[发明专利]一种信息系统安全性自动化渗透测试方法

说明书

技术领域

本发明属于网络安全技术领域，涉及一种信息系统安全性自动化渗透测试方法。

背景技术

随着信息技术的快速发展，安全漏洞对信息系统造成了极大的安全隐患，为攻击者恶意入侵打开了方便之门，成为木马病毒等恶意代码肆意传播的入口和途径。随着信息技术的发展，信息系统的安全性问题日益突出。为及早发现信息系统存在的安全性问题，确定其危害程度，必须周期性地对信息系统的安全性进行深度渗透测试。

渗透测试可以模拟真实的攻击，使用漏洞发现技术和攻击手段，对目标网络、系统、应用等信息系统的安全性做深入地分析和测试，全面、及时地发现系统存在的安全性问题，以及这些问题被利用带来的危害。

渗透测试以系统漏洞发现为基础，依赖漏洞扫描工具对目标系统进行扫描，结合相关的漏洞利用工具对系统漏洞进行攻击和利用，获取目标系统控制权限，并以此控制点为跳板，攫取更大范围的目标控制权。在渗透测试过程中，为提高测试效率测试人员往往借助于渗透测试工具，目前使用较广泛的开源渗透测试工具为metasploit渗透测试框架，但通过分析metasploit，其仅提供渗透测试中漏洞攻击和利用阶段的功能。通过查阅相关文献，有研究人员对自动化渗透测试进行研究，例如孟江桥、李爱平于2012年在第27次全国计算机安全学术交流会上发表的论文《基于Metasploit加载Nessus漏洞扫描技术实现》中，提出了利用metasploit开源框架，通过相关辅助模块加载漏洞扫描工具Nessus，实现漏洞扫描结果与metasploit漏洞利用功能的自动对接，但仍无法满足全面、完整的自动化渗透测试需求。从现有的工具和框架来看，已有渗透测试在各个阶段通过使用的不同种类工具，为渗透测试提供不同功能的工具支持，但从实践的角度看，目前的渗透测试工作存在以下不足：

渗透测试过程需要使用多种安全性分析工具，由于各类工具的机理、功能及使用方法不尽相同，需要测试人员具有较高的专业素质，对各类工具有一定的了解，对测试人员的能力提出了要求较高。这一状况无法满足高效的、自动化的渗透测试需求。

缺乏有效的自动化渗透测试平台，测试所需的各类工具间的数据格式不一，无法进行自主交互，需要测试人员手工进行数据整合以驱动渗透测试过程，人工参与程度较高，无法满足自动化的渗透测试要求。

发明内容

针对现有技术中存在的上述问题，本发明提出一种信息系统安全性自动化渗透测试方法，建立渗透测试平台，对信息系统安全性进行自动化测试，深入分析目标系统安全性。

为达到上述目的，本发明采用的技术方案是：通过建立渗透测试平台，自动扫描发现信息系统主机状态和拓扑结构，扫描发现信息系统安全漏洞，分析漏洞信息自动调用漏洞验证库中验证脚本对目标系统进行攻击，获取并提升目标控制权限，在渗透攻击结束后清除访问痕迹。最后对整个渗透测试过程和结果进行记录和分析，生成测试报告。

一种信息系统安全性自动化渗透测试方法，其特征在于包括以下步骤：

步骤1：扫描目标信息系统，获取主机信息。

步骤2：扫描目标信息系统漏洞，获取系统漏洞信息。

步骤3：分析步骤1和步骤2获取的主机和漏洞信息，结合攻击策略建立攻击模型，根据攻击模型对目标系统尝试攻击，获取攻击反馈结果。

步骤4：对渗透测试全过程进行综合分析，生成报告梳理测试步骤及中间结果，并对系统安全性进行分析，提供相关解决方案。

与现有技术相比，本发明具有以下优点：

（1）综合考虑渗透测试流程，充分利用现有安全性分析工具，设计自动化渗透测试模块封装各类工具，实现了工具的自动调用和执行，提高了渗透测试过程的完整性。

（2）实现对不同模块间数据的交换利用，自动化分析整理安全性分析工具的结果输出，为之后模块的数据调用做准备，减少了测试人员手动调用执行工具、人工分析结果数据的时间花费和劳动力消耗，提高了渗透测试的效率和自动化程度。

附图说明

图1为进行自动化渗透测试的系统配置示意图；

图2为本发明实施例涉及的测试系统软件组成框图；

图3为本发明所涉及的信息系统安全性自动化渗透测试方法流程图；

图4为渗透攻击的工作流程图。

具体实施方式

下面结合附图对本发明做进一步说明。