网络测试方法、装置及存储介质与流程

本发明涉及网络安全领域，尤其涉及一种网络测试方法、装置及存储介质。

背景技术

云计算技术的发展给传统的数据中心带来深刻的变革，云数据中心业务的发展对传统数据中心的网络架构提出了新的要求：传统数据中心网络通常依靠不断添加设备来提升网络性能，同时通过不断的调整网络拓扑结构来适应传统网络防护设备的部署需求，导致运维管理越来越复杂，资源难以实现整合和调配，资源利用率和系统应变能力低下。

如何实现虚拟网络设备中流量的安全防护，实现虚拟网络设备中数据流的安全控制，是信息技术领域亟待解决的问题。

技术实现要素：

本发明的实施例提供一种网络测试方法、装置及存储介质，可以提高网络测试的准确度。

为达到上述目的，本发明的实施例采用如下技术方案：

第一方面，本发明的实施例提供一种网络测试方法，包括：

接收真实流量，所述真实流量由物理口上送或以文件形式存储；

对所述真实流量进行匿名化处理，生成对应的虚拟流量，所述虚拟流量中不包含所述真实流量中的敏感信息；

基于所述虚拟流量，对网络环境进行测试。

结合第一方面，在第一方面的第一种可能的实现方式中，所述接收真实流量，包括：

响应于网口驱动中断，基于预设的数据缓存位置指针所指向的流量数据位置，接收所述真实流量；或者，

按照预设的文件格式，接收所述真实流量。

结合第一方面，在第一方面的第二种可能的实现方式中，所述敏感信息包括所述真实流量的网际协议ip地址；所述对所述真实流量进行匿名化处理，生成对应的虚拟流量，包括：

获取所述真实流量的ip地址，所述ip地址包括网络号及主机号；

对所述ip地址的所述网络号进行k-聚集匿名化处理，并对所述ip地址的所述主机号进行随机匿名化处理，得到匿名地址；

将所述真实流量中的ip地址替换为所述匿名地址，得到对应的虚拟流量。

结合第一方面，在第一方面的第三种可能的实现方式中，所述方法还包括：

当检测到节点发送的真实流量发送请求时，对所述节点进行注册，并存储所述节点对应的注册信息；其中，所述注册信息包括：所述节点的标识信息、需替换的报文字段。

结合第一方面，在第一方面的第四种可能的实现方式中，所述真实流量包括：网络攻击真实流量、网络背景真实流量、网络入侵真实流量、及网络云平台数据真实流量中的任意一项或任意组合；

所述虚拟流量包括：网络攻击虚拟流量、网络背景虚拟流量、网络入侵虚拟流量、及网络云平台数据虚拟流量中的任意一项或任意组合。

第二方面，本发明的实施例提供一种网络测试装置，包括：

接收模块，用于接收真实流量，所述真实流量由物理口上送或以文件形式存储；

生成模块，用于对所述真实流量进行匿名化处理，生成对应的虚拟流量，所述虚拟流量中不包含所述真实流量中的敏感信息；

测试模块，用于基于所述虚拟流量，对网络环境进行测试。

结合第二方面，在第二方面的第一种可能的实现方式中，

所述接收模块，还用于响应于网口驱动中断，基于预设的数据缓存位置指针所指向的流量数据位置，接收所述真实流量；或者，

所述接收模块，还用于按照预设的文件格式，接收所述真实流量。

结合第二方面，在第二方面的第二种可能的实现方式中，所述敏感信息包括所述真实流量的网际协议ip地址；

所述生成模块，包括：

获取子模块，用于获取所述真实流量的ip地址，所述ip地址包括网络号及主机号；

匿名子模块，用于对所述ip地址的所述网络号进行k-聚集匿名化处理，并对所述ip地址的所述主机号进行随机匿名化处理，得到匿名地址；

生成子模块，用于将所述真实流量中的ip地址替换为所述匿名地址，得到对应的虚拟流量。

结合第二方面，在第二方面的第三种可能的实现方式中，所述装置还包括：

注册模块，用于当检测到节点发送的真实流量发送请求时，对所述节点进行注册，并存储所述节点对应的注册信息；其中，所述注册信息包括：所述节点的标识信息、需替换的报文字段。

