一种网络安全设备的检测方法与流程

1.本发明涉及网络安全技术领域，尤其涉及一种网络安全设备的检测方法。


背景技术：

2.网络安全防护设备(networksecuritydevice)，又被简称为安全设备，是指部署在调度内部网与外部网之间、专用网与公共网之间的一组软件和硬件设备，用于构成内部网与外部网之间、专用网与公共网之间界面上的保护屏障。常见的安全设备例如：防病毒网关设备或者网络防护设备等等。目前传统的对应网络安全设备的测试方法，通常是基于人工操作的，其测试效率较低。


技术实现要素：

3.本发明的目的在于提供一种网络安全设备的检测方法，以解决上述背景技术中提出的问题。
4.本发明是通过以下技术方案实现的：一种网络安全设备的检测方法，包括下列步骤：
5.s1、构建虚拟高危访问地址以及第一测试子脚本，获取多种网络安全设备的设备信息，建立设备信息与所述第一测试子脚本的对应关系；
6.s2、所述测试服务器根据指令信息以及对应关系，选取第一测试子脚本向待测网络安全设备发送包含虚拟高危访问地址的数据包；
7.s3、若与待测网络安全设备相连的目标设备对所述虚拟高危访问地址进行访问，则确认待测网络安全设备的防护存在漏洞。
8.可选的，所述第一测试子脚本中设置有多种访问模板，从攻击特征库中获取不同的mac地址、ip地址、协议类型、协议数据，并将不同的所述mac地址、ip地址、协议类型、协议数据以及虚拟高危访问地址分别导入访问模板中，构成不同类型的数据包。
9.可选的，在所述测试服务器中对网络安全设备的操作系统、协议类型进行分类编号，每个编号对应操作系统与所述协议类型的组合，并将所述编号赋予不同的访问模板。
10.可选的，所述待测网络安全设备的设备信息包括安全设备的协议、安全设备的操作系统、安全设备的型号，根据所述待测网络安全设备的协议类型、安全设备的操作系统，确定待测网络安全设备型号所对应的所述编号。
11.可选的，所述待测网络安全设备对所述数据包进行解析识别，获得数据包中所包含的mac地址、ip地址、协议类型，将数据包中所包含的mac地址、ip地址、协议类型回传至第一测试脚本，由第一测试脚本判断识别的正确情况。
12.可选的，所述测试库中还包括第二测试脚本，所述第二测试脚本向所述待测网络安全设备发出测试指令，所述待测网络安全设备根据测试指令向所述第二测试脚本返回应答信息。
13.可选的，所述指令信息包括攻击测试报文以及性能测试报文，所述攻击测试报文
以及性能测试报文中均包括所述编号、待测网络安全设备协议类型、待测网络安全设备的操作系统。
14.可选的，测试用户向所述测试库发送密钥进行认证，在认证通过后，所述测试库基于所述测试用户的指令信息，选择第一测试子脚本或第二测试子脚本，所述密钥的生成过程包括：
15.随机选择一组mac地址、ip地址、协议类型、协议数据进行散列运算，获得相应的第一运算结果值；
16.将前述mac地址、ip地址、协议类型、协议数据、以及虚拟高危访问地址分别导入访问模板，对导入后的完整访问模板进行散列运算，获得相应的第二运算结果值；
17.将所述第二运算结果值中的每个数字字符，间隔添加至所述第一运算结果值的每个数字字符之间，形成输入参数；
18.将输入参数输入到密钥生成算法中，获得相应的密钥。
19.与现有技术相比，本发明达到的有益效果如下：
20.本发明提供的网络安全设备的检测方法，通过所生成的第一测试子脚本，对网络安全设备的防攻击能力以及性能进行检测，实现整个测试过程的自动化。由于测试过程无需人工干预，因此能够有效的降低测试维护的难度及在实际的应用场景中人工误操作的风险，并有效提高测试效率及测试准确度。
附图说明
21.为了更清楚地说明本发明实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的优选实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
22.图1为本发明提供的一种网络安全设备的检测方法的流程图。
具体实施方式
23.为了使得本发明的目的、技术方案和优点更为明显，下面将参照附图详细描述根据本发明的示例实施例。显然，所描述的实施例仅仅是本发明的一部分实施例，而不是本发明的全部实施例，应理解，本发明不受这里描述的示例实施例的限制。基于本发明中描述的本发明实施例，本领域技术人员在没有付出创造性劳动的情况下所得到的所有其它实施例都应落入本发明的保护范围之内。
24.在下文的描述中，给出了大量具体的细节以便提供对本发明更为彻底的理解。然而，对于本领域技术人员而言显而易见的是，本发明可以无需一个或多个这些细节而得以实施。在其他的例子中，为了避免与本发明发生混淆，对于本领域公知的一些技术特征未进行描述。
25.应当理解的是，本发明能够以不同形式实施，而不应当解释为局限于这里提出的实施例。相反地，提供这些实施例将使公开彻底和完全，并且将本发明的范围完全地传递给本领域技术人员。
26.在此使用的术语的目的仅在于描述具体实施例并且不作为本发明的限制。在此使
用时，单数形式的“一”、“一个”和“所述/该”也意图包括复数形式，除非上下文清楚指出另外的方式。还应明白术语“组成”和/或“包括”，当在该说明书中使用时，确定所述特征、整数、步骤、操作、元件和/或部件的存在，但不排除一个或更多其它的特征、整数、步骤、操作、元件、部件和/或组的存在或添加。在此使用时，术语“和/或”包括相关所列项目的任何及所有组合。
27.为了彻底理解本发明，将在下列的描述中提出详细的结构，以便阐释本发明提出的技术方案。本发明的可选实施例详细描述如下，然而除了这些详细描述外，本发明还可以具有其他实施方式。
28.参见图1，一种网络安全设备的检测方法，包括下列步骤：
29.s1、构建虚拟高危访问地址以及第一测试子脚本，获取多种网络安全设备的设备信息，建立设备信息与所述第一测试子脚本的对应关系；
30.作为本技术的具体实施例，其构建在测试服务器中的第一测试子脚本为预先编译完成的程序，而网络安全设备包括不同型号的防火墙或入侵检测设备，其获取的多种网络安全设备的设备信息，包括安全设备的协议、安全设备的操作系统、安全设备的型号，同时根据设备信息对网络安全设备的操作系统、协议类型进行分类编号，每个编号对应操作系统与所述协议类型的组合以及网络安全设备的型号。
31.进一步的，所述第一测试子脚本中设置有多种访问模板，其访问模板用于表征访问数据的形式，不同的访问模板对应不同操作系统、不同协议类型的网络安全设备，由于不同的操作系统与所述协议类型的组合存在不同的编号，为了快速确定对应的访问模板，因此将对应的编号结果赋予不同的访问模板，通过网络安全设备的型号或操作系统与所述协议类型的组合可以快速获得对应的编号，从而进一步获得对应的访问模板，其模板中的关键信息处于空缺状态，需要从现有的攻击特征库中获取不同的mac地址、ip地址、协议类型、协议数据，并将不同的所述mac地址、ip地址、协议类型、协议数据以及虚拟高危访问地址分别导入访问模板中后，就构成能够对目标计算机设备进行访问的不同类型的数据包。
32.s2、所述测试服务器根据指令信息以及对应关系，选取第一测试子脚本向待测网络安全设备发送包含虚拟高危访问地址的数据包；
33.所述待测网络安全设备根据自身的安全策略对数据包进行解析拦截，若待测网络安全设备判断前述数据包为高危数据包，则不允许前述数据包输送至目标设备，同时对所述数据包进行解析识别，获得数据包中所包含的mac地址、ip地址、协议类型，将数据包中所包含的mac地址、ip地址、协议类型回传至第一测试脚本，由第一测试脚本判断识别的正确情况。
34.s3、若与待测网络安全设备相连的目标设备对所述虚拟高危访问地址进行访问，则确认待测网络安全设备的防护存在漏洞。
35.若待测网络安全设备未能判断前述数据包为高危数据包，则待测网络安全设备被攻破，其目标设备获得对应数据包后，其目标设备会根据数据包中的虚拟高危访问地址去访问待访问设备(例如，目标设备去待访问设备下载恶意程序)。若目标设备没有被攻击成功，则不会生成链接去访问待访问设备，进而也就不会下载恶意程序。
36.具体的，在本发明的一个实施方式中，所述测试库中还包括第二测试脚本，所述第二测试脚本的类型为多种，可对应不同型号的网络安全设备，第二测试脚本可以对待测网
络安全设备进行总耗时测试、平均耗时测试、吞吐量测试、并发数测试和/或资源利用率测试、终端设备正常工作的可连续工作的时间测试等。
37.所述第二测试脚本向所述待测网络安全设备发出测试指令，所述待测网络安全设备根据测试指令向所述第二测试脚本返回应答信息。
38.例如，在测试安全设备的处理能力时，可以根据应答信息中的应答时间及请求报文的发送时间，得到安全设备处理时间的总耗时，并以该总耗时作为测试结果。其中，针对总耗时的参数值为应答时间，若总耗时越短，安全设备的处理能力越强。例如，在测试安全设备的吞吐量时，可以在预定时段内持续的向安全设备发送请求报文。然后根据接收的应答信息的应答时间，确定预定时段内接收到的应答报文的个数，根据该个数确定吞吐量。其中，针对吞吐量的性能参数为应答时间，得到的测试结果为吞吐量的值。
39.进一步的，所述指令信息包括攻击测试报文以及性能测试报文，所述攻击测试报文以及性能测试报文中均包括所述编号、待测网络安全设备协议类型、待测网络安全设备的操作系统，当指令信息为攻击测试报文时，根据编号、待测网络安全设备协议类型、待测网络安全设备的操作系统，确定确定对应的访问模板。
40.进一步的，测试用户向所述测试库发送密钥进行认证，在认证通过后，所述测试库基于所述测试用户的指令信息，选择第一测试子脚本或第二测试子脚本，所述密钥的生成过程包括：
41.随机选择一组mac地址、ip地址、协议类型、协议数据进行散列运算，获得相应的第一运算结果值；
42.将前述mac地址、ip地址、协议类型、协议数据、以及虚拟高危访问地址分别导入访问模板，对导入后的完整访问模板进行散列运算，获得相应的第二运算结果值；
43.将所述第二运算结果值中的每个数字字符，间隔添加至所述第一运算结果值的每个数字字符之间，形成输入参数；
44.将输入参数输入到密钥生成算法中，获得相应的密钥。
45.本实施例中对于随机选择的mac地址、ip地址、协议类型、协议数据进行散列运算获得独一无二的第一运算结果值，将前述mac地址、ip地址、协议类型、协议数据、以及虚拟高危访问地址分别导入访问模板，对导入后的完整访问模板进行散列运算，获得相应的第二运算结果值，基于第一运算结果值以及第二运算结果值从而获得密钥算法的输入参数，通过上述方法生成的密钥对测试用户进行认证，大大提升了安全性。
46.以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明保护的范围之内。