CN106998323A - 应用层网络攻击仿真方法、装置及系统 - Google Patents

应用层网络攻击仿真方法、装置及系统 Download PDF

Info

Publication number
CN106998323A
CN106998323A CN201710123295.5A CN201710123295A CN106998323A CN 106998323 A CN106998323 A CN 106998323A CN 201710123295 A CN201710123295 A CN 201710123295A CN 106998323 A CN106998323 A CN 106998323A
Authority
CN
China
Prior art keywords
attack
emulation
application layer
layer network
service end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201710123295.5A
Other languages
English (en)
Other versions
CN106998323B (zh
Inventor
王波
林诗超
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sangfor Technologies Co Ltd
Original Assignee
Sangfor Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sangfor Technologies Co Ltd filed Critical Sangfor Technologies Co Ltd
Priority to CN201710123295.5A priority Critical patent/CN106998323B/zh
Publication of CN106998323A publication Critical patent/CN106998323A/zh
Application granted granted Critical
Publication of CN106998323B publication Critical patent/CN106998323B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种应用层网络攻击仿真方法,包括:客户端创建任务以及配置任务参数,并控制服务端生成靶机实例,以及根据配置的任务参数与靶机进行交互协商,以供对创建的任务进行本地初始化,得到仿真任务;根据仿真任务生成应用层网络攻击报文,并经过安全防护设备向服务端的靶机发送该攻击报文;在仿真任务执行过程中,客户端汇总本地以及服务端反馈的各条仿真数据流的状态,并在仿真任务结束后,根据仿真数据流的最终状态判断安全防护设备的防护是否有效,以及对安全防护设备的防护能力进行评估。本发明还公开了一种应用层网络攻击仿真装置及系统。本发明能够快速完成应用层网络攻击仿真,实现了对安全产品应用层防护能力的检测与评估。

