一種非公開協(xié)議字段識別方法及系統(tǒng)的制作方法
【專利摘要】本申請公開了一種非公開協(xié)議字段識別方法��,通過對報文樣本集中任意一份報文選取二進制序列字段���,然后將選取的二進制序列字段與已知字符字段進行匹配���,將匹配成功的二進制序列字段確定為字符字段;然后將每一份報文都除去字符字段�,將剩余部分按照相同的預設規(guī)則劃分出多個待識別字段,對所有報文中處于同一位置的待識別字段�����,統(tǒng)計其數(shù)學特征�����,在數(shù)學特征滿足一定的條件時���,即確定其為動態(tài)字段��,否則為非動態(tài)字段����;計算非動態(tài)字段中每一比特位與字符字段的相關性,將相關性大于第一預設值且連續(xù)的比特位合并為一個字段�,將合并后的字段確定為靜態(tài)字段。從而��,完成了對報文的字符字段���、動態(tài)字段和靜態(tài)字段的識別����。
【專利說明】一種非公開協(xié)議字段識別方法及系統(tǒng)
【技術(shù)領域】
[0001]本申請涉及非公開協(xié)議逆向分析【技術(shù)領域】�,更具體地說���,涉及一種非公開協(xié)議字段識別方法及系統(tǒng)��。
【背景技術(shù)】
[0002]協(xié)議是為進行網(wǎng)絡數(shù)據(jù)交換而建立的一系列的規(guī)則�、標準約定����,是計算機數(shù)據(jù)通信的核心,也是網(wǎng)絡安全領域的重點研究對象���。目前使用的協(xié)議中有很多都是非公開協(xié)議����,即并不公開協(xié)議的數(shù)據(jù)格式和交互規(guī)程。而協(xié)議逆向分析指的是在不依賴協(xié)議描述的情況下����,通過對協(xié)議實體的網(wǎng)絡輸入和輸出、系統(tǒng)行為和指令執(zhí)行流程進行監(jiān)控和分析���,提取協(xié)議格式以及協(xié)議狀態(tài)機信息的過程?,F(xiàn)有的比較常見的協(xié)議逆向分析例如報文序列分析�。
[0003]但是,現(xiàn)有的報文序列分析方法都是以字節(jié)為基本單位進行分析��,而且對協(xié)議報文格式的分析都依賴于協(xié)議報文中的格式標識字段��。而在實際應用中����,會遇到一些以比特為基本單位的無標識(格式)字段的協(xié)議,此類協(xié)議消息完全由內(nèi)容字段組成��,不同字段之間沒有間隔符,各個字段也沒有標志位�����。因此��,現(xiàn)有的這種報文序列分析方法不適用于此類協(xié)議的分析�����。
【發(fā)明內(nèi)容】
[0004]有鑒于此�����,本申請?zhí)峁┝艘环N非公開協(xié)議字段識別方法及系統(tǒng)���,用于解決現(xiàn)有的報文序列分析方法不適用于以比特為單位定義的無標識協(xié)議報文的問題�。
[0005]為了實現(xiàn)上述目的�����,現(xiàn)提出的方案如下:
[0006]一種非公開協(xié)議字段識別方法�����,包括:
[0007]接收由同一類型的報文組成的報文樣本集�;
[0008]將所述報文樣本集中任意一份報文按照第一預設長度,從左至右依次滑動選取二進制序列字段�,將多個所述二進制序列字段與已知長度的字符字段進行匹配,所述字符字段的長度與所述第一預設長度相等���;
[0009]將匹配成功的二進制序列字段確定為字符字段����,所述字符字段用于表述目標名稱�;
[0010]將每一份所述報文中除去所述字符字段的部分,按照相同的預設規(guī)則劃分出多個待識別字段����;
[0011]對所有報文中處于同一位置的所述待識別字段,統(tǒng)計其數(shù)學特征����;
[0012]當所述數(shù)學特征滿足預設條件時,將該待識別字段確定為動態(tài)字段����,否則為非動態(tài)字段,所述動態(tài)字段用于表述目標的動態(tài)信息�;
