CN116566674A - 自动化渗透测试方法、系统、电子设备及存储介质 - Google Patents
自动化渗透测试方法、系统、电子设备及存储介质 Download PDFInfo
- Publication number
- CN116566674A CN116566674A CN202310531492.6A CN202310531492A CN116566674A CN 116566674 A CN116566674 A CN 116566674A CN 202310531492 A CN202310531492 A CN 202310531492A CN 116566674 A CN116566674 A CN 116566674A
- Authority
- CN
- China
- Prior art keywords
- penetration
- test
- network
- attack
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000035515 penetration Effects 0.000 title claims abstract description 213
- 238000010998 test method Methods 0.000 title claims abstract description 14
- 238000003860 storage Methods 0.000 title claims abstract description 11
- 238000012360 testing method Methods 0.000 claims abstract description 226
- 238000011156 evaluation Methods 0.000 claims abstract description 15
- 238000012795 verification Methods 0.000 claims description 12
- 238000004590 computer program Methods 0.000 claims description 8
- 238000000034 method Methods 0.000 abstract description 42
- 238000005516 engineering process Methods 0.000 abstract description 8
- 230000008569 process Effects 0.000 description 16
- 238000013507 mapping Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 7
- 238000001514 detection method Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 238000010276 construction Methods 0.000 description 4
- 230000002688 persistence Effects 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 230000004927 fusion Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 238000010606 normalization Methods 0.000 description 3
- 238000011076 safety test Methods 0.000 description 3
- 238000004088 simulation Methods 0.000 description 3
- 230000003068 static effect Effects 0.000 description 3
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000013515 script Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 238000012549 training Methods 0.000 description 2
- 230000000007 visual effect Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000000750 progressive effect Effects 0.000 description 1
- 238000011084 recovery Methods 0.000 description 1
- 230000002787 reinforcement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 238000012954 risk control Methods 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请公开了一种自动化渗透测试方法、系统、电子设备及存储介质,所属的技术领域为计算机网络安全技术。所述自动化渗透测试方法包括:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。本申请能够实现自动化的渗透测试,提高网络安全评估的精度和效率。
