[发明专利]一种基于AI的自动化渗透测试系统的迭代攻击方法

说明书

本发明公开了一种基于AI的自动化渗透测试系统的迭代攻击方法，包括以下步骤：S1、渗透测试任务设定；S2、漏洞信息收集；S3、渗透攻击；S4、迭代攻击判断。本发明提供的一种基于AI的自动化渗透测试系统的迭代攻击方法，能够有效的提高渗透测试的稳定性和效率。

技术领域

本发明涉及网络数据安全技术领域，具体涉及一种基于AI的自动化渗透测试系统的迭代攻击方法。

背景技术

渗透测试(Penetration Test)是完全模拟黑客可能使用的攻击技术和漏洞发现技术，对目标系统的安全作深入的探测，发现系统最脆弱的环节，发现复杂、相互关联的安全问题、更深层次的弱点，并将入侵的过程和细节产生报告给用户。渗透测试工作流程主要分为三个阶段：预攻击阶段、攻击阶段、后攻击阶段。预攻击阶段：目的是进行信息收集工作。一般通过基本网络信息的获取、常规漏洞扫描等工具对目标进行检测、分析来获取信息。攻击阶段：目的是对目标进行攻击，获取系统的一定权限。一般通过基于通用设备、数据库、操作系统和应用的攻击，口令猜解技术等方式来完成。后攻击阶段：目的是对目标维持一定的权限，并进行横向渗透。一般来说，可以通过提权、口令破解、跳板攻击等手法来达到目的。

目前，渗透测试工作一般有以下两种方式：

(1)人工服务方式。由富有经验的安全工程师，凭借人工经验，利用网络安全扫描器、专用安全测试工具对网络中操作系统、网络设备、应用系统等进行非破坏性质的模拟攻击。但需要投入的人力资源较大，对测试者的专业技能要求较高，渗透测试报告的价值直接依赖于测试者的专业技能，无法提供标准化渗透测试服务；同时，渗透测试服务人员短缺问题一直长期存在。

(2)自动化工具方式。使用Metasploit Framework(简称MSF) 等漏洞利用框架，虽然通过渗透测试任务配置向导，建立一个测试任务。自动化工具会自动收集目标网络信息，根据目标指纹选取匹配的攻击组件对目标执行攻击，然后基于测试结果输出渗透测试报告。但其渗透测试对象有局限，不支持情报信息识别和提取，对于WEB应用系统无法检测出相关风险，不支持迭代攻击，不支持基于实际业务风险进行漏洞风险优先级排名等问题，要发挥其能力仍然需要具备相当经验的渗透测试人员操作使用。

发明内容

本发明是为了解决现有技术中渗透测试在使用人工服务和自动化工具时存在的上述技术问题，提供一种基于AI的自动化渗透测试系统的迭代攻击方法，能够有效的提高渗透测试的稳定性和效率。

本发明提供一种基于AI的自动化渗透测试系统的迭代攻击方法，包括以下步骤：

S1、渗透测试任务设定：包括设定渗透目标、参数、是否自动跳板攻击，并启动任务；

S2、攻击面和情报数据、漏洞信息收集：决策大脑模块根据渗透测试任务设定的目标IP或域名，生成驱动指令发送至信息收集模块，信息收集模块根据驱动指令收集攻击面和情报数据、漏洞信息并将攻击面和情报数据、漏洞信息传送至决策大脑模块；

S3、渗透攻击：决策大脑模块根据攻击面和情报数据、漏洞信息生成驱动指令并将驱动指令传送至渗透攻击模块，渗透攻击模块根据驱动指令进行渗透攻击，并向决策大脑模块输出漏洞验证结果和漏洞利用结果；

S4、决策大脑模块根据步骤S3中漏洞验证结果和漏洞利用结果生成迭代攻击决策并判断是否进行迭代攻击，当判断为是时进入步骤S2 或S3，当判断为否时进入后渗透测试。

本发明所述的一种基于AI的自动化渗透测试系统的迭代攻击方法，作为优选方式，步骤S2进一步包括以下步骤：

S21、决策大脑模块判断渗透测试任务的类型，当设定的目标为IP 地址或IP地址段时进入步骤S22，当设定的目标为URL或域名时进入步骤S23；