协议作为网络安全技术研究的重要基础,应用于诸多场景如网络入侵检测,模糊测试等。其中入侵检测系统需要使用大量私有协议,然而缺乏协议的报文文档,协议逆向工程就无法对协议的报文内容进行完整分析,所以无法生成完整的报文。本文提出了一种针对于未知协议的报文的生成方法,该方法无需先验获取报文字段的相关信息,可以完成报文的生成。未知网络协议报文生成报文生成的研究方法是通过利用神经网络可生成文本的模型进行修改使其可以通过学习获取到的流量报文内容信息,达到预测生成报文的目的。该模型的研究对象是未知网络协议的明文报文数据,未知网络协议是指协议特征未知的协议因此本模型在对各类协议报文进行生成时无需使用其先验知识。未知协议的报文生成分为两个阶段完成:报文切分和生成。报文头部切分阶段:按照报文协议的头部类型的不同将其分为两个类型:报文头部格式固定的协议和报文头部格式非固定的协议。针对这两种类型的协议分别提出了对应的将其头部内容和数据内容进行分离的方法。使得后续生成的协议报文数据更加精准。在协议报文内容的切分阶段,首先确定报文所属的类型,然后按照其类型采用相应的方法进行切分。其中头部格式固定方法的切分方法采用信息熵和报文中每一个字段和其后面的相邻字段之间的互信息这两个数值来确定其截取的位置的,而头部类型非固定协议的切分方法是采用关键字词频的原理确定切分位置的。针对TCP协议和SMTP协议进行实验,验证上述的头部切分方法,其中TCP协议属于有定长头部格式协议,经过切分准确的到头部长度;SMTP协议没有定长头部格式,经过切分去除冗余负载部分。通过设立不同数据量的切分实验,可以看出在数据量达到一定程度时,数据量的多少不是影响结果的主要因素。报文生成阶段:本文使用Seq2seq(Sequence-to-sequence)模型建立网络协议的生成模型,通过将获取到的协议报文数据分为训练集和测试集两个数据集分别读入到该模型中,学习、训练数据集并预测生成相同学协议的报文数据。实验阶段针对TCP协议、SMTP协议和HTTP协议这三类协议进行报文生成并评估模型的生成能力,同时考虑数据量对报文生成的影响,在实验过程中每种协议采取不用数据量的报文进行训练,生成相同数目的报文。将生成的报文进行封装使其包含物理层、数据链路层等信息,通过Wireshark进行解析识别后,从而得到生成报文的协议类型和其内容的可识别情况。最终TCP协议的生成字准确度为70%、识别率为100%;SMTP协议的生成字准确率为85%、识别率为85%;HTTP协议的生成字准确率为91%,识别率为95%。