PRE list
1.0.0
Liste der (automatischen) Protokoll Reverse Engineering Tools/Methoden/Ansätze für Netzwerkprotokolle
Dies ist eine Sammlung von 71 wissenschaftlichen Arbeiten zu Methoden und Tools (automatisch) Protokoll (PRE). Die Papiere werden in verschiedene Gruppen eingeteilt, so dass es einfacher ist, einen Überblick über vorhandene Lösungen zu erhalten, die auf dem Problem basieren, das Sie angehen möchten.
Die Sammlung basiert auf den folgenden drei Umfragen und wurde danach verlängert:
Darüber hinaus gibt es sehr umfangreiche Umfragen, die sich auf die Methoden und Ansätze von Pre -Tools konzentrieren, die auf Netzwerkspuren basieren. Die Arbeit von Kleber et al. ist ein ausgezeichneter Ausgangspunkt, um zu sehen, was bereits bewährt wurde und für welche Anwendungsfälle eine Methode am besten funktioniert.
Bitte helfen Sie, diese Sammlung zu erweitern, indem Sie den tools.ods Papiere hinzufügen.
| Name | Jahr | Ansatz verwendet |
|---|---|---|
| PIP [1] | 2004 | Keyword -Erkennung und -sequenzausrichtung basierend auf Needleman und Wunsch 1970 und Smith und Waterman 1981; Dieser Ansatz wurde von vielen folgenden Papieren angewendet und erweitert |
| GAPA [2] | 2005 | Protokollanalysator und offene Sprache, die die Protokollanalysatorspezifikationspezifikation verwenden → Es soll in die Überwachung und Analyse von Tools integriert sein |
| Skriptgen [3] | 2005 | Gruppierungs- und Clustering -Nachrichten finden |
| Rollenspiel [4] | 2006 | Byte-Weise-Sequenzausrichtung (variable Felder in Nachrichten finden) und Clustering mit FSM-Vereinfachung |
| Ma et al. [5] | 2006 | Bitte überprüfen Sie |
| FFE/x86 [6] | 2006 | Bitte überprüfen Sie |
| Wiederholung [7] | 2006 | Bitte überprüfen Sie |
| Entdecker [8] | 2007 | Tokenisierung von Nachrichten, rekursives Clustering, um Formate zu finden, ähnliche Formate verschmelzen |
| Polyglot [9] | 2007 | Dynamische Makelanalyse |
| Pext [10] | 2007 | Nachrichtenclustering zum Erstellen von FSM -Graphen und vereinfachen FSM -Graphen |
| Rosetta [11] | 2007 | Bitte überprüfen Sie |
| Autoformat [12] | 2008 | Dynamische Makelanalyse |
| Tupni [13] | 2008 | Dynamische Makelanalyse; Suchen Sie nach Schleifen, um Grenzen innerhalb von Nachrichten zu identifizieren |
| Boosting [14] | 2008 | Bitte überprüfen Sie |
| Configre [15] | 2008 | Bitte überprüfen Sie |
| Reformat [16] | 2009 | Dynamische Makelanalyse, insbesondere auf verschlüsselte Protokolle durch bitime und arithmetische Operationen abzuzielen |
| Prospex [17] | 2009 | Dynamische Taint-Analyse mit dem folgenden Nachrichtenclustering bietet optional Fuzzing-Kandidaten für Pfirsichfuzzer |
| Xiao et al. [18] | 2009 | Bitte überprüfen Sie |
| Trifilo et al. [19] | 2009 | Messen Sie die Byte-Weise Varianzen in ausgerichteten Nachrichten |
| Antunes und Neves [20] | 2009 | Bitte überprüfen Sie |
| Dispatcher [21] | 2009 | Dynamische Taint-Analyse (Nachfolger von Polygloten mit Senden anstelle von empfangenen Nachrichten) |
| Fuzzgrind [22] | 2009 | Bitte überprüfen Sie |
| Belohnungen [23] | 2010 | Bitte überprüfen Sie |
| Streitkolben [24] | 2010 | Bitte überprüfen Sie |
| Whalen et al. [25] | 2010 | Bitte überprüfen Sie |
| Autofuzz [26] | 2010 | Bitte überprüfen Sie |
| Reverx [27] | 2011 | Spracherkennung (somit nur für textbasierte Protokolle), um Wagenrenditen und Räume zu finden, und suchte danach nach Frequenzen von Schlüsselwörtern; Mehrere partielle FSMs werden zusammengeführt und vereinfacht, um PFSM zu erhalten |
| Veritas [28] | 2011 | Kennzeichen für Kennzeichen, Clustering und Übergangswahrscheinlichkeit → probabilistische Protokollzustandsmaschine |
| Biprominer [29] | 2011 | Statistische Analyse einschließlich drei Phasen, Lernphase, Markierungsphase und Übergangswahrscheinlichkeitsmodellaufbau. Siehe diese Figur. |
| ASAP [30] | 2011 | Bitte überprüfen Sie |
| Howard [31] | 2011 | Bitte überprüfen Sie |
