面向密碼協議在線安全性的監測方法

朱玉娜，韓繼紅，袁霖，范鈺丹，陳韓托，谷文

?

面向密碼協議在線安全性的監測方法

朱玉娜1,2，韓繼紅1，袁霖1，范鈺丹1，陳韓托1，谷文1

（1. 解放軍信息工程大學三院，河南鄭州 450001；2. 解放軍91033部隊，山東青島266035）

為解決現有方法無法在線監測協議邏輯進行的低交互型攻擊的問題，提出一種密碼協議在線監測方法CPOMA。首先構建面向密碼協議的特征項本體框架，以統一描述不同類型的特征項，并基于該框架首次利用模糊子空間聚類方法進行特征加權，建立個體化的密碼協議特征庫；在此基礎上給出自學習的密碼協議識別與會話實例重構方法，進而在線監測協議異常會話。實驗結果表明，CPOMA不僅能夠較好地識別已知協議、學習未知協議、重構會話，而且能夠有效在線監測協議異常會話，提高密碼協議在線運行的安全性。

密碼協議識別；會話重構；在線安全性；本體；子空間聚類

1 引言

密碼協議是互聯網各種核心安全服務可靠運行的重要支撐，其安全性分析方法一直是信息安全領域的關鍵問題。傳統方法通過形式化分析或自動化驗證來監測協議自身缺陷，需要基于特定的攻擊者模型和若干假設，只能給出理想情況下的安全性分析結果，對于協議運行過程中的某些動態因素往往不能準確判斷。以經典的SSL/TLS協議為例，該協議發布的每個版本都有形式化方法證明安全，但隨后又發現漏洞。由此，密碼協議在線安全性分析技術已經成為新一代信息安全技術中亟待進行深入研究的關鍵問題。

密碼協議運行過程中，頻繁使用各種密碼技術對關鍵信息進行加密和保護，其報文包含大量密文信息。攻擊者無法解密密文，常常通過重放、轉發密文對協議邏輯進行攻擊。該種情況下，攻擊過程僅表現為低交互性特征，不具備統計方面的特征；且與正常交互的報文具有相似的語法、語義特點。傳統的入侵監測分析工具大多依靠流量分析或特定語義格式解析的手段進行監測，其中，基于流量分析的入侵監測主要針對高交互型攻擊情況，如時間側信道攻擊，不適用于低交互型攻擊；基于特定語義格式解析的入侵監測主要針對特定攻擊模式，如“心臟出血”攻擊、版本回滾攻擊等，不具備通用性，難以實現對未知攻擊方法進行有效監測。因此現有方法均無法有效監測針對協議邏輯進行的低交互型攻擊（如并行會話攻擊、重放攻擊）。

針對這一問題，本文提出了一種密碼協議在線監測方法（CPOMA, cryptographic protocol online monitoring approach），實現了對密碼協議低交互型攻擊行為的語義級別的監測，有助于實現密碼協議在線運行的安全性。主要貢獻有：1) 構建面向密碼協議的特征項本體框架，統一描述不同類型特征項；2) 首次基于模糊子空間聚類方法（FSC, fuzzy subspace cluster）進行特征加權，并建立協議個體化特征庫；3) 針對未知密碼協議，給出自學習的識別與會話實例重構方法；4) 實現密碼協議在線監測平臺，監測協議異常會話，為協議在線安全性分析提供支撐。

2 相關工作

2.1 密碼協議識別與會話實例重構

要實現協議在線安全性分析，必須能夠在線識別信息系統中報文數據的協議類型，重構協議會話實例，獲取協議當前運行狀態信息，進而有效監測當前協議是否存在安全隱患。因此，密碼協議識別和會話實例重構技術是實現協議在線安全性分析的前提和基礎。

現有密碼協議識別方法主要有4個方面。1) 基于端口的方法：借助協議默認端口號識別，不適用使用動態端口的協議。2) 基于負載內容的方法[1,2]：通過匹配協議關鍵詞識別，不適用于協議報文全加密的情況，且對新協議的識別具有滯后性。3) 基于流量統計特征的方法[3~8]。相同協議的網絡流具有相似統計特征，可依據網絡報文的流量統計特征識別協議。該類方法大都采用機器學習技術，能夠識別全加密協議，但準確性和健壯性低于基于負載內容的方法。4)綜合方法[9~12]。上述3類方法各有優缺點，一些研究試圖將它們結合使用。PortLoad[9]結合基于端口的方法和基于負載內容的方法識別協議。TIE[10]支持以插件形式開發識別模塊，實現多個識別方法的在線協同工作。NetraMark[11]結合11種不同的流量分類器，支持擴展新的識別方法并比較識別結果。文獻[12]指出，硬編碼實現的協議識別方法，每增加一種新的識別方法，修改識別規則都需要一個編寫代碼、重編譯、系統重啟的過程，無法在線升級新的識別方法和頻繁改變的識別規則；并針對該問題，結合各種識別方法提出一種可擴展的識別架構，但無法識別未知協議。

由上可知，結合各種方法的優點，建立統一的協議識別框架是協議識別領域的重要研究方向。該框架需要支持協議特征庫的更新和擴展，并且有效解決未知協議的識別問題。

協議會話實例重構需要進一步識別協議報文類型，并重構報文關鍵項的語法、語義和交互步驟，這需要以協議的格式描述信息為基礎。現有協議分析工具（如Wireshark）僅能重構已知規范協議會話，無法恢復未知規范協議會話。因此，需要自動解析未知密碼協議格式信息。基于網絡報文流量信息的方法[13,14]僅考慮報文載荷中的明文信息，不適用于包含大量密文信息的密碼協議。為此，朱玉娜等[15]提出一種新的面向未知密碼協議的格式解析方法SPFPA，解析可用明文格式特征，并挖掘協議報文中包含的密文數據特征。

2.2 密碼協議異常會話監測

為保障密碼協議運行過程中的安全性，研究人員基于流量分析[16~19]或特定語義格式解析（如Snort 心臟出血漏洞下行監測規則）監測密碼協議異常。ProtoMon[16]通過監測協議執行進程監測協議會話的安全性；文獻[17]采集分析多種形式的元數據，并基于統計和模式識別方法監測協議的異常狀態；文獻[18]提出了一種非參數累積和算法追蹤可能的攻擊者；文獻[19]給出了基于統計模型的網絡數據報文監測方法。

上述方法均在攻擊報文與正常報文有明顯區別或者高交互型攻擊下監測協議異常。對并行會話攻擊等低交互型攻擊而言，攻擊過程與正常交互時的協議報文語法格式相同，無法利用上述方法有效監測。文獻[20]為每類密碼協議建立運行狀態轉換規則庫和已知攻擊特征庫，結合密碼協議參與者的活動信息與特征庫的映射關系，監測密碼協議運行行為，但主要監測密碼協議的已知邏輯漏洞，不能監測未知攻擊，不具有通用性。為此，針對協議邏輯的低交互型攻擊，需要給出新的具有通用性的協議安全性監測方法。

3 CPOMA總體框架

密碼協議在線監測方法CPOMA的總體框架如圖1所示。

CPOMA具體各模塊功能描述如下。

1) 協議特征庫構建

分析密碼協議識別特征項和會話實例重構特征項，并基于Methontology方法構建密碼協議特征項本體框架。考慮每一維特征對不同類別的識別貢獻程度，基于FSC方法為每類協議的各個識別特征項獲取相應的權重系數。基于特征項本體框架和獲取的加權特征為每類協議分別給出相應本體實例，構建個體化的協議實例特征庫。

2) 安全性在線監測

基于特征項描述框架在線提取實際網絡環境下獲取的報文特征，并根據協議實例特征庫的識別規則進行推理，識別協議類型。基于識別結果和密碼協議實例特征庫，進一步識別報文類型，恢復報文關鍵項的語法、語義、交互步驟，重構協議會話實例。監測協議當前狀態，若發現攻擊行為，則及時阻斷協議會話，避免攻擊者進一步攻擊。

3) 自學習

依據協議的規范性和報文中密文數據的隨機性，啟發式判定未識別報文是否屬于密碼協議。對未知密碼協議聚類并標記其類型，提取協議特征項存入協議實例特征庫，用于后續監測。

4 協議實例特征庫構建

4.1 面向密碼協議的特征項本體框架

本節分析密碼協議的識別特征項和會話實例重構特征項，在此基礎上構建密碼協議特征項本體框架。

4.1.1 密碼協議特征項分析

密碼協議識別特征項主要有以下3類。1) 端口特征。2) 數據報文載荷特征：①關鍵詞特征，關鍵詞是在報文格式中用于標識協議報文類型和傳遞相關控制信息的協議字段，如協議名稱、版本號、命令碼、標識信息等，絕大多數的網絡協議都會在報文格式中定義一個或多個關鍵詞，關鍵詞在協議中頻繁出現，是組成協議特征的重要元素；②負載統計特征，將負載的前byte作為特征矢量以識別協議，Haffner[2]指出只需要流的前64 byte負載就可以挖掘協議識別特征。3) 流量統計特征：Moore等[3]給出了網絡流中用于協議識別的249種屬性特征，其中，數據分組大小、分組到達時間間隔是關鍵特征[6,8]。

本文采用端口、流中前64 byte負載的關鍵詞序列和字節分布、流中前個數據分組的大小和分組到達時間間隔作為密碼協議識別特征。端口和負載關鍵詞為精確特征。而同一協議的統計特征（負載字節分布、數據分組大小、分組到達時間間隔）并非嚴格一致，通常借助于機器學習方法完成識別。現有基于統計特征的識別方法大都為不同協議選擇統一的特征集合，而每一維特征對不同類別可能具有不同的貢獻，應引入特征權重來強化重要特征的積極作用，削減冗余特征的不利影響。

會話實例重構需要識別協議報文類型，并重構報文關鍵項的語法、語義和交互步驟。本文密碼協議的會話實例重構特征項主要有以下幾方面。1) 報文類型識別特征：協議會話由不同類型的報文組成，每類報文實現特定的功能，具有不同的語法語義，可根據協議會話過程中的數據報文載荷特征和流量統計特征識別報文類型。2) 報文關鍵項重構特征：①關鍵詞特征，重構會話不僅需要考慮與協議識別相關的前64 byte關鍵詞，還需要考慮完整協議會話過程中的其他關鍵詞；②密文數據特征，攻擊者常常通過重放、轉發密文攻擊協議，應充分利用密文數據特征。3）協議時序行為特征：協議時序行為體現了協議狀態之間的轉換關系。一次協議會話可看作是協議的一種狀態轉換路徑。

4.1.2 協議特征項本體框架

不同類型的密碼協議特征項在格式、取值范圍等方面存在巨大差異。本體是指共享概念模型的明確的形式化規范說明，用于描述概念以及概念之間的關系，支持邏輯推理、便于知識重用，應用廣泛。本文基于本體描述協議特征項，建立可擴展的協議特征項描述框架。一方面，該框架可以隨時修改其結構、功能，方便增加規則，支持特征庫更新擴展，便于重用和共享；另一方面，可以基于該框架實例化特定類型協議，為每類協議分別建立相應的特征和識別規則，構建協議個體化特征庫。

密碼協議識別特征項、會話實例重構特征項以及特征項相關的屬性概念統稱為協議概念p。協議識別和會話實例重構將流作為一個整體考慮，因此在密碼協議特征項本體框架中將流Flow作為根概念。Flow包括2個屬性概念：特征項Signature和協議類型ProtocolType，其中，ProtocolType可由Signature生成的公理得到。Signature包括如下幾項。1）端口特征Port_number。2）數據分組特征Packet_feature，包括：①數據分組統計特征Statistic——數據分組大小PacketLength和分組到達時間間隔IntervalTime；②載荷特征Payload：域Field（關鍵詞Keywords、密文域Ciphertext_field、長度域Length_field）和負載統計特征The_first_64_byte；對流中第1個數據分組而言，若其負載大于等于64 byte，則載荷特征直接從該數據分組中獲取；若其負載小于64 byte，則還需從后續數據分組中進一步獲取與流中前64 byte相關的載荷特征；③時序行為相關的特征——數據分組偏移Packet_offset和數據分組方向Dir。3）統計特征相關的類簇特征Cluster_profile，包括類簇中心Center和距離閾值Distance_threshold。隨后，對特征項概念根據密碼協議的運行特點進一步確定相關的屬性概念，如PacketLength存在2個屬性概念：權重系數Len_weight和值Len_value。

