【科普】協(xié)議逆向分析技術(shù)
時間:2019-07-11
協(xié)議是為數(shù)據(jù)交換而建立的一系列規(guī)則�、標(biāo)準(zhǔn)和約定,在網(wǎng)絡(luò)通信中扮演著重要的角色。協(xié)議規(guī)范是對網(wǎng)絡(luò)協(xié)議語法�、語義以及同步等信息的具體描述���,是網(wǎng)絡(luò)安全相關(guān)研究工作的重要基礎(chǔ)�����,例如模糊測試?yán)脜f(xié)議規(guī)范指導(dǎo)測試用例的生成以提高有效性��,入侵檢測系統(tǒng)利用協(xié)議規(guī)范進(jìn)行深度數(shù)據(jù)包檢測以發(fā)現(xiàn)惡意流量等��。對于標(biāo)準(zhǔn)協(xié)議而言��,可以通過公開文檔獲取其協(xié)議描述��。然而在實(shí)際環(huán)境中�����,大部分軟件廠商和個人采用了私有協(xié)議來進(jìn)行通信�,且都不愿意公開協(xié)議細(xì)節(jié)����,而大量惡意軟件都采用自定義的私有協(xié)議實(shí)現(xiàn)網(wǎng)絡(luò)通信。各類私有協(xié)議在網(wǎng)絡(luò)中的廣泛使用,給網(wǎng)絡(luò)安全防護(hù)帶來了極大的阻礙�,于是以這些未知協(xié)議為主要分析對象的協(xié)議逆向分析技術(shù)便應(yīng)運(yùn)而生。
協(xié)議逆向分析技術(shù)是指在不依賴協(xié)議規(guī)范的情況下�,通過對協(xié)議實(shí)體的網(wǎng)絡(luò)輸入輸出、系統(tǒng)行為和指令執(zhí)行流程進(jìn)行監(jiān)控和分析���,提取協(xié)議格式以及狀態(tài)機(jī)的過程��。早期的協(xié)議逆向工作主要依賴人工分析��,其效率和準(zhǔn)確性取決于操作人員的專業(yè)知識水平�����,且周期較長�����。隨著網(wǎng)絡(luò)規(guī)模不斷擴(kuò)大�����,網(wǎng)絡(luò)環(huán)境日益復(fù)雜����,人工分析已不能滿足實(shí)際需求,兼具效率與準(zhǔn)確性的自動化協(xié)議逆向分析技術(shù)逐漸進(jìn)入視線����,并得到較廣泛的應(yīng)用�����。
協(xié)議逆向分析技術(shù)的主要目標(biāo)是獲取未知協(xié)議的協(xié)議規(guī)范���,包括協(xié)議語法�、語義以及同步信息��。網(wǎng)絡(luò)協(xié)議語法體現(xiàn)為數(shù)據(jù)報文中的控制信息和控制報文的結(jié)構(gòu)�、格式,協(xié)議語法定義了協(xié)議中每一個字段的關(guān)鍵詞����、數(shù)據(jù)類型、長度等��,而各個字段的類型�����、長度和相互間的位置、順序關(guān)系則構(gòu)成了詞法��。網(wǎng)絡(luò)協(xié)議語義定義了這些字段在協(xié)議解析過程中所表示的實(shí)際意義�����,如HTTP請求報文中的“Request-URI”字段標(biāo)識了所請求的內(nèi)容����。對于協(xié)議語法、語義信息的推斷包含于協(xié)議逆向分析的格式提取之中�����。協(xié)議同步描述了協(xié)議實(shí)體間的交互邏輯����,指定了合法報文的傳送順序,通過特定的報文發(fā)送序列構(gòu)成特定會話以實(shí)現(xiàn)所需的功能�����。
依據(jù)分析對象的不同����,目前的協(xié)議逆向分析方法主要分為兩類:基于網(wǎng)絡(luò)流量的分析方法和基于指令執(zhí)行軌跡的分析方法����。
(1)基于網(wǎng)絡(luò)流量的分析方法對截獲的網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行分析���,通過生物信息學(xué)�、統(tǒng)計分析和數(shù)據(jù)挖掘等方法���,對報文樣本進(jìn)行聚類分析,依據(jù)相同格式報文在取值上的相似性�����,分析獲取協(xié)議語法����、語義信息,并利用報文間的時序關(guān)系推斷協(xié)議狀態(tài)機(jī)���。典型的基于網(wǎng)絡(luò)流量的協(xié)議逆向分析方法有序列比對����、n-gram語言模型和隱馬爾科夫模型等方法���,這種分析技術(shù)不依賴于特定平臺�,過程簡單易于實(shí)現(xiàn),但存在如下固有的局限性:第一���,在僅提供正例的情況下����,正則語言不可能通過學(xué)習(xí)得到�����。而報文樣本集中都是協(xié)議格式的正例����,因此通過網(wǎng)絡(luò)流量分析無法得到絕對準(zhǔn)確的協(xié)議格式;第二��,對于采用加密和壓縮機(jī)制的協(xié)議����,報文字節(jié)的取值特征已被破壞,因而通過網(wǎng)絡(luò)流量分析無法進(jìn)行逆向�����;第三,網(wǎng)絡(luò)流量分析的效果依賴于樣本集的覆蓋率�����,如果協(xié)議的狀態(tài)在樣本集中不存在則無法識別���。
(2)基于指令執(zhí)行軌跡的分析方法以協(xié)議解析過程中的指令執(zhí)行軌跡為分析對象��,將協(xié)議輸入數(shù)據(jù)作為污點(diǎn)數(shù)據(jù)源�����,利用動態(tài)污點(diǎn)分析方法跟蹤數(shù)據(jù)解析過程,依據(jù)協(xié)議解析程序如何使用污點(diǎn)數(shù)據(jù)以及相應(yīng)的上下文信息獲取協(xié)議規(guī)范����。由于不受樣本集完備性的限制,基于執(zhí)行軌跡的分析技術(shù)其準(zhǔn)確度要明顯高于基于網(wǎng)絡(luò)流量的分析技術(shù)��,并且可以實(shí)現(xiàn)對加密協(xié)議的逆向��。但該類技術(shù)依賴于對具體平臺二進(jìn)制指令的分析�����,實(shí)現(xiàn)過于復(fù)雜且難以移植,同時需要擁有協(xié)議終端的可執(zhí)行程序����,并要求依據(jù)協(xié)議解析環(huán)境進(jìn)行分析,依賴于底層平臺��,無法移植�����,通用性不強(qiáng)����,還需操作人員具備較高的專業(yè)水平。此外���,作為基于執(zhí)行軌跡的分析技術(shù)的前提條件���,協(xié)議解析程序在很多環(huán)境下是無法獲取的。
總而言之���,基于網(wǎng)絡(luò)流量的分析技術(shù)和基于執(zhí)行軌跡的分析技術(shù)二者無法相互替代����,各自具有優(yōu)勢。在應(yīng)用時�,需要根據(jù)特定需求和環(huán)境來選擇何種技術(shù)路線。
來源: ICSCERT
在線咨詢
在線咨詢
0371-63319761