[发明专利]基于状态融合的协议状态机自动推断方法

摘要

本发明提供一种基于状态融合的协议状态机自动推断方法，包括以下步骤：报文格式提取与报文分类、会话抽象与初始状态机构建、以及基于输出报文的状态融合。本发明的协议状态机自动推断方法采用增强前缀树转换器EPTT描述协议实体的会话过程，着眼于协议的输出报文，对状态机中的同类状态进行融合，并通过与协议实体进行测试性交互验证协议状态融合的可行性，确保了协议状态机推断的自动化，提高了推断结果的准确度。

主权项

一种基于状态融合的协议状态机自动推断方法，其特征在于，包括以下步骤：（1）报文格式提取与报文分类：获取协议实体程序相关的输入、输出报文的具体格式信息，并依据报文格式分别对输入、输出报文分类，将结构相同的报文样本归为一类，以抽象符号表示分类的类别信息；（2）会话抽象与初始状态机构建：基于抽象符号表示的分类类别，以会话为单位，对网络通信行为进行抽象，将会话过程中的输入输出报文序列描述为抽象的输入输出符号串，进而依据会话样本集，构建与输入输出符号串集合一致的初始状态机；（3）基于输出报文的状态融合：依据相似度高低对候选状态进行融合，并生成测试符号串，再通过自动化的测试，比较协议实体与融合后的状态机在接收到测试符号串后做出的输出响应，验证状态融合的可行性；（4）重复上述步骤（3）直到状态机中不再有符合融合条件的状态；前述会话抽象与初始状态机构建阶段的工作流程如下：状态机的推断以会话样本集为基础构建，将会话中输入、输出报文以其所在类别对应的抽象符号表示，从而把完整会话的输入输出报文序列转化为抽象的输入输出符号串；在此基础上，依据会话样本集，采用增强前缀树转换器EPTT的形式构造初始状态机，初始状态机中包含了所有作为会话样本的输入输出符号串；前述基于输出报文的状态融合阶段的工作流程如下：在初始状态机的基础上，依据相似度的高低每次对两个相似状态进行状态融合，相似状态的选择以Blue Fringe算法为基础，选择相似度最高的两个状态作为待融合的候选状态；候选状态的融合是否可行，将依据生成的测试字符串进行判定，判断两个候选状态是否能够融合，其中：测试字符串基于原始状态机中到达两个候选状态的字符串前缀和字符串后缀构建，通过交叉拼接的方式，将到达某一个候选状态的所有字符串前缀与另外一个候选状态的所有字符串后缀依次拼接，生成的字符串组成测试字符串集合，如果判定所有输出字符串均与融合后的协议状态机一致，则认为状态融合是可行的，否则判断状态融合不可行；将测试结果作为新样本加入会话样本集并扩展协议状态机，并继续尝试对其他状态进行融合。