面向CCSDS協(xié)議的未知協(xié)議逆向工程

1、面向ccsdS、議的未知協(xié)議逆向工程0引言未知協(xié)議逆向工程是軟件逆向工程的一個分支，是通過對通信鏈路中以二進制形式存在的未知內(nèi)容報文進行分析，并借助報文聚類分析、字段特征譜分析、信息熵流量分析等手段，認定其中未知通信實體的屬性和其交互關(guān)系，以及報文含義空間等信息，最終通過結(jié)構(gòu)化抽象或其他形式來描述未知通信協(xié)議及其相關(guān)屬性、字段含義的過程。CCSD(SConsultativeCommitteeforSpaceDataSystem)協(xié)議是國際主流的空間天地鏈路通信標準，由1982年美國航空航天局(NationalAeronauticsandSpaceAdministration，NASA為解決天地

2、通信和國際聯(lián)網(wǎng)數(shù)據(jù)的異構(gòu)設(shè)備互通、互聯(lián)、互操作問題而制定，目前已經(jīng)逐漸成為國際主流的空間信息交互模型標準，主要涉及數(shù)據(jù)處理、數(shù)據(jù)的分類與編碼傳輸、通信實體體系結(jié)構(gòu)、通信協(xié)議框架、通信業(yè)務(wù)等范圍。由于CCSDSJ、議僅僅提供了規(guī)范框架，因而使用者對協(xié)議的具體實現(xiàn)方式是千差萬別的，這為面向CCSD的未知協(xié)議逆向工程帶來一定困難。開展面向CCSDSJ、議的未知協(xié)議逆向工程研究：一方面，可以幫助理解未知的二進制報文；另一方面，可以對上行至空間站和下行至國際聯(lián)網(wǎng)地面站的數(shù)據(jù)進行檢測以發(fā)現(xiàn)蠕蟲、木馬、分布式拒絕服務(wù)(DistributedDenialofService,DDoS等惡意攻擊，以保障我國空間站

3、的國際化安全運管1。協(xié)議逆向工程的研究在學術(shù)和工程層面都得到廣泛重視。根據(jù)研究對象的不同，協(xié)議逆向工程可以分為兩類：一類是針對未知軟件的二進制可執(zhí)行程序，又稱為動態(tài)污點分析(tainteddata)；另一類針對未知通信流量的二進制報文序列，又稱為網(wǎng)絡(luò)追蹤(networktrace)。在實際的逆向工程問題中，代碼和流量常常兼而有之，因此兩類研究沒有清晰的界限，本文研究主要針對后者。在工程層面，針對未知二進制報文的協(xié)議逆向工程最早源于2004年由Beddoe啟動的并被廣泛引用的PI(ProtocolInformatics)項目2，此后出現(xiàn)了很多類似的開源工程7。其中，GeorgesBossert團

4、隊豐富了PI項目的功能，并啟動了開源項目Netzob8，該軟件由詞匯推斷器、語法推斷器和未知協(xié)議模擬器組成，并將未知通信協(xié)議的理解、驗證和測試功能集成到了一起；Netzob不僅可以逆向TCP(TransmissionControlProtocol)、IP(InternetProtocol)等固定字段協(xié)議，還可以逆向基于ASN.1的變字段協(xié)議，并且它還引入了機器人科學中的半隨機狀態(tài)模型和AngluinL算法用于自動推斷。此外，劉彪等9針對國外某型號混合動力貨車電控網(wǎng)絡(luò)的協(xié)議逆向工程問題，提出并設(shè)計實現(xiàn)了結(jié)合實車道路實驗和臺架實驗的CAN(ControllerAreaNetwork)網(wǎng)絡(luò)協(xié)議逆向分

5、析系統(tǒng)。以上研究都是針對因特網(wǎng)協(xié)議或混合動力汽車電控網(wǎng)絡(luò)協(xié)議展開，并在標準的因特網(wǎng)協(xié)議流量數(shù)據(jù)測試集或整車電控網(wǎng)絡(luò)測試平臺上完成仿真和測試。本文則針對CCSDS1、議標準的特殊性展開研究，由于空間鏈路固有的不穩(wěn)定性和較大延遲，造成基于CCSDS1、議的報文流量存在較強的業(yè)務(wù)破碎性和流量混雜性，因而本文首先根據(jù)CCSDS、議的特點設(shè)計了一種CCSDS、議框架下的未知協(xié)議逆向工程分析系統(tǒng)，主要包括系統(tǒng)的架構(gòu)設(shè)計和流程設(shè)計；然后針對協(xié)議逆向工程的算法效率瓶頸問題，提出了一種改進的基于仿射傳播聚類的逆向分析算法?？臻g通信鏈路的以下特殊性造成其通信協(xié)議與通用的組網(wǎng)協(xié)議之間存在較大差異：1）信道穩(wěn)定性差。

6、空間信道受電離層窗口吸收率、太陽黑子活動、地表雜波、星蝕、日凌、衛(wèi)星平臺穩(wěn)姿精度，以及天線指向機構(gòu)穩(wěn)定性的影響，表現(xiàn)為極強的不穩(wěn)定性。一般衛(wèi)星天地鏈路使用糾錯碼、級聯(lián)抗干擾碼，以及降低星座圖的方法改善接收性能，但實際效果有限，空間鏈路仍表現(xiàn)為較差的信道穩(wěn)定性。2）傳輸延遲大。一般近地衛(wèi)星天地鏈路延遲為數(shù)十毫秒量級，同步衛(wèi)星可達數(shù)百毫秒量級?？臻g通信鏈路的以上特性通常造成發(fā)送端頻繁重傳、接收端多重接收和包序錯亂等現(xiàn)象，因此基于CCSDS匡架的通信協(xié)議在設(shè)計與實現(xiàn)時，一般會增加極強的容延、容斷機制，以保證通信的可靠性10。目前關(guān)于通信協(xié)議逆向工程的研究結(jié)論和逆向算法，通常建立在信道穩(wěn)定性較好的基礎(chǔ)

7、上，因為這種情況下報文的次序性較好、協(xié)議運行穩(wěn)定，因而語法分析的難度較低。然而，空間信道的不穩(wěn)定性及其與容延容斷協(xié)議的交互作用，使得天地鏈路的網(wǎng)絡(luò)流量表現(xiàn)出很強的破碎性和多樣性，這極大地增加了協(xié)議語法逆向分析的難度。對策：1）先用計算機仿真出各種信道狀況下CCSDS1、議的行為，建立起一個足夠大的標準流量模板庫，并通過半人工監(jiān)督的機器學習來對其進行分類，從而構(gòu)建分類器。2）再將待逆向分析的未知二進制報文序列分解為2N個子集，并逐一輸入分類器，這樣可以將未知二進制報文的所有可能的會話分割情形進行覆蓋式分類，從而達到對會話定界的目的。3）最后采用迭代聚類的方法，不斷與CCSDS1、議標準語法模板進

8、行匹配，直至獲得足夠的協(xié)議信息并完成狀態(tài)機的構(gòu)建。以下通過系統(tǒng)設(shè)計，給出以上對策的一種實現(xiàn)方案。2面向CCSDS1、議的逆向工程系統(tǒng)設(shè)計通常情況下，協(xié)議逆向工程由會話定界、報文語法分析、狀態(tài)機構(gòu)建三個步驟組成2,11o由于基于CCSDS1、議的空間信道其流量具有復雜的分形特征，會導致逆向工程的運算量大大增加，因此在系統(tǒng)設(shè)計時考慮使用大型數(shù)據(jù)存儲服務(wù)器和高速計算平臺來解決這一問題。面向CCSDS1、議二進制報文未知協(xié)議的逆向工程分析系統(tǒng)（CCSDSProtocolReversingEngineeringSystem,CPRES,其系統(tǒng)結(jié)構(gòu)設(shè)計如圖1所示。如圖1所示，首先根據(jù)未知二進制報文的發(fā)送時

9、機，由人工推斷所有可能的仿真場景，并使用STK(SatelliteToolKit)軟件生成天地鏈路的空間拓撲變化情況，用OPNE歆件的衛(wèi)星通信模塊仿真空間信道的不穩(wěn)定性，用OPNE歆件的有限狀態(tài)機設(shè)計模式實現(xiàn)對CCSDS1、議的編碼層、傳送層、包裝層和系統(tǒng)管理層的協(xié)議的仿真。產(chǎn)生的仿真數(shù)據(jù)和仿真想定構(gòu)成一個存儲條目，將其存儲于大型數(shù)據(jù)存儲服務(wù)器中，以便擇優(yōu)搜索。然后將這些標準的流量模板逐一輸入在高速計算平臺上構(gòu)建的半人工監(jiān)督的機器學習分類器，以便訓練這一智能分類器的內(nèi)部模型參數(shù)。最后，將二進制報文序列所有可能的2N個組合可能逐一輸入機器學習分類器進行分類，從而達到對未知二進制報文進行會話定界的

10、目的。完成會話定界后，逆向分析的復雜性就大大降低了，可以采用如圖2所示的流程進行人工的或計算機輔助的報文逆向。如圖2所示，首先將會話中的報文按照已知的字段標志進行聚類分析，得到會話中的報文子集，在經(jīng)過人工的協(xié)議格式分析后，在CCSDS1、議語法庫中搜索這些可能的分析結(jié)論：如果不匹配，則認為是加密報文或字段以及干擾報文或字段；如果匹配，則按照這種新識別的語法標記重新標記報文，并送入聚類器進行迭代聚類，重復這一過程最終直至完全剩下加密報文或字段以及干擾報文或字段。在以上迭代過程中，將標記后的報文進行整理，并人工進行狀態(tài)機的沖突解決和再融合，可以最終得到未知協(xié)議的狀態(tài)機。3 報文聚類改進算法在未知協(xié)

11、議的逆向工程中，報文聚類分析往往是影響逆向工程效率的瓶頸11。從圖2的報文分析流程可以看到，該流程采用的迭代聚類方式與PI項目所采用的單向聚類相比，盡管能適應(yīng)空間信道不穩(wěn)定造成的會話定界誤差從而進一步導致的干擾字段問題，但是，計算開銷卻成倍增大。另一方面，由于協(xié)議的未知性，該分析流程的迭代次數(shù)是不可預估的，極有可能導致未知協(xié)議的逆向工程成為NP難問題，因此，必須降低計算復雜度和計算開銷才能使算法實用化。解決的方法之一便是提高報文聚類效率。在PI項目中，采用生物信息學中常用的非權(quán)組對的算術(shù)平均聚類(UnweightedPairwiseMeanbyArithmeticAverages，UPGMA算法用于多序列比對中的進化樹生成問題2,12o但由于該算法在每一步比對報文的序列片段時采用了遍歷法，因而計算開銷較大2，11。2007年Fery等在Science上提出仿射傳播(AffinityPropagation,AP5)聚類算法2,13。該算法不須在聚類前指定聚類數(shù)目，而是在初始化時將所有樣本都視為類簇中心。首先建立反映所有樣本點之間相互相似度的Similarity矩陣，然后對反映樣本中心化傾向的Responsibility矩陣和邊緣化傾向的Availability矩陣進行不斷迭代，直至Exemplar矩陣收斂，最終的Exemplar矩陣中主對角