CN104219221A - 一种网络安全流量生成方法和*** - Google Patents
一种网络安全流量生成方法和*** Download PDFInfo
- Publication number
- CN104219221A CN104219221A CN201410238904.8A CN201410238904A CN104219221A CN 104219221 A CN104219221 A CN 104219221A CN 201410238904 A CN201410238904 A CN 201410238904A CN 104219221 A CN104219221 A CN 104219221A
- Authority
- CN
- China
- Prior art keywords
- attack
- security
- network
- action
- traffic
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供一种基于攻击向量的网络安全流量生成方法和***。本发明根据要模拟的目标网络攻击场景,确定需要模拟的网络实体及攻击步骤,为攻击步骤建立安全攻击状态序列,完整的安全攻击状态序列组成攻击向量。对于不确定攻击步骤的未知攻击类型,采用基于内容和状态的流量提取方法,构造攻击向量。基于攻击向量,由攻击引擎创建多进程或线程实例来执行以产生网络安全流量数据。该方法通过对安全攻击过程中客户端、服务端以及客户端和服务端交互过程进行模拟,实现自动化生成具有完整状态的真实安全流量,并且通过对已有攻击流量的分析提取,支持新攻击和未知安全流量,具有良好的可扩展性和实用性,且实现简单,可行性高。
Description
技术领域
本发明涉及网络测试领域,具体而言,涉及一种网络安全流量生成方法和***。
背景技术
网络安全测试是检查和验证网络***的安全性的重要手段,被广泛应用到网络***的开发和维护工作中。网络安全测试的核心就是通过自动化的方式产生尽可能符合真实攻击场景的恶意流量数据,让被测***进行处理,从而检测被测网络***在处理这些自动化生成的安全流量数据过程中的表现,进行网络***的安全性验证。
目前网络安全流量产生方法主要有:
1)基于日志回放:这类方法通过将真实网络环境中捕获的流量数据进行重放,实现网络攻击场景的重现。该方法存在以下局限性:(1)前提是可以获取到攻击场景流量;(2)回放的流量往往包含大量违反协议语义的分组,影响DPI设备过滤准确性;(3)由于网络配置等变化,流量往往无法回放到真实网络中,适用的场景小;(4)流量回放很难覆盖各种安全攻击类型,也难以进行可控的混合生成,无法全面评估安全威胁。(5)回放的流量也只能检测DPI设备过滤出的安全流量,而无法发现成功或者失败过滤的原因。(1)和(2)说明缺少状态,真实性差;(3)和(4)说明灵活性差。
2)基于安全规则:根据防火墙配置策略规则,自动生成对应规则的流量数据,对防火墙进行自动化的测试,这类方法非常局限,只能测试防火墙规则的有效性。该方法存在以下局限性:(1)缺少攻击语义状态,往往导致漏报和误报;(2)很多安全攻击涉及复杂的攻击过程,安全规则无法表达整个攻击过程;(3)对新的攻击需要仔细的逆向工程,分析攻击特征,对最新攻击特征的提取和构造比较困难,灵活性差。(1)和(2)说明缺少状态,真实性差;(3)说明灵活性差。
3)基于受控网络:这种方法利用虚拟机等,在受控/隔离环境中进行真实安全攻击的实验、测试和分析。该方法存在以下局限性:(1)无法应用到真实***中发现和评估安全威胁;(2)通常基于真实的攻击工具,环境搭建复杂,安全攻击种类非常有限。因此这种方法的灵活性很差。
发明内容
本发明提供一种用于网络安全测试的网络安全流量生成方法和***,可以灵活地生成各种具有完整状态的安全攻击流量。
为达到上述目的,本发明提供了一种用于网络安全测试的网络安全流量生成方法,包括:
对于已知类型的攻击,包括以下步骤:
步骤1)流量分类,根据安全流量构造方法进行分类,将网络安全流量分为恶意分组、应用攻击及DoS攻击,并分别抽象出对应的安全流量生成动作;
步骤2)攻击分解,将攻击行为分解为若干攻击步骤,为每个步骤定义一个对应的安全攻击状态,对所述若干攻击步骤分别对应的安全攻击状态进行组合,得到对应攻击行为的一组安全攻击状态跳转序列,并表示为攻击向量,其中,所述安全攻击状态包括安全流量生成动作以及可选的响应判断;
步骤3)攻击构造,根据所述攻击向量生成安全攻击脚本;
步骤4)流量生成,通过攻击引擎执行所述安全攻击脚本,生成网络安全流量。
