网络安全测试方法、装置、设备及存储介质与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全测试方法、装置、设备及存储介质。


背景技术：

2.当前对目标组织网络进行网络安全测试时，不能直接使用网络攻击对目标阻值网络进行网络攻击，以检测目标组织网络的安全性能，且进行网络安全测试一般需要人工进行输入网络攻击的具体信息，以实现安全测试，效率不高。
3.上述内容仅用于辅助理解本发明的技术方案，并不代表承认上述内容是现有技术。


技术实现要素：

4.本发明的主要目的在于提供一种网络安全测试方法、装置、设备及存储介质，旨在解决现有技术中在进行网络安全测试时，需要人工输入网络攻击的具体参数等信息，测试效率不高的技术问题。
5.为实现上述目的，本发明提供了一种网络安全测试方法，所述方法包括以下步骤：
6.在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；
7.对所述语义标记数据进行数据挖掘，获得目标情报信息；
8.根据所述目标情报信息与预设执行体模板库确定执行体实例；
9.确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；
10.根据所述网络安全测试数据进行网络安全测试。
11.可选地，所述根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据，包括：
12.根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；
13.将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
14.可选地，所述提取所述初始输入报告中的攻击链信息，包括：
15.基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；
16.根据所述特征内容信息确定攻击链信息。
17.可选地，所述基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息，包括：
18.获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；
19.根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
20.可选地，所述将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义
标记数据，包括：
21.从预设相关语料库中提取历史相关语料信息；
22.基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
23.可选地，所述目标情报信息包括：目标序列信息与目标数据；
24.所述对所述语义标记数据进行数据挖掘，获得目标情报信息，包括：
25.将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
26.可选地，所述根据所述目标情报信息与预设执行体模板库确定执行体实例，包括：
27.根据所述目标情报信息中的目标序列信息确定目标攻击手段信息；
28.将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果；
29.在匹配成功时，根据目标攻击手段信息确定执行体模板；
30.根据所述目标数据与所述执行体模板生成执行体实例。
31.可选地，所述将所述目标攻击手段信息与预设执行体模板库进行匹配，包括：
32.根据所述目标情报信息中的目标序列信息确定攻击任务标识；
33.根据所述攻击任务标识确定所述目标攻击手段的类别信息；
34.基于所述目标攻击手段和所述目标攻击手段的类别信息通过预设执行体模板库进行匹配。
35.可选地，所述将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果之后，还包括：
36.在匹配失败时，根据所述目标攻击手段信息生成目标执行体模板；
37.根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库。
38.可选地，所述根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库，包括：
39.将所述目标执行体模板进行分类，获得所述目标执行体模板的类别信息，并根据所述目标执行体模板的类别信息确定目标任务标识；
40.将所述目标执行体模板、所述目标执行体模板的类别信息以及所述目标任务标识添加至预设执行体模板库中，获得目标执行体模板库。
41.可选地，所述根据所述目标数据与所述执行体模板生成执行体实例，包括：
42.根据所述执行体模板确定待添加数据；
43.检测所述目标数据中是否存在所述待添加数据；
44.若存在，则提取所述目标数据中的待添加数据，并根据所述待添加数据更新所述执行体模板，获得执行体实例。
45.可选地，所述确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据之后，还包括：
46.检测所述网络安全测试数据的数据格式信息；
47.在所述数据格式信息满足预设协议格式信息时，将所述网络安全测试数据传输至目标平台，以使所述目标平台进行网络安全测试。
48.此外，为实现上述目的，本发明还提出一种网络安全测试装置，所述网络安全测试
装置包括：语义标记模块、数据挖掘模块、执行体生成模块、数据获取模块以及安全测试模块；其中，
49.所述语义标记模块，用于在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；
50.所述数据挖掘模块，用于对所述语义标记数据进行数据挖掘，获得目标情报信息；
51.所述执行体生成模块，用于根据所述目标情报信息与预设执行体模板库确定执行体实例；
