利用状态数据的无人平台测控协议逆向分析方法

第57卷第5期 2017年5月
电讯技术
Telecommunication Engineering
V ol.57,N o.5
May,2017
doi：10. 3969/j.issn. 1001 -893x.2017. 05.016
引用格式:徐浩文，苟先太,李昌喜，等■利用状态数据的无人平台测控协议逆向分析方法[J]■电讯技术,2017,57(5):586-591.[XUHaowen, GOU Xiantai,LI Changxi,et al. A reverse analysis method of TT&C protocol based on monitoring state data for unmanned platform[J]. Tele­communication Engineering,2017,57(5) ；586-591.]
利用状态数据的无人平台测控协议逆向分析方法+
徐浩文苟先太，李昌喜，金炜东
(西南交通大学电气工程学院，成都610031)
摘要:针对无人平台测控数据通信安全问题，提出了一种测控协议逆向分析模型。

模型采用数据挖掘方法对通信报文中的协议格式和语义信息进行分析，主要采用改进BF(Brute-Force)算法和AP
(A ffin ity-Propagation)算法进行模式串匹配和关联规则提取，以提取协议初步格式；采用序列比对技
术中改进SW(Smith-Waterman)算法，结合监测状态数据对格式和语义信息作进一步分析。

通过仿真实验模拟协议逆向分析了所需要的无人平台与基站的通信数据和雷达监测状态数据;根据协议逆向模型仿真试验结果可得到100%的协议格式识别率和90. 9%的语义识别率，结果证明了提出的逆向分析模型的有效性。

关键词：无人平台；测控系统；通信安全；协议逆向分析;数据挖掘；关联规则；序列比对
中图分类号:TN918.91 文献标志码:A文章编号：1001-893X(2017)05-0586-06
A Reverse Analysis Method of TT&C Protocol Based on
Monitoring State Data for Unmanned Platform
XU Haowen，GOU Xiantai，LI Changxi，JIN Weidong
(School of Electrical Engineering，Southwest Jiaotong University，Chengdu 610031，China) Abstract:For the communication security problem of telemetry，tracking and command(TT&C)data on
unmanned platform,a reverse analysis model of TT&C protocol is proposed.The model adopts the data mining method to analyze the protocol format and semantic information in the message.The improved Brute -Force(BF)algorithm is used to perform the pattern string matching,and the AP(A ffin ity-Propagation) algorithm is used to perform the association rule extracting.Then the preliminary format of protocol mes­sage is obtained.The improved Smith-Waterman(SW)algorithm in sequence alignment technique is a­dopted to analyze the format and semantic information in combination with the monitoring state data.Simu­lation experiments are carried out to simulate the experimental data of the protocol reverse analysis，inclu-ding the communication data on unmanned platform and base station and radar monitoring status data.The simulation results of reverse analysis show 100% resolution rate of protocol format and 90. 9%semantic
parsing resolution rate.The results demonstrate the effectiveness of the model.
Key words:unmanned platform；TT&C system；communication security;protocol reverse analysis;data min­ing；association rule;sequence alignment
1引言方发达国家非常重视无人平台系统的持续发展，并无人平台（Unmanned Aerial Vehicle
,U AV)系统在不断更新无人平台发展路线图，以适应其变化着是当前高新技术装备的热点之一。

以美国为主的西的应用要求[1]。

作为无人平台电子信息技术核心*
*收稿日期:2016-11-15;修回日期:2017-02-24 Received date :2016-11-15 ;Revised date :2017-02-24
**通信作者:xuhaowen@ my. swjtu. edu. cn Corresponding author ：xuhaowen@ my. swjtu. edu. cn
•586 •
第57卷徐浩文，苟先太，李昌喜，等:利用状态数据的无人平台测控协议逆向分析方法第5期
的测控与信息传输
（
Telemetry , Tracking and Com -
mand ,TT &C )
系统被
赋
予
更
新
更
高
的
要
求
[2]。

无
人
平
台
点对点通信数据安全问题对飞
行
器
及
其
信
息
传
输
安
全都至关重要。

协
议逆向研究在安全 问
题
中
属
于
“攻”的
一面
，即
根
据
获取的无人平台与 基站通信会话
报
文
以及雷
达
监测状态数据
,推
演出 通信协议格式和语义信息的过程。

近年来
，国
内外研究者在未知
协
议
逆
向
分
析
理
论领域开展了
大
量的研究工作
，并
取得了丰厚的成 果。

协
议逆向分析的方法主要有
基
于网络报文序列
采样
匹
配的静态分析方法和基于协议数据在应用程 序执行时监控其指令序列轨迹的动态分析方法[3]
,
已有的研究成果包括
PI [4]
、Discoverer
[5]
、
Poly ­
glot 6] 、AutoFormat
[7] 等。

文
献
[8]提
出的基于
频
繁
比
特
序
列
挖
掘
算
法
的
二进制协议
数
据
分析方法在
处
理
较
短
模
式
的频繁
序
列时效果较好
，但
文献没有给出如何确定协议帧边界 的方法。

类
似研
究多采用多模式匹配算法以查找频 繁比特
序
列
，如AC (Aho -Corasick )
算法和
Wu -Man -
ber
算法等，并
在
一
些
情
况
下
采
用
模
糊串匹
配
算
法
，以
减
少序列模式
的
种
类
,提
高模式匹配准确度[9]。

文
献
[10]提
出的基于分块聚
类的消息分类与格式推
断
方 法
其
核
心思想与
Discoverer
类似
，根
据回溯策略识别 消息格式并根据字
段
特
性
推
测消
息
语义。

文
献
[11]
提出的一种自动化
的
应
用
层
网络协议逆向
解
析
方
法
,
采用改进的
Apriori
算
法
，该
算法处理二进制协议时
的准确率受限
于
数
据统计
的
准确率。

研究协议
逆
向
问题对无人平
台
如
何
“防”也
很
有参考意义。

特
别是在无人机的测控数据
通
信
中
，
目前大多以更
换
协议或者改变信道频率的方式保证
通信安全
,而
通信协议本身的安全还存在很大问题
;
且大多数研
究
是针对网络应用程序的监测分析和已
知协议进行解析
，没
有对无人平台点对点通信的未 知协议逆向分析的
研
究。

针对该问题
，本
文提
出
了
仿
真
建
模
的
方
法
模
拟
飞行过程中的通信
会
话报文及雷达监测状态数据
， 采用协议逆向研究技术对模拟数据进行逆向分析。

无人平台的未知测控协议逆向研究对整个系统的可
信测控通信安全都有着重要意义。

2系统方案
根
据
无
人
平
台
测
控
数
据
通
信
协
议
逆
向
解
析
方
案
建立协议逆向解析系统模型
，系
统共分为仿真建模和协议逆向两个部分。

仿真建模部分通
过
自
定
义
协
议
构
建
非
标
准
协
议
库
，并制定无人平台飞行任务
，进
行数据的仿真模
拟，生
成逆向分析所需要的心跳
包
会话报文和雷达
监测
状
态数据。

状
态数据是雷达监测到的无人平台
在飞行过程中的
相
关物理参数
，即
其飞行过程中可
测的状态。

协议
逆
向
部
分
通
过
对
仿
真
生
成
的
数
据
进
行
逆
向
解析
,包
括对心跳包数据的预处理
，采
用改进的
BF
(
Brute -Force )
算法对心跳包数据进
行
模式串匹
配
,
以
找
出
频
繁
模
式串
，为
关联规则的提取提供频繁项
依
据
;利
用
AP (Affinity -Propagation )
算法对心跳包
数据
进
行
关
联
规
则
提
取
，并
根据提取结果划分字段
的可变域和固定域
，得
到格
式解析初步结果。

最
后
,
利用序列比对方法参
照
雷达监测状态数据对固
定
域
和可变域进行解析
，以
推测具体的字段格式及语义。

在图
1
中
，虚
线框
外为仿真建模部分
，其
中包括
协议库设计
模
块
、数
据模拟模块。

协
议库设
计包括
飞行测控协议的自
定义和非标准
协
议库的建立
，数
据模拟模块包括无人平台测控协议数据的模拟和雷
达监测数据的模拟。

协
议逆向部分包括数据预处理
模块
、格
式提取模块
和
语义分析模块。

该
系统框架
适用于
无
人平台与基站点对点通信协
议。

图1
系统框架
Fig. 1 System framework
由
于
无
人
平
台
通
信
数
据
及
雷
达
实
测
数
据
不
易
获
得
，本
文通过自定义的协议构建了非标准协议库
，并
根据
制
定的飞行任务库模拟出仿真数据。

采
用模式
串匹配
、关
联规则提取
、序
列比对等方法对
数
据进行
解析
，最
终
得到较高的协
议
识别率。

3协议逆向
协
议
逆
向
分
析
主
要
分
为
协
议
格
式
解
析
和
协
议
语
义
解
析
两
个
部
分
，其
中协议格式解析包括了模式串
匹配
、关
联规则提
取
和格式提取
3
个步骤
，语
义解析
中采用
序
列比对技术。

以下就协议逆向
中
格
式
解
析
和
语
义
解
析
涉
及
到
• 587
•
www . teleonline . cn
电讯技术2017 年
具体步骤中采用的算法，结合无人平台测控数据通 信报文进行简要分析。

3.1
格式解析
3.1.1模式串匹配
在无人平台协议逆向分析中，采用改进的BF 算法进行模式串匹配的目的,是为了后续特征提取 及关联规则中频繁项查找。

B F 算法的基本思想:从心跳包报文串s 中取从
第的初值为start )个字符起、长度和目标串t 相等 的子串和串t 比较,若相等,则求得函数值为正;否 则,i 值增1直至串s 不存在和串t 相等的子串为止。

传统B F 算法适用于一维数据,并且每次循环 是后移一位;而本方案中获取的二进制通信报文是 二维数据，故传统算法存在不适用的问题，如图2所 示，对其作如下改进：
(1)
模式串匹配中的主串是截获到的数据报
文,其中包含心跳包和控制命令，查找心跳包中频繁
项子段。

(2) 基于改进的B F 算法对模式串的选择是从
心跳包的二进制会话报文的第j 列、第i 个数据开
始，选取k 个字符串（其中i j =l ，2,…，n ;k = 2,4,8,
16,32)。

因为二进制报文的特殊性,协议字段中至 少以2位为初始字段，到32位依次动态查找，查找 其重复出现的字段的频率，并将重复位置记录到 表中。

图2
改进B F 算法示意图
Fig. 2 Improved BF algorithm scheme
由于传统
BF 算法的不适用性,且其运算速度
过慢。

改进BF 算法由原一维运算变为二维查找,
并改变循环后移的位置,使其动态查找，解决了原算 法不适用性的问题。

3.1.2关联规则提取
上述模式串匹配方法得到部分字段出现的频 率，根据频率不同可进行关联规则的提取，以得到协 议字段之间的关联强度。

关联规则是数据中项集之间的关联或相关关
• 588 •
系，挖掘数据集中的关联规则即找出数据库中所有 大于等于用户指定最小支持度的项集，利用最大项
集生成所需要的关联规则对每一最大项集A ，找到
A 的所有非空子集a ，如果比率
Sup ( A )/Sup ( a )逸min conf ，
( 1)就生成关联规则
a >(A -a )。

（2)
A p rio ri 算法[11]基于先验原理，反映了子集与超
集之间的关系，即频繁项集的所有非空子集都必须 是频繁的，非频繁项集的所有超集必是非频繁的。

其采用逐层迭代找出频繁项集：
输入:心跳包事件数据包D 、最小支持阈值。

(1)
统计一个项集出现的频率,并找出那些
小于最小支持度的项集，即一维最大项集。

(2) 循环处理，直到没有最大项集生成。

(3) 循环过程:第k 步中，根据k -1步生成的
1维最大项集产生k 维候选项集，然后对数据包进
行搜索，得到候选项集的项集支持度，与最小支持度
比较，从而找到k 维最大项集。

输出:D 中的频繁项集L 。

3.1.3格式提取
在心跳包报文的模式串匹配和关联规则提取的 基础之上，可得到报文特征。

由于在本文所述二进 制协议报文中，某些字段可能是完全相同的字符串， 可作为协议的身份识别特征。

根据报文特征的筛选 和关联规则的匹配可确定报文关键字，结合分析可 得到报文的初步格式。

格式分为固定域和可变域， 固定域部分的字段集合S 是字段中包含字符串处于 不变化的状态，可变域部分的字段集合C 是字段中 包含字符串处于变化的状态。

S = {s 1，S 2,…,S m }，
(3)C = {c 1，C 2,…，C n }，^，几<.。

(4)
格式初步提取框图如图3所示。

图3
格式提取示意图
Fig. 3 Format extraction scheme
3.2语义解析 3.2.1序列比对
在无人平台通信报文中,对心跳包数据中的可
变域部分采取序列比对的方法进行解析。

第57卷徐浩文，苟先太，李昌喜，等:利用状态数据的无人平台测控协议逆向分析方法第5期
心跳包数据的序列比对可以表示成一个五元组
UAV_MSA =(撞，S ,A ,F ),其中：
(1)
撞=撞胰丨-丨为序列比对的符号集表 示空位,撞表示基本字符集。

(2)
S 为序列集，每个序列由数量不等的字符组 成。

S =| Si U = 1,2,…，m |,Si = (^1,^2,…，cj )T 其 中4沂撞,^为第i 个序列的长度。

⑶矩阵A = ( a y .) mx… ,〜沂撞是序列集S 的一个 比对结果。

(4)
F 是比对A 的相似性度量函数，用来表示
比对A 中各扩张序列的相似度。

(5) 序列比对UAV _MSA ,就是通过适当的空位
插入,构建一个使相似性度量函数F (A )达到最大
的比对A 。

3.2.2
打分规则
为了将心跳包可变域部分解析结果进行量化, 引入分数机制对解析过程中的序列比对进行打分, 以得到最优的序列比对结果，打分规则定义如下：
+k 1,s 1[i] =s 2[i]
Sc 〇(Si ,S 2)=E ] -k2,s1[i ]屹 s2[i ]
i = 1
(5)
-k3,s1[i ]/s2[i ]=—
其中:k i 逸0,1臆i 臆3,分别代表了匹配、失配和空位的情况。

3.2.3
Smith-Waterman 算法
对于两个序列S 和T ,令[S ]和[T ]分别为序列
S 和T 的长度,S [i ]和T [j ](其中正整数i ,j 满足0< i [S ]和0<j [ T ])都属于字符集赘，对赘中的全部元
素和空符号,设计计分函数，依次计算S [i ]和T [j ] 的计分值来比较序列间的同一性。

算法关键是计分函数和基本递归方程。

4结果分析
在M ealy 机的基础之上,将协议实体符号化为
一系列状态，建立无人平台非标准协议库;根据制定 无人平台飞行任务，得到模拟的无人平台通信数据 报文。

通过协议逆向分析的方法对已知的二进制报 文进行解析，推测出协议格式;通过对雷达监测数据 的比对解析，对会话报文中的语义等信息进行解析, 最后通过算法的优化提高协议识别的准确率和 效率。

4.1数据模拟
将协议实体符号化为（G ,V ,F )的形式，其中G
为文法集，V 为属性集，F 为规则集。

参照B D -10 的实际无人平台通信协议，自定义非标准协议，构成
无人平台的非标准协议库。

通过选取非标准协议库中协议并制定无人平台
飞行任务参数，构建数据仿真模型。

对无人平台的控 制命令包括发射、巡航、左转、右转，航点的删除、插
入、修改、查询等。

控制命令二进制代码如表1所示。

表1控制命令类型
Tab. 1 Types of control command
控制命令二进制代码
控制命令二进制代码
发射0000 0000航点删除0000 0100巡航0000 0001航点插入0000 0101左转0000 0010航点查询0000 0110右转
0000 0011
航点修改
0000 0111
选择部分控制命令制定无人平台本次飞行任 务,任务包括系统初始化5 s 后执行发射命令，飞行 高度达300 m 时执行巡航命令，巡航到飞行距离 1 000 m 时执行左转命令，即模拟飞行从发射到左转 之后这段时间内的通信数据过程。

具体飞行任务参
数如表2所示。

表2飞行任务参数设置
Tab. 2 Values of flight mission
参数
值
参数值
初始速度/( m *s -1)
200左转距离/m 1 500加速度/g 2初始化时间/s 5巡航速度/( m *s -1)
300时间间隔/m s 10巡航高度/m 300心跳包间隔/m s
50
巡航距离/m
1 000
采用M ATLAB 工具模拟飞行通信数据,雷达监 测状态数据由通信数据模拟过程中提取，包括时间 戳、速度、经度、纬度、高度和飞行距离等雷达可测得
的数据字段构成。

图4为设计的无人平台飞行任 务图。

图4无人平台飞行任务示意图
Fig. 4 Flight mission of unmanned platform
• 589
•
表3语义初步解析结果
Tab. 3 Preliminary results of semantic analysis
位置
语义
1〜16*
17〜32时间戳33〜48经度49〜64纬度65〜80高度
81〜96速度
97 ~ 160*
161 ~176
距离
4.2.5协议分析
通过序列比对分析推测出时间戳、经度、纬度、 高度、速度和飞行距离字段，由于心跳包数据中还有 部分可变域字段未解析出，可由已推测出字段之间 物理关系式推测其他字段可能存在的语义。

如已得到速度v 和时间戳t ,由物理关系式a =v /t 以及可推出加速度字段。

根据无人平台飞行状态中物理模型参数可推测 其余字段。

比如：由已得到的速度可推测加速度和 俯仰角，由飞行状态中经度和纬度值的变化可推测 滚转角和俯仰角变化。

加速度解析结果如图7所 示,俯仰角解析结果如图8所示。

4.2协议解析
通过截取已模拟的数据，对其进行协议的逆向 解析。

其中共包含无人平台飞行过程中15 s 的数 据，包括了初始化、发射、巡航、左转4个过程中 产生的通信报文，其中通信报文为300x 176的二 进制矩阵，雷达监测状态数据为6伊1 500的二进制 矩阵。

4.2.1模式串匹配结果
模式匹配结果按k 值以2x(x = l ，2,3,4,5)取 值，仅当k = 16时效果最好。

4.2.2关联规则提取结果
如图5所示，仅当心跳包中位置j = 1和j = 129 时为强关联规则。

得到的频繁项集为：
9
10 11
12
得到的强关联规则为：
9=>101112support
1confidence 10 二 >91112support 1confidence 11=>91012support 1confidence 12=>91011support 1confidence 910=>1112support 1confidence 911=>1012support 1confidence 912=>1011support 1contidence 1011=>912support 1contidence 1012=>911support 1confidence 1112=>910support 1confidence 101112=>9
support 1confidence 911
12=>10support 1confidence 91012=>11support 1confidence 91011二>12
support
1
confidence
图5关联规则提取结果
Fig. 5 Results of association rule extraction
4.2.3格式提取结果
根据模式串匹配的结果和关联规则提取的结果 对心跳包格式做初步推测，可以划分为可变域和固 定域两个模块，如图6所示。

图6格式初步提取结果
Fig. 6 Preliminary results of format extraction
4.2.4语义解析结果
米用局部序列对比的
Smith-Waterman 算法，以
状态数据中数据为参照进行解析，参考生物碱基序 列比对方式,得到的解析结果如表3所示，“ *冶表 示未解析出。

• 590 •
X-.S.65
时间
/s
图7
加速度解析
Fig. 7 Acceleration analysis
时间/s
图8
俯仰角解析
Fig. 8 Pitch analysis
www . teleonline . cn 电讯技术2017 年
度
速o
o o o o o 0
5 0 5 0 5
3 2 2 1 1(
”
r
日
)/艇铟萁
C '•日)
o
o o o o o 0 5
0 5 0 5
3 2 2 1 1(。

)/«&5
(
S
•日)/趔铟
4
第57卷徐浩文，苟先太，李昌喜，等:利用状态数据的无人平台测控协议逆向分析方法第5期
结果识别率定义如下:格式识别率包括字段个数和长度的识别准确率，语义识别率包括字段的语义信息的识别准确率。

最后得到识别率如表4所示，其中数据总长度52 800 bit,识别成功数据长度48 000 bit。

表4协议识别率
Tab. 4 Resolution rate of protocol recognition
类型识别率/%
格式100.0
语义90.9
5结束语
本文对提出的无人平台测控协议逆向分析模型进行了仿真实验，模拟了无人平台飞行任务和通信过程，得到了包含心跳包和控制命令数据的通信报文以及雷达监测状态数据，研究结果对无人平台测控安全问题提供了非常重要的参考价值。

通过对通信数据进行模式串匹配和关联规则提取，解析出了协议的部分字段格式;利用监测状态数据，采用序列比对技术解析出了协议部分字段语义信息。

最后通过已知字段推测其余可变域字段格式及语义信息，报文协议的心跳包解析中格式识别率达到100%,语义识别率达90. 9%。

结果证明了本文提出的方法的有效性。

由于只涉及到通信报文中心跳包数据的解析，后续可根据已解析的心跳包数据对控制命令数据进行深人研究。

B oston:IE E E,2007:l-14.
[6]CABLLERO A J,Y IN H,LIA N G Z K,e t al. Polyglot:au­
tomatic extraction of protocol format using dynamic binary
analysis [ C ]//Proceedings of the 14th ACM Conference
on Computer and Communications Security. Alexandria,
V A, USA: ACM ,2007:317-329.
[7]LIN Z Q,JIANG X X,X U D Y,e t al. Automatic protocol
format reverse engineering through context - aware moni­
tored execution[ C]//Proceedings of the 15th Symposium
on Network and Distributed System Security. San Diego,
California, USA: IE E E, 2008 : 1 -15.
[8]金凌.面向比特流的未知帧头识别技术研究[D].上
海:上海交通大学,2011:29-48.
JIN Ling. Research on unknown header recognition for bit
stream [ D ].Shanghai: Shanghai Jiaotong University,
2011:29-48. (in Chinese)
[9]宋疆，张春瑞，张楠，等.基于数据报指纹关系的未知
协议识别与发现[J].计算机应用研究,2012,29(12):
4604-4606.
SONG Jiang, ZHANG Chunrui, ZHANG Nan，et al. Net­
work traffic identification based on data fing er-p rint[ J] .
Application Research of Computers,2012 ,29(12) :4604-
4606. (in Chinese)
[10] PAN F，HONG Z，DU Y X，et al. Efficient protocol re­
verse method based on network trace analysis [J].Inter­
national Journal of Digital Content Technology and Its
Applications，2012,20(6) : 201 -210.
[11] LUO J Z，YU S Z. Position-based automatic reverse en­
gineering of network protocols [ J] . Journal of Network
and Computer Applications，2013,36(3):1070-1077.
参考文献：
[1]吴潜，刘嘉兴.相控阵多无人机测控系统[C]//尖兵
之翼—2006中国无人平台大会.北京：中国航空学
会,2006:483-487.
[2]吴潜.无人平台测控系统的现状与发展趋势[J].电讯
技术，2009,49(9):90-91.
WU Qian. TT&C system for unmanned aerial vehicle:
current status and development trends [ J] . Telecommuni­
cation Engineering，2009,49(9):90-91. (in Chinese) [3]王庆亮.未知协议逆向分析关键技术研究[D].北京:
北方工业大学,2015:2-5.
WANG Qingliang. Research on the key technology of un­
known protocol reverse analysis[ D]. Beijing:North Indus­
try University，2015:2-5. (in Chinese)
[4]BEDDOE M. The protocol informatics p ro je ct[E B/O L].
[2016-10-20]. h ttp://w w w. 4tphi. n e^ ~ awalters/PI/
PI. html.
[5]CUI W，KANNAN J，WANG H J. Discoverer:automatic
protocol reverse engineering from network traces [C] //
Proceedings of the 16th USENIX Security Symposium.作者简介:
I徐浩文（1991一），男，四川三台人，2014
年于西南交通大学获学士学位，现为硕士研
究生，主要研究方向为信号与信息处理；
Email:xuhaowen@ my. swjtu. edu. cn
苟先太（1971—），男，四川三台人,2005年于西南交通大学获博士学位，现为副教授、硕士生导师，主要研究方向为 网络通信、信号与信息处理、系统仿真；
Em ail: gouxiantai@ home. swjtu. edu. cn
李昌喜（1991一），男，河南兰考人,2015年于福建工程学院获学士学位，现为硕士研究生，主要研究方向为信号与信息处理；
Em ail: changxili429@ 163. com
金炜东（1959—），男，安徽桐城人,1986年于西南交通大学获博士学位，现为教授、博士生导师，主要研究方向为智能信息处理、系统仿真与优化方法、网络信息技术、智能控制等。

Email:wdjin@ home. swjtu. edu. cn
•591•。