CN112511497A - 模拟攻击场景记录方法、装置和电子设备 - Google Patents
模拟攻击场景记录方法、装置和电子设备 Download PDFInfo
- Publication number
- CN112511497A CN112511497A CN202011231431.0A CN202011231431A CN112511497A CN 112511497 A CN112511497 A CN 112511497A CN 202011231431 A CN202011231431 A CN 202011231431A CN 112511497 A CN112511497 A CN 112511497A
- Authority
- CN
- China
- Prior art keywords
- security
- security vulnerability
- tested
- recording
- attack
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 238000012360 testing method Methods 0.000 claims abstract description 48
- 230000008569 process Effects 0.000 claims abstract description 34
- 238000004088 simulation Methods 0.000 claims abstract description 29
- 230000008439 repair process Effects 0.000 claims description 11
- 238000012545 processing Methods 0.000 claims description 9
- 238000004590 computer program Methods 0.000 claims description 6
- 230000006870 function Effects 0.000 claims description 6
- 238000011076 safety test Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 abstract description 19
- 238000010586 diagram Methods 0.000 description 7
- 230000009286 beneficial effect Effects 0.000 description 5
- 238000001514 detection method Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000035515 penetration Effects 0.000 description 4
- 238000002360 preparation method Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 230000007812 deficiency Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000001737 promoting effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本说明书一个或多个实施例提供一种模拟攻击场景记录方法、装置和电子设备;所述方法包括:根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;获取经受所述模拟攻击的所述待测系统的安全测试结果;若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。本说明书提供的方法、装置和电子设备可清晰记录模拟攻击过程,从而提高开发人员修复安全漏洞的效率,减少与用户的沟通时间和沟通成本。
Description
技术领域
本说明书一个或多个实施例涉及计算机网络安全技术领域,尤其涉及一种模拟攻击场景记录方法、装置和电子设备。
背景技术
随着国家对网络安全的重视程度越来越高,对各个企业系统安全性都提出了相关安全要求,其中,一种检查安全漏洞的重要的手段就是模拟攻击者对系统实施攻击来发现系统的安全漏洞,称为人工渗透测试。
人工渗透测试通常是用户(一般为安全测试人员)发现问题,通过安全测试报告的形式移交给开发人员进行修改,开发人员通过理解安全测试报告来对相关安全漏洞进行修复,而目前的测试报告中展现的模拟攻击过程一般为静态图片,修复过程中需要多次与用户进行沟通如让用户复现问题的场景来理解安全漏洞的原理,需要消耗大量的时间和沟通成本。
基于此,亟需一种能够记录模拟攻击场景的方法,以便开发人员追溯模拟攻击的过程。
发明内容
有鉴于此,本说明书一个或多个实施例的目的在于提出一种模拟攻击场景记录方法、装置和电子设备,以克服现有技术中全部或部分不足。
基于上述目的,本说明书一个或多个实施例提供了一种模拟攻击场景记录方法,包括:
根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
获取经受所述模拟攻击的所述待测系统的安全测试结果;
若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
基于同一发明构思,本说明书一个或多个实施例还提供了一种模拟攻击场景记录装置,包括:
模拟攻击与记录模块,被配置为根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
获取模块,被配置为获取经受所述模拟攻击的所述待测系统的安全测试结果;
保存模块,被配置为若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
基于同一发明构思,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如上任意一项所述的方法。
