摘要
本发明公开了一种未知协议逆向分析与特征提取方法,包括提取混合未知协议数据包的报文,然后采用ABNF语法核心规则映射表,将所提取的报文按字节划分为具有附加属性的令牌;进行不同报文中令牌的相似性计算,得到不同报文之间令牌的令牌格式距离;基于所述令牌格式距离,采用文本相似度度量算法,获取不同报文之间的报文格式距离;基于所述报文格式距离,采用DBSCAN算法进行不同报文的聚类;对于聚类形成的每种报文类别,对报文中出现区域相似度值跃变的区域内容进行提取,并将其标记为未知协议的特征字符。该方法利用协议逆向技术,可以有效实现对未知协议的逆向分析和特征提取。
