[发明专利]基于报文分析的协议格式自动推断方法

摘要

基于报文分析的协议格式自动推断方法，对协议实体的输入输出报文进行分析从而推断协议报文具体格式的方法，包括以下步骤：首先是依据字符的可显示属性，以字节为单位对获取的网络报文进行划段，并基于划段展现出的格式序列进行初步聚类；其次是对结构相似的报文样本以段为单位进行多序列比对，实现报文段的对齐和长度统一，从而掌握报文段的基本结构，进而获得报文整体的结构；最后是语义推断阶段，基于报文的结构，依据样本中各字段的取值和变化特征，遵循各类语义的识别策略，采用“间隔字段→数据字段→序号字段→长度字段→格式标识字段”的语义推断流程，提高语义推断的准确度和效率。

主权项

基于报文分析的协议格式自动推断方法，其特征是对协议实体的输入输出报文进行分析从而推断协议报文具体格式的方法，包括以下步骤：首先是对大量报文样本进行初步聚类，将结构相似的样本集中在一起；其次是对结构相似的报文样本以段为单位进行多序列比对，明确段的基本结构，进而获得报文整体的基本结构；最后是语义推断阶段，基于报文的基本结构，依据样本中各字段的取值和变化特征对相应字段的语义进行推断；所述初步聚类阶段的工作流程：以字节为单位，依据字节属于可显示字符还是二进制字符，对获取的网络报文进行划段，连续的二进制字段合成一个‘B’段，连续的可显示字段合成一个‘A’段。经过初步划段后，报文的格式序列是一串‘B’、‘A’间隔组成的字符串。依据划段所展现出的格式序列，将格式序列相同的报文归为一个类别，实现初步聚类。多序列比对阶段的工作流程：以段为单位实施多序列比对，在比对过程中首先采用采用局部序列比对算法构造相对距离矩阵；而后采用层次聚类算法，将参与比对的报文段构造成系统树，并通过设置同类报文段的最大距离，将系统树分割为多棵子系统树；最后采用全局序列比对算法对子系统树中的报文段进行比对，获得报文段的基本结构；语义推断阶段的工作流程：在确定某一类别报文样本的基本结构后，统计此类别样本中各个字节取值的变化率；依据字节取值的变化率，确定样本格式中的固定字段和可变字段；首先判断固定字段是否为间隔字段，再判断可变字段是否为数据字段，进而推断未识别的可变字段中是否存在序号字段；依据判断出的字段语义，进行字段合并，并在未识别字段中推断长度字段；最后依据已识别出的格式序列，推断样本中的格式标识字段；即采用“间隔字段→数据字段→序号字段→长度字段→格式标识字段”的语义推断流程。