一种基于网络报文的序列号识别方法技术

本发明专利技术公开了一种基于网络报文的序列号识别方法，通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象，对多个集合合并后的数据进行周期划分与判断，避免多报文格式共用序列号以及数值漂移、丢失的影响；能够高精确性地实现序列号的快速识别，并针对识别出的序列号进行验证，防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响，为后续报文分类、状态机推断提供了保障。

【技术实现步骤摘要】

本专利技术属于序列号识别
，涉及基于网络报文的序列号识别方法，尤其适用于协议逆向的序列号识别。
技术介绍
随着近几年网络和应用技术的飞速发展，网络攻击事件急剧增加，网络安全问题日益突出。为抵御网络攻击，保障网络、设备安全，众多安全人员设计研发出众多安全措施，如入侵检测、协议重用、模糊测试等。这些安全措施均依靠协议的详细描述规范，然而目前网络上大部分协议都是私有协议，缺少相应的规范文档。因此高效、精确的逆向工程方法就成为了安全人员乃至黑客所迫切需求的。序列号是协议报文格式中的常规内容，因此，序列号识别是协议逆向工程中的一项基本功能，且其结果影响协议逆向的后续分析。序列号是用于标识报文序号的数值，是一组在周期性单调等差变化的数值。序列号识别主要通过相邻报文之间的差值进行判断。首先截取所有报文对应字节的数据，然后按报文顺序判断相邻报文之间的差值，若差值基本一致，仅在固定间隔处突变成某一特定值，则认定该字节为序列号域。但是由于用于分析的报文样本不一定完备，会存在众多问题，如：可能存在报文丢失；序号域数值发生漂移等等。这些问题直接导致序号域的识别、判断失误，进而导致协议逆向分析结果的错误，无法得到精确的协议信息，影响安全人员或黑客的后续研究。
技术实现思路
由于现有的序列号识别技术未能在精准性等方面达到良好效果，使序列号未能被识别，造成协议逆向结果产生严重的偏差。本专利技术的目的是提供一种基于网络报文的序列号识别方法，能够高精确性地实现序列号的快速识别，并针对识别出的序列号进行验证，防止数值漂移、多序列号混合以及多报文格式共用序列号等情况对序列号识别的影响，为后续报文分类、状态机推断提供了保障。本专利技术通过周期识别与序列号验证方法来解决序列号识别精确度低的问题。本专利技术提出的基于层次聚类的周期识别方法，根据序列号周期呈单调性的原则以及多报文格式共用序列号的现象，对多个集合合并后的数据进行周期划分与判断，避免多报文格式共用序列号以及数值漂移、丢失的影响；本专利技术提出的验证方法通过在子类中对已识别的序列号进行重新识别，并对有误的识别信息进行修正，提高了序列号识别的精确性。具体地，本专利技术通过以下技术方案实现：一种基于网络报文的序列号识别方法，包括以下步骤：(1)将报文样本集按会话划分成不同的报文集合，并对每个报文集合中的报文内容进行划分，将报文从报文负载开始划分成多个域。(2)对多个报文集合从报文负载开始，依次按域进行序列号的初始识别。(3)根据报文长度的不同或已识别出的格式标志位，对经步骤(1)划分后的每个报文集合进行划分，使各报文子集格式相同。(4)在划分的格式相同的报文子集中，对初始识别出的序列号进行验证，并根据验证结果取消或修正误判。进一步地，步骤(1)又包括以下步骤：1-1)根据源IP地址(srcIP)、目的IP地址(dstIP)、源端口号(srcPORT)、目的端口号(dstPORT)、传输层协议号(IP_proto)对报文样本集进行划分，确保每个报文集合{Pno本文档来自技高网...

【技术保护点】
一种基于网络报文的序列号识别方法，包括以下步骤：(1)将报文样本集按会话划分成不同的报文集合，并对每个报文集合中的报文内容进行划分，将报文从报文负载开始划分成多个域；(2)对多个报文集合从报文负载开始，依次按域进行序列号的初始识别；(3)根据报文长度的不同或已识别出的格式标志位，对经步骤(1)划分后的每个报文集合进行划分，使各报文子集格式相同；(4)在划分的格式相同的报文子集中，对初始识别出的序列号进行验证，并根据验证结果取消或修正误判。

【技术特征摘要】
1.一种基于网络报文的序列号识别方法，包括以下步骤：(1)将报文样本集按会话划分成不同的报文集合，并对每个报文集合中的报文内容进行划分，将报文从报文负载开始划分成多个域；(2)对多个报文集合从报文负载开始，依次按域进行序列号的初始识别；(3)根据报文长度的不同或已识别出的格式标志位，对经步骤(1)划分后的每个报文集合进行划分...

【专利技术属性】
技术研发人员：孙利民，杨安，石志强，其他发明人请求不公开姓名，
申请(专利权)人：中国科学院信息工程研究所，
类型：发明
国别省市：北京;11