| ProDecoder [32] | 2012 | Nachfolger von Biprominer, der sich auch mit textbasierten Protokollen befasst; Es werden Zwei-Phasen verwendet: BRIPROMINER anwenden, zweite Verwendung von Needleman-Wunsch zur Ausrichtung |
| Zhang et al. [33] | 2012 | Bitte überprüfen Sie |
| Netzob [34] | 2012 | Siehe diese Figur |
| Prisma [35] | 2012 | Bitte überprüfen Sie, Follow-up-Papier/-projekt zu ASAP. |
| Künstler [36] | 2012 | Bitte überprüfen Sie |
| Wang et al. [37] | 2013 | Erfassen von Daten, Identifizieren von Frames und Abschluss des Formats durch Blick und Häufigkeit von Frames und Assoziationsanalyse (unter Verwendung von Aprriori und FP-Wachstum). |
| Laroche et al. [38] | 2013 | Bitte überprüfen Sie |
| AutoreEngine [39] | 2013 | Apriori -Algorithmus (basierend auf Agrawal/Srikant 1994). Identifizieren Sie Felder und Schlüsselwörter unter Berücksichtigung der Menge an Vorkommen. Nachrichtenformate werden als Reihe von Schlüsselwörtern angesehen. Statusmaschinen werden aus beschrifteten Nachrichten oder häufigen Untersequenzen abgeleitet. Siehe diese Zahl zur Klärung. |
| Dispatcher2 [40] | 2013 | Bitte überprüfen Sie |
| ProfitX [41] | 2013 | Identifizieren Sie den Botnetzverkehr und versuchen Sie, den Botnetz -Typ mithilfe von Signaturen zu schließen |
| Meng et al. [42] | 2014 | Bitte überprüfen Sie |
| AFL [43] | 2014 | Bitte überprüfen Sie |
| Proword [44] | 2014 | Bitte überprüfen Sie |
| Prographen [45] | 2015 | Bitte überprüfen Sie |
| Fieldhunter [46] | 2015 | Bitte überprüfen Sie |
| RS -Cluster [47] | 2015 | Bitte überprüfen Sie |
| UPCSS [48] | 2015 | Bitte überprüfen Sie |
| Argos [49] | 2015 | Bitte überprüfen Sie |
| Pulsar [50] | 2015 | Reverse Engineer -Netzwerkprotokolle mit dem Ziel, sie mit so Wissen zu verflüchten |
| Li et al. [51] | 2015 | Bitte überprüfen Sie |
| Cai et al. [52] | 2016 | Bitte überprüfen Sie |
| Wesp [53] | 2016 | PCAP-Dateien erhalten Kontextinformationen (dh bekannte MAC-Adresse), gruppieren und analysieren (auf der Suche nach CRC, N-Gram, Entropie, Funktionen, Bereichen), und die Erstellung von Berichten auf der Grundlage der Bewertung. |
| Vor-Bin [54] | 2016 | Bitte überprüfen Sie |
| Xiao et al. [55] | 2016 | Bitte überprüfen Sie |
| Powershell [56] | 2017 | Bitte überprüfen Sie |
| ProPrint [57] | 2017 | Bitte überprüfen Sie |
| Prohacker [58] | 2017 | Bitte überprüfen Sie |
| Esoul und Walkinshaw [59] | 2017 | Bitte überprüfen Sie |
| PRUGI [60] | 2017 | Bitte überprüfen Sie |
| Nemesys [61] | 2018 | Bitte überprüfen Sie |
| Goo et al. [62] | 2019 | APRIORI -Basis: Auffinden „Häufiger zusammenhängender gemeinsamer Subsequenzen“ über einen neuen angesagten sequentiellen Muster (CSP) -Algorithmus, der auf verallgemeinertem sequentiellem Muster (GSP) und anderen Apriori -Algorithmen basiert. CSP wird dreimal hierarchisch verwendet, um verschiedene Informationen/Felder basierend auf früheren Ergebnissen zu extrahieren. |
| Universal Radio Hacker [63] | 2019 | Analyse der physikalischen Schichtbasis von proprietären drahtlosen Protokollen, die drahtlose spezifische Eigenschaften wie die empfangene Signalstärkeindikator (RSSI) berücksichtigen und statistische Methoden anhand der Verwendung von statistischen Methoden |
| Luo et al. [64] | 2019 | Aus Zusammenfassung: „[…] Diese Studie schlägt einen vom Typ von Typinformationen angelenkten Ansatz für die Nachricht vor. Der Ansatz betrachtet eine Meldung als Kombination von N-Gramm und verwendet das latente Dirichlet-Allokationsmodell (LDA), um Nachrichten mit Typen und N-Grams durch Abschluss der Typverteilung jeder Nachricht zu charakterisieren.“ |
| Sun et al. [65] | 2019 | Bitte überprüfen Sie |
| Yang et al. [66] | 2020 | Verwenden von Tieflern (LSTM-FCN) zur Umkehrung binärer Protokolle |
