摘 要： 針對(duì)未知網(wǎng)絡(luò)協(xié)議逆向分析中的報(bào)文分類問題，提出了一種基于報(bào)文交互匹配與GRU-ATT模型的未知網(wǎng)絡(luò)協(xié)議逆向分析方法MemProRe，結(jié)合多序列比對(duì)和深度學(xué)習(xí)方法，采用基于注意力機(jī)制的CNN-GRU-Attention網(wǎng)絡(luò)，在客戶端與服務(wù)器端交互報(bào)文集合之間的一致性約束條件下，將雙端報(bào)文分類的結(jié)果進(jìn)行特征融合，從而實(shí)現(xiàn)未知網(wǎng)絡(luò)協(xié)議的報(bào)文分類.實(shí)驗(yàn)結(jié)果表明，MemProRe方法能夠有效解決報(bào)文分類的冗余問題，提升了報(bào)文分類的精確率約10%以上.

關(guān)鍵詞： 協(xié)議逆向分析；多序列比對(duì)；報(bào)文交互匹配；門控循環(huán)單元；注意力機(jī)制

中圖分類號(hào)：TP391"" 文獻(xiàn)標(biāo)志碼：A"""" 文章編號(hào)：1673-4807（2024）06-076-07

收稿日期： 2023-11-14"" 修回日期： 2021-04-29

基金項(xiàng)目： 國網(wǎng)江蘇省電力有限公司科技項(xiàng)目（J2022014）

作者簡介： 付饒（1987—），男，高級(jí)工程師，研究方向?yàn)殡娏φ{(diào)度自動(dòng)化、網(wǎng)絡(luò)安全.E-mail： 19952190332@139.com

引文格式： 付饒，袁丁，劉琦，等.基于報(bào)文匹配與GRU-ATT模型的協(xié)議逆向分析方法［J］.江蘇科技大學(xué)學(xué)報(bào)（自然科學(xué)版），2024，38（6）：76-82.DOI：10.20061/j.issn.1673-4807.2024.06.012.

Protocol reverse analysis method based on message matching and GRU-ATT

FU Rao， YUAN Ding， LIU Qi， SHI Xiaozhen， LI Danqi

（State Grid Xuzhou Power Supply Company，State Grid Jiangsu Electric Power Co. Ltd.， Xuzhou 221000， China）

Abstract：Aiming at the problem of message classification in unknown network protocol reverse analysis， we propose an unknown network protocol reverse analysis method based on message interaction matching and GRU-ATT model， named MemProRe. Coupled with multiple sequence alignment and deep learning methods， it adopts CNN-GRU-Attention network based on attention mechanism. Under the condition of consistency constraint of the interaction message set between the client and the server， the features of the double-end message classification results are fused to realize the message classification. The experimental results demonstrate that the MemProRe can effectively solve the problem of redundancy of message classification and improve the accuracy of message classification more than 10%.

Key words：protocol reverse analysis， multi sequence alignment， message end-to-end matching， gate recurrent unit， attention mechanism

計(jì)算機(jī)網(wǎng)絡(luò)與通信技術(shù)的不斷發(fā)展和廣泛應(yīng)用，使得網(wǎng)絡(luò)結(jié)構(gòu)變得日益復(fù)雜，工業(yè)控制網(wǎng)絡(luò)、車聯(lián)網(wǎng)等物聯(lián)網(wǎng)的出現(xiàn)則使網(wǎng)絡(luò)形態(tài)更具多樣化，隨之而來的則是大量的未公開的、專用的網(wǎng)絡(luò)通信協(xié)議不斷涌現(xiàn).然而，網(wǎng)絡(luò)安全分析需要精確地理解網(wǎng)絡(luò)協(xié)議規(guī)范，協(xié)議逆向分析技術(shù)（protocol reverse analysis， PRA）能夠從未知網(wǎng)絡(luò)協(xié)議中抽取協(xié)議規(guī)范和格式，因而得到了深入地研究.

