[發明專利]一種基于主動學習的工控協議逆向分析方法在審
| 申請號: | 202010553659.5 | 申請日: | 2020-06-17 |
| 公開(公告)號: | CN111723181A | 公開(公告)日: | 2020-09-29 |
| 發明(設計)人: | 張曉明;何躍鷹;孫中豪;張嘉瑋;曹可建;王占豐;馬瑋駿;毛傳奇 | 申請(專利權)人: | 國家計算機網絡與信息安全管理中心;南京萊克貝爾信息技術有限公司 |
| 主分類號: | G06F16/33 | 分類號: | G06F16/33;G06N20/00 |
| 代理公司: | 南京業騰知識產權代理事務所(特殊普通合伙) 32321 | 代理人: | 董存壁 |
| 地址: | 100029*** | 國省代碼: | 北京;11 |
| 權利要求書: | 查看更多 | 說明書: | 查看更多 |
| 摘要: | |||
| 搜索關鍵詞: | 一種 基于 主動 學習 協議 逆向 分析 方法 | ||
1.一種基于主動學習的工控協議逆向分析方法,其特征在于,包括如下步驟:
S1、導入:將pcap文件中的報文數據導入,并將報文數據全部加載到報文數據集OriginalSet中;
S2、初步分析:對算法對報文數據集OriginalSet中的報文進行逆向分析,得到初步的工控協議格式和狀態機;
S3、變異:根據初步得到的分析結果,對協議格式中的功能碼字段進行變異,產生新的報文;
S4、匹配:通過交互式主動學習,將響應報文與初步分析結果中的協議格式進行匹配,篩選出與已有協議格式不匹配的報文加入到報文數據集NewSet中;
S5、合并:將主動學習后的報文進行逆向分析,并將分析后的結果與初步分析結果進行合并,得到完整的分析結果。
2.根據權利要求1所述的一種基于主動學習的工控協議逆向分析方法,其特征在于:在步驟S1中,運行環境為Intel-Windows架構的PC機以及運行了工控協議服務器端程序的工控機和格式為pcap類型的樣本數據集,并采用wireshark工具通過抓包的方式獲得。
3.根據權利要求1所述的一種基于主動學習的工控協議逆向分析方法,其特征在于:在步驟S2中,對算法對報文數據集OriginalSet中的報文進行逆向分析,其中,對協議進行逆向分析時采用了Needleman-Wunsch序列比對算法,通過相似度計分以及最優回溯推斷協議的格式和狀態機。
4.根據權利要求1所述的一種基于主動學習的工控協議逆向分析方法,其特征在于:在步驟S4中,利用新的報文與工控機進行交互式主動學習,不斷獲取新的報文,具體步驟包括:
a、將新產生的報文發送給工控機,并接收工控機的響應報文;
b、將響應報文與初步分析結果中的協議格式進行匹配,判斷報文是否與這些協議格式相匹配,若匹配進行步驟d,反之進行步驟c;
c、將工控機的響應報文加入到NewSet集合中;
d、判斷主動學習過程是否結束,若結束完成主動學習,反之返回步驟a。
5.根據權利要求1所述的一種基于主動學習的工控協議逆向分析方法,其特征在于:在步驟S5中,將主動學習后,通過再次采用Needleman-Wunsch序列比對算法對報文數據集NewSet中的報文進行逆向分析,得到新的工控協議格式和狀態機,并將分析后的結果與初步分析結果進行合并。
該專利技術資料僅供研究查看技術是否侵權等信息,商用須獲得專利權人授權。該專利全部權利屬于國家計算機網絡與信息安全管理中心;南京萊克貝爾信息技術有限公司,未經國家計算機網絡與信息安全管理中心;南京萊克貝爾信息技術有限公司許可,擅自商用是侵權行為。如果您想購買此專利、獲得商業授權和技術合作,請聯系【客服】
本文鏈接:http://www.szxzyx.cn/pat/books/202010553659.5/1.html,轉載請聲明來源鉆瓜專利網。