| Sun et al. [67] | 2020 | "Um die Format-Ähnlichkeit unbekannter Protokollnachrichten in einer ordnungsgemäßen Granularität zu messen, schlagen wir relative Messungen, Token-Formatentfernungen (TFD) und Nachrichtenformatentfernung (MFD) vor, die auf den Kernregeln für Augmented Backus-Näur-Form (ABND) basieren." Zum Clustering -Prozess werden ein Silhouette -Koeffizient und der Dunn -Index verwendet. Dichtebasierter Clusteralgorithmus DBSCAN wird zum Clustering von Nachrichten verwendet |
| Shim et al. [68] | 2020 | Follow -up zu Goo et al. 2019 |
| Ipart [69] | 2020 | Verwenden von erweiterten Abstimmungs -Expertenalgorithmus zur Abschließung von Grenzen von Feldern, ansonsten unter Verwendung von drei Phasen, die Tokenisierung, Klassifizierung und Clustering haben. |
| Nemetyl [70] | 2020 | Bitte überprüfen Sie |
| Netplier [71] | 2021 | Probabilistische Methode für Netzwerkspurenbasis Protokoll Reverse Engineering. |
NETT: Eingabe ist eine Netzwerkverfolgung (z. B. PCAP)
EXET: Eingabe ist eine Ausführungsverfolgung (Code/Binäranlage)
PF: Ausgang ist Protokollformat (Beschreibung der Syntax)
PFSM: Ausgang ist Protokollfinite -Zustandsmaschine (beschreibt die semantische/sequentielle Logik)
| Name | Jahr | Netz | Exet | Pf | PFSM | Andere Ausgabe |
|---|---|---|---|---|---|---|
| PIP [1] | 2004 | ✔ | Schlüsselwörter/ Felder | |||
| GAPA [2] | 2005 | ✔ | ✔ | ✔ | ||
| Skriptgen [3] | 2005 | ✔ | Dialoge/Skripte (zur Wiederholung) | |||
| Rollenspiel [4] | 2006 | ✔ | Dialoge/Skripte | |||
| Ma et al. [5] | 2006 | ✔ | App-Identifizierung | |||
| FFE/x86 [6] | 2006 | ✔ | ||||
| Wiederholung [7] | 2006 | ✔ | ||||
| Entdecker [8] | 2007 | ✔ | ✔ | |||
| Polyglot [9] | 2007 | ✔ | ✔ | |||
| Pext [10] | 2007 | ✔ | ✔ | |||
| Rosetta [11] | 2007 | ✔ | ||||
| Autoformat [12] | 2008 | ✔ | ✔ | |||
| Tupni [13] | 2008 | ✔ | ✔ | |||
| Boosting [14] | 2008 | ✔ | Feld (en) | |||
| Configre [15] | 2008 | ✔ | ||||
| Reformat [16] | 2009 | ✔ | ✔ | |||
| Prospex [17] | 2009 | ✔ | ✔ | ✔ | ✔ | |
| Xiao et al. [18] | 2009 | ✔ | ✔ | |||
| Trifilo et al. [19] | 2009 | ✔ | ✔ | |||
| Antunes und Neves [20] | 2009 | ✔ | ✔ | |||
| Dispatcher [21] | 2009 | ✔ | C & C Malware | |||
| Fuzzgrind [22] | 2009 | ✔ | ||||
| Belohnungen [23] | 2010 | ✔ | ||||
| Streitkolben [24] | 2010 | ✔ | ||||
| Whalen et al. [25] | 2010 | ✔ | ✔ | |||
| Autofuzz [26] | 2010 | ✔ | ✔ | ✔ | ||
| Reverx [27] | 2011 | ✔ | ✔ | ✔ | ||
| Veritas [28] | 2011 | ✔ | ✔ | |||
| Biprominer [29] | 2011 | ✔ | ✔ | ✔ | ||
| ASAP [30] | 2011 | ✔ | Semantik | |||
| Howard [31] | 2011 | ✔ | ||||
| ProDecoder [32] | 2012 | ✔ | ✔ | |||
| Zhang et al. [33] | 2012 | ✔ | ✔ | |||
| Netzob [34] | 2012 | ✔ | ✔ | ✔ | ✔ | |
| Prisma [35] | 2012 | ✔ | ||||
| Künstler [36] | 2012 | ✔ | ||||
| Wang et al. [37] | 2013 | ✔ | ✔ | |||
| Laroche et al. [38] | 2013 | ✔ | ✔ | |||
| AutoreEngine [39] | 2013 | ✔ | ✔ | ✔ | ||
| Dispatcher2 [40] | 2013 | ✔ | C & C Malware | |||
| ProfitX [41] | 2013 | ✔ | Unterschriften | |||
| Meng et al. [42] | 2014 | ✔ | ✔ | |||
| AFL [43] | 2014 | ✔ | ||||
| Proword [44] | 2014 | |||||
| Prographen [45] | 2015 | ✔ | ✔ | |||
| Fieldhunter [46] | 2015 | ✔ | Felder | |||
| RS -Cluster [47] | 2015 | ✔ | Gruppierte Messages | |||
| UPCSS [48] | 2015 | ✔ | Protoklassifizierung | |||
| Argos [49] | 2015 | ✔ | ||||
| Pulsar [50] | 2015 | |||||
| Li et al. [51] | 2015 | ✔ | ✔ | |||
| Cai et al. [52] | 2016 | ✔ | ✔ | |||
| Wesp [53] | 2016 | ✔ | ✔ | Bewertete Analyseberichte, Spoofing -Kandidaten | ||
| Vor-Bin [54] | 2016 | ✔ | ✔ | |||
| Xiao et al. [55] | 2016 | ✔ | ✔ | |||
| Powershell [56] | 2017 | ✔ | Dialoge/Skripte | |||
| ProPrint [57] | 2017 | ✔ | Fingerabdrücke | |||
| Prohacker [58] | 2017 | ✔ | Schlüsselwörter | |||
| Esoul und Walkinshaw [59] | 2017 | |||||
| PRUGI [60] | 2017 | ✔ | ✔ | |||
| Nemesys [61] | 2018 | ✔ | ✔ | |||
| Goo et al. [62] | 2019 | ✔ | ✔ | ✔ | ||
| Universal Radio Hacker [63] | 2019 | ✔ | ✔ | |||
| Luo et al. [64] | 2019 | |||||
| Sun et al. [65] | 2019 | |||||
| Yang et al. [66] | 2020 | ✔ | ✔ | |||
