(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111436832.4 (22)申请日 2021.11.29 (71)申请人 中国人民解 放军63891部队 地址 471000 河南省洛阳市洛龙区瀛洲路 关林路交叉口 (72)发明人 苗泉强　刘迎龙　郭荣华　袁学军　 王震　吴迪　郝亮　宋胜利　 石长安　赵亚新　 (74)专利代理 机构 洛阳市凯旋专利事务所(普 通合伙) 41112 代理人 林志坚 (51)Int.Cl. H04L 9/40(2022.01) G06F 16/36(2019.01) G06F 16/901(2019.01)G06F 16/951(2019.01) G06F 40/295(2020.01) (54)发明名称 一种基于知识图谱的网络安全测试的生成 方法 (57)摘要 本发明属于网络安全测试技术领域， 公开一 种基于知识图谱的网络安全测试的生成方法， 首 先， 设计了安全测试领域 资产模型、 脆弱点模型、 攻击技术模型的相互关联本体框架； 然后， 抽取 网络安全历史数据， 用图数据库构建网络安全测 试知识图谱； 最后， 基于知识图谱的网络安全测 试的生成。 本发明能够将安全性测试中的渗透测 试用攻击模型表示， 将攻击活动、 脆弱点、 攻击阶 段等关联起来， 能够充分利用历史攻击测试数 据， 智能化推荐生成安全测试方案， 实现了知识 的智能检索和自动推理关联。 极大地提高了网络 安全测试的完整性和高效性。 权利要求书3页 说明书8页 附图2页 CN 114257420 A 2022.03.29 CN 114257420 A 1.一种基于知识图谱的网络安全测试的生成方法， 其特征是： 首先采用安全测试领域 资产模型、 脆弱点模 型、 攻击技术模型构建的相互关联本体框架； 然后抽取网络安全历史数 据， 用图数据库构建网络安全测试知识图谱数据库； 最后基于知识图谱的网络安全测试 的 生成方法， 其具体步骤如下： 步骤一、 构建安全测试领域本体框架， 是针对安全性测试领域， 通过融合历史攻击、 防 御信息进行构建， 网络安全本体框架具体包括： 测试包、 测试阶段、 测试工具、 测试技术、 防 御措施、 脆弱点、 网络资产实体， 测试包与测试工具和测试技术间的 “使用”关系， 测试工具 与测试技术的 “使用”关系， 测试工具和测试技术与测试 阶段的“属于”关系、 与防御措施的 “缓解”关系、 与脆弱性和网络 资产的“目标”关系； 网络空间安全领域本体由实体、 实体间关 系、 实体及关系的属性组成， 用于组织、 表示以及共享网络安全相关的知识； 步骤二、 构建安全性测试知识图谱数据库， 采用爬虫技术从各类漏洞库、 安全论坛的网 站获取相关信息， 并基于规则匹配技术对实体和关系完成抽取与融合， 其中测试包、 测试阶 段、 测试技术、 测试工具、 防御措施从ATT&CK官网获取数据并融合其他信息， 测试包对应于 ATT&CK中组织(Group)， 测试阶段对应于ATT&CK中战术(Tactic)， 测试技术融合ATT&CK中技 术(Technique)和CAPEC数据， 测试工具融合ATT&CK中恶意软件(malware)、 工具(tool)和 MAEC数据， 防御 措施融合ATT&CK中缓解措施(Mitigation)和CAPEC中应对措施数据， 脆弱点 融合CVE、 CNNVD、 CNVD漏洞库和漏洞分类(CWE)信息； 经过上述步骤之后， 构造了知识图谱的 本体框架， 并将爬取各类网络安全相关数据， 并基于规则或命名实体识别技术对实体和关 系完成抽取与融合， 将其完成数据的实施化； 由测试包、 测试工具、 测试技术、 测试阶段四类 实体构建的知识图谱反 映历史上对指定攻击目标在各个攻击阶段采用了哪些攻击工具和 攻击技术； 由测试技术、 测试工具、 依赖平台、 防御技术实体构建的知识图谱反映了测试工 具和测试技术依赖的软件平台、 攻击的可能性、 检测方式， 以及相对应的防御方式； 由脆弱 点、 影响的资产构建的知识图谱反映了漏洞的分类、 漏洞评分、 漏洞利用条件、 漏洞利用后 收益、 漏洞影响的资产类型； 步骤三、 被测网络资产识别， 采用 资产识别工具、 人工检查的方式对网络资产进行识 别， 识别各网络 资产的软硬件 型号、 版本、 配置信息； 其中计算类 设备采用采集工具A ida， 其 