一种基于行为树的自动化渗透测试方法及设备与流程

本发明涉及网络安全领域，特别涉及一种基于行为树的自动化渗透测试方法及设备。

背景技术：

1、随着信息技术的发展，网络系统缺陷引起的安全问题日益突出。渗透测试通过模拟攻击来评估系统缺陷，是验证防御性能和评估网络安全的一种有效方法。

2、现代的企业或者组织的计算机网络系统庞大而且复杂，其中运行的各种软件还在不断发生更新、修改、删除、迁移等变化，单纯依赖安全专家和安全分析人员来实施渗透测试不切实际。目前常见的渗透测试工具主要存在两方面问题。一方面，非常依赖专家知识，需要操作人员具有渗透测试的相关专业知识，才能利用工具实施测试；另一方面，测试工具种类繁多，在整个渗透测试流程中，需要用到大量功能各不相同的测试工具，深入了解工具的学习成本巨大，测试人员难以融汇各类工具特质进行高效测试。

技术实现思路

1、针对现有技术中存在的问题，提供了一种基于行为树的自动化渗透测试方法及设备，将渗透测试活动抽象表示成一个行为树模型，自顶向下为决策行为，自底向上为执行过程，利用行为树的跳转，并集成大量的渗透测试工具，实现渗透测试任务的自动化决策、调度、控制与执行，使渗透测试更加高效、全面与准确。

2、本发明第一方面提出了一种基于行为树的自动化渗透测试方法，包括：

3、行为树模型构建：根据需求将渗透攻击流程从各种测试业务场景中归纳抽取出来；将渗透攻击流程进行分类拆解成不同层级的行为动作；根据行为动作相互之间的逻辑关系利用各类节点进行行为子树的构建；按照类分过程进行子树的类聚形成完整的行为树模型；

4、自动化渗透测试：接收控制指令，执行渗透攻击动作，每次渗透测试攻击实例化一个行为树模型，并获取攻击反馈数据，再由攻击反馈数据继续触发攻击，直至不能获取新的攻击反馈数据位置，汇集数据生成渗透测试报告。

5、进一步的，归纳抽取过程为：采用att&ck或kill-chain对渗透攻击流程在实际测试业务场景中涉及的流程、战术、技术以及模式术进行梳理，利用行为树叶子节点组合对攻击模式进行规范化描述，并绘制对应的流程图。

6、进一步的，所述分类拆解过程为：将同性质的行为归为一类，具体拆解为渗透阶段—攻击战术—攻击技术—攻击模式-1层子行为-2层子行为-…-n层子行为。

7、进一步的，所述行为子树的构建方法为：根据类分结果利用各类节点进行行为子树的构建，构建行为子树的时借助组合节点和装饰节点控制遍历路径，借助叶节点执行行为动作。

8、进一步的，在行为子树的构建过程中，若通用节点无法满足需求，则定义新的节点，定义时明确节点类型和逻辑功能。

9、进一步的，在完成行为子树的构建之后，将子行为进行类聚，其中，类聚方式与类分相对应，通过从底向上、从叶到根的方式逐层聚类，直至行为树模型构建成功。

10、进一步的，所述聚类过程具有与类分结果的一致性和逻辑结构的正确性。

11、进一步的，所述自动化渗透测试具体如下：每次渗透测试都将实例化一个新的行为树模型，对行为树进行遍历，并采取适应性的攻击动作，获取更多攻击反馈数据，根据更多攻击反馈数据触发更多攻击的进行，使得渗透测试不断地从情报收集阶段，向着渗透攻击阶段推进，向着后渗透攻击阶段推进，直到不能获取到新的攻击反馈数据为止，最终汇集数据并生成渗透测试报告。

12、进一步的，所述对行为树进行遍历过程中，以深度优先的方式、以固定频率进行遍历。

13、本发明第二方面提出了一种设备，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行上述的基于行为树的自动化渗透测试方法的计算机程序。

