CN111865950B - 一种拟态网络测试仪及测试方法 - Google Patents
一种拟态网络测试仪及测试方法 Download PDFInfo
- Publication number
- CN111865950B CN111865950B CN202010657030.5A CN202010657030A CN111865950B CN 111865950 B CN111865950 B CN 111865950B CN 202010657030 A CN202010657030 A CN 202010657030A CN 111865950 B CN111865950 B CN 111865950B
- Authority
- CN
- China
- Prior art keywords
- module
- simulation
- mimicry
- network
- resource pool
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种拟态网络测试仪,包括管理配置模块,用于配置端口、用户管理、拟态虚拟设备资源池模块管理、拟态测试池模块管理和态势感知模块管理;所述拟态虚拟设备资源池模块包括多元化仿真模块,所述仿真模块具备异构特性且处于未激活状态,所述管理配置模块用于对拟态虚拟设备资源池模块中的仿真模块进行设置以及建立端口与仿真模块的对应关系;所述拟态测试池模块,用于存放仿真模块并将其激活,与端口外接的设备构成等价异构执行体;所述态势感知模块,用于记录进入受威胁的仿真模块的流量。该拟态网络测试仪通过外挂方式检测传统网络设备存在的已知或未知漏洞后门,协助发现网络设备中存在的威胁。
Description
技术领域
本发明涉及一种拟态防御领域,具体的说,涉及了一种拟态网络测试仪及测试方法。
背景技术
目前,传统网络设备自身的安全问题(主要指漏洞、后门)往往很难发现。现网中往往通过部署入侵检测设备(IDS)、入侵防御系统(IPS)、防火墙来保护传统网络设备免受安全威胁。无论是IPS、IDS、防火墙都是根据设备已经存在的已知漏洞、后门进行检测和防御,对于传统设备未知的漏洞和后门往往无法处理。
将全部网络设备都更换成拟态设备,投入精力和成本过高,在服役期间定期更新设备上的防御策略软件则是最佳的处理方式,但是一些未知网络漏洞不易被发现,给设计人员或网络运维人员带来难题,只能通过后知后觉的方式进行抵御和更新。
为了解决以上存在的问题,人们一直在寻求一种理想的技术解决方案。
发明内容
本发明的目的是针对现有技术的不足,从而提供一种通过外挂方式获知网络设备当前面临的已知或未知威胁、为设计人员和网络运维人员提供帮助的拟态网络测试仪。
为了实现上述目的,本发明所采用的技术方案是:一种拟态网络测试仪,包括若干端口、管理配置模块、拟态虚拟设备资源池模块、拟态测试池模块和态势感知模块;
所述管理配置模块,用于配置端口、用户管理、拟态虚拟设备资源池模块管理、拟态测试池模块管理和态势感知模块管理;
所述拟态虚拟设备资源池模块包括针对网络设置的多元化仿真模块,所述仿真模块具备异构特性,所述拟态虚拟设备资源池模块中的各仿真模块处于未激活状态,所述管理配置模块用于对拟态虚拟设备资源池模块中的仿真模块进行设置,以及建立端口与仿真模块的对应关系;
所述拟态测试池模块,用于存放与端口建立对应关系的仿真模块并将其激活,与端口外接的设备构成等价异构执行体;
所述态势感知模块,用于接收拟态测试池中仿真模块的状态信息并进行裁决,当裁决得到有仿真模块受到外部威胁后,态势感知模块记录进入受威胁的仿真模块的流量,同时对外提供相应的数据。
基上所述,所述管理配置模块与拟态测试池模块之间通信隔离。
基上所述,所述拟态虚拟设备资源池模块中的仿真模块包括若干拟态虚拟路由器、若干拟态虚拟防火墙和若干拟态虚拟交换机。
基上所述,所述仿真模块为软件虚拟化模块或硬件模块或软硬件结合模块。
基上所述,所述端口之间的流量相互隔离。
基上所述,所述态势感知模块的裁决过程包括对各处于拟态测试池模块中的仿真模块的执行结果的对比,若执行结果一致则通过,若执行结果出现不同,将输出不同结果的仿真模块的流量记录,若执行结果各不相同,裁决失败,记录每个仿真模块的流量。
本发明相对现有技术具有突出的实质性特点和显著的进步,具体的说,本发明在不改变网络设备物理结构和软件框架的前提下,在传统设备上外挂拟态网络测试仪的方式,检测传统设备存在的已知或未知的漏洞后门,协助设计人员以及网络运维人员发现网络设备中存在的威胁,具体的,设置拟态虚拟设备资源池模块,内部集成若干仿真设备,这些仿真设备具有拟态异构特性,与常见的被测试或被检测的设备具有相同的功能,以便组合搭配后,能够构成等价异构执行体,通过管理配置模块统一管控和调配,在使用时将与外挂设备相适应的仿真设备调出,放入拟态测试池中并激活,与外挂的被测试设备搭建构成等价异构执行体,组建成简易的拟态防御架构,由态势感知模块作为裁决模块,获取存在外部威胁的仿真设备,为后期溯源以及威胁分析提供数据支撑。
附图说明
图1是本发明中拟态测试仪的结构示意图。
图2是本发明中拟态测试仪的使用框图。
具体实施方式
下面通过具体实施方式,对本发明的技术方案做进一步的详细描述。