从上面所述可以看出,本说明书一个或多个实施例提供的模拟攻击场景记录方法、装置和电子设备,通过记录模拟攻击的过程的视频,可清晰还原模拟攻击的过程,有利于开发人员对安全漏洞的理解,从而提高开发人员修复安全漏洞的效率,减少开发人员与用户沟通的时间和沟通的成本。
附图说明
为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本说明书一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本说明书一个或多个实施例的模拟攻击场景记录方法流程图;
图2为本说明书一个或多个实施例的模拟攻击场景记录方法的流程图;
图3为本说明书一个或多个实施例的模拟攻击场景记录装置结构示意图;
图4为本说明书一个或多个实施例的电子设备结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本说明书一个或多个实施例中使用的“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
如背景技术部分所述,现有的人工渗透测试报告无论对于用户还是开发人员,都需要消耗大量的时间和沟通成本,申请人在实现本公开的过程中发现,现有的安全漏洞检测方法的主要问题在于:由于开发团队人员可能存在知识储备参差不齐且对网络安全漏洞问题了解不全面等问题,导致通过安全测试报告无法了解攻击过程,给定位及解决安全漏洞问题带来了阻碍;企业内一般针对一个系统会出具一份人工渗透测试报告,但未对相关系统安全漏洞形成安全漏洞数据库,导致当前对企业进行资产评估时安全漏洞信息缺失;另外,安全漏洞数据库未进行标准化管理,导致同一个安全漏洞命名方式不唯一,不利于安全漏洞的管理。
有鉴于此,本说明书一个或多个实施例提供了一种模拟攻击场景记录方法,参考图1,包括以下步骤:
步骤S101、根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
步骤S102、获取经受所述模拟攻击的所述待测系统的安全测试结果;
步骤S103、若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
可见,本说明书一个或多个实施例提供的模拟攻击场景记录方法,通过记录模拟攻击的过程的视频,可清晰还原模拟攻击的过程,有利于开发人员对安全漏洞的理解,从而提高开发人员修复安全漏洞的效率,减少开发人员与用户沟通的时间和沟通的成本。
以下,通过具体的实施例来详细说明本说明书一个或多个实施例的技术方案。
参考图2,为本说明书一个实施例的模拟攻击场景记录方法的流程图,包括以下步骤:
步骤S201、用户将安全漏洞数据库导入模拟攻击记录系统。
本步骤中,所述用户导入的安全漏洞数据库可以是用户通过权威安全漏洞数据库中公开的信息获取的安全漏洞数据库,也可以是通过自定义录入的安全漏洞数据库,也可以是二者的结合。所述自定义录入,具体可以是在模拟攻击记录系统中按安全漏洞各项信息字段录入,也可以是按固定模板填写好安全漏洞各项信息的表格上传至模拟攻击记录系统中,由模拟攻击记录系统完成对安全漏洞各项信息的收纳。
所述安全漏洞数据库中的每一个安全漏洞记录应该包含该安全漏洞的基本信息,所述基本信息应该包括下列中至少一个:安全漏洞的名称与英文缩写、安全漏洞信息概述与详细描述、安全漏洞的修复建议、安全漏洞的案例及案例截图。
通过权威安全漏洞数据库中公开的信息获取的安全漏洞数据库,可以从实时更新最新的安全漏洞信息的安全漏洞数据库中,便捷地建立起具有全面性的安全漏洞列表,且无需消耗资源,价格低廉;而通过自定义录入的安全漏洞数据库表,可以增强安全漏洞列表的针对性,方便扩展,灵活性强。
步骤S202、所述用户登入所述模拟攻击记录系统,进行待测系统配置,所述模拟攻击记录系统进入准备检测状态。
本步骤中,用户首先登入模拟攻击记录系统,点击待测系统配置入口,将所需检测的待测系统配置在模拟攻击记录系统中,然后模拟攻击记录系统进入准备检测状态,并在前台显示界面弹出安全漏洞数据库中的安全漏洞列表供用户进行选择。
步骤S203、所述用户在所述模拟攻击记录系统中的安全漏洞数据库中选择任意一个所需检测的安全漏洞。
本步骤中,若用户想要检测的安全漏洞不在安全漏洞数据库中,用户可进行新增操作,将想要检测的安全漏洞的信息录入安全漏洞数据库中,不断完善安全漏洞数据库的建设,然后选择所述想要检测的新增的安全漏洞,进行后续检测。
步骤S204、所述模拟攻击记录系统根据所述用户选择的任意一种安全漏洞对所述用户配置的待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频,然后获取经受所述模拟攻击的所述待测系统的安全测试结果。
本步骤中,从用户登入模拟攻击记录系统后,模拟攻击记录系统就会自动默认开启记录功能,后续所有模拟攻击过程都将被记录成视频。所述模拟攻击过程视频记录可以通过多媒体处理工具FFmpeg Device API安装录屏功能的浏览器插件来实现模拟攻击过程视频记录,也可以通过用户在浏览器中加载录屏插件来实现模拟攻击过程视频记录。
若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
若所述安全测试结果指示所述待测系统不存在所选择的安全漏洞,则删除所记录的视频。
步骤S205、基于所述安全测试结果,生成所述待测系统的对于所选择的安全漏洞的测试报告。
本步骤中,所述测试报告包括下列中至少一个:所述待测系统的基本信息、关于所述待测系统是否存在所选择的安全漏洞的信息、所记录的视频。若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,那么待测系统的基本信息、此安全漏洞的基本信息(来源于安全漏洞数据库,包括下列中至少一个:安全漏洞的名称与英文缩写、安全漏洞信息概述与详细描述、安全漏洞的修复建议、安全漏洞的案例及案例截图)及其模拟攻击过程的记录视频都将被记录在测试报告中。其中,模拟攻击过程的记录视频,可作为附件放在检测报告对应风险修复建议处。
步骤S206、若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则模拟攻击记录系统将所生成的测试报告存入安全漏洞视图库中,并将所述待测系统安全漏洞标记为待修复。
本步骤中,所述安全漏洞视图库包括:各个历史被测系统的基本信息、各个历史被测系统存在的安全漏洞的基本信息及对应的模拟攻击过程的记录视频、各个历史被测系统存在的安全漏洞的修复情况等。
步骤S207、所述待测系统开发人员通过所述安全漏洞视图库获取所述待测系统及其待修复的安全漏洞的基本信息及对应的模拟攻击过程的记录视频。
本步骤中,待测系统开发人员可通过模拟攻击记录系统选择对应安全漏洞视图库查阅所述待测系统及其待修复的安全漏洞的基本信息及对应的模拟攻击过程的记录视频,帮助开发人员理解安全漏洞原理及攻击过程,加快找到切实可行的解决方案对待测系统的安全漏洞进行修复。
步骤S208、所述待测系统开发人员对所述待测系统进行安全漏洞修复,用户基于所述模拟攻击记录系统对所述修复系统进行验证,若发现修复系统不存在安全漏洞,则将所述待测系统安全漏洞标记为已修复,若发现修复系统仍然存在安全漏洞,将所述待测系统的安全漏洞再次记为待修复。
本步骤中,待测系统开发人员完成对待测系统的安全漏洞修复后,模拟攻击记录系统将待测系统的安全漏洞标记为待验证,此时,用户利用模拟攻击记录系统对修复后的待测系统进行模拟攻击,若发现修复后的待测系统已不存在安全漏洞,则将所述待测系统安全漏洞标记为已修复,若发现修复后的待测系统仍然存在安全漏洞,将所述待测系统的安全漏洞标再次记为待修复,直至待测系统的安全漏洞修复完成。
可见,本说明书实施例提供的模拟攻击场景记录方法,通过记录模拟攻击的过程的视频,可清晰还原模拟攻击的过程,并将模拟攻击过程的视频存入安全漏洞视图库中,便于开发人员理解安全漏洞原理及攻击过程,从而提高开发人员修复安全漏洞的效率,减少开发人员与用户沟通的时间和沟通的成本;通过建立安全漏洞数据库,可规范安全漏洞信息;通过建立安全漏洞视图库,针对安全漏洞情况进行可视化管理,有利于企业建立安全漏洞台账,方便安全漏洞修复情况的跟踪,且能够实现安全漏洞的闭环管理。
需要说明的是,本说明书一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本说明书一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本说明书一个或多个实施例还提供了一种模拟攻击场景记录装置。参考图3,所述的模拟攻击场景记录装置,包括:
模拟攻击与记录模块301,被配置为根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
获取模块302,被配置为获取经受所述模拟攻击的所述待测系统的安全测试结果;
保存模块303,被配置为若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
作为一个可选的实施例,所述装置还包括生成模块304,被配置为基于所述安全测试结果,生成所述待测系统的对于所选择的安全漏洞的测试报告。
作为一个可选的实施例,所述装置还包括视图模块305,被配置为若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所生成的测试报告存入安全漏洞视图库中。
作为一个可选的实施例,所述记录所述模拟攻击的过程的视频具体被配置为通过多媒体处理工具FFmpeg Device API安装录屏功能的浏览器插件或通过在浏览器中加载的录屏插件,记录所述模拟攻击的过程的视频。
作为一个可选的实施例,所述装置还包括删除模块306,被配置为若所述安全测试结果指示所述待测系统不存在所选择的安全漏洞,则删除所记录的视频。
作为一个可选的实施例,所述安全漏洞数据库中的每一个安全漏洞记录具体被配置为下列中至少一个:安全漏洞的名称、安全漏洞信息描述、安全漏洞的修复建议、安全漏洞的案例及案例截图。
作为一个可选的实施例,所述测试报告具体被配置为下列中至少一个:所述待测系统的基本信息、关于所述待测系统是否存在所选择的安全漏洞的信息、所记录的视频。
作为一个可选的实施例,所述安全漏洞视图库具体被配置为各个历史被测系统的基本信息、各个历史被测系统存在的安全漏洞的基本信息及对应的模拟攻击过程的记录视频、各个历史被测系统存在的安全漏洞的修复情况。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本说明书一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的方法,并且具有相应的模拟攻击场景记录方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本说明书一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上任意一实施例所述的模拟攻击场景记录方法。
图4示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图,该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本说明书实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本说明书实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本说明书实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的模拟攻击场景记录方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本说明书一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本说明书一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本说明书一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (10)
