基于状态相关字段识别的未知二进制协议状态机逆向方法-电讯技术.PDF

第55卷 第4期 电讯技术 Vol.55,No.4 2015年4月 Telecommunication Engineering April,2015 doi:10.3969/ j.issn.1001-893x.2015.04.004 引用格式:孟凡治,刘渊,张春瑞,等.基于状态相关字段识别的未知二进制协议状态机逆向方法[J]. 电讯技术,2015,55(4):372-378. [MENG Fanzhi,LIUYuan,ZHANGChunrui,etal.StateReverseMethodforUnknownBinaryProtocolBasedonStateRelatedFields[J].Telecommuni鄄 cation Engineering,2015,55(4):372-378. ] 基于状态相关字段识别的未知二进制协议状态机逆向方法* ** 孟凡治 ,刘摇 渊,张春瑞,李摇 桐 (中国工程物理研究院计算机应用研究所,四川 绵阳621900) 摘摇 要:协议状态机逆构技术是分析未知协议行为逻辑的基本方法,是网络安全、信息对抗领域的一 个重要研究方向。 针对截获的未知二进制协议的通信数据,提出了一种二进制协议状态机逆向方 法,该方法能够根据通信数据逆构协议状态转移图。 在该方法中,设计了针对通信数据帧的基于多 序列比对的对应字段对齐算法以及基于字段统计量分析的协议状态相关字段提取算法,并根据提取 出的协议状态相关字段构建状态转换模型。 在地址解析协议(ARP)和传输控制协议(TCP)上的实 验结果表明该方法能够有效逆构出协议的状态转换模型。 关键词:信息对抗;通信数据;二进制协议;协议逆向;状态重构;状态相关字段 中图分类号:TN918;TP393摇 摇 文献标志码:A摇 摇 文章编号:1001-893X(2015)04-0372-07 State Reverse Method for Unknown Binary Protocol Based on State-Related Fields MENG Fanzhi,LIU Yuan,ZHANG Chunrui,LI Tong (Institute of Computer Application,China Academy of Engineering Physics,Mianyang621900,China) Abstract:Inferring protocol state machinefor unknownprotocol isabasictechnology for understandingthe protocols intrinsic behavior logic,which has played an important role in the fields of network security and information countermeasure. This paper proposesa novel approach inthe mining of unknown binary proto鄄 col state machine from the communication data. It allows automatically generating the state models for bi鄄 nary protocol by listening to network traces.A new method is presented to align the corresponding fields and extract the state related fieldsfrom binary protocol