[发明专利]基于ai的网站渗透测试方法

说明书

本发明公开了一种基于ai的网站渗透测试方法。本发明一种基于ai的网站渗透测试方法，包括：从信息搜集阶段开始进行信息串联与学习，对已有信息进行串联拼接攻击测试路径，进行测试尝试，尝试过程中遇到新信息量，将继续进行搜集并前后串联之后进行攻击路径重组。本发明的有益效果：不同于传统漏洞检测主要局限于WEB和主机两大方向，VACKBOT涵盖了云端、客户端、移动端及IOT设备。

技术领域

本发明涉及网站渗透测试领域，具体涉及一种基于ai的网站渗透测试方法。

背景技术

目前当下的网站渗透测试框架知名的为msf(metasploit-framework)。

它是一个集合了各平台上流行的溢出漏洞和shellcode利用的自动化测试框架，他集合了扫描模块，漏洞利用模块，后渗透权限控制框架，后渗透攻击模块调用功能，各模块之间可以实现横向调用与利用，甚至是开源的ruby开发语言也可以进行二次开发自己编写自己对应环境的脚本来加入框架进行利用。

其中1871个漏洞利用脚本，1068个扫描脚本，327个后渗透调用功能，546个回弹传输利用脚本，44种编码等。

但是这框架始终需要在你已知漏洞的情况下进行辅助利用。

传统技术存在以下技术问题：

那么渗透测试过程开始的初期根据基本的渗透测试流程他没有完整涵盖，比如信息搜集环节。此框架仅依赖于已有的信息使用人工进行分析之后再针对性地对漏洞进行利用，而不能自行在信息搜索环节提供任何帮助，所以对信息处理有很大的难度，对于简单的主机与资产的导入都有一定的困难。

发明内容

本发明要解决的技术问题是提供一种基于ai的网站渗透测试方法，本发明会自动将完整的渗透过程中的每一个环节的信息量进行搜集，串联，拼凑，形成可用的攻击链来对目标进行测试与利用。

为了解决上述技术问题，本发明提供了一种基于ai的网站渗透测试方法，包括：从信息搜集阶段开始进行信息串联与学习，对已有信息进行串联拼接攻击测试路径，进行测试尝试，尝试过程中遇到新信息量，将继续进行搜集并前后串联之后进行攻击路径重组；

在信息搜集过程中的每一个切入点都会录入到ai大脑的信息图谱中形成目标脆弱点画像。那么在信息搜集阶段ai会如此迭代地去“分析”攻击元素；接下来就是对信息搜集的结果进行利用，称之为攻击路径的规划。

ai大脑会将信息搜集中的信息拼凑关联来组成可能的攻击路径。

当成功利用一种攻击路径达成测试之后，ai会将结果录入信息图谱，作为最有效信息继续分析利用，用作横向目标之间的信息元素。

在其中一个实施例中，信息搜集中形成多种攻击切入点：弱口令、软件系统资产信息、硬件设备资产信息、敏感文件、敏感邮箱、敏感目录和敏感部门。

在其中一个实施例中，在每个环节使用历届blackhat黑帽子大会上世界排名靠前的开源工具，与当下流行的红队攻击工具来进行测试。

在其中一个实施例中，比如弱口令，当使用第一轮人工录入的字典进行爆破之后，在搜集信息过程中，对任何与目标相关的字符串都会进行合理化的重组加入字典并且迭代进下一轮的爆破中，也会横向加入到其他信息搜集的过程中去进行利用。

在其中一个实施例中，比如软件系统资产信息，框架根据ip地址进行第一轮的资产搜集之后会录入到ai大脑的信息图谱中形成唯一拓扑，为后续的横向渗透测试提供了相应的保障。

在其中一个实施例中，同样地在硬件资产信息搜集过程中我们的ai大脑会根据市面上的各种设备指纹库来比配扫描，对目标对硬件资产进行排查并录入信息图谱。