System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种软件安全渗透测试方法及系统技术方案_技高网
当前位置: 首页 > 专利查询>开元华创科技集团有限公司专利>正文

一种软件安全渗透测试方法及系统技术方案

技术编号:42601711 阅读:24 留言:0更新日期:2024-09-03 18:12
本申请提供了一种软件安全渗透测试方法及系统,涉及软件安全测试技术领域,该方法包括:通过并行测试工具对目标软件进行渗透测试,得到目标安全事件集;将第一安全事件在预定规则库中遍历,得到第一预定漏洞;相关性分析得到第一相关性分析结果;若符合预定相关性约束则添加至目标漏洞簇;引入漏洞簇评估函数得到目标严重度;结合预定多维度域采集得到目标多域特征;根据单位安全评估模型分析所述目标多域特征得到的目标单位安全度与所述目标严重度,生成所述目标软件的目标安全报告。通过本申请可以降低现有技术中软件安全渗透测试中的漏洞误报和漏报率,达到提高渗透测试的效率和准确性,为软件安全性提供全面评估的技术效果。

全部详细技术资料下载

【技术实现步骤摘要】

本申请涉及软件安全测试,尤其涉及一种软件安全渗透测试方法及系统


技术介绍

1、在当今数字化时代,软件安全已成为企业和组织关注的重点。随着技术的发展,黑客攻击手段日益复杂,传统的安全防护措施已无法满足需求。因此,渗透测试作为一种评估软件安全性的重要手段,被广泛应用于各个领域。然而,传统的渗透测试方法存在一些问题。示范性的如渗透测试过程中产生的安全事件数量庞大,人工分析效率低下,容易漏报和误报。

2、综上所述,现有技术中存在由于渗透测试数据分析效率低、分析不全面,导致渗透测试容易漏报和误报,进一步影响软件安全渗透测试有效性,不利于软件安全的准确有效评估的技术问题。


技术实现思路

1、本申请的目的是提供一种软件安全渗透测试方法及系统,用以解决现有技术中存在由于渗透测试数据分析效率低、分析不全面,导致渗透测试容易漏报和误报,进一步影响软件安全渗透测试有效性,不利于软件安全的准确有效评估的技术问题。

2、鉴于上述问题,本申请提供了一种软件安全渗透测试方法及系统。

3、第一方面,本申请提供了一种软件安全渗透测试方法,所述方法通过一种软件安全渗透测试系统实现,其中,所述方法包括:通过并行测试工具对目标软件进行渗透测试,得到目标安全事件集,其中,所述目标安全事件集包括多个安全事件;将所述多个安全事件中的第一安全事件在预定规则库中遍历,得到第一遍历结果,并分析所述第一遍历结果得到第一预定漏洞;对所述第一预定漏洞与第二安全事件的第二预定漏洞进行相关性分析,得到第一相关性分析结果;根据所述第一相关性分析结果,若所述第一预定漏洞与所述第二预定漏洞的目标相关性符合预定相关性约束,则将所述第一预定漏洞与所述第二预定漏洞添加至目标漏洞簇;引入漏洞簇评估函数对所述目标漏洞簇进行严重度评估分析,得到目标严重度;分析所述目标漏洞簇的目标历史日志得到目标时序,并结合预定多维度域采集得到所述目标时序的目标多域特征;根据单位安全评估模型分析所述目标多域特征得到的目标单位安全度与所述目标严重度,生成所述目标软件的目标安全报告。

4、第二方面,本申请还提供了一种软件安全渗透测试系统,用于执行如第一方面所述的一种软件安全渗透测试方法,其中,所述系统包括:第一得到模块,所述第一得到模块用于通过并行测试工具对目标软件进行渗透测试,得到目标安全事件集,其中,所述目标安全事件集包括多个安全事件;第二得到模块,所述第二得到模块用于将所述多个安全事件中的第一安全事件在预定规则库中遍历,得到第一遍历结果,并分析所述第一遍历结果得到第一预定漏洞;第三得到模块,所述第三得到模块用于对所述第一预定漏洞与第二安全事件的第二预定漏洞进行相关性分析,得到第一相关性分析结果;第一添加模块,所述第一添加模块用于根据所述第一相关性分析结果,若所述第一预定漏洞与所述第二预定漏洞的目标相关性符合预定相关性约束,则将所述第一预定漏洞与所述第二预定漏洞添加至目标漏洞簇;第四得到模块,所述第四得到模块用于引入漏洞簇评估函数对所述目标漏洞簇进行严重度评估分析,得到目标严重度;第五得到模块,所述第五得到模块用于分析所述目标漏洞簇的目标历史日志得到目标时序,并结合预定多维度域采集得到所述目标时序的目标多域特征;第一生成模块,所述第一生成模块用于根据单位安全评估模型分析所述目标多域特征得到的目标单位安全度与所述目标严重度,生成所述目标软件的目标安全报告。

5、本申请中提供的一个或多个技术方案,至少具有如下技术效果或优点:

6、本申请首先通过并行测试工具对目标软件进行渗透测试,得到目标安全事件集。然后,利用预定规则库对安全事件进行遍历和分析,得到预定漏洞。接着,通过相关性分析,将具有相关性的漏洞添加至目标漏洞簇。引入漏洞簇评估函数对目标漏洞簇进行严重度评估,得到目标严重度。同时,分析目标漏洞簇的目标历史日志和多维度域采集,得到目标时序的目标多域特征。最后,根据单位安全评估模型,结合目标严重度和目标多域特征,生成目标软件的安全报告。通过本申请,提高了渗透测试的效率和准确性,降低了误报和漏洞率,为软件安全性提供了全面评估。

7、上述说明仅是本申请技术方案的概述,为了能够更清楚了解本申请的技术手段,而可依照说明书的内容予以实施,并且为了让本申请的上述和其他目的、特征和优点能够更明显易懂,以下特举本申请的具体实施方式。应当理解,本部分所描述的内容并非旨在标识本申请的实施例的关键或重要特征,也不用于限制本申请的范围。本申请的其他特征将通过以下的说明书而变得容易理解。

本文档来自技高网...

【技术保护点】

1.一种软件安全渗透测试方法,其特征在于,包括:

2.根据权利要求1所述方法,其特征在于,所述并行测试工具包括第一测试工具和第二测试工具,所述方法包括:

3.根据权利要求1所述方法,其特征在于,所述方法包括:

4.根据权利要求1所述方法,其特征在于,所述方法包括:

5.根据权利要求1所述方法,其特征在于,所述方法包括:

6.根据权利要求5所述方法,其特征在于,所述预定漏洞特性包括CVSS得分、攻击复杂性、权限等级、数据暴露程度和历史利用率。

7.根据权利要求1所述方法,其特征在于,所述方法包括:

8.根据权利要求1所述方法,其特征在于,所述方法包括:

9.一种软件安全渗透测试系统,其特征在于,用于实施权利要求1至8中任意一项所述方法的步骤,所述系统包括:

【技术特征摘要】

1.一种软件安全渗透测试方法,其特征在于,包括:

2.根据权利要求1所述方法,其特征在于,所述并行测试工具包括第一测试工具和第二测试工具,所述方法包括:

3.根据权利要求1所述方法,其特征在于,所述方法包括:

4.根据权利要求1所述方法,其特征在于,所述方法包括:

5.根据权利要求1所述方法,其特征在于,所述方法包括:

【专利技术属性】
技术研发人员:李刚杨洪路霍海龙
申请(专利权)人:开元华创科技集团有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有