[发明专利]自动化渗透测试系统、方法及机器人

说明书

本发明公开了一种自动化渗透测试系统、方法及机器人，系统包括：语音识别模块，用于识别用户的语音输入，将语音转换成文本；自然语言理解模块，用于对转换生成的文本进行语义解析并提取文本中的关键要素，并生成任务执行配置文件；任务调度模块，用于将任务执行配置文件放入任务调度队列，并提取任务调度队列当前任务执行配置文件发送给渗透测试模块；渗透测试模块，用于执行当前任务执行配置文件并生成任务执行结果；反馈与记忆模块，用于存储任务执行结果，并生成反馈报表信息；自然语言生成模块，用于将反馈报表信息转换成文本信息；语音合成模块，用于根据所述文本信息生成语音并进行播放。本发明能实现高度自动化、简单易用的渗透测试。

技术领域

本发明涉及网络安全领域，尤其涉及一种自动化渗透测试系统、方法及机器人。

背景技术

在当前网络空间环境下，网络攻击日益猖獗，对国家稳定、企业安全以及个人信息安全造成严重威胁，各种网络攻击事件、信息泄漏、APT攻击等均呈现出种类剧增、攻击频繁的特点。安全评估在网络空间安全形势严峻的情况下，能一定程度上减小目标系统遭受网络攻击的可能性。安全评估通常包括工具评估、人工评估、顾问访谈、问卷调查、应用评估、管理评估、网络架构评估、渗透测试等。其中，渗透测试是提前发现并修复脆弱点的一种有效的防御手段。

渗透测试到目前为止没有一个标准的定义。实际上，渗透测试是指测试人员尽可能完整的模拟黑客，运用攻击技术手段对目标实施信息嗅探、漏洞扫描及攻击来主动分析、探测目标的安全性，并且从攻击者的角度有条件的主动利用目标的安全漏洞。渗透测试一般分为黑盒测试、白盒测试以及灰盒测试。黑盒测试是指测试者除了目标的已知公开信息(来自DNS、Web、Email以及各种公开对外服务器的信息)以外，不提供任何其他信息；一般黑盒测试模拟只从组织的外部进行渗透测试。白盒测试则是指测试者能够通过正常渠道向被测单位获取到各种资料，其中包括网络拓扑、员工资料、代码片段等，甚至在有需要的情况下可以同被测单位员工进行面对面沟通。白盒测试一般模拟包括从组织外部和从组织内部两种地点进行的渗透测试，例如模拟企业内部雇员进行越权操作。灰盒测试是介于黑盒测试和白盒测试之间较为隐秘进行的测试，一般在这种测试中被测单位只有少数人知晓测试的存在，因此灰盒测试常用于检验单位中的信息安全事件监控、响应、恢复工作。

渗透测试任务要求专业的渗透测试工程师对企业系统实施模拟黑客攻击，发现系统漏洞，并提出解决方案。然而直到目前，渗透测试工程师完成任务的主要方式是结合自身所掌握专业知识，利用各种独立运行、相互协作度低的测试工具来开展渗透测试工作；其中从信息收集开始到项目结束，渗透测试工程师需要重复大量不必要的工作，同时，渗透工程师个人的专业知识储备、实践技术及其所使用的工具会直接影响渗透测试结果和效率。因此渗透测试人员迫切需要一个简单易用、高度自动化的渗透测试系统；它能帮助测试人员进行大量的重复工作，使测试人员拥有更多时间专注于学习最新渗透测试理论和提升实践技术，甚至将最新漏洞及其利用代码或攻击手法集成到自动化系统中来更好的辅助渗透测试任务。

目前，各种渗透测试工具往往独立运行，难以高效协作。而且，每款工具一般只在某一或某几方面有较好表现，渗透测试人员需要根据专业知识和经验，结合测试任务需求主观筛选工具，以使渗透测试尽可能全面和高效。虽然目前存在的各类工具可以供测试人员筛选使用，但具体到不同的测试任务，所对应最高效的工具不同；而且普通测试人员所搜集的工具集往往是不全面的，对相关工具使用的熟练程度也不尽相同，所以不同测试任务的结果和效率也依赖于测试人员对工具集的储备和熟练程度。与此同时，目前国内网安人才缺口极大，面对国内日益严峻的网络空间安全形势，迫切需要建设一个简单易用、高度自动化的渗透测试系统来降低渗透测试门槛，帮助渗透测试人员在有限时间内解决更多安全问题。