一种基于模糊加权的二进制协议格式解析方法
【技术领域】
[0001] 本发明属于融合网络安全技术领域,具体设及一种基于模糊加权的二进制协议格 式解析方法。
【背景技术】
[0002] 随着无线网络的快速发展与网络安全形势的日益严峻,针对W无线电磁波为媒介 的网络攻击与信息窃取的行为也在不断增加。而在运些特种环境下,未公开标准规范的未 知协议通常作为一种通信语言W提高攻击或窃取行为的隐蔽性。从通信数据中挖掘协议格 式已成为协议逆向分析的一个重要组成部分。
[0003] 目前,国内外的研发状态主要呈现W下特点:
[0004] 1)多数研究成果主要采用的通过监控协议实现软件,跟踪协议软件的执行命令来 分析协议的格式,但在难W获取协议实现软件情况下,只能通过获取的通信数据进行协议 格式解析的研究成果较少,特别是获取到的二进制数据的协议相应的研究成果更少,且在 实际应用中仍有很大的制约与局限。
[0005] 2)特别是在含有误码的无限通信协议分析方面,一方面获取的信息存在误码,另 一方面获取的信息经解调解码后均为二进制格式的协议。绝大多数研究成果针对某一类协 议比较适合,但是通用性的分析方法缺乏。
【发明内容】
[0006] 本发明的目的在于克服现有技术的不足,提供一种基于模糊加权的二进制协议格 式解析方法,该方法解析准确,有效提高解析率,本方法为一种通用方法,适用于各种二进 制协议的状态分析。
[0007] 本发明的目的是通过W下技术方案来实现的:
[000引一种基于模糊加权的二进制协议格式解析方法,它包括如下子步骤:
[0009] S1:采集单一类型的协议序列;
[0010] S2:构建模糊加权矩阵,计算基本比对单元的距离矩阵D,根据实际误码率和系统 对误码的容忍度,赋予差异度不同的字符之间的比对不同的权值,构建模糊加权矩阵W;
[0011] S3:进行两次加权处理的模糊加权的局部序列比对,利用分段函数,对打分规则进 行修正,进行两次加权处理的模糊加权的局部序列比对,利用分段函数,对打分规则进行修 正,构建协议进化树;
[0012] S4:进行模糊加权的全局序列比对,采用全局序列比对算法,全局序列比对的替换 矩阵经模糊加权处理后演变成模糊加权的序列比对算法,从而递归完成模糊加权的渐进多 序列比对;
[0013] S5:剔除奇异序列帖,采用变量SG作为标准衡量奇异序列,变量SG的计算公式如 下:
[0014]
[0015] 将序列集中SG值显著偏大的序列认定为奇异序列,将奇异序列剔除后进行二次比 对;
[0016] S6:解析报文格式,模糊加权的多序列比对之后,协议数据帖形成一个二维矩阵, 二维矩阵的每一行为插入空格的字符序列,每一列是相同字段相同位置的字符,对二维帖 矩阵每一列字符数值进行变化率统计,同时进行优势数据统计,综合字符变化率、优势数据 统计结果及比对展示结果形成统计特征,结合经验库,通过字符数值的时序特征,判定功能 类型;
[0017] S7:输出二进制协议与功能信息。
[0018] 所述的步骤S3中进行两次加权处理,第一次加权利用模糊加权矩阵W,对局部序列 比对替换矩阵的分值进行模糊加权处理,使不同字符间能够实现一种近似匹配,第二次加 权利用衰减函数提高数据帖头部数据匹配的得分权重。
[0019] 所述的变化率统计将变化率相同或接近的合并为同一字段;变化率差距较大的分 割为不同字段。
[0020] 所述的优势数据统计为对每一列字符中出现次数最多的几个字符进行统计,计算 该字符占所有比对序列的百分比。
[0021] 本发明的有益效果是:本发明提供了一种基于模糊加权的二进制协议格式解析方 法,该方法解析准确,有效提高解析率,本方法为一种通用方法,适用于各种二进制协议的 状态分析。
【附图说明】
[0022] 图1为本方法流程示意图;
[0023] 图2为比对单元的距离矩阵D示意图。
【具体实施方式】
[0024] 下面结合附图进一步详细描述本发明的技术方案,但本发明的保护范围不局限于 W下所述。
[0025] 如图1所示,一种基于模糊加权的二进制协议格式解析方法,它包括如下子步骤: [00%] S1:采集单一类型的协议序列;
[0027] S2:构建模糊加权矩阵,计算基本比对单元的距离矩阵D,由于实际的通信协议运 行过程中,常见的误码形式大都为"0"、"Γ之间的变换,故在计算距离时不考虑插入和删除 的情况。距离矩阵每一单元值为比对单元i和j在二进制形式下的差异位数。如在选取基本 单元为4Bi t数据时,字符"0"与字符"9"的二进制形式分别为"0000"和"100Γ,二进制形式 下差异的位数为2。选取基本比对单元为3Bit数据时获得的距离矩阵样例如图2所示。
[0028] 根据实际误码率和系统对误码的容忍度,赋予差异度不同的字符之间的比对不同 的权值,构建模糊加权矩阵W,当系统最大容许η Bit的比对单元中包含化ror位误码时,模 糊加权矩阵每一单元的取值为:
[0029]
[0030] 其中的,,为0到1之间的常数。模糊加权矩阵W在精确匹配之外,将字符差异度超过m Bit的定义为不匹配,小于的定义为近似匹配,并通过权值提供了近似匹配的得分计算方 法。在实际比对过程中,为了平衡误码造差异字符和通信本身传输的差异字符,馬4的取值 常常要通过多次实验调整W获得最优效果。
[0031] S3:进行两次加权处理的模糊加权的局部序列比对,第一次加权利用模糊加权矩 阵W,对局部序列比对替换矩阵的分值进行模糊加权处理,使不同字符间能够实现一种近似 匹配,提高算法抗误码性能。
[0032] 假设有长度为P和q的两个序列P和Q,在精确比对规则下,元素匹配情况得分如下:
[0033]
[0034] 上式表示(P的第i个字符与q的第字符比较,字符是由16个bit组成的,P[i]与Q[j] 在匹配得分为si,不匹配得分为el。那么在引入模糊加权矩阵后,P[i]与Q[j]的情况匹配得 分为:
[0035]