[发明专利]未知网络协议隐匿行为的指令序列聚类挖掘方法

说明书

技术领域

本发明属于网络安全领域，涉及网络协议逆向分析和行为分析，具体是指一 种通过指令序列聚类来挖掘未知网络协议隐匿行为的方法，可用于网络安全态势 的感知和威胁的定位。

背景技术

网络协议是网络空间的根本基石，也是信息时代最重要的基础设施之一。近 年来，由于对未知网络协议的行为认识不足而引发的网络安全事件层出不穷。网 络协议的基础性地位和我们对其隐匿行为研究的不足，给我们的信息安全、国防 安全和国家安全带来了重大隐患，已经造成的损失和潜在的损失难以估量，因此 加强对未知网络协议的行为特别是隐匿行为的研究分析刻不容缓。协议隐匿行为 的逆向分析既是网络安全研究的重要内容，也是维护国家安全和网络空间安全， 实施主动防护的关键技术。

大量未知和闭源网络协议的应用使网络安全的风险不断增加。而协议行为分 析技术可以感知和挖掘协议的隐匿行为，为网络安全态势感知和威胁评估提供了 一种有效途径。在协议逆向分析中，一个非常重要的问题就是如何准确而高效的 挖掘协议的隐匿行为，并对隐匿行为带来的风险进行评估，尽可能准确的感知网 络安全态势。

作为一个研究热点，许多协议逆向分析方法被提出。JuanCaballero,DawnSong. “Automaticprotocolreverse-engineering:messageformatextractionandfield semanticsinference”.ComputerNetworks，2012.就是其中的典型代表。然而这些分 析方法都局限于分析未知协议的格式、字段等信息，并不关心协议运行时的行为。 在现有的协议逆向分析方案中，仅仅停留在推断协议的格式规格，最多是推断协 议状态机，这就使得协议行为上的潜在威胁得不到感知和有效控制。

尽管协议逆向分析中，推断协议格式和状态机等领域已经有了比较深入的研 究，但是与之相比，对于协议的行为特别是隐匿行为远远没有引起人们的注意。 仅分析协议消息的一个显著局限在于从协议消息中能获得的信息非常有限，而且 它很难分析加密协议。和协议消息比较起来，协议二进制程序包含了更丰富的协 议信息，因为协议程序才是协议的最终实现形式，在没有协议规格说明的情况下， 协议程序就是协议最详细的描述。即使拥有协议规格说明，掌握协议的具体实现 也是很有必要的，因为一些协议的具体实现往往和它的规格说明相背离。更重要 的是，对加密协议来说，协议程序本身就知道加密信息以及对协议数据加密和解 密的具体需求。只要了解了加解密的具体位置，我们就可以等到协议程序解密接 收到的协议消息后再开始分析，并且在协议程序加密发送数据前停止分析，这样 我们就可以应对加密协议的挑战。

这些方法虽然都比较好的解决了协议格式的逆向分析问题，但是并没有从协 议行为的角度去解决协议运行的安全性问题，这些方法获取的协议信息非常有限， 协议逆向分析远不止于此，实际上协议的行为对网络安全更有直接和基础性影响， 所以协议的行为特别是隐匿行为的挖掘分析技术有重要而广泛的应用前景。

发明内容

本发明针对现有技术的不足，从聚类的角度来解决未知协议行为的挖掘和分 析问题，提出一种基于指令序列聚类的协议行为挖掘方法，在能够支持大量协议 样本同时分析的前提下，自动聚类协议的不同行为指令序列，挖掘隐匿行为的触 发条件，评估协议运行的安全性。

为了实现上述目的，本发明提出一种将动态汅点分析、静态分析、指令聚类 分析和关联分析相结合的技术手段，对未知网络协议的隐匿行为进行逆向分析和 挖掘，包括如下步骤：

(1)基因指令的划分标记步骤：把协议程序的所有指令划分并标记为3类基因 指令，即函数调用相关指令，条件跳转相关指令和数据处理相关指令，所有指令 转换成这3类基因指令的排列组合；

(2)指令序列聚类步骤：

(2a)从受训协议样本中随机选取一个已知的行为指令序列A，作为初始的协 议行为模式，这个已选择的行为模式就构成了一个基本的行为聚类；

(2b)根据基因指令分布的相似性，把所有的协议指令划分成不同的行为聚类；

(2c)将挖掘出的不同于A的行为指令序列生成新的行为聚类，直到没有新的 行为指令序列被挖掘出来；

(3)行为计算步骤：