【技术实现步骤摘要】
一种渗透测试攻击优化方法、系统及存储介质
[0001]本申请明涉及网络数据安全
,具体而言,涉及一种渗透测试攻击优化方法、系统及存储介质。
技术介绍
[0002]面对日趋严峻的网络安全形势,常态化的实战攻防演习已经成为检验网络安全防护水平、提升从业人员安全意识和实战技能水平的最佳实践方式。随着实战攻防演习的大规模开展,大量企业在渗透测试过程中,面临着知己和知彼两方面的困难。
[0003]在知彼方面,企业通常会通过组织红蓝对抗实网攻防,希望能提前发现黑客的攻击方法和可能利用的漏洞。但通常而言,活动难组织,攻击队难协调,参演人员水平参差不齐等困难,往往使工作成果和价值很难量化与体现。
[0004]在知己方面,企业可以通过风险评估代码审计等手段,掌握自身应用系统的脆弱性和残余风险,但对于自身安全防御体系能否有效发现并应对那些通过社工、抵近甚至0day漏洞的攻击利用行为,在实践过程中仍然问题较多。
技术实现思路
[0005]为了克服上述缺陷,提出了本专利技术,以提供解决或至少部分地解决渗透测试攻...
【技术保护点】
【技术特征摘要】
1.一种渗透测试攻击优化方法,其特征在于,包括:采集目标网站的相关信息数据;对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境;通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷;将所述渗透攻击成功的攻击载荷与所述相应的漏洞环境进行匹配后,在所述训练集中进行更新。2.根据权利要求1所述的方法,其特征在于,所述采集目标网站的相关信息数据,包括:采集渗透测试目标的设备类型、开放端口、服务、开发框架及组件。3.根据权利要求1所述的方法,其特征在于,所述对所述目标网站的相关信息数据进行漏洞探测,得到可利用漏洞的漏洞类型及其相应的漏洞环境,包括:使用探测脚本对所述目标网站的相关信息数据进行扫描,发现所有漏洞并获取漏洞类型和相应的漏洞环境;根据所述漏洞类型,判断所述所有漏洞中是否有可利用漏洞;若有可利用漏洞,则获取所述可利用漏洞的漏洞类型及其相应的漏洞环境。4.根据权利要求1所述的方法,其特征在于,所述通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷进行渗透攻击,记录渗透攻击成功的攻击载荷,包括:通过训练集中与所述可利用漏洞的漏洞类型对应的攻击载荷依次对所述可利用漏洞进行渗透攻击;判断渗透攻击是否成功;若渗透攻击成功,则记录渗透攻击成功的攻击载荷。5.根据权利要求4所述的方法,其特征在于,若渗透攻击不成功,则将所述训练集中对应的攻击载荷分解为最小分片后对所述漏洞类型进行再次渗透攻击,并根据所述再次渗透攻击结果选择性地更...
【专利技术属性】
技术研发人员:曹哲,孙能林,
申请(专利权)人:海尔优家智能科技北京有限公司海尔智家股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。