技術領域

本發明涉及協議逆向分析技術領域，特別涉及一種獲取二進制協議數據中控制字段劃分點的方法及裝置。

背景技術

協議是為進行網絡數據交換而建立的一系列的規則、標準和約定，是計算機網絡及數據通信的核心，也是網絡安全領域的重點研究對象。當前許多網絡安全相關的應用都以協議的詳細描述信息為基礎，如入侵檢測、模糊測試、協議重用和一致性測試等。但由于目前使用的協議大部分都是私有協議，缺乏正式的描述文檔，研究人員越來越多地采用協議逆向的手段實現協議信息的提取。

協議逆向工程是指在不依賴于協議描述的情況下，通過對協議實體的網絡輸入/輸出、系統行為和指令執行流程進行監控和分析，提取協議文法、語法和語義的過程。一般來說，協議數據的字段分類粗略地可分為兩大字段，一是控制字段，二是業務字段。控制字段的定義為后續業務字段的傳輸及解析提供規范，同步和緩沖。目前劃分協議數據方法包括：多序列比對方法、Discoverer方案和基于統計方法的字段劃分，其中基于統計方法的字段劃分是目前適用于二進制協議數據的方法，其劃分原理為：以字節為單位，借助字符定義，依靠字符定界，字符區分等等功能，輔助分析協議數據內各字節的取值范圍，然后統計各字節的頻率分布，由頻率分布推斷出關鍵詞組，關鍵詞組主要是協議數據中的控制字段，通過關鍵詞組可以解析獲取協議的控制字段規范，有效分離控制頭與業務數據。

但是上述基于統計方法的字段劃分主要以字節為單位，且依靠字符定義統計報文內容中各字節的頻率分布來統計出關鍵詞組，適用于基于字節或字符型的協議數據劃分。然而二進制協議數據為連續的比特序列，對于字符定義是未知的，無法直接使用相關算法。因此急需一種獲取二進制協議數據中控制字段劃分點的方法，用于統計二進制協議數據中控制字段的劃分點。

發明內容

有鑒于此，本發明實施例提供一種獲取二進制協議數據中控制字段劃分點的方法及裝置，以比特為單位對二進制協議數據進行統計分析，得出二進制協議數據中控制字段的劃分點，技術方案如下：

本發明實施例提供一種獲取二進制協議數據中控制字段劃分點的方法，包括：

設置以比特為單位的不同詞組寬度以及每個所述詞組寬度的詞組內容集合，其中所述待處理幀為所述二進制協議數據，且為同一未知協議類型數據，所述詞組寬度是指連續二進制數據序列的比特位數，所述詞組寬度的取值范圍包含第一閾值和第二閾值在內，且在第一閾值和第二閾值之間的正整數；

利用每個所述詞組寬度對各個所述待處理幀進行遍歷掃描，分別得到比特位數與每個所述詞組寬度的比特位數相同的詞組，并將得到的每個所述詞組寬度的詞組存儲在每個所述詞組寬度下所述詞組內容集合中；

計算每個所述詞組內容集合中每個所述詞組重復出現的頻率；

從每個所述詞組內容集合中選取詞組重復出現頻率大于預設詞頻頻率門限的詞組為關鍵詞組，并將關鍵詞組記錄在字典中，其中所述字典是所述關鍵詞組的集合，在所述字典內的所述關鍵詞組用于解析所述二進制協議數據；

計算每個所述關鍵詞組在所述待處理幀中的起始比特位置的匹配計數值，以及每個所述關鍵詞組在所述待處理幀中的結束比特位置的匹配計數值；

依據所述起始比特位置的匹配計數值和所述結束比特位置的匹配計數值，選取符合劃分條件的匹配計數值對應的比特位置作為字段的可能性劃分點，所述可能性劃分點用于指示從所述可能性劃分點開始解析所述二進制協議數據。

優選地，利用每個所述詞組寬度對各個所述待處理幀進行遍歷掃描，分別得到比特位數與每個所述詞組寬度的比特位數相同的所述詞組，包括：

利用每個所述詞組寬度從各個所述待處理幀的第一位比特位掃描，得到比特位數與每個所述詞組寬度的比特位數相同的詞組；

在得到比特位數與所述詞組寬度的比特位數相同的詞組后，后移一位比特位以所述詞組寬度掃描所述待處理幀直至所述待處理幀剩余的比特位數小于所述詞組寬度的比特位數，以所述詞組寬度每掃描一次得到一個比特位數與所述詞組寬度的比特位數相同的詞組。

優選地，計算每個所述詞組內容集合中每個所述詞組重復出現的頻率，包括：

將以相同詞組寬度掃描不同待處理幀得到的詞組進行對比；

當以相同詞組寬度掃描不同待處理幀得到的詞組內容相同時，對內容相同的詞組的頻率加1。

優選地，計算每個所述關鍵詞組在所述待處理幀中的起始比特位置的匹配計數值，以及每個所述關鍵詞組在所述待處理幀中的結束比特位置的匹配計數值，包括：