如图1和图2所示,一种拟态网络测试仪,包括若干端口、管理配置模块、拟态虚拟设备资源池模块、拟态测试池模块和态势感知模块;
所述管理配置模块,从软件层面或者硬件层面实现对拟态网络测试仪的管理配置,包括配置端口、用户管理、拟态虚拟设备资源池模块管理、拟态测试池模块管理和态势感知模块管理等功能,为了保证管理配置模块的安全,管理配置模块与拟态测试池保持通信隔离,不影响组建拟态防御系统的安全性,隔离手段包括物理隔离、软件隔离、虚拟机隔离等常规方式。
所述拟态虚拟设备资源池模块包括针对网络设置的多元化仿真模块如拟态虚拟路由器、拟态虚拟防火墙、拟态虚拟交换机等,具备拟态构造特性,同时与网络中被测试的设备或被检测设备具有相同的功能。
所述拟态虚拟设备资源池模块中的各仿真模块可以是通过软件虚拟化、硬件异构以及软硬结合等方式实现的模块,管理配置模块可以实现对仿真设备的管理,如增加、删除、修改等操作;位于拟态虚拟设备资源池模块中的仿真设备均处于未激活状态。
所述拟态测试池模块,在测试或检测外挂设备时使用,首先,被测试或检测的设备的网络接入拟态网络测试仪的端口,使之与拟态网络测试仪构成并联关系,保证进入他们之间的流量是一致的,然后由管理控制模块建立端口与仿真模块的对应关系,即从拟态虚拟设备资源池模块中挑选出与外挂网络设备相同功能的仿真设备,组建成拟态测试池模块并将这些仿真设备激活,这些仿真设备与端口外接的设备构成等价异构执行体,这就搭建组成了拟态防御系统的前端架构,测试仪的端口之间的流量相互隔离,避免互相干扰。
所述态势感知模块,用于接收拟态测试池中仿真模块的状态信息并进行裁决,当裁决得到有仿真模块受到外部威胁后,态势感知模块记录进入受威胁的仿真模块的流量,为后续溯源以及威胁分析提供数据支撑,同时对外提供相应的数据,如威胁日志、流量信息、攻击来源等。
通过态势感知模块的裁决分析,可以获取网络中存在的已知或未知的漏洞后门等信息,协助设计人员以及网络运维人员发现网络设备中存在的威胁。
所述态势感知模块的裁决过程包括对各处于拟态测试池模块中的仿真模块的执行结果的对比,若执行结果一致则通过,若执行结果出现不同,将输出不同结果的仿真模块的流量记录,若执行结果各不相同,裁决失败,记录每个仿真模块的流量。
需要说明的是,拟态网络测试仪一般通过外挂方式接入传统网络中,在实际使用中,传统路由器、防火墙、交换机可以通过分路由器或分光器的方式,将进入到传统网络设备的流量复制一份到拟态网络测试仪中,即分路由器或分光器实质扮演了输入代理的角色;态势感知模块并不裁决网络中的被测设备本身,仅对处于拟态测试池模块中的仿真设备进行裁决,裁决后的结果也不向外输出,仅作为发现威胁的手段使用,原网络上的通信仍按照原来的方式运转,该测试仪相当于在传统网络上复制一小段分支进行的检测。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (7)
1.一种拟态网络测试仪,其特征在于:包括若干端口、管理配置模块、拟态虚拟设备资源池模块、拟态测试池模块和态势感知模块;
所述管理配置模块,用于配置端口、用户管理、拟态虚拟设备资源池模块管理、拟态测试池模块管理和态势感知模块管理;
所述拟态虚拟设备资源池模块包括针对网络设置的多元化仿真模块,所述仿真模块具备异构特性,所述拟态虚拟设备资源池模块中的各仿真模块处于未激活状态,所述管理配置模块用于对拟态虚拟设备资源池模块中的仿真模块进行设置;以及建立端口与仿真模块的对应关系,即从拟态虚拟设备资源池模块中挑选出与外挂网络设备相同功能的仿真模块,组建成拟态测试池模块;
所述拟态测试池模块,用于存放与端口建立对应关系的仿真模块并将其激活,这些仿真模块与端口外接的设备构成等价异构执行体;
所述态势感知模块,用于接收拟态测试池中仿真模块的状态信息并进行裁决,当裁决得到有仿真模块受到外部威胁后,态势感知模块记录进入受威胁的仿真模块的流量,同时对外提供相应的数据。
2.根据权利要求1所述的拟态网络测试仪,其特征在于:所述管理配置模块与拟态测试池模块之间通信隔离。
3.根据权利要求1或2所述的拟态网络测试仪,其特征在于:所述拟态虚拟设备资源池模块中的仿真模块包括若干拟态虚拟路由器、若干拟态虚拟防火墙和若干拟态虚拟交换机。
4.根据权利要求3所述的拟态网络测试仪,其特征在于:所述仿真模块为软件虚拟化模块或硬件模块或软硬件结合模块。
5.根据权利要求4所述的拟态网络测试仪,其特征在于:所述端口之间的流量相互隔离。
6.根据权利要求5所述的拟态网络测试仪,其特征在于:所述态势感知模块的裁决过程包括对各处于拟态测试池模块中的仿真模块的执行结果的对比,若执行结果一致则通过,若执行结果出现不同,将输出不同结果的仿真模块的流量记录,若执行结果各不相同,裁决失败,记录每个仿真模块的流量。
7.一种拟态网络测试方法,其特征在于:包括以下步骤: 1)在网络上的测试对象处设置分路由器或分光器,将流量复制一份到拟态网络测试仪中,所述的拟态网络测试仪为权利要求1-6任一项所述的拟态网络测试仪;
2)通过管理配置模块配置选取拟态虚拟设备资源池模块中与测试对象能够匹配的仿真模块,与测试对象构建等价异构执行体;
3)将选中的仿真模块放入拟态测试池模块,并激活;
4)所述态势感知模块接收拟态测试池中仿真模块的状态信息并进行裁决,当裁决得到有仿真模块受到外部威胁后,态势感知模块记录进入受威胁的仿真模块的流量,同时对外提供相应的数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010657030.5A CN111865950B (zh) | 2020-07-09 | 2020-07-09 | 一种拟态网络测试仪及测试方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010657030.5A CN111865950B (zh) | 2020-07-09 | 2020-07-09 | 一种拟态网络测试仪及测试方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111865950A CN111865950A (zh) | 2020-10-30 |
CN111865950B true CN111865950B (zh) | 2022-04-26 |
Family
ID=73153488
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010657030.5A Active CN111865950B (zh) | 2020-07-09 | 2020-07-09 | 一种拟态网络测试仪及测试方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111865950B (zh) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113572662B (zh) * | 2021-07-30 | 2024-02-06 | 北京天融信网络安全技术有限公司 | 网络测试方法、装置、电子设备及可读存储介质 |
CN117834305B (zh) * | 2024-03-05 | 2024-05-10 | 米烁网络科技(广州)有限公司 | 一种基于拟态安全技术的网络运维环境评估系统 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8321936B1 (en) * | 2007-05-30 | 2012-11-27 | M86 Security, Inc. | System and method for malicious software detection in multiple protocols |
CN103152341A (zh) * | 2013-03-04 | 2013-06-12 | 中国电子科技集团公司第三十研究所 | 一种虚实结合的网络安全态势感知仿真方法及系统 |
CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
CN109491668A (zh) * | 2018-10-11 | 2019-03-19 | 浙江工商大学 | 一种sdn/nfv服务部署的拟态防御构架及方法 |
CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
CN112313915A (zh) * | 2018-11-05 | 2021-02-02 | 北京大学深圳研究生院 | 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法 |
-
2020
- 2020-07-09 CN CN202010657030.5A patent/CN111865950B/zh active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8321936B1 (en) * | 2007-05-30 | 2012-11-27 | M86 Security, Inc. | System and method for malicious software detection in multiple protocols |
CN103152341A (zh) * | 2013-03-04 | 2013-06-12 | 中国电子科技集团公司第三十研究所 | 一种虚实结合的网络安全态势感知仿真方法及系统 |
CN109150831A (zh) * | 2018-07-16 | 2019-01-04 | 中国人民解放军战略支援部队信息工程大学 | 一种内生安全的云任务执行装置及方法 |
CN109491668A (zh) * | 2018-10-11 | 2019-03-19 | 浙江工商大学 | 一种sdn/nfv服务部署的拟态防御构架及方法 |
CN112313915A (zh) * | 2018-11-05 | 2021-02-02 | 北京大学深圳研究生院 | 基于gspn和鞅理论网络空间拟态防御的安全性建模量化方法 |
CN110290100A (zh) * | 2019-03-06 | 2019-09-27 | 广东电网有限责任公司信息中心 | 一种基于SDN的拟态Web服务器及用户请求处理方法 |
CN110247928A (zh) * | 2019-06-29 | 2019-09-17 | 河南信大网御科技有限公司 | 一种拟态交换机安全流量控制装置及方法 |
CN111191229A (zh) * | 2019-12-24 | 2020-05-22 | 国网天津市电力公司 | 一种电力Web应用拟态防御系统 |
Non-Patent Citations (3)
Title |
---|
动态网络主动安全防御的若干思考;吴春明;《中兴通讯技术》;20160229(第01期);第1-5页 * |
基于拟态防御的以太网交换机内生安全体系结构;宋克等;《通信学报》;20200514(第05期);第1-9页 * |
路由器拟态防御能力测试与分析;马海龙等;《信息安全学报》;20170115(第01期);第1-3页 * |
Also Published As
Publication number | Publication date |
---|---|
CN111865950A (zh) | 2020-10-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP3362938B1 (en) | Automated construction of network whitelists using host-based security controls | |
CN112073411B (zh) | 一种网络安全推演方法、装置、设备及存储介质 | |
Scott-Hayward et al. | Operationcheckpoint: Sdn application control | |
US8640239B2 (en) | Network intrusion detection in a network that includes a distributed virtual switch fabric | |
JP2024038229A (ja) | 強化されたスマートプロセス制御スイッチのポートロックダウン | |
US20060015715A1 (en) | Automatically protecting network service from network attack | |
US20220210125A1 (en) | Methods and Systems for Efficient Network Protection | |
CN104023034A (zh) | 一种基于软件定义网络的安全防御系统及防御方法 | |
US7463593B2 (en) | Network host isolation tool | |
CN107257332B (zh) | 大型防火墙集群中的定时管理 | |
CN111865950B (zh) | 一种拟态网络测试仪及测试方法 | |
CN106899612B (zh) | 一种自动检测假冒主机arp欺骗的方法 | |
CN113014571B (zh) | 一种访问请求处理的方法、装置及存储介质 | |
TWI731821B (zh) | 建立應用程式白名單之方法與系統 | |
CN116527353B (zh) | 基于攻击行为模拟的网络防护设备有效性验证系统及方法 | |
US20230362131A1 (en) | Systems and methods for monitoring and securing networks using a shared buffer | |
Varadharajan et al. | Counteracting attacks from malicious end hosts in software defined networks | |
Qassim et al. | Simulating command injection attacks on IEC 60870-5-104 protocol in SCADA system | |
Xu et al. | Identifying SDN state inconsistency in OpenStack | |
Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
Zhan et al. | CIADL: cloud insider attack detector and locator on multi-tenant network isolation: an OpenStack case study | |
CN105025067A (zh) | 一种信息安全技术研究平台 | |
Mugitama et al. | An evidence-based technical process for openflow-based SDN forensics | |
Sanz et al. | A cooperation-aware virtual network function for proactive detection of distributed port scanning | |
CN113608821A (zh) | 边界安全设备的数据处理方法及装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |