CN112702235B - 一种对未知协议自动化逆向分析的方法 - Google Patents

一种对未知协议自动化逆向分析的方法 Download PDF

Info

Publication number
CN112702235B
CN112702235B CN202011533011.8A CN202011533011A CN112702235B CN 112702235 B CN112702235 B CN 112702235B CN 202011533011 A CN202011533011 A CN 202011533011A CN 112702235 B CN112702235 B CN 112702235B
Authority
CN
China
Prior art keywords
field
protocol
network
unknown
classification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202011533011.8A
Other languages
English (en)
Other versions
CN112702235A (zh
Inventor
钱叶魁
付才
韩兰胜
杨瑞朋
黄浩
雒朝峰
杜江
时晨航
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huazhong University of Science and Technology
PLA Army Academy of Artillery and Air Defense
Original Assignee
Huazhong University of Science and Technology
PLA Army Academy of Artillery and Air Defense
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huazhong University of Science and Technology, PLA Army Academy of Artillery and Air Defense filed Critical Huazhong University of Science and Technology
Priority to CN202011533011.8A priority Critical patent/CN112702235B/zh
Publication of CN112702235A publication Critical patent/CN112702235A/zh
Application granted granted Critical
Publication of CN112702235B publication Critical patent/CN112702235B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/047Probabilistic or stochastic networks
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/04Architecture, e.g. interconnection topology
    • G06N3/049Temporal neural networks, e.g. delay elements, oscillating neurons or pulsed inputs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06NCOMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
    • G06N3/00Computing arrangements based on biological models
    • G06N3/02Neural networks
    • G06N3/08Learning methods

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Biomedical Technology (AREA)
  • General Engineering & Computer Science (AREA)
  • Artificial Intelligence (AREA)
  • Health & Medical Sciences (AREA)
  • Biophysics (AREA)
  • Computational Linguistics (AREA)
  • Data Mining & Analysis (AREA)
  • Evolutionary Computation (AREA)
  • General Health & Medical Sciences (AREA)
  • Molecular Biology (AREA)
  • Computing Systems (AREA)
  • Life Sciences & Earth Sciences (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Probability & Statistics with Applications (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明涉及一种对未知协议自动化逆向分析的方法,属于网络安全领域。本发明包括以下步骤:截获网络数据报文,并过滤得到已知网络协议字段;通过分析协议字段的变化特征,提取针对字段变化特征的向量编码;使用字段序列编码作为输入,使用LSTM‑FCN网络实现对针对未知协议的分类模型;使用训练好模型作为字段序列分类器,并且根据分类结果来实现未知协议字段的边界和类型的识别。本发明的字段分类模型在不同的协议上都具有很好准确率和召回率,表明该模型具有根据字段变化特征识别字段类型的能力;所提出的协议逆向方案也比较准确和快速的识别出了协议的字段和类别,充分的证明了本发明对未知二进制协议的识别能力。

Description

一种对未知协议自动化逆向分析的方法
技术领域
本发明属于网络安全领域,具体涉及一种对未知协议自动化逆向分析的方法。
背景技术
随着信息技术的高速发展,互联网开始渗入到人们生活的方方面面,成为现代生活方式中不可或缺的组成部分,这其中尤其是以智能家居为首的给各类IoT设备发展最为迅速。不同的IoT设备之间的数据交互、协同工作大部分需要通过网络协议来实现。
网络协议是指互联网等网络中进行交互的两个或多个终端实体为了进行数据交换而建立的包括规则、格式和流程的正式标准。网络协议通常包含网络实体之间所有流程和节点,并且必须同时由发送方和接收方确认安装。
网络协议可以根据其格式、规则和流程是否存在公开的标准文档分为两类:公开和非公开。公开的网络协议除了有公开标准文档之外,一般都被广泛的使用,并且得到多数人的认可,如TCP、IP、FTP、TELNET等网络协议。非公开网络协议,通常都是特定软件或者系统所独有的网络协议,因此也被称之为私有网络协议。
随着网络节点的增多,网络协议作为网络中通信的基础保证,其安全性变得越来越重要。网络协议通常被特定的应用程序/系统所使用,为了保证正常的通信,协议的使用者必定需要暴露在网络之中。如果网络协议以及使用协议的实体存在漏洞和后门,就极有可能对系统和整个网络造成严重的破坏。如2015年发现的BIND DoS漏洞(CVE-2015-5477),就是开源软件BIND对畸形TKEY查询处理出错造成的DoS漏洞;还有2018年Windows DNS服务器远程代码执行漏洞(CVE-2018-8626),也是对攻击者恶意的DNS请求处理不当所导致的。可以看出网络协议作为与外界连接协作的桥梁,其安全与否对整个系统来说都是至关重要。
但是由于未公开网络协议的存在,给网络协议以及其应用的安全性的研究带来了一定的阻碍。如入侵检测和模糊测试等常用安全技术通常都需要对协议技术标准具有一定的了解,当面临私有协议时会严重影响其结果的准确性和效率。而通过协议逆向技术就可以在不具备协议标准文档的前提下,通过分析协议报文等方式提取协议的格式字段、协议状态机等信息。
协议逆向技术中最朴实的就是靠人工的手动协议逆向。人工的协议逆向非常消耗时间和精力,并且其准确性几乎完全取决于逆向人员的专业程度。并且网络协议并非一成不变,协议往往会一直被改进,通过人工逆向的方式需要耗费极大的代价才可能一直跟随协议的改变。因此高效自动化的协议逆向方案具有很高的研究意义和广阔的应用前景。
发明内容
(一)要解决的技术问题
本发明要解决的技术问题是如何提供一种对未知协议自动化逆向分析的方法,以解决现有技术中依赖人工以及逆向人员经验的状况,使得能进行自动化的未知网络协议逆向分析。
(二)技术方案
为了解决上述技术问题,本发明提出一种对未知协议自动化逆向分析的方法,所述方法包括如下步骤:
S1、通过报文抓取工具截获网络数据包,将未知协议数据包删除;
S2、对不进行分析的网络协议封装进行删除,得到目标网络协议的字段数据,将其按字段变化编码表示为向量形式用于神经网络的训练;
S3、使用得到的已知协议字段变化编码作为输入,对LSTM-FCN分类网络进行训练,得到一个针对网络协议的分类模型;
S4、使用网络协议分类模型作为字段序列分类器,将待分析的未知网络协议字段输入该分类器中,预测得到每种字段划分的分类以及其置信度;
S5、根据分类器预测结果,使用动态规划算法求出全局最优的分类方式,最后根据最优分类计算出协议字段划分方式。
(三)有益效果
本发明提出一种对未知协议自动化逆向分析的方法,本方案在实验逆向分析中取得了良好的效果,总体上具有更高的便捷性与适应性。通过本发明所构思的以上技术方案,与现有技术相比,本发明具有以下的有益效果:
1、由于步骤S2的中的字段编码按照字段变化划分类型,而非协议中具体的字段含义。该编码方案可以更好的表示字段的类型和作用,并解决的未知协议中字段含义难以表示的问题。
2、由于步骤S3构建的LSTM-FCN神经网络模型结构适用于处理提取基于时间序列的特征,能更好的完成网络协议的字段分类任务。此外,神经网络模型具有很高的适应性,因为使用TCP等已知协议训练得到的模型仍可用于未知网络协议的逆向分析。
3、由于步骤S4中对未知协议所有可能的字段划分遍历,并使用训练好的模型进行字段的划分以及其置信度,可以很好的分析出该未知协议中字段可能的划分以及概率。在计算最终结果时使用动态规划算法即可计算得到最优的字段划分和字段分类,计算复杂度较低。
附图说明
图1为本发明的对未知协议自动化逆向分析的方法的流程图;
图2为本发明的LSTM-FCN分类网络结构图。
具体实施方式
为使本发明的目的、内容和优点更加清楚,下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。
为实现上述目的,本发明提供了一种基于LSTM-FCN网络的未知网络协议逆向技术,包括以下步骤:
S1、网络数据报文获取。使用wireshark或tcpdump等开源报文抓取工具抓取网络数据包,然后将未知协议数据包删除。这一步将获得原始的网络数据报文,且这些报文中包含了已知的网络协议如TCP、UDP等等。
S2、网络协议字段编码。由于网络数据包中往往由多层网络协议进行封装,因此需要对不进行分析的网络协议封装进行删除。在此基础上,可以得到目标网络协议的字段数据,将其按字段变化编码表示为向量形式用于神经网络的训练。
S3、LSTM-FCN分类网络构建。使用步骤S2得到的已知协议字段变化编码作为输入,对分类网络进行训练。神经网络的训练完成后可以对已知字段划分的协议进行分类,其输出表示该未知协议属于各个分类的置信度。
S4、未知协议自动化分析。首先获取未知协议的字段数据,并基于划分规则遍历字段数据得到所有可能的划分。使用步骤S3中训练好的网络协议分类模型,得到每种字段划分的分类以及其置信度。
S5、使用动态规划算法求出步骤S4中的预测结果的全局最优分类,并通过分类得到该未知协议的分类得到字段划分。
针对现有手动对网络协议逆向分析效率低,依赖逆向人员经验等问题,提出一种基于深度学习的自动化网络协议逆向分析技术。该技术中,提取已知网络协议的字段进行编码,并作为神经网络的输入进行训练。并将未知网络协议字段传入训练好的模型,预测得到置信度最高的字段划分和字段分类。
针对不同网络协议的字段具体含义不同,难以进行自动化检测的问题,提出使用协议字段的变化规律来进行分类编码。该分类方法使用字段的变化规律划分字段类型,其中包括:递增类型,固定值标识符,校验和,离散单值,离散多值。使用该分类方案可以很好的表示某一类字段,尽管其具体含义不同。比如TCP协议的端口号、IP协议的ip地址值在含义上显然不同,但在分类上均可以划分为协议的标识符。使用这种方式可以对未知网络协议的字段作用进行分类,且便于进行神经网络的训练。
针对协议字段具有序列化的特性,使用LSTM-FCN网络进行字段分类得到更高的准确率。该模型中,使用两个LSTM-FCN网络提取完整会话序列T和发送序列T′的特征,进行拼接后分类得到最终结果。
具体而言,如图1所示,本发明基于LSTM-FCN网络的网络协议自动化逆向技术中还包括如下要点:
(1)通过Wireshark和Tcpdump等工具截获网络通信数据报文,对原始数据包进行清洗和分类,将未知协议数据包删除,删除原始信息中的无关和错误数据。抓取报文时会同时抓取到多种不同的报文,如TCP、UDP、ICMP,但在实际使用中需要将报文按不同协议分别处理。网络数据通常由多个协议共同协作传输。基于UDP的应用层协议,在传输过程中会依次加上UDP协议头、IP协议头、链路层封装,最终构成在物理硬件上传出的数据报文。在处理抓取到的数据报文时,需要按照其协议栈删除掉无关的底层封装和协议头,才能得到最终需要的数据报文。
(2)协议交互过程都由一个或多个会话组成,会话指的是某种协议从发起,到建立连接,到最后结束的整个通讯过程。按照标识字段来进行数据报文的划分。对于得到的单个会话的网络数据报文,按会话的报文顺序处理得到协议字段序列,并根据字段变化规律对协议字段序列进行编码。
网络协议字段分类并非按照协议中的具体含义,而是根据字段变化规律分为以下几类:a.递增序列。此类型字段值在总体上以递增规律变化,后出现的值总是增长或者不变,也会类似TCP序列号一样存在回环的情况。此类字段通常出现于序列号,索引等字段中,如TCP协议的seq和ack字段,IP协议的id字段。b.标识符。此类型字段通常作为单个会话的标识符,理论上字段值在单次会话中相同,在不同会话中字段值会不同;每个不同字段值代表不同的会话,通过此字段就可以区分多个并行的会话。但是理论上数据包分为发送和接受,因此实际中同一个会话会存在两个值,如TCP协议的PORT字段,IP协议的地址字段。c.固定值。此类型字段值在整个协议中固定不变。因此该类型字段可以作为协议独特的标志,如用作魔术字;也有可能是协议版本号,如IPv4协议的版本字段固定为4。此外也有可能是对齐的纯零填充字段。d.校验和。此类型字段值用于表示一段数据的校验和,其取值都是会杂乱随机,没有明显的可描述规律。通常是使用各类算法(如CRC32)对数据包进行校验来保证数据包的完整性。如TCP和IP协议的checksum字段。e.离散单值。此类型字段值的通常是很有限的取值,因此在单个会话中会出现大量重复。通常被用做标志位,或者变化很小的长度字段。如TCP标志位:SYN,ACK,RST,FIN等标志。f.离散多值。此类型字取值为多个离散的、少重复的取值。一般而言该字段值为某种属性的描述,如特定参数、报文长度。常见的此类型字段有TCP协议和IP协议的长度字段。
例如,TCP协议的序列号按会话的报文顺序处理得到协议字段序列为1、2、3……,该序列是递增序列,按其字段变化规律对该协议字段序列编码为1;又如IPv4协议的版本字段为固定值,其按会话的报文顺序处理得到协议字段序列为4、4、4……,该序列是固定值序列,按其字段变化规律对该协议字段序列编码为3;等等。
(3)在提取协议的字段序列编码后,构建LSTM-FCN网络模型作为字段分类模型来进行字段分类的训练与检测。LSTM全卷积网络(LSTM-FCN),相比于其他算法神经网络有训练速度快,总体准确更高。可以说,LSTM-FCN是一种优秀的时间序列分类模型。
使用LSTM-FCN网络对已知协议的字段进行训练,得到网络协议字段的分类模型。使用神经网络的目的是对字段变化模式的分析,从而可以对网络协议进行自动化的逆向分析。
如图2所示,LSTM-FCN字段分类模型主要包含两个部分,协议字段变化编码分别输入LSTM-FCN网络两个部分,并在拼接后使用softmax层进行处理得到字段分类的预测。
(4)对于待分析的未知网络协议,遍历所有可能的字节切分方式作为一个可能字段序列,然后利用分类模型对所有序列进行分类,记录下所有组合方式的分类结果。字节切分的方式考虑真实协议字段的切分方式,大多数的协议会采取字节对齐的策略。因此允许半个字节、单个字节、两个字节、四个字节等四种字节切分方法,切分允许从半个字节开始,不允许半个字节结束。
对于未知协议所有可能的字段划分方式均使用模型进行预测,并计算出对置信率最高的字段分类。由于划分的可能性过多,求解最优划分的计算量较大。且对于局部相同的划分其置信度也相同,因此本方法中使用动态规划算法降低计算量,求解出置信率最高的字段划分和字段分类。
(5)对于未知协议的每个可能划分进行预测并计算置信度。未知协议的字段划分也是未知的,因此需要遍历所有可能的划分结果并进行预测。对分类模型预测的结果使用动态规划算法计算置信度最高的字段分类,并使用该分类方法确定字段划分。
对未知协议所有可能的字段进行预测并使用动态规划算法计算置信率最高的字段分类,并根据该分类确定协议的字段划分。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (9)

1.一种对未知协议自动化逆向分析的方法,其特征在于,所述方法包括如下步骤:
S1、通过报文抓取工具截获网络数据包,将未知协议数据包删除;
S2、对不进行分析的网络协议封装进行删除,得到目标网络协议的字段数据,将其按字段变化编码表示为向量形式用于神经网络的训练;
S3、使用得到的已知协议字段变化编码作为输入,对LSTM-FCN分类网络进行训练,得到一个针对网络协议的分类模型;
S4、使用网络协议分类模型作为字段序列分类器,将待分析的未知网络协议字段输入该分类器中,预测得到每种字段划分的分类以及其置信度;
S5、根据分类器预测结果,使用动态规划算法求出全局最优的分类方式,最后根据最优分类计算出协议字段划分方式;
其中,网络协议字段根据字段变化规律分为以下几类:
a.递增序列,此类型字段值在总体上以递增规律变化;
b.标识符,此类型字段在单次会话中相同,在不同会话中字段值会不同;
c.固定值,此类型字段值在整个协议中固定不变;
d.校验和,此类型字段值的取值是随机的;
e.离散单值,此类型字段值是有限的取值,单个会话中会出现大量重复;
f.离散多值,此类型字取值为多个离散的、少重复的取值。
2.如权利要求1所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S1中的报文抓取工具为wireshark或tcpdump。
3.如权利要求1所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S1具体包括如下步骤:通过报文抓取工具截获网络通信数据报文,对原始数据包进行清洗和分类,将未知协议数据包删除,删除原始数据包中的无关和错误数据。
4.如权利要求1所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S2中对不进行分析的网络协议封装进行删除具体包括:在处理抓取到的数据报文时,按照其协议栈删除掉无关的底层封装和协议头。
5.如权利要求1所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S2中将其按字段变化编码表示为向量形式用于神经网络的训练具体包括:按照标识字段来进行数据报文的划分,对于得到的单个会话的网络数据报文,按会话的报文顺序处理得到协议字段序列,并根据字段变化规律对协议字段序列进行编码。
6.如权利要求1所述的对未知协议自动化逆向分析的方法,其特征在于,递增序列类型的字段包括序列号和索引;标识符类型的字段包括PORT和IP地址;固定值类型的字段包括协议版本号;离散单值类型的字段包括TCP标志位;离散多值类型的字段包括TCP协议和IP协议的长度字段。
7.如权利要求5或6所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S3具体包括:协议字段变化编码输入LSTM-FCN网络,并使用softmax层进行处理得到字段分类的预测。
8.如权利要求7所述的对未知协议自动化逆向分析的方法,其特征在于,所述步骤S4具体包括:对于待分析的未知网络协议,遍历所有可能的字节切分方式作为一个可能字段序列,然后利用分类模型对所有序列进行分类,记录下所有组合方式的分类结果以及其置信度,其中,使用动态规划算法计算置信度最高的字段分类,并使用该分类方法确定字段划分。
9.如权利要求8所述的对未知协议自动化逆向分析的方法,其特征在于,字节切分的方式采取字节对齐的策略,允许半个字节、单个字节、两个字节、四个字节四种字节切分方法,切分允许从半个字节开始,不允许半个字节结束。
CN202011533011.8A 2020-12-21 2020-12-21 一种对未知协议自动化逆向分析的方法 Active CN112702235B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202011533011.8A CN112702235B (zh) 2020-12-21 2020-12-21 一种对未知协议自动化逆向分析的方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202011533011.8A CN112702235B (zh) 2020-12-21 2020-12-21 一种对未知协议自动化逆向分析的方法

