【技术实现步骤摘要】
基于网络流量的安全协议语义级格式解析方法及系统
[0001]本专利技术涉及网络信息安全
,尤其涉及一种基于网络流量的安全协议语义级格式解析方法及系统。
技术介绍
[0002]近年来,随着人们对个人隐私保护意识的不断增强,网络中使用安全协议如IPsec、PGP、HTTPS、FTPS等进行数据通信的应用越来越多,此外军事通信系统和很多恶意代码会采用未知的密码协议进行保密通信。
[0003]安全协议是用于安全保密的网络通信协议,利用数据加密、数字签名、完整性校验等各种技术对用户通信进行保护。通常分为两个阶段:握手阶段,通信双方要进行建立连接、认证身份、协商加密算法等工作;传输阶段,通信双方需要按照事先协商好了的加密算法将数据进行加密,有时为了确保完整性和不可否认性还需要生成信息摘要,附加在报文中随消息一起发送。与传统的网络通信协议相比,安全协议具有报文结构复杂、存在多个密文域、存在多种长度域等特点。
[0004]协议的格式推断方法主要分为两类:基于网络流量的分析方法和基于执行轨迹的分析方法。前者通过捕获协议的...
【技术保护点】
【技术特征摘要】
1.一种基于网络流量的安全协议语义级格式解析方法,其特征在于,包括以下步骤:S1.数据预处理:对原始流量数据包进行预处理获得单一协议类型的报文序列;S2.明文域和密文域划分:逐字节计算报文序列的信息熵,基于信息熵将报文划分为明文域和密文域;S3.动态域和静态域划分:替换密文域字节,按偏移对明文域字节编码,生成两方向报文组,挖掘闭合频繁序列划分动态域和静态域;S4.长度域关键字段识别:根据域划分结果生成长度域取值候选集,并与字节切片取值进行循环比对,识别出长度域关键字段;S5.其他关键字段的语义识别:基于启发策略和步骤S3得到的闭合频繁序列对报文中的其他关键字段进行语义识别,输出安全协议的语义级别格式。2.根据权利要求1所述的基于网络流量的安全协议语义级格式解析方法,其特征在于,步骤S1中,获得原始流量数据包后,进行分组过滤、删去重传,得到单一协议类型的流量样本,然后将分组按照时间阈值构建为不同的会话,会话中的相同偏移报文属于同一类型协议报文。3.根据权利要求1所述的基于网络流量的安全协议语义级格式解析方法,其特征在于,步骤S2包括以下子步骤:S201.使用熵值计算公式其中x
i
为报文中字节偏移,f
k
为该偏移位置的字节取值为k的出现概率,逐字节计算报文序列的信息熵entropy[0]、entropy[1]、entropy[2]...entropyp[i]...entropy[N],其中N+1为报文数量;S202.将信息熵entropyp[i]与密文信息的熵阈值H
N
9p)进行比较,判断字节的明密文属性;S203.将连续偏移的同属性字节进行合并,并将报文划分为明文域和密文域。4.根据权利要求1所述的基于网络流量的安全协议语义级格式解析方法,其特征在于,步骤S3包括以下子步骤:S301.使用特殊字符替换密文域,对明文域字节进行按偏移编码;S302.按照报文的会话逻辑与时序关系,生成垂直方向报文组和水平方向报文组;S303.使用BIDE算法分别在垂直方向报文组和水平方向报文组上挖掘闭合频繁序列;S304.根据垂直方向报文组的闭合频繁序列将明文域划分为动态域和静态域,输出域划分结果。5.根据权利要求1所述的基于网络流量的安全协议语义级格式解析方法,其特征在于,步骤S4包括以下子步骤:S401.根据域划分结果生成长度域取值候选集;S402.分别对静态域和动态域按1
‑
4字节进行切片并计算取值;S403.将长度域取值候选集与字节切片取值进行循环比对,将交集加入可能的长度域关键字段集合;S404.循环判断可能的长度域关键字段集合是否符合长度域关键字段的启发策略,符合则判断其为长度域关键字段...
【专利技术属性】
技术研发人员:吉庆兵,尹浩,谈程,康璐,倪绿林,梁晨,代诚鹏,陈曼,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。