基于主体交互行为的安全协议密文信息推断方法
基于主体交互行为的安全协议密文信息推断方法
【技术领域】
[0001] 本发明设及网络安全领域,特别设及一种基于主体交互行为的安全协议密文信息 推断方法。
【背景技术】
[0002] 协议识别是大量网络安全关键应用的重要环节,如入侵检测、网络QoS、流量监控、 用户行为分析等,对于网络管理员、服务提供商、用户都具有重要意义。基于网络报文数据, 识别信息系统所采用的协议类型,进而分析用户交互行为信息是网络协议识别的关键内 容,有助于对各种网络应用实施监控和管理,能够有效降低系统面临的安全风险,提升信息 系统抵御恶意攻击的能力。随着密码技术的广泛应用,安全协议被大量应用在互联网各种 核屯、、关键应用中,与安全协议相关的各种数据在网络流量中比重日益增加。但是,网络安 全协议大量采用密码技术对关键信息进行加密保护,网络中采集的相关数据包含很多密文 项。由于密码算法的破解难度非常大,在缺少正确密钥的情况下不能对密文数据进行解析。 因此仅仅依靠报文数据不能完成对一些关键信息的采集,无法获得报文密文数据中的一些 关键信息。在网络数据中,识别信息系统所采用的协议类型,进而分析用户交互行为有助于 加强对各种网络应用实施监控和管理,能够有效降低系统面临的安全风险,提升信息系统 抵御恶意攻击的能力。但是,随着密码技术的广泛应用,安全协议大量采用密码技术对关键 信息进行加密保护,导致了网络中采集的相关数据包含很多无法解析的密文项,该为网络 信息的管控带来了很大的问题。
[0003] 目前对网络报文信息进行解析主要存在两类方法;一类为基于网络报文流量信 息的方法,该方法W采集得到的网络数据流为分析对象,单纯利用网络流量来解析网络协 议;另外一类为基于目标主机程序执行轨迹的方法,该方法对实现网络协议的服务器程序 进行二进制的动态跟踪分析,通过跟踪二进制文件对报文的处理流程对报文进行解析,目 前可实现对密码协议的一定程度上的内容识别。基于网络报文流量信息的分析方法主要通 过捕获网络通信流量数据,基于流量端口、载荷中的明文数据、数据包的统计特征等实施分 析,该方法W采集得到的网络数据流为分析对象,单纯利用网络流量来解析网络协议,但该 方法目前仅对明文协议进行分析,无法对密文数据进行处理,如图1和图2所示,基于著名 的网络协议分析工具Wireshark对S化协议encryptedhandshakemessage消息进行解 析,Wireshark仅能够识别出该消息内容为密文,但对加密消息任何其余特征无法进行进一 步分析和利用;基于目标主机上协议相关的应用程序运行状态特征,是网络协议分析的另 一种思路,该类方法借助特定二进制分析平台,通过分析主机上应用程序对数据的处理过 程进而推测密文对应的明文结构和密文使用的密码算法。该类方法虽然可W处理加密报 文,但是需要在目标主机上获取执行协议的应用程序信息,并部署特定监测工具,进而才能 实现对特定程序运行过程信息的获取,因此,该类方法技术实现复杂,应用局限性较大,无 法真正满足网络环境中对数据报文监测需求,并且在实际应用中,当无法获得目标程序时 该类方法将失效。
【发明内容】
[0004] 针对现有技术中的不足,本发明提供一种基于主体交互行为的安全协议密文信息 推断方法,充分利用协议规范格式、网络系统中可监测到的报文、W及用户在线交互行为的 数据信息,在不需要对密文信息进行解密的条件下,对协议交互过程中的密文信息进行一 定程度上的计算和恢复,适用于采用各种密码体制的安全协议,不需要在监测主机上部署 附加监测程序,具有应用范围广,局限性小,分析速度快等优势,有助于进一步加强对网络 的监控和管理,提升信息系统抵御恶意攻击的能力。
[0005] 按照本发明所提供的设计方案,一种基于主体交互行为的安全协议密文信息推断 方法,包含如下步骤:
[0006] 步骤1.协议发起方A向协议响应方B发送消息1,消息1包含密文部分 样1_1,Xi_2kgs;若协议响应方B接收到消息1后向协议第立方S发送消息2,可判定消息1符 合相应方B的预期;消息2包含密文项口2_1iX2_2}Ka;,货2_3 ,Xykb;;若协议第S方S收到 消息2后发送给协议发起方A的消息3,可判定消息2符合S的预期,即;Xi2=X2^;消息3 包含口3_1 ,义3_2}咕5'口3_3 ,义3_4 ,掉又1而_目_2也又s^Kbskab;其中,X康示未知的变量,Kas、Kbs、 Kgb分别为协议发起方A和协议第=方S的预共享密钥、协议响应方B和协议第=方S的预 共享密钥、协议发起方A和协议响应方B的会话密钥;
[0007] 步骤2.若在消息1、消息2和消息3后,采集到协议发起方A发送给协议响应方B 的消息4,可判定消息立符合协议发起方A的预期,判定X33=X2」=X。;消息4包含密文 项 口4_1,X4_2, 和{X4_4}Kab;
[000引步骤3.若在消息1、消息2、消息3和消息4后,采集到协议响应方B和协议发起 方A之间的加密通信消息,则消息4符合协议响应方B的预期,判定X4」=Xs」=X3j」,X42 -X3_5_2,X4_3 -X4_4-X34-X33-X3530
[0009] 上述的,主体包含协议发起方A、协议响应方B及协议第=方S,从协议会话开始至 会话过程结束采集主体之间的消息交互行为,借助协议运行过程的交互行为和明文信息计 算协议交互消息中密文包含的信息。
[0010] 本发明的有益效果:
[0011] 本发明依据特定的消息格式,对网络中的协议相关报文的步骤信息进行识别,即 识别出某条数据报文属于协议运行过程中的第N个步骤,并充分利用协议规范格式、网络 系统中可监测到的报文、W及用户在线交互行为等数据信息,在不需要对密文信息进行解 密的条件下,对协议交互过程中的密文信息进行一定程度上的计算和恢复,适用于采用各 种密码体制的安全协议,不需要在监测主机上部署附加监测程序。在实际应用中,具有应用 范围广,局限性小,分析速度快等优势,有助于进一步加强对网络的监控和管理,提升信息 系统抵御恶意攻击的能力。
【附图说明】:
[0012] 图1为现有技术中wireshark采集的S化协议encryptedhandshakemessage报 文不意图;
[0013] 图2为图1所示的wireshark解析的协议格式示意图;
[0014] 图3为本发明的计算流程示意图。
【具体实施方式】:
[0015] 下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详 细说明本发明的实施方式,但本发明的实施方式并不限于此。
[0016] 实施例一,参见图3,本实施例结合经典协议交互过程,进一步说明本发明基于主 体交互行为的安全协议密文信息推断方法的【具体实施方式】,如下:
[0021] 结合协议规范、协议主体的交互行为W及网络消息的时序关系,本发明详细技术 方案步骤描述如下:
[0022] 步骤1 ;若在消息1、2后,采集到S发送给A的消息3,说明消息2符合可信第S方 S的预期,可判定Xi2=X2 2=ID_A,X2 4=ID_B;
[0023] 步骤2;若消息1、2、3后,采集到A发送给B的消息4,说明消息3符合主体A的预 期,可判定ID_B,X3^3=X2_1=X1」=N1,N1为不可计算项,此处仅为标识;
[0024] 步骤3;若消息1、2、3、4完成后,采集到主体B和A之间的加密通信消息,说明消 息 4 符合主体B的预期,可判定《4_1=X3_1=X3_5_1=Ks,X4_2=X3_5_2=ID_A,X4_3=X4_4= X2j=XN2,其中,N2、Ks为不可计算项,仅为柄;识。
[0025] 基于上述计算过程,可将整个协议交互过程恢复为如下情况:
[0030] 本发明基于协议交互规范和主体交互行为,可在一定程度上恢复密文信息;对于 主体身份标识等,可参照明文信息获取具体值的项,称之为可计算项;对于随机数N1,N2, Ks等纯密文信息,可判定密文中是否包含相同的项,称之为不可计算项。
[0031] 本发明适用于采用各种密码体质的安全协议,不需要在检测主机上部署附加监测 程序,应用范围广,局限性小,分析速度快,有助于进一步加强对网络的监控和管理,提升 信息系统抵御恶意攻击的能力。
[0032] 本发明并不局限于上述【具体实施方式】,本领域技术人员还可据此做出多种变化, 但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
【主权项】
1. 一种基于主体交互行为的安全协议密文信息推断方法,其特征在于:包含如下步 骤: 步骤1.协议发起方A向协议响应方B发送消息1,消息1包含密文部分Hi,xi_2kas; 若协议响应方B接收到消息1后向协议第三方S发送消息2,可判定消息1符合相应方B的 预期;消息2包含密文项(X2)Xukbs;若协议第三方S收到消息2后发送给 协议发起方A的消息3,可判定消息2符合协议第三方S的预期,即:X1JE= X 2_2,消息3包含 {X3_l,X3_2}Kas,{X3_3,X3_4,{X3_5_l,X3_S_2,X3_S_3} Kbs}Kab ,其中,Xl丄,Xl2,X2-丄,X 2-2,Xl3, X3-4,X 31,X3 2, X3 3, X3 4, X3 5 1,X3 5 2, X3 5 3均表示未知的变量,K as、Kbs、Kab分别为协议发起方A和协 议第三方S的预共享密钥、协议响应方B和协议第三方S的预共享密钥、协议发起方A和协 议响应方B的会话密钥; 步骤2.若在消息1、消息2和消息3后,采集到协议发起方A发送给协议响应方B的 消息4,可判定消息三符合协议发起方A的预期,判定X3_3= X 2」=X 消息4包含密文项 {X4-X42,义斗成和⑷士油; 步骤3.若在消息1、消息2、消息3和消息4后,采集到协议响应方B和协议发起方A 之间的加密通信消息,则消息4符合协议响应方B的预期,判定X4」=X 3」=X 3JU,X4_2 = 父3-5-2,父4-3 - X 4-4 - X 3-4 - X 2-3 - X 3-5-3。2. 根据权利要求1所述的基于主体交互行为的安全协议密文信息推断方法,其特征在 于:主体包含协议发起方A、协议响应方B及协议第三方S,从协议会话开始至会话结束采集 主体之间的消息交互行为,借助协议运行过程的交互行为和明文信息计算协议交互消息中 密文包含的信息。
【专利摘要】本发明涉及基于主体交互行为的安全协议密文信息推断方法,依据特定的消息格式,对网络中的协议相关报文的步骤信息进行识别,即识别出某条数据报文属于协议运行过程中的第N个步骤,并充分利用协议规范格式、网络系统中可监测到的报文、以及用户在线交互行为等数据信息,在不需要对密文信息进行解密的条件下,对协议交互过程中的密文信息进行一定程度上的计算和恢复,适用于采用各种密码体制的安全协议,不需要在监测主机上部署附加监测程序。本发明在实际应用中,具有应用范围广,局限性小,分析速度快等优势,有助于进一步加强对网络的监控和管理,提升信息系统抵御恶意攻击的能力。
【IPC分类】H04L29/06
【公开号】CN104901944
【申请号】CN201510160153
【发明人】袁霖, 韩继红, 李福林, 赵俭, 张恒巍, 和志鸿, 范钰丹
【申请人】中国人民解放军信息工程大学
