网络编码协议污点回溯逆向分析方法研究

doi:10.3969/j.issn.1671-1122.2017.01.011

信息网络安全 ›› 2017, Vol. 17 ›› Issue (1): 68-76.doi: 10.3969/j.issn.1671-1122.2017.01.011

网络编码协议污点回溯逆向分析方法研究

高君丰^1,², 张岳峰^1,³, 罗森林¹(), 张笈¹

1.北京理工大学信息系统及安全对抗实验中心,北京 100081
2. 中国人民解放军92785部队,河北秦皇岛 066200
3. 中国人民解放军装甲兵学院,安徽蚌埠 233000

收稿日期:2016-11-27 出版日期:2017-01-20 发布日期:2020-05-12
作者简介:
作者简介：高君丰（1987—）,男,河北,硕士研究生,主要研究方向为信息安全、数据挖掘;张岳峰（1989—）,男,山东,硕士研究生,主要研究方向为信息安全、数据挖掘;罗森林（1968—）,男,河北,教授,博士,主要研究方向为信息安全、数据挖掘、文本安全、媒体安全;张笈（1968—）,男,陕西,副教授,硕士,主要研究方向为信息安全。
基金资助:
国家242信息安全计划[2005C48]

Research on Taint Backtracking Reverse Analysis Method of Network Encoding Protocol

Junfeng GAO^1,², Yuefeng ZHANG^1,³, Senlin LUO¹(), Ji ZHANG¹

1. Information System and Security & Countermeasures Experimental Center, Beijing Institute of Technology, Beijing 100081, China
2. Unit 92785 of PLA, Qinhuangdao Hebei 066200, China
3. Armored Force Academy of PLA, Bengbu Anhui 233000, China

Received:2016-11-27 Online:2017-01-20 Published:2020-05-12

摘要/Abstract

摘要：

文章提出一种污点回溯方法,该方法首先对网络应用程序进行动态调试,定位网络接口函数和网络输出缓冲区,确定单次最小执行轨迹区间;然后通过执行轨迹分析计算执行轨迹区间内的所有初始内存地址;接着对应用程序进行内存快照,缓存执行轨迹区间的入口状态,并在单次执行计算之后进行恢复;最后通过污染源定位算法获取编码前的内存数据地址。实验结果表明,该方法能有效定位编码前内存地址,适用于包括加密、压缩、校验等不同类型的编码协议。通过该方法一方面可以利用编码前的内存数据分析编码协议的语法信息,提高对编码协议的语法分析能力;另一方面,利用编码函数入口地址及编码前内存地址,生成能通过完整性检测的网络协议测试数据,提高对编码协议的漏洞挖掘能力。

关键词: 协议逆向, 编码协议, 污点回溯

Abstract:

This paper proposes a method of taint backtracking. Firstly, this method carries on the dynamic debugging to the network application procedure, locates network interface functions and network output buffers, determines the single minimum execution trajectory interval. Secondly, it performs all of the initial memory addresses in the track section by performing a path analysis calculation. And then the memory cache is applied to the application program, and the entrance state of the trajectory interval is buffered and restored after a single execution of the calculation. Finally, the address of the memory data before coding is obtained by the pollution source localization algorithm. Experimental results show that this method can effectively locate the pre-coding memory address, and it is suitable for different types of coding protocols, including encryption, compression and verification. On the one hand, this method can analyze the syntax information of the encoding protocol by using the memory data before encoding, and improve the syntax analysis ability of the encoding protocol. On the other hand, using the encoding function entry address and the pre-coding memory address, it can generate the network protocol test data that can be detected through integrity, and improve the capabilities of vulnerabilities discovery of the encoding protocol.

Key words: protocol reverse, encoding protocol, taint backtracking

中图分类号:

TP393

高君丰, 张岳峰, 罗森林, 张笈. 网络编码协议污点回溯逆向分析方法研究[J]. 信息网络安全, 2017, 17(1): 68-76.

Junfeng GAO, Yuefeng ZHANG, Senlin LUO, Ji ZHANG. Research on Taint Backtracking Reverse Analysis Method of Network Encoding Protocol[J]. Netinfo Security, 2017, 17(1): 68-76.

