CN115174244A - 一种安全检测方法及系统 - Google Patents
一种安全检测方法及系统 Download PDFInfo
- Publication number
- CN115174244A CN115174244A CN202210834595.5A CN202210834595A CN115174244A CN 115174244 A CN115174244 A CN 115174244A CN 202210834595 A CN202210834595 A CN 202210834595A CN 115174244 A CN115174244 A CN 115174244A
- Authority
- CN
- China
- Prior art keywords
- attack
- information
- message
- client
- someip
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 188
- 238000000034 method Methods 0.000 claims abstract description 98
- 238000004891 communication Methods 0.000 claims abstract description 49
- 238000012545 processing Methods 0.000 claims abstract description 17
- 230000008569 process Effects 0.000 claims description 48
- 230000005540 biological transmission Effects 0.000 claims description 13
- 238000004590 computer program Methods 0.000 claims description 13
- 238000012360 testing method Methods 0.000 description 11
- 230000000694 effects Effects 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 7
- 230000004048 modification Effects 0.000 description 4
- 238000012986 modification Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 230000006872 improvement Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000002159 abnormal effect Effects 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000002349 favourable effect Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/28—Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本申请提供一种安全检测方法及系统,该方法包括:获取XML配置文档;对XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;根据客户端信息创建客户端,根据服务端信息创建服务端,并建立客户端与服务端之间的通信连接;通过攻击模块截获通过通信连接传输的发送报文,并根据攻击信息对发送报文进行处理,得到攻击报文;通过攻击模块传输攻击报文,并通过SOMEIP协议检测工具基于攻击报文生成检测结果;检测结果用于表示SOMEIP协议检测工具是否正常工作。可见,该方法能够有效地确定出SOMEIP协议检测工具是否正常工作,从而保障SOMEIP协议检测工具在车载以太网中起到安全检测的效用,进而保障目前车载以太网的安全性。
Description
技术领域
本申请涉及网络安全领域,具体而言,涉及一种安全检测方法及系统。
背景技术
随着车载电子系统的愈加复杂,不断增加的控制器及接口数量对网络带宽的需求增大,车内控制单元和域之间彼此通信需求也变得越来越高,从而导致传统的车辆通信网络总线(CAN、LIN、FlexRay、Most等)渐渐无法满足上述需求。为了解决上述问题,目前提出了相应的以太网应用方法,但是以太网的应用会引入安全问题。为此,如何保障车载以太网的安全成为了当前本领域技术人员不断尝试解决的问题之一。
发明内容
本申请实施例的目的在于提供一种安全检测方法及系统,能够有效地进行车载以太网的安全检测,从而保障目前车载以太网的安全性。
本申请实施例第一方面提供了一种安全检测方法,包括:
获取XML配置文档;
对所述XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;
根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接;
通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文;
通过攻击模块传输所述攻击报文,并通过SOMEIP协议检测工具基于所述攻击报文生成检测结果;所述检测结果用于表示所述SOMEIP协议检测工具是否正常工作。
