融合自动化逆向和聚类分析的协议识别方法

网络流分类与协议识别是网络管理的前提和必要条件,但是越来越多加密协议的出现,使得传统的流分类方法失效。针对加密协议的协议识别问题,提出了一种融合自动化逆向分析技术和网络消息聚类分析技术的新型分类方法(automatic reverse and message analysis,ARCA)。该方法通过自动化逆向分析技术获得网络协议的结构特征;再利用网络消息聚类分析技术,获得网络协议的交互过程;最后将网络协议的结构特征与交互过程用于加密协议流量的识别和分类检测。该方法不依赖于网络包的内容检测,能够解决协议加密带来的识别问题。通过对多个加密协议(如迅雷、BT、QQ和GTalk等)真实流量的实验,其准确率和召回率分别高于96.9%和93.1%,而且只需要检测流量中0.9%的字节内容即可。因此,ARCA方法能够对各类加密协议流量进行有效和快速的识别。     

面向比特流数据的未知协议关联分析与识别

针对移动无线网络比特流数据特征,提出了一种基于关联规则识别特定环境下未知协议的方法。该方法改进了传统协议识别技术,如通过端口号、协议已知固定特征等,避免了传统技术存在的局限性。通过截获无线环境中传输的比特流数据,利用机器学习机制,提取特征信息,挖掘关联规则来识别和标志未知协议,标志协议指纹信息,实现特定环境下未知协议的发现与分析识别。最后在两种协议上对提出的方法进行了评估,协议的平均识别率高于99%,而平均的错误识别率低于0.6%。     

基于内容分析的网络协议指纹识别

针对当前网络协议识别面临的网络带宽持续增加、许多新应用的出现和端口识别局限性的挑战,分析各种识别方法所使用的协议指纹存在的基础、局限性和匹配的难易程度,提出一种基于协议指纹匹配和协议规则验证的协议自识别技术实现协议自识别方法,通过提取不同网络协议类型之间的细微差别,建立网络应用协议指纹特征库,并通过协议验证规则验证协议识别结果的正确性。最后通过实验表明该方法的有效性。     

自动协议逆向工程研究综述

全面梳理了该领域国内外相关文献,归纳分析了自动协议逆向工程的研究现状和发展趋势。为了更清晰地刻画不同方法的特点和比较异同,提出一种基于协议逆向工程输出结果的分类方法,将协议逆向方法分为侧重于协议格式提取、侧重于协议状态机推断、侧重于完整协议规范描述、侧重于其他输出结果四类,并据此进行分析和比较。基于目前的进展情况和进一步的问题剖析发现,复杂交互场景分析、链路层协议逆向、加密协议分析以及协议状态机优化等应作为自动协议逆向工程领域下一步的重点研究方向。     

基于字节熵矢量加权指纹的二进制协议识别

协议识别在入侵检测等网络安全领域具有广泛应用。根据二进制协议特点,提出了一种基于字节熵矢量加权指纹的协议识别方法。对不同协议类型的网络流,利用字节熵矢量描述其报文格式属性,基于局部加权的思想对其进行聚类,得到类簇中心及各类簇字节熵的权重分配,构建协议的字节熵矢量加权指纹,通过指纹的距离度量及距离阈值设定对协议进行识别。实验表明,该方法对常见二进制协议的识别召回率达到94%以上,并可以发现训练集中未出现的协议。     

基于关键字的单协议分类

网络协议是网络通信中一系列标准的集合,未知协议的识别和分析对网络监管、保障网络安全具有重大意义。协议识别技术多种多样,但大都不适用于二进制的协议识别。在此针对现有的协议识别技术的局限性,提出了一种在双方单协议通信环境下的多种类型二进制数据帧的协议识别方法。该方法首先利用n-gram技术对数据帧进行分割,然后利用无监督的特征选择算法提取特征串集合,从而利用聚类算法实现协议消息的识别。最后在ICMP上对该方法进行评估,消息识别的准确率和召回率均可达到90%以上。     

基于McEliece体制的RFID安全协议

射频识别（RFID）作为一种新的自动识别技术被广泛地应用于人们的日常生活中,隐私安全问题也逐渐受到人们的重视。该文分析现有的一种公钥加密体制——McEliece体制,并对其进行改进,设计一种RFID安全协议。研究分析表明,该安全协议可以有效地避免对称加密协议中容易出现的由于数据库不同步导致的拒绝服务攻击问题,具有较好的实用性。     

基于数据流分析的网络协议逆向解析技术

对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。     

基于残差网络和循环神经网络混合模型的应用层协议识别方法

针对现有协议识别方法无法有效提取协议数据的时间和空间特征导致协议识别准确率不高的问题,提出了一种基于一维残差网络和循环神经网络的应用层协议识别方法。所构造的协议识别模型由一维预激活残差网络(PreResNet)和双向门控循环神经网络(BiGRU)组成,利用一维PreResNet提取协议数据的空间特征,利用BiGRU提取协议数据的时间特征,在此基础上通过注意力机制提取与协议识别有关的关键特征来提高协议识别的准确率。所提方法首先从网络流量中提取应用层协议数据,对数据进行预处理,从而将其转化为一维向量;然后利用训练数据对分类模型进行训练,得到成熟的协议识别模型;最后用训练好的分类模型识别应用层协议。在公开数据集ISCX2012上进行测试实验,结果表明,所提协议识别模型的总体准确率为96.87%,平均F值为96.81%,高于对比的协议识别模型。     

