[发明专利]一种用于网络设备的渗透测试方法和系统

说明书

本发明公开了一种用于网络设备的渗透测试方法和系统，涉及网络设备脆弱性分析与预测领域。该方法包括：获取网络设备脆弱性数据构建网络设备脆弱性知识库；通过预设关联规则挖掘算法对网络设备脆弱性数据进行挖掘，获得相应关联规则；基于网络设备脆弱性知识库和关联规则对待测试网络设备进行渗透测试，生成渗透性报文，预测出未知脆弱性漏洞。根据脆弱性知识库中设备与设备，漏洞与漏洞，设备与漏洞之间的关联规则，有选择的对设备和漏洞进行渗透报文生成，能够大大提高测试效率。

技术领域

本发明涉及网络设备脆弱性分析与预测领域，尤其涉及一种用于网络设备的渗透测试方法和系统。

背景技术

现有的CNNVD、NVD、CVE等权威脆弱性数据库没有专门的网络设备分类，无法从大量数据中直接获取网络设备数据，网络设备脆弱性数据获取难度较大，基于现有的脆弱性数据库对网络设备进行渗透测试，生成的渗透报文本身具备一定的盲目性，效率低等特点。

发明内容

本发明所要解决的技术问题是针对现有技术的不足，提供一种用于网络设备的渗透测试方法和系统。

本发明解决上述技术问题的技术方案如下：

一种用于网络设备的渗透测试方法，包括：

获取网络设备脆弱性数据构建网络设备脆弱性知识库；

通过预设关联规则挖掘算法对所述网络设备脆弱性数据进行挖掘，获得相应关联规则；

基于网络设备脆弱性知识库和所述关联规则对待测试网络设备进行渗透测试，生成渗透性报文，预测出未知脆弱性漏洞。

本发明的有益效果是：本方案基于网络设备脆弱性数据的网络设备脆弱性知识库，包含多种网络设备和脆弱性的关联规则，依据这些规则可以有效地、针对性的对网络设备可能存在的脆弱性进行渗透测试，从而分析网络设备的安全性，对网络设备脆弱性知识库的构建，形成全面的网络设备脆弱性知识，以支撑渗透验证报文的自动生成。基于所构建的网络设备脆弱性知识库，通过匹配目标设备信息，进行自动化的渗透报文生成。

根据脆弱性知识库中设备与设备，漏洞与漏洞，设备与漏洞之间的关联规则，有选择的对设备和漏洞进行渗透报文生成，能够大大提高测试效率。

进一步地，在所述通过预设关联规则挖掘算法对所述网络设备脆弱性数据进行挖掘之前还包括：

根据已构建的网络设备脆弱性本体将所述网络设备脆弱性数据中脆弱性类别属性值为第三层脆弱性类别更改为第二层脆弱性类别，其中，所述第二层脆弱性类别的脆弱性数据为高层级，所述第三层脆弱性类别的脆弱性数据为低层级。

采用上述进一步方案的有益效果是：本方案更改网络设备脆弱性数据的脆弱性类别属性值，使得网络设备脆弱性数据的粒度更精细，将数据库中低层级的脆弱性数据提升为高层级的脆弱性数据，提高关联规则挖掘中项集的支持度；从而可以针对网络设备脆弱性本体，挖掘出漏洞间的关联规则，分析和预测出出目标设备最有可能存在的未知脆弱性漏洞，为后继的渗透测试报文生成缩小测试范围提供依据。

进一步地，在所述通过预设关联规则挖掘算法对所述网络设备脆弱性数据进行挖掘之前还包括：

根据预设分类标准结合网络设备脆弱性特征构建所述网络设备脆弱性本体的脆弱性类别及层次体系；

根据网络设备缺陷类型和性质构建所述网络设备脆弱性本体的脆弱性的属性；

将所述网络设备脆弱性本体的存储设置为关系型数据库存储，完成所述网络设备脆弱性本体的构建。