本发明专利技术是一种基于优化随机转换器模型的未知协议行为逆向推断方法。本发明专利技术步骤具体为:对报文类型标记序列交互行为补偿处理;对所分析的未知协议交互行为进行建模;对未知协议报文交互行为进行逆向推断。本发明专利技术对网络中传输的未知协议不同报文所构成的标记序列进行缺失行为补偿处理,然后对未知协议报文交互的行为规则进行形式化建模,最后根据本发明专利技术设计的模型推断方法对未知协议的报文交互行为规则进行逆向分析和推断。规则进行逆向分析和推断。规则进行逆向分析和推断。
【技术实现步骤摘要】
一种基于优化随机转换器模型的未知协议行为逆向推断方法
[0001]本专利技术涉及对未知协议报文交互的行为预测,协议通信状态异常检测,网络渗透测试等领域,是一种基于优化随机转换器模型的未知协议行为逆向推断方法。
技术介绍
[0002]对协议交互行为逆向分析的相关技术中存在的问题主要包括:报文响应关系缺失、统计分布信息缺失、结果模型过度泛化,以及推断过程模型状爆炸四个方面。
[0003]报文响应关系缺失:PEXT和PREUGI将不同方向的报文标记以同样的方式标记在状态或结点上,这使得从结果模型中无法得知相应的行为是由哪一方通讯端产生,而ReverX和Prospex只分析单方向报文传输行为的策略则缺失了更多的信息。虽然Veritas对双向的报文进行了分析,却对两者分别建立了单独的行为模型,没有体现出相关报文的应答关系。最新的两项技术PRETT和ReFSM 通过对协议通信双向报文的交互过程进行了分析弥补了这方面的不足,但是两者却存在着其他问题如后文提到的统计分布信息缺失等。
[0004]统计分布信息缺失:在面向报文数据的协议行为逆向分析中,统计信息也应作为固有属性进行分析,从而通过观察统计行为模型探知协议交互分布规律。遗憾的是,在现有相关技术中,只在Veritas,PRISMA中考虑了报文交互过程的统计信息,但这些技术却都存在着上一个报文响应关系缺失的问题。
[0005]结果模型过度泛化:在协议行为模型推断过程中,对模型中相似状态的合并策略会影响到结果模型的泛化程度,过于宽松的合并规则如ReverX以合并相同转移标记两端结点的方式所得到的结果模型只能够反映协议交互的大体框架而无法表达更加具体的交互顺序等逻辑信息。合适的化简程度在ReFSM中K
‑
Tail 方法的使用中表现的更加具体,当k值取0时会得到一个极度泛化的模型而不具实际意义,而取1或2时所得到的结果模型规模相差了几十甚至几百倍,可见合适的泛化参数对于模型的结果非常重要。此外,在如Prospex或ReFSM等的结果模型中,只包含了目标协议的部分指令,很显然对于协议完整的行为规则来讲过于片面。所以,在现有的此类工作中,对于结果行为模型的完整度和合适泛化粒度方面尚有优化空间。
[0006]推断过程模型状态爆炸:对于目前常用的基于PTA构建和化简的协议行为模型分析过程中,大量变化的协议交互数据很可能导致算法的计算代价以指数的级别增长,PRETT的分析过程中的状态机扩张过程策略则更是“尽可能多地扩展状态机中的状态数量”,这些都很容易导致协议的状态机模型状态数量产生爆炸式增长从而对分析效率产生重大影响。在进行面向协议通信报文的行为分析时,网络中捕获的数据量随着时间的积累可以达到很大,此时对行为模型分析效率的提高,特别是状态爆炸问题的解决则显得至关重要。
[0007]在上述问题中,前两类问题可以归结于行为分析目标模型完备性的欠缺,后两类问题则主要由模型的推断方法导致。因此本专利技术相比于目前此类方法的创新性优化之处就在于:一方面对作为逆向目标的协议行为模型建模方式进行优化,使其既包含双向报文的交互或者应答关系,也包含分布于数据中的统计信息;另一方面对模型的推断和化简方法
进行优化,特别是寻找合适的泛化方法和泛化程度,以及在推断过程中解决或避免状态爆炸问题。
技术实现思路
[0008]本专利技术为对未知协议的报文交互行为规则进行逆向分析和推断。
[0009]本专利技术提供了一种基于优化随机转换器模型的未知协议行为逆向推断方法,本专利技术提供了以下技术方案:
[0010]一种基于优化随机转换器模型的未知协议行为逆向推断方法,包括以下步骤:
[0011]步骤1:对报文类型标记序列交互行为补偿处理;
[0012]步骤2:对所分析的未知协议交互行为进行建模;
[0013]步骤3:对未知协议报文交互行为进行逆向推断。
[0014]优选地,所述步骤1具体为:
[0015]通过下式表示网络协议通信会话中的报文类型序列:
[0016]{i1,o1,i2,o2,...,i
k
,o
k
,...}
[0017]其中,以(i
k
,o
k
)作为基本的i/o报文交互元组;
[0018]通过插入一个空字符λ来代替缺失的请求或响应报文标记,原始序列s
k
= {i,i,i,o,o,o}在插入空字符后可通过下式表示:s
k
= {(i,λ),(i,λ),(i,λ),(λ,o),(λ,o),(λ,o)}。
[0019]优选地,所述步骤2具体为:
[0020]在对网络中传输的报文进行类别划分后,每一个被传输的报文根据传输方向和报文类型由报文标记来表示,在对报文标记序列进行补偿处理后,一次协议通信会话中的报文序列通过下式表示:
[0021]{i1,o1,i2,o2,...,i
k
,o
k
,...}
[0022]一次报文交换被表示为(i
k
,o
k
);
[0023]作为一个从所收集的传输报文中逆向分析出的行为模型,在结果模型中交互行为的频率或概率分布信息是不可缺少的组成要素;
[0024]将统计信息添加到行为模型的状态和转移中;在分析过程中统计信息以频率的方式记录,在得到的结果模型中以概率的形式表达,转移概率和相关操作构成一个概率半环:
[0025]优选地,在通过网络轨迹对协议行为规则进行逆向分析时,对用于形式化描述未知协议报文交互或响应行为的随机协议转换器模型定义为:
[0026]一个概率半环上的随机协议转换器模型的形式化描述表示为:T=< ∑,Γ,Q,q0,E,δ,ρ>
[0027]其中:∑为转换器有限输入字母表,包含来自协议通信终端的请求报文标记;Γ为转换器有限输出字母表,包含来自协议通信终端的响应报文标记;Q 为有限状态集合;q0∈Q标记通信过程初始状态;
[0028]为有限转移集合,描述报文交互行为;
[0029]对于每一个四元组(p,i,o,q)∈E,将E与一个转移函数τ(p,i)=(0,q)相关联,有
两个映射关系:τ1:Q
×
∑
*
→
Γ
*
,τ2:Q
×
∑
→
Q;
[0030]其中,(“E,对于,其中”,三段为一项,应该合并为一段)
[0031]为从E映射到的状态转移概率函数,对于两个映射τ1和τ2有:δ1(τ1(p,i)=o)=δ(τ(p,i)=(o,q)),q)),
[0032]为从Q映射到的每一个状态结束报文交互操作的概率函数。
[0033]优选地,函数δ和ρ具有如下约束:
[0034][0035]优选地,基于提出的模型,状态转移的概率用于计算后续行为的发生概率本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种基于优化随机转换器模型的未知协议行为逆向推断方法,其特征是:包括以下步骤:步骤1:对报文类型标记序列交互行为补偿处理;步骤2:对所分析的未知协议交互行为进行建模;步骤3:对未知协议报文交互行为进行逆向推断。2.根据权利要求1所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法,其特征是:所述步骤1具体为:通过下式表示网络协议通信会话中的报文类型序列:{i1,o1,i2,o2,
…
,i
k
,o
k
,
…
}其中,以(i
k
,o
k
)作为基本的i/o报文交互元组;通过插入一个空字符λ来代替缺失的请求或响应报文标记,原始序列s
k
={i,i,i,o,o,o}在插入空字符后通过下式表示:s
k
={(i,λ),(i,λ),(i,λ),(λ,o),(λ,o),(λ,o)}。3.根据权利要求1所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法,其特征是:所述步骤2具体为:在对网络中传输的报文进行类别划分后,每一个被传输的报文根据传输方向和报文类型由报文标记来表示,在对报文标记序列进行补偿处理后,一次协议通信会话中的报文序列通过下式表示:{i1,o1,i2,o2,
…
,i
k
,o
k
,
…
}一次报文交换被表示为(i
k
,o
k
);作为一个从所收集的传输报文中逆向分析出的行为模型,在结果模型中交互行为的频率或概率分布信息是不可缺少的组成要素;将统计信息添加到行为模型的状态和转移中;在分析过程中统计信息以频率的方式记录,在得到的结果模型中以概率的形式表达,转移概率和相关操作构成一个概率半环:4.根据权利要求3所述的一种基于优化随机转换器模型的未知协议行为逆向推断方法,其特征是:在通过网络轨迹对协议行为规则进行逆向分析时,对用于形式化描述未知协议报文交互或响应行为的随机协议转换器模型为:一个概率半环上的随机协议转换器模型的形式化描述表示为:T=<Σ,Γ,Q,q0,E,δ,ρ>其中:Σ为转换器有限输入字母表,包含来自协议通信终端的请求报文标记;Γ为转换器有限输出字母表,包含...
【专利技术属性】
技术研发人员:张春瑞,王莘,孙芳慧,殷明勇,王振邦,李冶天,
申请(专利权)人:中国工程物理研究院计算机应用研究所,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。