摘要：现有基于网络报文流量信息的协议分析方法仅考虑报文载荷中的明文信息，不适用于包含大量密文信息的安全协议。为充分发掘利用未知规范安全协议的密文数据特征，针对安全协议报文明密文混合、密文位置可变的特点，该文提出一种基于熵估计的安全协议密文域识别方法CFIA（Ciphertext Field Identification Approach）。在挖掘关键词序列的基础上，利用字节样本熵描述网络流中字节的分布特性，并依据密文的随机性特征，基于熵估计预定位密文域分布区间，进而查找密文长度域，定位密文域边界，识别密文域。实验结果表明，该方法仅依靠网络数据流量信息即可有效识别协议密文域，并具有较高的准确率。

关键词：未知安全协议 协议格式 密文域 熵估计 

单位：解放军信息工程大学; 郑州450001