本文關(guān)鍵詞：基于EDSM的二進(jìn)制協(xié)議狀態(tài)機(jī)逆向

  更多相關(guān)文章： 網(wǎng)絡(luò)安全 協(xié)議逆向 狀態(tài)機(jī)逆向 EDSM算法

【摘要】：隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)應(yīng)用中的協(xié)議技術(shù)研究也在迅速增加。計算機(jī)網(wǎng)絡(luò)中的協(xié)議理解對維護(hù)網(wǎng)絡(luò)安全具有重要的意義。但越來越多的網(wǎng)絡(luò)協(xié)議屬于私有協(xié)議,缺乏公開的規(guī)范文檔。因此,協(xié)議逆向技術(shù)在協(xié)議分析領(lǐng)域具有重要的研究價值。協(xié)議逆向包括協(xié)議報文格式、語義逆向和協(xié)議狀態(tài)機(jī)逆向兩個方向。報文格式、語義逆向是對通過網(wǎng)絡(luò)嗅探獲取的協(xié)議報文或者通過動態(tài)污點分析獲取的實體程序執(zhí)行的指令流進(jìn)行分析,挖掘報文的內(nèi)部結(jié)構(gòu)特征,并進(jìn)一步推斷字段之間的約束關(guān)系的過程。協(xié)議狀態(tài)機(jī)逆向是在獲取了報文內(nèi)部結(jié)構(gòu)信息的基礎(chǔ)上,分析協(xié)議外部各個報文之間的時序約束關(guān)系,進(jìn)而挖掘協(xié)議的行為特征的過程。本文中針對二進(jìn)制協(xié)議格式固定,可能存在變長字段的特點,提出了基于多序列比對和基于值分布統(tǒng)計相結(jié)合的報文類型字段挖掘,利用多序列比對來識別變長字段,并對變長字段做剔除處理,再采用值分布統(tǒng)計的方法來挖掘報文類型字段。獲得報文類型字段后,將網(wǎng)絡(luò)嗅探獲取的協(xié)議會話從報文序列流的形式轉(zhuǎn)換成報文類型序列流的形式,以報文類型序列流作為狀態(tài)機(jī)輸入構(gòu)建初始APTA樹,并使用啟發(fā)式算法對狀態(tài)機(jī)狀態(tài)進(jìn)行標(biāo)注,然后對相似的狀態(tài)進(jìn)行合并得到最終的DFA。推斷出的狀態(tài)機(jī)的性能很大程度上取決于狀態(tài)合并的準(zhǔn)確性以及合理性。由于EDSM算法具有準(zhǔn)確度高、速度快、數(shù)據(jù)處理能力強(qiáng)等優(yōu)點,所以本文采用了EDSM算法并進(jìn)行改進(jìn)來實現(xiàn)狀態(tài)合并,并且給出了全新的評分機(jī)制。本文選取了TCP、SMB和DHCP三種典型的二進(jìn)制協(xié)議對狀態(tài)機(jī)逆向系統(tǒng)進(jìn)行實驗。實驗表明本系統(tǒng)對報文變長字段具有很好的識別能力,使用EDSM算法逆向的結(jié)果準(zhǔn)確率和召回率相比于當(dāng)前傳統(tǒng)算法較高。同時與EXBAR算法進(jìn)行了對比實驗,實驗結(jié)果表明:在初始樣本數(shù)據(jù)較少的情況下,EDSM算法逆向的結(jié)果召回率比EXBAR算法略低,但是EDSM速度快;在初始樣本數(shù)據(jù)較多的情況下,EXBAR算法運(yùn)行時間極為漫長,甚至最后完全運(yùn)算不出來,而EDSM算法依然能夠保證在多項式時間內(nèi)完成,并且數(shù)據(jù)的增加使得EDSM算法能夠相對的避免早期的一些局部合并錯誤,使得最終的協(xié)議狀態(tài)機(jī)比較精準(zhǔn)。
【學(xué)位授予單位】：哈爾濱工業(yè)大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2016
【分類號】：TP393.04
，

本文編號：1175484