CN104506484B - 一种私有协议分析与识别方法 - Google Patents
一种私有协议分析与识别方法 Download PDFInfo
- Publication number
- CN104506484B CN104506484B CN201410628565.4A CN201410628565A CN104506484B CN 104506484 B CN104506484 B CN 104506484B CN 201410628565 A CN201410628565 A CN 201410628565A CN 104506484 B CN104506484 B CN 104506484B
- Authority
- CN
- China
- Prior art keywords
- protocol
- analysis
- message data
- data bag
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/03—Protocol definition or specification
Abstract
本发明涉及协议通信技术领域,本发明公开了一种私有协议分析与识别方法,其具体为:步骤一:先将采用私有协议进行通信的客户端软件进行脱壳处理;再对原始程序进行反汇编;然后对其汇编代码中的关键函数进行动态调试;步骤二:抓取该私有协议的网络流数据,并按协议交互的不同阶段进行报文数据包分类,然后分别解析出每类报文数据包的字段结构;步骤三:对交互过程中的协议特征进行提取和归纳;其中:协议特征包括交互过程信息和报文数据包的字段结构特征;步骤四:利用步骤三中所得到的协议特征,设置协议识别的匹配表达式,对网络中获取到的流量进行识别。通过上述方法实现了私有协议的分析和识别。
Description
技术领域
本发明涉及协议通信技术领域,尤其涉及一种私有协议分析与识别方法。
背景技术
协议规范是进行网络通信的必要条件,也是网络安全技术和网络监管的基础,如模糊测试,漏洞挖掘,入侵检测,协议重用,流量审计等关键技术都依赖于协议的详细描述信息。当前互联网承载了P2P、VoiP、IPTV、流媒体、网络游戏、文件共享等越来越多的新的应用,它们所使用的网络协议大多是未公开的。人们对这些私有协议开展了分析和识别研究,分析目标是恢复协议规范的报文格式和交互过程,并进一步利用所得到的协议特征进行识别,判断出具体的协议名称。
协议分析方面,最早的研究是Marshall Beddoe在2004年启动的PI项目中通过引入生物信息学的序列比对算法对目标协议的结构进行分析,但该算法对样本集数量有很高的要求。Cui等人提出的RolePlayer方法主要用于分析报文结构中用户参数、状态标识和长度等动态字段,但不对协议的完整结构进行分析。观察到报文结构解析是一个层次化的过程,逐层解析时通常有一些格式标识字段决定了子结构的解析方式,该团队进一步提出了以递归分类为核心的协议分析方案Discoverer。Caballero等人于2007年首次提出采用动态污点的协议分析方法,并设计了相应的原型系统Polyglot,该系统采用离线的方式对报文格式中的分隔符、定位符和关键字进行分析和识别。在Polyglot的基础上,Wondracek基于多次监控的分析结果,将所有格式相同的报文进行语义信息融合,从而提出了一种改进方案。国内的学者李伟明在PI的基础上,提出了自动化网络协议模糊测试的方案,采用类型匹配提取和多序列比对算法推断报文中的文本字段、二进制字段和长度字段,但由于没有考虑字段序号等约束语义,该方案并不能保证所生成的模糊测试数据绝对有效。何永君等人对基于指令序列的协议分析方法进行了研究,开发了在动态二进制分析平台DynamoRIO上的原型系统UNPRE。
协议识别方面,最早的方法是基于协议所使用的端口进行识别,但由于现在多数新出现的应用已经不再采用固定端口,该方法的准确率已经低于50%,识别算法的错误率高。2002年至2004年主要研究的是基于协议载荷内容特征的识别方法,通过详细分析目标应用协议,找出协议在交互过程中所特有的字段作为特征,再以此特征去匹配网络流进行识别。该方法虽然准确率高,但需要消耗大量的人力和系统资源去发现协议特征,工作量过于庞大。2007年以后,研究主要集中在将机器学习的方法引入到协议识别领域,利用对协议交互流量数据的机器学习过程辨别出协议之间的差异,然后利用这些差异性进行协议识别。该方法的准确率较高,而且可以解决大量标注数据的问题。值得注意的是,由于协议识别本质上是根据对协议规范的特征进行提取而实现的,因此对私有协议来说,协议分析是进行协议识别的基础。
当前针对私有协议分析和识别方法主要存在以下问题:
(1) 协议分析和识别的准确性不高。由于当前的网络应用协议一般都比较复杂,现有的方法只能恢复出报文格式的少量信息,进而影响了协议识别阶段的准确性。
(2)难以对加密协议进行分析和识别。现有方法主要针对私有的非加密协议进行分析,由于加密协议对协议载荷甚至字段结构等进行了加密处理,现有方法难以适用。
(3)分析时所依赖的样本集数量较大,时空复杂度高。在对报文格式进行提取时,特别是对长报文的情况,字段结构的解析往往需要大量的报文样本集。而指令序列的分析方法由于指令较多,由此带来处理过程复杂,时间和空间需求较大。
(4)缺乏完整的方法,难以对以后新出现的协议开展分析和识别。现有的方法大多只关注分析和识别流程的一个部分,没有提出整体的识别方法。此外,这些方法一般针对某种具体类型的协议进行分析,缺乏通用性。
发明内容
针对现有技术中的协议识别方法存在的不能识别私有的加密协议的技术问题,本发明公开了一种私有协议分析与识别方法。
本发明公开了一种私有协议分析与识别方法,其具体包括以下的步骤:步骤一:先将采用私有协议进行通信的客户端软件进行脱壳处理,得到脱壳后的原始程序;再对原始程序进行反汇编,得到该原始程序的汇编代码;然后对其汇编代码中的关键函数进行动态调试,从而得到该私有协议的报文类型的字段长度和构造特征;其中关键函数包括:1. 报文数据包的构造函数;2. 发送和接收报文数据包的函数;3. 加密和解密函数;步骤二:抓取该私有协议的网络流数据,并按协议交互的不同阶段进行报文数据包分类,然后分别解析出每类报文数据包的字段结构;步骤三:对交互过程中的协议特征进行提取和归纳;其中:协议特征包括交互过程信息和报文数据包的字段结构特征;步骤四:利用步骤三中所得到的协议特征,设置协议识别的匹配表达式,对网络中获取到的流量进行识别。
更进一步地,上述脱壳的具体过程为:首先确定壳的类型;其次找出程序入口点,进而将内存中的进程数据抓取出来转存为文件格式,调整并对齐相对虚拟地址和文件地址;最后修复转存文件的输入地址表,形成最终脱壳后的原始程序。
更进一步地,上述步骤二中的协议交互的不同阶段具体通过以下的方式得到:对报文数据包进行聚类分析,通过提取报文数据包的字段结构特征将报文数据包归类为协议交互的不同阶段,从而明确该协议的交互过程有几个阶段。
更进一步地,上述报文数据包的字段结构特征具体采用递归聚类的解析方法得到。
更进一步地,上述递归聚类的解析方法具体为:首先对报文样本集进行基本块序列的划分,然后对同类型的基本块进行多序列比对,从而得到所有可能的子字段划分和特征标识,最后利用递归算法的回溯过程确定最有可能正确的字段结构划分,从而完成报文数据包结构解析和特征提取。
更进一步地,上述方法还包括在完成聚类分析后,进行污点数据的指令分析。
更进一步地,上述污点数据的指令分析的具体过程为:挑选出协议的每个交互阶段的一条报文数据进行标识,被标示的报文称为污点数据,然后利用对协议软件的动态调试的方法对这条数据的处理过程进行跟踪,利用协议实体本身的解析过程得到该报文的数据格式;其中对这条数据的处理过程所选取的指令包括软件的报文数据包接收函数和解密函数的指令。
更进一步地,上述步骤三具体为:根据步骤二得到的信息,进一步对协议特征进行提取和汇总;协议特征包括交互过程信息和报文数据包的格式特征,逐个对解析出的字段记录其特征,先记录下固定字段的特征,对可变的字段部分采用机器学习对其特征进行样本集的学习和挖掘,提取出与这些可变字段相关的信息。
更进一步地,上述步骤四具体为:首先根据报文数据包格式特征对数据流量进行筛选,忽略不符合该协议的报文数据包;然后在剩下的报文数据包中按照协议交互过程的特征进行判断,若网络流报文数据包的聚类符合交互过程,则属于目标协议,否则不属于目标协议。
通过采用以上的技术方案,本发明的有益效果为:该方法能通用地分析和识别私有的加密和非加密协议,弥补了以前的同类方法只能用于识别非加密协议的缺点,通过对加解密函数的分析,使得能够解密报文数据中的密文字段部分,从而将加密协议转化为难度相对较低的非加密协议进行分析。
可能行压缩和加密操作关键函数进行动态调试,该方法能有效地分析和识别不同加密程度的私有协议,适用于分析协议数据部分加密或全部加密的情况。该方法实现简单,准确性较高,并且具有分析和识别过程仅需要较少的网络流数据包的优点,按协议交互的不同阶段进行报文数据包分类,然后分别解析出每类报文数据包的字段结构,由于网络协议交互过程的种类有限,因此识别阶段只需要较少的报文数据包即可完成结果的识别。该方法提供了一套私有协议分析和识别的方法,能用于分析将来出现的私有协议。
附图说明
图1为本发明的私有协议的识别方法的流程图。
图2为软件实体逆向分析及结果的流程图。
图3为网络流数据分析流程及结果的流程图。
图4为协议特征提取过程及结果的流程图。
图5为协议识别过程及判断结果的流程图。
具体实施方式
下面结合说明书附图,详细说明本发明的具体实施方式。
本发明公开了一种私有协议分析与识别方法,其具体包括以下的步骤:
步骤一:先将采用私有协议进行通信的客户端软件进行脱壳处理,得到脱壳后的原始程序;再对原始程序进行反汇编,得到该原始程序的汇编代码;然后对其汇编代码中的关键函数进行动态调试,从而得到该私有协议的报文类型的字段长度和构造特征;其中关键函数包括:1. 报文数据包的构造函数;2. 发送和接收报文数据包的函数;3. 加密和解密函数。对于加密协议的分析,该步骤是得到协议数据字段划分及其特征的方法,通过该步骤至少可以解析出协议数据包中一部分数据字段的结构,比如长度和格式特征,一方面这可以为后续网络流数据分析(步骤二)中的整条协议数据的解析提供必要字段格式划分参考模板,从而帮助完成整条数据的协议格式规范标注。另一方面,所得到的报文类型和结构特征也可用于和后续抓取的实际的网络流数据包进行比对,提高协议格式恢复的准确性。这些经过比对后相符的协议特征就可以加入步骤三中所要提取的目标特征集,最终用于对以后获取的协议数据进行识别。步骤二:抓取该私有协议的网络流数据,并按协议交互的不同阶段进行报文数据包分类,然后分别解析出每类报文数据包的字段结构;步骤三:对交互过程中的协议特征进行提取和归纳;其中:协议特征包括交互过程信息和报文数据包的字段结构特征;步骤四:利用步骤三中所得到的协议特征,设置协议识别的匹配表达式,对网络中获取到的流量进行识别。本发明能够识别出私有的加密协议,弥补了以前的同类方法只能用于识别非加密协议的缺点。加解密函数是私有加密协议分析中最重要的部分,实验表明,多数加密协议的数据加解密部分和报文构造、发送和接受部分是相互独立的。对这类函数的分析使得解密报文数据中的密文字段部分,从而将加密协议转化为难度相对较低的非加密协议进行分析。
如图1所示的本发明的私有协议的识别方法的流程图。该方法主要包括如下四个步骤:步骤一、对协议实体进行逆向分析;步骤二、网络流数据分析、步骤三、协议特征提取和归纳;步骤四、协议流量数据识别。
步骤一:对协议实体进行逆向分析,获取协议数据处理的关键函数和交互信息。协议在运行过程中总是存在报文的交互过程,这具体是由协议实体负责完成的。在网络环境下协议实体主要是指该协议的客户端和服务器软件,由于服务器端软件不太容易获得,因此我们主要对协议的客户端软件进行逆向分析。逆向分析的主要工作内容有三个方面(如图2所示的软件实体逆向分析及结果的流程图):
(1)对软件进行脱壳处理。
对于目前大多数的网络应用软件,软件开发者一般都会对这些软件进行加壳处理。加壳的原理就是在原程序上附上一段额外的代码,采用某种算法对原程序进行压缩和加密,并改变程序的执行入口点。加壳后的软件代码变化很大,无法直接采用反汇编方式获取原程序的执行代码进行分析,因此必须进行脱壳。脱壳就是将加壳后的程序解压或者解密,使程序从原始入口点开始运行。脱壳的步骤首先是利用PEID或者FI或者PESCAN等查壳工具确定壳的类型。其次,根据程序实现语言的代码特征找出程序入口点,进而将内存中的进程数据抓取出来转存为文件格式,调整并对齐相对虚拟地址和文件地址。最后修复转存文件的输入地址表,形成最终脱壳后的原始程序。
(2)对软件进行反汇编分析
得到脱壳的软件后,就可以利用IDAPRO等反汇编工具对软件进行反汇编,得到程序的汇编代码,然后进行分析。这里需要重点定位三类函数,一是报文数据包的构造函数,二是发送和接收报文数据包的函数,三是加密和解密函数,分析前两类函数,其目的是找出与之相关的函数调用关系以及所使用的操作系统接口函数等关键信息。第三类加解密函数是私有加密协议分析中最重要的部分,实验表明,多数加密协议的数据加解密部分和报文构造、发送和接受部分是相互独立的。对这类函数的分析使得解密报文数据中的密文字段部分,从而将加密协议转化为难度相对较低的非加密协议进行分析。
