[发明专利]一种基于网络流量的协议逆向分析方法、系统和电子设备

权利要求书

1.一种基于网络流量的协议逆向分析方法，其特征在于，包括：

以第一预设分类标准，将数据包中的多个数据流进行聚类，得到多个第一集合，每个第一集合至少包括一个数据流；

确定每个数据流的语义标签，判断每个第一集合中的每个数据流的字符串，以及判断每个第一集合的每个数据流的语义标签，是否均相同，得到判断结果；

当所述判断结果为是时，以第二预设分类标准，将多个数据流划分为多个第二集合，每个第一集合至少包括一个数据流；

利用Smith-Waterman算法计算每个第二集合中所有数据流之间的相似度，按照相似度从高到低的顺序，对所有第二集合进行排序；

利用Needleman-Wunsch算法，按照所有第二集合的排序，对每个第二集合中的每个数据流进行字段识别，得到每个数据流的识别结果；

使用迭代聚类方法，将每个数据流的识别结果进行聚类，得到多个第三集合，将每个第三集合中的每个数据流的识别结果对应的数据流划分为同一集合，得到多个第四集合；

根据多个第四集合，得到用于被第三方软件识别的协议格式。

2.根据权利要求1所述的一种基于网络流量的协议逆向分析方法，其特征在于，所述第一预设分类标准为：发送数据流的源主机的IP地址、接收数据流的目标主机的IP地址、发送数据流的端口信息和接收数据流的端口信息。

3.根据权利要求1所述的一种基于网络流量的协议逆向分析方法，其特征在于，所述第二预设分类标准为：发送数据流的源主机的IP地址、接收数据流的目标主机的IP地址、时间戳和源主机的用户名。

4.根据权利要求1所述的一种基于网络流量的协议逆向分析方法，其特征在于，所述第三方软件为：Wireshark软件、Scapy软件或模糊测试器。

5.一种基于网络流量的协议逆向分析系统，其特征在于，包括第一聚类模块、判断模块、分类模块、排序模块、识别模块、第二聚类模块和获取模块；

所述第一聚类模块用于：以第一预设分类标准，将数据包中的多个数据流进行聚类，得到多个第一集合，每个第一集合至少包括一个数据流；

所述判断模块用于：确定每个数据流的语义标签，判断每个第一集合中的每个数据流的字符串，以及判断每个第一集合的每个数据流的语义标签，是否均相同，得到判断结果；

所述分类模块用于：当所述判断结果为是时，以第二预设分类标准，将多个数据流划分为多个第二集合，每个第一集合至少包括一个数据流；

所述排序模块用于：利用Smith-Waterman算法计算每个第二集合中所有数据流之间的相似度，按照相似度从高到低的顺序，对所有第二集合进行排序；

所述识别模块用于：利用Needleman-Wunsch算法，按照所有第二集合的排序，对每个第二集合中的每个数据流进行字段识别，得到每个数据流的识别结果；

所述第二聚类模块用于：使用迭代聚类方法，将每个数据流的识别结果进行聚类，得到多个第三集合，将每个第三集合中的每个数据流的识别结果对应的数据流划分为同一集合，得到多个第四集合；

所述获取模块用于：根据多个第四集合，得到用于被第三方软件识别的协议格式。

6.根据权利要求5所述的一种基于网络流量的协议逆向分析系统，其特征在于，所述第一预设分类标准为：发送数据流的源主机的IP地址、接收数据流的目标主机的IP地址、发送数据流的端口信息和接收数据流的端口信息。

7.根据权利要求5所述的一种基于网络流量的协议逆向分析系统，其特征在于，所述第二预设分类标准为：发送数据流的源主机的IP地址、接收数据流的目标主机的IP地址、时间戳和源主机的用户名。

8.根据权利要求5所述的一种基于网络流量的协议逆向分析系统，其特征在于，所述第三方软件为：Wireshark软件、Scapy软件或模糊测试器。