渗透测试训练的方法及系统、装置、存储介质和电子设备与流程

本技术涉及金融科技领域，具体而言，涉及一种渗透测试训练的方法及系统、装置、存储介质和电子设备。

背景技术：

1、随着互联网技术的发展，外界对金融机构的恶意攻击变得无孔不入，金融机构的敏感数据和代码处于受威胁的境地，为了更好地抵抗外界对金融机构的恶意攻击，需要金融机构对自身的应用系统进行渗透测试，为了保证金融机构内敏感数据的安全，渗透测试工作需要在金融机构内部完成，通过模拟真实的网络攻击验证自主研发的应用的技术安全性，然后将渗透测试过程中发现的漏洞交付给开发者，形成漏洞挖掘与修复的闭环，从而保证对自身应用系统的安全性。

2、在进行渗透测试工作前，需要对新手进行渗透测试的培训，但是在现有技术中，对新手的培训工作是通过有经验的工作人员进行人工带教的方式实现的，人工带教的方式不仅对新手培训效率低，而且当有经验的工作人员不足时还可能造成渗透测试工作进度缓慢的问题。针对相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题，目前尚未提出有效的解决方案。

技术实现思路

1、本技术的主要目的在于提供一种渗透测试训练的方法及系统、装置、存储介质和电子设备，以解决相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题。

2、为了实现上述目的，根据本技术的一个方面，提供了一种渗透测试训练的方法。该方法包括：接收目标对象对渗透测试的难度等级的选择操作，并依据所述选择操作确定渗透测试对应的目标训练任务；依据所述目标训练任务，搭建所述目标训练任务的训练环境；在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果。

3、进一步地，依据所述目标训练任务，搭建所述目标训练任务的训练环境包括：获取所述目标训练任务的id；依据所述目标训练任务的id，确定所述目标训练任务对应的目标训练流程信息，其中，所述目标训练流程信息至少包括多个训练步骤、每个训练步骤对应的训练工具的目标信息及每个训练工具的目标代码，所述目标信息中至少包括所述训练工具对应的接口信息，所述接口信息用于调用所述训练工具执行所述目标训练任务中的渗透测试；依据所述目标训练流程信息，搭建所述目标训练任务的训练环境。

4、进一步地，依据所述目标训练任务的id，确定所述目标训练任务的目标训练流程信息包括：依据所述目标训练任务的id，获取所述目标训练任务的初始训练流程信息，其中，所述初始训练流程信息中至少包括所述多个训练步骤、每个训练步骤对应的训练工具的名称及每个训练工具的初始代码，所述初始代码中包括第一代码和第二代码，所述第一代码为需要依据所述目标训练任务进行补充的代码，所述第二代码为所述初始代码中除所述第一代码之外的代码；依据所述目标训练任务的id，确定所述目标训练任务对应的目标系统的标识信息和每个训练步骤对应的训练工具的接口信息，其中，所述目标系统为依据所述目标训练任务被执行渗透测试的系统；依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息。

5、进一步地，依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息包括：依据所述标识信息，对所述初始训练流程信息中的第一代码进行补充，得到第三代码，并依据所述第三代码和所述第二代码，确定所述目标代码；对每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息进行关联，并依据所述每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息之间的关联关系，得到所述每个训练步骤对应的训练工具的目标信息；依据所述初始训练流程信息、每个训练步骤对应的训练工具的目标信息和每个训练工具对应的目标代码，确定所述目标训练任务对应的目标训练流程信息。

6、进一步地，在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果包括：在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，对所述训练标识信息进行验证，得到验证结果；依据所述验证结果，确定所述训练结果。

7、进一步地，对所述训练标识信息进行验证，得到验证结果包括：依据所述目标训练任务的id，获取所述目标训练任务的真实标识信息；依据所述真实标识信息，对所述训练标识信息进行验证，得到所述验证结果。