它网络设备采用自研资产识别工具进行资产识别； 步骤四、 被测网络漏洞扫 描， 利用漏洞扫描工具Nessus、 绿盟漏扫设备的工具对被测网 络进行漏洞 扫描， 获取被测网络的脆弱点； 步骤五、 基于知识图谱的渗透测试生成方法， 包括测试所用工具、 测试技术、 测试步骤， 及全面覆盖被测网络资产的所有脆弱点； 1)测试人员利用步骤3获取被测网络资产节点集合V＝{v1， v2，…vm}、 各节点的邻接关 系集合E＝{(vi， vj)|vi， vj∈V}和各节点初始攻击 条件集合C＝{(pvi， tvi)|vi∈V}， 对应的攻 击后收益集合R＝{(pvi， tvi)|vi∈V}， 其中pvi为权限要求， 取值为无、 user或root， 其能力强 弱依次为root＞user＞无； tvi为攻击方式， 取值为local或network， 其能力强弱依次为 local＞netw ork； 2)在知识图谱AKG中对于任意的网络资产节点vi∈V， 创建其与CPE节点vcpe的“相关”关 系r＝createEdges(vi， vcpe)； 3)在知识图谱AKG中根据 “网络资产 ‑CPE‑脆弱点”间关联关系查找资产节点vi的漏洞信权　利　要　求　书 1/3 页 2 CN 114257420 A 2息Ui； 4)首先尝试对所有资产节点 的所有漏洞进行漏洞利用， 假设资产节点vi的漏洞为Ui＝ {u1， u2，…un}， 其中漏洞uj的利用条件cuj＝(puj， tuj)和利用后的收益ruj＝(puj， tuj)从知识 图谱AKG中的 “脆弱点”节点属性获取， 通过比较网络资产节点的初始攻击条件与漏洞利用 条件来判断该漏洞是否能被利用， 并记录被利用后的收益； 对于能够漏洞利用的情况， 在知 识图谱中通过 “脆弱点‑测试技术 ‑测试工具 ”和“脆弱点‑测试技术 ‑防御措施 ”关联关系将 该脆弱点的攻击技 术、 攻击工具、 防御措施查找出来， 形成测试 方法集合； 5)然后， 对于未能直接进行漏洞利用的资产节点， 考虑通过已攻击利用节点作为跳板 进行攻击； 此时， 攻击的初始条件已经变为cvi＝max(cvi， Rui)， 其中Rui＝{ru1， ru2，…run}， 继 续进行4)的操作， 对于经过跳板能够实现的漏洞利用， 在知识图谱中将该脆弱点的攻击技 术、 攻击工具、 防御措施查找出来， 形成测试 方法集合； 6)测试方法的集合根据脆弱点的利用难度依次排序， 形成网络资产各节点的测试方 案； 具体实施方法如下： 步骤A： 输入： 网络资产节点集合V＝{v1， v2，…vm}， 初始攻击条件 集合C＝{(oi， pi， ti)|vi ∈V}， 邻接关系集 合E＝{(vi， vj)|vi， vj∈V}， 脆弱点 集合Ui＝{u1， u2，…un}， 知识图谱AKG； 输出： 网络资产各节点的测试 方案与最大收益； Yv＝initSet//初始化可被直接漏洞 利用资产集 合； Nv＝initSet//初始化不可被直接漏洞 利用资产集 合； for each vi∈V Si＝searchEdges(vi， vcpe)in AKG//在知识图谱中查询每个网络 资产节点包含的CP E信 息； Ui＝getVul(Si)in AKG//在知识图谱中查询每 个网络资产节点包 含的漏洞 信息； {(Ai， Ti， ruj)}＝directTestCase(Ui， cvi)in AKG//在知识图谱中对目标节点直接漏洞 利用生成的测试 方案； //计算该节点所有漏洞 利用收益的最大值； end for for each vi∈Nv for each vm∈Yvand(ui， vm)∈E ci＝rmmax//将邻接节点的最大收益作为本节点的初始条件； {(Ai， Ti， ruj)}＝adjTestCase(Ui， cvi) //在知识图谱中对目标节点 通过邻接节点漏洞 利用生成的测试 方案； end for end for 步骤B： 直接漏洞利用的测试方案生成函数directTestCase(Ui， cvi)定义如下， 其中cuj 为漏洞uj利用条件； 输入： 目标节点vi的漏洞列表Ui， 初始攻击条件cvi； 输出： 漏洞攻击技 术{Ai}、 攻击工具集合{Ti}， 漏洞利用收益{rvi}； for each uj∈Ui if cvi≥cuj权　利　要　求　书 2/3 页 3 CN 114257420 A 3