CN113347184A - 网络流量安全检测引擎的测试方法、装置、设备及介质 - Google Patents
网络流量安全检测引擎的测试方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN113347184A CN113347184A CN202110609568.3A CN202110609568A CN113347184A CN 113347184 A CN113347184 A CN 113347184A CN 202110609568 A CN202110609568 A CN 202110609568A CN 113347184 A CN113347184 A CN 113347184A
- Authority
- CN
- China
- Prior art keywords
- network flow
- network
- network traffic
- flow
- detection engine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 144
- 238000001514 detection method Methods 0.000 title claims abstract description 97
- 238000000034 method Methods 0.000 title claims abstract description 32
- 238000012545 processing Methods 0.000 claims description 36
- 230000002159 abnormal effect Effects 0.000 claims description 14
- 238000004590 computer program Methods 0.000 claims description 6
- 238000003780 insertion Methods 0.000 claims description 5
- 230000037431 insertion Effects 0.000 claims description 5
- 230000006798 recombination Effects 0.000 claims description 4
- 238000005215 recombination Methods 0.000 claims description 4
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 claims 5
- 108010064775 protein C activator peptide Proteins 0.000 claims 5
- 230000007547 defect Effects 0.000 abstract description 5
- 230000036244 malformation Effects 0.000 abstract description 4
- 238000010586 diagram Methods 0.000 description 8
- 239000000523 sample Substances 0.000 description 8
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000000644 propagated effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000005336 cracking Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 239000000047 product Substances 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 241001125831 Istiophoridae Species 0.000 description 1
- 240000002853 Nelumbo nucifera Species 0.000 description 1
- 235000006508 Nelumbo nucifera Nutrition 0.000 description 1
- 235000006510 Nelumbo pentapetala Nutrition 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000005422 blasting Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 125000004122 cyclic group Chemical group 0.000 description 1
- 101150025787 ddost gene Proteins 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000002458 infectious effect Effects 0.000 description 1
- 238000002347 injection Methods 0.000 description 1
- 239000007924 injection Substances 0.000 description 1
- 235000015122 lemonade Nutrition 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- QZIQJVCYUQZDIR-UHFFFAOYSA-N mechlorethamine hydrochloride Chemical compound Cl.ClCCN(C)CCCl QZIQJVCYUQZDIR-UHFFFAOYSA-N 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 230000008707 rearrangement Effects 0.000 description 1
- 238000011160 research Methods 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000035939 shock Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000007619 statistical method Methods 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/10—File systems; File servers
- G06F16/17—Details of further file system functions
- G06F16/172—Caching, prefetching or hoarding of files
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例公开了一种网络流量安全检测引擎的测试方法、装置、设备及介质。该方法包括:获取实际网络流量,并根据实际网络流量进行网络流量变形,生成变形网络流量;根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试。该方法可以减少网络流量的存储空间,降低存储成本;可以对未知攻击流量进行预研,可以构建畸形、异常等网络流量,便于根据变形网络流量进行网络流量安全检测引擎自身缺陷的检测。
Description
技术领域
本发明实施例涉及网络信息安全技术领域,尤其涉及一种网络流量安全检测引擎的测试方法、装置、设备及介质。
背景技术
随着信息技术的发展,网络已经成为影响国计民生的重要资源。网络的广泛开放性为网络的使用提供了极大的可能,但是同时也使网络变得更加复杂,使网络安全受到威胁。
目前通常基于边界防护产品对网络安全进行检测,网络流量安全检测引擎是边界防护产品的核心。现有技术通常将已有的网络流量,或者已有网络流量的预测网络流量作为测试网络流量实现对网络流量安全检测引擎的测试。例如,通过马尔科夫模型、回归模型或者自相似流量模型等对已有网络流量进行预测。
但是,现有技术需要对大量的网络流量进行存储,造成硬件系统成本高、不易部署且缺乏灵活性;预测网络流量需要不断扩充测试流量才能保持测试流量的时效性与有效性;预测网络流量仅能反映已知的攻击流量类型,无法做到预研;并且预测网络流量无法构建畸形、异常等网络流量,无法检测网络流量安全检测引擎自身的缺陷。
发明内容
本发明实施例提供了一种网络流量安全检测引擎的测试方法、装置、设备及介质,可以节省网络流量的存储成本并对网络流量进行预研,便于根据变形网络流量进行网络流量安全检测引擎自身缺陷的检测。
第一方面,本发明实施例提供了一种网络流量安全检测引擎的测试方法,该方法包括:
获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
可选的,所述实际网络流量采用数据表捕获PCAP文件形式存储;
根据所述实际网络流量进行网络流量变形,生成变形网络流量,包括:
根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在所述PCAP文件中的位置以及数据大小;
根据所述PCAP文件中的数据包的数据大小,对所述数据包进行模糊处理,生成变形网络流量。
可选的,根据所述PCAP文件中的数据包的数据大小,对所述数据包进行模糊处理,生成变形网络流量,包括下述至少一项操作:
对所述数据包中的单字节数据进行单字节变形和/或随机取值处理;其中,所述单字节变形包括与、或、非、异或、左移以及右移;
对所述数据包中的双字节数据进行单字节变形和/或指定字段替换处理;
对所述数据包中大于双字节的多字节数据进行单字节变形和/或随机位置数值插入处理;以及,
对所述数据包中的全部数据进行单字节变形。
可选的,根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试,包括:
获取所述实际网络流量中网络流量的测试类型;
将各测试类型的网络流量以及所述变形网络流量按照测试需求进行网络流量混合重组;
根据混合重组后的网络流量进行网络流量安全检测引擎的测试。
可选的,在根据混合重组后的网络流量进行网络流量安全检测引擎的测试之前,还包括:
对混合重组后的网络流量中的源地址以及目的地址按照预设规则进行修改,以使各测试类型的网络流量的源地址以及目的地址不重复;和/或,
将混合重组后的网络流量中各测试类型的网络流量的开始时间对准。
可选的,根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试,包括:
根据所述实际网络流量以及所述变形网络流量,按照预配置的网络流量发送速率、流大小以及发送频次,进行网络流量安全检测引擎的测试。
可选的,在根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试之后,还包括:
根据测试结果以及测试日志,确定网络流量安全检测引擎测试的异常结果,并根据所述异常结果提示对所述网络流量安全检测引擎进行修正。
第二方面,本发明实施例还提供了一种网络流量安全检测引擎的测试装置,该装置包括:
变形网络流量生成模块,用于获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
引擎测试模块,用于根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
第三方面,本发明实施例还提供了一种电子设备,该设备包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如本发明任意实施例所述的一种网络流量安全检测引擎的测试方法。
第四方面,本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明任意实施例所述的一种网络流量安全检测引擎的测试方法。
本发明实施例的技术方案,通过获取实际网络流量,并根据实际网络流量进行网络流量变形,生成变形网络流量;根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试,解决了网络流量安全检测引擎的测试问题,实现了减少网络流量的存储空间,降低存储成本;可以对未知攻击流量进行预研,可以构建畸形、异常等网络流量,便于根据变形网络流量进行网络流量安全检测引擎自身缺陷检测的效果。
附图说明
图1a是本发明实施例一提供的一种网络流量安全检测引擎的测试方法的流程图;
