即时通信软件协议分析技术探析

即时通信软件协议分析技术探析

娄宇晴

大庆油田信息技术有限公司北京分公司 邮编： 163000

摘要：即时通信软件的应用正随着社会的发展变得越发广泛，其在整个社会中的重要性也逐步提升。而即时通信软件在发展过程中应用的加密通信协议，在原则上是为了提升软件使用的安全程度，但同时也导致协议分析工作的难度越来越大。因此，本文仅针对协议分析技术的发展进行简要探析，以期能够为协议分析技术及通信技术的演化提供理论支持。

关键词：即时；通信软件；协议；分析技术

引言：信息技术在各个行业中的渗透与演化，导致该技术在当前社会发挥的作用越来越关键，而人们对即时通信软件的依赖程度也越来越高，这就使得即时通信软件的信息内容安全成为技术发展中需要时刻关注的问题。由于协议分析技术在网络应用程序内容安全上具有举足轻重的影响，然而大量即时通信软件却应用了被加密的通信协议，导致协议分析工作受到一定的影响，因而对协议分析技术的探索研究就成为推进通信技术发展的关键。

1.即时通信

即时通信软件是为了满足即时通信需求出现的，而即时通信是指通过连接互联网实现消息的即时发送与接收，该技术在1990年之后出现，并以指数级的发展速度迅速蔓延到整个社会中。在当前时代下，社会上的主流即时通信软件大量出现，国内我们所熟知的有微信、腾讯qq、阿里旺旺等；而国外则有MSN、Skype等。如今即时通信软件已经成为跨越互联网与移动互联网的庞大业务，背后存在的发展潜力难以估量，因而也面临着异常激烈的市场竞争。在即时通信软件迅速发展的同时，其背后所面临的安全问题也越发严重，依托即时通信软件、通讯设备为基础的电信诈骗已经受到整个社会的高度关注，而即时通信软件使用者也面临着收到欺诈信息、账号被盗、被植入木马等一系列全新的安全问题^[1]。

2.协议分析技术在即时通信软件中的应用价值

即时通信软件安全性的实现在很大程度上受通信协议的影响，而协议分析技术则是即时通信软件进行进一步安全分析的关键要素，其应用价值主要体现在以下几方面。

2.1协议安全性研究

通信协议安全性不仅会影响到即时通信软件的使用安全，同时也会影响到网络的安全，而随着互联网的普及与发展，这种影响也将变得越来越大。令人不免叹息的是，当前通信协议安全性分析仍未出现成熟且系统化的方式，以人工分析、攻击检测及逻辑化进行协议安全性分析仍是当前检测通信协议安全性的主流做法。这些方法并不能完全证明某一协议具有全面的安全性^[2]。在此基础上，协议分析技术则能够充分解析构成协议的各个字段，对协议的安全性进行分析。而协议分析技术本身也在这方面体现出更高的安全性与更低的难度，因而具有一定的应用价值与可行性。

2.2挖掘软件漏洞

原本用于挖掘分析网络应用程序安全漏洞的技术以模糊测试技术为主，而且模糊测试技术在不同的漏洞挖掘工具中都具有普遍性。模糊挖掘技术是将非正常数据输入到软件中，之后检测软件的异常行为与反应，能在一定程度上起到效果，但还需软件支持自动化检测。然而随着即时通信软件的发展，多数即时通信软件应用的协议从共有协议转向私有协议，而私有协议最大的特点是协议格式并不公开，因而应用模糊测试技术的难度就更大，其效果也更缺乏说服力。在这种情况下将技术更换为协议分析技术，就能够有效应对不同测试需求构造具有针对性的测试数据。这就意味着软件本身存在的安全漏洞更容易被发现。

2.3网络入侵检测与防火墙

无论是网络入侵检测还是防火墙，在技术特点上都表现出明显的被动防御特征，这种被动防御是通过检测网络数据的行为，并与自身数据库中的行为进行对比，来验证网络数据行为是否合法。但时至今日网络信息技术已经经历了脱胎换骨的发展，大量病毒木马的特性、行为也处在不断更新换代的过程中，因此有相当一部分病毒及木马能够绕过防火墙，或是欺骗网络入侵检测，导致两者的可靠程度及有效性下降^[3]。此时协议分析技术则能够分析其协议格式，来辨明软件具有未知特征的行为，这种未知特征行为在辨别出来以后会被收录进防火墙或网络入侵检测系统的数据库中，进而提升未知攻击被发现的概率。