| Sun et al. [67] | 2020 | |||||
| Shim et al. [68] | 2020 | ✔ | ✔ | |||
| Ipart [69] | 2020 | ✔ | ✔ | |||
| Nemetyl [70] | 2020 | ✔ | ✔ | |||
| Netplier [71] | 2021 | ✔ |
| Name | Jahr | Textbasiert | Binärbasiert | Hybrid | Andere Protokolle |
|---|---|---|---|---|---|
| PIP [1] | 2004 | Http | |||
| GAPA [2] | 2005 | Http | |||
| Skriptgen [3] | 2005 | Http | Netbios | DCE | |
| Rollenspiel [4] | 2006 | HTTP, FTP, SMTP, NFS, TFTP | DNS, Bittorrent, QQ, Netbios | SMB, CIFS | |
| Ma et al. [5] | 2006 | HTTP, FTP, SMTP, HTTPS (TCP-Protos) | DNS, Netbios, SRVLOC (UDP-Protos) | ||
| FFE/x86 [6] | 2006 | ||||
| Wiederholung [7] | 2006 | ||||
| Entdecker [8] | 2007 | Http | RPC | SMB, CIFS | |
| Polyglot [9] | 2007 | Http, Samba, ICQ | DNS, IRC | ||
| Pext [10] | 2007 | Ftp | |||
| Rosetta [11] | 2007 | ||||
| Autoformat [12] | 2008 | Http, SIP | DHCP, RIP, OSPF | SMB, CIFS | |
| Tupni [13] | 2008 | Http, ftp | RPC, DNS, TFTP | WMF, BMP, JPG, PNG, TIF | |
| Boosting [14] | 2008 | DNS | |||
| Configre [15] | 2008 | ||||
| Reformat [16] | 2009 | Http, mime | IRC | Ein unbekanntes Protokoll | |
| Prospex [17] | 2009 | SMTP, SIP | SMB | Agobot (C & C) | |
| Xiao et al. [18] | 2009 | HTTP, FTP, SMTP | |||
| Trifilo et al. [19] | 2009 | TCP, DHCP, ARP, KAD | |||
| Antunes und Neves [20] | 2009 | Ftp | |||
| Dispatcher [21] | 2009 | HTTP, FTP, ICQ | DNS | ||
| Fuzzgrind [22] | 2009 | ||||
| Belohnungen [23] | 2010 | ||||
| Streitkolben [24] | 2010 | ||||
| Whalen et al. [25] | 2010 | ||||
| Autofuzz [26] | 2010 | ||||
| Reverx [27] | 2011 | Ftp | |||
| Veritas [28] | 2011 | SMTP | Pplive, Xunlei | ||
| Biprominer [29] | 2011 | Xunlei, QQLive, Sopcast | |||
| ASAP [30] | 2011 | HTTP, FTP, IRC, TFTP | |||
| Howard [31] | 2011 | ||||
| ProDecoder [32] | 2012 | SMTP, SIP | SMB | ||
| Zhang et al. [33] | 2012 | Http, snmp, isakmp | |||
| Netzob [34] | 2012 | FTP, Samba | SMB | Unbekannter P2P & VoIP -Protokoll | |
| Prisma [35] | 2012 | ||||
| Künstler [36] | 2012 | ||||
| Wang et al. [37] | 2013 | ICMP | ARP | ||
| Laroche et al. [38] | 2013 | Ftp | DHCP | ||
| AutoreEngine [39] | 2013 | HTTP, FTP, SMTP, POP3 | DNS, Netbios | ||
| Dispatcher2 [40] | 2013 | HTTP, FTP, ICQ | DNS | SMB | |
| ProfitX [41] | 2013 | HTTP, SMTP, IMAP | DNS, VoIP, XMPP | Protokolle der Malware -Familie | |
| Meng et al. [42] | 2014 | TCP, ARP | |||
| AFL [43] | 2014 | ||||
| Proword [44] | 2014 | ||||
| Prographen [45] | 2015 | Http | DNS, Bittorrent, Wechat | ||
| Fieldhunter [46] | 2015 | MSNP | DNS | Sopcast, Ramnit | |
| RS -Cluster [47] | 2015 | FTP, SMTP, POP3, HTTPS | DNS, Xunlei, BitTorrent, Bitspirit, QQ, Emule | MSSQL, Kugoo, PPTV | |
| UPCSS [48] | 2015 | HTTP, FTP, SMTP, POP3, IMAP | DNS, SSL, SSH | SMB | |
| Argos [49] | 2015 | ||||
| Pulsar [50] | 2015 | ||||
| Li et al. [51] | 2015 | ||||
| Cai et al. [52] | 2016 | Http, SSDP | DNS, Bittorrent, QQ, Netbios | ||
| Wesp [53] | 2016 | IEEE 802.15.4 Proprietäre Protokolle, Smart Plug & PSD -Systeme | |||
| Vor-Bin [54] | 2016 | ||||
| Xiao et al. [55] | 2016 | ||||
| Powershell [56] | 2017 | ARP, OSPF, DHCP, STP | CDP/DTP/VTP, HSRP, LLDP, LLMNR, MDNS, NBNS, VRRP | ||
| ProPrint [57] | 2017 | ||||
| Prohacker [58] | 2017 | ||||
| Esoul und Walkinshaw [59] | 2017 | ||||
| PRUGI [60] | 2017 | ||||
| Nemesys [61] | 2018 | ||||
| Goo et al. [62] | 2019 | Http | DNS | ||
| Universal Radio Hacker [63] | 2019 | Proprietäre drahtlose Protokolle von IoT -Geräten | |||
| Luo et al. [64] | 2019 | ||||
| Sun et al. [65] | 2019 | ||||
| Yang et al. [66] | 2020 | IPv4, TCP | |||
| Sun et al. [67] | 2020 | ||||
| Shim et al. [68] | 2020 | Ftp | Modbus/TCP, Ethernet/IP | ||
| Ipart [69] | 2020 | Modbus, IEC104, Ethernet/IP | |||
| Nemetyl [70] | 2020 | ||||
| Netplier [71] | 2021 |
Die meisten Papiere liefern nicht den in der Forschung verwendeten Code. Für die folgenden Papiere existiert (Beispiel) Code.
