目錄

引言

一、為什么要結合頻繁序列提取？

二、四步融合分析法

步驟1：原始流量采集與預處理

步驟2：多粒度序列模式挖掘

層1：單包內(nèi)字節(jié)級頻繁項

層2：跨數(shù)據(jù)包的行為序列

步驟3：關鍵字段定位與結構假設

通過頻繁模式推導協(xié)議結構：

步驟4：動態(tài)驗證與協(xié)議還原

三、實戰(zhàn)案例：Pj某工控設備協(xié)議

背景

關鍵發(fā)現(xiàn)過程

四、對抗干擾策略

常見干擾類型與破解技巧

五、工具鏈推薦

六、總結

---

引言

在工業(yè)控制、物聯(lián)網(wǎng)設備通信等場景中，面對私有協(xié)議時，工程師常陷入**“盲人摸象”**的困境——沒有文檔、沒有符號信息，只有一串串難以理解的十六進制數(shù)據(jù)流。本文將提出一種創(chuàng)新方法：將頻繁序列提取技術融入?yún)f(xié)議逆向工程，通過挖掘數(shù)據(jù)中的統(tǒng)計規(guī)律，快速定位協(xié)議頭、指令類型、校驗位等關鍵字段，大幅提升逆向效率。

---

一、為什么要結合頻繁序列提取？

傳統(tǒng)協(xié)議逆向依賴人工比對數(shù)據(jù)包差異，存在三大痛點：

1. 效率低下：數(shù)百個數(shù)據(jù)包需逐一對比

2. 主觀性強：依賴經(jīng)驗猜測字段含義

3. 易漏特征：難以發(fā)現(xiàn)長跨度關聯(lián)

頻繁序列提取的價值：

• 自動發(fā)現(xiàn)高頻出現(xiàn)的固定字節(jié)序列（如協(xié)議頭、狀態(tài)碼）

• 識別指令與響應的關聯(lián)模式（如A指令必觸發(fā)B響應）

• 定位變長字段的分隔符（如0x00結尾的字符串）

---

二、四步融合分析法

步驟1：原始流量采集與預處理

使用Wireshark捕獲原始流量，按會話切分并轉換為字節(jié)序列：

# 示例：從pcap提取TCP負載序列
from scapy.all import *packets = rdpcap("unknown_protocol.pcap")
sessions = packets.sessions()byte_sequences = []
for session in sessions.values():tcp_payloads = [bytes(p[TCP].payload) for p in session if TCP in p]if tcp_payloads:  byte_sequences.append(tcp_payloads)  # 每個會話的包序列

步驟2：多粒度序列模式挖掘

層1：單包內(nèi)字節(jié)級頻繁項

from mlxtend.frequent_patterns import apriori# 將每個字節(jié)位置視為一個項（item）
# 示例數(shù)據(jù)包： [0xaa, 0x01, 0xff], [0xaa, 0x02, 0xee]
transactions = [{'pos0:aa', 'pos1:01', 'pos2:ff'},{'pos0:aa', 'pos1:02', 'pos2:ee'}
]freq_items = apriori(transactions, min_support=0.5, use_colnames=True)
print(freq_items)

輸出：

   support      itemsets
0     1.0       (pos0:aa)  # 發(fā)現(xiàn)協(xié)議頭固定為0xAA

層2：跨數(shù)據(jù)包的行為序列

使用PrefixSpan挖掘會話級操作碼序列：

# 假設已從數(shù)據(jù)包中提取操作碼（如第二個字節(jié)）
opcode_sequences = [[0x01, 0x03, 0x04],  # 會話1的操作碼流[0x01, 0x04],         # 會話2[0x01, 0x03, 0x04]    # 會話3
]from prefixspan import PrefixSpan
ps = PrefixSpan(opcode_sequences)
ps.minlen = 2
freq_seqs = ps.frequent(2)  # 最小支持度2次# 輸出：[(2, [0x01, 0x03]), (2, [0x01, 0x03, 0x04])]

結論：操作碼0x01后常跟0x03，可能為登錄→查詢信息的固定流程。

---

步驟3：關鍵字段定位與結構假設

通過頻繁模式推導協(xié)議結構：

字段位置	候選假設	驗證方法
字節(jié)0	固定頭（Magic Number）	全樣本一致性檢查
字節(jié)1	指令類型（高頻出現(xiàn)0x01）	觸發(fā)不同功能觀察響應變化
字節(jié)4-5	長度字段（與后續(xù)數(shù)據(jù)長度相關）	計算Pearson相關系數(shù)
末2字節(jié)	校驗和（與前面數(shù)據(jù)存在數(shù)學關系）	嘗試CRC16/CRC32計算匹配

---

步驟4：動態(tài)驗證與協(xié)議還原

編寫腳本自動化驗證假設：

def validate_checksum(packet):assumed_crc = packet[-2:]calculated_crc = crc16(packet[:-2])return assumed_crc == calculated_crcvalid_count = 0
for p in packets:if validate_checksum(p):valid_count +=1print(f"校驗通過率: {valid_count/len(packets)*100}%")  
# 若通過率接近100%，則確認校驗位假設正確

三、實戰(zhàn)案例：Pj某工控設備協(xié)議

背景

某PLC設備通信協(xié)議未知，需實現(xiàn)以下功能逆向：

• 讀取寄存器值（功能碼）

• 設置設備地址（地址字段）

• 異常狀態(tài)碼解析

關鍵發(fā)現(xiàn)過程

1. 頻繁頭定位：

   80%的數(shù)據(jù)包以0x48 0x53開頭 → 確認為協(xié)議頭

2. 指令類型推斷：

   第3字節(jié)出現(xiàn)0x01（讀）和0x02（寫）的頻率最高 → 功能碼字段

3. 地址字段驗證：

# 對比兩個寫地址請求包：
Packet1: 48 53 02 00 01 02 [00 00 00 01] ... 
Packet2: 48 53 02 00 01 02 [00 00 00 02] ...
# 響應包中地址字段變化 → 確認第7-10字節(jié)為設備地址

? ? 4. 錯誤碼提取：

? ? ? ? ?當響應包第4字節(jié)為0xFF時，末字節(jié)出現(xiàn)0x01/0x02 → 錯誤子碼

---

四、對抗干擾策略

常見干擾類型與破解技巧

干擾手段	破解方法
隨機填充字節(jié)	過濾低頻率項，關注穩(wěn)定出現(xiàn)的字段
多協(xié)議復用	先聚類（如按端口、包長），再分別分析
字段動態(tài)編碼	尋找編碼前后的統(tǒng)計特征（如字節(jié)分布變化）
心跳包干擾	剔除固定時間間隔的無關包

---

五、工具鏈推薦

1. 流量預處理：Wireshark + Scapy（Python）

2. 序列挖掘：SPMF（支持GSP、PrefixSpan算法）

3. 自動化驗證：Python + pwntools（自定義協(xié)議測試腳本）

4. 可視化分析：NetworkX（繪制協(xié)議狀態(tài)轉移圖）

---

六、總結

“數(shù)據(jù)即協(xié)議”——通過融合頻繁序列提取與協(xié)議逆向技術，開發(fā)者能在無先驗知識的情況下，快速定位關鍵字段并推測交互邏輯。該方法尤其適用于具有明顯統(tǒng)計特征的私有協(xié)議逆向場景。

方法論價值：

• 將人工經(jīng)驗轉化為可量化的模式識別

• 為協(xié)議逆向提供自動化切入點

• 降低對特定領域知識的依賴

---

擴展閱讀標簽：#協(xié)議逆向 #頻繁序列 #工控安全 #Python #Wireshark