CN117473507A - 安全性测试方法、装置、计算机设备及可读存储介质 - Google Patents
安全性测试方法、装置、计算机设备及可读存储介质 Download PDFInfo
- Publication number
- CN117473507A CN117473507A CN202311439267.6A CN202311439267A CN117473507A CN 117473507 A CN117473507 A CN 117473507A CN 202311439267 A CN202311439267 A CN 202311439267A CN 117473507 A CN117473507 A CN 117473507A
- Authority
- CN
- China
- Prior art keywords
- vulnerability
- security
- tested
- content
- threat
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 106
- 238000001514 detection method Methods 0.000 claims abstract description 63
- 238000000034 method Methods 0.000 claims abstract description 20
- 230000006870 function Effects 0.000 claims description 29
- 238000004590 computer program Methods 0.000 claims description 15
- 238000010998 test method Methods 0.000 claims description 8
- 230000001939 inductive effect Effects 0.000 claims description 7
- 230000007613 environmental effect Effects 0.000 claims description 3
- 238000011076 safety test Methods 0.000 description 8
- 238000004088 simulation Methods 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000004458 analytical method Methods 0.000 description 4
- 238000002347 injection Methods 0.000 description 4
- 239000007924 injection Substances 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 230000008439 repair process Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 238000000586 desensitisation Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000009781 safety test method Methods 0.000 description 2
- 230000002159 abnormal effect Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000011159 matrix material Substances 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000000243 solution Substances 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000004575 stone Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001502 supplementing effect Effects 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 238000012038 vulnerability analysis Methods 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Debugging And Monitoring (AREA)
Abstract
本申请涉及计算机技术领域,公开了一种安全性测试方法、系统、装置、计算机设备及存储介质,所述安全性测试方法包括基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。通过上述方式,本申请通过根据不同待测设备的目标安全需求,确定对应的待测试内容。针对待测试内容,本实施例提供了通过预设漏洞检测模型检测以及模拟漏洞攻击的方式及其组合,降低了检测威胁漏洞时兼容性低的影响,进而提高了安全性测试的可靠性。
Description
技术领域
本申请涉及计算机技术领域,尤其涉及一种安全性测试方法、装置、计算机设备及可读存储介质。
背景技术
当前项目中绝大部分的安全性测试只能利用已知的安全漏洞对于系统进行程序化的漏洞分析,缺少一定的规范性以及灵活性。安全流程上的缺失导致开发不同阶段安全质量不可控,且项目需补充变更的成本巨大。
做好产品的自身安全是立足于行业的基石更是企业发展的保障。因此安全应该是程序架构的一部分,更像是一个约束的集合,需要像顾虑应用的响应时间以及外部系统的兼容性来考虑具体的安全问题。传统的测试方法需要人工不断切换测试工具、调试与配置,容易出错。因此,如何提高安全性测试的可靠性成为亟待解决的技术问题。
发明内容
本申请提供了一种安全性测试方法、装置、计算机设备及存储介质,以提高安全性测试的可靠性。
第一方面,本申请提供了一种安全性测试方法,所述方法包括:
基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
进一步地,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,包括:
基于所述待测试内容,生成对应的模拟攻击指令;
基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。
进一步地,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,包括:
遍历所述待测设备的目标业务功能;
通过所述预设漏洞检测模型,将所述目标业务功能与预设威胁漏洞库中各预设业务功能进行匹配;
将所述预设威胁漏洞库中与所述目标业务功能相匹配的威胁漏洞作为所述目标威胁漏洞。
进一步地,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,还包括:
通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;
基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;
通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。
进一步地,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之后,包括:
在所述待测试内容中存在所述目标威胁漏洞的情况下,发出告警信号。
进一步地,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之前,包括:
获取历史安全需求与历史测试设备,基于所述历史安全需求与所述历史测试设备,确定所述历史测试内容;
基于所述历史安全需求与所述历史测试内容,对初始漏洞检测模型进行调参,生成所述预设漏洞检测模型。
进一步地,预设安全性要求包括:安全度量标准要求、安全功能要求、特定保密要求、特定环境要求
第二方面,本申请还提供了一种安全性测试装置,所述装置包括:
待测试内容确定模块,用于基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
测试模块,用于通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
第三方面,本申请还提供了一种计算机设备,所述计算机设备包括存储器和处理器;所述存储器用于存储计算机程序;所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如上述的安全性测试方法。
第四方面,本申请还提供了一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如上述的安全性测试方法。
本申请公开了一种安全性测试方法、系统、装置、计算机设备及存储介质,所述安全性测试方法包括基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。通过上述方式,本申请通过根据不同待测设备的目标安全需求,确定对应的待测试内容。然后通过预设漏洞检测模型和模拟漏洞攻击的方式对待测试内容进行目标威胁漏洞检测,降低了检测威胁漏洞时兼容性低的影响,进而提高了安全性测试的可靠性。
附图说明
为了更清楚地说明本申请实施例技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本申请的第一实施例提供的一种安全性测试方法的示意流程图;
图2是本申请的第二实施例提供的一种安全性测试方法的示意流程图;
图3是本申请的第三实施例提供的一种安全性测试方法的示意流程图;
图4为本申请的实施例提供的一种安全性测试装置的示意性框图;
图5为本申请的实施例提供的一种计算机设备的结构示意性框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
附图中所示的流程图仅是示例说明,不是必须包括所有的内容和操作/步骤,也不是必须按所描述的顺序执行。例如,有的操作/步骤还可以分解、组合或部分合并,因此实际执行的顺序有可能根据实际情况改变。
应当理解,在此本申请说明书中所使用的术语仅仅是出于描述特定实施例的目的而并不意在限制本申请。如在本申请说明书和所附权利要求书中所使用的那样,除非上下文清楚地指明其它情况,否则单数形式的“一”、“一个”及“该”意在包括复数形式。
还应当理解,在本申请说明书和所附权利要求书中使用的术语“和/或”是指相关联列出的项中的一个或多个的任何组合以及所有可能组合,并且包括这些组合。
本申请的实施例提供了一种安全性测试方法、装置、计算机设备及可读存储介质。其中,该安全性测试方法可以应用于服务器中,通过根据不同待测设备的目标安全需求,确定对应的待测试内容。针对待测试内容,本实施例提供了通过预设漏洞检测模型检测以及模拟漏洞攻击的方式及其组合,降低了检测威胁漏洞时兼容性低的影响,进而提高了安全性测试的可靠性。其中,该服务器可以为独立的服务器,也可以为服务器集群。
下面结合附图,对本申请的一些实施方式作详细说明。在不冲突的情况下,下述的实施例及实施例中的特征可以相互组合。
请参阅图1,图1是本申请的第一实施例提供的一种安全性测试方法的示意流程图。该安全性测试方法可应用于服务器中,通过根据不同待测设备的目标安全需求,确定对应的待测试内容。针对待测试内容,本实施例提供了通过预设漏洞检测模型检测以及模拟漏洞攻击的方式及其组合,降低了检测威胁漏洞时兼容性低的影响,进而提高了安全性测试的可靠性。
如图1所示,该安全性测试方法具体包括步骤S10至步骤S20。
步骤S10、基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
在一个实施例中,具体实施例中,安全需求可以包括以下方面:
1.设备固件安全
通过第三方组件扫描CVE(Common Vulnerabilities&Exposures,通用漏洞披露)漏洞,输出二进制漏洞报告。CVE漏洞的攻击代码有概率是公开的,外部人员可用攻击代码对产品进行攻击。
2.协议与接口安全
利用远端扫描工具Nmap对目标设备进行端口扫描以及信息收集,检测开启端口是否超出了业务需要范围,输出端口矩阵,关闭非必要的端口。
3.系统安全
使用DevEco testing工具进行系统漏洞扫描,结合静态和动态扫描引擎,验证设备是否存在未合入的安全漏洞补丁,并提供相关操作系统安全检测能力,包括安全配置。
使用DevEco testing工具进行系统安全测试注入攻击检测,通过扫描被测设备中的网络端口,系统服务,内核驱动,模拟攻击者构造畸形数据注入攻击,检测系统是否异常。注入攻击包括对服务接口,内核接口,网络接口三种接口进行详细的检测。服务接口测试对服务暴露的接口进行测试,动态检测系统服务SA的安全问题,识别潜在的安全风险。内核测试对IO驱动接口进行测试,动态检测系统内核接口的安全问题。网络接口注入测试为对系统网络的TCP(Transmission Control Protocol,传输控制协议)、UDP(User DatagramProtocol,用户数据报协议)、Unix(一种操作系统)监听端口进行测试,能够动态检测系统网络接口的安全问题。
4.数据安全
使用DevEco testing工具快速扫描日志、源码、配置等文件存在的敏感信息,确认密码硬编码,邮箱硬编码都应存储于数据库中,配置文件应加密存储。对于上传至云端的敏感信息因进行数据脱敏处理;数据传输通道使用https(Hypertext Transfer Protocol,超文本传输协议)加密传输(数据提交至服务端不接收http明文数据)。
对系统传输过程中的敏感内容是明文&密文进行检查,可以对传输敏感信息场景进行抓包,分析其数据包中的相关敏感字段是否为明文并检查敏感数据在操作界面展示上是否进行了脱敏处理。
5.日志安全
日志记录系统用户执行过的操作,在安全事件发生后才能够对事件进行回溯,找到漏洞的根本原因,确定责任。日志的存储可以本地存储或者存储到统一的日志存储服务器。日志文件权限需要被限制为可读,避免日志文件被篡改。系统需要记录系统操作,后续可以进行安全审计。
6.射频安全
关注射频安全。随着蓝牙、BLE(Bluetooth Low Energe,低功耗蓝牙)和物联网设备的兴起,标准的网络安全协议已经被颠覆,这些设备通过射频频谱上的无线电波进行通信,这些连接通常是未加密的,并且在不安全的无线电信道上运行。
步骤S20、通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
在一个实施例中,对于待测试设备,可以通过下列步骤确定待测试内容以及进行安全性测试,例如鉴别信任边界,确定受保护资产的信任边界;确定数据流,自顶向下,通过分析子系统之间的数据流来分解系统;确定入口点,比如一个供访问的Web(全球广域网)页面;确定特权代码。特权代码是指那些访问重要资源且执行一些特权操作的代码。比如访问数据库的代码;文档化安全概要,确定设计和执行如何进行输入检查、验证、授权和配置管理的方法和步骤,说明系统容易受到攻击的薄弱点。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击这两种方式确定了目标威胁漏洞后,对其进行修复,并在修复后再次进行检测,以确定之前修复的结果是否符合预期。
在一个实施例中,本实施例的实施步骤可以为:
步骤一:根据安全度量标准、安全功能、特定保密要求、特定环境要求对安全需求进行相关分析;
步骤二:根据威胁分析定义测试层内容,全局安全策略以及特定缓解措施进行威胁模型分析;
步骤三:根据数据接口污染传递以及数据接口的语义分析测试相关内容;
步骤四:验证安全功能、全局安全策略、特定缓解措施,代码实现安全性。
在一个实施例中,对于步骤S20,对待测试内容中的威胁漏洞进行检测是一个循环的过程,在检测到威胁漏洞的情况下,对该威胁漏洞进行修复,并且对于修复后的待测试内容再次进行威胁漏洞检测,直至待测试内容中不再存在威胁漏洞。
本实施例公开了一种安全性测试方法、系统、装置、计算机设备及存储介质,所述安全性测试方法包括基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。通过上述方式,本申请通过根据不同待测设备的目标安全需求,确定对应的待测试内容。然后通过预设漏洞检测模型和模拟漏洞攻击的方式对待测试内容进行目标威胁漏洞检测,降低了检测威胁漏洞时兼容性低的影响,进而提高了安全性测试的可靠性。
请参阅图2,图2是本申请的第二实施例提供的一种安全性测试方法的示意流程图。该安全性测试方法可应用于服务器中,本实施例分别通过预设漏洞检测模型和模拟攻击两种方式,确定待测试内容中暴露出来的威胁漏洞。通过更多的方式检测威胁漏洞,避免了待测试内容中存在威胁漏洞却未被检测出,提高了安全性测试的可靠性。
基于图1所示实施例,本实施例如图2所示,步骤S20包括步骤S201至步骤S202。
步骤S201、基于所述待测试内容,生成对应的模拟攻击指令;
步骤S202、基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。
基于图1所示实施例,本实施例中,步骤S20包括:
遍历所述待测设备的目标业务功能;
通过所述预设漏洞检测模型,将所述目标业务功能与预设威胁漏洞库中各预设业务功能进行匹配;
将所述预设威胁漏洞库中与所述目标业务功能相匹配的威胁漏洞作为所述目标威胁漏洞。
在一个实施例中,对业务功能进行遍历,分析出物联网领域的各类攻击面,相应的攻击面排查,以发现安全隐患为目标进行安全方面的测试设计,可以从固件安全,代码安全,数据安全,软件安全,计算机安全制定相应的安全测试策略;涉及的安全实体包括硬件、软件、数据、系统及网络。