| Name | Jahr | Quellcode |
|---|---|---|
| PIP [1] | 2004 | https://web.archive.org/web/20090416234849/http://4tphi.net/~awalters/pi/pi.html |
| Reverx [27] | 2011 | https://github.com/jasantunes/reverx |
| Netzob [34] | 2012 | https://github.com/netzob/netzob |
| Prisma [35] | 2012 | https://github.com/tammok/prisma/ |
| Pulsar [50] | 2015 | https://github.com/hgascon/pulsar |
| Nemesys [61] | 2018 | https://github.com/vs-uulm/nemesys |
| Universal Radio Hacker [63] | 2019 | https://github.com/jopohl/urh |
| Netplier [71] | 2021 | https://github.com/netplier-tool/netplier/ |
M. Beddoe, „The Protocol Informatics Project“, 2004, http://www.4tphi.net/aawalters/pi/pi.html. PDF
N. Borisov, DJ Brumley, HJ Wang, J. Dunagan, P. Joshi und C. Guo, „Protokollanalysator für Generika-Anwendungsebene und seine Sprache“, MSR-Technischer Bericht MSR-TR-TR-2005-133, 2005. PDF
C. Leita, K. Mermoud und M. Dacier, „Skriptgen: Ein automatisiertes Tool für die Skriptgenerierung für Honeyd“, in Proceedings der 21. jährlichen Conference für Computer Security Applications (ACSAC '05), S. 203–214, Tucson, Ariz, USA, Dezember 2005. PDF
W. Cui, V. Paxson, NC Weaver und RH Katz, "Protokolindependentpolye -Replay des Anwendungsdialogfelds", in Proceedings of the 13. Symposium im Netzwerk und verteilte Systemsicherheit (NDSS '06), 2006. PDF
J. Ma, K. Levchenko, C. Kreibich, S. Savage und G. Voelker, „Automatische Protokollinferenz: Unerwartete Mittel zur Identifizierung von Protokollen“, UCSD Informatik Technischer Bericht CS2006-0850, 2006. PDF
Lim, J., Reps, T., Liblit, b. In: 13. Arbeitskonferenz über Reverse Engineering, 2006. WCRE '06, S. 167–178. IEEE, Benevento (2006). doi: 10.1109/wcre.2006.29 pdf
Cui, W., Paxson, V., Weaver, N., Katz, RH: Protokollunabhängige adaptive Wiederholung des Anwendungsdialogfelds. In: Verfahren des 13. jährlichen Netzwerks und des verteilten Systems Security Symposium (NDSS). Internet Society, San Diego (2006). http://research.microsoft.com/apps/pubs/default.aspx?id=153197
W. Cui, J. Kannan und HJ Wang, „Discoverer: Automatic Protocol Reverse Engineering aus Netzwerkspuren“, in Usenix Security Symposium, 2007, S. 1–14. PDF
J. Caballero, H. Yin, Z. Liang und D. Song, „Polyglot: Automatische Extraktion des Protokollnachrichtenformats mit dynamischer Binäranalyse“, in Proceedings der 14. ACM -Konferenz über Computer- und Kommunikationssicherheit (CCS '07), S. 317–329, ACM, November 2007. PDF.
M. Shevertalov und S. Mancoridis, „Ein Reverse Engineering -Tool zum Extrahieren von Protokollen von vernetzten Anwendungen“, in Proceedings of the 14. Working Conference on Reverse Engineering (WCRE '07), S. 229–238, Oktober 2007. PDF. PDF.
Caballero, J., Song, D.: Rosetta: Extrahieren der Protokollsemantik unter Verwendung von Binäranalysen mit Anwendungen zur Protokollreplay und NAT -Umschreiben. Technischer Bericht CMU-Cylab-07-014, Carnegie Mellon University, Pittsburgh (2007)
Z. Lin, X. Jiang, D. Xu und X. Zhang, „Automatisches Protokollformat Reverse Engineering durch kontextbewusste überwachte Ausführung“, in Proceedings of the 15. Symposium im Netzwerk und verteilte Systemsicherheit (NDSS '08), Februar 2008. PDF
W. Cui, M. Peinado, K. Chen, HJ Wang und L. Irun-Briz, „Tupni: Automatisches Reverse Engineering of Input-Formate“, in Proceedings der 15. ACM-Konferenz über Computer- und Kommunikationssicherheit (CCS '08), S. 391–402, ACM, Alexandria, VA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, (), USA, 198.
K. Gopalratnam, S. Basu, J. Dunagan und HJ Wang, „automatisch Felder aus unbekannten Netzwerkprotokollen extrahieren“, in Proceedings of the 15. Symposium im Netzwerk und verteilte Systemsicherheit (NDSS '08), 2008. PDF. PDF.
Wang, R., Wang, X., Zhang, K., Li, Z. In: Proceedings der 15. ACM -Konferenz über Computer- und Kommunikationssicherheit, CCS '08, S. 245–256. ACM, Limerick (2008). doi: 10.1145/1455770.1455802
Z. Wang, X. Jiang, W. Cui, X. Wang und M. Grace, „Reformat: Automatische Reverse Engineering von verschlüsselten Nachrichten“, In Computer Security - ESORICS 2009. Eorics 2009, M. Backes und P. Ning, Hrsg., Vol. 5789 der Vorlesungen in Informatik, S. 200–215, Springer, Berlin, Deutschland, 2009. PDF
PM Vergleiche, G. Wondracek, C. Krugel und E. Kirda, „Prospex: Protokollspezifikationsextraktion“, in Proceedings of the 30. IEEE Symposium für Sicherheit und Privatsphäre, S. 110–125, Berkeley, Kalifornien, USA, Mai 2009. PDF
M.-M. Xiao, S.-z. Yu und Y. Wang, "Automatische Netzwerkprotokoll -Extraktion", in Proceedings der 3. Internationalen Konferenz über Netzwerk- und Systemsicherheit (NSS '09), S. 336–343, Oktober 2009.
