【技术实现步骤摘要】
本专利技术涉及渗透测试,尤其涉及一种自动化渗透测试方法、装置、设备及存储介质。
技术介绍
1、随着互联网、大数据以及物联网等技术的快速演进,越来越多的设备已经连接到网络上。然而,存在大量潜在的安全漏洞,同时缺乏有效的保护措施,使得这些设备成为恶意攻击者的潜在目标。为了提高网络安全,安全专业人员提出了面向防御的自动化攻击技术,通常被称为自动化渗透测试技术。
2、自动化渗透测试技术代表一种方法,用于发现并充分利用计算机系统中的可能存在的漏洞。该技术能够以模拟攻击者的方式,对目标系统进行自动化的安全测试和风险评估,从而有助于处理或规避可能存在的安全漏洞和风险。这种技术能够及时检测系统中的潜在安全风险,同时有助于在网络攻击发生之前对漏洞进行修复,提高了整个网络的安全性。
3、自动化渗透测试技术带来了多重好处:它有效协助安全专家检测和定位网络系统中的潜在安全漏洞和风险,并为此提供了相关建议和解决方案。同时,它减少了传统手工渗透测试的工作负担,降低了测试的人力成本,提高了测试效率。
4、现有的自动化渗透测试工具有时会产生虚假报警,即误报一些正常配置或操作为漏洞。另一方面,它们也可能漏报真正的漏洞,因为无法完全理解应用程序的复杂性,从而导致自动化渗透测试准确性较低。
技术实现思路
1、本专利技术的主要目的在于提供一种自动化渗透测试方法、装置、设备及存储介质,旨在解决现有技术渗透测试准确性低的技术问题。
2、为实现上述目的,本专利技术提供了一种自动化
3、获取真实网络环境初始信息;
4、将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作;
5、将所述目标攻击动作加载至目标网络环境,并接收所述目标网络环境反馈的反馈信息;
6、基于所述反馈信息进行自动化渗透测试。
7、可选地,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
8、根据所述真实网络环境初始信息得到真实网络环境信息以及对应的子动作掩码信息;
9、将所述真实网络环境信息和所述子动作掩码信息输入至预设自动化渗透测试智能体中,得到目标攻击动作。
10、可选地,所述将所述真实网络环境信息和所述子动作掩码信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
11、将所述真实网络环境信息和所述子动作掩码信息输入至预设自动化渗透测试智能体中,通过所述预设自动化渗透测试智能体对所述真实网络环境信息进行处理,输出各维攻击子动作;
12、通过所述子动作掩码信息对所述各维攻击子动作进行处理,得到各维攻击子动作的预设概率分布;
13、通过所述预设概率分布使用随机决策对所述各维攻击子动作进行筛选,得到目标攻击子动作;
14、对所述目标攻击子动作进行组装,得到目标攻击动作。
15、可选地,所述基于所述反馈信息进行自动化渗透测试,包括:
16、根据所述反馈信息得到更新网络环境信息和对应的更新子动作掩码;
17、将所述更新网络环境信息和所述更新子动作掩码作为更新真实网络环境初始信息,并返回将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作的步骤,直至实现所述目标网络环境的攻击目标或攻击次数满足预设攻击次数。
18、可选地,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作之前,还包括:
19、采集渗透测试样本日志数据;
20、通过所述渗透测试样本日志数据对初始自动化渗透测试智能体进行训练,构建预设自动化渗透测试智能体。
21、可选地,所述采集渗透测试样本日志数据,包括:
22、采集真实攻击数据和第一攻击结果;
23、获取在线自动渗透测试智能体的攻击策略和第二攻击结果;
24、构建网络环境并在所述网络环境中使用预设攻击策略进行攻击,记录样本攻击动作和第三攻击结果;
25、通过所述真实攻击数据、所述第一攻击结果、所述攻击策略、所述第二攻击结果、所述样本攻击动作和所述第三攻击结果得到测试样本日志数据。
26、可选地,所述通过所述渗透测试样本日志数据对初始自动化渗透测试智能体进行训练,构建预设自动化渗透测试智能体,包括:
27、基于所述渗透测试样本日志数据使用预设强化学习策略对初始自动化渗透测试智能体进行训练,得到参考自动化渗透测试智能体;
28、在真实网络环境中对所述参考自动化渗透测试智能体进行渗透测试性能和效率测试,得到测试结果;