(3)对关键函数进行动态调试。
利用IDAPRO工具提供的强大的动态调试功能,对这三类函数进行动态的跟踪调试,从而弄清协议产生的各种类型的报文数据包的构造过程和字段信息。其中较为重要的是跟踪协议对加解密函数的调用信息,找出密钥的产生和使用过程,从而进一步得到协议对加密后将要发送的报文数据包的信息。对这三类函数的动态调试可以得到协议的不同报文类型的字段长度和构造特征,并且可以用于分析私有的加密协议。
步骤二:抓取协议的网络流数据进行分析,获得协议的交互阶段以及报文字段结构的划分信息(如图3所示的网络流数据分析流程及结果的流程图)。该步骤主要对网络流依次进行两种类型的分析,第一种是对这些报文数据包进行聚类分析,目标是通过提取这些报文数据包的字段结构特征将这些报文数据包归类为协议交互的不同阶段,从而明确该协议的交互过程有哪几个阶段,这也是协议的重要特征。比如对一个典型的网络即时通讯协议,交互的阶段可分为用户登录验证阶段和随后的聊天数据通讯阶段。实际中,由于报文数据包字段结构特征提取是一个逐层解析的过程,即子字段的解析由上一个级别的字段结构解析决定,因此我们主要采用递归聚类的解析方法。递归聚类的方法首先对报文样本集进行基本块序列的划分,然后对同类型的基本块进行多序列比对方法得到所有可能的子字段划分和特征标识,最后利用递归算法的回溯过程确定最有可能正确的字段结构划分,从而完成报文数据包结构解析和特征提取。第一种分析完成后,我们就可以开展第二种分析,即污点数据的指令分析。挑选出协议的每个交互阶段的一条报文数据进行标识(称为污点数据),然后利用对协议软件的动态调试的方法对这条数据的处理过程进行跟踪,利用协议实体本身的解析过程为我们得到报文的数据格式提供帮助,这其中我们选取的指令主要是软件的报文数据包接收函数和解密函数的指令。对于加密协议而言,该方法能发现软件解密函数的调用实施过程并获取到解密后的报文信息,从而适用于对加密协议的分析。与传统的网络流分析和指令分析方法相比,我们的方法有两个优点:第一,由于在对网络流量的报文进行递归聚类的分析阶段仅需要判断出报文属于哪一个协议交互阶段,而不同阶段的报文一般具有明显的特征差别,因此很大程度上降低了对网络流量报文数据包的样本集需求量。第二,指令序列并不需要该软件的全部指令,而只是重点关注接收函数和解密函数的指令。此外,对要分析的报文,仅仅是选择不同交互阶段的一个报文数据包进行分析,这就大大减少了需要调试和跟踪的指令数量,降低了实现的复杂度。
步骤三:对协议特征的进行提取和归纳(如图4所示的协议特征提取过程及结果的流程图)。根据步骤二得到的信息,进一步对协议特征进行提取和汇总。协议特征包括交互过程信息,比如交互轮数,每轮双方所发的报文数据包个数等,然后就是报文数据包的格式特征,我们逐个对解析出的字段记录其特征,先记录下固定字段的特征,对可变的字段部分我们采用机器学习对其特征进行样本集的学习和挖掘,从而提取出与这些可变字段相关的信息,比如可变字段的长度范围,取值范围等。由于给予机器学习的样本集已经是明确的某个交互阶段的报文数据包集合,因此可以采用有监督的机器学习方法。该方法利用同类型的网络流报文数据包作为训练样本集,并提取网络流数据的统计特征,得到的结果准确性高。在训练过程中,可以利用特征过滤或特征选择算法求出对协议识别最有效的特征组合,减少算法学习时所需要的数据量和执行时间,并能提高下一步进行识别的正确性。
步骤四:进行协议流量数据的识别。根据步骤三中所得到的协议特征,设置协议识别的匹配表达式,对网络中获取到的流量进行识别。整个识别过程如图5所示的协议识别过程及判断结果的流程图。具体为首先根据报文数据包格式特征对数据流量进行筛选,忽略不符合该协议的报文数据包。然后在剩下的报文数据包中按照协议交互过程的特征进行判断,若网络流报文数据包的聚类符合交互过程,则属于目标协议,否则不属于目标协议。由于网络协议交互过程的种类有限,因此识别阶段只需要较少的报文数据包即可完成结果的识别。
上述的实施例中所给出的系数和参数,是提供给本领域的技术人员来实现或使用发明的,发明并不限定仅取前述公开的数值,在不脱离发明的思想的情况下,本领域的技术人员可以对上述实施例作出种种修改或调整,因而发明的保护范围并不被上述实施例所限,而应该是符合权利要求书提到的创新性特征的最大范围。
Claims (8)
1.一种私有协议分析与识别方法,其具体包括以下的步骤:步骤一:先将采用私有协议进行通信的客户端软件进行脱壳处理,得到脱壳后的原始程序;再对原始程序进行反汇编,得到该原始程序的汇编代码;然后对其汇编代码中的关键函数进行动态调试,从而得到该私有协议的报文类型的字段长度和构造特征;其中关键函数包括:报文数据包的构造函数;发送和接收报文数据包的函数;加密和解密函数;步骤二:抓取该私有协议的网络流数据,并对网络流数据依次进行聚类分析与污点数据的指令分析,按协议交互的不同阶段进行报文数据包分类,然后分别解析出每类报文数据包的字段结构;步骤三:对交互过程中的协议特征进行提取和归纳;其中:协议特征包括交互过程信息和报文数据包的字段结构特征;步骤四:利用步骤三中所得到的协议特征,设置协议识别的匹配表达式,对网络中获取到的流量进行识别。
2.如权利要求1所述的私有协议分析与识别方法,其特征在于所述脱壳的具体过程为:首先确定壳的类型;其次找出程序入口点,进而将内存中的进程数据抓取出来转存为文件格式,调整并对齐相对虚拟地址和文件地址;最后修复转存文件的输入地址表,形成最终脱壳后的原始程序。
3.如权利要求2所述的私有协议分析与识别方法,其特征在于所述步骤二中的协议交互的不同阶段具体通过以下的方式得到:对报文数据包进行聚类分析,通过提取报文数据包的字段结构特征将报文数据包归类为协议交互的不同阶段,从而明确该协议的交互过程有几个阶段。
4.如权利要求3所述的私有协议分析与识别方法,其特征在于所述报文数据包的字段结构特征具体采用递归聚类的解析方法得到。
5.如权利要求4所述的私有协议分析与识别方法,其特征在于所述递归聚类的解析方法具体为:首先对报文样本集进行基本块序列的划分,然后对同类型的基本块进行多序列比对,从而得到所有可能的子字段划分和特征标识,最后利用递归算法的回溯过程确定最有可能正确的字段结构划分,从而完成报文数据包结构解析和特征提取。
6.如权利要求5所述的私有协议分析与识别方法,其特征在于所述污点数据的指令分析的具体过程为:挑选出协议的每个交互阶段的一条报文数据进行标识,被标示的报文称为污点数据,然后利用对协议软件的动态调试的方法对这条数据的处理过程进行跟踪,利用协议实体本身的解析过程得到该报文的数据格式;其中对这条数据的处理过程所选取的指令包括软件的报文数据包接收函数和解密函数的指令。
7.如权利要求5所述的私有协议分析与识别方法,其特征在于所述步骤三具体为:根据步骤二得到的信息,进一步对协议特征进行提取和汇总;协议特征包括交互过程信息和报文数据包的格式特征,逐个对解析出的字段记录其特征,先记录下固定字段的特征,对可变的字段部分采用机器学习对其特征进行样本集的学习和挖掘,提取出与这些可变字段相关的信息。
8.如权利要求7所述的私有协议分析与识别方法,其特征在于所述步骤四具体为:首先根据报文数据包格式特征对数据流量进行筛选,忽略不符合该协议的报文数据包;然后在剩下的报文数据包中按照协议交互过程的特征进行判断,若网络流报文数据包的聚类符合交互过程,则属于目标协议,否则不属于目标协议。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410628565.4A CN104506484B (zh) | 2014-11-11 | 2014-11-11 | 一种私有协议分析与识别方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201410628565.4A CN104506484B (zh) | 2014-11-11 | 2014-11-11 | 一种私有协议分析与识别方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104506484A CN104506484A (zh) | 2015-04-08 |
| CN104506484B true CN104506484B (zh) | 2017-11-24 |
Family
ID=52948199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201410628565.4A Active CN104506484B (zh) | 2014-11-11 | 2014-11-11 | 一种私有协议分析与识别方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN104506484B (zh) |
Families Citing this family (34)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107026766A (zh) * | 2016-02-02 | 2017-08-08 | 中国移动通信集团河北有限公司 | 一种网络质量的评估检测方法及装置 |
| CN108076017B (zh) * | 2016-11-16 | 2021-09-17 | 腾讯科技(深圳)有限公司 | 一种数据包的协议解析方法及装置 |
| CN106549808A (zh) * | 2016-11-17 | 2017-03-29 | 北京安天电子设备有限公司 | 一种网络环境模拟方法及系统 |
| CN106850349B (zh) * | 2017-02-08 | 2020-01-03 | 杭州迪普科技股份有限公司 | 一种特征信息的提取方法及装置 |
| CN108664316A (zh) * | 2017-03-31 | 2018-10-16 | 华为技术有限公司 | 一种获取api的接口信息的方法和装置 |
| CN107180188B (zh) * | 2017-04-12 | 2020-06-09 | 中山大学 | 一种基于动态污点分析对加密应用的明文提取的系统 |
| CN107528820A (zh) * | 2017-06-07 | 2017-12-29 | 中国银联股份有限公司 | 针对应用程序的加解密方法、装置及安全审计方法和平台 |
| CN107426053B (zh) * | 2017-07-26 | 2021-01-05 | 成都科来软件有限公司 | 一种数据包负载的自动化构造方法 |
| CN108449356B (zh) * | 2018-04-04 | 2022-03-11 | 国家计算机网络与信息安全管理中心 | 一种基于多序列比对的在线协议格式推断方法 |
| CN108600195B (zh) * | 2018-04-04 | 2022-01-04 | 国家计算机网络与信息安全管理中心 | 一种基于增量学习的快速工控协议格式逆向推断方法 |
| CN108737212B (zh) * | 2018-05-18 | 2020-11-27 | 中国人民解放军61062部队科技装备处 | 一种传输协议符合性检测装置、系统及方法 |
| CN108650280A (zh) * | 2018-08-03 | 2018-10-12 | 陕西中达公路技术服务有限公司 | 一种自适应多协议适配方法 |
| CN109460469B (zh) * | 2018-10-25 | 2020-08-07 | 中南民族大学 | 一种基于网络轨迹的安全协议格式的挖掘方法及装置 |
| CN111314268B (zh) * | 2018-12-11 | 2022-06-07 | 航天信息股份有限公司 | 一种数据包分析方法及装置 |
| CN110011962B (zh) * | 2019-02-21 | 2021-10-01 | 国家计算机网络与信息安全管理中心 | 一种车联网业务数据的识别方法 |
| CN110049023B (zh) * | 2019-03-29 | 2021-11-16 | 中国空间技术研究院 | 一种基于机器学习的未知协议逆向识别方法及系统 |
| CN111190619A (zh) * | 2019-12-17 | 2020-05-22 | 南京理工大学 | 一种基于固件更新协议的Android取证方法 |
| CN111327636B (zh) * | 2020-03-10 | 2021-05-07 | 西北工业大学 | 一种涉及网络安全的s7-300plc私有协议逆向方法 |
| CN111371651A (zh) * | 2020-03-12 | 2020-07-03 | 杭州木链物联网科技有限公司 | 一种工业通讯协议逆向分析方法 |
| CN111988373B (zh) * | 2020-07-31 | 2024-03-19 | 广州市百果园信息技术有限公司 | 数据的处理方法及装置 |
