CN101453454B - 网络攻击检测内部追踪方法 - Google Patents
网络攻击检测内部追踪方法 Download PDFInfo
- Publication number
- CN101453454B CN101453454B CN2007101949095A CN200710194909A CN101453454B CN 101453454 B CN101453454 B CN 101453454B CN 2007101949095 A CN2007101949095 A CN 2007101949095A CN 200710194909 A CN200710194909 A CN 200710194909A CN 101453454 B CN101453454 B CN 101453454B
- Authority
- CN
- China
- Prior art keywords
- attack
- end points
- packet
- detection
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种网络攻击检测内部追踪方法,用以在对网络入侵检测系统进行测试时,通过配置和联合攻击方、防御方、目标方三个部分,并通过在每一个部分设置相应的内部检查点来追踪攻击、防御、受攻击的不同阶段中测试用攻击数据包的整个生命周期,也就是说,在对网络入侵检测系统进行测试时,一个测试用攻击数据包从攻击到被过滤、被检测以及到目标主机的整个进程中,测试人员都可以清楚地了解数据包在每一个重要阶段的状态和信息,进而方便、快速、准确地生成测试报告。
Description
技术领域
本发明涉及一种测试入侵检测系统(IDS)的方法,尤其涉及一种用于测试网络入侵检测系统的网络攻击检测内部追踪方法。
背景技术
目前,在业界测试入侵检测系统(Intrusion Detection System,简称IDS)的测试工具有很多种,在网络附连储存(NASA)项目中,测试人员针对SNORT的测试使用了很多种工具和技术,SNORT是一种目前选用的小型的网络入侵检测系统,能够实时分析网络通信和IP包登录。SNORT能够出色的完成协议分析,内容搜索/匹配以及检测到多种攻击和扫描,如缓冲溢出、端口扫描、通用网关接口(CGI)攻击、服务器信息块(SMB)探察等。SNORT使用一种灵活的规则语言来描述它应该收集或过滤的信息,像一台检测引擎一样去利用建模插件体系结构。所述工具和技术例如:Traffic IQ、IDSInformer、Nmap(Network Mapper,网络映射器)、Stick、Snot、Sneeze、Hping等等。Traffic IQ是一款攻击模拟软件,它包含了丰富的攻击脚本库,涵盖了蠕虫、后门木马与间谍件、DoS(拒绝服务攻击)与DDoS(分布式拒绝服务攻击),以及针对Web(网页)、FTP(文件传输协议)、邮件、数据库等多种服务器和RPC(远程进程调用)远程漏洞的攻击脚本,它还提供接口供用户自定义新的攻击文件,具有良好的可扩展性。此外,Traffic IQ提供几乎所有常见协议,以帮助考察被测设备的协议支持能力。IDS Informer是一种高级包重发工具,包含一个独有的安全的包分发机制而无需任何协议和服务。IDSInformer可以允许用户在两块网卡之间传输预先定义的攻击数据,在硬件级别模拟计算机系统的操作,模拟任何一个源IP地址的目的地IP地址。而这些模拟攻击操作可以在任何一个投入运作的网络上进行,无需担心随之而来的额外的风险。这些操作都是在IDS Informer的控制之中,可以随时重复,或者根据预先定义操作发生。Nmap(Network Mapper,网络映射器)为一款开 放源代码的网络探测和安全审核的工具。Nmap的设计目标是快速地扫描大型网络,当然用它扫描单个主机也没有问题。Nmap以新颖的方式使用原始IP报文来发现网络上有哪些主机,这些主机提供什么样的服务(应用程序名和版本),这些服务运行在什么操作系统(包含版本信息),它们使用什么类型的报文过滤器/防火墙,以及其它功能。虽然Nmap通常用于安全审核,但许多系统管理员和网络管理员也用它来做一些日常的工作,比如查看整个网络的信息,管理服务升级计划,以及监视主机和服务的运行。Stick是一款针对IDS的拒绝服务工具,以SNORT的规则作为输入。Snot是一款针对IDS的拒绝服务工具,以SNORT的规则作为输入,Snot为一个任意包生成器,使用SNORT规则文件作为它的包信息源,可实时生成任意的未包含于规则中的信息,以牵制SNORT规则′Snot检测′的生成。Hping是一款基于命令行的TCP/IP工具,它在UNIX上得到很好地应用,一直被用作安全工具,可以用来测试网络及主机的安全。但在使用这些工具和技术进行测试的时候,测试人员发现其中存在以下一些问题:
(1)有很多测试工具,发送了很多攻击数据包,但是SNORT检测到的警报事件常常小于攻击工具发送的数据包。这种现象有些是可以通过SNORT的检测原理来解释的,但是有更多情况是无法解释清楚的,SNORT是一个非常庞大的系统,对于数据包的过滤有很多层,攻击数据包的类型也是多种多样的,所以测试人员无法知道这些攻击数据包到底是被正常过滤了,还是在哪些环节被丢掉了。
(2)从攻击到防御再到攻击目的地,整个进程对于测试人员来说是暗箱作业的,是不可见的,尤其在不能保证环境、攻击工具、检测工具完全可靠性的情况下,测试人员很难对测试结果做出一个准确的令人信服的判断。
