[发明专利]网络入侵防护系统抗逃逸能力测试方法、装置和测试机

说明书

本申请提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机，方法包括：判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计并输出生成的逃逸组合的数量、成功和失败次数；如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；基于自建协议栈依据单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；利用靶机对攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行判断是否存在未遍历的逃逸组合动作及其后续动作。实现了对IPS进行抗逃逸测试的自动检测，提高了测试效率，降低了测试成本。

技术领域

本发明涉及计算机网络技术领域，具体涉及一种用于基于自动化组合对计算机网络入侵防护系统进行测试的网络入侵防护系统抗逃逸能力测试方法、装置和测试机。

背景技术

入侵防御系统(Intrusion Prevention System以下简称IPS)是电脑网络安全设施，是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter,ApplicationGateway)的补充。IPS在开发完成后需要进行案源测试，目前，针对IPS的安全测试主要包括功能性测试和穿透性测试两部分内容。在对IPS进行穿透性测试时，需要检测业务口的抗攻击逃逸能力，即对IPS能够识别的攻击流量附加特定的逃逸措施，改变攻击流量的原始特征，查看IPS能否正确识别并阻断变形后的攻击流量。

传统技术方案中，在IPS抗逃逸检测时主要基于人工或者采用半自动化方式进行测试，该测试过程费时、费力，检测效率较低。

发明内容

有鉴于此，本发明实施例提供了一种网络入侵防护系统抗逃逸能力测试方法、装置和测试机，以解决现有技术中因基于人工或者采用半自动化方式对IPS进行抗逃逸检测而造成的费时、费力，检测效率较低的问题。

为实现上述目的，本发明实施例提供如下技术方案：

一种网络入侵防护系统抗逃逸能力测试方法，包括：

判断是否存在未遍历的与攻击流量的协议相匹配的逃逸组合，如果否，统计生成的逃逸组合的数量、成功和失败次数，并输出统计结果；

如果存在未遍历的逃逸组合，则生成一未遍历的单次逃逸组合；

基于自建协议栈依据所述单次逃逸组合对攻击代码进行逐层封装和变异，产生测试攻击流量数据；

利用靶机对所述攻击流量数据进行测试并判断测试结果，如果逃逸失败，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作，如果逃逸成功，生成并输出最小逃逸组合，执行所述判断是否存在未遍历的逃逸组合动作及其后续动作。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，利用靶机对所述攻击流量数据进行测试之前，还包括：

设定并行运行的测试进程数n和IP地址资源范围f；

所述利用靶机对所述攻击流量数据进行测试，包括：

选择一测试进程和空闲的IP地址利用靶机对所述攻击流量数据进行测试。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述利用靶机对所述攻击流量数据进行测试并判断测试结果，包括：

使用预设的网络接口，向靶机发送经逐层封装和变异后的攻击流量数据，并获取靶机的反馈结果；

根据所述反馈结果，判断所述攻击流量数据是否成功逃逸。

优选的，上述网络入侵防护系统抗逃逸能力测试方法中，所述生成并输出最小逃逸组合，包括：

对成功逃逸的数据流量对应的逃逸组合进行逐步隔离，生成多个候选逃逸组合，形成候选逃逸集合；