渗透测试框架系统、渗透测试平台及渗透测试方法技术方案

本申请公开了一种渗透测试框架系统、渗透测试平台及渗透测试方法，所述渗透测试框架系统能够对目标对象进行抽象设计和形式化表示，从而兼容不同的检测对象和类型；还能够为业务用户提供基础任务模板以及通用的任务调用及管理；提供基于消息事件的任务触发调用以及事件消息管理功能；通过分布式任务队列系统为渗透测试业务执行提供分布式部署和并发执行能力；提供大量实用工具接口，同时深度集成外部渗透测试工具或系统，最大限度提高任务脚本编写效率等，能够满足用户对渗透测试系统的高性能以及便捷实用性的要求。

Penetration testing framework system, penetration testing platform and penetration testing method

【技术实现步骤摘要】
渗透测试框架系统、渗透测试平台及渗透测试方法
本专利技术涉及安全检测技术，更具体的说，是涉及一种渗透测试框架系统、渗透测试平台及渗透测试方法。
技术介绍
渗透测试是指尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，从攻击者的角度对目标网络、系统、主机应用的安全性作深入的非破坏性的探测，发现系统安全防护最脆弱环节的过程。渗透测试的核心是通过最大限度的信息收集和漏洞分析、利用，寻找目标安全防护最薄弱点。实际应用中，由于目标范围广，应用或服务复杂，漏洞检测类型繁多，操作重复性、阶段化程度高等，所以具体实施过程需要渗透测试平台或系统的支撑。现有的渗透测试平台或系统主要分为两类，第一类是以通用性漏洞发掘为主的通用扫描器平台，比如针对Web应用的IBMAppscan、AcunetixWebVulnerabilityScanner(AWVS)，针对主机漏洞的Nessus以及各安全厂商集成的漏洞扫描平台等。第二类是网络渗透框架系统，包括针对已知安全漏洞收集、检测及利用等综合性渗透平台和以漏洞检测(或利用)脚本化，执行过程自动化为主的测试框架。但现有的本文档来自技高网...

【技术保护点】
1.一种渗透测试框架系统，其特征在于，包括：/n目标对象抽象模块，用于对目标对象进行抽象设计和形式化表示；/n基础任务模块，用于提供基于消息事件的任务触发调用以及事件消息管理功能；/n消息管理模块，用于提供基于消息事件的任务触发调用以及事件消息管理功能；/n分布式任务队列模块，用于通过分布式任务队列系统为渗透测试业务执行提供分布式部署和并发执行能力；/n实用接口模块，用于提供大量实用工具接口，集成其他的渗透测试工具或系统。/n

【技术特征摘要】
1.一种渗透测试框架系统，其特征在于，包括：
目标对象抽象模块，用于对目标对象进行抽象设计和形式化表示；
基础任务模块，用于提供基于消息事件的任务触发调用以及事件消息管理功能；
消息管理模块，用于提供基于消息事件的任务触发调用以及事件消息管理功能；
分布式任务队列模块，用于通过分布式任务队列系统为渗透测试业务执行提供分布式部署和并发执行能力；
实用接口模块，用于提供大量实用工具接口，集成其他的渗透测试工具或系统。


2.根据权利要求1所述的渗透测试框架系统，其特征在于，所述基础任务模块具体用于：
为所述渗透测试框架系统的任务调用、执行提供统一接口。


3.根据权利要求1所述的渗透测试框架系统，其特征在于，所述基础任务模块包括：
任务定义接口，用于定义任务的基本信息，对任务管理、安全态势及分析成果进行展示，所述基本信息包括检测对象、检测具体漏洞描述、漏洞危害等级、参考链接、作者和编写时间；
任务调用接口，用于定义任务的外部调用接口和内部调用接口；
任务管理接口，用于管理和调度所述渗透测试框架系统中的所有任务。


4.根据权利要求3所述的渗透测试框架系统，其特征在于，所述外部调用接口用于检测任务脚本的编写者实现具体任务细节；所述内部调用接口用于所述渗透测试框架系统内部实现对每个任务的调用，以及任务执行结构的处理和存储。


5.根据权利要求3所述的渗透测试框架系统，其特征在于，所述任务管理接口具体用于：获取所述渗透测试框架系统中所有已存在的检测任务及其基本信息，对所述检测任务进行实例化，以及根据条件执行特定消息类型的所有任务。


6.根据权利要求1所述的渗透测试框架系统，其特征在于，所述消息管理模块包括消息定义接口、消息生产接口、消息消费接口、消息触发接口、消息查询接口。


7.根据权利要求1所述的渗透测试框架系统，其特征在于，所述分布式任务队列模块包括：
工作进程接口，用于管理实际任务的执行工作；<...

【专利技术属性】
技术研发人员：王建利，廖尉略，董钟鼎，梁智溢，秦虎，
申请(专利权)人：中国信息安全测评中心，
类型：发明
国别省市：北京;11