在上述实现过程中,该方法可以优先获取XML配置文档,以使该应用在运行时可以以该XML配置文档进行多方面的配置,从而便于实现该应用或该系统的运行初始化。然后,该方法可以对XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;可见,该步骤能够通过一个单独的解析模块对XML配置文档进行解析,得到客户端信息、服务端信息和攻击信息三方面信息,从而便于后续步骤可以根据该三方面信息同步创建客户端模块、服务端模块和攻击模块,进而使得该三个模块能够进行相应交互,实现安全检测的效果。再然后,该方法可以根据客户端信息创建客户端,根据服务端信息创建服务端,并建立客户端与服务端之间的通信连接;可见,该步骤建立了客户端模块中的客户端和服务端模块中的服务端,并通过通信连接将二者之间的通信关系构建出来,从而便于后续步骤可以基于该通信连接进行攻击模拟和检测工具异常检测。具体的,该方法通过攻击模块截获通过通信连接传输的发送报文,并根据攻击信息对发送报文进行处理,得到攻击报文;可见,该步骤能够基于刚刚构建的通信连接进行报文截取与转换,从而能够有效、真实地模拟报文攻击的场景,进而能够准确的检测安全检测工具是否正常工作。最后,该方法通过攻击模块传输攻击报文,并通过SOMEIP协议检测工具基于攻击报文生成检测结果;检测结果用于表示SOMEIP协议检测工具是否正常工作;可见,该方法可以通过攻击模块发起相应的攻击,以此来测试安全检测工具是否能够对攻击进行有效检测,其中该安全检测工具为SOMEIP协议检测工具,这样的这是能够有效的针对于SOMEIP协议检测工具进行工具是否正常工作的检测。综上,该方法可以模拟客户端、服务端之间的报文攻击实况检测SOMEIP协议检测工具是否正常工作,从而有效保障SOMEIP协议检测工具在实际工作场景中能够胜任,进而以此来起到提高保障目前车载以太网的安全性的效果。
进一步地,所述根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接的步骤包括:
根据所述客户端信息,在多个进程中创建多个SOMEIP客户端;
根据所述服务端信息,在多个进程中创建多个SOMEIP服务端;
建立所述多个客户端与所述多个服务端之间的通信连接。
在上述实现过程中,该方法在根据客户端信息创建客户端,根据和服务端信息创建服务端,并建立客户端与服务端之间的通信连接时,可以根据客户端信息,在多个进程中创建多个SOMEIP客户端,并根据服务端信息,在多个进程中创建多个SOMEIP服务端;可见,该方法可以模拟多个进程,并在每个进程中创建对应的SOMEIP客户端或SOMEIP服务端,然后以此来进行SOMEIP协议检测工具的有效性检测,从而起到高效、全面的安全检测效果。然后,该方法基于此建立多个客户端与多个服务端之间的通信连接,能够以此为基准来准确地对SOMEIP协议检测工具的有效性检测,从而得到准确的检测结果。
进一步地,所述通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文的步骤包括:
通过攻击模块截获通过所述通信连接传输的发送报文;
根据所述攻击信息中的攻击类型对所述发送报文进行更改得到攻击报文,或基于所述发送报文进行自动组装得到攻击报文。
在上述实现过程中,该方法在通过攻击模块截获通过通信连接传输的发送报文,并根据攻击信息对发送报文进行处理,得到攻击报文的过程中,可以优先通过攻击模块截获通过通信连接传输的发送报文;然后再根据攻击信息中的攻击类型对发送报文进行更改得到攻击报文,或基于发送报文进行自动组装得到攻击报文。可见,该方法可以实际模拟发送报文的截取以及改装或重做,从而准确、有效的获取到可靠的攻击报文,进而能够以该种攻击报文来测试SOMEIP协议检测工具是否正常工作。
进一步地,所述方法还包括:
检测XML配置文档中是否包括离线流量文件生成指令;
当所述XML配置文档中包括所述离线流量文件生成指令时,以pcap的格式将所述发送报文和攻击报文存储为pcap数据包;
通过SOMEIP协议检测工具离线对所述pcap数据包进行检测,得到所述检测结果。
在上述实现过程中,该方法还可以检测XML配置文档中是否包括离线流量文件生成指令,以此来判断目前是否具有生成离线流量文件的需求,并在具有生成离线流量文件的需求时执行后续步骤,从而实现的离线检测的开关效果。然后,该方法在XML配置文档中包括离线流量文件生成指令时,以pcap的格式将发送报文和攻击报文存储为pcap数据包;可见,该方法获取到了测试过程中的发送报文和攻击报文,并将其转换为pcap数据包存储到了线下,从而使得该方法可以在离线状态下对SOMEIP协议检测工具进行能够正常工作的检测判断。最后,该方法通过SOMEIP协议检测工具离线对pcap数据包进行检测,得到检测结果,从而完成对SOMEIP协议检测工具能够正常工作的检测判断,进而有利于提高对SOMEIP协议检测工具的检测稳定性与可靠性。
进一步地,所述客户端信息包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及所述发送报文中的SOMEIP头格式;
所述服务端信息包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码;
所述攻击信息包括攻击类型以及攻击频率。
在上述实现过程中,包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及发送报文中的SOMEIP头格式的客户端信息能够限定客户端的形态以及工作状态,同时通过限定发送报文的格式也能够有效的将该方法限制在SOMEIP协议检测工具的测试场景中,从而能够提高SOMEIP协议检测工具的检测稳定性。同时,包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码的服务端信息与客户端信息相类似,能够限定服务端的形态与工作模式,从而有效的将该方法限制在SOMEIP协议检测工具的测试场景中,进而能够提高SOMEIP协议检测工具的检测稳定性。初次之外,攻击信息包括的攻击类型以及攻击频率能够限定SOMEIP协议检测工具的检测类型,从而避免其他攻击类型混入,进而避免影响SOMEIP协议检测工具的有效性判定。
