[发明专利]渗透测试方法及相关装置

说明书

本公开提供一种渗透测试方法及相关装置，涉及信息安全技术领域，能够解决现有渗透测试不灵活的问题，增加渗透测试的灵活度，提高渗透测试的效率。具体技术方案为：获取多个不同的初始攻击链；采用多个不同的初始攻击链对至少一个测试目标进行渗透测试，获取至少一个目标边的统计数据；根据每个目标边的统计数据将至少一个目标边组成目标攻击链。本发明用于渗透测试。

技术领域

本公开涉及信息安全技术领域，尤其涉及渗透测试方法及相关装置。

背景技术

渗透测试是通过模拟恶意黑客的攻击方法来评估计算机网络安全的一种评估方法，这个过程包括对系统的任何弱点、技术缺陷或漏洞的主动分析，这个分析是从一个攻击者可能存在的位置来进行的，并且从这个位置有条件主动利用安全漏洞。换句话说，渗透测试是指渗透人员在不同的位置(如从内网、从外网等位置)利用各种手段对某个特定网络进行测试，以期发现和挖掘系统中存在的漏洞，然后输出渗透测试报告并提交给网络所有者。网络所有者根据渗透测试人员提供的渗透测试报告可以清晰知晓系统中存在的安全隐患和问题。但是，目前渗透测试系统都是根据人为经验生成的测试流程进行渗透测试，不具备灵活性和多样性，局限性较强。

发明内容

本公开实施例提供一种渗透测试方法及相关装置，能够解决现有渗透测试不灵活的问题，增加渗透测试的灵活度，提高渗透测试的效率。所述技术方案如下：

根据本公开实施例的第一方面，提供一种渗透测试方法，该方法包括：

获取多个不同的初始攻击链，每个初始攻击链包括依次连接的多个攻击模块，相邻两个攻击模块的连接和数据传输用边进行表示；

采用多个不同的初始攻击链对至少一个测试目标进行渗透测试，获取至少一个目标边的统计数据，目标边用于指示初始攻击链在渗透测试中被调用的边，统计数据至少包括调用次数和调用参数；

根据每个目标边的统计数据将至少一个目标边组成目标攻击链。

本公开实施例通过自学习的方法组建新的攻击链，相对于传统的渗透测试系统，能够解决传统渗透测试平台渗透测试方法单一以及渗透测试方法不够灵活的问题，增加渗透测试的灵活度，提高渗透测试的效率。

在一个实施例中，根据每个目标边的统计数据将至少一个目标边组成目标攻击链包括：

判断每个目标边的调用次数是否大于预设阈值；

将调用次数大于预设阈值的目标边组成目标攻击链。

在一个实施例中，根据每个目标边的统计数据将至少一个目标边组成目标攻击链包括：

将目标边的调用次数按照从大到小的顺序进行排列并组成目标攻击链。

在一个实施例中，该方法还包括：采用目标攻击链对测试目标进行渗透测试，根据目标攻击链中目标边的调用信息增加目标攻击链的攻击权重。

根据本公开实施例的第二方面，提供一种渗透测试装置，包括：

第一获取模块，用于获取多个不同的初始攻击链，每个初始攻击链包括依次连接的多个攻击模块，相邻两个攻击模块的连接和数据传输用边进行表示；

第二获取模块，用于采用多个不同的初始攻击链对至少一个测试目标进行渗透测试，获取至少一个目标边的统计数据，目标边用于指示初始攻击链在渗透测试中被调用的边，统计数据至少包括调用次数和调用参数；

处理模块，用于根据每个目标边的统计数据将至少一个目标边组成目标攻击链。

在一个实施例中，渗透测试装置还包括：判断模块；

判断模块，用于判断每个目标边的调用次数是否大于预设阈值；

处理模块，用于将调用次数大于预设阈值的目标边组成目标攻击链。