Description

应用层网络攻击仿真方法、装置及系统
技术领域
本发明涉及网络攻击仿真测试领域,尤其涉及应用层网络攻击仿真方法、装置及系统。
背景技术
现网统计结果表明,网络攻击战场已经从传统OSI模型的传输层、网络层转移到了应用层,而相对于传输层与网络层的攻击,应用层攻击更加直接、隐蔽、灵活多变,进而对安全产品的防护能力要求也更高。
当前,针对安全产品测试方式主要有开源工具和专业仪器两种,但现有测试方案对于安全产品仿真测试场景都有着明显的不足:
1、使用复杂:现有开源渗透测试工具开源系统比较复杂,因此目标用户一般都是针对专业渗透测试人员,一般人难以上手,因而也就无法对安全产品防护能力做出准确评估;
2、价格昂贵:专业的测试仪器属于高性能测试仪,其设备和授权价格都很昂贵,而这对于中低端安全产品防护性能的评估测试来说,势必会使得评估测试价格超过安全产品本身的价格,因此测试成本太高;
3、专业性差:大多数安全产品防护能力评估过程中主要依赖简单的数据包回放或者现网环境评估一下数据中心报表内容,而很少从安全产品本身维度和现网环境进行整体测试评估。
发明内容
本发明提供一种应用层网络攻击仿真方法、装置及系统,旨在解决现有安全产品仿真测试复杂、成本高且测试效果较差的技术问题。
为实现上述目的,本发明提供一种应用层网络攻击仿真方法,所述应用层网络攻击仿真方法包括:
客户端创建任务以及配置任务参数,并向服务端发送控制报文,以供控制所述服务端生成靶机实例,其中,所述客户端与所述服务端之间设置有安全防护设备;
当接收到靶机就绪通知时,所述客户端根据配置的所述任务参数与靶机进行交互协商,以供对所述任务进行本地初始化,得到仿真任务;
当所述本地初始化完成后,所述客户端根据所述仿真任务,生成应用层网络攻击报文,并经过所述安全防护设备向所述服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
在所述仿真任务执行过程中,所述客户端汇总本地以及所述服务端反馈的各条仿真数据流的状态,并在所述仿真任务结束后,根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效,以及对所述安全防护设备的防护能力进行评估。
优选地,所述根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效包括:
若所述仿真数据流的最终状态为所述客户端已发送所述攻击报文而所述服务端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文而所述客户端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文且所述客户端接收到,则所述安全防护设备的防护无效;
若所述仿真数据流的最终状态为所述服务端已接收所述攻击报文而未生成所述攻击响应报文,则所述安全防护设备的防护无效。
优选地,所述任务参数至少包括:仿真攻击素材、靶机运行参数、所述客户端与所述服务端进行交互所使用的私有控制协议;
其中,所述客户端可与外部服务器进行交互以更新所述仿真攻击素材,所述服务端根据所述靶机运行参数生成靶机实例。
优选地,所述应用层网络攻击仿真方法还包括:
所述客户端生成所述安全防护设备防护能力的仿真测试报表并输出,其中,所述仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
进一步地,为实现上述目的,本发明还提供一种应用层网络攻击仿真装置,所述应用层网络攻击仿真装置包括:
预处理模块,用于创建任务以及配置任务参数,并向服务端发送控制报文,以供控制所述服务端生成靶机实例,以及根据配置的所述任务参数与靶机进行交互协商,以供对所述任务进行本地初始化,得到仿真任务,其中,所述应用层网络攻击仿真装置与所述服务端之间设置有安全防护设备;
仿真测试模块,用于当所述本地初始化完成后,根据所述仿真任务,生成应用层网络攻击报文,并经过所述安全防护设备向所述服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
结果评估模块,用于在所述仿真任务执行过程中,汇总本地以及所述服务端反馈的各条仿真数据流的状态,并在所述仿真任务结束后,根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效,以及对所述安全防护设备的防护能力进行评估。
优选地,若所述仿真数据流的最终状态为所述应用层网络攻击仿真装置已发送所述攻击报文而所述服务端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文而所述应用层网络攻击仿真装置未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文且所述应用层网络攻击仿真装置接收到,则所述安全防护设备的防护无效;
若所述仿真数据流的最终状态为所述服务端已接收所述攻击报文而未生成所述攻击响应报文,则所述安全防护设备的防护无效。
优选地,所述任务参数至少包括:仿真攻击素材、靶机运行参数、所述应用层网络攻击仿真装置与所述服务端进行交互所使用的私有控制协议;
其中,所述应用层网络攻击仿真装置可与外部服务器进行交互以更新所述仿真攻击素材,所述服务端根据所述靶机运行参数生成靶机实例。
优选地,所述应用层网络攻击仿真装置还包括:
报表输出模块,用于生成所述安全防护设备防护能力的仿真测试报表并输出,其中,所述仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
进一步地,为实现上述目的,本发明还提供一种应用层网络攻击仿真系统,所述应用层网络攻击仿真系统包括客户端、服务端以及安全防护设备,所述安全防护设备设置在所述客户端与所述服务端之间,且所述客户端包括上述任一项所述的应用层网络攻击仿真装置。
优选地,所述服务端包括:
靶机处理模块,用于根据所述客户端发送的控制报文,生成靶机实例,并对靶机进行任务初始化;
攻击响应模块,用于在接收到所述客户端发送的应用层网络攻击报文时,生成相应的攻击响应报文,并经过所述安全防护设备向所述客户端发送该攻击响应报文;
状态记录模块,用于在所述客户端组装形成的仿真任务的执行过程中,记录接收和/或发送的仿真数据流的状态。
本发明中,测试人员只需在客户端配置相应的任务参数即可对安全防护设备的防护性能进行测试,因而测试操作简单、容易上手;同时,测试过程只需两台普通设备(比如计算机)即可完成测试,因而测试成本低;此外,测试过程中,通过现实存在的客户端设备仿真攻击报文,同时也通过现实存在的服务端设备仿真攻击响应,从而能够给予安全防护设备本身维度以及现网实际环境进行整体测试,并对测试结果进行评估,从而能够快速完成应用层网络攻击仿真,实现了对安全产品应用层防护能力的专业检测与评估。
