技術(shù)特征：

1.一種未知協(xié)議逆向分析與特征提取方法，其特征在于，包括：

2.根據(jù)權(quán)利要求1所述的未知協(xié)議逆向分析與特征提取方法，其特征在于，所述abnf語法核心規(guī)則映射表中，

3.根據(jù)權(quán)利要求1所述的未知協(xié)議逆向分析與特征提取方法，其特征在于，所述使用jaccard系數(shù)和jaccard距離進(jìn)行不同報(bào)文中令牌的相似性計(jì)算，得到不同報(bào)文之間令牌的令牌格式距離的具體步驟包括：

4.根據(jù)權(quán)利要求3所述的未知協(xié)議逆向分析與特征提取方法，其特征在于，

5.根據(jù)權(quán)利要求4所述的未知協(xié)議逆向分析與特征提取方法，其特征在于，所述基于所述報(bào)文格式距離，采用基于輪廓系數(shù)和鄧恩指數(shù)的dbscan算法進(jìn)行不同報(bào)文的聚類的具體步驟包括：

6.根據(jù)權(quán)利要求5所述的未知協(xié)議逆向分析與特征提取方法，其特征在于，所述對(duì)于聚類形成的每種報(bào)文類別，利用nw算法對(duì)報(bào)文中出現(xiàn)相似度值躍變區(qū)域的區(qū)域內(nèi)容進(jìn)行提取，并將其標(biāo)記為未知協(xié)議的特征字符的具體步驟包括：

技術(shù)總結(jié)
本發(fā)明公開了一種未知協(xié)議逆向分析與特征提取方法，包括提取混合未知協(xié)議數(shù)據(jù)包的報(bào)文，然后采用ABNF語法核心規(guī)則映射表，將所提取的報(bào)文按字節(jié)劃分為具有附加屬性的令牌；進(jìn)行不同報(bào)文中令牌的相似性計(jì)算，得到不同報(bào)文之間令牌的令牌格式距離；基于所述令牌格式距離，采用文本相似度度量算法，獲取不同報(bào)文之間的報(bào)文格式距離；基于所述報(bào)文格式距離，采用DBSCAN算法進(jìn)行不同報(bào)文的聚類；對(duì)于聚類形成的每種報(bào)文類別，對(duì)報(bào)文中出現(xiàn)區(qū)域相似度值躍變的區(qū)域內(nèi)容進(jìn)行提取，并將其標(biāo)記為未知協(xié)議的特征字符。該方法利用協(xié)議逆向技術(shù)，可以有效實(shí)現(xiàn)對(duì)未知協(xié)議的逆向分析和特征提取。

技術(shù)研發(fā)人員：吳小虎,張明遠(yuǎn),劉小磊,張小堅(jiān),靜柯
受保護(hù)的技術(shù)使用者：江蘇電力信息技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2024/12/19