(3)此外,在移植SNORT的时候,会发现SNORT系统庞大,工作模块众多。移植的时候技术人员经常会问,哪些模块可以卸载掉?哪些检测效率低下?哪些模块在防御中起到主要作用?虽然以上问题技术人员可以通过分析其源代码略知一二,但是如果能有一种检测工具或方法可以测试出每一项具体数据就更佳了。
发明内容
为了解决上述公知技术中的问题与缺陷,本发明的目的在于提供一种网络攻击检测内部追踪方法,用以在对网络入侵检测系统(IDS)进行测试时,通过配置和联合攻击方(Attack End Point,简称AEP)、防御方(Detect EndPoint,简称DEP)及目标方(Target End Point,简称TEP)三个部分,并通过在每一个部分设置相应的内部检查点(Check Point)来追踪攻击、防御、受攻击的不同阶段中测试用攻击数据包的整个生命周期。
本发明所提供的一种网络攻击检测内部追踪方法,包含以下步骤:
首先,在测试网络中建立具有一攻击端点、一检测端点及一目标端点的网络拓扑结构;在攻击端点安装各种类型的攻击工具及攻击端点例行程序,在检测端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在目标端点安装统计例行程序;攻击端点对攻击数据包的攻击类型进行分类,根据分类信息设置捕获数据包信息的检查点;检测端点分别在不同阶段设置对应的检查点,并将所有的设定选项保存为一个脚本文件,并将脚本文件发送至其它各端点;攻击端点通过所分发的脚本文件向检测端点或目标端点发出测试用攻击数据包,并将其检查点信息输出至一个临时文件中储存;检测端点通过旁路侦听模式检测从攻击端点发出的攻击数据包,并将其检查点信息以日志模式输出到一个临时文件中储存;目标端点检测接收到的攻击数据包,并记录日志,然后输出至一个临时文件中储存;以及检测端点在攻击作业完成后从其它各端点收集临时文件,并通过对全部临时文件中的每一个攻击数据包的流程信息进行匹配,然后经过分析生成一个最终的测试报告。
综上所述,本发明所提供的一种网络攻击检测内部追踪方法,其目的在于通过配置和联合攻击方、防御方、目标方三个部分,并通过在每一个部分设置相应的内部检查点来追踪攻击、防御、受攻击的不同阶段中测试用攻击数据包的整个生命周期,也就是说,在对网络入侵检测系统进行测试时,一个测试用攻击数据包从攻击到被过滤、被检测以及到目标主机的整个进程中,测试人员都可以清楚地了解数据包在每一个重要阶段的状态和信息,进而方便、快速、准确地生成测试报告。这样也就可以解决上述公知技术中的问题,并且可以有效地帮助开发人员直观地理解整个攻防体系和IDS各模块的运行机制。
附图说明
图1为本发明的一种网络攻击检测内部追踪方法所运行的系统的整体架构示意图;
图2为图1所示的系统在执行分发作业时的示意图;
图3为图1所示的系统在执行攻击作业并进行记录时的示意图;
图4为图1所示的系统在执行收集作业并生成报告时的示意图;以及
图5为本发明的一种网络攻击检测内部追踪方法的整体步骤流程图。
其中,附图标记说明如下:
10 攻击端点
20 检测端点
30 目标端点
具体实施方式
以下,将结合附图对本发明的优选实施方式作详细说明。
请参考图1至图4,图1表示了本发明的一种网络攻击检测内部追踪方法所运行的系统的整体架构示意图。图2为图1所示的系统在执行分发作业时的示意图。图3为图1所示的系统在执行攻击作业并进行记录时的示意图。图4为图1所示的系统在执行收集作业并生成报告时的示意图。如图1所示,本发明的一种网络攻击检测内部追踪方法所运行的系统包含:
攻击端点(Attack End Point,简称AEP)10,即为攻击方,为网络上的计算机主机,其安装有各种类型的攻击工具及攻击端点例行程序,攻击端点10可向攻击的目标方,即目标端点(Target End Point,简称TEP)30,发出测试用攻击数据包,并对攻击数据包的攻击类型进行分类,根据分类信息设置捕获这些信息的检查点(Check Point),检查点的设置可以通过直接修改攻击工具的源代码,也可以通过分析攻击工具的实时日志进行,最后输出到一个临时文件(Draft)中储存;
检测端点(Detect End Point,简称DEP)20,即为防御方,安装有定制的SNORT入侵检测系统(IDS)及检测端点例行程序,检测端点20 为SNORT增加了一种新的日志模式,同时分别在不同阶段设置对应的检查点,借以通过旁路侦听模式检测攻击数据包从攻击端点10发送至目标端点30的整个传输测试进程中的状态及信息,并以上述日志模式输出到临时文件(Draft)中储存;以及
目标端点(Target End Point,简称TEP)30,即为目标方,安装有统计例行程序,目标端点30使用Libpcap(一种构造网络探嗅工具的进程特性分析软件)检测接收到的指定源IP的攻击数据包,并记录日志,然后输出到临时文件(Draft)中储存。
如图2所示,本发明的一种网络攻击检测内部追踪方法所运行的系统在执行分发作业时,由检测端点20将所有的设定选项保存为一个脚本文件,并将其发送至其它端点。
如图3所示,本发明的一种网络攻击检测内部追踪方法所运行的系统在执行攻击作业并进行记录时,由攻击端点10通过所分发的上述脚本文件向检测端点20或目标端点30进行攻击作业,然后,攻击端点10、检测端点20及目标端点30将检查点(Check Point)信息与攻击作业一样写入至临时文件(Draft)中储存。
如图4所示,本发明的一种网络攻击检测内部追踪方法所运行的系统在执行收集作业并生成报告时,由检测端点20在攻击作业完成后从其它端点收集临时文件(Draft),并通过对全部临时文件中的每一个攻击数据包的流程信息进行匹配,并经过分析生成一个最终的测试报告。
现在请参考图5,此图为本发明的一种网络攻击检测内部追踪方法的整体步骤流程图,如图所示,本发明的一种网络攻击检测内部追踪方法,包含以下步骤:
首先,在测试网络中建立具有一攻击端点、一检测端点及一目标端点的网络拓扑结构,见步骤100;
在攻击端点安装各种类型的攻击工具及攻击端点例行程序,在检测端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在目标端点安装统计例行程序,见步骤200;
攻击端点对攻击数据包的攻击类型进行分类,根据分类信息设置捕获数据包信息的检查点,见步骤300,其中攻击端点的检查点的设置是通过直接修改攻击工具的源代码,或者通过分析攻击工具的实时日志进行;
检测端点分别在不同阶段设置对应的检查点,并将所有的设定选项保存为一个脚本文件,并将此脚本文件发送至其它各端点,见步骤400;
攻击端点通过所分发的脚本文件向检测端点和目标端点发出测试用攻击数据包,并将其检查点信息输出至一个临时文件中储存,见步骤500;
检测端点通过旁路侦听模式检测从攻击端点发出的测试用攻击数据包,并将其检查点信息以日志模式输出到一个临时文件中储存,见步骤600;
目标端点检测接收到的测试用攻击数据包,并记录日志,然后输出至一个临时文件中储存,见步骤700;以及
检测端点在攻击作业完成后从其它各端点收集临时文件,并通过对上述全部临时文件中的每一个攻击数据包的流程信息进行匹配,然后经过分析生成一个最终的测试报告,见步骤800。
此外,上述本发明的一种网络攻击检测内部追踪方法中,在攻击端点发出测试用攻击数据包之前还包含校验各端点的系统时间以求解出不同端点的系统时间差值,并由任一端点进行保存的步骤。
此外,上述本发明的一种网络攻击检测内部追踪方法中,在执行攻击作业的进程中各端点均会记录攻击数据包到达此端点的时间,并将所捕获的数据包经过协议、目标端口及协议类型的解析后与所记录的发出的数据包进行匹配,以确定所捕获的数据包与所发出的数据包的一致性。
此外,上述本发明的一种网络攻击检测内部追踪方法中,检测端点在检测测试用攻击数据包的进程中还包含如下步骤:
检查点计算所有被捕获的测试用攻击数据包的数量,并记录测试用攻击数据包的时间戳;
经过解码之后,检查点通过特定的IP或在所述攻击数据包中的其它标记过滤攻击数据包,而后将有问题的数据包标记为可疑数据包,并记录协议信息及当前时间戳;
检查点找出可疑数据包后,如果可疑数据包与前处理程序的规则匹配,则记录前处理程序的信息,然后,记录可疑数据包的当前时间戳;
检查点找出可疑数据包后,记录与规则树节点(Rule Tree Node,简称RTN)/规则选项节点(Optional Tree Node,简称OTN)中的规则进行匹配的整个进程,而后记录可疑数据包的当前时间戳;以及
在数据包处理的结尾处,检查点记录选定的事件,而后记录当前时间戳。
另外,上述本发明的一种网络攻击检测内部追踪方法中,目标端点使用Libpcap(一种公知的构造网络探嗅工具的进程特性分析软件)检测接收到的攻击数据包,此攻击数据包为指定源IP的攻击数据包。
Claims (7)
1.一种网络攻击检测内部追踪方法,用以对网络入侵检测系统进行测试,该方法包含以下步骤:
首先,在一测试网络中建立具有一攻击端点、一检测端点及一目标端点的网络拓扑结构;
在该攻击端点安装各种类型的攻击工具及攻击端点例行程序,在该检测端点安装预先定制的SNORT入侵检测系统及检测端点例行程序,在该目标端点安装统计例行程序;
该攻击端点对攻击数据包的攻击类型进行分类,根据该分类信息设置捕获所述数据包信息的检查点;
该检测端点分别在不同阶段设置对应的检查点,并将所有的设定选项保存为一脚本文件,并将该脚本文件发送至其它各端点;
该攻击端点通过所分发的该脚本文件向该检测端点和该目标端点发出测试用攻击数据包,并将其检查点信息输出至一临时文件中储存;
该检测端点通过旁路侦听模式检测从该攻击端点发出的测试用攻击数据包,并将其检查点信息以日志模式输出到一临时文件中储存;
该目标端点检测接收到的测试用攻击数据包,并记录日志后输出至一临时文件中储存;以及
该检测端点在攻击作业完成后从其它各端点收集所述临时文件,并通过对所述全部临时文件中储存的每一个攻击数据包的流程信息进行匹配,然后经过分析生成一最终的测试报告。
2.如权利要求1所述的网络攻击检测内部追踪方法,其中该攻击端点的检查点的设置通过直接修改攻击工具的源代码,或者通过分析攻击工具的实时日志进行。
3.如权利要求1所述的网络攻击检测内部追踪方法,其中在该攻击端点发出测试用攻击数据包之前还包含校验所述各端点的系统时间以求解出不同端点的系统时间差值,并由任一端点进行保存的步骤。
4.如权利要求1所述的网络攻击检测内部追踪方法,其中在执行攻击作业的进程中所述各端点均会记录该攻击数据包到达该端点的时间,并将所捕获的数据包经解析后与所记录的发出的数据包进行匹配,以确定该捕获的数据包与该发出的数据包的一致性。
5.如权利要求1所述的网络攻击检测内部追踪方法,其中该检测端点在检测所述测试用攻击数据包的进程中还包含如下步骤:
该检查点计算所有被捕获的测试用攻击数据包的数量,并记录所述测试用攻击数据包的时间戳;
经过解码之后,该检查点通过特定的IP或在所述攻击数据包中的其它标记过滤所述攻击数据包,而后将有问题的数据包标记为可疑数据包,并记录协议信息及当前时间戳;
该检查点找出可疑数据包后,如果该可疑数据包与前处理程序的规则匹配,则记录该前处理程序的信息,然后,记录所述可疑数据包的当前时间戳;
该检查点找出可疑数据包后,记录与规则树节点/规则选项节点中的规则进行匹配的整个进程,而后记录所述可疑数据包的当前时间戳;以及
在数据包处理的结尾处,该检查点记录选定的事件,而后记录当前时间戳。
6.如权利要求1所述的网络攻击检测内部追踪方法,其中该目标端点使用一种公知的构造网络探嗅工具的进程特性分析软件Libpcap检测接收到的该攻击数据包。
7.如权利要求6所述的网络攻击检测内部追踪方法,其中该攻击数据包为指定源IP的攻击数据包。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101949095A CN101453454B (zh) | 2007-12-06 | 2007-12-06 | 网络攻击检测内部追踪方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN2007101949095A CN101453454B (zh) | 2007-12-06 | 2007-12-06 | 网络攻击检测内部追踪方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101453454A CN101453454A (zh) | 2009-06-10 |
CN101453454B true CN101453454B (zh) | 2012-01-18 |
Family
ID=40735478
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101949095A Active CN101453454B (zh) | 2007-12-06 | 2007-12-06 | 网络攻击检测内部追踪方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101453454B (zh) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102201948B (zh) * | 2011-05-27 | 2013-09-18 | 北方工业大学 | 用于网络入侵检测系统的快速匹配方法 |
CN104009986B (zh) * | 2014-05-22 | 2017-03-15 | 中国电子科技集团公司第三十研究所 | 一种基于主机的网络攻击跳板检测方法及装置 |
CN106506545A (zh) * | 2016-12-21 | 2017-03-15 | 深圳市深信服电子科技有限公司 | 一种网络安全威胁评估系统及方法 |
CN107426166B (zh) * | 2017-05-17 | 2019-11-29 | 北京启明星辰信息安全技术有限公司 | 一种信息的获取方法、装置及电子设备 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
WO2006056239A1 (en) * | 2004-11-29 | 2006-06-01 | Telecom Italia S.P.A. | Method and system for managing denial of service situations |
CN1968158A (zh) * | 2006-09-21 | 2007-05-23 | 上海交通大学 | 实现入侵检测误警率分析教学实验的方法 |
-
2007
- 2007-12-06 CN CN2007101949095A patent/CN101453454B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2006056239A1 (en) * | 2004-11-29 | 2006-06-01 | Telecom Italia S.P.A. | Method and system for managing denial of service situations |
CN1668015A (zh) * | 2004-12-20 | 2005-09-14 | 华中科技大学 | 基于协同入侵检测的大规模网络安全防御系统 |
CN1738257A (zh) * | 2004-12-31 | 2006-02-22 | 北京大学 | 基于应用协议检测引擎的网络入侵检测系统和方法 |
CN1968158A (zh) * | 2006-09-21 | 2007-05-23 | 上海交通大学 | 实现入侵检测误警率分析教学实验的方法 |
Non-Patent Citations (1)
Title |
---|
中华人民共和国信息产业部.网络入侵检测系统技术要求.《通信技术规定 YDN 140-2006》.2006, * |
Also Published As
