本发明专利技术给出了一种验证人员对网络攻击及利用的安全意识的系统和方法,包括钓鱼攻击单元:配置用于利用伪装的邮件或页面,诱导目标人物回复或输入敏感数据;攻击模块加载单元:配置用于对便携式文件进行可变更配置参数的攻击模块的注入加载;监听单元:配置用于响应于目标人物打开文件或回复或输入敏感数据,反馈session到系统,以供使用者查看session的详细信息,进行数据信息收集;系统根据所收集的数据信息评估目标人物的安全意识,数据信息包括目标人物接收、访问、提交和是否察觉被攻击的数据。利用该系统和方法可以有效提高测试效率,提高人员的网络安全意识。
【技术实现步骤摘要】
一种验证人员对网络攻击及利用的安全意识的系统和方法
本专利技术涉及计算机
,尤其是一种验证人员对网络攻击及利用的安全意识的系统和方法。
技术介绍
在漫长的渗透与反渗透对抗过程中,一些网络罪犯发现利用人类的本性要比利用软件漏洞更加简单,因此“社会工程”这门新的学科孕育而生。在这门学科中,“人”被认为是系统中的一个薄弱环节,通过利用心理学、语言学、欺诈学进行综合,有效利用人性中的“弱点”,达到窃取目标系统机密信息和访问权限的目的。社会工程是一种与普通的欺骗和诈骗不同层次的手法。因为社会工程需要搜集大量的信息针对对方的实际情况,进行心理战术的一种手法。系统以及程序所带来的安全往往是可以避免的。而在人性以及心理的方面来说。社会工程往往是一种利用人性脆弱点、贪婪等等的心理表现进行攻击,是防不胜防的。现有技术的缺点大致分为以下几点:1、安全专业技能的要求较高,可能会导致钓鱼邮件界面“不真实”不容易上当。2、手动操作社会工程,操作过程中步骤繁琐,效率低。3、系统设置不存储敏感信息,测试过程难以确保使用者打着测试的名号,做真实的社会工程获取目标敏感信息。
技术实现思路
为了解决现有技术中存在的对人员安全意识的验证所需的专业技能要求高,操作繁琐等技术问题,本专利技术提出了一种验证人员对网络攻击及利用的安全意识的系统和方法,用以解决上述问题。在一个方面,本专利技术提出了一种验证人员对网络攻击及利用的安全意识的系统,该系统包括:钓鱼攻击单元:配置用于利用伪装的邮件或页面,诱导目标人物回复或输入敏感数据;攻击模块加载单元:配置用于对便携式文件进行可变更配置参数的攻击模块的注入加载;监听单元:配置用于响应于目标人物打开文件或回复或输入敏感数据,反馈session到系统,以供使用者查看session的详细信息,进行数据信息收集;系统根据所收集的数据信息评估目标人物的安全意识,数据信息包括目标人物接收、访问、提交和是否察觉被攻击的数据。在具体的实施例中,钓鱼攻击单元包括钓鱼电子邮件和web钓鱼页面,通过邮件发送服务器向目标人物发送伪装的邮件或web页面。在具体的实施例中,还包括配置邮件服务器,用于模拟邮件或web页面的内容、登录页面和重定向导页面。在具体的实施例中,重定向导页面为目标人物输入登录信息并确定之后用于提示目标人物该邮件为钓鱼邮件以及如何识别防范网络钓鱼的页面。在具体的实施例中,便携式文件包括word、excel、压缩文件、安装程序,且便携式文件被上传至移动存储介质上,并置于目标人物活动区域。在具体的实施例中,钓鱼电子邮件的推送形式还包括利用即时聊天工具传播、伪装成目标人物输入网址易发生的错误、投放广告和网站仿真悬浮窗口。根据本专利技术的第二方面,提出了一种验证人员对网络攻击及利用的安全意识的方法,利用上述系统,包括:S1:利用钓鱼攻击单元向目标人物发送伪装的邮件或页面,或者利用攻击模块加载单元对便携式文件进行攻击模块的注入加载,并将便携式文件置于目标任务的活动区域;S2:响应于目标人物打开文件、在伪装的邮件或页面中回复或输入敏感数据,监听单元收集目标人物的数据信息;S3:基于目标人物是否接收到便携式文件、伪装的邮件或页面,接收后是否访问,访问后是否运行或提交敏感数据,是否察觉到被攻击的4个阶段逐步对目标人物进行安全意识的评估。在具体的实施例中,步骤S2中目标人物在伪装的邮件或页面中回复或输入敏感数据并确认之后,跳转至预设的重定向页面提醒目标人物该邮件或页面为钓鱼攻击,并告知如何识别防范网络钓鱼的页面。在具体的实施例中,步骤S2中的数据信息包括目标人物收到邮件或文件、打开邮件或文件、点击邮件链接和输入提交链接中包含敏感信息的表单。根据本专利技术的第二方面,提出了一种计算机可读存储介质,其上存储有计算机程序,该计算机程序被计算机处理器执行时上述方法。本专利技术用于协助使用者能够快速建立验证模拟社会工程的系统,通过诱导目标共享敏感信息或者执行某些危险代码,最终达到入侵目标系统、获得目标信息的风险场景。使用社会工程的人员通过执行社会工程测试来评估一个组织的成员是否遵守安全操作规范。该系统和方法操作简单明了,汇总信息易于阅读,非技术人员也可以直接了解系统的安全情况。减少传统渗透测试中人力资源投入的浪费,摆脱测试过程中对测试者专业技能的依赖,提高测试效率,完善测试结果。附图说明包括附图以提供对实施例的进一步理解并且附图被并入本说明书中并且构成本说明书的一部分。附图图示了实施例并且与描述一起用于解释本专利技术的原理。将容易认识到其它实施例和实施例的很多预期优点,因为通过引用以下详细描述,它们变得被更好地理解。通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本申请的其它特征、目的和优点将会变得更明显:图1是本申请的一个实施例的验证人员对网络攻击及利用的安全意识的系统的框架图;图2是本申请的一个具体的实施例的社会工程验证系统的框架图;图3是本申请的一个具体的实施例的钓鱼邮件的配置图;图4是本申请的一个具体的实施例的便携式文件的配置图;图5是本申请的一个具体的实施例的项目启动示意图;图6是本申请的一个具体的实施例的项目反馈示意图;图7是本申请的一个具体的实施例的钓鱼邮件的使用流程图;图8是本申请的一个具体的实施例的web钓鱼页面的使用流程图;图9是本申请的一个具体的实施例的便携式文件的使用流程图;图10是本申请的一个具体的实施例的监听的使用流程图;图11是本申请的一个实施例的验证人员对网络攻击及利用的安全意识的方法的流程图;图12是适于用来实现本申请实施例的电子设备的计算机系统的结构示意图。具体实施方式下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释相关专利技术,而非对该专利技术的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与有关专利技术相关的部分。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。根据本申请的一个实施例的验证人员对网络攻击及利用的安全意识的系统,图1示出了根据本申请的实施例的验证人员对网络攻击及利用的安全意识的系统的框架图。如图1所示,该系统包括:钓鱼攻击单元101、攻击模块加载单元102和监听单元103。其中,钓鱼攻击单元101配置用于利用伪装的邮件或页面,诱导目标人物回复或输入敏感数据;攻击模块加载单元102配置用于对便携式文件进行可变更配置参数的攻击模块的注入加载;监听单元103配置用于响应于目标人物打开文件或回复或输入敏感数据,反馈session到系统,以供使用者查看session的详细信息,进行数据信息收集;该验证人员对网络攻击及利用的安全意识的系统根据所收集的数据信息评估目标人物的安全意识,数据信息包括本文档来自技高网...
【技术保护点】
1.一种验证人员对网络攻击及利用的安全意识的系统,其特征在于,该系统包括:/n钓鱼攻击单元:配置用于利用伪装的邮件或页面,诱导目标人物回复或输入敏感数据;/n攻击模块加载单元:配置用于对便携式文件进行可变更配置参数的攻击模块的注入加载;/n监听单元:配置用于响应于目标人物打开文件或回复或输入敏感数据,反馈session到系统,以供使用者查看所述session的详细信息,进行数据信息收集;/n所述系统根据所收集的数据信息评估所述目标人物的安全意识,所述数据信息包括所述目标人物接收、访问、提交和是否察觉被攻击的数据。/n
【技术特征摘要】
1.一种验证人员对网络攻击及利用的安全意识的系统,其特征在于,该系统包括:
钓鱼攻击单元:配置用于利用伪装的邮件或页面,诱导目标人物回复或输入敏感数据;
攻击模块加载单元:配置用于对便携式文件进行可变更配置参数的攻击模块的注入加载;
监听单元:配置用于响应于目标人物打开文件或回复或输入敏感数据,反馈session到系统,以供使用者查看所述session的详细信息,进行数据信息收集;
所述系统根据所收集的数据信息评估所述目标人物的安全意识,所述数据信息包括所述目标人物接收、访问、提交和是否察觉被攻击的数据。
2.根据权利要求1所述的验证人员对网络攻击及利用的安全意识的系统,其特征在于,所述钓鱼攻击单元包括钓鱼电子邮件和web钓鱼页面,通过邮件发送服务器向目标人物发送伪装的邮件或web页面。
3.根据权利要求2所述的验证人员对网络攻击及利用的安全意识的系统,其特征在于,还包括配置邮件服务器,用于模拟邮件或web页面的内容、登录页面和重定向导页面。
4.根据权利要求3所述的验证人员对网络攻击及利用的安全意识的系统,其特征在于,所述重定向导页面为所述目标人物输入登录信息并确定之后用于提示所述目标人物该邮件为钓鱼邮件以及如何识别防范网络钓鱼的页面。
5.根据权利要求1所述的验证人员对网络攻击及利用的安全意识的系统,其特征在于,所述便携式文件包括word、excel、压缩文件、安装程序,且所述便携式文件被上传至移动存储介质上,并置于所述目标人物活动区域。
6.根据权利要求2所述的验证人员对网络...
【专利技术属性】
技术研发人员:贾玉彬,
申请(专利权)人:上海碳泽信息科技有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。