基于卷积神经网络的应用层协议识别方法

针对传统网络协议识别方法中人工提取特征困难以及识别准确率低等问题,提出了一种基于卷积神经网络（CNN）的应用层协议识别方法。首先,基于完整的传输控制协议（TCP）连接或用户数据报协议（UDP）交互划分原始网络数据,从中提取出网络流;其次,通过数据预处理将网络流转化为二维矩阵,便于CNN的分析处理;然后,利用训练样本集合训练CNN模型,自动化提取出网络协议特征;最终,基于训练成熟的CNN模型进行应用层网络协议的识别。实验结果表明,所提方法的总体协议识别准确率约为99.70%,能有效实现应用层协议的识别。     

密码协议验证中的Petri网方法

如何验证密码协议的安全性是一个复杂的问题,只有形式化的验证方法才能证明密码协议的绝对正确.利用Petri网给出了一种用于密码协议验证的形式化方法.在合理假设的基础上,区分合法用户与攻击者在执行协议时的前提条件,列出执行协议后的结果,在此基础上建立了攻击者的Petri网模型.最后,用这种方法对NSPK协议进行了验证,证明了最初的NSPK协议中存在一个安全问题,而改进的NSPK协议则消除了这个问题.证明了这种方法的有效性.     

网络管理中一种互认证密码协议的安全性分析

基于串空间模型的极小元和理想理论,对网络管理中的一种互认证密码协议进行保密性和认证性分析,通过分析发现该协议存在冗余部分,并提出相应的改进方案;同时在协议的认证性设计方面,指出基于非对称密码系统和对称密码系统的认证协议的区别。     

一种自动密码协议分析方法

密码协议是构建网络安全环境、保护信息系统安全的重要手段之一,然而分析其固有缺陷和揭示入侵攻击行为,却是一件非常困难的事情。文中通过综合基于逻辑和模型检测的密码协议分析方法,提出了一种基于目标提取和消息模式匹配的自动密码协议分析方法,并以Needham-Schroeder(NS)公钥协议为例,进行了具体分析。     

密码协议的符号模型检测及分析

对密码协议模型检测的方法作了理论上的研究,并用SMV检测工具给出了一个实际分析的例子。结果表明,利用符号模型检测方法分析并发现密码协议重放攻击的漏洞是一种行之有效的方法。     

Yahalom-Paulson协议的串空间模型与分析

串空间模型是一种新兴的密码协议形式化分析工具,其理论中理想和诚实概念的提出大大减少了协议的证明步骤。首次利用串空间理论从机密性和认证性两个方面对Yahalom-Paulson协议进行了分析。分析结果证明该协议是安全的。     

一种轻量级RFID安全协议

在分析了几种现有的典型RFID安全协议的特点和缺陷的基础上,提出了一种轻量级的RFID安全协议,该协议将一次性密码本与询问一应答机制相结合,实现了安全高效的读取访问控制,最后建立该协议的理想化模型,利用BAN逻辑对该协议进行了形式化分析,在理论上证明其安全性.     

一种基于BLS签名的优化公平交换协议

公平交换协议是构造电子商务系统的最基本工具。BLS短签名是双线性密码学中应用最为广泛的密码元件之一。基于BLS短签名,提出了一种优化公平交换协议,并分析了其安全性与运行效率。     

模型学习与符号执行结合的安全协议代码分析技术

符号执行技术从理论上可以全面分析程序执行空间,但对安全协议这样的大型程序,路径空间爆炸和约束求解困难的局限性导致其在实践上不可行。结合安全协议程序自身特点,提出用模型学习得到的协议状态机信息指导安全协议代码符号执行思路;同时,通过将协议代码中的密码学逻辑与协议交互逻辑相分离,避免了因密码逻辑的复杂性导致路径约束无法求解的问题。在SSH协议开源项目Dropbear上的成功实践表明了所提方法的可行性;通过与 Dropbear 自带的模糊测试套件对比,验证了所提方法在代码覆盖率与错误点发现上均具有一定优势。     

SSL协议的扩展Rubin逻辑形式化分析

SSL协议是一个用于因特网上进行保密通信的实用安全协议,由于它的复杂性,很多形式化分析方法都不适合分析它[1].而适用于分析非单调密码协议的Rubin逻辑,不同于大多数采用"知识"和"信念"的逻辑分析发现安全缺陷的逻辑分析方法,它完整地分析协议过程中的出现所有"动作",不但能清晰地看到SSL协议的不足,还可指出进一步完善SSL协议的方法.