[发明专利]网络攻击检测内部追踪方法

权利要求书

1.一种网络攻击检测内部追踪方法，用以对网络入侵检测系统进行测试， 该方法包含以下步骤：

首先，在一测试网络中建立具有一攻击端点、一检测端点及一目标端点的 网络拓扑结构；

在该攻击端点安装各种类型的攻击工具及攻击端点例行程序，在该检测端 点安装预先定制的SNORT入侵检测系统及检测端点例行程序，在该目标端点 安装统计例行程序；

该攻击端点对攻击数据包的攻击类型进行分类，根据该分类信息设置捕获 所述数据包信息的检查点；

该检测端点分别在不同阶段设置对应的检查点，并将所有的设定选项保存 为一脚本文件，并将该脚本文件发送至其它各端点；

该攻击端点通过所分发的该脚本文件向该检测端点和该目标端点发出测 试用攻击数据包，并将其检查点信息输出至一临时文件中储存；

该检测端点通过旁路侦听模式检测从该攻击端点发出的测试用攻击数据 包，并将其检查点信息以日志模式输出到一临时文件中储存；

该目标端点检测接收到的测试用攻击数据包，并记录日志后输出至一临时 文件中储存；以及

该检测端点在攻击作业完成后从其它各端点收集所述临时文件，并通过对 所述全部临时文件中储存的每一个攻击数据包的流程信息进行匹配，然后经过 分析生成一最终的测试报告。

2.如权利要求1所述的网络攻击检测内部追踪方法，其中该攻击端点的 检查点的设置通过直接修改攻击工具的源代码，或者通过分析攻击工具的实时 日志进行。

3.如权利要求1所述的网络攻击检测内部追踪方法，其中在该攻击端点 发出测试用攻击数据包之前还包含校验所述各端点的系统时间以求解出不同 端点的系统时间差值，并由任一端点进行保存的步骤。

4.如权利要求1所述的网络攻击检测内部追踪方法，其中在执行攻击作 业的进程中所述各端点均会记录该攻击数据包到达该端点的时间，并将所捕获 的数据包经解析后与所记录的发出的数据包进行匹配，以确定该捕获的数据包 与该发出的数据包的一致性。

5.如权利要求1所述的网络攻击检测内部追踪方法，其中该检测端点在 检测所述测试用攻击数据包的进程中还包含如下步骤：

该检查点计算所有被捕获的测试用攻击数据包的数量，并记录所述测试用 攻击数据包的时间戳；

经过解码之后，该检查点通过特定的IP或在所述攻击数据包中的其它标 记过滤所述攻击数据包，而后将有问题的数据包标记为可疑数据包，并记录协 议信息及当前时间戳；

该检查点找出可疑数据包后，如果该可疑数据包与前处理程序的规则匹 配，则记录该前处理程序的信息，然后，记录所述可疑数据包的当前时间戳；

该检查点找出可疑数据包后，记录与规则树节点/规则选项节点中的规则 进行匹配的整个进程，而后记录所述可疑数据包的当前时间戳；以及

在数据包处理的结尾处，该检查点记录选定的事件，而后记录当前时间戳。

6.如权利要求1所述的网络攻击检测内部追踪方法，其中该目标端点使 用一种公知的构造网络探嗅工具的进程特性分析软件Libpcap检测接收到的该 攻击数据包。

7.如权利要求6所述的网络攻击检测内部追踪方法，其中该攻击数据包 为指定源IP的攻击数据包。