近年來，自動(dòng)化網(wǎng)絡(luò)協(xié)議逆向技術(shù)已逐漸取代了效率較為低下的人工協(xié)議分析方法，涵蓋了協(xié)議規(guī)范推斷到協(xié)議行為理解等階段.協(xié)議逆向分析方法根據(jù)數(shù)據(jù)來源主要分為兩類：基于指令序列的分析方法和基于網(wǎng)絡(luò)流量的分析方法^［1-2］.前者將指令執(zhí)行軌跡作為分析對(duì)象，但依賴協(xié)議實(shí)體，整體適用性較差；后者根據(jù)網(wǎng)絡(luò)流量的協(xié)議數(shù)據(jù)單元集合進(jìn)行推斷，其時(shí)效性更強(qiáng)，適用性也更好.因此，文中重點(diǎn)關(guān)注基于網(wǎng)絡(luò)流量的協(xié)議逆向分析方法研究.

基于網(wǎng)絡(luò)流量的協(xié)議逆向分析方法主要采用基于序列比對(duì)、基于概率統(tǒng)計(jì)以及基于頻繁項(xiàng)集挖掘等協(xié)議格式推斷方法.協(xié)議信息學(xué)（protocol informatics，PI）方法^［3］將序列比對(duì)算法引入未知協(xié)議逆向分析中，實(shí)現(xiàn)報(bào)文字段標(biāo)識(shí).Netzob^［4］在報(bào)文序列比對(duì)和報(bào)文格式聚類階段增加了協(xié)議語義信息，得到了更為完整的協(xié)議分析結(jié)果，但由于報(bào)文序列更具多樣性和復(fù)雜性，因而將報(bào)文比對(duì)和聚類算法應(yīng)用于協(xié)議逆向分析過程的效率較低.

GramMatch^［5］和RelaNet^［6］采用基于概率統(tǒng)計(jì)的方法，實(shí)現(xiàn)報(bào)文的聚類，但在其聚類過程中利用了多個(gè)關(guān)鍵字段，從而導(dǎo)致聚類結(jié)果的冗余.NEMETYL方法^［7］提出了一種基于特征向量連續(xù)值比較的字段相似性度量方法，利用Hirschberg對(duì)齊和DBSCAN聚類算法對(duì)協(xié)議字段和報(bào)文格式進(jìn)行推理，但忽略了協(xié)議逆向不同階段的相互影響和報(bào)文交互的關(guān)聯(lián)性，導(dǎo)致錯(cuò)誤傳播.

深度學(xué)習(xí)以其特征學(xué)習(xí)和分層表示等能力，近年來被逐漸應(yīng)用于協(xié)議逆向分析領(lǐng)域.文獻(xiàn)［8］提出了一種基于共享學(xué)習(xí)的協(xié)議逆向分析方法，基于共享學(xué)習(xí)實(shí)現(xiàn)關(guān)鍵詞抽取和報(bào)文聚類的協(xié)同優(yōu)化，在一定程度上解決了協(xié)議逆向分析過程中存在的錯(cuò)誤傳播問題.文獻(xiàn)［9］提出了一種基于深度學(xué)習(xí)的二進(jìn)制協(xié)議報(bào)文格式抽取方法，利用圖像語義分段與孿生神經(jīng)網(wǎng)絡(luò)技術(shù)，實(shí)現(xiàn)了報(bào)文字段特征的抽取與報(bào)文邊界的標(biāo)識(shí).

鑒于當(dāng)前網(wǎng)絡(luò)協(xié)議逆向分析方法存在的上述不足，提出一種基于報(bào)文交互匹配與CNN-GRU-ATT模型的網(wǎng)絡(luò)協(xié)議逆向分析方法（protocol reverse analyzer based on message end-to-end matching，MemProRe），結(jié)合多序列比對(duì)和深度學(xué)習(xí)方法，在預(yù)處理階段將報(bào)文根據(jù)客戶端和服務(wù)器端進(jìn)行分組，根據(jù)客戶端請(qǐng)求報(bào)文集合應(yīng)與相應(yīng)的服務(wù)器端應(yīng)答報(bào)文集合相對(duì)應(yīng)的原則，將對(duì)齊分段后的報(bào)文分別輸入基于注意力機(jī)制的CNN-GRU-Attention網(wǎng)絡(luò)，通過雙端聯(lián)合訓(xùn)練得到關(guān)鍵字段位置，最后根據(jù)關(guān)鍵字段完成報(bào)文分類并得到協(xié)議關(guān)鍵詞，進(jìn)而推斷出協(xié)議格式和狀態(tài)機(jī).實(shí)驗(yàn)結(jié)果表明，MemProRe方法具有較高的報(bào)文字段標(biāo)識(shí)與報(bào)文分類精度.

