专利测运控平台的自动化渗透测试系统及方法

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 (43)申请公布日 (21)申请号 202210996085.8 (22)申请日 2022.08.19 (71)申请人北京航天驭星科技有限公司地址 100094 北京市海淀区西北旺镇邓庄南路南侧、友谊路西侧的土井村盛景创业园T01地块1号楼6层A6 01房 (72)发明人王柳一　赵磊　董玮　朱太平　 (74)专利代理机构北京知果之信知识产权代理有限公司 1 1541 专利代理师苏利 (51)Int.Cl. H04L 9/40(2022.01) G06F 21/57(2013.01) (54)发明名称测运控平台的自动化渗透测试系统及方法 (57)摘要本公开提供一种测运控平台的自动化渗透测试系统及方法。所述系统包括：硬件支撑层、数据运行环境支撑层、任务支撑层和应用软件层；硬件支撑层用于提供硬件支撑；数据运行环境支撑层用于存储业务数据；任务支撑层用于根据输入的攻击目标的特征信息，以及所述业务数据，进行测试任务的调度；应用软件层用于根据测试任务的调度结果，对测运控平台进行测试，获得测试结果。根据本公开，可并行加载多种测试任务，且不断调整攻击策略，从而测试各种漏洞及防御机制且降低了人工成本，减少了重复操作，提升了测试的覆盖面，提升了测运控平台的安全性。权利要求书2页说明书10页附图4页 CN 115314318 A 2022.11.08 CN 115314318 A 1.一种测运控平台的自动化渗透测试系统，其特征在于，包括：硬件支撑层、数据运行环境支撑层、任务支撑层和应用软件层；其中，所述硬件支撑层用于提供硬件支撑；所述数据运行环境支撑层用于存储业务数据；所述任务支撑层用于根据输入的攻击目标的特征信息，以及所述业务数据，进行测试任务的调度，所述测试任务包括漏洞测试任务和攻击测试任务；所述应用软件层用于根据测试任务的调度结果，对测运控平台进行测试，获得测试结果。 2.根据权利要求1所述的系统，其特征在于，所述业务数据包括测运控平台数据、漏洞数据、测运控平台规则数据。 3.根据权利要求2所述的系统，其特征在于，所述任务支撑层进一步用于：根据测运控平台数据，确定攻击目标集合；接收与所述攻击目标集合对应的攻击目标的特征信息；对漏洞数据和所述特征信息进行匹配，确定目标漏洞；生成针对目标漏洞的漏洞测试任务。 4.根据权利要求3所述的系统，其特征在于，漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；所述应用软件层进一步用于：根据所述针对目标漏洞的漏洞测试任务，对所述目标漏洞进行补充反射型XSS注入，存储类XSS注入以及DOM型XSS注入，确定所述测运控平台是否存在XSS注入漏洞以及在存在 XSS注入漏洞的情况下，确定XS S注入漏洞的类型和位置。 5.根据权利要求2所述的系统，其特征在于，所述任务支撑层进一步用于：根据漏洞测试任务的测试结果，以及所述测运控平台规则数据，确定攻击策略；根据攻击策略，生成针对所述漏洞测试任务的测试结果的攻击测试任务。 6.根据权利要求5所述的系统，其特征在于，所述漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；所述应用软件层进一步用于：根据所述攻击测试任务，对所述漏洞的位置进行攻击，获得攻击测试任务的测试结果。 7.根据权利要求1所述的系统，其特征在于，所述任务支撑层通过Clouds消息中间件进行测试任务的调度，通过S CM服务监控与管理组件进行测试任务管理，通过D CCP并行处理组件进行漏洞匹配和生成攻击策略，通过 FACTORY进行测试流程安排。 8.根据权利要求1所述的系统，其特征在于，所述数据运行环境支撑层包括MySQL关系数据库、 CN NVD或CVE的漏洞数据库、 CFS文件库。 9.根据权利要求1所述的系统，其特征在于，所述应用软件层包括STK显示工具，用于显示所述测运控平台的测试结果；以及B/S应用软件工具，用于执行所述测试任务。 10.一种测运控平台的自动化渗透测试方法，其特征在于，包括：根据测运控平台数据，确定攻击目标集合；接收与所述攻击目标集合对应的攻击目标的特征信息；权　利　要　求　书 1/2 页 2 CN 115314318 A 2对漏洞数据和所述特征信息进行匹配，确定目标漏洞；生成针对目标漏洞的漏洞测试任务；确定针对目标漏洞的漏洞测试任务的测试结果，所述漏洞测试任务的测试结果包括是否存在漏洞及漏洞类型和位置；根据漏洞测试任务的测试结果，以及测运控平台规则数据，确定攻击策略；根据攻击策略，生成针对所述漏洞测试任务的测试结果的攻击测试任务；确定攻击测试任务的测试结果。权　利　要　求　书 2/2 页 3 CN 115314318 A 3

专利 测运控平台的自动化渗透测试系统及方法

专利测运控平台的自动化渗透测试系统及方法