渗透测试训练的方法及系统、装置、存储介质和电子设备制造方法及图纸

本申请公开了一种渗透测试训练的方法及系统、装置、存储介质和电子设备，涉及金融科技领域，该方法包括：接收目标对象对渗透测试的难度等级的选择操作，并依据所述选择操作确定渗透测试对应的目标训练任务；依据所述目标训练任务，搭建所述目标训练任务的训练环境；在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果。通过本申请，解决了相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题。进行渗透测试训练的效率比较低的问题。进行渗透测试训练的效率比较低的问题。

【技术实现步骤摘要】
渗透测试训练的方法及系统、装置、存储介质和电子设备


[0001]本申请涉及金融科技领域，具体而言，涉及一种渗透测试训练的方法及系统、装置、存储介质和电子设备。

技术介绍

[0002]随着互联网技术的发展，外界对金融机构的恶意攻击变得无孔不入，金融机构的敏感数据和代码处于受威胁的境地，为了更好地抵抗外界对金融机构的恶意攻击，需要金融机构对自身的应用系统进行渗透测试，为了保证金融机构内敏感数据的安全，渗透测试工作需要在金融机构内部完成，通过模拟真实的网络攻击验证自主研发的应用的技术安全性，然后将渗透测试过程中发现的漏洞交付给开发者，形成漏洞挖掘与修复的闭环，从而保证对自身应用系统的安全性。
[0003]在进行渗透测试工作前，需要对新手进行渗透测试的培训，但是在现有技术中，对新手的培训工作是通过有经验的工作人员进行人工带教的方式实现的，人工带教的方式不仅对新手培训效率低，而且当有经验的工作人员不足时还可能造成渗透测试工作进度缓慢的问题。针对相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题，目前尚未提出有效的解决方案。

技术实现思路

[0004]本申请的主要目的在于提供一种渗透测试训练的方法及系统、装置、存储介质和电子设备，以解决相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题。
[0005]为了实现上述目的，根据本申请的一个方面，提供了一种渗透测试训练的方法。该方法包括：接收目标对象对渗透测试的难度等级的选择操作，并依据所述选择操作确定渗透测试对应的目标训练任务；依据所述目标训练任务，搭建所述目标训练任务的训练环境；在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果。
[0006]进一步地，依据所述目标训练任务，搭建所述目标训练任务的训练环境包括：获取所述目标训练任务的ID；依据所述目标训练任务的ID，确定所述目标训练任务对应的目标训练流程信息，其中，所述目标训练流程信息至少包括多个训练步骤、每个训练步骤对应的训练工具的目标信息及每个训练工具的目标代码，所述目标信息中至少包括所述训练工具对应的接口信息，所述接口信息用于调用所述训练工具执行所述目标训练任务中的渗透测试；依据所述目标训练流程信息，搭建所述目标训练任务的训练环境。
[0007]进一步地，依据所述目标训练任务的ID，确定所述目标训练任务的目标训练流程信息包括：依据所述目标训练任务的ID，获取所述目标训练任务的初始训练流程信息，其中，所述初始训练流程信息中至少包括所述多个训练步骤、每个训练步骤对应的训练工具的名称及每个训练工具的初始代码，所述初始代码中包括第一代码和第二代码，所述第一
代码为需要依据所述目标训练任务进行补充的代码，所述第二代码为所述初始代码中除所述第一代码之外的代码；依据所述目标训练任务的ID，确定所述目标训练任务对应的目标系统的标识信息和每个训练步骤对应的训练工具的接口信息，其中，所述目标系统为依据所述目标训练任务被执行渗透测试的系统；依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息。
[0008]进一步地，依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息包括：依据所述标识信息，对所述初始训练流程信息中的第一代码进行补充，得到第三代码，并依据所述第三代码和所述第二代码，确定所述目标代码；对每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息进行关联，并依据所述每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息之间的关联关系，得到所述每个训练步骤对应的训练工具的目标信息；依据所述初始训练流程信息、每个训练步骤对应的训练工具的目标信息和每个训练工具对应的目标代码，确定所述目标训练任务对应的目标训练流程信息。
[0009]进一步地，在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果包括：在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，对所述训练标识信息进行验证，得到验证结果；依据所述验证结果，确定所述训练结果。
[0010]进一步地，对所述训练标识信息进行验证，得到验证结果包括：依据所述目标训练任务的ID，获取所述目标训练任务的真实标识信息；依据所述真实标识信息，对所述训练标识信息进行验证，得到所述验证结果。
[0011]进一步地，在对所述训练标识信息进行验证，得到所述验证结果之后，所述方法还包括：若所述验证结果表征验证未通过，则判断所述目标训练任务的训练时长是否在预设时长内，且对所述训练标识信息进行验证的验证次数是否小于预设次数；若所述目标训练任务的训练时长在所述预设时长内且所述验证次数小于所述预设次数，则重复执行在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息的步骤，直至所述验证结果表征验证通过。
[0012]进一步地，在判断所述目标训练任务的训练时长是否在预设时长内，且对所述训练标识信息的验证次数是否小于预设次数之后，所述方法还包括：若所述目标训练任务的训练时长不在所述预设时长内，或者所述验证次数大于等于所述预设次数，则控制所述目标训练任务对应的渗透测试训练结束。
[0013]进一步地，在依据所述目标训练任务的ID，确定所述目标训练任务对应的目标训练流程信息之后，所述方法还包括：依据所述每个训练步骤对应的训练工具，生成所述每个训练步骤对应的训练工具的指令代码集合，其中，所述指令代码集合用于指导所述目标对象如何使用所述每个训练步骤对应的训练工具；将所述指令代码集合推送至所述目标对象。
[0014]为了实现上述目的，根据本申请的另一方面，提供了一种渗透测试训练的系统。该系统包括：用户界面模块，用于接收目标对象对渗透测试的难度等级的选择操作和所述目标对象在执行所述目标训练任务时提交的训练标识信息；任务统筹模块，用于依据所述选择操作确定渗透测试对应的目标训练任务，搭建所述目标训练任务的训练环境，并依据所
述训练标识信息，确定训练结果。
[0015]进一步地，任务统筹模块包括：任务指引子模块，用于依据所述选择操作确定渗透测试对应的目标训练任务；环境搭建子模块，用于搭建所述目标训练任务的训练环境；标识验证子模块，用于验证所述训练标识信息，得到所述训练结果。
[0016]进一步地，所述进行渗透测试训练的系统还包括：流程确定模块，用于依据所述目标训练任务确定目标训练流程信息，其中，所述目标训练流程信息用于指导所述目标对象执行所述目标训练任务；工具安装模块，用于获取所述目标训练流程信息中的训练工具，其中，所述训练工具用于执行所述目标训练任务；指令生成模块，用于生成所述训练工具的指令代码集合，并将所述指令代码集合推送至所述本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种渗透测试训练的方法，其特征在于，包括：接收目标对象对渗透测试的难度等级的选择操作，并依据所述选择操作确定渗透测试对应的目标训练任务；依据所述目标训练任务，搭建所述目标训练任务的训练环境；在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果。2.根据权利要求1所述的方法，其特征在于，依据所述目标训练任务，搭建所述目标训练任务的训练环境包括：获取所述目标训练任务的ID；依据所述目标训练任务的ID，确定所述目标训练任务对应的目标训练流程信息，其中，所述目标训练流程信息至少包括多个训练步骤、每个训练步骤对应的训练工具的目标信息及每个训练工具的目标代码，所述目标信息中至少包括所述训练工具对应的接口信息，所述接口信息用于调用所述训练工具执行所述目标训练任务中的渗透测试；依据所述目标训练流程信息，搭建所述目标训练任务的训练环境。3.根据权利要求2所述的方法，其特征在于，依据所述目标训练任务的ID，确定所述目标训练任务的目标训练流程信息包括：依据所述目标训练任务的ID，获取所述目标训练任务的初始训练流程信息，其中，所述初始训练流程信息中至少包括所述多个训练步骤、每个训练步骤对应的训练工具的名称及每个训练工具的初始代码，所述初始代码中包括第一代码和第二代码，所述第一代码为需要依据所述目标训练任务进行补充的代码，所述第二代码为所述初始代码中除所述第一代码之外的代码；依据所述目标训练任务的ID，确定所述目标训练任务对应的目标系统的标识信息和每个训练步骤对应的训练工具的接口信息，其中，所述目标系统为依据所述目标训练任务被执行渗透测试的系统；依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息。4.根据权利要求3所述的方法，其特征在于，依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息包括：依据所述标识信息，对所述初始训练流程信息中的第一代码进行补充，得到第三代码，并依据所述第三代码和所述第二代码，确定所述目标代码；对每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息进行关联，并依据所述每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息之间的关联关系，得到所述每个训练步骤对应的训练工具的目标信息；依据所述初始训练流程信息、每个训练步骤对应的训练工具的目标信息和每个训练工具对应的目标代码，确定所述目标训练任务对应的目标训练流程信息。5.根据权利要求1所述的方法，其特征在于，在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果包括：在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信
息，对所述训练标识信息进行验证，得到验证结果；依据所述验证结果，确定所述训练结果。6.根据权利要求5所述的方法，其特征在于，对所述训练标识信息进行验证，得到验证结果包括：依据所述目标训练任务的ID，获取所述目标训练任务的真...

【专利技术属性】
技术研发人员：丁育祯，曾炜，容达锋，林新学，
申请(专利权)人：中国工商银行股份有限公司，
类型：发明
国别省市：