A. Trifilo, S. Burschka und E. Bierack, „Verkehr zu Protokoll Reverse Engineering“, in Proceedings of the IEEE Symposium on Computational Intelligence for Security and Defense Applications, S. 1–8, Juli 2009. PDF
J. Antunes und N. Neves, "Erstellen eines Automatons in Richtung Reverse Protocol Engineering", 2009, http://www.di.fc.ul.pt/∼nuno/papers/inforum09.pdf.
J. Caballero, P. Poosankam, C. Kreibich und D. Song, „Dispatcher: Aktivierte Botnetzinfiltration mit automatischer Protokoll-Reverse-Engineering“ in Proceedings of the 16. ACM-Konferenz über Computer- und Kommunikationssicherheit (CCS '09), S. 621–634, ACM, Chicago, Ill, INSIG, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA, USA.
Campana, G.: Fuzzgrind: Ein automatisches Fuzzing -Tool. In: Hack. Lu. Hacken. Lu, Luxemburg (2009)
Lin, Z., Zhang, X., Xu, D.: Automatische Reverse Engineering von Datenstrukturen aus der binären Ausführung. In: Verfahren des 17. jährlichen Netzwerks und des verteilten Systems Security Symposium (NDSS). Internet Society, San Diego (2010)
Cho, Cy, Babi D., Shin, Ecr, Song, D.: Inferenz und Analyse formaler Modelle von Botnet -Befehls- und Steuerungsprotokollen. In: Proceedings der 17. ACM -Konferenz über Computer- und Kommunikationssicherheit, CCS '10, S. 426–439. ACM, New York, NY (2010). doi: 10.1145/1866307.1866355 Cho, Cy, Babi, D., Poosankam, P., Chen, KZ, Wu, Ex, Song, D.: Mace: Modellinterferenz-Assisted Concolic Exploration für Protokoll und Anfälligkeitsergebnisse. In: Proceedings der 20. Usenix Conference on Security, Sec. 11, p. 19. Usenix Association, Berkeley, CA (2011)
S. Whalen, M. Bishop und JP Crutchfield, „Hidden Markov -Modelle für automatisiertes Protokolllernen“, In Security and Privacy in Communication Networks, Vol. 50, S. Jajodia und J. Zhou, Hrsg. Berlin, Heidelberg: Springer Berlin Heidelberg, 2010, S. 415–428. PDF
S. Gorbunov und A. Rosenbloom, „Autofuzz: Automatisierte Netzwerkprotokollfuzzing -Framework“, IJCSNS, Vol. 10, nein. 8, p. 239, 2010. PDF
J. Antunes, N. Neves und P. Verissimo, „Reverse Engineering of Protocols aus Netzwerkspuren“, in Proceedings of the 18. Working Conference on Reverse Engineering (WCRE '11), S. 169–178, Oktober 2011. PDF
Y. Wang, Z. Zhang, DD Yao, B. Qu und L. Guo, „Abschließung der Protokollstaatsmaschine aus Netzwerkspuren: Ein probabilistischer Ansatz“ in Proceedings of the 9. Applied Cryptography and Network Security International Conference (ACNS '11), S. 1–18, 2011. PDF
Y. Wang, X. Li, J. Meng, Y. Zhao, Z. Zhang und L. Guo, „Biprominer: Automatischer Bergbau von Binärprotokollmerkmalen“ in Proceedings der 12. Internationalen Konferenz über parallele und verteilte Computing, Anwendungen und Technologien (PDCAT '11), S. 179–184, Oktober 2011.
T. Krueger, N. Krmer und K. Rieck, „ASAP: Automatische Semantikanalyse von Netzwerknutzlasten“, in Proceedings of the ECML/PKDD, 2011. PDF
Slowinska, A., Stancescu, T., Bos, H.: Howard: Ein dynamischer Bagger für Reverse Engineering -Datenstrukturen. In: Verfahren des 18. jährlichen Netzwerks und des verteilten Systems Security Symposium (NDSS). Internet Society, San Diego (2011)
Y. Wang, X. Yun, MZ Shafiq et al.
Z. Zhang, Q.-Y. Wen und W. Tang, „Mining Protocol State Machines von Interactive Grammatar Inference“, in Proceedings der 3rd International Conference on Digital Manufacturing and Automation (ICDMA '12), S. 524–527, August 2012.
G. Bossert, F. Guihéry und G. Hiet, „Auf dem Weg zu automatisiertem Protokoll -Reverse -Engineering unter Verwendung semantischer Informationen“, in Proceedings of the 9. ACM -Symposium über Informationen, Computer- und Kommunikationssicherheit, Kyoto, Japan, Japan, Juni 2014. G. Bossert und F. Guihéry, „Reverse und simuliert Ihr Enemy Botn C & c, in den Voraussetzungen in der Mapping, ein P2P -Botn, usw., & c,“, & c, ’, & c,“, & c, “, A & C.," In Prosting of the Mapping A. ANMULE MIT ANMUSE MIT ANMUSE, ANMUSS MIT ANMULD MIT ANMULD MIT ANMULD MIT ANMULD MIT ANMULD ANMEITEN, A. Abu Dhabi, VAE, Dezember 2012. PDF
Krueger, T., Gascon, H., Krmer, N., Rieck, K.: Lernstaatliche Modelle für Netzwerk -Honeypots. In: Verfahren des 5. ACM -Workshops über Sicherheit und künstliche Intelligenz, AISEC '12, S. 37–48. ACM, New York, NY (2012). PDF
Caballero, J., Grieco, G., Marron, M., Lin, Z., Urbina, D.: Artiste: Automatische Generierung von Hybriddatenstruktursignaturen aus Binärcode -Ausführungen. Technischer Bericht TR-IMDEA-SW-2012-001, IMDEA-Software-Institut, Madrid (2012)
Y. Wang, N. Zhang, Y.-M. Wu, B.-B. Su und Y.-J. Liao, „Protokollformate Reverse Engineering basierend auf den Assoziationsregeln in drahtloser Umgebung“, in Proceedings der 12. IEEE Internationalen Konferenz über Vertrauen, Sicherheit und Privatsphäre in Computing and Communications (Trustcom '13), S. 134–141, Melbourne, Australien, Juli 2013.
P. Laroche, A. Burrows und ein Zincir-Heywood: „Wie weit kann ein evolutionärer Ansatz für die Analyse und Entdeckung von Protokollstaaten entscheiden“, in Proceedings des IEEE-Kongresses für Evolutionsberechnung (CEC '13), S. 3228–3235, Juni 2013.
J.-Z. Luo und S.-Z. Yu, "Positionsbasierte automatische Reverse Engineering von Netzwerkprotokollen", Journal of Network and Computer Applications, Vol. 36, nein. 3, S. 1070–1077, 2013.
J. Caballero und D. Song, "Automatic Protocol Reverse-Engineering: Message Format Extraktion und Feldsemantik-Inferenz", Computernetzwerke, Vol. 57, nein. 2, S. 451–474, 2013. PDF
C. Rossow und CJ Dietrich, „Profilx: Botnets mit verschlüsselten Befehls- und Kontrollkanälen erkennen“, bei der Erkennung von Intrusionen und Malware sowie Schwachstellenbewertung, Springer, 2013. PDF
F. Meng, Y. Liu, C. Zhang, T. Li, und Y. Yue, „Abschluss der Protokoll -Staatsmaschine für binäres Kommunikationsprotokoll“ in Proceedings des IEEE -Workshops für fortschrittliche Forschung und Technologie in Branchenanwendungen (Wartia '14), S. 870–874, September 2014.
Zalewski, M.: American Fuzzy Loop. http://lcamtuf.coredump.cx/afl/technical_details.txt
Z. Zhang, Z. Zhang, PPC Lee, Y. Liu, and G. Xie, “ProWord: An unsupervised approach to protocol feature word extraction,” in IEEE INFOCOM 2014 - IEEE Conference on Computer Communications, Toronto, ON, Canada, Apr. 2014, pp. 1393–1401, doi: 10.1109/INFOCOM.2014.6848073. PDF
Q. Huang, PPC Lee und Z. Zhang, „Inferenz der Intrapacket-Abhängigkeit für die Inferenz für feinkörniges Protokollformat“, in Proceedings der 14. IFIP-Networking-Konferenz (Networking '15), Toulouse, Frankreich, Mai 2015.
I. Bermudez, A. Tongaonkar, M. Iliofotou, M. Mellia und MM Munafo, „Automatische Protokollfeldinferenz für tieferes Protokollverständnis“, in Proceedings der 14. IFIP -Networking -Konferenz (Networking '15), S. 1–9, Mai 2015.
J.-Z. Luo, S.-z. Yu und J. Cai, „Erfassen von Unsicherheitsinformationen und kategorialen Merkmalen für die Netzlastgruppierung in Protokoll Reverse Engineering“, Mathematical Problems in Engineering, Vol. 3, No. 2015, Artikel -ID 962974, 9 Seiten, 2015.
R. Lin, O. Li, Q. Li und Y. Liu, „Unbekannte Netzwerkprotokollklassifizierungsmethode auf der Grundlage von Semi -überwachten Lernen“, in Proceedings der IEEE International Conference on Computer and Communications (ICCC '15), S. 300–308, Chengdu, China, Oktober 2015.
Zeng, J., Lin, Z. In: 18. Internationales Symposium, Raid 2015, Vol. 9404, S. 538–561. Springer, Kyoto (2015). doi: 10.1007/978-3-319-26362-5
H. Gascon, C. Wressnegger, F. Yamaguchi, D. ARP und K. Rieck, „Pulsar: Stateful Black-Box Fuzzing von proprietären Netzwerkprotokollen“, in Sicherheit und Privatsphäre in Kommunikationsnetzwerken, vol. 164, B. Thurisingham, X. Wang und V. Yegneswaran, Hrsg. Cham: Springer International Publishing, 2015, S. 330–347. PDF
H. Li, B. Shuai, J. Wang und C. Tang, „Protokoll Reverse Engineering unter Verwendung von LDA and Association Analysis“, 2015, 11. Internationale Konferenz für Computer Intelligence and Security (CIS), Shenzhen, China, Dezember 2015, S. 312–316, doi: 10.1109/cis.2015.83.
J. Cai, J. Luo und F. Lei, „Analyse von Netzwerkprotokollen der Anwendungsschicht unter Verwendung eines Hidden Semi-Markov-Modells“, Mathematical Problems in Engineering, Vol. 2016, Artikel -ID 9161723, 14 Seiten, 2016.
K. Choi, Y. Son, J. Noh, H. Shin, J. Choi und Y. Kim, „Dissezing maßgeschneiderte Protokolle: Automatische Analyse für maßgeschneiderte Protokolle auf der Grundlage von IEEE 802.15.4“, in Proceedings der 9. ACM -Konferenz über Sicherheit und Privatsphäre in Wireless und Mobilfunknetzwerken, pdf. 183 - 193, Darmstatt, Deutschland, pdf.
S. Tao, H. Yu und Q. Li, "Bit -orientiertes Format -Extraktionsansatz für automatische Binärprotokoll Reverse Engineering", IET Communications, Vol. 10, nein. 6, S. 709–716, April 2016, doi: 10.1049/iet-com.2015.0797. PDF
M.-M. Xiao, S.-L. Zhang und Y.-P. LUO, „Analyse der automatischen Netzwerkprotokoll -Nachrichtenformat“, IFS, Vol. 31, nein. 4, S. 2271–2279, September 2016, doi: 10.3233/jifs-169067.
Dr. Fletcher Jr., Identifizierung gefährdeter Netzwerkprotokolle mit PowerShell, Sans Institute Leading Room Site, 2017.
Y. Wang, X. Yun, Y. Zhang, L. Chen und G. Wu, „Ein nichtparametrischer Ansatz für den automatisierten Protokollfingerabdruck -Inferenz“, Journal of Network and Computer Applications, Vol. 99, S. 1–9, 2017.
Y. Wang, X. Yun, Y. Zhang, L. Chen und T. Zang, „Robust und genaue Anwendungsprotokollidentifikation überdenken“, Computer Networks, Vol. 129, S. 64–78, 2017.
O. Esoul und N. Walkinshaw, „Segment-basierte Ausrichtung zum Extrahieren von Paketstrukturen aus Netzwerkspuren“, 2017 IEEE International Conference über Softwarequalität, Zuverlässigkeit und Sicherheit (QRS), Prag, Czech Republic, Jul. 2017, S. 398–409, DOI: 10.1109/QRS. PDF
M.-M. Xiao und Y.-P. Luo, „Automatisches Protokoll Reverse Engineering unter Verwendung grammatikalischer Inferenz“, IFS, Vol. 32, Nr. 5, S. 3585–3594, April 2017, doi: 10.3233/jifs-169294.
S. Kleber, H. Kopp und F. Kargl, „{Nemesys}: Netzwerknachrichtensyntax Reverse Engineering durch Analyse der intrinsischen Struktur einzelner Nachrichten“, 2018. PDF
Y.-H. Goo, K.-S. Shim, M.-S. Lee und M.-S. Kim, "Protokollspezifikationsextraktion basierend auf einem zusammenhängenden sequentiellen Musteralgorithmus", IEEE Access, Vol. 7, S. 36057–36074, 2019, doi: 10.1109/access.2019.2905353. PDF
J. Pohl und A. Noack, „Universal Radio Hacker: Eine Suite zum Analysieren und Angriff auf staatliche drahtlose Protokolle“, Baltimore, MD, August 2018, [Online]. Verfügbar: https://www.usenix.org/conference/woot18/presentation/pohl. J. Pohl und A. Noack, "Automatic Wireless Protocol Reverse Engineering", Santa Clara, CA, August 2019, [Online]. Verfügbar: https://www.usenix.org/conference/woot19/presentation/pohl. PDF
X. Luo, D. Chen, Y. Wang und P. Xie, „Ein Typ-bekannter Ansatz zur Meldungsclusterbildung für Protokoll Reverse Engineering“, Sensors, Vol. 3, No. 19, nein. 3, p. 716, Februar 2019, doi: 10.3390/s19030716. PDF
F. Sun, S. Wang, C. Zhang und H. Zhang, „unbeaufsichtigte Feldsegmentierung unbekannter Protokollnachrichten“, Computer Communications, Vol. 146, S. 121–130, Oktober 2019, doi: 10.1016/j.com.2019.06.013.
C. Yang, C. Fu, Y. Qian, Y. Hong, G. Feng und L. Han, „Deep Learning Reverse Method of Binary Protocol“, In Security and Privacy in Digital Economy, Vol. 3, No. 1268, S. Yu, P. Mueller und J. Qian, Hrsg. Singapur: Springer Singapur, 2020, S. 606–624.
F. Sun, S. Wang, C. Zhang und H. Zhang, "Clustering unbekannter Protokollmeldungen basierend auf Formatvergleich", Computernetzwerke, Vol. 179, p. 107296, Okt. 2020, doi: 10.1016/j.comnet.2020.107296.
K. Shim, Y. Goo, M. Lee und M. Kim, „Clustering -Methode in Protokoll Reverse Engineering für Industrieprotokolle“, International Journal of Network Management, Jun. 2020, doi: 10.1002/nem.2126. PDF
X. Wang, K. LV und B. Li, „IPART: Ein automatisches Protokoll -Reverse -Engineering -Tool, das auf globalem Abstimmungsexperte für Industrieprotokolle basiert“, International Journal of Parallel, Emergent and Distributed Systems, Vol. 3, No. 35, nein. 3, S. 376–395, Mai 2020, doi: 10.1080/17445760.2019.1655740.
S. Kleber, RW van der Heijden und F. Kargl, „Identifizierung von Binärnetzwerkprotokollen für Binärnetzwerke unter Verwendung einer kontinuierlichen Segmentähnlichkeit“ in IEEE Infocom 2020 - IEEE -Konferenz über Computerkommunikation, Toronto, ON, Kanada, 2020, S. 2243–2252. doi: 10.1109/infocom41043.2020.9155275. PDF
Ye, Yapeng, Zhuo Zhang, Fei Wang, Xiangyu Zhang und Dongyan Xu. "Netplier: Probabilistic Network Protocol Reverse Engineering aus Nachrichtenspuren." In NDSS. 2021. PDF