1.一种模拟攻击场景记录方法,其特征在于,包括:
根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
获取经受所述模拟攻击的所述待测系统的安全测试结果;
若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
基于所述安全测试结果,生成所述待测系统的对于所选择的安全漏洞的测试报告。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所生成的测试报告存入安全漏洞视图库中。
4.根据权利要求1至3中任一项所述的方法,其特征在于,所述记录所述模拟攻击的过程的视频包括:
通过多媒体处理工具FFmpeg Device API安装录屏功能的浏览器插件或通过在浏览器中加载的录屏插件,记录所述模拟攻击的过程的视频。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述安全测试结果指示所述待测系统不存在所选择的安全漏洞,则删除所记录的视频。
6.根据权利要求1至3中任一项所述的方法,其特征在于,所述安全漏洞数据库中的每一个安全漏洞记录包括下列中至少一个:
安全漏洞的名称、安全漏洞信息描述、安全漏洞的修复建议、安全漏洞的案例及案例截图。
7.根据权利要求2或3所述的方法,其特征在于,所述测试报告包括下列中至少一个:
所述待测系统的基本信息、关于所述待测系统是否存在所选择的安全漏洞的信息、所记录的视频。
8.根据权利要求3所述的方法,其特征在于,所述安全漏洞视图库包括:
各个历史被测系统的基本信息、各个历史被测系统存在的安全漏洞的基本信息及对应的模拟攻击过程的记录视频、各个历史被测系统存在的安全漏洞的修复情况。
9.一种模拟攻击场景记录装置,其特征在于,包括:
模拟攻击与记录模块,被配置为根据用户从预先导入的安全漏洞数据库中选择的任意一种安全漏洞,对待测系统进行模拟攻击,并记录所述模拟攻击的过程的视频;
获取模块,被配置为获取经受所述模拟攻击的所述待测系统的安全测试结果;
保存模块,被配置为若所述安全测试结果指示所述待测系统存在所选择的安全漏洞,则将所记录的视频与该安全漏洞相关联地保存。
10.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器执行所述计算机程序时实现如权利要求1至8中任意一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011231431.0A CN112511497A (zh) | 2020-11-06 | 2020-11-06 | 模拟攻击场景记录方法、装置和电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011231431.0A CN112511497A (zh) | 2020-11-06 | 2020-11-06 | 模拟攻击场景记录方法、装置和电子设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN112511497A true CN112511497A (zh) | 2021-03-16 |
Family
ID=74955410
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011231431.0A Pending CN112511497A (zh) | 2020-11-06 | 2020-11-06 | 模拟攻击场景记录方法、装置和电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112511497A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500060A (zh) * | 2022-01-29 | 2022-05-13 | 中国银联股份有限公司 | 一种攻击监控系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110078798A1 (en) * | 2009-09-30 | 2011-03-31 | Computer Associates Think, Inc. | Remote procedure call (rpc) services fuzz attacking tool |
| CN103092757A (zh) * | 2013-01-25 | 2013-05-08 | 浪潮电子信息产业股份有限公司 | 一种Bug自动生成系统的构建方法 |
| CN103532793A (zh) * | 2013-10-28 | 2014-01-22 | 中国航天科工集团第二研究院七〇六所 | 一种信息系统安全性自动化渗透测试方法 |
| CN105183654A (zh) * | 2015-09-18 | 2015-12-23 | 厦门美图移动科技有限公司 | 一种脱离PC的Android自动化测试录屏机制及录屏系统 |
| US9727738B1 (en) * | 2016-06-08 | 2017-08-08 | Synack, Inc. | Patch validation via replay and remediation verification |
| CN107426227A (zh) * | 2017-08-02 | 2017-12-01 | 江苏省邮电规划设计院有限责任公司 | 一种自动化安全渗透测试方法 |
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN109597737A (zh) * | 2018-12-03 | 2019-04-09 | 郑州云海信息技术有限公司 | 一种自动化测试的监控方法及装置 |
| CN110880983A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 基于场景的渗透测试方法及装置、存储介质、电子装置 |
-
2020