结合第二方面，在第二方面的第四种可能的实现方式中，

所述接收模块接收的所述真实流量包括：网络攻击真实流量、网络背景真实流量、网络入侵真实流量、及网络云平台数据真实流量中的任意一项或任意组合；

所述生成模块生成的所述虚拟流量包括：网络攻击虚拟流量、网络背景虚拟流量、网络入侵虚拟流量、及网络云平台数据虚拟流量中的任意一项或任意组合。

第三方面，本发明的实施例提供一种计算机可读存储介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现第一方面提供的方法的步骤。

本发明实施例提供的网络测试方法、装置及存储介质，通过接收真实流量，所述真实流量由物理口上送或以文件形式存储；对所述真实流量进行匿名化处理，生成对应的虚拟流量，所述虚拟流量中不包含所述真实流量中的敏感信息；基于所述虚拟流量，对网络环境进行测试。能够通过由真实流量进行敏感信息匿名处理后得到的虚拟流量进行网络测试，从而实现在最大程度地保持真实流量原有特性的同时，可以公共使用该流量中的数据信息，从而可以提高网络测试的准确度。

附图说明

为了更清楚地说明本发明实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1是本发明实施例的网络测试方法的流程示意图；

图2是本发明实施例的网络测试方法的另一流程示意图；

图3是本发明实施例的网络测试装置结构示意图；

图4是本发明实施例的生成模块的结构示意图；

图5是本发明实施例的网络测试装置的另一结构示意图；

图6是本发明实施例的网络测试装置600的结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。

本发明一实施例提供一种网络测试方法，如图1所示，所述方法包括：

101、接收真实流量，所述真实流量由物理口上送或以文件形式存储。

其中，真实流量可以包括：网络攻击真实流量、网络背景真实流量、网络入侵真实流量、及网络云平台数据真实流量中的任意一项或任意组合。

对于本发明实施例，当所述真实流量由物理口上送时，响应于网口驱动中断，基于预设的数据缓存位置指针所指向的流量数据位置，接收所述真实流量；当所述真实流量以文件形式存储时，可以按照预设的文件格式，接收所述真实流量。

102、对所述真实流量进行匿名化处理，生成对应的虚拟流量，所述虚拟流量中不包含所述真实流量中的敏感信息。

其中，敏感信息可以为真实流量中的ip地址等携带有用户隐私的信息。在本发明实施例，通过对真实流量中的真实流量进行匿名化处理，以实现虚拟流量中不存在敏感信息，即无法通过对虚拟流量进行破译、解密等操作获知到敏感信息，从而可以提高数据流量的私密安全性。

103、基于所述虚拟流量，对网络环境进行测试。

在本发明实施例，通过由真实流量得到的虚拟流量对网络环境进行模拟测试，能够更加贴切网络的真实环境，从而可以得到更准确的测试结果。并且，可以实现自适应资源分配与运行调度，包括资源分配与预留、试验者自主调度控制试验资源、试验隔离保护等，最终通过感知不同行业领域，实现智能化的安全测试环境构建。

与现有技术相比，本发明实施例能够通过由真实流量进行敏感信息匿名处理后得到的虚拟流量进行网络测试，从而实现在最大程度地保持真实流量原有特性的同时，可以公共使用该流量中的数据信息，从而可以提高网络测试的准确度。

本发明又一实施例提供一种网络测试方法，如图2所示，所述方法包括：

201、当检测到节点发送的真实流量发送请求时，对所述节点进行注册，并存储所述节点对应的注册信息。

其中，所述注册信息包括：所述节点的标识信息、需替换的报文字段。

202、接收真实流量，所述真实流量由物理口上送或以文件形式存储。

其中，所述真实流量可以包括：网络攻击真实流量、网络背景真实流量、网络入侵真实流量、及网络云平台数据真实流量中的任意一项或任意组合。

可选地，当所述真实流量由物理口上送时，步骤202可以为：响应于网口驱动中断，基于预设的数据缓存位置指针所指向的流量数据位置，接收所述真实流量。

可选地，当所述真实流量以文件形式存储时，步骤202还可以为：按照预设的文件格式，接收所述真实流量。

203、获取所述真实流量的ip地址，所述ip地址包括网络号及主机号。

在本发明实施例中，ip地址可以是ipv4地址，也可以是ipv6地址，还可以是其他任意形式的ip地址，本发明实施例不做限定。

例如，ip地址为ipv4地址，ipv4地址包括32位(bit)，包括有网络号及主机号，当ipv4地址为a类地址时，包括有8位(bit)网络号及24位(bit)主机号；当ipv4地址为b类地址时，包括有16位(bit)网络号及16位(bit)主机号；当ipv4地址为c类地址时，包括有24位(bit)网络号及8位(bit)主机号。

再例如，ip地址还可以为ipv6地址，ipv6地址包括128位(bit)，为了实现ipv4地址与ipv6地址之间的互通，因此在ipv6地址中内嵌有ipv4地址，即ipv6地址中同样包括有相应的网络号及主机号。

204、对所述ip地址的所述网络号进行k-聚集匿名化处理，并对所述ip地址的所述主机号进行随机匿名化处理，得到匿名地址。

可选地，对所述ip地址的所述网络号进行k-聚集匿名化处理可以包括：将k个所述n位前缀聚集为前缀集合；将所述前缀集合映射至一个匿名处理的n位值，得到匿名后的网络号；其中，所述k为k-聚集匿名化处理的参数，所述k基于随机化函数生成。

对于本发明实施例，k的值可以根据当前场景的需求进行设置。k的值越大，则被匿名的内部ip地址受到的安全保护程度越高；k的值越小，则匿名后的内部ip地址的可用性越高。

可选地，对所述ip地址的所述主机号进行随机匿名化处理可以包括：所述对所述ip地址的所述主机号进行第二匿名化处理，包括：将所述m位后缀输入预设哈希函数，得到数据位置；将预设字符串中所述数据位置对应的数值，与所述m位后缀之间进行异或计算，得到匿名后的主机号。

其中，字符串的长度为l，l为预设长度。在本发明实施例中，该字符串为随机化函数的种子。

205、将所述真实流量中的ip地址替换为所述匿名地址，得到对应的虚拟流量。

其中，所述虚拟流量中不包含所述真实流量中的敏感信息，所述虚拟流量包括：网络攻击虚拟流量、网络背景虚拟流量、网络入侵虚拟流量、及网络云平台数据虚拟流量中的任意一项或任意组合。

通过本发明实施例，对真实流量中的ip地址进行匿名化处理，能够实现对安全云服务防护环境下的网络应用、安全设备的性能及安全性，进行全方位的测试。通过模拟的应用层和攻击测试流量，以实现网络中l2-l7层的网络测试和实现攻击虚拟流量的生成。

本发明实施例可以应用于虚拟流量发生器，在模拟场景中产生真实网络流量，包括：网络攻击流量模型、网络背景流量模型、网络入侵流量计网络云平台海量数据流量模型等。可以根据用户对不同流量数据的需求，对相应的真实流量中的ip地址进行匿名化处理，从而满足用户的不同测试需求。

206、基于所述虚拟流量，对网络环境进行测试。

在本发明实施例，通过由真实流量得到的虚拟流量对网络环境进行模拟测试，能够更加贴切网络的真实环境，从而可以得到更准确的测试结果。并且，可以实现自适应资源分配与运行调度，包括资源分配与预留、试验者自主调度控制试验资源、试验隔离保护等，最终通过感知不同行业领域，实现智能化的安全测试环境构建。

与现有技术相比，本发明实施例能够通过由真实流量进行敏感信息匿名处理后得到的虚拟流量进行网络测试，从而实现在最大程度地保持真实流量原有特性的同时，可以公共使用该流量中的数据信息，从而可以提高网络测试的准确度。

本发明又一实施例提供一种网络测试装置，如图3所示，所述装置包括：

接收模块31，用于接收真实流量，所述真实流量由物理口上送或以文件形式存储；

生成模块32，用于对所述真实流量进行匿名化处理，生成对应的虚拟流量，所述虚拟流量中不包含所述真实流量中的敏感信息；

测试模块33，用于基于所述虚拟流量，对网络环境进行测试。

所述接收模块31，还用于响应于网口驱动中断，基于预设的数据缓存位置指针所指向的流量数据位置，接收所述真实流量；或者，

所述接收模块31，还用于按照预设的文件格式，接收所述真实流量。

其中，所述敏感信息包括所述真实流量的网际协议ip地址；

进一步的，如图4所示，所述生成模块32，包括：获取子模块321、匿名子模块322、生成子模块323。

获取子模块321，用于获取所述真实流量的ip地址，所述ip地址包括网络号及主机号；

匿名子模块322，用于对所述ip地址的所述网络号进行k-聚集匿名化处理，并对所述ip地址的所述主机号进行随机匿名化处理，得到匿名地址；

生成子模块323，用于将所述真实流量中的ip地址替换为所述匿名地址，得到对应的虚拟流量。

进一步的，如图5所示，所述装置还包括：

注册模块51，用于当检测到节点发送的真实流量发送请求时，对所述节点进行注册，并存储所述节点对应的注册信息；其中，所述注册信息包括：所述节点的标识信息、需替换的报文字段。

所述接收模块31接收的所述真实流量包括：网络攻击真实流量、网络背景真实流量、网络入侵真实流量、及网络云平台数据真实流量中的任意一项或任意组合；

所述生成模块32生成的所述虚拟流量包括：网络攻击虚拟流量、网络背景虚拟流量、网络入侵虚拟流量、及网络云平台数据虚拟流量中的任意一项或任意组合。

本发明实施例还提供另一种计算机可读存储介质，该计算机可读存储介质可以是上述实施例中的存储器中所包含的计算机可读存储介质；也可以是单独存在，未装配入终端中的计算机可读存储介质。所述计算机可读存储介质存储有一个或者一个以上程序，所述一个或者一个以上程序被一个或者一个以上的处理器用来执行图1、图2所示实施例提供的网络测试方法。

本发明实施例提供的网络测试装置及存储介质可以实现上述提供的方法实施例，具体功能实现请参见方法实施例中的说明，在此不再赘述。本发明实施例提供的网络测试方法、装置及存储介质可以适用于对网络安全进行测试，但不仅限于此。

如图6所示，网络测试装置600可以是移动电话，计算机，数字广播终端，消息收发设备，游戏控制台，平板设备，个人数字助理等。

参照图6，网络测试装置600可以包括以下一个或多个组件：处理组件602，存储器604，电源组件606，多媒体组件608，音频组件610，输入/输出(i/o)的接口612，传感器组件614，以及通信组件616。

处理组件602通常控制无人机控制装置600的整体操作，诸如与显示，电话呼叫，数据通信，相机操作和记录操作相关联的操作。处理组件602可以包括一个或多个处理器620来执行指令。

此外，处理组件602可以包括一个或多个模块，便于处理组件602和其他组件之间的交互。例如，处理组件602可以包括多媒体模块，以方便多媒体组件608和处理组件602之间的交互。

存储器604被配置为存储各种类型的数据以支持在无人机控制装置600的操作。这些数据的示例包括用于在无人机控制装置600上操作的任何应用程序或方法的指令，联系人数据，电话簿数据，消息，图片，视频等。存储器604可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，如静态随机存取存储器(sram)，电可擦除可编程只读存储器(eeprom)，可擦除可编程只读存储器(eprom)，可编程只读存储器(prom)，只读存储器(rom)，磁存储器，快闪存储器，磁盘或光盘。

电源组件606为无人机控制装置600的各种组件提供电力。电源组件606可以包括电源管理系统，一个或多个电源，及其他与为无人机控制装置600生成、管理和分配电力相关联的组件。

多媒体组件608包括在所述无人机控制装置600和用户之间的提供一个输出接口的屏幕。在一些实施例中，屏幕可以包括液晶显示器(lcd)和触摸面板(tp)。如果屏幕包括触摸面板，屏幕可以被实现为触摸屏，以接收来自用户的输入信号。触摸面板包括一个或多个触摸传感器以感测触摸、滑动和触摸面板上的手势。所述触摸传感器可以不仅感测触摸或滑动动作的边界，而且还检测与所述触摸或滑动操作相关的持续时间和压力。在一些实施例中，多媒体组件608包括一个前置摄像头和/或后置摄像头。当无人机控制装置600处于操作模式，如拍摄模式或视频模式时，前置摄像头和/或后置摄像头可以接收外部的多媒体数据。每个前置摄像头和后置摄像头可以是一个固定的光学透镜系统或具有焦距和光学变焦能力。

音频组件610被配置为输出和/或输入音频信号。例如，音频组件610包括一个麦克风(mic)，当无人机控制装置600处于操作模式，如呼叫模式、记录模式和语音识别模式时，麦克风被配置为接收外部音频信号。所接收的音频信号可以被进一步存储在存储器604或经由通信组件616发送。在一些实施例中，音频组件610还包括一个扬声器，用于输出音频信号。

i/o接口612为处理组件602和外围接口模块之间提供接口，上述外围接口模块可以是键盘，点击轮，按钮等。这些按钮可包括但不限于：主页按钮、音量按钮、启动按钮和锁定按钮。

传感器组件614包括一个或多个传感器，用于为无人机控制装置600提供各个方面的状态评估。例如，传感器组件614可以检测到无人机控制装置600的打开/关闭状态，组件的相对定位，例如所述组件为无人机控制装置600的显示器和小键盘，传感器组件614还可以检测无人机控制装置600或无人机控制装置600一个组件的位置改变，用户与无人机控制装置600接触的存在或不存在，无人机控制装置600方位或加速/减速和无人机控制装置600的温度变化。传感器组件614可以包括接近传感器，被配置用来在没有任何的物理接触时检测附近物体的存在。传感器组件614还可以包括光传感器，如cmos或ccd图像传感器，用于在成像应用中使用。在一些实施例中，该传感器组件614还可以包括加速度传感器，陀螺仪传感器，磁传感器，压力传感器或温度传感器。

通信组件616被配置为便于无人机控制装置600和其他设备之间有线或无线方式的通信。无人机控制装置600可以接入基于通信标准的无线网络，如wifi，2g或3g，或它们的组合。在一个示例性实施例中，通信组件616经由广播信道接收来自外部广播管理系统的广播信号或广播相关信息。在一个示例性实施例中，所述通信组件616还包括近场通信(nfc)模块，以促进短程通信。例如，在nfc模块可基于射频识别(rfid)技术，红外数据协会(irda)技术，超宽带(uwb)技术，蓝牙(bt)技术和其他技术来实现。

在示例性实施例中，无人机控制装置600可以被一个或多个应用专用集成电路(asic)、数字信号处理器(dsp)、数字信号处理设备(dspd)、可编程逻辑器件(pld)、现场可编程门阵列(fpga)、控制器、微控制器、微处理器或其他电子元件实现。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于设备实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体(read-onlymemory，rom)或随机存储记忆体(randomaccessmemory，ram)等。

以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。