[发明专利]基于状态融合的协议状态机自动推断方法

说明书

技术领域

本发明涉及网络技术领域，具体而言涉及一种依据协议实体程序接收及发送的网络报文，自动化推断相应网络协议的协议状态机的方法。

背景技术

网络协议是网络通信功能实现的支撑要素，也是网络安全领域的重点研究对象。入侵检测、模糊测试、协议重用、协议脆弱性分析等大量网络安全技术都以详尽的协议规范信息为基础。

网络中使用了大量缺乏描述文档的私有协议，这使得各类依赖于信息规范的网络安全技术在应用范围上受到极大限制。为了解决协议信息未知的问题，研究人员开始采用协议逆向的方法获取未知的协议规范。协议逆向是指在不依赖于协议描述的情况下，通过对协议实体的网络输入输出、系统行为和指令执行流程进行监控和分析，提取网络协议具体规范信息的过程。

网络协议规范主要包括协议格式和协议状态机两部分。协议格式关注的是通信报文中各协议域的组成和结构。协议状态机关注的是协议系统中的协议状态数量以及协议系统在接收不同输入的情况下从一个协议状态向另外一个协议状态迁移的规则。

传统的协议逆向采用人工方式，过程冗长耗时，准确度依赖于分析人员的技术水平和实践经验。随着网络规模的扩大和协议种类的增多，对逆向分析准确度和时效性的要求越来越高，传统人工方式的协议逆向分析已不能满足实际应用的需要。协议自动逆向可以显著减少人工分析，提高私有协议的分析效率，获得了越来越多的重视。

目前大部分协议自动逆向研究集中于协议格式的提取，分析结果中缺乏协议状态机信息，制约了协议逆向结果的实际应用。近年来，随着协议格式提取技术的相对成熟，一些研究人员开始尝试对协议状态机进行逆向分析。目前的协议状态机推断主要存在以下问题：（1）已有的状态融合方法（如Prospex系统）出于简单性的考虑，针对的状态机模型是无输出的有限状态机。这种有限状态机中，只存在报文输入，而不考虑报文输出，忽视了协议系统输入输出报文之间的内在联系。协议系统是带输出的状态迁移系统，这种简单化的处理使得状态融合得到的状态机与实际协议系统存在较大差异。（2）为了解决样本集不完备的问题，在协议状态机推断过程中往往需要不断产生新样本，并根据新样本是否隶属于协议状态机，实施进一步推断。新样本对于协议状态机而言是正例还是反例，依赖于人工判定。人工判定的处理方式一方面难以保证准确度，另一方面，这种处理方式自动化程度低，制约了逆向分析的效率。

发明内容

针对现有技术中存在的问题，本发明旨在提供一种基于状态融合的协议状态机自动推断方法，针对未知协议的协议状态机推断问题，在已有的报文协议格式推断技术的基础上，依据收集的报文样本构造增强前缀树转换器EPTT(Extended Prefix Tree Transducer)描述协议实体在会话过程涉及的输入、输出报文组成的抽象符号串，并通过与协议实体的测试性交互判定状态融合的可行性，确保了状态机推断的自动化，提高了推断结果的准确度。

为达成上述目的，本发明所采用的技术方案如下：

一种基于状态融合的协议状态机自动推断方法，包括以下步骤：

（1）报文格式提取与报文分类：获取协议实体程序相关的输入、输出报文的具体格式信息，并依据报文格式分别对输入、输出报文分类，将结构相同的报文样本归为一类，以抽象符号表示分类的类别信息；

（2）会话抽象与初始状态机构建：基于抽象符号表示的分类类别，以会话为单位，对网络通信行为进行抽象，将会话过程中的输入输出报文序列描述为抽象的输入输出符号串，进而依据会话样本集，构建与输入输出符号串集合一致的初始状态机；

（3）基于输出报文的状态融合：依据相似度高低对候选状态进行融合，并生成测试符号串，再通过自动化的测试，比较协议实体与融合后的状态机在接收到测试符号串后做出的输出响应，验证状态融合的可行性；

（4）重复上述步骤（3）直到状态机中不再有符合融合条件的状态；

前述会话抽象与初始状态机构建阶段的工作流程如下：状态机的推断以会话样本集为基础构建，将会话中输入、输出报文以其所在类别对应的抽象符号表示，从而把完整会话的输入输出报文序列转化为抽象的输入输出符号串；在此基础上，依据会话样本集，采用增强前缀树转换器EPTT的形式构造初始状态机，初始状态机中包含了所有作为会话样本的输入输出符号串；