附图说明
图1为本发明应用层网络攻击仿真方法一实施例的流程示意图;
图2为本发明应用层网络攻击仿真系统一实施例的设备连接示意图;
图3为本发明应用层网络攻击仿真方法一实施例中仿真数据流的状态转换关系示意图;
图4为本发明应用层网络攻击仿真装置第一实施例的功能模块示意图;
图5为本发明应用层网络攻击仿真装置第二实施例的功能模块示意图;
图6为本发明应用层网络攻击仿真系统一实施例的功能模块示意图;
图7为图6中服务端的细化功能模块示意图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明应用层网络攻击仿真方法一实施例的流程示意图。本实施例中,应用层网络攻击仿真方法包括:
步骤S10,客户端创建任务以及配置任务参数,并向服务端发送控制报文,以供控制服务端生成靶机实例,其中,客户端与服务端之间设置有安全防护设备;
本实施例中,对于客户端以及服务端的类型不限,比如安装有仿真系统及必要的运行环境的计算机,从而可大大降低测试成本。此外,客户端与服务端之间设置有安全防护设备,如图2所示。其中,对于安全防护设备的具体类型亦不限,比如网关设备。
本实施例中,在对安全防护设备的防护能力进行仿真测试前,需要进行相应的预处理,包括:客户端创建任务以及配置任务参数、服务端生成靶机实例。本实施例的仿真测试具体以任务形式进行处理,通过配置创建的任务的相关参数,从而降低了测试操作的难度与复杂度。
可选的,配置的任务参数至少包括:仿真攻击素材、靶机运行参数、客户端与服务端进行交互所使用的私有控制协议。
其中,对于仿真攻击素材的内容不限,比如常见的应用层网络攻击,如OWSAP定义的10种网站安全攻击(如SQL注入、XSS注入等)、常见应用层协议(如FTP、DNS、TFTP、RDP、数据库等)已知漏洞,以及新型的APT、病毒木马等。此外,客户端还可与外部服务器进行交互以更新仿真攻击素材,如图2所示。
本实施例中,客户端不仅完成本端的任务参数配置,同时还完成服务端的靶机运行参数配置,并通过设定的私有控制协议向服务端发送控制报文,进而将包含靶机运行参数在内的相关参数数据发送至服务端,并再由服务端根据靶机运行参数生成靶机实例。
步骤S20,当接收到靶机就绪通知时,客户端根据配置的任务参数与靶机进行交互协商,以供对任务进行本地初始化,得到仿真任务;
本实施例中,当服务端根据客户端发送的控制报文而生成靶机实例时,将向客户端返回靶机实例就绪的通知,从而当客户端接收到该就绪通知时,客户端将根据预先配置的任务参数与靶机交互协商,以供对创建的任务进行本地初始化而得到仿真任务。
本实施例中优选根据配置参数对创建的任务进行组装而形成仿真任务,由于组装方式的多样性,因此不同组装方式所得到的仿真任务亦具有多样性,进而可准确地对现网环境中存在的各种应用层网络攻击行为进行仿真,从而提升仿真测试效果。
步骤S30,当本地初始化完成后,客户端根据仿真任务,生成应用层网络攻击报文,并经过安全防护设备向服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
本实施例中,当客户端所创建的任务的本地初始化完成后,得到相应的仿真任务时,客户端将根据该仿真任务而生成相应的应用层网络攻击报文(后续简称攻击报文)。本实施例中,对于生成应用层网络攻击报文的方式不限。同时,客户端将该攻击报文穿过安全防护设备而发往服务端,从而供服务端的靶机执行并返回相应的响应报文。
本实施例中,客户端发送攻击报文的攻击报文原则上是供靶机执行,且靶机执行完后需要返回攻击响应,但由于客户端与服务端之间设有安全防护设备,而该安全防护设备可能会对攻击报文或者攻击响应进行拦截或处理,因而相应会改变仿真数据流的状态,因此,本实施例对于仿真数据流的具体状态不限,比如客户端发送成功而服务端未接收,或者服务端接收了但靶机未能执行,或者靶机执行了但未返回响应,或者靶机执行并返回了响应但客户端未接到响应。
步骤S40,在仿真任务执行过程中,客户端汇总本地以及服务端反馈的各条仿真数据流的状态,并在仿真任务结束后,根据仿真数据流的最终状态判断安全防护设备的防护是否有效,以及对安全防护设备的防护能力进行评估。
本实施例中,组装形成的仿真任务可能存在多条,不同的仿真任务对应不同的仿真攻击类型,因此,为进一步了解仿真测试结果,因此,在仿真任务执行过程中,客户端将自动记录本地发送的或接收的仿真数据流(比如攻击报文、攻击响应等)的状态,同时,服务端将自身记录的仿真数据流的状态通过控制协议主动反馈到客户端。本实施例中具体在客户端汇总客户端与服务端各自记录的仿真数据流的状态,并在仿真任务结束后,根据仿真数据流的最终状态判断安全防护设备的防护是否有效,以及对安全防护设备的防护能力进行评估。本实施例中对于评估的方式内容不限,具体根据实际需要进行设置。
本实施例中,测试人员只需在客户端配置相应的任务参数即可对安全防护设备的防护性能进行测试,因而测试操作简单、容易上手;同时,测试过程只需两台普通设备(比如计算机)即可完成测试,因而测试成本低;此外,测试过程中,通过现实存在的客户端设备仿真攻击报文,同时也通过现实存在的服务端设备仿真攻击响应,从而能够给予安全防护设备本身维度以及现网实际环境进行整体测试,并对测试结果进行评估,从而能够快速完成应用层网络攻击仿真,实现了对安全产品应用层防护能力的专业检测与评估。
进一步地,在本发明应用层网络攻击仿真方法另一实施例中,客户端根据仿真任务结束后所搜集到的每一条仿真数据流的最终状态来判断安全防护设备的防护是否有效,并根据所触发的任务配置和仿真攻击分类进行综合防护能力评估,仿真测试过程中的每一条仿真流会经过不同条件下的状态转换后,最终将以四种状态存在,具体状态转换关系如图3所示。
情形一:若仿真数据流的最终状态为客户端已发送攻击报文而服务端未接收到,则安全防护设备的防护有效;
情形二:若仿真数据流的最终状态为服务端已返回攻击响应报文而客户端未接收到,则安全防护设备的防护有效;
情形三:若仿真数据流的最终状态为服务端已返回攻击响应报文且客户端接收到,则安全防护设备的防护无效;
情形四:若仿真数据流的最终状态为服务端已接收攻击报文而未生成攻击响应报文,则安全防护设备的防护无效。
如下表1所示。仿真测试过程中的每一条仿真流会经过不同条件下的状态转换后,最终将以如下四种状态存在。
表1
