[发明专利]基于KS检测的靶场环境中最大化攻击流量方法与装置

说明书

本发明公开了一种基于KS检测的靶场环境中最大化攻击流量方法与装置，该方法通过统计每次攻击流量的响应时间，分别计算指定时间窗口及其最近子时间窗口内的两个响应时间分布，并判断是否为同一分布，对于不属于同一分布的情况，先尝试增大攻击流量以确定流量调整方向，再通过增大或减小对目标节点的攻击流量使得两个响应时间分布属于同一分布，以最大化攻击流量。与现有技术相比，本发明通过使用KS检测算法评测目标节点负载，动态调整针对目标节点流量大小，使得整个靶场不会因某节点过载导致流量失衡，或流量过小影响靶场整体训练、验证效果。

技术领域

本发明属于网络安全领域，具体涉及一种基于KS（Kolmogorov-Smirnov）检测的靶场环境中最大化攻击流量方法与装置。

背景技术

网络靶场是通过虚拟化技术，模拟仿真出真实网络空间攻防作战环境，能够支撑作战能力研究和武器装备验证的试验平台。为了达到上述目的，在实际的训练或者验证过程中，需要对被研究的目标节点（即靶机）施加攻击流量以模拟真实环境中的各种复杂场景，攻击流量的大小与研究结果的鲁棒性成正比。

网络靶场的部署如图1所示，主要由目标节点、攻击节点、控制节点以及各种网络交换设备组成。目标节点：网络靶场中的靶机，该类型节点用来支撑作战能力研究和武器装备验证，为流量的接收节点（被攻击节点）；攻击节点：流量发生节点，用来向目标节点发送攻击流量以达到模拟真实环境的目的；控制节点：管理流量发生行为（如每分钟至少100次流量、持续1小时）；交换机/路由器：网络交换设备，网络中的消息流转中介。

实际靶场使用过程中，触发攻击流量需要包括如下几步：1、根据实验需求，构建靶场的网络拓扑；2、对靶场中每个目标节点设置攻击流量行为参数（攻击频次、攻击时长等）；3、启动靶场网络拓扑，进行相应训练操作；4、通过控制节点，触发流量发生行为。攻击节点按照步骤2中预设的流量行为，对每个被攻击节点发送用作干扰的攻击流量。

现有网络靶场流量攻击方式存在如下不足：1、攻击节点无法感知目标节点的负载状态，导致目标节点的流量无法打满，影响最终靶场验证的效果；2、目标节点流量过载的情况下，其响应速度会变慢，因为总IO资源有限，所以该类节点会拖慢攻击节点的流量发送频率；攻击节点发送频率降低，影响其对靶场中其他被攻击节点的流量发送效率，进而导致整个靶场攻击流量失衡，形成雪崩效应，降低靶场的实验效果；3、攻击节点只能根据在控制节点中预设的简单流量行为（如每分钟100次）对目标节点发送流量，无法根据目标实际负载动态调整攻击流量；预设流量更多的是经验数据，和目标节点的实际流量接收能力不完全一致。

发明内容

发明目的：针对上述现有技术的不足，本发明的目的是提供一种基于KS检测的靶场环境中最大化攻击流量方法与装置，通过使用KS检测算法评测目标节点负载，动态调整针对目标节点流量大小。使得整个靶场不会因某节点过载导致流量失衡，或流量过小影响靶场整体训练、验证效果。

技术方案：为实现上述发明目的，本发明所述的一种基于KS检测的靶场环境中最大化攻击流量方法，包括如下步骤：

步骤1：攻击节点对目标节点发送攻击流量，并统计每次攻击流量的响应时间；

步骤2：获取指定时间窗口内的目标节点响应时间序列，计算目标节点对攻击流量的第一响应时间分布，并获取指定时间窗口的最近子时间窗口内的目标节点响应时间序列，计算目标节点对攻击流量的第二响应时间分布；

步骤3：基于KS检测判断第一响应时间分布与第二响应时间分布是否为同一分布，若是，则维持现有攻击流量频率，进入步骤7，否则增大对目标节点的攻击流量，进入步骤4；

步骤4：对目标节点的攻击流量增大后，判断目标节点对攻击流量的响应时间是否变长，若是，则进入步骤5，否则进入步骤6；