(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211054114.5 (22)申请日 2022.08.30 (71)申请人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 孔晴　陶玥欣　 (74)专利代理 机构 北京轻创知识产权代理有限 公司 11212 专利代理师 赵秀斌 (51)Int.Cl. H04L 69/06(2022.01) H04L 69/22(2022.01) H04L 47/2441(2022.01) H04L 47/2483(2022.01) G06F 40/30(2020.01) G06K 9/62(2022.01) (54)发明名称 一种基于网络流量的协 议逆向分析方法、 系 统和电子设备 (57)摘要 本发明涉及协议逆向分析技术领域， 尤其涉 及一种基于网络流量的协议逆向分析方法、 系统 和电子设备， 方法包括： 以第一预设分类标准， 将 数据包中的多个数据流进行聚类， 确定每个数据 流的要素的标签； 当判断结果为是时， 将多个数 据流划分为多个第二集合， 依次利用Smith ‑ Waterman算法和Needleman ‑Wunsch算 法后， 得到 每个数据流的识别结果， 将每个数据流的识别结 果进行聚类， 得到多个第三集合， 将每个第三集 合中的每个数据流的识别结果对应的数据流划 分为同一集合， 得到多个第四集合， 进而得到用 于被第三方软件识别的协议格式， 在避免引入先 验知识的情况下， 实现字段识别， 且确定协议格 式的过程效率高、 准确率高。 权利要求书2页 说明书6页 附图2页 CN 115514824 A 2022.12.23 CN 115514824 A 1.一种基于网络流 量的协议逆向分析 方法， 其特 征在于， 包括： 以第一预设分类标准， 将数据包中的多个数据流进行聚类， 得到多个第 一集合， 每个第 一集合至少包括 一个数据流； 确定每个数据流的语义标签， 判断每个第一集合中的每个数据流的字符串， 以及判断 每个第一集合的每个数据流的语义标签， 是否均相同， 得到判断结果； 当所述判断结果为是时， 以第 二预设分类标准， 将多个数据流划分为多个第 二集合， 每 个第一集合至少包括 一个数据流； 利用Smith‑Waterman算法计算每个第二集合 中所有数据 流之间的相似度， 按照相似度 从高到低的顺序， 对所有第二 集合进行排序； 利用Needleman ‑Wunsch算法， 按照所有第二集合的排序， 对每个第二集合中的每个数 据流进行字段识别， 得到每 个数据流的识别结果； 使用迭代聚类方法， 将每个数据流的识别结果进行聚类， 得到多个第 三集合， 将每个第 三集合中的每 个数据流的识别结果对应的数据流划分为同一 集合， 得到多个第四集 合； 根据多个第四集 合， 得到用于被第三方 软件识别的协议格式。 2.根据权利要求1所述的一种基于网络流量的协议逆向分析方法， 其特征在于， 所述第 一预设分类标准为： 发送数据流的源主机的IP地址、 接收数据流的目标主机的IP地址、 发送 数据流的端口信息和接收数据流的端口信息 。 3.根据权利要求1所述的一种基于网络流量的协议逆向分析方法， 其特征在于， 所述第 二预设分类标准为： 发送数据流的源主机的IP地址、 接收数据流的目标主机的IP地址、 时间 戳和源主机的用户名。 4.根据权利要求1所述的一种基于网络流量的协议逆向分析方法， 其特征在于， 所述第 三方软件为： W ireshark软件、 Scapy软件或模糊测试器。 5.一种基于网络流量的协议逆向分析系统， 其特征在于， 包括第一聚类模块、 判断模 块、 分类模块、 排序模块、 识别模块、 第二聚类模块和获取模块； 所述第一聚类模块用于： 以第 一预设分类标准， 将数据包中的多个数据流进行聚类， 得 到多个第一 集合， 每个第一集合至少包括 一个数据流； 所述判断模块用于： 确定每个数据流的语义标签， 判断每个第一集合中的每个数据流 的字符串， 以及判断每 个第一集合的每个数据流的语义标签， 是否均相同， 得到判断结果； 所述分类模块用于： 当所述判断结果为是时， 以第 二预设分类标准， 将多个数据流划分 为多个第二 集合， 每个第一集合至少包括 一个数据流； 所述排序模块用于： 利用S mith‑Waterman算法计算每个第二集合 中所有数据 流之间的 相似度， 按照相似度从高到低的顺序， 对所有第二 集合进行排序； 所述识别模块用于： 利用Needleman ‑Wunsch算法， 按照所有第二集合的排序， 对每个第 二集合中的每 个数据流进行字段识别， 得到每 个数据流的识别结果； 所述第二聚类模块用于： 使用迭代聚类方法， 将每个数据流的识别结果进行聚类， 得到 多个第三集合， 将每个第三集合中的每个数据流的识别结果对应的数据流划分为同一集 合， 得到多个第四集 合； 所述获取模块用于： 根据多个第四集 合， 得到用于被第三方 软件识别的协议格式。 6.根据权利要求5所述的一种基于网络流量的协议逆向分析系统， 其特征在于， 所述第权　利　要　求　书 1/2 页 2 CN 115514824 A 2一预设分类标准为： 发送数据流的源主机的IP地址、 接收数据流的目标主机的IP地址、 发送 数据流的端口信息和接收数据流的端口信息 。 7.根据权利要求5所述的一种基于网络流量的协议逆向分析系统， 其特征在于， 所述第 二预设分类标准为： 发送数据流的源主机的IP地址、 接收数据流的目标主机的IP地址、 时间 戳和源主机的用户名。 8.根据权利要求5所述的一种基于网络流量的协议逆向分析系统， 其特征在于， 所述第 三方软件为： W ireshark软件、 Scapy软件或模糊测试器。 9.一种存储介质， 其特征在于， 所述存储介质中存储有指令， 当计算机读取所述指令 时， 使所述计算机执行如权利要求 1至4中任一项 所述的一种基于网络流量的协 议逆向分析 方法。 10.一种电子设备， 其特征在于， 包括处理器和权利要求9所述的存储介质， 所述处理器 执行所述存储介质中的指令 。权　利　要　求　书 2/2 页 3 CN 115514824 A 3