网络安全检测的新方法、网络安全检测系统、终端以及介质pdf

发布时间：2023-12-06 22:44:28 来源：澳网官网

本申请涉及网络技术领域，尤其涉及一种网络安全检测的新方法、网络安全检测系统、终端以及介质。上述网络安全检测的新方法包括：获取模拟攻击流量对应的报文的五元组；将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接；当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备；根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。如此，本发明提供的网络安全检

(19)国家知识产权局 (12)发明专利申请 (10)申请公布号 CN 115022082 A (43)申请公布日 2022.09.06 (21)申请号 6.5 (22)申请日 2022.07.11 (71)申请人平安科技（深圳）有限公司地址 518000 广东省深圳市福田区福田街道福安社区益田路5033号平安金融中心23楼 (72)发明人芦文峰郭倜颖刘伟超陈远旭 (74)专利代理机构深圳市联鼎知识产权代理有限公司 44232 专利代理师孙强 (51)Int.Cl. H04L 9/40 (2022.01) H04L 61/5053 (2022.01) 权利要求书2页说明书13页附图8页 (54)发明名称网络安全检测方法、网络安全检测系统、终端以及介质 (57)摘要本申请涉及互联网技术领域，尤其涉及一种网络安全检测方法、网络安全检测系统、终端以及介质。上述网络安全检测方法有：获取模拟攻击流量对应的报文的五元组；将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接；当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备；根据所述报文携带的目标攻击指令对所述目的设备做攻击，以对所述目的设备进 A 行网络安全检测。如此，本发明提供的网络安全 2 检测方法，能够对SRv6组网安全测试中模拟攻击 8 0 2 流量进行灵活配置及变更，保证安全测试的灵活 2 0 5 性和结果准确性。 1 1 N C CN 115022082 A 权利要求书 1/2页 1.一种网络安全检测方法，其特征在于，所述方法包括：获取模拟攻击流量对应的报文的五元组；将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接；当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备；根据所述报文携带的目标攻击指令对所述目的设备做攻击，以对所述目的设备进行网络安全检测。 2.如权利要求1所述的网络安全检测的新方法，其特征在于，所述目标攻击指令包括第一目标攻击指令，所述第一目标攻击指令为存储于所述报文的扩展头部分的第一个标签，在将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址之后，所述方法还包括：获取所述模拟攻击流量对应的流量协议；根据所述流量协议确定所述第一目标攻击指令；根据所述第一目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第一目标攻击指令。 3.如权利要求2所述的网络安全检测方法，其特征在于，所述流量协议为多个，根据流量协议确定所述第一目标攻击指令，包括：获取多个所述流量协议对应的协议优先级；对多个所述流量协议进行异常概率分析，以确定多个所述流量协议的异常概率最高时分别对应的多个目标攻击指令；根据所述协议优先级确定优先级最高的流量协议，并将所述优先级最高的流量协议对应的目标攻击指令确定为所述第一目标攻击指令。 4.如权利要求3所述的网络安全检测方法，其特征在于，获取多个所述流量协议对应的协议优先级，包括：对源历史流量进行分析得到多个所述流量协议分别对应的历史数据，所述历史数据包括流量数据、故障数据以及关联数据中的至少一项；根据所述历史数据确定所述流量协议对应的协议优先级。 5.如权利要求4所述的网络安全检测方法，其特征在于，当所述历史数据包括流量数据、故障数据以及关联数据中的至少两项时，根据所述历史数据确定所述协议优先级，包括：对所述历史数据进行优先级排序；根据经过优先级排序的所述历史数据确定所述协议优先级。 6.如权利要求3至5任一项所述的网络安全检测方法，其特征在于，所述目标攻击指令还包括第二目标攻击指令，所述第二目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令的其他标签，在将所述目的网际协议地址更新至所述五元组之后，所述方法还包括：检测所述协议优先级与所述第一目标攻击指令是否匹配；若所述协议优先级与所述第一目标攻击指令匹配，将所述报文通过所述目标调度服务 2 2 CN 115022082 A 权利要求书 2/2页器发送至所述目的设备；若所述协议优先级与所述第一目标攻击指令不匹配，根据所述协议优先级确定所述第二目标攻击指令，以及根据所述第二目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第二目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 7.如权利要求6所述的网络安全检测方法，其特征在于，所述目标攻击指令还包括第三目标攻击指令，所述第三目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令和所述第二目标攻击指令的其他标签，在将所述目的网际协议地址更新至所述五元组之后，所述方法还包括：基于用户设置指令确定所述第三目标攻击指令，以及根据所述第三目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第三目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 8.一种网络安全检测系统，其特征在于，所述网络安全检测系统包括：获取模块，被配置为获取模拟攻击流量对应的报文的五元组；替换模块，被配置为将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接；更新模块，被配置为当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备；检测模块，被配置为根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。 