CN115296941A - 检测流量安全监测设备的方法、攻击请求生成方法及设备 - Google Patents
检测流量安全监测设备的方法、攻击请求生成方法及设备 Download PDFInfo
- Publication number
- CN115296941A CN115296941A CN202211230867.7A CN202211230867A CN115296941A CN 115296941 A CN115296941 A CN 115296941A CN 202211230867 A CN202211230867 A CN 202211230867A CN 115296941 A CN115296941 A CN 115296941A
- Authority
- CN
- China
- Prior art keywords
- task
- simulator
- safety monitoring
- attack
- instruction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明涉及网络安全领域,具体涉及一种检测流量安全监测设备的方法、攻击请求生成方法及设备,旨在提高检测效率。本发明提出的检测流量安全监测设备的方法包括:获取检测任务;根据任务参数生成与检测任务唯一对应的任务特征值;根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令;采集流量安全监测设备的日志文件;根据日志文件判断流量安全监测设备的有效性;其中,第一指令用于控制第一模拟器向第二模拟器发送攻击请求;第二指令用于控制第二模拟器向第一模拟器发送响应信息。本发明通过在攻击请求中嵌入任务特征值,并查看日志文件中是否包含该任务特征值,从而判断流量安全监测设备的有效性,极大地提高了检测效率。
Description
技术领域
本发明涉及网络安全领域,具体涉及一种检测流量安全监测设备的方法、攻击请求生成方法及设备。
背景技术
流量安全监测设备用于采集网络流量,并进行解析、存储、文件还原和威胁检测等,以便及时发现威胁网络安全的恶意流量或攻击流量。目前国内已有多种型号的流量安全监测设备可供选择,但是各种型号的监测设备在实际投入使用时,其监测有效性还存在一定差别,这就需要通过必要的手段来加以识别。
相关技术中,可以通过对部署在不同网络区域的流量安全监测设备的存活状态和网络流量接入情况进行探测,从而实现对流量安全监测设备的启动、运行状态,以及网络流量接入状态进行判断。如果要对流量安全监测设备的实际监测能力、监测有效性完成判断,还需要通过人工参与,常见方式为:手动进行恶意流量或攻击流量的回放,或者手动进行攻击模拟,然后人工查看流量安全监测设备的告警日志,对监测有效性进行判断。
针对上述相关技术,发明人认为依赖人工判断效率低下,而且需要占用较多的人力资源。
发明内容
为了解决现有技术中的上述问题,本发明提出了一种检测流量安全监测设备的方法、攻击请求生成方法及设备,有效提高了检测效率。
本发明的第一方面,提出一种检测流量安全监测设备的方法,所述方法包括:
根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令;
采集所述流量安全监测设备的日志文件;
根据所述日志文件判断所述流量安全监测设备的有效性;
其中,所述第一指令用于控制所述第一模拟器向所述第二模拟器发送攻击请求;所述第二指令用于控制所述第二模拟器向所述第一模拟器发送响应信息,且所述响应信息对应于所述攻击请求成功的情况;所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。
优选地,所述检测任务包括:任务参数;
所述第一指令和所述第二指令均包括:所述任务参数和任务特征值;
在所述根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令之前,所述方法还包括:
获取所述检测任务;
根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值。
优选地,所述检测任务为一个或多个,所述日志文件为一个或多个;
所述任务参数包括:所述流量安全监测设备的型号;
所述攻击请求包含第一字段,且所述第一字段中包含所述任务特征值;
所述根据所述日志文件判断所述流量安全监测设备的有效性,包括:
根据所述第一模拟器的地址和所述第二模拟器的地址,从所述日志文件中筛选出需要分析的目标文件;
根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型,确定每个所述目标文件中第二字段的位置;
查看每个所述目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定所述目标文件与所述检测任务之间的对应关系;
根据所述对应关系,判断每个所述检测任务对应的攻击请求是否被所述流量安全监测设备监测到。
优选地, 所述任务参数还包括:攻击类型、攻击手法、攻击源网络区域,以及攻击目标网络区域;