其中,已发送状态对应于上述情形一,此时客户端发送的攻击报文被安全防护设备拦截,因此服务端未接收到,因此,安全防护设备的防护有效;无响应对应于上述情形二,此时客户端发送的攻击报文被服务端接收且被靶机处理,但服务端的靶机处理后返回的攻击响应报文被安全防护设备拦截,因而客户端未接收到,因此,安全防护设备的防护有效;收到响应对应于上述情形三,此时客户端发送的攻击报文被服务端接收且被靶机处理,并且靶机处理后返回的攻击响应报文被客户端接收到,也即仿真攻击流生效,因而安全防护设备的防护无效;服务错误对应于上述情形四,此时客户端发送的攻击报文被服务端接收,但却未被靶机处理,也即系统处理错误,因而靶机没有生成相应的攻击响应报文,因此安全防护设备的防护无效。
本实施例中,客户端具体根据仿真数据流的最终状态来判断安全防护设备的防护是否有效,并根据所触发的任务配置和仿真攻击分类进行综合防护能力评估。也即基于客户端配置的任务参数而生成的应用层网络攻击报文,其所对应的仿真数据流的状态是可以预先确定的,进而可通过对比实际的防护结果来进行防护能力的评估。比如客户端发送了一条SQL注入的攻击报文,如果安全防护设备防护有效,则对应的仿真数据流状态应为“无响应”,而若实际的状态为“收到响应”则说明安全防护设备防护无效。
进一步地,在本发明应用层网络攻击仿真方法一实施例中,为便于测试人员详细了解测试结果,应用层网络攻击仿真方法还包括:
客户端生成安全防护设备防护能力的仿真测试报表并输出,其中,仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
本实施例中,客户端可自动生成安全防护设备防护能力的仿真测试报表并输出展示,进而可为企业完成安全产品防护能力评估和选型提供可靠的数据支撑。
本实施例中,评估结果优选以识别率来标识防护能力,识别率越高,对应防护能力更强。测试报表中主要提供仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果,此外还可进一步提供包括成功或者失败的测试样本列表及公开的CVE编号等信息。
参照图4,图4为本发明应用层网络攻击仿真装置第一实施例的功能模块示意图。本实施例中,应用层网络攻击仿真装置包括:
预处理模块10,用于创建任务以及配置任务参数,并向服务端发送控制报文,以供控制服务端生成靶机实例,以及根据配置的任务参数与靶机进行交互协商,以供对任务进行本地初始化,得到仿真任务,其中,应用层网络攻击仿真装置与服务端之间设置有安全防护设备;
本实施例中,对于应用层网络攻击仿真装置以及服务端的类型不限,比如安装有仿真系统及必要的运行环境的计算机,从而可大大降低测试成本。此外,应用层网络攻击仿真装置与服务端之间设置有安全防护设备,其中,对于安全防护设备的具体类型亦不限,比如网关设备。
本实施例中,在对安全防护设备的防护能力进行仿真测试前,需要进行相应的预处理,包括:应用层网络攻击仿真装置创建任务以及配置任务参数、服务端生成靶机实例。本实施例的仿真测试具体以任务形式进行处理,通过配置创建的任务的相关参数,从而降低了测试操作的难度与复杂度。
可选的,配置的任务参数至少包括:仿真攻击素材、靶机运行参数、客户端与服务端进行交互所使用的私有控制协议。
其中,对于仿真攻击素材的内容不限,比如常见的应用层网络攻击,如OWSAP定义的10种网站安全攻击(如SQL注入、XSS注入等)、常见应用层协议(如FTP、DNS、TFTP、RDP、数据库等)已知漏洞,以及新型的APT、病毒木马等。此外,客户端还可与外部服务器进行交互以更新仿真攻击素材。
本实施例中,应用层网络攻击仿真装置不仅完成本端的任务参数配置,同时还完成服务端的靶机运行参数配置,并通过设定的私有控制协议向服务端发送控制报文,进而将包含靶机运行参数在内的相关参数数据发送至服务端,并再由服务端根据靶机运行参数生成靶机实例。
本实施例中,当服务端根据客户端发送的控制报文而生成靶机实例时,将向应用层网络攻击仿真装置返回靶机实例就绪的通知,从而当应用层网络攻击仿真装置接收到该就绪通知时,应用层网络攻击仿真装置将根据预先配置的任务参数与靶机交互协商,以供对创建的任务进行本地初始化而得到仿真任务。
本实施例中优选根据配置参数对创建的任务进行组装而形成仿真任务,由于组装方式的多样性,因此不同组装方式所得到的仿真任务亦具有多样性,进而可准确地对现网环境中存在的各种应用层网络攻击行为进行仿真,从而提升仿真测试效果。
仿真测试模块20,用于当本地初始化完成后,根据仿真任务,生成应用层网络攻击报文,并经过安全防护设备向服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
本实施例中,当应用层网络攻击仿真装置所创建的任务的本地初始化完成后,得到相应的仿真任务时,应用层网络攻击仿真装置将根据该仿真任务而生成相应的应用层网络攻击报文(后续简称攻击报文)。本实施例中,对于生成应用层网络攻击报文的方式不限。同时,应用层网络攻击仿真装置将该攻击报文穿过安全防护设备而发往服务端,从而供服务端的靶机执行并返回相应的响应报文。
本实施例中,应用层网络攻击仿真装置发送攻击报文的攻击报文原则上是供靶机执行,且靶机执行完后需要返回攻击响应,但由于应用层网络攻击仿真装置与服务端之间设有安全防护设备,而该安全防护设备可能会对攻击报文或者攻击响应进行拦截或处理,因而相应会改变仿真数据流的状态,因此,本实施例对于仿真数据流的具体状态不限,比如应用层网络攻击仿真装置发送成功而服务端未接收,或者服务端接收了但靶机未能执行,或者靶机执行了但未返回响应,或者靶机执行并返回了响应但应用层网络攻击仿真装置未接到响应。
结果评估模块30,用于在仿真任务执行过程中,汇总本地以及服务端反馈的各条仿真数据流的状态,并在仿真任务结束后,根据仿真数据流的最终状态判断安全防护设备的防护是否有效,以及对安全防护设备的防护能力进行评估。
本实施例中,组装形成的仿真任务可能存在多条,不同的仿真任务对应不同的仿真攻击类型,因此,为进一步了解仿真测试结果,因此,在仿真任务执行过程中,应用层网络攻击仿真装置将自动记录本地发送的或接收的仿真数据流(比如攻击报文、攻击响应等)的状态,同时,服务端将自身记录的仿真数据流的状态通过控制协议主动反馈到应用层网络攻击仿真装置。本实施例中具体在应用层网络攻击仿真装置汇总本地与服务端各自记录的仿真数据流的状态,并在仿真任务结束后,根据仿真数据流的最终状态判断安全防护设备的防护是否有效,以及对安全防护设备的防护能力进行评估。本实施例中对于评估的方式内容不限,具体根据实际需要进行设置。。
