[发明专利]一种基于网络轨迹的安全协议格式的挖掘方法及装置

说明书

本发明提供了一种基于网络轨迹的安全协议格式挖掘方法及装置，其中的挖掘方法通过消息划分步骤和分隔符分离步骤，将文本协议消息划分为由关键词、分隔符和可变字段组成的子消息，并且可以输出关键词出现的概率和相对位置，进而获得安全协议消息格式。本发明的方法可以自动挖掘与分析安全协议的格式，大大提高了分析的效率与准确性。

技术领域

本发明涉及信息安全技术领域，具体涉及一种基于网络轨迹的安全协议格式的挖掘方法及装置。

背景技术

安全协议是保障网络空间安全的基石。基于网络轨迹的安全协议格式挖掘方法仅通过捕获安全应用产生的据包，分析出数据包的关键词，分隔符，进而分析未知安全协议的安全性。该方法对于保障通信安全、网络攻防和入侵检测有重大意义。安全协议为处于各种网络环境的不同实体间提供安全服务。人们的生活和工作等各个方面都和网络空间安全密切相关，但是许多证明是安全的安全协议在实施过程中与协议规范不符，会产生安全隐患。通过基于网络轨迹的安全协议关键词挖掘方法，及时发现应用在金融或军事机密等方面存在的安全协议实施存在的隐患，能避免造成重大损失。

目前，人们集中在研究安全协议抽象规范的安全性分析和验证方面，对安全协议实施的安全性不够重视。由于安全协议在实施的过程中难免出现错误或安全漏洞，导致安全协议实施安全性与抽象规范不一致，引入了新的安全问题。软件公司通过未知的安全协议规范开发软件，为了保护软件知识产权，很难获取安全协议客户端和服务器端实施。

现有技术中，关于安全协议格式的挖掘通常采用人工推理与分析的方法。本发明申请人在实施本发明的过程中，发现现有技术中至少存在如下技术问题：安全协议格式推理主要依赖于人工，其工作量大、耗时长、效率低。由此可知，现有技术中的方法存在工作量大、效率低的技术问题。

因而，自动化的基于网络轨迹的安全协议消息格式分析工具对建设网络空间安全有着重大意义。

发明内容

有鉴于此，本发明提供了一种基于网络轨迹的安全协议格式的挖掘方法及装置，用以解决或者至少部分解决现有技术中的方法存在工作量大、效率低的技术问题。

本发明第一方面提供了一种基于网络轨迹的安全协议格式的挖掘方法，包括：消息划分步骤和分隔符分离步骤，

其中，消息划分步骤具体包括：

步骤S1：基于消息轨迹采用最长公共子序列的文本比较算法获得协议关键词元组，基于所述协议关键词元组，采用滑动窗口方法输出关键词分布数组，并基于关键词分布数组获得关键词一阶分布；

步骤S2：根据所述关键词分布数组和关键词一阶分布，判断是否存在极值，如果存在则执行步骤S3，否则执行步骤S4；

步骤S3：根据所述协议关键词元组、关键词分布数组、关键词一阶分布，采用预设关键词统计方法，合并相似关键词，然后将相似关键词输入基于余弦相似度方法中，计算所有协议消息的相似度，选择平均相似度最高的消息作为中心消息，采用中心消息的关键词将消息划分为子消息，输出子消息、关键词的概率及相对位置，并将输出作为步骤S1的输入，直到步骤S2中不存在极值；

分隔符分离步骤具体包括：

步骤S4：采用基于树的字符串比对方法，比较每个关键词的首尾，通过寻找最多遍历路径分离出分隔符。

在一种实现方式中，输入的安全协议消息为Message,MNum，Message为输入的安全协议消息数组，n为消息数组的最大个数，步骤S1具体包括：

步骤S1.1：从n个消息中随机抽取m个消息，m为偶数，求MNum个消息的长度并按照从小到大排列，然后依次两两分组，获得m/2个分组；