14、与现有技术相比，采用上述技术方案的有益效果为：本发明将攻击技术、模式借助行为树节点组合进行形式化描述，依据攻击流程与战术对攻击技术、模式子树进行从底向上、从叶到根逐层聚类，将渗透测试活动抽象表示成一个行为树模型。利用行为树模型决策并调用渗透测试工具自动化完成各阶段渗透攻击任务，提高了渗透测试效率、漏洞检出率与测试全面性，降低漏洞误报率。

技术特征：

1.一种基于行为树的自动化渗透测试方法，其特征在于，包括：

2.根据权利要求1所述的基于行为树的自动化渗透测试方法，其特征在于，归纳抽取过程为：采用att&ck或kill-chain对渗透攻击流程在实际测试业务场景中涉及的流程、战术、技术以及模式术进行梳理，利用行为树叶子节点组合对攻击模式进行规范化描述，并绘制对应的流程图。

3.根据权利要求1或2所述的基于行为树的自动化渗透测试方法，其特征在于，所述分类拆解过程为：将同性质的行为归为一类，具体拆解为渗透阶段—攻击战术—攻击技术—攻击模式-1层子行为-2层子行为-…-n层子行为。

4.根据权利要求1所述的基于行为树的自动化渗透测试方法，其特征在于，所述行为子树的构建方法为：根据类分结果利用各类节点进行行为子树的构建，构建行为子树的时借助组合节点和装饰节点控制遍历路径，借助叶节点执行行为动作。

5.根据权利要求4所述的基于行为树的自动化渗透测试方法，其特征在于，在行为子树的构建过程中，若通用节点无法满足需求，则定义新的节点，定义时明确节点类型和逻辑功能。

6.根据权利要求1所述的基于行为树的自动化渗透测试方法，其特征在于，在完成行为子树的构建之后，将子行为进行类聚，其中，类聚方式与类分相对应，通过从底向上、从叶到根的方式逐层聚类，直至行为树模型构建成功。

7.根据权利要求6所述的基于行为树的自动化渗透测试方法，其特征在于，所述聚类过程具有与类分结果的一致性和逻辑结构的正确性。

8.根据权利要求1所述的基于行为树的自动化渗透测试方法，其特征在于所述自动化渗透测试具体如下：每次渗透测试都将实例化一个新的行为树模型，对行为树进行遍历，并采取适应性的攻击动作，获取更多攻击反馈数据，根据更多攻击反馈数据触发更多攻击的进行，使得渗透测试不断地从情报收集阶段，向着渗透攻击阶段推进，向着后渗透攻击阶段推进，直到不能获取到新的攻击反馈数据为止，最终汇集数据并生成渗透测试报告。

9.根据权利要求8所述的基于行为树的自动化渗透测试方法，其特征在于所述对行为树进行遍历过程中，以深度优先的方式、以固定频率进行遍历。

10.一种电子设备，其特征在于，包括存储器和处理器，所述存储器上存储有能够被处理器加载并执行如权利要求1-9中任一项所述的基于行为树的自动化渗透测试方法的计算机程序。

技术总结
本发明提供了一种基于行为树的自动化渗透测试方法，包括：行为树模型构建：根据需求将渗透攻击流程从各种测试业务场景中归纳抽取出来；将渗透攻击流程进行分类拆解成不同层级的行为动作；根据行为动作相互之间的逻辑关系利用各类节点进行行为子树的构建；按照类分过程进行子树的类聚形成完整的行为树模型；自动化渗透测试：接收控制指令，每次渗透测试攻击实例化一个行为树模型，并获取攻击反馈数据，再由攻击反馈数据继续触发攻击，直至不能获取新的攻击反馈数据位置，汇集数据生成渗透测试报告。本发明利用行为树模型决策并调用渗透测试工具自动化完成各阶段渗透攻击任务，提高了渗透测试效率、漏洞检出率与测试全面性，降低漏洞误报率。

技术研发人员：冯中华,罗鹏,陈坤,兰杰
受保护的技术使用者：中国电子科技集团公司第三十研究所
技术研发日：
技术公布日：2024/3/17