逆向数据分析.pdfVIP

云环境下逆向数据分析的意义

及国内外研究现状

1.逆向工程

逆向工程（又称逆向技术），是一种产品设计技术再现过程，即对一项目标产

品进行逆向分析及研究，从而演绎并得出该产品的处理流程、组织结构、功能特

性及技术规格等设计要素，以制作出功能相近，但又不完全一样的产品。逆向工

程源于商业及军事领域中的硬件分析。其主要目的是在不能轻易获得必要的生产

信息的情况下，直接从成品分析，推导出产品的设计原理。

产生动机

1.接口设计。由于互操作性，逆向工程被用来找出系统之间的协作协议。

2.军事或商业机密。窃取敌人或竞争对手的最新研究或产品原型。

3.改善文档。当原有的文档有不充分处，又当系统被更新而原设计人员不在

时，逆向工程被用来获取所需数据，以补充说明或了解系统的最新状态。

4.软件升级或更新。出于功能、合规、安全等需求更改，逆向工程被用来了

解现有或遗留软件系统，以评估更新或移植系统所需的工作。

5.制造没有许可/未授权的副本。

6.学术/学习目的。

7.去除复制保护和伪装的登录权限。

8.文件丢失：采取逆向工程的情况往往是在某一个特殊设备的文件已经丢失

了（或者根本就没有），同时又找不到工程的负责人。完整的系统时常需

要基于陈旧的系统上进行再设计，这就意味着想要集成原有的功能进行项

目的唯一方法，便是采用逆向工程的方法，分析已有的碎片进行再设计。

9.产品分析：用于调查产品的运作方式，部件构成，估计预算，识别潜在

的侵权行为。

方法实现

1.分析通过信息交换所得的观察。

最常用于协议逆向工程，涉及使用总线分析器和数据包嗅探器。在接入计算机

总线或网络的连接，并成功截取通信数据后，可以对总线或网络行为进行分析，以

制造出拥有相同行为的通信实现。此法特别适用于设备驱动程序的逆向工程。有

时，由硬件制造商特意所做的工具，如JTAG端口或各种调试工具，也有助于嵌入

式系统的逆向工程。对于微软的Windows系统，受欢迎的底层调试器有SoftICE

2.反汇编，即使用反汇编器，把程序的原始机器码，翻译成较便于阅读理解

的汇编代码。这适用于任何的计算机程序，对不熟悉机器码的人特别有用。

3.反编译，即使用反编译器，尝试从程序的机器码或字节码，重现高级语言

形式的源代码。

未知协议逆向分析的研究意义

4.

未知协议逆向分析是在不清楚目标协议的规范的前提下，逋过逆向工程跟踪

解析协议通信过程的指令级和函数级操作来重构协议的规范,从而解析出未知协

议的语法结构和行为语义，是当前网络安全研宄的一个热点和重点。

(1)未知协议逆向分析成为网络信息安全研究和防御的重要手段

在日常生活和工作中，网络通信协议在计算机网络和分布式系统的应用是不

可替代的，比如在电子商务领域、通信领域、交通领域、金融领域、应急服务领域、

电力调度领域等。在这过程中，未知协议不断的出现和衍生，伴随而来的是大量

的网络安全问题的出现。比如，某知名网站客户个人信息泄露、某产品系统被非

法入侵、某网站被黑客攻击等。未知协议逆向分析对入侵检测、漏洞挖掘、网络

流量分析、网络安全策略的制定等起着至关重要的作用。

(2)未知协议逆向分析为其他安全检测产品提供了基础

a)入侵检测系统(IDS)是逋过某种设备监听网络上传输的原始流量，对捕获的

网络数据包进行分析处理，再从分析的结果中提取有用的信息，最后，为了达到

识别攻击事件的目的，需要通过比较已知攻击特征和正常网络行为特征来识别。9

入侵防御系统(IPS)同样也是通过监视网络设备的传输情况，对网络行为判断是否

为攻击行为，是否会对网络、数据造成危害的恶意行为，从而到达对网络行为进

行检测和防御的目的，使用者能及时应对网络异常状况，并以最大限度的降低网

络处理资源的开销,是一种侧重于风险控制的安全产品。C)防火墙是由服务访问规

则、验证工具、包过滤和应用网关4个部分组成