进一步地,对于未知类型的攻击或新型攻击,在获得流量数据的前提下,采用下述步骤生成上述步骤中的攻击向量:
步骤21)流量分解,将安全流量分解为若干条网络流量序列;
步骤22)数据识别,对每条网络流量序列提取对应的行为特征,构造安全攻击状态;
步骤23)攻击构造,根据流量的时间戳序列和所述若干条网络流量序列分别对应的安全攻击状态构造安全攻击状态跳转序列,并表示为攻击向量;
进而执行上述步骤3)攻击构造和步骤4)攻击执行。
进一步地,所述安全流量生成动作支持构造任何格式的攻击数据及完备的攻击逻辑,包括下列类型的动作:流量动作、数据构造和解析动作、运算和控制动作;所述响应判断包括收集和处理目标实体的响应,判断流量生成动作成功/失败的结果。
进一步地,根据每个网络攻击所采用的应用协议的协议规范,按照应用的消息交互过程或者按照被模拟的网络实体之间的交互过程,分解出基本流量动作。
进一步地,根据要模拟的网络攻击所采用的协议规范中所规定的消息格式,以及该网络攻击中可能出现的特殊数据分组来分解出消息构造和解析动作。
进一步地,所述运算和控制动作用来进行数据运算和逻辑控制,包括基本算术、逻辑运算和逻辑控制动作。
进一步地,所述行为特征根据识别出的协议类型的有限状态转移自动机的状态特征提取,将行为特征表示为流量生成动作,对应协议的有限状态转移自动机对应流量的攻击向量。
进一步地,如果攻击为多个时,在通过攻击引擎执行所述安全攻击脚本时,创建多个进程或线程并发执行每个攻击对应的安全攻击脚本。
进一步地,在所述流量分解步骤中,根据数据流量特征对所获得的流量数据进行分解。
为达到上述目的,本发明还提供了一种网络安全流量生成***,对于已知类型的攻击,所述***包括:
流量分类模块,用于根据安全流量构造方法进行分类,将网络安全流量分为恶意分组、应用攻击及DoS攻击,并分别抽象出对应的安全流量生成动作;
攻击分解模块,用于将攻击行为分解为若干攻击步骤,为每个步骤定义一个对应的安全攻击状态,对所述若干攻击步骤分别对应的安全攻击状态进行组合,得到对应攻击行为的一组安全攻击状态跳转序列,并表示为攻击向量,其中,所述安全攻击状态包括安全流量生成动作以及可选的响应判断;
攻击构造模块,用于根据所述攻击向量生成安全攻击脚本;
流量生成模块,用于通过攻击引擎执行所述安全攻击脚本,生成网络安全流量。
与现有技术相比,本发明的优点在于:
本发明通过对安全攻击过程中客户端、服务端以及客户端和服务端交互过程进行模拟,实现自动化生成具有各种完整状态的真实安全流量,并且通过对已有攻击流量的分析提取,支持新攻击和未知安全流量,具有良好的可扩展性和实用性,且实现简单,可行性高。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一个实施例的基于攻击向量的网络安全流量生成方法流程图;
图2为本发明一个实施例的利用远程代码执行漏洞的典型攻击过程示意图;
图3为本发明一个实施例的TCP有限状态机示意图;
图4为本发明一个实施例的其他协议有限状态机示意图;
图5为本发明一个实施例的网络场景的示意图;
图6为可本发明另一个实施例的网络场景的示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有付出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
图1为本发明一个实施例的基于攻击向量的网络安全流量生成方法流程图。如图所示,该方法包括:步骤1)流量分类,根据安全流量构造方法进行分类,分为恶意分组,应用攻击及DoS攻击,抽象出安全流量生成动作。步骤2)攻击分解,将攻击分解为若干攻击步骤,为每个步骤定义一个安全攻击状态,攻击行为即为一组安全攻击状态跳转序列,表示为攻击向量。步骤3)攻击构造,由攻击向量生成安全攻击脚本。步骤4)安全流量生成,通过攻击引擎执行安全攻击脚本,生成网络安全流量。
上述方法中,所述安全攻击状态用以进行安全流量生成评估,从而实现完整的攻击过程的分析,得出安全攻击成功和失败深层报告。安全攻击状态包括安全流量生成动作以及可选的响应判断。响应判断应该包括收集和处理目标实体的响应,判断流量生成动作成功/失败的结果。
更具体地,在步骤1)的流量分类中,根据安全流量构造方法进行分类,分为恶意分组攻击,应用攻击及DoS攻击,抽象出安全流量生成动作。
表1
TCP SYN Flood是当前最流行的DoS(拒绝服务攻击)方式之一,这是一种利用TCP协议缺陷,发送大量伪造的TCP连接请求,从而使得被攻击方资源耗尽(CPU满负荷或内存不足)的攻击方式。
