[发明专利]一种自动化安全渗透测试方法

说明书

技术领域

本发明属于网络安全领域，涉及一种自动化安全渗透测试方法。

背景技术

随着信息技术的快速发展，安全漏洞对信息系统造成极大的安全隐患，成为木马病毒等恶意代码传播的入口和途径。为及早发现信息系统存在的安全问题，确定危害程度，必须周期性地针对信息系统进行渗透测试并根据渗透测试结果进行系统的安全性修复。

渗透测试是指安全工程师模拟黑客使用的信息探测技术、漏洞评估技术和攻击手段，对目标的安全性作深入的探测，发现系统最脆弱环节的过程[1]。渗透测试的结果需要记录在案，并以此作为信息系统脆弱性解决的依据。渗透测试具有确定组织信息资源面临的威胁，参考风险量化保障支出，降低组织的IT安全成本，提供更好的安全保障投资收益，发现和解决存在的弱点，了解弱点的基本技术、设计和执行，保证为组织提供一个全面和彻底的安全架构[2]。

渗透测试依赖漏洞扫描工具对目标信息系统进行扫描，结合相关的漏洞利用工具对系统漏洞进行攻击和利用，以此来获取系统控制权限。在渗透测试过程中，目前使用较为广泛的开源渗透测试工具为metasploit渗透测试框架，但此框架仅仅提供渗透测试中漏洞攻击和利用阶段的功能。利用metasploit渗透测试框架加载漏洞扫描工具目前依然无法满足全面、完整的自动化渗透测试需求。从实践的角度来看，目前的渗透测试工作存在以下不足：

(1)渗透测试过程需要使用多种安全性分析工具，由于各类工具的渗透策略、功能及使用方法不尽相同，这一状况无法满足高效的、自动化的渗透测试需求。

(2)缺乏有效的人工和自动化相结合的测试平台，测试所需的各类工具间的数据格式不统一，无法进行自主交互，需要测试人员花费大量的时间和精力进行数据整合以驱动渗透测试过程，无法满足高频的渗透测试需求。

文献引用：

[1]SCAMBRAY J,McCLURE S,KURTZ G.Hacking exposed[M]2nd ed[S1]:Brooks,2001.

[2]ARCE I,CACERES M Automating penetration tests a new challenge for the IS industry[M][S1]:Core Security Tecnologies,2001.

发明内容

针对现有技术中存在的问题，本发明提出了一种自动化安全渗透测试方法，通过建立渗透测试平台，对信息系统安全性进行人工及自动化的测试，深入分析目标系统的安全性。

为达到上述目的，本发明采用的技术方案是：建立渗透测试平台，通过人工和自动化相结合的手段对信息系统主机状态和拓扑结构进行深度的扫描和分析。在分析漏洞过程中，自动调用漏洞验证库中验证脚本对目标系统进行渗透测试，并在渗透测试结束后对整个渗透测试过程和结果进行分析并生成测试报告。

本发明包括以下步骤：

步骤1，自动化响应模型训练，建立对应模型生成攻击策略库；

步骤2，扫描目标信息系统，获取主机信息；

步骤3，扫描目标信息系统漏洞，获取漏洞信息；

步骤4，根据步骤2和步骤3获取的主机信息和漏洞信息，结合攻击策略库建立攻击模型，根据攻击模型对目标信息系统尝试攻击，获取攻击反馈结果；

步骤5，对渗透测试全过程进行综合分析，生成渗透测试报告并梳理测试步骤及中间结果，并对系统安全性进行分析，根据渗透过程和结果，结合渗透测试发现的漏洞及采用的解决方案生成报告性文件，提供相关解决方案；

步骤6，响应模型自适应更新，调整响应策略。

步骤1包括如下步骤：

步骤1-1，通过众测或其他方式，持续收集人工渗透测试的过程信息，保存渗透测试过程中的3个记录元组<o₁，o₂>、<o₃，o₄>、<o₄，o₅>，其中o₁表示目标信息，o₂表示扫描工具，o₃表示漏洞信息，o₄表示攻击策略，o₅表示攻击工具；所有记录元组组成一个记录数据库，同时，对人工渗透测试已收集到的漏洞信息进行规格化处理，整理以下字段：漏洞描述、漏洞类型、漏洞触发条件、漏洞危害，形成应用级通用漏洞信息数据库；