-
题名基于数据流分析的网络协议逆向解析技术
被引量:4
- 1
-
-
作者
戴理
舒辉
黄荷洁
-
机构
信息工程大学
-
出处
《计算机应用》
CSCD
北大核心
2013年第5期1217-1221,共5页
-
文摘
对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。
-
关键词
数据流分析
网络协议逆向
加密协议解析
动态二进制插桩
协议字段语义
-
Keywords
dataflow analysis
network protocol reverse
encryption protocol parsing
dynamic binary instrumentation
protocol field semantic
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名基于人机协作迭代分析的网络协议逆向方法
- 2
-
-
作者
马春来
王群
孙中豪
王占丰
胡超
-
机构
国防科技大学电子对抗学院
浙江树人大学
国家计算机网络与信息安全管理中心
南京莱克贝尔信息技术有限公司
陆军工程大学
-
出处
《信息对抗技术》
2024年第5期84-96,共13页
-
基金
国家重点研发计划项目(2022YFB3104002)
浙江省公益基金资助项目(LGG20F020014)
江苏省重点研发计划项目(BE2022081)。
-
文摘
协议逆向分析在网络安全领域具有重要意义,现有方法主要依靠计算机进行自动化推断,并未考虑人的经验知识干预条件下可能带来的信息增益,存在准确性较低的问题。鉴于此,提出了一种基于人机协作迭代分析的网络协议逆向方法,该方法基于人机协作协议逆向分析框架,利用XML将人的经验知识进行知识表征,通过迭代式修正阶段性分析结果,克服了因缺乏知识辅助而导致的协议词法、语法及状态机推断准确率较低的问题。以典型工控协议数据样本为例进行了实验和对比分析,结果表明了该方法的有效性和可行性。
-
关键词
网络协议逆向
人机协作
知识表征
迭代分析
-
Keywords
network protocol reverse
human-machine collaboration
knowledge representation
iterative analysis
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名恶意软件网络协议的语法和行为语义分析方法
被引量:23
- 3
-
-
作者
应凌云
杨轶
冯登国
苏璞睿
-
机构
中国科学院软件研究所信息安全国家重点实验室
中国科学院研究生院信息安全国家重点实验室
信息安全共性技术国家工程研究中心
-
出处
《软件学报》
EI
CSCD
北大核心
2011年第7期1676-1689,共14页
-
基金
国家自然科学基金(60703076
61073179)
+1 种基金
国家高技术研究发展计划(863)(2009AA01Z435
2007AA01Z451)
-
文摘
网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系.
-
关键词
恶意软件分析
网络协议逆向分析
动态分析
网络安全
-
Keywords
malware analysis
network protocol reverse analysis
dynamic analysis
network security
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名基于网络协议逆向分析的远程控制木马漏洞挖掘
被引量:10
- 4
-
-
作者
潘道欣
王轶骏
薛质
-
机构
上海交通大学电子信息与电气工程学院
-
出处
《计算机工程》
CAS
CSCD
北大核心
2016年第2期146-150,156,共6页
-
基金
中国信息安全测评中心科研基金资助项目(CNITSEC-KY-2013-009/2)
-
文摘
为防范持续性威胁攻击中的远程控制木马,提出一种主动防御思路,即针对不公开源代码和网络协议的木马程序进行漏洞挖掘和瘫痪攻击。使用广义后缀树和分层次聚类等数据挖掘算法逆向分析木马网络协议的特征,自动构造其协议格式。将其与Fuzz测试框架相结合,通过导入之前逆向分析得出的协议格式自动生成Fuzz的配置文件,从而较大程度地提高模糊测试和漏洞挖掘效率。经过一系列针对实际远程控制木马程序的测试,发现若干木马控制端的漏洞,从而说明该远程控制木马漏洞挖掘方法是可行、有效的,并具有一定创新性。
-
关键词
远程控制木马
网络协议逆向分析
Fuzz测试
漏洞挖掘
瘫痪攻击
-
Keywords
remote control trojan
reverse analysis of network protocol
Fuzz test
vulnerability mining
paralysis attack
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
-
题名移动互联网不良信息监控过滤技术的比较分析
被引量:1
- 5
-
-
作者
李磊
林津如
-
机构
中国移动通信集团广东有限公司
广州杰赛科技股份有限公司
-
出处
《移动通信》
2015年第9期44-48,共5页
-
文摘
针对智能终端的普及所带来的网络信息安全问题,分析了传统互联网与移动互联网的上网方式和接入方式的差别。着重阐述了移动互联网的监控方法,同时结合用户移动性管理的具体应用,提出了一套针对移动互联网不良信息的识别和治理方法。
-
关键词
深度包解析
中国移动互联网
爬虫技术
网络协议逆向解析技术
-
Keywords
deep packet inspection
China Mobile Net
crawler technology
network protocol reverse parsing technology
-
分类号
TN918.91
[电子电信—通信与信息系统]
-
-
题名APT木马网络协议逆向自动化分析
- 6
-
-
作者
潘思远
王轶骏
薛质
林祥
-
机构
上海交通大学电子信息与电气工程学院
-
出处
《计算机应用与软件》
北大核心
2018年第4期317-324,共8页
-
基金
国家重点研发计划项目"网络空间安全"重点专项(2017YFB0803200)
上海市科学技术委员会科研计划项目(14DZ1104903)
-
文摘
随着网络安全需求的不断提升,对于高级持续性威胁APT(Advanced Persistent Threat)攻击中的远程控制木马的分析的要求也不断提高,也相应地出现各种分析未知网络协议的方法与工具。介绍现有的几种未知网络协议逆向的方法,再吸取现有方法中的优点,提出一种改进的基于报文数据Token化、多序列比对与凝聚型层次聚类的针对APT木马网络协议逆向的方法。
-
关键词
APT木马
未知网络协议逆向
多序列比对
凝聚型层次聚类
-
Keywords
APT trojan
Unknown network protocol reverse
Multiple sequence alignment
Agglomerative hierarchical clustering
-
分类号
TP393
[自动化与计算机技术—计算机应用技术]
-
-
题名浅谈移动互联网不良信息监控过滤技术
- 7
-
-
作者
白吉然
刘心声
-
机构
黑河学院计算机与信息工程学院
-
出处
《科技创新与应用》
2015年第28期87-87,共1页
-
基金
黑龙江省大学生创新创业训练计划项目<基于互联网过滤技术的研究与设计>(项目编号:201313744016)的部分研究成果
-
文摘
随着移动互联网的兴起,移动网络信息安全问题日渐突显,已经引起政府部门和社会各界的广泛关注。由于移动互联网和传统互联网运作方式的不同,网络信息监控的特点和模式也不一样。文章围绕移动互联网信息监控有关问题进行探讨,对比了传统互联网和移动互联网监控模式的区别,阐述了不良网络信息甄别和防控技术。
-
关键词
深度包解析
中国移动互联网
爬虫技术
网络协议逆向解析技术
-
分类号
TP393.08
[自动化与计算机技术—计算机应用技术]
-
