|
|
EDA365欢迎您登录!
您需要 登录 才可以下载或查看,没有帐号?注册
x
摘 要:现有基于网络报文流量信息的协议分析方法仅考虑报文载荷中的明文信息,不适用于包含大量密文信息的" b. d5 g2 X& S( J, p" y0 n4 x
安全协议。为充分发掘利用未知规范安全协议的密文数据特征,针对安全协议报文明密文混合、密文位置可变的特. q3 O2 c# M' s. o8 U
点,该文提出一种基于熵估计的安全协议密文域识别方法 CFIA(Ciphertext Field Identification Approach)。在挖. \, U/ q" g" Y5 c6 ^) i/ Z6 [0 O
掘关键词序列的基础上,利用字节样本熵描述网络流中字节的分布特性,并依据密文的随机性特征,基于熵估计预; U4 [4 ~9 L4 f& T3 f( n8 D) o1 Q
定位密文域分布区间,进而查找密文长度域,定位密文域边界,识别密文域。实验结果表明,该方法仅依靠网络数6 ^( E# m/ R1 Q1 U
据流量信息即可有效识别协议密文域,并具有较高的准确率。
: k( O: D& s3 C1 Y8 x' Z/ r4 F关键词:未知安全协议;协议格式;密文域;熵估计
* X0 t& v3 L5 w/ V. {1 引言- h- g' |8 Y- S; r( z
随着密码技术的广泛应用,安全协议被大量应8 b" r' ~8 j- }$ A
用在互联网各种核心、关键应用中,与安全协议相
9 d- Z$ W p x! ^6 B3 f3 C关的各种数据在网络流量中比重日益增加。基于网8 ~/ j! U- n" o# p* P! O0 F5 P% k: t
络报文载荷数据,分析协议用户交互行为信息是安
% N/ y+ E' d; w+ U" o7 n/ d全协议流量分析的关键内容,有助于对各种网络应0 W1 g6 Z8 K, F
用实施监控和管理,有效降低系统面临的安全风险。
$ K, d2 l3 y- W8 Q2 T. K5 {目前存在很多私有协议,协议细节未公开,语法、 F, t6 `* W! { d2 \$ S; q
语义、交互步骤缺少公开的描述文档,无法基于已8 R5 G+ ~/ d7 |! i7 Y) I
有的协议分析工具(例如著名的 Wireshark)进行分7 ^& Q7 [6 e& w9 {! W
析。为此,如何提供一种方法,使其能够有效支持
0 V8 M! H# p+ M6 q未知安全协议格式信息的解析,是进一步提升网络& O6 K$ f# q: X5 ^7 t- H
5 j5 d- V( c: j3 g. h% S1 j5 U& f
2 d1 X1 Q: m, o1 P4 l+ s
6 {; c; s" S" q! S7 B! G
# t% K; ^: M3 v4 A# P* D V附件下载:: ]) [" V. L7 f: O8 W
. [8 `0 E; }8 E% c. X |
|
/1 
发表于 2021-4-9 14:43
收藏
淘帖
支持!
反对!