对网络入侵过程的自动重构无论对可信软件在不可靠/不安全环境中的演化、保护还是对恶意环境的分析与检测都具有重要用途。由于入侵过程日趋复杂,自动重构与其入侵机制相一致的动态攻击模型对实现可信软件的保护和安全演化尤为重要。目前被广泛应用的网络入侵模型中大部分属静态模型,它们都有这样的特点:主要针对入侵特例,例如典型的特征(signature)匹配模型,对变体入侵需要重新建模,适应性差。所表达的入侵特征上下文无关,例如绝大多数消息特征仅针对单一消息(如一个完整的IP分组),难以准确表达出那些分步骤实施入侵的复杂的动态入侵过程。事实上,目前应用的大多数入侵模型等价于正规表达式,由此不难看出其能力上的局限。绝大多数模型的建模依据是入侵消息流本身,很少同时考虑受害程序(在被入侵期间的)行为,使这类模型所表达的入侵特征局限于所观测到的会话实例,难以用来识别相近的入侵行为,这些相近的入侵行为可能有很不相同的消息特征但却有完全相同的攻击目的。绝大部分实用的入侵模型仍需分析人员手工建立,因此需要实质性地发展准确而有效的自动建模技术,特别是在入侵手段快速扩散的情况下尤其必要。本文建立一种重构网络入侵模型的有效方法,依据入侵实例中所记录的入侵过程的消息流及受害软件实际执行的指令流,通过反编译并应用改进的形式分析及验证技术构建出充分一般的入侵模型。与目前绝大多数基于独立消息特征(signature)的入侵模型不同,该模型能精确给出恶意消息上下文之间的关联模式,表达出入侵过程的动态特征,效率可行并具有逻辑上可证明的精确性。在详细阐述方法的理论基础之后,也讨论了针对安全演化的应用。