未知网络协议隐匿行为的指令序列聚类挖掘方法

摘要

本发明公开一种未知网络协议隐匿行为的指令序列聚类挖掘方法，主要解决现有协议逆向分析方法只分析协议消息格式，不能分析协议行为特别是隐匿行为的问题。其实现步骤为：(1)把协议程序的所有指令划分并标记为3类基因指令；(2)指令序列聚类；(3)协议行为计算；(4)找到所有潜在隐匿行为前的比较指令，提取参与比较的常量，用这些常量替换协议消息中的相关字段，生成具有触发能力的新消息，用新消息触发潜在的隐匿行为；(5)计算隐匿行为和已知行为之间3类基因指令分布率的绝对差值RS，若RS>0.3，则协议运行不安全，该协议具有恶意行为；否则，协议运行安全，挖掘结束。本发明提高挖掘的速率和准确度，能够为较多的用户和更广泛的应用领域服务。