3.当前常见的协议分析技术

3.1报文序列协议分析技术

以报文序列为基础研发的协议分析技术（以下简称报文序列技术）在很早之前就得到广泛应用，因而该技术是最早得到应用的自动协议分析技术之一。在对一些主流即时通信软件进行逆向分析时，报文序列技术的原理是先获取通信双方的协议会话，之后以序列比对的方式分析协议会话的数据，通过这种分析来获取协议的格式信息。在标识网络协议关键字、长度、分隔符及目标区域时，报文序列技术具有良好的表现。报文序列技术的构想来源于生物学中的序列比对技术，现行报文序列技术中既有全局序列比对的算法，也有局部序列比对的算法，考虑到单则协议消息通常包括协议格式信息与数据两方面内容，而相同类型的协议消息在格式部分上基本不存在差异，因此格式部分本身可以看做是固定序列，仅仅需要对各市部分的结构进行解析，就能够得到协议的格式信息

^[4]。但由于此方法的准确度与网络数据样本的数量成正比，在部分情况下的应用具有一定局限性，而且报文序列技术缺少理解协议语义的能力，其分析结果的准确性也会受到影响。

3.2程序二进制指令执行轨迹分析技术

程序二进制指令执行轨迹分析技术（以下简称二进制轨迹分析技术）在协议自动化分析技术中的应用非常普遍，此技术在应用时通常需要经历执行轨迹生成阶段、轨迹文件预处理阶段及协议格式提取阶段。通常情况下，即时通信软件在处理协议消息时会融入大量关于协议消息格式的信息，因此二进制轨迹分析技术能够精准获取解析结果。在处理被加密的网络协议时，该技术虽然不能直接识别协议信息，但可以通过对轨迹文件的预处理获取识别阶段的数据源，进而顺利完成协议分析工作。这种技术相比报文序列技术具有更高的先进性，但在应用过程中会需要实现指令级别的动态跟踪与分析，因而具有较高的实现难度，整个协议解析过程也因为指令级的动态跟踪分析而变得异常复杂，这就导致动态监控过程会产生与网络应用程序的复杂程度成正比的执行轨迹，后续协议格式获取也因此面临更多困难，而动态监控需要在对目标程序插桩的前提下进行，也可能导致目标程序出现异常。

3.3动态污点分析技术

动态污点分析技术是一种动态二进制分析技术，此技术的原理是将来源于网络、文件以及输入数据辨析为污染源，通过向目标程序投放额外指令代码来监控程序对污染源数据的动态处理。这个动态处理的过程及信息会被技术本身记录下来，用于后续的协议分析工作。显而易见，动态污点分析技术会涉及到污染源的识别及污点信息的传播，而污点信息传播又会涉及到污点信息传播策略这个概念。动态污点分析技术已经在众多安全分析领域得到应用，然而技术本身相当复杂，分析的效率也并不十分理想，还需要进行进一步的优化与升级。

结语：已有的三种协议分析技术具有各自的优势与缺点，而随着信息技术的发展，协议分析技术也将从不同的领域获得启发，开发出更新、更高效、更简洁的新技术，或是将已有技术进行全面升级优化。这种研发、优化与升级将在未来进行继续研究，以推动整个通信行业的发展。

参考文献：

1. 祁云、马启龙.基于即时通讯软件的交互信息比较分析[J].兰州石化职业技术学院学报.2018，（3）：70-73.

2. 滕向宇.企业即时通信体系的技术特征分析[J].信息系统工程.2019，（4）：45.

3. 莫炜.基于INTRANET技术的即时通信分析与应用[J].中国管理信息化.2017，（1）：93.

4. 荆杰、韩艳辉、张国歌.软件定义的能源互联网信息通信技术探析[J].中国科技投资.2017，（11）：89.