基于主动交互式学习的工控协议逆向分析

作     者：付安民 毛安 黄涛 胡超 刘莹 张晓明 王占丰 FU Anmin;MAO An;HUANG Tao;HU Chao;LIU Ying;ZHANG Xiaoming;WANG Zhanfeng

作者机构：南京理工大学计算机科学与工程学院江苏南京210094 中国人民解放军陆军工程大学指挥控制工程学院江苏南京210007 国家计算机网络与信息安全管理中心北京100029 南京莱克贝尔信息技术有限公司江苏南京210014 

基　　金：国家重点研发计划(2022YFB3104002) 国家自然科学基金(62072239) 江苏省重点研发计划(BE2022081) 未来网络科研基金(FNSRFP-2021-ZD-05) 

出 版 物：《西安电子科技大学学报》 (Journal of Xidian University)

年 卷 期：2023年第50卷第4期

页      码：22-33页

摘      要：作为工业控制系统信息交互的重要基础,工控协议在设计和实现上的规范与完备直接关系到整个工业控制系统的安全运行。针对未知工业控制协议逆向,基于流量样本的协议逆向方法因其无需分析系统固件等优点而受到越来越多的关注。但是该类方法也存在过于依赖样本多样性等缺点,特别是样本多样性不足容易导致字段划分错误、状态识别错误、分析只得到协议规范子集等问题。为此提出一种基于主动交互式学习的工控协议逆向分析方法,在流量样本逆向结果的基础上,依据初始逆向结果构建数据包集合,与真实设备进行交互学习,探测未知协议字段与状态机。与工控模拟软件的交互学习仿真实验结果显示,该方法能有效地验证字段语义、扩充字段取值、扩充异常样本类型,并解决因样本多样性不足而导致的伪长静态字段问题,同时还能有效探测新的状态和状态变迁,极大提高了未知协议逆向的准确性。

主 题 词：工控协议 协议逆向 交互式学习 协议状态机 

学科分类：12[管理学] 1201[管理学-管理科学与工程类] 08[工学] 081201[081201] 0812[工学-测绘类] 

核心收录：

D　O　I：10.19665/j.issn1001-2400.2023.04.003

馆 藏 号：203123426...