一种逆向分析协议状态机模型的有效方法 被引量：5

1

作者 田园 李建斌 张振 《计算机工程与应用》 CSCD 北大核心 2011年第19期63-67,共5页

网络协议的逆向分析技术无论对可信软件的验证、保护还是对恶意软件机理的分析都具有重要用途。由于协议的内在复杂性,重构与其源程序一致的高级模型对分析尤为有益,其中又以有限状态机模型最为典型。建立一种重构网络协议状态机模型的... 网络协议的逆向分析技术无论对可信软件的验证、保护还是对恶意软件机理的分析都具有重要用途。由于协议的内在复杂性,重构与其源程序一致的高级模型对分析尤为有益,其中又以有限状态机模型最为典型。建立一种重构网络协议状态机模型的有效方法,主要依据所记录的协议会话的消息流及协议软件实际执行的指令流,通过对指令流反编译并应用改进的形式分析及验证技术构建出状态对象、转移关系及状态转移条件。该方法从协议的会话实例重构出充分一般的状态机模型,效率可行并具有逻辑上可证明的精确性。在详细阐述理论基础之后,也讨论了该方法的实现和应用。 展开更多

关键词 网络协议 协议逆向工程 有限状态机 可执行程序

下载PDF 职称材料

基于数据流分析的网络协议逆向解析技术 被引量：4

2

作者 戴理 舒辉 黄荷洁 《计算机应用》 CSCD 北大核心 2013年第5期1217-1221,共5页

对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态... 对未知网络协议进行逆向解析在网络安全应用中具有重要的意义。现有的协议逆向解析方法大都存在无法处理加密协议和无法获取协议字段语义信息的问题。针对这一问题,提出并实现了一种基于数据流分析的网络协议解析技术。该技术依托动态二进制插桩平台Pin下编写的数据流记录插件,以基于数据关联性分析的数据流跟踪技术为基础,对软件使用的网络通信协议进行解析,获取协议的格式信息,以及各个协议字段的语义。实验结果证明,该技术能够正确解析出软件通信的协议格式,并提取出各个字段所对应的程序行为语义,尤其对于加密协议有不错的解析效果,达到了解析网络协议的目的。 展开更多

关键词 数据流分析 网络协议逆向 加密协议解析 动态二进制插桩 协议字段语义

下载PDF 职称材料

基于人机协作迭代分析的网络协议逆向方法

3

作者 马春来 王群 +2 位作者 孙中豪 王占丰 胡超 《信息对抗技术》 2024年第5期84-96,共13页

协议逆向分析在网络安全领域具有重要意义,现有方法主要依靠计算机进行自动化推断,并未考虑人的经验知识干预条件下可能带来的信息增益,存在准确性较低的问题。鉴于此,提出了一种基于人机协作迭代分析的网络协议逆向方法,该方法基于人... 协议逆向分析在网络安全领域具有重要意义,现有方法主要依靠计算机进行自动化推断,并未考虑人的经验知识干预条件下可能带来的信息增益,存在准确性较低的问题。鉴于此,提出了一种基于人机协作迭代分析的网络协议逆向方法,该方法基于人机协作协议逆向分析框架,利用XML将人的经验知识进行知识表征,通过迭代式修正阶段性分析结果,克服了因缺乏知识辅助而导致的协议词法、语法及状态机推断准确率较低的问题。以典型工控协议数据样本为例进行了实验和对比分析,结果表明了该方法的有效性和可行性。 展开更多

关键词 网络协议逆向 人机协作 知识表征 迭代分析

下载PDF 职称材料

一种二进制私有协议字段格式划分方法 被引量：3

4

作者 秦中元 陆凯 +1 位作者 张群芳 黄星期 《小型微型计算机系统》 CSCD 北大核心 2019年第11期2318-2323,共6页

针对现有基于频繁项挖掘的协议字段格式划分方法以字节作为划分的基本单位,不能完全适用于二进制私有协议数据,以及在挖掘得到频繁项集合后缺乏有效的格式划分定界方法的问题,该文提出了一种改进的基于频繁项挖掘的协议字段格式划分方法... 针对现有基于频繁项挖掘的协议字段格式划分方法以字节作为划分的基本单位,不能完全适用于二进制私有协议数据,以及在挖掘得到频繁项集合后缺乏有效的格式划分定界方法的问题,该文提出了一种改进的基于频繁项挖掘的协议字段格式划分方法.通过构建半字节为最小长度的、长度逐渐增加的最大项集,并采用常见度和位置熵指标进行频繁项筛选,最后基于正向最大匹配进行投票以及对投票结果进行筛选来完成格式划分.仿真实验结果表明,该文方案能够得到比传统的AutoRe Engine方案更高的精确度. 展开更多

关键词 网络流量 协议逆向 频繁项挖掘 格式划分

下载PDF 职称材料

EDSM-Based Binary Protocol State Machine Reversing

5

作者 Shen Wang Fanghui Sun +3 位作者 Hongli Zhang Dongyang Zhan Shuang Li Jun Wang 《Computers, Materials & Continua》 SCIE EI 2021年第12期3711-3725,共15页

