本申请公开了一种自动化渗透测试方法、系统、电子设备及存储介质,所属的技术领域为计算机网络安全技术。所述自动化渗透测试方法包括:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。本申请能够实现自动化的渗透测试,提高网络安全评估的精度和效率。评估的精度和效率。评估的精度和效率。
【技术实现步骤摘要】
自动化渗透测试方法、系统、电子设备及存储介质
[0001]本申请涉及计算机网络安全
,特别涉及一种自动化渗透测试方法、系统、电子设备及存储介质。
技术介绍
[0002]随着社会数字化转型的逐步深入,网络安全形势也愈来愈复杂和严峻。黑客的规模越发庞大,各种基于社会工程学、0day和绕过攻击等方式发起的新型攻击手段不断出现,网络安全问题呈现出多元化的发展趋势。面对更加专业的、有组织的网络黑客攻击,以及持续更新的高级威胁,防守方面对更加立体的网络安全威胁还是难以及时防护。
[0003]渗透测试是网络安全中重要的评估工具和手段,用于评估现有网络设备脆弱性、网络安全工具有效性和完整性,通常渗透测试主要采用人工手动操作方式进行,对操作人员技能要求极高,渗透测试过程容易出错,手动操作执行效率低不能满足攻击实效性要求,同时由于依赖人为动作导致技术经验无法有效积累,相应的技术成果无法得到转化。
[0004]因此,如何实现自动化的渗透测试,提高网络安全评估的精度和效率是本领域技术人员目前需要解决的技术问题。
技术实现思路
[0005]本申请的目的是提供一种自动化渗透测试方法、系统、电子设备及存储介质,能够实现自动化的渗透测试,提高网络安全评估的精度和效率。
[0006]为解决上述技术问题,本申请提供一种自动化渗透测试方法,该自动化渗透测试方法包括:
[0007]对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
[0008]根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
[0009]按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
[0010]可选的,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
[0011]确定所述测试对象的渗透目标;
[0012]利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。
[0013]可选的,利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:
[0014]利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;
[0015]根据所述网络渗透知识图谱生成所述攻击图。
[0016]可选的,利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱,包括:
[0017]从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞
信息;其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息;
[0018]将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。
[0019]可选的,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
[0020]对所述攻击图中的所有渗透路径进行可行性验证,并将通过可行性验证的渗透路径设置为目标渗透路径;
[0021]按照所述目标渗透路径对所述测试对象进行渗透测试。
[0022]可选的,按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,包括:
[0023]在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。
[0024]可选的,在所述得到渗透测试报告之后,还包括:
[0025]根据所述渗透测试报告为所述测试对象生成网络安全防护建议。
[0026]本申请还提供了一种自动化渗透测试系统,该系统包括:
[0027]扫描模块,用于对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;
[0028]攻击图生成模块,用于根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;
[0029]测试模块,用于按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
[0030]本申请还提供了一种存储介质,其上存储有计算机程序,所述计算机程序执行时实现上述自动化渗透测试方法执行的步骤。
[0031]本申请还提供了一种电子设备,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器调用所述存储器中的计算机程序时实现上述自动化渗透测试方法执行的步骤。
[0032]本申请提供了一种自动化渗透测试方法,包括:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。
[0033]本申请通过对测试对象进行扫描绘制网络资产拓扑,根据网络资产拓扑确定测试对象的安全漏洞,以便基于ATT&CK框架生成所述安全漏洞对应的攻击图。上述过程中能够通过ATT&CK框架中包含的漏洞知识图谱数据库自动化生成针对安全漏洞的攻击图,进而按照攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告。本申请能够实现自动化的渗透测试,提高网络安全评估的精度和效率。本申请同时还提供了一种自动化渗透测试系统、一种存储介质和一种电子设备,具有上述有益效果,在此不再赘述。
附图说明
[0034]为了更清楚地说明本申请实施例,下面将对实施例中所需要使用的附图做简单的介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
[0035]图1为本申请实施例所提供的一种自动化渗透测试方法的流程图;
[0036]图2为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的整体架构图;
[0037]图3为本申请实施例所提供的一种基于ATT&CK框架的自动化渗透测试的漏洞知识图谱数据库节点关系图;
[0038]图4为本申请实施例所提供的一种自动化渗透测试系统的结构示意图。
具体实施方式
[0039]为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
[0040]下面请参见图1,图1为本申请实施例所提供的一种自动化渗透测试方法的流程图。
[本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种自动化渗透测试方法,其特征在于,包括:对测试对象的目标信息进行扫描,并根据扫描结果生成网络资产拓扑;根据所述网络资产拓扑确定所述测试对象的安全漏洞,利用ATT&CK框架生成所述安全漏洞对应的攻击图;按照所述攻击图中的渗透路径对所述测试对象进行渗透测试,得到渗透测试报告,以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。2.根据权利要求1所述自动化渗透测试方法,其特征在于,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:确定所述测试对象的渗透目标;利用所述ATT&CK框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。3.根据权利要求1所述自动化渗透测试方法,其特征在于,所述利用ATT&CK框架生成所述安全漏洞对应的攻击图,包括:利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱;根据所述网络渗透知识图谱生成所述攻击图。4.根据权利要求3所述自动化渗透测试方法,其特征在于,利用所述ATT&CK框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱,包括:从所述ATT&CK框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息;其中,所述目标漏洞信息为危险等级大于预设值的漏洞信息;将所述目标漏洞信息与攻击规则进行关联,生成所述网络渗透知识图谱。5.根据权利要求1所述自动化渗透测试方法,其特征在于,按照...
【专利技术属性】
技术研发人员:王涵,卜佑军,蔡翰智,胡先君,蒋兵兵,陈韵,
申请(专利权)人:中国人民解放军战略支援部队信息工程大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。