CN113556350B - 网络安全设备鲁棒性测试方法、系统及可读存储介质 - Google Patents
网络安全设备鲁棒性测试方法、系统及可读存储介质 Download PDFInfo
- Publication number
- CN113556350B CN113556350B CN202110842670.8A CN202110842670A CN113556350B CN 113556350 B CN113556350 B CN 113556350B CN 202110842670 A CN202110842670 A CN 202110842670A CN 113556350 B CN113556350 B CN 113556350B
- Authority
- CN
- China
- Prior art keywords
- data stream
- test
- test data
- transmission parameters
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012360 testing method Methods 0.000 title claims abstract description 237
- 230000005540 biological transmission Effects 0.000 claims abstract description 61
- 238000000034 method Methods 0.000 claims abstract description 37
- 238000004891 communication Methods 0.000 claims description 15
- 238000012986 modification Methods 0.000 claims description 12
- 230000004048 modification Effects 0.000 claims description 12
- 230000000903 blocking effect Effects 0.000 claims description 10
- 238000012544 monitoring process Methods 0.000 claims description 10
- 230000000007 visual effect Effects 0.000 claims description 10
- 238000012216 screening Methods 0.000 claims description 6
- 238000012113 quantitative test Methods 0.000 abstract description 4
- 238000001514 detection method Methods 0.000 description 13
- 238000012800 visualization Methods 0.000 description 10
- 238000010276 construction Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 230000009471 action Effects 0.000 description 6
- 238000013100 final test Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 238000007405 data analysis Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 5
- 230000037430 deletion Effects 0.000 description 5
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 238000011160 research Methods 0.000 description 3
- 241000700605 Viruses Species 0.000 description 2
- 238000007792 addition Methods 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 238000012163 sequencing technique Methods 0.000 description 2
- 238000007619 statistical method Methods 0.000 description 2
- 238000012550 audit Methods 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000005206 flow analysis Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02P—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN THE PRODUCTION OR PROCESSING OF GOODS
- Y02P90/00—Enabling technologies with a potential contribution to greenhouse gas [GHG] emissions mitigation