【公开日】2015年9月9日
【申请日】2015年4月7日
【技术领域】
[0001] 本发明设及网络安全领域,特别设及一种基于主体交互行为的安全协议密文信息 推断方法。
【背景技术】
[0002] 协议识别是大量网络安全关键应用的重要环节,如入侵检测、网络QoS、流量监控、 用户行为分析等,对于网络管理员、服务提供商、用户都具有重要意义。基于网络报文数据, 识别信息系统所采用的协议类型,进而分析用户交互行为信息是网络协议识别的关键内 容,有助于对各种网络应用实施监控和管理,能够有效降低系统面临的安全风险,提升信息 系统抵御恶意攻击的能力。随着密码技术的广泛应用,安全协议被大量应用在互联网各种 核屯、、关键应用中,与安全协议相关的各种数据在网络流量中比重日益增加。但是,网络安 全协议大量采用密码技术对关键信息进行加密保护,网络中采集的相关数据包含很多密文 项。由于密码算法的破解难度非常大,在缺少正确密钥的情况下不能对密文数据进行解析。 因此仅仅依靠报文数据不能完成对一些关键信息的采集,无法获得报文密文数据中的一些 关键信息。在网络数据中,识别信息系统所采用的协议类型,进而分析用户交互行为有助于 加强对各种网络应用实施监控和管理,能够有效降低系统面临的安全风险,提升信息系统 抵御恶意攻击的能力。但是,随着密码技术的广泛应用,安全协议大量采用密码技术对关键 信息进行加密保护,导致了网络中采集的相关数据包含很多无法解析的密文项,该为网络 信息的管控带来了很大的问题。
[0003] 目前对网络报文信息进行解析主要存在两类方法;一类为基于网络报文流量信 息的方法,该方法W采集得到的网络数据流为分析对象,单纯利用网络流量来解析网络协 议;另外一类为基于目标主机程序执行轨迹的方法,该方法对实现网络协议的服务器程序 进行二进制的动态跟踪分析,通过跟踪二进制文件对报文的处理流程对报文进行解析,目 前可实现对密码协议的一定程度上的内容识别。基于网络报文流量信息的分析方法主要通 过捕获网络通信流量数据,基于流量端口、载荷中的明文数据、数据包的统计特征等实施分 析,该方法W采集得到的网络数据流为分析对象,单纯利用网络流量来解析网络协议,但该 方法目前仅对明文协议进行分析,无法对密文数据进行处理,如图1和图2所示,基于著名 的网络协议分析工具Wireshark对S化协议encryptedhandshakemessage消息进行解 析,Wireshark仅能够识别出该消息内容为密文,但对加密消息任何其余特征无法进行进一 步分析和利用;基于目标主机上协议相关的应用程序运行状态特征,是网络协议分析的另 一种思路,该类方法借助特定二进制分析平台,通过分析主机上应用程序对数据的处理过 程进而推测密文对应的明文结构和密文使用的密码算法。该类方法虽然可W处理加密报 文,但是需要在目标主机上获取执行协议的应用程序信息,并部署特定监测工具,进而才能 实现对特定程序运行过程信息的获取,因此,该类方法技术实现复杂,应用局限性较大,无 法真正满足网络环境中对数据报文监测需求,并且在实际应用中,当无法获得目标程序时 该类方法将失效。
【发明内容】
[0004] 针对现有技术中的不足,本发明提供一种基于主体交互行为的安全协议密文信息 推断方法,充分利用协议规范格式、网络系统中可监测到的报文、W及用户在线交互行为的 数据信息,在不需要对密文信息进行解密的条件下,对协议交互过程中的密文信息进行一 定程度上的计算和恢复,适用于采用各种密码体制的安全协议,不需要在监测主机上部署 附加监测程序,具有应用范围广,局限性小,分析速度快等优势,有助于进一步加强对网络 的监控和管理,提升信息系统抵御恶意攻击的能力。
[0005] 按照本发明所提供的设计方案,一种基于主体交互行为的安全协议密文信息推断 方法,包含如下步骤:
[0006] 步骤1.协议发起方A向协议响应方B发送消息1,消息1包含密文部分 样1_1,Xi_2kgs;若协议响应方B接收到消息1后向协议第立方S发送消息2,可判定消息1符 合相应方B的预期;消息2包含密文项口2_1iX2_2}Ka;,货2_3 ,Xykb;;若协议第S方S收到 消息2后发送给协议发起方A的消息3,可判定消息2符合S的预期,即;Xi2=X2^;消息3 包含口3_1 ,义3_2}咕5'口3_3 ,义3_4 ,掉又1而_目_2也又s^Kbskab;其中,X康示未知的变量,Kas、Kbs、 Kgb分别为协议发起方A和协议第=方S的预共享密钥、协议响应方B和协议第=方S的预 共享密钥、协议发起方A和协议响应方B的会话密钥;
[0007] 步骤2.若在消息1、消息2和消息3后,采集到协议发起方A发送给协议响应方B 的消息4,可判定消息立符合协议发起方A的预期,判定X33=X2」=X。;消息4包含密文 项 口4_1,X4_2, 和{X4_4}Kab;
[000引步骤3.若在消息1、消息2、消息3和消息4后,采集到协议响应方B和协议发起 方A之间的加密通信消息,则消息4符合协议响应方B的预期,判定X4」=Xs」=X3j」,X42 -X3_5_2,X4_3 -X4_4-X34-X33-X3530
[0009] 上述的,主体包含协议发起方A、协议响应方B及协议第=方S,从协议会话开始至 会话过程结束采集主体之间的消息交互行为,借助协议运行过程的交互行为和明文信息计 算协议交互消息中密文包含的信息。
[0010] 本发明的有益效果:
[0011] 本发明依据特定的消息格式,对网络中的协议相关报文的步骤信息进行识别,即 识别出某条数据报文属于协议运行过程中的第N个步骤,并充分利用协议规范格式、网络 系统中可监测到的报文、W及用户在线交互行为等数据信息,在不需要对密文信息进行解 密的条件下,对协议交互过程中的密文信息进行一定程度上的计算和恢复,适用于采用各 种密码体制的安全协议,不需要在监测主机上部署附加监测程序。在实际应用中,具有应用 范围广,局限性小,分析速度快等优势,有助于进一步加强对网络的监控和管理,提升信息 系统抵御恶意攻击的能力。
【附图说明】:
[0012] 图1为现有技术中wireshark采集的S化协议encryptedhandshakemessage报 文不意图;
[0013] 图2为图1所示的wireshark解析的协议格式示意图;
[0014] 图3为本发明的计算流程示意图。
【具体实施方式】:
[0015] 下面结合附图和技术方案对本发明作进一步详细的说明,并通过优选的实施例详 细说明本发明的实施方式,但本发明的实施方式并不限于此。
[0016] 实施例一,参见图3,本实施例结合经典协议交互过程,进一步说明本发明基于主 体交互行为的安全协议密文信息推断方法的【具体实施方式】,如下:
[0021] 结合协议规范、协议主体的交互行为W及网络消息的时序关系,本发明详细技术 方案步骤描述如下:
[0022] 步骤1 ;若在消息1、2后,采集到S发送给A的消息3,说明消息2符合可信第S方 S的预期,可判定Xi2=X2 2=ID_A,X2 4=ID_B;
[0023] 步骤2;若消息1、2、3后,采集到A发送给B的消息4,说明消息3符合主体A的预 期,可判定ID_B,X3^3=X2_1=X1」=N1,N1为不可计算项,此处仅为标识;
[0024] 步骤3;若消息1、2、3、4完成后,采集到主体B和A之间的加密通信消息,说明消 息 4 符合主体B的预期,可判定《4_1=X3_1=X3_5_1=Ks,X4_2=X3_5_2=ID_A,X4_3=X4_4= X2j=XN2,其中,N2、Ks为不可计算项,仅为柄;识。
[0025] 基于上述计算过程,可将整个协议交互过程恢复为如下情况:
[0030] 本发明基于协议交互规范和主体交互行为,可在一定程度上恢复密文信息;对于 主体身份标识等,可参照明文信息获取具体值的项,称之为可计算项;对于随机数N1,N2, Ks等纯密文信息,可判定密文中是否包含相同的项,称之为不可计算项。
[0031] 本发明适用于采用各种密码体质的安全协议,不需要在检测主机上部署附加监测 程序,应用范围广,局限性小,分析速度快,有助于进一步加强对网络的监控和管理,提升 信息系统抵御恶意攻击的能力。
[0032] 本发明并不局限于上述【具体实施方式】,本领域技术人员还可据此做出多种变化, 但任何与本发明等同或者类似的变化都应涵盖在本发明权利要求的范围内。
【主权项】
1. 一种基于主体交互行为的安全协议密文信息推断方法,其特征在于:包含如下步 骤: 步骤1.协议发起方A向协议响应方B发送消息1,消息1包含密文部分Hi,xi_2kas; 若协议响应方B接收到消息1后向协议第三方S发送消息2,可判定消息1符合相应方B的 预期;消息2包含密文项(X2)Xukbs;若协议第三方S收到消息2后发送给 协议发起方A的消息3,可判定消息2符合协议第三方S的预期,即:X1JE= X 2_2,消息3包含 {X3_l,X3_2}Kas,{X3_3,X3_4,{X3_5_l,X3_S_2,X3_S_3} Kbs}Kab ,其中,Xl丄,Xl2,X2-丄,X 2-2,Xl3, X3-4,X 31,X3 2, X3 3, X3 4, X3 5 1,X3 5 2, X3 5 3均表示未知的变量,K as、Kbs、Kab分别为协议发起方A和协 议第三方S的预共享密钥、协议响应方B和协议第三方S的预共享密钥、协议发起方A和协 议响应方B的会话密钥; 步骤2.若在消息1、消息2和消息3后,采集到协议发起方A发送给协议响应方B的 消息4,可判定消息三符合协议发起方A的预期,判定X3_3= X 2」=X 消息4包含密文项 {X4-X42,义斗成和⑷士油; 步骤3.若在消息1、消息2、消息3和消息4后,采集到协议响应方B和协议发起方A 之间的加密通信消息,则消息4符合协议响应方B的预期,判定X4」=X 3」=X 3JU,X4_2 = 父3-5-2,父4-3 - X 4-4 - X 3-4 - X 2-3 - X 3-5-3。2. 根据权利要求1所述的基于主体交互行为的安全协议密文信息推断方法,其特征在 于:主体包含协议发起方A、协议响应方B及协议第三方S,从协议会话开始至会话结束采集 主体之间的消息交互行为,借助协议运行过程的交互行为和明文信息计算协议交互消息中 密文包含的信息。
【专利摘要】本发明涉及基于主体交互行为的安全协议密文信息推断方法,依据特定的消息格式,对网络中的协议相关报文的步骤信息进行识别,即识别出某条数据报文属于协议运行过程中的第N个步骤,并充分利用协议规范格式、网络系统中可监测到的报文、以及用户在线交互行为等数据信息,在不需要对密文信息进行解密的条件下,对协议交互过程中的密文信息进行一定程度上的计算和恢复,适用于采用各种密码体制的安全协议,不需要在监测主机上部署附加监测程序。本发明在实际应用中,具有应用范围广,局限性小,分析速度快等优势,有助于进一步加强对网络的监控和管理,提升信息系统抵御恶意攻击的能力。
【IPC分类】H04L29/06
【公开号】CN104901944
【申请号】CN201510160153
【发明人】袁霖, 韩继红, 李福林, 赵俭, 张恒巍, 和志鸿, 范钰丹
【申请人】中国人民解放军信息工程大学
【公开日】2015年9月9日
【申请日】2015年4月7日
最新回复(0)