图1b是本发明实施例一提供的一种PCAP文件格式的整体结构示意图;
图2a是本发明实施例二提供的一种网络流量安全检测引擎的测试方法的流程图;
图2b是本发明实施例二提供的一种网络流量发送示意图;
图3是本发明实施例三提供的一种网络流量安全检测引擎的测试装置的结构示意图;
图4是本发明实施例四提供的一种电子设备的结构示意图。
具体实施方式
下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施例仅仅用于解释本发明,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分而非全部结构。
实施例一
图1a是本发明实施例一提供的一种网络流量安全检测引擎的测试方法的流程图,本实施例可适用于对网络流量安全检测引进行测试的情况,具体的可以是对网络流量安全检测引进行测试时,对实际网络流量进行扩充的情况,该方法可以由网络流量安全检测引进行测试装置来执行,该装置可以通过软件,和/或硬件的方式实现,装置可以集成在电子设备如计算机中,如图1a所示,该方法具体包括:
步骤110、获取实际网络流量,并根据实际网络流量进行网络流量变形,生成变形网络流量。
其中,实际网络流量可以是通过流量旁路等方式对网络流量采集获取的。具体的,实际网络流量可以包括自有流量库中的网络流量以及外部实时采集的网络流量。其中,自有流量库中的网络流量可以是历史采集的网络流量。外部实时采集的网络流量可以有效反应当前网络的流量特征,作为流量测试集合的有效补充。实际网络流量包括种类丰富多样的网络流量测试集,例如实际网络流量可以包括正常的白流量以及各类攻击类型流量。
示例性的,实际网络流量可包括僵尸网络(Botnet)、网络攻击、网页攻击、系统攻击、蠕虫攻击、木马程序、病毒程序、网络探测、C2扫描、高级可持续威胁攻击(AdvancedPersistent Threat,APT)以及加密攻击等。
其中,僵尸网络包括上线、心跳、攻击指令(主控的分布式拒绝服务攻击)、文件浏览(硬盘查看或文件浏览等)、文件上传(主控端向被控端上传文件)、文件下载(主控端下载被控端文件)、远程文件下载(主控端向被控端发送文件下载指令)、远程文件上传(主控端向被控端发送文件上传指令)、本地操作(注册表创建、服务创建等操作)、监听(远控桌面、声音监控或键盘监控等)、开启关闭后门(如打开关闭远程登录协议等)、样本更新(更新样本上线地址或更新样本文件)、样本卸载(卸载或停止样本)、样本主动对外操作(样本运行后主动对外进行扫描爆破等)、恶意统一资源定位符(Uniform Resource Locator,URL)传播、恶意URL回连以及其他操作。
网络攻击包括拒绝服务攻击(硬盘操作系统、分布式拒绝服务或挑战黑洞攻击)、嗅探攻击(中间人攻击或地址解析协议攻击)、域名系统劫持以及暴力破解(非网页类暴力破解)等。
网页攻击包括结构化查询语言(Structured Query Language,SQL)注入、代码执行环境(WebShell)、跨站脚本攻击(Cross Site Scripting,XSS)、暴力破解、请求伪造、可扩展标记语言(Extensible Markup Language,XML)实体攻击、命令执行(如震荡波、震网病毒)、代码执行、业务逻辑漏洞利用、未授权访问(各类即时通信传播的、短信等)、信息泄露(如通过XSS传染方式传播的)、文件包含以及其他攻击。
系统攻击包括缓存区溢出、提权、系统代码执行以及智能设备系统攻击。
蠕虫攻击包括网络蠕虫、邮件蠕虫、P2P(点对点)蠕虫、IM(即时通讯)蠕虫、网页蠕虫、恶意URL传播以及恶意URL回连。
木马程序包括盗号木马(Trojan-PSW)、下载者木马(Trojan-Downloader)、广告木马(Trojan-Clicker)、间谍木马(Trojan-Spy)、代理木马(Trojan-Proxy)、木马程序(Trojan)、种植者木马(Trojan-Dropper)、远控木马、恶意URL传播以及恶意URL回连。
病毒程序包括勒索病毒、感染型病毒以及风险软件(黑客工具或其他攻击工具如网络挖矿)。
网络探测包括端口扫描、漏洞扫描以及应用探测。
C2扫描包括活跃家族协议(如Gafgyt协议、Billgates协议、Dofloo协议、Sdbot协议、Nitol协议、Guiying协议、Ceeinject协议、Macri协议以及Xor协议)、扩充家族协议(如PornoBlocker协议、Farfli协议、Servstart协议、Ddostf协议以及Flooder协议)以及幽灵家族协议(Greedy Heaviest Observed Subtree,Ghost)(如GHOST协议、Tsunami协议、Generic协议以及Swisyn协议)。
APT攻击包括谷歌(Google)极光、震网、身份认证攻击(RSA SecurID)、暗鼠、Lurid(信息收集式攻击)、Nitro(鱼叉式钓鱼)以及海莲花等攻击。
加密攻击包括流加密重用攻击、电子码本(Electronic CodeBook,ECB)块重排攻击以及密文填塞攻击。
在本发明实施例中,网络流量变形可以是对实际网络流量进行变形处理,例如模糊处理(Fuzz)。
在本发明实施例的一个可选实施方式中,实际网络流量采用数据表捕获(PacketCapture,PCAP)文件形式存储。网络流量变形可以是对实际网络流量进行PCAP文件变形。具体的,根据实际网络流量进行网络流量变形,生成变形网络流量,包括:根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在PCAP文件中的位置以及数据大小;根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量。
图1b是本发明实施例一提供的一种PCAP文件格式的整体结构示意图。如图1b所示,PCAP文件包括文件头、至少一个数据包头以及与数据包头个数对应的数据包。其中,文件头可以占用24个字节,数据包头可以占用16个字节。
示例性的,数据包头的格式可以是:
其中,incl_len表示保存下来的数据包长度,可以占用4字节;orig_len表示数据包真实长度,可以占用4字节。通过PCAP文件中对文件头和数据包头进行偏移以及数据包真实长度的记录数值(orig_len)即数据长度,可以分别确定PCAP文件中各数据包的位置以及数据大小。根据数据包头进行偏移时,可以识别数据包头的固定且特殊的设置字符从而进行偏移。
为了提升PCAP文件Fuzz的有效性,可以不对PCAP文件做全文变形,而是针对数据包内容做变形处理,可以保证PCAP文件格式的完整性以及Fuzz的效率,可以避免网络流量安全检测引擎将不符合文件格式的变形文件进行丢弃而不进行测试处理。对于数据包内容做变形处理可以是针对于数据包的数据大小进行不同的模糊处理。
具体的,在本发明实施例的一个可选实施方式中,根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量,包括下述至少一项操作:对数据包中的单字节数据进行单字节变形和/或随机取值处理;其中,单字节变形包括与、或、非、异或、左移以及右移;对数据包中的双字节数据进行单字节变形和/或指定字段替换处理;对数据包中大于双字节的多字节数据进行单字节变形和/或随机位置数值插入处理;以及,对数据包中的全部数据进行单字节变形。
其中,对于PACP文件中不同位置的数据包,可以根据数据包的数据大小精准确定各个数据包,并对数据包中的部分数据或者全部数据做变形处理。单字节变形可以是将数据包中的数据与预设数值进行与、或、非、异或处理或者,对数据进行向左或者向右的移位处理,可以是循环移位处理。随机取值处理可以是将单字节数据进行任意值的替换。指定字段替换处理可以是双字节数据与计算机中具有特殊意义的数据进行替换,例如,可以用计算机中表示结束、换行或者结尾的特殊字符替换数据包中的双字节数据,具体的,可以用十六进制数据0x00、0x40或者0x7F等特殊字符替换数据包中的双字节数据。随机位置数值插入处理可以是在数据包数据中的任意位置插入任意数据。
示例性的,单字节数据可以与十六进制数据0x0进行与、或、非、异或处理等。双字节数据可以与十六进制数据0x01进行与、或、非、异或处理等。再大于双字节的多字节数据可以与十六进制数据0x0100进行与、或、非、异或处理等。或者,数据包中的全部数据与指定十六进制数据进行与、或、非、异或处理等。
为了增加变形的效率,可以对单个PCAP文件并发执行多种变形生成多个变形后的PCAP测试文件。在本发明实施例中,可以预先保存实际网络流量,并保存变形网络流量与实际网络流量的差异部分,无需对全部网络流量进行保存,可以极大的减少网络流量需要进行保存的内容,减少内存的占用,降低硬件系统的使用成本,具有极大的灵活性。
步骤120、根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试。
其中,网络流量安全检测一般指通过流量旁路等方式采集网络流量,进行各类攻击类型异常网络流量检测及网络流量的统计分析等。网络流量安全检测引擎具备流量协议识别和解析、全流量回溯及文件还原等能力,是实现网络流量安全检测的核心功能组件。
在本发明实施例中,基于实际网络流量以及变形网络流量进行的网络流量安全检测引擎测试可以是一种Fuzz测试。Fuzz测试是一种通过外部输入数据影响内部程序执行的测试技术。Fuzz测试的基本原理是将尽可能多的可能导致程序出现问题的错误数据注入应用程序中,观察运行结果,通过程序运行的错误来挖掘软件的脆弱点。在本发明实施例中,变形网络流量可以是导致程序出现问题的错误数据。
本实施例的技术方案,通过获取实际网络流量,并根据实际网络流量进行网络流量变形,生成变形网络流量;根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试,解决了网络流量安全检测引擎的测试问题,实现了减少网络流量的存储空间,降低存储成本;通过变形网络流量可以实现对未知攻击流量进行预研,可以构建畸形、异常等网络流量,便于根据变形网络流量进行网络流量安全检测引擎自身缺陷的检测,保持测试的有效性和时效性。
实施例二
图2a是本发明实施例二提供的一种网络流量安全检测引擎的测试方法的流程图。本实施例是对上述技术方案的进一步细化,本实施例中的技术方案可以与上述一个或者多个实施例中的各个可选方案结合。如图2a所示,该方法包括:
步骤210、获取实际网络流量,根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在PCAP文件中的位置以及数据大小。
其中,实际网络流量采用数据表捕获PCAP文件形式存储。
步骤220、根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量。
可选的,根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量,包括下述至少一项操作:对数据包中的单字节数据进行单字节变形和/或随机取值处理;其中,单字节变形包括与、或、非、异或、左移以及右移;对数据包中的双字节数据进行单字节变形和/或指定字段替换处理;对数据包中大于双字节的多字节数据进行单字节变形和/或随机位置数值插入处理;以及,对数据包中的全部数据进行单字节变形。
步骤230、获取实际网络流量中网络流量的测试类型。
其中,测试类型可以是从多个维度对网络流量进行分类。例如,测试类型可以包括黑流量和白流量;或者,测试类型包括自有流量库和外部实时流量;或者,测试类型包括攻击流量和非攻击流量等。网络流量的测试类型可以是预先对实际网络流量进行测试类型标签设置,并通过筛选器对测试类型标签进行识别确认的。
步骤240、将各测试类型的网络流量以及变形网络流量按照测试需求进行网络流量混合重组。
其中,按照测试需求进行网络流量混合重组可以是将各测试类型的网络流量以及变形网络流量按照预设比例进行混合。示例性的,实际网络流量以及变形网络流量可以构成总测试流量集。攻击流量可以占总测试流量集的20%以上。木马控制流量占总测试流量集的20%以上。变形网络流量占总测试流量集的50%以上。在此基础上,还可以对流量进行单向或者双向配置。例如,除了攻击类型流量外的其他网络流量可以设置是否包含对应的响应流量等。
步骤250、根据混合重组后的网络流量进行网络流量安全检测引擎的测试。
在本发明实施例的一个可选实施方式中,在根据混合重组后的网络流量进行网络流量安全检测引擎的测试之前,还包括:对混合重组后的网络流量中的源地址以及目的地址按照预设规则进行修改,以使各测试类型的网络流量的源地址以及目的地址不重复;和/或,将混合重组后的网络流量中各测试类型的网络流量的开始时间对准。
其中,对源地址以及目的地址进行修改可以保证网路流量结构不变的基础上,使各类网络流量的源地址以及目的地址不重复,可以使网络流量接近于实际网络情况,可以保证测试的真实性。将混合重组后的网络流量中各测试类型的网络流量的开始时间对准,可以保证混合重组网络流量时,各类网络流量可以互相交叉发生,而不是每一类逐次顺序发送,可以更加贴近真实场景,可以并行对多种类网络流量进行测试,提高测试速度。
在本发明实施例的一个可选实施方式中,根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试,包括:根据实际网络流量以及变形网络流量,按照预配置的网络流量发送速率、流大小以及发送频次,进行网络流量安全检测引擎的测试。
其中,图2b是本发明实施例二提供的一种网络流量发送示意图,如图2b所示,网络流量发送环节可以是遵照不同的网络流量测试模型对应的测试方案,按照具体参数对总测试流量集中的网络流量进行配置,按照预设条件将网络流量发送至指定端口进行测试。
在本发明实施例的一个可选实施方式中,在根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试之后,还包括:根据测试结果以及测试日志,确定网络流量安全检测引擎测试的异常结果,并根据异常结果提示对网络流量安全检测引擎进行修正。
其中,确定网络流量安全检测引擎测试的异常结果可以是对网络流量安全检测引擎输出的结果进行标准化处理,提取输出结果中的关键字段,根据关键字段确定输出结果是否为异常结果。可以对异常结果进行统计确定网络流量解析的成功率、攻击网络流量的识别率以及异常退出(Crash)率等。根据统计结果可以分析网络流量安全检测引擎测试的能力、性能以及稳定性。并根据统计结果的情况提示对网络流量安全检测引擎进行修正。
示例性的,通过网络流量安全检测引擎的Fuzz测试,可以发现被测试网络流量安全检测引擎的漏洞问题以及稳定性问题。表1是本发明实施例二提供的一种测试问题列表。具体的Crash问题统计结果可以参考表1所示。
根据如表1所示的统计结果,可知测试出现问题的网络流量大多在攻击类型。攻击类型网络流量可以触发网络流量安全检测引擎更多的代码逻辑,对攻击类型流量的Fuzz能够取得更好的收益(对网络流量的Fuzz不会改变网络流量的类型)。
本实施例的技术方案,通过获取实际网络流量,根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在PCAP文件中的位置以及数据大小;根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量;获取实际网络流量中网络流量的测试类型;将各测试类型的网络流量以及变形网络流量按照测试需求进行网络流量混合重组;根据混合重组后的网络流量进行网络流量安全检测引擎的测试,解决了网络流量安全检测引擎的测试问题,实现了不依赖人工大量收集网络流量数据,提升了测试效率、降低了测试架构的维护成本,并且通过大量的构造未知测试流量,能够触发检测流量检测引擎的功能、性能和稳定性的能力;该方案具备良好的扩展性,通过持续Fuzz生成测试流量数据,可以保障整体测试方案的有效性和实效性的效果。
实施例三
图3是本发明实施例三提供的一种网络流量安全检测引擎的测试装置的结构示意图。结合图3,该装置包括:变形网络流量生成模块310和引擎测试模块320。其中:
变形网络流量生成模块310,用于获取实际网络流量,并根据实际网络流量进行网络流量变形,生成变形网络流量;
引擎测试模块320,用于根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试。
可选的,实际网络流量采用数据表捕获PCAP文件形式存储;
变形网络流量生成模块310,包括:
数据包确定单元,用于根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在PCAP文件中的位置以及数据大小;
变形网络流量生成单元,用于根据PCAP文件中的数据包的数据大小,对数据包进行模糊处理,生成变形网络流量。
可选的,变形网络流量生成单元,具体用于执行下述至少一项操作:
对数据包中的单字节数据进行单字节变形和/或随机取值处理;其中,单字节变形包括与、或、非、异或、左移以及右移;
对数据包中的双字节数据进行单字节变形和/或指定字段替换处理;
对数据包中大于双字节的多字节数据进行单字节变形和/或随机位置数值插入处理;以及,
对数据包中的全部数据进行单字节变形。
可选的,引擎测试模块320,包括:
测试类型获取单元,用于获取实际网络流量中网络流量的测试类型;
网络流量混合重组单元,用于将各测试类型的网络流量以及变形网络流量按照测试需求进行网络流量混合重组;
引擎测试单元,用于根据混合重组后的网络流量进行网络流量安全检测引擎的测试。
可选的,该装置,还包括:
在根据混合重组后的网络流量进行网络流量安全检测引擎的测试之前,对混合重组后的网络流量中的源地址以及目的地址按照预设规则进行修改,以使各测试类型的网络流量的源地址以及目的地址不重复;和/或,
将混合重组后的网络流量中各测试类型的网络流量的开始时间对准。
可选的,引擎测试模块320,包括:
网络流量发送单元,用于根据实际网络流量以及变形网络流量,按照预配置的网络流量发送速率、流大小以及发送频次,进行网络流量安全检测引擎的测试。
可选的,该装置,还包括:
异常结果确定模块,用于在根据实际网络流量以及变形网络流量进行网络流量安全检测引擎的测试之后,根据测试结果以及测试日志,确定网络流量安全检测引擎测试的异常结果,并根据异常结果提示对网络流量安全检测引擎进行修正。
本发明实施例所提供的网络流量安全检测引擎的测试装置可执行本发明任意实施例所提供的网络流量安全检测引擎的测试方法,具备执行方法相应的功能模块和有益效果。
实施例四
图4是本发明实施例四提供的一种电子设备的结构示意图,如图4所示,该设备包括:
一个或多个处理器410,图4中以一个处理器410为例;
存储器420;
所述设备还可以包括:输入装置430和输出装置440。
所述设备中的处理器410、存储器420、输入装置430和输出装置440可以通过总线或者其他方式连接,图4中以通过总线连接为例。
存储器420作为一种非暂态计算机可读存储介质,可用于存储软件程序、计算机可执行程序以及模块,如本发明实施例中的一种网络流量安全检测引擎的测试方法对应的程序指令/模块(例如,附图3所示的变形网络流量生成模块310和引擎测试模块320)。处理器410通过运行存储在存储器420中的软件程序、指令以及模块,从而执行计算机设备的各种功能应用以及数据处理,即实现上述方法实施例的一种网络流量安全检测引擎的测试方法,即:
获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
存储器420可以包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需要的应用程序;存储数据区可存储根据计算机设备的使用所创建的数据等。此外,存储器420可以包括高速随机存取存储器,还可以包括非暂态性存储器,例如至少一个磁盘存储器件、闪存器件、或其他非暂态性固态存储器件。在一些实施例中,存储器420可选包括相对于处理器410远程设置的存储器,这些远程存储器可以通过网络连接至终端设备。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
输入装置430可用于接收输入的数字或字符信息,以及产生与计算机设备的用户设置以及功能控制有关的键信号输入。输出装置440可包括显示屏等显示设备。
实施例五
本发明实施例五提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现如本发明实施例提供的一种网络流量安全检测引擎的测试方法:
获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
可以采用一个或多个计算机可读的介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括——但不限于——电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括——但不限于——无线、电线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言或其组合来编写用于执行本发明操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++,还包括常规的过程式程序设计语言—诸如”C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络——包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
注意,上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解,本发明不限于这里所述的特定实施例,对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此,虽然通过以上实施例对本发明进行了较为详细的说明,但是本发明不仅仅限于以上实施例,在不脱离本发明构思的情况下,还可以包括更多其他等效实施例,而本发明的范围由所附的权利要求范围决定。
Claims (10)
1.一种网络流量安全检测引擎的测试方法,其特征在于,所述方法包括:
获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
2.根据权利要求1所述的方法,其特征在于,所述实际网络流量采用数据表捕获PCAP文件形式存储;
根据所述实际网络流量进行网络流量变形,生成变形网络流量,包括:
根据PCAP文件的文件头、数据包头以及数据包的数据长度,确定数据包在所述PCAP文件中的位置以及数据大小;
根据所述PCAP文件中的数据包的数据大小,对所述数据包进行模糊处理,生成变形网络流量。
3.根据权利要求2所述的方法,其特征在于,根据所述PCAP文件中的数据包的数据大小,对所述数据包进行模糊处理,生成变形网络流量,包括下述至少一项操作:
对所述数据包中的单字节数据进行单字节变形和/或随机取值处理;其中,所述单字节变形包括与、或、非、异或、左移以及右移;
对所述数据包中的双字节数据进行单字节变形和/或指定字段替换处理;
对所述数据包中大于双字节的多字节数据进行单字节变形和/或随机位置数值插入处理;以及,
对所述数据包中的全部数据进行单字节变形。
4.根据权利要求1所述的方法,其特征在于,根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试,包括:
获取所述实际网络流量中网络流量的测试类型;
将各测试类型的网络流量以及所述变形网络流量按照测试需求进行网络流量混合重组;
根据混合重组后的网络流量进行网络流量安全检测引擎的测试。
5.根据权利要求4所述的方法,其特征在于,在根据混合重组后的网络流量进行网络流量安全检测引擎的测试之前,还包括:
对混合重组后的网络流量中的源地址以及目的地址按照预设规则进行修改,以使各测试类型的网络流量的源地址以及目的地址不重复;和/或,
将混合重组后的网络流量中各测试类型的网络流量的开始时间对准。
6.根据权利要求1所述的方法,其特征在于,根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试,包括:
根据所述实际网络流量以及所述变形网络流量,按照预配置的网络流量发送速率、流大小以及发送频次,进行网络流量安全检测引擎的测试。
7.根据权利要求1所述的方法,其特征在于,在根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试之后,还包括:
根据测试结果以及测试日志,确定网络流量安全检测引擎测试的异常结果,并根据所述异常结果提示对所述网络流量安全检测引擎进行修正。
8.一种网络流量安全检测引擎的测试装置,其特征在于,包括:
变形网络流量生成模块,用于获取实际网络流量,并根据所述实际网络流量进行网络流量变形,生成变形网络流量;
引擎测试模块,用于根据所述实际网络流量以及所述变形网络流量进行网络流量安全检测引擎的测试。
9.一种电子设备,其特征在于,包括:
一个或多个处理器;
存储装置,用于存储一个或多个程序,
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1-7任一项所述的方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行时实现如权利要求1-7任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110609568.3A CN113347184A (zh) | 2021-06-01 | 2021-06-01 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110609568.3A CN113347184A (zh) | 2021-06-01 | 2021-06-01 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN113347184A true CN113347184A (zh) | 2021-09-03 |
Family
ID=77472691
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110609568.3A Pending CN113347184A (zh) | 2021-06-01 | 2021-06-01 | 网络流量安全检测引擎的测试方法、装置、设备及介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113347184A (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095412A (zh) * | 2021-11-19 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种安全设备测试方法、装置、电子设备及存储介质 |
CN115484209A (zh) * | 2022-09-23 | 2022-12-16 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20150341376A1 (en) * | 2014-05-26 | 2015-11-26 | Solana Networks Inc. | Detection of anomaly in network flow data |
CN105407077A (zh) * | 2012-05-23 | 2016-03-16 | 趣斯特派普有限公司 | 用于检测关注的网络活动的系统和方法 |
CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
CN106487813A (zh) * | 2016-12-13 | 2017-03-08 | 北京匡恩网络科技有限责任公司 | 工控网络安全检测系统及检测方法 |
CN107222511A (zh) * | 2017-07-25 | 2017-09-29 | 深信服科技股份有限公司 | 恶意软件的检测方法及装置、计算机装置及可读存储介质 |
CN107959675A (zh) * | 2017-11-25 | 2018-04-24 | 国网河南省电力公司电力科学研究院 | 配电网无线通信接入的网络异常流量检测方法和装置 |
CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
CN110768970A (zh) * | 2019-10-16 | 2020-02-07 | 新华三信息安全技术有限公司 | 设备评估和异常检测方法、装置、电子设备及存储介质 |
CN111079141A (zh) * | 2018-10-19 | 2020-04-28 | 财团法人资讯工业策进会 | 恶意软件辨识装置及方法 |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN112615758A (zh) * | 2020-12-16 | 2021-04-06 | 北京锐安科技有限公司 | 一种应用识别方法、装置、设备及存储介质 |
US20210126931A1 (en) * | 2019-10-25 | 2021-04-29 | Cognizant Technology Solutions India Pvt. Ltd | System and a method for detecting anomalous patterns in a network |
CN112737891A (zh) * | 2020-12-30 | 2021-04-30 | 北京浩瀚深度信息技术股份有限公司 | 一种网络流量模拟测试方法、装置及存储介质 |
-
2021
- 2021-06-01 CN CN202110609568.3A patent/CN113347184A/zh active Pending
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN105407077A (zh) * | 2012-05-23 | 2016-03-16 | 趣斯特派普有限公司 | 用于检测关注的网络活动的系统和方法 |
US20150341376A1 (en) * | 2014-05-26 | 2015-11-26 | Solana Networks Inc. | Detection of anomaly in network flow data |
CN105553998A (zh) * | 2015-12-23 | 2016-05-04 | 中国电子科技集团公司第三十研究所 | 一种网络攻击异常检测方法 |
CN106487813A (zh) * | 2016-12-13 | 2017-03-08 | 北京匡恩网络科技有限责任公司 | 工控网络安全检测系统及检测方法 |
CN107222511A (zh) * | 2017-07-25 | 2017-09-29 | 深信服科技股份有限公司 | 恶意软件的检测方法及装置、计算机装置及可读存储介质 |
CN107959675A (zh) * | 2017-11-25 | 2018-04-24 | 国网河南省电力公司电力科学研究院 | 配电网无线通信接入的网络异常流量检测方法和装置 |
CN108337232A (zh) * | 2017-12-26 | 2018-07-27 | 努比亚技术有限公司 | 网络异常检测方法、网络安全设备及计算机可读存储介质 |
CN111079141A (zh) * | 2018-10-19 | 2020-04-28 | 财团法人资讯工业策进会 | 恶意软件辨识装置及方法 |
CN110768970A (zh) * | 2019-10-16 | 2020-02-07 | 新华三信息安全技术有限公司 | 设备评估和异常检测方法、装置、电子设备及存储介质 |
US20210126931A1 (en) * | 2019-10-25 | 2021-04-29 | Cognizant Technology Solutions India Pvt. Ltd | System and a method for detecting anomalous patterns in a network |
CN111669371A (zh) * | 2020-05-18 | 2020-09-15 | 深圳供电局有限公司 | 一种适用于电力网络的网络攻击还原系统及方法 |
CN112615758A (zh) * | 2020-12-16 | 2021-04-06 | 北京锐安科技有限公司 | 一种应用识别方法、装置、设备及存储介质 |
CN112737891A (zh) * | 2020-12-30 | 2021-04-30 | 北京浩瀚深度信息技术股份有限公司 | 一种网络流量模拟测试方法、装置及存储介质 |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114095412A (zh) * | 2021-11-19 | 2022-02-25 | 北京天融信网络安全技术有限公司 | 一种安全设备测试方法、装置、电子设备及存储介质 |
CN114095412B (zh) * | 2021-11-19 | 2023-07-04 | 北京天融信网络安全技术有限公司 | 一种安全设备测试方法、装置、电子设备及存储介质 |
CN115484209A (zh) * | 2022-09-23 | 2022-12-16 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
CN115484209B (zh) * | 2022-09-23 | 2024-04-02 | 绿盟科技集团股份有限公司 | 一种网络流量回放方法、装置、介质和电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cejka et al. | NEMEA: a framework for network traffic analysis | |
US10404724B2 (en) | Detecting network traffic content | |
Wang et al. | Seeing through network-protocol obfuscation | |
Lee et al. | A data mining and CIDF based approach for detecting novel and distributed intrusions | |
US20200120107A1 (en) | Triggering targeted scanning to detect rats and other malware | |
CN113542253B (zh) | 一种网络流量检测方法、装置、设备及介质 | |
CN112887274B (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
GB2449852A (en) | Monitoring network attacks using pattern matching | |
JP6086423B2 (ja) | 複数センサの観測情報の突合による不正通信検知方法 | |
Kaushik et al. | Detection of attacks in an intrusion detection system | |
CN113518042B (zh) | 一种数据处理方法、装置、设备及存储介质 | |
CN113347184A (zh) | 网络流量安全检测引擎的测试方法、装置、设备及介质 | |
CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
Atapour et al. | Modeling Advanced Persistent Threats to enhance anomaly detection techniques | |
Zaraska | Prelude IDS: current state and development perspectives | |
Tanakas et al. | A novel system for detecting and preventing SQL injection and cross-site-script | |
CN113645181A (zh) | 一种基于孤立森林的分布式规约攻击检测方法及系统 | |
Ivanova et al. | Method of fuzzing testing of firewalls using the gray box method | |
Hubballi et al. | Detecting TCP ACK storm attack: a state transition modelling approach | |
Olivain et al. | Detecting subverted cryptographic protocols by entropy checking | |
Ponomarev | Intrusion Detection System of industrial control networks using network telemetry | |
Qureshi et al. | Analysis of challenges in modern network forensic framework | |
Xu et al. | Identifying malware with HTTP content type inconsistency via header-payload comparison | |
Schulte et al. | Netgator: Malware detection using program interactive challenges | |
Piet et al. | An in-depth study of open-source command and control frameworks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20210903 |
|
RJ01 | Rejection of invention patent application after publication |