استخراج ساختار نحوی پیام های ارسالی توسط پروتکل های لایه کاربرد

ویژگی های پروتکل های لایه کاربرد، در کاربردهای امنیتی بسیاری استفاده می شود. با این وجود برخی از پروتکل های لایه کاربردپروتکل های بسته ای هستند که ویژگی های آنها موجود نیست. مهندسی معکوس کد منبع برنامه پیاده ساز این پروتکل ها می توانداطلاعات مورد نیاز برای فهم آنها را فراهم کند. تحقیقات گسترده صورت گرفته در این زمینه بر اساس مشاهده پیام های مبادله شدهدر شبکه ساختار آنها را استخراج می کنند و ساختار پیام هایی که در مشاهدات صورت گرفته شده ظاهر نشوند ناشناخته باقیمی ماند. در این مقاله، روشی جدید برای استخراج ساختار پیام های ارسالی توسط پروتکل های لایه کاربرد از طریق تحلیل ایستای کدباینری برنامه پیاده ساز آنها ارایه شده است. این روش محدود به تحلیل پیام های مشاهده شده در ارتباطات نیست و می توان بهکمک آن ساختار همه پیام هایی که به صورت بالقوه امکان ارسال توسط پروتکل دارند شناسایی نمود. برای این منظور، الگوریتمیبرای ردگیری عقبگرد و بازگشتی ارجاعات به میانگیر خروجی جهت استخراج ساختارهای داده مورد استفاده در تعیین مقدار میانگیرخروجی ارایه شده است. برای ارزیابی روش پیشنهادی، الگوریتم ارایه شده را پیاده سازی نموده و به کمک آن، دو مورد کاربردیمشتمل بر کد پیاده ساز پروتکل شناخته شده TFTP و پروتکل ناشناخته بات ZeroAccess3 تحلیل شدند. نتایج آزمایش ها نشان می دهد روش پیشنهادی ساختار همه پیامهای ارسالی را به درستی شناسایی نموده است.