【技术实现步骤摘要】
一种基于网络流量的未知协议逆向系统
本专利技术涉及一种未知协议逆向系统,尤其涉及一种基于网络流量的未知协议逆向系统。
技术介绍
网络协议规定了网络实体之间信息传输所必须遵循的语法和语义规则,合法的数据帧必须满足协议的规定。网络协议对于是很多网络应用的基础。网络解析工具(wireshark,tshark)等基于网络协议来解析网络报文。防火墙基于网络协议来进行深度包检测,从而识别恶意入侵,保障网络安全。网络管理系统通过网络协议实现流量的分类和管理。Fuzz工具基于网络协议产生变异样本,网络协议还可以用来识别僵尸网络。随着互联网的发展,越来越多的私有协议开始出现。这些私有协议缺乏公开的协议规格说明。私有协议的产生给互联网和工控系统带来极大的安全隐患,传统的工具无法识别和解析私有协议。为了解决这个问题,协议逆向工程开始出现。协议逆向工程是指基于协议相关的网络流量或者二进制执行指令对协议的语法和语义进行逆向的过程,传统的协议逆向主要采取人工的方式,这种方式需要消耗巨大的人力和时间。开源项目SAMBA的人员花了12年时间才完全逆...
【技术保护点】
1.一种基于网络流量的未知协议逆向系统,其特征在于,包括三个步骤,步骤1,协议字段解析;步骤2,协议格式逆向;步骤3,协议状态机解析。/n
【技术特征摘要】
1.一种基于网络流量的未知协议逆向系统,其特征在于,包括三个步骤,步骤1,协议字段解析;步骤2,协议格式逆向;步骤3,协议状态机解析。
2.如权利要求1所述的系统,其特征在于,所述协议字段解析的具体方式为,对于长度为L的序列组成的集合,根据集合中序列出现的次数按照公式(1)进行倒序排列,其中C(w)为序列w出现的次数,
对于每一个序列w,都有一个对应的序列lo(wi),所述lo(wi)为其中i,j,N为正整数,在投票阶段,有两个投票器,顺序投票器和熵投票器,这两个投票器对每个消息的边界进行投票,然后在决策阶段将所有消息的投票数按照公式(3)、(4)相加进行投票,其中CP(X)是位置X得到的顺序投票器票数之和,CP(Xi)是位置X在第i条消息中得到顺序投票器票数,CE(X)是位置X得到的所有的熵投票器票数之和,CE(Xi)是位置X在第i条消息上得到的熵投票器票数,
如果一个位置的投票数比任何一个相邻位置高,那么这个位置将会被选择为字段边界,最终的决定策略如公式(5),(6)所示,
...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。