Publication number | Publication date |
---|---|
CN101453454A (zh) | 2009-06-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US20100031093A1 (en) | Internal tracing method for network attack detection | |
Pilli et al. | Network forensic frameworks: Survey and research challenges | |
Kholidy et al. | CIDD: A cloud intrusion detection dataset for cloud computing and masquerade attacks | |
CN101447991B (zh) | 用于测试入侵检测系统的测试装置及测试方法 | |
CN108809951A (zh) | 一种适用于工业控制系统的渗透测试框架 | |
CN105391729A (zh) | 基于模糊测试的web漏洞自动挖掘方法 | |
Spyridopoulos et al. | Incident analysis & digital forensics in SCADA and industrial control systems | |
US10824549B1 (en) | System and method for regression testing of an application programming interface | |
CN112671553A (zh) | 基于主被动探测的工控网络拓扑图生成方法 | |
Singh et al. | An approach to understand the end user behavior through log analysis | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
CN109063486B (zh) | 一种基于plc设备指纹识别的安全渗透测试方法与系统 | |
CN113660115B (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
Simoes et al. | On the use of honeypots for detecting cyber attacks on industrial control networks | |
CN101453454B (zh) | 网络攻击检测内部追踪方法 | |
CN104219221A (zh) | 一种网络安全流量生成方法和系统 | |
CN115208634A (zh) | 一种网络资产的监管引擎 | |
Novotny et al. | On-demand discovery of software service dependencies in MANETs | |
CN105656730A (zh) | 一种基于tcp数据包的网络应用快速发现方法和系统 | |
Lubis et al. | Network forensic application in general cases | |
Hermanowski | Open source security information management system supporting it security audit | |
Silva et al. | A review of the current state of Honeynet architectures and tools | |
Cabaj et al. | HoneyPot systems in practice | |
CN113660223B (zh) | 基于告警信息的网络安全数据处理方法、装置及系统 | |
CN112446030B (zh) | 一种网页端的文件上传漏洞检测方法和装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
ASS | Succession or assignment of patent right |
Owner name: I VALLEY HOLDINGS CO., LTD. Free format text: FORMER OWNER: YINGYEDA CO., LTD., TAIWAN Effective date: 20150805 |
|
C41 | Transfer of patent application or patent right or utility model | ||
TR01 | Transfer of patent right |
Effective date of registration: 20150805 Address after: Cayman Islands, George Town Patentee after: IValley Holding Co., Ltd. Address before: Taipei City, Taiwan, China Patentee before: Inventec Corporation |