基于網絡報文流量的協議密文分析方法

◆張玉濤 朱玉娜

加解密技術

基于網絡報文流量的協議密文分析方法

◆張玉濤1朱玉娜2

（1.解放軍91286部隊 山東 266003；2.解放軍91033部隊 山東 266035）

應用層各種載荷特征對密碼協議安全性進行分析至關重要。現有方法僅考慮報文載荷中的明文信息，無法有效利用密文數據信息特征。本文基于密文長度特征和報文載荷內容相關特征對協議密文所使用的加密體制進行分析識別，為密文數據信息的有效利用提供了新的解決思路。

密碼協議；網絡報文流量；協議分析；密文分析

1 引言

隨著密碼技術的廣泛應用，密碼協議被大量應用在互聯網各種核心、關鍵應用中，與密碼協議相關的各種數據在網絡流量中比重日益增加，對密碼協議的流量分析已成為當前網絡安全技術中的研究關鍵技術之一。密碼協議運行過程中，頻繁使用數據加密、數字簽名、公鑰證書、校驗和驗證等各種密碼技術對關鍵信息進行加密和保護，可用明文信息較少，僅依靠有限的明文信息難以滿足安全應用的需求，因此必須充分發掘和利用協議報文中包含的密文數據特征。

目前，網絡協議分析技術主要包括兩種思路：基于網絡報文流量信息的分析方法和基于目標主機程序執行軌跡的分析方法。基于網絡報文流量信息的分析方法主要通過捕獲網絡通信流量數據，基于流量端口、載荷中的明文數據、數據包的統計特征等實施分析。如圖1所示，基于著名的網絡協議分析工具Wireshark對SSL協議encrypted handshake message消息進行解析，Wireshark僅能夠識別出該消息內容為密文，但對加密消息任何其余特征無法進行進一步分析和利用。借助特定二進制分析平臺，基于目標主機上協議相關的應用程序運行狀態特征是網絡協議分析的另一種思路。該類方法[1-2]雖然可以處理加密報文，但是需要在目標主機上獲取執行協議的應用程序信息，并部署特定監測工具，進而才能實現對特定程序運行過程信息的獲取。因此，該類方法技術實現復雜，應用局限性較大，無法真正滿足網絡環境中對數據報文監測需求。

圖1（a）wireshark采集SSL協議encrypted handshake message報文

圖1（b） wireshark解析的協議格式

針對上述問題，基于前期對協議密文域識別的研究[3-4]，本文對采用不同加密體制加密的密文進行分析，依靠網絡數據流量信息進一步識別協議密文特征。

2 定義及相關說明

為了敘述方便，本部分對文中涉及的相關概念進行定義并說明。

（1）密碼協議協商階段與傳輸階段

密碼協議主要目標為實現通信主體的身份認證、為后續的通信過程分配保密的會話密鑰本文將協議實現身份認證、密鑰分配的過程稱為協議協商階段，后續通信過程稱為協議協商階段。本文主要關注密碼協議協商階段。

從表2內風路溫差異常情況來看，電機內風路的熱量沒有通過冷卻器帶走。分析存在有兩種可能：一是翅片表面油污等垃圾集結嚴重，影響熱交換；二是換熱面積不夠，造成熱量帶不出，僅帶出5 K左右的熱量。

（2）本協議與二進制協議

協議根據其數據的傳輸形式可分為文本協議和二進制協議。文本協議傳輸的數據通常是可以打印的ASCⅡ字符；二進制協議傳輸的數據是原始的字節流，而不是可讀文本。

（3）已知規范協議與未知規范協議

本文將語法、語義、交互步驟已知的協議稱為已知規范協議。目前網絡中存在很多私有協議，協議細節未公開，語法、語義、交互步驟缺少公開的描述文檔，本文將這類協議稱為未知規范協議。

（4）加密體制分類

按照加密密鑰和解密密鑰的相關性特點，加密體制通常可分為對稱加密體制和非對稱加密體制。按照加密后的信息能否被還原，加密體制可分為可逆加密體制和不可逆加密體制。

為便于描述，本文將哈希也作為一類加密體制，哈希函數得到的散列值也稱為密文，將加密體制分為對稱加密體制、非對稱加密體制、哈希體制三類，其中對稱加密體制又分為序列密碼加密體制和分組密碼加密體制。這三類體制都可以應用于數據加密、身份認證和數據安全傳輸。