进一步地,所述攻击类型包括篡改Client ID攻击类型、虚假Client ID攻击类型、篡改Protocol version攻击类型、篡改Interface version攻击类型、篡改Message Type攻击类型、报文截断攻击类型、上下文篡改攻击类型、高频攻击类型以及逻辑攻击类型。
在上述实现过程中,该方法通过限定攻击类型来实现高针对性的SOMEIP协议检测工具的检测,从而能够有效避免其他攻击类型的混入,进而避免影响SOMEIP协议检测工具的有效性判定。
本申请实施例第二方面提供了一种安全检测系统,所述安全检测系统包括:
获取单元,用于获取XML配置文档;
解析单元,用于对所述XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;
创建单元,用于根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接;
处理单元,用于通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文;
生成单元,用于通过攻击模块传输所述攻击报文,并通过SOMEIP协议检测工具基于所述攻击报文生成检测结果;所述检测结果用于表示所述SOMEIP协议检测工具是否正常工作。
在上述实现过程中,该系统可以通过获取单元获取XML配置文档,从而使得该系统在运行时可以以该XML配置文档进行多方面的配置,从而便于实现该应用或该系统的运行初始化。然后,该系统可以通过解析单元对XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;可见,该过程能够通过一个单独的解析模块对XML配置文档进行解析,得到客户端信息、服务端信息和攻击信息三方面信息,从而便于该系统可以在后续根据该三方面信息同步创建客户端模块、服务端模块和攻击模块,进而使得该三个模块能够进行相应交互,实现安全检测的效果。再然后,该系统还可以通过创建单元根据客户端信息创建客户端,根据服务端信息创建服务端,并建立客户端与服务端之间的通信连接;可见,该过程建立了客户端模块中的客户端和服务端模块中的服务端,并通过通信连接将二者之间的通信关系构建出来,从而便于后续流程可以基于该通信连接进行攻击模拟和检测工具异常检测。具体的,该系统可以通过处理单元调用攻击模块截获通过通信连接传输的发送报文,并根据攻击信息对发送报文进行处理,得到攻击报文;可见,该过程能够基于刚刚构建的通信连接进行报文截取与转换,从而能够有效、真实地模拟报文攻击的场景,进而能够准确的检测安全检测工具是否正常工作。最后,该系统可以通过生成单元来传输攻击报文,并通过SOMEIP协议检测工具基于攻击报文生成检测结果;检测结果用于表示SOMEIP协议检测工具是否正常工作;可见,该系统可以通过攻击模块发起相应的攻击,以此来测试安全检测工具是否能够对攻击进行有效检测,其中该安全检测工具为SOMEIP协议检测工具,这样的这是能够有效的针对于SOMEIP协议检测工具进行工具是否正常工作的检测。综上,该系统可以模拟客户端、服务端之间的报文攻击实况检测SOMEIP协议检测工具是否正常工作,从而有效保障SOMEIP协议检测工具在实际工作场景中能够胜任,进而以此来起到提高保障目前车载以太网的安全性的效果。
进一步地,所述创建单元包括:
创建子单元,用于根据所述客户端信息,在多个进程中创建多个SOMEIP客户端;
所述创建子单元,还用于根据所述服务端信息,在多个进程中创建多个SOMEIP服务端;
建立子单元,用于建立所述多个客户端与所述多个服务端之间的通信连接。
在上述实现过程中,创建单元在根据客户端信息创建客户端,根据和服务端信息创建服务端,并建立客户端与服务端之间的通信连接时,可以通过创建子单元根据客户端信息,在多个进程中创建多个SOMEIP客户端,并根据服务端信息,在多个进程中创建多个SOMEIP服务端;可见,该系统可以模拟多个进程,并在每个进程中创建对应的SOMEIP客户端或SOMEIP服务端,然后以此来进行SOMEIP协议检测工具的有效性检测,从而起到高效、全面的安全检测效果。然后,该系统可以通过建立子单元来建立多个客户端与多个服务端之间的通信连接,从而以此为基准来准确地对SOMEIP协议检测工具的有效性检测,进而得到准确的检测结果。
进一步地,所述处理单元包括:
截取子单元,用于通过攻击模块截获通过所述通信连接传输的发送报文;
处理子单元,用于根据所述攻击信息中的攻击类型对所述发送报文进行更改得到攻击报文,或基于所述发送报文进行自动组装得到攻击报文。
在上述实现过程中,该系统可以通过截取子单元来调用攻击模块截获通过通信连接传输的发送报文;然后再通过处理子单元来根据攻击信息中的攻击类型对发送报文进行更改得到攻击报文,或基于发送报文进行自动组装得到攻击报文。可见,该系统可以实际模拟发送报文的截取以及改装或重做,从而准确、有效的获取到可靠的攻击报文,进而能够以该种攻击报文来测试SOMEIP协议检测工具是否正常工作。
进一步地,所述安全检测系统还包括:
检测单元,用于检测XML配置文档中是否包括离线流量文件生成指令;
存储单元,用于当所述XML配置文档中包括所述离线流量文件生成指令时,以pcap的格式将所述发送报文和攻击报文存储为pcap数据包;
所述生成单元,还用于通过SOMEIP协议检测工具离线对所述pcap数据包进行检测,得到所述检测结果。
在上述实现过程中,该系统可以通过检测单元来检测XML配置文档中是否包括离线流量文件生成指令,以此来判断目前是否具有生成离线流量文件的需求,并在具有生成离线流量文件的需求时执行后续操作,从而实现的离线检测的开关效果。然后,该系统通过存储单元在XML配置文档中包括离线流量文件生成指令时,以pcap的格式将发送报文和攻击报文存储为pcap数据包;可见,该系统获取到了测试过程中的发送报文和攻击报文,并将其转换为pcap数据包存储到了线下,从而使得该系统可以在离线状态下对SOMEIP协议检测工具进行能够正常工作的检测判断。最后,该系统可以通过生成单元来使用SOMEIP协议检测工具离线对pcap数据包进行检测,得到检测结果,从而完成对SOMEIP协议检测工具能够正常工作的检测判断,进而有利于提高对SOMEIP协议检测工具的检测稳定性与可靠性。