SWRL(semantic Web rule language)是由以語義的方式呈現規則的一種語言，目前已成為語義Web 邏輯層的標準語言。SQWRL(semantic query- enhanced web rule language)是SWRL的擴展語言。本文基于SQWRL描述協議特征項本體框架中的協議識別規則。1) 端口識別規則和數據分組載荷識別規則：端口特征和數據分組載荷的關鍵詞特征為精確特征，對其進行匹配即可識別密碼協議。端口識別規則如下：Flow(?) ∧Port_number(?, ?)∧swrlb:equal(?, value)→ ProtocolType；數據分組載荷識別規則如下：Flow(?)∧KeywordsValue(?,?)∧KeywordsOffset(?,?)∧swrlb:equal(?, value1)∧ swrlb:equal(?, value2)→ProtocolType。2) 流量統計特征識別規則：同一協議的負載統計特征和流量統計特征并不完全一致，大都借助于機器學習進行識別。對協議樣本進行聚類，獲取每類協議的類簇中心、類簇劃分、特征權重系數，并為每個類簇設定距離閾值。計算待識別樣本與每個類簇中心的距離（由于引入特征權重，分別計算樣本特征向量與所有協議類簇中心z之間的加權歐式距離），若距離均大于給定的距離閾值，則為未知協議，即(Flow(?)∧Center(?z)∧ Distance_threhold(?r)∧swrlb:greaterthan (?(?z), r)) →UnknownProtocolType；否則選擇距離最近的類簇中心作為對應的協議類型。即Flow(?)∧Center(?z)∧Distance_threhold(?r) ∧swrlb:lessthan (?(?z),r))∧sqwrl:min(?(?z))→ ProtocolType。

4.2 基于FSC的特征加權方法

子空間聚類方法可以在對數據樣本聚類劃分的過程中，得到各個數據簇對應的特征子集，目前已成功應用于文本分類等領域。SubFlow[8]首次采用硬子空間聚類方法構建協議個體化特征庫，提高了識別的準確性和健壯性，但在提取協議特征階段，要求流量由同一類協議組成，不適用多種協議混雜的情況。與硬子空間聚類方法對比，軟子空間聚類具有更好的適應性和靈活性，已成為學術界的研究熱點，FSC[22]是其中的典型方法。

為提高基于統計特征的識別效果，本文基于FSC獲取各個特征的權重系數，為不同類型協議構建不同的加權統計特征。

4.2.1 FSC方法

4.2.2 特征加權方法

1) FSC初始點選擇算法

FSC方法對初始點敏感，初始中心選擇不當容易陷入局部最優解。為此，本文借鑒means++的思想，選取彼此距離盡可能遠的樣本點作為初始類簇中心。從數據集中隨機選擇1個點作為第1個類簇中心，并依據規則選取其他類簇中心。

2) 特征加權

特征加權流程如圖3所示。

Step1 基于FSC方法獲取各個特征的權重系數。首先利用初始點選擇算法從協議數據集中選擇個中心點，隨后執行FSC方法，得到的類簇劃分、類簇中心矩陣和特征加權系數矩陣。

Step2 建立類簇與協議類型的映射，并獲取協議特征。

FSC聚類結果是未知類別標簽的類簇集合，需要進一步明確每個類簇對應的協議類型。記協議類型集合為，為類簇中協議類型()的樣本數目；是類簇的樣本數目。由最大似然估計可知，因此類簇與協議類型的映射函數為。即對每一個類簇中的樣本標記協議類型，類簇中樣本數目最多的類型標簽記為該類簇的協議類型。

在確定類簇對應的協議類型后，該類簇對應的類簇中心、特征、特征加權系數、距離閾值即為相應的協議特征。

4.3 密碼協議實例特征庫

根據協議特征項本體描述框架，對特定類型協議分別進行實例化，構建協議實例特征庫。1）確定協議特征項各個屬性的值。對端口特征，根據well-known注冊端口號進行實例化。對數據報文載荷特征，已知規范協議根據其規范進行實例化，未知規范協議則依據SPFPA方法[15]進行逆向，提取協議載荷特征；對流量統計特征，基于FSC方法進行加權，將獲取的加權統計特征存入協議本體特征庫。2）描述協議識別規則。以Https協議端口識別規則為例，在well-known端口號（443）上運行的都為固定類型Https的協議，識別規則為Flow(?) ∧port_number(?,?)∧swrlb:equal(?, 443)→ ProtocolType(?, https)。

Protégé是由斯坦福大學開發的開源本體編輯器。由于其開放性和兼容性，Protégé成為目前本體編輯的首選工具，應用廣泛。本文采用Protégé編輯協議本體庫，SWRL規則通過Protégé的SWRL Tab插件編寫。

5 安全性在線監測

5.1 密碼協議識別與會話實例重構

基于特征項本體描述框架在線提取待識別樣本流的協議特征向量，并基于本體庫中的識別規則進行推理，輸出協議類型。

隨后基于識別結果重構協議會話實例。按照參與方數目，可將密碼協議劃分為兩方密碼協議和多方密碼協議。兩方密碼協議一次會話過程包含在一個TCP連接或一個UDP雙向流中。多方密碼協議會話則分布在多個單向流中。現有方法不能確定哪些流的報文具有關聯關系，無法恢復多方密碼協議會話過程。本文針對這一問題，提取屬于同一次會話的流之間的關聯特征，確定屬于同一次會話的流[23]。

