自动化渗透测试方法、系统、电子设备及存储介质与流程

本申请涉及计算机网络安全，特别涉及一种自动化渗透测试方法、系统、电子设备及存储介质。

背景技术：

1、随着社会数字化转型的逐步深入，网络安全形势也愈来愈复杂和严峻。黑客的规模越发庞大，各种基于社会工程学、0day和绕过攻击等方式发起的新型攻击手段不断出现，网络安全问题呈现出多元化的发展趋势。面对更加专业的、有组织的网络黑客攻击，以及持续更新的高级威胁，防守方面对更加立体的网络安全威胁还是难以及时防护。

2、渗透测试是网络安全中重要的评估工具和手段，用于评估现有网络设备脆弱性、网络安全工具有效性和完整性，通常渗透测试主要采用人工手动操作方式进行，对操作人员技能要求极高，渗透测试过程容易出错，手动操作执行效率低不能满足攻击实效性要求，同时由于依赖人为动作导致技术经验无法有效积累，相应的技术成果无法得到转化。

3、因此，如何实现自动化的渗透测试，提高网络安全评估的精度和效率是本领域技术人员目前需要解决的技术问题。

技术实现思路

1、本申请的目的是提供一种自动化渗透测试方法、系统、电子设备及存储介质，能够实现自动化的渗透测试，提高网络安全评估的精度和效率。

2、为解决上述技术问题，本申请提供一种自动化渗透测试方法，该自动化渗透测试方法包括：

3、对测试对象的目标信息进行扫描，并根据扫描结果生成网络资产拓扑；

4、根据所述网络资产拓扑确定所述测试对象的安全漏洞，利用att&ck框架生成所述安全漏洞对应的攻击图；

5、按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，得到渗透测试报告，以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。

6、可选的，所述利用att&ck框架生成所述安全漏洞对应的攻击图，包括：

7、确定所述测试对象的渗透目标；

8、利用所述att&ck框架根据所述安全漏洞生成用于达成所述渗透目标的攻击图。

9、可选的，利用att&ck框架生成所述安全漏洞对应的攻击图，包括：

10、利用所述att&ck框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱；

11、根据所述网络渗透知识图谱生成所述攻击图。

12、可选的，利用所述att&ck框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱，包括：

13、从所述att&ck框架的漏洞知识图谱数据库中抽取所述安全漏洞对应的目标漏洞信息；其中，所述目标漏洞信息为危险等级大于预设值的漏洞信息；

14、将所述目标漏洞信息与攻击规则进行关联，生成所述网络渗透知识图谱。

15、可选的，按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，包括：

16、对所述攻击图中的所有渗透路径进行可行性验证，并将通过可行性验证的渗透路径设置为目标渗透路径；

17、按照所述目标渗透路径对所述测试对象进行渗透测试。

18、可选的，按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，包括：

19、在网络内生安全试验场内按照所述攻击图中的渗透路径对所述测试对象进行渗透测试。

20、可选的，在所述得到渗透测试报告之后，还包括：

21、根据所述渗透测试报告为所述测试对象生成网络安全防护建议。

22、本申请还提供了一种自动化渗透测试系统，该系统包括：

23、扫描模块，用于对测试对象的目标信息进行扫描，并根据扫描结果生成网络资产拓扑；

24、攻击图生成模块，用于根据所述网络资产拓扑确定所述测试对象的安全漏洞，利用att&ck框架生成所述安全漏洞对应的攻击图；

25、测试模块，用于按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，得到渗透测试报告，以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。

26、本申请还提供了一种存储介质，其上存储有计算机程序，所述计算机程序执行时实现上述自动化渗透测试方法执行的步骤。

27、本申请还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现上述自动化渗透测试方法执行的步骤。

28、本申请提供了一种自动化渗透测试方法，包括：对测试对象的目标信息进行扫描，并根据扫描结果生成网络资产拓扑；根据所述网络资产拓扑确定所述测试对象的安全漏洞，利用att&ck框架生成所述安全漏洞对应的攻击图；按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，得到渗透测试报告，以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。

29、本申请通过对测试对象进行扫描绘制网络资产拓扑，根据网络资产拓扑确定测试对象的安全漏洞，以便基于att&ck框架生成所述安全漏洞对应的攻击图。上述过程中能够通过att&ck框架中包含的漏洞知识图谱数据库自动化生成针对安全漏洞的攻击图，进而按照攻击图中的渗透路径对所述测试对象进行渗透测试，得到渗透测试报告。本申请能够实现自动化的渗透测试，提高网络安全评估的精度和效率。本申请同时还提供了一种自动化渗透测试系统、一种存储介质和一种电子设备，具有上述有益效果，在此不再赘述。

技术特征：

1.一种自动化渗透测试方法，其特征在于，包括：

2.根据权利要求1所述自动化渗透测试方法，其特征在于，所述利用att&ck框架生成所述安全漏洞对应的攻击图，包括：

3.根据权利要求1所述自动化渗透测试方法，其特征在于，所述利用att&ck框架生成所述安全漏洞对应的攻击图，包括：

4.根据权利要求3所述自动化渗透测试方法，其特征在于，利用所述att&ck框架的漏洞知识图谱数据库生成所述安全漏洞对应的网络渗透知识图谱，包括：

5.根据权利要求1所述自动化渗透测试方法，其特征在于，按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，包括：

6.根据权利要求1所述自动化渗透测试方法，其特征在于，按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，包括：

7.根据权利要求1所述自动化渗透测试方法，其特征在于，在所述得到渗透测试报告之后，还包括：

8.一种自动化渗透测试系统，其特征在于，包括：

9.一种电子设备，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器调用所述存储器中的计算机程序时实现如权利要求1至7任一项所述自动化渗透测试方法的步骤。

10.一种存储介质，其特征在于，所述存储介质中存储有计算机可执行指令，所述计算机可执行指令被处理器加载并执行时，实现如权利要求1至7任一项所述自动化渗透测试方法的步骤。

技术总结
本申请公开了一种自动化渗透测试方法、系统、电子设备及存储介质，所属的技术领域为计算机网络安全技术。所述自动化渗透测试方法包括：对测试对象的目标信息进行扫描，并根据扫描结果生成网络资产拓扑；根据所述网络资产拓扑确定所述测试对象的安全漏洞，利用ATT&CK框架生成所述安全漏洞对应的攻击图；按照所述攻击图中的渗透路径对所述测试对象进行渗透测试，得到渗透测试报告，以便根据所述渗透测试报告生成所述测试对象的网络安全评估结果。本申请能够实现自动化的渗透测试，提高网络安全评估的精度和效率。

技术研发人员：王涵,卜佑军,蔡翰智,胡先君,蒋兵兵,陈韵
受保护的技术使用者：网络通信与安全紫金山实验室
技术研发日：
技术公布日：2024/1/14