[发明专利]一种基于TCP协议攻击的模拟仿真方法、系统、设备及存储介质

说明书

本发明实施例提供了一种基于TCP协议攻击的模拟仿真方法、系统、设备及存储介质，在用户网络域中部署接收端，无需在客户内网环境中部署靶机，如要评估企业安全策略有效性、安全产品防护能力，只需在安全检测端所在的节点部署探针，通过程序发送TCP协议攻击流量即可验证，使安全风险验证及评估更快速、更便捷。通过渗透测试、红蓝对抗、攻防演练、漏洞靶场运营积累的攻击数据包生成台词样本并同步至接收端，在评估端和接收端同时回放各个台词样本，完成TCP协议攻击模拟，可以更全面发现用户环境存在安全问题。攻击数据包传输过程中通过非对称加密方式传输，采用非靶场形式没有为用户环境带来新的安全风险点。

技术领域

本发明实施例涉及网络安全技术领域，具体涉及一种基于TCP协议攻击的模拟仿真方法、系统、设备及存储介质。

背景技术

传统的验证及评估企业安全风险的方式为通过渗透测试人员进行手工测试，或者通过BAS（Breach and Attack Simulation，入侵和攻击模拟）检测技术实现，BAS（Breachand Attack Simulation，入侵和攻击模拟）检测技术的实现方式为：大多是在客户内网环境中部署靶机并为其配置安全策略，使用攻击机对靶机发送漏洞验证程序，依据攻击是否成功从而验证安全策略是否有效。

通过人工方式验证方法单一，发起一次渗透测试成本高，且人工测试具有不确定性。通过靶场实现，一方面，靶机很沉重，需具有多种环境才能够运行，不易部署、不易维护。另一方面，靶机是一个具有各种漏洞的真实资产，处于内网环境中是一个巨大的安全风险，很容易成为黑客打穿其企业网络的突破口，会引入新的攻击面，为客户带来新的安全风险。

发明内容

为此，本发明实施例提供一种基于TCP协议攻击的模拟仿真方法、系统、设备及介质，以解决传统安全风险验证及评估技术效果差、容易带来新的安全风险的技术问题。

为了实现上述目的，本发明实施例提供如下技术方案：

根据本发明实施例的第一方面，本申请实施例提供了一种基于TCP协议攻击的模拟仿真方法，所述方法应用于评估端，所述方法包括：

从渗透测试/攻防演练/靶场中捕获并保存攻击数据包；

对所述攻击数据包进行处理，得到至少一个台词样本；

利用所述至少一个台词样本生成TCP协议数据包；

将所述TCP协议数据包同步传输至接收端，所述接收端部署在用户网络域中；

与所述接收端同时回放所述TCP协议数据包中的各个台词样本，完成TCP协议攻击模拟；

检测用户网络环境中的安全检测端是否成功检出攻击流量；

如果安全检测端成功检出攻击流量，则所述安全检测端的安全检测策略有效；

如果安全检测端未成功检出攻击流量，则所述安全检测端的安全检测策略无效。

进一步地，对所述攻击数据包进行处理，得到至少一个台词样本，包括：

对所述攻击数据包进行解析，得到攻击信息和漏洞信息；

基于所述攻击信息和所述漏洞信息从提取出第一攻击流量；

对所述第一攻击流量进行筛选，得到第二攻击流量；

利用所述攻击信息和所述漏洞信息对所述第二攻击流量的各条流量数据进行标记，生成至少一个攻击请求流量和至少一个攻击响应流量；

按照原本逻辑对至少一个攻击请求流量和至少一个攻击响应流量进行分组、排序，生成包含至少一个台词样本。

进一步地，利用所述攻击信息和所述漏洞信息对所述第二攻击流量的各条流量数据进行标记，生成至少一个攻击请求流量和至少一个攻击响应流量，包括：