- Y02P90/02—Total factory control, e.g. smart factories, flexible manufacturing systems [FMS] or integrated manufacturing systems [IMS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请实施例提供一种网络安全设备鲁棒性测试方法、系统及可读存储介质。该方法包括以下步骤:获取数据流生成引擎预先生成的测试数据流;根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;根据所述测试数据流与所述新数据流的传输参数计算得到测试结果。本申请可以更精准地以及高效率对工业网络安全设备进行定性与定量测试。
Description
技术领域
本申请涉及数据测试技术领域,具体而言,涉及一种网络安全设备鲁棒性测试方法、系统及可读存储介质。
背景技术
伴随着互联网技术的高速发展,在工业化与信息化融合和智能制造的趋势下,原本封闭隔离的工业控制系统(ICS)为了满足系统间的协同和信息共享,逐渐将工控网络与互联网开放式连接,虽然扩大了工业控制的发展空间,但也难免会面临新的安全威胁。在此前提下发展起来的工业互联网安全概念逐渐上升到国家安全层面。
为了提高工业控制系统的安全性,工业企业通常会在工业控制系统中按照安全解决方案部署若干安全产品,例如工业防火墙、工业流量审计、入侵检测等,从技术上搭建一套纵深防御体系。工业控制系统网络安全产品与传统信息安全产品的最大区别在于需在应用层级别通过流量解析对工业控制协议进行识别、建模、威胁告警与阻断。所以在正式部署前都会进行基于工业控制协议产品测试,但是工业企业一般都没有合适的测试工具和环境来验证这类产品是否能够起到防护功能,这就成了工业企业在做安全项目时的难题。
同时各行业中的科研院所在研究工业互联网安全、制定本行业安全设备准入标准的过程中,也会有同类的问题——缺少完整的测试环境:要测试不同的工业控制协议就必须购置相关的硬件,搭建对应的工业控制协议通讯环境,技术要求复杂,经济和时间成本高。
针对上述问题,目前尚未有有效的技术解决方案。
发明内容
本申请实施例的目的在于提供一种网络安全设备鲁棒性测试方法、系统及可读存储介质,可以提高效率降低成本。
本申请实施例提供了一种网络安全设备鲁棒性测试方法,包括:
获取数据流生成引擎预先生成的测试数据流;
根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;
根据所述测试数据流与所述新数据流的传输参数计算得到测试结果。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,所述获取数据流生成引擎预先生成的测试数据流,包括:
基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;
获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;
调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,所述获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量,包括:
获取网络设备上传的网络流量;
对所述网络流量进行数据类型筛选、流量删除、流量复制、流量载荷修改得到第二目标流量。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流,包括:
将所述测试数据流输入被测设备,使得在传输过程中所述测试数据流的时序、速率以及丢包率满足所述预设的传输参数;
接收所述测试数据流经过被测设备后得到的新数据流,所述被测设备按照自身的安全配置对所述测试数据流进行数据审计或阻断,形成所述新数据流。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,所述根据所述测试数据流与所述新数据流的传输参数计算得到测试结果,包括:
获取数据流监控引擎检测得到的所述新数据流的传输参数;
获取所述数据流监控引擎检测得到的所述测试数据流的传输参数;
根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,所述根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果,包括:
对所述测试数据流以及所述新数据流时间间隔、时序、通讯速率、丢包率的差值进行比对,得到鲁棒性测试结果。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试方法中,所述方法还包括:
对所述测试结果进行可视化存储操作。
第二方面,本申请实施例还提供了一种网络安全设备鲁棒性测试系统,该系统包括:存储器及处理器,所述存储器中包括网络安全设备鲁棒性测试方法的程序,所述网络安全设备鲁棒性测试方法的程序被所述处理器执行时实现以下步骤:
获取数据流生成引擎预先生成的测试数据流;
根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;
根据所述测试数据流与所述新数据流的传输参数计算得到测试结果。
可选地,在本申请实施例所述的网络安全设备鲁棒性测试系统中,述存储器中包括网络安全设备鲁棒性测试方法的程序,所述网络安全设备鲁棒性测试方法的程序被所述处理器执行时实现以下步骤:
基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;
获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;
调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流。
第三方面,本申请实施例还提供了一种可读存储介质,所述可读存储介质中包括网络安全设备鲁棒性测试方法程序,所述网络安全设备鲁棒性测试方法程序被处理器执行时,实现如上述任一项所述的一种网络安全设备鲁棒性测试方法的步骤。
由上可知,本申请实施例提供的用网络安全设备鲁棒性测试方法及系统通过获取数据流生成引擎预先生成的测试数据流;根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;根据测试数据流与所述新数据流的传输参数计算得到测试结果,从而更精准地以及高效率对工业网络安全设备进行定性与定量测试。
本申请的其他特征和优点将在随后的说明书阐述,并且,部分地从说明书中变得显而易见,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的网络安全设备鲁棒性测试方法的一种流程图。
图2为本申请实施例提供的网络安全设备鲁棒性测试方法的另一种流程图。
图3为本申请实施例提供的网络安全设备鲁棒性测试系统的一种结构示意图。
具体实施方式
下面将结合本申请实施例中附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。通常在此处附图中描述和示出的本申请实施例的组件可以以各种不同的配置来布置和设计。因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请的实施例,本领域技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例,都属于本申请保护的范围。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
请参照图1,图1是本申请一些实施例中的一种网络安全设备鲁棒性测试方法的流程图。该网络安全设备鲁棒性测试方法,包括以下步骤:
S101、获取数据流生成引擎预先生成的测试数据流;
S102、根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;
S103、根据测试数据流与所述新数据流的传输参数计算得到测试结果。
请同时参照图2所示,其中,在该步骤S101中,数据流生成引擎包括协议构造单元、数据包重放单元以及恶意代码检测单元。其中,基于对协议构造单元、数据包重放单元以及恶意代码检测单元设置好流量后,再根据需求将三类流量进行排序、畸变、组合,形成测试数据流。例如,以时间轴为坐标对三类流量进行排布,排布规则包括顺序、循环、穿插、随机、一次性排布、间隔、以上规则组合等。
具体地,在一些实施例中,该步骤S101可以包括以下子步骤:S1011、基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;S1012、获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;S1013、调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流。需要说明的是,恶意代码可以是本领域技术人员或用户从网络、已公开数据库的取证、公开渠道获取的病毒样本,对其进行保留数据特征、无害化处理后形成的恶意流量库。用于检测被测设备基于病毒样本特征匹配的规则是否生效,是否可以检测出恶意流量并进行丢弃,保护网络资产不受恶意流量的影响。
其中,该步骤S1012可以包括:获取网络设备上传的网络流量;对所述网络流量进行数据类型筛选、流量删除、流量复制、流量载荷修改得到第二目标流量。
其中,协议构造单元通过已积累的工业控制协议格式,包括但不限于modbus、IEC104、S7、OPC等主流工业控制类型,对即将进行发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项(例如设备号、功能码、数据载荷、校验码等内容)进行设置初始值与变化规则,使之成为第一目标流量。
数据包重放单元用来上传在其他网络设备中已经生成的网络流量,并对其进行数据类型筛选、流量删除、流量复制、流量载荷修改等调整,使之成为第二目标流量。恶意代码检测单元通过收集已公开恶意代码数据与实验室研究产生的恶意代码特征,形成恶意代码知识库,主要用于检测安全设备对恶意代码检测的有效性。将的协议构造单元、数据包重放单元以及恶意代码检测单元的输出汇总,按照既定测试方案的要求,进行比重、排序、时间间隔、速率、丢包率等方向的设置,给每个数据帧加上时间戳,形成最终的测试数据流。
其中,在该步骤S102中,可以采用将所述测试数据流输入被测设备,使得在传输过程中所述测试数据流的时序、速率以及丢包率满足所述预设的传输参数;接收所述测试数据流经过被测设备后得到的新数据流,所述被测设备按照自身的安全配置对所述测试数据流进行数据审计或阻断,形成所述新数据流。例如,被测设备以防火墙为代表,设备的动作一般只有三种:1.符合一定规则的流量给予通过,2.不符合规则的流量给予丢弃,3.不符合规则的流量给予通过但是在界面中进行告警提醒,并要保障在此过程中的通讯延迟、丢包率在一个合理范围内。例如防火墙设置了五元组的规则,即源IP地址,源端口,目的IP地址,目的端口和传输层协议。那符合这些规则的流量都予以通过,不符合这些规则的流量都予以丢弃。又例如防火墙中如果设置了入侵检测功能,即可对流量的应用层进行数据解析,如果应用层数据中包含某个特定的字符串,再通过正则匹配入侵特征库,就需要对该流量进行丢弃或告警。需要说明的是,审计和阻断的目的是为了防护安全设备外端的非法流量对内端的企业网络资产进行侵害。例如,家里要设置一个电子锁对进过的人做一个筛选,有钥匙或者知道密码就是要放行的人,什么都不知道的人就是陌生人要阻断的,对家里的资产起到一个保护作用。在本申请中阻断和丢弃动作可以作为同一种动作,可以互相替换。
其中,在该步骤S103中,可以采用获取数据流监控引擎检测得到的所述新数据流的传输参数;获取所述数据流监控引擎检测得到的所述测试数据流的传输参数;根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果。需要说明的是,在本步骤中,时延测试方法可以是通过给每个数据帧打上时间戳,统一时间轴。计算所有数据帧从数据输出端到数据输入端在时间轴上的差值,即可计算出时延。通过对多条数据的统计,即可算出时延的平均值、方差,用于评估测试过程中的均值和波动。丢包率测试公式为:[(输入报文-输出报文)/输入报文]*100%。需要说明的是,丢包率跟测试包大小相关,通常,千兆网卡在流量大于200Mbps时,丢包率小于万分之五;百兆网卡在流量大于60Mbps时,丢包率小于万分之一。
其中,根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果时,可以对所述测试数据流以及所述新数据流时间间隔、时序、通讯速率、丢包率的差值进行比对,得到鲁棒性测试结果。
在一些实施例中,该步骤S103之后,还包括以下步骤:S104、对所述测试结果进行可视化存储操作。
其中,采用测试任务管理(插件或者应用程序)来进行对所述测试结果进行可视化存储操作。具体用来对测试任务进行增删改查,对每个任务中的测试数据进行储存与分析,对最终的测试结果通过可视化的形式进行展示,并结合测试人员的调整,将测试信息、测试过程、测试结果形成可导出的报告。任务设置用于对测试任务的测试名称、起始时间、测试目的、测试对象信息等信息进行增加、删除、修改、查找,方便测试者对众多测试任务进行信息管理。数据分析用于被测设备日志信息、收集数据流输入与数据流输出的原始数据,包括但不限于数据通过被测设备前后造成的时间间隔、时序、通讯速度、丢包等信息,利用内置模型算法对该数据进行分析,对原始数据交差比对,计算出被测设备的丢包率、时延、数据抖动、威胁检测有效性、异形工业协议检测有效性、通讯带宽均值等统计分析结果。结果呈现模块用于对测试数据进行可视化呈现,帮助用户发现数据中隐藏的信息。可视化模块包括测试概况信息、测试关键结果top5、数据流时空图、阻断信息实时告警图等功能。测试概况信息可以用来显示目前的发包状况,设备内存、CPU、网口使用率,被测设备实时日志信息,测试进度,预计测试完成时间等,方便测试者实时掌握测试情况,对可能出现的问题提前预判、处理、反馈。测试关键结果TOP5可以直观反馈在此项测试任务中最为突出的5个类型问题,有助于测试者是否需要复测和测试参数修改的判断。测试流时空图对比将测试数据流A、B按照时间轴进行曲线显示,通过对比直观地反馈通讯速率、流量拦截时间点、非预期的丢包点等内容。阻断信息实时告警图用于展示被阻断信息的数量、详细数据格式、整体数据流占比、非预期丢包占比等。可视化模块支持对可视化工具的扩展,用户可根据需要引入新的可视化工具,以实现更为多样的可视化呈现效果。测试报告用于将测试的基本情况、数据流生成规则、测试结果原始数据与数据分析结果、可视化显示结果结合测试者的调整确认,通过内嵌的测试报告模板形成最终测试报告,标志测试任务完成。
由上可知,本申请实施例提供的用网络安全设备鲁棒性测试方法通过获取数据流生成引擎预先生成的测试数据流;根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;根据测试数据流与所述新数据流的传输参数计算得到测试结果,从而更精准地对工业网络安全设备进行定性与定量测试
如图3所示,本申请实施例还提供了一种网络安全设备鲁棒性测试系统,该系统包括:存储器201及处理器202,所述存储器201中包括网络安全设备鲁棒性测试方法的程序,所述网络安全设备鲁棒性测试方法的程序被所述处理器202执行时实现以下步骤:获取数据流生成引擎预先生成的测试数据流;根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;根据所述测试数据流与所述新数据流的传输参数计算得到测试结果。
其中,数据流生成引擎包括协议构造单元、数据包重放单元以及恶意代码检测单元。其中,基于对协议构造单元、数据包重放单元以及恶意代码检测单元设置好流量后,再根据需求将三类流量进行排序、畸变、组合,形成测试数据流。
具体地,在一些实施例中,所述网络安全设备鲁棒性测试方法的程序被所述处理器202执行时实现以下步骤:基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流。
其中,所述网络安全设备鲁棒性测试方法的程序被所述处理器202执行时实现以下步骤:获取网络设备上传的网络流量;对所述网络流量进行数据类型筛选、流量删除、流量复制、流量载荷修改得到第二目标流量。
其中,协议构造单元通过已积累的工业控制协议格式,包括但不限于modbus、IEC104、S7、OPC等主流工业控制类型,对即将进行发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项(例如设备号、功能码、数据载荷、校验码等内容)进行设置初始值与变化规则,使之成为第一目标流量。
数据包重放单元用来上传在其他网络设备中已经生成的网络流量,并对其进行数据类型筛选、流量删除、流量复制、流量载荷修改等调整,使之成为第二目标流量。恶意代码检测单元通过收集已公开恶意代码数据与实验室研究产生的恶意代码特征,形成恶意代码知识库,主要用于检测安全设备对恶意代码检测的有效性。将的协议构造单元、数据包重放单元以及恶意代码检测单元的输出汇总,按照既定测试方案的要求,进行比重、排序、时间间隔、速率、丢包率等方向的设置,给每个数据帧加上时间戳,形成最终的测试数据流。
其中,可以采用将所述测试数据流输入被测设备,使得在传输过程中所述测试数据流的时序、速率以及丢包率满足所述预设的传输参数;接收所述测试数据流经过被测设备后得到的新数据流,所述被测设备按照自身的安全配置对所述测试数据流进行数据审计或阻断,形成所述新数据流。
其中,可以采用获取数据流监控引擎检测得到的所述新数据流的传输参数;获取所述数据流监控引擎检测得到的所述测试数据流的传输参数;根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果。
其中,根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果时,可以对所述测试数据流以及所述新数据流时间间隔、时序、通讯速率、丢包率的差值进行比对,得到鲁棒性测试结果。
在一些实施例中,所述网络安全设备鲁棒性测试方法的程序被所述处理器202执行时实现以下步骤:对所述测试结果进行可视化存储操作。
其中,采用测试任务管理(插件或者应用程序)来进行对所述测试结果进行可视化存储操作。具体用来对测试任务进行增删改查,对每个任务中的测试数据进行储存与分析,对最终的测试结果通过可视化的形式进行展示,并结合测试人员的调整,将测试信息、测试过程、测试结果形成可导出的报告。任务设置用于对测试任务的测试名称、起始时间、测试目的、测试对象信息等信息进行增加、删除、修改、查找,方便测试者对众多测试任务进行信息管理。数据分析用于被测设备日志信息、收集数据流输入与数据流输出的原始数据,包括但不限于数据通过被测设备前后造成的时间间隔、时序、通讯速度、丢包等信息,利用内置模型算法对该数据进行分析,对原始数据交差比对,计算出被测设备的丢包率、时延、数据抖动、威胁检测有效性、异形工业协议检测有效性、通讯带宽均值等统计分析结果。结果呈现模块用于对测试数据进行可视化呈现,帮助用户发现数据中隐藏的信息。可视化模块包括测试概况信息、测试关键结果top5、数据流时空图、阻断信息实时告警图等功能。测试概况信息可以用来显示目前的发包状况,设备内存、CPU、网口使用率,被测设备实时日志信息,测试进度,预计测试完成时间等,方便测试者实时掌握测试情况,对可能出现的问题提前预判、处理、反馈。测试关键结果TOP5可以直观反馈在此项测试任务中最为突出的5个类型问题,有助于测试者是否需要复测和测试参数修改的判断。测试流时空图对比将测试数据流A、B按照时间轴进行曲线显示,通过对比直观地反馈通讯速率、流量拦截时间点、非预期的丢包点等内容。阻断信息实时告警图用于展示被阻断信息的数量、详细数据格式、整体数据流占比、非预期丢包占比等。可视化模块支持对可视化工具的扩展,用户可根据需要引入新的可视化工具,以实现更为多样的可视化呈现效果。测试报告用于将测试的基本情况、数据流生成规则、测试结果原始数据与数据分析结果、可视化显示结果结合测试者的调整确认,通过内嵌的测试报告模板形成最终测试报告,标志测试任务完成。
由上可知,本申请实施例提供的用网络安全设备鲁棒性测试装置通过获取数据流生成引擎预先生成的测试数据流;根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;根据测试数据流与所述新数据流的传输参数计算得到测试结果,从而更精准地对工业网络安全设备进行定性与定量测试。
本申请实施例提供一种存储介质,所述计算机程序被处理器执行时,执行上述实施例的任一可选的实现方式中的方法。其中,存储介质可以由任何类型的易失性或非易失性存储设备或者它们的组合实现,如静态随机存取存储器(Static Random AccessMemory, 简称SRAM),电可擦除可编程只读存储器(Electrically Erasable ProgrammableRead-Only Memory, 简称EEPROM),可擦除可编程只读存储器(Erasable ProgrammableRead Only Memory, 简称EPROM),可编程只读存储器(Programmable Red-Only Memory,简称PROM),只读存储器(Read-Only Memory, 简称ROM),磁存储器,快闪存储器,磁盘或光盘。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。
Claims (7)
1.一种网络安全设备鲁棒性测试方法,其特征在于,包括:
获取数据流生成引擎预先生成的测试数据流;
根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;
根据所述测试数据流与所述新数据流的传输参数计算得到测试结果;所述获取数据流生成引擎预先生成的测试数据流,包括:
基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;
获取其他网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;
调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流;
所述根据所述测试数据流与所述新数据流的传输参数计算得到测试结果,包括:获取数据流监控引擎检测得到的所述新数据流的传输参数;
获取所述数据流监控引擎检测得到的所述测试数据流的传输参数;
根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果。
2.根据权利要求1所述的网络安全设备鲁棒性测试方法,其特征在于,所述获取网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量,包括:
获取其他网络设备上传的网络流量;
对所述网络流量进行数据类型筛选、流量删除、流量复制、流量载荷修改得到第二目标流量。
3.根据权利要求1所述的网络安全设备鲁棒性测试方法,其特征在于,根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流,包括:将所述测试数据流输入被测设备,使得在传输过程中所述测试数据流的时序、速率以及丢包率满足所述预设的传输参数;
接收所述测试数据流经过被测设备后得到的新数据流,所述被测设备按照自身的安全配置对所述测试数据流进行数据审计或阻断,形成所述新数据流。
4.根据权利要求1所述的网络安全设备鲁棒性测试方法,其特征在于,所述根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果,包括:对所述测试数据流以及所述新数据流时间间隔、时序、通讯速率、丢包率的差值进行比对,得到鲁棒性测试结果。
5.根据权利要求1所述的网络安全设备鲁棒性测试方法,其特征在于,所述方法还包括:对所述测试结果进行可视化存储操作。
6.一种网络安全设备鲁棒性测试系统,其特征在于,该系统包括:存储器及处理器,所述存储器中包括网络安全设备鲁棒性测试方法的程序,所述网络安全设备鲁棒性测试方法的程序被所述处理器执行时实现以下步骤:获取数据流生成引擎预先生成的测试数据流;
根据预设的传输参数将所述测试数据流输入被测设备,并接收所述测试数据流经过被测设备后得到的新数据流;
根据所述测试数据流与所述新数据流的传输参数计算得到测试结果;所述获取数据流生成引擎预先生成的测试数据流,包括:
基于预设工业控制协议格式对将要发送的工业控制协议的IP、MAC、协议号、应用层中工业协议的可配置项进行初始值设置以及规则变化,得到第一目标流量;
获取其他网络设备上传的网络流量,并对所述网络流量进行调整,得到第二目标流量;
调用恶意代码数据检测程序对所述第一目标流量以及第二目标流量进行输出汇总操作,得到测试数据流;
所述根据所述测试数据流与所述新数据流的传输参数计算得到测试结果,包括:获取数据流监控引擎检测得到的所述新数据流的传输参数;
获取所述数据流监控引擎检测得到的所述测试数据流的传输参数;
根据所述新数据流的传输参数以及所述测试数据流的传输参数计算得到鲁棒性测试结果。
7.一种可读存储介质,其特征在于,所述可读存储介质中包括网络安全设备鲁棒性测试方法程序,所述网络安全设备鲁棒性测试方法程序被处理器执行时,实现如权利要求1至5中任一项所述的一种网络安全设备鲁棒性测试方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110842670.8A CN113556350B (zh) | 2021-07-26 | 2021-07-26 | 网络安全设备鲁棒性测试方法、系统及可读存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110842670.8A CN113556350B (zh) | 2021-07-26 | 2021-07-26 | 网络安全设备鲁棒性测试方法、系统及可读存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113556350A CN113556350A (zh) | 2021-10-26 |
| CN113556350B true CN113556350B (zh) | 2023-03-24 |
Family
ID=78104364
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110842670.8A Active CN113556350B (zh) | 2021-07-26 | 2021-07-26 | 网络安全设备鲁棒性测试方法、系统及可读存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113556350B (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209103A (zh) * | 2013-03-25 | 2013-07-17 | 华为技术有限公司 | 网络设备的测试方法及装置 |
| CN110213137A (zh) * | 2019-06-28 | 2019-09-06 | 北京威努特技术有限公司 | 一种网络设备的传输限速检测方法、装置及电子设备 |
| CN110381035A (zh) * | 2019-06-25 | 2019-10-25 | 北京威努特技术有限公司 | 网络安全测试方法、装置、计算机设备及可读存储介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8819834B2 (en) * | 2012-06-19 | 2014-08-26 | Ixia | Methods, systems, and computer readable media for automatically generating a fuzzer that implements functional and fuzz testing and testing a network device using the fuzzer |
| US10264005B2 (en) * | 2017-01-11 | 2019-04-16 | Cisco Technology, Inc. | Identifying malicious network traffic based on collaborative sampling |
| US10524141B2 (en) * | 2017-03-20 | 2019-12-31 | T-Mobile Usa, Inc. | Destructive testing of network nodes |
-
2021
- 2021-07-26 CN CN202110842670.8A patent/CN113556350B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103209103A (zh) * | 2013-03-25 | 2013-07-17 | 华为技术有限公司 | 网络设备的测试方法及装置 |
| CN110381035A (zh) * | 2019-06-25 | 2019-10-25 | 北京威努特技术有限公司 | 网络安全测试方法、装置、计算机设备及可读存储介质 |
| CN110213137A (zh) * | 2019-06-28 | 2019-09-06 | 北京威努特技术有限公司 | 一种网络设备的传输限速检测方法、装置及电子设备 |
Non-Patent Citations (1)
| Title |
|---|
| 基于流量水印的网络跳板检测算法;赵鑫鹏等;《通信技术》;20191210(第12期);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113556350A (zh) | 2021-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11218510B2 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| CN109471846A (zh) | 一种基于云日志分析的云上用户行为审计系统及方法 | |
| US20060074621A1 (en) | Apparatus and method for prioritized grouping of data representing events | |
| Bryant et al. | Improving SIEM alert metadata aggregation with a novel kill-chain based classification model | |
| US20200042700A1 (en) | Automated threat alert triage via data provenance | |
| Ye et al. | EWMA forecast of normal system activity for computer intrusion detection | |
| Nadeem et al. | Alert-driven attack graph generation using s-pdfa | |
| CN112905548B (zh) | 一种安全审计系统及方法 | |
| US20220210202A1 (en) | Advanced cybersecurity threat mitigation using software supply chain analysis | |
| RU2757597C1 (ru) | Системы и способы сообщения об инцидентах компьютерной безопасности | |
| CN115459965A (zh) | 一种面向电力系统网络安全的多步攻击检测方法 | |
| CN109684863A (zh) | 数据防泄漏方法、装置、设备及存储介质 | |
| Skopik et al. | Smart Log Data Analytics | |
| Leckie et al. | Metadata for anomaly-based security protocol attack deduction | |
| CN113556350B (zh) | 网络安全设备鲁棒性测试方法、系统及可读存储介质 | |
| Tellenbach | Detection, classification and visualization of anomalies using generalized entropy metrics | |
| CN111078783A (zh) | 一种基于监管保护的数据治理可视化方法 | |
| KR100961992B1 (ko) | 마르코프 체인을 이용한 사이버 범죄 행위 분석 방법, 그장치 및 이를 기록한 기록매체 | |
| Kalutarage | Effective monitoring of slow suspicious activites on computer networks. | |
| Jiang et al. | An Enhanced EWMA for Alert Reduction and Situation Awareness in Industrial Control Networks | |
| Portillo-Dominguez et al. | Towards an efficient log data protection in software systems through data minimization and anonymization | |
| CN115514582B (zh) | 基于att&ck的工业互联网攻击链关联方法及系统 | |
| WO2019123449A1 (en) | A system and method for analyzing network traffic | |
| CN117749535B (zh) | 一种网络流量异常检测方法及装置 | |
| CN117336083B (zh) | 一种网络安全等级保护中的通信方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Robustness testing methods, systems, and readable storage media for network security devices Effective date of registration: 20231108 Granted publication date: 20230324 Pledgee: Guotou Taikang Trust Co.,Ltd. Pledgor: Zhejiang Mulian Internet of things Technology Co.,Ltd. Registration number: Y2023980064454 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |