Die Inferenz von Protokollautomaten basierend auf beobachtbaren Informationen ist eine große Herausforderung im Bereich des Protokoll-Reverse-Engineering (PRE), insbesondere wenn der passiv gesammelte Datenverkehr aufgrund fehlender Pakete zu einem unvollständigen Protokollzustandsraum führt. Dieser Artikel schlägt eine neue Methode zur aktiven Inferenz von Protokollautomaten basierend auf dem Minimal Adequate Teacher (MAT)-Rahmen vor. Durch die Kombination von Sitzungsvervollständigung und deterministischen Mutations-Techniken erweitert diese Methode die Protokollnachrichtentypen und ermöglicht so den Aufbau eines umfassenderen Eingaberaums für den Protokollautomaten basierend auf unvollständigen Nachrichtenfeldern. Darüber hinaus wird durch die Optimierung des LM+-Algorithmus, einschließlich Duplikat-Entfernung im Datenverkehr, Aufbau eines erweiterten Präfixbaum-Akzeptors (EPTA), antwortbasierte Abfrageoptimierung und zustandsübergangsbasiertes zufälliges Gegenbeispiel-Generieren, die Effizienz der aktiven Inferenz verbessert. Basierend auf verschiedenen Versionen von Live555 und Exim zeigen Experimente mit Echtzeit-Streaming-Protokollen (RTSP) und dem Simple Mail Transfer Protocol (SMTP), dass diese Methode in der Lage ist, vollständigere Protokollautomaten mit höherer Ausführungseffizienz zu inferieren. Im Vergleich zum in AALpy implementierten LM+-Algorithmus wird die Ausführungszeit von Act_Infer durchschnittlich um etwa 40,7 % reduziert, wobei die Anzahl der Verbindungen und Interaktionen um etwa 28,6 % bzw. 46,6 % gesenkt wird.

Protokoll-Reverse-Engineering (PRE); Protokollautomat; aktive Inferenz; unvollständige Nachrichtenfelder; Eingaberaum