本实施例中,测试人员只需在客户端配置相应的任务参数即可对安全防护设备的防护性能进行测试,因而测试操作简单、容易上手;同时,测试过程只需两台普通设备(比如计算机)即可完成测试,因而测试成本低;此外,测试过程中,通过现实存在的客户端设备仿真攻击报文,同时也通过现实存在的服务端设备仿真攻击响应,从而能够给予安全防护设备本身维度以及现网实际环境进行整体测试,并对测试结果进行评估,从而能够快速完成应用层网络攻击仿真,实现了对安全产品应用层防护能力的专业检测与评估。
进一步地,在本发明应用层网络攻击仿真装置一实施例中,应用层网络攻击仿真装置根据仿真任务结束后所搜集到的每一条仿真数据流的最终状态来判断安全防护设备的防护是否有效,并根据所触发的任务配置和仿真攻击分类进行综合防护能力评估,仿真测试过程中的每一条仿真流会经过不同条件下的状态转换后,最终将以四种状态存在,具体状态转换关系如图3所示。
情形一:若所述仿真数据流的最终状态为所述应用层网络攻击仿真装置已发送所述攻击报文而所述服务端未接收到,则所述安全防护设备的防护有效;
情形二:若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文而所述应用层网络攻击仿真装置未接收到,则所述安全防护设备的防护有效;
情形三:若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文且所述应用层网络攻击仿真装置接收到,则所述安全防护设备的防护无效;
情形四:若所述仿真数据流的最终状态为所述服务端已接收所述攻击报文而未生成所述攻击响应报文,则所述安全防护设备的防护无效。
如下表2所示。仿真测试过程中的每一条仿真流会经过不同条件下的状态转换后,最终将以如下四种状态存在。
表2
状态 评估结果 备注
已发送 防护有效 攻击请求被拦截
无响应 防护有效 攻击响应被拦截
收到响应 防护无效 攻击流正常
服务错误 防护无效 系统错误
其中,已发送状态对应于上述情形一,此时应用层网络攻击仿真装置发送的攻击报文被安全防护设备拦截,因此服务端未接收到,因此,安全防护设备的防护有效;
无响应对应于上述情形二,此时应用层网络攻击仿真装置发送的攻击报文被服务端接收且被靶机处理,但服务端的靶机处理后返回的攻击响应报文被安全防护设备拦截,因而应用层网络攻击仿真装置未接收到,因此,安全防护设备的防护有效;
收到响应对应于上述情形三,此时应用层网络攻击仿真装置发送的攻击报文被服务端接收且被靶机处理,并且靶机处理后返回的攻击响应报文被应用层网络攻击仿真装置接收到,也即仿真攻击流生效,因而安全防护设备的防护无效;
服务错误对应于上述情形四,此时应用层网络攻击仿真装置发送的攻击报文被服务端接收,但却未被靶机处理,也即系统处理错误,因而靶机没有生成相应的攻击响应报文,因此安全防护设备的防护无效。
本实施例中,应用层网络攻击仿真装置具体根据仿真数据流的最终状态来判断安全防护设备的防护是否有效,并根据所触发的任务配置和仿真攻击分类进行综合防护能力评估。也即基于应用层网络攻击仿真装置配置的任务参数而生成的应用层网络攻击报文,其所对应的仿真数据流的状态是可以预先确定的,进而可通过对比实际的防护结果来进行防护能力的评估。比如应用层网络攻击仿真装置发送了一条SQL注入的攻击报文,如果安全防护设备防护有效,则对应的仿真数据流状态应为“无响应”,而若实际的状态为“收到响应”则说明安全防护设备防护无效。
参照图5,图5为本发明应用层网络攻击仿真装置第二实施例的功能模块示意图。基于上述装置第一实施例,本实施例中,应用层网络攻击仿真装置还包括:
报表输出模块40,用于生成安全防护设备防护能力的仿真测试报表并输出,其中,仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
本实施例中,客户端可自动生成安全防护设备防护能力的仿真测试报表并输出展示,进而可为企业完成安全产品防护能力评估和选型提供可靠的数据支撑。
本实施例中,评估结果优选以识别率来标识防护能力,识别率越高,对应防护能力更强。测试报表中主要提供仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果,此外还可进一步提供包括成功或者失败的测试样本列表及公开的CVE公共漏洞编号等信息。
参照图6,图6为本发明应用层网络攻击仿真系统一实施例的功能模块示意图。本实施例中,应用层网络攻击仿真系统包括:客户端210、服务端220以及安全防护设备230。
本实施例中,安全防护设备设置230在客户端210与服务端220之间,如图2所示,且客户端210包括上述应用层网络攻击仿真装置2101。此外,本实施例中,对于客户端210与服务端220的设备类型不限,比如为安装有仿真系统及必要的运行环境的计算机。
本实施例中,客户端210作为本仿真系统主体运载对象,通过私有控制协议控制仿真测试的全部过程,包括靶机控制、任务组装、攻击仿真、结果评估;
安全防护设备220,如安全网关,则作为本仿真系统的主要被测试对象,主要负责对仿真系统还原出来的攻击数据流进行再检测和清洗,从而可通过实际防护效果来评估全防护设备220的网络防护能力;
服务端230则作为本仿真系统的靶机辅助系统,负责响应对来自客户端210的各种报文请求,比如进行交互的报文、仿真攻击报文,以及完成对仿真攻击靶机的建模和执行,并通过预定义的私有控制协议实时向客户端210反馈靶机运行结果,比如反馈靶机的攻击响应报文。
参照图7,图7为图6中服务端的细化功能模块示意图。本实施例中,服务端220包括:
靶机处理模块2201,用于根据客户端发送的控制报文,生成靶机实例,并对靶机进行任务初始化;
攻击响应模块2202,用于在接收到客户端发送的应用层网络攻击报文时,生成相应的攻击响应报文,并经过安全防护设备向客户端发送该攻击响应报文;
状态记录模块2203,用于在客户端组装形成的仿真任务的执行过程中,记录接收和/或发送的仿真数据流的状态。
本实施例中,客户端210创建任务,并配置任务的相关参数,比如靶机运行参数,并通过控制报文将靶机运行参数发送至服务端220,服务端220根据客户端210传来的控制报文而获得靶机运行参数,进而生成靶机实例。
此外,服务端220还进一步在接收到客户端210发送的攻击报文时,经过安全防护设备230向客户端210返回相应的攻击响应报文;以及在仿真任务执行的整个过程中,自动记录接收到的和/或发送出去的仿真数据流的状态,比如记录接收到的攻击报文的状态、记录返回的攻击响应报文的状态,进而便于客户端210汇总后对安全防护设备230的防护效果进行评估。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。