UDP(User Datagram Protocol,用户数据报协议)Flood是日渐猖厥的流量型DoS攻击,原理是利用大量UDP小包冲击DNS(Domain Name System,域名***)服务器或Radius(远程身份验证拨入用户服务)认证服务器、流媒体视频服务器。
DNS Query Flood(DNS查询攻击)采用的方法是向被攻击的服务器发送大量的域名解析请求,通常请求解析的域名是随机生成或者是网络上根本不存在的域名,被攻击的DNS服务器在接收到域名解析请求的时候首先会在服务器上查找是否有对应的缓存,如果查找不到并且该域名无法直接由服务器解析的时候,DNS服务器会向其上层DNS服务器递归查询域名信息。域名解析的过程给服务器带来了很大的负载,每秒钟域名解析请求超过一定的数量就会造成DNS服务器解析域名超时。
HTTP Get Flood,HTTP请求攻击。
表1显示了一些典型的攻击类型分类,通常,恶意分组攻击的流量数据通过篡改某些数据包内容,生成一些畸形分组等违反协议语义的分组;应用攻击通常是符合协议语义但构造一些特殊的应用层协议负载来达到攻击的目的;拒绝服务攻击的特点是数据分组中除了一些动态字段外,其他字段基本是相同的。因此根据攻击类型的特点抽象出安全流量生成动作。安全流量生成动作应支持构造任何格式的攻击数据和完备的攻击逻辑,可以包括:流量动作、数据构造和解析动作、运算和控制动作。其中,可根据待模拟的网络攻击所采用的消息交互流程来设置流量动作;可根据待模拟的网络攻击所采用的消息和数据格式来设置数据构造和解析动作;可根据待模拟的网络攻击的攻击步骤来设置运算和控制动作。
其中,对于流量动作,可根据每个网络攻击所采用的应用协议的协议规范,按照应用的消息交互过程或者按照被模拟的网络实体之间的交互过程,分解出基本流量动作,例如建立连接、发送消息、接受消息、关闭连接等,这些流量动作组成流量动作集合S1。以利用远程代码执行漏洞的典型应用攻击为例,图2给出了一个利用phpMyAdmin远程代码执行漏洞的攻击过程。其中DUT(Device Under Test)表示被测试设备。NUT(Network Under Test)表示被测试网络。如果被测试的是Web服务器,则Web服务器就是DUT,如果被测试的是攻击者和Web服务器之间的中间网络节点(或者中间网络),这个节点(中间)网络成为NUT。图2所示的攻击的过程主要包括建立TCP连接、发送HTTP GET消息、接收HTTP200OK消息、发送HTTP POST消息、接收HTTP200OK消息、断开TCP连接。所确定的流量动作集合S1可包括以下动作:CONNET(连接)、DISCONNECT(断开连接)、SEND(发送)、RECV(接收)。需要注意的是,所建立的流量动作集可以包括协议规范中包含的所有动作,也可以仅涉及与接收和发送数据流量有关的动作,这可以根据需要生成安全流量的应用协议来自由确定。对于应用协议而言,主要包括两部分:一部分是数据格式,另一部分是协议逻辑。流量动作通常用于生成数据格式,既可以一个动作生成并发送整个流量数据,也可以通过若干个动作来生成流量数据,再通过发送动作发送数据。在此不限制动作集中的具体流量生成动作,只要根据本发明思想设计的动作均可以实现目标效果。对于协议逻辑,由下文的运算和控制动作实现。
对于数据构造和解析动作,根据要模拟的网络攻击所采用的协议规范中所规定的消息格式,以及该网络攻击中可能出现的特殊数据分组等来分解出消息构造和解析动作。以上述的典型的应用攻击的场景为例,根据HTTP协议规范构造和解析该场景中出现的消息流量数据:
*HTTP消息:某些***为识别用户身份、进行session(会话)跟踪并且在用户本地存储cookie信息,根据连接建立后返回的cookie信息,需要构造HTTP数据包头的cookie字段,则需要正则表达式匹配动作REGEXP和消息格式化动作FORMAT。其中REGEXP是指从服务器响应中提取数据,FORMAT表示用取出来的数据构造。构造访问url经常需要一些经典的字符串操作,比如APPEND动作进行字符串的拼接。这样,所确定的数据构造和解析动作集合S2可包括以下指令:REGEXP、FORMAT、APPEND。
对于运算和控制动作,其包括基本算术、逻辑运算和逻辑控制动作,例如加减乘除、与或非、比较、条件跳转、无条件跳转等动作。运算和控制动作是基础动作,用来进行数据运算和逻辑控制。例如,仍以上述的应用攻击的典型场景为例,需要根据是否正确返回token和sessionid决定下一个攻击状态。需要条件判断和跳转,条件判断和跳转是实现流量生成逻辑的关键动作。当然如果目标场景不需要流量生成逻辑,即流量生成是顺序的,则可以不设置条件和分支动作。因此运算和逻辑控制动作集合S3可包括以下指令:CMP(比较操作)、JZ(无条件跳转)、JMP(条件跳转)。通常,灵活的流量生成过程都需要用到运算和控制指令。