所述根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值,包括:
将所述任务参数中每个参数对应的ID(Identity document,身份标识)和当前时间戳进行组合,生成任务ID;
根据所述任务ID,利用哈希算法生成所述任务特征值。
优选地,所述攻击类型包括:暴力破解、系统后门访问、反弹shell(reverseshell,就是控制端监听某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端)、隧道转发、漏洞利用、SQL(Structured Query Language,结构化查询语言)注入或XSS(跨站脚本攻击);
所述攻击手法包括:利用漏洞的方式或绕过安全检测的方式;
所述攻击源网络区域为所述第一模拟器所在的网络区域;
所述攻击目标网络区域为所述第二模拟器所在的网络区域。
本发明的第二方面,提出另一种检测流量安全监测设备的方法,所述方法包括:
集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令;
所述第一模拟器根据所述第一指令生成攻击请求,并向所述第二模拟器发送所述攻击请求;
所述第二模拟器根据所述第二指令生成响应信息,并向所述第一模拟器发送所述响应信息,且所述响应信息对应于所述攻击请求成功的情况;
所述集中调度设备采集流量安全监测设备的日志文件;
所述集中调度设备根据所述日志文件判断所述流量安全监测设备的有效性;
其中,所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。
优选地,所述检测任务包括:任务参数;
所述第一指令和所述第二指令均包括:所述任务参数和任务特征值;
在所述集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令之前,所述方法还包括:
所述集中调度设备获取所述检测任务;
所述集中调度设备根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值。
优选地,所述检测任务为一个或多个,所述日志文件为一个或多个;
所述任务参数包括:所述流量安全监测设备的型号;
所述第一模拟器根据所述第一指令生成攻击请求,包括:
根据所述任务参数确定所述攻击请求中第一字段的位置;
根据所述任务参数生成所述攻击请求,且在所述第一字段中嵌入所述任务特征值;
所述集中调度设备根据所述日志文件判断所述流量安全监测设备的有效性,包括:
根据所述第一模拟器的地址和所述第二模拟器的地址,从所述日志文件中筛选出需要分析的目标文件;
根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型,确定每个所述目标文件中第二字段的位置;
查看每个所述目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定所述目标文件与所述检测任务之间的对应关系;
根据所述对应关系,判断每个所述检测任务对应的攻击请求是否被所述流量安全监测设备监测到。
本发明的第三方面,提出一种攻击请求生成方法,所述方法包括:
根据任务参数确定攻击请求中第一字段的位置;
根据所述任务参数生成所述攻击请求,且在所述第一字段中嵌入任务特征值;
其中,所述任务特征值根据所述任务参数生成,且所述任务参数具有唯一的任务特征值;所述攻击请求用于验证流量安全监测设备的有效性;在所述流量安全监测设备能够检测到所述攻击请求的情况下,所述流量安全监测设备的日志文件中包含有与所述第一字段内容相同的第二字段。
本发明的第四方面,提出一种计算机可读存储设备,存储有能够被处理器加载并执行如上面所述方法的计算机程序。
本发明具有如下有益效果:
本发明提出的检测流量安全监测设备的方法,通过事先分析流量安全监测设备的日志文件,找到每种类型的攻击请求对应的日志文件中必然携带的来自攻击请求的特定字段。为便于表达,在攻击请求中将该特定字段称为第一字段,在日志文件中将该特定字段称为第二字段。根据攻击请求和日志文件之间存在的上述特征,首先在生成模拟的攻击请求时,在攻击请求的第一字段中嵌入当前检测任务的任务特征值,然后分析流量安全监测设备的日志文件中是否包含了该任务特征值,从而确定流量安全监测设备是否成功地监测到了相应的攻击请求。本发明的检测方法通过模拟攻击流量、模拟响应信息和分析日志文件,实现了由程序自动检测流量安全监测设备的有效性,极大地提高了检测的效率,降低了人力成本。
附图说明
图1是本发明实施例中相关设备之间的信息流向示意图;
图2是本发明的检测流量安全监测设备的方法实施例一的主要步骤示意图;
图3是本发明的检测流量安全监测设备的方法实施例二的主要步骤示意图;
图4是本发明的检测流量安全监测设备的方法实施例三的主要步骤示意图;
图5是本发明的检测流量安全监测设备的方法实施例四的主要步骤示意图;
图6是本发明的攻击请求生成方法方法实施例的主要步骤示意图。
具体实施方式
下面参照附图来描述本发明的优选实施方式。本领域技术人员应当理解的是,这些实施方式仅用于解释本发明的技术原理,并非旨在限制本发明的保护范围。
