当前位置:首页 > 报告详情

A3--勾志营--智能化安全测试体系构建与实践.pdf

上传人: B**** 编号:963828 2025-11-02 45页 4.90MB

1、勾志营工行软件开发中心 安全测试工程师勾志营勾志营工行软件开发中心 安全测试工程师拥有10余年测试开发经验的工程师,长期专注于安全测试领域。主要负责安全测试技术的研究与创新,主导安全测试工具的研发与落地,并推动相关工具的日常运营与持续优化。同时,负责安全测试团队的管理工作,致力于提升团队整体的技术能力与实战水平,为银行系统的安全稳定运行提供坚实保障。发表专利6篇。目录目录CONTENTS背景与挑战0102 实现方案实践案例03总结与展望04PART 01PART 01背景与挑战背景与挑战1.1 1.1 传统安全测试现状和痛点传统安全测试现状和痛点安全测试专业性强安全测试专业性强安全测试高度依赖

2、人工经验,测试人员需掌握多领域知识,包括基础安全测试方法、安全漏洞、密码学、代码审计等。在传统的安全测试过程中,测试人员安全专业知识有限,易出现覆盖不全而导致遗漏。漏洞自动化能力不足漏洞自动化能力不足当前安全漏洞攻击手段迭代快、变种多,且业务漏洞检测规则与业务逻辑强相关,无法通过固化规则自动检测。场景化扫描能力不足场景化扫描能力不足传统安全测试工具缺乏场景化联动能力,漏洞扫描孤立运行,漏洞间缺乏关联分析和交叉验证。0101030302021.2 1.2 总体思路总体思路安全漏洞智能扫描安全漏洞智能扫描安全测试路径智能规划安全测试路径智能规划安全案例智能推荐安全案例智能推荐将存量测试案例资产库、

3、漏洞库等作为大模型的专家知识库,基于需求文档、详细设计文档推荐可复用的安全测试案例。基于功能测试流量,通过payload构建、报文比对等能力,结合提示词工程开展越权、短信轰炸等高危漏洞的自动化扫描及结果智能判断。通过安全智能体的规划能力调用单个测试工具接口形成漏洞联动测试能力,自动化开展安全测试。以“智能体驱动、知识增强、全流程赋能”为总体思路,依托大语言模型的语义理解和逻辑推理能力,结合金融行业安全测试知识体系,构建智能化安全测试体系。PART 02PART 02实现方案实现方案2.1 2.1 整体架构整体架构2.2 2.2 安全案例智能推荐安全案例智能推荐2.3 2.3 安全漏洞安全漏洞智

4、能扫描智能扫描2.4 2.4 安全测试路径安全测试路径智能规划智能规划2.1 2.1 总体架构总体架构安全案例智能推荐安全漏洞智能扫描安全测试路径智能规划场景场景工工具具支支撑撑提示词管理基础基础数据数据基础大基础大模型及模型及框架框架DeepSeekQWenMCPDify需求文档安全案例库功能设计内容历史漏洞库功能测试流量库语义规则分析案例推荐越权检测文件上传检测文件下载检测短信轰炸检测规则生成任务报文篡改任务结果智能判定任务流量清洗上下文记忆意图识别研发管理系统智能测试助手触点触点调优管理调优训练数据管理模型数据管理数据管理模型调优训练数据处理数据存储运营节点监控运营统计埋点数据统计运营策

5、略管理基础能力工具插件测试子任务.攻击链规划任务.案例推荐任务2.2.1 2.2.1 安全案例智能推荐安全案例智能推荐-现状介绍现状介绍测试案例完备性受测试人员业务逻辑熟悉度和开发软需描述完整性影响。依赖人工经验依赖人工经验案例不案例不完备完备开发软需遗漏导致开发需求量大 每版本海量需求 代码变更复杂 安全风险识别易遗漏人工挑选案例易遗漏 全量案例执行,人工成本高 人工挑选案例,强依赖人工经验以及业务熟悉程度需求文档新增功能修改缺陷优化需求优化架构.2.2.2 2.2.2 安全案例智能推荐安全案例智能推荐-业务流程业务流程安全案例推荐能力安全案例推荐能力,将案例资产纳入知识库,利用RAG检索和

6、大模型的强推理能力,高效、精准的从海量资产中推荐出相关的安全测试案例。知识库测试案例库业务知识库漏洞库业务场景库选取影响功能需求条目需求文档详设文档列举测试要点设计测试思路编写测试案例分析影响功能推荐测试要点推荐测试案例标准化测试设计流程工艺标准化测试设计流程工艺输入智能辅助,协同工作安全大模型测试开展测试设计智能体辅助提示词RAGRAG智智能能化化能能力力基基础础支支撑撑智能案例推荐2.2.3 2.2.3 安全案例智能推荐安全案例智能推荐-模型微调模型微调采用提示词工程,分析需求文档和功能设计内容的语义逻辑,结合模型的语义分析能力,实现智能安全模型的安全案例推荐能力。需求文档预处理1案例推荐

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据标记内容,全文主要内容概括如下: 1. **安全测试工程师勾志营**:拥有10余年安全测试经验,专注于安全测试领域,发表专利6篇。 2. **安全测试挑战**:传统安全测试依赖人工,存在专业知识有限、漏洞自动化和场景化扫描不足等问题。 3. **解决方案**:构建智能化安全测试体系,包括安全案例智能推荐、安全漏洞智能扫描和安全测试路径智能规划。 4. **安全案例智能推荐**:案例采纳率达69.7%,通过大模型和RAG技术推荐可复用案例。 5. **安全漏洞智能扫描**:自动化检测,提高效率,减少误报。 6. **安全测试路径智能规划**:利用AI智能体和MCP实现场景化联动,提升测试准确性。 7. **收益**:降低成本,提高安全测试效率,自动挖掘漏洞。
"智能安全测试,效率翻倍?" "AI助力,安全漏洞一网打尽?" "安全测试,AI如何颠覆传统?"
客服
商务合作
小程序
服务号
折叠