[发明专利]基于执行轨迹的语义级协议格式推断方法

摘要

基于执行轨迹的语义级协议格式推断方法，依据报文解析时产生的二进制指令执行轨迹，推断报文所采用的协议格式：首先是中间语言转换，将协议实体程序解析通信报文的指令执行轨迹转换为中间语言的形式；其次是细粒度动态污点分析，以中间语言形式的执行轨迹为基础，采用细粒度的动态污点分析，分析协议实体程序解析报文的过程，掌握作为输入的每一个报文字节随程序指令的执行在系统中的传播和影响；最后是语义级的协议格式推断，基于语义级协议解析阶段的特征，进而获取完整的协议报文格式；所述中间语言转换阶段的工作流程：将执行轨迹中的二进制指令逐条按序转换为精简的、语义等价的中间语言指令，生成基于中间语言的抽象执行轨迹。

主权项

基于执行轨迹的语义级协议格式推断方法，其特征在于依据报文解析时产生的二进制指令执行轨迹，推断报文所采用的协议格式，包括以下步骤：首先是中间语言转换，将协议实体程序解析通信报文的指令执行轨迹转换为中间语言的形式；其次是细粒度动态污点分析，以中间语言形式的执行轨迹为基础，采用细粒度的动态污点分析，分析协议实体程序解析报文的过程，掌握作为输入的每一个报文字节随程序指令的执行在系统中的传播和影响；最后是语义级的协议格式推断，基于语义级协议解析阶段的特征，将作为解析指令参数的连续污点数据映射为报文协议域，进而获取完整的协议报文格式；所述中间语言转换阶段的工作流程：将执行轨迹中的二进制指令逐条按序转换为精简的、语义等价的中间语言指令，生成基于中间语言的抽象执行轨迹；所述细粒度动态污点分析阶段的工作流程：首先是构建细粒度动态污点分析策略：对中间语言指令集进行系统分析，掌握指令的执行语义；在此基础上，以分析规则的形式，描述由于指令执行造成内存、寄存器等存储空间内存储数据的变化以及与输入字节的关联关系；实际的细粒度动态污点分析过程：为每个输入的报文字节赋予唯一的污点标签，依据细粒度动态污点分析策略对中间语言形式的执行轨迹进行分析，掌握作为输入的每个报文字节在系统中随指令的执行对内存、寄存器等存储空间造成的影响；所述语义级的协议格式推断阶段的工作流程：语义是协议域数据的含义，协议域语义分为静态语义和动态语义两类；静态语义描述了该协议域的取值与报文词法、语法之间应满足的约束，包括长度、分隔符、格式标识；动态语义描述了协议实体如何完成响应操作，网络地址、端口、Cookie都属于常见的动态语义。在语义级协议解析阶段，协议实体程序将对输入数据的语义进行解释和处理；程序解析动态语义采用的方式是以输入数据作为参数，通过函数调用完成；解析静态语义采用的方式是将输入数据作为分支跳转类指令的判定条件；在实施过程中，基于语义级协议解析阶段的特点，以细粒度动态污点分析为基础，分析与语义解析紧密相关的分支跳转类指令和函数调用类指令，将与指令参数相关的连续输入识别为完整的协议域。