CN115913774A - 内网渗透测试控制方法及装置和saas服务器 - Google Patents

内网渗透测试控制方法及装置和saas服务器 Download PDF

Info

Publication number
CN115913774A
CN115913774A CN202211647878.5A CN202211647878A CN115913774A CN 115913774 A CN115913774 A CN 115913774A CN 202211647878 A CN202211647878 A CN 202211647878A CN 115913774 A CN115913774 A CN 115913774A
Authority
CN
China
Prior art keywords
penetration test
test
target
penetration
intranet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211647878.5A
Other languages
English (en)
Inventor
赵殿乐
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Knownsec Information Technology Co Ltd
Original Assignee
Beijing Knownsec Information Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Knownsec Information Technology Co Ltd filed Critical Beijing Knownsec Information Technology Co Ltd
Priority to CN202211647878.5A priority Critical patent/CN115913774A/zh
Publication of CN115913774A publication Critical patent/CN115913774A/zh
Priority to PCT/CN2023/112745 priority patent/WO2024131092A1/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/08Configuration management of networks or network elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种内网渗透测试控制方法及装置和SAAS服务器,涉及网络安全技术领域。本申请通SAAS服务器获取来自内网主机的内网渗透测试请求,并根据内网渗透测试请求包括该内网主机所在的目标内部局域网的待测试网段,为该内网主机分配针对待测试网段的目标渗透测试设备,而后通过调用目标渗透测试设备建立目标渗透测试设备与内网主机之间的渗透测试隧道,并控制目标渗透测试设备经渗透测试隧道对目标内部局域网的待测试网段进行扫描渗透测试,从而在外网环境下建立渗透测试设备与内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备针对内部局域网实现大批量IP地址的自动化测试效果。

