【技术实现步骤摘要】
基于集成的协议逆向分析方法、装置、电子设备及介质
[0001]本申请涉及网络通信安全
,特别涉及一种基于集成的协议逆向分析方法
、
装置
、
电子设备及介质
。
技术介绍
[0002]协议是为进行网络数据交换而建立的一系列的规则
、
标准和约定,是计算机网络及数据通信的核心
。
对于开放式协议,如超文本传输协议
(HTTP
,
Hyper Text Transfer Protocol)
,其详细描述信息可以从公开文档
(
如
RFCs)
中获取
。
但对于私有协议,其协议描述信息通常是不公开的
。
[0003]协议的逆向工程就是指获取未知协议的应用级描述信息的过程,协议逆向工程有很多方面的应用,比如通过协议逆向发现漏洞
、
通过协议逆向分析了解僵尸网络的通信过程
、
通过协议逆向分析了解恶意软件的行为机制等等
。
[0004]协议逆向工程的传统方法是手动的
,
非常耗费人力并且容易出错
。
在当今的高速网络环境中,这些手动协议逆向工程方法无法应对快速增长的应用程序的出现和更新,为了解决这些问题,过去十年中提出了自动协议逆向工程
。
[0005]目前比较热门的协议逆向工具为
Netzob
,该工具可以辅助协议逆向专家完成对未知协议的逆向分 ...
【技术保护点】
【技术特征摘要】
1.
一种基于集成的协议逆向分析方法,其特征在于,包括以下步骤:获取待分析协议的多个数据包;采用集成检测器对多个所述数据包进行字段识别检测,获得集成检测结果;所述集成检测器至少包括原子检测器
、
字段边界检测器以及序列化模式检测器;根据所述集成检测结果,构建有向无环图;根据所述有向无环图,搜索获得最大权重路径,将所述最大权重路径确定为最优解释信息;使用所述最优解释信息对多个所述数据包进行逆向分析,输出所述待分析协议的协议分析结果
。2.
根据权利要求1所述的基于集成的协议逆向分析方法,其特征在于,所述采用集成检测器对多个所述数据包进行字段识别检测,获得集成检测结果这一步骤,具体包括:对各所述数据包进行切片处理,获得多个数据包切片;采用所述原子检测器对所述多个数据包切片进行原子数据类型检测,获得所述多个数据包的原子数据类型结果,其中,所述原子数据类型结果包括所述多个数据包中与所述原子数据类型对应的全部字段;采用所述字段边界检测器对所述多个数据包切片进行相邻字节间的边界检测,获得所述多个数据包的字段边界结果,其中,所述字段边界结果包括全部字段边界以及各所述字段边界对应的字段前后关系;采用所述序列化模式检测器对所述多个数据包切片进行变长字段检测,获得变长字段集合,其中,所述序列化模式检测器用于根据多种序列化模式进行字段检测,所述变长字段集合包括所述多个数据包中符合序列化模式的全部变长字段
。3.
根据权利要求2所述的基于集成的协议逆向分析方法,其特征在于,所述根据所述集成检测结果,构建有向无环图这一步骤,具体包括:根据所述原子类型数据结果以及所述变长字段集合,确定所述有向无环图中的节点;根据所述字段边界结果,确定节点之间的连接关系以及节点有向边;所述节点有向边为在所述有向无环图中根据所述节点之间的连接关系确定的边;根据各所述节点有向边对应的起始节点信息,计算各所述节点有向边的权重
。4.
根据权利要求3所述的基于集成的协议逆向分析方法,其特征在于,所述根据所述原子类型数据结果以及所述变长字段集合,确定所述有向无环图中的节点这一步骤,具体包括:将所述原子类型数据结果中的各个字段,确定为所述有向无环图中的各个节点;将所述变长字段集合中的各所述变长字段,确定为所述有向无环图中的各个节点
。5.
根据权利要求3所述的基于集成的协议逆向分析方法,其特征在于,所述根据所述字段边界结果,确定节点之间的连接关系以及节点有向边这一步骤,具体包括:根据所述字段边界结果中的字段前后关系,确定所述节...
【专利技术属性】
技术研发人员:杨珉,罗远辉,盘旭,李敬昭,崔伟,
申请(专利权)人:天翼数字生活科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。