公开(公告)号：CN116260637A

公开(公告)日：2023-06-13

申请号：CN202310117222.0

申请日：2023-02-15

Applicant: 中国电子技术标准化研究院 ,  北京启明星辰信息安全技术有限公司

Inventor： 李琳 ,  夏冀 ,  蔡一鸣 ,  赵梓桐 ,  孙淑娴 ,  朱峰 ,  周睿康 ,  尹北生

IPC: H04L9/40

Abstract: 本发明涉及一种渗透测试的路径规划方法、装置、电子设备及存储介质，应用于网络安全路径规划领域，所述路径规划方法，构建攻击策略图谱，通过获取的测试目标的初始信息获取漏洞的信息，所述漏洞的信息包括CWE编号，再根据所述CWE编号查询攻击策略图谱确定攻击路径集合和所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合，最后根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。本发明通过构建的攻击策略图谱可以快速查询到漏洞的相关信息，进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径，并且可以提高渗透测试的效率。

公开(公告)号：CN116260637B

公开(公告)日：2023-11-07

申请号：CN202310117222.0

申请日：2023-02-15

Applicant: 中国电子技术标准化研究院 ,  北京启明星辰信息安全技术有限公司

Inventor： 李琳 ,  夏冀 ,  蔡一鸣 ,  赵梓桐 ,  孙淑娴 ,  朱峰 ,  周睿康 ,  尹北生

IPC: H04L9/40

Abstract: 本发明涉及一种渗透测试的路径规划方法、装置、电子设备及存储介质，应用于网络安全路径规划领域，所述路径规划方法，构建攻击策略图谱，通过获取的测试目标的初始信息获取漏洞的信息，所述漏洞的信息包括CWE编号，再根据所述CWE编号查询攻击策略图谱确定攻击路径集合和所述攻击路径集合中每条攻击路径的CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合，最后根据所述CAPEC攻击收益集合、CAPEC实施难度集合、攻击战术适用平台集合和CVSS评分集合筛选所述攻击路径集合中的攻击路径。本发明通过构建的攻击策略图谱可以快速查询到漏洞的相关信息，进而利用漏洞的相关信息可以生成丰富的渗透测试的攻击路径，并且可以提高渗透测试的效率。