本發明公開了一種基于主動學習的工控協議逆向分析方法，包括導入、初步分析、變異、匹配、合并，通過對工控協議pcap報文樣本進行初步分析，掌握工控協議的部分報文格式和狀態機，然后再利用該結果與工控機進行交互式主動學習，不斷獲取新的報文，從而更為準確和完整地推斷出協議個詞法和語法，且在對協議進行逆向分析時采用了Needleman?Wunsch序列比對算法，該算法通過相似度計分、最優回溯步驟推斷協議的格式和狀態機，有效保證了分析結果的準確性，同時結合主動學習過程，將響應報文與初步分析結果中的協議格式進行匹配，判斷報文是否與這些協議格式相匹配，并根據需求進行反復的匹配，顯著提高工控協議逆向的準確性和覆蓋度。

技術領域

本發明涉及協議格式分析技術領域，具體為一種基于主動學習的工控協議逆向分析方法置。

背景技術

工業控制系統，簡稱工控系統，是由計算機設備與工業過程控制部件組成的自動控制系統，廣泛應用于電力、水處理、石油與天然氣、化工、交通運輸、制造業等行業，隨著工控系統的網絡化和信息化，越來越多的工控設備連接到網絡中，在方便使用的同時，也帶來了非常大的安全風險，為了杜絕這些安全風險，需要采用協議逆向分析方法，結合模糊測試等技術對工控協議進行檢測，從而挖掘出工控協議是否存在安全漏洞。

對未知工控協議的逆向分析主要采用基于網絡流量的分析方法，這種方法較為通用，只需要將工控協議的通信樣本以pcap的形式導入到分析系統中，然后就可逆向分析得到工控協議的格式和狀態機，然而這種傳統的處理方法存在著一種較大的問題是工控協議的樣本很多時候無法覆蓋協議的全部報文格式和狀態機，會導致分析結果的不準確和不完整，因此，急需一種基于主動學習的工控協議逆向分析方法解決現有技術存在的問題。

發明內容

本發明提供一種基于主動學習的工控協議逆向分析方法，可以有效解決上述背景技術中提出的傳統的處理方法工控協議的樣本很多時候無法覆蓋協議的全部報文格式和狀態機，導致分析結果的不準確和不完整的問題。

為實現上述目的，本發明提供如下技術方案：一種基于主動學習的工控協議逆向分析方法，包括如下步驟：

S1、導入：將pcap文件中的報文數據導入，并將報文數據全部加載到報文數據集OriginalSet中；

S2、初步分析：對算法對報文數據集OriginalSet中的報文進行逆向分析，得到初步的工控協議格式和狀態機；

S3、變異：根據初步得到的分析結果，對協議格式中的功能碼字段進行變異，產生新的報文；

S4、匹配：通過交互式主動學習，將響應報文與初步分析結果中的協議格式進行匹配，篩選出與已有協議格式不匹配的報文加入到報文數據集NewSet中；

S5、合并：將主動學習后的報文進行逆向分析，并將分析后的結果與初步分析結果進行合并，得到完整的分析結果。

優選的，在步驟S1中，運行環境為Intel-Windows架構的PC機以及運行了工控協議服務器端程序的工控機和格式為pcap類型的樣本數據集，并采用wireshark工具通過抓包的方式獲得。

優選的，在步驟S2中，對算法對報文數據集OriginalSet中的報文進行逆向分析，其中，對協議進行逆向分析時采用了Needleman-Wunsch序列比對算法，通過相似度計分以及最優回溯推斷協議的格式和狀態機。

優選的，在步驟S4中，利用新的報文與工控機進行交互式主動學習，不斷獲取新的報文，具體步驟包括：

a、將新產生的報文發送給工控機，并接收工控機的響應報文；

b、將響應報文與初步分析結果中的協議格式進行匹配，判斷報文是否與這些協議格式相匹配，若匹配進行步驟d，反之進行步驟c；

c、將工控機的響應報文加入到NewSet集合中；