[发明专利]基于场景的渗透测试方法及装置、存储介质、电子装置

权利要求书

1.一种基于场景的渗透测试方法，其特征在于，包括：

确定渗透目标的检测场景，其中，所述渗透目标为通过网络连接的网络系统；

在预设漏洞库中查找与所述检测场景相关的漏洞集合；

针对所述漏洞集合设置渗透手段，并使用所述渗透手段组合渗透策略；

基于所述渗透策略对所述渗透目标执行渗透测试。

2.根据权利要求1述的方法，其特征在于，确定渗透目标的检测场景包括以下至少之一：

接收所述渗透目标的第一需求信息，其中，所述需求信息包括以下至少之一：检测所述网络系统是否存在指定漏洞的风险、检测所述网络系统是否存在指定类型的漏洞的风险、检测所述网络系统在指定运行环境下的漏洞风险、检测所述网络系统的指定网络节点是否存在漏洞风险；根据所述第一需求信息确定渗透目标的检测场景；

接收所述渗透目标的第二需求信息，其中，其中，所述第二需求信息包括以下之一：仿真测试、攻防演练、靶场演练、安全能力评估；根据所述第二需求信息确定渗透目标的检测场景。

3.根据权利要求2述的方法，其特征在于，在所述第一需求信息为检测所述网络系统的指定网络节点是否存在漏洞风险时，在预设漏洞库中查找与所述检测场景相关的漏洞集合包括：

在预设漏洞库中查找与所述指定网络节点相关的漏洞集合。

4.根据权利要求1述的方法，其特征在于，确定渗透目标的检测场景包括：

确定所述渗透目标的可靠性信息，其中，所述可靠性信息用于指示所述渗透目标可承受攻击的最大程度；

基于所述可靠性信息设置渗透任务的最高并发量，以及渗透测试的权限范围。

5.根据权利要求4述的方法，其特征在于，基于所述渗透策略对所述渗透目标执行渗透测试包括：

以所述最高并发量为最高门限在集群中调用一个或多个检测引擎，其中，检测引擎为执行渗透任务的最小单位；

使用所述检测引擎获取所述渗透目标的操作权限；

使用所述操作权限在所述权限范围内执行渗透操作。

6.根据权利要求1所述的方法，其特征在于，基于所述渗透策略对所述渗透目标执行渗透测试包括：

根据所述渗透策略采集所述渗透目标的相关信息；

使用所述相关信息探测所述渗透目标的对外漏洞；

利用所述对外漏洞获取所述渗透目标的操作权限；

使用所述操作权限对所述网络系统执行渗透操作。

7.一种基于场景的渗透测试装置，其特征在于，包括：

确定模块，用于确定渗透目标的检测场景，其中，所述渗透目标为通过网络连接的网络系统；

查找模块，用于在预设漏洞库中查找与所述检测场景相关的漏洞集合；

设置模块，用于针对所述漏洞集合设置渗透手段，并使用所述渗透手段组合渗透策略；

执行模块，用于基于所述渗透策略对所述渗透目标执行渗透测试。

8.根据权利要求7述的装置，其特征在于，所述确定模块包括以下至少之一：

第一处理单元，用于接收所述渗透目标的第一需求信息，其中，所述需求信息包括以下至少之一：检测所述网络系统是否存在指定漏洞的风险、检测所述网络系统是否存在指定类型的漏洞的风险、检测所述网络系统在指定运行环境下的漏洞风险、检测所述网络系统的指定网络节点是否存在漏洞风险；根据所述第一需求信息确定渗透目标的检测场景；

第二处理单元，用于接收所述渗透目标的第二需求信息，其中，其中，所述第二需求信息包括以下之一：仿真测试、攻防演练、靶场演练、安全能力评估；根据所述第二需求信息确定渗透目标的检测场景。

9.一种存储介质，其特征在于，所述存储介质中存储有计算机程序，其中，所述计算机程序被设置为运行时执行权利要求1至6任一项中所述的方法。

10.一种电子装置，包括存储器和处理器，其特征在于，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以执行权利要求1至6任一项中所述的方法。