[发明专利]一种基于增量学习的快速工控协议格式逆向推断方法

摘要

本发明公开了一种基于增量学习的快速工控协议格式逆向推断方法，能快速推断协议的格式和语法，通过增量式的序列比对方法极大地减少协议逆向分析过程中的计算复杂度，从而能在较短时间内推断出协议的格式和语法，并能保持较高的分析准确度，IPRI方法在对协议进行逆向分析时采用了目前国际上较为认可和流行的Needleman‑Wunsch序列比对算法，该算法通过相似度计分、最优回溯等步骤能较为准确地推断协议的格式和语法，保证了分析结果的准确性。

主权项

1.一种基于增量学习的快速工控协议格式逆向推断方法，其特征在于，包括以下步骤：步骤S1，判断要进行协议逆向分析的样本数据集的大小，如果样本数据集中的报文数目超过了1000个，那么首先构建三个集合，分别为HandledPackets、HandlingPackets和UnhandledPackets，其中HandledPackets集合存储的是已经通过序列比对算法处理好的报文，HandlingPackets集合存储的是正在进行序列比对处理的报文，UnhandledPackets集合存储的是尚未处理好的报文，在初始状态下，所有样本数据集的报文都置于UnhandledPackets集合中，并按照时间戳的先后顺序对报文按序排列，而HandledPackets和HandlingPackets集合初始为空，然后转入步骤S2；步骤S2，提取UnhandledPackets集合的前1000个报文，将它们从UnhandledPackets集合移动到HandlingPackets集合中，采用Needleman‑Wunsch序列比对算法对HandlingPackets中的报文进行分析，并得到多个分析后的消息类型，然后转入步骤S3；步骤S3，在UnhandledPackets集合非空的条件下，如果某个消息类型中所属的报文数目只有一个，则该消息类型创建失败，删除该消息类型，并将该报文保留在HandlingPackets集合中，对于其他消息类型的报文，将它们全部从HandlingPackets集合移动到HandledPackets集合，然后转入步骤S4，否则如果UnhandledPackets集合为空，则终止程序的运行；步骤S4，从UnhandledPackets集合中按序逐个选择报文，并将每个报文与生成的消息类型进行匹配，如果匹配成功，将该报文添加到该消息类型中，并将该报文从UnhandledPackets集合移动到HandledPackets集合，而如果匹配不成功，则将该报文移动到HandlingPackets集合中，直至HandlingPackets集合的报文数目达到1000个或UnhandledPackets集合中不再有报文，然后转入步骤S5；步骤S5，采用Needleman‑Wunsch序列比对算法对HandlingPackets中的报文进行分析，并得到多个分析后的消息类型，然后返回步骤S3。