本發明公開了一種安全滲透測試方法、裝置、電子設備及存儲介質，所述方法包括：通過不同來源的外部數據構建滲透測試知識圖譜；獲取滲透目標，根據所述滲透目標進行目標環境的信息收集；根據收集到的目標環境的信息和所述滲透測試知識圖譜，確定所述滲透目標對應的目標滲透路徑；根據所述目標滲透路徑對所述滲透目標進行安全滲透測試。利用了知識圖譜對數據進行關聯分析的特點，當對滲透目標進行滲透測試時，基于滲透測試知識圖譜確定目標滲透路徑，進而根據目標滲透路徑對滲透目標進行安全滲透測試。實現了智能發現攻擊路徑，提高了滲透測試的性能。

技術領域

本發明涉及網絡安全測試技術領域，尤其涉及一種安全滲透測試方法、裝置、電子設備及存儲介質。

背景技術

安全滲透測試是一項在計算機系統上進行的授權模擬攻擊，旨在對其安全性進行評估。安全滲透測試使用與攻擊者相同的工具、技術和流程，來查找和展示系統弱點對業務帶來的影響。安全滲透測試通常會模擬各種可能威脅業務和應用服務的攻擊。安全滲透測試可以檢查系統是否足夠穩定，能否抵抗來自經過認證和未經認證的攻擊，以及一系列系統角色發起的攻擊。

早期通過手工滲透進行安全滲透測試，也就是依賴測試人員進行安全滲透測試，手工滲透方法一方面消耗人力資源較大，另一方面測試效率低下，漸漸無法滿足客戶的測試需求。為了解決早期手工滲透方法存在的問題，出現了基于自動化滲透測試工具進行安全滲透測試的技術方案，目前成熟的自動化滲透測試工具包括APT2滲透測試套件、Autosploit滲透測試工具和Awesome-HackingTools等。這些滲透測試工具提高了滲透測試效率，但這些滲透測試工具只是單純地集成了已有的網絡攻擊工具，無法實現智能發現攻擊路徑，滲透測試的性能還是較差的。

發明內容

本發明實施例提供了一種安全滲透測試方法、裝置、電子設備及存儲介質，用以解決現有技術無法實現智能發現攻擊路徑，滲透測試的性能較差的問題。

本發明實施例提供了一種安全滲透測試方法，所述方法包括：

通過不同來源的外部數據構建滲透測試知識圖譜；

獲取滲透目標，根據所述滲透目標進行目標環境的信息收集；

根據收集到的目標環境的信息和所述滲透測試知識圖譜，確定所述滲透目標對應的目標滲透路徑；

根據所述目標滲透路徑對所述滲透目標進行安全滲透測試。

進一步地，所述通過不同來源的外部數據構建滲透測試知識圖譜包括：

獲取不同來源的外部數據中的實體信息、屬性信息、實體間的關系信息和實體與屬性間的關系信息；

根據所述不同來源的外部數據中的實體信息、屬性信息、實體間的關系信息和實體與屬性間的關系信息構建滲透測試知識圖譜。

進一步地，所述根據收集到的目標環境的信息和所述滲透測試知識圖譜，確定所述滲透目標對應的目標滲透路徑包括：

根據收集到的目標環境的信息和所述滲透測試知識圖譜，確定所述滲透目標對應的子知識圖譜；

根據所述子知識圖譜確定所述滲透目標對應的每個候選滲透路徑，從所述每個候選滲透路徑中選取目標滲透路徑。

進一步地，從所述每個候選滲透路徑中選取目標滲透路徑包括：

根據指定規則計算所述每個候選滲透路徑對應的評價值，根據所述每個候選滲透路徑對應的評價值確定目標滲透路徑。

進一步地，所述根據指定規則計算所述每個候選滲透路徑對應的評價值，根據所述每個候選滲透路徑對應的評價值確定目標滲透路徑包括：