Internet communication protocols define the behavior rules of network components when they communicate with each other.With the continuous development of network technologies,many private or unknown network protocols ... Internet communication protocols define the behavior rules of network components when they communicate with each other.With the continuous development of network technologies,many private or unknown network protocols are emerging in endlessly various network environments.Herein,relevant protocol specifications become difficult or unavailable to translate in many situations such as network security management and intrusion detection.Although protocol reverse engineering is being investigated in recent years to perform reverse analysis on the specifications of unknown protocols,most existing methods have proven to be time-consuming with limited efficiency,especially when applied on unknown protocol state machines.This paper proposes a state merging algorithm based on EDSM(Evidence-Driven State Merging)to infer the transition rules of unknown protocols in form of state machines with high efficiency.Compared with another classical state machine inferring method based on Exbar algorithm,the experiment results demonstrate that our proposed method could run faster,especially when dealing with massive training data sets.In addition,this method can also make the state machines have higher similarities with the reference state machines constructed from public specifications. 展开更多

关键词 network security protocol state machine EDSM algorithm protocol reverse engineering protocol analyzing

下载PDF 职称材料

恶意软件网络协议的语法和行为语义分析方法 被引量：23

6

作者 应凌云 杨轶 +1 位作者 冯登国 苏璞睿 《软件学报》 EI CSCD 北大核心 2011年第7期1676-1689,共14页

网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语... 网络协议逆向分析是恶意软件分析的一项重要内容.现有的网络协议逆向分析方法主要考虑获取消息格式和协议语法,缺少数据的行为语义,导致分析者难以在网络数据和恶意软件行为之间建立起对应关系.提出一种网络协议的语法规范和字段行为语义分析方法,该方法利用基于虚拟执行环境的动态程序分析技术,通过分析恶意软件对网络数据的解析过程提取协议语法信息,并根据恶意软件对协议字段的使用方式获取字段的程序行为语义.通过结合API拦截和指令执行监控,该方法降低了分析复杂度,提高了分析效率.在所设计和实现的原型系统Prama(protocol reverse analyzer for malware analysis)上的实验结果表明,该方法能够较为准确地识别字段,提取协议语法规范,并能在命令字段与其引起的程序行为之间建立起有效的对应关系. 展开更多

关键词 恶意软件分析 网络协议逆向分析 动态分析 网络安全

下载PDF 职称材料

移动自组网基于路径维持概率的按需路由协议 被引量：10

7

作者 刘军 郭伟 +1 位作者 肖百龙 黄飞 《软件学报》 EI CSCD 北大核心 2007年第3期693-701,共9页

在移动自组网(mobile ad hoc networks,简称MANET)中,节点的移动使无线链路经常发生断裂,从而导致路由无效.为了提高路由的稳定性,在分析单跳链路的t-时间维持概率的基础上,提出了一种基于路径t-时间维持概率的按需路由协议.该协议通过... 在移动自组网(mobile ad hoc networks,简称MANET)中,节点的移动使无线链路经常发生断裂,从而导致路由无效.为了提高路由的稳定性,在分析单跳链路的t-时间维持概率的基础上,提出了一种基于路径t-时间维持概率的按需路由协议.该协议通过目的节点对路由请求的二次应答和中间节点对路由的反向优化来选择具有最大t-时间维持概率的路径,从而延长了路由的维持时间.仿真结果表明:与AODV(ad hoc on-demand distance vector)和DSR(dynamic source routing)等协议相比,该协议节省了协议开销,减小了分组的端到端时延. 展开更多

关键词 移动自组织网络 t-时间维持概率 路由协议 二次应答 反向优化

下载PDF 职称材料

基于网络流量的私有协议逆向技术综述 被引量：5

8

作者 李峻辰 程光 杨刚芹 《计算机研究与发展》 EI CSCD 北大核心 2023年第1期167-190,共24页

协议逆向技术是分析私有协议的重要途径,基于少量或零先验知识推断私有协议的约束与规范.在恶意应用监管、协议模糊测试、脆弱性检测、通信行为理解等方面均具有较高的实用价值.网络流量表征协议规范,承载协议固有特征,因此基于网络流... 协议逆向技术是分析私有协议的重要途径,基于少量或零先验知识推断私有协议的约束与规范.在恶意应用监管、协议模糊测试、脆弱性检测、通信行为理解等方面均具有较高的实用价值.网络流量表征协议规范,承载协议固有特征,因此基于网络流量的私有协议逆向技术更适用于发现、分析并监管网络上的私有协议.在梳理现有的基于网络流量的私有协议逆向技术基础上,首先提出包括预推理、协议格式推断、语义分析以及协议状态机推理4步骤的基于网络流量的私有协议逆向技术框架,并阐述各个步骤的主要任务,提出面向研究方法本质的分类结构;其次,详细阐述各个私有协议逆向技术的方法流程,从适用协议类型、方法内核、推断算法等多个角度进行对比分析,提供现有基于网络流量的私有协议逆向技术系统概述;最后,归纳总结现有技术存在的问题以及主要影响因素,并对私有协议逆向技术的未来研究方向与应用场景进行展望. 展开更多

