近几年来,网络攻击随着互联网技术的广泛应用而层出不穷,特别是APT攻击,更加成为了对国家安全、社会稳定、经济发展的重要威胁。而APT攻击离不开木马软件的应用,因此,分析APT木马网络行为特征,从而识别攻击行为有着至关重要的作用。本文对APT木马网络行为特征提取技术进行研究,提出一种木马网络协议逆向方法,通过该方法实现对于木马网络行为特征的自动化提取。该网络协议逆向方法的理论依据主要为同一网络协议的网络通信数据的自身内部约束所产生的统计规律。首先通过部署沙盒环境,包括木马运行环境以及网络环境,以此捕获木马受控端通信数据。在对通信数据经过Token序列化预处理后,再对预处理的Token序列应用序列比对以及聚类算法进行进一步的分析,并在聚类过程中不断调整Token的划分。从而使Token的划分不断逼近真实的协议格式,最终得到逆向后的网络协议格式。通过对逆向后的协议格式进行分析,从中提取网络特征。该自动化分析方法由于通过沙盒上下文信息支持一定的语义分析,能够动态对变长数据域的协议格式进行动态调整。实验表明,本文所述的APT木马网络行为自动化分析原型系统对于文本型网络协议的木马、二进制型网络协议的木马以及采用HTTP协议隧道的木马均能够有效地分析出网络特征。