进一步地,所述客户端信息包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及所述发送报文中的SOMEIP头格式;
所述服务端信息包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码;
所述攻击信息包括攻击类型以及攻击频率。
在上述实现过程中,包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及发送报文中的SOMEIP头格式的客户端信息能够限定客户端的形态以及工作状态,同时通过限定发送报文的格式也能够有效的将该方法限制在SOMEIP协议检测工具的测试场景中,从而能够提高SOMEIP协议检测工具的检测稳定性。同时,包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码的服务端信息与客户端信息相类似,能够限定服务端的形态与工作模式,从而有效的将该方法限制在SOMEIP协议检测工具的测试场景中,进而能够提高SOMEIP协议检测工具的检测稳定性。初次之外,攻击信息包括的攻击类型以及攻击频率能够限定SOMEIP协议检测工具的检测类型,从而避免其他攻击类型混入,进而避免影响SOMEIP协议检测工具的有效性判定。
进一步地,所述攻击类型包括篡改Client ID攻击类型、虚假Client ID攻击类型、篡改Protocol version攻击类型、篡改Interface version攻击类型、篡改Message Type攻击类型、报文截断攻击类型、上下文篡改攻击类型、高频攻击类型以及逻辑攻击类型。
在上述实现过程中,通过限定攻击类型来实现高针对性的SOMEIP协议检测工具的检测,从而能够有效避免其他攻击类型的混入,进而避免影响SOMEIP协议检测工具的有效性判定。
本申请实施例第三方面提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例第一方面中任一项所述的安全检测方法。
本申请实施例第四方面提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例第一方面中任一项所述的安全检测方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种安全检测方法的流程示意图;
图2为本申请实施例提供的一种安全检测系统的结构示意图;
图3为本申请实施例提供的一种安全检测方法的举例流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。同时,在本申请的描述中,术语“第一”、“第二”等仅用于区分描述,而不能理解为指示或暗示相对重要性。
实施例1
请参看图1,图1为本实施例提供了一种安全检测方法的流程示意图。其中,该安全检测方法包括:
S101、获取XML配置文档。
S102、对XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息。
本实施例中,客户端信息包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及发送报文中的SOMEIP头格式;
服务端信息包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码;
攻击信息包括攻击类型以及攻击频率。
在本实施例中,该方法定义并支持7种不同类型的攻击类型,包括篡改Client ID攻击类型、虚假Client ID攻击类型、篡改Protocol version攻击类型、篡改Interfaceversion攻击类型、篡改Message Type攻击类型、报文截断攻击类型、上下文篡改攻击类型、高频攻击类型以及逻辑攻击类型。
在本实施例中,逻辑攻击包括丢弃请求、响应报文,重复请求和重复响应,对Fire&Forget类报文响应。
本实施例中,SOMEIP为SOME/IP,而SOME/IP是基于TCP/IP的可扩展、面向服务的中间件(Scalable service-Oriented Middleware over IP)的缩写。
S103、根据客户端信息,在多个进程中创建多个SOMEIP客户端。
本实施例中,该方法可以通过SOMEIP客户端模块读取解析后的客户端信息,并创建相应的客户端。此模块允许用户配置多个不同的客户端,并且以多进程的形式创建多个客户端。客户端启动后等待其它模块启动完毕后,按照XML中发包流程开始与服务端建立连接并发送数据包。
S104、根据服务端信息,在多个进程中创建多个SOMEIP服务端。
本实施例中,该方法可以通过SOMEIP服务端模块读取解析后的服务端信息,并创建相应的服务端。此模块运行用户配置多个不同的服务端,并以多进程的形式创建多个服务端。服务端启动后等待客户端的连接请求或者报文发送,并根据XML中指定的响应格式对请求报文返回响应。
S105、建立多个客户端与多个服务端之间的通信连接。
S106、通过攻击模块截获通过通信连接传输的发送报文。
S107、根据攻击信息中的攻击类型对发送报文进行更改得到攻击报文,或基于发送报文进行自动组装得到攻击报文。
本实施例中,该方法可以预先获取解析后攻击类型信息,并在客户端发送报文前先将报文发送给攻击模块,以使攻击模块根据XML中指定的攻击类型对报文进行更改或者自己组装攻击报文直接发起攻击。
S108、通过攻击模块传输攻击报文,并通过SOMEIP协议检测工具基于攻击报文生成检测结果;检测结果用于表示SOMEIP协议检测工具是否正常工作。
本实施例中,高频攻击和部分逻辑攻击需要攻击模块主动调用客户端或服务端API生成并发送攻击报文外,其它类型攻击需要客户端或服务端在发送报文前调用攻击模块的API,攻击模块负责将报文内容进行篡改后,再由客户端或服务端发送出去。
作为一种可选的实施方式,方法还包括:
检测XML配置文档中是否包括离线流量文件生成指令;
当XML配置文档中包括离线流量文件生成指令时,以pcap的格式将发送报文和攻击报文存储为pcap数据包;
通过SOMEIP协议检测工具离线对pcap数据包进行检测,得到检测结果。
本实施例中,该方法还可以设置有离线包模块,该离线包模块只有用户有生成离线流量文件的需求时才会启动,也在XML文件中配置开启与关闭。此模块开启后,客户端与服务端交互过程中的报文流量以pcap的格式保存在本地,包括攻击流量。用户可以使用SOMEIP协议检测工具离线检测pcap数据包来测试检测工具是否正常工作。
本实施例中,该方法能够模拟真实的SOMEIP客户端和服务端,并产生SOMEIP流量报文(包括正常的流量报文和恶意攻击报文),然后再通过这些模拟出来的流量来检测SOMEIP协议检测工具是否能够正常工作。
请参阅图3,图3示出了一种安全检测方法的举例流程示意图。其中,图示方法运行在SOMEIP协议检测工具运行的环境中,根据SOMEIP协议检测工具所支持的检测功能配置XML文件,然后再产生攻击流量,通过查看SOMEIP协议检测工具是否产生告警日志等信息判断检测工具是否正常工作。
举例来说,该方法可应用于车载防火墙、车载网关等安全设备中,作为测试以上设备中SOMEIP协议检测功能是否正常的工具。
具体举例流程如下:
(1)将本应用的安装目录发送到待测设备环境当中,编译安装本方法。
(2)统计待测设备中SOMEIP协议检测工具支持哪些异常报文检测和设备IP、端口等信息,根据统计信息编写XML配置文档。
(3)开启测试设备中的SOMEIP协议检测工具,并启动本方法,通过观察SOMEIP协议检测工具告警日志信息判断其是否能正常检测出异常报文,这种方法是在线检测功能,如果SOMEIP协议检测工具支持离线方式,本方法可生成pcap流量文件供检测工具解析检测。
本实施例中,该方法的执行主体可以为计算机、服务器等计算系统,对此本实施例中不作任何限定。
在本实施例中,该方法的执行主体还可以为智能手机、平板电脑等智能设备,对此本实施例中不作任何限定。
可见,实施本实施例所描述的安全检测方法,能够更加充分地模拟真实的SOMEIP环境,并且只需要配置好XML文档即可自动化完成攻击。可见,该方法相比现有技术更加自动化,并能够模拟一些需要检测工具根据上下文才能检测出的攻击类型,比如逻辑攻击等,因此检测范围更加广泛,有利于更准确的检测出SOMEIP协议检测工具是否能够正常工作,从而保障SOMEIP协议检测工具在以太网安全检测过程中起到足够的效用。
实施例2
请参看图2,图2为本实施例提供的一种安全检测系统的结构示意图。如图2所示,该安全检测系统包括:
获取单元210,用于获取XML配置文档;
解析单元220,用于对XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;
创建单元230,用于根据客户端信息创建客户端,根据服务端信息创建服务端,并建立客户端与服务端之间的通信连接;
处理单元240,用于通过攻击模块截获通过通信连接传输的发送报文,并根据攻击信息对发送报文进行处理,得到攻击报文;
生成单元250,用于通过攻击模块传输攻击报文,并通过SOMEIP协议检测工具基于攻击报文生成检测结果;检测结果用于表示SOMEIP协议检测工具是否正常工作。
进一步地,创建单元230包括:
创建子单元231,用于根据客户端信息,在多个进程中创建多个SOMEIP客户端;
创建子单元231,还用于根据服务端信息,在多个进程中创建多个SOMEIP服务端;
建立子单元232,用于建立多个客户端与多个服务端之间的通信连接。
作为一种可选的实施方式,处理单元240包括:
截取子单元241,用于通过攻击模块截获通过通信连接传输的发送报文;
处理子单元242,用于根据攻击信息中的攻击类型对发送报文进行更改得到攻击报文,或基于发送报文进行自动组装得到攻击报文。
作为一种可选的实施方式,安全检测系统还包括:
检测单元260,用于检测XML配置文档中是否包括离线流量文件生成指令;
存储单元270,用于当XML配置文档中包括离线流量文件生成指令时,以pcap的格式将发送报文和攻击报文存储为pcap数据包;
生成单元250,还用于通过SOMEIP协议检测工具离线对pcap数据包进行检测,得到检测结果。
作为一种可选的实施方式,客户端信息包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及发送报文中的SOMEIP头格式;
服务端信息包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码;
攻击信息包括攻击类型以及攻击频率。
作为一种可选的实施方式,攻击类型包括篡改Client ID攻击类型、虚假ClientID攻击类型、篡改Protocol version攻击类型、篡改Interface version攻击类型、篡改Message Type攻击类型、报文截断攻击类型、上下文篡改攻击类型、高频攻击类型以及逻辑攻击类型。
本实施例中,对于安全检测系统的解释说明可以参照实施例1中的描述,对此本实施例中不再多加赘述。
可见,实施本实施例所描述的安全检测系统,能够更加充分地模拟真实的SOMEIP环境,并且只需要配置好XML文档即可自动化完成攻击。可见,该系统相比现有技术更加自动化,并能够模拟一些需要检测工具根据上下文才能检测出的攻击类型,比如逻辑攻击等,因此检测范围更加广泛,有利于更准确的检测出SOMEIP协议检测工具是否能够正常工作,从而保障SOMEIP协议检测工具在以太网安全检测过程中起到足够的效用。
本申请实施例提供了一种电子设备,包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行本申请实施例1中的安全检测方法。
本申请实施例提供了一种计算机可读存储介质,其存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行本申请实施例1中的安全检测方法。
在本申请所提供的几个实施例中,应该理解到,所揭露的系统和方法,也可以通过其它的方式实现。以上所描述的系统实施例仅仅是示意性的,例如,附图中的流程图和框图显示了根据本申请的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分,所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意,在有些作为替换的实现方式中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
另外,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
所述功能如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读存储介质中。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步定义和解释。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应所述以权利要求的保护范围为准。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
Claims (10)
1.一种安全检测方法,其特征在于,包括:
获取XML配置文档;
对所述XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;
根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接;
通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文;
通过攻击模块传输所述攻击报文,并通过SOMEIP协议检测工具基于所述攻击报文生成检测结果;所述检测结果用于表示所述SOMEIP协议检测工具是否正常工作。
2.根据权利要求1所述的安全检测方法,其特征在于,所述根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接的步骤包括:
根据所述客户端信息,在多个进程中创建多个SOMEIP客户端;
根据所述服务端信息,在多个进程中创建多个SOMEIP服务端;
建立所述多个客户端与所述多个服务端之间的通信连接。
3.根据权利要求1所述的安全检测方法,其特征在于,所述通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文的步骤包括:
通过攻击模块截获通过所述通信连接传输的发送报文;
根据所述攻击信息中的攻击类型对所述发送报文进行更改得到攻击报文,或基于所述发送报文进行自动组装得到攻击报文。
4.根据权利要求1所述的安全检测方法,其特征在于,所述方法还包括:
检测XML配置文档中是否包括离线流量文件生成指令;
当所述XML配置文档中包括所述离线流量文件生成指令时,以pcap的格式将所述发送报文和攻击报文存储为pcap数据包;
通过SOMEIP协议检测工具离线对所述pcap数据包进行检测,得到所述检测结果。
5.根据权利要求1所述的安全检测方法,其特征在于,所述客户端信息包括客户端端口、目的端端口、接口版本、协议版本、协议类型、返回码以及所述发送报文中的SOMEIP头格式;
所述服务端信息包括服务端端口、传输层协议类型、支持的SOMEIP头格式以及支持的返回码;
所述攻击信息包括攻击类型以及攻击频率。
6.根据权利要求5所述的安全检测方法,其特征在于,所述攻击类型包括篡改ClientID攻击类型、虚假Client ID攻击类型、篡改Protocol version攻击类型、篡改Interfaceversion攻击类型、篡改Message Type攻击类型、报文截断攻击类型、上下文篡改攻击类型、高频攻击类型以及逻辑攻击类型。
7.一种安全检测系统,其特征在于,所述安全检测系统包括:
获取单元,用于获取XML配置文档;
解析单元,用于对所述XML配置文档进行解析,得到包括客户端信息、服务端信息和攻击信息的解析信息;
创建单元,用于根据所述客户端信息创建客户端,根据所述服务端信息创建服务端,并建立所述客户端与所述服务端之间的通信连接;
处理单元,用于通过攻击模块截获通过所述通信连接传输的发送报文,并根据所述攻击信息对所述发送报文进行处理,得到攻击报文;
生成单元,用于通过攻击模块传输所述攻击报文,并通过SOMEIP协议检测工具基于所述攻击报文生成检测结果;所述检测结果用于表示所述SOMEIP协议检测工具是否正常工作。
8.根据权利要求6所述的安全检测系统,其特征在于,所述安全检测系统还包括:
检测单元,用于检测XML配置文档中是否包括离线流量文件生成指令;
存储单元,用于当所述XML配置文档中包括所述离线流量文件生成指令时,以pcap的格式将所述发送报文和攻击报文存储为pcap数据包;
所述生成单元,还用于通过SOMEIP协议检测工具离线对所述pcap数据包进行检测,得到所述检测结果。
9.一种电子设备,其特征在于,所述电子设备包括存储器以及处理器,所述存储器用于存储计算机程序,所述处理器运行所述计算机程序以使所述电子设备执行权利要求1至6中任一项所述的安全检测方法。
10.一种可读存储介质,其特征在于,所述可读存储介质中存储有计算机程序指令,所述计算机程序指令被一处理器读取并运行时,执行权利要求1至6任一项所述的安全检测方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210834595.5A CN115174244B (zh) | 2022-07-14 | 2022-07-14 | 一种安全检测方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210834595.5A CN115174244B (zh) | 2022-07-14 | 2022-07-14 | 一种安全检测方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN115174244A true CN115174244A (zh) | 2022-10-11 |
CN115174244B CN115174244B (zh) | 2024-05-28 |
Family
ID=83495339
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210834595.5A Active CN115174244B (zh) | 2022-07-14 | 2022-07-14 | 一种安全检测方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115174244B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120159574A1 (en) * | 2010-12-20 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and system for providing information sharing service for network attacks |
US20130254879A1 (en) * | 2012-03-21 | 2013-09-26 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
US20130343378A1 (en) * | 2012-06-21 | 2013-12-26 | Mark Veteikis | Virtual data loopback and/or data capture in a computing system |
CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
CN104569903A (zh) * | 2014-12-15 | 2015-04-29 | 南昌市科陆智能电网科技有限公司 | 一种自动化测试系统及测试方法 |
CN107046495A (zh) * | 2016-02-06 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 用于构建虚拟专用网络的方法、装置和系统 |
CN109040086A (zh) * | 2018-08-15 | 2018-12-18 | 广东电网有限责任公司 | 一种工业控制系统ddos攻击仿真方法及装置 |
CN112019512A (zh) * | 2020-07-30 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 汽车网络安全测试系统 |
CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
CN113127862A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | 一种xxe攻击检测方法、装置、电子设备及存储介质 |
CN113259351A (zh) * | 2021-05-12 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种入侵检测方法、装置、存储介质和电子设备 |
CN113485766A (zh) * | 2021-07-07 | 2021-10-08 | 上海中通吉网络技术有限公司 | 基于salt和nginx反向代理集群管理方法和系统 |
CN114500065A (zh) * | 2022-01-30 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种基于egd协议的攻击检测方法 |
-
2022
- 2022-07-14 CN CN202210834595.5A patent/CN115174244B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20120159574A1 (en) * | 2010-12-20 | 2012-06-21 | Electronics And Telecommunications Research Institute | Method and system for providing information sharing service for network attacks |
US20130254879A1 (en) * | 2012-03-21 | 2013-09-26 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
US20130343378A1 (en) * | 2012-06-21 | 2013-12-26 | Mark Veteikis | Virtual data loopback and/or data capture in a computing system |
CN103746885A (zh) * | 2014-01-28 | 2014-04-23 | 中国人民解放军信息安全测评认证中心 | 一种面向下一代防火墙的测试系统和测试方法 |
CN104569903A (zh) * | 2014-12-15 | 2015-04-29 | 南昌市科陆智能电网科技有限公司 | 一种自动化测试系统及测试方法 |
CN107046495A (zh) * | 2016-02-06 | 2017-08-15 | 阿里巴巴集团控股有限公司 | 用于构建虚拟专用网络的方法、装置和系统 |
CN109040086A (zh) * | 2018-08-15 | 2018-12-18 | 广东电网有限责任公司 | 一种工业控制系统ddos攻击仿真方法及装置 |
CN113127862A (zh) * | 2019-12-31 | 2021-07-16 | 深信服科技股份有限公司 | 一种xxe攻击检测方法、装置、电子设备及存储介质 |
CN112019512A (zh) * | 2020-07-30 | 2020-12-01 | 杭州安恒信息技术股份有限公司 | 汽车网络安全测试系统 |
CN112788014A (zh) * | 2020-12-30 | 2021-05-11 | 成都为辰信息科技有限公司 | 一种基于车载mcu的以太网入侵检测方法 |
CN113259351A (zh) * | 2021-05-12 | 2021-08-13 | 北京天融信网络安全技术有限公司 | 一种入侵检测方法、装置、存储介质和电子设备 |
CN113485766A (zh) * | 2021-07-07 | 2021-10-08 | 上海中通吉网络技术有限公司 | 基于salt和nginx反向代理集群管理方法和系统 |
CN114500065A (zh) * | 2022-01-30 | 2022-05-13 | 杭州立思辰安科科技有限公司 | 一种基于egd协议的攻击检测方法 |
Also Published As
Publication number | Publication date |
---|---|
CN115174244B (zh) | 2024-05-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN102075508B (zh) | 针对网络协议的漏洞挖掘系统和方法 | |
CN107241229B (zh) | 一种基于接口测试工具的业务监控方法及装置 | |
CN112221121A (zh) | 应用软件联网加速方法、装置及存储介质 | |
CN101707608A (zh) | 应用层协议自动化测试方法及装置 | |
CN109167762B (zh) | 一种iec104报文校验方法及装置 | |
CN106330483B (zh) | 信息获取方法、客户端设备和服务端设备 | |
US20090122721A1 (en) | Hybrid network discovery method for detecting client applications | |
JP6962374B2 (ja) | ログ分析装置、ログ分析方法及びプログラム | |
Herold et al. | Anomaly detection for SOME/IP using complex event processing | |
CN112463281A (zh) | 远程协助方法、装置、系统、电子设备及存储介质 | |
Paul et al. | Towards the protection of industrial control systems–conclusions of a vulnerability analysis of profinet IO | |
CN109474540B (zh) | 一种识别opc流量的方法及装置 | |
US8972543B1 (en) | Managing clients utilizing reverse transactions | |
Graveto et al. | A network intrusion detection system for building automation and control systems | |
KR20150026345A (ko) | 네트워크 트래픽을 통해 화이트 리스트를 생성하는 장치 및 그 방법 | |
US20060130146A1 (en) | Network packet generation apparatus and method having attack test packet generation function for information security system test | |
CN115174245A (zh) | 一种基于DoIP协议检测的测试方法及系统 | |
CN117061384A (zh) | 一种模糊测试方法、装置、设备及介质 | |
CN115174244A (zh) | 一种安全检测方法及系统 | |
CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
CN115883574A (zh) | 工业控制网络中的接入设备识别方法及装置 | |
CN115484326A (zh) | 处理数据的方法、系统及存储介质 | |
US9049170B2 (en) | Building filter through utilization of automated generation of regular expression | |
JP4913002B2 (ja) | Webアプリケーション監視装置 | |
CN115827395A (zh) | 办公软件的异常处理方法及设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant |