Skip to main content
QUICK REVIEW

[論文レビュー] Message Type Identification of Binary Network Protocols using Continuous Segment Similarity

Stephan Kleber, Rens W. van der Heijden|arXiv (Cornell University)|Feb 7, 2020
Network Security and Intrusion Detection参考文献 23被引用数 2
ひとこと要約

本論文は、特徴ベクトルの比較に基づく連続的セグメント類似度を用いた、バイナリーネットワークプロトコルにおけるメッセージタイプ同定のための新規手法を提案する。HirschbergアラインメントとDBSCANクラスタリング、および自動構成を組み合わせることで、手動によるパrameterチューニングを排除する。このアプローチは、先行手法と比較して優れた正確性とパフォーマンスを達成し、メッセージタイプの同定において優れた性能を発揮する。

ABSTRACT

Protocol reverse engineering based on traffic traces infers the behavior of unknown network protocols by analyzing observable network messages. To perform correct deduction of message semantics or behavior analysis, accurate message type identification is an essential first step. However, identifying message types is particularly difficult for binary protocols, whose structural features are hidden in their densely packed data representation. We leverage the intrinsic structural features of binary protocols and propose an accurate method for discriminating message types. Our approach uses a similarity measure with continuous value range by comparing feature vectors where vector elements correspond to the fields in a message, rather than discrete byte values. This enables a better recognition of structural patterns, which remain hidden when only exact value matches are considered. We combine Hirschberg alignment with DBSCAN as cluster algorithm to yield a novel inference mechanism. By applying novel autoconfiguration schemes, we do not require manually configured parameters for the analysis of an unknown protocol, as required by earlier approaches. Results of our evaluations show that our approach has considerable advantages in message type identification result quality and also execution performance over previous approaches.

研究の動機と目的

  • 密なデータパッケージングによって構造的特徴が隠蔽されるバイナリーネットワークプロトコルにおけるメッセージタイプ同定の課題に対処すること。
  • 従来手法がスケーラビリティを損なう手動によるパrameter設定を必要としない自動化されたアプローチを開発すること。
  • 離散的なバイトレベル比較に代えて、連続的類似度測定を活用することで、バイナリープロトコル内の構造的パターンの認識を向上させること。
  • 未知のバイナリープロトコルにおけるメッセージタイプ推論の正確性と実行パフォーマンスを向上させること。
  • トラフィックトレースからのメッセージ意味の正確な分類により、信頼性の高いプロトコルリバースエンジニアリングを可能にすること。

提案手法

  • 各要素が生のバイト値ではなく構造的属性を表す特徴ベクトルをメッセージフィールドから構築する。
  • 正確一致手法では見えない微細な構造的パターンを検出できるように、特徴ベクトル間の連続的類似度測定を適用する。
  • Hirschbergアラインメントを用いて、わずかな変動があっても頑健な比較が可能なメッセージセグメント間の類似度スコアを計算する。
  • DBSCANクラスタリングを用いて、連続的類似度スコアに基づいてメッセージをタイプにグループ化し、自動的なクラスタ検出を実現する。
  • 自動構成スキームにより、手動入力なしにクラスタリングパrameterを動的にチューニングし、未知プロトコルへの展開を可能にする。
  • 類似度計算、クラスタリング、パrameter自動チューニングを統合した一元的な推論パイプラインを構築し、メッセージタイプ同定を実現する。

実験結果

リサーチクエスチョン

  • RQ1従来のバイトレベル一致が失敗する状況において、バイナリーネットワークプロトコルの構造的パターンをどのように効果的に認識できるか?
  • RQ2離散的値比較と比較して、連続的類似度測定はメッセージタイプ同定の正確性を向上させることができるか?
  • RQ3自動パrameter構成は、未知プロトコルにおけるメッセージタイプ推論のスケーラビリティと使いやすさをどの程度向上させることができるか?
  • RQ4実際のトラフィックトレースにおいて、本手法は既存のアプローチと比較してパフォーマンスと正確性で優れているか?
  • RQ5Hirschbergアラインメントは、バイナリープロトコルメッセージの類似度測定をどのように改善する役割を果たすか?

主な発見

  • 提案手法は、特に複雑なバイナリープロトコルにおいて、従来手法と比較して顕著に高い正確性を達成する。
  • 連続的類似度測定の使用により、正確一致手法では見えない構造的パターンの検出が可能になる。
  • 自動構成スキームにより、手動によるパrameterチューニングの必要性が完全に排除され、未知プロトコルにおける使いやすさが向上する。
  • HirschbergアラインメントとDBSCANの統合により、多様なメッセージ構造にわたるクラスタリング品質とロバスト性が向上する。
  • 実行パフォーマンスが優れており、リアルタイムまたは大規模なプロトコル解析に適していることが示された。
  • 評価結果から、本手法が結果の質と計算効率の両面で、既存手法を上回ることが確認された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。