[发明专利]一种安全渗透测试方法、装置、电子设备及存储介质

说明书

本发明公开了一种安全渗透测试方法、装置、电子设备及存储介质，所述方法包括：通过不同来源的外部数据构建渗透测试知识图谱；获取渗透目标，根据所述渗透目标进行目标环境的信息收集；根据收集到的目标环境的信息和所述渗透测试知识图谱，确定所述渗透目标对应的目标渗透路径；根据所述目标渗透路径对所述渗透目标进行安全渗透测试。利用了知识图谱对数据进行关联分析的特点，当对渗透目标进行渗透测试时，基于渗透测试知识图谱确定目标渗透路径，进而根据目标渗透路径对渗透目标进行安全渗透测试。实现了智能发现攻击路径，提高了渗透测试的性能。

技术领域

本发明涉及网络安全测试技术领域，尤其涉及一种安全渗透测试方法、装置、电子设备及存储介质。

背景技术

安全渗透测试是一项在计算机系统上进行的授权模拟攻击，旨在对其安全性进行评估。安全渗透测试使用与攻击者相同的工具、技术和流程，来查找和展示系统弱点对业务带来的影响。安全渗透测试通常会模拟各种可能威胁业务和应用服务的攻击。安全渗透测试可以检查系统是否足够稳定，能否抵抗来自经过认证和未经认证的攻击，以及一系列系统角色发起的攻击。

早期通过手工渗透进行安全渗透测试，也就是依赖测试人员进行安全渗透测试，手工渗透方法一方面消耗人力资源较大，另一方面测试效率低下，渐渐无法满足客户的测试需求。为了解决早期手工渗透方法存在的问题，出现了基于自动化渗透测试工具进行安全渗透测试的技术方案，目前成熟的自动化渗透测试工具包括APT2渗透测试套件、Autosploit渗透测试工具和Awesome-HackingTools等。这些渗透测试工具提高了渗透测试效率，但这些渗透测试工具只是单纯地集成了已有的网络攻击工具，无法实现智能发现攻击路径，渗透测试的性能还是较差的。

发明内容

本发明实施例提供了一种安全渗透测试方法、装置、电子设备及存储介质，用以解决现有技术无法实现智能发现攻击路径，渗透测试的性能较差的问题。

本发明实施例提供了一种安全渗透测试方法，所述方法包括：

通过不同来源的外部数据构建渗透测试知识图谱；

获取渗透目标，根据所述渗透目标进行目标环境的信息收集；

根据收集到的目标环境的信息和所述渗透测试知识图谱，确定所述渗透目标对应的目标渗透路径；

根据所述目标渗透路径对所述渗透目标进行安全渗透测试。

进一步地，所述通过不同来源的外部数据构建渗透测试知识图谱包括：

获取不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息；

根据所述不同来源的外部数据中的实体信息、属性信息、实体间的关系信息和实体与属性间的关系信息构建渗透测试知识图谱。

进一步地，所述根据收集到的目标环境的信息和所述渗透测试知识图谱，确定所述渗透目标对应的目标渗透路径包括：

根据收集到的目标环境的信息和所述渗透测试知识图谱，确定所述渗透目标对应的子知识图谱；

根据所述子知识图谱确定所述渗透目标对应的每个候选渗透路径，从所述每个候选渗透路径中选取目标渗透路径。

进一步地，从所述每个候选渗透路径中选取目标渗透路径包括：

根据指定规则计算所述每个候选渗透路径对应的评价值，根据所述每个候选渗透路径对应的评价值确定目标渗透路径。

进一步地，所述根据指定规则计算所述每个候选渗透路径对应的评价值，根据所述每个候选渗透路径对应的评价值确定目标渗透路径包括：