在此基礎上，結合密碼協議特征描述框架的目標密碼協議消息相關特征（數據報文大小、方向、偏移位置、載荷等），即可確定每個會話中的報文類型，從而對目標協議一次完整的消息交互序列進行構建，并構建關鍵項的語法、語義、交互步驟。

5.2 安全性監測

本文基于如下方法實現對協議實現邏輯的低交互性攻擊監測。

Step1 并行會話監測。攻擊者無法解密密文，通過轉發、重放密文進行攻擊，因此并行會話的出現是攻擊發生的必要條件。可根據會話重實例構結果監測并行會話。

Step2 重放項檢查。在監測到并行會話序列后，進一步對相關會話中關鍵消息項進行重放項檢查。本文采用隨機抽取節點的方法對密文進行比對。次隨機抽取位置如果都一致的情況下（的取值與密文長度相關），可判定為2個密文項相同。

Step3 攻擊判定。由密文的隨機性可知，正常交互情況下不同會話中的報文密文項不同。若發現密文部分存在重復內容，則存在攻擊。

Step4 報警及攻擊定位。攻擊發生后通知用戶，鎖定攻擊方IP地址，并存儲相關消息。

6 自學習反饋機制

當出現未知密碼協議時，協議識別效果下降。本文引入自學習機制，獲取未知密碼協議特征，用與后續識別與會話實例重構。

Step1 啟發式判斷未識別流是否為密碼協議。

1) 根據長度變化范圍區分協議和傳輸流量

協議具有特定的規范，流中前幾個分組長度分布在一定取值范圍內，一般變化較大。傳輸數據時，通常需要在IP層根據MTU對數據進行分片，流中分組長度大部分為固定值。由此依據長度變化范圍區分協議和傳輸流量。若第一個分組小于MTU，執行2）。若大于MTU，由于協議可能存在較長的證書數據（證書一般需要2~3個數據分組），進一步進行處理，若第2~3個數據分組長度等于MTU，則對該流不再進行處理，否則，執行2）。

2) 依據密碼協議密文數據的隨機性區分密碼協議和非密碼協議

①判斷第1個數據分組前32 byte的密文隨機性，對全密文數據而言，對其前32 byte進行熵估計，即可判斷該數據是否加密[24]。若是，執行Step2，否則執行②。

②對密文而言，連續5 byte第一個比特值同時為0或者同時為1的概率為，為小概率事件。對文本協議而言，其明文為ASCII碼，取值范圍為0~127，字節第一個比特值為0，明文中經常出現5個連續ASCII碼。對于二進制協議，由于協議規范具有特定語義，也經常出現5個連續字節第一個比特值為0的情況。可利用連續5 byte第1個比特是否相同大致判斷是否存在密文。對第1個數據分組載荷部分查找可能的密文區間。首先對載荷字節進行編碼，連續5 byte第一個比特相同則編碼為0，不同則編碼為1。鑒于密文的隨機性，密文數據編碼后出現0為小概率事件。協議密文一般長度為16~512 byte，本文對編碼為1的負載字節區域，設置16 byte的滑動窗口，該窗口始終包含該負載字節區域，并對該窗口包含的字節區域進行隨機的頻數測試。若存在某滑動窗口且該窗口包含的字節區域能夠通過頻數測試，則數據分組中可能存在密文域，該流可能為密碼協議類型，執行Step2，否則執行③。

③密碼協議流中最后1個數據分組通常包含密文數據。對流中最后1個數據分組執行與第1個數據分組相同的步驟，若判定該分組可能存在密文域，執行Step2；否則，對該流不做處理。

Step2 聚類并標記協議類型。對可能為密碼協議的流，基于特征項描述框架在線提取特征，提取流第一個數據分組前64 byte載荷數據和前個數據分組長度、分組間隔時間。當未識別密碼協議的流達到一定數目后，通過FSC方法進行聚類，并對類簇得到的協議簇進行標記。其中，在選擇FSC初始點時，已存在的類簇中心作為初始點，以降低復雜度。

Step3 提取協議特征，用于后續識別和會話重構。將協議類簇對應的識別特征存入協議實例特征庫，參與后續識別過程；對同一類型協議依據筆者提出的SPFPA方法[15]進行逆向，首先基于序列模式挖掘方法提取協議的關鍵詞序列特征，并在此基礎上利用密文數據的隨機性特征確定密文域，充分利用協議密文數據特征，從而有效解析協議格式，提取協議載荷特征，存入協議實例特征庫，用于后續會話實例重構；未聚類的未識別密碼協議繼續參與后續聚類。

7 密碼協議在線監測平臺

基于CPOMA方法，本文設計了面向密碼協議的在線監測平臺，平臺效果如圖4所示。該平臺包含報文識別模塊、會話重構模塊和攻擊監測模塊，能夠實現在線監測針對協議邏輯的攻擊行為。

7.1 實驗環境

基于CPOMA平臺，選取SSL協議、SSH協議、NS協議以及Skype協議進行實驗，其中，SSL、SSH和Skype協議是網絡中廣泛應用的密碼協議；NS公鑰協議屬于經典基礎密碼協議。

協議流量數據集如表1所示。第1部分為包含SSL協議的廣域網流量。第2部分來源于InfoVisContest數據集注1http://2009.hack.lu/index.php/InfoVisContest。，為包含SSH協議的網絡流量。第3部分由實驗室局域網環境產生，為包含NS公鑰協議的網絡流量，包括正常協議流量和并行會話攻擊的協議流量，其中，NS公鑰協議的應用程序采用Spi2Java工具生成，并在各個主機上運行。第4部分來源于Tstat數據集注2http://tstat.tlc.polito.it/traces-skype.shtml。，為Skype 的UDP流量。第5部分來源于廣域網，為普通網絡通信協議（Http協議、FTP協議）流量。

表1 協議數據集

實驗主要驗證CPOMA的識別效果、自學習效果、會話重構效果以及異常會話監測效果。Skype協議是私有協議，其協議規范不公開，無法確定會話重構效果，本文將其用于識別效果和自學習效果的驗證。

首先，基于Lua腳本對數據集進行處理，獲取與協議相關的信息（如通信雙方IP、端口、載荷內容、分組長度等）。對協議識別特征通過Z-score進行歸一化處理，使數據的各維特征都在[0,1]。從SSL、SSH和NS中分別提取500個完整會話，作為訓練集，用于構建協議實例特征庫；數據集其余部分作為測試集，采用JESS推理引擎進行知識推理，識別協議，并基于實例特征庫進一步解析協議，重構會話并監測是否存在異常。

7.2 參數設置

不同聚類數目下的值如圖5(a)所示。訓練集中存在3類協議——NS 、SSL、SSH。當=3，p=4或p=5時，為最大值。由于設定p=4與設定p=5相比，CPOMA復雜度更低，效率更高，本文設定=3，p=4。

識別參數為距離閾值r中的，依據文獻[4]方法進行設定。對訓練集在不同值情況下進行識別，并統計識別為未知協議類型的比例，如圖5(b)所示。當增大時，判定為未知協議類型的樣本數目減少，識別新協議類型的概率也隨著下降。將可以較好識別已知協議的最小值作為閾值，設定=2.5。

7.3 實驗結果

1) 協議識別結果

采用如下性能指標衡量識別效果。記測試集中某協議A的樣本數目為。1表示被正確識別為A的樣本數，2表示非A被錯誤識別為A的樣本數，識別率=，誤識別率=。識別率越高，誤識別率越低，相應的識別效果越好。

在不加入自學習反饋機制的情況下，分別采用-means和FSC方法獲取協議特征并識別協議，由于子空間聚類考慮了不同協議特征的權重，識別效果相對-means方法更好，如圖6所示。

2) 會話重構效果

對識別的SSL協議、SSH協議和NS協議進行會話重構。SPFPA方法[17]根據識別結果可以較好地解析協議。多方密碼協議會話識別方法[18]可以較好地構建密碼協議會話流，在此基礎上能夠進一步識別報文類型，重構協議會話實例。采用會話重構率指標評價會話重構效果。記測試集中某協議A的會話樣本數目為,表示被成功重構的會話數目，協議A的會話重構率為。不同訓練樣本數的協議會話重構率如圖7所示，當訓練集中某協議的會話數目大于100時，會話重構率在92.3%以上。

表2 自學習結果

3) 自學習反饋效果

在加入自學習反饋機制的情況下，采用FSC方法識別協議。依次選擇4個測試集進行驗證，每類包含500個協議會話。第1部分為包含SSL、SSH、NS的流量，第2部分在第1部分基礎上增加Http和FTP協議，第3部分在第1部分基礎上增加Skype協議流量、密文數據傳輸流量。第4部分包括所有協議。記測試集中協議樣本數目為，1表示成功識別的協議樣本，記識別比例為。結果如表2所示，對測試集2進行自學習后，Http協議和FTP協議判定為非密碼協議；對測試集3進行自學習后，可以成功將Skpye協議判定為未知密碼協議流量，并形成新簇，提取其識別特征，加密數據傳輸流量則判定為非加密流量；在測試集4中能夠識別Skype協議，其識別率為97.2%。

4) 異常會話監測效果

測試集的NS協議流量中存在1 397次正常的密碼協議會話，103次并行會話攻擊。CPOMA成功監測98次攻擊，攻擊監測正確率為100%，漏報率為6.7%。攻擊監測效果如圖8所示，針對監測到的攻擊，可提供實時報警，定位攻擊者。

8 結束語

本文提出了一種密碼協議在線監測方法CPOMA。該方法建立了特征項本體描述框架，給出了基于FSC的特征加權方法，并構建協議特征庫。在此基礎上進行協議識別和會話實例重構，進而監測協議異常會話。實驗結果表明，該方法能夠較好地監測協議會話，為協議動態安全性分析提供支撐，但CPOMA還存在一定的局限性。1）目前，多方密碼協議的識別主要針對可以獲取同類多方密碼協議流量的情況，需要提前進行訓練并提取多方密碼協議特征，下一步提出多方密碼協議的自學習識別方法。2）FSC對初始點選擇敏感、容易陷入局部最優解，出現若干類簇合并的現象，需要結合半監督學習和FSC，進一步提高協議識別正確率。

[1] BERNAILLE L, TEIXEIRA R. Early recognition of encrypted applications[C]//The 8th International Conference on Passive and Active Network Measurement. Belgium, c2007: 165-175.

[2] HAFFNER P, SEN S, SPATSCHECKO, et al. ACAS: automated construction of application signatures[C]//ACM SIGCOMM Workshop on Mining Network Data. Philadelphia, PA, USA, c2005: 197-202.

[3] MOORE A, ZUEV D, CROGAN M. Discriminators for use in flow-based classification: technical report, RR-05-13[R]. UK: Quecn Mayr University of London, 2005.

[4] BERNAILLE L, TEIXEIRA R， SALAMATIAN K. Early application identification[C]//ACM CoNEXT, Lisboa, Portugal, c2006.

[5] ZHANG J, XIANG Y, WANG Y, et al. Network traffic classification using correlation information[J]. IEEE Transactions on Parallel & Distributed Systems, 2013, 24(1): 104-117.

[6] BARALIS E M，MELLIA M，GRIMAUDO L. Self-learning classifier for internet traffic[J]. IEEE INFOCOM, Turin, Italy, c2013, 11(2): 423-428.

[7] DIVAKARAN D M，SU L，LIAU Y S, et al. SLIC: self-learning intelligent classifier for network traffic[J]. Computer Networks, 2015, 91: 283-297.

[8] XIE G W, ILIOFOTOU M, KERALAPURA R, et al. SubFlow: Towards practical flow-level traffic classification[C]//IEEE INFOCOM. Orlando, Florida, USA, c2012: 2541-2545.

[9] ACETO G, DAINOTTI A, DONATO W, et al. PortLoad: taking the best of two worlds in traffic classification[C]//IEEE INFOCOM. San Diego, 2010:1-5.

[10] DONATO WD，PESCAPè A，DAINOTTI A. TIE: a community-oriented traffic classification platform[C]//International Workshop on Traffic Monitoring and Analysis (TMA), Springer Berlin Heidelberg. c2009.

[11] LEE S, KIM H-C, BARMAN D, et al. NeTraMark: a network traffic classification benchmark[C]//ACM SIGCOMM. Toronto,ON, Canada, c2011.

[12] 張眾, 楊建華, 謝高崗. 高效可擴展的應用層流量識別架構[J]. 通信學報, 2008, 29(12): 22-31. ZHANG Z, YANG J H, XIE G G. Efficient and extensible architecture of traffic identification at application layer[J]. Journal on Communications, 2008, 29(12): 22-31.

[13] BEDDOE M. The Protocol information project[EB/OL]. http://www. tphi.net/ awalters/ PI.html.

[14] CUI W D, KANNAN J, WANG H J. Discoverer: automatic protocol reverse engineering from network traces[C]//The 16th USENIX Security Symposium on USENIX Security Symposium. Berkeley: USENIX, c2007: 199-212.

[15] 朱玉娜, 韓繼紅, 袁霖, 等. SPFPA：一種面向未知密碼協議的格式解析方法[J]. 計算機研究與發展, 2015, 52(10): 2200-2211. ZHU Y N, HAN J H, YUAN L, et al. SPFPA: a format parsing approach for unknown security protocols[J]. Journal of Computer Research and Development, 2015, 52(10): 2200-2211.

[16] JOGLEKAR S P, TATE S R. Protomon: embedded monitors for cryptographic protocol intrusion detection and prevention[C]// International Conference on Information Technology: Coding and Computing, 2004. ITCC 2004. IEEE, c2004, 1: 81-88.

[17] LECKIE T, YASINSAC A. Metadata for anomaly-based security protocol attack deduction[J]. IEEE Transactions on Knowledge and Data Engineering, 2004, 16(9): 1157-1168.

[18] FADLULLAH Z M, TALEB T, ANSARI N, et al. Combating against attacks on encrypted protocols[C]//In Communications, IEEE International Conference on ICC'07. c2007:1211-1216.

[19] FADLULLAH Z M, TALE B T, VASIAKOS A V, et al. DTRAB: combating against attacks on encrypted protocols through traffic-feature analysis[J]. IEEE/ACM Transactions on Networking (TON), 2010, 18(4): 1234-1247.

[20] YASINSAC A. An environment for security protocol intrusion detection [J]. Journal of Computer Security, 2002, 10(1/2): 177-188.

[21] MAEDCHE A. Ontology learning for the semantic Web[M]. Boston: Kluwer Academic Publishers, 2002.

[22] GAN G, WU J. A convergence theorem for the fuzzy subspace clustering (FSC) algorithm[J]. Pattern Recognition, 2008, 41 (6): 1939-1947.

[23] 朱玉娜, 韓繼紅, 袁霖, 等. 基于主體行為的多方密碼協議會話識別方法[J]. 通信學報, 2015, 11(36): 190-200. ZHU Y N, HAN J H, YUAN L, et al. Towards session identification using principal behavior for multi-party secure protocol[J]. Journal on Communications, 2015, 11(36): 190-200.

[24] KHAKPOUR A R，LIU A X. High-speed flow nature identification[C]// International Conference on Distributed Computing Systems. Montreal, Canada, c2009: 510-517.

Monitoring approach for online security of cryptographic protocol

ZHU Yu-na1,2, HAN Ji-hong1, YUAN Lin1, FAN Yu-dan1, CHEN Han-tuo1, GU Wen1

(1. The Third College, PLA Information Engineering University, Zhengzhou 450001, China; 2. Troops 91033 of PLA, Qingdao 266035, China)

Previous methods can not detect the low-interaction attacks of protocol logic. A cryptographic protocol online monitoring approach named CPOMA was presented. An ontology framework of cryptographic protocol features was constructed for the unified description of cryptographic protocol features with different types. Based on the framework, a feature weighting method was proposed by fuzzy subspace clustering first, and the individualized feature database of cryptographic protocols was built. On this basis, a self-learning method was presented for protocol identification and session rebuilding, and then abnormal protocol sessions were detected online. Experimental results show that CPOMA can identify protocols, rebuild sessions, detect abnormal sessions efficiently, and can improve the online security of cryptographic protocols.

cryptographic protocol identification, session rebuilding, online security, ontology, subspace clustering

TP393.08

A

10.11959/j.issn.1000-436x.2016129

2016-02-02；

2016-05-18

國家自然科學基金資助項目（No.61309018）

The National Natural Science Foundation of China (No.61309018)

朱玉娜（1985-），女，山東菏澤人，解放軍信息工程大學博士生，主要研究方向為安全協議逆向與識別。

韓繼紅（1966-），女，山西定襄人，博士，解放軍信息工程大學教授、博士生導師，主要研究方向為網絡與信息安全、安全協議形式化分析與自動化驗證。

袁霖（1981-），男，河南商丘人，博士，解放軍信息工程大學副教授，主要研究方向為安全協議形式化分析與自動化驗證、軟件可信性分析。

范鈺丹（1982-），女，河南鄧州人，解放軍信息工程大學講師，主要研究方向為安全協議形式化分析與自動化驗證。

陳韓托（1990-），男，浙江奉化人，解放軍信息工程大學碩士生，主要研究方向為協議在線安全性分析。

谷文（1992-），男，湖南圭陽人，解放軍信息工程大學碩士生，主要研究方向為安全協議形式化分析與驗證。