【技术实现步骤摘要】
本专利技术涉及一种基于强化学习的自动化渗透测试方法,属于计算机与信息科学技术网络空间安全领域。
技术介绍
1、网络安全事件在世界各地频发,诸如数据泄漏、黑客攻击等层出不穷,其所造成的经济损失也同步显著增长。渗透测试是通过模拟攻击者在真实环境下的攻击意图和行为,对目标系统进行风险评估的一种评估方法,有助于发现系统中的潜在漏洞,为安全管理人员提供修补依据,在网络空间主动防御层面具有重要意义。
2、现有的渗透测试方法主要依赖人工实施,投入人力多且效率低下,无法满足大规模、快速增长的漏洞风险排查工作。而自动化渗透测试技术能够自动分析目标系统所在网络环境,发现并验证目标系统潜在漏洞点和脆弱性,大大降低了渗透测试的成本,因此自动化技术逐渐被引入到渗透测试任务中。然而,现有的自动化渗透测试技术主要采用遍历漏洞利用组件与payload的方式,耗时较长且缺乏可拓展性。针对以上问题,现有研究引入人工智能方法,将渗透测试的漏洞利用过程转换为强化学习的动作选择过程,例如,使用q-learning强化学习模型学习利用组件的成功测试经验并记录状态,在下...
【技术保护点】
1.一种基于强化学习的自动化渗透测试方法,其特征在于所述方法包括如下步骤:
2.根据权利要求1所述的一种基于强化学习的自动化渗透测试方法,其特征在于:步骤1中对渗透测试过程的建模方法,即采用字典形式定义参数化的状态空间,构建了与漏洞利用组件一一对应的渗透测试抽象模拟环境的动作空间,定义了漏洞利用组件速度奖励、威胁度奖励、复杂度奖励,并采用R=λ1R1+λ2R2+λ3R3作为最终奖励函数。
3.根据权利要求1所述的一种基于强化学习的自动化渗透测试方法,其特征在于:步骤2.6将当前状态si输入Q网络中预测当前动作ai的Q值,将下一状态si+1输入目...
【技术特征摘要】
1.一种基于强化学习的自动化渗透测试方法,其特征在于所述方法包括如下步骤:
2.根据权利要求1所述的一种基于强化学习的自动化渗透测试方法,其特征在于:步骤1中对渗透测试过程的建模方法,即采用字典形式定义参数化的状态空间,构建了与漏洞利用组件一一对应的渗透测试抽象模拟环境的动作空间,定义了漏洞利用组件速度奖励、威胁度奖励、复杂度奖励,并采用r=λ1r1+λ2r2+λ3r3作为最...
【专利技术属性】
技术研发人员:罗森林,杨景然,潘丽敏,高玺凯,张辰龙,
申请(专利权)人:北京理工大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。