[发明专利]一种基于优化随机转换器模型的未知协议行为逆向推断方法

说明书

本发明是一种基于优化随机转换器模型的未知协议行为逆向推断方法。本发明步骤具体为：对报文类型标记序列交互行为补偿处理；对所分析的未知协议交互行为进行建模；对未知协议报文交互行为进行逆向推断。本发明对网络中传输的未知协议不同报文所构成的标记序列进行缺失行为补偿处理，然后对未知协议报文交互的行为规则进行形式化建模，最后根据本发明设计的模型推断方法对未知协议的报文交互行为规则进行逆向分析和推断。

技术领域

本发明涉及对未知协议报文交互的行为预测，协议通信状态异常检测，网络渗透测试等领域，是一种基于优化随机转换器模型的未知协议行为逆向推断方法。

背景技术

对协议交互行为逆向分析的相关技术中存在的问题主要包括：报文响应关系缺失、统计分布信息缺失、结果模型过度泛化，以及推断过程模型状爆炸四个方面。

报文响应关系缺失：PEXT和PREUGI将不同方向的报文标记以同样的方式标记在状态或结点上，这使得从结果模型中无法得知相应的行为是由哪一方通讯端产生，而ReverX和Prospex只分析单方向报文传输行为的策略则缺失了更多的信息。虽然Veritas对双向的报文进行了分析，却对两者分别建立了单独的行为模型，没有体现出相关报文的应答关系。最新的两项技术PRETT和ReFSM 通过对协议通信双向报文的交互过程进行了分析弥补了这方面的不足，但是两者却存在着其他问题如后文提到的统计分布信息缺失等。

统计分布信息缺失：在面向报文数据的协议行为逆向分析中，统计信息也应作为固有属性进行分析，从而通过观察统计行为模型探知协议交互分布规律。遗憾的是，在现有相关技术中，只在Veritas，PRISMA中考虑了报文交互过程的统计信息，但这些技术却都存在着上一个报文响应关系缺失的问题。

结果模型过度泛化：在协议行为模型推断过程中，对模型中相似状态的合并策略会影响到结果模型的泛化程度，过于宽松的合并规则如ReverX以合并相同转移标记两端结点的方式所得到的结果模型只能够反映协议交互的大体框架而无法表达更加具体的交互顺序等逻辑信息。合适的化简程度在ReFSM中K-Tail 方法的使用中表现的更加具体，当k值取0时会得到一个极度泛化的模型而不具实际意义，而取1或2时所得到的结果模型规模相差了几十甚至几百倍，可见合适的泛化参数对于模型的结果非常重要。此外，在如Prospex或ReFSM等的结果模型中，只包含了目标协议的部分指令，很显然对于协议完整的行为规则来讲过于片面。所以，在现有的此类工作中，对于结果行为模型的完整度和合适泛化粒度方面尚有优化空间。

推断过程模型状态爆炸：对于目前常用的基于PTA构建和化简的协议行为模型分析过程中，大量变化的协议交互数据很可能导致算法的计算代价以指数的级别增长，PRETT的分析过程中的状态机扩张过程策略则更是“尽可能多地扩展状态机中的状态数量”，这些都很容易导致协议的状态机模型状态数量产生爆炸式增长从而对分析效率产生重大影响。在进行面向协议通信报文的行为分析时，网络中捕获的数据量随着时间的积累可以达到很大，此时对行为模型分析效率的提高，特别是状态爆炸问题的解决则显得至关重要。

在上述问题中，前两类问题可以归结于行为分析目标模型完备性的欠缺，后两类问题则主要由模型的推断方法导致。因此本发明相比于目前此类方法的创新性优化之处就在于：一方面对作为逆向目标的协议行为模型建模方式进行优化，使其既包含双向报文的交互或者应答关系，也包含分布于数据中的统计信息；另一方面对模型的推断和化简方法进行优化，特别是寻找合适的泛化方法和泛化程度，以及在推断过程中解决或避免状态爆炸问题。

发明内容

本发明为对未知协议的报文交互行为规则进行逆向分析和推断。

本发明提供了一种基于优化随机转换器模型的未知协议行为逆向推断方法，本发明提供了以下技术方案：

一种基于优化随机转换器模型的未知协议行为逆向推断方法，包括以下步骤：

步骤1：对报文类型标记序列交互行为补偿处理；