[发明专利]基于ai的网站渗透测试方法

权利要求书

1.一种基于ai的网站渗透测试方法，其特征在于，包括：从信息搜集阶段开始进行信息串联与学习，对已有信息进行串联拼接攻击测试路径，进行测试尝试，尝试过程中遇到新信息量，将继续进行搜集并前后串联之后进行攻击路径重组；

在信息搜集过程中的每一个切入点都会录入到ai大脑的信息图谱中形成目标脆弱点画像，信息搜集中形成的攻击切入点包括弱口令、软件系统资产信息和硬件设备资产信息；

信息搜集中形成的攻击切入点为弱口令时，当使用第一轮人工录入的字典进行爆破之后，在搜集信息过程中，对任何与目标相关的字符串都会进行合理化的重组加入字典并且迭代进下一轮的爆破中，也会横向加入到其他信息搜集的过程中去进行利用；

信息搜集中形成的攻击切入点为软件系统资产信息时，框架根据ip地址进行第一轮的资产搜集之后会录入到ai大脑的信息图谱中形成唯一拓扑，为后续的横向渗透测试提供了相应的保障；

信息搜集中形成的攻击切入点为硬件设备资产信息时，在硬件资产信息搜集过程中ai大脑会根据市面上的各种设备指纹库来比配扫描，对目标对硬件资产进行排查并录入信息图谱；

那么在信息搜集阶段ai会如此迭代地去分析攻击元素；接下来就是对信息搜集的结果进行利用，称之为攻击路径的规划；

ai大脑会将信息搜集中的信息拼凑关联来组成可能的攻击路径，当成功利用一种攻击路径达成测试之后，ai会将结果录入信息图谱，作为最有效信息继续分析利用，用作横向目标之间的信息元素。

2.如权利要求1所述的基于ai的网站渗透测试方法，其特征在于，信息搜集中形成的攻击切入点还包括：敏感文件、敏感邮箱、敏感目录和敏感部门。

3.如权利要求1所述的基于ai的网站渗透测试方法，其特征在于，在每个环节使用历届blackhat黑帽子大会上世界排名靠前的开源工具，与当下流行的红队攻击工具来进行测试。

4.如权利要求2所述的基于ai的网站渗透测试方法，其特征在于，敏感文件环节的话，根据各种市面上已开源的各类应用系统所存在的信息泄漏漏洞与文件形成特征库，匹配扫描敏感文件的泄漏情况，并且将结果汇总加入ai大脑的信息图谱中。

5.一种计算机设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1到4任一项所述方法的步骤。

6.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现权利要求1到4任一项所述方法的步骤。

7.一种处理器，其特征在于，所述处理器用于运行程序，其中，所述程序运行时执行权利要求1到4任一项所述的方法。