本申請提供了基于真實攻擊流量的設備安全能力檢測方法及測試系統，用于對現有技術中利用黑客工具進行的入侵檢測系統IDS測試方案進行進一步的優化，進而在還原真實攻擊行為的同時可以獲得更為高效、精確的入侵檢測系統IDS測試效果。方法包括：攻擊端確定了靶機端側的測試目標后，對不同的測試流程進行編排調用執行，產生相應的攻擊報文，其中，測試流程是由多個黑客工具組合工作得到的固定流程，測試目標配置有入侵檢測系統IDS；攻擊端向測試目標發送攻擊報文，以進行攻擊模擬；在攻擊過程中靶機端獲取測試目標的監聽結果，并向攻擊端反饋監聽結果；攻擊端根據監聽結果，確定測試目標的入侵檢測系統IDS安全能力。

技術領域

本申請涉及測試領域，具體涉及基于真實攻擊流量的設備安全能力檢測方法及測試系統。

背景技術

入侵檢測系統(Intrusion?Detection?System，IDS)可以為計算機網絡提供實時保護的網絡安全保護，也因此，對入侵檢測系統IDS部署的測試是網絡安全工作中較為重要的一項工作，因為其可以測試出入侵檢測系統IDS是否存在足夠的安全保護能力。

總的來說，現有的入侵檢測系統IDS測試方案主要包括下面三類：第一種入侵檢測系統IDS測試方案，手工利用黑客工具，第二種入侵檢測系統IDS測試方案，攻擊特征包發送，第三種入侵檢測系統IDS測試方案，攻擊行為錄播重放。然而，三者都存在各自的問題。第一種入侵檢測系統IDS測試方案盡管能夠產生真實的網絡攻擊，但是依賴于手動，難以大批量測試或者重復測試；第二種入侵檢測系統IDS測試方案由于如今入侵檢測系統IDS部署了狀態協議分析技術，攻擊特征包會被入侵檢測系統IDS直接丟棄；第三種入侵檢測系統IDS測試方案由于是歷史行為，會造成部分的錯誤網絡連接，從而也會被入侵檢測系統IDS進行忽略。

可見，現有的入侵檢測系統IDS測試方案，存在著測試效果較差的問題，難以滿足實際情況中復雜多變的入侵檢測系統IDS測試需求。

發明內容

本申請提供了基于真實攻擊流量的設備安全能力檢測方法及測試系統，用于對現有技術中利用黑客工具進行的入侵檢測系統IDS測試方案進行進一步的優化，進而在還原真實攻擊行為的同時可以獲得更為高效、精確的入侵檢測系統IDS測試效果。

第一方面，本申請提供了一種基于真實攻擊流量的設備安全能力檢測方法，方法包括：

攻擊端確定了靶機端側的測試目標后，對不同的測試流程進行編排調用執行，產生相應的攻擊報文，其中，測試流程是由多個黑客工具組合工作得到的固定流程，測試目標配置有入侵檢測系統IDS；

攻擊端向測試目標發送攻擊報文，以進行攻擊模擬；

在攻擊過程中靶機端獲取測試目標的監聽結果，并向攻擊端反饋監聽結果；

攻擊端根據監聽結果，確定測試目標的入侵檢測系統IDS安全能力。

結合本申請第一方面，在本申請第一方面第一種可能的實現方式中，攻擊端確定了靶機端側的測試目標后，對不同的測試流程進行編排調用執行，產生相應的攻擊報文之前，方法還包括：

攻擊端配置不同黑客工具，得到能力集；

攻擊端對能力集中的不同黑客工具，自由編排形成不同的測試流程，得到經驗集，供調用其中測試流程進行編排調用執行。

結合本申請第一方面第一種可能的實現方式，在本申請第一方面第二種可能的實現方式中，不同黑客工具的探測能力包括端口掃描能力、漏洞掃描能力和子域名掃描能力。

結合本申請第一方面，在本申請第一方面第三種可能的實現方式中，在攻擊過程中靶機端獲取測試目標的監聽結果，包括：

在攻擊過程中靶機端根據監聽端口列表所描述的端口信息，監聽測試目標對應端口的端口行為，得到一種監聽結果。