[发明专利]一种恶意流量无害化生成方法、装置及电子设备

说明书

本申请实施例中提供了一种恶意流量无害化生成方法、装置及电子设备，所述方法，包括提取PCAP文件中符合条件的恶意数据流，并识别流量应用信息，将恶意数据流保存为流量文件，完成恶意流量无害化生成的准备；攻击端和被攻击端读取相同的所述流量文件，根据读取的配置参数分别生成流量字节码；被攻击端根据流量字节码中标识的端口，进行套接字创建，监听相应的一个或多个端口；攻击端在存在代理参数时，根据所述代理参数进行代理认证以及连接被攻击端；攻击端与被攻击端连接成功后，攻击端和被攻击端发送或接收数据包，实现恶意流量无害化生成。通过本申请的处理方案，提供一种算法逻辑简单、易部署、容错性强、适用于元数据/载荷等可以任意修改、跨网段跨NAT跨代理的恶意流量无害化生成方法及装置。

技术领域

本申请涉及网络安全技术领域，尤其涉及一种恶意流量无害化生成方法、装置及电子设备。

背景技术

当前，在测试或验证网络安全产品时，由于直接运行恶意软件产生恶意网络流量的方式在环境配置和部署时非常不便，我们通常利用通用软件工具或者设备产生不同的恶意网络流量，当流量经过网络安全设备时，网络安全设备会产生不同的响应，从而达到测试或者验证网络安全产品的目的。

现有测试或验证网络安全产品的方法，主要指抓取恶意软件产生的流量，将其保存为PCAP文件。在测试或验证时，通常有两种方法：

第一种方法通过读取PCAP文件，将PCAP文件中的流量进行重新发送，如图1所示。该方法适用于获取镜像流量的网络安全产品，不适用于串接的网络安全产品。

第二种方法部署两个软件或者两台设备，如图2所示，一个作为攻击端，一个作为被攻击端。攻击端和被攻击端读取PCAP中对应的内容，并替换对应的MAC地址，然后攻击端和被攻击端进行流量数据相互发送。

然而，现有的技术方法在测试或验证时，均存在使用的局限性和复杂性：

问题一：当网络链路不稳定存在丢包时，上述PCAP方法无法重新发送数据包；即使软件或设备在逻辑上做了超时重发，重发内容也与丢包的内容完全一致，不符合网络协议重发的实际处理，可能导致网络安全产品无法识别重发数据包为同一条数据流的流量、应用无法正常识别等问题。

问题二：数据包内容无法便捷修改，如i p地址、端口、载荷等。在测试或验证特定环境时，可能存在需要调整数据包内容的需求。但使用上述PCAP的方法时，只要存在数据包内容修改，就需要重新计算各个协议层的校验和、攻击端和被攻击端同步修改并校验等操作，软件或设备的算法复杂。

问题三：上述PCAP方法无法适用于攻击端与被攻击端之间存在NAT或者跨网段的网络环境。因为PCAP方式替换MAC地址属于二层，无法处理三层NAT或者路由的转发处理。

问题四：上述PCAP方法无法适用于攻击端与被攻击端之间存在代理的网络环境。因为PCAP方式替换MAC地址属于二层，代理不处于二层。

问题五：上述PCAP方法需要查看并记录攻击方和被攻击方的MAC地址，MAC地址相对i p地址端口等长度较长，不便查看、配置和记忆。

问题六：在特殊情况下，如被攻击端监听了PCAP的端口，上述PCAP方法存在恶意数据包直接对被攻击端造成破坏的情况，可能对被攻击端造成不可逆的危害。

问题七：PCAP方法在某些操作系统中，需要涉及驱动层，对软件的兼容性要求相对要高，不利于算法和软件维护。

问题八：PCAP方法在测试或验证环境的Mtu小于抓取数据包的Mtu时，将无法正常工作。

问题九：PCAP方法无法便捷地将抓取的i pv6数据包转换为i pv4数据包，或i pv4数据包转换为i pv6数据包，即i pv4的PCAP无法适应i pv6的环境，i pv6的PCAP无法适应ipv4。

发明内容