本实施例公开了一种安全性测试方法、系统、装置、计算机设备及存储介质,所述安全性测试方法包括基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;基于所述待测试内容,生成对应的模拟攻击指令;基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。通过上述方式,本实施例分别通过预设漏洞检测模型和模拟攻击两种方式,确定待测试内容中暴露出来的威胁漏洞。通过更多的方式检测威胁漏洞,避免了待测试内容中存在威胁漏洞却未被检测出,提高了安全性测试的可靠性。
请参阅图3,图3是本申请的第三实施例提供的一种安全性测试方法的示意流程图。该安全性测试方法可应用于服务器中,本申请先通过预设漏洞检测模型,确定待测试内容的威胁漏洞列表,并对威胁漏洞列表中各威胁漏洞进行修复。在修复后,再对修复后的待测试内容进行模拟攻击,检测是否修复成功。通过缩小测试范围,有针对性的进行安全性测试,提高安全性测试的可靠性的同时也提高了安全性测试的效率。
基于图1所示实施例,本实施例如图3所示,步骤S20包括步骤S203至步骤S205。
步骤S203、通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;
步骤S204、基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;
步骤S205、通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。
在一个实施例中,安全测试需要考虑导致问题的数据是攻击者处心积虑构成的,需要对业务功能,系统机制,外部环境以及应用与数据的自身安全风险与安全属性具备一定的熟知度。
在一个实施例中,对于已知的威胁漏洞对应的安全策略是预先确定的,可以理解的是,在大量的数据做基础的情况下,威胁漏洞与安全策略是存在映射关系的。在确定了威胁漏洞的类型的情况下,则按照预先设定的安全策略对威胁漏洞进行修复即可。
但由于威胁漏洞并非完全相同,因此可能存在修复不完全的情况,因此在修复结束后,对待测试内容进行再次检测,以检测修复的结果。
本实施例公开了一种安全性测试方法、系统、装置、计算机设备及存储介质,所述安全性测试方法包括基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。通过上述方式,本申请先通过预设漏洞检测模型,确定待测试内容的威胁漏洞列表,并对威胁漏洞列表中各威胁漏洞进行修复。在修复后,再对修复后的待测试内容进行模拟攻击,检测是否修复成功。通过缩小测试范围,有针对性的进行安全性测试,提高安全性测试的可靠性的同时也提高了安全性测试的效率。
基于上述实施例,本实施例中,步骤S20之后,还包括:
在所述待测试内容中存在所述目标威胁漏洞的情况下,发出告警信号。
基于图1所示实施例,本实施例中,步骤S20之前,包括:
获取历史安全需求与历史测试设备,基于所述历史安全需求与所述历史测试设备,确定所述历史测试内容;
基于所述历史安全需求与所述历史测试内容,对初始漏洞检测模型进行调参,生成所述预设漏洞检测模型。
基于上述任一实施例,本实施例中,预设安全性要求包括:安全度量标准要求、安全功能要求、特定保密要求、特定环境要求。
请参阅图4,图4是本申请的实施例提供一种安全性测试装置的示意性框图,该安全性测试装置用于执行前述的安全性测试方法。其中,该安全性测试装置可以配置于服务器。
如图4所示,该安全性测试装置400,包括:
待测试内容确定模块410,用于基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
测试模块420,用于通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
进一步地,所述测试模块420,包括:
模拟攻击指令生成单元,用于基于所述待测试内容,生成对应的模拟攻击指令;
模拟攻击单元,用于基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。
进一步地,所述测试模块420,包括:
目标业务功能遍历单元,用于遍历所述待测设备的目标业务功能;
业务功能匹配单元,用于通过所述预设漏洞检测模型,将所述目标业务功能与预设威胁漏洞库中各预设业务功能进行匹配;
目标威胁漏洞确定单元,用于将所述预设威胁漏洞库中与所述目标业务功能相匹配的威胁漏洞作为所述目标威胁漏洞。
进一步地,所述测试模块420,还包括:
威胁漏洞列表确定单元,用于通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;
修复单元,用于基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;
诱发单元,用于通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。
进一步地,所述安全性测试装置400,还包括:
告警模块,用于在所述待测试内容中存在所述目标威胁漏洞的情况下,发出告警信号。
进一步地,所述安全性测试装置400,还包括:
历史测试内容确定模块,用于获取历史安全需求与历史测试设备,基于所述历史安全需求与所述历史测试设备,确定所述历史测试内容;
预设漏洞检测模型生成模块,用于基于所述历史安全需求与所述历史测试内容,对初始漏洞检测模型进行调参,生成所述预设漏洞检测模型。
需要说明的是,所属领域的技术人员可以清楚地了解到,为了描述的方便和简洁,上述描述的装置和各模块的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
上述的装置可以实现为一种计算机程序的形式,该计算机程序可以在如图5所示的计算机设备上运行。
请参阅图5,图5是本申请的实施例提供的一种计算机设备的结构示意性框图。该计算机设备可以是服务器。
参阅图5,该计算机设备包括通过系统总线连接的处理器、存储器和网络接口,其中,存储器可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器执行任意一种安全性测试方法。
处理器用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行任意一种安全性测试方法。
该网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图5中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,在一个实施例中,所述处理器用于运行存储在存储器中的计算机程序,以实现如下步骤:
基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,用于实现:
基于所述待测试内容,生成对应的模拟攻击指令;
基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,用于实现:
遍历所述待测设备的目标业务功能;
通过所述预设漏洞检测模型,将所述目标业务功能与预设威胁漏洞库中各预设业务功能进行匹配;
将所述预设威胁漏洞库中与所述目标业务功能相匹配的威胁漏洞作为所述目标威胁漏洞。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,还用于实现:
通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;
基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;
通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之后,用于实现:
在所述待测试内容中存在所述目标威胁漏洞的情况下,发出告警信号。
在一个实施例中,通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之前,用于实现:
获取历史安全需求与历史测试设备,基于所述历史安全需求与所述历史测试设备,确定所述历史测试内容;
基于所述历史安全需求与所述历史测试内容,对初始漏洞检测模型进行调参,生成所述预设漏洞检测模型。
本申请的实施例中还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序中包括程序指令,所述处理器执行所述程序指令,实现本申请实施例提供的任一项安全性测试方法。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMedia Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到各种等效的修改或替换,这些修改或替换都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (10)
1.一种安全性测试方法,其特征在于,包括:
基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
2.根据权利要求1所述的安全性测试方法,其特征在于,所述通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,包括:
基于所述待测试内容,生成对应的模拟攻击指令;
基于所述模拟攻击指令,对所述待测试内容进行模拟攻击,检测所述待测试内容中是否存在所述目标威胁漏洞。
3.根据权利要求1所述的安全性测试方法,其特征在于,所述通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,包括:
遍历所述待测设备的目标业务功能;
通过所述预设漏洞检测模型,将所述目标业务功能与预设威胁漏洞库中各预设业务功能进行匹配;
将所述预设威胁漏洞库中与所述目标业务功能相匹配的威胁漏洞作为所述目标威胁漏洞。
4.根据权利要求1所述的安全性测试方法,其特征在于,所述通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞,还包括:
通过所述预设漏洞检测模型与所述待测试内容,确定威胁漏洞列表;
基于所述威胁漏洞列表,确定对应的安全策略,通过所述安全策略对所述威胁漏洞列表中各威胁漏洞进行修复;
通过所述威胁漏洞列表,生成模拟攻击报文,并通过所述模拟攻击报文诱发修复后的威胁漏洞列表中各威胁漏洞,以检测所述待测试内容中是否存在所述目标威胁漏洞。
5.根据权利要求2或4所述的安全性测试方法,其特征在于,所述通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之后,包括:
在所述待测试内容中存在所述目标威胁漏洞的情况下,发出告警信号。
6.根据权利要求1所述的安全性测试方法,其特征在于,所述通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞之前,包括:
获取历史安全需求与历史测试设备,基于所述历史安全需求与所述历史测试设备,确定所述历史测试内容;
基于所述历史安全需求与所述历史测试内容,对初始漏洞检测模型进行调参,生成所述预设漏洞检测模型。
7.根据权利要求1至6任一项所述的安全性测试方法,其特征在于,所述预设安全性要求包括:安全度量标准要求、安全功能要求、特定保密要求、特定环境要求。
8.一种安全性测试装置,其特征在于,包括:
待测试内容确定模块,用于基于预设安全性要求,对待测试设备的目标安全需求进行解析,确定待测试内容;
测试模块,用于通过预设漏洞检测模型和/或模拟漏洞攻击,检测所述待测试内容中是否存在目标威胁漏洞。
9.一种计算机设备,其特征在于,所述计算机设备包括存储器和处理器;
所述存储器用于存储计算机程序;
所述处理器,用于执行所述计算机程序并在执行所述计算机程序时实现如权利要求1至7中任一项所述的安全性测试方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时使所述处理器实现如权利要求1至7中任一项所述的安全性测试方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311439267.6A CN117473507A (zh) | 2023-10-31 | 2023-10-31 | 安全性测试方法、装置、计算机设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311439267.6A CN117473507A (zh) | 2023-10-31 | 2023-10-31 | 安全性测试方法、装置、计算机设备及可读存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117473507A true CN117473507A (zh) | 2024-01-30 |
Family
ID=89635958
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311439267.6A Pending CN117473507A (zh) | 2023-10-31 | 2023-10-31 | 安全性测试方法、装置、计算机设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117473507A (zh) |
-
2023
- 2023-10-31 CN CN202311439267.6A patent/CN117473507A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20180075233A1 (en) | Systems and methods for agent-based detection of hacking attempts | |
US11861006B2 (en) | High-confidence malware severity classification of reference file set | |
US20070044151A1 (en) | System integrity manager | |
US20210334384A1 (en) | Detecting a potential security leak by a microservice | |
JP2006174466A (ja) | データ処理における暗号化技術の信用できる信頼性の高い実施 | |
CN113282946B (zh) | 基于高可信环境下数据访问过程的信息安全方法及系统 | |
CN110896367A (zh) | 校准测试和追溯的方法、系统和计算机可读介质 | |
Tabrizi et al. | Design-level and code-level security analysis of IoT devices | |
Tabrizi et al. | Formal security analysis of smart embedded systems | |
Xu | Sarr: A cybersecurity metrics and quantification framework (keynote) | |
Ullrich et al. | Vacuums in the cloud: Analyzing security in a hardened {iot} ecosystem | |
JP2005242754A (ja) | セキュリティ管理システム | |
Wickert et al. | To fix or not to fix: a critical study of crypto-misuses in the wild | |
Lou et al. | Cybersecurity threats, vulnerability and analysis in safety critical industrial control system (ICS) | |
Liebl et al. | Analyzing the attack surface and threats of industrial Internet of Things devices | |
Wang et al. | TVIDS: Trusted virtual IDS with SGX | |
CN117473507A (zh) | 安全性测试方法、装置、计算机设备及可读存储介质 | |
Ouffoué et al. | Model-based attack tolerance | |
CN112799914B (zh) | 一种对计算机运行中代码、数据全时段动态监管的方法及系统 | |
CN115296874A (zh) | 一种计算机网络安全系统、方法、介质、设备及终端 | |
Khan et al. | A novel trusted hardware-based scalable security framework for IoT edge devices | |
Setiyani et al. | Analisis Celah Keamanan E-Learning Perguruan Tinggi Menggunakan Vulnerability Assessment | |
Zenker et al. | A review of testing cloud security | |
Cunha | Cybersecurity Threats for a Web Development | |
US20240163261A1 (en) | Dynamic authentication attack detection and enforcement at network, application, and host level |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |