未知二进制协议的报文分割方法

基于网络轨迹的协议逆向工程使用捕获的数据包进行分析,进而逆向未知协议的格式等信息。该文提出了一种利用二进制协议在网络通信过程中使用报文序列数据集来推断消息字段划分的新方法HV。该方法首先利用定义的测度分析各条消息中的值分布,分析报文的内部结构,对字段边界初次划分。接着利用消息序列之间所隐藏的统计信息对字段边界再次划分。最后将两次划分的结果结合,生成最终的字段划分结果。此前的研究很少利用每个消息内部的结构特征,而是通过比较多条消息得出结论。对于消息之间的统计特征,该文仅仅比较相邻的消息,而不是相互比较多条消息。此外,该文还定义了格式匹配分数,用于消息字段划分的质量的度量。将格式匹配分数应用于HV和以前的方法的对比实验中,进而验证HV字段划分的质量。由于HV在水平分析上利用了消息的内部结构,并且在垂直分析中只比较相邻消息之间的异同,因此HV不仅具有较好的字段划分效果,而且只有线性复杂度。     

基于状态相关字段的二进制协议状态机推断

在通信协议规范中,报文的格式类型与状态类型不存在一一映射关系,通过聚类较难将格式类型相同、状态类型不同的报文分离。为此,提出一种基于状态相关字段的二进制私有协议状态机推断方法。根据最长公共子序列距离进行状态相关字段识别,以获取协议会话的行为逻辑相似性。构建基于邻接表的初始状态机,对其进行异常会话去除与相似状态合并,从而降低协议状态机的规模。在TCP协议和SMB协议数据集上的测试结果表明,该方法能够有效推断二进制私有协议状态机,其准确率与召回率均较高。     

基于概率模型检测的SysML活动图验证方法

针对系统建模语言(systems modeling language,SysML)活动图模型无法进行精确的形式化分析与验证的问题,在研究现有模型检测的基础上,提出使用概率模型检测器(PRISM)对SysML活动图模型进行检测的分析验证框架,并提出一种把SysML活动图转化为相应的PRISM可执行模型的转化规则。利用该转化规则可以把SysML活动图模型转化为概率模型检测器支持的格式,实现对模型的精确分析和定量验证。实验结果表明,该规则能够有效对SysML活动图模型进行转化,为模型检测提供支持。     

基于静态二进制分析的工控协议逆向解析

针对传统的协议解析方法在工业控制系统中的局限性,提出了一种适用于工业控制系统通信协议的协议逆向分析方法。该方法的算法思想来源于动态污点算法,算法实现基于静态二进制分析平台IDA Pro及其提供的软件开发接口,解析结果可直接为模糊测试提供语义参考。该算法包括预处理、交叉引用分析、协议帧重构和语义提取等步骤,具有针对性强、通用性好的特点。将算法实现后应用于某组态软件,能够得到正确的分析结果,证明了该方法的正确性与有效性。     

抗噪的应用层二进制协议格式逆向方法

现有的基于网络流量的二进制协议格式逆向方法通过比对多个相同类型的报文来推导协议格式,但报文集中的噪声报文会导致协议格式识别准确率较低,为此文章提出一种自动化去除噪声并推断协议格式的方法.该方法首先挖掘报文序列每个位置上的频繁项,识别出报文集中的特殊标识(FD);然后根据每个位置上FD的频率之和有效去除噪声报文;接着根据...     

基于划分的二进制文件相似性比较方法

针对传统文件结构化相似性比较法中采用基本块(BB)一对一映射而造成的巨大时空消耗及基本块比较结果的绝对化问题,提出一种基于划分思想的文件结构化相似性比较方法。该方法首先对用于基本块比较的小素数积法进行改进,通过改进方法将函数内的基本块进行分类,再结合基本块签名与属性的权重求得基本块间的相似率,从而计算出最终的函数相似率及文件相似率。通过函数相似率比较实验分析,与未考虑划分思想的绝对化基本块比较算法相比,该方法在比较效率及准确率上均有所提升。实验结果表明,该方法在减少比较时间的同时提高了比较准确率,在实际二进制文件相似性比较的应用中更可行。     

基于状态标注的协议状态机逆向方法

协议状态机可以描述一个协议的行为,帮助理解协议的行为逻辑。面向文本类协议,首先利用统计学方法提取表示报文类型的语义关键字;然后利用邻接矩阵描述报文类型之间的时序关系,基于时序关系进行协议状态标注,构建出协议的状态转换图。实验表明,该方法可以正确地描述出报文类型的时序关系,抽象出准确的状态机模型。     

匿名协议WonGoo的概率模型验证分析

Internet隐私的一个主要问题是缺乏匿名保护．近年来，人们已经针对这一问题做了很多工作．然而．如何利用已有的形式化方法分析匿名技术却是一个极具挑战的问题．对P2P匿名通信协议WonGoo进行了形式化分析．利用离散时问Markov链模型化节点和攻击者的行为．系统的匿名性质采用时序逻辑PCTI，进行描述．利用概率模型验证器PRISM对WonGoo系统的匿名性进行了自动验证．结果表明WonGoo的匿名性随着系统规模的增加而增加；但却随着攻击者观察到的源自同一个发送者的路径的增加而降低．另外，匿名路径越长，系统的匿名性越强．     

基于子图划分的多尺度节点分类方法

为了解决深度图神经网络中存在的过平滑问题，提出一种基于子图划分的多尺度节点分类方法。该方法以Graph-Inception网络结构为核心，采用一种基于子图划分的数据预处理方法，通过改变图中的网络结构，优化特征聚集方式，有效地抑制了冗余搜索带来的过平滑问题；利用不同尺寸卷积核的组合来提取目标节点多尺度邻域的特征信息，以实现对图神经网络深度扩展的等效，一定程度上抑制了深层网络结构带来的过平滑问题。实验结果表明，该方法能够有效地抑制图神经网络中出现的过平滑问题，在基准数据集PPI、Reddit和Amazon上的分类准确率都得到了不同程度的提高。     

基于值分布统计与Apriori的风电场报文字段划分与相关性分析

针对风力发电监控系统使用私有协议而带来的网络安全隐患问题，本文提出了基于值分布统计与Apriori的风电场报文字段划分与相关性分析方法。采用值分布统计方法，将报文初步划分为固定字节、多值字节与高度可变字节；采用人工经验与位翻转率方法，确定字段边界，完成高度可变字段类型的划分；采用通过Apriori算法，分析报文字段值变化趋势之间的关系，挖掘潜在的关联规则，完成字段相关性分析。测试结果表明方法能够有效推断报文格式并分析报文字段之间的相关性。     

基于信息论的图K划分方法

图划分问题是一个NP完全问题,很难在多项式时间内获得一个最优解。为快速获得一个图划分的近似最优解,研究了信息论中的相关知识,设计了一个基于信息论的求解图K划分的近似算法。该算法通过快速求解各节点的自信息及熵,获得各节点集之间的相关性,从而获得相应的划分。经分析,该算法的时间复杂度为O(V2)。实验结果表明,该算法获得的解同工具metis的求解效果相当,且在时间上明显优于metis工具。     

基于概率模型的进程调度量化分析

通过简化进程的状态转换关系,在给定了7个假设条件和2个近似分布的条件下,建立了进程调度的概率模型,在该模型的指导下,深入分析了进程调度的几个定量化指标。     

基于动态二进制分析的网络协议逆向解析

研究未知网络协议逆向解析技术在网络安全应用中具有重要的意义。基于此,介绍网络协议逆向解析技术的发展现状,分析基于网络轨迹和基于数据流的2种主要解析方法,提出一种基于动态二进制分析技术的逆向解析方法,并选取DynamoRIO平台作为支撑,实现对数据流信息的记录和分析,从而解析出单条协议消息中主要的协议域。     

字段密钥产生的几个方法

本文研究字段一级的数据库加密的密钥问题,我们给出四种字段密钥产生方法,并说明它们都优于Denning的方法。     

基于概率模型检测的软件缺陷定位方法

软件缺陷的存在导致软件无法满足用户的需求,如何高效高质量地定位缺陷是消除软件缺陷的关键.基于模型的缺陷定位技术是当前的研究热点,可以用于检测软件系统故障找到软件失效的原因.现有基于模型的缺陷定位技术中,未考虑非相邻节点间传递依赖和测试用例对可疑度的影响,导致缺陷定位精度和效率低.提出了基于概率模型检测的软件缺陷定位方法(probabilistic model checking method for software fault location,PMC-SFL),首先提出一种程序概率模型用于提高模型的推理能力;然后设计了基于执行路径构建程序概率模型的学习算法;最后设计了基于概率模型检测的软件缺陷定位算法,用于缺陷定位分析.通过在公共数据集Siemens上进行实验和分析,表明了PMC-SFL方法与五种现有的缺陷定位方法RankCP、BNPDG、Tarantula、SOBER和CT相比,具有更高的软件缺陷定位精度和效率.     

一种显示任意数据库字段的通用方法

贵刊95年第一期介绍的魏峰湖、高又培（长春地质学院）两位同志的文章《利用FOXBASE显示任意数据库记录的方法》，看后很受启发。该程序实用、灵活、通用，编程思路较好。使用起来可以一屏幕显示多个记录，又可以利用上下左右、PgUp、PgDn、Home、End等键快速移动记录，使用者可以随心所欲察看记录内容，达到了在MIS中模拟BROWSE的功能。但是，在仔细阅读了衣程序，并录入计算机运行后，发现了几个问题：l计算每屏显示字段个数不对，造成屏幕混乱。原程序的设计（程序TYXSIPPRG中第9～门行）只要当前列的显示位置小于76，即继…