关键词 网络流量 私有协议逆向技术 格式推断 语义分析 协议状态机

下载PDF 职称材料

基于精确时间协议的工业无线传感器网络时间同步方法 被引量：2

9

作者 单飞桥 王照伟 沈跃 《计算机应用》 CSCD 北大核心 2023年第7期2255-2260,共6页

针对工业无线传感器网络(IWSNs)中复杂链路环境、温度波动等造成的链路时延动态变化、时钟计时干扰、时间戳获取不确定等问题,提出一种基于精确时间协议(PTP)的IWSNs时间同步方法。首先,融合PTP双向时间同步过程的时钟计时干扰、非对称... 针对工业无线传感器网络(IWSNs)中复杂链路环境、温度波动等造成的链路时延动态变化、时钟计时干扰、时间戳获取不确定等问题,提出一种基于精确时间协议(PTP)的IWSNs时间同步方法。首先,融合PTP双向时间同步过程的时钟计时干扰、非对称链路时延噪声,建立时钟状态空间模型和观测模型;其次,构建反向自适应卡尔曼滤波算法以滤除噪声干扰;然后,利用反向估计和正向估计的时钟状态归一化新息比值来评估噪声统计模型的合理性;最后,在设定检测阈值后,动态调整时钟状态过程噪声,以实现时钟参数的精确估计。仿真结果表明,相较于经典卡尔曼滤波算法和PTP,在不同时钟计时精度下,反向自适应卡尔曼滤波算法估计的时钟偏移和偏移率均有较小且更稳定的误差标准差,有效解决了噪声不确定等原因造成的卡尔曼滤波发散问题,提高了时间同步的可靠性。 展开更多

关键词 工业无线传感器网络 时间同步 精确时间协议 时钟状态过程噪声 反向自适应卡尔曼滤波算法

下载PDF 职称材料

移动互联网不良信息监控过滤技术的比较分析 被引量：1

10

作者 李磊 林津如 《移动通信》 2015年第9期44-48,共5页

针对智能终端的普及所带来的网络信息安全问题,分析了传统互联网与移动互联网的上网方式和接入方式的差别。着重阐述了移动互联网的监控方法,同时结合用户移动性管理的具体应用,提出了一套针对移动互联网不良信息的识别和治理方法。

关键词 深度包解析 中国移动互联网 爬虫技术 网络协议逆向解析技术

下载PDF 职称材料

基于相似度匹配的网络协议语法分析方法

11

作者 郭亮 罗森林 潘丽敏 《北京理工大学学报》 EI CAS CSCD 北大核心 2016年第5期520-523,共4页

为解决网络协议语法分析方法中,依赖人工干预、分析效率低下、分析范围较小等问题,提出一种基于相似度匹配的网络协议语法分析方法.通过嗅探采集网络原始数据包,解析基础协议并对数据包进行预处理,提取9维不同角度的特征,建立了网络协... 为解决网络协议语法分析方法中,依赖人工干预、分析效率低下、分析范围较小等问题,提出一种基于相似度匹配的网络协议语法分析方法.通过嗅探采集网络原始数据包,解析基础协议并对数据包进行预处理,提取9维不同角度的特征,建立了网络协议语法相似分析模型,分析网络协议细节语法特征.通过将TCP协议作为已知协议,对UDP、DNS、QQ等3种不同类型的协议测试,结果表明这3类协议报头中,33%以上的字段能在TCP协议中找到对应的相似语法,而且平均准确率均在96%以上,该方法不需人工干预,可以提高分析效率、减少限制条件、扩大分析范围,并能较为有效地分析出网络协议语法特征. 展开更多

关键词 协议语法分析 协议逆向 相似度匹配

下载PDF 职称材料

APT木马网络协议逆向自动化分析

12

作者 潘思远 王轶骏 +1 位作者 薛质 林祥 《计算机应用与软件》 北大核心 2018年第4期317-324,共8页

随着网络安全需求的不断提升,对于高级持续性威胁APT(Advanced Persistent Threat)攻击中的远程控制木马的分析的要求也不断提高,也相应地出现各种分析未知网络协议的方法与工具。介绍现有的几种未知网络协议逆向的方法,再吸取现有方法... 随着网络安全需求的不断提升,对于高级持续性威胁APT(Advanced Persistent Threat)攻击中的远程控制木马的分析的要求也不断提高,也相应地出现各种分析未知网络协议的方法与工具。介绍现有的几种未知网络协议逆向的方法,再吸取现有方法中的优点,提出一种改进的基于报文数据Token化、多序列比对与凝聚型层次聚类的针对APT木马网络协议逆向的方法。 展开更多

关键词 APT木马 未知网络协议逆向 多序列比对 凝聚型层次聚类

下载PDF 职称材料