This application provides a test method, device and tester for the anti-escape capability of network intrusion protection system, which includes: determining whether there is an escape combination matching the protocol of attack traffic that is not traversed; if not, counting and outputting the number, success and failure times of the generated escape combination; if there is an escape combination that is not traversed, generating a single one that is not traversed. Escape combination; based on the self-built protocol stack, attack code is encapsulated and changed layer by layer according to single escape combination to generate test attack traffic data; attack traffic data is tested by target machine and the test results are judged. If escape fails, whether there is an unexplored escape combination action and its follow-up action are executed. If escape succeeds, minimum escape is generated and output. Escape combination, execution judges whether there is an unexplored escape combination action and its follow-up action. It realizes the automatic detection of IPS anti-escape test, improves the test efficiency and reduces the test cost.
【技术实现步骤摘要】
网络入侵防护系统抗逃逸能力测试方法、装置和测试机
本专利技术涉及计算机网络
,具体涉及一种用于基于自动化组合对计算机网络入侵防护系统进行测试的网络入侵防护系统抗逃逸能力测试方法、装置和测试机。
技术介绍
入侵防御系统(IntrusionPreventionSystem以下简称IPS)是电脑网络安全设施,是对防病毒软件(AntivirusPrograms)和防火墙(PacketFilter,ApplicationGateway)的补充。IPS在开发完成后需要进行案源测试,目前,针对IPS的安全测试主要包括功能性测试和穿透性测试两部分内容。在对IPS进行穿透性测试时,需要检测业务口的抗攻击逃逸能力,即对IPS能够识别的攻击流量附加特定的逃逸措施,改变攻击流量的原始特征,查看IPS能否正确识别并阻断变形后的攻击流量。传统技术方案中,在IPS抗逃逸检测时主要基于人工或者采用半自动化方式进行测试,该测试过程费时、费力,检测效率较低。
技术实现思路
有鉴于此,本专利技术实施例提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机,以解决现有技术中因基于人工或者采用半自动化方式对IPS进行抗逃逸检测而造成的费时、费力,检测效率较低的问题。为实现上述目的,本专利技术实施例提供如下技术方案:一种网络入侵防护系统抗逃逸能力测试方法,包括:判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合,如果否,统计生成的逃逸组合的数量、成功和失败次数,并输出统计结果;如果存在未遍历的逃逸组合,则生成一未遍历的单次逃逸组合;基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变 ...
【技术保护点】
1.一种网络入侵防护系统抗逃逸能力测试方法,其特征在于,包括:判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合,如果否,统计生成的逃逸组合的数量、成功和失败次数,并输出统计结果;如果存在未遍历的逃逸组合,则生成一未遍历的单次逃逸组合;基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异,产生测试攻击流量数据;利用靶机对所述攻击流量数据进行测试并判断测试结果,如果逃逸失败,执行所述判断是否存在未遍历的逃逸组合动作及其后续动作,如果逃逸成功,生成并输出最小逃逸组合,执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。
【技术特征摘要】
1.一种网络入侵防护系统抗逃逸能力测试方法,其特征在于,包括:判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合,如果否,统计生成的逃逸组合的数量、成功和失败次数,并输出统计结果;如果存在未遍历的逃逸组合,则生成一未遍历的单次逃逸组合;基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异,产生测试攻击流量数据;利用靶机对所述攻击流量数据进行测试并判断测试结果,如果逃逸失败,执行所述判断是否存在未遍历的逃逸组合动作及其后续动作,如果逃逸成功,生成并输出最小逃逸组合,执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。2.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法,其特征在于,利用靶机对所述攻击流量数据进行测试之前,还包括:设定并行运行的测试进程数n和IP地址资源范围f;所述利用靶机对所述攻击流量数据进行测试,包括:选择一测试进程和空闲的IP地址利用靶机对所述攻击流量数据进行测试。3.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法,其特征在于,所述利用靶机对所述攻击流量数据进行测试并判断测试结果,包括:使用预设的网络接口,向靶机发送经逐层封装和变异后的攻击流量数据,并获取靶机的反馈结果;根据所述反馈结果,判断所述攻击流量数据是否成功逃逸。4.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法,其特征在于,所述生成并输出最小逃逸组合,包括:对成功逃逸的数据流量对应的逃逸组合进行逐步隔离,生成多个候选逃逸组合,形成候选逃逸集合;对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证,以确定最小逃逸组合。5.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法,其特征在于,每次利用靶机对所述攻击流量数据进行测试之后,还包括:通过虚拟机历史快照技术,将靶机恢复到未触发状态。6.一种网络入侵防护系统抗逃逸能力测试装置,其特征在于,包括:第一判断单元,用于判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合,如果否,向统计单元输出触发信号,否则,向策略组合单元输出触发信号;统计单元,用于当获取到所述第一判断单元输出的触发信号时,...
【专利技术属性】
技术研发人员:熊琦,张宝峰,许源,王峰,
申请(专利权)人:中国信息安全测评中心,
类型:发明
国别省市:北京,11
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。