【技术实现步骤摘要】
云网络漏洞挖掘方法、装置、电子设备及介质
本专利技术涉及测试
,尤其涉及一种云网络漏洞挖掘方法、装置、电子设备及介质。
技术介绍
在云底层网络产品的开发过程当中,产品的安全测试是必不可少的过程。目前,通常采用fuzzing测试方法测试新开发的云底层网络产品,在现有的fuzzing测试方法中,在未知被测网络产品的源码的情况下,通过brute-force方法构造测试数据,并利用构造出来的测试数据测试被测网络产品。然而,由于brute-force方法构造出来的测试数据是随机的,导致测试结果也具有一定的随机性,不利于测试结果的评判。此外,利用brute-force方法构造测试数据的效率低下,进而导致漏洞挖掘的效率低下。
技术实现思路
鉴于以上内容,有必要提供一种云网络漏洞挖掘方法、装置、电子设备及介质,不仅能够提高测试数据的生成效率,还能够提高漏洞挖掘的挖掘效率。一种云网络漏洞挖掘方法,所述云网络漏洞挖掘方法包括:当接收到漏洞挖掘请求时,根据所述漏洞挖掘请求确定被测对象;确定所述被测...
【技术保护点】
1.一种云网络漏洞挖掘方法,其特征在于,所述云网络漏洞挖掘方法包括:/n当接收到漏洞挖掘请求时,根据所述漏洞挖掘请求确定被测对象;/n确定所述被测对象所属的应用领域,并从所述应用领域中获取流量包;/n解析所述流量包,得到目标字段及目标协议;/n根据所述目标字段及所述目标协议生成测试数据;/n利用所述测试数据测试所述被测对象,得到测试结果,所述测试结果包括异常结果;/n将测试结果为所述异常结果的测试数据确定为目标数据;/n确定所述目标数据所属的漏洞类型,并根据所述漏洞类型及所述异常结果确定所述目标数据所属的漏洞等级。/n
【技术特征摘要】 【专利技术属性】
1.一种云网络漏洞挖掘方法,其特征在于,所述云网络漏洞挖掘方法包括:
当接收到漏洞挖掘请求时,根据所述漏洞挖掘请求确定被测对象;
确定所述被测对象所属的应用领域,并从所述应用领域中获取流量包;
解析所述流量包,得到目标字段及目标协议;
根据所述目标字段及所述目标协议生成测试数据;
利用所述测试数据测试所述被测对象,得到测试结果,所述测试结果包括异常结果;
将测试结果为所述异常结果的测试数据确定为目标数据;
确定所述目标数据所属的漏洞类型,并根据所述漏洞类型及所述异常结果确定所述目标数据所属的漏洞等级。
2.如权利要求1所述的云网络漏洞挖掘方法,其特征在于,所述根据所述漏洞挖掘请求确定被测对象包括:
从预设线程连接池中获取所有闲置线程,并获取每个闲置线程的处理速率;
根据所述处理速率确定最高处理速率,并将与所述最高处理速率对应的闲置线程确定为目标线程;
利用所述目标线程解析所述漏洞挖掘请求的方法体,得到所述漏洞挖掘请求携带的数据信息;
获取预设标签;
从所述数据信息中获取与所述预设标签对应的信息,作为对象标识;
根据所述对象标识确定所述被测对象。
3.如权利要求1所述的云网络漏洞挖掘方法,其特征在于,所述从所述应用领域中获取流量包包括:
检测所述应用领域上的任意数据包是否携带处理请求;
当检测到所述任意数据包携带处理请求时,将所述任意数据包确定为有效数据包,并获取所述有效数据包;
计算所述有效数据包的获取数量;
当所述获取数量大于预设数量时,停止获取所述有效数据包,并将获取到的所述有效数据包确定为所述流量包。
4.如权利要求1所述的云网络漏洞挖掘方法,其特征在于,所述解析所述流量包,得到目标字段及目标协议包括:
拆分所述流量包,得到报文头及流量数据;
获取所述报文头中的所有第一标签;
分析所述所有第一标签所属的协议,并将分析得到的协议确定为所述目标协议;
获取所述流量数据中的所有第二标签,并将所述所有第二标签确定为所述目标字段。
5.如权利要求1所述的云网络漏洞挖掘方法,其特征在于,所述根据所述目标字段及所述目标协议生成测试数据包括:
生成与所述目标协议对应的数据模板;
从所述目标字段中选取与所述目标协议匹配的字段,作为数据字段;
对所述数据字段进行任意拼接,得到字段对,所述字段对包括多个数据字段;
技术研发人员:熊昊,
申请(专利权)人:平安科技深圳有限公司,
类型:发明
国别省市:广东;44
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。