1、精選優質文檔-傾情為你奉上云環境下逆向數據分析的意義及國內外研究現狀1. 逆向工程逆向工程（又稱逆向技術），是一種產品設計技術再現過程，即對一項目標產品進行逆向分析及研究，從而演繹并得出該產品的處理流程、組織結構、功能特性及技術規格等設計要素，以制作出功能相近，但又不完全一樣的產品。逆向工程源于商業及軍事領域中的硬件分析。其主要目的是在不能輕易獲得必要的生產信息的情況下，直接從成品分析，推導出產品的設計原理。產生動機1. 接口設計。由于互操作性，逆向工程被用來找出系統之間的協作協議。2. 軍事或商業機密。竊取敵人或競爭對手的最新研究或產品原型。3. 改善文檔。當原有的文檔有不充分處，又當系統被

2、更新而原設計人員不在時，逆向工程被用來獲取所需數據，以補充說明或了解系統的最新狀態。4. 軟件升級或更新。出于功能、合規、安全等需求更改，逆向工程被用來了解現有或遺留軟件系統，以評估更新或移植系統所需的工作。5. 制造沒有許可/未授權的副本。6. 學術/學習目的。7. 去除復制保護和偽裝的登錄權限。8. 文件丟失：采取逆向工程的情況往往是在某一個特殊設備的文件已經丟失了（或者根本就沒有），同時又找不到工程的負責人。完整的系統時常需要基于陳舊的系統上進行再設計，這就意味著想要集成原有的功能進行項目的唯一方法，便是采用逆向工程的方法，分析已有的碎片進行再設計。9. 產品分析：用于調查產品的運作方式

3、，部件構成，估計預算，識別潛在的侵權行為。方法實現1. 分析通過信息交換所得的觀察。最常用于協議逆向工程，涉及使用總線分析器和數據包嗅探器。在接入計算機總線或網絡的連接，并成功截取通信數據后，可以對總線或網絡行為進行分析，以制造出擁有相同行為的通信實現。此法特別適用于設備驅動程序的逆向工程。有時，由硬件制造商特意所做的工具，如端口或各種調試工具，也有助于的逆向工程。對于微軟的Windows系統，受歡迎的底層調試器有。2. 反匯編，即使用反匯編器，把程序的原始機器碼，翻譯成較便于閱讀理解的匯編代碼。這適用于任何的計算機程序，對不熟悉機器碼的人特別有用。3.反編譯，即使用反編譯器，嘗試從程序的機器

4、碼或字節碼，重現高級語言形式的源代碼。2. 未知協議逆向分析的研究意義未知協議逆向分析是在不清楚目標協議的規范的前提下，逋過逆向工程跟蹤解析協議通信過程的指令級和函數級操作來重構協議的規范,從而解析出未知協議的語法結構和行為語義，是當前網絡安全研宄的一個熱點和重點。(1)未知協議逆向分析成為網絡信息安全研究和防御的重要手段在日常生活和工作中,網絡通信協議在計算機網絡和分布式系統的應用是不可替代的，比如在電子商務領域、通信領域、交通領域、金融領域、應急服務領域、電力調度領域等。在這過程中,未知協議不斷的出現和衍生,伴隨而來的是大量的網絡安全問題的出現。比如，某知名網站客戶個人信息泄露、某產品系統

5、被非法入侵、某網站被黑客攻擊等。未知協議逆向分析對入侵檢測、漏洞挖掘、網絡流量分析、網絡安全策略的制定等起著至關重要的作用。(2)未知協議逆向分析為其他安全檢測產品提供了基礎a)入侵檢測系統(IDS)是逋過某種設備監聽網絡上傳輸的原始流量，對捕獲的網絡數據包進行分析處理,再從分析的結果中提取有用的信息，最后，為了達到識別攻擊事件的目的，需要通過比較已知攻擊特征和正常網絡行為特征來識別。b)入侵防御系統(IPS)同樣也是通過監視網絡設備的傳輸情況，對網絡行為判斷是否為攻擊行為，是否會對網絡、數據造成危害的惡意行為，從而到達對網絡行為進行檢測和防御的目的,使用者能及時應對網絡異常狀況，并以最大限度

6、的降低網絡處理資源的開銷,是一種側重于風險控制的安全產品。C)防火墻是由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成的在內網與外網之間、專用網與公共網之間根據特定的訪問規則建立起的一種過濾防護技術，存在軟件防火墻和硬件防火墻兩種形式。以上幾個安全產品都涉及到網絡數據包行為分析,對未知網絡協議數據的分析是不可避免的，未知網絡協議逆向分析技術為IDS， IPS， Firewall等安全產品分析網絡數據提供了技術支持，也是對網絡流量險情檢測能力的一種補強。3.未知協議逆向分析的國內外研究現狀近年來，國內外網絡安全工作者、研究機構在未知協議逆向分析領域開展了大量的研究工作，并取得了豐碩的成果。

7、當前協議逆向分析的方法主要有兩種:基于網絡報文序列采樣匹配的靜態分析方法和基于協議數據在應用程序執行時監控其指令序列軌跡的動態分析方法。其中，靜態分析方法是以未知協議的網絡報文序列為分析對象，釆樣其網絡數據為樣本，通過概率匹配算法統計其流量出現的頻率和特征來識別未知協議的格式，特點簡單、易實現、不需要協議解析終端,因此通用性更強,但缺點是采樣量的大小是制約協議識別準確率高低的重要因素，同時不同的協議因為實現標準的差異,有些甚至是非標準的、混滑加密的私有通信協議，單純的利用概率匹配網絡協議流量很難達到識別未知協議的語法格式和字段語義的目的，已有的研宄成果具有代表性的有PI， Discovere產

8、等，采用的方法包括：通過統計網絡數據流中不同協議字段的出現頻率，利用某種推演算法識別協議字段結構的方法;通過對網絡流量的內容統計分析后進行建模,最后針對不同網絡流量對應的協議類型進行識別和區分的方法還有通過處理自然語言和字符串對齊算法對網絡數據流進行主動學習，并能對接收到的網絡請求進行自動地應答，最后達到識別未知協議的目的動態分析方法是在目標協議數據在應用程序被處理過程中動態跟蹤其指令流的軌跡來解析協議的格式,與靜態分析方法相比，該方法能獲得污點源被應用程序處理過程中的指令級污點擴散軌跡和函數級語義信息，對解析協議語法格式更加準確、識別協議字段語義具有明顯的優勢，主要研宄成果有:Polyglo

9、t, AutoFonnat等。3.1基于網絡報文序列采樣匹配的方法國外提出對未知協議逆向分析釆用網絡報文序列釆樣匹配分析的方法較早，最為典型的是Beddoe于2004年啟動的PI項目(protocol in-formation project)。PI項目的核心方法是把生物信息學的序列比對算法應用到對網絡報文序列集進行比對分析,其具體分析流程如圖1-1所示:圖1-1 PI的分析流程圖3.2基于協議數據在應用程序執行時監控其指令序列軌跡的方法Lin等人提出了基于污點數據分析的協議字段間結構識別方案AutoFormat，該方案的特點是結合了污點數據解析的上下文環境,在污點跟蹤過程中,記錄所有與污點源

10、擴散相關的操作指令和對應的函數調用的地址。協議字段間存在不同的約束關系,AutoFormat分別通過判斷字段間的偏移地址范圍是否有重疊推斷字段間的包含關系,通過兩個字段間的上下文環境是否相同推斷字段間的并列關系以及通過判斷指令子序列的調用順序來識別字段間的順序關系。AutoFormat對簡單的報文協議是可行的,但是針對具有復雜結構的網絡協議就無法有效的識別。因此，Tupni基于Polyglot與AutoFormat設計理念的基礎上,通過重點監控復雜結構污點源的控制流指令特征和與平臺相關的API調用情況，來獲得未知語義類型的符號謂詞約束，最后以BNF的形式輸出協議逆向的結果。J Caballer

11、o等人于2007年提出動態監控污來逆向分析的思想，并設計出了原型系統Polyglot。Wondracek等人在Polyglot的基礎上提出了另外一種新的方案，即綜合多次逆向解析結果的基礎上,將格式相同的報文進行信息融合,進而達到提取更準確的協議報文結構。出于網絡傳輸隱蔽性的考慮,越來越多的未知協議采用了加密技術對報文進行了加密保護，面對這種情況,Wang等人提出了基于緩存區數據生命周期分析的解密報文識別方案FeFormat,該方案可行性依據是:一般情況報文解密過程通常獨立于執行過程,并且在解密過程中算術指令與比特位操作指令的數量要明顯多于執行過程中的，通過監控和捕獲解密報文緩沖區數據以后,就把密文解析轉化為明文解析了。但是，也存在對報文解密和執行交替進行的情況，Dispatcher沿用了 ReFormat中判斷報文解密特征的思想，同時針對編碼函數級指令做到全路徑監控(包括加/解密函數、混淆函數、解壓縮函數以及hash函數等)，這樣即使有多個加密過程與解析過程交替，協議分析識別率也會很高，此外，Dispatcher提出了對輸入和輸出兩個方向的報文進行識別的思想，實現了對協議正反兩個方向的報文逆向分析，對提高報文識別率有很大的幫助。綜述：未知協議逆向分析是本課題的主要研究內容和研究