[发明专利]一种恶意流量无害化生成方法、装置及电子设备

权利要求书

1.一种恶意流量无害化生成方法，其特征在于，所述方法包括：

提取PCAP文件中符合条件的恶意数据流，并识别流量应用信息，将恶意数据流保存为流量文件，完成恶意流量无害化生成的准备；

攻击端和被攻击端读取相同的所述流量文件，根据读取的配置参数分别生成流量字节码；

被攻击端根据流量字节码中标识的端口，进行套接字创建，监听相应的一个或多个端口；

攻击端在存在代理参数时，根据所述代理参数进行代理认证以及连接被攻击端；

攻击端与被攻击端连接成功后，攻击端和被攻击端发送或接收数据包，实现恶意流量无害化生成。

2.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述提取PCAP文件中符合条件的恶意数据流，包括：

读取PCAP文件；

将读取的所述PCAP文件根据使用者的条件进行筛选，提取得到一条或多条待发送和待接收的恶意数据流；

所述使用者的条件包括攻击者ip、被攻击者ip、攻击者端口、被攻击者端口、协议其中的一种或多种条件；

所述攻击者ip为ipv6或ipv4；所述被攻击者ip为ipv6或ipv4；

所述待发送数据流为带攻击端或被攻击端标识、可被被攻击端生成程序识别的载荷数据。

3.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述流量文件为保存在内存中或者磁盘上内容格式不限的所述待发送和待接收的恶意数据流。

4.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述识别流量应用信息，包括：

在所述提取PCAP文件中符合条件的恶意数据流的同时，对其载荷进行特征识别，并使用应用名进行标识；或

在所述提取PCAP文件中符合条件的恶意数据流完成后，统一对其载荷进行特征识别，并使用应用名进行标识。

5.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述配置参数包括对端ip地址和端口、替换载荷的内容；

所述配置参数中的端口为一个或多个端口，当存在一个参数端口时，攻击端将调整所有攻击的端口为参数端口；当存在多个参数端口时，将根据参数指定的端口替换规则进行多个端口的替换；当不存在参数端口时，使用流量文件中的端口或默认端口；

当存在配置参数中的替换载荷的内容参数时，攻击端或被攻击端将根据参数的规则描述，对载荷内容进行替换，并利用系统对修改后的载荷自动进行相关校验和重新计算以及协议栈封装；

所述替换载荷的内容可以包含零个或多个。

6.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述套接字包括系统的套接字，或自定义类似系统套接字的封装；

利用创建的所述套接字将PCAP文件中的数据包载荷内容进行重新发送。

7.根据权利要求1所述的一种恶意流量无害化生成方法，其特征在于，所述攻击端和被攻击端发送或接收数据包，包括：

所述攻击端根据流量字节码标识内容先接收或先发送数据包；

所述被攻击端根据流量字节码标识内容先接收或先发送数据包；

所述攻击端或所述被攻击端根据流量字节码标识内容先接收数据包，包括：

根据流量字节码标识内容，等待接收数据包；并启用超时处理，若接收超时，则进入结束处理；

接收到数据包后，根据流量字节码标识内容，判断收到的数据包是否是当前需要接收的数据包，若是，则进入下一步，否则返回上一步；

判断流量字节码中是否含有未处理的流量字节码，若不含，则结束流程；否则进入下一步；

判断下一个数据包是否为需要发送的数据包，若是，则进入下一步，否则返回等待接收数据包；

发送数据包；

判断流量字节码中是否含有未处理的流量字节码，若不含，则结束流程；否则进入下一步；

判断下一个数据包是否为需要发送的数据包，若是，则返回发送数据包；若不是，否则返回等待接收数据包。