[0013]將連續(xù)的所述動態(tài)字段合并為一個字段,將合并后的字段確定為一個完整的動態(tài)字段;
[0014]計算所述非動態(tài)字段中每一比特位與所述字符字段的相關性�����,將相關性大于第一預設值且連續(xù)的比特位合并為一個字段�����,并將合并后的字段確定為靜態(tài)字段����,所述靜態(tài)字段用于表述目標固有的特性。
[0015]優(yōu)選地���,所述將每一份所述報文中除去所述字符字段的部分��,按照相同的預設規(guī)則劃分出多個待識別字段��,具體為:
[0016]利用滑窗法選擇待識別字段��,窗長設置為L����,以I比特為步長�,在每一份所述報文中除去所述字符字段的部分,從左到右依次滑動選取出多個待識別字段�����。
[0017]優(yōu)選地�����,所述所有報文中處于同一位置的所述待識別字段����,具體為:
[0018]在各個報文中,起始比特位相同且長度為L的待識別字段�。
[0019]優(yōu)選地,所述對所有報文中處于同一位置的所述待識別字段�����,統(tǒng)計其數(shù)學特征�,具體為:
[0020]對所有報文中處于同一位置的所述待識別字段,統(tǒng)計其“O” “I”比例平均偏差�、數(shù)值覆蓋率和歸一化數(shù)值分布方差。
[0021]優(yōu)選地��,所述統(tǒng)計其“O” “I”比例平均偏差包括:
[0022]統(tǒng)計所述待識別字段中每一比特位出現(xiàn)“O”或“I”的概率:
【權(quán)利要求】
1.一種非公開協(xié)議字段識別方法�����,其特征在于,包括: 接收由同一類型的報文組成的報文樣本集�����; 將所述報文樣本集中任意一份報文按照第一預設長度��,從左至右依次滑動選取二進制序列字段��,將多個所述二進制序列字段與已知長度的字符字段進行匹配�����,所述字符字段的長度與所述第一預設長度相等����; 將匹配成功的二進制序列字段確定為字符字段,所述字符字段用于表述目標名稱��;將每一份所述報文中除去所述字符字段的部分��,按照相同的預設規(guī)則劃分出多個待識別字段��; 對所有報文中處于同一位置的所述待識別字段���,統(tǒng)計其數(shù)學特征��; 當所述數(shù)學特征滿足預設條件時���,將該待識別字段確定為動態(tài)字段,否則為非動態(tài)字段���,所述動態(tài)字段用于表述目標的動態(tài)信息����; 將連續(xù)的所述動態(tài)字段合并為一個字段��,將合并后的字段確定為一個完整的動態(tài)字段��; 計算所述非動態(tài)字段中每一比特位與所述字符字段的相關性����,將相關性大于第一預設值且連續(xù)的比特位合并為一個字段,并將合并后的字段確定為靜態(tài)字段�����,所述靜態(tài)字段用于表述目標固有的特性�����。
2.根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述將每一份所述報文中除去所述字符字段的部分����,按照相同的預設規(guī)則劃分出多個待識別字段�����,具體為: 利用滑窗法選擇待識別字段���,窗長設置為L��,以I比特為步長�,在每一份所述報文中除去所述字符字段的部分����,從左到右依次滑動選取出多個待識別字段。
3.根據(jù)權(quán)利要求2所述的方法���,其特征在于���,所述所有報文中處于同一位置的所述待識別字段����,具體為: 在各個報文中���,起始比特位相同且長度為L的待識別字段。
4.根據(jù)權(quán)利要求3所述的方法�����,其特征在于�����,所述對所有報文中處于同一位置的所述待識別字段��,統(tǒng)計其數(shù)學特征���,具體為: 對所有報文中處于同一位置的所述待識別字段���,統(tǒng)計其“O” “1”比例平均偏差、數(shù)值覆蓋率和歸一化數(shù)值分布方差���。