Description
技术领域
本申请涉及计算机网络安全技术领域,特别涉及一种自动化渗透测试方法、系统、电子设备及存储介质。
背景技术
随着社会数字化转型的逐步深入,网络安全形势也愈来愈复杂和严峻。黑客的规模越发庞大,各种基于社会工程学、0day和绕过攻击等方式发起的新型攻击手段不断出现,网络安全问题呈现出多元化的发展趋势。面对更加专业的、有组织的网络黑客攻击,以及持续更新的高级威胁,防守方面对更加立体的网络安全威胁还是难以及时防护。
渗透测试是网络安全中重要的评估工具和手段,用于评估现有网络设备脆弱性、网络安全工具有效性和完整性,通常渗透测试主要采用人工手动操作方式进行,对操作人员技能要求极高,渗透测试过程容易出错,手动操作执行效率低不能满足攻击实效性要求,同时由于依赖人为动作导致技术经验无法有效积累,相应的技术成果无法得到转化。
因此,如何实现自动化的渗透测试,提高网络安全评估的精度和效率是本领域技术人员目前需要解决的技术问题。
发明内容
本申请的目的是提供一种自动化渗透测试方法、系统、电子设备及存储介质,能够实现自动化的渗透测试,提高网络安全评估的精度和效率。
为解决上述技术问题,本申请提供一种自动化渗透测试方法,该自动化渗透测试方法包括:
对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
可选的,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
确定所述测试对象的渗透目标;
利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。
可选的,利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;
根据所述网络渗透知识图谱生成所述攻击图。
可选的,利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱,包括:
从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息;其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息;
将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。
可选的,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
对所述攻击图中的所有渗透路径进行可行性验证,并将通过可行性验证的渗透路径设置为目标渗透路径;
按照所述目标渗透路径对所述测试对象进行渗透测试。
可选的,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。
可选的,在所述得到渗透测试报告之后,还包括:
根据所述渗透测试报告为所述测试对象生成网络安全防护建议。
本申请还提供了一种自动化渗透测试系统,该系统包括:
扫描模块,用于对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
攻击图生成模块,用于根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
测试模块,用于按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述自动化渗透测试方法执行的步骤。
本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述自动化渗透测试方法执行的步骤。
本申请提供了一种自动化渗透测试方法,包括:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
本申请通过对测试对象进行扫描绘制网络资产拓扑,根据网络资产拓扑确定测试对象的安全漏洞,以便基于ATT&CK框架生成所述安全漏洞对应的攻击图。上述过程中能够通过ATT&CK框架中包含的漏洞知识图谱数据库自动化生成针对安全漏洞的攻击图,进而按照攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告。本申请能够实现自动化的渗透测试,提高网络安全评估的精度和效率。本申请同时还提供了一种自动化渗透测试系统、一种存储介质和一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本申请实施例所提供的一种自动化渗透测试方法的流程图;
图2为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的整体架构图;
图3为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的漏洞知识图谱数据库节点关系图;
图4为本申请实施例所提供的一种自动化渗透测试系统的结构示意图。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
下面请参见图1,图1为本申请实施例所提供的一种自动化渗透测试方法的流程图。
具体步骤可以包括:
S101:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
其中,本实施例可以应用于网络安全评估设备,以便对测试对象进行渗透测试。上述测试对象可以为单个网络设备、多个网络设备构成的网络环境等,此处不进行限定。
作为一种可行的实施方式,对于测试对象进行扫描的方式包括:拓扑探测、资产发现、端口扫描和漏洞扫描;扫描得到的目标信息包括:服务端口、访问IP、应用版本、设备版本、操作系统版本和漏洞中的任一项或任几项的组合。扫描结果中可以包括上述测试对象的目标信息,基于上述扫描结果可以生成相应的网络资产拓扑。
S102:根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
在得到网络资产拓扑后,可以对网络资产拓扑进行分析得到测试对象的安全漏洞,进而利用ATT&CK框架针对安全漏洞生成对应的攻击图。攻击图是一种有向图,展示了攻击者可能发动的攻击顺序和攻击效果,由顶点和有向边两部分构成通过模拟攻击者对存在安全漏洞的网络攻击过程。
S103:按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
其中,扫描网络资产拓扑、确定安全漏洞均是渗透测试的前置工作,攻击图中包括能够达到渗透目标的渗透路径,在得到攻击图后可以按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告。上述渗透测试报告中包括扫描概况、扫描详情、漏洞汇总信息、漏洞详细介绍和渗透测试结果中的任一项或任几项的组合,扫描概况、扫描详情、漏洞汇总信息、漏洞详细介绍和渗透测试结果都是通过渗透测试得到的数据。
在得到渗透测试报告之后,可以根据渗透测试报告中的各项结果生成测试对象的网络安全评估结果。具体的,渗透测试报告中的每一项都可以有其对应的得分,通过对所有项的得分进行累加可以得到测试对象的网络安全得分,进而根据网络安全得分确定对应的网络安全评估结果。
作为一种可行的实施方式,在所述得到渗透测试报告之后,还可以根据所述渗透测试报告为所述测试对象生成网络安全防护建议。
本实施例通过对测试对象进行扫描绘制网络资产拓扑,根据网络资产拓扑确定测试对象的安全漏洞,以便基于ATT&CK框架生成所述安全漏洞对应的攻击图。上述过程中能够通过ATT&CK框架中包含的漏洞知识图谱数据库自动化生成针对安全漏洞的攻击图,进而按照攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告。本实施例能够实现自动化的渗透测试,提高网络安全评估的精度和效率。
作为对于图1对应实施例的进一步介绍,可以通过以下方式生成攻击图:确定所述测试对象的渗透目标;利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。上述渗透目标可以为预先配置或工作人员输入的对测试对象的攻击目标。
作为对于图1对应实施例的进一步介绍,利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;根据所述网络渗透知识图谱生成所述攻击图。
具体的,生成攻击图的过程可以为:接收测试信息,并根据测试信息确定测试对象的渗透目标;基于安全漏洞利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;根据所述网络渗透知识图谱生成用于达成所述渗透目标的攻击图。
作为一种可行的实施方式,可以通过以下方式生成所述安全漏洞对应的网络渗透知识图谱:从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息;将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息;每一漏洞都有其对应的危险等级,本实施例可以根据危险等级确定目标漏洞信息。
作为对于图1对应实施例的进一步介绍,由于攻击图中存在多条渗透路径,各条渗透路径的攻击成功率不同,为了提高渗透测试的效率,本实施例可以对所述攻击图中的所有渗透路径进行可行性验证,并将通过可行性验证的渗透路径设置为目标渗透路径;按照所述目标渗透路径对所述测试对象进行渗透测试。具体的,本实施例可以对攻击图中的渗透路径进行渗透攻击推演,将攻击者针对某一渗透目标的最大可能渗透路径设置为目标渗透路径。
作为对于图1对应实施例的进一步介绍,本实施例可以在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。
网络内生安全试验场(Network Endogens Security Testbed,NEST)基于网络空间拟态防御理论和技术研发而成,上述网络内生安全试验场用于创新的网络通信内生安全技术试验和对抗演练,为网络空间内生安全研究提供平台支撑。具体来说,网络内生安全试验场可以实现资源平面与管理平面的分离,能够拟合典型应用场景,还能够支撑实现先进防御试验场的资源管理、可视化展示、风险控制和数据维护等功能。
下面通过在实际应用中的实施例说明上述实施例描述的流程。
由于漏洞数据存在多种来源,对漏洞信息的描述和评价维度有差异,不同来源的漏洞不能直接用于知识图谱的构建,需要将各种来源的漏洞信息进行归一化处理,形成统一的格式用于信息的存储和知识图谱的构建,所以本实施例使用统一性较好、实用性较强的MITRE ATT&CK知识模型和框架作为基础数据来源。ATT&CK知识模型和框架下的漏洞的信息可分为静态和动态两类,静态信息与安全漏洞存在环境无关,例如安全漏洞类型、安全漏洞基础评分等;动态信息变化依赖于安全漏洞存在的环境及时间,随着环境、时间的变化而变化,例如是否存在补丁、是否存在POC脚本等,动态和静态漏洞信息都会影响测试评估和攻击推演的结果。本实施例提出一种基于ATT&CK框架的自动化渗透测试方案,能够自动探测测试对象,能够自动绘制网络资产拓扑,并以一个能够持续训练和更新迭代的ATT&CK框架漏洞知识库为基础,自动识别测试对象的安全漏洞,进而基于识别的漏洞自动化生成针对测试对象的渗透路径(又称渗透攻击链),跟踪执行自动化渗透路径验证系统脆弱性。
本实施例可以构建围绕ATT&CK攻击链的自动化渗透测试工具库,并以ATT&CK攻击框架为基础数据,攻击推演为关键能力,将先验知识转化为自动化的流程,通过识别漏洞定位漏洞信息,匹配攻击工具,进而实现网络资产测绘、渗透路径推演、攻击载荷加载、目标风险验证等操作。本实施例还可以通过围绕大量攻击案例的先验知识的模型训练,实现ATT&CK攻击框架下的基础数据的完善和丰富,对目标系统脆弱性进行针对性的测试评估,为目标系统的防御体系构建提供参考和验证。本实施例可以应用于网络内生安全试验场开展测试评估工作,具体包括以下步骤:
步骤A1、构建渗透测试任务:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑。具体的,本实施例可以对指定测试对象使用拓扑探测、资产发现、端口扫描、漏洞扫描等方式,收集网络资产的服务端口、访问IP、应用版本、设备版本、操作系统版本、漏洞等目标信息,并绘制网络资产拓扑,为下一步的渗透做好准备。
步骤A2、开展网络拓扑测绘:根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图,还可以对所有的攻击路径进行逐条验证,为下一步的网络测绘做好准备。具体的,在测绘完成并显示的网络资产拓扑中,按照指定的渗透目标创建子任务,基于漏洞利用ATT&CK攻击框架推演可达成渗透目标的攻击图。
步骤A3、开展网络资产测绘:在获取到相关的管理权限后,可进行对下一层网络的资产进行测绘,推演渗透路径,实现向内网的逐层渗透,为下一步的渗透测试报告形成做好数据支撑。
步骤A4、渗透测试并形成渗透测试报告:按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,渗透测试完成后,自动生成渗透测试报告,报告内容包括扫描概况、扫描详情、漏洞汇总信息、漏洞详细介绍、渗透测试结果等。扫描概况部分统计了检测发现的漏洞总数,以及高危、中危和低危漏洞的个数,同时给出加固的方法。进一步的,本实施例还可以根据渗透测试报告生成所述测试对象的网络安全评估结果。
步骤A5、渗透测试可视化展示:可视化展示每个渗透过程的日志数据反馈、进度反馈、结果反馈,支持利用资产呈现的网络拓扑展示渗透测试的路径。
本实施例可以根据测试要求柔性动态构建测试场景环境,满足快速的测试环境恢复要求。本实施例还具备流程/离散行业仿真测试环境构建能力,能够通过虚实结合的方式接入物理设备并通过仿真驱动方式模拟环境运行。本实施例能够在虚实结合的各类测试对象的仿真环境中,以ATT&CK攻击框架为基础数据开展自动化的渗透测试,基于收集到的待测设备的基础信息,对系统、漏洞、风险等信息进行扫描探测,开展自动化渗透测试工作,并根据测试结果生成渗透测试报告。
请参见图2和图3,图2为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的整体架构图,图3为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的漏洞知识图谱数据库节点关系图。如图2所示,自动化渗透测试的整体架构包括渗透任务协同管控、网络空间资产测绘,MITRE ATT&CK渗透测试工具库、目标网络攻击链生成与管理、MITRE ATT&CK漏洞知识图谱数据库、网络探测器、漏洞探测器、自定义探测器和网络内生安全试验场。渗透任务协同管控包括任务管理、远程管理、任务执行和结果评估,网络空间资产测绘包括目标扫描探测、目标信息收集、目标拓扑绘制和网络资产拓扑管理、MITREATT&CK渗透测试工具库包括渗透脚本库、渗透工具库和渗透病毒库,目标网络攻击链生成与管理包括目标网络攻击图谱、资产指纹库和渗透算法库。图3示出了厂商A生产(produce)的硬件1~3和操作系统,操作系统发布(releasedAs)的版本可以包括14.1:r2、14.1x53:d50、14.1x53、14.1x53x:d10、14.1:*和14.1:r3,14.1x53:d50节点的弱点(weakness)为重复崩溃可能导致延长的拒绝服务条件CVE-2017-10611,该节点被服务销毁节点(serice_destroy)所利用(Exploited)。厂商B生产的操作系统和应用包括windows_7os、server_message_block app和windows_10os,发布的版本包括*:sp1、1.0:*、1607:*、1511:*。1.0:*节点的弱点(weakness)为获取目标主机权限执行任意代码CVE-2017-0143,该节点被信息检测info_detect和可阻挡病毒攻击virus_attack所利用(Exploited)。
本实施例可以应用于网络内生安全试验场,可以满足网络空间安全新形势下,对内生安全技术、设备的测试验证以及针对传统网络设备的效能评估与测试。体系架构如图2所示,主要由八个部分组成,分别为渗透任务协同管控、网络空间资产测绘、MITRE ATT&CK渗透测试工具库、目标网络攻击链生成与管理、MITRE ATT&CK漏洞知识图谱数据库、网络探测器、漏洞探测器以及自定义探测器,其中网络探测器、漏洞探测器以及自定义探测器用于对测试对象探测和扫描,利用网络空间资产测绘功能进行测试对象的拓扑和资产测绘,再通过资产指纹库、漏洞知识图谱搜索匹配自动绘制网络渗透知识图谱,最后结合渗透算法库生成目标系统的自动化渗透攻击链以支撑渗透任务的执行与管理。
网络探测器、漏洞探测器以及自定义探测器提供探测扫描能力,包括网络扫描、资产扫描、漏洞扫描、以及风险扫描等功能。
网络空间资产测绘主要将扫描探测的网络资产数据关联聚合进行拓扑绘制,通过图形化的方式对网络的资产进行管理和展示。
目标网络攻击链生成与管理组件依托ATT&CK漏洞知识图谱数据库,根据探测到目标网络拓扑和资产数据自动绘制生成以漏洞为核心的网络渗透知识图谱。同时,综合借鉴多元统计分析、攻击图等技术,运用各种不同的攻击策略和手段,整合测试技术和方法,生成目标网络的各种可能渗透路径,结合测试对象属性信息等,形成攻击图,支撑渗透任务管控组件执行自动化综合渗透测试任务,从而度量测试对象的安全性和抗攻击能力。
ATT&CK漏洞知识图谱数据库主要包含信息抽取、信息融合、图谱构建和图谱展示功能模块。信息抽取模块负责从获取的结构化或非结构化数据中抽取出目标漏洞信息(目标漏洞信息为危险等级大于预设值的漏洞信息);信息融合模块负责将抽取出来的目标漏洞信息进行归一化处理并存储;图谱构建功能模块主要利用信息融合模块进行归一化并存储的漏洞信息以及预设的攻击规则,将漏洞进行关联生成漏洞利用知识图谱;图谱展示功能模块将构建的漏洞利用知识图谱通过图形方式进行展示,并提供过滤查询功能。
本实施例提供的基于ATT&CK框架的自动化渗透测试方案使用了ATT&CK漏洞知识图谱数据库。漏洞知识图谱数据库以漏洞为核心,分别与被测的资产和攻击数据库(包含多个攻击规则)建立关联关系,以便在使用场景中通过任三者之一,迅速搜索到另两类信息,并找到黑客攻击或者攻击防御的指纹信息,将异构知识数据进行结构化整合更新到漏洞知识库中,从而形成一种可持续迭代的漏洞知识图谱数据库。
本实施例使用的漏洞知识图谱数据库是一种图形化的漏洞、资产、攻击、防御关系图谱。漏洞知识图谱数据库基于ATT&CK框架数据库构建,漏洞知识的存储采用高性能的图数据库,其结构由顶点及边组成,针对高度链接的数据进行了优化,在有关数据互联性和拓扑信息占比很大的任务中具有较大的优势。与关系数据库相比,漏洞知识图谱数据库解决了关系型数据库查询复杂及缓慢等问题,可以科学且高效的表达数据集和数据间的关系。在性能上,漏洞知识图谱数据库可以承载上亿节点和关系,数据量极大时可以进行分布式集群部署。与传统关系数据库相比,漏洞知识图谱数据库的运行及检索的速度是传统关系数据库的数千倍。
下面具体介绍按照所述攻击图中的渗透路径对所述测试对象进行渗透测试的方式:
方式1、侦察:
攻击者在渗透之前会先收集一些有用的信息,用来规划以后的行动。侦察包括攻击者主动或被动收集一些用于锁定攻击目标的信息。此类信息包括但不限于域名、子域名、IP信息、IP开放的端口、获取目标web信息、识别网站框架、路径搜集、敏感信息搜集、其他应用搜集等。攻击者也可以在攻击生命周期的其他阶段利用这些信息来协助进行攻击,例如使用收集的信息来计划和执行初始访问,确定入侵后的行动范围和目标优先级,或者推动进一步的侦察工作。
方式2、初始访问:
ATT&CK第一个战术是初始访问,尽管它并非按线性顺序排列,但初始访问是攻击者在被渗透环境中的立足点,攻击者会根据入侵前收集的各种信息,利用不同技术来实现初始访问。例如,攻击者使用鱼叉式钓鱼附件进行攻击,附件会利用某种类型的漏洞来实现该级别的访问,例如PowerShell或其他脚本技术。如果执行成功,攻击者就可以采用其他策略和技术来实现最终目标。
方式3、持久化:
在所有ATT&CK战术中,“持久化”战术是所有攻击者最喜欢使用的技术之一,攻击者实现持久化访问之后,即便采取重启、更改凭证等措施,仍然可以让计算机再次感染病毒或维持其现有连接。例如,注册表运行键、启动文件夹是最常用的技术,它们在每次启动计算机时都会执行。因此,攻击者会在启动诸如Web浏览器或Office等常用应用时实现持久化。如果在被渗透设备上发现恶意软件并将其删除,它很有可能还会重新出现。这可能是因为有漏洞还未修补,但也可能是因为攻击者已经在此处或网络上的其他地方建立了持久化。
方式4、数据窃取:
数据窃取包含攻击者用于从用户网络窃取数据的技术。攻击者获得访问权限后,会四处搜寻相关数据,然后开始着手进行数据窃取,但并不是所有恶意软件都能到达这个阶段。在攻击者通过网络窃取数据的情况下,尤其是窃取大量数据(如客户数据库)时,建立网络入侵检测有利于识别数据何时被传输。比如,攻击者取得工作人员的电脑权限后进行数据窃取(如用户名、密码指纹),形成目标数据情报。
方式5、发现:
发现包括攻击者用于获取有关系统和内部网络信息的技术,这些技术可帮助攻击者在决定如何采取行动之前先观察环境并确定方向。攻击者可以使用这些技术探索他们可以控制的内容以及切入点附近的情况,并根据这些已获得信息帮助他们实现攻击目的,攻击者还可以使用本机操作系统工具实现入侵后的信息收集目的。
方式6、横向移动:
攻击者在利用单个系统漏洞后,通常会尝试在网络内进行横向移动。甚至,针对单个系统的勒索软件也试图在网络中进行横向移动以寻找其他攻击目标。攻击者通常会先寻找一个落脚点,然后开始在各个系统中移动,寻找更高的访问权限,以期达成最终目标。
方式7、搜集:
收集是指攻击者用于收集信息的技术,并且从中收集与贯彻攻击者目的相关的信息来源。通常,收集数据后的下一步目的是窃取数据。常见的攻击源包括各种驱动器类型、浏览器、音频、视频和电子邮件,常见的收集方法包括捕获屏幕截图和键盘输入。攻击者会尝试窃取用户的信息,包括屏幕上有什么内容、用户在输入什么内容、用户讨论的内容及用户的外貌特征。比如,攻击者通过数据窃取、发现、横向移动、搜集步骤与搜集的信息,确定了攻击目标,随即发起攻击且取得相关权限。
方式8、危害:
用于“危害”的技术包括破坏或篡改数据,在某些情况下,业务流程看起来很好,但可能数据已经被攻击者篡改了。这些技术可能被攻击者用来完成他们的最终目标,或者为其窃取机密提供掩护。比如,攻击者在经历了前面的一系列步骤后,确定攻击目标并利用第三方软件进行网络渗透攻击。
请参见图4,图4为本申请实施例所提供的一种自动化渗透测试系统的结构示意图,该系统可以包括:
扫描模块401,用于对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
攻击图生成模块402,用于根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
测试模块403,用于按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
本实施例通过对测试对象进行扫描绘制网络资产拓扑,根据网络资产拓扑确定测试对象的安全漏洞,以便基于ATT&CK框架生成所述安全漏洞对应的攻击图。上述过程中能够通过ATT&CK框架中包含的漏洞知识图谱数据库自动化生成针对安全漏洞的攻击图,进而按照攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告。本实施例能够实现自动化的渗透测试,提高网络安全评估的精度和效率。
进一步的,所述攻击图生成模块402利用ATT&CK框架生成所述安全漏洞对应的攻击图的过程包括:确定所述测试对象的渗透目标;利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。
进一步的,所述攻击图生成模块402利用ATT&CK框架生成所述安全漏洞对应的攻击图的过程包括:利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;根据所述网络渗透知识图谱生成所述攻击图。
进一步的,所述攻击图生成模块402利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱的过程包括:从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息;将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息。
进一步的,所述测试模块403按照所述攻击图中的渗透路径对所述测试对象进行渗透测试的过程包括:对所述攻击图中的所有渗透路径进行可行性验证,并将通过可行性验证的渗透路径设置为目标渗透路径;按照所述目标渗透路径对所述测试对象进行渗透测试。
进一步的,所述测试模块403按照所述攻击图中的渗透路径对所述测试对象进行渗透测试的过程包括:在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。
进一步的,还包括:
防护建议模块,用于在所述得到渗透测试报告之后,根据所述渗透测试报告为所述测试对象生成网络安全防护建议。
由于系统部分的实施例与方法部分的实施例相互对应,因此系统部分的实施例请参见方法部分的实施例的描述,这里暂不赘述。
本申请还提供了一种存储介质,其上存有计算机程序,该计算机程序被执行时可以实现上述实施例所提供的步骤。该存储介质可以包括:U盘、移动硬盘、只读存储器(Read-Only Memory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
本申请还提供了一种电子设备,可以包括存储器和处理器,所述存储器中存有计算机程序,所述处理器调用所述存储器中的计算机程序时,可以实现上述实施例所提供的步骤。当然所述电子设备还可以包括各种网络接口,电源等组件。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的系统而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以对本申请进行若干改进和修饰,这些改进和修饰也落入本申请权利要求的保护范围内。
还需要说明的是,在本说明书中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的状况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种自动化渗透测试方法,其特征在于,包括:
对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
2.根据权利要求1所述自动化渗透测试方法,其特征在于,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
确定所述测试对象的渗透目标;
利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。
3.根据权利要求1所述自动化渗透测试方法,其特征在于,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;
根据所述网络渗透知识图谱生成所述攻击图。
4.根据权利要求3所述自动化渗透测试方法,其特征在于,利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱,包括:
从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息;其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息;
将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。
5.根据权利要求1所述自动化渗透测试方法,其特征在于,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
对所述攻击图中的所有渗透路径进行可行性验证,并将通过可行性验证的渗透路径设置为目标渗透路径;
按照所述目标渗透路径对所述测试对象进行渗透测试。
6.根据权利要求1所述自动化渗透测试方法,其特征在于,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。
7.根据权利要求1所述自动化渗透测试方法,其特征在于,在所述得到渗透测试报告之后,还包括:
根据所述渗透测试报告为所述测试对象生成网络安全防护建议。
8.一种自动化渗透测试系统,其特征在于,包括:
扫描模块,用于对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
攻击图生成模块,用于根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
测试模块,用于按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
9.一种电子设备,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述自动化渗透测试方法的步骤。
10.一种存储介质,其特征在于,所述存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述自动化渗透测试方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310531492.6A CN116566674A (zh) | 2023-05-11 | 2023-05-11 | 自动化渗透测试方法、系统、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310531492.6A CN116566674A (zh) | 2023-05-11 | 2023-05-11 | 自动化渗透测试方法、系统、电子设备及存储介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116566674A true CN116566674A (zh) | 2023-08-08 |
Family
ID=87489386
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310531492.6A Pending CN116566674A (zh) | 2023-05-11 | 2023-05-11 | 自动化渗透测试方法、系统、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116566674A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800548A (zh) * | 2023-08-28 | 2023-09-22 | 北京天云海数技术有限公司 | 一种基于自动化对抗模拟攻击的智能报告生成方法及系统 |
| CN117692252A (zh) * | 2024-01-31 | 2024-03-12 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
| CN117692905A (zh) * | 2024-02-02 | 2024-03-12 | 鹏城实验室 | 汽车网络安全测试方法、装置、介质及设备 |
-
2023
- 2023-05-11 CN CN202310531492.6A patent/CN116566674A/zh active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116800548A (zh) * | 2023-08-28 | 2023-09-22 | 北京天云海数技术有限公司 | 一种基于自动化对抗模拟攻击的智能报告生成方法及系统 |
| CN117692252A (zh) * | 2024-01-31 | 2024-03-12 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
| CN117692252B (zh) * | 2024-01-31 | 2024-04-16 | 鹏城实验室 | 渗透测试路线规划方法和装置、电子设备及存储介质 |
| CN117692905A (zh) * | 2024-02-02 | 2024-03-12 | 鹏城实验室 | 汽车网络安全测试方法、装置、介质及设备 |
| CN117692905B (zh) * | 2024-02-02 | 2024-05-07 | 鹏城实验室 | 汽车网络安全测试方法、装置、介质及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US7530105B2 (en) | Tactical and strategic attack detection and prediction | |
| Bryant et al. | A novel kill-chain framework for remote security log analysis with SIEM software | |
| Ren et al. | Cskg4apt: A cybersecurity knowledge graph for advanced persistent threat organization attribution | |
| De Vries et al. | Systems for detecting advanced persistent threats: A development roadmap using intelligent data analysis | |
| CN116566674A (zh) | 自动化渗透测试方法、系统、电子设备及存储介质 | |
| CN111581643B (zh) | 渗透攻击评价方法和装置、以及电子设备和可读存储介质 | |
| CN110598411A (zh) | 敏感信息检测方法、装置、存储介质和计算机设备 | |
| CN111181918B (zh) | 基于ttp的高风险资产发现和网络攻击溯源方法 | |
| US20170111376A1 (en) | Probabilistically detecting low-intensity, multi-modal threats using synthetic events | |
| Ramesh et al. | Identification of phishing webpages and its target domains by analyzing the feign relationship | |
| Djanali et al. | SQL injection detection and prevention system with raspberry Pi honeypot cluster for trapping attacker | |
| Masango et al. | Web defacement and intrusion monitoring tool: Wdimt | |
| Haq et al. | The Impacts of Ethical Hacking and its Security Mechanisms | |
| Higuera et al. | Building a dataset through attack pattern modeling and analysis system | |
| Swarnalatha | Detect and classify the unpredictable cyber-attacks by using DNN model | |
| CN114528552A (zh) | 基于漏洞的安全事件关联方法及相关设备 | |
| Anand et al. | Mitigating Cyber-Security Risks using Cyber-Analytics | |
| Pihelgas et al. | Frankenstack: Real-time cyberattack detection and feedback system for technical cyber exercises | |
| US20240056469A1 (en) | Methods, systems and computer program products for predicting attacked paths on enterprise networks | |
| Grant et al. | Identifying tools and technologies for professional offensive cyber operations | |
| KR102592624B1 (ko) | 사회이슈형 사이버 표적공격의 대응을 위한 인공지능 기법을 이용한 위협 헌팅 시스템 및 그 방법 | |
| CN113496033B (zh) | 访问行为识别方法和装置及存储介质 | |
| Alosaimi et al. | Computer Vision‐Based Intrusion Detection System for Internet of Things | |
| Jeon et al. | An Effective Threat Detection Framework for Advanced Persistent Cyberattacks | |
| Kumar et al. | Origin Information Assisted Hybrid Analysis to Detect APT Malware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |