[发明专利]基于亮灯效应的定长消息格式逆向方法

说明书

本发明提供一种基于亮灯效应的定长消息格式逆向方法。该方法包括：步骤1、判断定长消息m中所有定长域的域类型，所述域类型包括同步域和异步域；步骤2、若所述定长消息m中所有定长域均为同步域，则按照第一域边界识别规则确定定长消息各定长域的域边界序列；步骤3、若所述定长消息m中的定长域包括异步域，则按照第二域边界识别规则确定定长消息各定长域的域边界序列。本发明受到建筑物亮灯效应的启发，将定长消息类比为建筑物，将消息中的字节类比为建筑物的窗户，将两个消息取值相同的连续区间类比为亮灯区域，结合定长消息的域类型对亮灯效应的影响，对不同类型的定长消息制定不同的域边界识别规则，能够有效解决定长域边界识别的难题。

技术领域

本发明涉及网络安全技术领域，尤其涉及基于亮灯效应的定长消息格式逆向方法。

背景技术

定长消息格式是一种常见的应用协议消息格式，很多应用协议中包含定长消息或定长段。由于定长格式的信息压缩性高，难以对其进行特征提取及特征分析，因此也难以对其进行格式逆向。

2004年，PI(Protocol Informatics)项目利用了生物信息学中基因序列比对的思想来对消息进行格式逆向。该方法适用于存在丰富特征字段的消息，例如传统协议分类中的文本消息。而定长消息的信息压缩性较高，特征字段不明显，因此PI对定长消息的逆向效果有限。2006年，微软的Cui等提出了消息格式逆向的Discoverer算法。该算法在对定长消息进行格式逆向时，简单地把消息中的每一个字节当做一个单独的域，具有一定的片面性。ASAP和ProDecoder利用自然语言主题提取里的N-gram方法对定长消息进行格式逆向。然而基于N-gram的方法只对长度不小于N且特征字段明显的消息有效，对定长消息的逆向结果不理想。ProGraph利用图论和信息论的相关方法进行协议逆向，该方法对消息的分析粒度过小，且其前提是假设消息中的不同域的取值存在普遍关联，具有一定的片面性。总之，由于定长消息的信息压缩性高，特征字段不明显。因此，以上基于特征字段分析的定长消息格式逆向技术效果有限。

此外，一些研究人员考虑通过二进制分析的方法对定长消息进行格式逆向，其思想可以简要概括为：通过二进制分析技术观察应用程序对消息的处理过程，从而确定消息中每个域的大小、位置、语义等信息。基于二进制分析的协议逆向技术准确性高，得到结果比较丰富。然而基于二进制分析的协议逆向技术需要获取协议的应用程序，而应用程序的获取比较困难，且存在软件保护问题。同时，基于二进制分析的协议逆向技术很难做到自动化。

发明内容

针对现有的定长消息格式逆向技术中的不足，本发明提供一种基于亮灯效应的定长消息逆向方法。通过在建筑物与定长消息之间建立映射关系，将推测定长消息中每个域的边界问题转化为概率统计问题，提高了定长消息格式逆向的正确率。

本发明提供一种基于亮灯效应的定长消息格式逆向方法，该方法包括：

步骤1、判断定长消息m中所有定长域的域类型，所述域类型包括同步域和异步域；

步骤2、若所述定长消息m中所有定长域均为同步域，则按照第一域边界识别规则确定定长消息各定长域的域边界序列；

步骤3、若所述定长消息m中的定长域包括异步域，则按照第二域边界识别规则确定定长消息各定长域的域边界序列。

进一步地，所述第一域边界识别规则具体包括：

步骤21、获取定长消息m中的任意两个消息片段m_i和m_j；

步骤22、定义消息片段m_i和m_j中偏移为k的字节的取值分别为m_ik和m_jk，重复比较m_ik和m_jk的取值直至比较结果趋于稳定，k不大于定长消息m的长度；