基于有限状态机的网络协议状态机制检测方法

进行网络稳定性测试时,对网络协议状态机制进行检测可以有效提高测试的全面性.基于有限状态机思想提出了一种协议状态机制检测方法.建立待测协议特定消息发送实体的有限状态机模型,确定输入集合;测试并监测实体的状态转移情况,生成状态转移图;根据状态转移图判定该消息的状态机制,确定有状态协议消息的触发条件,对消息进行归纳分类实现协议状态机制的判定.搭建实验环境,验证了该方法的有效性.     

基于SMV的网络协议形式化分析与验证

提出了采用模型检验方法对网络协议进行形式化分析及自动验证,建立了一个特定网络协议PAR的有限状态机模型,并用模型检验工具SMV验证其正确性,发现了该协议存在的一些缺陷。结果表明,利用符号模型检验方法分析检验网络协议是可行的。     

从程序执行流重构入侵模型的有效方法

建立一种重构网络入侵模型的有效方法,依据入侵实例中所记录的入侵过程的消息流及受害软件实际执行的指令流,通过反编译并应用改进的形式分析及验证技术构建出充分一般的入侵模型。与目前绝大多数基于独立消息特征（signature）的入侵模型不同,该模型能精确给出恶意消息上下文之间的关联模式,表达出入侵过程的动态特征,效率可行并具有逻辑上可证明的精确性。在详细阐述方法的理论基础之后,也讨论了针对安全演化的应用。     

基于模型学习的OpenVPN系统脆弱性分析

OpenVPN在现实网络中有广泛应用,对其安全性进行评估具有重要的现实意义.基于自动机理论中模型学习的方法,利用协议状态模糊测试的技术对OpenVPN系统进行黑盒测试分析,自动化推演出目标OpenVPN系统的状态机.提出了状态机时间压缩模型并进行冗余状态和迁移化简,可以准确得到协议状态机中的行为特征.发现了多条期望行为路径外的特别行为路径及可能的安全隐患,为OpenVPN的安全性评估提供了新的思路与方法,同时对类似缺少协议规范但应用广泛的安全协议的内部设计细节分析具有重要参考意义.     

基于有限状态机协议分析模型的入侵检测系统

基于状态协议分析的入侵检测方法利用网络协议提供的状态信息,把网络攻击过程转化为协议状态迁移,能有效地检测DOS/DDOS等较难检测的攻击.本文对协议分析入侵检测的方法和算法进行了研究,并通过对网络协议和入侵攻击的深入分析,提出了一个基于有穷状态机的状态协议迁移模型.在给出检测算法的形式化描述的基础上根据Snort规则语法扩展实现实验系统,并测试验证了其有效性.     

基于SIP的家庭网关呼叫管理状态机研究与实现

实现高性能的VoIP(Voice over IP)业务是家庭网关研究的热点。会话初始化协议SIP(Session Initiation Protocol)是VoIP技术中被广泛采用的信令控制协议之一。简述SIP协议的基本概念,从消息类型、呼叫流程和媒体协商三方面研究协议的基本原理;对家庭网关上的语音软件进行模块划分,并说明各模块的功能;着重介绍呼叫管理状态机的设计与实现,包括终端状态机和SIP连接状态机的状态、事件、状态变迁及交互。其中终端状态机将模拟电话的硬件状态抽象为不同的逻辑状态,是创新点。经测试,SIP信令流程符合RFC3261标准,具有良好的互通性。相比一般的家庭网关,该语音网关性能达到电信级标准。     

基于文法推断的协议逆向工程

要深入了解网络中的各种应用过程,进而对这些应用进行自动分类、识别、跟踪和控制,首先就要获得代表这些应用会话过程的状态机.为此提出一种新的方法从采集的应用层数据中反推协议状态机.它采用基于差错纠正的文法推断方法,利用应用层协议交互过程中出现的标识符状态序列,逆向工程其协议状态机.为充分挖掘和发挥差错纠正的性能,提出了最佳路径匹配标准确定纠正路径,以及基于概率统计的异常入度区分及其剪枝的方法;通过去重的状态合并和相似行为意义的协议结构化简措施解决状态膨胀问题,从而获取最精简的协议状态机.通过在包含多种应用层协议的实际网络中的实验,验证了该方法的有效性.     

基于数据流分析的网络协议逆向解析技术

对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。     

基于状态机子图同构匹配的私有工控协议溯源

在对工业互联网设备私有工控协议进行安全分析时,溯源其采用的工控网络协议标准十分困难。文章提出一种基于状态机子图同构匹配的私有工控协议溯源方法,可快速匹配私有工控协议所采用的工控网络协议标准。该方法首先对私有工控协议流量数据进行逆向解析,通过聚类算法提取消息格式和关键字段,根据关键字段构造增广前缀树(Augmented Prefix Tree Acceptor,APTA),推断出协议状态机图;然后采用子图同构匹配算法将该状态机图与工控协议标准状态机图进行子图匹配,解决流量数据有限导致生成状态机图不完整的问题。实验结果表明,该方法溯源准确率在95%以上,可快速定位私有协议采用的工控网络协议标准,从而为进一步的安全分析提供帮助。     

基于状态相关字段的二进制协议状态机推断

在通信协议规范中,报文的格式类型与状态类型不存在一一映射关系,通过聚类较难将格式类型相同、状态类型不同的报文分离。为此,提出一种基于状态相关字段的二进制私有协议状态机推断方法。根据最长公共子序列距离进行状态相关字段识别,以获取协议会话的行为逻辑相似性。构建基于邻接表的初始状态机,对其进行异常会话去除与相似状态合并,从而降低协议状态机的规模。在TCP协议和SMB协议数据集上的测试结果表明,该方法能够有效推断二进制私有协议状态机,其准确率与召回率均较高。     

密码协议验证中的Petri网方法

如何验证密码协议的安全性是一个复杂的问题,只有形式化的验证方法才能证明密码协议的绝对正确.利用Petri网给出了一种用于密码协议验证的形式化方法.在合理假设的基础上,区分合法用户与攻击者在执行协议时的前提条件,列出执行协议后的结果,在此基础上建立了攻击者的Petri网模型.最后,用这种方法对NSPK协议进行了验证,证明了最初的NSPK协议中存在一个安全问题,而改进的NSPK协议则消除了这个问题.证明了这种方法的有效性.     

SoC有限状态机优化验证方法研究

利用图论及数学规划方法分析并解决有限状态机验证路径的选择优化,提出一种在仿真验证方法中对SOC有限状态机验证路径进行优化的方法．在C＊Core提供的验证环境中,对其部分Golden File验证任务的有限状态机进行了优化处理,通过原方案的验证时间的对比,表明了该方法可以使用更短的时间有效解决有限状态机验证问题．     

对改进的无线认证协议SSM的分析

针对刘霞提出的改进的Server-specific MAKEP协议,首次利用一种新兴的形式化分析工具—串空间模型对其进行分析。先对协议的机密性进行分析,并运用“理想”和“诚实”两个概念简化分析协议的步骤,证明了rs,rc是保密的,然后对协议的认证性进行分析,分析包括响应者认证和发起者认证。最终结果表明改进的SSM协议能够达到协议的安全目标。     

基于串空间模型的改进性N-S协议的分析

针对缪祥华提出的改进的Needham-Schroeder 协议,利用一种新兴的形式化分析工具——串空间模型对其进行分析。对协议的认证性,包括响应者认证、发起者认证和协议的机密性进行分析,并运用“理想”和“诚实”2个概念简化分析协议的步骤,证明了K, Nb, Nb0是保密的。结果表明改进的N-S协议能够达到协议的安全目标,并与缪祥华分析的结果一致。     

