[发明专利]一种对未知协议自动化逆向分析的方法

权利要求书

1.一种对未知协议自动化逆向分析的方法，其特征在于，所述方法包括如下步骤：

S1、通过报文抓取工具截获网络数据包，将未知协议数据包删除；

S2、对不进行分析的网络协议封装进行删除，得到目标网络协议的字段数据，将其按字段变化编码表示为向量形式用于神经网络的训练；

S3、使用得到的已知协议字段变化编码作为输入，对LSTM-FCN分类网络进行训练，得到一个针对网络协议的分类模型；

S4、使用网络协议分类模型作为字段序列分类器，将待分析的未知网络协议字段输入该分类器中，预测得到每种字段划分的分类以及其置信度；

S5、根据分类器预测结果，使用动态规划算法求出全局最优的分类方式，最后根据最优分类计算出协议字段划分方式；

其中，网络协议字段根据字段变化规律分为以下几类：

a.递增序列，此类型字段值在总体上以递增规律变化；

b.标识符，此类型字段在单次会话中相同，在不同会话中字段值会不同；

c.固定值，此类型字段值在整个协议中固定不变；

d.校验和，此类型字段值的取值是随机的；

e.离散单值，此类型字段值是有限的取值，单个会话中会出现大量重复；

f.离散多值，此类型字取值为多个离散的、少重复的取值。

2.如权利要求1所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S1中的报文抓取工具为wireshark或tcpdump。

3.如权利要求1所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S1具体包括如下步骤：通过报文抓取工具截获网络通信数据报文，对原始数据包进行清洗和分类，将未知协议数据包删除，删除原始数据包中的无关和错误数据。

4.如权利要求1所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S2中对不进行分析的网络协议封装进行删除具体包括：在处理抓取到的数据报文时，按照其协议栈删除掉无关的底层封装和协议头。

5.如权利要求1所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S2中将其按字段变化编码表示为向量形式用于神经网络的训练具体包括：按照标识字段来进行数据报文的划分，对于得到的单个会话的网络数据报文，按会话的报文顺序处理得到协议字段序列，并根据字段变化规律对协议字段序列进行编码。

6.如权利要求1所述的对未知协议自动化逆向分析的方法，其特征在于，递增序列类型的字段包括序列号和索引；标识符类型的字段包括PORT和IP地址；固定值类型的字段包括协议版本号；离散单值类型的字段包括TCP标志位；离散多值类型的字段包括TCP协议和IP协议的长度字段。

7.如权利要求5或6所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S3具体包括：协议字段变化编码输入LSTM-FCN网络，并使用softmax层进行处理得到字段分类的预测。

8.如权利要求7所述的对未知协议自动化逆向分析的方法，其特征在于，所述步骤S4具体包括：对于待分析的未知网络协议，遍历所有可能的字节切分方式作为一个可能字段序列，然后利用分类模型对所有序列进行分类，记录下所有组合方式的分类结果以及其置信度，其中，使用动态规划算法计算置信度最高的字段分类，并使用该分类方法确定字段划分。

9.如权利要求8所述的对未知协议自动化逆向分析的方法，其特征在于，字节切分的方式采取字节对齐的策略，允许半个字节、单个字节、两个字节、四个字节四种字节切分方法，切分允许从半个字节开始，不允许半个字节结束。