[发明专利]一种基于协议逆向工程的电力监控系统私有协议解析方法

权利要求书

1.一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，包括如下步骤：

步骤100、通过旁路流量镜像将私有协议的流量导入测试系统进行分析；

步骤200、测试系统的协议逆向模块使用局部序列比对算法和非加权成对平均算法对私有协议的协议报文进行初始聚类；

步骤300、通过多序列比对算法分离出协议报文的可变域和不变域，进一步分析得到协议报文的结构信息；

步骤400、通过自定义的搜索算法寻找协议报文中的语义字段，得到协议格式信息；

步骤500、利用协议报文的结构信息和语义信息得到每一个会话中的状态转换序列，构建状态前缀树，合并冗余状态，随后对所述状态前缀树进行优化以获取最终的最小确定的协议状态机。

2.根据权利要求1所述的一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，所述协议逆向模块的协议逆向方法用于获取协议报文的结构信息、语义信息、状态信息以及上下文关系信息。

3.根据权利要求1或2所述的一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，所述多序列比对算法包括全局最优的双序列比对算法，记为Needleman-Wunsch算法，包括如下步骤：

步骤301、相似度记分：对于长度分别为m和n的两条序列，算法首先构造一个(n+1) (m+1)的相似度矩阵S，下标分别由i和j标注；

步骤302、计分求和：迭代地对所述相似度矩阵S进行求和，得到新矩阵M，求和公式如下所示，其中空位罚分w设置为0：

步骤303、最优回溯：由求和得分最高的矩阵元素回溯至起始位置，分别考察所述矩阵元素的左侧、左上对角线和上侧，并移动至得分最大的相邻元素，在三者得分相同时，优先移动至左上对角线元素；如果移动至左侧，在纵向序列中插入空位；如果移动至上侧，则在横向序列中插入空位；否则不做任何操作。

4.根据权利要求1所述的一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，所述步骤400中的所述搜索算法通过渐进多序列比对实现协议格式提取，具体包括如下步骤：

步骤401、计算距离矩阵：采用Smith-Waterman算法找出每两个序列报文之间的局部最佳比对，并据此计算出序列报文之间的相似度，构造出序列报文集的距离矩阵D，其中，D_pq表示样本序列p和样本序列q之间的距离；

步骤402、构造、分割引导树：采用非加权成对群算术平均法计算子类间的距离，逐步将距离最小的子类进行合并；子类Ci与Cj的距离可由下式计算：

步骤403、执行渐近多序列比对：对所述引导树进行后序遍历，采用Needleman-Wunsch算法进行双序列动态规划比对，并将未对齐的字节填充，在构造了多个引导树时，渐进多序列比对将得到多个序列报文子集，对每一个序列报文子集进行分析处理，得到协议结构信息。

5.根据权利要求1或4所述的一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，所述Smith-Waterman算法的过程与所述Needleman-Wunsch算法的过程相同，所述Smith-Waterman算法的失配记分与空位罚分为负值；当求和矩阵小于0，则比对重新开始；所述Smith-Waterman算法比对终止于矩阵中任意得分最大的元素。

6.根据权利要求5所述的一种基于协议逆向工程的电力监控系统私有协议解析方法，其特征在于，所述步骤402还包括：

设定距离阈值，在dij过大时即停止合并，最终分割得到多个引导树，在引导树中，叶节点表示原始样本序列，中间节点表示由子节点进行双序列比对得到的对齐序列。