评分测试方法、装置、设备及存储介质与流程

本发明涉及网络安全，尤其涉及一种评分测试方法、装置、设备及存储介质。

背景技术：

1、目前缺少开源、统一的对漏洞检测工具：运行时应用自我防护（runtimeapplication self-protection，rasp）的评分测试标准，各个厂商拥有各自的测试用例，很难体现出rasp真实的防护效果。如何消除各个厂商对rasp的评分差异性，制定出一个通用性较强的评分基准是亟待解决的问题。

技术实现思路

1、本发明的主要目的在于提供一种评分测试方法、装置、设备及存储介质，旨在解决现有技术中缺少对rasp的统一的评分测试标准、各个厂商评分差异性较大，无法体现出rasp真实的防护效果的技术问题。

2、为实现上述目的，本发明提供一种评分测试方法，所述方法包括以下步骤：

3、在benchmark测试套件中安装rasp探针，获得目标benchmark测试套件，并启动所述目标benchmark测试套件；

4、通过所述目标benchmark测试套件中的爬虫配置文件解析针对rasp工具的预设xml文件，获得测试用例集合；

5、执行所述测试用例集合，获得测试日志；

6、通过预设benchmarkutils项目对所述测试日志进行分析，获得所述rasp工具的防护效果评分。

7、可选地，所述通过所述目标benchmark测试套件中的爬虫配置文件解析针对rasp工具的预设xml文件，获得测试用例集合，包括：

8、通过所述目标benchmark测试套件中的爬虫配置文件从命令行参数中获取针对rasp工具的预设xml文件的路径；

9、根据所述路径获取所述预设xml文件；

10、从所述预设xml文件中提取benchmarksuite部分，获得测试用例集合。

11、可选地，所述从所述预设xml文件中提取benchmarksuite部分，获得测试用例集合，包括：

12、读取所述预设xml文件中的xml文件内容，获得所述xml文件内容对应的字符串；

13、将所述字符串转换为json对象，并从所述json对象中提取benchmarksuite部分，获得测试用例集合。

14、可选地，所述执行所述测试用例集合，获得测试日志，包括：

15、遍历所述测试用例集合中的每个测试用例，获取所述每个测试用例的类型，并将所述类型添加至类型集合中；

16、获取所述每个测试用例的唯一标识符，并将所述唯一标识符添加至键集合中；

17、根据策略模式、所述类型集合和所述键集合执行所述测试用例集合，并更新漏洞类型计数器，获得测试日志。

18、可选地，所述通过预设benchmarkutils项目对所述测试日志进行分析，获得所述rasp工具的防护效果评分，包括：

19、通过预设benchmarkutils项目初始化所述测试日志的file对象，创建raspreader对象，并根据所述raspreader对象中的parse方法解析所述file对象，获得文件内容；

20、逐行读取所述文件内容，并设置每一行内容对应的cwe编号和类别，并根据所述cwe编号和所述类别生成所述rasp工具的防护效果评分。

21、可选地，所述逐行读取所述文件内容，并设置每一行内容对应的cwe编号和类别，并根据所述cwe编号和所述类别生成所述rasp工具的防护效果评分，包括：

22、逐行读取所述文件内容，检查每一行内容是否存在预设关键字；

23、若存在预设关键字，则执行所述预设关键字对应的预设操作，获得操作结果，所述预设操作包括提取url、提取规则id或设置工具版本；

24、设置每一行内容对应的cwe编号和类别，并根据所述操作结果、所述cwe编号和所述类别生成所述rasp工具的防护效果评分。

25、可选地，所述设置每一行内容对应的cwe编号和类别，并根据所述操作结果、所述cwe编号和所述类别生成所述rasp工具的防护效果评分，包括：

26、设置每一行内容对应的cwe编号和类别；

27、若所述操作结果中存在url并且所述url中包含测试案例名称，则提取所述测试案例名称对应的测试用例的唯一标识符；

28、若所述操作结果中存在规则id、所述规则id不同于预设规则id并且出现预设异常，则生成错误信息；

29、根据所述唯一标识符、所述错误信息、所述cwe编号和所述类别生成所述rasp工具的防护效果评分。

30、此外，为实现上述目的，本发明还提出一种评分测试装置，所述评分测试装置包括：

31、rasp探针安装模块，用于在benchmark测试套件中安装rasp探针，获得目标benchmark测试套件，并启动所述目标benchmark测试套件；

32、测试用例爬取模块，用于通过所述目标benchmark测试套件中的爬虫配置文件解析针对rasp工具的预设xml文件，获得测试用例集合；

33、测试日志获取模块，用于执行所述测试用例集合，获得测试日志；

34、防护效果评分模块，用于通过预设benchmarkutils项目对所述测试日志进行分析，获得所述rasp工具的防护效果评分。

35、此外，为实现上述目的，本发明还提出一种评分测试设备，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的评分测试程序，所述评分测试程序配置为实现如上文所述的评分测试方法的步骤。

36、此外，为实现上述目的，本发明还提出一种存储介质，所述存储介质上存储有评分测试程序，所述评分测试程序被处理器执行时实现如上文所述的评分测试方法的步骤。

37、在本发明中，公开了在benchmark测试套件中安装rasp探针，然后通过测试套件中的爬虫配置文件解析针对rasp工具的预设xml文件，获得测试用例集合；执行测试用例集合，获得测试日志；通过对测试日志进行分析，获得rasp工具的防护效果评分。由于本发明基于第三方组织owasp维护的开源项目benchmark测试套件对rasp进行评分测试，通过爬虫配置文件解析xml文件，不改动测试套件的核心代码，以通用的测试用例作为rasp工具评分基准，通过benchmarkutils分析测试日志，得到准确的防护效果评分，消除了各个厂商评分差异性，制定出了一个通用性较强的评分基准。

技术特征：

1.一种评分测试方法，其特征在于，所述评分测试方法包括：

2.如权利要求1所述的评分测试方法，其特征在于，所述通过所述目标benchmark测试套件中的爬虫配置文件解析针对rasp工具的预设xml文件，获得测试用例集合，包括：

3.如权利要求2所述的评分测试方法，其特征在于，所述从所述预设xml文件中提取benchmarksuite部分，获得测试用例集合，包括：

4.如权利要求1所述的评分测试方法，其特征在于，所述执行所述测试用例集合，获得测试日志，包括：

5.如权利要求1所述的评分测试方法，其特征在于，所述通过预设benchmarkutils项目对所述测试日志进行分析，获得所述rasp工具的防护效果评分，包括：

6.如权利要求5所述的评分测试方法，其特征在于，所述逐行读取所述文件内容，并设置每一行内容对应的cwe编号和类别，并根据所述cwe编号和所述类别生成所述rasp工具的防护效果评分，包括：

7.如权利要求6所述的评分测试方法，其特征在于，所述设置每一行内容对应的cwe编号和类别，并根据所述操作结果、所述cwe编号和所述类别生成所述rasp工具的防护效果评分，包括：

8.一种评分测试装置，其特征在于，所述评分测试装置包括：

9.一种评分测试设备，其特征在于，所述设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的评分测试程序，所述评分测试程序配置为实现如权利要求1至7中任一项所述的评分测试方法的步骤。

10.一种存储介质，其特征在于，所述存储介质上存储有评分测试程序，所述评分测试程序被处理器执行时实现如权利要求1至7任一项所述的评分测试方法的步骤。

技术总结
本发明涉及网络安全技术领域，公开了一种评分测试方法、装置、设备及存储介质，该方法包括：在测试套件中安装RASP探针，然后通过测试套件中的爬虫配置文件解析预设XML文件，获得测试用例集合；执行测试用例集合，获得测试日志；分析测试日志获得防护效果评分。由于本发明基于OWASP的开源项目Benchmark对RASP进行评分测试，通过爬虫配置文件解析XML文件，不改动测试套件的核心代码，以通用的测试用例作为RASP工具评分基准，通过BenchmarkUtils分析测试日志，得到准确的防护效果评分，消除了各个厂商评分差异性，制定出了一个通用性较强的评分基准。

技术研发人员：谢少评,万振华,王颉,李华,董燕
受保护的技术使用者：深圳开源互联网安全技术有限公司
技术研发日：
技术公布日：2024/5/12