| CN111917777B (zh) * | 2020-08-03 | 2023-04-18 | 中国电子科技集团公司第三十六研究所 | 网络数据解析方法、装置和电子设备 |
| CN112202745B (zh) * | 2020-09-23 | 2023-01-31 | 深圳力维智联技术有限公司 | 流式协议开发方法、装置、设备及存储介质 |
| CN112187583B (zh) * | 2020-09-30 | 2022-03-25 | 绿盟科技集团股份有限公司 | 动作信息在私有工控协议中识别的方法、装置及存储介质 |
| CN112202814B (zh) * | 2020-11-04 | 2022-02-08 | 中国电子科技集团公司第三十研究所 | 一种路由交换设备内生安全动态防护功能的处理方法 |
| CN112688924A (zh) * | 2020-12-15 | 2021-04-20 | 中国海洋大学 | 网络协议分析系统 |
| CN112905184B (zh) * | 2021-01-08 | 2024-03-26 | 浙江大学 | 一种基于插桩的基本块粒度下工控协议语法逆向分析方法 |
| CN113452672B (zh) * | 2021-05-11 | 2023-01-10 | 国网天津市电力公司电力科学研究院 | 基于协议逆向分析的电力物联网终端流量异常分析方法 |
| CN113507449B (zh) * | 2021-06-17 | 2022-05-20 | 北京惠而特科技有限公司 | 一种ge私有协议深度识别方法及装置 |
| CN113489794A (zh) * | 2021-07-07 | 2021-10-08 | 智洋创新科技股份有限公司 | 一种变电站智能识别主站与智能站端设备的通信交互方法 |
| CN114338736B (zh) * | 2021-12-07 | 2023-08-01 | 中国人民解放军总医院 | 物联网设备的数据传输管理系统、方法和计算机装置 |
| CN114553749A (zh) * | 2022-02-18 | 2022-05-27 | 科来网络技术股份有限公司 | 私有协议分析方法、装置、计算机设备及可读存储介质 |
| CN114866300A (zh) * | 2022-04-22 | 2022-08-05 | 中国人民解放军国防科技大学 | 一种基于重放分析的网络协议软件状态变量识别方法 |
| CN114629809B (zh) * | 2022-05-11 | 2022-10-18 | 北京启天安信科技有限公司 | 一种实时网络流量数据解析方法及系统 |
| CN115883263B (zh) * | 2023-03-02 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 基于多尺度载荷语义挖掘的加密应用协议类型识别方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006049814A2 (en) * | 2004-10-28 | 2006-05-11 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
-
2014
- 2014-11-11 CN CN201410628565.4A patent/CN104506484B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2006049814A2 (en) * | 2004-10-28 | 2006-05-11 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| CN101035111A (zh) * | 2007-04-13 | 2007-09-12 | 北京启明星辰信息技术有限公司 | 一种智能协议解析方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 协议识别与分析技术研究;高渊;《全国优秀硕士学位论文》;20090101;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN104506484A (zh) | 2015-04-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104506484B (zh) | 一种私有协议分析与识别方法 | |