1 問題描述

當(dāng)前絕大部分的自動(dòng)化協(xié)議逆向分析方法均遵循著“報(bào)文字段標(biāo)識(shí)→報(bào)文分類→協(xié)議狀態(tài)機(jī)推理”的順序分析過程，在對(duì)報(bào)文的關(guān)鍵字段進(jìn)行標(biāo)識(shí)的基礎(chǔ)上，對(duì)報(bào)文根據(jù)相似性進(jìn)行聚類.然而，當(dāng)不同類型報(bào)文相似度較高時(shí)，會(huì)導(dǎo)致聚類結(jié)果不夠準(zhǔn)確，例如在Notzob和Discover^［10］等方法中，若聚類精度不高，則會(huì)產(chǎn)生與協(xié)議規(guī)范不符的冗余報(bào)文分段.

同時(shí)，在協(xié)議的狀態(tài)遷移過程中，客戶端的請(qǐng)求報(bào)文與服務(wù)器端的應(yīng)答報(bào)文之間存在著一定的匹配關(guān)系.以DNP3.0協(xié)議為例，觀察其報(bào)文交互過程和分類結(jié)果.DNP3.0協(xié)議正確的報(bào)文分類結(jié)果如圖1.

由圖1可見，在報(bào)文分類正確的情況下，根據(jù)報(bào)文類型形成的報(bào)文簇1和3分別是客戶端同類型報(bào)文的集合，而報(bào)文簇2和4則分別是服務(wù)端同類型報(bào)文的集合.顯然，客戶端報(bào)文與服務(wù)器端報(bào)文通過聚類形成的報(bào)文簇存在著一定的對(duì)應(yīng)關(guān)系.然而，僅根據(jù)相似度對(duì)報(bào)文進(jìn)行分類，而未考慮客戶端與服務(wù)器端報(bào)文的關(guān)聯(lián)性，則可能將報(bào)文簇2中的報(bào)文錯(cuò)誤地劃分到報(bào)文簇4中，從而出現(xiàn)服務(wù)器端和客戶端報(bào)文不匹配的情況.

2 基本思想

未知網(wǎng)絡(luò)協(xié)議逆向分析的關(guān)鍵是將相同類型的報(bào)文進(jìn)行分類.在協(xié)議的報(bào)文交互過程中，客戶端或服務(wù)器根據(jù)報(bào)文中的關(guān)鍵字段確定報(bào)文類型，并據(jù)此作出相應(yīng)的操作.若在協(xié)議逆向分析過程中，能夠推斷出報(bào)文中表示關(guān)鍵字的字段，并據(jù)此對(duì)報(bào)文進(jìn)行分類，避免冗余現(xiàn)象的產(chǎn)生，并提高報(bào)文分類的準(zhǔn)確性.

由于報(bào)文交互序列具有時(shí)序性，因此報(bào)文中的關(guān)鍵字段查找和報(bào)文分類過程可以視為對(duì)時(shí)序數(shù)據(jù)的分類，而門控循環(huán)單元（gate recurrent unit，GRU）^［11］能夠通過門控機(jī)制來控制信息的流動(dòng)，能夠更好地捕捉時(shí)序數(shù)據(jù)中的長期依賴關(guān)系.因此，利用GRU網(wǎng)絡(luò)學(xué)習(xí)分段后的協(xié)議報(bào)文數(shù)據(jù)，能夠獲得更為準(zhǔn)確的報(bào)文關(guān)鍵字段與分類結(jié)果.

網(wǎng)絡(luò)協(xié)議通常根據(jù)關(guān)鍵字段來確定報(bào)文類型，在GRU網(wǎng)絡(luò)中引入注意力機(jī)制（Attention）^［12］，使得GRU網(wǎng)絡(luò)更為關(guān)注關(guān)鍵字段，可以在一定程度上提高報(bào)文分類的精度.

鑒于網(wǎng)絡(luò)協(xié)議中客戶端與服務(wù)器端報(bào)文之間存在著對(duì)應(yīng)關(guān)系，因而在報(bào)文分類過程中增加客戶端與服務(wù)器端報(bào)文簇之間的一致性約束，將雙端報(bào)文分類的結(jié)果進(jìn)行特征融合，可以進(jìn)一步提升報(bào)文分類的準(zhǔn)確性.

綜上所述，文中提出了一種基于報(bào)文交互匹配與GRU-ATT模型的未知網(wǎng)絡(luò)協(xié)議逆向分析方法MemProRe，以提高未知網(wǎng)絡(luò)協(xié)議逆向過程中報(bào)文分類的準(zhǔn)確性.

3 方法實(shí)現(xiàn)

3.1 系統(tǒng)架構(gòu)

基于報(bào)文交互匹配與CNN-GRU-ATT模型的未知網(wǎng)絡(luò)協(xié)議逆向分析方法MemProRe包含4個(gè)組成部分：數(shù)據(jù)預(yù)處理、報(bào)文對(duì)齊分段、雙端CNN-GRU-Attention網(wǎng)絡(luò)和格式及狀態(tài)機(jī)推斷.MemProRe方法體系結(jié)構(gòu)如圖2.

數(shù)據(jù)預(yù)處理主要用于獲取網(wǎng)絡(luò)流量數(shù)據(jù)，并進(jìn)行預(yù)處理，以得到單一網(wǎng)絡(luò)協(xié)議的流量數(shù)據(jù)；報(bào)文對(duì)齊分段首先對(duì)報(bào)文進(jìn)行對(duì)齊，識(shí)別字段邊界，進(jìn)而形成報(bào)文分段并定位關(guān)鍵字段；雙端CNN-GRU-Attention網(wǎng)絡(luò)利用基于注意力機(jī)制的深度神經(jīng)網(wǎng)絡(luò)，在客戶端與服務(wù)器端報(bào)文簇之間的一致性約束條件下，實(shí)現(xiàn)報(bào)文分類；格式與狀態(tài)機(jī)推斷確定報(bào)文字段格式，進(jìn)行語義推斷，在此基礎(chǔ)上，根據(jù)會(huì)話和協(xié)議格式序列推理協(xié)議狀態(tài)機(jī).

3.2 數(shù)據(jù)預(yù)處理

3.2.1 數(shù)據(jù)獲取

為了保證協(xié)議分類和后續(xù)報(bào)文序列處理的準(zhǔn)確性，需要保證獲取的網(wǎng)絡(luò)數(shù)據(jù)具有多樣性和完整性.采用Wireshark工具截獲網(wǎng)絡(luò)流量，并進(jìn)行會(huì)話分組.在不同時(shí)間段截獲網(wǎng)絡(luò)數(shù)據(jù)，可以確保有足夠多的會(huì)話分組來保證數(shù)據(jù)內(nèi)容多樣性；在程序運(yùn)行的完整時(shí)間段內(nèi)對(duì)數(shù)據(jù)進(jìn)行截獲，可以確保用于報(bào)文分類的網(wǎng)絡(luò)數(shù)據(jù)不會(huì)缺失.

3.2.2 報(bào)文預(yù)處理

利用Wireshark工具在實(shí)際環(huán)境中截獲網(wǎng)絡(luò)數(shù)據(jù)包，可以獲得包含多種協(xié)議的網(wǎng)絡(luò)流量數(shù)據(jù).Wireshark工具截獲網(wǎng)絡(luò)數(shù)據(jù)的示意圖如圖3.

由圖3可見，Wireshark工具截獲的網(wǎng)絡(luò)數(shù)據(jù)包含了多種協(xié)議報(bào)文數(shù)據(jù).因此，需要按照協(xié)議類型對(duì)報(bào)文進(jìn)行預(yù)處理和分類.MemProRe根據(jù)報(bào)文中的時(shí)間戳、IP地址和端口等信息，以及客戶端與服務(wù)器端的報(bào)文方向?qū)?bào)文進(jìn)行分組.另外，專用協(xié)議等未知協(xié)議通常為應(yīng)用層協(xié)議，需要對(duì)分組進(jìn)行解封裝，得到所需的報(bào)文數(shù)據(jù).

3.3 報(bào)文對(duì)齊分段

為了實(shí)現(xiàn)對(duì)報(bào)文的分類，需要對(duì)報(bào)文中的字段邊界進(jìn)行判定，即報(bào)文分段.對(duì)于復(fù)雜的協(xié)議，報(bào)文序列可能具有不同的結(jié)構(gòu).若報(bào)文中部分字段長度可變，會(huì)導(dǎo)致同類型報(bào)文中相同的字段在不同報(bào)文中的位置發(fā)生變化，從而影響報(bào)文結(jié)構(gòu)的分析，因此首先需要對(duì)報(bào)文進(jìn)行對(duì)齊.

MemProRe采用序列比對(duì)方法，首先將報(bào)文對(duì)齊，然后根據(jù)對(duì)齊的報(bào)文在識(shí)別字段邊界后進(jìn)行分段，通過報(bào)文分段獲取關(guān)鍵字段，并根據(jù)關(guān)鍵字段對(duì)報(bào)文進(jìn)行分類.

對(duì)于固定長度的報(bào)文字段，具有相同值的概率較高.以文本協(xié)議為例的報(bào)文對(duì)齊結(jié)果如圖4.

圖4中報(bào)文2對(duì)齊后的空隙使用“-”進(jìn)行填充.可見，報(bào)文對(duì)齊后，兩個(gè)報(bào)文序列具有相同的固定字段值GET、HTTP和具體字段信息.

協(xié)議逆向分析所涉及的報(bào)文數(shù)量眾多且均需要進(jìn)行比對(duì)，MemProRe方法采用漸進(jìn)式多序列比對(duì)方法（multiple sequence alignment，MSA）進(jìn)行報(bào)文的比對(duì)，利用MAFFT序列比對(duì)工具^［13］實(shí)現(xiàn).在采用MAFFT工具進(jìn)行報(bào)文對(duì)齊后執(zhí)行分段操作，從而將報(bào)文字段分為固定長度（靜態(tài)）和可變長度（動(dòng)態(tài)）字段.

3.4 雙端CNN-GRU-Attention網(wǎng)絡(luò)構(gòu)建

將報(bào)文進(jìn)行對(duì)齊和分段之后，需要根據(jù)關(guān)鍵字段對(duì)報(bào)文進(jìn)行分類.

由于網(wǎng)絡(luò)報(bào)文數(shù)據(jù)具有時(shí)間序列特征，可以結(jié)合深度學(xué)習(xí)中的時(shí)間序列分類模型來進(jìn)行報(bào)文分類操作.同時(shí)，在協(xié)議報(bào)文中通常由關(guān)鍵字段決定報(bào)文類別，而注意力機(jī)制可以通過改變對(duì)不同信息的注意力，側(cè)重關(guān)鍵字段忽略邊緣信息來完成序列分類.

因此，MemProRe方法結(jié)合注意力機(jī)制，采用在時(shí)間序列分類任務(wù)中表現(xiàn)較好的CNN-GRU-Attention網(wǎng)絡(luò)來處理報(bào)文分類，其中，卷積神經(jīng)網(wǎng)絡(luò)（convolutional neural networks，CNN）^［14］提取報(bào)文序列特征輸入到GRU網(wǎng)絡(luò)中訓(xùn)練后經(jīng)過注意力層優(yōu)化輸出，最終完成對(duì)報(bào)文序列的分類.

針對(duì)客戶端與服務(wù)器端報(bào)文的一致性約束，即在客戶端和服務(wù)器端分別屬于相同報(bào)文簇的報(bào)文具有相互匹配對(duì)應(yīng)關(guān)系.針對(duì)上述要求，MemProRe方法提出了一個(gè)客戶端與服務(wù)器端報(bào)文匹配的雙端CNN-GRU-Attention報(bào)文分類模型，其結(jié)構(gòu)如圖5.

為了能夠同時(shí)提取客戶端與服務(wù)器端報(bào)文信息的特征，在預(yù)處理階段將報(bào)文按照服務(wù)端和客戶端進(jìn)行分組，服務(wù)端和客戶端的報(bào)文數(shù)據(jù)分別輸入對(duì)應(yīng)的CNN-GRU-Attention網(wǎng)絡(luò)，使用Concatenate層對(duì)服務(wù)器端報(bào)文序列和客戶端報(bào)文序列的特征進(jìn)行融合，將雙端的匹配交互關(guān)系加入到網(wǎng)絡(luò)中優(yōu)化分類結(jié)果，最后輸入到Softmax層完成多分類.CNN-GRU-Attention網(wǎng)絡(luò)主要分為CNN層、GRU層和Attention層，其網(wǎng)絡(luò)結(jié)構(gòu)如圖6.

CNN層主要對(duì)輸入的序列進(jìn)行特征提取，其結(jié)構(gòu)包含卷積層、池化層和全連接層，卷積層選擇一維卷積來提取報(bào)文序列特征，激活函數(shù)選擇ReLU函數(shù)來提取局部報(bào)文序列的特征，池化層選擇最大池化方法來提高訓(xùn)練效率，而全連接層則使用Sigmoid激活函數(shù).經(jīng)過卷積層和池化層的處理后，報(bào)文序列信息被映射到隱藏層的特征空間，通過全連接層輸出，得到報(bào)文序列的特征向量.CNN層提取的報(bào)文特征序列作為單層GRU的輸入進(jìn)行時(shí)序建模和學(xué)習(xí)，獲取報(bào)文字段的變化規(guī)律.

在注意力機(jī)制實(shí)現(xiàn)中，將注意力層放在GRU層之后能夠得到更好的結(jié)果.注意力機(jī)制的輸入為經(jīng)過GRU層處理的隱藏層輸出信息，根據(jù)分配原則計(jì)算不同時(shí)刻不同關(guān)鍵字段位置對(duì)應(yīng)的概率權(quán)重，提高隱藏層對(duì)字段特征提取質(zhì)量，得到精確的報(bào)文分類結(jié)果.注意力機(jī)制使用壓縮-激勵(lì)（squeeze and excitation，SE）模塊實(shí)現(xiàn)，SE模塊主要由壓縮、激勵(lì)和標(biāo)定操作組成.

4 實(shí)驗(yàn)結(jié)果分析

4.1 實(shí)驗(yàn)環(huán)境與評(píng)價(jià)指標(biāo)

實(shí)驗(yàn)環(huán)境為Ubuntu 20.04操作系統(tǒng)，硬件環(huán)境為Intel Corei5 13400 4.60 GHz、16 GB內(nèi)存，編程語言采用Python語言，版本為Python3.9，以Pytorch為深度學(xué)習(xí)框架，版本為Pytorch11.3.1.

實(shí)際局域網(wǎng)絡(luò)環(huán)境下使用Wireshark工具截獲20 000條報(bào)文，其中80%作為訓(xùn)練集，20%作為測試集.數(shù)據(jù)集中包含4種常見類型的網(wǎng)絡(luò)協(xié)議報(bào)文來模擬未知協(xié)議報(bào)文，分別是域名解析協(xié)議DNS、網(wǎng)絡(luò)時(shí)間協(xié)議NTP、動(dòng)態(tài)主機(jī)配置協(xié)議DHCP和網(wǎng)絡(luò)文件共享協(xié)議SMB，對(duì)于每個(gè)協(xié)議選取1 000個(gè)報(bào)文，并選取其前500位作為實(shí)驗(yàn)數(shù)據(jù).

設(shè)置批訓(xùn)練大小batch_size為128，迭代輪次epoch為20.訓(xùn)練時(shí)經(jīng)過多輪迭代，若迭代輪數(shù)或損失函數(shù)達(dá)到預(yù)先設(shè)置的停止條件，則認(rèn)為算法收斂，訓(xùn)練過程結(jié)束.

為了評(píng)價(jià)MemProRe方法的報(bào)文分類結(jié)果，使用了分類任務(wù)中常用的評(píng)估指標(biāo)：精確率（Precision）和召回率（Recall），并將MemProRe方法的實(shí)驗(yàn)結(jié)果與Netzob和Discover方法進(jìn)行比較分析.

4.2 實(shí)驗(yàn)結(jié)果分析

4.2.1 報(bào)文分段結(jié)果對(duì)比

為了驗(yàn)證MemProRe方法對(duì)于報(bào)文對(duì)齊分段結(jié)果的準(zhǔn)確性，對(duì)報(bào)文對(duì)齊分段進(jìn)行了實(shí)驗(yàn)與結(jié)果分析.表1給出了DNP3.0協(xié)議的部分協(xié)議格式.

在對(duì)DNP3.0協(xié)議報(bào)文對(duì)齊分段后，推斷的報(bào)文分段結(jié)果如表2.其中，S表示靜態(tài)字段，D表示動(dòng)態(tài)不可變長字段，V表示動(dòng)態(tài)可變長字段， K表示關(guān)鍵字段.

由表2可見，MemProRe方法能夠較為準(zhǔn)確地推斷大部分的字段邊界，并成功地將功能碼所在字段判定為關(guān)鍵字段，這說明根據(jù)關(guān)鍵字段進(jìn)行報(bào)文分類結(jié)果的正確性.

同時(shí)在表中也出現(xiàn)了字段劃分過細(xì)的情況，在第8-11字節(jié)和12-15字節(jié)處進(jìn)行了額外的劃分.但是，MemProRe方法雖然在字段內(nèi)部錯(cuò)誤地劃分了邊界，但在字段兩側(cè)的邊界劃分結(jié)果與真實(shí)情況相同，不會(huì)影響對(duì)關(guān)鍵字段的判斷.

實(shí)驗(yàn)結(jié)果表明，MemProRe方法能夠正確地對(duì)報(bào)文邊界進(jìn)行劃分.

4.2.2 報(bào)文分類結(jié)果分析

為了驗(yàn)證MemProRe方法對(duì)報(bào)文分類的準(zhǔn)確性，針對(duì)4種類型的協(xié)議，將MemProRe方法與經(jīng)典的Netzob^［4］與Discover方法^［10］以及基于深度學(xué)習(xí)的ProsegDL方法^［9］進(jìn)行了比較分析.報(bào)文分類結(jié)果比較分析如表3.

表3中準(zhǔn)確率P代表是否成功將相同類型報(bào)文進(jìn)行分類，而召回率R則可看作報(bào)文分類中的正確報(bào)文數(shù)，在一定程度上代表了報(bào)文分類結(jié)果的冗余程度，F(xiàn)1代表精確率和召回率的調(diào)和平均值.

由表3可見，Netzob算法雖然獲得較高的分類準(zhǔn)確率，但導(dǎo)致召回率偏低，意味著Netzob算法在對(duì)報(bào)文進(jìn)行分類時(shí)產(chǎn)生了較多的類型冗余.Discover算法則側(cè)重于語義分析，在報(bào)文分類方面尤其是二進(jìn)制協(xié)議表現(xiàn)較差.采用圖像語義分段的ProsegDL算法的分類精度與前兩種方法相比略有提升，但由于其在字段標(biāo)識(shí)過程中僅考慮字段內(nèi)部與邊界之間的圖像差異，而未考慮不同報(bào)文類別之間的差異.MemProRe方法在DNS、SMB、DHCP協(xié)議上均有較好表現(xiàn)，說明使用關(guān)鍵字段對(duì)報(bào)文進(jìn)行分類能夠有效解決冗余問題；同時(shí)MemProRe方法采用深度學(xué)習(xí)，對(duì)大量數(shù)據(jù)進(jìn)行訓(xùn)練，可以得到正確的關(guān)鍵字段位置和精確的分類結(jié)果.

4種報(bào)文分類算法在NTP協(xié)議的分類結(jié)果均差于其他協(xié)議，這是因?yàn)镹TP協(xié)議的關(guān)鍵字段為比特級(jí)別而非其他協(xié)議的字節(jié)級(jí)別，例如，NTP協(xié)議首個(gè)報(bào)文，其關(guān)鍵字段所在的字段值為“00100100”，但其真實(shí)的關(guān)鍵字段應(yīng)為“100”，使得算法對(duì)關(guān)鍵字段的判斷出現(xiàn)錯(cuò)誤，導(dǎo)致使用關(guān)鍵字段進(jìn)行報(bào)文分類對(duì)NTP協(xié)議的表現(xiàn)較差.

實(shí)驗(yàn)結(jié)果表明，將深度學(xué)習(xí)中時(shí)序分類的方法應(yīng)用于協(xié)議逆向分析中是可行的，并且引入服務(wù)器端和客戶端報(bào)文交互匹配的思想可以提升報(bào)文分類的效果，MemProRe方法可以通過學(xué)習(xí)已知協(xié)議字段，實(shí)現(xiàn)與真實(shí)情況近似的報(bào)文分段與分類結(jié)果.

5 結(jié)論

（1） 針對(duì)未知網(wǎng)絡(luò)協(xié)議逆向分析問題，提出了一種基于報(bào)文交互匹配與CNN-GRU-ATT模型的協(xié)議逆向分析方法MemProRe.基于客戶端請(qǐng)求報(bào)文集合應(yīng)與相應(yīng)的服務(wù)器端應(yīng)答報(bào)文集合相對(duì)應(yīng)的原則，在報(bào)文分類過程中建立客戶端與服務(wù)器端報(bào)文集之間的映射關(guān)系.

（2） 算法融合序列比對(duì)方法與采用門控循環(huán)單元和注意力機(jī)制的深度學(xué)習(xí)方法，利用結(jié)合注意力機(jī)制的雙端CNN-GRU-Attention網(wǎng)絡(luò)實(shí)現(xiàn)具有時(shí)序特征的網(wǎng)絡(luò)報(bào)文分類.實(shí)驗(yàn)結(jié)果表明，MemProRe方法進(jìn)行報(bào)文分類的精確度較高，報(bào)文分類結(jié)果接近真實(shí)情況.

（3） 報(bào)文語義推理和狀態(tài)機(jī)推斷是未知協(xié)議逆向分析的重要內(nèi)容，在后續(xù)的工作中，將在文中研究的基礎(chǔ)上進(jìn)一步研究報(bào)文語義推理方法，通過報(bào)文語義推理獲取交互報(bào)文的語義信息，為構(gòu)建未知協(xié)議網(wǎng)絡(luò)報(bào)文的協(xié)議狀態(tài)機(jī)模型奠定基礎(chǔ).

參考文獻(xiàn)（References）

［1］ 王占豐， 程光， 馬瑋駿，等. 基于網(wǎng)絡(luò)軌跡的協(xié)議逆向技術(shù)研究進(jìn)展［J］.軟件學(xué)報(bào)， 2022， 33（1）：254-273.

［2］ KLEBER S， MAILE L， KARGL F. Survey of protocol reverse engineering algorithms： Decomposition of tools for static traffic analysis ［J］. IEEE Communications Surveys amp; Tutorials， 2019， 21（1）：526-561.

［3］ HUANG Y Y， SHU H， KANG F， et al. Protocol reverse-engineering methods and tools： A survey ［J］. Computer Communications， 2022， 182：238-254.

［4］ BOSSERT G， GUIHERY F， HIET G. Towards automated protocol reverse engineering using semantic information ［C］ ∥9th ACM Symposium on Information， Computer and Communications Security. Kyoto： ACM， 2014：51-62.

［5］ MA B L， YANG C， CHEN M Z， et al. GramMatch： An automatic protocol feature extraction and identification system ［J］. Computer Networks， 2021， 201：108528.

［6］ TANG T， LAI Y X， WANG Y P. Relational reasoning-based approach for network protocol reverse engineering ［J］. Computer Networks， 2023， 230：109797.

［7］ KLEBER S， VAN DER HEIJDENR W， KARGL F. Message type identification of binary network protocols using continuous segment similarity ［C］ ∥2020 IEEE Conference on Computer Communications （INFOCOM′20）. Toronto： IEEE， 2020：2243-2252.

［8］ ZHANG W Y， MENG X Y， ZHANG Y J. Dual-track protocol reverse analysis based on share learning ［C］∥2022 IEEE Conference on Computer Communications （INFOCOM′22）. London： IEEE， 2022：51-60.

［9］ ZHAO S， WANG J F， YANG S G， et al. ProsegDL： Binary protocol format extraction by deep learning-based field boundary identification ［C］ ∥30th International Conference on Network Protocols （ICNP′22）. Lexington： IEEE， 2022：9940264.

［10］ CUI W D， KANNAN J， WANG H J. Discoverer： Automatic protocol reverse engineering from network traces ［C］ ∥16th USENIX Security Symposium. Berkeley： USENIX， 2007：1-14.

［11］ YAMAK P T， LI Y， GADOSEY P K. A Comparison between ARIMA， LSTM， and GRU for time series forecasting ［C］ ∥2nd International Conference on Algorithm， Computing and Artificial Intelligence （ACAI′19）. Sanya：ACM， 2019：49-55.

［12］ MA Q L， YU L H， TIAN S， et al. Global-local mutual attention model for text classification ［J］. IEEE/ACM Transaction on Audio， Speech and Language Processing， 2019， 27（12）：2127-2139.

［13］ KATOH K， ROZEWICKI J， YAMADA K D. MAFFT online service： Multiple sequence alignment， interactive sequence choice and visualization ［J］. Briefings in Bioinformatics， 2019， 20（4）：1160-1166.

［14］ MENG X Y， WANG Y Q， MA R X， et al. Packet representation learning for traffic classification ［C］ ∥28th ACM" SIGKDD Conference on Knowledge Discovery and Data Mining（KDD′22）. Washington：ACM， 2022：3546-3554.

（責(zé)任編輯：曹莉）