52.所述数据获取模块，用于确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；
53.所述安全测试模块，用于根据所述网络安全测试数据进行网络安全测试。
54.可选地，所述语义标记模块，还用于根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；
55.将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
56.可选地，所述语义标记模块，还用于基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；
57.根据所述特征内容信息确定攻击链信息。
58.可选地，所述语义标记模块，还用于获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；
59.根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
60.可选地，所述语义标记模块，还用于从预设相关语料库中提取历史相关语料信息；
61.基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
62.可选地，所述数据挖掘模块，还用于将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
63.此外，为实现上述目的，本发明还提出一种网络安全测试设备，所述网络安全测试设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全测试程序，所述网络安全测试程序配置为实现如上文所述的网络安全测试方法的步骤。
64.此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有网络安全测试程序，所述网络安全测试程序被处理器执行时实现如上文所述的网络安全测试方法的步骤。
65.本发明公开了在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；对所述语义标记数据进行数据挖掘，获得目标情报信息；根据所述目标情报信息与预设执行体模板库确定执行体实例；确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；根据所述网络安全测试数据进行网络安全测试。与现有技术相比，本发明通过对语义标记之后的网络安全测试需求进行数据挖掘，获得目标情报信息，可以将用户的网络安全测试需求转化为可处理的情报信息，在通过将目标情报信息与预设执行体模板库确定执行体实例，以生成网络安全测试数据，以使根据目标情报信息确定对应的执行体，再将执行体进行整合获得可以进行网络安全测试的数据信息，可以实现自动化的网络安全测试，避免了
现有技术中在进行网络安全测试时，需要人工输入网络攻击的具体参数等信息，测试效率不高的技术问题，提高了网络安全测试效率。
附图说明
66.图1是本发明实施例方案涉及的硬件运行环境的网络安全测试设备的结构示意图；
67.图2为本发明网络安全测试方法第一实施例的流程示意图；
68.图3为本发明网络安全测试方法第二实施例的流程示意图；
69.图4为本发明网络安全测试方法第三实施例的流程示意图；
70.图5为本发明网络安全测试装置第一实施例的结构框图。
71.本发明目的的实现、功能特点及优点将结合实施例，参照附图做进一步说明。
具体实施方式
72.应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。
73.参照图1，图1为本发明实施例方案涉及的硬件运行环境的网络安全测试设备结构示意图。
74.如图1所示，该网络安全测试设备可以包括：处理器1001，例如中央处理器(central processing unit，cpu)，通信总线1002、用户接口1003，网络接口1004，存储器1005。其中，通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(display)、输入单元比如键盘(keyboard)，可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(wireless-fidelity，wi-fi)接口)。存储器1005可以是高速的随机存取存储器(random access memory，ram)，也可以是稳定的非易失性存储器(non-volatile memory，nvm)，例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
75.本领域技术人员可以理解，图1中示出的结构并不构成对网络安全测试设备的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。
76.如图1所示，作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及网络安全测试程序。
77.在图1所示的网络安全测试设备中，网络接口1004主要用于与网络服务器进行数据通信；用户接口1003主要用于与用户进行数据交互；本发明网络安全测试设备中的处理器1001、存储器1005可以设置在网络安全测试设备中，所述网络安全测试设备通过处理器1001调用存储器1005中存储的网络安全测试程序，并执行本发明实施例提供的网络安全测试方法。
78.本发明实施例提供了一种网络安全测试方法，参照图2，图2为本发明一种网络安全测试方法第一实施例的流程示意图。
79.本实施例中，所述网络安全测试方法包括以下步骤：
80.步骤s10：在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据。
81.需要说明的是，本实施例方法的执行主体可以是具有数据处理、网络通信以及程