Claims (10)

1.一种应用层网络攻击仿真方法,其特征在于,所述应用层网络攻击仿真方法包括:
客户端创建任务以及配置任务参数,并向服务端发送控制报文,以供控制所述服务端生成靶机实例,其中,所述客户端与所述服务端之间设置有安全防护设备;
当接收到靶机就绪通知时,所述客户端根据配置的所述任务参数与靶机进行交互协商,以供对所述任务进行本地初始化,得到仿真任务;
当所述本地初始化完成后,所述客户端根据所述仿真任务,生成应用层网络攻击报文,并经过所述安全防护设备向所述服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
在所述仿真任务执行过程中,所述客户端汇总本地以及所述服务端反馈的各条仿真数据流的状态,并在所述仿真任务结束后,根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效,以及对所述安全防护设备的防护能力进行评估。
2.如权利要求1所述的应用层网络攻击仿真方法,其特征在于,所述根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效包括:
若所述仿真数据流的最终状态为所述客户端已发送所述攻击报文而所述服务端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文而所述客户端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文且所述客户端接收到,则所述安全防护设备的防护无效;
若所述仿真数据流的最终状态为所述服务端已接收所述攻击报文而未生成所述攻击响应报文,则所述安全防护设备的防护无效。
3.如权利要求1所述的应用层网络攻击仿真方法,其特征在于,所述任务参数至少包括:仿真攻击素材、靶机运行参数、所述客户端与所述服务端进行交互所使用的私有控制协议;
其中,所述客户端可与外部服务器进行交互以更新所述仿真攻击素材,所述服务端根据所述靶机运行参数生成靶机实例。
4.如权利要求1至3中任一项所述的应用层网络攻击仿真方法,其特征在于,所述应用层网络攻击仿真方法还包括:
所述客户端生成所述安全防护设备防护能力的仿真测试报表并输出,其中,所述仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
5.一种应用层网络攻击仿真装置,其特征在于,所述应用层网络攻击仿真装置包括:
预处理模块,用于创建任务以及配置任务参数,并向服务端发送控制报文,以供控制所述服务端生成靶机实例,以及根据配置的所述任务参数与靶机进行交互协商,以供对所述任务进行本地初始化,得到仿真任务,其中,所述应用层网络攻击仿真装置与所述服务端之间设置有安全防护设备;
仿真测试模块,用于当所述本地初始化完成后,根据所述仿真任务,生成应用层网络攻击报文,并经过所述安全防护设备向所述服务端的靶机发送该攻击报文,以供靶机执行并返回攻击响应报文;
结果评估模块,用于在所述仿真任务执行过程中,汇总本地以及所述服务端反馈的各条仿真数据流的状态,并在所述仿真任务结束后,根据所述仿真数据流的最终状态判断所述安全防护设备的防护是否有效,以及对所述安全防护设备的防护能力进行评估。
6.如权利要求5所述的应用层网络攻击仿真装置,其特征在于,
若所述仿真数据流的最终状态为所述应用层网络攻击仿真装置已发送所述攻击报文而所述服务端未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文而所述应用层网络攻击仿真装置未接收到,则所述安全防护设备的防护有效;
若所述仿真数据流的最终状态为所述服务端已返回所述攻击响应报文且所述应用层网络攻击仿真装置接收到,则所述安全防护设备的防护无效;
若所述仿真数据流的最终状态为所述服务端已接收所述攻击报文而未生成所述攻击响应报文,则所述安全防护设备的防护无效。
7.如权利要求5所述的应用层网络攻击仿真装置,其特征在于,所述任务参数至少包括:仿真攻击素材、靶机运行参数、所述应用层网络攻击仿真装置与所述服务端进行交互所使用的私有控制协议;
其中,所述应用层网络攻击仿真装置可与外部服务器进行交互以更新所述仿真攻击素材,所述服务端根据所述靶机运行参数生成靶机实例。
8.如权利要求5至7中任一项所述的应用层网络攻击仿真装置,其特征在于,所述应用层网络攻击仿真装置还包括:
报表输出模块,用于生成所述安全防护设备防护能力的仿真测试报表并输出,其中,所述仿真测试报表内容至少包括:仿真攻击识别率、仿真攻击类别列表、仿真测试样本基本信息以及仿真测试结果。
9.一种应用层网络攻击仿真系统,其特征在于,所述应用层网络攻击仿真系统包括客户端、服务端以及安全防护设备,所述安全防护设备设置在所述客户端与所述服务端之间,且所述客户端包括权利要求5至8中任一项所述的应用层网络攻击仿真装置。
10.如权利要求9所述的应用层网络攻击仿真系统,其特征在于,所述服务端包括:
靶机处理模块,用于根据所述客户端发送的控制报文,生成靶机实例,并对靶机进行初始化;
攻击响应模块,用于在接收到所述客户端发送的应用层网络攻击报文时,生成相应的攻击响应报文,并经过所述安全防护设备向所述客户端发送该攻击响应报文;
状态记录模块,用于在所述客户端组装形成的仿真任务的执行过程中,记录接收和/或发送的仿真数据流的状态。
CN201710123295.5A 2017-03-06 2017-03-06 应用层网络攻击仿真方法、装置及系统 Active CN106998323B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710123295.5A CN106998323B (zh) 2017-03-06 2017-03-06 应用层网络攻击仿真方法、装置及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710123295.5A CN106998323B (zh) 2017-03-06 2017-03-06 应用层网络攻击仿真方法、装置及系统

