(19)中华 人民共和国 国家知识产权局
(12)发明 专利申请
(10)申请公布号
(43)申请公布日
(21)申请 号 202111327394.8
(22)申请日 2021.11.10
(71)申请人 西安理工大 学
地址 710048 陕西省西安市碑林区金花 南
路5号
(72)发明人 王一川 丁俊霞 张彤 姬文江
朱磊 任炬
(74)专利代理 机构 西安弘理专利事务所 61214
代理人 燕肇琪
(51)Int.Cl.
H04L 9/40(2022.01)
(54)发明名称
SYN Flooding网络攻击场景复现方法
(57)摘要
本发明公开了一种SYN Flooding网络攻击
场景复现方法, 具体按照以下步骤实施: 步骤1、
选择网络攻击样本; 步骤2、 进行网络场景搭建;
设置网络攻击复现参数; 在攻击中抓取相应的
pcap数据包, 并对该数据包使进行数据处理, 得
到复现所生成的双向流量特征; 步骤5、 对步骤1
得到攻击样 本所生成的双向流量特征与步骤2得
到的复现所生成的双向流量特征进行比较, 如果
存在差别, 回到步骤3, 重新调整攻击参数, 直至
步骤1得到攻击样本所生 成的双向流量特征与步
骤2得到的复现所生成的双向流量特征相同。 解
决了现有技术中存在的攻击场景复现还存在传
统网络环 境搭建不够灵活、 依赖物理基础设施来
建立连接并正常运行的问题。
权利要求书2页 说明书6页 附图4页
CN 114189354 A
2022.03.15
CN 114189354 A
1.SYN Flooding网络攻击场景复现方法, 其特 征在于, 具体按照以下步骤实施:
步骤1、 选择网络攻击样本: 首先挑选需要复现的攻击样本, 并通过双 向流量特征提取
工具CICFl owMeter对其数据进行处 理, 生成相应的网络流 量;
步骤2、 进行网络场景搭建: 选择控制器、 交换机以及主机, 重建网络攻击样本的网络拓
扑结构, 模拟网络攻击样本的拓扑节点;
设置网络攻击复现参数: 根据步骤1的攻击样本进行设置相应的攻击类型以及所需参
数, 设置完成后对模拟网络攻击样 本实施攻击; 在攻击中抓取相应的pcap数据包, 并对 该数
据包使用双向流量特征提取工具CICFlowMeter进 行数据处理, 得到复现所生 成的双向流量
特征;
步骤3、 对步骤1得到攻击样本所生成的双向流量特征与步骤2得到的复现所生成的双
向流量特征进行比较, 如果存在差别, 回到步骤2, 重新调整攻击参数, 直至步骤1得到攻击
样本所生成的双向流量特征与步骤2得到的复现所生成的双向流量特征相同, 完成SYN
Flooding网络攻击场景复现。
2.根据权利 要求1所述的SYN Flooding网络攻击场景复现方法, 其特征在于, 所述步骤
1具体按照以下实施:
首先对网络攻击样本进行双向流量特征提取, 所生成的是一个80多维的csv格式的文
件; 并且统计的特征都分正向和反向, 规定由源地址到目的地址为正向, 目的地址到源地址
为反向, 为每个流构建一个标志为Flow ID:192.168.31.100 ‑183.232.231.174 ‑46927‑
443‑6, 由源地址、 目的地址、 协议 号组成。
3.根据权利 要求1所述的SYN Flooding网络攻击场景复现方法, 其特征在于, 所述步骤
2中进行网络场景 搭建具体按照以下步骤实施:
步骤2.1.1、 首先选择网络攻击场景的环境, 即在轻量级软件定义网络和测试平台
Mininet上进 行构建的环 境, 在该环境下可以选择可视化界面直接进行网络拓扑的构建, 也
可以用pytho n脚本构建网络 拓扑结构;
步骤2.1.2、 选择的控制器, 并配置控制器为远程控制器, 控制器负责收集整个网络的
拓扑、 流量等信息, 计算流量转发路径, 通过OpenFlow协议将转发表项下发给交换机, 交换
机按照表项 执行转发动作, 和控制器对应, 执行转发动作的交换机一般称为转 发器, 控制面
从传统网络的单个设备 上剥离, 集中到 了控制器上, 转发面由转发器构成;
步骤2.1.3、 选择OpenFlow交换机, 并配置交换机的DPID; OpenFlow交换机通过使用
OpenFlow协议的安全通道与控制器进行通信; 当交换机接收到一条数据流时, 交换机通常
的做法是, 把该数据包发送给控制器, 由控制器来决定数据包的下一步操作; 至于已存在
的, 则会直接根据原有的发送路径发往目的点;
步骤2.1.4、 首先配置主机的Ip地址, 最后对整个网络进行全局配置, 使控制器和交换
机之间的通信采用OpenFlow协议, 配置整个网络环境同时支持协议OpenFlow1.1和
OpenFlow1.3版本, 其中, OpenFlow的1.3版本提供了可选的TLS加密通信以及控制器和交换
机之间的证书交换机制;
步骤2.1.5、 使用pin gall命令测试网络之间是否可以相互通信, 如果不通信, 则回到步
骤2.1.1。
4.根据权利 要求1所述的SYN Flooding网络攻击场景复现方法, 其特征在于, 所述步骤权 利 要 求 书 1/2 页
2
CN 114189354 A
22中对抓取的pcap数据包进行 数据处理具体按照以下步骤实施:
步骤2.2.1、 从pcap文件中逐条读取数据, 将每个数据包添加到对应的流中, 在
currentFlows存储当前还未结束的所有流; 在添加的过程中不断地更新每个流的统计特
征, 最终将统计特 征写入csv文件;
步骤2.2.2、 判断新加入的数据包是否属于当前所有未结束的流, 如果属于当前流则判
断正向还是反向, 之后判断时间是否超时、 不超时则判断是否含有FIN标志, 如果两者都不
满足, 则声明一个BasicFlow对象, 根据每条数据流id从currentFlows中拿到与当前数据包
对应的流, 调用addPacket()方法将该数据包加入到对应流中; 如果前面判断不在当前所
有未结束的流中, 则直接创建一个新的流, 里面只包含当前数据包, 存入到currentFlows
中; 如果属于 当前某个未结束的流, 且超时或存在FIN标志, 则说明当前flow结束, 超时则从
currentFlows中移除对应流, 新建flow存入currentFlows中, 含FIN标志则直接从
currentFlows中移除对应流; 结束的flow直接调用onFlowGenerated函数将流打印存储起
来。
5.根据权利 要求1所述的SYN Flooding网络攻击场景复现方法, 其特征在于, 所述步骤
2中设置网络攻击复现参数具体按照以下实施: 首先对比对比1的网络攻击样本, 找出攻击
类型, 再根据攻击的类型选择hpi ng3中的攻击命令 。权 利 要 求 书 2/2 页
3
CN 114189354 A
3
专利 SYN Flooding网络攻击场景复现方法
安全报告 >
其他 >
文档预览
中文文档
13 页
50 下载
1000 浏览
0 评论
309 收藏
3.0分
温馨提示:本文档共13页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 人生无常 于 2024-03-18 20:57:30上传分享