为使本申请实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明的一部分实施例,而不是全部的实施例。基于本申请的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,在本发明的描述中,术语“第一”、“第二”仅仅是为了便于描述,而不是指示或暗示所述装置、元件或参数的相对重要性,因此不能理解为对本发明的限制。另外,本发明中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,如无特殊说明,一般表示前后关联对象是一种“或”的关系。
本发明事先分析流量安全监测设备在检测到某种类型的攻击时,生成的告警日志文件中必然携带的特定字段,如URL(网络地址)后缀、文件名、文件路径和ClassName(类名)等,且该特定字段是从攻击请求中提取并写入到日志文件中的。不同型号的流量安全监测设备在检测到不同类型的攻击时,在告警日志中必然携带的特定字段并不相同。为了便于描述,本发明中将日志文件中的该特定字段称为“第二字段”,同时将攻击请求中对应的内容相同的字段称为“第一字段”。将流量安全监测设备的型号、攻击类型、对应的“第一字段”在攻击请求中的位置,以及对应的“第二字段”在日志文件中的位置等信息事先记录下来。
图1是本发明实施例中相关设备之间的信息流向示意图。如图1所示,集中调度设备10向第一模拟器20和第二模拟器30分别发送第一指令和第二指令,上述两个模拟器根据接收到的指令进行流量模拟,流量安全监测设备40对两个模拟器之间的通信线路进行流量监测,集中调度设备10根据流量安全监测设备40生成的日志文件,分析模拟的攻击请求是否被成功监测到。
下面实施例中为每个检测任务生成一个唯一的任务特征值,在生成攻击请求时,根据安全监测设备的型号和攻击类型确定攻击请求中第一字段的位置,并将当前检测任务的任务特征值嵌入到第一字段中;然后根据安全监测设备的型号和日志文件对应的攻击类型,确定日志文件中第二字段的位置,并判断第二字段中是否包含该任务特征值,从而确定流量安全监测设备是否成功监测到了当前检测任务中发出的攻击请求。
图2是本发明的检测流量安全监测设备的方法实施例一的主要步骤示意图。本实施例的执行主体可以是集中调度设备,如图2所示,本实施例的检测方法包括步骤A10-A30:
步骤A10,根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令。
步骤A20,采集流量安全监测设备的日志文件。
步骤A30,根据日志文件判断流量安全监测设备的有效性。
其中,第一指令用于控制第一模拟器向第二模拟器发送攻击请求;第二指令用于控制第二模拟器向第一模拟器发送响应信息,且响应信息对应于攻击请求成功的情况,即控制第二模拟器模拟攻击成功的情形,对攻击请求做出响应;流量安全监测设备部署于第一模拟器和第二模拟器之间的通信节点上,以便可以获取到上述攻击请求和响应信息。
图3是本发明的检测流量安全监测设备的方法实施例二的主要步骤示意图。本实施例的执行主体可以是集中调度设备,如图3所示,本实施例的检测方法包括步骤B10-B50:
步骤B10,获取检测任务。
可以事先将需要执行的检测任务存储在文件中,以供集中调度设备读取;也可以通过人机交互界面或远程通信等方式向集中调度设备发送检测任务。
其中,检测任务包括:任务参数。
步骤B20,根据任务参数生成与该检测任务唯一对应的任务特征值。
步骤B30,根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令。
其中,第一指令和第二指令均包括:任务参数和任务特征值;第一指令用于控制第一模拟器向第二模拟器发送攻击请求;第二指令用于控制第二模拟器向第一模拟器发送响应信息,且响应信息对应于攻击请求成功的情况。
步骤B40,采集流量安全监测设备的日志文件。
其中,流量安全监测设备部署于第一模拟器和第二模拟器之间的通信节点上,以便可以获取到上述攻击请求和响应信息。
步骤B50,根据日志文件判断流量安全监测设备的有效性。
在一种可选的实施例中,检测任务为一个或多个,日志文件为一个或多个;任务参数包括:流量安全监测设备的型号;攻击请求包含第一字段,且第一字段中包含任务特征值;步骤B50可以具体包括步骤B51-B54:
步骤B51,根据第一模拟器的地址和第二模拟器的地址,从日志文件中筛选出需要分析的目标文件。
步骤B51,根据流量安全监测设备的型号以及每个目标文件对应的攻击类型,确定每个目标文件中第二字段的位置。
步骤B52,查看每个目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定目标文件与检测任务之间的对应关系。
如果某个目标文件的第二字段中包含某个检测任务的任务特征值,那么说明该检测任务对应的攻击请求已被流量安全监测设备成功监测到,于是确定该目标文件与该检测任务之间存在对应关系。
步骤B53,根据上述对应关系,判断每个检测任务对应的攻击请求是否被流量安全监测设备监测到。
如果没有找到某个检测任务的对应目标文件,则说明该检测任务对应的攻击请求没有被流量安全监测设备检测到。
