[发明专利]基于场景的渗透测试方法及装置、存储介质、电子装置

说明书

本发明提供了一种基于场景的渗透测试方法及装置、存储介质、电子装置，其中，该方法包括：确定渗透目标的检测场景，其中，所述渗透目标为通过网络连接的网络系统；在预设漏洞库中查找与所述检测场景相关的漏洞集合；针对所述漏洞集合设置渗透手段，并使用所述渗透手段组合所述渗透策略；基于所述渗透策略对所述渗透目标执行渗透测试。通过本发明，解决了相关技术中渗透测试效率低下的技术问题。

技术领域

本发明涉及网络安全领域，具体而言，涉及一种基于场景的渗透测试方法及装置、存储介质、电子装置。

背景技术

网络攻击是黑客或者病毒木马等对电子设备发起的攻击，通过窃取文件等给用户带来了巨大损失，而渗透测试正是模拟网络攻击的过程，以提前发现问题，及时弥补，有备无患。

相关技术在进行渗透测试时，是使用一套通用的渗透工具来进行渗透测试，或者使用不同的渗透手段来尝试，不能自定义检测场景，也不能针对场景进行针对性检测，导致渗透效率低，渗透时间长。

针对相关技术中存在的上述问题，目前尚未发现有效的解决方案。

发明内容

本发明实施例提供了一种基于场景的渗透测试方法及装置、存储介质、电子装置。

根据本发明的一个实施例，提供了一种基于场景的渗透测试方法，包括：确定渗透目标的检测场景，其中，所述渗透目标为通过网络连接的网络系统；在预设漏洞库中查找与所述检测场景相关的漏洞集合；针对所述漏洞集合设置渗透手段，并使用所述渗透手段组合所述渗透策略；基于所述渗透策略对所述渗透目标执行渗透测试。

可选的，确定渗透目标的检测场景包括以下至少之一：接收所述渗透目标的第一需求信息，其中，所述需求信息包括以下至少之一：检测所述网络系统是否存在指定漏洞的风险、检测所述网络系统是否存在指定类型的漏洞的风险、检测所述网络系统在指定运行环境下的漏洞风险、检测所述网络系统的指定网络节点是否存在漏洞风险；根据所述第一需求信息确定渗透目标的检测场景；接收所述渗透目标的第二需求信息，其中，其中，所述第二需求信息包括以下之一：仿真测试、攻防演练、靶场演练、安全能力评估；根据所述第二需求信息确定渗透目标的检测场景。

可选的，在所述第一需求信息为检测所述网络系统的指定网络节点是否存在漏洞风险时，在预设漏洞库中查找与所述检测场景相关的漏洞集合包括：在预设漏洞库中查找与所述指定网络节点相关的漏洞集合。

可选的，确定渗透目标的检测场景包括：根据所述检测场景确定所述渗透目标的可靠性信息，其中，所述可靠性信息用于指示所述渗透目标可承受攻击的最大程度；基于所述可靠性信息设置渗透任务的最高并发量，以及渗透测试的权限范围。

可选的，基于所述渗透策略对所述渗透目标执行渗透测试包括：以所述最高并发量为最高门限在集群中调用一个或多个检测引擎，其中，检测引擎为执行渗透任务的最小单位；使用所述检测引擎获取所述渗透目标的操作权限；使用所述操作权限在所述权限范围内执行渗透操作。

可选的，基于所述渗透策略对所述渗透目标执行渗透测试包括：根据所述渗透策略采集所述渗透目标的相关信息；使用所述相关信息探测所述渗透目标的对外漏洞；利用所述对外漏洞获取所述渗透目标的操作权限；使用所述操作权限对所述网络系统执行渗透操作。

根据本发明的另一个实施例，提供了一种基于场景的渗透测试装置，包括：确定模块，用于确定渗透目标的检测场景，其中，所述渗透目标为通过网络连接的网络系统；查找模块，用于在预设漏洞库中查找与所述检测场景相关的漏洞集合；设置模块，用于针对所述漏洞集合设置渗透手段，并使用所述渗透手段组合所述渗透策略；执行模块，用于基于所述渗透策略对所述渗透目标执行渗透测试。