本申请公开了一种渗透测试攻击优化方法、系统及存储介质,涉及智能家居/智慧家庭技术领域,该渗透测试攻击优化方法包括:采集目标网站的相关信息数据;对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境;通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷;将所述渗透攻击成功的攻击载荷与所述相应的漏洞环境进行匹配后,在所述训练集中进行更新。在所述训练集中进行更新。在所述训练集中进行更新。
【技术实现步骤摘要】
一种渗透测试攻击优化方法、系统及存储介质
[0001]本申请明涉及网络数据安全
,具体而言,涉及一种渗透测试攻击优化方法、系统及存储介质。
技术介绍
[0002]面对日趋严峻的网络安全形势,常态化的实战攻防演习已经成为检验网络安全防护水平、提升从业人员安全意识和实战技能水平的最佳实践方式。随着实战攻防演习的大规模开展,大量企业在渗透测试过程中,面临着知己和知彼两方面的困难。
[0003]在知彼方面,企业通常会通过组织红蓝对抗实网攻防,希望能提前发现黑客的攻击方法和可能利用的漏洞。但通常而言,活动难组织,攻击队难协调,参演人员水平参差不齐等困难,往往使工作成果和价值很难量化与体现。
[0004]在知己方面,企业可以通过风险评估代码审计等手段,掌握自身应用系统的脆弱性和残余风险,但对于自身安全防御体系能否有效发现并应对那些通过社工、抵近甚至0day漏洞的攻击利用行为,在实践过程中仍然问题较多。
技术实现思路
[0005]为了克服上述缺陷,提出了本专利技术,以提供解决或至少部分地解决渗透测试攻击成功率较低的问题的一种渗透测试攻击优化方法、系统及存储介质。
[0006]在第一方面,本专利技术提供一种渗透测试攻击优化方法,其特征在于,包括:
[0007]采集目标网站的相关信息数据;
[0008]对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境;
[0009]通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷;
[0010]将所述渗透攻击成功的攻击载荷与所述相应的漏洞环境进行匹配后,在所述训练集中进行更新。
[0011]在一个具体实施例中,所述采集目标网站的相关信息数据,包括:
[0012]采集渗透测试目标的设备类型、开放端口、服务、开发框架及组件。
[0013]在一个具体实施例中,所述对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境,包括:
[0014]使用探测脚本对所述目标网站的相关信息数据进行扫描,发现所有漏洞并获取漏洞类型和相应的漏洞环境;
[0015]根据所述漏洞类型,判断所述所有漏洞中是否有可利用漏洞;
[0016]若有可利用漏洞,则获取所述可利用漏洞的漏洞类型及其相应的漏洞环境。
[0017]在一个具体实施例中,所述通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷,包括:
[0018]通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷依次对所述可利用漏洞进行渗透攻击;
[0019]判断渗透攻击是否成功;
[0020]若渗透攻击成功,则记录渗透攻击成功的攻击载荷。
[0021]在一个具体实施例中,其特征在于,若渗透攻击不成功,则将所述训练集中对应的攻击载荷分解为最小分片后对所述漏洞类型进行再次渗透攻击,并根据所述再次渗透攻击结果选择性地更新所述训练集。
[0022]在一个具体实施例中,其特征在于,所述将所述训练集中对应的攻击载荷分解为最小分片后对所述漏洞类型再次进行渗透攻击,并根据所述再次渗透攻击结果选择性地更新所述训练集,包括:
[0023]将所述训练集中对应的攻击载荷分解为最小分片;
[0024]使用分解为最小分片的攻击载荷对所述漏洞类型进行再次渗透攻击;
[0025]判断渗透攻击是否成功;
[0026]若渗透攻击成功,则记录渗透攻击成功的分解为最小分片的攻击载荷;和/或
[0027]若渗透攻击不成功,则结束渗透测试攻击。
[0028]在一个具体实施例中,其特征在于,所述判断渗透攻击是否成功,包括:
[0029]检查所述目标网站的服务器是否返回指定信息;
[0030]若返回指定信息,则渗透攻击成功;和/或
[0031]若没有返回指定信息,则渗透攻击失败。
[0032]在一个具体实施例中,所述方法还包括:
[0033]将渗透测试攻击结果及相关漏洞信息形成报告展示在前端用户界面。
[0034]在第二方面,本专利技术提供一种渗透测试攻击优化系统,其特征在于,包括:
[0035]信息采集模块:用于采集目标网站的相关信息数据;
[0036]漏洞探测模块:对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境;
[0037]渗透攻击模块:通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷;
[0038]机器学习模块:将所述渗透攻击成功的攻击载荷与所述相应的漏洞环境进行匹配后,在所述训练集中进行更新。
[0039]在第三方面,本专利技术提供一种计算机可读的存储介质,其特征在于,所述计算机可读的存储介质包括存储的程序,其中,所述程序运行时执行上述渗透测试攻击优化方法。
[0040]本专利技术上述一个或多个技术方案,至少具有如下一种或多种有益效果:
[0041]通过实施本专利技术的技术方案,可以解决或至少部分地解决渗透测试攻击成功率较低的问题。
附图说明
[0042]此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0043]为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现
有技术描述中所需要使用的附图作简单地介绍,显而易见地,对于本领域普通技术人员而言,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
[0044]图1是根据本专利技术的一个实施例中的渗透测试攻击优化方法的主要步骤流程示意图;
[0045]图2是根据本专利技术的一个实施例中的通过目标网站的相关信息数据得到可利用漏洞的漏洞类型及其相应的漏洞环境的主要步骤流程示意图;
[0046]图3是根据本专利技术的一个实施例中的通过训练集中对应的攻击载荷进行渗透攻击并记录渗透攻击成功的攻击载荷的主要步骤流程示意图;
[0047]图4是根据本专利技术的一个实施例中的将攻击载荷分解为最小分片后再次进行渗透攻击并更新训练集的主要步骤流程示意图;
[0048]图5是根据本专利技术的一个实施例中的一种渗透测试攻击优化系统的示意图。
具体实施方式
[0049]为了使本
的人员更好地理解本申请方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分的实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本申请保护的范围。
[0050]需要说明的是,本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种渗透测试攻击优化方法,其特征在于,包括:采集目标网站的相关信息数据;对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境;通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷;将所述渗透攻击成功的攻击载荷与所述相应的漏洞环境进行匹配后,在所述训练集中进行更新。2.根据权利要求1所述的方法,其特征在于,所述采集目标网站的相关信息数据,包括:采集渗透测试目标的设备类型、开放端口、服务、开发框架及组件。3.根据权利要求1所述的方法,其特征在于,所述对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境,包括:使用探测脚本对所述目标网站的相关信息数据进行扫描,发现所有漏洞并获取漏洞类型和相应的漏洞环境;根据所述漏洞类型,判断所述所有漏洞中是否有可利用漏洞;若有可利用漏洞,则获取所述可利用漏洞的漏洞类型及其相应的漏洞环境。4.根据权利要求1所述的方法,其特征在于,所述通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷,包括:通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷依次对所述可利用漏洞进行渗透攻击;判断渗透攻击是否成功;若渗透攻击成功,则记录渗透攻击成功的攻击载荷。5.根据权利要求4所述的方法,其特征在于,若渗透攻击不成功,则将所述训练集中对应的攻击载荷分解为最小分片后对所述漏洞类型进行再次渗透攻击,并根据所述再次渗透攻击结果选择性地更...
【专利技术属性】
技术研发人员:曹哲,孙能林,
申请(专利权)人:海尔优家智能科技北京有限公司海尔智家股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。