29、根据所述测试结果对所述参考自动化渗透测试智能体进行参数调整,构建预设自动化渗透测试智能体。
30、此外,为实现上述目的,本专利技术还提出一种自动化渗透测试装置,所述自动化渗透测试装置包括:
31、获取模块,用于获取真实网络环境初始信息;
32、输入模块,用于将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作;
33、加载模块,用于将所述目标攻击动作加载至目标网络环境,并接收所述目标网络环境反馈的反馈信息;
34、测试模块,用于基于所述反馈信息进行自动化渗透测试。
35、此外,为实现上述目的,本专利技术还提出一种自动化渗透测试设备,所述自动化渗透测试设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的自动化渗透测试程序,所述自动化渗透测试程序配置为实现如上文所述的自动化渗透测试方法的步骤。
36、此外,为实现上述目的,本专利技术还提出一种存储介质,所述存储介质上存储有自动化渗透测试程序,所述自动化渗透测试程序被处理器执行时实现如上文所述的自动化渗透测试方法的步骤。
37、本专利技术通过获取真实网络环境初始信息;将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作;将所述目标攻击动作加载至目标网络环境,并接收所述目标网络环境反馈的反馈信息;基于所述反馈信息进行自动化渗透测试,通过本方案进行自动化渗透测试,不过度依赖人力资源,能够实现整个序贯渗透测试过程的自动化执行和精细化控制,提高测试的准确性和适应性,从而更有效地识别潜在的安全漏洞和威胁。
本文档来自技高网...【技术保护点】
1.一种自动化渗透测试方法,其特征在于,所述自动化渗透测试方法包括:
2.如权利要求1所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
3.如权利要求2所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境信息和所述子动作掩码信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
4.如权利要求1所述的自动化渗透测试方法,其特征在于,所述基于所述反馈信息进行自动化渗透测试,包括:
5.如权利要求1所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作之前,还包括:
6.如权利要求5所述的自动化渗透测试方法,其特征在于,所述采集渗透测试样本日志数据,包括:
7.如权利要求5所述的自动化渗透测试方法,其特征在于,所述通过所述渗透测试样本日志数据对初始自动化渗透测试智能体进行训练,构建预设自动化渗透测试智能体,包括:
8.一种自动化渗透测试装置,其特
9.一种自动化渗透测试设备,其特征在于,所述自动化渗透测试设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的自动化渗透测试程序,所述自动化渗透测试程序配置为实现如权利要求1至7中任一项所述的自动化渗透测试方法。
10.一种存储介质,其特征在于,所述存储介质上存储有自动化渗透测试程序,所述自动化渗透测试程序被处理器执行时实现如权利要求1至7中任一项所述的自动化渗透测试方法。
...【技术特征摘要】
1.一种自动化渗透测试方法,其特征在于,所述自动化渗透测试方法包括:
2.如权利要求1所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
3.如权利要求2所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境信息和所述子动作掩码信息输入至预设自动化渗透测试智能体中,得到目标攻击动作,包括:
4.如权利要求1所述的自动化渗透测试方法,其特征在于,所述基于所述反馈信息进行自动化渗透测试,包括:
5.如权利要求1所述的自动化渗透测试方法,其特征在于,所述将所述真实网络环境初始信息输入至预设自动化渗透测试智能体中,得到目标攻击动作之前,还包括:
6.如权利要求5所述的自动化渗透测试方...
【专利技术属性】
技术研发人员:郭孝通,宋彤雨,任婧,李颖,王伟,
申请(专利权)人:鹏城实验室,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。