- 2020-11-06 CN CN202011231431.0A patent/CN112511497A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110078798A1 (en) * | 2009-09-30 | 2011-03-31 | Computer Associates Think, Inc. | Remote procedure call (rpc) services fuzz attacking tool |
| CN103092757A (zh) * | 2013-01-25 | 2013-05-08 | 浪潮电子信息产业股份有限公司 | 一种Bug自动生成系统的构建方法 |
| CN103532793A (zh) * | 2013-10-28 | 2014-01-22 | 中国航天科工集团第二研究院七〇六所 | 一种信息系统安全性自动化渗透测试方法 |
| CN105183654A (zh) * | 2015-09-18 | 2015-12-23 | 厦门美图移动科技有限公司 | 一种脱离PC的Android自动化测试录屏机制及录屏系统 |
| US9727738B1 (en) * | 2016-06-08 | 2017-08-08 | Synack, Inc. | Patch validation via replay and remediation verification |
| CN107426227A (zh) * | 2017-08-02 | 2017-12-01 | 江苏省邮电规划设计院有限责任公司 | 一种自动化安全渗透测试方法 |
| CN108040070A (zh) * | 2017-12-29 | 2018-05-15 | 北京奇虎科技有限公司 | 一种网络安全测试平台及方法 |
| CN109597737A (zh) * | 2018-12-03 | 2019-04-09 | 郑州云海信息技术有限公司 | 一种自动化测试的监控方法及装置 |
| CN110880983A (zh) * | 2019-08-14 | 2020-03-13 | 奇安信科技集团股份有限公司 | 基于场景的渗透测试方法及装置、存储介质、电子装置 |
Non-Patent Citations (1)
| Title |
|---|
| 郝北平: "内部控制学", 上海:立信会计出版社 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500060A (zh) * | 2022-01-29 | 2022-05-13 | 中国银联股份有限公司 | 一种攻击监控系统 |
| CN114500060B (zh) * | 2022-01-29 | 2023-07-07 | 中国银联股份有限公司 | 一种攻击监控系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106383786B (zh) | 一种接口压力性能测试方法、装置及电子设备 | |
| CN105338110A (zh) | 远程调试方法和平台、服务器 | |
| US9465718B2 (en) | Filter generation for load testing managed environments | |
| CN107896244B (zh) | 一种版本文件的分发方法、客户端及服务器 | |
| US9952834B2 (en) | Distribution of applications with a saved state | |
| CN102708050A (zh) | 移动应用测试方法和系统 | |
| CN111046386B (zh) | 动态检测程序第三方库并进行安全评估的方法及系统 | |
| CN108459850B (zh) | 生成测试脚本的方法、装置及系统 | |
| CN104331662A (zh) | Android恶意应用检测方法及装置 | |
| TW201514686A (zh) | 自動化測試及結果比對方法及系統 | |
| CN102999419B (zh) | 一种Android测试事件记录回放方法及装置 | |
| CN112783761A (zh) | 一种应用程序的冷启动时长测试方法、装置及系统 | |
| CN105512562B (zh) | 一种漏洞挖掘方法、装置及电子设备 | |
| CN114329448A (zh) | 一种系统安全检测方法、装置、电子设备及存储介质 | |
| CN112511497A (zh) | 模拟攻击场景记录方法、装置和电子设备 | |
| CN110674023B (zh) | 一种接口测试方法和装置 | |
| CN106557419B (zh) | 程序的测试方法及装置 | |
| Tao et al. | Cloud platform based automated security testing system for mobile internet | |
| Griebe et al. | Towards automated UI-tests for sensor-based mobile applications | |
| CN113626825A (zh) | 一种安全漏洞管控方法、装置、设备及计算机可读介质 | |
| CN112561690A (zh) | 信用卡分期业务接口的测试方法、系统、设备及存储介质 | |
| US10169216B2 (en) | Simulating sensors | |
| CN115052037B (zh) | 客户端检测方法、装置、存储介质和设备 | |
| CN110941830B (zh) | 一种漏洞数据处理方法和装置 | |
| CN112199270B (zh) | 一种程序测试方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210316 |
|
| RJ01 | Rejection of invention patent application after publication |