在另一种可选的实施例中,任务参数除了包括流量安全监测设备的型号之外,还包括:攻击类型、攻击手法、攻击源网络区域,以及攻击目标网络区域;步骤B20可以具体包括步骤B21-B22:
步骤B21,将任务参数中每个参数对应的ID和当前时间戳进行组合,生成任务ID。
不同流量安全监测设备的型号分别对应不同的型号ID,不同攻击类型分别对应不同的类型ID,同样攻击手法、攻击源网络区域、攻击目标网络区域也均具有唯一的ID值。
将这些任务参数的ID值以及当前的时间戳,按顺序组合成一个二进制序列,生成任务ID。
步骤B22,根据任务ID,利用哈希算法生成任务特征值。
其中,攻击类型指网络攻击手法的分类,包括:暴力破解、系统后门访问、反弹shell、隧道转发、漏洞利用、SQL注入或XSS(跨站脚本攻击)等;攻击手法包括:利用漏洞的方式或绕过安全检测的方式等,如ssh(Secure Shell,安全外壳协议)暴力破解、RDP(RemoteDesktopProtocol,远程桌面协议)暴力破解、ftp(FileTransferProtocol,文件传输协议)暴力破解、exec(shell脚本中的一种命令)反弹shell、Perl(一种计算机编程语言)反弹shell、Python(一种计算机编程语言)反弹shell、Ruby(一种计算机编程语言)反弹shell、SQL_GET_URL注入_大小写混合绕过、SQL_GET_URL注入_关键字替换绕过、SQL_GET_URL注入_等价函数与命令绕过、SQL_GET_User-Agent注入_缓冲区溢出绕过等;攻击源网络区域为第一模拟器所在的、由防火墙或其他网络策略隔离开的网络区域;攻击目标网络区域为第二模拟器所在的、由防火墙或其他网络策略隔离开的网络区域。
图4是本发明的检测流量安全监测设备的方法实施例三的主要步骤示意图。本实施例的执行主体包括:集中调度设备、第一模拟器和第二模拟器。如图4所示,本实施例的检测方法包括步骤C10-C50:
步骤C10,集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令。
步骤C20,第一模拟器根据第一指令生成攻击请求,并向第二模拟器发送该攻击请求。
步骤C30,第二模拟器根据第二指令生成响应信息,并向第一模拟器发送该响应信息,且该响应信息对应于攻击请求成功的情况。
步骤C40,集中调度设备采集流量安全监测设备的日志文件。
步骤C50,集中调度设备根据日志文件判断流量安全监测设备的有效性。
其中,流量安全监测设备部署于第一模拟器和第二模拟器之间的通信节点上。
图5是本发明的检测流量安全监测设备的方法实施例四的主要步骤示意图。本实施例的执行主体包括:集中调度设备、第一模拟器和第二模拟器。如图5所示,本实施例的检测方法包括步骤D10-D70:
步骤D10,集中调度设备获取检测任务。
其中,检测任务包括:任务参数。
步骤D20,集中调度设备根据任务参数生成与检测任务唯一对应的任务特征值。
步骤D30,集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令。
其中,第一指令和第二指令均包括:任务参数和任务特征值。
步骤D40,第一模拟器根据第一指令生成攻击请求,并向第二模拟器发送该攻击请求。
步骤D50,第二模拟器根据第二指令生成响应信息,并向第一模拟器发送该响应信息,且该响应信息对应于攻击请求成功的情况。
步骤D60,集中调度设备采集流量安全监测设备的日志文件。
步骤D70,集中调度设备根据日志文件判断流量安全监测设备的有效性。
在一种可选的实施例中,检测任务为一个或多个,日志文件为一个或多个;任务参数包括:流量安全监测设备的型号。步骤D40可以具体包括步骤D41-D42:
步骤D41,第一模拟器根据任务参数确定攻击请求中第一字段的位置。
第一模拟器根据任务参数中包含的流量安全监测设备的型号和攻击类型确定第一字段的位置等信息。当攻击请求被流量安全监测设备成功监测到以后,流量安全监测设备生成的日志文件中会携带第一字段的内容。
步骤D42,根据任务参数生成攻击请求,且在第一字段中嵌入任务特征值。
在该可选的实施例中,步骤D70可以具体包括步骤D71-D74:
步骤D71,根据第一模拟器的地址和第二模拟器的地址,从日志文件中筛选出需要分析的目标文件。
步骤D72,根据流量安全监测设备的型号以及每个目标文件对应的攻击类型,确定每个目标文件中第二字段的位置。
步骤D73,查看每个目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定目标文件与检测任务之间的对应关系。
步骤D74,根据上述对应关系,判断每个检测任务对应的攻击请求是否被流量安全监测设备监测到。
进一步地,本发明还提供了一种攻击请求生成方法的实施例。图6是本发明的攻击请求生成方法方法实施例的主要步骤示意图。如图6所示,本实施例的攻击请求生成方法包括步骤E10-E20:
步骤E10,根据任务参数确定攻击请求中第一字段的位置。
步骤E20,根据任务参数生成攻击请求,且在第一字段中嵌入任务特征值。
其中,任务特征值根据任务参数生成,且每组任务参数具有唯一的任务特征值;攻击请求用于验证流量安全监测设备的有效性;在流量安全监测设备能够检测到该攻击请求的情况下,流量安全监测设备的日志文件中将会包含有与第一字段内容相同的第二字段。
上述实施例中虽然将各个步骤按照上述先后次序的方式进行了描述,但是本领域技术人员可以理解,为了实现本实施例的效果,不同的步骤之间不必按照这样的次序执行,其可以同时(并行)执行或以颠倒的次序执行,这些简单的变化都在本发明的保护范围之内。
更进一步地,本发明还提供了一种计算机可读存储设备的实施例。本实施例的存储设备中存储有能够被处理器加载并执行上面所述方法的计算机程序。
所述计算机可读存储设备例如包括:U盘、移动硬盘、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、磁碟或者光盘等各种可以存储程序代码的设备。
本领域技术人员应该能够意识到,结合本文中所公开的实施例描述的各示例的方法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明电子硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以电子硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。本领域技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
至此,已经结合附图所示的优选实施方式描述了本发明的技术方案。但是,本领域技术人员容易理解的是,本发明的保护范围显然不局限于这些具体实施方式。在不偏离本发明的原理的前提下,本领域技术人员可以对相关技术特征做出等同的更改或替换,这些更改或替换之后的技术方案都将落入本发明的保护范围之内。
Claims (10)
1.一种检测流量安全监测设备的方法,其特征在于,所述方法包括:
根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令;
采集流量安全监测设备的日志文件;
根据所述日志文件判断所述流量安全监测设备的有效性;
其中,
所述第一指令用于控制所述第一模拟器向所述第二模拟器发送攻击请求;
所述第二指令用于控制所述第二模拟器向所述第一模拟器发送响应信息,且所述响应信息对应于所述攻击请求成功的情况;
所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。
2.根据权利要求1所述的检测流量安全监测设备的方法,其特征在于,
所述检测任务包括:任务参数;
所述第一指令和所述第二指令均包括:所述任务参数和任务特征值;
在所述根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令之前,所述方法还包括:
获取所述检测任务;
根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值。
3.根据权利要求2所述的检测流量安全监测设备的方法,其特征在于,
所述检测任务为一个或多个,所述日志文件为一个或多个;
所述任务参数包括:所述流量安全监测设备的型号;
所述攻击请求包含第一字段,且所述第一字段中包含所述任务特征值;
所述根据所述日志文件判断所述流量安全监测设备的有效性,包括:
根据所述第一模拟器的地址和所述第二模拟器的地址,从所述日志文件中筛选出需要分析的目标文件;
根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型,确定每个所述目标文件中第二字段的位置;
查看每个所述目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定所述目标文件与所述检测任务之间的对应关系;
根据所述对应关系,判断每个所述检测任务对应的攻击请求是否被所述流量安全监测设备监测到。
4.根据权利要求3所述的检测流量安全监测设备的方法,其特征在于, 所述任务参数还包括:攻击类型、攻击手法、攻击源网络区域,以及攻击目标网络区域;
所述根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值,包括:
将所述任务参数中每个参数对应的ID和当前时间戳进行组合,生成任务ID;
根据所述任务ID,利用哈希算法生成所述任务特征值。
5.根据权利要求4所述的检测流量安全监测设备的方法,其特征在于,
所述攻击类型包括:暴力破解、系统后门访问、反弹shell、隧道转发、漏洞利用、SQL注入或跨站脚本攻击;
所述攻击手法包括:利用漏洞的方式或绕过安全检测的方式;
所述攻击源网络区域为所述第一模拟器所在的网络区域;
所述攻击目标网络区域为所述第二模拟器所在的网络区域。
6.一种检测流量安全监测设备的方法,其特征在于,所述方法包括:
集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令;
所述第一模拟器根据所述第一指令生成攻击请求,并向所述第二模拟器发送所述攻击请求;
所述第二模拟器根据所述第二指令生成响应信息,并向所述第一模拟器发送所述响应信息,且所述响应信息对应于所述攻击请求成功的情况;
