四维创智司红星:一款AI智能自动化渗透测试机器人的诞生

8月 26,2019by admin

“现在的网络信息系统安全检测技术,主要是采用模糊测试方法对目标系统进行全量漏洞探测,再加上POC(漏洞验证)做一些指纹和漏洞的关联,但这些还算不上智能。并且在智能领域,大多局限在防御上,而攻防兼备的AI产品几乎没有”四维创智CEO司红星说道。
 
基于这样的想法,四维创智团队最终拍板,决定要做一款智能自动化渗透测试机器人。照他的话来说,“我们在业界的形象就是靠谱,踏实做事儿,做靠谱的产品出来。”四维创智早在2017年,就在多个领域中的安全检测不断积累和研究如何实现安全检测工具智能模块化、多环节跨平台自动流程化、跨领域知识库自我学习系统化,从开始的自动化渗透测试的探索和企业实践,到最终形成这样一套具备“逻辑思维”的渗透测试机器人,当中也做了多次尝试。例如如何能以最快的速度更新决策树。
 
下面来说说小智。
 
“小智”是一款基于人工智能的自动化渗透测试机器人。他能够自动完成一定难度和复杂程度的网络安全扫描、探测、利用、提权等工作,具备全面、快速、低干扰特点。平台具备自动化的漏洞识别框架和已知漏洞的特征库和exp 库,能够自动化完成查找注入点等应用漏洞、破解数据库结构、爆破弱口令、远程指令执行、提权、反向链接、内网扫描,发现指定目标的漏洞点、自动化制作针对性的exp 载核、漏洞综合利用、获取和外传带有指定关键字的文件的能力;当发现多个目标弱点时,能够针对同一目标的多个渗透节点和漏洞利用结果进行组合利用,进一步提升渗透深度,全面发现测试站点的安全风险。
 
小智,有许多比较优秀的特质。比如可根据当前网络安全环境的变动,动态规划新的渗透测试策略和方案。当一个资产弱点被修复后,平台将会自动根据加固后的资产状态进行新的渗透方案制定,加载新的渗透思路进行攻击,保证渗透工作持久性。
 
再例如他可以全景绘制渗透知识图谱,对每一个目标自动绘制攻击路径,把攻击流程可视化,用户可以直观看到我们的产品是怎么进行渗透的,如此一来新手可以学习提升,大神可以监督训练。还有他具有自动决策模型,可以依环境变化动态规划渗透测试方案,使安全工作者从繁杂的工作当中解脱出来,专注研究新技术,也使企业安全系数迈上一个新台阶,还是非常有意义的一件事。说起小智的特质,司红星如数家珍。
 

 
从最初的想法,到产品研发最终落地,我们进行了大量的用户调研分析,并做出了相应的调整和优化,相信会给行业工作者和企业带来更多实际价值。