一种流量检测的测试方法、装置、电子设备及存储介质与流程

本申请涉及计算机，具体而言，涉及一种流量检测的测试方法、装置、电子设备及存储介质。

背景技术：

1、近年来，随着网络应用的普及，网络安全变得尤为重要。作为网络安全的一个重要组成部分，入侵检测系统受到业界很多关注，目前在入侵检测系统中snort及类snort(suricata)规则占据主导地位，其规则简单易懂，便于安全专家团队基于某一类攻击事件编写规则。

2、在现有技术中，安全专家团队通过分析攻击事件提取出特征规则，使用模拟测试平台复现漏洞，将漏洞模拟平台的流量导入入侵检测系统，与正常流量一同处理，之后正常数据流量和采集的漏洞模拟平台数据样本流量就可以对存储的入侵检测规则进行测试。

3、现有技术主要侧重于规则批量测试，筛选漏报和误报的情况，但是无法对规则的质量和引擎的健壮性进行测试，同时在已知规则的情况下还存在信息缺失无法模拟实际环境或是模拟需要的时间成本过高等问题。

技术实现思路

1、本申请的目的在于，提供一种流量检测的测试方法、装置、电子设备及存储介质，以批量快速地验证入侵检测测试引擎的匹配功能和日志上报功能。

2、为实现上述目的，本申请实施例采用的技术方案如下：

3、第一方面，本申请实施例提供一种流量检测的测试方法，包括：

4、解析预设入侵检测规则，获取攻击参数，所述攻击参数包括下述一项或多项：网络五元组信息、流信息、负载和关键词信息；

5、根据所述攻击参数，生成攻击模拟指令；

6、将所述攻击模拟指令分别向客户端、服务端发送，以监听获取交互流量；

7、根据所述交互流量，分析获取所述入侵检测规则的测试结果。

8、在一种可选的实施方式中，所述根据所述攻击参数，生成攻击模拟指令，包括：

9、将所述网络五元组信息转换为预设协议和端口信息；

10、将所述流信息转换为请求或响应信息；

11、将所述负载和关键词信息转换为数据报文；

12、根据所述预设协议和端口信息、所述请求或响应信息、所述数据报文，组合生成攻击模拟指令。

13、在一种可选的实施方式中，所述将所述负载和关键词信息转换为数据报文，包括：

14、若存在任意2个所述负载的内容之间存在连接语句和对应的偏移量，则在2个负载之间填充所述偏移量对应长度的随机字符，获取填充后的负载内容；

15、根据填充后的负载内容，转换获取所述数据报文。

16、在一种可选的实施方式中，所述攻击参数还包括：正则表达式；

17、所述将所述负载和关键词信息转换为数据报文，包括：

18、将所述负载和关键词信息、所述正则表达式转换为数据报文。

19、在一种可选的实施方式中，所述将所述攻击模拟指令分别向客户端、服务端发送，包括：

20、根据所述流信息中的流方向，将所述攻击模拟指令分配到所述客户端或所述服务端所在的路径。

21、在一种可选的实施方式中，所述根据所述交互流量，分析获取所述入侵检测规则的测试结果，包括：

22、采用预设工具修改所述交互流量中数据报文的地址信息，获取模拟流量；

23、通过所述预设入侵检测规则监听所述模拟流量，产生告警信息；

24、根据所述告警信息和所述模拟流量，分析获取所述入侵检测规则的测试结果。

25、在一种可选的实施方式中，所述根据所述告警信息和所述模拟流量，分析获取所述入侵检测规则的测试结果，包括：

26、比较所述告警信息和所述模拟流量使用的规则信息；

27、若所述告警信息和所述模拟流量使用的规则信息一致，则所述测试结果表明可以命中所述预设入侵检测规则。

28、第二方面，本申请实施例提供一种流量检测的测试装置，包括：

29、解析模块，用于解析预设入侵检测规则，获取攻击参数，所述攻击参5数包括下述一项或多项：网络五元组信息、流信息、负载和关键词信息；

30、生成模块，用于根据所述攻击参数，生成攻击模拟指令；

31、发送模块，用于将所述攻击模拟指令分别向客户端、服务端发送，以监听获取交互流量；

32、分析模块，用于根据所述交互流量，分析获取所述入侵检测规则的测0试结果。

33、在一种可选的实施方式中，所述生成模块，具体用于将所述网络五元组信息转换为预设协议和端口信息；将所述流信息转换为请求或响应信息；将所述负载和关键词信息转换为数据报文；根据所述预设协议和端口信息、所述请求或响应信息、所述数据报文，组合生成攻击模拟指令。

34、5在一种可选的实施方式中，所述生成模块，具体用于若存在任意2个所述负载的内容之间存在连接语句和对应的偏移量，则在2个负载之间填充所述偏移量对应长度的随机字符，获取填充后的负载内容；根据填充后的负载内容，转换获取所述数据报文。

35、在一种可选的实施方式中，所述攻击参数还包括：正则表达式；所述0生成模块，具体用于将所述负载和关键词信息、所述正则表达式转换为数据报文。

36、在一种可选的实施方式中，所述发送模块，具体用于根据所述流信息中的流方向，将所述攻击模拟指令分配到所述客户端或所述服务端所在的路径。

37、5在一种可选的实施方式中，所述分析模块，具体用于采用预设工具修

38、改所述交互流量的地址信息，获取模拟流量；通过所述预设入侵检测规则监听所述模拟流量，产生告警信息；根据所述告警信息和所述模拟流量，分析获取所述入侵检测规则的测试结果。

39、在一种可选的实施方式中，所述分析模块，具体用于比较所述告警信0息和所述模拟流量使用的规则信息；若所述告警信息和所述模拟流量使用的规则信息一致，则所述测试结果表明可以命中所述预设入侵检测规则。

40、第三方面，本申请实施例提供一种电子设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行第一方面提供的方法。

41、第四方面，本申请实施例提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时，实现第一方面提供的方法。

42、本申请实施例提供的流量检测的测试方法、装置、电子设备及存储介质中，通过解析预设入侵检测规则生成攻击模拟指令，客户端与服务端接收指令后进行交互，根据交互流量可以分析得到最终的测试结果，实现了通过攻击模拟指令来实现流量检测，弥补了已知规则的情况下存在信息缺失无法模拟实际环境或是模拟需要的时间成本过高的问题。

技术特征：

1.一种流量检测的测试方法，其特征在于，应用于攻击流量模拟平台，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述根据所述攻击参数，生成攻击模拟指令，包括：

3.根据权利要求2所述的方法，其特征在于，所述将所述负载和关键词信息转换为数据报文，包括：

4.根据权利要求2或3所述的方法，其特征在于，所述攻击参数还包括：正则表达式；

5.根据权利要求1所述的方法，其特征在于，所述将所述攻击模拟指令分别向客户端、服务端发送，包括：

6.根据权利要求1所述的方法，其特征在于，所述根据所述交互流量，分析获取所述入侵检测规则的测试结果，包括：

7.根据权利要求6所述的方法，其特征在于，所述根据所述告警信息和所述模拟流量，分析获取所述入侵检测规则的测试结果，包括：

8.一种流量检测的测试装置，其特征在于，包括：

9.一种电子设备，其特征在于，所述电子设备包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的机器可读指令，当所述电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述机器可读指令，以执行如权利要求1-7任一项所述的流量检测的测试方法的步骤。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质上存储有计算机程序，该计算机程序被处理器执行时，实现如权利要求1-7中任一项所述的流量检测的测试方法的步骤。

技术总结
本申请提供了一种流量检测的测试方法、装置、电子设备及存储介质，涉及计算机技术领域，其中，该流量检测的测试方法应用于攻击流量模拟平台，包括：解析预设入侵检测规则，获取攻击参数，所述攻击参数包括：网络五元组信息、流信息、负载和关键词信息；根据所述攻击参数，生成攻击模拟指令；将所述攻击模拟指令分别向客户端、服务端发送，以监听获取交互流量；根据所述交互流量，分析获取所述入侵规则的测试结果。本申请通过解析预设入侵检测规则逆向生成模拟流量，实现了通过攻击模拟指令来实现流量检测，弥补了已知规则的情况下存在信息缺失无法模拟实际环境或是模拟需要的时间成本过高的问题。

技术研发人员：姜云,龚宇,章祥
受保护的技术使用者：南京中孚信息技术有限公司
技术研发日：
技术公布日：2024/1/11