8、进一步地，在对所述训练标识信息进行验证，得到所述验证结果之后，所述方法还包括：若所述验证结果表征验证未通过，则判断所述目标训练任务的训练时长是否在预设时长内，且对所述训练标识信息进行验证的验证次数是否小于预设次数；若所述目标训练任务的训练时长在所述预设时长内且所述验证次数小于所述预设次数，则重复执行在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息的步骤，直至所述验证结果表征验证通过。

9、进一步地，在判断所述目标训练任务的训练时长是否在预设时长内，且对所述训练标识信息的验证次数是否小于预设次数之后，所述方法还包括：若所述目标训练任务的训练时长不在所述预设时长内，或者所述验证次数大于等于所述预设次数，则控制所述目标训练任务对应的渗透测试训练结束。

10、进一步地，在依据所述目标训练任务的id，确定所述目标训练任务对应的目标训练流程信息之后，所述方法还包括：依据所述每个训练步骤对应的训练工具，生成所述每个训练步骤对应的训练工具的指令代码集合，其中，所述指令代码集合用于指导所述目标对象如何使用所述每个训练步骤对应的训练工具；将所述指令代码集合推送至所述目标对象。

11、为了实现上述目的，根据本技术的另一方面，提供了一种渗透测试训练的系统。该系统包括：用户界面模块，用于接收目标对象对渗透测试的难度等级的选择操作和所述目标对象在执行所述目标训练任务时提交的训练标识信息；任务统筹模块，用于依据所述选择操作确定渗透测试对应的目标训练任务，搭建所述目标训练任务的训练环境，并依据所述训练标识信息，确定训练结果。

12、进一步地，任务统筹模块包括：任务指引子模块，用于依据所述选择操作确定渗透测试对应的目标训练任务；环境搭建子模块，用于搭建所述目标训练任务的训练环境；标识验证子模块，用于验证所述训练标识信息，得到所述训练结果。

13、进一步地，所述进行渗透测试训练的系统还包括：流程确定模块，用于依据所述目标训练任务确定目标训练流程信息，其中，所述目标训练流程信息用于指导所述目标对象执行所述目标训练任务；工具安装模块，用于获取所述目标训练流程信息中的训练工具，其中，所述训练工具用于执行所述目标训练任务；指令生成模块，用于生成所述训练工具的指令代码集合，并将所述指令代码集合推送至所述目标对象。

14、为了实现上述目的，根据本技术的另一方面，提供了一种渗透测试训练的装置。该装置包括：接收单元，用于接收目标对象对渗透测试的难度等级的选择操作，并依据所述选择操作确定渗透测试对应的目标训练任务；搭建单元，用于依据所述目标训练任务，搭建所述目标训练任务的训练环境；确定单元，用于在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，并依据所述训练标识信息，确定训练结果。

15、进一步地，搭建单元包括：获取子单元，用于获取所述目标训练任务的id；第一确定子单元，用于依据所述目标训练任务的id，确定所述目标训练任务对应的目标训练流程信息，其中，所述目标训练流程信息至少包括多个训练步骤、每个训练步骤对应的训练工具的目标信息及每个训练工具的目标代码，所述目标信息中至少包括所述训练工具对应的接口信息，所述接口信息用于调用所述训练工具执行所述目标训练任务中的渗透测试；搭建子单元，用于依据所述目标训练流程信息，搭建所述目标训练任务的训练环境。

16、进一步地，确定子单元包括：第一获取模块，用于依据所述目标训练任务的id，获取所述目标训练任务的初始训练流程信息，其中，所述初始训练流程信息中至少包括所述多个训练步骤、每个训练步骤对应的训练工具的名称及每个训练工具的初始代码，所述初始代码中包括第一代码和第二代码，所述第一代码为需要依据所述目标训练任务进行补充的代码，所述第二代码为所述初始代码中除所述第一代码之外的代码；第一确定模块，用于依据所述目标训练任务的id，确定所述目标训练任务对应的目标系统的标识信息和每个训练步骤对应的训练工具的接口信息，其中，所述目标系统为依据所述目标训练任务被执行渗透测试的系统；第二确定模块，用于依据所述初始训练流程信息、所述标识信息和每个训练步骤对应的训练工具的接口信息，确定所述目标训练流程信息。

17、进一步地，第二确定模块包括：补充子模块，用于依据所述标识信息，对所述初始训练流程信息中的第一代码进行补充，得到第三代码，并依据所述第三代码和所述第二代码，确定所述目标代码；关联子模块，用于对每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息进行关联，并依据所述每个训练步骤对应的训练工具的名称与每个训练步骤对应的训练工具的接口信息之间的关联关系，得到所述每个训练步骤对应的训练工具的目标信息；确定子模块，用于依据所述初始训练流程信息、每个训练步骤对应的训练工具的目标信息和每个训练工具对应的目标代码，确定所述目标训练任务对应的目标训练流程信息。

18、进一步地，确定单元包括：验证子单元，用于在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息，对所述训练标识信息进行验证，得到验证结果；第二确定子单元，用于依据所述验证结果，确定所述训练结果。

19、进一步地，验证子单元包括：第二获取模块，用于依据所述目标训练任务的id，获取所述目标训练任务的真实标识信息；验证模块，用于依据所述真实标识信息，对所述训练标识信息进行验证，得到所述验证结果。

20、进一步地，所述装置还包括：判断单元，用于若所述验证结果表征验证未通过，则判断所述目标训练任务的训练时长是否在预设时长内，且对所述训练标识信息进行验证的验证次数是否小于预设次数；执行单元，用于若所述目标训练任务的训练时长在所述预设时长内且所述验证次数小于所述预设次数，则重复执行在所述训练环境中接收所述目标对象在执行所述目标训练任务时提交的训练标识信息的步骤，直至所述验证结果表征验证通过。

21、进一步地，所述装置还包括：控制单元，用于若所述目标训练任务的训练时长不在所述预设时长内，或者所述验证次数大于等于所述预设次数，则控制所述目标训练任务对应的渗透测试训练结束。

22、进一步地，所述装置还包括：生成单元，用于依据所述每个训练步骤对应的训练工具，生成所述每个训练步骤对应的训练工具的指令代码集合，其中，所述指令代码集合用于指导所述目标对象如何使用所述每个训练步骤对应的训练工具；推送单元，用于将所述指令代码集合推送至所述目标对象。

23、为了实现上述目的，根据本技术的一方面，提供了一种计算机可读存储介质，所述存储介质存储程序，其中，在所述程序运行时控制所述存储介质所在设备执行上述任意一项所述的渗透测试训练的方法。

24、为了实现上述目的，根据本技术的另一个方面，还提供了一种电子设备，电子设备包括一个或多个处理器和存储器，存储器用于存储一个或多个处理器实现上述任意一项所述的渗透测试训练的方法。

25、通过本技术，采用以下步骤：接收目标对象对渗透测试的难度等级的选择操作，并依据选择操作确定渗透测试对应的目标训练任务；依据目标训练任务，搭建目标训练任务的训练环境；在训练环境中接收目标对象在执行目标训练任务时提交的训练标识信息，并依据训练标识信息，确定训练结果，解决了相关技术中采用人工带教的方式来实现对目标对象进行渗透测试的训练，导致对目标对象进行渗透测试训练的效率比较低的问题。在本技术中，先通过目标对象对渗透测试的难度等级选择操作确定目标训练任务，然后根据目标训练任务搭建训练环境，最后在训练环境中接收目标对象提交的训练标识信息，并根据训练标识信息确定训练结果，实现了对目标对象进行渗透测试的模拟训练，不再依赖于人工带教的方式来实现对目标对象进行渗透测试的训练，进而达到了提高对目标对象进行渗透测试训练的效率的效果。