網絡安全協議分析方法研究

李宏 姚君

中國電子科技集團公司第五十四研究所 河北 050081

0 引言

隨著網絡速率增加以及網絡應用的日益復雜多樣，網絡環境下每天都可能有海量數據，如何從這些數據中提取隱藏的重要信息，以便從中發現異常，人們將目光投向數據挖掘技術，通過關聯分析、序列模式分析等算法，發掘數據間潛在的模式，找出某些容易被忽略的信息，以便于理解和觀察的方式返回給用戶作為決策依據。Lee首次將數據挖掘算法應用于異常檢測研究領域；支持向量機是數據挖掘中的一項新技術，借助最優化方法解決機器學習問題的新工具，也被廣泛用于檢測過程中。另一種通過模擬自然進化過程搜索最優解的問題求解方法的遺傳算法，在檢測過程中用于不同目的，使用遺傳算法取得分類規則，而將遺傳算法用于取得合適的分類規則。數據挖掘方式的優點是數據驅動形式，不需要依靠先前觀測的網絡行為模式，并且適于處理大量數據的情況，然而該方法中各種挖掘算法太過分散，針對的數據對象差異較大。

協議自動分析技術的實現可以顯著減少人工分析的工作量，提高對私有協議的分析效率，并使對網絡安全事件的快速自動響應成為可能。在未知協議分析領域，國內外已進行了較為深入的研究。根據分析對象的不同，現有的協議分析技術大致分為兩類：報文序列(network trace)分析和指令執行序列(execution trace)分析。

報文序列分析技術以嗅探得到的網絡數據流 X為分析對象，其可行性在于以下兩點：(1)單個報文樣本的數據流為報文格式的一個實例，同一報文格式對應的多個報文樣本具有相似性；(2)會話是協議實體之間的完整交互過程，協議實體在一次會話中的狀態轉換序列是協議狀態機的一個子集。同一會話內報文的時序關系包含了部分協議狀態轉換的信息。

指令執行序列分析技術是指以數據解析過程中的指令執行序列為分析對象的一類技術，其理論依據在于：(1)協議實體接受報文的過程即報文解析的過程，通過對程序處理域邊界及域的使用方式可以獲得協議格式的表達式和屬性；(2)完整會話的指令序列可劃分為單個報文指令序列的排列，子序列之間的順序關系包含了狀態轉換信息。

雖然未知協議分析技術的可行性已得到充分驗證，但是由于方法本身的局限性和實現的復雜性，分析得到的協議描述與理想流程的目標還有較大的差距。目前對未知網絡協議分析還有以下問題尚待解決：(1)對未知網絡協議語義屬性提取的研究，獲取的協議逆向描述有待進一步完善。(2)現有方案都依賴于樣本集的完備程度，如果對應于某種格式的報文不在樣本集中出現，則無法分析得到該格式的描述。(3)當前方案多數都沒有考慮加密協議的分析，少數指令執行序列方案也僅依據算術指令占全部指令的比重識別解密過程，其準確度無法保證。(4)當前研究僅針對較為理想的單通道雙端協議模型，沒有考慮多通道、多交互方協議等應用場景。

目前關于安全協議分析多從以下幾個方面進行。

1 安全協議形式化分析與信息獲取

下圖描述了安全協議信息獲取及協議數據挖掘的主要步驟及流程。具體分為兩部分：安全協議信息獲取與安全協議數據挖掘，如圖1所示。

圖1 協議形式化建模流程圖

分析安全協議的目標、缺陷及運行環境，采用基于推理、攻擊與證明的結構化方法對協議進行形式化分析，涵蓋安全協議保密性、完整性、可證實性、不可抵賴性等特點進行分析歸納；捕獲數據報文并對報文進行逐層分析，在捕獲和分析過程中將數據分組以以太網數據幀和 IP數據報文混合的形式表示，然后再按照 TCP/IP協議棧分層統計網絡流量的組成，以樹形結構顯示分析的結果；網絡流量獲取方法按照實現機制分為兩類：一類是基于硬件特性的網絡流量捕獲，一類是基于組合機的網絡流量捕獲。將捕獲到的數據分組按照 TCP/IP進行分析，能獲得網絡數據分組的構成情況，尤其是針對IP分片、TCP的連接建立、連接拆除以及TCP有限狀態機的狀態變化十分有效。并且可以基于TCP連接進行分析，通過分析TCP的會話，從整體或更大的粒度了解網絡流量特征及行為特征。并且利用該功能自主構造IP、TCP、ICMP、UDP等數據報文，通過構造特殊的數據分組并控制數據的數量和特征，模擬一些攻擊行為如IP碎片攻擊、ICMP重定向攻擊等，并且可以在已有協議的基礎上實現網絡層、傳輸層新協議的開發和測試。

2 安全協議數據挖掘與網絡安全態勢研究

目前研究集中于分類分析、聚類分析、關聯分析、序列模式分析等數據挖掘方法，通過網絡流量信息進行網絡安全態勢感知，研究基于Apriori的關聯規則挖掘算法、基于矩陣的態勢規則挖掘算法，根據關聯規則對網絡安全態勢進行劃分并進行安全預警，為網絡安全攻擊與防范奠定基礎，通過可視化界面，在多業務、多流量環境下基于協議分析、信息獲取、數據挖掘等多種方法，為管理人員提供良好的可視化平臺，實現網絡安全態勢感知及級別劃分，完成網絡節點信息、網管信息、鏈路信息等網絡信息實時監控工具，完成對網絡安全狀態、節點安全狀態、鏈路安全狀態實時更新與監控。基于Apriori的關聯規則挖掘算法安全態勢感知模型如圖2所示。

圖2 數據挖掘算法安全態勢感知模型

(1) 序列符號化：采用時間序列分段方法形成便于數據挖掘工具處理的符號序列。

(2) 數據挖掘：使用經典的Apriori算法，可以得到滿足最小支持度和最小置信情況下的關聯規則。

(3) 對規則聚類：根據已知網絡攻擊對熵值序列的影響，把關聯規則分為正常空間和異常空間，根據這些關聯規則把網絡態勢分成安全的，中等的，風險等級。

3 未知安全協議分析方法研究

研究未知安全協議分析方法，首先要從現有未知安全協議分析方法入手，熟悉未知安全協議分析方法。總結未知安全協議分析一般方法，建立未知安全協議分析一般模型，為未知安全協議分析工具提供理論支持。

由于直觀實用，大多數安全協議都基于有限狀態機模型設計和實現，例如著名的TCP協議、RSVP協議等等。有限狀態機(今后簡稱狀態機)有很多形式模型，不同的模型適合于不同的應用。狀態機模型的本質在于反映出當程序在特定狀態上接收到消息(事件)時，如何轉移到另一個特定的狀態。未知安全協議分析就是從截獲的網絡數據流分析找出協議的有限狀態機的過程。目前的未知安全協議分析有一個較為固定的流程，圖3描述了未知協議分析主要流程。

圖3 未知協議分析一般流程圖

未知網絡協議一般會封裝在一些已知的網絡層或傳輸層數據報里，可以通過獲得已知協議報文的數據字段獲得未知網絡協議的會話字節流。這些字節流通常根據時間序列來判斷其交互關系，并分別進行分析。同一報文的不同字段之間通常會在多次取樣中有不同的行為表現，可以通過大量樣本的序列比對來對報文中各字段進行分割。目前，對于字段的結構識別多采用經驗上的做法，獲得協議字段的語法信息，再結合協議應用場景人工推斷協議的語義信息。在獲得多個報文的語義信息后，可根據報文的先后順序得到未知協議中的狀態轉移信息，并可形成狀態前綴樹(狀態機的一部分)。之后，可以通過自動的方法將狀態轉移樹合并，獲得協議的最小確定狀態機，即通過目前的報文所分析出的協議的狀態機的一部分。

在以上流程為針對一般未知協議分析的通用流程，其研究背景也局限于較為理想的單通道雙端非加密協議，且其中很多階段的研究并不成熟。為了使未知協議的分析方法可以應用于未知安全協議分析，下面兩個問題將是未來研究的重點：安全協議語義屬性提取方法，安全協議加密字段分析方法。

未知安全協議根據其應用的場景和目的，其內部包含的語義屬性也會有所區別。可以利用未知安全協議的應用場景對其內部字段的語義屬性推斷提供新的依據，提高語義推斷的速度和質量。根據項目背景需求選擇兩種以上場景的三到五種已知私有安全協議，分析其字段的語義信息，總結在這些場景下協議常見語義內容。利用之前人工分析的結論，編寫針對特定語義內容的協議分析引擎，針對這幾種場景下未知的私有安全協議進行協議分析，比較其自動化程度與分析準確度。

在協議格式提取階段多采用同一報文格式的多個報文之間進行比對，獲得報文的特征并由此識別報文字段。在加密協議中，經過加密的報文特征經過處理很難通過直接比對獲得，需要采用新的方法進行協議格式提取。即使在加密協議中，也會存在非加密字段，通過對非加密字段的解析有助于推斷加密字段的語義信息。同時，不同的加密方法會在數據流中留下相應特征，通過對這些特征的解析可以推斷加密協議所可能采用的加密方法。

以上兩個問題是制約目前未知安全協議分析依賴人工，自動化程度不高和適用范圍窄的關鍵問題。通過對這幾個問題的解決有助于安全協議分析工具對未知安全協議分析部分的實現，可以提高未知安全協議分析的自動化和精細化程度。

4 結論

本文通過對安全協議分析各個方向研究現狀的闡述和分析，為安全協議分析領域相關研究提供參考和借鑒。

[1]W.Lee,S.J.Stolfo and K.Mok.A Data Mining Framework for Building Intrusion Detection Models.In Proceedings of IEEE Symposium on Security and Privacy.Oakland.1999.

[2]凌軍,曹陽,尹建華.基于時態知識模型的網絡入侵檢測方法研究.計算機學報.2003.

[3]饒鮮,董春曦,楊紹全.基于支持向量機的入侵檢測系統.軟件學報.2003.

[4]W.Li.Using Genetic Algorithm for Network Intrusion Detection.C.S.G.Department of Energy.2004.

[5]J.Gomez and D.Dasgupta.Evolving fuzzy classifiers for intrusion detection.In IEEE Workshop on Information Assurance,United States Military Academy.2001.

[6]COMPARETTI P M,WONDRACEK G,KRUEGEL C,et al.Prospex:protocol specification extraction[C]//Proc of the 30th IEEE Symposium on Security and Privacy.2009.

[7]BEDDOE M. Protocol information project[EB /OL].( 2004-10-05)http://www.4tphi.net/awalters /PI /PI. Html.

[8]NEWSOME J,SONG D.Dynamic taint analysis for automatic detection,analysis,and signature generation of exploits on commodity software［C］//Proc of Network and Distributed System Security Symposium.2005.

[9]SHEVERTALOV M,MANCORIDIS S.A reverse engineering tool for extracting protocols of networked ap plications[C]//Proc of the 14thWorking Conference on Reverse Engineering.2007.