[发明专利]二进制协议状态提取方法、系统、存储介质和电子设备

说明书

本发明涉及协议逆向工程技术领域，尤其涉及一种二进制协议状态提取方法、系统、存储介质和电子设备，方法包括：将每个待提取的二进制协议数据，进行预处理，得到多个具有相同的规范数据格式的二进制协议数据；利用训练好的自编码器模型，得到每个二进制协议数据的特征信息；利用UMAP降维算法，得到每个特征信息对应的二维特征信息；在无先验知识的情况下，利用改进的DBSCAN聚类算法对所有二维特征信息进行聚类，能够准确将有状态协议的同状态数据划分为一簇，然后根据多簇能够构建状态机，结合对有状态协议的语法分析和语义分析，能够得到每条待提取的二进制协议数据的具体内容，还能够将推出有状态协议的具体格式。

技术领域

本发明涉及协议逆向工程技术领域，尤其涉及一种二进制协议状态提取 方法、系统、存储介质和电子设备。

背景技术

在互联网上保障海量信息的高效、正确传输需要通信的各方遵循提前约 定好的某些规定，即网络协议，它的本质就是规则。随着协议应用领域的细 化及人们对网络安全的重视度提升，网络协议数量大规模增长，不仅包括对 原有的协议进行内容扩充，更多地是产生全新定义的协议。对大量涌现的网 络协议进行分析是网络空间安全领域的重要任务，也是互联网时代安全发展 的必要工作。网络协议分析根据分析对象可分为标准协议、私有协议和未知 协议。在工业控制、军事通信、金融信息等特定领域中，大量采用未知协议， 无法得知协议的具体数据、内容及其含义。

协议分析技术主要包括对已知协议的识别与分析及对未知协议的逆向 分析。已知协议通常具备公开的规范标准，通过协议特征，如格式特征、端 口号等，对协议进行识别及分析；而未知协议则因其规范未知的特点，难以 进行识别及分析。协议逆向工程即指在没有任何先验知识的情况下，通过协 议报文或执行过程分析推导出相关特征，对未知协议的分析有着重大意义。 现有协议分析技术多数要求对协议规范有一定程度的了解，依靠人工知识， 不适用于私有协议、未知协议。

协议相关特征包括协议的三要素，即语法、语义和状态机。其中，状态 机描述了有状态协议不同状态间的转移规则，协议状态机逆向是有状态协议 逆向分析中必不可少的一部分，通常可在聚类后的结果上，依赖推断算法构 建协议状态机。现有技术仅包括对混合报文数据进行协议层面的区分，如何 高效、准确且不依靠人工知识地完成同一协议的不同状态数据报文区分仍然 有待实现。专利“一种零知识下二进制协议的混合数据帧聚类”(公开号： CN114722961A)在零知识下对二进制协议的混合数据进行了高效地区分， 但该方法仅完成了协议识别，未考虑到具体协议的不同状态报文间的区别。 同时，基于K-Means的聚类算法需要提供簇数值，在协议规范未知的情况下， 亦不明确其状态数量，极大程度降低了协议状态聚类的准确度。

发明内容

本发明所要解决的技术问题是针对现有技术的不足，提供了一种二进制 协议状态提取方法、系统、存储介质和电子设备。

本发明的一种二进制协议状态提取方法的技术方案如下：

将每个待提取的二进制协议数据，进行预处理，得到多个具有相同的规 范数据格式的二进制协议数据，其中，所有待提取的二进制协议数据基于相 同的有状态协议；

利用训练好的自编码器模型，得到每个二进制协议数据的特征信息；

利用UMAP降维算法对每个特征信息进行降维处理，得到每个特征信 息对应的二维特征信息；

利用改进的DBSCAN聚类算法对所有二维特征信息进行聚类，将所述 有状态协议的同状态数据划分为一簇，得到多簇。

本发明的一种二进制协议状态提取方法的有益效果如下：