Description

内网渗透测试控制方法及装置和SAAS服务器
技术领域
本申请涉及网络安全技术领域,具体而言,涉及一种内网渗透测试控制方法及装置和SAAS服务器。
背景技术
随着互联网技术的不断发展,网络安全问题已成为各大企业即为关注的重要问题,各大企业往往需要构建符合自身需求的内部局域网,以避免出现泄密风险。但值得注意的是,内部局域网本身也是需要定期进行渗透测试,以确定对应内部局域网是否存在网络安全问题。
目前,现有内网渗透测试方案往往需要由安全渗透技术人员前往企业内部局域网环境内进行人工渗透测试,存在人工成本高、渗透测试效率低下问题,或者由企业自行选择内部局域网内的某个IP地址作为外网可访问IP地址,使安全渗透技术人员远程地针对该IP地址进行人工渗透测试,存在测试流程繁琐、人工成本高、渗透测试效率低下问题。
发明内容
有鉴于此,本申请的目的在于提供一种内网渗透测试控制方法及装置、SAAS服务器和可读存储介质,能够在外网环境下建立渗透测试设备与内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
为了实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请提供一种内网渗透测试控制方法,应用于与内网主机通信连接的SAAS服务器,所述SAAS服务器与多个渗透测试设备通信连接,所述控制方法包括:
获取所述内网主机发送的内网渗透测试请求,其中所述内网渗透测试请求包括所述内网主机所在的目标内部局域网的待测试网段;
响应所述内网渗透测试请求,为所述内网主机分配针对所述待测试网段的目标渗透测试设备;
调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道;
控制所述目标渗透测试设备经所述渗透测试隧道对所述目标内部局域网的待测试网段进行扫描渗透测试。
在可选的实施方式中,所述为所述内网主机分配针对所述待测试网段的目标渗透测试设备的步骤,包括:
根据所述待测试网段的IP地址数目以及单个渗透测试设备在单位时间内的IP地址测试数目,计算测试所述待测试网段所需的测试设备数目;
从多个空闲的渗透测试设备随机选取所述测试设备数目个渗透测试设备作为所述目标渗透测试设备。
在可选的实施方式中,所述根据所述待测试网段的IP地址数目以及单个渗透测试设备在单位时间内的IP地址测试数目,计算测试所述待测试网段所需的测试设备数目的步骤,包括:
计算所述待测试网段的IP地址数目与所述IP地址测试数目的商值;
对计算出的商值进行向上取整运算,得到所述测试设备数目。
在可选的实施方式中,在所述目标渗透测试设备的测试设备数目为一个的情况下,所述调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道的步骤,包括:
根据所述待测试网段针对所述目标渗透测试设备和所述内网主机生成匹配的测试隧道配置文件;
按照所述测试隧道配置文件配置所述目标渗透测试设备;
向所述内网主机发送加载有所述测试隧道配置文件的隧道创建程序,使所述内网主机运行所述隧道创建程序时直接与所述目标渗透测试设备建立所述渗透测试隧道。
在可选的实施方式中,在所述目标渗透测试设备的测试设备数目为多个的情况下,每个目标渗透测试设备的渗透测试隧道包括所述内网主机与中转网关设备之间的第一测试隧道,以及该目标渗透测试设备与所述中转网关设备之间的第二测试隧道;所述调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道的步骤,包括:
向所述内网主机发送针对所述中转网关设备的隧道创建程序,使所述内网主机运行所述隧道创建程序时直接与所述中转网关设备建立第一测试隧道;
根据所述目标渗透测试设备的测试设备数目将所述待测试网段划分为多个目标测试网段,其中每个目标渗透测试设备对应一个目标测试网段;
针对每个目标渗透测试设备,根据该目标渗透测试设备所对应的目标测试网段,针对该目标渗透测试设备和所述中转网关设备生成匹配的测试隧道配置文件;
按照所述测试隧道配置文件配置该目标渗透测试设备,使该目标渗透测试设备与所述中转网关设备建立第二测试隧道。
在可选的实施方式中,所述控制方法还包括:
获取所述目标渗透测试设备针对所述待测试网段的渗透测试报告;
对获取到的所述渗透测试报告进行报告内容分析,得到所述待测试网段的网络安全诊断结果。
第二方面,本申请提供一种内网渗透测试控制装置,应用于与内网主机通信连接的SAAS服务器,所述SAAS服务器与多个渗透测试设备通信连接,所述控制装置包括:
渗透请求获取模块,用于获取所述内网主机发送的内网渗透测试请求,其中所述内网渗透测试请求包括所述内网主机所在的目标内部局域网的待测试网段;
测试设备分配模块,用于响应所述内网渗透测试请求,为所述内网主机分配针对所述待测试网段的目标渗透测试设备;
测试隧道建立模块,用于调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道;
渗透测试控制模块,用于控制所述目标渗透测试设备经所述渗透测试隧道对所述目标内部局域网的待测试网段进行扫描渗透测试。
在可选的实施方式中,所述控制装置还包括:
测试报告获取模块,用于获取所述目标渗透测试设备针对所述待测试网段的渗透测试报告;
测试报告分析模块,用于对获取到的所述渗透测试报告进行报告内容分析,得到所述待测试网段的网络安全诊断结果。
第三方面,本申请提供一种SAAS服务器,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序,所述处理器可执行所述计算机程序,以实现前述实施方式中任意一项所述的内网渗透测试控制方法。
第四方面,本申请提供一种可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现前述实施方式中任意一项所述的内网渗透测试控制方法。
在此情况下,本申请实施例的有益效果可以包括以下内容:
本申请通过部署在外网环境中的SAAS服务器获取来自内网主机的内网渗透测试请求,并根据内网渗透测试请求包括该内网主机所在的目标内部局域网的待测试网段,为该内网主机分配针对待测试网段的部署在外网环境中的目标渗透测试设备,而后通过调用目标渗透测试设备建立目标渗透测试设备与内网主机之间的渗透测试隧道,并控制目标渗透测试设备经渗透测试隧道对目标内部局域网的待测试网段进行扫描渗透测试,从而在外网环境下建立渗透测试设备与内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
为使本申请的上述目的、特征和优点能更明显易懂,下文特举较佳实施例,并配合所附附图,作详细说明如下。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的内网主机、SAAS服务器及多个渗透测试设备之间的部署示意图;
图2为本申请实施例提供的SAAS服务器的组成示意图;
图3为本申请实施例提供的内网渗透测试控制方法的流程示意图之一;
图4为图3中的步骤S220包括的子步骤的流程示意图;
图5为图3中的步骤S230包括的子步骤的流程示意图之一;
图6为图3中的步骤S230包括的子步骤的流程示意图之二;
图7为本申请实施例提供的内网渗透测试控制方法的流程示意图之二;
图8为本申请实施例提供的内网渗透测试控制装置的组成示意图之一;
图9为本申请实施例提供的内网渗透测试控制装置的组成示意图之二。
图标:10-SAAS服务器;20-内网主机;30-渗透测试设备;11-存储器;12-处理器;13-通信单元;100-内网渗透测试控制装置;110-渗透请求获取模块;120-测试设备分配模块;130-测试隧道建立模块;140-渗透测试控制模块;150-测试报告获取模块;160-测试报告分析模块。
具体实施方式
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
在本申请的描述中,需要理解的是,术语“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本申请中的具体含义。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互结合。
请参照图1,图1是本申请实施例提供的内网主机20、SAAS服务器10及多个渗透测试设备30之间的部署示意图。在本申请实施例中,所述SAAS(Software-as-a-service,软件及服务)服务器10部署在外网环境中,多个所述渗透测试设备30也部署在外网环境中;每个所述渗透测试设备30用于实现对某个或某几个企业的内部局域网进行网络安全测试;所述内网主机20部署在某个企业的内部局域网内,用于配合外网环境中的一个或多个所述渗透测试设备30对所属的内部局域网进行内网渗透测试作业,其中所述内网主机20可以是,但不限于,笔记本电脑、个人计算机、平板电脑等。其中,所述内网主机20可通过web访问的方式与所述SAAS服务器10通信连接,以指示所述SAAS服务器10针对所述内网主机20所在的内部局域网的至少部分网段进行内网渗透测试;所述SAAS服务器10与多个所述渗透测试设备30分别通信连接,以调用至少一个空闲的渗透测试设备30建立与所述内网主机20所在的内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备30针对前述至少部分网段所包括的大批量IP地址实现自动化测试效果,从而在确保内部局域网的私密性效果的同时,有效降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率,其中所述SAAS服务器10即可针对所述内网主机20所在的内部局域网提供内网渗透测试服务。
请参照图2,图2是本申请实施例提供的SAAS服务器10的组成示意图。在本申请实施例中,所述SAAS服务器10可以包括存储器11、处理器12、通信单元13及内网渗透测试控制装置100。其中,所述存储器11、所述处理器12及所述通信单元13各个元件相互之间直接或间接地电性连接,以实现数据的传输或交互。例如,所述存储器11、所述处理器12及所述通信单元13这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。
在本实施例中,所述存储器11可以是,但不限于,随机存取存储器(Random AccessMemory,RAM),只读存储器(Read Only Memory,ROM),可编程只读存储器(ProgrammableRead-Only Memory,PROM),可擦除只读存储器(Erasable Programmable Read-OnlyMemory,EPROM),电可擦除只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)等。其中,所述存储器11用于存储计算机程序,所述处理器12在接收到执行指令后,可相应地执行所述计算机程序。
在本实施例中,所述处理器12可以是一种具有信号的处理能力的集成电路芯片。所述处理器12可以是通用处理器,包括中央处理器(Central Processing Unit,CPU)、图形处理器(Graphics Processing Unit,GPU)及网络处理器(Network Processor,NP)、数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件中的至少一种。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。
在本实施例中,所述通信单元13用于通过网络建立所述SAAS服务器10与其他电子设备之间的通信连接,并通过所述网络收发数据,其中所述网络包括有线通信网络及无线通信网络。例如,所述SAAS服务器10可以通过所述通信单元13与多个所述渗透测试设备30分别通信连接。
在本实施例中,所述内网渗透测试控制装置100包括至少一个能够以软件或固件的形式存储于所述存储器11中或者固化在所述SAAS服务器10的操作系统中的软件功能模块,例如所述内网渗透测试控制装置100所包括的软件功能模块及计算机程序等。所述SAAS服务器10可通过所述内网渗透测试控制装置100在外网环境下建立渗透测试设备30与需要安全测试的内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备30针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
可以理解的是,图2所示的框图仅为所述SAAS服务器10的一种组成示意图,所述SAAS服务器10还可包括比图2中所示更多或者更少的组件,或者具有与图2所示不同的配置。图2中所示的各组件可以采用硬件、软件或其组合实现。
在本申请中,为确保所述SAAS服务器10能够在外网环境下建立渗透测试设备30与需要安全测试的内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备30针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率,本申请实施例通过提供一种应用于上述SAAS服务器10的内网渗透测试控制方法实现前述目的。下面对本申请提供的内网渗透测试控制方法进行详细描述。
请参照图3,图3是本申请实施例提供的内网渗透测试控制方法的流程示意图之一。在本申请实施例中,所述内网渗透测试控制方法可以包括步骤S210~步骤S240。
步骤S210,获取内网主机发送的内网渗透测试请求,其中内网渗透测试请求包括内网主机所在的目标内部局域网的待测试网段。
在本实施例中,内网管理人员通过所述内网主机20获取所述SAAS服务器10对外提供的用于访问所述SAAS服务器10的目标网站,并通过登陆所述目标网站的方式建立所述内网主机20与所述SAAS服务器10之间的通信连接,而后通过在所述目标网站中选择安全渗透测试服务,并相应地录入所述内网主机20所在的目标内部局域网的待测试网段,以指示所述内网主机20向所述SAAS服务器10发送对应的内网渗透测试请求。
步骤S220,响应内网渗透测试请求,为内网主机分配针对待测试网段的目标渗透测试设备。
在本实施例中,所述SAAS服务器10在接收到所述内网渗透测试请求后,可直接针对发送所述内网渗透测试请求的内网主机20分配一个空闲的渗透测试设备30作为测试所述待测试网段的目标渗透测试设备,以通过该目标渗透测试设备实现内网渗透测试功能;也可针对发送所述内网渗透测试请求的内网主机20分配多个空闲的渗透测试设备30作为测试所述待测试网段的目标渗透测试设备,以通过多个目标渗透测试设备相互协同地实现内网渗透测试功能,提升对目标内部局域网的渗透测试效率。其中,所述目标渗透测试设备的设备IP地址与所述待测试网段并不重叠。
可以理解的是,所述SAAS服务器10在为所述内网主机20分配针对待测试网段的目标渗透测试设备时,可以综合考虑所述待测试网段所覆盖的IP地址数目,以及单个渗透测试设备30的IP地址测试速率(即对应渗透测试设备30在单位时间内的IP地址测试数目,其中所述单位时间可以是1小时,也可以是0.5小时,还可以是1天),确定出最快速测试完所述待测试网段所需的目标渗透测试设备的具体设备数目,以实现内网渗透测试耗时最小化效果。
请参照图4,图4是图3中的步骤S220包括的子步骤的流程示意图。在本申请实施例中,所述步骤S220可以包括子步骤S221~子步骤S222,以确保选取出的目标渗透测试设备能够针对所述目标内部局域网的待测试网段实现内网渗透测试耗时最小化效果。
子步骤S221,根据待测试网段的IP地址数目以及单个渗透测试设备在单位时间内的IP地址测试数目,计算测试待测试网段所需的测试设备数目。
在本实施例中,所述根据待测试网段的IP地址数目以及单个渗透测试设备30在单位时间内的IP地址测试数目,计算测试待测试网段所需的测试设备数目的步骤可以包括:
计算所述待测试网段的IP地址数目与所述IP地址测试数目的商值;
对计算出的商值进行向上取整运算,得到测试设备数目。
其中,所述SAAS服务器10可通过将所述待测试网段的IP地址数目作为被除数,并将单个渗透测试设备30在单位时间内的IP地址测试数目作为除数,计算前述待测试网段的IP地址数目与所述IP地址测试数目之间的商值,而后对计算出的商值进行向上取整运算,得到对应的测试设备数目,以确保测试设备数目个渗透测试设备30在同时对所述待测试网段进行渗透测试的情况下,能够有效涵盖所述待测试网段的所有待测试IP地址,并能在单位时间内相互协作地直接完成对整个待测试网段的渗透测试作业。
其中,若所述待测试网段的IP地址数目小于单个渗透测试设备30在单位时间内的IP地址测试数目,则对应计算出的测试设备数目即为1,以确保所述SAAS服务器10选择的目标渗透测试设备能够全部覆盖所述待测试网段的所有待测试IP地址。
子步骤S222,从多个空闲的渗透测试设备随机选取测试设备数目个渗透测试设备作为目标渗透测试设备。
由此,本申请可通过执行上述子步骤S221~子步骤S222,确保选取出的目标渗透测试设备能够针对所述目标内部局域网的待测试网段实现内网渗透测试耗时最小化效果。
步骤S230,调用目标渗透测试设备建立目标渗透测试设备与内网主机之间的渗透测试隧道。
在本实施例中,当所述SAAS服务器10针对待测试网段分配了一个或多个目标渗透测试设备后,可针对每个目标渗透测试设备,调用该目标渗透测试设备建立自身和所述待测试网段所对应的内网主机20之间的渗透测试隧道,以便该目标渗透测试设备通过建立的渗透测试隧道对所述目标内部局域网的所述待测试网段进行渗透测试。其中,建立出的渗透测试隧道的隧道数目与所述目标渗透测试设备的测试设备数目保持一致。
可选地,请参照图5,图5是图3中的步骤S230包括的子步骤的流程示意图之一。在本申请实施例中,在所述目标渗透测试设备的测试设备数目为一个的情况下,所述步骤S230可以包括子步骤S231~子步骤S233,以快速建立该目标渗透测试设备与对应内网主机20之间的渗透测试隧道。
子步骤S231,根据待测试网段针对目标渗透测试设备和内网主机生成匹配的测试隧道配置文件。
其中,所述测试隧道配置文件可以包括对应测试隧道的隧道序号(例如,隧道1)、隧道类型(例如,VPN(Virtual Private Network,虚拟专用网络)隧道)、隧道两端物理设备地址(包括所述目标渗透测试设备的设备IP地址和所述内网主机的设备IP地址)。
子步骤S232,按照测试隧道配置文件配置目标渗透测试设备。
子步骤S233,向内网主机发送加载有测试隧道配置文件的隧道创建程序,使内网主机运行隧道创建程序时直接与目标渗透测试设备建立渗透测试隧道。
在本实施例中,当所述SAAS服务器10针对所述待测试网段生成匹配的隧道创建程序后,可通过在所述目标网站处提供一个针对所述隧道创建程序的隧道软件下载界面,以供内网管理人员通过所述内网主机20从所述隧道软件下载界面处下载所述隧道创建程序,并通过在所述内网主机20处安装所述隧道创建程序,使所述内网主机20得以基于所述隧道创建程序包括的测试隧道配置文件直接与所述目标渗透测试设备建立对应的渗透测试隧道。
由此,本申请可通过执行上述子步骤S231~子步骤S233,在目标渗透测试设备仅为一个的情况下,快速建立该目标渗透测试设备与对应内网主机20之间的渗透测试隧道。
可选地,请参照图6,图6是图3中的步骤S230包括的子步骤的流程示意图之二。在本申请实施例中,在所述目标渗透测试设备的测试设备数目为多个的情况下,每个目标渗透测试设备的渗透测试隧道包括所述内网主机20与中转网关设备之间的第一测试隧道,以及该目标渗透测试设备与所述中转网关设备之间的第二测试隧道,其中所述中转网关设备用于充当所述内网主机20与各个目标渗透测试设备的信号中转站,多个渗透测试隧道共用同一个第一测试隧道。此时,所述步骤S230可以包括子步骤S235~子步骤S238,以有效创建多个目标渗透测试设备各自与对应内网主机20之间的渗透测试隧道,使多个目标渗透测试设备各自通过匹配的渗透测试隧道在单位时间内相互协作地直接完成对整个待测试网段的渗透测试作业。
子步骤S235,向内网主机发送针对中转网关设备的隧道创建程序,使内网主机运行隧道创建程序时直接与中转网关设备建立第一测试隧道。
在本实施例中,针对所述中转网关设备的隧道创建程序可携带有所述中转网关设备的设备IP地址及对应的隧道类型。所述SAAS服务器10可通过在所述目标网站处提供一个针对前述隧道创建程序的隧道软件下载界面,以供内网管理人员通过所述内网主机20从所述隧道软件下载界面处下载所述隧道创建程序,并通过在所述内网主机20处安装所述隧道创建程序,使所述内网主机20得以基于所述隧道创建程序直接与所述中转网关设备建立对应的第一测试隧道。
子步骤S236,根据目标渗透测试设备的测试设备数目将待测试网段划分为多个目标测试网段,其中每个目标渗透测试设备对应一个目标测试网段。
其中,所述SAAS服务器10可按照所述目标渗透测试设备的测试设备数目将所述待测试网段均分为多个IP地址连续的目标测试网段。
子步骤S237,针对每个目标渗透测试设备,根据该目标渗透测试设备所对应的目标测试网段,针对该目标渗透测试设备和中转网关设备生成匹配的测试隧道配置文件。
在本实施例中,对多个目标渗透测试设备中的每个目标渗透测试设备而言,该目标渗透测试设备所对应的测试隧道配置文件可以包括与该目标渗透测试设备对应的第二测试隧道的隧道序号、隧道类型、隧道两端物理设备地址(包括该目标渗透测试设备的设备IP地址和所述中转网关设备的设备IP地址)。
子步骤S238,按照测试隧道配置文件配置该目标渗透测试设备,使该目标渗透测试设备与中转网关设备建立第二测试隧道。
由此,本申请可通过执行上述子步骤S235~子步骤S238,在针对待测试网段的目标渗透测试设备的测试设备数目为多个的情况下,有效创建多个目标渗透测试设备各自与对应内网主机20之间的渗透测试隧道,使多个目标渗透测试设备各自通过匹配的渗透测试隧道在单位时间内相互协作地直接完成对整个待测试网段的渗透测试作业。
步骤S240,控制目标渗透测试设备经渗透测试隧道对目标内部局域网的待测试网段进行扫描渗透测试。
在本实施例中,所述SAAS服务器10在建立起每个目标渗透测试设备与所述目标内部局域网内的内网主机20之间的渗透测试隧道后,可通过驱动该目标渗透测试设备通过对应的渗透测试隧道访问所述内网主机20,并针对该目标渗透测试设备在所述目标内部局域网内负责测试的具体网段进行扫描渗透测试,从而基于建立的安全测试隧道调用渗透测试设备30针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
由此,本申请可通过执行上述步骤S210~步骤S240,在外网环境下建立渗透测试设备30与需要安全测试的内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备30针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
可选地,请参照图7,图7是本申请实施例提供的内网渗透测试控制方法的流程示意图之二。在本申请实施例中,与图3所示的内网渗透测试控制方法相比,图7所示的内网渗透测试控制方法还可以包括步骤S250~步骤S260,以针对所述目标内部局域网的待检测网段实现网络安全自动化诊断效果。
步骤S250,获取目标渗透测试设备针对待测试网段的渗透测试报告。
在本实施例中,每个目标渗透测试设备在完成自身负责的内网渗透测试作业后,可相应地关闭该目标渗透测试设备与所述内网主机20之间的渗透测试隧道,而后将自身针对所述目标内部局域网测试得到的渗透测试报告反馈给所述SAAS服务器10。
步骤S260,对获取到的渗透测试报告进行报告内容分析,得到待测试网段的网络安全诊断结果。
在本实施例中,当所述SAAS服务器10接收到与所述待测试网段对应的所有目标渗透测试设备各自反馈的渗透测试报告时,所述SAAS服务器10可基于预先录入的网络安全诊断规则对接收到的所有渗透测试报告进行报告内容分析,以确定所述待测试网段包括的各个IP地址是否存在网络安全问题,得到所述待测试网段的网络安全诊断结果。
由此,本申请可通过执行上述步骤S250~步骤S260,针对所述目标内部局域网的待检测网段实现网络安全自动化诊断效果。
在本申请中,为确保所述SAAS服务器10能够通过所述内网渗透测试控制装置100执行上述内网渗透测试控制方法,本申请通过对所述内网渗透测试控制装置100进行功能模块划分的方式实现前述功能。下面对本申请提供的内网渗透测试控制装置100的具体组成进行相应描述。
请参照图8,图8是本申请实施例提供的内网渗透测试控制装置100的组成示意图之一。在本申请实施例中,所述内网渗透测试控制装置100可以包括渗透请求获取模块110、测试设备分配模块120、测试隧道建立模块130及渗透测试控制模块140。
渗透请求获取模块110,用于获取内网主机发送的内网渗透测试请求,其中内网渗透测试请求包括内网主机所在的目标内部局域网的待测试网段。
测试设备分配模块120,用于响应内网渗透测试请求,为内网主机分配针对待测试网段的目标渗透测试设备。
测试隧道建立模块130,用于调用目标渗透测试设备建立目标渗透测试设备与内网主机之间的渗透测试隧道。
渗透测试控制模块140,用于控制目标渗透测试设备经渗透测试隧道对目标内部局域网的待测试网段进行扫描渗透测试。
可选地,请参照图9,图9是本申请实施例提供的内网渗透测试控制装置100的组成示意图之二。在本申请实施例中,所述内网渗透测试控制装置100还可以包括测试报告获取模块150及测试报告分析模块160。
测试报告获取模块150,用于获取目标渗透测试设备针对待测试网段的渗透测试报告。
测试报告分析模块160,用于对获取到的渗透测试报告进行报告内容分析,得到待测试网段的网络安全诊断结果。
需要说明的是,本申请实施例所提供的内网渗透测试控制装置100,其基本原理及产生的技术效果与前述的内网渗透测试控制方法相同。为简要描述,本实施例部分未提及之处,可参考上述的针对内网渗透测试控制方法的描述内容。
在本申请所提供的实施例中,应该理解到,所揭露的装置和方法,也可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的实施例的装置、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个可读存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的可读存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
综上所述,在本申请提供的内网渗透测试控制方法及装置、SAAS服务器和可读存储介质中,本申请通过部署在外网环境中的SAAS服务器获取来自内网主机的内网渗透测试请求,并根据内网渗透测试请求包括该内网主机所在的目标内部局域网的待测试网段,为该内网主机分配针对待测试网段的部署在外网环境中的目标渗透测试设备,而后通过调用目标渗透测试设备建立目标渗透测试设备与内网主机之间的渗透测试隧道,并控制目标渗透测试设备经渗透测试隧道对目标内部局域网的待测试网段进行扫描渗透测试,从而在外网环境下建立渗透测试设备与内部局域网之间的安全测试隧道,并基于建立的安全测试隧道调用渗透测试设备针对内部局域网实现大批量IP地址的自动化测试效果,以降低内网渗透测试过程中的人工参与度及人工成本,并提升渗透测试效率。
以上所述,仅为本申请的各种实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应当以权利要求的保护范围为准。

Claims (10)

1.一种内网渗透测试控制方法,其特征在于,应用于与内网主机通信连接的SAAS服务器,所述SAAS服务器与多个渗透测试设备通信连接,所述控制方法包括:
获取所述内网主机发送的内网渗透测试请求,其中所述内网渗透测试请求包括所述内网主机所在的目标内部局域网的待测试网段;
响应所述内网渗透测试请求,为所述内网主机分配针对所述待测试网段的目标渗透测试设备;
调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道;
控制所述目标渗透测试设备经所述渗透测试隧道对所述目标内部局域网的待测试网段进行扫描渗透测试。
2.根据权利要求1所述的控制方法,其特征在于,所述为所述内网主机分配针对所述待测试网段的目标渗透测试设备的步骤,包括:
根据所述待测试网段的IP地址数目以及单个渗透测试设备在单位时间内的IP地址测试数目,计算测试所述待测试网段所需的测试设备数目;
从多个空闲的渗透测试设备随机选取所述测试设备数目个渗透测试设备作为所述目标渗透测试设备。
3.根据权利要求2所述的控制方法,其特征在于,所述根据所述待测试网段的IP地址数目以及单个渗透测试设备在单位时间内的IP地址测试数目,计算测试所述待测试网段所需的测试设备数目的步骤,包括:
计算所述待测试网段的IP地址数目与所述IP地址测试数目的商值;
对计算出的商值进行向上取整运算,得到所述测试设备数目。
4.根据权利要求1-3中任意一项所述的控制方法,其特征在于,在所述目标渗透测试设备的测试设备数目为一个的情况下,所述调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道的步骤,包括:
根据所述待测试网段针对所述目标渗透测试设备和所述内网主机生成匹配的测试隧道配置文件;
按照所述测试隧道配置文件配置所述目标渗透测试设备;
向所述内网主机发送加载有所述测试隧道配置文件的隧道创建程序,使所述内网主机运行所述隧道创建程序时直接与所述目标渗透测试设备建立所述渗透测试隧道。
5.根据权利要求1-3中任意一项所述的控制方法,其特征在于,在所述目标渗透测试设备的测试设备数目为多个的情况下,每个目标渗透测试设备的渗透测试隧道包括所述内网主机与中转网关设备之间的第一测试隧道,以及该目标渗透测试设备与所述中转网关设备之间的第二测试隧道;所述调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道的步骤,包括:
向所述内网主机发送针对所述中转网关设备的隧道创建程序,使所述内网主机运行所述隧道创建程序时直接与所述中转网关设备建立第一测试隧道;
根据所述目标渗透测试设备的测试设备数目将所述待测试网段划分为多个目标测试网段,其中每个目标渗透测试设备对应一个目标测试网段;
针对每个目标渗透测试设备,根据该目标渗透测试设备所对应的目标测试网段,针对该目标渗透测试设备和所述中转网关设备生成匹配的测试隧道配置文件;
按照所述测试隧道配置文件配置该目标渗透测试设备,使该目标渗透测试设备与所述中转网关设备建立第二测试隧道。
6.根据权利要求1所述的控制方法,其特征在于,所述控制方法还包括:
获取所述目标渗透测试设备针对所述待测试网段的渗透测试报告;
对获取到的所述渗透测试报告进行报告内容分析,得到所述待测试网段的网络安全诊断结果。
7.一种内网渗透测试控制装置,其特征在于,应用于与内网主机通信连接的SAAS服务器,所述SAAS服务器与多个渗透测试设备通信连接,所述控制装置包括:
渗透请求获取模块,用于获取所述内网主机发送的内网渗透测试请求,其中所述内网渗透测试请求包括所述内网主机所在的目标内部局域网的待测试网段;
测试设备分配模块,用于响应所述内网渗透测试请求,为所述内网主机分配针对所述待测试网段的目标渗透测试设备;
测试隧道建立模块,用于调用所述目标渗透测试设备建立所述目标渗透测试设备与所述内网主机之间的渗透测试隧道;
渗透测试控制模块,用于控制所述目标渗透测试设备经所述渗透测试隧道对所述目标内部局域网的待测试网段进行扫描渗透测试。
8.根据权利要求7所述的控制装置,其特征在于,所述控制装置还包括:
测试报告获取模块,用于获取所述目标渗透测试设备针对所述待测试网段的渗透测试报告;
测试报告分析模块,用于对获取到的所述渗透测试报告进行报告内容分析,得到所述待测试网段的网络安全诊断结果。
9.一种SAAS服务器,其特征在于,包括处理器和存储器,所述存储器存储有能够被所述处理器执行的计算机程序,所述处理器可执行所述计算机程序,以实现权利要求1-6中任意一项所述的内网渗透测试控制方法。
10.一种可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现权利要求1-6中任意一项所述的内网渗透测试控制方法。
CN202211647878.5A 2022-12-21 2022-12-21 内网渗透测试控制方法及装置和saas服务器 Pending CN115913774A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202211647878.5A CN115913774A (zh) 2022-12-21 2022-12-21 内网渗透测试控制方法及装置和saas服务器
PCT/CN2023/112745 WO2024131092A1 (zh) 2022-12-21 2023-08-11 内网渗透测试控制方法及装置和saas服务器

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211647878.5A CN115913774A (zh) 2022-12-21 2022-12-21 内网渗透测试控制方法及装置和saas服务器

Publications (1)

Publication Number Publication Date
CN115913774A true CN115913774A (zh) 2023-04-04

Family

ID=86480765

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211647878.5A Pending CN115913774A (zh) 2022-12-21 2022-12-21 内网渗透测试控制方法及装置和saas服务器

Country Status (2)

Country Link
CN (1) CN115913774A (zh)
WO (1) WO2024131092A1 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116112290A (zh) * 2023-04-10 2023-05-12 北京长亭未来科技有限公司 一种应用于Web集中管理系统的流量中转方法及装置
WO2024131092A1 (zh) * 2022-12-21 2024-06-27 北京知道创宇信息技术股份有限公司 内网渗透测试控制方法及装置和saas服务器

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110677381B (zh) * 2019-08-14 2023-05-09 奇安信科技集团股份有限公司 渗透测试的方法及装置、存储介质、电子装置
US20240070292A1 (en) * 2020-12-30 2024-02-29 Drivesec S.R.L. Computing Platform for the Secure Execution of Penetration Tests and for the Secure Validation of Cybersecurity of Computer Resources of Embedded Systems
CN113810427B (zh) * 2021-09-30 2022-11-15 北京天融信网络安全技术有限公司 一种渗透测试方法、终端设备及存储介质
CN114666104A (zh) * 2022-03-09 2022-06-24 国能信息技术有限公司 一种渗透测试方法、系统、计算机设备以及存储介质
CN115913774A (zh) * 2022-12-21 2023-04-04 北京知道创宇信息技术股份有限公司 内网渗透测试控制方法及装置和saas服务器

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2024131092A1 (zh) * 2022-12-21 2024-06-27 北京知道创宇信息技术股份有限公司 内网渗透测试控制方法及装置和saas服务器
CN116112290A (zh) * 2023-04-10 2023-05-12 北京长亭未来科技有限公司 一种应用于Web集中管理系统的流量中转方法及装置

Also Published As

Publication number Publication date
WO2024131092A1 (zh) 2024-06-27

Similar Documents

Publication Publication Date Title
CN115913774A (zh) 内网渗透测试控制方法及装置和saas服务器
US10671368B2 (en) Automatic creation of delivery pipelines
US20180314514A1 (en) Techniques to isolating a portion of an online computing service
JP6419787B2 (ja) マルウェアコンテンツ検出システム内の仮想マシンへの最適化されたリソース割当て
US9280376B2 (en) System and method for resizing a virtual desktop infrastructure using virtual desktop infrastructure monitoring tools
CN111176818B (zh) 分布式预测的方法、装置、系统、电子设备及存储介质
US20170364612A1 (en) Simulation of internet of things environment
CN110750436A (zh) 分层测试方法、装置、计算机可读介质及电子设备
US9130943B1 (en) Managing communications between client applications and application resources of on-premises and cloud computing nodes
CN111126604B (zh) 模型训练方法、装置、服务器及存储介质
US20150242631A1 (en) Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
CN117056240B (zh) 一种支持离线Jar包的数据元件开发调试方法和系统
US20210014331A1 (en) Information processing apparatus and information processing system
CN108052449B (zh) 操作系统运行状态检测方法和装置
US10176067B1 (en) On-demand diagnostics in a virtual environment
US9210043B2 (en) Recommending a policy for an IT asset
CN113448730A (zh) 服务的处理方法、装置、计算机设备及存储介质
WO2020253468A1 (zh) 云端设备、应用程序处理方法、电子设备及存储介质
CN109039765B (zh) 网络配置方法及装置
CN111611124A (zh) 监控设备分析方法、装置、计算机装置及存储介质
CN107528875B (zh) 文件的下载方法和装置
CN109871226B (zh) 下载器的配置方法、装置、介质及电子设备
CN113535571A (zh) 基于沙盒的微服务测试方法、装置、设备和存储介质
US9111041B1 (en) Methods, systems and computer program products for user interaction in test automation
CN108462743B (zh) 用于传输模拟数据的系统、方法及数据服务器

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination