论文题目:即时通信软件协议分析技术的研究与实现
摘要:伴随着人们对即时通信软件的依赖程度越来越高,即时通信软件的通信内容安全越来越引起安全研究人员的重视。协议分析技术在网络应用程序内容安全方面具有重要的作用,但由于越来越多的即时通信软件使用了加密通信协议,加密技术隐藏了网络数据原有的格式信息和语义信息,阻碍了协议分析工作,因此如何高效的对加密协议进行协议分析是一项重要且极具探索性的研究课题。论文首先介绍了协议分析的研究现状、技术背景以及常用方法,并对已有的研究成果进行了论述。在此基础上,本文提出了一种针对即时通信软件进行协议分析的方法:通过定位二进制软件中的密码函数,以提取解密后的明文协议消息,并使用协议格式提取方法对获取到的协议数据进行分析,以得到该协议消息的格式信息。本文的工作主要包括:1.密码函数定位技术的研究。通过对密码算法实现中指令特征以及I/O参数信息熵变化的研究,提出基于特征的密码函数定位方法;通过对密钥、密文/明文以及密码算法三者之间依赖关系的研究,提出基于循环数据流的密码函数定位方法,并从适用范围、时间开销以及实现复杂度等方面对两种方法进行了比较。2.协议格式提取技术的研究。通过动态跟踪被分析软件解析例程的执行轨迹,归纳总结了解析例程对协议消息中各个主要协议字段解析过程,提出了针对各个主要协议字段及其语义信息的提取方法,并将提取到的字段及其语义信息添加到协议字段树中,以完成协议分析工作。3.设计并实现了基于Pin的原型系统IMPA。首先,通过对动态污点分析技术在协议分析领域的研究,本文设计并实现了一种高效的污点传播跟踪方法;之后,本文详细论述了IMPA系统中各个模块的设计和实现细节,并从功能测试和比较测试两个方面对系统进行了评估。功能测试结果说明了本文提出方法的有效性,与已有的方法相比较,本文提出的方法能更加准确的定位密码函数的位置,并有效的提取协议消息的格式信息。
关键词:即时通信软件;动态污点分析技术;Pin;密码函数定位;协议分析技术
学科专业:计算机软件与理论
摘要
ABSTRACT
第一章 绪论
1.1 即时通信行业概况
1.1.1 即时通信行业的发展现状
1.1.2 即时通信行业的安全状况
1.2 课题背景意义
1.3 国内外研究现状分析
1.4 研究内容
1.5 论文的组织结构安排
第二章 协议分析的相关技术背景
2.1 协议分析的常用方法
2.1.1 人工分析
2.1.2 报文序列分析技术
2.1.3 程序二进制指令执行轨迹分析技术
2.1.4 两种协议自动分析方法的比较
2.2 动态污点分析技术
2.3 动态二进制插桩平台
2.3.1 动态二进制插桩
2.3.2 Intel Pin平台
2.4 本章小结
第三章 密码函数定位技术的研究
3.1 问题分析
3.1.1 解密内存的提取
3.1.2 密码函数的定位
3.2 基于密码函数特征的通用定位方法
3.2.1 思路概述
3.2.2 循环结构动态识别
3.2.3 密码函数I/O参数提取
3.2.4 密码函数的筛选
3.3 基于循环数据流的密码函数定位方法
3.3.1 思路概述
3.3.2 密码函数匹配
3.4 方法比较
3.5 本章小结
第四章 协议格式提取技术的研究
4.1 问题分析
4.1.1 实例分析
4.1.2 协议字段分类
4.1.3 协议字段树
4.2 协议格式提取的总体思路和流程
4.3 协议字段树的构建
4.3.1 标识分隔符和关键字
4.3.2 标识长度和目标域
4.3.3 标识固定长度字段
4.3.4 标识字段语义信息
4.4 本章小结
第五章 原型系统的设计与实现
5.1 总体框架
5.2 动态二进制分析模块
5.2.1 污点分析模块
5.2.2 轨迹记录模块
5.3 关键数据定位模块
5.3.1 循环识别和I/O参数提取模块
5.3.2 密码函数定位模块
5.3.3 解密数据提取模块
5.4 协议格式提取模块
5.4.1 协议格式提取模块的设计
5.4.2 协议格式提取模块的实现
5.5 本章小结
第六章 实验与分析
6.1 实验环境
6.2 实验对象
6.3 实验与分析
6.3.1 功能测试
6.3.2 方法比较
6.4 本章小结
第七章 结束语
7.1 工作总结
7.2 工作展望
致谢
参考文献
攻硕期间取得的成果