[go: up one dir, main page]

CN114244578B - 针对通讯卡件防护能力的测试方法、系统、设备及介质 - Google Patents

针对通讯卡件防护能力的测试方法、系统、设备及介质 Download PDF

Info

Publication number
CN114244578B
CN114244578B CN202111407473.XA CN202111407473A CN114244578B CN 114244578 B CN114244578 B CN 114244578B CN 202111407473 A CN202111407473 A CN 202111407473A CN 114244578 B CN114244578 B CN 114244578B
Authority
CN
China
Prior art keywords
attack
packet
dictionary
module
mode selection
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111407473.XA
Other languages
English (en)
Other versions
CN114244578A (zh
Inventor
沈君
张浩源
蒋琦峰
周倩
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Zhongkong Technology Co ltd
Original Assignee
Zhejiang Supcon Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Zhejiang Supcon Technology Co Ltd filed Critical Zhejiang Supcon Technology Co Ltd
Priority to CN202111407473.XA priority Critical patent/CN114244578B/zh
Publication of CN114244578A publication Critical patent/CN114244578A/zh
Application granted granted Critical
Publication of CN114244578B publication Critical patent/CN114244578B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种针对通讯卡件防护能力的测试方法、系统、设备及介质,其方法包括:首先,获取用户输入的配置信息和攻击模式选择信息,并整合为字典;基于所述字典,构建攻击数据包;依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包。本发明提供了一键测试通讯卡件对工业网络常见攻击防护能力的方案,使得不具备相关知识的测试人员能完成对通讯卡件设备网络防护能力的测试。基于Python的前端良好互动性,填入必需参数,即可完成相关测试项要求,并将测试结果进行记录,便于后续定位通讯卡件的防护漏洞。使用本发明方案可以简化网络攻击相关学习成本,适于大规模测试人员使用,提升测试效率。

Description

针对通讯卡件防护能力的测试方法、系统、设备及介质
技术领域
本发明涉及防护能力测试技术领域,尤其涉及一种针对通讯卡件防护能力的测试方法、系统、设备及介质。
背景技术
工业自动化控制系统处于通讯稳定性要求,通常要求网络环境为封闭网络,且只有内部数据传输,不允许出现太多杂包,因此通常不对网络攻击进行防护。现阶段由于较多现场出现勒索病毒等传播能力很强的病毒,内部网络中存在大量异常数据包,导致控制器无法响应正常通讯或出现错误动作。因此需要对很多不同种类通讯卡件进行补充测试,确认其对工业网络常见攻击的防护能力。
由于通常测试通讯卡件人员对于网络攻击不熟悉,需要学习相关攻击测试方法并重新设计实现,时间成本较高,不利于测试效率的提升,对于模拟工业通讯网络中常见异常网络攻击场景有较高需求。现有方案中,倾向于工业网络中的漏洞挖掘,忽视对于网络攻击测试工具的易用性需求。
发明内容
(一)要解决的技术问题
鉴于现有技术的上述缺点、不足,本发明提供一种针对通讯卡件防护能力的测试方法、系统、设备及介质,其解决了现有通讯卡件测试不方便、测试方案移植性低且对测试人员能力要求过高的技术问题。
(二)技术方案
为了达到上述目的,本发明采用的主要技术方案包括:
第一方面,本发明实施例提供一种针对通讯卡件应对工业网络攻击防护能力的测试方法,包括:
获取用户输入的配置信息和攻击模式选择信息,并整合为字典;
基于所述字典,构建攻击数据包;
依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包。
可选地,所述配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;所述攻击模式选择信息包括:一键攻击模式或预选攻击模式。
可选地,获取用户输入的配置信息和攻击模式选择信息,并整合为字典包括:
获取用户输入的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及各个攻击模块的攻击频率;
获取用户输入的攻击模式选择信息;
将所述源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时、各个攻击模块的攻击频率以及攻击模式选择信息整合形成字典。
可选地,基于所述字典,构建攻击数据包包括:
依据所述字典,利用scapy库函数遍历执行所有被选中的攻击模块;
在选中的攻击模块中,基于所述字典信息并结合scapy库,依据预设的攻击数据包特定格式,设定攻击数据包的MAC、IP信息、ICMP/TCP/UDP包头以及数据负载。
可选地,依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包包括:
处理所述字典中所述攻击模式选择信息,获取所述字典中的攻击对象、攻击种类以及攻击延时;
依据所述攻击延时,逐次利用scapy库函数对每一个攻击对象发送对应的攻击数据包。每个攻击模块都会依据字典中设置确定延时时间,ps:并不是攻击模块1和攻击模块2的延时,而是攻击模块1内部发送每个攻击包的延时。
可选地,对每一个攻击对象发送对应的攻击数据包之后,还包括:
在发送操作完成预设次数后,判断攻击对象的网口是否可以正常响应,并实时获取执行结果和当前网口状态;
当所有被选中的攻击模块完成一次攻击后,记录所有被选中的攻击模块的执行结果和攻击网口状态。
可选地,所述攻击数据包包括:MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放。
第二方面,本发明实施例提供一种针对通讯卡件应对工业网络攻击防护能力的测试系统,包括:
界面交互模块,用于获取用户输入的配置信息和攻击模式选择信息,且还设置有信息输入框、攻击延时输入框和攻击模式选择按钮;
攻击构建模块,用于将获取的用户输入的配置信息和攻击模式选择信息整合为字典,进而基于所述字典,构建攻击数据包;
攻击发送模块,用于依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包;
结果记录模块,用于依据攻击返回值,记录测试的攻击模式和测试结果;
其中,
所述配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;
所述攻击模式选择信息包括:一键攻击模式和预选攻击模式;
所述攻击数据包包括:MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放;
所述攻击返回值包括:执行结果和当前网口状态。
第三方面,本发明实施例提供一种针对通讯卡件应对工业网络攻击防护能力的测试设备,包括:
至少一个处理器;
以及与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如上所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法。
第四方面,本发明实施例提供一种计算机可读介质,其上存储有计算机可执行指令,所述可执行指令被处理器执行时实现如上所述的针对通讯卡件应对工业网络攻击防护能力的测试方法。
(三)有益效果
本发明提供了一键测试通讯卡件对工业网络常见攻击防护能力的方案,使对于不具备相关网络知识的测试人员具备完成测试通讯卡件设备网络防护能力的功能。通过Python的前端良好互动性,通过填入必需参数,即可完成相关测试项要求,并将测试结果进行文本记录,便于后续定位通讯卡件的防护漏洞。使用本发明方案可以极大简化网络攻击相关学习成本,适于大规模测试人员使用,提升测试效率。
附图说明
图1为本发明提供的一种针对通讯卡件防护能力的测试方法的流程示意图;
图2为本发明提供的一种针对通讯卡件防护能力的测试方法的步骤S1的具体流程示意图;
图3为本发明提供的一种针对通讯卡件防护能力的测试方法的步骤S2的具体流程示意图;
图4为本发明提供的一种针对通讯卡件防护能力的测试方法的步骤S3的具体流程示意图;
图5为本发明提供的一种针对通讯卡件防护能力的测试方法的步骤S4的具体流程示意图;
图6为本发明提供的一种针对通讯卡件防护能力的测试系统的具体组成示意图;
图7为本发明提供的一种针对通讯卡件防护能力的测试方法的整体流程示意图;
图8为本发明提供的一种针对通讯卡件防护能力的测试方法的工具界面示意图。
【附图标记说明】
100:针对通讯卡件应对工业网络攻击防护能力的测试系统;
101:界面交互模块;
102:攻击构建模块;
103:攻击发送模块;
104:结果记录模块。
具体实施方式
为了更好地解释本发明,以便于理解,下面结合附图,通过具体实施方式,对本发明作详细描述。
图1为本发明提供的一种针对通讯卡件防护能力的测试方法的流程示意图,如图1所示,本发明实施例提出的方法包括:首先,获取用户输入的配置信息和攻击模式选择信息,并整合为字典;其次,基于所述字典,构建攻击数据包;最后,依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包。其中,通讯卡件为工业通讯现场网络环境中,需要接收和转发Ethernet通讯数据的卡件。
本发明提供了一键测试通讯卡件对工业网络常见攻击防护能力的方案,使对于不具备相关网络知识的测试人员具备完成测试通讯卡件设备网络防护能力的功能。通过Python的前端良好互动性,通过填入必需参数,即可完成相关测试项要求,并将测试结果进行文本记录,便于后续定位通讯卡件的防护漏洞。使用本发明方案可以极大简化网络攻击相关学习成本,适于大规模测试人员使用,提升测试效率。
为了更好地理解上述技术方案,下面将参照附图更详细地描述本发明的示例性实施例。虽然附图中显示了本发明的示例性实施例,然而应当理解,可以以各种形式实现本发明而不应被这里阐述的实施例所限制。相反,提供这些实施例是为了能够更清楚、透彻地理解本发明,并且能够将本发明的范围完整的传达给本领域的技术人员。
具体地,本发明提供一种针对通讯卡件应对工业网络攻击防护能力的测试方法,包括:
S1、获取用户输入的配置信息和攻击模式选择信息,并整合为字典。
其中,配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;攻击模式选择信息包括:一键攻击模式或预选攻击模式,一键攻击模式即指默认勾选全部攻击模块,预选攻击模式即指用户预先勾选所需要测试的攻击模块。
如图2所示,步骤S1包括:
S11、获取用户输入的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及各个攻击模块的攻击频率。
S12、获取用户输入的攻击模式选择信息。
S13、将源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时、各个攻击模块的攻击频率以及攻击模式选择信息整合形成字典。
S2、基于字典,构建攻击数据包。所述攻击数据包包括:MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放。
如图3所示,步骤S2包括:
S21、依据所述字典,利用scapy库函数遍历执行所有被选中的攻击模块;
S22、在选中的攻击模块中,基于所述字典信息并结合scapy库,依据预设的攻击数据包特定格式,设定攻击数据包的MAC、IP信息、ICMP/TCP/UDP包头以及数据负载。通过scapy库函数构造目的IP地址和源IP地址相同的TCP-SYN包。
S3、依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包。
如图4所示,步骤S3包括:
S31、处理字典中攻击模式选择信息,获取字典中的攻击对象、攻击种类、攻击时长以及延迟时间。
S32、依据所述攻击延时,逐次利用scapy库函数对每一个攻击对象发送对应的攻击数据包。每个攻击模块都会依据字典中设置确定延时时间,其中,并不是攻击模块1和攻击模块2的延时,而是攻击模块1内部发送每个攻击包的延时。
与此同时,如图5所示,本发明还在步骤S3之后还包括:
S41、在发送操作完成预设次数后,判断攻击对象的网口是否可以正常响应,并实时获取执行结果和当前网口状态。
S42、当所有被选中的攻击模块完成一次攻击后,记录所有被选中的攻击模块的执行结果和攻击网口状态。
如图6所示,本发明提供一种针对通讯卡件应对工业网络攻击防护能力的测试系统100,包括:
界面交互模块101,用于获取用户输入的配置信息和攻击模式选择信息,且还设置有信息输入框、攻击延时输入框和攻击模式选择按钮。
攻击构建模块102,用于将获取的用户输入的配置信息和攻击模式选择信息整合为字典,进而基于所述字典,构建攻击数据包。
攻击发送模块103,用于依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包。
结果记录模块104,用于依据攻击返回值,记录测试的攻击模式和测试结果。
其中,配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;攻击模式选择信息包括:一键攻击模式和预选攻击模式;攻击数据包包括:MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放;攻击返回值包括:执行结果和当前网口状态。
由于本发明上述实施例所描述的系统/装置,为实施本发明上述实施例的方法所采用的系统/装置,故而基于本发明上述实施例所描述的方法,本领域所属技术人员能够了解该系统/装置的具体结构及变形,因而在此不再赘述。凡是本发明上述实施例的方法所采用的系统/装置都属于本发明所欲保护的范围。
在一个具体实施例中,本发明具备如下两个结构:
(1)文件目录结构:
攻击文件:负责确认网络攻击路径、构造网络攻击数据包、执行网络数据攻击包发送、判断通讯网口状态、输出测试结果等功能。
界面显示文件:负责提供交互界面,要求测试人员提供MAC地址、IP、端口信息,并选择运行模式,提供一键配置模板。
可执行文件:基于攻击文件和界面显示文件编译生成的exe文件。
记录文件:保存测试中发送的网络攻击模式,并记录是否存在网口异常。
(2)python功能结构:
攻击类型模块:构造攻击数据包,如MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击,TearDropg攻击包,Fraggle攻击包、超大ICMP攻击包,IP端口扫描攻击包、UDP数据包重放等。
攻击发送模块:依据前端配置信息,选择攻击对象、攻击种类和攻击时长,进行攻击数据包的发送。
界面显示模块:便于测试人员输入源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息,一键选择和手动勾选攻击方式,设置攻击延时输入框;提供运行攻击模块的运行按钮。
结果记录模块:依据攻击返回值,记录测试的攻击模式和测试结果。
基于上述两个结构,实现如下流程:
通过运行一键攻击脚本.exe,界面提示程序的操作流程为:
1、程序启动后首先使用Python的tkinter库,创建用户可见的windows窗口,在窗口中:
11、要求用户在网络数据包界面中输入正确的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息。
12、提供攻击模式选择。选择“一键选择”,勾选所有的攻击模式,或者“手动勾选攻击”,按需求对攻击模式进行勾选。
13、在每个攻击模式后输入攻击延时,可设定攻击频率。
14、完成界面配置前述步骤后,点击运行一次或持续运行,将上述所有配置信息进行整合,形成字典,发送给攻击模块。
2、进入攻击模块,执行数据包构造:
21、依据字典信息,提取字典中的网络数据包连接信息,判断输入是否正确,异常则报错退出;
22、处理字典中攻击模式判断,历遍执行所有被选中的攻击模块,发送对应的攻击数据包,攻击模块包括MAC、IP、协议层的Dos攻击包,ARPSpoof攻击包,Land攻击,TearDropg攻击包,Fraggle攻击包、超大ICMP攻击包,IP端口扫描攻击包、UDP数据包重放。
23、攻击均使用python的scapy库构造数据包,以Land攻击模块为例,描述数据包构造方法:通过scapy库函数完成构造目的IP地址和源IP地址相同的TCP-SYN包后,获取字典中要求的延迟时间,通过延时函数,逐次利用scapy库函数发送该数据包,在发送完成1万次后,判断攻击对象网口是否可以正常响应,返回模块执行结果,以及当前网口状态。
24、当所有攻击模块完成一次循环后,记录所有模块的执行结果和攻击网口状态,调用文件读写模块,将记录记入log文档,并将返回给前端,随后等待前端下次命令下发。
3、前端界面判断当前若处于一次攻击模式,停止运行,等待用户下一次输入,如处于循环,则继续下发之前的配置,重新发动攻击,直至用户点击结束。
其中,tkinter库是指:python库文件,可用于绘制显示窗口界面;scapy库是指:python库文件,可用于构造特定数据包,并进行数据包的发送和接受;Land攻击是指:特殊的目的IP地址和源IP地址均为攻击对象的TCP数据包,通过不断发送该数据包,导致攻击对象TCP资源被大量占用、出现异常。
此外,本发明实施例提供一种针对通讯卡件应对工业网络攻击防护能力的测试设备,包括:至少一个处理器;以及与至少一个处理器通信连接的存储器;其中,存储器存储有可被至少一个处理器执行的指令,指令被至少一个处理器执行,以使至少一个处理器能够执行如上所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法。
以及,本发明实施例还提供一种计算机可读介质,其上存储有计算机可执行指令,可执行指令被处理器执行时实现如上所述的针对通讯卡件应对工业网络攻击防护能力的测试方法。
综上所述,本发明提供一种针对通讯卡件防护能力的测试方法的流程示意图,如图7和图8所示,具体流程为:首先,创建交互窗口,通过交互窗口获取用户输入的数据包(即包含源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息的六元组数据,获取输入的相应的攻击延时);其次,判断是一键攻击模式或预选攻击模式,具体为点击持续攻击或单次攻击;接着,按照字典信息,遍历所有被选中的攻击模块,并构造攻击数据包,按字典中的延时向各个攻击模块发送攻击数据包;继而,遍历完所有被选中的攻击模块,记录发送结果和网口测试结果;最后,判断当前若是处于一次攻击模式,停止运行,等待用户下一次输入;若是处于循环,则继续下发之前的配置,重新发动攻击,直至用户点击结束。
基于上述具体流程,本发明利用python制作便于交互的前端界面,规避繁琐的后台调试源代码过程,前端通过输入网络数据包连接信息,即可一键完成攻击发送,便于测试人员使用,具有可推广性;同时在攻击模块运行过程中,不断检测攻击网口是否可以正常响应,配置记录测试结果,可以精准定位网口在经过何种攻击后出现问题,便于快速定位漏洞,可用性较高;本发明还能通过对攻击数据包的封装,一键化发动相关网络攻击,减少前期对于通讯知识基础要求、测试环境搭建要求,节约测试人员的学习时间成本,提高了测试人员的测试效率。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例,或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。
应当注意的是,在权利要求中,不应将位于括号之间的任何附图标记理解成对权利要求的限制。词语“包含”不排除存在未列在权利要求中的部件或步骤。位于部件之前的词语“一”或“一个”不排除存在多个这样的部件。本发明可以借助于包括有若干不同部件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的权利要求中,这些装置中的若干个可以是通过同一个硬件来具体体现。词语第一、第二、第三等的使用,仅是为了表述方便,而不表示任何顺序。可将这些词语理解为部件名称的一部分。
此外,需要说明的是,在本说明书的描述中,术语“一个实施例”、“一些实施例”、“实施例”、“示例”、“具体示例”或“一些示例”等的描述,是指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。
尽管已描述了本发明的优选实施例,但本领域的技术人员在得知了基本创造性概念后,则可对这些实施例作出另外的变更和修改。所以,权利要求应该解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种修改和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也应该包含这些修改和变型在内。

Claims (8)

1.一种针对通讯卡件应对工业网络攻击防护能力的测试方法,其特征在于,包括:
获取用户输入的配置信息和攻击模式选择信息,并整合为字典;
基于所述字典,构建攻击数据包;
基于所述字典,构建攻击数据包包括:依据所述字典,利用scapy库函数遍历执行所有被选中的攻击模块;在选中的攻击模块中,基于所述字典信息并结合scapy库,依据预设的攻击数据包特定格式,设定攻击数据包的MAC、IP信息、ICMP/TCP/UDP包头以及数据负载;
依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包;
其中,
所述配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;
所述攻击模式选择信息包括:一键攻击模式或预选攻击模式。
2.如权利要求1所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法,其特征在于,获取用户输入的配置信息和攻击模式选择信息,并整合为字典包括:
获取用户输入的源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及各个攻击模块的攻击频率;
获取用户输入的攻击模式选择信息;
将所述源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时、各个攻击模块的攻击频率以及攻击模式选择信息整合形成字典。
3.如权利要求1所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法,其特征在于,依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包包括:
处理所述字典中所述攻击模式选择信息,获取所述字典中的攻击对象、攻击种类以及攻击延时;
依据所述攻击延时,逐次利用scapy库函数对每一个攻击对象发送对应的攻击数据包。
4.如权利要求3所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法,其特征在于,对每一个攻击对象发送对应的攻击数据包之后,还包括:
在发送操作完成预设次数后,判断攻击对象的网口是否可以正常响应,并实时获取执行结果和当前网口状态;
当所有被选中的攻击模块完成一次攻击后,记录所有被选中的攻击模块的执行结果和攻击网口状态。
5.如权利要求1-4任一项所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法,其特征在于,所述攻击数据包包括:MAC的Dos攻击包,IP的Dos攻击包,协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放。
6.一种针对通讯卡件应对工业网络攻击防护能力的测试系统,其特征在于,包括:
界面交互模块,用于获取用户输入的配置信息和攻击模式选择信息,且还设置有信息输入框、攻击延时输入框和攻击模式选择按钮;
攻击构建模块,用于将获取的用户输入的配置信息和攻击模式选择信息整合为字典,进而基于所述字典,构建攻击数据包;
攻击发送模块,用于依据所述字典确定攻击对象、攻击种类以及攻击延时,以对每一个攻击对象发送对应的攻击数据包;
结果记录模块,用于依据攻击返回值,记录测试的攻击模式和测试结果;
其中,
所述配置信息包括:源MAC地址、目的MAC地址、源IP、目的IP、源端口、目的端口信息、各个攻击模块的攻击延时以及攻击频率;
所述攻击模式选择信息包括:一键攻击模式和预选攻击模式;
所述基于所述字典,构建攻击数据包包括:依据所述字典,利用scapy库函数遍历执行所有被选中的攻击模块;在选中的攻击模块中,基于所述字典信息并结合scapy库,依据预设的攻击数据包特定格式,设定攻击数据包的MAC、IP信息、ICMP/TCP/UDP包头以及数据负载;
所述攻击数据包包括:MAC的Dos攻击包,IP的Dos攻击包,协议层的Dos攻击包,ARPSpoof攻击包,Land攻击包,TearDropg攻击包,Fraggle攻击包,超大ICMP攻击包,IP端口扫描攻击包以及UDP数据包重放;
所述攻击返回值包括:执行结果和当前网口状态。
7.一种针对通讯卡件应对工业网络攻击防护能力的测试设备,其特征在于,包括:
至少一个处理器;
以及与所述至少一个处理器通信连接的存储器;
其中,所述存储器存储有可被所述至少一个处理器执行的指令,所述指令被所述至少一个处理器执行,以使所述至少一个处理器能够执行如权利要求1-5任一项所述的一种针对通讯卡件应对工业网络攻击防护能力的测试方法。
8.一种计算机可读介质,其上存储有计算机可执行指令,其特征在于,所述可执行指令被处理器执行时实现如权利要求1-5任一项所述的针对通讯卡件应对工业网络攻击防护能力的测试方法。
CN202111407473.XA 2021-11-24 2021-11-24 针对通讯卡件防护能力的测试方法、系统、设备及介质 Active CN114244578B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111407473.XA CN114244578B (zh) 2021-11-24 2021-11-24 针对通讯卡件防护能力的测试方法、系统、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111407473.XA CN114244578B (zh) 2021-11-24 2021-11-24 针对通讯卡件防护能力的测试方法、系统、设备及介质

Publications (2)

Publication Number Publication Date
CN114244578A CN114244578A (zh) 2022-03-25
CN114244578B true CN114244578B (zh) 2024-05-10

Family

ID=80750985

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111407473.XA Active CN114244578B (zh) 2021-11-24 2021-11-24 针对通讯卡件防护能力的测试方法、系统、设备及介质

Country Status (1)

Country Link
CN (1) CN114244578B (zh)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750485A (zh) * 2005-07-14 2006-03-22 牛伟 网络仿真测试系统及方法
CN109284611A (zh) * 2018-09-20 2019-01-29 北京计算机技术及应用研究所 基于Metasploit框架的测试系统及实现网络安全性测试的方法
CN112615836A (zh) * 2020-12-11 2021-04-06 杭州安恒信息技术股份有限公司 一种工控网络安全防护仿真系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20060057916A (ko) * 2004-11-24 2006-05-29 한국전자통신연구원 정보보호 제품의 기능 시험을 위한 공격 패킷 생성 기능을포함하는 네트워크 패킷 생성 장치 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1750485A (zh) * 2005-07-14 2006-03-22 牛伟 网络仿真测试系统及方法
CN109284611A (zh) * 2018-09-20 2019-01-29 北京计算机技术及应用研究所 基于Metasploit框架的测试系统及实现网络安全性测试的方法
CN112615836A (zh) * 2020-12-11 2021-04-06 杭州安恒信息技术股份有限公司 一种工控网络安全防护仿真系统

Also Published As

Publication number Publication date
CN114244578A (zh) 2022-03-25

Similar Documents

Publication Publication Date Title
US10387656B2 (en) Integrated interactive application security testing
CN110430187B (zh) 工控系统中的通信报文安全审计方法、设备和存储介质
CN105721188A (zh) 防火墙策略核查方法及系统
CN110830330B (zh) 一种防火墙测试方法、装置及系统
CN101902367A (zh) 一种产生测试用例的方法及装置
US11240120B2 (en) Simulating multiple paths of a course of action executed in an information technology environment
KR20200080541A (ko) 프로그램 경로에 기반한 소프트웨어 취약점 검출 장치 및 방법
CN102594618A (zh) 实现存储局域网络存储设备测试的方法及装置
Byres et al. On shaky ground-a study of security vulnerabilities in control protocols
EP3433782B1 (en) Integrated interactive application security testing
CN110493064A (zh) 防火墙管理方法、装置、计算机设备和存储介质
CN113518018B (zh) 一种路由器系统稳定性测试系统及测试方法
CN112260885A (zh) 一种工控协议自动测试方法、系统、装置及可读存储介质
US8843786B2 (en) System for injecting protocol specific errors during the certification of components in a storage area network
CN113179194A (zh) Opc协议网关的测试系统及方法
CN112052156B (zh) 一种模糊测试方法、装置和系统
CN114244578B (zh) 针对通讯卡件防护能力的测试方法、系统、设备及介质
JP2012083909A (ja) アプリケーション特性解析装置およびプログラム
US11729254B2 (en) Patternless prompt detection of command completion
CN114285652B (zh) 工业协议检测方法、装置及计算机设备、存储介质
US20220067171A1 (en) Systems and methods for automated attack planning, analysis, and evaluation
CN109120427B (zh) 一种运维审计方法及装置
CN110597724B (zh) 应用安全测试组件的调用方法、装置、服务器及存储介质
CN117692377B (zh) 网络靶场的vpn验证测试方法、装置、设备及存储介质
Vu et al. Efficient correctness testing of Linux network stack under packet dynamics

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CP03 Change of name, title or address
CP03 Change of name, title or address

Address after: No. 309 Liuhe Road, Binjiang District, Hangzhou City, Zhejiang Province (High tech Zone)

Patentee after: Zhongkong Technology Co.,Ltd.

Country or region after: China

Address before: No. six, No. 309, Binjiang District Road, Hangzhou, Zhejiang

Patentee before: ZHEJIANG SUPCON TECHNOLOGY Co.,Ltd.

Country or region before: China