基于网络轨迹的协议逆向技术研究进展

协议逆向广泛应用于入侵检测系统、深度包检测、模糊测试、僵尸网络检测等领域.首先给出了协议逆向工程的形式化定义和基本原理,然后针对网络运行轨迹的协议逆向方法和工具从协议格式提取和协议状态机推断两个方面对现有的协议逆向方法进行了详细分析,阐释其基本模块、主要原理和特点,最后从多个角度对现有算法进行了比较,对基于网络流量的协...     

工控协议逆向分析技术研究与挑战

近年来,工业互联网的安全事件日益频发,尤其是工业控制系统(industrial control system, ICS),该现象揭示了目前ICS中已经存在较多的安全隐患,并且那些针对ICS安全隐患的大多数攻击和防御方法都需要对工控协议进行分析.然而,目前ICS中大多数私有工控协议都具有与普通互联网协议完全不同的典型特征,如结构、字段精度、周期性等方面,导致针对互联网协议的逆向分析技术通常都无法直接适用于工控协议.因此,针对工控协议的逆向分析技术已经成为近几年学术界和产业界的研究热点.首先结合2种典型工控协议,深入分析和总结了工控协议的结构特征.其次,给出了工控协议逆向分析框架,深入剖析了基于程序执行和基于报文序列的工控协议逆向分析框架的特点,并依次从人机参与程度和协议格式提取方式这2个角度,重点针对基于报文序列的工控协议分析方法进行详细阐述和对比分析.最后探讨了现有逆向分析方法的特点及不足,并对工控协议逆向分析技术的未来研究方向进行展望与分析.     

未知协议的逆向分析与自动化测试

在工业控制、军事通信、金融信息等创新型网络中,大量未知(私有或半私有)协议被广泛采用.对通信协议及其实现进行严格的测试是确保网络系统安全性的重要手段,现有测试手段与方法大多只能针对已知协议进行,未知协议的广泛采用对协议测试提出了挑战.本文提出了针对未知协议的逆向分析与自动化测试方法,其基本思想是基于对协议流量的逆向分析,识别出协议特征,动态生成多维测试数据,自动监控被测系统的运行状态,获得准确的测试结果,为系统安全可靠运行提供依据.具体贡献包括:(1)自动化模糊测试框架;(2)基于协议特征库的逆向分析方法;(3)基于多维变异的测试数据生成方法;(4)基于主动探测的测试执行与异常定位方法.本文设计实现了自动化测试工具UPAFuzz,试验结果表明,UPAFuzz能够基于网络流量实现协议特征的自动识别,并自动生成海量模糊测试数据,对被测系统进行测试;在生成的测试数据量达到千万级时,UPAFuzz的内存占用率为现有模糊测试工具Boofuzz的50%,且其耗时仅为Boofuzz的10%,大大提升了测试执行效率.     

抗噪的应用层二进制协议格式逆向方法

现有的基于网络流量的二进制协议格式逆向方法通过比对多个相同类型的报文来推导协议格式,但报文集中的噪声报文会导致协议格式识别准确率较低,为此文章提出一种自动化去除噪声并推断协议格式的方法.该方法首先挖掘报文序列每个位置上的频繁项,识别出报文集中的特殊标识(FD);然后根据每个位置上FD的频率之和有效去除噪声报文;接着根据...     

自动协议逆向工程研究综述

全面梳理了该领域国内外相关文献,归纳分析了自动协议逆向工程的研究现状和发展趋势。为了更清晰地刻画不同方法的特点和比较异同,提出一种基于协议逆向工程输出结果的分类方法,将协议逆向方法分为侧重于协议格式提取、侧重于协议状态机推断、侧重于完整协议规范描述、侧重于其他输出结果四类,并据此进行分析和比较。基于目前的进展情况和进一步的问题剖析发现,复杂交互场景分析、链路层协议逆向、加密协议分析以及协议状态机优化等应作为自动协议逆向工程领域下一步的重点研究方向。     

非标工业控制协议格式逆向方法研究

协议安全是工业控制系统信息安全中的一项重要内容,非标协议格式的正确识别是协议安全分析的基础。基于工控系统行业现状和工控协议的结构确定、传输重复、语义有限的特性,提出了基于网络流量的非标准工控协议逆向识别方法,通过单报文处理进行初步分词聚类,多报文处理进行报文序列比对,关键字段推断语义,最终得到协议格式。验证结果表明,该方法能较好地识别非标工控协议格式。     

基于数据流分析的网络协议逆向解析技术

对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。     

面向比特流的未知协议识别与分析技术综述

在日益严峻的网络安全形势下,为确保信息的安全性,大量的网络应用开始采用未知的私有协议进行数据传输,尤其是在军事对抗中的战场无线通信网络下,通信所采用的协议不仅未知,还有可能被加密。要从截获的通信比特流中提取可用信息并加以利用,推断出以比特流形式存在的未知协议的报文格式是首要前提。首先从整体上介绍了现有面向比特流的协议识别研究领域所涉及的主要内容,重点分析了现有未知协议格式推断方法,包括频繁模式挖掘、关联规则挖掘、比特流帧切分以及协议格式推断,最后总结其优缺点及下一步研究方向。     

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。     

一个安全协议度量方法及其应用

简要说明了对安全协议进行协议度量和冗余度量的一个基于模态逻辑方法,形式化地给出了协议对安全目标满足度的度量方法定义,并讨论了相应的协议冗余分析和化简方法。给出了对安全协议的内容进行逻辑比较的准则,结合实例分析了两个协议之间的逻辑包含关系。讨论结合逆向推理的两个应用：对基于模态逻辑的协议分析中隐含假设的分析方法,协议设计和生成方法。     

基于流量分析的 P2P 协议识别方法的研究

鉴于目前国内互联网现状，基于各种P2P协议的网络流量飞速增长并占据了大部分的网络带宽。各级运营商以及企业网络管理部门要想对基于各种P2P协议的网络流量进行有效管理、提升用户体验，就一定要攻克其瓶颈技术——P2P协议的识别。本文主要对一种新的协议识别思路——通过网络流量信息识别P2P协议的方法进行了研究。     

基于状态相关字段的二进制协议状态机推断

在通信协议规范中,报文的格式类型与状态类型不存在一一映射关系,通过聚类较难将格式类型相同、状态类型不同的报文分离。为此,提出一种基于状态相关字段的二进制私有协议状态机推断方法。根据最长公共子序列距离进行状态相关字段识别,以获取协议会话的行为逻辑相似性。构建基于邻接表的初始状态机,对其进行异常会话去除与相似状态合并,从而降低协议状态机的规模。在TCP协议和SMB协议数据集上的测试结果表明,该方法能够有效推断二进制私有协议状态机,其准确率与召回率均较高。     

一种基于报文序列分析的半自动协议逆向方法

基于报文序列分析的协议逆向方法在自动化分析过程中缺乏对人工知识的引入.为此,提出一种半自动协议逆向方法.通过人工输入的方式,将先验知识加入到报文分析中,用于指导报文的语义推断,并对分析结果进行人工纠正.实验结果表明,该方法能提高报文分析的效率和准确率.     

协议状态机推断技术研究进展

介绍了协议逆向工程中协议状态机推断的研究进展.从状态机推断与正则语言学习的关系出发,分析了协议状态机推断的目标与需求;然后依据分析对象不同,将协议状态机推断分为基于指令序列和报文序列两大类,进一步将基于报文序列的状态机推断分为主动推断和被动推断两种;研究分析了各层面涉及到的方法与技术,并作出了评价与比较.最后对协议状态机推断研究的发展趋势进行了展望.     

基于状态机子图同构匹配的私有工控协议溯源

在对工业互联网设备私有工控协议进行安全分析时,溯源其采用的工控网络协议标准十分困难。文章提出一种基于状态机子图同构匹配的私有工控协议溯源方法,可快速匹配私有工控协议所采用的工控网络协议标准。该方法首先对私有工控协议流量数据进行逆向解析,通过聚类算法提取消息格式和关键字段,根据关键字段构造增广前缀树(Augmented Prefix Tree Acceptor,APTA),推断出协议状态机图;然后采用子图同构匹配算法将该状态机图与工控协议标准状态机图进行子图匹配,解决流量数据有限导致生成状态机图不完整的问题。实验结果表明,该方法溯源准确率在95%以上,可快速定位私有协议采用的工控网络协议标准,从而为进一步的安全分析提供帮助。     

一种新型的网络协议分析模型

网络协议分析是网络安全及网络监管等应用中的一种关键技术,当前主要是根据已知公开的协议规则以及协议消息数据包格式对协议进行分析.而对于未公开协议的分析技术的研究,有了一些新的进展,但还不成熟.结合现有协议分析技术的优点及特长,设计一种既能分析公开的协议又能分析未知协议的准确、高效的协议分析模型.     

基于位置的自动化网络流协议逆向分析方法

现有自动化网络流协议逆向分析方法处理含有大量二进制报文数据的协议时难以准确推断报文格式。为此,提出一种改进的自动化网络流协议逆向分析方法(PoKE)。通过为关键词添加位置属性,提取出二进制报文数据中长度较短的关键词。利用关键词对报文进行标记,根据标记序列建立协议状态转移模型,同时采用基于报文分割和关键词提取的递归循环方式,实现更全面的关键词信息提取。实验结果表明,与Biprominer方法相比,PoKE方法能提取出更多的关键词信息,从而建立更精确的二进制协议模型。     

基于SNMP协议的网络流量监控管理系统的研究

伴随着科学技术的发展，网络通信技术在不断的发展之中，在各个行业中的应用也越来越广泛，其中在高校和企业网中应用比较多，由于网络流量形式的复杂，因此对网络流量的监控和管理显得非常的重要。本文就主要针对基于SNMP协议的流量监控管理系统进行了探讨。     

一个安全两方共享秘密的乘法协议

安全多方计算在军事、商业等领域具有重要的应用前景,已经引起众多信息安全研究者的重视.保护私有信息的共享秘密乘积计算问题是一个特殊的安全多方计算问题,而现有的安全乘法协议没有考虑多项式插值共享秘密的情况.本文设计一个安全两方多项式乘法协议,基于该协议提出一个安全两方共享秘密的乘法协议,并给出协议的正确性、安全性和复杂性的分析.     

网络协议识别技术综述

网络流量的协议类型识别是进行协议分析和网络管理的前提,为此研究综述了网络协议识别技术。首先,描述了网络协议识别的目标,分析了协议识别的一般流程,探讨了协议识别的现实需求,给出了评估协议识别方法的标准;然后,从基于数据包的协议识别和基于数据流的协议识别两个类别分析了网络协议技术的研究现状,并对协议识别的各类技术进行了比较分析;最后,针对目前协议识别方法的缺陷和应用需求,对协议识别技术的研究趋势进行了展望。