这样,为要模拟的网络攻击类型(即上文所述的典型的应用攻击)所抽象出的流量生成动作如表2所示:
表2
| 动作 | 类型 | 功能 |
| CMP | S3 | 比较 |
| JZ | S3 | 条件跳转 |
| JMP | S3 | 无条件跳转 |
| APPEND | S2 | 字符串拼接 |
| REGEXP | S2 | 正则匹配 |
| FORMAT | S2 | 格式化消息 |
| CONNECT | S1 | 建立连接 |
| SEND | S1 | 发送消息 |
| RECV | S1 | 接收消息 |
| DISCONNECT | S1 | 关闭连接 |
在步骤2)的攻击分解中,将攻击分解为若干攻击步骤,为每个步骤定义一个安全攻击状态,安全攻击状态包括流量生成动作以及可选的响应判断,安全攻击状态用以进行安全流量生成评估。攻击行为即为一组安全攻击状态跳转序列,表示为攻击向量。
对于攻击向量中的每一步骤,响应判断是可选的,响应判断用于接收和处理来自攻击目标的响应。比如数据构造和解析动作不需要响应判断,直接根据需要的格式构造流量数据即可,而建立数据连接动作则需要判断连接建立成功与否,则需要响应判断。
其中,攻击向量包含了完整的安全攻击状态跳转序列,完整的安全状态以及真实的攻击数据和完备的攻击逻辑保证了安全流量的完整性和真实性。
在步骤3)的攻击构造中,由攻击向量生成安全攻击脚本。
安全攻击脚本不局限于特定形式的程序设计语言编写,可以根据需要灵活设计脚本形式。在一个具体的实施例中,我们采用嵌入Perl的XML格式的攻击脚本,脚本负责根据全局配置及代码逻辑构造和生成安全流量数据。
在步骤4)安全流量生成中,通过攻击引擎执行安全攻击脚本,生成网络安全流量。其中,攻击引擎还可负责创建多进程或多线程,在多核、多CPU以及分布式***上调度执行安全攻击脚本。在具体实例中,可以根据要模拟的网络攻击场景需求确定攻击线程或进程的数量。
在本发明的另一个实施例中,还提供了一种基于内容和状态的流量提取方法生成攻击向量。概括来讲,该方法包括:步骤21)流量分解,将安全流量分解为若干条网络流量序列。步骤22)数据识别,对每一条网络流量序列提取行为特征,构造安全攻击状态。步骤23)攻击构造,根据流量的时间戳序列构造安全攻击状态序列,表示为攻击向量。
根据本发明的一个实施例,更具体地,在步骤21)流量分解,将安全流量分解为若干条网络流量序列。可以根据各网络流量的特征进行流量分解,以捕获混合应用攻击流量和背景流量的日志为例,采用会话结构表示网络攻击场景中交互的对象,如TCP连接、UDP会话等。会话采用标准五元组<dstIP,srcIP,dstPort,srcPort,protocol>唯一表示。已知应用攻击目标端口及网络配置信息,就可以将混合流量数据按照会话五元组分解为若干条流量序列,找到特定攻击流。对于非会话的攻击类型来说,可以通过其他攻击特征如固定长度的分组或者特殊的分组字段值等特征来进行流量分解。
在步骤22)对流量序列识别协议类型和交互数据,根据识别出的协议类型的有限状态自动机的状态特征提取攻击行为特征,攻击行为特征对应安全流量生成动作,因此安全攻击状态对应于协议会话的有限状态自动机的状态。根据TCP/IP协议栈中各协议的RFC标准,协议状态机可以分为两大类:一类复杂的可靠连接的TCP状态机,另一类是非可靠连接如UDP、IP等状态机。其中TCP状态机采用RFC标准规定的标准状态机,如图3所示,保证TCP流量的真实性,其他协议由于不涉及复杂的状态转换,因此状态机比较简单,可以概括为图4所示。仍以上述分离出的应用攻击流量数据为例,假设应用攻击为较为复杂的TCP会话,TCP的会话特征是协议字段为6,且在建立会话连接阶段、发送数据阶段、断开会话连接阶段会设置相应的TCP头字段信息,因此根据TCP的协议状态特征及状态转移自动机,可以提取出具体的流量生成动作,比如在建立会话连接阶段,在如图3所示的ESTABLISHED状态,可以生成CONNECT的流量生成动作。
在步骤23)攻击构造,根据流量的时间戳序列构造安全攻击状态序列,表示为攻击向量。根据流量的时间戳就可以得到攻击的完整状态序列,即可以表示为攻击向量,进而自动生成安全攻击脚本。
上述方法中,所述行为特征可以根据识别出的协议类型的有限状态转移自动机的状态特征提取。将行为特征表示为流量生成动作,协议的有限状态转移自动机对应流量的攻击向量。这样生成的流量数据可以和真实的网络攻击流量具有相同的攻击效果。
在本发明的又一个实施例中,还提供了一种网络安全流量生成***。概括来讲,该***包括:流量分类模块,用于根据安全流量构造方法进行分类,将网络安全流量分为恶意分组、应用攻击及DoS攻击,并分别抽象出对应的安全流量生成动作;攻击分解模块,用于将攻击行为分解为若干攻击步骤,为每个步骤定义一个对应的安全攻击状态,对所述若干攻击步骤分别对应的安全攻击状态进行组合,得到对应攻击行为的一组安全攻击状态跳转序列,并表示为攻击向量,其中,所述安全攻击状态包括安全流量生成动作以及可选的响应判断;攻击构造模块,用于根据所述攻击向量生成安全攻击脚本;流量生成模块,用于通过攻击引擎执行所述安全攻击脚本,生成网络安全流量。
此外,上述***还可以包括:攻击库,用于保存生成安全攻击流量的安全攻击脚本;攻击引擎模块,用于创建多进程或多线程并发执行攻击脚本,生成混合的安全攻击流量;用户态协议栈,用于保证真实数据流量的生成。
该网络安全流量生成***通过对安全攻击过程中客户端、服务端以及客户端和服务端攻击交互过程进行模拟,实现自动化生成各种具有完整状态的真实安全流量,并且通过对已有攻击流量的分析提取,支持新攻击和未知安全流量。例如,可以模拟如图5所示的网络场景。在该网络流量场景下,安全流量生成***通过一条路径连接被测***,流量生成***模拟攻击实体,生成同被测***交互的攻击流量。
又例如,也可以模拟如图6所示的网络场景。在该网络流量场景下,流量生成***通过两条路径连接被测***,流量生成***同时模拟被测试网络***两侧的攻击实体和目标实体,生成被测***两侧网络实体之间的交互的流量。当然,同样也可以模拟由图5和图6的流量场景经过复合而得的流量场景。
综上所述,本发明根据要模拟的目标网络攻击场景,确定需要模拟的网络实体及攻击步骤,为攻击步骤建立安全攻击状态序列,完整的安全攻击状态序列组成攻击向量。对于不确定攻击步骤的未知攻击类型,采用基于内容和状态的流量提取方法,构造攻击向量。基于攻击向量,由攻击引擎创建多进程或线程实例来执行以产生网络安全流量数据。该方法通过对安全攻击过程中客户端、服务端以及客户端和服务端交互过程进行模拟,实现自动化生成具有完整状态的真实安全流量,并且通过对已有攻击流量的分析提取,支持新攻击和未知安全流量,具有良好的可扩展性和实用性,且实现简单,可行性高。
本领域普通技术人员可以理解:附图只是一个实施例的示意图,附图中的模块或流程并不一定是实施本发明所必须的。
本领域普通技术人员可以理解:实施例中的装置中的模块可以按照实施例描述分布于实施例的装置中,也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块,也可以进一步拆分成多个子模块。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围。
Claims (10)
1.一种用于网络安全测试的网络安全流量生成方法,其特征在于,包括:
对于已知类型的攻击,包括以下步骤:
步骤1)流量分类,根据安全流量构造方法进行分类,将网络安全流量分为恶意分组、应用攻击及DoS攻击,并分别抽象出对应的安全流量生成动作;
步骤2)攻击分解,将攻击行为分解为若干攻击步骤,为每个步骤定义一个对应的安全攻击状态,对所述若干攻击步骤分别对应的安全攻击状态进行组合,得到对应攻击行为的一组安全攻击状态跳转序列,并表示为攻击向量,其中,所述安全攻击状态包括安全流量生成动作以及可选的响应判断;
步骤3)攻击构造,根据所述攻击向量生成安全攻击脚本;
步骤4)流量生成,通过攻击引擎执行所述安全攻击脚本,生成网络安全流量。
2.根据权利要求1所述的方法,其特征在于,还包括:
对于未知类型的攻击或新型攻击,在获得流量数据的前提下,采用下述步骤生成上述步骤中的攻击向量:
步骤21)流量分解,将安全流量分解为若干条网络流量序列;
步骤22)数据识别,对每条网络流量序列提取对应的行为特征,构造安全攻击状态;
步骤23)攻击构造,根据流量的时间戳序列和所述若干条网络流量序列分别对应的安全攻击状态构造安全攻击状态跳转序列,并表示为攻击向量;
进而执行上述步骤3)攻击构造和步骤4)攻击执行。
3.根据权利要求1所述的方法,其特征在于,所述安全流量生成动作支持构造任何格式的攻击数据及完备的攻击逻辑,包括下列类型的动作:流量动作、数据构造和解析动作、运算和控制动作;所述响应判断包括收集和处理目标实体的响应,判断流量生成动作成功/失败的结果。
4.根据权利要求3所述的方法,其特征在于,根据每个网络攻击所采用的应用协议的协议规范,按照应用的消息交互过程或者按照被模拟的网络实体之间的交互过程,分解出基本流量动作。
5.根据权利要求3所述的方法,其特征在于,根据要模拟的网络攻击所采用的协议规范中所规定的消息格式,以及该网络攻击中可能出现的特殊数据分组来分解出消息构造和解析动作。
6.根据权利要求3所述的方法,其特征在于,所述运算和控制动作用来进行数据运算和逻辑控制,包括基本算术、逻辑运算和逻辑控制动作。
7.根据权利要求2所述的方法,其特征在于,所述行为特征根据识别出的协议类型的有限状态转移自动机的状态特征提取,将行为特征表示为流量生成动作,对应协议的有限状态转移自动机对应流量的攻击向量。
8.根据权利要求1所述的方法,其特征在于,如果攻击为多个时,在通过攻击引擎执行所述安全攻击脚本时,创建多个进程或线程并发执行每个攻击对应的安全攻击脚本。
9.根据权利要求2所述的方法,其特征在于,在所述流量分解步骤中,根据数据流量特征对所获得的流量数据进行分解。
10.一种网络安全流量生成***,其特征在于,对于已知类型的攻击,所述***包括:
流量分类模块,用于根据安全流量构造方法进行分类,将网络安全流量分为恶意分组、应用攻击及DoS攻击,并分别抽象出对应的安全流量生成动作;
攻击分解模块,用于将攻击行为分解为若干攻击步骤,为每个步骤定义一个对应的安全攻击状态,对所述若干攻击步骤分别对应的安全攻击状态进行组合,得到对应攻击行为的一组安全攻击状态跳转序列,并表示为攻击向量,其中,所述安全攻击状态包括安全流量生成动作以及可选的响应判断;
攻击构造模块,用于根据所述攻击向量生成安全攻击脚本;
流量生成模块,用于通过攻击引擎执行所述安全攻击脚本,生成网络安全流量。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410238904.8A CN104219221A (zh) | 2014-05-30 | 2014-05-30 | 一种网络安全流量生成方法和*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410238904.8A CN104219221A (zh) | 2014-05-30 | 2014-05-30 | 一种网络安全流量生成方法和*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104219221A true CN104219221A (zh) | 2014-12-17 |
Family
ID=52100357
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410238904.8A Pending CN104219221A (zh) | 2014-05-30 | 2014-05-30 | 一种网络安全流量生成方法和*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104219221A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161446A (zh) * | 2016-07-12 | 2016-11-23 | 天脉聚源(北京)传媒科技有限公司 | 一种phpMyAdmin数据库管理工具的登录方法及装置 |
| CN107426053A (zh) * | 2017-07-26 | 2017-12-01 | 成都科来软件有限公司 | 一种数据包负载的自动化构造方法 |
| CN109040141A (zh) * | 2018-10-17 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 异常流量的检测方法、装置、计算机设备和存储介质 |
| CN109547405A (zh) * | 2018-10-11 | 2019-03-29 | 上海交通大学 | 基于Python语言的自动化网络攻击流量获取方法和*** |
| CN111930078A (zh) * | 2020-06-21 | 2020-11-13 | 中国舰船研究设计中心 | 一种面向核控***的网络测试装置 |
| CN112804220A (zh) * | 2020-12-31 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 一种防火墙测试方法、装置、电子设备及存储介质 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、***及网络安全测试*** |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测***的测试装置及测试方法 |
