System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种入侵和攻击模拟系统中攻击流量的抓包方法和系统技术方案_技高网
当前位置: 首页 > 专利查询>南京赛宁信息技术有限公司专利>正文

一种入侵和攻击模拟系统中攻击流量的抓包方法和系统技术方案

技术编号:40979753 阅读:3 留言:0更新日期:2024-04-18 21:26
本发明专利技术公开了一种入侵和攻击模拟系统中攻击流量的抓包方法和系统。模拟器从管理中心获取剧本执行命令后,根据剧本类型参数确定剧本的抓包模式;对于单模拟器和双模拟器抓包模式,本发明专利技术均可确保剧本开始执行前自动开启抓包程序,实现并发执行抓包程序互不影响,同时设置抓包规则仅抓取该剧本相关模拟器主机的流量数据,当剧本执行完成时自动结束对应的抓包程序;并将抓包文件自动上传到BAS管理中心,自动归档到对应的剧本、模拟器下。本发明专利技术能够实现多模拟器执行多剧本时的自动抓包和归档,提高抓包数据的有效率,降低管理员工作量和提高运维效率。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及一种入侵和攻击模拟系统中攻击流量的抓包方法和系统,属于网络安全。


技术介绍

1、bas(breach and attack simulation,入侵和攻击模拟)是通过不断模拟针对不同资产的攻击,验证安全防护的有效性。简单来说,bas技术主要是为企业和机构提供持续的安全防御体系评估能力,验证安全防护设备或防护策略的有效性,并提供风险缓解建议和修补防护漏洞方案等。

2、bas整个体系分为管理中心和模拟器两部分。管理中心:所有模拟攻击行为的管理调度和结果展示中心。模拟器:部署在企业网络各个区域里,作为攻击的发起或被攻击的一个端点,通过各种模拟器的组合,覆盖各种攻击场景下的模拟攻击测试。

3、通常bas系统部署方式如图1所示,管理员在bas系统管理中心新建执行模拟攻击的验证任务(以下简称任务),任务就是多个模拟器和多个剧本的组合,其中模拟器负责执行剧本里的模拟攻击行为。然后管理中心会将该任务中选择的剧本下发到对应的模拟器去执行。模拟器获取到要执行的剧本数据后,开始执行模拟攻击动作,而后将模拟攻击的结果以剧本为单位回传管理中心。管理中心收到剧本执行结果后解析并保存数据库,最终在管理中心可视化展示或生成评估报告。根据结果可视化展示或评估报告,从而实现帮助管理员及时发现测评区域内存在的安全策略问题或防护漏洞等。

4、bas管理员为了验证模拟攻击流量是否被安防设备(如web应用防火墙waf设备)有效拦截,通常会结合剧本执行结果和攻击流量的抓包数据,查看攻击请求的具体执行过程,得出剧本执行的模拟攻击结果和实际结果是否一致的目的。

5、目前获取bas系统模拟攻击流量的主要方式是人工手动操作抓包工具(如wireshark、tcpdump、kismet等)抓取,效率低,且无法实现执行剧本同时自动抓包功能。当遇到多模拟器执行多剧本的验证任务场景时,如采用人工手动操作抓取工具抓取流量包,通常会抓取整个任务中多个剧本执行产生的攻击流量,那么流量包存在较多与攻击流量无关的冗余数据,无法实现每个剧本执行对应一个独立流量包的需求。并且当执行waf验证类剧本时,需抓取攻击者和被攻击者两个模拟器端的流量,并归档到该剧本的攻击者模拟器和被攻击者模拟器,整个过程操作繁琐、低效且工作量大、易出错。


技术实现思路

1、专利技术目的:针对上述现有技术存在的问题,本专利技术目的在于提供一种入侵和攻击模拟系统中攻击流量的抓包方法和系统,能够实现多模拟器执行多剧本时的自动抓包和归档,降低管理员工作量和提高运维效率。

2、技术方案:为实现上述专利技术目的,本专利技术采用如下技术方案:

3、一种入侵和攻击模拟系统中攻击流量的抓包方法,包括如下步骤:

4、模拟器从管理中心获取剧本执行命令后,根据剧本类型参数确定剧本的抓包模式,包括单模拟器抓包模式和双模拟器抓包模式;

5、对于单模拟器抓包模式,被攻击者模拟器在剧本开始执行之前开启抓包程序进程,设置抓包超时时长以及过滤规则,仅抓取被攻击者模拟器主机发起的请求流量,输出的抓包数据保存到以命令id及时间戳命名的文件中;剧本执行完毕后,结束抓包程序进程,将抓包文件上传到管理中心;

6、对于双模拟器抓包模式,攻击者模拟器在剧本开始执行之前向被攻击者模拟器发送开始抓包请求,被攻击者模拟器收到请求后开启抓包程序进程,设置抓包超时时长以及过滤规则,仅抓取攻击者模拟器主机发起的攻击流量,输出的抓包数据保存到以命令id、时间戳及被攻击者标记信息命名的文件中;在被攻击者模拟器上抓包程序进程启动后,攻击者模拟器开启抓包程序进程,设置抓包超时时长以及过滤规则,仅抓取攻击目标为被攻击者模拟器主机的攻击流量,输出的抓包数据保存到以命令id、时间戳及攻击者标记信息命名的文件中;剧本执行完毕后,结束攻击者模拟器和被攻击者模拟器抓包程序进程,将抓包文件上传到管理中心;

7、管理中心根据文件名将抓包文件自动归档到对应剧本及对应模拟器下。

8、作为优选,所述剧本执行命令包括命令id、批次id、任务id、剧本id、剧本类型、攻击者模拟器id、被攻击者模拟器id和剧本参数;所述剧本参数包括被攻击者模拟器主机ip、攻击者模拟器主机ip和模拟器服务的端口号,单模拟器抓包模式时剧本参数为空。

9、作为优选,单模拟器抓包模式或双模拟器抓包模式时,被攻击者模拟器生成唯一标识标记抓包进程,所述唯一标识用于结束抓包进程。

10、作为优选,双模拟器抓包模式时,被攻击者模拟器将抓包进程标识返回给攻击者模拟器,该抓包进程标识用于攻击者模拟器通知被攻击者模拟器结束抓包进程。

11、作为优选,单模拟器抓包模式时,被攻击者模拟器上抓包程序进程正常启动后,被攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是恶意域名和ip,直到剧本中的所有模拟攻击请求执行完毕。

12、作为优选,双模拟器抓包模式时,攻击者模拟器上抓包程序进程正常启动后,攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是被攻击者模拟器主机,直到剧本中的所有模拟攻击请求执行完毕。

13、作为优选,双模拟器抓包模式时,剧本执行完毕后,攻击者模拟器会向被攻击者模拟器发起结束抓包请求,被攻击者模拟器在结束抓包程序进程后,将抓包文件上传到管理中心获得文件url访问地址;被攻击者模拟器将抓包文件名和文件url访问地址返回攻击者模拟器;攻击者模拟器收到被攻击者模拟器返回的结束抓包响应数据后,结束本机抓包程序进程,将抓包文件上传到管理中心获得文件url访问地址;攻击者模拟器将命令id、抓包文件名以及文件url访问地址进行封装并上传到管理中心。

14、作为优选,抓包程序基于python的scapy库实现。

15、基于相同的专利技术构思,本专利技术提供一种入侵和攻击模拟系统中攻击流量的抓包系统,包括:

16、抓包模式判断模块,用于从管理中心获取剧本执行命令后,根据剧本类型参数确定剧本的抓包模式,包括单模拟器抓包模式和双模拟器抓包模式;

17、第一抓包处理模块,用于单模拟器抓包模式的被攻击者模拟器,在剧本开始执行之前开启抓包程序进程,设置抓包超时时长以及过滤规则,仅抓取被攻击者模拟器主机发起的请求流量,输出的抓包数据保存到以命令id及时间戳命名的文件中;剧本执行完毕后,结束抓包程序进程,将抓包文件上传到管理中心;

18、第二抓包处理模块,用于双模拟器抓包模式的攻击者模拟器,在剧本开始执行之前向被攻击者模拟器发送开始抓包请求,在被攻击者模拟器上抓包程序进程启动后,开启攻击者模拟器上抓包程序进程,设置抓包超时时长以及过滤规则,仅抓取攻击目标为被攻击者模拟器主机的攻击流量,输出的抓包数据保存到以命令id、时间戳及攻击者标记信息命名的文件中;剧本执行完毕后,结束抓包程序进程,将抓包文件上传到管理中心;

19、第三抓包处理模块,用于双模拟器抓包模式的被攻击者模拟器,在收到攻击者模拟器发送的开始本文档来自技高网...

【技术保护点】

1.一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,包括如下步骤:

2.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,所述剧本执行命令包括命令id、批次id、任务id、剧本id、剧本类型、攻击者模拟器id、被攻击者模拟器id和剧本参数;所述剧本参数包括被攻击者模拟器主机IP、攻击者模拟器主机IP和模拟器服务的端口号,单模拟器抓包模式时剧本参数为空。

3.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,单模拟器抓包模式或双模拟器抓包模式时,被攻击者模拟器生成唯一标识标记抓包进程,所述唯一标识用于结束抓包进程。

4.根据权利要求3所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,双模拟器抓包模式时,被攻击者模拟器将抓包进程标识返回给攻击者模拟器,该抓包进程标识用于攻击者模拟器通知被攻击者模拟器结束抓包进程。

5.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,单模拟器抓包模式时,被攻击者模拟器上抓包程序进程正常启动后,被攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是恶意域名和IP,直到剧本中的所有模拟攻击请求执行完毕。

6.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,双模拟器抓包模式时,攻击者模拟器上抓包程序进程正常启动后,攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是被攻击者模拟器主机,直到剧本中的所有模拟攻击请求执行完毕。

7.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,双模拟器抓包模式时,剧本执行完毕后,攻击者模拟器会向被攻击者模拟器发起结束抓包请求,被攻击者模拟器在结束抓包程序进程后,将抓包文件上传到管理中心获得文件URL访问地址;被攻击者模拟器将抓包文件名和文件URL访问地址返回攻击者模拟器;攻击者模拟器收到被攻击者模拟器返回的结束抓包响应数据后,结束本机抓包程序进程,将抓包文件上传到管理中心获得文件URL访问地址;攻击者模拟器将命令id、抓包文件名以及文件URL访问地址进行封装并上传到管理中心。

8.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,抓包程序基于Python的Scapy库实现。

9.一种入侵和攻击模拟系统中攻击流量的抓包系统,其特征在于,包括:

10.根据权利要求9所述的一种入侵和攻击模拟系统中攻击流量的抓包系统,其特征在于,双模拟器抓包模式时,剧本执行完毕后,攻击者模拟器上第二抓包处理模块向被攻击者模拟器发起结束抓包请求,被攻击者模拟器上在第三抓包处理模块结束抓包程序进程后,将抓包文件上传到管理中心获得文件URL访问地址,将抓包文件名和文件URL访问地址返回攻击者模拟器;攻击者模拟器上第二抓包处理模块收到被攻击者模拟器返回的结束抓包响应数据后,结束本机抓包程序进程,将抓包文件上传到管理中心获得文件URL访问地址,再将命令id、抓包文件名以及文件URL访问地址进行封装并上传到管理中心。

...

【技术特征摘要】

1.一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,包括如下步骤:

2.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,所述剧本执行命令包括命令id、批次id、任务id、剧本id、剧本类型、攻击者模拟器id、被攻击者模拟器id和剧本参数;所述剧本参数包括被攻击者模拟器主机ip、攻击者模拟器主机ip和模拟器服务的端口号,单模拟器抓包模式时剧本参数为空。

3.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,单模拟器抓包模式或双模拟器抓包模式时,被攻击者模拟器生成唯一标识标记抓包进程,所述唯一标识用于结束抓包进程。

4.根据权利要求3所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,双模拟器抓包模式时,被攻击者模拟器将抓包进程标识返回给攻击者模拟器,该抓包进程标识用于攻击者模拟器通知被攻击者模拟器结束抓包进程。

5.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,单模拟器抓包模式时,被攻击者模拟器上抓包程序进程正常启动后,被攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是恶意域名和ip,直到剧本中的所有模拟攻击请求执行完毕。

6.根据权利要求1所述的一种入侵和攻击模拟系统中攻击流量的抓包方法,其特征在于,双模拟器抓包模式时,攻击者模拟器上抓包程序进程正常启动后,攻击者模拟器开始按照顺序执行剧本中的模拟攻击请求列表,目标是被攻击者模拟器主机,直到剧本中的所...

【专利技术属性】
技术研发人员:王彦龙王国金辛发圣
申请(专利权)人:南京赛宁信息技术有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有