A3--勾志营--智能化安全测试体系构建与实践.pdf

编号:963828 PDF 45页 4.90MB 下载积分:VIP专享
下载报告请您先登录!

1、勾志营工行软件开发中心 安全测试工程师勾志营勾志营工行软件开发中心 安全测试工程师拥有10余年测试开发经验的工程师,长期专注于安全测试领域。主要负责安全测试技术的研究与创新,主导安全测试工具的研发与落地,并推动相关工具的日常运营与持续优化。同时,负责安全测试团队的管理工作,致力于提升团队整体的技术能力与实战水平,为银行系统的安全稳定运行提供坚实保障。发表专利6篇。目录目录CONTENTS背景与挑战0102 实现方案实践案例03总结与展望04PART 01PART 01背景与挑战背景与挑战1.1 1.1 传统安全测试现状和痛点传统安全测试现状和痛点安全测试专业性强安全测试专业性强安全测试高度依赖

2、人工经验,测试人员需掌握多领域知识,包括基础安全测试方法、安全漏洞、密码学、代码审计等。在传统的安全测试过程中,测试人员安全专业知识有限,易出现覆盖不全而导致遗漏。漏洞自动化能力不足漏洞自动化能力不足当前安全漏洞攻击手段迭代快、变种多,且业务漏洞检测规则与业务逻辑强相关,无法通过固化规则自动检测。场景化扫描能力不足场景化扫描能力不足传统安全测试工具缺乏场景化联动能力,漏洞扫描孤立运行,漏洞间缺乏关联分析和交叉验证。0101030302021.2 1.2 总体思路总体思路安全漏洞智能扫描安全漏洞智能扫描安全测试路径智能规划安全测试路径智能规划安全案例智能推荐安全案例智能推荐将存量测试案例资产库、

3、漏洞库等作为大模型的专家知识库,基于需求文档、详细设计文档推荐可复用的安全测试案例。基于功能测试流量,通过payload构建、报文比对等能力,结合提示词工程开展越权、短信轰炸等高危漏洞的自动化扫描及结果智能判断。通过安全智能体的规划能力调用单个测试工具接口形成漏洞联动测试能力,自动化开展安全测试。以“智能体驱动、知识增强、全流程赋能”为总体思路,依托大语言模型的语义理解和逻辑推理能力,结合金融行业安全测试知识体系,构建智能化安全测试体系。PART 02PART 02实现方案实现方案2.1 2.1 整体架构整体架构2.2 2.2 安全案例智能推荐安全案例智能推荐2.3 2.3 安全漏洞安全漏洞智

4、能扫描智能扫描2.4 2.4 安全测试路径安全测试路径智能规划智能规划2.1 2.1 总体架构总体架构安全案例智能推荐安全漏洞智能扫描安全测试路径智能规划场景场景工工具具支支撑撑提示词管理基础基础数据数据基础大基础大模型及模型及框架框架DeepSeekQWenMCPDify需求文档安全案例库功能设计内容历史漏洞库功能测试流量库语义规则分析案例推荐越权检测文件上传检测文件下载检测短信轰炸检测规则生成任务报文篡改任务结果智能判定任务流量清洗上下文记忆意图识别研发管理系统智能测试助手触点触点调优管理调优训练数据管理模型数据管理数据管理模型调优训练数据处理数据存储运营节点监控运营统计埋点数据统计运营策

5、略管理基础能力工具插件测试子任务.攻击链规划任务.案例推荐任务2.2.1 2.2.1 安全案例智能推荐安全案例智能推荐-现状介绍现状介绍测试案例完备性受测试人员业务逻辑熟悉度和开发软需描述完整性影响。依赖人工经验依赖人工经验案例不案例不完备完备开发软需遗漏导致开发需求量大 每版本海量需求 代码变更复杂 安全风险识别易遗漏人工挑选案例易遗漏 全量案例执行,人工成本高 人工挑选案例,强依赖人工经验以及业务熟悉程度需求文档新增功能修改缺陷优化需求优化架构.2.2.2 2.2.2 安全案例智能推荐安全案例智能推荐-业务流程业务流程安全案例推荐能力安全案例推荐能力,将案例资产纳入知识库,利用RAG检索和

6、大模型的强推理能力,高效、精准的从海量资产中推荐出相关的安全测试案例。知识库测试案例库业务知识库漏洞库业务场景库选取影响功能需求条目需求文档详设文档列举测试要点设计测试思路编写测试案例分析影响功能推荐测试要点推荐测试案例标准化测试设计流程工艺标准化测试设计流程工艺输入智能辅助,协同工作安全大模型测试开展测试设计智能体辅助提示词RAGRAG智智能能化化能能力力基基础础支支撑撑智能案例推荐2.2.3 2.2.3 安全案例智能推荐安全案例智能推荐-模型微调模型微调采用提示词工程,分析需求文档和功能设计内容的语义逻辑,结合模型的语义分析能力,实现智能安全模型的安全案例推荐能力。需求文档预处理1案例推荐

友情提示

1、下载报告失败解决办法
2、PDF文件下载后,可能会被浏览器默认打开,此种情况可以点击浏览器菜单,保存网页到桌面,就可以正常下载了。
3、本站不支持迅雷下载,请使用电脑自带的IE浏览器,或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩,下载后原文更清晰。

本文(A3--勾志营--智能化安全测试体系构建与实践.pdf)为本站 (B-ing) 主动上传,三个皮匠报告文库仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知三个皮匠报告文库(点击联系客服),我们立即给予删除!

温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载不扣分。
客服
商务合作
小程序
服务号
折叠