(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111327394.8 (22)申请日 2021.11.10 (71)申请人 西安理工大 学 地址 710048 陕西省西安市碑林区金花 南 路5号 (72)发明人 王一川　丁俊霞　张彤　姬文江　 朱磊　任炬　 (74)专利代理 机构 西安弘理专利事务所 61214 代理人 燕肇琪 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 SYN Flooding网络攻击场景复现方法 (57)摘要 本发明公开了一种SYN  Flooding网络攻击 场景复现方法， 具体按照以下步骤实施： 步骤1、 选择网络攻击样本； 步骤2、 进行网络场景搭建； 设置网络攻击复现参数； 在攻击中抓取相应的 pcap数据包， 并对该数据包使进行数据处理， 得 到复现所生成的双向流量特征； 步骤5、 对步骤1 得到攻击样 本所生成的双向流量特征与步骤2得 到的复现所生成的双向流量特征进行比较， 如果 存在差别， 回到步骤3， 重新调整攻击参数， 直至 步骤1得到攻击样本所生 成的双向流量特征与步 骤2得到的复现所生成的双向流量特征相同。 解 决了现有技术中存在的攻击场景复现还存在传 统网络环 境搭建不够灵活、 依赖物理基础设施来 建立连接并正常运行的问题。 权利要求书2页 说明书6页 附图4页 CN 114189354 A 2022.03.15 CN 114189354 A 1.SYN Flooding网络攻击场景复现方法， 其特 征在于， 具体按照以下步骤实施： 步骤1、 选择网络攻击样本： 首先挑选需要复现的攻击样本， 并通过双 向流量特征提取 工具CICFl owMeter对其数据进行处 理， 生成相应的网络流 量； 步骤2、 进行网络场景搭建： 选择控制器、 交换机以及主机， 重建网络攻击样本的网络拓 扑结构， 模拟网络攻击样本的拓扑节点； 设置网络攻击复现参数： 根据步骤1的攻击样本进行设置相应的攻击类型以及所需参 数， 设置完成后对模拟网络攻击样 本实施攻击； 在攻击中抓取相应的pcap数据包， 并对 该数 据包使用双向流量特征提取工具CICFlowMeter进 行数据处理， 得到复现所生 成的双向流量 特征； 步骤3、 对步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双 向流量特征进行比较， 如果存在差别， 回到步骤2， 重新调整攻击参数， 直至步骤1得到攻击 样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征相同， 完成SYN   Flooding网络攻击场景复现。 2.根据权利 要求1所述的SYN  Flooding网络攻击场景复现方法， 其特征在于， 所述步骤 1具体按照以下实施： 首先对网络攻击样本进行双向流量特征提取， 所生成的是一个80多维的csv格式的文 件； 并且统计的特征都分正向和反向， 规定由源地址到目的地址为正向， 目的地址到源地址 为反向， 为每个流构建一个标志为Flow  ID:192.168.31.100 ‑183.232.231.174 ‑46927‑ 443‑6， 由源地址、 目的地址、 协议 号组成。 3.根据权利 要求1所述的SYN  Flooding网络攻击场景复现方法， 其特征在于， 所述步骤 2中进行网络场景 搭建具体按照以下步骤实施： 步骤2.1.1、 首先选择网络攻击场景的环境， 即在轻量级软件定义网络和测试平台 Mininet上进 行构建的环 境， 在该环境下可以选择可视化界面直接进行网络拓扑的构建， 也 可以用pytho n脚本构建网络 拓扑结构； 步骤2.1.2、 选择的控制器， 并配置控制器为远程控制器， 控制器负责收集整个网络的 拓扑、 流量等信息， 计算流量转发路径， 通过OpenFlow协议将转发表项下发给交换机， 交换 机按照表项 执行转发动作， 和控制器对应， 执行转发动作的交换机一般称为转 发器， 控制面 从传统网络的单个设备 上剥离， 集中到 了控制器上， 转发面由转发器构成； 步骤2.1.3、 选择OpenFlow交换机， 并配置交换机的DPID； OpenFlow交换机通过使用 OpenFlow协议的安全通道与控制器进行通信； 当交换机接收到一条数据流时， 交换机通常 的做法是， 把该数据包发送给控制器， 由控制器来决定数据包的下一步操作； 至于已存在 的， 则会直接根据原有的发送路径发往目的点； 步骤2.1.4、 首先配置主机的Ip地址， 最后对整个网络进行全局配置， 使控制器和交换 机之间的通信采用OpenFlow协议， 配置整个网络环境同时支持协议OpenFlow1.1和 OpenFlow1.3版本， 其中， OpenFlow的1.3版本提供了可选的TLS加密通信以及控制器和交换 机之间的证书交换机制； 步骤2.1.5、 使用pin gall命令测试网络之间是否可以相互通信， 如果不通信， 则回到步 骤2.1.1。 4.根据权利 要求1所述的SYN  Flooding网络攻击场景复现方法， 其特征在于， 所述步骤权　利　要　求　书 1/2 页 2 CN 114189354 A 22中对抓取的pcap数据包进行 数据处理具体按照以下步骤实施： 步骤2.2.1、 从pcap文件中逐条读取数据， 将每个数据包添加到对应的流中， 在 currentFlows存储当前还未结束的所有流； 在添加的过程中不断地更新每个流的统计特 征， 最终将统计特 征写入csv文件； 步骤2.2.2、 判断新加入的数据包是否属于当前所有未结束的流， 如果属于当前流则判 断正向还是反向， 之后判断时间是否超时、 不超时则判断是否含有FIN标志， 如果两者都不 满足， 则声明一个BasicFlow对象， 根据每条数据流id从currentFlows中拿到与当前数据包 对应的流， 调用addPacket()方法将该数据包加入到对应流中； 如果前面判断不在当前所 有未结束的流中， 则直接创建一个新的流， 里面只包含当前数据包， 存入到currentFlows 中； 如果属于 当前某个未结束的流， 且超时或存在FIN标志， 则说明当前flow结束， 超时则从 currentFlows中移除对应流， 新建flow存入currentFlows中， 含FIN标志则直接从 currentFlows中移除对应流； 结束的flow直接调用onFlowGenerated函数将流打印存储起 来。 5.根据权利 要求1所述的SYN  Flooding网络攻击场景复现方法， 其特征在于， 所述步骤 2中设置网络攻击复现参数具体按照以下实施： 首先对比对比1的网络攻击样本， 找出攻击 类型， 再根据攻击的类型选择hpi ng3中的攻击命令 。权　利　要　求　书 2/2 页 3 CN 114189354 A 3