Publications (2)

Publication Number Publication Date
CN106998323A true CN106998323A (zh) 2017-08-01
CN106998323B CN106998323B (zh) 2020-08-14

Family

ID=59431033

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710123295.5A Active CN106998323B (zh) 2017-03-06 2017-03-06 应用层网络攻击仿真方法、装置及系统

Country Status (1)

Country Link
CN (1) CN106998323B (zh)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109040086A (zh) * 2018-08-15 2018-12-18 广东电网有限责任公司 一种工业控制系统ddos攻击仿真方法及装置
CN109302423A (zh) * 2018-11-23 2019-02-01 杭州迪普科技股份有限公司 一种漏洞扫描能力测试方法和装置
CN109688088A (zh) * 2017-10-19 2019-04-26 中国信息安全测评中心 网络入侵防护系统抗逃逸能力测试方法、装置和测试机
CN112565243A (zh) * 2020-12-03 2021-03-26 重庆洞见信息技术有限公司 一种基于网络战的流量仿真系统
CN112615884A (zh) * 2020-12-29 2021-04-06 中国银行股份有限公司 网络安全系统的检测方法、装置、电子设备及存储介质
CN113917852A (zh) * 2021-09-30 2022-01-11 北京星网宇达科技股份有限公司 一种靶机的模拟控制方法、装置、设备及存储介质
CN115051873A (zh) * 2022-07-27 2022-09-13 深信服科技股份有限公司 网络攻击结果检测方法、装置和计算可读存储介质

Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060123479A1 (en) * 2004-12-07 2006-06-08 Sandeep Kumar Network and application attack protection based on application layer message inspection
CN101447991A (zh) * 2008-11-19 2009-06-03 中国人民解放军信息安全测评认证中心 用于测试入侵检测系统的测试装置及测试方法
CN101741628A (zh) * 2008-11-13 2010-06-16 比蒙新帆(北京)通信技术有限公司 基于应用层业务分析的网络流量分析方法
CN101753315A (zh) * 2008-11-27 2010-06-23 百度在线网络技术(北京)有限公司 DDoS攻击测试方法、装置和系统
CN102255910A (zh) * 2011-07-11 2011-11-23 北京天融信科技有限公司 一种测试入侵防御产品性能的方法和装置
CN102523212A (zh) * 2011-12-13 2012-06-27 北京天融信科技有限公司 一种可自动调整防火墙系统测试流量的方法和装置
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法

Patent Citations (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20060123479A1 (en) * 2004-12-07 2006-06-08 Sandeep Kumar Network and application attack protection based on application layer message inspection
CN101741628A (zh) * 2008-11-13 2010-06-16 比蒙新帆(北京)通信技术有限公司 基于应用层业务分析的网络流量分析方法
CN101447991A (zh) * 2008-11-19 2009-06-03 中国人民解放军信息安全测评认证中心 用于测试入侵检测系统的测试装置及测试方法
CN101753315A (zh) * 2008-11-27 2010-06-23 百度在线网络技术(北京)有限公司 DDoS攻击测试方法、装置和系统
CN102255910A (zh) * 2011-07-11 2011-11-23 北京天融信科技有限公司 一种测试入侵防御产品性能的方法和装置
CN102523212A (zh) * 2011-12-13 2012-06-27 北京天融信科技有限公司 一种可自动调整防火墙系统测试流量的方法和装置
CN103701777A (zh) * 2013-12-11 2014-04-02 长春理工大学 基于虚拟化和云技术的远程网络攻防虚拟仿真系统
CN103746885A (zh) * 2014-01-28 2014-04-23 中国人民解放军信息安全测评认证中心 一种面向下一代防火墙的测试系统和测试方法

Cited By (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109688088A (zh) * 2017-10-19 2019-04-26 中国信息安全测评中心 网络入侵防护系统抗逃逸能力测试方法、装置和测试机
CN109040086A (zh) * 2018-08-15 2018-12-18 广东电网有限责任公司 一种工业控制系统ddos攻击仿真方法及装置
CN109040086B (zh) * 2018-08-15 2020-11-03 广东电网有限责任公司 一种工业控制系统ddos攻击仿真方法及装置
CN109302423A (zh) * 2018-11-23 2019-02-01 杭州迪普科技股份有限公司 一种漏洞扫描能力测试方法和装置
CN109302423B (zh) * 2018-11-23 2021-07-23 杭州迪普科技股份有限公司 一种漏洞扫描能力测试方法和装置
CN112565243A (zh) * 2020-12-03 2021-03-26 重庆洞见信息技术有限公司 一种基于网络战的流量仿真系统
CN112615884A (zh) * 2020-12-29 2021-04-06 中国银行股份有限公司 网络安全系统的检测方法、装置、电子设备及存储介质
CN112615884B (zh) * 2020-12-29 2023-04-07 中国银行股份有限公司 网络安全系统的检测方法、装置、电子设备及存储介质
CN113917852A (zh) * 2021-09-30 2022-01-11 北京星网宇达科技股份有限公司 一种靶机的模拟控制方法、装置、设备及存储介质
CN113917852B (zh) * 2021-09-30 2024-04-26 北京星网宇达科技股份有限公司 一种靶机的模拟控制方法、装置、设备及存储介质
CN115051873A (zh) * 2022-07-27 2022-09-13 深信服科技股份有限公司 网络攻击结果检测方法、装置和计算可读存储介质
CN115051873B (zh) * 2022-07-27 2024-02-23 深信服科技股份有限公司 网络攻击结果检测方法、装置和计算可读存储介质

Also Published As

Publication number Publication date
CN106998323B (zh) 2020-08-14

Similar Documents

Publication Publication Date Title
CN106998323A (zh) 应用层网络攻击仿真方法、装置及系统
US20220084431A1 (en) Mission-based, game-implemented cyber training system and method
US11071901B2 (en) Mission-based, game-implemented cyber training system and method
US10997063B1 (en) System testing from production transactions
CN106101242B (zh) 区块链云服务平台的构建方法和装置
Shiravi et al. Toward developing a systematic approach to generate benchmark datasets for intrusion detection
US6477483B1 (en) Service for load testing a transactional server over the internet
CN103198130B (zh) 在客户端处实现与网页统一的登录的方法和装置
US8554536B2 (en) Information operations support system, method, and computer program product
KR101460589B1 (ko) 사이버전 모의 훈련 관제 서버
CN106341372A (zh) 终端的认证处理、认证方法及装置、系统
CN108063772A (zh) 一种基于服务侧的数据安全访问方法及系统
US20060039538A1 (en) "Software only" tool for testing networks under high-capacity, real-world conditions
Zakaria et al. A review on artificial intelligence techniques for developing intelligent honeypot
WO2017142393A1 (en) System for managing user experience test in controlled test environment and method thereof
CN110232025A (zh) 协议测试方法、装置和系统
CN105871643A (zh) 基于路由协议的网络运行仿真方法
CN105637812A (zh) 用于自动化的聊天检测的系统和方法
CN116055566B (zh) 网络靶场的通信方法、装置、设备及存储介质
CN110348980A (zh) 安全校验的系统、方法和装置
CN107844486A (zh) 一种用于客户端的分析网页问题的方法和系统
CN106130897A (zh) 基于路由模拟的性能优化方法
Chu A blackboard-based decision support framework for testing client/server applications
CN111147285B (zh) 一种云安全产品统一管理方法
Su et al. Crowdsourcing platform for collaboration management in vulnerability verification

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant