CN114172972B - 一种基于优化随机转换器模型的未知协议行为逆向推断方法 - Google Patents

Abstract

本发明是一种基于优化随机转换器模型的未知协议行为逆向推断方法。本发明步骤具体为：对报文类型标记序列交互行为补偿处理；对所分析的未知协议交互行为进行建模；对未知协议报文交互行为进行逆向推断。本发明对网络中传输的未知协议不同报文所构成的标记序列进行缺失行为补偿处理，然后对未知协议报文交互的行为规则进行形式化建模，最后根据本发明设计的模型推断方法对未知协议的报文交互行为规则进行逆向分析和推断。

Description

一种基于优化随机转换器模型的未知协议行为逆向推断方法

技术领域

本发明涉及对未知协议报文交互的行为预测，协议通信状态异常检测，网络渗透测试等领域，是一种基于优化随机转换器模型的未知协议行为逆向推断方法。

背景技术

对协议交互行为逆向分析的相关技术中存在的问题主要包括：报文响应关系缺失、统计分布信息缺失、结果模型过度泛化，以及推断过程模型状爆炸四个方面。

报文响应关系缺失：PEXT和PREUGI将不同方向的报文标记以同样的方式标记在状态或结点上，这使得从结果模型中无法得知相应的行为是由哪一方通讯端产生，而ReverX和Prospex只分析单方向报文传输行为的策略则缺失了更多的信息。虽然Veritas对双向的报文进行了分析，却对两者分别建立了单独的行为模型，没有体现出相关报文的应答关系。最新的两项技术PRETT和ReFSM 通过对协议通信双向报文的交互过程进行了分析弥补了这方面的不足，但是两者却存在着其他问题如后文提到的统计分布信息缺失等。

统计分布信息缺失：在面向报文数据的协议行为逆向分析中，统计信息也应作为固有属性进行分析，从而通过观察统计行为模型探知协议交互分布规律。遗憾的是，在现有相关技术中，只在Veritas，PRISMA中考虑了报文交互过程的统计信息，但这些技术却都存在着上一个报文响应关系缺失的问题。

结果模型过度泛化：在协议行为模型推断过程中，对模型中相似状态的合并策略会影响到结果模型的泛化程度，过于宽松的合并规则如ReverX以合并相同转移标记两端结点的方式所得到的结果模型只能够反映协议交互的大体框架而无法表达更加具体的交互顺序等逻辑信息。合适的化简程度在ReFSM中K-Tail 方法的使用中表现的更加具体，当k值取0时会得到一个极度泛化的模型而不具实际意义，而取1或2时所得到的结果模型规模相差了几十甚至几百倍，可见合适的泛化参数对于模型的结果非常重要。此外，在如Prospex或ReFSM等的结果模型中，只包含了目标协议的部分指令，很显然对于协议完整的行为规则来讲过于片面。所以，在现有的此类工作中，对于结果行为模型的完整度和合适泛化粒度方面尚有优化空间。

推断过程模型状态爆炸：对于目前常用的基于PTA构建和化简的协议行为模型分析过程中，大量变化的协议交互数据很可能导致算法的计算代价以指数的级别增长，PRETT的分析过程中的状态机扩张过程策略则更是“尽可能多地扩展状态机中的状态数量”，这些都很容易导致协议的状态机模型状态数量产生爆炸式增长从而对分析效率产生重大影响。在进行面向协议通信报文的行为分析时，网络中捕获的数据量随着时间的积累可以达到很大，此时对行为模型分析效率的提高，特别是状态爆炸问题的解决则显得至关重要。

在上述问题中，前两类问题可以归结于行为分析目标模型完备性的欠缺，后两类问题则主要由模型的推断方法导致。因此本发明相比于目前此类方法的创新性优化之处就在于：一方面对作为逆向目标的协议行为模型建模方式进行优化，使其既包含双向报文的交互或者应答关系，也包含分布于数据中的统计信息；另一方面对模型的推断和化简方法进行优化，特别是寻找合适的泛化方法和泛化程度，以及在推断过程中解决或避免状态爆炸问题。

发明内容

本发明为对未知协议的报文交互行为规则进行逆向分析和推断。

本发明提供了一种基于优化随机转换器模型的未知协议行为逆向推断方法，本发明提供了以下技术方案：

一种基于优化随机转换器模型的未知协议行为逆向推断方法，包括以下步骤：

步骤1：对报文类型标记序列交互行为补偿处理；

步骤2：对所分析的未知协议交互行为进行建模；

步骤3：对未知协议报文交互行为进行逆向推断。

优选地，所述步骤1具体为：

通过下式表示网络协议通信会话中的报文类型序列：

{i₁，o₁，i₂，o₂，...，i_k，o_k，...}

其中，以(i_k，o_k)作为基本的i/o报文交互元组；

通过插入一个空字符λ来代替缺失的请求或响应报文标记，原始序列s_k＝ {i，i，i，o，o，o}在插入空字符后可通过下式表示：s_k＝ {(i，λ)，(i，λ)，(i，λ)，(λ，o)，(λ，o)，(λ，o)}。

优选地，所述步骤2具体为：

在对网络中传输的报文进行类别划分后，每一个被传输的报文根据传输方向和报文类型由报文标记来表示，在对报文标记序列进行补偿处理后，一次协议通信会话中的报文序列通过下式表示：

{i₁，o₁，i₂，o₂，...，i_k，o_k，...}

一次报文交换被表示为(i_k，o_k)；

作为一个从所收集的传输报文中逆向分析出的行为模型，在结果模型中交互行为的频率或概率分布信息是不可缺少的组成要素；

将统计信息添加到行为模型的状态和转移中；在分析过程中统计信息以频率的方式记录，在得到的结果模型中以概率的形式表达，转移概率和相关操作构成一个概率半环：

优选地，在通过网络轨迹对协议行为规则进行逆向分析时，对用于形式化描述未知协议报文交互或响应行为的随机协议转换器模型定义为：

一个概率半环上的随机协议转换器模型的形式化描述表示为：T＝<∑，Γ，Q，q₀，E，δ，ρ>

其中：∑为转换器有限输入字母表，包含来自协议通信终端的请求报文标记；Γ为转换器有限输出字母表，包含来自协议通信终端的响应报文标记；Q 为有限状态集合；q₀∈Q标记通信过程初始状态；

为有限转移集合，描述报文交互行为；

对于每一个四元组(p，i，o，q)∈E，将E与一个转移函数τ(p，i)＝(0，q)相关联，有两个映射关系：τ₁：Q×∑^*→Γ^*，τ₂：Q×∑→Q；

其中，(“E，对于，其中”，三段为一项，应该合并为一段)

为从E映射到/>的状态转移概率函数，对于两个映射τ₁和τ₂有：δ₁(τ₁(p，i)＝o)＝δ(τ(p，i)＝(o，q))，/>

为从Q映射到/>的每一个状态结束报文交互操作的概率函数。

优选地，函数δ和ρ具有如下约束：

优选地，基于提出的模型，状态转移的概率用于计算后续行为的发生概率，从而使提出的模型具有行为预测的能力，具体如下两个所示分别表示处于状态 q的协议交互过程时，下一行为为请求i的概率，和对于请求i给予响应o的概率：

优选地，所述步骤3具体为：

通过对面向网络流量的协议报文交互行为进行建模和分析时，在前期对协议行为经典模型推断方法进行推断分析的基础上，对于提出的协议报文交互行为描述模型，进行补偿处理后的状态标记序列为对象对协议的SPT行为模型进行推断和重建；对所提出行为模型推断算法Sptia-IL的整体框架进行描述；

优选地，对提出行为模型推断算法Sptia-IL的整体框架进行描述：Sptia-IL 采用先构建前缀树后化简的过程对目标协议的行为模型进行重构，通过对状态标记序列进行补偿得到完整描述报文交互信息的行为序列、通过SPT前缀树构建得到计数前缀树协议转换器模型、对前缀树中冗余状态进行化简，以及通过计算行为概率得到随机协议转换器即目标协议的SPT行为模型。

本发明具有以下有益效果：

本发明对网络中传输的未知协议不同报文所构成的标记序列进行缺失行为补偿处理，然后对未知协议报文交互的行为规则进行形式化建模，最后根据本发明设计的模型推断方法对未知协议的报文交互行为规则进行逆向分析和推断。

附图说明

图1为标记补偿举例图；

图2为Sptia_IL推断过程图；

图3为Sptia-IL推断方法示例序列；

图4为示例序列统计前缀树模型；

图5为Sptia-IL状态兼容示意图；

图6为示例序列统计前缀树模型中的兼容状态

图7为Sptia-IL状态合并过程示意图；

图8为示例序列化简后的统计行为模型；

图9为示例序列概率行为模型。

具体实施方式

以下结合具体实施例，对本发明进行了详细说明。

具体实施例一：

根据图1至图9所示，本发明为解决上述技术问题采取的具体优化技术方案是：本发明提供了以下技术方案：

一种基于优化随机转换器模型的未知协议行为逆向推断方法，包括以下步骤：

步骤1：报文类型标记序列交互行为补偿处理。

网络协议通信会话中的报文类型序列可以表述为{i₁，o₁，i₂，o₂，...，i_k，o_k，...}的形式，其中以(i_k，o_k)作为基本的i/o报文交互元组。然而在实际情况中，i/o报文交互过程中的元素常常是不完整的，比如缺失了其中一个或两个，如s_k＝ {i，i，i，o，o，o}。对于这种情况，通过插入一个空字符λ来代替缺失的请求或响应报文标记，从而可以保证s_k＝{(i，λ)，(i，λ)，(i，λ)，(λ，o)，(λ，o)，(λ，o)}。

对报文状态标记序列进行补偿处理的算法如下所示：

以图1所示的一次SMTP通信会话为例对算法逻辑进行说明。在进行状态标记补偿处理后，一次交互会话中的报文标记通过填充λ符号来指代缺失的行为(第4行)。在每一轮i/o 交互行为中，至少存在一个有效的i/o标记，对于无响应的持续请求(第9-12行，当io.o为λ时)或无请求的持续响应(第13-17行，当io.i为λ时)中缺失的状态标签均由λ补偿代替。

步骤2：对所分析的未知协议交互行为进行建模。

在对网络中传输的报文进行类别划分后，每一个被传输的报文可以根据传输方向和报文类型由报文标记来表示。由此，在对报文标记序列进行补偿处理后，一次协议通信会话中的报文序列可以表示为：

{i₁，o₁，i₂，o₂，...，i_k，o_k，...}

这一过程中一次报文交换(一次行为转移)可以被表示为(i_k，o_k)。

作为一个从所收集的传输报文中逆向分析出的行为模型，在结果模型中交互行为的频率或概率分布信息是不可缺少的组成要素。因此，本发明中，把相关的统计信息添加到行为模型的状态和转移中。在分析过程中这种统计信息以频率的方式记录，在得到的结果模型中以概率的形式表达。显然，转移概率和相关操作构成一个概率半环

基于上述介绍，在通过网络轨迹对协议行为规则进行逆向分析时，本发明对用于形式化描述未知协议报文交互或响应行为的随机协议转换器模型(Stochastic ProtocolTransducer，SPT)进行定义如下：

定义1一个概率半环上的随机协议转换器模型的形式化描述可以表示为T＝<∑，Γ，Q，q₀，E，δ，ρ>，其中：∑为转换器有限输入字母表，包含来自协议通信终端的请求报文标记；Γ为转换器有限输出字母表，包含来自协议通信终端的响应报文标记；Q为有限状态集合；q₀∈Q标记通信过程初始状态；/>为有限转移集合，描述报文交互行为。对于每一个四元组(p，i，o，q)∈E，将E与一个转移函数τ(p，i)＝(o，q)相关联，有两个映射关系：τ₁：Q×∑^*→Γ^*，τ₂：Q×∑→Q。其中，/> 为从E映射到/>的状态转移概率函数，对于两个映射τ₁和τ₂有：δ₁(τ₁(p，i)＝o)＝δ(τ(p，i)＝(o，q))，/>

为从Q映射到/>的每一个状态结束报文交互操作的概率函数。

函数δ和ρ具有如下约束：

上述对于SPT的定义是在经典的加权有限状态转换器(Weighted FST)的基础上重新优化设计后提出的，相比之具有如下特点：

(1)省略结束状态。结束状态有限集合$F$具有类似的情况。结束概率函数的存在使得结束状态可以通过F＝{q_i|ρ(q_i)＞0，q_i∈Q}来收集。为保持SPT模型的简洁性，省略了结束状态集合F。

(2)转移具有不确定性。当用来模拟从网络轨迹逆向分析出的结果模型时，定义1所描述的模型本质上是一个非确定转换器。它的不确定性来自两个方面，分别为请求行为的不确定性和响应行为的不确定性。以FTP协议为例，当通信双方建立连接后，客户端可以从所连接的服务器请求一个文件，也可以删除一个文件，而这就导致了SPT模型中输入符号的不确定性(τ(p，i)|i∈{″RETR″，″STOR″})，也就是请求行为的不确定性。在检查这一请求是否可以被满足后，从所连接的服务器给出的相应响应也能是成功，也可能是失败，而这就导致了SPT 模型中输出符号的不确定性(τ₁(p，i)＝o|o∈{″150″，″550″})，也就是响应行为的不确定性。如果分析方拥有充足的权限，后一种行为不确定性可以通过检查服务器系统运行环境中对请求行为的满足情况。

基于所提出的SPT模型，状态转移的概率可以用于计算后续行为的发生概率，从而使提出的模型具有行为预测的能力，具体如下文两个所示分别表示处于状态q的协议交互过程时，下一行为为请求i的概率，和对于请求i给予响应o的概率。

步骤3：对未知协议报文交互行为进行逆向推断。

通过步骤2定义1对面向网络流量的协议报文交互行为进行建模和分析时，经典的DFA 或PFSM模型及其推断方法不再适用，因此需要针对本发明提出的新模型设计相应的推断方法。

在前期对协议行为经典模型推断方法进行推断分析的基础上，对于上一步提出的协议报文交互行为描述模型，以步骤1进行补偿处理后的状态标记序列为对象对协议的SPT行为模型进行推断和重建。本步骤中，首先对所提出行为模型推断算法(命名为S_ptia-IL)的整体框架进行描述，然后依次对算法各个主要分析和处理过程进行介绍。

(1)Sptia-IL推断方法整体框架

与经典协议状态机推断方法类似，Sptia-IL采用先构建前缀树后化简的过程对目标协议的行为模型进行重构，如图2所示，主要推断过程包括：通过对状态标记序列进行补偿得到完整描述报文交互信息的行为序列、通过SPT前缀树构建得到计数前缀树协议转换器模型、对前缀树中冗余状态进行化简，以及通过计算行为概率得到随机协议转换器即目标协议的SPT 行为模型。

Sptia-IL推断方法的计算逻辑在算法2中描述：

算法2的具体过程为：

SPT前缀树构建。使用补偿后的状态标记序列，根据算法3基于SPT模型构建记录协议交互行为及其统计信息的前缀树结构(第1行)。

SPT状态化简。Sptia-IL对前缀树模型中冗余状态的化简在蓝边框架下进行(第2-12行)。对整个状态机模型中的状态结点划分为红色状态结点集合RED和蓝色状态结点集合BLUE两部分，其中前者及其内部转移边用来表示化简后的SPT模型结构(RED＝{q₀}为初始设置)，后者则代表由红色结点转移到的非红结点所构成的待化简的蓝边结点集合。对于BLUE中的每一个蓝色结点，根据算法4在RED中寻找兼容结点，若存在，则根据算法5将两者合并，否则则将这个蓝色结点添加到RED中。在每处理一个蓝色结点后对BLUE的构成进行更新，直到BLUE中元素全部被处理且不再产生。

行为概率计算。分布在多个协议交互序列中的行为信息以计数的形式在SPT前缀树的构建和模型化简的过程中被持续记录并维护。对于化简后的SPT模型，使用算法6将模型中结点和转移边上收集的行为计数信息换算为行为概率分布(第13行)。

(2)构建行为模型统计前缀树

SPT前缀树模型构建过程描述如算法3所示，其中输入Seqs为经过算法1补偿处理后的交互行为标记序列，在建立前缀树的过程中，对协议SPT模型中的请求和响应行为集合及其出现频数进行收集，并根据公共前缀构建树结构模型，最终输出经建模得到的SPT计数前缀树T_c。

此以如图3所示的三个报文交互序列为例对Sptia-IL推断过程进行直观的解释说明。经过算法3推断得到的描述三个示例序列的SPT前缀树模型如图4所示。其中状态标记q_i：e_i表示经过状态q_i的协议交互次数为e_i，两个状态q_j与q_k之间的转移标记i_i/o_i：c_i表示观察到当协议处于状态q_j时，接收到请求i_i后作出响应o_i并转移到下一状态q_k。结合示例序列组可以看出，图中状态q₀，q₁，q₂为其中的公共前缀“220 EHLO 250”经补偿为“220λEHLO250”后被构建为前缀树模型从根节点触发的唯一主分支，对两次交互行为的转移频数和经过三个状态的频数均等于序列数3。在后续交互中，因为三个序列中的请求-响应交互行为发生变化而产生三个分支，且各分支中的转移和结点频数均为1。

(3)状态兼容性测试

在通过交互报文对协议行为模型进行推断的过程中，部分数据所构建出的协议交互行为很可能只是局部信息，所以对这些局部信息之间的兼容性进行度量和判断时，要求两者具有完全相同的行为交互能力明显过于严苛。对于大部分协议，在不同的交互状态下支持相同的响应并不少见，比如多数协议都可以在很多状态中进行重置或结束通信，因此只根据局部的共同行为就认为两个通信状态相同难免过于以偏概全。作为两者之间的一种折中策略，本发明对状态兼容性的判断定义为两个行为的“包容”关系，如图4所示，即只要其中一方支持另一方所有的行为，则两者兼容。

根据所提出的兼容性判断标准所设计的协议行为状态兼容性测试方法如算法4所示。其中的参数k为对两个结点兼容性测试的深度，也就是以r和b为根节点相兼容的两颗子树的深度，k值越大，对两个状态的兼容性要求就越严格。

如图6所示由不同颜色标记处的上一节中所构建协议行为统计前缀树中存在的兼容状态 (k＝1)。由于只用了三个通信序列推断，这些状态都只有一个分枝。当数据量充足时，兼容状态所体现的将是子树之间的包含或相等关系。当RED部分扩充到包含{q0-q4，q13- q15}时，BLUE＝{q5，q16}。由算法4可以判断q4∈RED与q16∈BLUE兼容，对其进行合并化简的方法由后文给出。

(4)兼容状态合并

对图4中的兼容结点及其转移边进行合并后，标有相同颜色由两者经相同交互行为转移到达的子节点也将依次进行合并。

由兼容状态的交互行为包含关系可以看出，对于两个兼容状态合并后，两者通过相同交互行为转移到的子节点也需要进行合并，因此对兼容状态的合并需要以递归的方式进行处理。如算法5所述，在对两个兼容状态r和b进行合并时，首先将所有指向这两个结点的交互行为转移进行合并，使其指向同一个结点r(第1-3行)。在将两个状态具有相同交互行为的转移边进行合并后，对该行为完成后所到达的结点也进行合并(第4-8行)。最后将这两个结点进行合并，收集结点途径频次(第9行)。合并过程递归调用，直到没有可以合并的子节点为止。

对于图6中示例序列前缀树中兼容状态q16与q4进行递归化简时会依次将状态对{q4，q16}，{q5，q17}，{q6，q18}，{q7，q19}进行合并。此时状态机中剩余的兼容状态包括：{q7，q8，q9}和{q11，q20}。按此过程继续对RED进行扩张并合并蓝边BLUE中存在的兼容状态，最终得到的化简后统计协议行为模型如图8所示，此时RED包含所有状态结点。

(5)计算行为概率

经过上述分析得到的统计行为模型中记录的是来自分析数据中经过各个状态和在各状态下存在执行交互行为转移的次数。要将此模型用于表达目标协议的行为规则，需要根据本发明步骤二定义的协议行为SPT模型将相应统计信息一般化转换为对应的状态结束和交互行为的发生概率。对处于状态q时协议进行行为转移的发生概率和在该状态结束通信的概率可分别由公式δ(τ)＝δ_c(τ)/ρ_c(τ)和ρ(^q)＝1-∑_τδ(τ)计算。整体模型T_c的行为概率计算方法由算法6描述。

/>

将上文化简得到的实例序列统计行为模型图8计算行为概率后的概率行为模型SPT结果如图9所示。

以上所述仅是一种基于优化随机转换器模型的未知协议行为逆向推断方法的优选实施方式，一种基于优化随机转换器模型的未知协议行为逆向推断方法的保护范围并不仅局限于上述实施例，凡属于该思路下的技术方案均属于本发明的保护范围。应当指出，对于本领域的技术人员来说，在不脱离本发明原理前提下的若干改进和变化，这些改进和变化也应视为本发明的保护范围。

Claims (7)

1.一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：包括以下步骤：

步骤1：对报文类型标记序列交互行为补偿处理；

步骤2：对所分析的未知协议交互行为进行建模；

所述步骤2具体为：

在对网络中传输的报文进行类别划分后，每一个被传输的报文根据传输方向和报文类型由报文标记来表示，在对报文标记序列进行补偿处理后，一次协议通信会话中的报文序列通过下式表示：

{i₁,o₁,i₂,o₂,…,i_k,o_k,…}

一次报文交换被表示为(i_k,o_k)；

作为一个从所收集的传输报文中逆向分析出的行为模型，在结果模型中交互行为的频率或概率分布信息是不可缺少的组成要素；

将统计信息添加到行为模型的状态和转移中；在分析过程中统计信息以频率的方式记录，在得到的结果模型中以概率的形式表达，转移概率和相关操作构成一个概率半环：为概率半环，+和·为行为模型参量，/>为行为模型的状态的约束，p为行为模型的状态；

步骤3：对未知协议报文交互行为进行逆向推断。

2.根据权利要求1所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：所述步骤1具体为：

通过下式表示网络协议通信会话中的报文类型序列：

{i₁,o₁,i₂,o₂,…,i_k,o_k,…}

其中，以(i_k,o_k)作为基本的i/o报文交互元组；

通过插入一个空字符λ来代替缺失的请求或响应报文标记，原始序列s_k＝{i，i，i，o，o，o}在插入空字符后通过下式表示：s_k＝{(i，λ)，(i，λ)，(i，λ)，(λ，o)，(λ，o)，(λ，o)}。

3.根据权利要求1所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：在通过网络轨迹对协议行为规则进行逆向分析时，对用于形式化描述未知协议报文交互或响应行为的随机协议转换器模型为：

一个概率半环上的随机协议转换器模型的形式化描述表示为：

T＝<∑，Γ，Q，q₀，E，δ，ρ>

其中：∑为转换器有限输入字母表，包含来自协议通信终端的请求报文标记；Γ为转换器有限输出字母表，包含来自协议通信终端的响应报文标记；Q为有限状态集合；q₀∈Q标记通信过程初始状态；

为有限转移集合，描述报文交互行为；

对于每一个四元组(p，i，o，q)∈E，将E与一个转移函数τ(p，i)＝(o，q)相关联，有两个映射关系：τ₁：Q×∑^*→Γ^*，τ₂：Q×∑→Q；

其中，τ₁(p，i)＝o，τ₂(p，i)＝q；

δ：为从E映射到/>的状态转移概率函数，对于两个映射τ₁和τ₂有：δ₁(τ₁(p，i)＝o)＝δ(τ(p，i)＝(o，q))，/>

ρ：为从Q映射到/>的每一个状态结束报文交互操作的概率函数。

4.根据权利要求3所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：函数δ和ρ具有如下约束：

5.根据权利要求3所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：基于提出的模型，状态转移的概率用于计算后续行为的发生概率，从而使提出的模型具有行为预测的能力，具体如下两个公式所示分别表示处于状态q的协议交互过程时，下一行为为请求i的概率，和对于请求i给予响应o的概率：

6.根据权利要求1所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：所述步骤3具体为：

通过对面向网络流量的协议报文交互行为进行建模和分析时，在前期对协议行为经典模型推断方法进行推断分析的基础上，对于提出的协议报文交互行为描述模型，进行补偿处理后的状态标记序列为对象对协议的SPT行为模型进行推断和重建；对所提出行为模型推断算法Sptia-IL的整体框架进行描述。

7.根据权利要求6所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法，其特征是：

对提出行为模型推断算法Sptia-IL的整体框架进行描述：Sptia-IL采用先构建前缀树后化简的过程对目标协议的行为模型进行重构，通过对状态标记序列进行补偿得到完整描述报文交互信息的行为序列、通过SPT前缀树构建得到计数前缀树协议转换器模型、对前缀树中冗余状态进行化简，以及通过计算行为概率得到随机协议转换器即目标协议的SPT行为模型。