技術領域

本發明涉及網絡協議分析和網絡應用逆向分析技術領域，尤其涉及一種結合網絡流量分析和消息聚類的網絡協議逆向分析方法。?

背景技術

隨著互聯網的發展，各種新的應用和未知私有協議導致網絡越來越復雜、多樣化和難以管理，因此，逆向工程（Reverse?Engineering）技術被越來越廣泛的應用于網絡協議分析與破解領域。?

在傳統應用逆向分析中，對軟件進行查殼與脫殼、靜態分析、關鍵函數動態調試等分析步驟，其中關鍵函數按照調試的順序主要包括收發包函數（recv/send（TCP），recv_from/send_to（UDP））、包構造和解析函數、加/解密函數。?

但是由于現有網絡協議越來越復雜、對協議與應用軟件本身的保護越來越嚴密，對目標網絡協議的逆向工程耗費的時間和人力也越來越多。因此迫切需要自動化的逆向系統對網絡協議進行自動化的分析和破解，一方面可以通過該系統自動、快速的得到分析結果或中間結果，節省人力和時間的消耗；另一方面通過標準化的逆向流程和二進制的對比分析，可以彌補人工逆向的一些疏忽和不足。?

發明內容

（一）要解決的技術問題?

本發明要解決的技術問題是提供一種結合網絡流量分析和消息聚類的網絡協議逆向分析方法，以克服上述缺陷，在原有應用的逆向分析基礎上，通過對目標應用流量的深入分析，自動化地得到網絡協?議的交互過程和協議結構。?

（二）技術方案?

為了解決上述技術問題，本發明提供一種結合網絡流量分析和消息聚類的網絡協議逆向分析方法，該方法包括以下步驟：?

S1.對目標網絡協議應用進行逆向分析，捕獲該應用產生的網絡流量；?

S2.對捕獲的網絡流量按五元組進行分流；?

S3.結合逆向分析結果，在反編譯的匯編代碼中，將發包或者收包定義為一個消息，一個流包含多個消息；?

S4.以流為單位，假設捕獲了s條流，對這s條流進行聚類；?

S5.將s條流聚類成少量k個關鍵協議交互過程后，對其進行保存；?

S6.k個關鍵協議交互過程再經過狀態機標準簡化算法，得到最簡形式，即為系統最終協議分析的結果。?

其中，在步驟S3中，發包即為同一個函數構造的發出的內容，收包即為同一個函數解析的內容。?

其中，在步驟S3中，一個消息包含一個或多個包。?

其中，在步驟S4中，聚類方法采用k-means算法。?

其中，在步驟S5中，對k個關鍵協議交互過程采用確定有限自動機的形式進行保存。?

其中，在步驟S2中，所述五元組即源IP地址、目的IP地址、源端口號、目的端口號、協議號。?

（三）有益效果?

本發明上述技術方案所提供的網絡協議逆向分析方法，通過結合?逆向分析，能夠得到目標網絡協議的具體交互過程，該交互過程以狀態機的形式保存，能夠用于網絡協議識別、網絡協議管理、網絡協議改進等重要領域；此外，該方法是自動地進行的，經過聚類和狀態機簡化，得到的結果準確、簡潔，能夠代表流量中出現過的網絡協議標準交互過程。?

本發明的方法通過結合傳統逆向分析過程，統籌流量與應用的分析，以應用逆向分析為基礎，流量分析為主要手段，自動化的分析得到目標協議的交互過程和協議詳情。在流量分析中，進行軟件流量的監控和捕獲、五元組分流、消息分析和特征提取以及消息聚類等過程，其中消息分析與聚類過程都需要結合應用逆向分析的部分結果進行。通過基于應用層面的靜態分析與動態調試結果和流量層面的協議消息分析結果的結合，最終得到以狀態機為形式的協議結構、交互過程等最終結果。?

以上說明僅是本發明技術方案的概述，為了能夠更清楚了解本發明的技術手段，而可依照說明書的內容予以實施，并且為了讓本發明的上述和其他目的、特征和優點能夠更明顯易懂，以下特舉較佳實施例，并配合附圖，詳細說明如下。?

附圖說明

圖1為根據本發明一種實施方式的結合網絡流量分析和消息聚類的網絡協議逆向分析方法的流程圖。?

具體實施方式

下面結合附圖和實施例，對本發明的具體實施方式作進一步詳細描述。以下實施例用于說明本發明，但不用來限制本發明的范圍。?

在本發明的描述中，除非另有說明，“多個”的含義是兩個或兩個以上。?

現在參考圖1，本實施例的結合網絡流量分析和消息聚類的網絡協議逆向分析方法，包括以下步驟：?