[发明专利]基于Metasploit框架的测试系统及实现网络安全性测试的方法

权利要求书

1.一种基于Metasploit框架的测试系统，其特征在于，包括渗透攻击模块、攻击载荷模块、辅助工具模块和控制台模块；

其中，所述渗透攻击模块是多款渗透攻击工具的集合，渗透攻击工具是用于破坏系统安全性的攻击代码，即为运行在测试系统中的漏洞利用工具，通过渗透攻击模块能够对在目标网络中对应的漏洞进行触发，实现远程代码执行；

所述攻击载荷模块是多款攻击载荷的集合，是完成实际攻击功能的代码，在成功渗透漏洞后运行，能够在攻击者和目标网络之间建立一个连接，是在通过渗透攻击模块触发目标网络中的漏洞后远程在目标网络中执行的程序，通过执行该程序能够实现对测试行为执行效果的收集，以判断目标网络是否收到了渗透攻击模块中对应渗透攻击工具的影响；

所述辅助工具模块是多款辅助类工具的集合，所述辅助类工具是用于对测试过程进行辅助的情报收集及目标扫描类工具，通过调用是执行辅助类工具并收集相关结果，能够指导测试过程；

所述控制台模块能够部署在笔记本中，通过对集成Metasploit服务进行调用实现对渗透攻击模块和攻击载荷模块的调用，实现对测试任务的配置；

所述控制台模块具体用于实现对目标网络的攻击功能，执行攻击过程中通过任务配置对测试任务需要调用的资源和相关参数进行配置；通过攻击载荷组合定制实现对应的攻击载荷的组合定制；通过测试执行控制功能实现对测试过程的控制管理，其中与目标网络攻击载荷的交互过程进行加密；同时通过工具载荷升级对渗透攻击模块、攻击载荷模块、辅助工具模块进行维护和升级；其中所述测试执行控制功能是根据目标网络的特性，选取对应类别的渗透攻击工具，批量调用渗透攻击工具，并不具体按照Metasploit框架执行后续的攻击载荷，而是选取几个payload用以对是否执行成功进行判断并收集结果。

2.如权利要求1所述的系统，其特征在于，所述控制台模块能够部署在笔记本中，所述笔记本作为攻击执行的载体，还运行渗透攻击模块和辅助工具模块中的相关工具，并驱动攻击载荷在目标网络中运行。

3.一种利用权利要求1所述的测试系统对目标网络进行安全性测试的配置及测试方法，其特征在于，包括以下步骤：

步骤1：安装Metasploit到笔记本中；

步骤2：对Metasploit中的数据进行整理，获取全部exploit和payload的信息，包括名称、类型、说明、所需配置的参数信息，以数据库形式进行存储；

步骤3：编写相关软件代码实现对Metasploit中exploit的调用，实现如下内容：列出全部exploit名称，供操作人员进行选择，对选择的全部exploit的所需配置的必须参数进行并集处理，供操作人员对全部列出参数进行配置；

步骤4：编写相关软件代码实现以下功能：能够针对选择的exploit实现对payload的组合，从而实现如下内容：对于每个选定的exploit对其目标操作系统选定指定的若干个payload，根据Metasploit的组合模式，使用对应的exploit和payload实现攻击过程；

步骤5、将安装了控制台模块的笔记本通过网络链路与测试目标进行连接，用于攻击的该笔记本通过链路与目标网络相连，或者直接与目标网络的安全防护设备相连；

步骤6：使用辅助类工具对目标网络进行探测和扫描，对测试目标进行信息收集；

步骤7：根据测试目标的类型选择Metasploit框架中批量执行的渗透攻击工具，选择一个或者多个Metasploit框架中的exploit资源，选定的漏洞利用资源用于对目标进行漏洞利用的测试；

步骤8：根据选择的exploit，测试系统选取其必须配置的参数的并集，供操作人员配置其必须的参数，通过按照并集参数进行配置，可以提供全部exploit执行所需的参数，测试系统根据选择的exploit配置若干payload进行组合执行，执行过程由Metasploit框架驱动；

步骤9：从测试发起端的角度对测试行为的结果进行整理，根据payload返回的执行结果，判断对应exploit执行的结果，计算整个测试过程执行成功的比例以衡量测试目标的安全性。

4.如权利要求3所述的方法，其特征在于，步骤2中，获取全部exploit和payload的信息时，所包含的所需配置的参数包括必须参数和非必须参数。