专利名称:用于网络安全设备性能测试的测试流量合成方法及装置的制作方法
技术领域:
本发明涉及网络安全检测,尤其涉及网络安全设备的测试流量合成。
背景技术:
网络安全设备,如防火墙,安全网管等的性能测试依赖于测试流量,为了分析网络安全设备的检测精度,测试流量通常由正常访问流量(也可以称为合法流量)和攻击流量共同构成。为了分析网络安全设备在大负载下的性能,攻击流量往往较大,而且攻击流量可采取多种手段隐藏攻击行为,例如图1所示的脉冲流量攻击方式。可见,测试流量可以包含多种攻击流量方式。但是现有的性能测试方法只能生成与所捕获的流量方式相同的流量或勻速的流量,不能灵活地生成多种方式的攻击流量。图2所示的是目前通常采用对网络安全设备的检测系统,其中用一台主机播放合法请求捕包,另一台主机播放攻击流量捕包,二者合成测试流量,该测试流量在到达目标主机之前经过待检测的网络安全设备。其基本的工作原理如下为了测试网络安全系统性能,首先采用攻击工具生成攻击流量,采用sniffer捕获攻击流量,生成相应的Pcap文件;同时用sniffer捕获正常访问流量,生成相应的pcap文件。在进行网络安全系统性能测试时,在两台Unix或者Linux主机上,分别根据攻击流量的pcap文件和合法流量pcap文件,采用tcpr印lay重放数据包,生成目标地址为目标主机的测试流量,进行网络安全系统性能测试。这种性能测试方法受限于捕获的pcap文件和 tcpreplay软件本身,生成测试流量的方式不够灵活,通常无法灵活地生成包含各种攻击流量的测试流量。例如,如果在相应的pcap文件中捕获的攻击流量为勻速流量,即每秒的包数恒定,那么tcpr印lay无法通过重放,生成包含脉冲式的攻击流量或者包速率逐渐增加的攻击流量等的测试流量。
发明内容
因此,本发明的目的在于克服上述现有技术的缺陷,提供一种用于网络安全设备性能测试的测试流量合成方法,可用于生成测试所需的各种流量。本发明的目的是通过以下技术方案实现的根据本发明的一个方面,提供了一种用于网络安全设备性能测试的测试流量合成方法,所述方法包括步骤1)根据所需的攻击流量方式,将用于测试的总时间段划分为不同的时隙;步骤2、对于每个时隙内,根据所需的攻击包速率计算各攻击包的时间间隔,根据攻击包的时间戳以及所述时间间隔来顺序地插入对应的攻击包,并且根据合法包的时间戳,在该时隙内插入对应的合法包;步骤幻根据步骤2、所形成的攻击包和合法包的序列生成测试流量文件。上述方法中,在步骤1)所划分的每个时隙必须满足如下要求1)在该时隙内攻击包速率固定不变;幻在该时隙内攻击包可视为均勻分布;幻与相连时隙的攻击包速率不同。上述方法中,所述步骤1)中攻击流量方式为脉冲式攻击流量、包速率逐渐增加的攻击流量或勻速式攻击流量。上述方法中,在步骤2、中所述的攻击包和合法包来自通过捕获攻击流量和合法流量而生成的相应文件,并且在每个时隙内所述攻击包速率是固定不变的。上述方法中,使用 sniffer> ethereal、winpcap、wireshark 或 tcpdump 捕获攻击
流量和合法流量。上述方法中,还包括利用重放软件根据所生成的测试流量文件生成包含所需的攻击流量方式的测试流量的步骤。上述方法中,重放软件为tcpr印lay或Pr印lay。根据本发明的另一个方面,提供了一种用于网络安全设备性能测试的测试流量合成装置,所述装置包括用于根据所需的攻击流量方式,将用于测试的总时间段划分为不同的时隙的装置;序列生成装置,其用于对每个时隙,根据所需的攻击包速率计算各攻击包的时间间隔,根据攻击包的时间戳以及所述时间间隔来顺序地插入对应的攻击包,并且根据合法包的时间戳,在该时隙内插入对应的合法包;用于接收序列生成装置所形成的攻击包和合法包的序列来生成测试流量文件的
直ο上述装置中,所划分的每个时隙必须满足如下要求1)在该时隙内攻击包速率固定不变;2)在该时隙内攻击包可视为均勻分布;3)与相连时隙的攻击包速率不同。上述装置中,所述攻击流量方式为脉冲式攻击流量、包速率逐渐增加的攻击流量或勻速式攻击流量。与现有技术相比,本发明的优点在于1)构造方式灵活,能生成各种复杂类型的流量;2)构造方法简单,只需捕获几个攻击包,即可合成所需的测试流量。
以下参照附图对本发明实施例作进一步说明,其中图1为脉冲式攻击流量时序的示意图;图2为现有的网络安全检测系统的示意图;图3为根据本发明实施例的包速率逐渐增加情况的时隙划分的示意图;图4 (a)至4 (d)为根据本发明实施例的合成包含脉冲式攻击流量的测试流量过程示意图;图5为根据本发明实施例的测量流量合成方法的流程图。
具体实施例方式为了使本发明的目的,技术方案及优点更加清楚明白,以下结合附图通过具体实施例对本发明进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。为了满足网络安全设备性能测试对各种不同流量类型的需求,在本申请中给出了一种测试流量合成方法。该方法根据实际需要的攻击流量方式将所捕获的攻击流量和合法流量生成一个相应的测试流量文件(例如,Pcap类型的文件)。利用重放软件根据所生成的测试流量文件重放数据包,从而得到包含所需的攻击流量方式的测试流量。在一个实施例中,可使用本领域普通技术人员所熟知的各种技术来捕获攻击流量和合法流量,例如 sniffer> ethereal, winpcap, wireshark, tcpdump等。在一个实施例中,可使用本令页域普通技术人员所熟知的各种重放工具来播放测试流量文件中的数据包以形成测试流量,例如 tcpreplay, Preplay等。在下文中以sniffer、tcpreplay以及对应的pcap类型的测试流量文件为例对该方法进行说明。更具体地,在通过sniffer捕获攻击流量和合法流量所生成的pcap文件基础上, 该方法根据所需的攻击流量方式,将用于测试的总时间段分为不同的时隙,在一个时隙内, 攻击包速率视为勻速分布。在该时隙内,根据攻击包速率计算各攻击包的时间间隔,插入对应攻击包的pcap包。同时,根据合法包的pcap包的时间戳,插入对应合法包的pcap包。该方法最终生成了一个pcap文件,其包含了攻击pcap包和合法pcap包,相应地只需要根据该文件重放数据包就可以生成包含所需的攻击流量方式的测试流量了。其中,根据所需的攻击流量方式划分时隙(slot)时,每个时隙代表不同的时间段,而一个时间段可作为一个时隙,必须满足如下要求1)这个时间段内攻击包速率固定不变;幻在这个时间段内攻击包可视为均勻分布;幻与相连时隙的攻击包速率不同。现参考图3说明如何划分时隙,图3给出了一个包速率逐渐增加情况的时隙划分的示意图。其中,所需的攻击流量方式为包速率逐渐增加的情况,那么假设初试攻击包速率为10/s,然后每隔一段时间(如图3所示分别是2s, 2s, 2s, 3s, 3s, 4s, 4s),攻击包速率增加2,那么时隙划分为slotl slot8,时隙大小分别是2s,2s,2s,2s,3s,3s,4s,4s,在每个时隙内攻击包的速率可视为勻速的,例如,在slotl内(这k长的时间段内),攻击包的速率可视为10/ s ;而在不同的时隙内攻击包的速率是不同的,例如与slotl相邻的时隙slot2(也是^长的时间端)内,攻击包的速率不同于slotl内的速率,为12/s。同样地,如果所需攻击流量方式为均勻分布的情况,那么就只有一个时隙,时隙长度为测试的总时间段。现参考图4(a)至图4(d)以脉冲攻击流量为例,来说明时隙slot划分,以及在一个时隙内攻击包和合法包的插入过程。图4(a)为所需的脉冲攻击流量的示意图,其脉冲间隔时间为0. 8秒,脉冲时间为 0.2秒,即攻击包集中出现在每个脉冲时间(0.2秒)内,而脉冲间隔时间出现的都是合法包,那么可以按两种不同长度的时间段相互间隔的方式来划分时隙,例如,假设测试流量的总时间长度T为10秒,共划分20个时隙,其中10个时隙为0. 8秒,其余10个为0. 2秒,并且这两种时隙互相间隔。下面以图4(a)所示的slot2时隙(对应于0. 8秒-1. 0秒的时间轴)为例,介绍这段时间(相当于0.2秒的脉冲时间)内的pcap文件合成方式。假设在这段时间内,合法流量有4个数据包,捕获时间分别是0. 85秒、0. 89秒、0. 97秒,在时间轴上分布如图4(b) 所示。在一个时隙内,攻击包速率视为勻速分布。本示例中,脉冲时攻击包速率为10/s,脉冲间隔时间为0. 8秒,脉冲时间为0. 2秒,即每个脉冲时间(0. 2秒)内要发送10个攻击包。相应地,在slot2时间段内,攻击包的开始时间的分布如图4(c)所示,每个包间隔时间为0.02秒。这样可以相应地插入对应攻击包的pcap包。同时,根据合法包的pcap包的时间戳,插入合法pcap包。图4(d)所示的最终合成的slot2内数据包的开始时间的分布。其中,短的线表示合法包的开始时间,长的线为攻击包的开始时间。相应地,通过上述过程所合成的pcap文件内,数据包对应的pcap包顺序与图4(d)相同。现参考图5来介绍该方法的具体步骤(1)时隙划分阶段设置测试流量所需的总时间T(也可以称为总合成时间),攻击包类型,攻击流量分布情况。根据流量分布状况,依据攻击包速率不同,将总合成时间划分为不同的时隙。一个时隙,必须满足如下要求1)这个时间段内攻击包速率固定不变;2) 在这个时间段内攻击包可视为均勻分布;幻与相连时隙的攻击包速率不同。设合法流量 pcap文件中,第一个数据包的时间戳为、,第η个数据包的时间戳为tn。假设在测试时,合法流量在第t/秒发送,将第一个数据包的时间戳改为t/秒,第η个数据包的时间戳改为 k-ti+t/,合法数据包指针指向合法流量pcap的第一个数据包。待插入攻击包时戳cts =
00(2)进入一个新的时隙,该时隙长度为slot,设在该时隙内的攻击包总数为M,对在此时隙内插入的攻击包的计数Num的初始值为0,在该时隙内插入一个攻击包,Num即加
1;如果待插入攻击包时戳cts =当前时隙开始时间+slot/M.进入步骤(3)。slot的范围为0 < slot < =总时间T,slot的设置依据检测所要求的攻击流量分布,例如在图1所示的脉冲流量分布中,slot交替设为流量为0的时间长度tl和脉冲持续时间t2。下文会给出具体的例子。在该slot内的攻击包速率为v,则M = vXslot,M即为该时隙内的攻击包总数。(3)判断Num是否小于等于M,如果是,进入步骤(4),否则转入步骤(7)G) cts是否大于当前待插入合法数据包时间戳且当前指针不为空,如果是,转入步骤(5),否则转入步骤(6).(5)插入当前指针所指合法数据包,如果当前合法数据包为最后一个,则将当前待插入合法数据包指针置空,否则将指针指向后一个合法数据包。转入步骤(3).(6)插入一个攻击包,并令 cts = cts+slot/M, Num = Num+1,转入步骤(3).(7)令cts =当前时隙结束时间。转入步骤(8).(8)判断合成时间是否已到,如果已到转入步骤(9),否则转入步骤O).(9)流量合成结束。