网络入侵防护系统抗逃逸能力测试方法、装置和测试机制造方法及图纸

本申请提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机，方法包括：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计并输出生成的逃逸组合的数量、成功和失败次数；如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；基于自建协议栈依据单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行判断是否存在未遍历的逃逸组合动作及其后续动作。实现了对IPS进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。

Testing methods, devices and testing machines for anti-escape capability of network intrusion protection system

This application provides a test method, device and tester for the anti-escape capability of network intrusion protection system, which includes: determining whether there is an escape combination matching the protocol of attack traffic that is not traversed; if not, counting and outputting the number, success and failure times of the generated escape combination; if there is an escape combination that is not traversed, generating a single one that is not traversed. Escape combination; based on the self-built protocol stack, attack code is encapsulated and changed layer by layer according to single escape combination to generate test attack traffic data; attack traffic data is tested by target machine and the test results are judged. If escape fails, whether there is an unexplored escape combination action and its follow-up action are executed. If escape succeeds, minimum escape is generated and output. Escape combination, execution judges whether there is an unexplored escape combination action and its follow-up action. It realizes the automatic detection of IPS anti-escape test, improves the test efficiency and reduces the test cost.

【技术实现步骤摘要】
网络入侵防护系统抗逃逸能力测试方法、装置和测试机
本专利技术涉及计算机网络
，具体涉及一种用于基于自动化组合对计算机网络入侵防护系统进行测试的网络入侵防护系统抗逃逸能力测试方法、装置和测试机。
技术介绍
入侵防御系统(IntrusionPreventionSystem以下简称IPS)是电脑网络安全设施，是对防病毒软件(AntivirusPrograms)和防火墙(PacketFilter,ApplicationGateway)的补充。IPS在开发完成后需要进行案源测试，目前，针对IPS的安全测试主要包括功能性测试和穿透性测试两部分内容。在对IPS进行穿透性测试时，需要检测业务口的抗攻击逃逸能力，即对IPS能够识别的攻击流量附加特定的逃逸措施，改变攻击流量的原始特征，查看IPS能否正确识别并阻断变形后的攻击流量。传统技术方案中，在IPS抗逃逸检测时主要基于人工或者采用半自动化方式进行测试，该测试过程费时、费力，检测效率较低。
技术实现思路
有鉴于此，本专利技术实施例提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机，以解决现有技术中因基于人工或者采用半自动化方式对IPS进行抗逃逸检测而造成的费时、费力，检测效率较低的问题。为实现上述目的，本专利技术实施例提供如下技术方案：一种网络入侵防护系统抗逃逸能力测试方法，包括：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。优选的，上述网络入侵防护系统抗逃逸能力测试方法中，利用靶机对所述攻击流量数据进行测试之前，还包括：设定并行运行的测试进程数n和IP地址资源范围f；所述利用靶机对所述攻击流量数据进行测试，包括：选择一测试进程和空闲的IP地址利用靶机对所述攻击流量数据进行测试。优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述利用靶机对所述攻击流量数据进行测试并判断测试结果，包括：使用预设的网络接口，向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述生成并输出最小逃逸组合，包括：对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。优选的，上述网络入侵防护系统抗逃逸能力测试方法中，每次利用靶机对所述攻击流量数据进行测试之后，还包括：通过虚拟机历史快照技术，将靶机恢复到未触发状态。一种网络入侵防护系统抗逃逸能力测试装置，包括：第一判断单元，用于判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，向统计单元输出触发信号，否则，向策略组合单元输出触发信号；统计单元，用于当获取到所述第一判断单元输出的触发信号时，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；策略组合单元，用于当获取到所述第一判断单元输出的触发信号时，生成一未遍历的单次逃逸组合，向测试单元输出触发信号；测试单元，用于当获取到所述策略组合单元输出的触发信号时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，向第一判断单元输出触发信号，如果逃逸成功，向最小逃逸组合筛选单元输出触发信号；最小逃逸组合筛选单元，用于获取到所述测试单元输出的触发信号时，生成并输出最小逃逸组合，并向第一判断单元输出触发信号。优选的，上述网络入侵防护系统抗逃逸能力测试装置中，还包括：信道配置单元，用于设定并行运行的测试进程数和IP地址资源范围；所述测试单元在利用靶机对所述攻击流量数据进行测试时，具体包括：选择一测试进程和空闲的IP地址利用靶机对所述攻击流量数据进行测试。优选的，上述网络入侵防护系统抗逃逸能力测试装置中，所述测试单元在利用靶机对所述攻击流量数据进行测试并判断测试结果时，具体用于：使用预设的网络接口，选择一测试进程和空闲的IP地址向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。优选的，上述网络入侵防护系统抗逃逸能力测试装置中，所述最小逃逸组合筛选单元，具体用于：对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。优选的，上述网络入侵防护系统抗逃逸能力测试装置中，还包括：初始化单元，用于监测所述测试单元，当所述测试单元每次利用靶机对所述攻击流量数据进行测试之后，用于向靶机输出触发信号，以使得靶机通过虚拟机历史快照技术，将靶机恢复到未触发状态。一种测试机，上述任意一项实施例所述的网络入侵防护系统抗逃逸能力测试装置。基于上述技术方案，本专利技术实施例提供的上述方案通过遍历与攻击流量的协议相匹配的所有逃逸组合，判断所有的逃逸组合是否均被遍历，如果全部遍历，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果，如果存在未遍历的逃逸组合，则选择一为遍历的逃逸组合作为单次逃逸组合进行遍历，此时，基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据，利用所述测试攻击流量数据对IPS进行抗逃逸测试，当攻击流量数据逃逸失败时，判断所有的逃逸组合是否均被遍历，当攻击流量数据逃逸成功时，生成并输出最小逃逸组合，并判断所有的逃逸组合是否均被遍历。从而实现了对所述IPS进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。图1为本申请实施例公开的一种网络入侵防护系统抗逃逸能力测试方法的流程示意图；图2为本申请实施例公开的采用攻击测试机和靶机对IPS进行抗逃逸检测的场景示意图；图3为本申请实施例公开的一种网络入侵防护系统抗逃逸能力测试装置的结构示意图；图4为本申请另一实施例公开的一种网络入侵防护系统抗逃逸能力测试装置的结构示意图。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本专利技术一部分实施例，而不是全部的实施例。基于本专利技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本专利技术保护的范围。针对于现有技术中基于人工或者半自动化方式进行IPS抗逃逸检测时，费时费力且效率低的问题，本申请公开了一种针对网络入本文档来自技高网...