9.一种终端设备，其特征在于，所述终端设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的网络安全检测程序，所述网络安全检测程序被所述处理器执行时实现如权利要求1至7中任一项所述的网络安全检测方法。 10.一种存储介质，其特征在于，所述存储介质上存储有计算机程序，所述计算机程序被处理器执行时实现如权利要求1至7中任一项所述的网络安全检测方法。 3 3 CN 115022082 A 说明书 1/13页网络安全检测方法、网络安全检测系统、终端以及介质技术领域 [0001] 本发明涉及网络技术领域，尤其涉及一种网络安全检测的新方法、网络安全检测系统、终端以及介质。背景技术 [0002] 随着数字化发展的逐渐深入，全球SRv6网的在运设备逐渐增加，相较于十年前设备增长10～100倍，即便运维已经在从手工运维向工具运维和平台运维发展，但仍难以满足当前超大型组网、服务器、应用对运维监测要求。 [0003] 在此基础上，当前机房运维场景下网络业务规模大，存在应用关系复杂和依赖层次多的特点，对网络安全隐患的排查造成了极大的难度，而依靠人工经验或者自动化运维去监测管理网络传输已经成为制约运维工作的技术瓶颈。 [0004] 目前，在对网络安全隐患的排查过程中，当SRv6组网内源网际协议地址大规模发送模拟攻击流量到目的网际协议地址进行安全测试时，现有技术无法实现攻击指令在SID，即IPV6第六代互联网协议的传输路径，途中进行灵活配置及变更，影响了安全测试的灵活性和结果准确性。发明内容 [0005] 本发明的主要目的在于提供一种网络安全检测的新方法、网络安全检测系统、终端以及介质，旨在对SRv6组网安全测试中模拟攻击流量的攻击报文与五元组目的网际协议地址结合，通过调度服务器实现攻击指令在SID路径途中进行灵活配置及变更，保证安全测试的灵活性和结果准确性，并且综合提高管理网络设备、线路灵活调度以及相关指令分配的能力。 [0006] 根据本申请实施例的一方面，公开了一种网络安全检测方法，所述方法有： [0007] 获取模拟攻击流量对应的报文的五元组； [0008] 将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接； [0009] 当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备； [0010] 根据所述报文携带的目标攻击指令对所述目的设备做攻击，以对所述目的设备进行网络安全检测。 [0011] 在本申请的一些实施例中，基于以上技术方案，所述目标攻击指令包括第一目标攻击指令，所述第一目标攻击指令为存储于所述报文的扩展头部分的第一个标签，在将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址之后，所述方法还包括： [0012] 获取所述模拟攻击流量对应的流量协议； [0013] 根据所述流量协议确定所述第一目标攻击指令； 4 4 CN 115022082 A 说明书 2/13页 [0014] 根据所述第一目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第一目标攻击指令。 [0015] 在本申请的一些实施例中，基于以上技术方案，所述流量协议为多个，根据流量协议确定所述第一目标攻击指令，包括： [0016] 获取多个所述流量协议对应的协议优先级； [0017] 对多个所述流量协议进行异常概率分析，以确定多个所述流量协议的异常概率最高时分别对应的多个目标攻击指令； [0018] 根据所述协议优先级确定优先级最高的流量协议，并将所述优先级最高的流量协议对应的目标攻击指令确定为所述第一目标攻击指令。 [0019] 在本申请的一些实施例中，基于以上技术方案，获取多个所述流量协议对应的协议优先级，包括： [0020] 对源历史流量进行分析得到多个所述流量协议分别对应的历史数据，所述历史数据包括流量数据、故障数据以及关联数据中的至少一项； [0021] 根据所述历史数据确定所述流量协议对应的协议优先级。 [0022] 在本申请的一些实施例中，基于以上技术方案，当所述历史数据包括流量数据、故障数据以及关联数据中的至少两项时，根据所述历史数据确定所述协议优先级，包括： [0023] 对所述历史数据进行优先级排序； [0024] 根据经过优先级排序的所述历史数据确定所述协议优先级。 [0025] 在本申请的一些实施例中，基于以上技术方案，所述目标攻击指令还包括第二目标攻击指令，所述第二目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令的其他标签，在将所述目的网际协议地址更新至所述五元组之后，所述方法还包括： [0026] 检测所述协议优先级与所述第一目标攻击指令是否匹配； [0027] 若所述协议优先级与所述第一目标攻击指令匹配，将所述报文通过所述目标调度服务器发送至所述目的设备； [0028] 若所述协议优先级与所述第一目标攻击指令不匹配，根据所述协议优先级确定所述第二目标攻击指令，以及根据所述第二目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第二目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0029] 在本申请的一些实施例中，基于以上技术方案，所述目标攻击指令还包括第三目标攻击指令，所述第三目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令和所述第二目标攻击指令的其他标签，在将所述目的网际协议地址更新至所述五元组之后，所述方法还包括： [0030] 基于用户设置指令确定所述第三目标攻击指令，以及根据所述第三目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第三目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0031] 根据本申请实施例的一方面，公开了一种基于SRv6的网络安全检测系统，所述网络安全检测系统包括： [0032] 获取模块，被配置为获取模拟攻击流量对应的报文的五元组； 5 5 CN 115022082 A 说明书 3/13页 [0033] 替换模块，被配置为将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接； [0034] 更新模块，被配置为当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备； [0035] 检测模块，被配置为根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。 [0036] 根据本申请实施例的一个方面，提供一种电子设备，该电子设备包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器被配置为经由执行所述可执行指令来执行如以上技术方案中的网络安全检测的新方法。 [0037] 根据本申请实施例的一个方面，提供一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行如以上技术方案中的网络安全检测的新方法。 [0038] 本申请实施例中，在进行SRv6组网安全测试时，源网际协议地址服务器收到模拟攻击流量后，对该模拟攻击流量进行解析得到对应的报文的五元组，然后将该五元组的目的网际协议地址替换为目的调度服务器的网际协议地址，其中目的调度服务器与目的网际协议地址对应的目的设备连接，当报文达到SID最后一跳的网络节点时，会基于路由表分配到达目的调度服务器，此时目的调度服务器将目的网际协议地址更新至该报文的五元组，并通过攻击程序执行将携带有攻击指令的报文通过调度服务器路由表发送到达目的网际协议地址设备，从而完成SRv6组网安全测试。 [0039] 如此，本发明提供的网络安全检测方法，能够对SRv6组网安全测试中模拟攻击流量的攻击报文与五元组目的网际协议地址结合，通过调度服务器实现攻击指令在SID路径途中进行灵活配置及变更，保证安全测试的灵活性和结果准确性，并且综合提高管理网络设备、线路灵活调度以及相关指令分配的能力。 [0040] 应当理解的是，以上的一般描述和后文的细节描述仅是示例性的，并不能限制本申请。附图说明 [0041] 此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请的原理。显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。 [0042] 图1示出了本申请一个实施例中的网络安全检测方法的步骤流程图。 [0043] 图2示出了本申请一个实施例中的根据流量协议确定第一目标攻击指令的应用流程图。 [0044] 图3示出了本申请一个实施例中的随机森林技术的原理流程图。 [0045] 图4示出了本申请一个实施例中的根据历史数据确定协议优先级的应用流程图。 [0046] 图5示出了本申请一个实施例中的对历史数据进行优先级排序的应用流程图。 [0047] 图6示出了本申请一个实施例中的对报文携带的第一目标攻击指令进行二次确认 6 6 CN 115022082 A 说明书 4/13页的应用流程图。 [0048] 图7示出了本申请一个实施例中同时采用三种历史数据确定协议优先级的应用流程图。 [0049] 图8示意性地示出了本申请实施例提供的网络安全检测系统的结构框图。 [0050] 图9示意性示出了适于用来实现本申请实施例的电子设备的计算机系统结构框图。具体实施方式 [0051] 现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本申请将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。 [0052] 此外，所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施例中。在下面的描述中，提供许多具体细节从而给出对本申请的实施例的充分理解。然而，本领域技术人员将意识到，可以实践本申请的技术方案而没有特定细节中的一个或更多，或者可以采用其它的方法、组元、装置、步骤等。在其它情况下，不详细示出或描述公知方法、装置、实现或者操作以避免模糊本申请的各方面。 [0053] 附图中所示的方框图仅仅是功能实体，不一定必须与物理上独立的实体相对应。即，可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。 [0054] 附图中所示的流程图仅是示例性说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解，而有的操作/步骤可以合并或部分合并，因此实际执行的顺序有可能根据实际情况改变。 [0055] 下面结合具体实施方式对本申请提供的网络安全检测方法、网络安全检测系统、终端以及介质等技术方案做出详细说明。 [0056] 图1示出了本申请一个实施例中的网络安全检测方法的步骤流程图，如图1所示，该网络安全检测方法主要可以包括如下的步骤S100至步骤S400。 [0057] 步骤S100，获取模拟攻击流量对应的报文的五元组。 [0058] 步骤S200，将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接。 [0059] 步骤S300，当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备。 [0060] 步骤S400，根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。 [0061] 本申请实施例中，在进行SRv6组网安全测试时，源网际协议地址服务器收到模拟攻击流量后，对该模拟攻击流量进行解析得到对应的报文的五元组，然后将该五元组的目的网际协议地址替换为目的调度服务器的网际协议地址，其中目的调度服务器与目的网际协议地址对应的目的设备连接，当报文达到SID最后一跳的网络节点时，会基于路由表分配到达目的调度服务器，此时目的调度服务器将目的网际协议地址更新至该报文的五元组，并通过攻击程序执行将携带有攻击指令的报文通过调度服务器路由表发送到达目的网际 7 7 CN 115022082 A 说明书 5/13页协议地址设备，从而完成SRv6组网安全测试。 [0062] 如此，本发明提供的网络安全检测方法，能够对SRv6组网安全测试中模拟攻击流量的攻击报文与五元组目的网际协议地址结合，通过调度服务器实现攻击指令在SID路径途中进行灵活配置及变更，保证安全测试的灵活性和结果准确性，并且综合提高管理网络设备、线路灵活调度以及相关指令分配的能力。 [0063] 下面分别对网络安全检测方法中的各个方法步骤做详细说明。 [0064] 步骤S100，获取模拟攻击流量对应的报文的五元组。 [0065] 源网际协议地址服务器收到模拟攻击流量后，通过流量解析程序对该模拟攻击流量进行解析得到对应的报文的五元组，从而通过更换上述报文的五元组的网际协议地址来实现模拟攻击流量对应的报文的调度。 [0066] 作为一种可行的实施方式，流量解析程序通过python程序执行，根据目的端口使用sniff()函数进行有目的性的报文嗅探抓包filter进行过滤报文，对调度过来的网络策略进行数据嗅探抓包，针对嗅探到的报文分析出报文五元组(源地址、目的地址、源端口、目的端口、协议)。 [0067] 步骤S200，将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接。 [0068] 源IP服务器获取上述报文五元组后，将上述五元组的目的网际协议地址，即目的 IP发给调度服务器的数据库进行存储，将与该五元组原目的IP对应的目的设备所连接的目的调度服务器的目的IP替换至五元组中，以使报文能够被发送至该目的调度服务器。 [0069] 步骤S300，所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备。 [0070] 上述经过替换目的IP的五元组对应的报文在达到传输路径最后一跳的网络节点时，通过路由表分配使报文到达目的调度服务器，并通过目的调度服务器数据库将报文真正需要进行攻击测试的目的设备对应的目的IP更新到五元组。 [0071] 步骤S400，根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。 [0072] 当报文根据更新后的目的IP到达目的设备时，攻击程序根据报文所携带的目标攻击指令对该目的设备进行攻击，从而达到对该目的设备进行网络安全检测的效果。 [0073] 如图2所示，在以上实施例的基础上，所述目标攻击指令包括第一目标攻击指令，所述第一目标攻击指令为存储于所述报文的扩展头部分的第一个标签，在步骤S200中的将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址之后，所描述的方法还包括如下的步骤S201至步骤S203。 [0074] 步骤S201，获取所述模拟攻击流量对应的流量协议。 [0075] 在通过模拟攻击流量对设备做攻击的网络安全测试中，由于不同的流量协议对应的易被攻击造成障碍的攻击程序各有不同，因此在本实施例中，通过流量解析程序对获取报文五元组时，进一步获取五元组中的流量协议。 [0076] 作为一种可选的实施方式，源网络设备准备将模拟攻击流量发送到目的设备时，通过部署在源网络设备的流量分析程序执行解析要发送的模拟攻击流量，流量分析程序采用python语言的scapy模块执行完成流量按协议的分类，具体分类为http(应用流量)、 8 8 CN 115022082 A 说明书 6/13页 https(加密应用流量)、Telnet、FTP、SMTP、UDP、DNS、及除这7种协议以外都归纳为其它协议，共计8种协议类型。 [0077] 步骤S202，根据所述流量协议确定所述第一目标攻击指令。 [0078] 在获取报文五元组中的流量协议后，根据该流量协议对应的易被攻击造成障碍的攻击程序，确定报文携带的对应的第一目标攻击指令。 [0079] 作为一种可选的实施方式，用于构建A、B、C三个攻击指令。使用python开发语言自身的第三方函数库scapy发送、嗅探、剖析并伪造网络数据包。封装流量tcp和udp协议报文并设置网络端口范围，利用sr1模块以三层数据报文有序发送，如果收到返回结果，说明端口是开放的。(sr1:发送三层数据包) [0080] 对于收到的网络端口IP为查询条件访问正常数据库得到： [0081] A指令：该网络端口对应的应用进行发包攻击。 [0082] B指令：该网络端口对应的泛洪攻击。 [0083] ICMP泛洪(ICMP flood)是利用ICMP报文进行攻击的一种方法。如果攻击者向目标主机发送大量的ICMP ECHO报文，将产生ICMP泛洪，导致目标主机会将大量的时间和资源用于处理ICMP ECHO报文，而无法处理正常的请求或响应，从而实现对目标主机的攻击。 [0084] C指令：该网络端口对应的网络品质攻击。 [0085] 针对应用封装攻击数据包使用Ether(IP(TCP()))类型报文或Ether(IP(UDP())) 类型报文，利用sendp()模块Inter设置发送间隔(秒数)、loop设置是否需要一直发送，发送二层攻击报文。(sendp:发送二层数据包，Inter:数据包发送间隔(秒数)，loop:设置程序是否一直发送，若是则设置该项为1，若否则设置0)。通过以上步骤完成针对网络策略的一轮模拟攻击。 [0086] 步骤S203，根据所述第一目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第一目标攻击指令。 [0087] 在确定报文所需携带的对应的第一目标攻击指令后，根据该第一目标攻击指令修改报文的扩展头部分的标签，即修改报文SRH部分的TAG，以对该模拟攻击流量预设第一目标攻击指令。 [0088] 进一步地，在以上实施例的基础上，所述流量协议为多个，上述步骤S202中的根据流量协议确定所述第一目标攻击指令，包括如下的步骤S2021至步骤S2023。 [0089] 步骤S2021，获取多个所述流量协议对应的协议优先级。 [0090] 在本实施例中，模拟攻击流量包含多个流量协议，因此需要对上述流量协议通过排序或评分的方式，确定各流量协议分别对应的协议优先级，以明确各流量协议之间的区别。 [0091] 作为一种可选的实施方式，具体地，即对上述http(应用流量)、https(加密应用流量)、Telnet、FTP、SMTP、UDP、DNS、及除这7种协议以外都归纳为其它协议，共计8种协议类型进行协议优先级的确定。 [0092] 步骤S2022，对多个所述流量协议进行异常概率分析，以确定多个所述流量协议的异常概率最高时分别对应的多个目标攻击指令。 [0093] 具体地，如http协议被攻击程序A攻击时发生异常的概率最高，则攻击程序A作为 http协议对应的目标攻击指令，又如SMTP协议被攻击程序B攻击时发生异常的概率最高，则 9 9 CN 115022082 A 说明书 7/13页攻击程序B作为SMTP协议对应的目标攻击指令；如此类推，通过进行流量协议的异常概率分析，确定模拟攻击流量对应的报文五元组所包含的多个流量协议各自分别对应的目标攻击指令。 [0094] 作为一种可选的实施方式，可以通过采用随机森林技术构建的攻击指令调度分析模型通过运算确定每种流量协议对应的目标攻击指令。其中，攻击指令调度分析模型的公式为： [0095] [0096] 关于上述公式的参数说明： [0097] 1、设定一个常数n，作为有多少个采样协议。 [0098] 2、其中Di/D指的是各协议被不同攻击指令攻击的异常概率，Hi代入协议的总数量，从而得出各个特征的Hi＝该协议发生异常概率。 [0099] 例如：代入协议一的历史日志数据有D条，符合协议一被(攻击指令A、B、C)攻击的异常数据分别有Di条。 [0100] 3、H(j)等于该协议所有(攻击指令A、B、C)的概率预测H(i)的值，该协议发生被(攻击指令A、B、C)攻击的异常概率值。 [0101] 4、最后，得到该协议在哪种攻击指令攻击下异常概率最大，做为该协议的初始攻击指令。 [0102] 其中，用于构建上述攻击指令调度分析模型所采用的随机森林技术，如图3所示，涉及的相关流程包括步骤S301至步骤S303： [0103] 步骤S301，输入为样本集D； [0104] 步骤S302，随机选择训练的数据集和样本特征进行Di轮训练，其中包括：对训练集进行第i次随机采样，共采集n次，得到包含n个样本的采样集；以及，用采样集Di训练第 n个决策树模型H(i)，在训练决策树模型的节点的时候，在节点上所有的样本特征中选择一部分样本特征，在这些随机选择的部分样本特征中选择一个最优的特征来做决策树的左右子树划分结果H(i)； [0105] 步骤S303，H(j)等于该协议所有(攻击指令A、B、C)的概率预测H(i)的值，该协议发生被(攻击指令A、B、C)攻击的异常概率值。 [0106] 步骤S2023，根据所述协议优先级确定优先级最高的流量协议，并将所述优先级最高的流量协议对应的目标攻击指令确定为所述第一目标攻击指令。 [0107] 在上述通过排序或者评分的方式确定各流量协议对应的协议优先级后，将各流量协议分别对应的协议优先级进行比对，从而确定优先级最高的流量协议，然后将优先级最高的流量协议对应的目标攻击指令确定为报文携带的第一目标攻击指令。 [0108] 具体地，例如，上述流量协议包括http协议、SMTP协议以及FTP协议，其中http协议的优先级最高，并且导致http协议异常概率最高的是攻击程序A，则根据攻击程序A确定上述报文所需携带的第一目标攻击指令。 [0109] 在本实施例中，当模拟攻击流量对应的报文五元组包含多个流量协议时，对优先级最高的流量协议进行优先考虑，即将导致该优先级最高的流量协议异常概率最高的目标攻击程序，所对应的目标攻击指令作为报文所需携带的第一目标攻击指令，从而对目的设 10 10 CN 115022082 A 说明书 8/13页备对接的主要流量协议进行针对性的安全检测。 [0110] 如图4所示，在以上实施例的基础上，上述步骤S2021中的获取多个所述流量协议对应的协议优先级，包括如下的步骤S401和步骤S402。 [0111] 步骤S401，对源历史流量进行分析得到多个所述流量协议分别对应的历史数据，所述历史数据包括流量数据、故障数据以及关联数据中的至少一项。 [0112] 通过对源历史流量告警数据库数据进行分析，得到用于确定各流量协议分别对应的协议优先级的历史数据。具体地，上述历史数据包括流量数据、故障数据以及关联数据。其中，流量数据反映流量协议对应产生的流量，用于表示该流量协议相关业务的重要性；故障数据反映流量协议对应的故障数量，用于表示该流量协议的健康度和安全性；关联数据反映流量协议对应的关联网络节点数量或者关联服务器数量，用于表示该流量协议相关业务的涉及的平台或区域的数量及范围。 [0113] 步骤S402，根据所述历史数据确定所述流量协议对应的协议优先级。 [0114] 通过上述流量数据、故障数据或者关联数据的历史数据，确定模拟攻击流量包含的多个流量协议分别对应的协议优先级。 [0115] 作为一种可选的实施方式，根据流量数据确定协议优先级时，将产生流量最大的流量协议作为优先级最高的流量协议，即优先针对相关业务重要性最高的流量协议进行安全检测。 [0116] 作为一种可选的实施方式，根据故障数据确定协议优先级时，将故障数量最多的流量协议作为优先级最高的流量协议，即优先针对健康度和安全性最低的流量协议进行安全检测。 [0117] 作为一种可选的实施方式，根据关联数据确定协议优先级时，将关联网络节点数量最多或者关联服务器数量最多的流量协议作为优先级最高的流量协议，即优先针对相关业务的涉及的平台或区域的数量较多或范围较广的流量协议进行安全检测。 [0118] 如图5所示，在以上实施例的基础上，当所述历史数据包括流量数据、故障数据以及关联数据中的至少两项时，上述步骤S402中的根据所述历史数据确定所述流量协议对应的协议优先级，包括如下的步骤S501和步骤S502。 [0119] 步骤S501，对所述历史数据进行优先级排序。 [0120] 在确定流量协议的协议优先级时，若需要根据上述流量数据、故障数据或者关联数据两种以上的历史数据进行确定，则需要先对上述不同种类的历史数据进行优先级排序。 [0121] 具体地，例如，当根据流量数据和故障数据共同确定协议优先级时，确定流量数据的优先级高于故障数据的优先级。 [0122] 步骤S502，根据经过优先级排序的所述历史数据确定所述协议优先级。 [0123] 在对上述不同种类的历史数据进行优先级排序后，再分别根据不同种类的历史数据对流量协议进行各自优先级排序，最后根据历史数据的优先级，以及流量协议对应不同历史数据的优先级，共同确定流量协议的协议优先级。 [0124] 具体地，例如，当根据流量数据和故障数据共同确定协议优先级时，其中，http协议对应流量数据的优先级为第一，对应故障数据的优先级为第二；而FTP协议对应流量数据的优先级为第二，对应故障数据的优先级为第一；由于确定流量数据的优先级高于故障数 11 11 CN 115022082 A 说明书 9/13页据的优先级，因此最终确定协议优先级中优先级最高的是http协议。 [0125] 在本实施例中，根据包括流量数据、故障数据以及关联数据中的一种或多种历史数据确定流量协议对应的协议优先级，对应提供了具体的实施方式，从而使确定协议优先级的方式能够根据实际需求进行调整，提高了本申请网络安全检测方法的实用性。 [0126] 如图6所示，在以上实施例的基础上，所述目标攻击指令还包括第二目标攻击指令，所述第二目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令的其他标签，在上述步骤S300中的将所述目的网际协议地址更新至所述五元组之后，包括如下的步骤S601至步骤S603。 [0127] 步骤S601，检测所述协议优先级与所述第一目标攻击指令是否匹配。 [0128] 在上述实施例中，报文携带的第一目标攻击指令是根据导致优先级最高的流量协议发生异常概率最高的攻击程序确定的，为了确保针对目的设备的网络安全检测所采用的攻击程序无误，因此在将报文发送至目的设备前，对报文携带的第一目标攻击指令进行二次确认，即根据报文的TAG存储的标识对将要发起的攻击指令进行最后确认。 [0129] 步骤S602，若所述协议优先级与所述第一目标攻击指令匹配，将所述报文通过所述目标调度服务器发送至所述目的设备。 [0130] 在确定报文携带的第一目标攻击指令与优先级最高的流量协议是匹配的以后，通过攻击程序执行将携带第一目标攻击指令的报文通过调度服务器路由表，发送到达目的设备，以对目的设备做对应的网络安全检测。 [0131] 步骤S603，若所述协议优先级与所述第一目标攻击指令不匹配，根据所述协议优先级确定所述第二目标攻击指令，以及根据所述第二目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第二目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0132] 当检测到报文当前携带的第一目标攻击指令与优先级最高的流量协议不匹配时，即第一目标攻击指令对应的攻击程序并非是导致该优先级最高的流量协议发生异常概率最高的攻击程序，此时目标调度服务器修改报文的TAG存储的标识，以将报文携带的第一目标攻击指令更改为与优先级最高的流量协议相匹配的第二目标攻击指令，并将经过修改后的报文发送至目的设备。 [0133] 进一步地，在以上实施例的基础上，所述目标攻击指令还包括第三目标攻击指令，所述第三目标攻击指令为存储于所述报文的扩展头部分且区别于所述第一目标攻击指令和所述第二目标攻击指令的其他标签，在上述步骤S300中的将所述目的网际协议地址更新至所述五元组之后，还包括如下的步骤S604。 [0134] 步骤S604，基于用户设置指令确定所述第三目标攻击指令，以及根据所述第三目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第三目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0135] 除了根据优先级最高的流量协议对应的攻击程序确定报文所携带的目标攻击指令外，还可以根据用户主动触发的设置指令确定报文所携带的目标攻击指令，即用户可以在将报文发送至目的设备前的针对第一目标攻击指令进行二次确认的阶段，主动修改报文的TAG存储的标识，从而使报文携带用户主动设置的第三目标攻击指令，以对目的设备进行针对性的网络安全检测。 12 12 CN 115022082 A 说明书 10/13页 [0136] 上述实施例提供了在对报文携带的第一目标攻击指令进行二次确认时，分别基于第一目标攻击指令与优先级最高的流量协议是否匹配，以及基于用户主动触发的设置指令对报文携带的攻击指令进行保留或者修改的具体实施方案，提高了本申请技术方案网络安全检测的新方法的调度灵活性。此外，在以上的实施例基础上，本申请还包括一种实施方式：用于网络安全检测的模拟攻击流量对应的报文同时携带了多个目标攻击指令，当报文到达目标调度服务器时，可以通过修改报文的TAG存储的标识的位置，以修改报文携带的多个目标攻击指令对应的顺序，从而通过上述多个目标攻击指令对应的攻击程序按照该顺序分别对目的设备进行攻击，以实现针对性的网络安全检测。 [0137] 如图7所示，本申请的一个优选实施例包括步骤S701至步骤S703： [0138] 步骤S701，对模拟攻击流量对应的报文五元组包含的流量协议进行第一次分类，分类结果为http(应用流量)、https(加密应用流量)、Telnet、FTP、SMTP、UDP、DNS、及除这7 种协议以外都归纳为其它协议。然后通过分析原理是流量告警数据库的数据，基于协议相关业务的重要性、流量协议的健康度和安全性、业务涉及的平台或区域的数据或范围三个维度对第一次分类得到的分类结果进行第二次的优先级分类。 [0139] 步骤S702，将经过第二次的优先级分类的协议分别对应的攻击指令分别存储于报文SRH中的不同TAG位置。 [0140] 步骤S703，在发送报文至目的设备前进行攻击指令的二次确认，在确定将业务占比较大的协议例如：http、tcp/ip等协议的攻击指令作为报文的初始攻击指令后，将报文发送至报文五元组中目的IP对应的设备，以对该设备进行攻击，从而实现网络安全检测。 [0141] 以下介绍本申请的装置实施例，可以用于执行本申请上述实施例中的网络安全检测方法。图8意性地示出了本申请实施例提供的网络安全检测系统的结构框图。如图8所示，网络安全检测系统包括： [0142] 获取模块，被配置为获取模拟攻击流量对应的报文的五元组； [0143] 替换模块，被配置为将所述五元组的目的网际协议地址替换为目标调度服务器的网际协议地址，所述目标调度服务器与所述目的网际协议地址对应的目的设备连接； [0144] 更新模块，被配置为当所述报文到达所述目标调度服务器时，将所述目的网际协议地址更新至所述五元组，以将所述报文发送至所述目的设备； [0145] 检测模块，被配置为根据所述报文携带的目标攻击指令对所述目的设备进行攻击，以对所述目的设备进行网络安全检测。 [0146] 在本申请的一个实施例中，基于以上实施例，网络安全检测系统还包括： [0147] 攻击指令确定模块，被配置为获取所述模拟攻击流量对应的流量协议；根据所述流量协议确定所述第一目标攻击指令；根据所述第一目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第一目标攻击指令。 [0148] 在本申请的一个实施例中，基于以上实施例，攻击指令确定模块包括： [0149] 优先级确定单元，被配置为获取多个所述流量协议对应的协议优先级； [0150] 分析单元，被配置为对多个所述流量协议进行异常概率分析，以确定多个所述流量协议的异常概率最高时分别对应的多个目标攻击指令； [0151] 攻击指令确定单元，被配置为根据所述协议优先级确定优先级最高的流量协议，并将所述优先级最高的流量协议对应的目标攻击指令确定为所述第一目标攻击指令。 13 13 CN 115022082 A 说明书 11/13页 [0152] 在本申请的一个实施例中，基于以上实施例，优先级确定单元包括： [0153] 历史数据分析单元，被配置为对源历史流量做多元化的分析得到多个所述流量协议分别对应的历史数据，所述历史数据包括流量数据、故障数据及关联数据中的至少一项；根据所述历史数据确定所述流量协议对应的协议优先级。 [0154] 在本申请的一个实施例中，基于以上实施例，历史数据分析单元包括： [0155] 历史数据排序单元，被配置为对所述历史数据进行优先级排序；根据经过优先级排序的所述历史数据确定所述协议优先级。 [0156] 在本申请的一个实施例中，基于以上实施例，网络安全检测系统还包括： [0157] 攻击指令检测模块，被配置为检测所述协议优先级与所述第一目标攻击指令是否匹配；若所述协议优先级与所述第一目标攻击指令匹配，将所述报文通过所述目标调度服务器发送至所述目的设备；若所述协议优先级与所述第一目标攻击指令不匹配，根据所述协议优先级确定所述第二目标攻击指令，以及根据所述第二目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第二目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0158] 在本申请的一个实施例中，基于以上实施例，网络安全检测系统还包括： [0159] 攻击指令设置模块，被配置为基于用户设置指令确定所述第三目标攻击指令，以及根据所述第三目标攻击指令修改所述报文的扩展头部分，以使所述报文携带所述第三目标攻击指令，并将所述报文通过所述目标调度服务器发送至所述目的设备。 [0160] 图9示意性地示出了用于实现本申请实施例的电子设备的计算机系统结构框图。 [0161] 需要说明的是，图9示出的电子设备的计算机系统900仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。 [0162] 如图9所示，计算机系统900包括中央处理器901(Central Processing Unit， CPU)，其能够准确的通过存储在只读存储器902(Read‑Only Memory，ROM)中的程序或者从存储部分908加载到随机访问存储器903(Random Access Memory，RAM)中的程序而执行各种适当的动作和处理。在随机访问存储器903中，还存储有系统操作所需的各种程序和数据。中央处理器901、在只读存储器902以及随机访问存储器903通过总线彼此相连。输入/输出接口905(Input/Output接口，即I/O接口)也连接至总线] 以下部件连接至输入/输出接口905：包括键盘、鼠标等的输入部分906；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分907；包括硬盘等的存储部分908；以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分909。通信部分909经由诸如因特网的网络执行通信处理。驱动器910也根据需要连接至输入/输出接口905。可拆卸介质911，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器910上，以便于从其上读出的计算机程序根据需要被安装入存储部分908。 [0164] 特别地，根据本申请的实施例，各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如，本申请的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分909从网络上被下载和安装，和/或从可拆卸介质911被安装。在该计算机程序被中央处理器901执行时，执行本申请的系统中限定的各 14 14 CN 115022082 A 说明书 12/13页种功能。 [0165] 需要说明的是，本申请实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read‑Only Memory，CD‑ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号能够使用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。 [0166] 附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。 [0167] 应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本申请的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。 [0168] 通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式能够最终靠软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本申请实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD‑ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本申请实施方式的方法。 [0169] 本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识 15 15 CN 115022082 A 说明书 13/13页或惯用技术手段。 [0170] 应当理解的是，本申请并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。 16 16 CN 115022082 A 说明书附图 1/8页图1 17 17 CN 115022082 A 说明书附图 2/8页图2 18 18 CN 115022082 A 说明书附图 3/8页图3 19 19 CN 115022082 A 说明书附图 4/8页图4 20 20 CN 115022082 A 说明书附图 5/8页图5 21 21 CN 115022082 A 说明书附图 6/8页图6 22 22 CN 115022082 A 说明书附图 7/8页图7 23 23 CN 115022082 A 说明书附图 8/8页图8 图9 24 24