在又一个实施例中,本发明还提供了一种用于网络安全设备性能测试的测试流量合成装置,所述装置包括用于根据所需的攻击流量方式,将用于测试的总时间段划分为不同的时隙的装置;序列生成装置,以及用于接收序列生成装置所形成的攻击包和合法包的序列来生成测试流量文件的装置。其中,所述序列生成装置用于对每个时隙,根据所需的攻击包速率计算各攻击包的时间间隔,根据攻击包的时间戳以及所述时间间隔来顺序地插入对应的攻击包,并且根据合法包的时间戳,在该时隙内插入对应的合法包。综上所述,本发明提供了的用于网络安全系统性能测试的测试流量合成方法,其根据攻击流量分布要求,划分出不同时隙,将每个时隙内的攻击包分布视为均勻分布,并按合法包的时间戳将其插入该时隙。该方法可灵活地生成测试所需的各类流量。
虽然本发明已经通过优选实施例进行了描述,然而本发明并非局限于这里所描述的实施例,在不脱离本发明范围的情况下还包括所作出的各种改变以及变化。
权利要求
1.一种用于网络安全设备性能测试的测试流量合成方法,所述方法包括步骤1)根据所需的攻击流量方式,将用于测试的总时间段划分为不同的时隙;步骤2、对于每个时隙内,根据所需的攻击包速率计算各攻击包的时间间隔,根据攻击包的时间戳以及所述时间间隔来顺序地插入对应的攻击包,并且根据合法包的时间戳,在该时隙内插入对应的合法包;步骤幻根据步骤幻所形成的攻击包和合法包的序列生成测试流量文件。
2.根据权利要求1所述的测试流量合成方法,在步骤1)所划分的每个时隙必须满足如下要求1)在该时隙内攻击包速率固定不变;2)在该时隙内攻击包可视为均勻分布;3)与相连时隙的攻击包速率不同。
3.根据权利要求1或2所述的测试流量合成方法,所述步骤1)中攻击流量方式为脉冲式攻击流量、包速率逐渐增加的攻击流量或勻速式攻击流量。
4.根据权利要求1所述的测试流量合成方法,在步骤幻中所述的攻击包和合法包来自通过捕获攻击流量和合法流量而生成的相应文件,并且在每个时隙内所述攻击包速率是固定不变的。
5.根据权利要求4所述的测试流量合成方法,其中,使用sniffer、ethereal、WinpCap、 wireshark或tcpdump捕获攻击流量和合法流量。
6.根据权利要求1所述的测试流量合成方法,其中还包括利用重放软件根据所生成的测试流量文件生成包含所需的攻击流量方式的测试流量的步骤。
7.根据权利要求6所述的测试流量合成方法,其中,重放软件为tcpreplay或 Preplay0
8.一种用于网络安全设备性能测试的测试流量合成装置,所述装置包括用于根据所需的攻击流量方式,将用于测试的总时间段划分为不同的时隙的装置;序列生成装置,其用于对每个时隙,根据所需的攻击包速率计算各攻击包的时间间隔,根据攻击包的时间戳以及所述时间间隔来顺序地插入对应的攻击包,并且根据合法包的时间戳,在该时隙内插入对应的合法包;用于接收序列生成装置所形成的攻击包和合法包的序列来生成测试流量文件的装置。
9.根据权利要求8所述的测试流量合成装置,所划分的每个时隙必须满足如下要求 1)在该时隙内攻击包速率固定不变;2)在该时隙内攻击包可视为均勻分布;3)与相连时隙的攻击包速率不同。
10.根据权利要求8所述的测试流量合成装置,所述攻击流量方式为脉冲式攻击流量、 包速率逐渐增加的攻击流量或勻速式攻击流量。
全文摘要
本发明提供一种用于网络安全系统性能测试的测试流量合成方法及装置,其根据攻击流量分布要求,划分出不同时隙,将每个时隙内的攻击包分布视为均匀分布,并按合法包的时间戳将其插入该时隙。该方法可灵活地生成测试所需的各类测试流量。
文档编号H04L1/00GK102299828SQ20111025225
公开日2011年12月28日 申请日期2011年8月30日 优先权日2011年8月30日
发明者云晓春, 张永铮, 肖军 申请人:中国科学院计算技术研究所