(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211230867.7 (22)申请日 2022.10.10 (71)申请人 北京知其 安科技有限公司 地址 102200 北京市昌平区回龙观东大街 318号院1号楼5层51 1(昌平示范园) (72)发明人 聂君　张游知　孟繁强　张践鳌　 姚逸　宫华　石天浩　吴佳波　 陈瑜　 (74)专利代理 机构 北京维正专利代理有限公司 11508 专利代理师 何爽 (51)Int.Cl. H04L 9/40(2022.01) (54)发明名称 检测流量安全监测设备的方法、 攻击请求生 成方法及设备 (57)摘要 本发明涉及网络安全 领域， 具体涉及一种检 测流量安全监测设备的方法、 攻击请求生成方法 及设备， 旨在提高检测 效率。 本发明提出的检测 流量安全监测设备的方法包括： 获取检测任务； 根据任务参数生成与检测任务唯一对应的任务 特征值； 根据检测任务向第一模拟器和第二模拟 器分别发送第一指令和第二指令； 采集流量安全 监测设备的日志文件； 根据日志文件判断流量安 全监测设备的有效性； 其中， 第一指令用于控制 第一模拟器向第二模拟器发送 攻击请求； 第二指 令用于控制第二模拟器向第一模拟器发送响应 信息。 本发明通过在攻击请求中嵌入任务特征 值， 并查看日志文件中是否包含该任务特征值， 从而判断流量安全监测设备的有效性， 极大地提 高了检测效率。 权利要求书3页 说明书8页 附图4页 CN 115296941 A 2022.11.04 CN 115296941 A 1.一种检测流 量安全监测设备的方法， 其特 征在于， 所述方法包括： 根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指令； 采集流量安全监测设备的日志文件； 根据所述日志文件判断所述 流量安全监测设备的有效性； 其中， 所述第一指令用于控制所述第一模拟器向所述第二模拟器发送攻击请求； 所述第二指令用于控制所述第 二模拟器向所述第 一模拟器发送响应信 息， 且所述响应 信息对应于所述 攻击请求成功的情况； 所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。 2.根据权利要求1所述的检测流 量安全监测设备的方法， 其特 征在于， 所述检测任务包括： 任务 参数； 所述第一指令和所述第二指令均包括： 所述任务 参数和任务特 征值； 在所述根据检测任务向第 一模拟器和第 二模拟器分别发送第 一指令和第 二指令之前， 所述方法还 包括： 获取所述检测任务； 根据所述任务 参数生成与所述检测任务唯一对应的所述任务特 征值。 3.根据权利要求2所述的检测流 量安全监测设备的方法， 其特 征在于， 所述检测任务 为一个或多个， 所述日志文件为 一个或多个； 所述任务 参数包括： 所述 流量安全监测设备的型号； 所述攻击请求包 含第一字段， 且所述第一字段中包 含所述任务特 征值； 所述根据所述日志文件判断所述 流量安全监测设备的有效性， 包括： 根据所述第 一模拟器的地址和所述第 二模拟器的地址， 从所述日志文件中筛选出需要 分析的目标文件； 根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型， 确定每个 所述目标文件中第二字段的位置； 查看每个所述目标文件中第 二字段内是否包含某个检测任务的任务特征值， 从而确定 所述目标文件与所述检测任务之间的对应关系； 根据所述对应关系， 判断每个所述检测任务对应的攻击请求是否被所述流量安全监测 设备监测到 。 4.根据权利要求3所述的检测流量安全监测设备的方法， 其特征在于，  所述任务参数 还包括： 攻击类型、 攻击手法、 攻击源网络区域， 以及攻击目标网络区域； 所述根据所述任务 参数生成与所述检测任务唯一对应的所述任务特 征值， 包括： 将所述任务 参数中每 个参数对应的ID和当前时间戳进行组合， 生成任务 ID； 根据所述任务 ID， 利用哈希算法生成所述任务特 征值。 5.根据权利要求 4所述的检测流 量安全监测设备的方法， 其特 征在于， 所述攻击类型包括： 暴力破解、 系统后门访问、 反弹shell、 隧道转发、 漏洞利用、 SQL注 入或跨站脚本攻击； 所述攻击手法包括： 利用漏洞的方式或绕过安全检测的方式； 所述攻击源网络区域 为所述第一模拟器所在的网络区域；权　利　要　求　书 1/3 页 2 CN 115296941 A 2所述攻击目标网络区域 为所述第二模拟器所在的网络区域。 6.一种检测流 量安全监测设备的方法， 其特 征在于， 所述方法包括： 集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和第二指 令； 所述第一模拟器根据 所述第一指令生成攻击请求， 并向所述第 二模拟器发送所述攻击 请求； 所述第二模拟器根据 所述第二指令生成响应信 息， 并向所述第 一模拟器发送所述响应 信息， 且所述响应信息对应于所述 攻击请求成功的情况； 所述集中调度设备采集 流量安全监测设备的日志文件； 所述集中调度设备根据所述日志文件判断所述 流量安全监测设备的有效性； 其中， 所述流量安全监测设备部署于所述第一模拟器和第二模拟器之间的通信节点上。 7.根据权利要求6所述的检测流 量安全监测设备的方法， 其特 征在于， 所述检测任务包括： 任务 参数； 所述第一指令和所述第二指令均包括： 所述任务 参数和任务特 征值； 在所述集中调度设备根据检测任务向第一模拟器和第二模拟器分别发送第一指令和 第二指令之前， 所述方法还 包括： 所述集中调度设备获取 所述检测任务； 所述集中调度设备根据所述任务参数生成与所述检测任务唯一对应的所述任务特征 值。 8.根据权利要求7 所述的检测流 量安全监测设备的方法， 其特 征在于， 所述检测任务 为一个或多个， 所述日志文件为 一个或多个； 所述任务 参数包括： 所述 流量安全监测设备的型号； 所述第一模拟器根据所述第一指令生成攻击请求， 包括： 根据所述任务 参数确定所述 攻击请求中第一字段的位置； 根据所述任务 参数生成所述 攻击请求， 且在所述第一字段中嵌入所述任务特 征值； 所述集中调度设备根据所述日志文件判断所述 流量安全监测设备的有效性， 包括： 根据所述第 一模拟器的地址和所述第 二模拟器的地址， 从所述日志文件中筛选出需要 分析的目标文件； 根据所述流量安全监测设备的型号以及每个所述目标文件对应的攻击类型， 确定每个 所述目标文件中第二字段的位置； 查看每个所述目标文件中第 二字段内是否包含某个检测任务的任务特征值， 从而确定 所述目标文件与所述检测任务之间的对应关系； 根据所述对应关系， 判断每个所述检测任务对应的攻击请求是否被所述流量安全监测 设备监测到 。 9.一种攻击请求 生成方法， 其特 征在于， 所述方法包括： 根据任务 参数确定攻击请求中第一字段的位置； 根据所述任务 参数生成所述 攻击请求， 且在所述第一字段中嵌入 任务特征值； 其中，权　利　要　求　书 2/3 页 3 CN 115296941 A 3