Publications (2)

Publication Number Publication Date
CN112702235A CN112702235A (zh) 2021-04-23
CN112702235B true CN112702235B (zh) 2022-08-05

Family

ID=75510780

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202011533011.8A Active CN112702235B (zh) 2020-12-21 2020-12-21 一种对未知协议自动化逆向分析的方法

Country Status (1)

Country Link
CN (1) CN112702235B (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114520838B (zh) * 2022-01-11 2023-10-17 北京交通大学 一种基于k近邻的自定义协议应用层的网络报文匹配方法
CN114553983B (zh) * 2022-03-03 2023-10-24 沈阳化工大学 一种基于深度学习高效工业控制协议解析方法
CN114640611A (zh) * 2022-03-09 2022-06-17 西安电子科技大学 一种未知异构工业协议检测识别方法、系统、设备及介质
CN115334179B (zh) * 2022-07-19 2023-09-01 四川大学 一种基于命名实体识别的未知协议逆向解析方法
CN115001994B (zh) * 2022-07-27 2022-11-15 北京天融信网络安全技术有限公司 流量数据包分类方法、装置、设备及介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102523167A (zh) * 2011-12-23 2012-06-27 中山大学 一种未知应用层协议报文格式的最佳分段方法
CN102891852A (zh) * 2012-10-11 2013-01-23 中国人民解放军理工大学 基于报文分析的协议格式自动推断方法
CN110532564A (zh) * 2019-08-30 2019-12-03 中国人民解放军陆军工程大学 一种基于cnn和lstm混合模型的应用层协议在线识别方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8935677B2 (en) * 2008-04-07 2015-01-13 Microsoft Corporation Automatic reverse engineering of input formats
US8694630B1 (en) * 2011-11-18 2014-04-08 Narus, Inc. Self-learning classifier for internet traffic
US10685279B2 (en) * 2016-09-26 2020-06-16 Splunk Inc. Automatically generating field extraction recommendations
CN107395435A (zh) * 2017-08-21 2017-11-24 国网辽宁省电力有限公司辽阳供电公司 基于e1业务的otn传输网中大规模ip流量预测方法
US11754997B2 (en) * 2018-02-17 2023-09-12 Ei Electronics Llc Devices, systems and methods for predicting future consumption values of load(s) in power distribution systems
CN109218134B (zh) * 2018-09-27 2020-08-25 华东师范大学 一种基于神经风格迁移的测试用例生成系统
CN110661682B (zh) * 2019-09-19 2021-05-25 上海天旦网络科技发展有限公司 通用互联数据自动分析系统、方法、设备
CN111314279B (zh) * 2019-11-25 2021-11-19 北京航空航天大学 一种基于网络流量的未知协议逆向方法
CN111767695B (zh) * 2020-06-28 2023-10-13 国网吉林省电力有限公司 一种协议反向工程中字段边界推理优化方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102523167A (zh) * 2011-12-23 2012-06-27 中山大学 一种未知应用层协议报文格式的最佳分段方法
CN102891852A (zh) * 2012-10-11 2013-01-23 中国人民解放军理工大学 基于报文分析的协议格式自动推断方法
CN110532564A (zh) * 2019-08-30 2019-12-03 中国人民解放军陆军工程大学 一种基于cnn和lstm混合模型的应用层协议在线识别方法

Also Published As

Publication number Publication date
CN112702235A (zh) 2021-04-23

Similar Documents

Publication Publication Date Title
CN112702235B (zh) 一种对未知协议自动化逆向分析的方法
CN113364752B (zh) 一种流量异常检测方法、检测设备及计算机可读存储介质
US10218598B2 (en) Automatic parsing of binary-based application protocols using network traffic
CN110417729B (zh) 一种加密流量的服务与应用分类方法及系统
WO2009086843A1 (en) Method of detecting anomalies in a communication system using symbolic packet features
US20220303198A1 (en) Method and apparatus for detecting anomaly of traffic of internet of things device based on automata
CN114143037B (zh) 一种基于进程行为分析的恶意加密信道检测方法
CN110611640A (zh) 一种基于随机森林的dns协议隐蔽通道检测方法
CN112532642B (zh) 一种基于改进Suricata引擎的工控系统网络入侵检测方法
CN113452676B (zh) 一种检测器分配方法和物联网检测系统
CN111222019B (zh) 特征提取的方法和装置
CN105635170A (zh) 基于规则对网络数据包进行识别的方法和装置
Matoušek et al. Efficient modelling of ICS communication for anomaly detection using probabilistic automata
EP4072066A1 (en) Method for automatic derivation of attack paths in a network
CN112532614A (zh) 一种用于电网终端的安全监测方法和系统
CN114281676A (zh) 针对工控私有协议的黑盒模糊测试方法及系统
Yang et al. Modelling Network Traffic and Exploiting Encrypted Packets to Detect Stepping-stone Intrusions.
CN113382039B (zh) 一种基于5g移动网络流量分析的应用识别方法和系统
Aljojo Network transmission flags data affinity-based classification by K-nearest neighbor
Dener et al. RFSE-GRU: Data balanced classification model for mobile encrypted traffic in big data environment
Gunadi et al. Bro covert channel detection (BroCCaDe) framework: scope and background
Zheng et al. Multi-view multi-label anomaly network traffic classification based on mlp-mixer neural network
CN115664739B (zh) 基于流量特征匹配的用户身份属性主动检测方法及系统
CN115766204B (zh) 一种针对加密流量的动态ip设备标识系统及方法
Yan et al. MARS: Automated Protocol Analysis Framework for Internet of Things

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant