本发明专利技术公开了一种基于中央计算平台的渗透测试方法及装置,所述方法包括根据车机硬件及软件的信息评估出车机硬件及软件的安全漏洞,分析可利用的攻击路径,根据所述可利用的攻击路径进行威胁建模;根据所述威胁建模构建渗透测试的流程以及确定渗透测试流程中的测试对象;确定对测试对象实施渗透攻击的攻击入口、攻击工具,构建测试用例库,所述测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试;利用所述测试用例进行测试渗透,获取所述车机硬件或软件的渗透测试数据,根据所述渗透测试数据和所述渗透测试的分析结果确定渗透测试的测试报告。本发明专利技术可以实现对整车全场景业务范围涉及的全量ECUs进行测试。试。试。
【技术实现步骤摘要】
一种基于中央计算平台的渗透测试方法及装置
[0001]本专利技术涉及车辆渗透测试领域,尤其涉及一种基于中央计算平台的渗透测试方法及装置。
技术介绍
[0002]渗透测试(penetration test):指尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段,从攻击者的角度对目标网络、系统、主机应用的安全性作深入的非破坏性的探测,发现系统安全防护最脆弱环节的过程。渗透测试的核心是通过最大限度的信息收集和漏洞分析、利用,寻找目标安全防护最薄弱点。实际应用中,由于目标范围广,应用或服务复杂,漏洞检测类型繁多,操作重复性、阶段化程度高等,所以具体实施过程需要渗透测试平台或系统的支撑。
[0003]但现有的渗透测试平台都存在一定的问题,如自动化执行模式简单,缺乏逻辑控制等问题;另外测试人员在渗透测试过程中缺乏规范性,影响测试结果的准确性。
技术实现思路
[0004]针对上述技术问题,本专利技术提供了一种基于中央计算平台的渗透测试方法及装置,以解决现有技术中存在的部分问题。
[0005]本专利技术的第一方面,提供一种基于中央计算平台的渗透测试方法,包括:根据车机硬件及软件的信息评估出车机硬件及软件的安全漏洞,分析可利用的攻击路径,根据所述可利用的攻击路径进行威胁建模;根据所述威胁建模构建渗透测试的流程以及确定渗透测试流程中的测试对象;确定对测试对象实施渗透攻击的攻击入口、攻击工具,构建测试用例库,所述测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试;利用所述测试用例进行测试渗透,获取所述车机硬件或软件的渗透测试数据,根据所述渗透测试数据和所述渗透测试的分析结果确定渗透测试的测试报告。
[0006]可选地,所述的根据所述威胁建模构建渗透测试的流程,包括:根据渗透测试对象的组件功能需求确定渗透测试需求,根据渗透测试需求确定测试环境、测试工具、测试用例;基于所述测试环境、测试工具、测试用例确定渗透测试的渗透测试流程,所述渗透测试流程包括模拟攻击、漏洞分析与测试报告的生成。
[0007]可选地,所述的测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试,包括:确定渗透测试任务的内容信息,根据所述内容信息调用渗透测试执行脚本匹配对应车机硬件或软件的测试用例;所述渗透测试任务的内容信息包括评测内容、攻击面、攻击手段。
[0008]可选地,所述的利用所述测试用例进行测试渗透之前还包括:
根据确定渗透测试流程中的测试对象的渗透测试需求设置渗透测试的渗透测试目标;根据渗透测试环境和所述渗透测试的渗透测试目标,设置渗透测试任务;其中所述渗透测试环境包括网络通信环境及数据交换路径环境。
[0009]可选地,所述的利用所述测试用例进行测试渗透,包括利用所述测试用例对接口安全、远程控制业务安全、固件升级业务安全进行渗透测试,其中接口安全的对象包括物理接口、4G通信接口、5G通信接口、APP移动端接口、云平台主机接口;所述远程控制业务安全的对象包括车端业务安全、手机端业务安全、服务端业务安全;所述固件升级业务安全的对象包括固件包安全、通信安全、身份认证安全。
[0010]本专利技术的第二方面,提供一种基于中央计算平台的渗透测试装置,包括:分析建模单元,用于根据车机硬件及软件的信息评估出车机硬件及软件的安全漏洞,分析可利用的攻击路径,根据所述可利用的攻击路径进行威胁建模;流程构建单元,用于根据所述威胁建模构建渗透测试的流程以及确定渗透测试流程中的测试对象;测试库单元,用于确定对测试对象实施渗透攻击的攻击入口、攻击工具,构建测试用例库,所述测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试;测试单元,用于利用所述测试用例进行测试渗透,获取所述车机硬件或软件的渗透测试数据,根据所述渗透测试数据和所述渗透测试的分析结果确定渗透测试的测试报告。
[0011]可选地,所述流程构建单元包括构建子单元,所述构建子单元用于:根据渗透测试对象的组件功能需求确定渗透测试需求,根据渗透测试需求确定测试环境、测试工具、测试用例;基于所述测试环境、测试工具、测试用例确定渗透测试的渗透测试流程,所述渗透测试流程包括模拟攻击、漏洞分析与测试报告的生成。
[0012]可选地,所述流程构建模块包括自动化单元,所述自动化单元用于确定渗透测试任务的内容信息,根据所述内容信息调用渗透测试执行脚本匹配对应车机硬件或软件的测试用例;所述渗透测试任务的内容信息包括评测内容、攻击面、攻击手段。
[0013]可选地,所述测试单元包括任务设置单元,所述任务设置单元,用于根据确定渗透测试流程中的测试对象的渗透测试需求设置渗透测试的渗透测试目标;根据渗透测试环境和所述渗透测试的渗透测试目标,设置渗透测试任务;其中所述渗透测试环境包括网络通信环境及数据交换路径环境。
[0014]本专利技术的第三方面,提供一种渗透测试平台,其特征在于,包括:至少一个处理器;以及与所述处理器通信连接的至少一个存储器,其中:所述存储器存储有可被所述处理器执行的程序指令,所述处理器调用所述程序指令能够执行如本专利技术实施例的第一方面所述的方法。
[0015]本专利技术的第四方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被计算机运行时,执行如本专利技术实施例的第一方面所述的方法。
[0016]本专利技术基于中央计算平台做威胁分析,构建威胁建模确定测试对象,然后针对业务场景的全链路构建测试用例库,利用测试用例进行渗透测试,再根据测试结果形成测试报告;可以实现对整车全场景业务范围涉及的全量ECUs测试,强化了针对整车全量功能及
业务的渗透测试针对性,自动化测试及相应的逻辑控制提高了测试的速度与准确性。
附图说明
[0017]图1为本专利技术实施例中一种基于中央计算平台的渗透测试方法的流程示意图;图2为本专利技术实施例中渗透测试流程构建的流程示意图;图3为本专利技术实施例中一种基于中央计算平台的渗透测试装置的结构示意图。
具体实施方式
[0018]下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本专利技术保护的范围。
[0019]中央计算平台是计算机系统硬件与软件的设计和开发的基础。具有一定的标准性和公开性,同时也决定了该计算机系统的硬件与软件的性能。硬件的基础是中央处理器(CPU),软件的基础是操作系统。在车辆的中央计算平台中,集成有多个ECUs(电子控制单元,泛指车内的控制器),对应有多种功能与业务,因此可以基于中央计算平台实现平台性的渗透测试,具体如下:请参阅图1所示,本专利技术提供一种基于中央计算平台的渗透测试方法,包括以下内容:步骤110:根据车机硬件及软件的信息评估出车机硬件及软件的安全漏洞,分析可利用的攻击路径,根据所述可利用的攻击路径进行威胁建模。
[0020]在车机系统中检测对象包括TSP本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于中央计算平台的渗透测试方法,其特征在于,包括:根据车机硬件及软件的信息评估出车机硬件及软件的安全漏洞,分析可利用的攻击路径,根据所述可利用的攻击路径进行威胁建模;根据所述威胁建模构建渗透测试的流程以及确定渗透测试流程中的测试对象;确定对测试对象实施渗透攻击的攻击入口、攻击工具,构建测试用例库,所述测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试;利用所述测试用例进行测试渗透,获取所述车机硬件或软件的渗透测试数据,根据所述渗透测试数据和所述渗透测试的分析结果确定渗透测试的测试报告。2.根据权利要求1所述的基于中央计算平台的渗透测试方法,其特征在于,所述的根据所述威胁建模构建渗透测试的流程,包括:根据渗透测试对象的组件功能需求确定渗透测试需求,根据渗透测试需求确定测试环境、测试工具、测试用例;基于所述测试环境、测试工具、测试用例确定渗透测试的渗透测试流程,所述渗透测试流程包括模拟攻击、漏洞分析与测试报告的生成。3.根据权利要求1所述的基于中央计算平台的渗透测试方法,其特征在于,所述的测试用例库可根据测试需求匹配测试用例对车机硬件或软件自动化测试,包括:确定渗透测试任务的内容信息,根据所述内容信息调用渗透测试执行脚本匹配对应车机硬件或软件的测试用例;所述渗透测试任务的内容信息包括评测内容、攻击面、攻击手段。4.根据权利要求1所述的基于中央计算平台的渗透测试方法,其特征在于,所述的利用所述测试用例进行测试渗透之前还包括:根据确定渗透测试流程中的测试对象的渗透测试需求设置渗透测试的渗透测试目标;根据渗透测试环境和所述渗透测试的渗透测试目标,设置渗透测试任务;其中所述渗透测试环境包括网络通信环境及数据交换路径环境。5.根据权利要求1所述的基于中央计算平台的渗透测试方法,其特征在于,所述的利用所述测试用例进行测试渗透,包括利用所述测试用例对接口安全、远程控制业务安全、固件升级业务安全进行渗透测试,其中接口安全的对象包括物理接口、4G通信接口、5G通信接口、APP移动端接口、云平台主机接口;所述远程控制业务安全的对象包括车端业务安全、手机端业务安全、服务端业务安全;所述固件升级业务安全的对象包括固件包安全、通信安全、身份认证安全。6.一...
【专利技术属性】
技术研发人员:张伟捷,任昶伟,高瑞,李波,王飞,
申请(专利权)人:智己汽车科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。