5.根據(jù)權(quán)利要求4所述的方法�����,其特征在于���,所述統(tǒng)計其“O”“1”比例平均偏差包括: 統(tǒng)計所述待識別字段中每一比特位出現(xiàn)“O”或“1”的概率:
6.根據(jù)權(quán)利要求4所述的方法�,其特征在于��,所述統(tǒng)計其數(shù)值覆蓋率���,包括: 數(shù)值覆蓋率:
7.根據(jù)權(quán)利要求4所述的方法��,其特征在于���,所述統(tǒng)計其歸一化數(shù)值分布方差,包括: 數(shù)值分布方差為:
8.根據(jù)權(quán)利要求4����、5、6或7所述的方法�,其特征在于,所述當所述數(shù)學特征滿足預設條件時,將該待識別字段確定為動態(tài)字段����,否則為非動態(tài)字段,具體為: 將所述“O” “I”比例平均偏差���、所述數(shù)值覆蓋率和所述歸一化數(shù)值分布方差分別加權(quán)后求和:
9.一種非公開協(xié)議字段識別系統(tǒng)��,其特征在于���,包括: 報文樣本集接收單元�,用于接收由同一類型的報文組成的報文樣本集; 字符匹配單元���,用于將所述報文樣本集中任意一份報文按照第一預設長度����,從左至右依次滑動選取二進制序列字段����,將多個所述二進制序列字段與已知長度的字符字段進行匹配,所述字符字段的長度與所述第一預設長度相等���,然后將匹配成功的二進制序列字段確定為字符字段���,所述字符字段用于表述目標名稱���; 字段選取單元,用于將每一份所述報文中除去所述字符字段的部分�����,按照相同的預設規(guī)則劃分出多個待識別字段����;動態(tài)字段確定單元,用于對所有報文中處于同一位置的所述待識別字段�����,統(tǒng)計其數(shù)學特征�,并判斷所述數(shù)學特征是否滿足預設條件,在判斷結(jié)果為是時����,將該待識別字段確定為動態(tài)字段,否則為非動態(tài)字段���,所述動態(tài)字段用于表述目標的動態(tài)信息��,最后將連續(xù)的所述動態(tài)字段合并為一個字段��,將合并后的字段確定為一個完整的動態(tài)字段�����; 靜態(tài)字段確定單元���,用于計算所述非動態(tài)字段中每一比特位與所述字符字段的相關性����,將相關性大于第一預設值且連續(xù)的比特位合并為一個字段,并將合并后的字段確定為靜態(tài)字段�,所述靜態(tài)字段用于表述目標固有的特性。
10.根據(jù)權(quán)利要求9所述的系統(tǒng)�,其特征在于�,所述動態(tài)字段確定單元包括:特征統(tǒng)計單元、特征判斷單元和合并單元�����,其中�, 所述特征統(tǒng)計單元用于統(tǒng)計所述待識別字段的“O” “I”比例平均偏差、數(shù)值覆蓋率和歸一化數(shù)值分布方差; 所述特征判斷單元用于判斷所述“O” “I”比例平均偏差�、所述數(shù)值覆蓋率和所述歸一化數(shù)值分布方差分別加權(quán)后的求和值是否大于閾值,在判斷結(jié)果為是時��,將該待識別字段確定為動態(tài)字段�����,否則為非動態(tài)字段�����,所述動態(tài)字段用于表述目標的動態(tài)信息���; 所述合并單元 用于將連續(xù)的所述動態(tài)字段合并為一個字段�,將合并后的字段確定為一個完整的動態(tài)字段����。
【文檔編號】H04L12/26GK103825784SQ201410110570
【公開日】2014年5月28日 申請日期:2014年3月24日 優(yōu)先權(quán)日:2014年3月24日
【發(fā)明者】于宏毅, 李林林, 李青, 張效義, 林榮強, 陶思宇 申請人:中國人民解放軍信息工程大學