TCP有限状态机和协议解析在伪警报去除中的应用

面对入侵检测系统(IDS)产生的海量警报,提出了一种基于协议解析和传输控制协议(TCP)有限状态机的伪警报去除方法。对于无连接的请求/应答协议,同时分析请求数据包的攻击特征和应答数据包的返回状态码来去除伪警报;对于TCP,在协议分析的基础上建立TCP数据包的有限状态机的模型,通过判断系列数据包是否为同一TCP连接、是否包含攻击序列来去除伪警报。在DARPA2000的数据集上的实验结果表明,此方法的误警率平均降低了59.47%,对TCP和请求/应答协议的警报的识别率达到76.67%。该方法简单又有效,依赖IDS的攻击特征库,可以插件的形式在线实现。     

多单元协议一致性测试中的同步序列的生成

有限状态机模型一般被用来描述通信协议和其它各类的分布式系统,对于一个多端口的有限状态机,需要多个测试单元进行测试,使用一个包括K个（K≥2）测试单元的测试系统可以检查一个多单元通信协议软件的收发行为是否与协议规格一致,在测试过程中,K个测试单元之间可能会出珊步问题,目前,主要是通过增加外部同步操作来解决同步问题,提出了一种新的同步测试序列生成模型－－同步有向图,它可以判断一个给定的协议规格是否可以在不需要外部同步操作的情况下,产生同步测试序列;如果可以产生,则此生成中以将非同步测试相应的同步测试序列;另外此生成模型还可以用来选择为测试系统增加外部同步通道的方法。     

基于标号有限状态机的协议形式描述与验证

本文论述了协议的形式描述与验证的主要技术，讨论了基于标号有限状态机的形式描述与验证问题，给出了应用实例。     

基于Spi演算的SSL3.0安全协议仿真分析

安全协议中的错误和漏洞很难完全由人工来发现,借助形式化方法对其进行分析可以保证安全协议的正确件和完整性。目前安全协议的形式化分析和验证已成为网络安全的研究热点,其中基于Spi演算的模型验证方法足当前的一个重要研究领域。文章介绍了SSL3．0安全协议的握手过程和Spi演算的基本概念,包括基于spi演算认证性的验证方法。存此基础上,基于spi演算形式化地建立了SSL3．0安全协议的仿真模型,给出了分析SSL3．0安全协议的详细过程,最终验证了SSL3．0安令协议的认证性。仿真分析的结果表明,Spi演算能够为安全协议的分析和验证提供可靠和有效的支持。     

BT协议的形式化建模与测试生成

B itTorrent(BT)是基于Peer-to-Peer(P2P)技术的比较流行文件共享软件,BT protoco l是其相关软件实现的一个基本协议.本文对BT协议进行深入的分析,采用有限状态机(FSM,F inite S tate M achine)对BT协议进行形式化建模,描述了正常的共享流程及部分异常处理.然后使用U IO方法生成了BT协议基于FSM模型的一致性测试序列,包括各个状态的U IO序列及各个变迁的测试序列,最后是本文的结论及下一步将要做的研究工作.     

基于同步有向图的同步测试序列生成方法

使用多测试单元的测试系统可以对多端口协议实现进行一致性测试，但是在进行这种一致性测试时，测试系统各个端口之间可能会出现同步问题，现在，解决同步问题常用的办法是在测试单元相应端口之间增加同步连接，然后通过此同步连接相互发送同步消息来进行同步，多端口协议和其它类型的分布式系统可以用有限状态机模型来描述，目前，同步问题被分为双端口同步问题，多端口同步问题，紧同步问题等多种类型，该文考虑两种有限状态机测试问题，第一种是面向端口的测试，不考虑有限状态机测试单元之间的通信问题，第二种面向组的测试，有限状态机中的各个端口被分成互不相关的多个组，属于不同组中的测试单元之间互不通信，该文提出了一种基于同步有向图的同步测试序列生成方法，这种生成方法适用于Pair同步，Port同步和组同步问题，并且，这种方法也可以用来判断如何在非同步测试序列中增加同步通信，将非同步测试序列转化为同步测试序列。