【技术保护点】
1.一种网络入侵防护系统抗逃逸能力测试方法，其特征在于，包括：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。

【技术特征摘要】
1.一种网络入侵防护系统抗逃逸能力测试方法，其特征在于，包括：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。2.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法，其特征在于，利用靶机对所述攻击流量数据进行测试之前，还包括：设定并行运行的测试进程数n和IP地址资源范围f；所述利用靶机对所述攻击流量数据进行测试，包括：选择一测试进程和空闲的IP地址利用靶机对所述攻击流量数据进行测试。3.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法，其特征在于，所述利用靶机对所述攻击流量数据进行测试并判断测试结果，包括：使用预设的网络接口，向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。4.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法，其特征在于，所述生成并输出最小逃逸组合，包括：对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；对候选逃逸集合中的各个候选逃逸组合进行逐个筛选和验证，以确定最小逃逸组合。5.根据权利要求1所述的网络入侵防护系统抗逃逸能力测试方法，其特征在于，每次利用靶机对所述攻击流量数据进行测试之后，还包括：通过虚拟机历史快照技术，将靶机恢复到未触发状态。6.一种网络入侵防护系统抗逃逸能力测试装置，其特征在于，包括：第一判断单元，用于判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，向统计单元输出触发信号，否则，向策略组合单元输出触发信号；统计单元，用于当获取到所述第一判断单元输出的触发信号时，...

【专利技术属性】
技术研发人员：熊琦，张宝峰，许源，王峰，
申请(专利权)人：中国信息安全测评中心，
类型：发明
国别省市：北京,11