本发明专利技术公开了一种面向大型网络安全维护的网络数据源设备,该网络数据源设备包括:网络数据收发模块、网络数据组包模块、网络数据解析模块、网络数据构建模块、数据构建策略模块以及用户服务模块。该网络数据源部署在大型网络中,根据用户配置需求产生各类网络数据包,包括模拟的DDos网络攻击、SYNflood网络攻击、畸形报文攻击、IP端口扫描、代码脚本注入等等。本发明专利技术实现了网络安全策略评估测试中网络威胁数据包的产生,并且拥有严格的数据包长度、间隔、延时控制并且拥有简单友好的用户界面,解决了如今测试大型网络安全过程中模拟威胁数据包时门槛高、效果差、易失控、吃硬件环境等问题。等问题。等问题。
【技术实现步骤摘要】
面向大型网络安全维护的网络数据源设备
[0001]本专利技术属于网络安全
,是一种采用FPGA硬件逻辑实现的网络安全测试数据源,用于大中型网络测试安全性能时的网络威胁生成模拟,以检测网络重要设备在异常情况下的性能变化和网络安全策略测试更新。
技术介绍
[0002]大型网络的安全维护往往由其中的网关系统完成,网关系统进行着数据筛选和威胁排除的工作。为了及时删除网络中的异常数据包,网关需要一套数据识别和筛选机制,这时就需要网络数据源的协助。网络数据源产生混有异常数据包的正常数据,这些数据通过网关时,网关经过筛选识别出异常数据,然后对比异常数据的识别率优化自身的筛选机制,以提高识别率或者减少误判率。
[0003]常见的异常数据生成方式分为两类:真实威胁数据和模拟威胁数据。其中真实威胁数据是在网络中部署真实的网络攻击,该方案的优势在于数据更贴近现实会遇到的网络安全问题,但是容易对网络造成损害,且不可控,只适用于实验搭建的网络,不适用于现实使用中的网络。模拟威胁数据是在网络中产生仿照真实网络攻击生成的数据包,模仿真实攻击数据包的流量、发送模式、协议类型、内容等特征,让网关加以识别。模拟威胁数据方案的优势在于不会对网络造成损害,可控性好,但是缺点在于不能百分之百模拟实际的网络威胁,可能产生误判等问题。
[0004]常规的网络数据包生成需要从应用层开始,经过应用层、传输层、网络层、数据链路层、物理层的层层封装,如此一来数据的生成效率较低,单台电脑无法模拟较大规模的数据攻击。
技术实现思路
[0005]本专利技术的目的是提供一种面向大型网络安全维护的网络数据源设备,所述设备是将FPGA硬件逻辑的安全、快速特性与当前网络安全管理中异常数据生成技术相结合的产品。用于部署在大型网络中参与网络安全策略的部署与完善,为网络中网关设备对过滤规则进行更新修改提供数据测试与验证。
[0006]实现本专利技术目的的具体技术方案是:一种面向大型网络安全维护的网络数据源设备,其设置于大型网络的测试需求点,根据用户配置产生符合TCP/IP协议格式的数据包;所述数据源设备由FPGA硬件逻辑电路组成,包括网络数据收发模块、网络数据组包模块、网络数据解析模块、网络数据构建模块、数据构建策略模块以及用户服务模块组成,其中网络数据收发模块由万兆以太网接口、光纤以太网接口以及QSFP以太网接口组成;网络数据组包模块由协议类型配置模块、参数配置模块、数据链路层配置模块、网络层配置模块、传输层配置模块、数据配置模块以及数据包缓存模块组成;网络数据解析模块由协议类型解析模块、数据链路层解析模块、网络层解析模块、传输层解析模块、数据解析模块以及待解析数据缓存模块组成;网络数据构建模
块由构建规则存储模块、常态数据存储模块以及动态参数配置模块组成;数据构建策略模块由用户指令解析模块、用户指令暂存队列模块以及用户指令配置模块组成;用户服务模块由用户操作界面、用户数据存储模块以及远程用户访问模块组成;所述万兆以太网接口、光纤以太网接口以及QSFP以太网接口均与数据包缓存模块相连,数据包缓存模块与协议类型配置模块、参数配置模块、数据链路层配置模块、网络层配置模块、传输层配置模块以及数据配置模块相连;此外,万兆以太网接口、光纤以太网接口以及QSFP以太网接口均与待解析数据缓存模块相连,且待解析数据缓存模块依次与协议类型解析、数据链路层解析模块、网络层解析模块、传输层解析模块、数据解析模块串联;最后,数据解析模块与用户数据存储模块相连;所述常态数据存储模块与动态参数配置模块以及数据包缓存模块相连并且还与待解析数据缓存模块相连,以获取最佳常态数据生成性能;构建规则存储模块与动态参数配置模块相连,也与用户指令配置模块相连;动态参数配置模块与协议类型配置模块、参数配置模块、数据链路层配置模块、网络层配置模块、传输层配置模块及数据配置模块均相连,对于整个网络数据包生成流程进行全面控制;所述用户指令配置模块与用户指令暂存队列模块相连,用户指令暂存队列模块与用户指令解析模块相连;并且用户指令解析模块与用户操作界面和远程用户访问模块相连,户操作界面与用户数据存储模块相连;最后,远程用户访问模块与协议类型解析模块、数据链路层解析模块、网络层解析模块、传输层解析模块、数据解析模块均相连,以获取用户远程配置信息。
[0007]所述的构建规则存储模块,支持基于ARP、RARP、ICPM、IGMP、IPV4、IPV6、TCP、UDP、EGP、IGP、ESP及OSPG协议的各类网络威胁数据包,包括DDos网络攻击、SYNflood网络攻击、畸形报文攻击、IP端口扫描及代码脚本注入;该模块包括IP伪造子模块、MAC伪造子模块和端口信息伪造子模块,其中MAC伪造子模块负责数据链路层的数据生成,包括地址解析协议ARP和反向地址转换协议RARP的MAC地址生成;IP伪造子模块负责网络层的数据生成,包括ARP、RARP、ICPM、IGMP、IPV4、IPV6、TCP、UDP、EGP、IGP、ESP及OSPG等基于IP的协议的IP地址生成;端口信息伪造子模块对于TCP、UDP等基于传输层的数据包生成提供端口信息的生成。
[0008]所述的网络数据组包模块中,协议类型配置模块配置生成数据包的网络协议类型;参数配置模块配置数据包的发送间隔,长度限制;数据链路层配置模块配置数据包的源MAC地址和目的MAC地址;网络层配置模块配置数据包的源IP地址和目的IP地址;传输层配置模块配置数据包的端口号以及应用协议类型;数据配置模块配置数据包的数据段内容;数据包缓存模块将以上各模块参与生成的数据包暂存并且计算校验位,等待网络数据收发模块发送。
[0009]本专利技术的一种面向大型网络安全维护的网络数据源设备,设备部署于大型网络的测试需求点,根据用户配置产生符合TCP/IP协议格式的数据包。该数据源由网络数据收发模块、网络数据组包模块、网络数据解析模块、网络数据构建模块、数据构建策略模块以及用户服务模块组成。该设备支持基于ARP、RAP、ICPM、IGMP、IPV4、IPV6、TCP、UDP、EGP、IGP、ESP及OSPG协议的各类网络威胁数据包,包括DDos网络攻击、SYNflood网络攻击、畸形报文攻击、IP端口扫描、代码脚本注入。
[0010]用户测试当前网络的安全性能时,可以直接在该设备的用户界面上配置产生的数
据包格式、类型、威胁方式,并且混合正常的数据包,以测试网络中的安全策略是否将问题数据全部识别并排除。用户同样可以在远程访问该设备进行配置,该设备也可以长期接入在网络中。
[0011]本专利技术的主要优点:1)采用模拟威胁数据,对于大型网络的安全测试没有损害,并且可以在网络正常使用中进行测试;2)采用FPGA逻辑电路产生网络数据包,相比传统的计算机设备占用更少资源,效率更高。常规的网络数据包生成需要从应用层开始,经过应用层、传输层、网络层、数据链路层、物理层的层层封装,如此一来数据的生成效率较低,单台电脑无法模拟较大规模的数据攻击。而使用专用芯片或者FPGA电路逻辑直接产生网络本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种面向大型网络安全维护的网络数据源设备,其设置于大型网络的测点,根据用户配置产生符合TCP/IP协议格式的数据包;其特征在于,所述数据源设备由FPGA硬件逻辑电路组成,包括网络数据收发模块(1)、网络数据组包模块(2)、网络数据解析模块(3)、网络数据构建模块(4)、数据构建策略模块(5)以及用户服务模块(6)组成,其中网络数据收发模块(1)由万兆以太网接口(11)、光纤以太网接口(12)以及QSFP以太网接口(13)组成;网络数据组包模块(2)由协议类型配置模块(21)、参数配置模块(22)、数据链路层配置模块(23)、网络层配置模块(24)、传输层配置模块(25)、数据配置模块(26)以及数据包缓存模块(27)组成;网络数据解析模块(3)由协议类型解析模块(31)、数据链路层解析模块(32)、网络层解析模块(33)、传输层解析模块(34)、数据解析模块(35)以及待解析数据缓存模块(36)组成;网络数据构建模块(4)由构建规则存储模块(41)、常态数据存储模块(42)以及动态参数配置模块(43)组成;数据构建策略模块(5)由用户指令解析模块(51)、用户指令暂存队列模块(52)以及用户指令配置模块(53)组成;用户服务模块(6)由用户操作界面(61)、用户数据存储模块(62)以及远程用户访问模块(63)组成;所述万兆以太网接口(11)、光纤以太网接口(12)以及QSFP以太网接口(13)均与数据包缓存模块(27)相连,数据包缓存模块(27)与协议类型配置模块(21)、参数配置模块(22)、数据链路层配置模块(23)、网络层配置模块(24)、传输层配置模块(25)以及数据配置模块(26)相连;此外,万兆以太网接口(11)、光纤以太网接口(12)以及QSFP以太网接口(13)均与待解析数据缓存模块(36)相连,且待解析数据缓存模块(36)依次与协议类型解析(31)、数据链路层解析模块(32)、网络层解析模块(33)、传输层解析模块(34)、数据解析模块(35)串联;最后,数据解析模块(35)与用户数据存储模块(62)相连;所述常态数据存储模块(42)与动态参数配置模块(43)以及数据包缓存模块(27)相连并且还与待解析数据缓存模块(36)相连,以获取最佳常态数据生成性能;构建规则存储模块(41)与动态参数配置模块(43)相连,也与用户指令...
【专利技术属性】
技术研发人员:张雨杭,吴昊男,樊似锦,刘一清,
申请(专利权)人:华东师范大学,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。