图/表 14

图1

图2

表1

表2

图3

表3

表4

图4

图5

表5

表6

表7

表8

表9

参考文献 18

[1]	WANG Zhi, JIANG Xuxian, CUI Wweidong, et al.ReFormat: Automatic Reverse Engineering of Encrypted Messages[C]//Alcatel-Lucent Bell Labs France. 14th European Conference on Research in Computer Security, September 21-23, 2009, Saint-Malo, France. Berlin: Springer, 2009:200-215.
[2]	CABALLERO J, POOSANKAM P, KREIBICH C, et al.Dispatcher: Enabling Active Botnet Infiltration Using Automatic Protocol Reverse-engineering[C]//ACM. 2009 ACM Conference on Computer and Communications Security, November 9-13, 2009, Chicago, Illinois, USA. New York: ACM, 2009: 621-634.
[3]	CABALLERO J, SONG D.Automatic Protocol Reverse-engineering: Message Format Extraction and Field Semantics Inference[J]. Computer Networks, 2013, 57(2): 451-474.
[4]	GRÖBERT F, WILLEMS C, HOLZ T. Automated Identification of Cryptographic Primitives in Binary Programs[C]//Communications Research Centre Canada. 14th International Conference on Recent Advances in Intrusion Detection, September 20-21, 2011, Menlo Park, CA, USA. Berlin: Springer, 2011: 41-60.
[5]	LI Meijian, WANG Yongjun, XIE Peidai, et al.Reverse Analysis of Secure Communication Protocol Based on Taint Analysis[C]//IET. 2014 Communications Security Conference, May 22-24, 2014, Beijing, China. Herts: IET, 2014: 1-8.
[6]	李程,魏强,彭建山,等. 基于分解重构的网络软件测试数据生成方法[J]. 计算机科学,2013,40(10):108-113.
[7]	LIN Wei, FEI Jinlong, ZHU Yuefei, et al.A Method of Multiple Encryption and Sectional Encryption Protocol Reverse Engineering[C]//IEEE. 2014 Tenth International Conference on Computational Intelligence and Security, November 15-16, 2014, Kunming, Yunnan, China. New Jersey: IEEE, 2014: 420-424.
[8]	SoftICE. Softice Corporation[EB/OL]. , 2016-9-11.
[9]	WinDbg Microsoft. Software Diagnostics Services[EB/OL]. , 2016-9-11.
[10]	OllyDbg. Oley Yuschuk[EB/OL]. , 2016-9-10.
[11]	Atom. ATOM[EB/OL]., 2016-9-11.
[12]	Intel. A Dynamic Binary Instrumentation Tool[EB/OL]. , 2016-9-10.
[13]	Valgrind. Valgrind[EB/OL] .
[14]	郭亮,罗森林,潘丽敏. 编码函数交叉定位网络协议测试数据生成方法研究[J]. 信息网络安全,2016(3):8-14.
[15]	石小龙,祝跃飞,刘龙,等. 加密通信协议的一种逆向分析方法[J]. 计算机应用研究,2015,32(1):214-217.
[16]	宋铮,王永剑,金波,等. 二进制程序动态污点分析技术研究综述[J]. 信息网络安全,2016(3):77-83.
[17]	ZHAO Ruoxu, GU Dawu, LI Juanru, et al.Automatic Detection and Analysis of Encrypted Messages in Malware[C]//IACR. The 9th International Conference on Information Security and Cryptology, November 27-30, 2013, Guangzhou, China. Berlin: Springer, 2014: 101-117.
[18]	郑丽芬,辛阳. 基于DPI的即时通信软件协议分析与实现[J].信息网络安全,2016(1):51-58.

网络编码协议污点回溯逆向分析方法研究

Research on Taint Backtracking Reverse Analysis Method of Network Encoding Protocol

RichHTML

PDF (PC)

可视化

摘要/Abstract

引用本文

使用本文

图/表 14

参考文献 18

相关文章 15

编辑推荐

Metrics

本文评价

[1]	赵旭, 黄光球, 崔艳鹏, 王明明. 基于改进选择算子的NIDS多媒体包多线程择危处理模型[J]. 信息网络安全, 2018, 18(10): 45-50.
[2]	达小文, 毛俐旻, 吴明杰, 郭敏. 一种基于补丁比对和静态污点分析的漏洞定位技术研究[J]. 信息网络安全, 2017, 17(9): 5-5.
[3]	徐威扬, 李尧, 唐勇, 王宝生. 一种跨指令架构二进制漏洞搜索技术研究[J]. 信息网络安全, 2017, 17(9): 21-25.
[4]	戚犇, 王梦迪. 基于信息增益的贝叶斯态势要素提取[J]. 信息网络安全, 2017, 17(9): 54-57.
[5]	张曼, 咸鹤群, 张曙光. 基于重力传感器的身份认证技术研究[J]. 信息网络安全, 2017, 17(9): 58-62.
[6]	田庆宜, 李保顺. 小型无人机电子数据取证方法研究[J]. 信息网络安全, 2017, 17(9): 85-88.
[7]	王玉辉, 曾泽华, 沈嘉荟, 符天枢. 基于APT逻辑的恐怖事件因果关系分析[J]. 信息网络安全, 2017, 17(9): 93-97.
[8]	王子涵, 王玉辉, 王雷, 王鑫. 一种基于社交媒体的突发事件话题演化分析系统研究[J]. 信息网络安全, 2017, 17(9): 98-102.
[9]	成娟娟, 郑昉昱, 林璟锵, 董建阔. Curve25519椭圆曲线算法GPU高速实现[J]. 信息网络安全, 2017, 17(9): 122-127.
[10]	付顺顺, 顾益军, 张大瀚, 孟凡鹏. 基于改进MCMC方法的重叠社区发现算法[J]. 信息网络安全, 2017, 17(9): 138-142.
[11]	韩璇, 刘亚敏. 区块链技术中的共识机制研究[J]. 信息网络安全, 2017, 17(9): 147-152.
[12]	郭敏, 曾颖明, 姚金利, 达小文. 基于大数据样本的软件行为安全分析[J]. 信息网络安全, 2017, 17(9): 153-156.
[13]	王萍, 周治平. 一种基于云的RFID所有权转移协议的改进[J]. 信息网络安全, 2017, 17(8): 60-68.
[14]	陈阳, 王勇, 孙伟. 基于YARN规范的智能电网大数据异常检测[J]. 信息网络安全, 2017, 17(7): 11-17.
[15]	刘浩, 陈志刚, 张连明. 基于社区的移动社交网络安全路由算法设计与实现[J]. 信息网络安全, 2017, 17(7): 25-31.