2、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问加。

3、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。

4、VIP文档为合作方或网友上传，每下载1次，网站将按照每个用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

2023年11月浙江省嘉兴市秀洲区交通运输局所属事业单位公开选聘2名工作人员笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年宁夏石嘴山市事业单位自主引进青年人才103人笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

江苏2023年11月江苏省公安机关公（人民警察）国家公考试大纲历年真题笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年11月江西新余市钢城公证处笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年10月珠海市自然资源局度公开选调3名公务员笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年11月浙江省长兴县人民法院招考3名编外工作人员笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年11月福建福州市永泰县卫健系统事业单位医技人员招考聘用26人笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年10月北京广播电视台公开招聘40人笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年10月北京市体育科学研究所第二批公开招聘工作人员6人笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

2023年安徽六安金寨县选调公务员(参公人员)12人0笔试历年高频考点（难、易错点荟萃）附带答案详解.docx

原创力文档创建于2008年，本站为文档C2C交易模式，即用户上传的文档直接分享给其他用户（可下载、阅读），本站只是中间服务平台，本站所有文档下载所得的收益归上传人所有。原创力文档是网络服务平台方，若您的权利被侵害，请发链接和相关诉求至电线) ，上传者

返回上一页

澳网官网

okooo官方网站

新闻中心

产品中心

okooo官网下载

网站地图