[发明专利]一种基于机器学习的未知协议逆向识别方法及系统

说明书

本发明一种基于机器学习的未知协议逆向识别方法及系统，首先进行比特流输入读取，然后引导序列分析与帧序列分析，切分出所读取的未知协议测控比特流的引导序列和帧序列，然后对测控协议帧序列格式模型构建，再对协议类型识别。根据切分出的所有未知协议帧序列，利用所构建PCM类测控协议格式模型和CCSDS类测控协议格式模型，识别出该未知协议比特流的协议类型。然后帧序列格式内容提取，提取出该未知协议测控比特流的所有帧序列的格式内容。最后未知协议分析结果输出，提取未知协议比特流的填充序列、帧序列结构、帧结构、指令内容等信息，实现对未知协议的逆向识别。

技术领域

本发明涉及一种基于机器学习的未知协议逆向识别方法及系统，尤其是一种通过构造CCSDS类测控协议格式模型和PCM类测控协议格式模型，和利用机器学习中的字符串统计方法，来提升未知协议逆向识别的准确度的方法，属于未知协议逆向识别技术领域。

背景技术

传统协议逆向分析研究大部分基于通用标准类通信协议，这类协议具备公开、规范且标准化的协议格式，因此，采用通用协议特征库匹配识别等手段，可以取得较好的协议逆向效果。但是，由于CCSDS协议和PCM协议仅仅提供了规范框架，因而使用者对协议的具体实现方式是千差万别的，故这类协议一般属于未知协议的范畴。对于未知协议，不能简单地通过利用已有协议特征库匹配识别等传统研究手段来进行其协议格式的还原以及相关字段语义表达的推断，且未知协议逆向分析鲜有相关研究。

发明内容

本发明解决的技术问题：针对于此，本发明一种基于机器学习的未知协议逆向识别方法及系统，从报文序列分析的角度着手，以未知协议比特流数据为研究对象，参考标准PCM和CCSDS协议，创造性地构建通用的PCM类测控协议格式模型和CCSDS类测控协议格式模型，以此作为先验信息，并在这种少量先验信息的条件下，利用机器学习中的基于红黑树的字符串统计算法和KMP字符串快速匹配算法，提取未知协议比特流的填充序列、帧序列结构、帧结构、指令内容等信息，实现对未知协议的逆向与分析。主要解决的技术问题包括：(1)PCM类测控协议格式模型和CCSDS类测控协议格式模型的构建：参考标准PCM和CCSDS协议，创造性地构建PCM类测控协议格式模型和CCSDS类测控协议格式模型，以此作为后续协议逆向与分析的先验信息输入。(2)帧序列与帧结构分析：基于机器学习中的KMP字符串快速匹配算法和红黑树字符串统计算法，根据本文所构建的PCM类测控协议格式模型和CCSDS类测控协议格式模型，还原未知协议比特流的填充序列、帧序列结构、帧结构、指令内容等协议信息。

本发明的技术解决方案为：一种基于机器学习的未知协议逆向识别方法，包括如下步骤：

步骤1、以二进制形式读取未知协议测控比特流，实现比特流输入；

步骤2、采用机器学习理论中的基于红黑树的字符串统计方法和KMP算法，切分出步骤1所读取的未知协议测控比特流的引导序列和帧序列，实现引导序列分析与帧序列分析。

步骤3、构建PCM类测控协议格式模型和CCSDS类测控协议格式模型，实现测控协议帧序列格式模型构建。

步骤4、根据步骤2切分出的所有帧序列，利用步骤3所构建的PCM类测控协议格式模型和CCSDS类测控协议格式模型，识别出该未知协议测控比特流的协议类型，实现协议类型识别。

步骤5、根据步骤4识别出的协议类型，利用与识别出的协议类型对应的PCM类测控协议格式模型或CCSDS类测控协议格式模型，提取出该未知协议测控比特流的所有帧序列每个字段的内容，实现帧序列格式内容提取。

步骤6、输出步骤4所识别出的该未知协议测控比特流的协议类型、步骤5提取的帧序列格式的内容，实现未知协议分析结果输出。

步骤2采用机器学习理论中的基于红黑树的字符串统计方法和基于模糊匹配的KMP算法，切分出步骤1所读取的未知协议测控比特流的引导序列和帧序列，优选方法为：