所述集中调度设备采集流量安全监测设备的日志文件;
所述集中调度设备根据所述日志文件判断所述流量安全监测设备的有效性;
其中,
所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。
7.根据权利要求6所述的检测流量安全监测设备的方法,其特征在于,
所述检测任务包括:任务参数;
所述第一指令和所述第二指令均包括:所述任务参数和任务特征值;
在所述集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令之前,所述方法还包括:
所述集中调度设备获取所述检测任务;
所述集中调度设备根据所述任务参数生成与所述检测任务唯一对应的所述任务特征值。
8.根据权利要求7所述的检测流量安全监测设备的方法,其特征在于,
所述检测任务为一个或多个,所述日志文件为一个或多个;
所述任务参数包括:所述流量安全监测设备的型号;
所述第一模拟器根据所述第一指令生成攻击请求,包括:
根据所述任务参数确定所述攻击请求中第一字段的位置;
根据所述任务参数生成所述攻击请求,且在所述第一字段中嵌入所述任务特征值;
所述集中调度设备根据所述日志文件判断所述流量安全监测设备的有效性,包括:
根据所述第一模拟器的地址和所述第二模拟器的地址,从所述日志文件中筛选出需要分析的目标文件;
根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型,确定每个所述目标文件中第二字段的位置;
查看每个所述目标文件中第二字段内是否包含某个检测任务的任务特征值,从而确定所述目标文件与所述检测任务之间的对应关系;
根据所述对应关系,判断每个所述检测任务对应的攻击请求是否被所述流量安全监测设备监测到。
9.一种攻击请求生成方法,其特征在于,所述方法包括:
根据任务参数确定攻击请求中第一字段的位置;
根据所述任务参数生成所述攻击请求,且在所述第一字段中嵌入任务特征值;
其中,
所述任务特征值根据所述任务参数生成,且所述任务参数具有唯一的任务特征值;
所述攻击请求用于验证流量安全监测设备的有效性;
在所述流量安全监测设备能够检测到所述攻击请求的情况下,所述流量安全监测设备的日志文件中包含有与所述第一字段内容相同的第二字段。
10.一种计算机可读存储设备,其特征在于,存储有能够被处理器加载并执行如权利要求1-9中任一项所述方法的计算机程序。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211230867.7A CN115296941B (zh) | 2022-10-10 | 2022-10-10 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211230867.7A CN115296941B (zh) | 2022-10-10 | 2022-10-10 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115296941A true CN115296941A (zh) | 2022-11-04 |
| CN115296941B CN115296941B (zh) | 2023-03-24 |
Family
ID=83819349
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211230867.7A Active CN115296941B (zh) | 2022-10-10 | 2022-10-10 | 检测流量安全监测设备的方法、攻击请求生成方法及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115296941B (zh) |
Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| US20170163671A1 (en) * | 2015-12-08 | 2017-06-08 | Sudhir Pendse | System and method for Using Simulators in network security and useful in IoT Security |
| CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| US20180357422A1 (en) * | 2016-02-25 | 2018-12-13 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110321371A (zh) * | 2019-07-01 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 日志数据异常检测方法、装置、终端及介质 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 系统漏洞的检测方法、装置、终端设备及介质 |
| CN110602135A (zh) * | 2019-09-25 | 2019-12-20 | 北京金山安全软件有限公司 | 网络攻击处理方法、装置以及电子设备 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| US20210042631A1 (en) * | 2019-08-06 | 2021-02-11 | International Business Machines Corporation | Techniques for Cyber-Attack Event Log Fabrication |
| CN112383535A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 哈希传递攻击行为的检测方法、装置和计算机设备 |
| CN112491784A (zh) * | 2020-10-14 | 2021-03-12 | 新浪网技术(中国)有限公司 | Web网站的请求处理方法及装置、计算机可读存储介质 |
| CN113472772A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
| CN113992341A (zh) * | 2021-09-09 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
| CN114329449A (zh) * | 2021-12-24 | 2022-04-12 | 中国电信股份有限公司 | 系统安全检测方法和装置、存储介质及电子装置 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
-
2022
- 2022-10-10 CN CN202211230867.7A patent/CN115296941B/zh active Active
Patent Citations (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104144063A (zh) * | 2013-05-08 | 2014-11-12 | 朱烨 | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 |
| WO2017084529A1 (zh) * | 2015-11-19 | 2017-05-26 | 阿里巴巴集团控股有限公司 | 识别网络攻击的方法和装置 |
| US20170163671A1 (en) * | 2015-12-08 | 2017-06-08 | Sudhir Pendse | System and method for Using Simulators in network security and useful in IoT Security |
| US20180357422A1 (en) * | 2016-02-25 | 2018-12-13 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
| CN107547490A (zh) * | 2016-06-29 | 2018-01-05 | 阿里巴巴集团控股有限公司 | 一种扫描器识别方法、装置及系统 |
| CN108063753A (zh) * | 2017-11-10 | 2018-05-22 | 全球能源互联网研究院有限公司 | 一种信息安全监测方法及系统 |
| CN108183916A (zh) * | 2018-01-15 | 2018-06-19 | 华北电力科学研究院有限责任公司 | 一种基于日志分析的网络攻击检测方法及装置 |
| CN109450955A (zh) * | 2018-12-30 | 2019-03-08 | 北京世纪互联宽带数据中心有限公司 | 一种基于网络攻击的流量处理方法及装置 |
| CN110321371A (zh) * | 2019-07-01 | 2019-10-11 | 腾讯科技(深圳)有限公司 | 日志数据异常检测方法、装置、终端及介质 |
| CN110472414A (zh) * | 2019-07-23 | 2019-11-19 | 中国平安人寿保险股份有限公司 | 系统漏洞的检测方法、装置、终端设备及介质 |
| US20210042631A1 (en) * | 2019-08-06 | 2021-02-11 | International Business Machines Corporation | Techniques for Cyber-Attack Event Log Fabrication |
| CN110602135A (zh) * | 2019-09-25 | 2019-12-20 | 北京金山安全软件有限公司 | 网络攻击处理方法、装置以及电子设备 |
| CN110868431A (zh) * | 2019-12-24 | 2020-03-06 | 华北电力大学 | 一种网络流量异常检测方法 |
| CN112491784A (zh) * | 2020-10-14 | 2021-03-12 | 新浪网技术(中国)有限公司 | Web网站的请求处理方法及装置、计算机可读存储介质 |
| CN114531259A (zh) * | 2020-11-06 | 2022-05-24 | 奇安信科技集团股份有限公司 | 攻击结果检测方法、装置、系统、计算机设备和介质 |
| CN112383535A (zh) * | 2020-11-10 | 2021-02-19 | 平安普惠企业管理有限公司 | 哈希传递攻击行为的检测方法、装置和计算机设备 |
| CN113472772A (zh) * | 2021-06-29 | 2021-10-01 | 深信服科技股份有限公司 | 网络攻击的检测方法、装置、电子设备及存储介质 |
| CN113992341A (zh) * | 2021-09-09 | 2022-01-28 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| CN114329449A (zh) * | 2021-12-24 | 2022-04-12 | 中国电信股份有限公司 | 系统安全检测方法和装置、存储介质及电子装置 |
| CN114301673A (zh) * | 2021-12-28 | 2022-04-08 | 上海识装信息科技有限公司 | 一种漏洞检测方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115296941B (zh) | 2023-03-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111565199B (zh) | 网络攻击信息处理方法、装置、电子设备及存储介质 | |
| US11606368B2 (en) | Threat control method and system | |
| CN110784476A (zh) | 一种基于虚拟化动态部署的电力监控主动防御方法及系统 | |
| CN107832617B (zh) | 一种php代码执行漏洞的黑盒检测方法及装置 | |
| CN106778244B (zh) | 基于虚拟机的内核漏洞检测进程保护方法及装置 | |
| CN106778242B (zh) | 基于虚拟机的内核漏洞检测方法及装置 | |
| CN111818062A (zh) | 基于Docker的CentOS高交互蜜罐系统及其实现方法 | |
| KR102002880B1 (ko) | 기계 학습 모델에 기반하여 악성 패킷을 검출하는 방법 및 이를 이용한 장치 | |
| Ji et al. | The study on the botnet and its prevention policies in the internet of things | |
| US20230115046A1 (en) | Network security system for preventing unknown network attacks | |
| US20240154998A1 (en) | Automated learning and detection of web bot transactions using deep learning | |
| CN114285599A (zh) | 基于控制器深度内存仿真的工控蜜罐构建方法及工控蜜罐 | |
| CN112685734A (zh) | 安全防护方法、装置、计算机设备和存储介质 | |
| CN115296941B (zh) | 检测流量安全监测设备的方法、攻击请求生成方法及设备 | |
| CN108616381B (zh) | 一种事件关联报警方法和装置 | |
| CN108363922B (zh) | 一种自动化恶意代码仿真检测方法及系统 | |
| CN114629714B (zh) | 蜜罐和沙箱相互增强的恶意程序行为处理方法及系统 | |
| WO2023059575A2 (en) | Network security system for preventing unknown network attacks | |
| Chen et al. | An autonomic detection and protection system for denial of service attack | |
| CN114389863A (zh) | 一种蜜罐交互的方法、装置、蜜罐网络、设备及存储介质 | |
| CN113761522A (zh) | 一种webshell流量的检测方法、装置、设备和存储介质 | |
| CN113515750A (zh) | 一种高速流量下的攻击检测方法及装置 | |
| CN113704749A (zh) | 一种恶意挖矿检测处理方法和装置 | |
| CN107342967B (zh) | 僵尸网络检测系统及其方法 | |
| CN108521406A (zh) | 一种基于蜜罐技术捕获网络蠕虫的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |