基于私有协议的单向数据传输设备

针对不同安全等级网络之间数据单向传输的需求,提出一种单向代理传输协议,该协议运行在计算机网络体系中的网络层,是一种非IP协议,介绍该私有协议的报文结构、网络模型和封装过程.基于该私有协议,在申威国产化平台上设计一款单向数据传输设备,分析设备适用的业务场景,搭建测试实验环境,对设备的文件传输带宽、TCP报文传输时延和UDP数据传输时延等性能进行测试,验证了单向代理传输协议在单向数据传输设备中的网络传输性能.     

针对异构协议的动态解析器模型

介绍了异构协议报文格式和特点,通过使用XML语言描述可扩展协议报文的方法,以简单协议解析为基础,将解析器功能模块化,从而设计此异构协议动态解析器模型.应用此模型实现不必重新编译,只需进行少量代码修改,即可完成异构协议报文自动模型匹配,进而完成报文数据解析.针对两种简单协议进行模型应用,结果表明使用XML语言描述协议报文的方法及可重构的解析器能够有效地描述和解析异构协议报文,获得可靠的解析结果.     

基于值分布统计与Apriori的风电场报文字段划分与相关性分析

针对风力发电监控系统使用私有协议而带来的网络安全隐患问题，本文提出了基于值分布统计与Apriori的风电场报文字段划分与相关性分析方法。采用值分布统计方法，将报文初步划分为固定字节、多值字节与高度可变字节；采用人工经验与位翻转率方法，确定字段边界，完成高度可变字段类型的划分；采用通过Apriori算法，分析报文字段值变化趋势之间的关系，挖掘潜在的关联规则，完成字段相关性分析。测试结果表明方法能够有效推断报文格式并分析报文字段之间的相关性。     

多协议交叉的HMM协议异常检测算法

随着网络攻击的不断多样化,现有的协议异常检测工作在准确率和实时性方面面临新的挑战。针对目前的协议异常检测方法只面向单一协议的恶意攻击而未考虑协议之间的关联,提出一种基于HMM的协议异常交叉检测算法。使用多个协议的语义关键词和时间标记来构造报文序列作为模型的训练集,提出协议报文语义合并算法并结合Baum-Welch算法构建多协议交叉的HMM,在序列化协议报文的同时收集子序列重复数来进一步校验HMM对存在大量循环操作的攻击行为的检测。通过在视频监控网络中进行仿真实验,证明该检测算法同现有的HMM异常检测方法相比,可以更准确地检测多种恶意攻击,同时具有一定的通用性。     

基于知识图谱的协议转换方法研究

互联网＋政务大数据具有跨领域、多协议、难融合的特点。在大数据采集汇聚过程中,存在多种协议转换的需求,要求网关能够实现统一协议适配转换,为多源异构数据汇聚和数据融合提供数据支撑。传统的协议转换方法通常针对特定的协议转换需求设计的,可扩展性较差,不适用于多种协议转换。该文拟通过研究分析协议报文结构及协议转换特点,提出一种协议转换知识图谱的构建方法。通过构建图谱的模式层以及数据层,建立含有协议报文结构和报文字段映射关系的协议转换知识图谱。并在此基础上提出一种基于知识图谱的协议转换方法,以实现不同协议之间的报文转换。同时,通过协议转换应用实例以及与已有协议转换方法的对比实验,验证了该方法的有效性。     

基于状态相关字段的二进制协议状态机推断

在通信协议规范中,报文的格式类型与状态类型不存在一一映射关系,通过聚类较难将格式类型相同、状态类型不同的报文分离。为此,提出一种基于状态相关字段的二进制私有协议状态机推断方法。根据最长公共子序列距离进行状态相关字段识别,以获取协议会话的行为逻辑相似性。构建基于邻接表的初始状态机,对其进行异常会话去除与相似状态合并,从而降低协议状态机的规模。在TCP协议和SMB协议数据集上的测试结果表明,该方法能够有效推断二进制私有协议状态机,其准确率与召回率均较高。     

工控协议逆向分析技术研究与挑战

近年来,工业互联网的安全事件日益频发,尤其是工业控制系统(industrial control system, ICS),该现象揭示了目前ICS中已经存在较多的安全隐患,并且那些针对ICS安全隐患的大多数攻击和防御方法都需要对工控协议进行分析.然而,目前ICS中大多数私有工控协议都具有与普通互联网协议完全不同的典型特征,如结构、字段精度、周期性等方面,导致针对互联网协议的逆向分析技术通常都无法直接适用于工控协议.因此,针对工控协议的逆向分析技术已经成为近几年学术界和产业界的研究热点.首先结合2种典型工控协议,深入分析和总结了工控协议的结构特征.其次,给出了工控协议逆向分析框架,深入剖析了基于程序执行和基于报文序列的工控协议逆向分析框架的特点,并依次从人机参与程度和协议格式提取方式这2个角度,重点针对基于报文序列的工控协议分析方法进行详细阐述和对比分析.最后探讨了现有逆向分析方法的特点及不足,并对工控协议逆向分析技术的未来研究方向进行展望与分析.     

核电厂工控网络私有通信协议测试方法研究

核电厂的工控网络结构复杂、设备众多,且大部分采用商业秘密的私有通信协议。通信效率和通信质量是常见的系统故障原因。为解决私有通信协议难以测试的问题,通过研究核电厂工控网络私有协议的特征、应用场景和通信的质量属性,采用嵌套的类型-长度-数据（TLV）报文描述技术,提出一种通用的工控网络私有通信协议的测试方法。该方法具有灵活度高、适用范围广、自动化程度高等特点,满足了通信质量的测试要求。该方法结合物理层的硬件适配,可用于核电厂工控网络中不同工控设备、不同私有协议的通信质量测试,有效提高网络运行过程中的安全性和稳定性。     

网络拓扑发现算法的设计与实现研究

传统的拓扑发现算法是基于SNMP协议的,能够很好的发现网络主拓扑,但是对于子网却往往出现发现不完整的情况。针对这一个问题,本文提出了基于ICMP（Internet Control Messages Protocol,网间控制报文协议）协议的方法,来得到完整的子网结构。     

基于网络流量的私有协议逆向技术综述

协议逆向技术是分析私有协议的重要途径,基于少量或零先验知识推断私有协议的约束与规范.在恶意应用监管、协议模糊测试、脆弱性检测、通信行为理解等方面均具有较高的实用价值.网络流量表征协议规范,承载协议固有特征,因此基于网络流量的私有协议逆向技术更适用于发现、分析并监管网络上的私有协议.在梳理现有的基于网络流量的私有协议逆向技术基础上,首先提出包括预推理、协议格式推断、语义分析以及协议状态机推理4步骤的基于网络流量的私有协议逆向技术框架,并阐述各个步骤的主要任务,提出面向研究方法本质的分类结构;其次,详细阐述各个私有协议逆向技术的方法流程,从适用协议类型、方法内核、推断算法等多个角度进行对比分析,提供现有基于网络流量的私有协议逆向技术系统概述;最后,归纳总结现有技术存在的问题以及主要影响因素,并对私有协议逆向技术的未来研究方向与应用场景进行展望.