[发明专利]一种对未知协议自动化逆向分析的方法

说明书

本发明涉及一种对未知协议自动化逆向分析的方法，属于网络安全领域。本发明包括以下步骤：截获网络数据报文，并过滤得到已知网络协议字段；通过分析协议字段的变化特征，提取针对字段变化特征的向量编码；使用字段序列编码作为输入，使用LSTM‑FCN网络实现对针对未知协议的分类模型；使用训练好模型作为字段序列分类器，并且根据分类结果来实现未知协议字段的边界和类型的识别。本发明的字段分类模型在不同的协议上都具有很好准确率和召回率，表明该模型具有根据字段变化特征识别字段类型的能力；所提出的协议逆向方案也比较准确和快速的识别出了协议的字段和类别，充分的证明了本发明对未知二进制协议的识别能力。

技术领域

本发明属于网络安全领域，具体涉及一种对未知协议自动化逆向分析的方法。

背景技术

随着信息技术的高速发展，互联网开始渗入到人们生活的方方面面，成为现代生活方式中不可或缺的组成部分，这其中尤其是以智能家居为首的给各类IoT设备发展最为迅速。不同的IoT设备之间的数据交互、协同工作大部分需要通过网络协议来实现。

网络协议是指互联网等网络中进行交互的两个或多个终端实体为了进行数据交换而建立的包括规则、格式和流程的正式标准。网络协议通常包含网络实体之间所有流程和节点，并且必须同时由发送方和接收方确认安装。

网络协议可以根据其格式、规则和流程是否存在公开的标准文档分为两类：公开和非公开。公开的网络协议除了有公开标准文档之外，一般都被广泛的使用，并且得到多数人的认可，如TCP、IP、FTP、TELNET等网络协议。非公开网络协议，通常都是特定软件或者系统所独有的网络协议，因此也被称之为私有网络协议。

随着网络节点的增多，网络协议作为网络中通信的基础保证，其安全性变得越来越重要。网络协议通常被特定的应用程序/系统所使用，为了保证正常的通信，协议的使用者必定需要暴露在网络之中。如果网络协议以及使用协议的实体存在漏洞和后门，就极有可能对系统和整个网络造成严重的破坏。如2015年发现的BIND DoS漏洞(CVE-2015-5477)，就是开源软件BIND对畸形TKEY查询处理出错造成的DoS漏洞；还有2018年Windows DNS服务器远程代码执行漏洞(CVE-2018-8626)，也是对攻击者恶意的DNS请求处理不当所导致的。可以看出网络协议作为与外界连接协作的桥梁，其安全与否对整个系统来说都是至关重要。

但是由于未公开网络协议的存在，给网络协议以及其应用的安全性的研究带来了一定的阻碍。如入侵检测和模糊测试等常用安全技术通常都需要对协议技术标准具有一定的了解，当面临私有协议时会严重影响其结果的准确性和效率。而通过协议逆向技术就可以在不具备协议标准文档的前提下，通过分析协议报文等方式提取协议的格式字段、协议状态机等信息。

协议逆向技术中最朴实的就是靠人工的手动协议逆向。人工的协议逆向非常消耗时间和精力，并且其准确性几乎完全取决于逆向人员的专业程度。并且网络协议并非一成不变，协议往往会一直被改进，通过人工逆向的方式需要耗费极大的代价才可能一直跟随协议的改变。因此高效自动化的协议逆向方案具有很高的研究意义和广阔的应用前景。

发明内容

(一)要解决的技术问题

本发明要解决的技术问题是如何提供一种对未知协议自动化逆向分析的方法，以解决现有技术中依赖人工以及逆向人员经验的状况，使得能进行自动化的未知网络协议逆向分析。

(二)技术方案

为了解决上述技术问题，本发明提出一种对未知协议自动化逆向分析的方法，所述方法包括如下步骤：

S1、通过报文抓取工具截获网络数据包，将未知协议数据包删除；

S2、对不进行分析的网络协议封装进行删除，得到目标网络协议的字段数据，将其按字段变化编码表示为向量形式用于神经网络的训练；