未知二进制协议的报文分割方法

基于网络轨迹的协议逆向工程使用捕获的数据包进行分析，进而逆向未知协议的格式等信息。该文提出了一种利用二进制协议在网络通信过程中使用报文序列数据集来推断消息字段划分的新方法HV。该方法首先利用定义的测度分析各条消息中的值分布，分析报文的内部结构，对字段边界初次划分。接着利用消息序列之间所隐藏的统计信息对字段边界再次划分。最后将两次划分的结果结合，生成最终的字段划分结果。此前的研究很少利用每个消息内部的结构特征，而是通过比较多条消息得出结论。对于消息之间的统计特征，该文仅仅比较相邻的消息，而不是相互比较多条消息。此外，该文还定义了格式匹配分数，用于消息字段划分的质量的度量。将格式匹配分数应用于HV和以前的方法的对比实验中，进而验证HV字段划分的质量。由于HV在水平分析上利用了消息的内部结构，并且在垂直分析中只比较相邻消息之间的异同，因此HV不仅具有较好的字段划分效果，而且只有线性复杂度。