面向CCSDS协议未知协议逆向工程.docVIP

面向CCSDS协议未知协议逆向工程 　　摘要：空间数据系统咨询委员会（CCSDS）标准协议是国际主流的空间天地链路通信协议，面向CCSDS协议的未知协议逆向工程，可以对卫星天地链路中的未知通信流进行行为分析，也有助于发现和分析针对空间站等国际联网实体的攻击。设计了一种CCSDS协议框架下的未知协议逆向工程分析系统，主要包括系统的架构设计和流程设计。针对该流程中未知协议会话报文字段的迭代式进化树聚类所导致的算法开销过大问题，提出了一种基于反馈型动态豫迟因子的仿射传播聚类算法。仿真实验结果表明，该算法相比通常的非权算术平均聚类算法可以有效提高针对未知协议的逆向工程效率。 　　关键词：空间数据系统咨询委员会（CCSDS）协议；协议逆向工程；未知协议；仿射传播聚类；天地链路 　　中图分类号： TP391文献标志码：A英文标题 　　0引言 　　未知协议逆向工程是软件逆向工程的一个分支，是通过对通信链路中以二进制形式存在的未知内容报文进行分析，并借助报文聚类分析、字段特征谱分析、信息熵流量分析等手段，认定其中未知通信实体的属性和其交互关系，以及报文含义空间等信息，最终通过结构化抽象或其他形式来描述未知通信协议及其相关属性、字段含义的过程。 　　CCSDS（Consultative Committee for Space Data System）协议是国际主流的空间天地链路通信标准，由1982年美国航空航天局（National Aeronautics and Space Administration，NASA）为解决天地通信和国际联网数据的异构设备互通、互联、互操作问题而制定，目前已经逐渐成为国际主流的空间信息交互模型标准，主要涉及数据处理、数据的分类与编码传输、通信实体体系结构、通信协议框架、通信业务等范围。由于CCSDS协议仅仅提供了规范框架，因而使用者对协议的具体实现方式是千差万别的，这为面向CCSDS的未知协议逆向工程带来一定困难。 　　开展面向CCSDS协议的未知协议逆向工程研究：一方面，可以帮助理解未知的二进制报文；另一方面，可以对上行至空间站和下行至国际联网地面站的数据进行检测以发现蠕虫、木马、分布式拒绝服务（Distributed Denial of Service，DDoS）等恶意攻击，以保障我国空间站的国际化安全运管[1]。 　　协议逆向工程的研究在学术和工程层面都得到广泛重视。根据研究对象的不同，协议逆向工程可以分为两类：一类是针对未知软件的二进制可执行程序，又称为动态污点分析（tainted data）；另一类针对未知通信流量的二进制报文序列，又称为网络追踪（network trace）。在实际的逆向工程问题中，代码和流量常常兼而有之，因此两类研究没有清晰的界限，本文研究主要针对后者。 　　在学术层面，2004年，Beddoe[2]首次提出使用生物信息学中DNA（Deoxyribonucleic acid）基因片段比对及世代恢复的方法自动挖掘大量Internet报文中的未知通信协议信息。Caballero等[3]则将生物信息学方法和语义推断技术结合起来解决僵尸网络控制协议的逆向工程问题。Pan等[4]指出Beddoe所用方法的局限性并针对特别复杂的网络协议提出一种基于层次化聚类的逆向方法。Luo等[5]则将报文关键字的支持频率和位置变化引入，从黑盒意义上逆向出DNS（Domain Name System）和NetBIOS（Network Basic Input Output System）等非ASCII报文。Caballero等[6]同样针对未知的僵尸网络控制协议提出基于双向通道的逆向的方法。 　　在工程层面，针对未知二进制报文的协议逆向工程最早源于2004年由Beddoe启动的并被广泛引用的PI（Protocol Informatics）项目[2]，此后出现了很多类似的开源工程[7]。其中，Georges Bossert团队丰富了PI项目的功能，并启动了开源项目Netzob[8]，该软件由词汇推断器、语法推断器和未知协议模拟器组成，并将未知通信协议的理解、验证和测试功能集成到了一起；Netzob不仅可以逆向TCP（Transmission Control Protocol）、IP（Internet Protocol）等固定字段协议，还可以逆向基于ASN.1的变字段协议，并且它还引入了机器人科学中的半随机状态模型和Angluin L算法用于自动推断。此外，刘彪等[9]针对国外某型号混合动力货车电控网络的协议逆向工程问题，提出并设计实现了结合实车道路实验和台架实验的CAN（Controller Area Network）网络协议逆向分析系统。 　　以上研究都是针对因特网协议或混合动力汽车电控网络