(19)国家知识产权局(12)发明专利申请(10)申请公布号CN115987559A(43)申请公布日2023.04.18(21)申请号202211520479.2(22)申请日2022.11.30(71)申请人中国农业银行股份有限公司地址100005北京市东城区建国门内大街69号(72)发明人陶瑞赵嘉懿(74)专利代理机构北京同立钧成知识产权代理有限公司11205专利代理师丁鑫臧建明(51)Int.Cl.H04L9/40(2022.01)权利要求书2页说明书10页附图5页(54)发明名称攻击测试方法、装置、设备和计算机可读存储介质(57)摘要本发明提供一种攻击测试方法、装置、设备和计算机可读存储介质，该方法包括：获取内网访问基线以及安全域访问基线；根据所述内网访问基线以及所述安全域访问基线确定待攻击的第一资产的访问路径，并根据所述访问线路确定攻击路径；确定所述攻击路径对应的各个目标攻击用例，并采用各个所述目标攻击用例对所述攻击路径上的资产进行攻击测试。本发明中，采用多个攻击用例对攻击路径上的资产进行攻击测试，将攻击测试的模拟范围最大化，从而通过攻击测试准确的确定网络防护体系的有效性和安全性。CN115987559ACN115987559A权利要求书1/2页1.一种攻击测试方法，其特征在于，包括：获取内网访问基线以及安全域访问基线，其中，所述内网访问基线用于指示发生过访问行为的资产，所述安全域访问基线用于指示第一网络区域内的资产对第二网络区域的资产进行跨域访问，所述资产用于指示软件或硬件；根据所述内网访问基线以及所述安全域访问基线确定待攻击的第一资产的访问路径，并根据所述访问线路确定攻击路径；确定所述攻击路径对应的各个目标攻击用例，并采用各个所述目标攻击用例对所述攻击路径上的资产进行攻击测试。2.根据权利要求1所述的攻击测试方法，其特征在于，所述根据所述内网访问基线以及所述安全域访问基线确定待攻击的第一资产的访问路径的步骤包括：根据所述内网访问基线确定待攻击的所述第一资产历史访问的第二资产；根据所述安全域访问基线确定第一网络区域进行跨域访问的第二网络区域，所述第一网络区域是所述第一资产所在的网络区域；根据所述第一资产访问所述第二资产的路径、以及所述第一网络区域访问第二网络区域的路径，确定所述第一资产的访问路径。3.根据权利要求2所述的攻击测试方法，其特征在于，所述确定所述攻击路径对应的各个目标攻击用例的步骤包括：确定所述攻击路径上的资产在每个攻击阶段的第一攻击用例；基于每个所述攻击阶段的第一攻击用例确定所述攻击路径对应的各个目标攻击用例。4.根据权利要求3所述的攻击测试方法，其特征在于，所述确定所述攻击路径上的资产在每个攻击阶段的第一攻击用例的步骤包括；获取所述攻击路径上的资产的各个第二攻击用例；确定所述攻击阶段的攻击特征，并确定与所述攻击特征所匹配的第二攻击用例，以作为所述攻击阶段的各个第一攻击用例。5.根据权利要求3所述的攻击测试方法，其特征在于，所述采用所述目标攻击用例对所述攻击路径上的资产进行攻击测试的步骤包括：确定所述目标攻击用例在所述攻击路径上的攻击位置以及攻击时间；在攻击测试处于所述目标攻击用例的攻击阶段、且当前时间达到所述攻击时间时，执行所述目标攻击用例以对所述攻击位置对应的资产进行攻击。6.根据权利要求1‑5中任一项所述的攻击测试方法，其特征在于，所述获取内网访问基线以及安全域访问基线的步骤之前，还包括：获取资产基线，所述资产基线用于指示资产的基础信息；根据所述资产基线确定发生过访问行为的各个第三资产，并根据各个所述第三资产构建内网访问基线；确定所述第三资产进行跨域访问的第三网络区域；根据所述第三网络区域以及所述第一资产所在的网络区域构建安全域访问基线；存储所述内网访问基线以及所述安全域访问基线。7.根据权利要求1‑5中任一项所述的攻击测试方法，其特征在于，所述采用各个所述目标攻击用例对所述攻击路径上的资产进行攻击测试的步骤之后，还包括：2CN115987559A权利要求书2/2页获取各个所述目标攻击用例的执行信息；根据各个所述执行信息确定资产的安全防护策略，并输出所述安全防护策略。8.一种攻击测试装置，其特征在于，包括：获取模块，用于获取内网访问基线以及安全域访问基线，其中，所述内网访问基线用于指示发生过访问行为的资产，所述安全域访问基线用于指示第一网络区域内的资产对第二网络区域的资产进行跨域访问，所述资产用于指示软件或硬件；确定模块，用于根据所述内网访问基线以及所述安全域访问基线确定待攻击的第一资产的访问路径，并根据所述访问线路确定攻击路径；所述确定模块，还用于确定所述攻击路径对应的各个目标攻击用例，并采用各个所述目标攻击用例对所述攻击路径上的资产进行攻击测试。9.一种攻击测试设备，其特征在于，包括：存储