本文關(guān)鍵詞：基于EDSM的二進(jìn)制協(xié)議狀態(tài)機(jī)逆向

  更多相關(guān)文章： 網(wǎng)絡(luò)安全 協(xié)議逆向 狀態(tài)機(jī)逆向 EDSM算法

【摘要】：隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用中的協(xié)議技術(shù)研究也在迅速增加。計(jì)算機(jī)網(wǎng)絡(luò)中的協(xié)議理解對(duì)維護(hù)網(wǎng)絡(luò)安全具有重要的意義。但越來(lái)越多的網(wǎng)絡(luò)協(xié)議屬于私有協(xié)議,缺乏公開的規(guī)范文檔。因此,協(xié)議逆向技術(shù)在協(xié)議分析領(lǐng)域具有重要的研究?jī)r(jià)值。協(xié)議逆向包括協(xié)議報(bào)文格式、語(yǔ)義逆向和協(xié)議狀態(tài)機(jī)逆向兩個(gè)方向。報(bào)文格式、語(yǔ)義逆向是對(duì)通過網(wǎng)絡(luò)嗅探獲取的協(xié)議報(bào)文或者通過動(dòng)態(tài)污點(diǎn)分析獲取的實(shí)體程序執(zhí)行的指令流進(jìn)行分析,挖掘報(bào)文的內(nèi)部結(jié)構(gòu)特征,并進(jìn)一步推斷字段之間的約束關(guān)系的過程。協(xié)議狀態(tài)機(jī)逆向是在獲取了報(bào)文內(nèi)部結(jié)構(gòu)信息的基礎(chǔ)上,分析協(xié)議外部各個(gè)報(bào)文之間的時(shí)序約束關(guān)系,進(jìn)而挖掘協(xié)議的行為特征的過程。本文中針對(duì)二進(jìn)制協(xié)議格式固定,可能存在變長(zhǎng)字段的特點(diǎn),提出了基于多序列比對(duì)和基于值分布統(tǒng)計(jì)相結(jié)合的報(bào)文類型字段挖掘,利用多序列比對(duì)來(lái)識(shí)別變長(zhǎng)字段,并對(duì)變長(zhǎng)字段做剔除處理,再采用值分布統(tǒng)計(jì)的方法來(lái)挖掘報(bào)文類型字段。獲得報(bào)文類型字段后,將網(wǎng)絡(luò)嗅探獲取的協(xié)議會(huì)話從報(bào)文序列流的形式轉(zhuǎn)換成報(bào)文類型序列流的形式,以報(bào)文類型序列流作為狀態(tài)機(jī)輸入構(gòu)建初始APTA樹,并使用啟發(fā)式算法對(duì)狀態(tài)機(jī)狀態(tài)進(jìn)行標(biāo)注,然后對(duì)相似的狀態(tài)進(jìn)行合并得到最終的DFA。推斷出的狀態(tài)機(jī)的性能很大程度上取決于狀態(tài)合并的準(zhǔn)確性以及合理性。由于EDSM算法具有準(zhǔn)確度高、速度快、數(shù)據(jù)處理能力強(qiáng)等優(yōu)點(diǎn),所以本文采用了EDSM算法并進(jìn)行改進(jìn)來(lái)實(shí)現(xiàn)狀態(tài)合并,并且給出了全新的評(píng)分機(jī)制。本文選取了TCP、SMB和DHCP三種典型的二進(jìn)制協(xié)議對(duì)狀態(tài)機(jī)逆向系統(tǒng)進(jìn)行實(shí)驗(yàn)。實(shí)驗(yàn)表明本系統(tǒng)對(duì)報(bào)文變長(zhǎng)字段具有很好的識(shí)別能力,使用EDSM算法逆向的結(jié)果準(zhǔn)確率和召回率相比于當(dāng)前傳統(tǒng)算法較高。同時(shí)與EXBAR算法進(jìn)行了對(duì)比實(shí)驗(yàn),實(shí)驗(yàn)結(jié)果表明:在初始樣本數(shù)據(jù)較少的情況下,EDSM算法逆向的結(jié)果召回率比EXBAR算法略低,但是EDSM速度快;在初始樣本數(shù)據(jù)較多的情況下,EXBAR算法運(yùn)行時(shí)間極為漫長(zhǎng),甚至最后完全運(yùn)算不出來(lái),而EDSM算法依然能夠保證在多項(xiàng)式時(shí)間內(nèi)完成,并且數(shù)據(jù)的增加使得EDSM算法能夠相對(duì)的避免早期的一些局部合并錯(cuò)誤,使得最終的協(xié)議狀態(tài)機(jī)比較精準(zhǔn)。
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級(jí)別】：碩士
【學(xué)位授予年份】：2016
【分類號(hào)】：TP393.04
，

本文編號(hào)：1175484