序运行功能的网络安全测试设备，例如手机、电脑等，或者是其他能够实现相同或相似功能的电子设备，本实施例对此不加以限制，在本实施例以及下述实施例中，以控制计算机为例进行说明。
82.值得说明的是，网络安全测试需求可以是用户通过客户端发出的操作信息或者报告信息等，其中所述网络安全测试需求用于测试目标组织网络的抗网络攻击能力，以获得目标组织网络的安全防御性能。
83.应当理解的是，通过网络安全测试需求包含有初始输入报告，其中，所述初始输入报告可以是apt分析报告、病毒分析报告以及渗透测试报告等，本实施例对此不做具体限制，在本实施例中，所有的初始输入报告都是以自然语言描述的数据报告。
84.可以理解的是，预设语义标记模型可以是具有语义解析或语义标记等功能的模型，其中，预设语义标记模型用于对用户输入的报告信息进行语义解析与语义标记，以获得语义标记数据。
85.例如：预设语义标记模型可以是基于自然语言处理算法生成的语义标记模型，还可以是其他可以实现相同或者相似功能的算法模型，其中，自然语言处理算法可以是分类算法、深度学习算法以及聚类算法等，本实施例对此不做具体限制。
86.在具体实现中，在接收到客户端用于进行网络安全测试输入的初始输入报告时，将所述初始输入报告通过自然语言进行处理，并对初始输入报告中的内容进行标记，以获得语义标记数据。
87.例如：现用户通过用户端输入一篇apt报告，该apt报告中存在有一个自然语言攻击动作：连接c&c服务器https://xxxxx.com；此时，通过自然语言算法对这个攻击动作“连接c&c服务器https://xxxxx.com”进行标记，并获得标记序列，将该语义标记序列记为语义标记数据，语义标记序列可以是：
[0088]“['连接/root'，'/mneg'，'c&amp；c/feat'，'/sco'，'/loc'，'服务器/datv'，'/mneg'，'/feat'，'/sco'，'/mneg'，'/feat'，'/loc'，'/mneg'，'/feat'，'/tool'，'/mann'，'/mneg'，'/feat'，'/no_mann'，'/esucc'，'/mneg'，'/feat'，'/sco'，'/loc'，'/no_succ']”。
[0089]
步骤s20：对所述语义标记数据进行数据挖掘，获得目标情报信息。
[0090]
需要说明的是，目标情报信息包括：ttp序列与ttp相关的具体信息，其中，ttp相关的具体信息一般可以是文件名、ip地址以及统一资源定位器(uniform resource locator，url)等，本实施对此不做具体限制。
[0091]
在具体实现中，在接收到语义标记数据时，将语义标记数据通过预设数据挖掘模型进行数据挖掘，以获得语义标记数据对应的ttp序列与ttp相关的具体信息，其中预设数据挖掘模型可以是采用deep learning的ai方式，还可以是其他具有相同或者相似功能的数据挖掘模型或者算法，本实施例对此不做具体限制。
[0092]
步骤s30：根据所述目标情报信息与预设执行体模板库确定执行体实例。
[0093]
可以理解的是，预设执行体模板库用于存储长期积累的可执行的ttp模板；执行体实例可以是通过数据挖掘的到的目标情报信息，即ttp序列与ttp相关的具体信息确定对应报告类型的可执行的ttp模板。
[0094]
例如：当接收到一个邮件转发的报告时，对该邮件转发报告进行数据挖掘获得对
应的ttp序列与ttp相关的具体信息，经过与预设执行体模板库匹配后，获得的执行体实例就可以是邮件转发类型的可执行的ttp执行模板。
[0095]
此外，若是当一个初始输入报告中存在有多个攻击动作，在进行数据挖掘时，就会生成不同攻击手段类别对应的ttp序列与ttp相关的具体信息，再根据不同的攻击手段类别对应的ttp序列与ttp相关的具体信息与预设执行体模板进行匹配，就可以获得多个攻击手段类别对应的执行体模板，例如：当初始输入报告中存在有邮件转发、连接服务器以及修改参数等三个攻击动作，在进行匹配执行体模板时，就会匹配到邮件转发对应的执行体模板、连接服务器对应的执行体模板以及修改参数对应的执行体模板等三种模板，即一个攻击动作类别对应一个执行体模板。
[0096]
在具体实现中，在根据ttp序列与ttp相关的具体信息获得执行体模板后，将ttp相关的具体信息作为参数设置到执行体模板中，形成执行体实例，例如：连接服务器对应的执行体模板所需要的参数为目标服务器的域名信息、持续时间以及开始时间等参数信息，在ttp相关的具体信息中提取这些信息并将域名信息、持续时间以及开始时间等参数信息填充至连接服务器对应的执行体模板中，生成连接服务器对应的执行体实例，以便于后续进行网络安全测试。
[0097]
步骤s40：确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据。
[0098]
应当理解的是，网络安全测试数据可以是一个或者多个执行体模板经过数据填写后的集合，其中，网络安全测试数据用于对目标组织网络进行网络安全性格检测，即使用可控的网络攻击测试目标组织网络的安全性能。
[0099]
在本实施例中，网络安全测试数据可以是基于预设协议标准的playbook数据包，且这个playbook数据包可以在所有支持playbook开放协议的bas平台上去运行的，其中，预设协议标准可以是cacao security playbook协议等，本实施例对此不做具体限制。
[0100]
进一步地，在所述步骤s40之后，还包括：
[0101]
检测所述网络安全测试数据的数据格式信息；
[0102]
在所述数据格式信息满足预设协议格式信息时，将所述网络安全测试数据传输至目标平台，以使所述目标平台进行网络安全测试。
[0103]
需要说明的是，预设协议格式信息可以是cacao security playbook协议等，用于保证网络安全测试数据可以在不同的客户端中进行运行，提高网络安全测试的鲁棒性。
[0104]
步骤s50：根据所述网络安全测试数据进行网络安全测试。
[0105]
在具体实现中，通过对用户输入的报告进行语义标注，在对语义标注数据进行数据挖掘以获得初始输入报告中的攻击手段类型对应的ttp序列与ttp相关的具体信息，基于ttp序列与ttp相关的具体信息匹配到攻击手段类型对应的执行体模板，再对执行体模板进行参数设置生成可执行的网络安全测试数据包，实现网络安全测试。
[0106]
本实施例公开了在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；对所述语义标记数据进行数据挖掘，获得目标情报信息；根据所述目标情报信息与预设执行体模板库确定执行体实例；确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；根据所述网络安全测试数据进行网络安全测试。本实施例通过对语义标记之后的网络
安全测试需求进行数据挖掘，获得目标情报信息，可以将用户的网络安全测试需求转化为可处理的情报信息，在通过将目标情报信息与预设执行体模板库确定执行体实例，以生成网络安全测试数据，以使根据目标情报信息确定对应的执行体，再将执行体进行整合获得可以进行网络安全测试的数据信息，可以实现自动化的网络安全测试，避免了现有技术中在进行网络安全测试时，需要人工输入网络攻击的具体参数等信息，测试效率不高的技术问题，提高了网络安全测试效率。
[0107]
参考图3，图3为本发明一种网络安全测试方法第二实施例的流程示意图。
[0108]
基于上述第一实施例，在本实施例中，所述步骤s10，包括：
[0109]
步骤s101：根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息。
[0110]
需要说明的是，初始输入报告可以是apt分析报告、病毒分析报告以及渗透测试报告等，本实施例对此不做具体限制，在本实施例中，所有的初始输入报告都是以自然语言描述的数据报告。
[0111]
其中，初始输入报告都是以自然语言描述的数据，例如：连接c&c服务器https://xxxxx.com或者在桌面生成空白文件夹等，且在一般情况下，网络攻击都有一个完整的攻击链，这个攻击链可能是由多个连续或者特定情况下运行的攻击手段组成。
[0112]
为了提取初始输入报告中的攻击链信息，所述步骤s101，包括：
[0113]
基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；
[0114]
根据所述特征内容信息确定攻击链信息。
[0115]
值得说明的是，特征内容信息可以是将初始输入报告进行特征提取获得的初始输入报告中的网络攻击手段信息。
[0116]
例如：有一篇apt报告且该apt分析报告只有一个攻击动作，“连接c&c服务器https://xxxxx.com”，那么对于这个apt分析报告进行特征提取获得的目标特征信息就是连接服务器，对应的攻击链信息就是连接c&c服务器，服务器域名为https://xxxxx.com。
[0117]
此外，由于不同的初始输入报告类型不同，在进行特征提取时，需要依据初始输入报告类型确定对应的报告特征提取的策略，基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息的步骤，包括：获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
[0118]
在本实施例中，初始输入报告可以为apt分析报告、病毒分析报告以及渗透测试报告等，即对应的特征内容提取策略也就为apt分析报告特征内容提取策略、病毒分析报告特征内容提取策略以及渗透测试报告特征内容提取策略。
[0119]
步骤s102：将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0120]
应当理解的是，将攻击链通过预设语义标记模型进行语义标记可以是通过攻击链确定网络攻击手段，例如：对于“连接c&c服务器https://xxxxx.com”而言，其网络攻击手段就是“连接”与“服务器”的结合。
[0121]
进一步地，为了提高语义标记的准确度，所述步骤s102，包括：
[0122]
从预设相关语料库中提取历史相关语料信息；
[0123]
基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0124]
可以理解的是，预设相关语料库用于存储历史网络安全测试中积累的语料信息；历史相关语料信息可以是历史网络安全测试过程中所用到的攻击链信息，在本实施例中，历史相关语料信息可以是：系统会使用多年积累下来ttp相关的语料。
[0125]
在具体实现中，在对攻击链信息进行语义标记时，可以依据历史网络安全测试中获得的ttp相关的语料配合运用自然语言处理算法来增加语义标记化的精确性，获得精准的语义标记数据，并输入语义标记数据对应的语义标记序列。
[0126]
本实施例公开了根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。本实施例通过确定初始输入报告的攻击链信息，选择合适的策略对攻击链信息进行自然语言处理的语义标记，并结合历史相关语料信息提高语义标记的准确性，以增强了语后续数据挖掘的准确度。
[0127]
参考图4，图4为本发明一种网络安全测试方法第三实施例的流程示意图。
[0128]
基于上述第二实施例，在本实施例中，所述步骤s20，包括：
[0129]
步骤s201：将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
[0130]
需要说明的是，预设数据挖掘模型用于对语义标记数据进行数据挖掘，其中，由于初始输入报告都是自然语言描述的攻击动作报告，所以预设数据挖掘模型可以是采用deep learning的ai方式，还可以是其他具有相同或者相似功能的数据挖掘模型或者算法，本实施例对此不做具体限制。
[0131]
在本实施例中，目标序列信息可以是ttp序列，该ttp序列包括：战术id、技术id以及序列信息等；目标数据可以是ttp相关的具体信息，该ttp相关的具体信息包括：文件名、ip地址以及统一资源定位器(uniform resource locator，url)等。
[0132]
例如：对于只包含一个攻击动作的apt分析报告而言，其中，该攻击动作为“连接c&c服务器https://xxxxx.com”，进行语义标记后获得的语义标记序列可以是：“['连接/root'，'/mneg'，'c&amp；c/feat'，'/sco'，'/loc'，'服务器/datv'，'/mneg'，'/feat'，'/sco'，'/mneg'，'/feat'，'/loc'，'/mneg'，'/feat'，'/tool'，'/mann'，'/mneg'，'/feat'，'/no_mann'，'/esucc'，'/mneg'，'/feat'，'/sco'，'/loc'，'/no_succ']”，通过对语义标记序列进行数据挖掘可以获得ttp序列，包括：{战术id：ta0011《command and control》,技术id:t1071.001《web protocol》,“连接c&c服务器https://xxxxx.com”}，ttp相关的具体信息：{object-url:https://xxxxx.com}。
[0133]
本实施例公开了将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据，本实施例通过确定进行数据挖掘的方式，采用deep learning的ai方式可以提高数据挖掘的效率。
[0134]
在本实施例中，所述步骤s30，包括：
[0135]
步骤s301：根据所述目标情报信息中的目标序列信息确定目标攻击手段信息。
[0136]
值得说明的是，目标攻击手段信息可以是通过预设数据挖掘模型进行数据挖掘后获得的采用自然语言描述的网络攻击手段，例如：通过数据挖掘获得的ttp序列，包括：{战
术id：ta0011《command and control》,技术id:t1071.001《web protocol》,“连接c&c服务器https://xxxxx.com”}，根据该ttp序列可以获得目标攻击手段为“连接服务器”。
[0137]
此外，根据用户输入的初始输入报告的不同，对应的目标攻击手段也不同，其中，目标攻击手段还可以是：邮件转发、连接服务器以及修改参数等，本实施例对此不做具体限制。
[0138]
步骤s302：将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果。
[0139]
可以理解的是，不同的攻击手段会匹配出不同的执行体模板，以生成不同类型的执行体实例，通过将攻击手段与预设执行体模板库进行匹配，可以获得与目标攻击手段对应的执行体模板。
[0140]
进一步地，所述步骤s302，包括：
[0141]
根据所述目标情报信息中的目标序列信息确定攻击任务标识；
[0142]
根据所述攻击任务标识确定所述目标攻击手段的类别信息；
[0143]
基于所述目标攻击手段和所述目标攻击手段的类别信息通过预设执行体模板库进行匹配。
[0144]
应当理解的是，攻击任务标识可以是战术id与技术id等，不同的攻击手段会对应有不同的标识信息，通过攻击任务标识可以确定目标攻击手段的类别信息，在通过对应的攻击手段类别与预设执行体模板库进行匹配获得攻击手段类别对应的执行体模板。
[0145]
步骤s303：在匹配成功时，根据目标攻击手段信息确定执行体模板。
[0146]
易于理解的是，在预设执行体模板库中存在目标攻击手段对应的执行体模板时，就可以导出该执行体模板。
[0147]
此外，若是预设执行体模板库中不存在目标攻击手段对应的执行体模板，还可以对预设执行体模板库进行更新。
[0148]
进一步地，为了解决执行体模板库中不存在目标攻击手段信息对应的执行体模板，所述步骤s303，包括：
[0149]
在匹配失败时，根据所述目标攻击手段信息生成目标执行体模板；
[0150]
根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库。
[0151]
需要说明的是，目标执行体模板是根据目标攻击手段信息生成的ttp情报模板，例如：执行体模板库中存在有三种攻击手段邮件转发、连接服务器以及修改参数以及这三种攻击手段对应的执行体模板，现检测到一个新的攻击手段：占用运行内存，此时，就需要生成占用运行内存对应的ttp情报，并将该ttp情报存储至执行体模板库中进行更新。
[0152]
在具体实现中，根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库的步骤，包括：将所述目标执行体模板进行分类，获得所述目标执行体模板的类别信息，并根据所述目标执行体模板的类别信息确定目标任务标识；将所述目标执行体模板、所述目标执行体模板的类别信息以及所述目标任务标识添加至预设执行体模板库中，获得目标执行体模板库。
[0153]
步骤s304：根据所述目标数据与所述执行体模板生成执行体实例。
[0154]
值得说明的是，要想将执行体模板转化为可执行的ttp情报，还需要对执行体模板中的参数进行设置。
[0155]
进一步地，所述步骤s304，包括：
[0156]
根据所述执行体模板确定待添加数据；
[0157]
检测所述目标数据中是否存在所述待添加数据；
[0158]
若存在，则提取所述目标数据中的待添加数据，并根据所述待添加数据更新所述执行体模板，获得执行体实例。
[0159]
易于理解的是，待添加数据可以是将执行体模板转化为可执行的ttp情报所需要的数据信息，且该数据信息一般都会包含在数据挖掘获得的ttp的相关具体信息中。
[0160]
本实施例公开了根据所述目标情报信息中的目标序列信息确定目标攻击手段信息；将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果；在匹配成功时，根据目标攻击手段信息确定执行体模板；根据所述目标数据与所述执行体模板生成执行体实例，本实施例通过检测数据挖掘获得的目标情报信息中包含的攻击手段，以确定对应攻击手段对应的执行体模板，再提取目标情报信息中目标数据对执行体模板进行参数设置，获得可执行的执行体实例，以获得合适的可执行ttp情报。
[0161]
此外，本发明实施例还提出一种存储介质，所述存储介质上存储有网络安全测试程序，所述网络安全测试程序被处理器执行时实现如上文所述的网络安全测试方法的步骤。
[0162]
由于本存储介质采用了上述所有实施例的全部技术方案，因此至少具有上述实施例的技术方案所带来的所有有益效果，在此不再一一赘述。
[0163]
参照图5，图5为本发明网络安全测试装置第一实施例的结构框图。
[0164]
如图5所示，本发明实施例提出的网络安全测试装置包括：语义标记模块10、数据挖掘模块20、执行体生成模块30、数据获取模块40以及安全测试模块50；其中，
[0165]
所述语义标记模块10，用于在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据。
[0166]
所述数据挖掘模块20，用于对所述语义标记数据进行数据挖掘，获得目标情报信息。
[0167]
所述执行体生成模块30，用于根据所述目标情报信息与预设执行体模板库确定执行体实例。
[0168]
所述数据获取模块40，用于确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据。
[0169]
所述安全测试模块50，用于根据所述网络安全测试数据进行网络安全测试。
[0170]
在一实施例中，所述语义标记模块10，还用于根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0171]
在一实施例中，所述语义标记模块10，还用于基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；根据所述特征内容信息确定攻击链信息。
[0172]
在一实施例中，所述语义标记模块10，还用于获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
[0173]
在一实施例中，所述语义标记模块10，还用于从预设相关语料库中提取历史相关
语料信息；基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0174]
在一实施例中，所述数据挖掘模块20，还用于将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
[0175]
本实施例公开了在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；对所述语义标记数据进行数据挖掘，获得目标情报信息；根据所述目标情报信息与预设执行体模板库确定执行体实例；确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；根据所述网络安全测试数据进行网络安全测试。本实施例通过对语义标记之后的网络安全测试需求进行数据挖掘，获得目标情报信息，可以将用户的网络安全测试需求转化为可处理的情报信息，在通过将目标情报信息与预设执行体模板库确定执行体实例，以生成网络安全测试数据，以使根据目标情报信息确定对应的执行体，再将执行体进行整合获得可以进行网络安全测试的数据信息，可以实现自动化的网络安全测试，避免了现有技术中在进行网络安全测试时，需要人工输入网络攻击的具体参数等信息，测试效率不高的技术问题，提高了网络安全测试效率。
[0176]
应当理解的是，以上仅为举例说明，对本发明的技术方案并不构成任何限定，在具体应用中，本领域的技术人员可以根据需要进行设置，本发明对此不做限制。
[0177]
需要说明的是，以上所描述的工作流程仅仅是示意性的，并不对本发明的保护范围构成限定，在实际应用中，本领域的技术人员可以根据实际的需要选择其中的部分或者全部来实现本实施例方案的目的，此处不做限制。
[0178]
另外，未在本实施例中详尽描述的技术细节，可参见本发明任意实施例所提供的网络安全测试方法，此处不再赘述。
[0179]
此外，需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
[0180]
上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。
[0181]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如只读存储器(read only memory，rom)/ram、磁碟、光盘)中，包括若干指令用以使得一台终端设备(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。
[0182]
以上仅为本发明的优选实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。
[0183]
本发明公开了a1、一种网络安全测试方法，所述网络安全测试方法包括：
[0184]
在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；
[0185]
对所述语义标记数据进行数据挖掘，获得目标情报信息；
[0186]
根据所述目标情报信息与预设执行体模板库确定执行体实例；
[0187]
确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；
[0188]
根据所述网络安全测试数据进行网络安全测试。
[0189]
a2、如a1所述的网络安全测试方法，所述根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据，包括：
[0190]
根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；
[0191]
将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0192]
a3、如a2所述的网络安全测试方法，所述提取所述初始输入报告中的攻击链信息，包括：
[0193]
基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；
[0194]
根据所述特征内容信息确定攻击链信息。
[0195]
a4、如a3所述的网络安全测试方法，所述基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息，包括：
[0196]
获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；
[0197]
根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
[0198]
a5、如a2所述的网络安全测试方法，所述将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据，包括：
[0199]
从预设相关语料库中提取历史相关语料信息；
[0200]
基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0201]
a6、如a1所述的网络安全测试方法，所述目标情报信息包括：目标序列信息与目标数据；
[0202]
所述对所述语义标记数据进行数据挖掘，获得目标情报信息，包括：
[0203]
将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
[0204]
a7、如a6所述的网络安全测试方法，所述根据所述目标情报信息与预设执行体模板库确定执行体实例，包括：
[0205]
根据所述目标情报信息中的目标序列信息确定目标攻击手段信息；
[0206]
将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果；
[0207]
在匹配成功时，根据目标攻击手段信息确定执行体模板；
[0208]
根据所述目标数据与所述执行体模板生成执行体实例。
[0209]
a8、如a7所述的网络安全测试方法，所述将所述目标攻击手段信息与预设执行体模板库进行匹配，包括：
[0210]
根据所述目标情报信息中的目标序列信息确定攻击任务标识；
[0211]
根据所述攻击任务标识确定所述目标攻击手段的类别信息；
[0212]
基于所述目标攻击手段和所述目标攻击手段的类别信息通过预设执行体模板库进行匹配。
[0213]
a9、如a7所述的网络安全测试方法，所述将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果之后，还包括：
[0214]
在匹配失败时，根据所述目标攻击手段信息生成目标执行体模板；
[0215]
根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库。
[0216]
a10、如a9所述的网络安全测试方法，所述根据所述目标执行体模板更新所述预设执行体模板库，获得目标执行体模板库，包括：
[0217]
将所述目标执行体模板进行分类，获得所述目标执行体模板的类别信息，并根据所述目标执行体模板的类别信息确定目标任务标识；
[0218]
将所述目标执行体模板、所述目标执行体模板的类别信息以及所述目标任务标识添加至预设执行体模板库中，获得目标执行体模板库。
[0219]
a11、如a7所述的网络安全测试方法，所述根据所述目标数据与所述执行体模板生成执行体实例，包括：
[0220]
根据所述执行体模板确定待添加数据；
[0221]
检测所述目标数据中是否存在所述待添加数据；
[0222]
若存在，则提取所述目标数据中的待添加数据，并根据所述待添加数据更新所述执行体模板，获得执行体实例。
[0223]
a12、如a1至a11中任一项所述的网络安全测试方法，所述确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据之后，还包括：
[0224]
检测所述网络安全测试数据的数据格式信息；
[0225]
在所述数据格式信息满足预设协议格式信息时，将所述网络安全测试数据传输至目标平台，以使所述目标平台进行网络安全测试。
[0226]
本发明还公开了b13、一种网络安全测试装置，所述网络安全测试装置包括：语义标记模块、数据挖掘模块、执行体生成模块、数据获取模块以及安全测试模块；其中，
[0227]
所述语义标记模块，用于在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；
[0228]
所述数据挖掘模块，用于对所述语义标记数据进行数据挖掘，获得目标情报信息；
[0229]
所述执行体生成模块，用于根据所述目标情报信息与预设执行体模板库确定执行体实例；
[0230]
所述数据获取模块，用于确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；
[0231]
所述安全测试模块，用于根据所述网络安全测试数据进行网络安全测试。
[0232]
b14、如b13所述的网络安全测试装置，所述语义标记模块，还用于根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；
[0233]
将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0234]
b15、如b14所述的网络安全测试装置，所述语义标记模块，还用于基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；
[0235]
根据所述特征内容信息确定攻击链信息。
[0236]
b16、如b15所述的网络安全测试装置，所述语义标记模块，还用于获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；
[0237]
根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。
[0238]
b17、如b16所述的网络安全测试装置，所述语义标记模块，还用于从预设相关语料库中提取历史相关语料信息；
[0239]
基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。
[0240]
b18、如b13所述的网络安全测试装置，所述数据挖掘模块，还用于将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。
[0241]
本发明还公开了c19、一种网络安全测试设备，所述网络安全测试设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全测试程序，所述网络安全测试程序配置为实现如上文所述的网络安全测试方法。
[0242]
本发明还公开了d20、一种存储介质，所述存储介质上存储有网络安全测试程序，所述网络安全测试程序被处理器执行时实现如上文所述的网络安全测试方法。

技术特征：
1.一种网络安全测试方法，其特征在于，所述网络安全测试方法包括：在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；对所述语义标记数据进行数据挖掘，获得目标情报信息；根据所述目标情报信息与预设执行体模板库确定执行体实例；确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；根据所述网络安全测试数据进行网络安全测试。2.如权利要求1所述的网络安全测试方法，其特征在于，所述根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据，包括：根据所述网络安全测试需求确定初始输入报告，并提取所述初始输入报告中的攻击链信息；将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。3.如权利要求2所述的网络安全测试方法，其特征在于，所述提取所述初始输入报告中的攻击链信息，包括：基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息；根据所述特征内容信息确定攻击链信息。4.如权利要求3所述的网络安全测试方法，其特征在于，所述基于所述初始输入报告对初始输入报告进行特征提取，获得特征内容信息，包括：获取初始输入报告的报告类型，并基于所述报告类型确定特征内容提取策略；根据所述特征内容提取策略对初始输入报告进行特征提取，获得特征内容信息。5.如权利要求2所述的网络安全测试方法，其特征在于，所述将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据，包括：从预设相关语料库中提取历史相关语料信息；基于所述历史相关语料信息将所述攻击链信息通过预设语义标记模型进行语义标记，获得语义标记数据。6.如权利要求1所述的网络安全测试方法，其特征在于，所述目标情报信息包括：目标序列信息与目标数据；所述对所述语义标记数据进行数据挖掘，获得目标情报信息，包括：将所述语义标记数据通过预设数据挖掘模型进行数据挖掘，获得目标序列信息与目标数据。7.如权利要求6所述的网络安全测试方法，其特征在于，所述根据所述目标情报信息与预设执行体模板库确定执行体实例，包括：根据所述目标情报信息中的目标序列信息确定目标攻击手段信息；将所述目标攻击手段信息与预设执行体模板库进行匹配，获得匹配结果；在匹配成功时，根据目标攻击手段信息确定执行体模板；根据所述目标数据与所述执行体模板生成执行体实例。8.一种网络安全测试装置，其特征在于，所述网络安全测试装置包括：语义标记模块、数据挖掘模块、执行体生成模块、数据获取模块以及安全测试模块；其中，
所述语义标记模块，用于在接收到网络安全测试需求时，根据所述网络安全测试需求通过预设语义标记模型进行语义标记，获得语义标记数据；所述数据挖掘模块，用于对所述语义标记数据进行数据挖掘，获得目标情报信息；所述执行体生成模块，用于根据所述目标情报信息与预设执行体模板库确定执行体实例；所述数据获取模块，用于确定所述执行体实例的序列信息，并根据所述序列信息与所述目标情报信息生成网络安全测试数据；所述安全测试模块，用于根据所述网络安全测试数据进行网络安全测试。9.一种网络安全测试设备，其特征在于，所述网络安全测试设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全测试程序，所述网络安全测试程序配置为实现如权利要求1至7中任一项所述的网络安全测试方法。10.一种存储介质，其特征在于，所述存储介质上存储有网络安全测试程序，所述网络安全测试程序被处理器执行时实现如权利要求1至7任一项所述的网络安全测试方法。

技术总结
本发明涉及网络安全技术领域，尤其涉及一种网络安全测试方法、装置、设备及存储介质。本发明通过对语义标记之后的网络安全测试需求进行数据挖掘，获得目标情报信息，可以将用户的网络安全测试需求转化为可处理的情报信息，在通过将目标情报信息与预设执行体模板库确定执行体实例，以生成网络安全测试数据，以使根据目标情报信息确定对应的执行体，再将执行体进行整合获得可以进行网络安全测试的数据信息，可以实现自动化的网络安全测试，避免了现有技术中在进行网络安全测试时，需要人工输入网络攻击的具体参数等信息，测试效率不高的技术问题，提高了网络安全测试效率。提高了网络安全测试效率。提高了网络安全测试效率。


技术研发人员：吴龙平 莫建平 唐杰
受保护的技术使用者：三六零数字安全科技集团有限公司
技术研发日：2021.12.27
技术公布日：2023/7/11