[发明专利]一种基于FPGA的高并行大吞吐量渗透测试系统及方法

说明书

本发明公开了一种基于FPGA的高并发大流量渗透测试系统及方法，该系统包括渗透测试板卡和处理器；处理器包括任务配置模块、任务编排模块、渗透测试任务生成模块和渗透测试系统数据库，任务编排模块根据配置的测试目标的参数构建测试任务集合，从中选取一个或多个测试任务，由渗透测试任务生成模块生成渗透测试任务，将渗透测试任务及测试DAG图发送至渗透测试板卡；接收渗透测试板卡反馈的关键字段信息，并对其进行漏洞分析；渗透测试板卡接收渗透测试任务，根据存储的测试DAG图生成测试数据，封装成数据包发送至被测目标，并接收被测目标反馈的信息，解析出关键信息发送至任务编排模块。本发明提高了测试速度，能够快速对大规模场景的漏洞进行测试。

技术领域

本发明涉及网络测试数据产生领域，具体涉及一种基于FPGA和测试DAG图的高并行大吞吐量渗透测试系统及方法。

背景技术

渗透测试指在签署协议的条件下模仿网络渗透测试，测试被测目标的网络安全防御系统的安全性和健壮性。渗透测试需要具备渗透测试执行标准中的各种渗透测试行为，包括情报搜集、漏洞扫描等。随着互联网成为电子商务、信息交换的主要途径，任何企业在开启网络服务之前必须要对服务器或数据中心的网络安全进行评估，渗透测试因此成为了重要的网络测试手段，广泛用于各类网络的建设、维护、升级过程，具有广阔的市场。它在网络安全测试方面具备同时测试多个目标和多种漏洞、高度自动化、被测目标反馈数据实时处理、能够均衡板卡任务负载的特点。

当前的渗透测试执行主要有两种方法：第一种是由大量网络专家构成的渗透测试团队，以手动输入的方式发送渗透测试报文，分析反馈结果，最后给出测试结果，第二种是利用软件实现自动化的渗透测试。这两种方式各有优缺点：渗透测试团队需要大量人力且处理时间冗长，但专业团队能够针对漏洞给出创新性方法，测试强度更高；利用软件实现的自动化测试能够按照手动输入的参数和预设模板进行自动化渗透测式，较人工方式操作简单，但没有专业的硬件做支撑，测试速率和测试并行并发数受到极大限制。综上，上述方式以跟不上互联网发展的速度。

在现有软件方案中，Metasploit集成了多种渗透测试工具，包含了图形化界面、渗透测试载荷生成器、编码器等，但只能够在软件层面提供测试流程配置和自动化测试，无法配合硬件板卡进行更高效率的并行并发测试。在现有仪器设备中，如Spirent公司的Avalanche中采用预存的渗透测试模板生成测试数据流，主要针对已知漏洞进行测试和模糊测试。

手工渗透测试周期极长，在针对漏洞库进行快速渗透测实时多采用自动化渗透测试。现有渗透测试自动化方案以软件实现，存在并行并发数不高、测试速度缓慢的问题，并且应用于大规模网络系统(如云数据中心、公司内部网络等)时，难以在新漏洞爆发后，快速对多平台、多租户、异构软件环境进行高并发、大流量的高效渗透测试，且整个测试过程无法进行负载均衡管控，无法在多个端口上实现实时反馈数据处理。

发明内容

为了克服上述现有技术的不足，本发明提供了基于FPGA的高并行大吞吐量渗透测试系统及方法，将采用图数据库存储渗透测试过程，使用处理器同时运行多个渗透测试任务，测试运行过程中将测试子图缓存到板卡DDR3中，使用高性能FPGA加板载CPU实现测试数据流的生成和被测试目标反馈信息的解析，设计了负载均衡模块及算法来保证板卡上多个端口负载均衡、吞吐量达到最大。

本发明所采用的技术方案是：

一种基于FPGA的高并发大流量渗透测试系统，包括渗透测试板卡和处理器；

所述处理器包括任务配置模块、任务编排模块、渗透测试任务生成模块和渗透测试系统数据库，其中，

所述任务配置模块，负责配置并行测试目标及其参数；