[发明专利]一种基于FPGA的高并行大吞吐量渗透测试系统及方法

权利要求书

1.一种基于FPGA的高并发大流量渗透测试系统，其特征是，包括渗透测试板卡和处理器；

所述处理器包括任务配置模块、任务编排模块、渗透测试任务生成模块和渗透测试系统数据库，其中，

所述任务配置模块，负责配置并行测试目标及其参数；

所述任务编排模块，被配置为根据配置的测试目标的参数构建测试任务集合，从中选取一个或多个测试任务，由渗透测试任务生成模块生成一个或多个具体的渗透测试任务，从渗透测试系统数据库中获取渗透测试任务对应的测试DAG图，将渗透测试任务及其对应的测试DAG图发送至渗透测试板卡；

所述渗透测试板卡，接收渗透测试任务，根据存储的测试DAG图生成测试数据，封装成数据包发送至被测目标，并接收被测目标反馈的信息，解析出关键信息发送至任务编排模块。

2.根据权利要求1所述的一种基于FPGA的高并发大流量渗透测试系统，其特征是，所述任务编排模块还被配置为接收渗透测试板卡反馈的关键字段信息，并对其进行评估，若发现被测试目标的漏洞，查找渗透测试图数据库中对应的测试DAG图，将新的DAG图更新到对应的板卡测试单元，开启漏洞测试进程，查找渗透测试图数据库中对应的测试DAG图，更新测试DAG图，并发送至渗透测试板卡，接收渗透测试板卡上传的渗透测试结果；

所述渗透测试板卡还被配置为根据新的测试DAG图生成测试数据，封装成数据包发送至被测目标，并接收被测目标反馈的信息，并对其进行解析，得到渗透测试结果，并发送至任务编排模块；

所述渗透测试任务生成模块还被配置为对每个渗透测试任务分配当前测试阶段的标识符，并建立该标识符的日志。

3.根据权利要求1所述的一种基于FPGA的高并发大流量渗透测试系统，其特征是，所述渗透测试板卡包括板卡测试单元、协议栈、交换电路和网络端口；

所述板卡测试单元接收渗透测试任务，根据存储的测试DAG图生成测试数据，封装成数据包通过协议栈发送至交换电路，接收交换电路上传的被测目标反馈信息，并对其进行解析处理，得到关键字段信息，发送至任务编排模块；

所述交换电路通过网络端口与被测目标连接，将多个板卡测试单元产生的数据包通过网络端口发送至被测目标，接收被测目标反馈的信息，通过协议栈发送到对应板卡测试单元。

4.根据权利要求3所述的一种基于FPGA的高并发大流量渗透测试系统，其特征是，所述板卡测试单元包括接口电路、统计电路、接收存贮电路、DDR3存储器、第一包处理电路、第一CPU、协议解析电路、第二包处理电路、FPGA、第二CPU，所述接口电路接收渗透测试任务及对应的测试DAG图，通过接收存贮电路存储到DDR3存储器中；同时，通过统计电路和第一包处理电路发送至第一CPU，第一CPU根据测试DAG图生成测试数据，通过第一包处理电路封装成数据包，数据包通过协议解析电路发送至协议栈；所述FPGA通过协议解析电路接收协议栈上传的被测目标反馈信息，并对其进行解析处理，得到关键字段信息，通过第二CPU判断是否接收到被测目标反馈信息，若接收到，则通过第二包处理电路将被测目标反馈信息的关键字段信息封装成数据包，经过统计电路和接口电路发送至任务编排模块，同时，通过接收存贮电路存储到DDR3存储器中。

5.根据权利要求1所述的一种基于FPGA的高并发大流量渗透测试系统，其特征是，所述处理器还包括负载均衡模块，其接收任务编排模块计算的资源开销评估值，基于负载均衡算法将渗透测试任务均衡分配到各板卡测试单元，并将将渗透测试任务和板卡测试单元的映射发送至任务编排模块。

6.根据权利要求1所述的一种基于FPGA的高并发大流量渗透测试系统，其特征是，所述处理器还包括渗透测试系统数据库，所述渗透测试系统数据库包含基础数据库、渗透测试图数据库和渗透测试策略库；

所述基础数据库，被配置为存储用户账号和设备信息；

所述渗透测试图数据库，被配置为存储针对特定漏洞的渗透测试方案；

所述渗透测试策略库，被配置为存储整个渗透测试任务的预设信息、反馈信息和统计信息，其中，预设信息指大量拟定好的被渗透测试目标，反馈信息指被渗透测试目标反馈给设备的信息，统计信息指对多个渗透测试任务各渗透测试步骤的统计与监控信息。