| US7620989B1 (en) * | 2004-02-19 | 2009-11-17 | Spirent Communications Inc. | Network testing methods and systems |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的***及方法 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
-
2014
- 2014-05-30 CN CN201410238904.8A patent/CN104219221A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7620989B1 (en) * | 2004-02-19 | 2009-11-17 | Spirent Communications Inc. | Network testing methods and systems |
| CN101447991A (zh) * | 2008-11-19 | 2009-06-03 | 中国人民解放军信息安全测评认证中心 | 用于测试入侵检测***的测试装置及测试方法 |
| CN101699815A (zh) * | 2009-10-30 | 2010-04-28 | 华南师范大学 | 一种网络攻击自动执行/展现的***及方法 |
| CN102821002A (zh) * | 2011-06-09 | 2012-12-12 | ***通信集团河南有限公司信阳分公司 | 网络流量异常检测方法和*** |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161446B (zh) * | 2016-07-12 | 2019-12-31 | 天脉聚源(北京)传媒科技有限公司 | 一种phpMyAdmin数据库管理工具的登录方法及装置 |
| CN106161446A (zh) * | 2016-07-12 | 2016-11-23 | 天脉聚源(北京)传媒科技有限公司 | 一种phpMyAdmin数据库管理工具的登录方法及装置 |
| CN107426053B (zh) * | 2017-07-26 | 2021-01-05 | 成都科来软件有限公司 | 一种数据包负载的自动化构造方法 |
| CN107426053A (zh) * | 2017-07-26 | 2017-12-01 | 成都科来软件有限公司 | 一种数据包负载的自动化构造方法 |
| CN109547405A (zh) * | 2018-10-11 | 2019-03-29 | 上海交通大学 | 基于Python语言的自动化网络攻击流量获取方法和*** |
| CN109040141A (zh) * | 2018-10-17 | 2018-12-18 | 腾讯科技(深圳)有限公司 | 异常流量的检测方法、装置、计算机设备和存储介质 |
| CN109040141B (zh) * | 2018-10-17 | 2019-11-12 | 腾讯科技(深圳)有限公司 | 异常流量的检测方法、装置、计算机设备和存储介质 |
| CN111930078A (zh) * | 2020-06-21 | 2020-11-13 | 中国舰船研究设计中心 | 一种面向核控***的网络测试装置 |
| CN111930078B (zh) * | 2020-06-21 | 2024-04-19 | 中国舰船研究设计中心 | 一种面向核控***的网络测试装置 |
| CN112804220A (zh) * | 2020-12-31 | 2021-05-14 | 北京天融信网络安全技术有限公司 | 一种防火墙测试方法、装置、电子设备及存储介质 |
| CN112804220B (zh) * | 2020-12-31 | 2023-05-02 | 北京天融信网络安全技术有限公司 | 一种防火墙测试方法、装置、电子设备及存储介质 |
| CN115022036A (zh) * | 2022-06-01 | 2022-09-06 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、***及网络安全测试*** |
| CN115022036B (zh) * | 2022-06-01 | 2023-04-07 | 中国科学院计算技术研究所 | 一种攻击流量生成方法、***及网络安全测试*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104219221A (zh) | 一种网络安全流量生成方法和*** | |
| Lima Filho et al. | Smart detection: an online approach for DoS/DDoS attack detection using machine learning | |
| CN102087631B (zh) | 一种面向状态协议实现软件的模糊测试方法 | |
| Gascon et al. | Pulsar: Stateful black-box fuzzing of proprietary network protocols | |
| CN102724317B (zh) | 一种网络数据流量分类方法和装置 | |
| Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
| Xuan et al. | Detecting application denial-of-service attacks: A group-testing-based approach | |
| Radoglou-Grammatikis et al. | Implementation and detection of modbus cyberattacks | |
| Bermudez et al. | Towards automatic protocol field inference | |
| CN113722717B (zh) | 一种安全漏洞测试方法、装置、设备及可读存储介质 | |
| Choi et al. | Automated classifier generation for application-level mobile traffic identification | |
| CN109040128B (zh) | 一种基于离线pcap流量包的WAF反向代理检测方法 | |
| CN108429653A (zh) | 一种测试方法、设备和*** | |
| Blumbergs et al. | Bbuzz: A bit-aware fuzzing framework for network protocol systematic reverse engineering and analysis | |
| KR101703805B1 (ko) | 데이터 네트워크상의 여러 흐름을 포함하는 통신 세션의 감독 | |
| CN107070851B (zh) | 基于网络流的连接指纹生成和垫脚石追溯的***和方法 | |
| Hoffman et al. | Blowtorch: a framework for firewall test automation | |
| Kotenko et al. | Generation of source data for experiments with network attack detection software | |
| KR101073402B1 (ko) | 네트워크의 트래픽 모의 및 유사성 검증방법 및 네트워크 트래픽 분석시스템 | |
| CN114760216B (zh) | 一种扫描探测事件确定方法、装置及电子设备 | |
| Li et al. | Remote NAT detect algorithm based on support vector machine | |
| Li et al. | Improved automated graph and FCM based DDoS attack detection mechanism in software defined networks | |
| Vassilev et al. | Network security analytics on the cloud: Public vs. private case | |
| Atkison et al. | Feature Extraction Optimization for Network Intrusion Detection in Control System Networks. | |
| CN113596037A (zh) | 一种基于网络全流量中事件关系有向图的apt攻击检测方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20141217 |