[发明专利]基于Metasploit框架的测试系统及实现网络安全性测试的方法

说明书

本发明涉及一种基于Metasploit框架的测试系统及实现网络安全性测试的方法，涉及信息安全技术领域。本发明通过对Metasploit框架中的渗透攻击工具进行批量调用实现测试过程；通过选取特定典型的攻击载荷与渗透攻击工具组合验证渗透攻击工具的测试效果。通过本发明，构建了一种针对目标计算机漏洞和网络安全设备的测试系统，利用Metasploit框架中集成的大量渗透攻击工具、攻击载荷，并结合其他相关测试工具实现对目标网络的安全性测试。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于Metasploit框架的测试系统及利用该系统实现网络安全性测试的方法。

背景技术

随着信息技术的不断发展，互联网和各局域网中的设备所处的信息化环境也越来越复杂，主动的、被动的攻击每分每秒都在网络上发生，网络中的设备要承受网络中的各种攻击和非法扫描，针对这类攻击行为，目前是使用网络中的安全防护设备对网络进行防护，这就对网络自身对异常数据流量的检测提出了更高的要求，为了测试计算机和安全防护设备在各类攻击中的防护能力，需要考虑设计相应的测试系统，对设备进行渗透测试，验证其在受到攻击时的状态。由于网络中针对各类操作系统的漏洞利用手段众多，单纯的收集漏洞利用手段用以实现测试过程过于繁琐。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是：如何针对网络测试、对抗研发中的测试系统构建需求，解决测试系统中渗透攻击工具资源组成和调用的问题，提出一种基于Metasploit框架和渗透攻击工具集成调用的测试系统及利用该系统实现网络安全性测试的方法。

(二)技术方案

为了解决上述技术问题，本发明提供了一种基于Metasploit框架的测试系统，包括渗透攻击模块、攻击载荷模块、辅助工具模块和控制台模块；

其中，所述渗透攻击模块是多款渗透攻击工具的集合，渗透攻击工具是用于破坏系统安全性的攻击代码，即为运行在测试系统中的漏洞利用工具，通过渗透攻击模块能够对在目标网络中对应的漏洞进行触发，实现远程代码执行；

所述攻击载荷模块是多款攻击载荷的集合，是完成实际攻击功能的代码，在成功渗透漏洞后运行，能够在攻击者和目标网络之间建立一个连接，是在通过渗透攻击模块触发目标网络中的漏洞后远程在目标网络中执行的程序，通过执行该程序能够实现对测试行为执行效果的收集，以判断目标网络是否收到了渗透攻击模块中对应渗透攻击工具的影响；

所述辅助工具模块是多款辅助类工具的集合，所述辅助类工具是用于对测试过程进行辅助的情报收集及目标扫描类工具，通过调用是执行辅助类工具并收集相关结果，能够指导测试过程；

所述控制台模块能够部署在笔记本中，通过对集成Metasploit服务进行调用实现对渗透攻击模块和攻击载荷模块的调用，实现对测试任务的配置。

优选地，所述控制台模块具体用于实现对目标网络的攻击功能，执行攻击过程中通过任务配置对测试任务需要调用的资源和相关参数进行配置；通过攻击载荷组合定制实现对应的攻击载荷的组合定制；通过测试执行控制功能实现对测试过程的控制管理，其中与目标网络攻击载荷的交互过程进行加密；同时通过工具载荷升级对渗透攻击模块、攻击载荷模块、辅助工具模块进行维护和升级；其中所述测试执行控制功能是根据目标网络的特性，选取对应类别的渗透攻击工具，批量调用渗透攻击工具，并不具体按照Metasploit框架执行后续的攻击载荷，而是选取几个payload用以对是否执行成功进行判断并收集结果。

优选地，所述控制台模块能够部署在笔记本中，所述笔记本作为攻击执行的载体，还运行渗透攻击模块和辅助工具模块中的相关工具，并驱动攻击载荷在目标网络中运行。

本发明还提供了一种利用所述的测试系统对目标网络进行安全性测试的配置及测试方法，包括以下步骤：

步骤1：安装Metasploit到笔记本中；