 2023-05-26 中移动信息技术有限公司 渗透测试方法、装置、设备及介质
CN116170225A (zh) * 2023-02-16 2023-05-26 鹏城实验室 基于网络靶场的系统测试方法、装置、设备及存储介质

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112817855A (zh) * 2021-02-03 2021-05-18 鹏城实验室 系统的众测方法、设备及计算机存储介质
CN113901466A (zh) * 2021-09-17 2022-01-07 四川大学 面向开源社区的安全工具知识图谱构建方法及装置
CN114036314A (zh) * 2021-11-15 2022-02-11 全球能源互联网研究院有限公司 一种基于知识图谱的渗透路径识别方法及系统
CN114257420A (zh) * 2021-11-29 2022-03-29 中国人民解放军63891部队 一种基于知识图谱的网络安全测试的生成方法
CN114205154A (zh) * 2021-12-12 2022-03-18 中国电子科技集团公司第十五研究所 一种针对隔离安全机制的网络安全测试方法
CN114676061A (zh) * 2022-04-07 2022-06-28 宁波送变电建设有限公司 一种基于知识图谱自动化固件检测方法
CN115883180A (zh) * 2022-11-28 2023-03-31 中京天裕科技(杭州)有限公司 一种基于知识图谱的自动化渗透测试方法
CN116170225A (zh) * 2023-02-16 2023-05-26 鹏城实验室 基于网络靶场的系统测试方法、装置、设备及存储介质
CN116170224A (zh) * 2023-02-20 2023-05-26 中移动信息技术有限公司 渗透测试方法、装置、设备及介质

Also Published As

Publication number Publication date
CN116405325A (zh) 2023-07-07

Similar Documents

Publication Publication Date Title
Yamin et al. Cyber ranges and security testbeds: Scenarios, functions, tools and architecture
AU2019268206A1 (en) Mission-based, game-implemented cyber training system and method
Davis et al. A Survey of Cyber Ranges and Testbeds.
Velu et al. Mastering Kali Linux for Advanced Penetration Testing: Secure your network with Kali Linux 2019.1–the ultimate white hat hackers' toolkit
Sachidananda et al. Let the cat out of the bag: A holistic approach towards security analysis of the internet of things
Trabelsi Hands-on lab exercises implementation of DoS and MiM attacks using ARP cache poisoning
Ashtiani et al. A distributed simulation framework for modeling cyber attacks and the evaluation of security measures
Musa et al. An investigation into peer-to-peer network security using wireshark
Lupia et al. ICS Honeypot Interactions: A Latitudinal Study
Maesschalck et al. World wide ics honeypots: A study into the deployment of conpot honeypots
Ilg et al. Survey of contemporary open-source honeypots, frameworks, and tools
CN116405325B (zh) 基于安全知识图谱的网络安全测试方法以及相关设备
CN116962057A (zh) 多人协同的网络安全应急响应和演练平台及其操作方法
Labuschagne et al. Developing a capability to classify technical skill levels within a cyber range
Cifranic et al. Decepti-SCADA: A Framework for Actively Defending Networked Critical Infrastructures.
Duan et al. An easy-to-deploy penetration testing platform
Winn Constructing cost-effective and targetable ICS honeypots suited for production networks
Khorkov Methods for testing network-intrusion detection systems
Urias et al. Experimental methods for control system security research
Fanfara et al. Usage of proposed autonomous hybrid honeypot for distributed heterogeneous computer systems in education process
Maji et al. White Hat Security-An Overview of Penetration Testing Tools
Qin Design and Implementation of a Cyber Rang with Emulated Network Security Devices
Deptula Automation of cyber penetration testing using the detect, identify, predict, react intelligence automation model
Stuart Penetration Testing Methodologies
Petersen Automated cyber operations mission data replay

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant