(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111513313.3 (22)申请日 2021.12.12 (71)申请人 中国电子科技 集团公司第十五研究 所 地址 100083 北京市海淀区北四环中路21 1 号 申请人 中电科网络空间安全研究院有限公 司　 中国电子科技 集团公司第三十 研究 所 (72)发明人 任传伦　杨天长　张先国　徐军化　 李宝静　董小雨　 (74)专利代理 机构 北京丰浩知识产权代理事务 所(普通合伙) 11781 代理人 李学康(51)Int.Cl. H04L 9/40(2022.01) G06K 9/62(2022.01) (54)发明名称 一种面向复杂防御机制的自适应渗透测试 方法 (57)摘要 本发明公开了一种面向复杂防御机制的自 适应渗透测试方法， 包括： 针对网络自动渗透拓 展应用场景， 得到目标环境感知、 多层次融合的 网络渗透工具定制化组装、 基于辅助决策的自适 应隐蔽渗透和目标防御机制的智能化识别与对 抗技术的应用现状； 形成面向异构用户网络的自 动渗透拓展的技术体系架构， 为用户提供目标环 境感知、 网络渗透工具组装、 自适应隐蔽渗透、 防 御机制智能识别和对抗能力， 为用户网络环境的 智能化感染和防御机制优化升级提供技术支撑 和数据支撑 。 权利要求书3页 说明书6页 附图4页 CN 114205153 A 2022.03.18 CN 114205153 A 1.一种面向复杂防御机制的自适应渗透测试 方法， 其特 征在于， 所述方法包括： 针对网络自动渗透拓展应用场景， 基于网络自动渗透拓展知识库和目标防御机制的智 能化识别与对抗技术， 利用智能化 目标环境感知探测用户网络环境， 获取异构网络的多源 数据信息， 并基于多源异构数据融合的智能分析识别方法， 构建用户网络环境全面感知与 快速分析机理， 识别用户网络平台类型、 服 务状态和安全状态， 形成用户网络环境态 势； 结合感知到的用户网络环境相关信息、 网络自动渗透拓展知识库、 目标防御机制智能 化识别与对抗技术， 多层次融合的网络渗透工具定制化组装形成网络渗透测试工具定制平 台框架， 基于自定义策略按需生成满足特定用户网络环境 运行需求的网络渗透测试工具； 结合网络自动渗透拓展知识库、 目标防御机制智能化识别与对抗技术和多层次融合的 网络渗透工具定制化组装， 进 行基于辅助决策的自适应隐蔽渗透， 形成具有策略统一描述、 用户网络感知接口和增量式知识库的隐蔽渗透决策引擎， 根据特定的用户网络环境特点， 实现网络渗透测试工具的无感投递， 提升渗透测试工具投递随物理环境变化的自适应能 力， 形成基于辅助决策模型 的增量式自学习模式， 积累面向不同用户网络环境和防护手段 的动态渗透方法知识库； 所述网络自动渗透拓展知识库包括： 节点属性库、 指纹库、 漏洞库、 防御策略库、 渗透工 具库、 渗透策略库。 2.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法， 其特征在于， 所述 智能化目标环境感知， 包括： 面向异构网络的节点信息隐蔽探测和基于多源异构数据融合 的智能分析识别； 所述面向异构网络的节点信息隐蔽探测， 包括： 网络对象节点信息探测和云服务器资 源探测； 利用面向异构网络的节点信 息隐蔽探测感知用户网络环境， 获取异构网络的多源数据 信息； 利用多源异构数据融合的智能分析识别对多源数据信息进行分析识别； 所述基于多源异构数据融合的智能分析识别， 包括： 融合分析第三方情报数据、 公开数 据和互联网主动探测数据， 形成用户网络节点的基础设施数据库， 完成对节点的识别定性 分析、 单点信息分析和多源信息融合分析， 实现对用户网络环境探测感知信息的高效利用。 3.根据权利要求2所述的面向复杂防御机制的自适应渗透测试方法， 其特征在于， 所述 网络对象节点信息 探测， 包括： 采用ICMP  PING、 TCP  PING和ARP  PING技术进行节点存活性探测， 初 步确定用户网络主 机是否可达； 采用TCP全连接、 TCP  SYN和TCP  FIN端口扫描技术进行节点端口扫描， 发现用户网络主 机网络协议和各种应用的开 放端口； 在端口探测扫描结果基础上， 根据默认端口定义或根据应用协议特征， 进行节点服务 类型和版本的智能化探测 和判断； 根据各个OS在TCP/IP协议栈实现上的不同特点， 进行节点操作系统类型探测识别； 通过模拟用户网络服务的正常登录流程， 使用用户名和口令字方式对用户网络服务进 行访问并尝试登录， 根据用户网络返回的信息判断其可用的用户名口令， 获取与主机或网 络的安全性相关的共享目录和文件信息， 实现节点敏感信息 探测。权　利　要　求　书 1/3 页 2 CN 114205153 A 24.根据权利要求2所述的面向复杂防御机制的自适应渗透测试方法， 其特征在于， 所述 云服务器资源探测， 包括： 针对云服务 隐藏后端服务对象的问题， 分析云服务对象特征， 利用网络扫描和探测技 术， 基于大规模服务对象指纹匹配技术， 识别后端原始 服务对象 的网络IP， 实现后端服务对 象的识别和瞄准； 针对全球范围内大量存在的云服务节点， 利用大规模网络扫描技术， 基于服务节点指 纹匹配技 术， 实现对云服 务节点的识别、 瞄准和网络结构的探测。 5.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法， 其特征在于， 所述 目标防御机制的智能化识别与对抗技术， 包括： 基于协议伪装和模拟 检测的入侵检测对抗、 基于隐蔽通信信道边界防护规避、 基于沙箱模拟检测的防御对抗、 基于审计规则规避的防 御对抗、 目标防御机制的智能化识别， 准确识别用户网络防御机制并规避多种安全防护系 统， 以支撑渗透测试工具的隐蔽渗透； 所述基于协议伪装和模拟检测的入侵检测对抗， 包括： 针对用户入侵检测措施， 从基于 网络的入侵检测 和基于模拟检测运行两个方面进行入侵检测对抗； 所述基于网络的入侵检测， 包括： 针对基于特征和流量行为分析的入侵检测机制， 通过 流量协议伪装， 消除恶意 流量特征和行为特 征； 所述基于模拟检测运行的方法， 包括： 提取在用户各个入侵检测系统中的预执行， 基于 检测执行结果反馈， 进行自身保护机制变换， 从而成功规避用户的入侵检测； 所述基于隐蔽通信信道边界 防护规避， 包括： 针对用户网络边界 防护措施， 通过基于协 议伪装的合法流量伪装、 基于合法流量注入的流量隐藏和基于通信加密的加密流量生成手 段， 对边界防护设备进行协议混淆、 流 量隐藏和流 量分析对抗， 实现防御机制的对抗； 所述基于沙箱模拟检测的防御对抗， 包括： 针对杀毒软件的病毒查杀， 在沙箱环境中模 拟执行， 基于反馈执行结果， 经过训练学习， 提高网络渗透拓展中相关程序的反调试能力、 反虚拟执行能力和Root kit隐藏能力， 以应对基于虚拟 机环境的检测和动态调试检测， 规避 主机杀毒软件和主动防御机制的查杀； 所述基于审计规则规避的防御对抗， 包括： 通过变换通信协议和渗透方法、 基于证书伪装的审计规避技术和基于代理应用软件的 行为审计规避手段， 针对用户网络内网审计软件的行为审计； 通过通信行为协议混淆和渗透方法适变， 对审计软件的行为审计阻断进行扰乱； 通过伪装证书规避审计软件基于合法证书认证的行为审计策略； 通过使用代理软件实现基于审计通信阻断和代理欺骗的行为审计对抗； 所述目标防御机制的智能化识别， 包括： 在用户网络环境的基础上， 实现基于指纹库的 防御设备识别； 基于用户网络控守手段， 通过获取配置文件， 实现防御策略识别。 6.根据权利要求1所述的面向复杂防御机制的自适应渗透测试方法， 其特征在于， 所述 多层次融合的网络渗透工具定制化组装， 包括： 加载载荷目录下的所有 载荷， 获取各载荷的 信息获取函数， 初始化各 载荷数据结构， 提供一种注 册机制， 为每种载荷提供一个特定ID； 根据网络渗透拓展任务， 基于获取的用户网络环境态势中的用户网络漏洞、 防御机制、 防御策略、 平台和服 务类型信息， 决定渗透测试工具定制组织的方式；权　利　要　求　书 2/3 页 3 CN 114205153 A 3