[发明专利]渗透测试的方法及装置

说明书

本发明实施例提供了一种渗透测试的方法及装置，涉及代码审计领域，方法包括：获取待测试的链接数据流；通过预设的漏洞库，对所述数据流进行漏洞扫描；所述漏洞库中存储有，用于验证数据流存在漏洞的多条漏洞验证代码POC，且所述POC为通过对历史数据流进行机器学习后获得；输出第一漏洞扫描结果。本发明实施例的方案，通过机器学习更新漏洞库中的POC，并利用不断更新的漏洞库对待测试的数据流进行漏洞扫描，以满足查找形式多样化的漏洞的需求。

技术领域

本发明实施例涉及代码审计领域，特别涉及一种渗透测试的方法及装置。

背景技术

代码审计顾名思义就是检查源代码中的缺点和错误信息，分析并找到这些问题引发的安全漏洞，并提供代码修订措施和建议，从而在系统开发阶段/运维阶段进行深入的问题查找和消灭过程。渗透测试是代码审计中，对代码进行漏洞查找，以及修复的关键环节。

现有的渗透测试过程，主要是以人工方式，对待测试的源代码数据流(以下简称“数据流”)进行观察，并依据程序员自身的专业水平和经验来查找数据流中可能存在的漏洞。当然，还存在以漏洞验证代码(Proof Of Concept，POC)进行自动化的漏洞查找方式。

发明人在实现本发明的过程中，发现现有技术存在如下缺陷：

采用人工方式进行漏洞查找，需耗费大量人力，且耗时，测试效率低；而采用现有的POC查找漏洞的方式，虽然可以节省人力，但只能查找相对单一的漏洞，并不能满足查找形式多样化的漏洞的需求。

发明内容

本发明实施例提供一种渗透测试的方法及装置，通过机器学习更新漏洞库中的POC，并利用不断更新的漏洞库对待测试的数据流进行漏洞扫描，以满足查找形式多样化的漏洞的需求。

为达到上述目的，本发明实施例提供了一种渗透测试的方法，包括：获取待测试的链接数据流；通过预设的漏洞库，对所述数据流进行漏洞扫描；所述漏洞库中存储有，用于验证数据流存在漏洞的多条漏洞验证代码POC，且所述POC为通过对历史数据流进行机器学习后获得；输出第一漏洞扫描结果。

本发明实施例提供了一种渗透测试的装置，包括：数据采集模块，用于获取待测试的链接数据流；第一漏洞扫描模块，用于通过预设的漏洞库，对所述数据流进行漏洞扫描；所述漏洞库中存储有，用于验证数据流存在漏洞的多条漏洞验证代码POC，且所述POC为通过对历史数据流进行机器学习后获得；漏洞输出模块，用于输出第一漏洞扫描结果。

本发明实施例的渗透测试的方法及装置，利用能够不断自动更新POC的漏洞库，且更新的POC为通过对历史数据流进行机器学习后获得，从而使在对待测试数据流进行漏洞扫描时，能够查找出更为多样化、复杂的漏洞。

上述说明仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

图1为本发明实施例提供的渗透测试的方法流程图一；

图2为本发明实施例提供的渗透测试的流程框架图；

图3为本发明实施例提供的渗透测试的方法流程图二；

图4为本发明实施例提供的渗透测试的装置结构示意图一；

图5为本发明实施例提供的渗透测试的装置结构示意图二；

图6为本发明实施例提供的数据学习模块的结构示意图；

图7为本发明实施例提供的数据采集模块的结构示意图。

具体实施方式