3 協議密文特征分析

對大量不同類型密碼算法加密的密文進行統計分析，結果表明密文長度特征和報文載荷內容相關特征是區分不同加密體制的重要要素。

3.1 密文長度特征

（1）由于經哈希函數處理后的密文散列值長度為確定固定值，基于該特征可以判定密文是否為哈希值，具體存在兩種情況：

①實現協議的網絡應用軟件大部分都明確指定協議所采用的密碼算法，在該種情況下，協議中通過哈希得到的密文報文長度應當始終為固定值。例如，MD5為128bit，SHA為160bit，SHA2/SHA256為256bit。在捕獲到某協議大量同一位置消息的密文報文后，由于協議交互規范是確定的，因此同一協議相同位置消息密文始終遵循協議規范并采用同一類型加密體制。因此，如果密文長度始終為確定值（例如，始終為128bit），則該加密體制類型可判定為哈希體制。

②很多典型密碼協議在執行過程中需協商所使用的密碼算法，例如SSL協議、SSH協議，該種情況下，由于協議規范是確定的，因此協議消息密文采用何種加密體制加密是確定的。同一協議相同位置消息密文一定采用同一類型加密體制。具體的一次協議會話則通過協商確定采用的具體密碼算法類型（例如MD5、SHA）。目前常用的哈希函數對應的散列值長度取值集合為{128bit、160bit、256bit}。如果協議中采用某一類加密體制加密后密文長度取值始終屬于{128bit、160bit、256bit}集合，則該密文采用的加密體制在很大概率上可判定為哈希體制。

（2）對稱加密體制包含分組密碼和序列密碼兩種方式。協議分組密碼通常采用CBC加密模式，該加密模式不容易主動攻擊，安全性好，適合傳輸長度長的報文，是SSL、IPSEC等重要協議的標準模式。在CBC加密模式下，密文長度一定是塊（block）大小的倍數。當前，分組密碼塊大小大都為64bit（AES例外，為128bit），因此分組密碼密文長度應當為64bit的倍數。分組密碼ECB模式同樣為64bit的倍數，CFB模式和OFB模式下分組密碼密文則為8bit的倍數，可能不為64bit整除。而序列密碼則是以一個元素（一個字節或一個比特）作為基本的處理單元，以字節為處理單元的序列密碼密文長度（如RC4）為8bit的倍數，以比特為處理單元的序列密碼密文則可能不為8bit整除。非對稱加密密文和Hash密文也為8bit的倍數。因此如果密文不為8bit的倍數，則可認定為序列密碼方式，密文為對稱加密體制類型密文。

（3）在協議協商階段，由于協議具有特定的規范，協議相同位置消息報文長度分布在一定取值范圍內。對稱加密密文長度和明文相關，受協議規范限制密文長度不可能太長。而對公鑰加密而言，即使對較短數據進行加密，得到的密文長度相對較長。如常用的RSA公鑰加密和RSA數字簽名機制，為保證信息傳輸的安全性，密鑰長度一般不小于1024bit。SET協議中要求CA采用2048bit長的RSA密鑰，其他實體采用1024bit長的密鑰。google于2013年8月1日起開始采用2048bitRSA密鑰加密和驗證服務。而RSA密文長度與密鑰長度相同，因此即使對短數據進行加密，密文長度也較長。在協議數據傳輸階段，當傳輸數據小于等于最大傳輸單元MTU時，數據報文長度為傳輸數據長度，長度變化較大；當傳輸數據大于MTU時，在IP層根據MTU對數據進行分片，經統計，協議傳輸階段報文大部分為固定值，小部分長度變化較大。由此依據長度變化范圍可以判斷該數據報文是處于協議協商階段或傳輸階段，隨后，在對協議協商階段密文進行分析時，如果密文長度較長（大于等于1024bit），則密文很大概率上采用了非對稱加密體制；而在密文長度不長時，則無法僅依靠長度特征區分對稱加密體制和非對稱加密體制。

3.2 報文有效載荷相關特征

協議在協商自己所采用的密碼套件時，一般采用明文形式，如SSL協議、SSH協議等。因此，可以通過檢測報文內容確定密文所采用的加密體制類型。

（1）對已知規范協議而言，通過協議規范及報文中的密碼套件信息可以確定密文所使用的加密體制。例如，

其中“00 05”為SSL協議Server Hello報文的密碼套件信息，由SSL規范可知協議采用的密碼套件信息為TLS_RSA_WITH_RC4_128_SHA（0x0005），即協議采用的密碼算法為RSA密碼算法、RC4密碼算法、SHA算法。由上分析可知，RSA密文長度通常為1024bit或者2048bit；RC4密文屬于序列密碼密文，密文長度為8bit的倍數，不一定為64bit倍數；SHA散列值長度為160bit。對密文進行解析時，結合密文長度即可確定密文采用的加密體制類型。例如，對圖1的密文消息而言，密文長度為36byte=288bit，不是RSA密文和SHA散列值，因此可判定為對稱加密密文。更進一步，SSL要求使用分組密碼加密時采用CBC模式，CBC模式下密文為64bit的倍數，而288bit不為64bit整除，因此該密文可進一步識別為序列密碼算法——RC4對稱加密算法，為對稱加密體制密文。

（2）對未知規范協議而言，文本協議為可打印字符，可以得到協議所采用的密碼算法，例如：假定SSH規范未知，由于SSH屬于文本協議，從SSH的Client：key exchange init消息中（如圖2所示）可以看出，客戶端采用了DH算法、對稱加密算法（AES/3DES）、哈希算法（MD5/SHA1）。結合密文長度特征可進一步確定密文采用的加密體制類型。當未知規范協議為二進制協議時，則無法挖掘其中的密碼套件信息。

圖2 wireshark采集的SSH協議：Client：key exchange init報文

由上可知，對采集的同一協議大量報文中的密文長度進行分析，可以識別哈希和部分密文的加密體制類型。當報文載荷包含密碼套件信息時，也可以進一步確定密文采用的加密體制。但是如果從協議報文載荷無法檢測任何密碼算法相關信息，對單個密文則無法識別加密體制類型。

4 協議密文識別

該方法流程如圖3所示，描述如下。

圖3 協議密文識別

Step 1：如果協議報文的明文載荷提供了密碼算法信息，則結合該算法密文長度進一步確定該密文對應的加密體制類型。否則，結合密文長度信息進一步進行判定。

Step 2：如果密文長度屬于{128bit、160bit、256bit}，確定是否為哈希函數。由于大部分協議的實現程序已經明確協議所使用的密碼算法，因此哈希值長度確定。如果密文始終為128bit（或者始終為160bit、始終為256bit），則密文很大概率上采用了哈希體制；如果協議在協商過程中確定密碼算法，同樣根據一段時間內協議報文長度確定哈希體制，如果報文長度始終屬于{128bit、160bit、256bit}，則報文在很大概率上采用了哈希體制。

Step 3：如果密文長度不屬于{128bit、160bit、256bit}，進一步進行判定。本文主要關注協議協商階段，根據數據包長度變化可以確定協議協商階段和傳輸階段。如果該協議密文載荷信息屬于協商階段報文，且長度較長時（大于1024bit），則能夠以更高的識別率確定該密文采用了非對稱加密體制。

Step 4：如果密文長度不為8bit的倍數，則密文很大概率采用序列密碼，判定密文為對稱加密密文。

Step 5：其他情況，密文加密體制無法判斷。

5 結束語

本文對大量不同類型密碼算法加密的密文進行統計分析，基于密文長度信息和協議載荷內容相關信息識別哈希函數和部分加密算法，為密文數據信息的有效利用提供了新的解決思路。

[1]WANG Zhi，JIANG Xu-xian，CUI Wei-dong，et al． ReFormat：automatic reverse engineering of encrypted messages[C]// Proc of European Symposium on Research in Computer Security．2009：200-215．

[2]CABALLERO J，Song D．Automatic protocol reverse-engineering： message format extraction and field semantics inference[C]. Computer Network，vol.57（2），page（s）：451-474，Februrary 2013.

[3]朱玉娜，韓繼紅，袁霖，等. SPFPA：一種面向未知安全協議的格式解析方法[J]. 計算機研究與發展，2015，52（10）：2200-2211.

[4]朱玉娜，韓繼紅，袁霖，等.基于熵估計的安全協議密文域識別方法[J].電子與信息學報，2016，38（8）：1865-1871.