| CN111277578B (zh) | 加密流量分析特征提取方法、系统、存储介质、安全设备 | |
| Engelen et al. | Troubleshooting an intrusion detection dataset: the CICIDS2017 case study | |
| Duchêne et al. | State of the art of network protocol reverse engineering tools | |
| Krueger et al. | Learning stateful models for network honeypots | |
| US20190294995A1 (en) | Method and system for training and validating machine learning in network environments | |
| Gascon et al. | Pulsar: Stateful black-box fuzzing of proprietary network protocols | |
| CN109284606B (zh) | 基于经验特征与卷积神经网络的数据流异常检测系统 | |
| Sija et al. | A survey of automatic protocol reverse engineering approaches, methods, and tools on the inputs and outputs view | |
| CN107667510A (zh) | 恶意软件和恶意应用的检测 | |
| CN107426059B (zh) | Dpi设备特征库自动更新方法、系统、dpi设备及云端服务器 | |
| CN110868409A (zh) | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 | |
| CN107360145A (zh) | 一种多节点蜜罐系统及其数据分析方法 | |
| JP5024394B2 (ja) | システム可視化プログラム、方法及び装置 | |
| CN109525508A (zh) | 基于流量相似性比对的加密流识别方法、装置及存储介质 | |
| CN112217763A (zh) | 一种基于机器学习的隐蔽tls通信流检测方法 | |
| CN108055166B (zh) | 一种嵌套的应用层协议的状态机提取系统及其提取方法 | |
| CN107360062B (zh) | Dpi设备识别结果的验证方法、系统及dpi设备 | |
| CN112291226B (zh) | 一种网络流量的异常检测方法及装置 | |
| Erdenebaatar et al. | Analyzing traffic characteristics of instant messaging applications on android smartphones | |
| Iglesias et al. | CCgen: injecting covert channels into network traffic | |
| CN107517237A (zh) | 一种视频识别方法和装置 | |
| Gonzalez-Granadillo et al. | An improved live anomaly detection system (i-lads) based on deep learning algorithm | |
| Hejun et al. | Online and automatic identification and mining of encryption network behavior in big data environment | |
| KR101713907B1 (ko) | 보안 네트워크에서 이벤트 발생 시점 기반 트래픽 상관 분석 서비스 제공 방법 및 시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |