SYNFlooding网络攻击场景复现方法技术

本发明专利技术公开了一种SYN Flooding网络攻击场景复现方法，具体按照以下步骤实施：步骤1、选择网络攻击样本；步骤2、进行网络场景搭建；设置网络攻击复现参数；在攻击中抓取相应的pcap数据包，并对该数据包使进行数据处理，得到复现所生成的双向流量特征；步骤5、对步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征进行比较，如果存在差别，回到步骤3，重新调整攻击参数，直至步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征相同。解决了现有技术中存在的攻击场景复现还存在传统网络环境搭建不够灵活、依赖物理基础设施来建立连接并正常运行的问题。建立连接并正常运行的问题。建立连接并正常运行的问题。

【技术实现步骤摘要】
SYN Flooding网络攻击场景复现方法


[0001]本专利技术属于网络安全
，涉及SYN Flooding网络攻击场景复现方法。

技术介绍

[0002]随着信息化时代的发展，近年来，网络攻击事件频发。在信息化时代，网络安全对国家安全牵一发而动全身，同许多其他方面的安全都有着密切关系。为了更好的对网络攻击事件进行防范，需要对网络攻击场景进行复现，网络攻击场景复现作为安全事故中事后响应的重要组成部分，通过对受害资产与内网流量进行分析一定程度上还原攻击者的攻击路径与攻击手法，提取目标网络的流量信息并进行分析，站在攻击者的角度找到攻击目的，溯源到真正的攻击者，有助于漏洞的修复和避免二次事件的发生。攻击知识可转换成防御优势,如果能够做到积极主动且有预见性，就能更好地控制后果。
[0003]SYN Flooding攻击是当前网络上最为常见的DDoS攻击，也是最为经典的拒绝服务攻击，它利用了TCP协议实现上的一个缺陷，通过向网络服务所在端口发送大量的伪造源地址的攻击报文，就可能造成目标服务器中的半开连接队列被占满，从而阻止其他合法用户进行访问。
[0004]软件定义网络(Software
‑
defined Network,SDN)是一种新型的网络创新架构与技术，其倡导的是控制与转发分离，网络功能虚拟化使网络更开放、可编程、能灵活支撑上层业务，SDN主要有三个特征：网络开放可编程、控制平面与数据平面的分离、逻辑上的集中控制。
[0005](1)网络开放可编程:SDN建立了新的网络抽象模型，为用户提供了一套完整的通用API,使用户可以在控制器上编程实现对网络的配置、控制和管理，从而加快网络业务部署的进程。
[0006](2)控制平面与数据平面的分离:此处的分离是指控制平面与数据平面的解耦合。控制平面和数据平面之间不再相互依赖，两者可以独立完成体系结构的演进，类似于计算机工业的Wintel模式，双方只需要遵循统一的开放接口进行通信即可。控制平面与数据平面的分离是SDN架构区别于传统网络体系结构的重要标志，是网络获得更多可编程能力的架构基础。
[0007](3)逻辑上的集中控制:主要是指对分布式网络状态的集中统一管理。在SDN架构中，控制器会担负起收集和管理所有网络状态信息的重任。逻辑集中控制为软件编程定义网络功能提供了架构基础，也为网络自动化管理提供了可能。
[0008]Mininet是一个轻量级软件定义网络和测试平台，通过使用Linux内核轻量级的虚拟化手段，使得单一的系统呈现出整个网络的形态。一台Mininet主机表现得就像一台真正的计算机，此外还可以利用Mininet提供的API来开发用户网络应用系统，由于Mininet支持TC(Traffic Control)类型的链路创建，所以用户可以自定义链路的带宽、丢包率等具体参数，实现更真实、更具体的自定义网络拓扑，从而满足复杂实验的需求，并且一旦所定制的原型，系统能够在Mininet上正常工作，就可以把它部署到真正的网络上。因此使用Mininet
所复现出来的网络场景也更加接近于真实的网络场景。

技术实现思路

[0009]本专利技术的目的是提供一种SYN Flooding网络攻击场景复现方法，解决了现有技术中存在的攻击场景复现还存在传统网络环境搭建不够灵活、依赖物理基础设施来建立连接并正常运行的问题。
[0010]本专利技术所采用的技术方案是，本专利技术SYN Flooding网络攻击场景复现方法，具体按照以下步骤实施：
[0011]步骤1、选择网络攻击样本：首先挑选需要复现的攻击样本，并通过双向流量特征提取工具CICFlowMeter对其数据进行处理，生成相应的网络流量；
[0012]步骤2、进行网络场景搭建：选择控制器、交换机以及主机，重建网络攻击样本的网络拓扑结构，模拟网络攻击样本的拓扑节点；
[0013]设置网络攻击复现参数：根据步骤1的攻击样本进行设置相应的攻击类型以及所需参数，设置完成后对模拟网络攻击样本实施攻击；在攻击中抓取相应的pcap数据包，并对该数据包使用双向流量特征提取工具CICFlowMeter进行数据处理，得到复现所生成的双向流量特征；
[0014]步骤3、对步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征进行比较，如果存在差别，回到步骤2，重新调整攻击参数，直至步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征相同，完成SYN Flooding网络攻击场景复现。
[0015]本专利技术的特点还在于：
[0016]步骤1具体按照以下实施：
[0017]首先对网络攻击样本进行双向流量特征提取，所生成的是一个80多维的csv格式的文件；并且统计的特征都分正向和反向，规定由源地址到目的地址为正向，目的地址到源地址为反向，为每个流构建一个标志为Flow ID:192.168.31.100
‑
183.232.231.174
‑
46927
‑
443
‑
6，由源地址、目的地址、协议号组成。
[0018]步骤2中进行网络场景搭建具体按照以下步骤实施：
[0019]步骤2.1.1、首先选择网络攻击场景的环境，即在轻量级软件定义网络和测试平台Mininet上进行构建的环境，在该环境下可以选择可视化界面直接进行网络拓扑的构建，也可以用python脚本构建网络拓扑结构；
[0020]步骤2.1.2、选择的控制器，并配置控制器为远程控制器，控制器负责收集整个网络的拓扑、流量等信息，计算流量转发路径，通过OpenFlow协议将转发表项下发给交换机，交换机按照表项执行转发动作，和控制器对应，执行转发动作的交换机一般称为转发器，控制面从传统网络的单个设备上剥离，集中到了控制器上，转发面由转发器构成；
[0021]步骤2.1.3、选择OpenFlow交换机，并配置交换机的DPID。OpenFlow交换机通过使用OpenFlow协议的安全通道与控制器进行通信。当交换机接收到一条数据流时，交换机通常的做法是，把该数据包发送给控制器，由控制器来决定数据包的下一步操作。至于已存在的，则会直接根据原有的发送路径发往目的点；
[0022]步骤2.1.4、首先配置主机的Ip地址，最后对整个网络进行全局配置，使控制器和
交换机之间的通信采用OpenFlow协议，配置整个网络环境同时支持协议OpenFlow1.1和OpenFlow1.3版本，其中，OpenFlow的1.3版本提供了可选的TLS加密通信以及控制器和交换机之间的证书交换机制；
[0023]步骤2.1.5、使用pingall命令测试网络之间是否可以相互通信，如果不通信，则回到步骤2.1.1。
[0024]步骤2中在对抓取的pcap数据进行数据处理包具体按照以下步骤实施：
[0025]步骤2.2.1、从pcap文件中逐条读取数据，将每个数据包添加本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.SYN Flooding网络攻击场景复现方法，其特征在于，具体按照以下步骤实施：步骤1、选择网络攻击样本：首先挑选需要复现的攻击样本，并通过双向流量特征提取工具CICFlowMeter对其数据进行处理，生成相应的网络流量；步骤2、进行网络场景搭建：选择控制器、交换机以及主机，重建网络攻击样本的网络拓扑结构，模拟网络攻击样本的拓扑节点；设置网络攻击复现参数：根据步骤1的攻击样本进行设置相应的攻击类型以及所需参数，设置完成后对模拟网络攻击样本实施攻击；在攻击中抓取相应的pcap数据包，并对该数据包使用双向流量特征提取工具CICFlowMeter进行数据处理，得到复现所生成的双向流量特征；步骤3、对步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征进行比较，如果存在差别，回到步骤2，重新调整攻击参数，直至步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征相同，完成SYN Flooding网络攻击场景复现。2.根据权利要求1所述的SYN Flooding网络攻击场景复现方法，其特征在于，所述步骤1具体按照以下实施：首先对网络攻击样本进行双向流量特征提取，所生成的是一个80多维的csv格式的文件；并且统计的特征都分正向和反向，规定由源地址到目的地址为正向，目的地址到源地址为反向，为每个流构建一个标志为Flow ID:192.168.31.100
‑
183.232.231.174
‑
46927
‑
443
‑
6，由源地址、目的地址、协议号组成。3.根据权利要求1所述的SYN Flooding网络攻击场景复现方法，其特征在于，所述步骤2中进行网络场景搭建具体按照以下步骤实施：步骤2.1.1、首先选择网络攻击场景的环境，即在轻量级软件定义网络和测试平台Mininet上进行构建的环境，在该环境下可以选择可视化界面直接进行网络拓扑的构建，也可以用python脚本构建网络拓扑结构；步骤2.1.2、选择的控制器，并配置控制器为远程控制器，控制器负责收集整个网络的拓扑、流量等信息，计算流量转发路径，通过OpenFlow协议将转发表项下发给交换机，交换机按照表项执行转发动作，和控制器对应，执行转发动作的交换机一般称为转发器，控制面从传统网络的单个设备上剥离，集中到了控制器上，转发面由转发器...

【专利技术属性】
技术研发人员：王一川，丁俊霞，张彤，姬文江，朱磊，任炬，
申请(专利权)人：西安理工大学，
类型：发明
国别省市：