嵌套的未知網路協定逆向工程

在網際網路和移動網際網路上，新型的和非標準的套用、嵌套在HTTP上的智慧型手機APPs、隧道化的和加密的套用、新型和變種的網路攻擊，變得非常普遍。然而，現有的網路協定分析工具，只能分析已知和標準的協定，不能分析未知的、非標準的、加密的、或者嵌套的協定。這給網路管理和網路安全帶來了極大的困難。本項目將研究各類未知協定的聚類分析方法、逆向工程方法、識別方法，並解決相關的理論、建模和算法問題，實現未知協定的自動分析系統。與現有的未知協定分析方法不同，本項目將用隱半馬爾科夫模型（HSMM）來描述各種未知協定的報文結構和互動過程，研究相應的建模方法和分析算法，並把未知協定的聚類分析、逆向工程等分離的過程統一在同一個框架之下；首次實現對嵌套的未知協定的逆向分析。本項目的研究成果可以用於政府網路、企業網路和運營商網路的流量管理、入侵檢測和安全防禦。

在網際網路和移動網際網路上，新型和非標準套用、嵌套在HTTP上的手機APPs、隧道化和加密的套用、新型和變種網路攻擊，變得非常普遍。然而，現有網路協定分析工具，不能分析未知、非標準、加密、或者嵌套的協定。給網路管理和網路安全帶來了極大困難。本項目研究了各類非加密和加密未知協定的逆向工程方法和識別方法，解決了相關的理論、建模和算法問題，並實現了各項自動分析系統。具體包括以下幾個方面:1. 對（非加密的）文本型和二進制型協定的逆向分析方法。其中包括對未知協定流進行最大似然機率精確聚類的方法、基於HSMM（隱半馬爾可夫模型）對報文進行最大似然機率分段的方法。以此準確獲取協定的報文格式、關鍵字和會話規則。2. 對（非加密的）嵌套協定的層析方法。通過建立二階HMM（隱馬爾可夫模型），實現對基於HTTP的APP嵌套協定的分析。包括其用途和用法、關鍵字語義和協定互動過程等。3. 基於系統指令序列對加密傳輸的協定進行分析的方法。實現對二進制伺服器程式或者客戶端程式的動態跟蹤，以此獲取被加密傳輸的報文欄位信息、報文格式和相關語義。4. 對加密傳輸的APP產生的流所隱含的用戶動作進行識別的方法。通過對每個用戶動作所產生的流進行HSMM建模，為每個用戶動作產生的流建立模板，然後用這些模板對網路中採集的加密流量進行匹配，實現對已知APP的用戶動作的識別。5. 對基於HTTP/2的APP的分析方法。通過對用戶動作所產生的並發流進行HSMM建模，把被HTTP/2加密復用到同一條TCP連線內的多條TCP流所隱含的APP用戶動作識別出來。6. 提出新的人工智慧序列學習算法。用此算法解決在流量分析和協定逆向分析時需要描述隱狀態持續時間非指數分布的問題，以及海量數據帶來的訓練時間和檢測時間過長的問題，提高分析和識別的精度。研究成果可以用於政府網路、企業網路和運營商網路的流量管理、安全防禦和用戶行為分析。